MHIRI Rostom

Projet de fin dtudes
Cycle de formation des ingnieurs en Tlcommunications

Option :
Rseaux et services mobiles
Rapport de Projet de fin dtudes

Thme :
Conception et mise en place dune solution intgre de scurit informatique

Ralis par :
Rostom Mhiri
Encadrant (s) :
M. Hassen Ellouze M. Adel Bouhoula
Travail propos et ralis en collaboration avec
-1-
Ddicaces
A mon pre Sans ton soutien je ne serais rien devenue. A ma mre Sans ta tendresse et ton affection je ne pourrais arriver jusquau bout. A mes frres A toute la famille Mhiri et a tous mes amis Merci infiniment !
Rostom Mhiri
Table des matires

AVANT PROPOS..6
-2-
Introduction gnrale.7 Partie I : Principes et outils de scurit dun rseau informatique9

Chapitre 1 : Principes de scurit dun rseau informatique10
Introduction.10
III-
Terminologie de la scurit informatique...10 Les principaux types de vulnrabilits11
1- Les failles lies aux systmes et aux applications..11 2- Les failles lies aux protocoles...12 IIILes diffrents types dattaques rseau...13
1- Ecoute du rseau.13 2- Abus de droits lgitimes..14 3- Usurpation didentit16 4- Injection de codes17 IVVPolitique de scurit dans un rseau informatique..19 Les services offerts par la scurit informatique..19
Conclusion..20
Chapitre 2 : Mise en place des solutions Open Source pour scuriser un rseau dentreprise.21
Introduction.21
III-
Le rseau scuriser21 Scurisation du primtre du rseau par un firewall24
1- Principe dun systme pare-feu.25 2- Dploiement dun pare-feu IPtables ...26 3- Exemple de politique de filtrage.28 4- Validation du fonctionnement de IPtables29 IIILa solution IDS30
1- Les diffrentes sortes dIDS30 2- Implantation dun NIDS Snort ..33 3- Implantation des HIDS.36 IVLes solutions Anti-Spam/Anti-Virus..37
1- Anti-Spam pour la messagerie lectronique.37 2- Anti-Virus pour la messagerie lectronique..38 3- Anti-Virus pour les postes de travail..38 -3-
Projet de fin dtudes VScurit de laccs WiFi.38
1- Configurer les paramtres du rseau.39 2- Amliorer lauthentification par un serveur Radius..39

Conclusion41
Partie II : Analyse, Conception et implmentation de Csys Security 42

Chapitre 1 : Analyse des besoins...44
Introduction44
IIIIII-
Etude de lexistant44 Spcification des besoins44 Diagramme des cas dutilisation47
1- Identification des acteurs..47 2- Identification des cas dutilisation48 3- Reprsentation du diagramme des cas dutilisation.49
Conclusion.51
Chapitre 2 : Conception de Csys Security .52

Introduction...52
III-
Conception gnrale de Csys Security .52 Conception dtaille....55
1- Le module Authentification 55 2- Le module Manip_IHM ...55 3- Le module Scan_Rseau ..56 4- Le module Stat_Rseau 57 5- Le module Sec_Rsaeu 60
Conclusion61
Chapitre 3 : Implmentation et validation de Csys Security .62

Introduction62
I-
Environnement de dveloppement62
1- Environnement matriel62 2- Environnement logiciel.63 IIImplmentation et validation..63
-4-
Projet de fin dtudes 1- Installation et premire utilisation de Csys Security63 2- La phase dauthentification..64 3- Linterface principale de Csys Security..65 4- Changement du mot de passe.67 5- Recherche des machines.67 6- Les outils danalyse et de supervision69 7- Les outils dintervention76
Conclusion78
Conclusion gnrale79 Annexe A.80 Annexe B.81 Bibliographie..82 Liste des abrviations.83
Liste des figures

Partie I
Chapitre 1
-5-

Figure.1.1 : Sniffing.13 Figure.1.2 : Scanning..14 Figure.1.3 : Technique dune attaque DOS.15 Figure.1.4 : Spoofing IP..16 Chapitre2 Figure.2.1 : La nouvelle architecture du rseau de Computer System ...24 Figure.2.2 : La solution Firewall.25 Figure.2.3 : Trajet des paquets dans le code de filtrage27 Figure.2.4 : Analyse en temps rel du fonctionnement de IPtables29 Figure.2.5 : Placement du NIDS31 Figure.2.6 : Implantation de Snort.35 Figure.2.7 : Exemples dalertes gnrs par Snort35 Figure.2.8 : Extrait dun rapport danalyse gnr par Tripwire37
Partie II
Chapitre 1 Figure.3.1 : Diagramme des cas dutilisation de lapplication Csys Security ..50 Chapitre 2 Figure.4.1 : Conception gnrale de Csys Security 54 Figure.4.2 : La classe Authentification .55 Figure.4.3 : La classe Manip_IHM ..56 Figure.4.4 : La classe Scan_Rseau .56 Figure.4.5 : La classe Statistiques ..57 Figure.4.6 : Diagramme de classe du module Connexions 58 Figure.4.7 : La classe Pare-feu ...59 Figure.4.8 : La classe Processus_Actifs 59 Figure.4.9 : La classe Sec_Rseau ...60 Chapitre 3 Figure.5.1 : Raccourci de Csys Security ...64 Figure.5.2 : Phase dauthentification.64 Figure.5.3 : Message de vrification de lidentifiant et du mot de passe65 Figure.5.4 : Message derreur de blocage de lapplication ..65 Figure.5.5 : Interface principale de Csys Security..66 Figure.5.6 : Fentre de changement du mot de passe..67 Figure.5.7 : Recherche dans un sous rseau.68 Figure.5.8 : Dtection des machines actives..69 Figure.5.9 : Surveillance en temps rel des connexions..70 Figure.5.10 : Etude du comportement du rseau..71 Figure.5.11 : Contrle des activits dune machine sur le rseau..72 Figure.5.12 : Analyse statistique du fonctionnement du Firewall72 Figure.5.13 : Statistiques des connexions..73 Figure.5.14 : Contrle des processus actifs74 Figure.5.15 : Contrle des ports ouverts..75 Figure.5.16 : Exemples dinformations gnrs par NTOP..76 Figure.5.17 : Fentre de configuration de IPtables77 Figure.5.18 : Paramtres ncessaires pour configurer IPtables partir dun Script77 Figure.5.19 : Contrle dune machine distante...78
-6-
AVANT-PROPOS
Au terme de ce travail effectu au sein de lentreprise Computer System (CSYS), je tiens exprimer ma grande reconnaissance Mr Hassen Ellouze, le directeur technique, qui ma accept de passer mon stage au sein de lentreprise et qui a suivi de prs lvolution de ce projet et na pas cess de me prodiguer ses prcieux conseils dont javais largement bnfici. Je tiens galement exprimer mes sentiments de gratitude et de reconnaissance mon encadreur Mr Adel Bouhoula, matre de confrence lcole suprieure des communications de Tunis, pour laide considrable et judicieuse quil ma gnreusement prodigue. S Avec beaucoup dgard, je ne manquerai pas de remercier tout le personnel de CSYS pour leur aide, leur serviabilit et leur accueil chaleureux tout au long de mon stage. Enfin, je tiens remercier tous les enseignants et administrateurs de lcole suprieure des communications de Tunis et tous les membres du jury pour avoir accept de juger ce modeste travail.
Introduction gnrale
-7-
Projet de fin dtudes Le dploiement fulgurant de lInternet et son omniprsence en tant que moyen de communication dans les entreprises auraient du entraner la prise en compte des risques associs la visibilit des machines sur le rseau des rseaux. Il nen a pas t ainsi : de plus en plus de moyens informatiques se trouvent exposs la malveillance des pirates. Trois facteurs rendent indispensable le dploiement de la scurit informatique : La prservation du patrimoine de lentreprise. Lexistence dune menace extrieure, mme potentielle. Les failles des systmes.
Lobjectif de notre projet est de dployer une solution de scurit (mise en place des diffrents outils de scurit) pour un rseau dentreprise, ainsi que de dvelopper un outil qui permet daider un administrateur pour grer la scurit dun rseau. Cet outil doit permettre la supervision des machines du rseau, la prvention des anomalies et des attaques rseaux en temps rel, la dtection des problmes locaux (machines infectes) et des problmes rseaux ainsi que la gestion et le contrle des machines pour bloquer les tentatives dattaques. Ce travail est compos de deux parties. La premire sera consacre aux principes et outils de la scurit dun rseau. Nous prsenterons dans un premier chapitre les diffrents aspects thoriques des attaques et des vulnrabilits informatiques. Nous dvelopperons aussi les dmarches adopter et les services attendus par la mise en place dune politique de scurit informatique. Le deuxime chapitre est une tude de cas pratique de dploiement dune solution de scurit. Nous prsenterons dune part larchitecture adopte et dautre part les diffrents outils ncessaires limplantation de la solution. Lanalyse, la conception, limplmentation et la validation dune application de gestion de la scurit informatique feront lobjet de la deuxime partie du prsent travail. Aprs une tude des besoins que nous prsenterons dans un premier chapitre, nous consacrerons le deuxime la conception de lapplication que nous avons baptise CSYS-SECURITY . Cest une application qui permet dune part de superviser les diffrents aspects de la scurit informatique et dautre part de prendre les mesures ncessaires pour pallier aux problmes dtects. Limplmentation et la validation des ces fonctionnalits feront lobjet du troisime et dernier chapitre de cette seconde partie. -8-
Partie I : Principes et outils de scurit dun rseau informatique
-9-
Chapitre 1 : Principe de la scurit des rseaux dentreprises

Introduction
Parce que notre dpendance est de plus en plus prononce vis vis des ordinateurs puissants mis en rseau pour faire des affaires et garder des archives de nos informations personnelles, de nombreuses industries ont merges dans le domaine de la scurit rseau et informatique. Maintes entreprises ont recours aux services d'experts en scurit afin qu'ils analysent leurs systmes de manire adquate et laborent des solutions adaptes aux besoins oprationnels de la socit. Parce que la plupart des socits sont dynamiques par nature, les employs accdant aux ressources localement et distance, la ncessit de disposer d'environnements informatiques scuriss est de plus en plus prononce. Le but de ce chapitre est de se familiariser avec les notions de base de la scurit informatique des rseaux dentreprises.
I-
Terminologie de la scurit informatique
La scurit informatique utilise un vocabulaire bien dfini utilis dans les articles. De manire bien comprendre ces articles, il est ncessaire de dfinir certains termes : Les vulnrabilits : ce sont les failles de scurit dans un ou plusieurs systmes. Tout systme vu dans sa globalit prsente des vulnrabilits, qui peuvent tre exploitables ou non. Les attaques (exploits): elles reprsentent les moyens d'exploiter une vulnrabilit. Il peut y avoir plusieurs attaques pour une mme vulnrabilit mais toutes les vulnrabilits ne sont pas exploitables. Les contre-mesures : ce sont les procdures ou techniques permettant de rsoudre une vulnrabilit ou de contrer une attaque spcifique. Les menaces : ce sont des adversaires dtermins capables de monter une attaque exploitant une vulnrabilit [1]. - 10 -
II- Les principaux types de vulnrabilits

II.1- Les failles lies aux systmes et aux applications
Ces failles peuvent tre de natures diverses : problmes de configuration, problmes au niveau du code du logiciel, problmes lis des mauvaises interprtations de commandes ou des mauvaises excutions de scripts.
III.1.1- Les installations par dfaut

Lors d'une installation, beaucoup de services peuvent tre installs par dfaut (un serveur Web, FTP ...). Ces services peuvent contenir les diffrents types de failles introduites auparavant. L'important est de bien contrler lors de l'installation, les services qui seront installs sur le systme. Pour tre sr de soi, il est aussi recommand de scanner la machine pour voir ce qui y tourne. Mme si certains logiciels ne comportent pas de failles connues, ils peuvent quand mme donner des informations aux pirates [2].
III.1.2- Les mauvaises configurations

Lorsqu'une application est mal paramtre, elle peut laisser l'accs libre certains fichiers sensibles (fichiers de mots de passe). Donc il est important de bien lire le manuel de configuration avant d'activer un service [2].
III.1.3- Les services non crypts

Les services non crypts, tels que le Web, le courrier lectronique (e-mails), le FTP, et le Telnet, constituent un autre type de point faible dans les rseaux. Ils transmettent les noms et les mots de passe des utilisateurs, et ce dans un format non crypt. Sans peine, et grce aux Sniffers, les pirates russissent capturer les mots de passe et franchir ainsi des accs non autoriss. Pour parer les sniffers, plutt que dutiliser les services non crypts, un administrateur doit donc segmenter son rseau en utilisant les commutateurs ou les routeurs [1].
- 11 -
II.2- Les failles lies aux protocoles

II.2.1- Le protocole DHCP
Le protocole DHCP est utilis pour dlivrer dynamiquement une adresse IP unique pour chaque machine le demandant sur le rseau interne. Si un client interne veut obtenir une adresse IP pour bnficier des services rseau, il envoie un message DHCP tout le rseau (broadcast) pour trouver le serveur DHCP. Le serveur DHCP lui rpondra en envoyant tous les paramtres de configuration rseau. Un serveur DHCP possde un stock d'adresses IP qu'il distribue aux diffrents clients. Ce stock est bien sr limit. Si le service est mal administr, un pirate gnre un grand nombre de requtes DHCP semblant venir d'un grand nombre de clients diffrents, le serveur puisera vite son stock d'adresses. Les vrais clients ne pourront donc plus obtenir d'adresse IP et par consquence le trafic rseau sera paralys. Chaque fois que cest possible, il faut pour ladministrateur limiter le service DHCP une liste ferme de correspondances dadresses MAC et IP. De cette faon toute requte trangre cette liste est systmatiquement rejete [2].
II.2.2- Le protocole DNS

Le protocole DNS assure la correspondance entre le nom d'une machine et son adresse IP. Un serveur DNS est en coute par dfaut sur le UDP port 53. Parmi les attaques les plus connues via le protocole DNS est le DNS ID spoofing , son principe est dcrit comme suit : Si un client A veuille tablir une connexion avec une machine B alors que la machine A connat le nom de la machine B mais pas son adresse IP. La machine A va donc envoyer une requte au serveur DNS du rseau de B pour connatre son adresse IP, cette requte sera identifie par un numro d'identification (ID). Le serveur rpond cette requte en fournissant l'adresse IP de B et en utilisant le mme numro d'ID. Si un pirate puisse envoyer une fausse rponse une requte DNS avant le serveur DNS, il peut rediriger vers lui le trafic destination d'une machine qu'il l'intresse.
- 12 -
Projet de fin dtudes Pour corriger ce type de vulnrabilit, il faut configurer le serveur DNS pour quil ne rsolve directement que les noms de machine du rseau sur lequel il a autoris [2].
III-
Les diffrents types dattaques rseau
Il existe un grand nombre dattaques permettant une personne mal intentionne de sapproprier des ressources, de les bloquer ou de les modifier. Certaines requirent plus de comptences que dautres. Ces attaques ont plusieurs types savoir :
III.1- Ecoute du rseau

III.1.1- Le Sniffing
Le reniflage (en anglais Sniffing) est une technique qui consiste analyser le trafic rseau. Lorsque deux ordinateurs communiquent entre eux, il y a un change dinformations (trafic). Mais, il est toujours possible quune personne malveillante rcupre ce trafic. Elle peut alors lanalyser et y trouver des informations sensibles. Si par exemple une entreprise possdant 100 ordinateurs relis entre eux grce un hub. Maintenant, si un pirate coute le trafic rseau entre 8h et 10h (heure de connexion du personnel), il pourra lire tous les noms dutilisateurs ainsi que leurs mots de passe [3].
Fig.1.1 : Sniffing
- 13 -
III.1.2- Le Scanning
Le scanning consiste balayer tous les ports sur une machine en utilisant un outil appel scanner. Le scanner envoie des paquets sur plusieurs ports de la machine. En fonction de leurs ractions, le scanner va en dduire si les ports sont ouverts. C'est un outil trs utile pour les hackers. Cela leur permet de connaitre les points faibles d'une machine et ainsi de savoir par o ils peuvent attaquer. D'autant plus que les scanners ont volus. Aujourd'hui, ils peuvent dterminer le systme d'exploitation et les applications associes aux ports [3].
Fig.1.2 : Scanning
III.2- Abus de droits lgitimes

III.2.1- Lattaque par dni de service
Une attaque par dni de service (en anglais Denial of Service, DoS) est une attaque qui a pour but de mettre hors jeu le systme qui est vise. Ainsi, la victime se voit dans lincapacit daccder son rseau. Ce type dattaque peut aussi bien tre utilis contre un serveur dentreprise quun particulier reli internet. Tous les systmes dexploitations sont galement touchs : Windows, Linux, Unix, [3]
- 14 -
Fig.1.3 : Technique dune attaque DOS
III .2.2- Le dni de service distribu

Depuis l'an 2000, le dni de service distribu en anglais "Distributed denial-of service", DDoS a reprsent l'attaque qui a menac les plus grands sites ("Yahoo", "Buy.com", "eBay" ...). Une attaque DDOS est un type d'attaque trs volu. C'est en fait une version volue de l'attaque classique DoS visant faire planter ou rendre muette une machine en la submergeant de trafic inutile. Plusieurs machines la fois sont l'origine de cette attaque (c'est une attaque distribue) qui vise anantir des serveurs, des sous rseaux, etc. D'autre part, elle reste trs difficile contrer ou viter. C'est pour cela que cette attaque reprsente une menace. Le but des attaques DDoS comme celui des attaques DoS n'est pas d'obtenir ou d'altrer des donnes, mais c'est de nuire des socits dont l'activit repose sur un systme d'information en l'empchant de fonctionner ou de paralyser temporairement (rendre inactif pendant un temps donn) des serveurs afin qu'ils ne puissent tre utiliss et consults. La principale diffrence entre une attaque DDoS et une attaque DoS est que l'attaque dans le premier cas est distribue sur une multitude de machines. Pour excuter une attaque DDoS, l'attaquant doit procder en deux tapes. 1. se rendre matre de plusieurs machines. 2. lancer l'attaque partir de ses machines [4].
- 15 -
III.3- Usurpation d'identit

III.3.1- Spoofing IP
Le spoofing IP est une technique permettant un pirate d'envoyer une machine des paquets semblant provenir d'une adresse IP autre que celle de la machine du pirate. Le spoofing IP n'est pas pour autant un changement d'adresse IP. Plus exactement il s'agit d'une mascarade de l'adresse IP au niveau des paquets mis, c'est--dire une modification des paquets envoys afin de faire croire au destinataire qu'ils proviennent d'une autre machine.
Fig.1.4 : Spoofing IP
Comme l'indique le schma ci-dessus (Fig.1.4), la technique du spoofing peut permettre un pirate de faire passer des paquets sur un rseau sans que ceux-ci ne soient intercepts par le systme de filtrage de paquets (firewall). En effet un firewall fonctionne grce des rgles de filtrage indiquant quelles adresses IP sont autorises communiquer avec les machines internes. Ainsi, un paquet spoof avec l'adresse IP d'une machine interne semblera provenir du rseau interne et sera transmis la machine cible, tandis qu'un paquet contenant une adresse IP externe sera automatiquement rejete par le firewall [5].
III.3.2- Le Craquage des mots de passe

Le craquage des mots de passe consiste deviner le mot de passe de la victime. Malheureusement, beaucoup d'utilisateurs mal avertis de cette technique mettent des mots de passe - 16 -
Projet de fin dtudes vidents comme leur propre prnom ou ceux de leurs enfants. Ainsi, si un pirate, qui a espionn sa victime auparavant, teste quelques mots de passe comme le prnom des enfants de la victime, il aura accs l'ordinateur. D'o l'utilit de mettre des bons mots de passe. Mais mme les mots de passe les plus robustes peuvent tre trouvs l'aide de logiciels spcifiques appels craqueur. Les craqueurs de mots de passe s'appliquent souvent un fichier contenant le nom des utilisateurs ainsi que leurs mots de passe encrypt. Ces fichiers sont ncessaires pour permettre l'authentification sur un systme. L'encryptage des mots de passe s'effectue l'aide d'une fonction de hachage. Les fonctions de hachage sont des fonctions univoques, c'est--dire qu'il est impossible de les inverser pour dcrypter un mot de passe encrypt. Une autre particularit importante des fonctions de hachage est que deux mots de passe diffrents auront forcment un hachage diffrent. Ainsi, il est impossible de dcrypter un mot de passe encrypt. En revanche, il est possible d'encrypter un mot au moyen de cette fonction et de comparer le rsultat avec le mot de passe encrypt. S'il y a correspondance, on a devin le mot de passe. Mais, il est fastidieux d'encrypter des milliers de mots pour trouver les mots de passe. C'est l qu'intervient l'utilit d'un craqueur [3].
III.4- Injection de codes

III.4.1- Les Virus
Un virus est un petit programme, situ dans le corps d'un autre, qui, lorsqu'on l'excute, se charge en mmoire et excute les instructions que son auteur lui a inculques. La dfinition d'un virus pourrait tre la suivante: "tout programme d'ordinateur capable d'infecter un autre programme d'ordinateur en le modifiant de faon ce qu'il puisse son tour se reproduire". Ils se multiplient pour la plupart, c'est--dire quils sinsrent dans les fichiers que vous excutez aprs qu'il soit rsident en mmoire. Les virus vont de la simple balle de ping-pong qui traverse l'cran, au virus destructeur de donnes. Ce dernier est le plus virulent, bien que certains virus "seraient" capables de dtruire du matriel. De plus, le virus peut reprsenter une faille dans la scurit d'un rseau en crant des vulnrabilits dissimules qu'un utilisateur extrieur pourra utiliser pour s'introduire dans le systme, ou pour lui fournir des informations. Le but de ces virus est de se propager, vulnrabiliser des systmes, et "marquer" les systmes de telle faon ce qu'ils puissent tre reprs par leurs crateurs.
- 17 -
Projet de fin dtudes De tels virus dvoilent l'ensemble des systmes d'informations d'une machine et brisent ainsi la confidentialit des documents qu'elle renferme, on appelle ce type de virus les chevaux de Troie [5].
III.4.2- Les chevaux de Troie

Ce programme informatique est bas sur une anecdote historique qui s'est droul il y a bien longtemps, c'est l'histoire ancestrale du "cheval de Troie". Ne sachant pas comment envahir la ville de Troie, les assaillants eurent l'ide de donner en cadeau un norme cheval de bois. Jusque l rien d'anormal, cependant le cheval tait rempli de soldats cachs qui s'empressrent d'en sortir la tombe de la nuit, alors que la ville entire tait endormie ... Un cheval de Troie (informatique) est donc un programme cach dans un autre qui excute des commandes sournoises. Un peu comme le virus, le cheval de Troie est un code (programme) nuisible plac dans un programme sain. Il excute des instructions nuisibles lorsque vous excutez le programme sain. Il peut par exemple voler des mots de passe, copier des donnes, ou excuter tout autre action nuisible ... Pire, un tel programme peut crer, de l'intrieur de votre rseau, une brche volontaire dans la scurit pour autoriser des accs des parties protges du rseau des personnes se connectant de l'extrieur [5].
III.4.3- Les vers

Un ver est un programme qui peut s'auto reproduire et se dplacer travers un rseau en utilisant les mcanismes rseau, ils n'ont pas rellement besoin d'un support physique ou logique (disque dur, programme hte, fichier ...) pour se propager; un ver est donc un virus rseau. La plus clbre anecdote propos des vers date de 1988. Un tudiant avait fabriqu un programme capable de se propager sur un rseau, il le lana et 8 heures aprs l'avoir lch, celui-ci avait dj infect plus de 2000 ordinateurs, et c'est ainsi que de nombreux ordinateurs sont tombs en pannes en quelques heures car le "ver" (car c'est bien d'un ver dont il s'agissait) se reproduisait trop vite pour qu'il puisse tre effac par le rseau. De plus, tous ces vers ont crs une saturation au niveau de la bande passante, ce qui a oblig la NSA (National Security Agency) a arrt les connexions pendant une journe [5].
IV-
Politique de scurit dans un rseau informatique

- 18 -
On a numr certains types dattaques informatiques et quelques failles lies aux systmes dexploitations et aux protocoles. En fait ces attaques visent dtruire ou espionner les donnes confidentielles, ce qui a pouss les entreprises dtablir une politique de scurit pour prserver leurs systmes dinformation. Une politique de scurit est un ensemble de rgles qui rgissent la faon de traiter l'information au sein de l'entreprise ou de l'organisme. Pour dfinir une politique de scurit il suffit de rpondre aux questions suivantes : 1- Quel est le primtre de rseau protger ? 2- Quelles sont les entits rseaux qui vont servir au trafic extrieur ? 3- Quels sont les services autoriss aux utilisateurs l'intrieur du domaine rseau ? 4- Quel contrle doit on faire ? 5- Quel est l'impact des services sur la scurit ? 6- Quel est l'impact sur le service ainsi que sur le comportement du systme ?
Toutefois, pour que la politique soit oprationnelle, on doit mettre en place des rgles de scurit. Les rgles de scurit sont des fonctions de cryptages, d'authentification, de filtrage de paquets, etc. permettant de vrifier si les units de donnes sont conformes la politique de scurit ou non.
V- Les services offerts par la scurit informatique

Pour remdier aux failles et pour contrer les attaques, la scurit informatique se base sur un certain nombre de services qui permettent de mettre en place une rponse approprie chaque menace. A ce niveau, aucune technique n'est encore envisage; il ne s'agit que d'un niveau d'abstraction visant obtenir une granularit minimale pour dployer une politique de scurit de faon optimale (les aspects pratiques tels qu'analyses de risques et solutions technologiques viendront par la suite). Dcrivons les principaux services de scurit :
Confidentialit : les donnes ne doivent tre visibles que pour des personnes autorises. authentification (entit, origine des donnes) - 19 -
Projet de fin dtudes intgrit : Il faut pouvoir garantir que les donnes protges nont pas t modifies par une personne non autorise. contrle d'accs : autorisation, diffrentier de l'authentification. non rpudiation (avec preuve d'mission ou avec preuve de rception) [1].
Conclusion
Les attaques des systmes informatiques sont de plus en plus automatises. Leurs scnarios est assez reproductible : dcouverte dune faille dans un service, publication dun exploit , scan rseau et tentative de compromission. Les pirates utilisent des panoplies doutils leur permettant de cacher leurs prsences, de capturer les mots de passe qui circulent sur le rseau, dinstaller une ou plusieurs portes drobes, de scanner un autre rseau Pour se protger contre ces attaques, nous dcrivons dans le prochain chapitre la mise en place dune politique de scurit qui se base sur des outils open source pour le rseau de lentreprise Computer System .
- 20 -
Chapitre 2 : Mise en place des solutions Open Source pour scuriser un rseau dentreprise
Introduction
Consciente de la situation de crise laquelle peut conduire un acte de piratage, la direction de Computer System dcide dentreprendre une complte rorganisation de ses moyens informatiques. La composante scurit devient primordiale dans la rflexion qui est entreprise. Cest la mise en uvre de cette rflexion que nous allons traiter au cours du prsent chapitre.
I-
Le rseau scuriser
COMPUTER SYSTEMS est une entreprise tunisienne, cre en 1991, spcialise dans les logiciels de gestion des systmes d'information. Il aide les organisations grer les environnements informatiques complexes l'chelle de l'entreprise afin qu'ils fournissent toute leur valeur ajoute et soient aligns aux objectifs mtiers. Csys est lun des plus importants diteurs de solutions de gestion et du systme d'information en Tunisie. Ces logiciels et son expertise permettent aux clients d'unifier et de simplifier leurs environnements informatiques complexes afin d'amliorer leurs rsultats. Csys comprend maintenant 50 personnes qui travaillent dans deux dpartements spars : Le dpartement de dveloppeurs : Constitue la valeur ajoute de lentreprise. Elle a en charge la spcification et la cration de nouveaux produits. Le dpartement technique pour tout ce qui est maintenance du matriel.
Les services rseau ncessaires au bon fonctionnement de lentreprise sont : - 21 -
Projet de fin dtudes Service de messagerie lectronique utilis par le personnel pour la communication interne, mais aussi pour la communication avec le monde extrieur. Un service de stockage de donnes. Un serveur web pour des utilisations interne. Un service dimpression rseau permettant daccder aux diffrentes imprimantes du btiment partir de nimporte quel poste de travail. Un serveur de base de donnes. Un service dannuaire lectronique. Un service de partage de fichiers. Une connexion ADSL 1 Mga.
Biens que la socit se soit agrandie et ait dmnag dans des locaux plus vastes et plus confortables, linfrastructure systme et rseau initiale dploy depuis quelques annes a volu sans grande concertation et na jamais fait lobjet dune remise en cause globale. En tudiant les caractristiques du rseau existant, on constate de rels dfauts : Il ny a pas de segmentation physique ni de cloisonnement du rseau. Une fois dans la place, le pirate peut couter librement lensemble des communications, y compris dans les zones les plus sensibles. La gestion des accs au rseau en entre de site est inexistante. Chacune des machines de la socit est vue de lextrieur et devient par consquent une cible potentielle. Labsence doutils de surveillance nuit la dtection rapide des tentatives de compromissions. Les protocoles de communication utiliss sont fragiles (FTP, TELNET, IMAP). Ils laissent transiter sur le rseau des informations sensibles non chiffres, comme les noms de comptes et les mots de passe associs. Une rponse chaque problme soulev sera apporte dans la limite de ce que la technologie peut offrir de meilleur en terme de scurit, et sera dtaill au cours de ce chapitre. Le contenu du tableau2.1 rsume quelques solutions possibles.
Dfaut
Action - 22 -
Outils

Pas de segmentation Gestion daccs inexistante Cration de plusieurs sous rseaux locaux Filtrage lentre du site Filtrage des accs pour le rseau Protocoles de communication rseau vulnrables lcoute frauduleuse. Absence de surveillance WiFi Mise en uvre systmatique de solutions utilisant le chiffrement pour protger les donnes sensibles. Outils de dtection dintrusions, surveillance de lintgrit des systmes, antivirus
Tableau.2.1: Alternatives scurises
Linux/IPtables utilis comme routeur filtrant Linux/IPtables Serveur Radius (FreeRadius) ssh remplace telnet IMAPS remplace IMAP Nmap, Snort, Tripwire, antivirus/mail, anti-spams
La figure 2.1 reprsente larchitecture que nous avons dploye et qui pris en compte la rflexion lie au problme de topologie. Trois groupes ont t dfinis. Les postes de travail du personnel de la socit ont t divises en deux groupes, le premier pour le dpartement des dveloppeurs et possde ladresse 192.168.0.0/24, alors que le second pour le dpartement technique et il possde ladresse rseau 192.168.1.0/24. Les serveurs (zone DMZ: Zone tampon d'un rseau d'entreprise, situe entre le rseau local et Internet, derrire le pare-feu, qui correspond un rseau intermdiaire regroupant des serveurs publics, et dont le but est d'viter toute connexion directe avec le rseau interne et de prvenir celuici de toute attaque extrieure depuis le Web.) ont t galement isols dans un segment 192.168.2.0/24. Le routeur ADSL possde ladresse IP 192.168.3.10.
- 23 -
Fig.2.1 : La nouvelle architecture du rseau de Computer System
A lentre du rseau, nous disposons dun serveur Linux RedHat Fedora Core 4 (Cest un serveur de scurit) qui dispose de 4 interfaces rseau : Eth0 : 192.168.3.2 : connect au routeur ADSL. Eth1 : 192.168.1.200 : connect au rseau du dpartement technique. Eth2 : 192.168.0.200 : connect au rseau du dpartement de dveloppement. Eth3 : 192.168.2.200 : connect la zone DMZ.
II- Scurisation du primtre du rseau par un firewall

Pour tablir une stratgie de scurit d'un rseau d'information, le premier rflexe est de penser protger le primtre du site contre les attaques extrieures (provenant de Internet) en utilisant le systme firewall.
- 24 -
II.1- Principe dun systme pare-feu

Un pare-feu (appel aussi coupe-feu, garde-barrire ou firewall en anglais), est un systme permettant de protger un ordinateur ou un rseau d'ordinateurs des intrusions provenant d'un rseau tiers (notamment Internet). Le pare-feu est un systme situ lentre dun site et au niveau de laquelle il est possible de dcider de faire suivre les paquets leurs destination ou au contraire de les rejeter, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces rseau suivantes : une interface pour le rseau protger (rseau interne). une interface pour le rseau externe.
Fig. 2.2 : La solution firewall
La dcision de rejeter ou daccepter un paquet peut tre prise de deux manires : Examen en dtail de son contenu : Adresse source, adresse destination, port source, port destination, flags (SYN, ACK, RST). Cest le filtrage sans tat, dsign communment par lexpression : filtrage de paquets. Analyse de lhistorique de la connexion. Cela implique que le routeur ou le pare-feu garde une trace ou tat de chaque connexion qui le traverse. La dcision de rejeter ou daccepter le paquet tient compte la fois du contenu du paquet comme ci-dessus et de lhistorique de la connexion. Ce mode de filtrage est appel filtrage avec tat, on parle aussi de suivi de connexion (connection tracking) [6].
- 25 -
II.2- Le dploiement dun pare-feu (IPtables)

Le systme Linux possde tous les lments (Open Source) pour raliser trs efficacement la fonctionnalit du filtrage en entre de site. IPtables est un pare-feu logicielle fournit les fonctionnalits de filtrages disponibles sous Linux partir du noyau 2.4. Il fournit les commandes ncessaires la programmation des filtres.
II.2.1- Fonctionnalits dIPtables

IPtables fournit trois types de fonctionnalits : Filtrage : statique (stateless) ou dynamique et connection tracking. NAT : traduction dadresse IP, Source NAT, Masquerade, Destination NAT, redirection de port. Marquage et manipulation de paquets [7].
Parmi ces trois fonctionnalits, les deux premires ont t exploites pour la scurisation du rseau de Computer System .
II.2.2- Tables et chanes

A chacune des trois fonctions dIPtables correspond une table qui sert programmer cette fonction. FILTER : Pour les rgles de filtrage. NAT : Pour les rgles de traduction dadresses. MANGLE : pour la manipulation et le marquage de paquets.
Chaque table contient un certain nombre de chanes qui contiennent leurs tours une srie de rgles. La chane et les rgles quelle contient sappliquent un moment prcis (avant le routage, aprs le routage) du parcours du paquet (figure 2.3). Elle dtermine le futur du paquet (transmis, intercept). Les chanes peuvent sappliquer cinq moments dans la vie du paquet : - 26 -
PREROUTING : Le paquet se prsente sur une interface de la machine. Les chanes appliques sur PREROUTING sont excutes avant danalyser ladresse IP du paquet pour prendre la dcision du routage. Le cas dutilisation typique est le DNAT.
POSTROUTING : Les chanes appliques sur POSTROUTING sont excutes juste avant denvoyer le paquet sur linterface de sortie, alors que le paquet est dj rout. Le cas dutilisation typique est le SNAT.
FORWARD : Le paquet nest pas destin la machine locale, mais il doit tre relay sur une autre interface. Les chanes appliques sur FORWARD ne concernent pas les paquets destination ou venant de la machine locale [7].
Fig.2.3 : Trajet des paquets dans le code de filtrage
INPUT : Les chanes appliques sur INPUT concerneront tout paquet destination de la machine locale. OUTPUT : Les chanes appliques sur OUTPUT concerneront tout en provenance de la machine locale [7].
NAT PREROUTING POSTROUTING OUTPUT
MANGLE PREROUTING POSTROUTING INPUT OUTPUT FORWARD
FILTER INPUT OUTPUT FORWARD
Tableau.2.2 : IPtables : points dapplication des chanes en fonction des tables
- 27 -
II.3- Politique de filtrage dploy chez Computer System

Le premier niveau de protection dploy chez Computer System a donc t la mise en place dune politique de filtrage ou tout est ferm par dfaut. Le dploiement dune telle politique a des consquences trs positives. Elle permet une meilleure connaissance du rseau en forant tablir et maintenir jour la liste des services utiles depuis lextrieur. La stratgie des connexions autorises est dcrite comme suit : Pour les connexions entrantes (INPUT) : LANServeur : Sauf ladministrateur du rseau (une seule adresse IP bien dfinie) peut accder aux diffrents services offerts par notre serveur de scurit. Cest ladministrateur qui se charge de la configuration et la gestion des diffrents outils installs sur le serveur. InternetServeur : Toute connexion dj tablie par le serveur est autorise.
Les connexions sortantes (OUTPUT) : Serveur LAN : Toutes les connexions sont ouvertes afin de bien grer la totalit du rseau partir du serveur. Serveur Internet : On autorise les connexions vers les sites de mise jour de lantivirus (install sur le serveur) et des rgles de SNORT.
Les connexions de FORWARD : Toute connexion dun segment du rseau local un autre est autorise. Dpartement technique Internet : On nautorise que les connexions sur les ports 80 (http), 443(https) et 53 (DNS). Internet Dpartement technique : Les connexions qui sont dj tablies (ESTABLISHED) sont autorises. Dpartement de dveloppement Internet : Les connexions sont ouvertes pour certaines machines (Directeurs, les chefs projets et ladministrateur rseau). Pour les autres, seules les connexions sur les ports 80,443 et 53 sont autorises. Internet Dpartement de dveloppement : Les connexions qui sont dj tablies (ESTABLISHED) sont autorises. DMZInternet / Internet DMZ : Seul le service de messageries est ouvert lextrieur.
- 28 -
Projet de fin dtudes Aussi afin de bien contrler le fonctionnement de la passerelle, on dfinit des fichiers logs pour enregistrer tout ce qui se passe au niveau du firewall (les connexions acceptes, rejetes, les tentatives de connexion depuis Internet).
II.4- Validation du fonctionnement du Firewall

FirewallEyes est un outil open source d'analyse de logs en temps rel pour le pare-feu linux IPtables. Grce une interface Web, un administrateur rseau peut visualiser et superviser simplement et efficacement l'activit rseau traversant un firewall IPtables. Nous avons utilis cet outil pour contrler lactivit dIPtables, dtecter aisment les activits suspectes et ajuster notre politique de scurit. Lexemple de la figure.2.4 montre des tentatives de connexion dune machine locale (192.168.0.167) vers Internet sur diffrents ports qui sont administrativement bloqus grce IPtables.
Fig.2.4 : Analyse en temps rel du fonctionnement du pare-feu
- 29 -
III- La solution IDS

Tout dabord, IDS signifie Intrusion Detection System. Il sagit dun quipement ou un logiciel permettant de surveiller lactivit dun rseau ou dun hte donn, afin de dtecter toute tentative dintrusion et ventuellement de ragir cette tentative.
III.1- Les diffrentes sortes dIDS

Les diffrents IDS se caractrisent par leur domaine de surveillance. Celui-ci peut se situer au niveau dun rseau dentreprise, dune machine hte, dune application
III.1.1- La Dtection d'Intrusion Rseau (NIDS)

Le rle essentiel d'un IDS rseau est l'analyse et l'interprtation des paquets circulant sur ce rseau. Limplantation dun NIDS sur un rseau se fait de la faon suivante : des capteurs sont placs aux endroits stratgiques du rseau et gnrent des alertes sils dtectent une attaque. Ces alertes sont envoyes une console scurise, qui les analyse et les traite ventuellement. Cette console est gnralement situe sur un rseau isol, qui relie uniquement les capteurs et la console. Il est possible de placer les capteurs diffrents endroits, en fonction de ce que lon souhaite observer. Les capteurs peuvent tre placs avant ou aprs le pare-feu, ou encore dans une zone sensible que lon veut protger spcialement [8].
- 30 -
Fig.2.5 : Placement du NIDS
Si les capteurs se trouvent aprs un pare-feu (position 3), il leur est plus facile de dire si le pare-feu a t mal configur ou de savoir si une attaque est venue par ce pare-feu. Les capteurs placs derrire un pare-feu ont pour mission de dtecter les intrusions qui nont pas t arrtes par ce dernier. Il sagit dune utilisation courante dun NIDS. Il est galement possible de placer un capteur lextrieur du pare-feu (emplacement 1). Lintrt de cette position est que le capteur peut ainsi recevoir et analyser l'ensemble du trafic d'Internet. Si vous placez le capteur ici, il n'est pas certain que toutes les attaques soient filtres et dtectes. Pourtant, cet emplacement est le prfr de nombreux experts parce qu'il offre l'avantage d'crire dans les logs et d'analyser les attaques (vers le pare-feu...), ainsi l'administrateur voit ce qu'il doit modifier dans la configuration du pare-feu. Les capteurs IDS sont parfois situs lentre de zones du rseau particulirement sensibles (parcs de serveurs, donnes confidentielles), de faon surveiller tout trafic en direction de cette zone (position 2) [8].
- 31 -
III.1.2- IDS bas sur lhte HIDS

Les systmes de dtection d'intrusion bass sur l'hte ou HIDS (Host IDS) analysent exclusivement l'information concernant cet hte. Comme ils n'ont pas contrler le trafic du rseau mais "seulement" les activits d'un hte ils se montrent habituellement plus prcis sur les types d'attaques subies. Ce type dIDS possde un certain nombre davantages : il est possible de constater immdiatement l'impact d'une attaque et donc de mieux ragir. Grce la quantit des informations tudies, il est possible dobserver les activits se droulant sur l'hte avec prcision et doptimiser le systme en fonction des activits observes. De plus, les HIDS sont extrmement complmentaires des NIDS. En effet, ils permettent de dtecter plus facilement les attaques de type "Cheval de Troie", alors que ce type dattaque est difficilement dtectable par un NIDS. Les HIDS permettent galement de dtecter des attaques impossibles dtecter avec un NIDS, car elles font partie de trafic crypt. Nanmoins, ce type dIDS possde galement ses faiblesses, qui proviennent de ses qualits : du fait de la grande quantit de donnes gnres, ce type dIDS est trs sensible aux attaques de type DoS, qui peuvent faire exploser la taille des fichiers de logs. Un autre inconvnient tient justement la taille des fichiers de rapport dalertes examiner, qui est trs contraignante pour le responsable de la scurit. La taille des fichiers peut en effet atteindre plusieurs Mgaoctets. Du fait de cette quantit de donnes traiter, ils sont assez gourmand en CPU et peuvent parfois altrer les performances de la machine hte. Les HIDS sont en gnral placs sur des machines sensibles, susceptibles de subir des attaques et possdant des donnes sensibles pour lentreprise. Les serveurs, web et applicatifs, peuvent notamment tre protgs par un HIDS [8].
- 32 -
III.2- Implantation dun NIDS SNORT

SNORT est un systme de dtection d'intrusion open source. Il est capable d'effectuer en temps rel des analyses de trafic et de logger les paquets sur un rseau IP. Il peut effectuer des analyses de protocole, recherche/correspondance de contenu et peut tre utilis pour dtecter une grande varit d'attaques. Nous avons pens utiliser le produit SNORT, la plupart des produits commerciaux tant assez chers. Le produit SNORT est dj reconnu comme tant un bon produit; il est de plus en plus utilis dans les entreprises y compris par les grands comptes. Diffrents produits annexes ont t utilises pour faciliter sa gestion : ACID : ACID est une application Web dveloppe en PHP permettant de visualiser les logs dun systme de dtection dintrusion tel que SNORT. ACID peut sinterfacer avec une base de donnes de logs grs sous MySQL. WebMin avec le module SNORT : Webmin est une application web crite en Perl permettant dadministrer un serveur laide dune interface HTML. Diffrents modules peuvent y tre intgrs. Un module pour SNORT a t dvelopp. Celui-ci permet dadministrer SNORT laide dun GUI. On peut, laide de ce module, effectuer au travers du GUI toutes les commandes dadministration que lon peut normalement raliser avec les commandes en ligne de SNORT.
III.2.1- Architecture de SNORT

Larchitecture de SNORT est modulaire et est compose de : un noyau de base : au dmarrage, ce noyau charge un ensemble de rgles, compile, optimise et classe celles-ci. Durant lexcution, le rle principal du noyau est la capture de paquets. Une srie de pr processeurs, ceux-ci amliorent les possibilits de SNORT en matire danalyse et de recomposition du trafic captur. Ils reoivent les paquets directement capturs, ventuellement les retravaillent puis les fournissent au moteur de recherche de signatures. Une srie danalyses est ensuite applique aux paquets. Ces analyses se composent principalement de comparaisons de diffrents champs des headers des protocoles (IP, ICMP, - 33 -
Projet de fin dtudes TCP et UDP) par rapport des valeurs prcises : SNORT utilise des rgles pour dtecter les intrusions, il existe aujourdhui environ 1200 rgles diffrentes, ce qui est dj beaucoup, et chacune correspond un cas bien particulier... Aprs la dtection dintrusion, une srie de output plugins permet de traiter cette intrusion de plusieurs manires : envoie vers un fichier log, envoie dun message dalerte vers un serveur syslog, stocker cette intrusion dans une base de donnes SQL [9].
III.2.2- Installation, configuration et validation de SNORT

Les sondes SNORT ont t installes sur notre serveur de scurit. La premire chose faire est de paramtrer convenablement le fichier snort.conf pour chaque capteur: pour que les sondes puissent communiquer avec le serveur Mysql (enregistrement des alertes). pour initialiser les signatures qui seront prises en compte par les sondes (en premier temps, nous avons ignorer toutes les rgles). pour initialiser la classe ou la plage dadresses IP sur laquelle une sonde va couter le trafic. Afin de faciliter lanalyse pour un administrateur rseau, nous avons dcid d'utiliser une interface graphique (interface web ACID) qui permet de visualiser et de grer aisment les alertes gnres par SNORT. Une architecture complte de fonctionnement de SNORT que nous avons implant chez Computer System est prsente par la figure 2.6 :
- 34 -
Fig.2.6 : Implantation de Snort
Comme il est montr dans la figure 2.6, ACID facilite linterprtation des donnes gnres par SNORT et stockes dans une base de donnes Mysql. Pour valider le fonctionnement de SNORT, nous avons effectu un scan du rseau laide de loutil NMAP. Le scan est dtect par SNORT et grce ACID lalerte est signal ladministrateur rseau comme il est indiqu dans la figure 2.7:
Fig.2.7 : Exemples dalertes gnrs par SNORT
- 35 -
III.3- Implantation des HIDS

En cas de compromission dune machine, certains fichiers sont modifis par le pirate pour masquer sa prsence et installer une ou plusieurs portes drobes sur le systme. Un HIDS tel que Tripwire peut analyser les logs (traces), vrifier l'intgrit du systme de fichier, dtecter les rootkits ainsi que de grer des alertes et des rponses actives aux menaces. Pour mieux scuriser la passerelle du rseau (Systme dexploitation Linux), nous avons choisit dinstaller un HIDS Tripwire. Tripwire permet de prendre lempreinte des fichiers critiques un moment o le systme dexploitation est saint, le plus souvent immdiatement aprs linstallation de celui-ci. Tripwire cre une base de donnes de rfrence avec la signature de chacun des fichiers surveiller. Cette signature est constitue de nombreux indicateurs garantissant lunicit du fichier auquel elle se rapporte (propritaire, date de cration, taille). Cette empreinte sera ensuite rgulirement compare lempreinte courante et ladministrateur sera avis en cas de modification de lintgrit dun fichier ou la dtection dune anomalie [6]. Pour valider le fonctionnement de Tripwire, nous avons modifi un fichier de configuration sur la passerelle (fichier de configuration du service POP3 /var/run/dovecot/ssl-parameters.dat ) en supprimant quelques lignes, puis nous avons lanc un scan en utilisant la commande tripwire check . Le rapport gnr par Tripwire la fin de lanalyse dont un extrait est prsent par la figure.2.8 indique bien cette modification.
- 36 -
Fig.2.8 : Extrait dun rapport danalyse gnr par Tripwire
IV-
Les solutions Anti-Spam/Anti-Virus
IV.1- Anti-Spam pour la messagerie lectronique

Un Spam, au sens de la messagerie lectronique, est un courrier non sollicit. Le Spam vient augmenter inutilement le volume de notre courrier. Le problme est que son envoie ne cote presque rien lexpditeur. Concernant les entreprises ou organisme possdant leurs propres serveurs de messagerie, il existe plusieurs outils open sources capables d'assurer le filtrage contre le spam. Dans notre cas, nous avons choisie dinstaller loutil SpamAssassin au niveau du serveur de messagerie qui est un filtre Anti-Spam simple et assez efficace. Il permet de filtrer le trafic des courriers. Il sappui sur une liste de rgles pr-tablies pour donner une note aux mails entrants, et en fonction de cette note, il effectue diffrentes actions.
- 37 -
IV.2- Anti-Virus pour la messagerie lectronique

LAntivirus SMTP protge les boites aux lettres du client contre lintrusion de virus informatiques en provenance du rseau Internet. Cette option prsente les caractristiques suivantes : Tous les courriers lectroniques en provenance du rseau Internet et destination des botes aux lettres du client sont contrls. le contrle porte sur le courrier lectronique et sur lensemble des pices jointes, il est effectu laide dun logiciel spcialis dans la dtection de virus informatiques. lorsque la prsence dun virus est suspecte, le courrier infect est dtruit, et un courrier davertissement est envoy lexpditeur du courrier infect et son destinataire. une mise jour frquente du logiciel de dtection est effectue pour permettre une protection contre les nouveaux virus. Parmi les outils Open Source les plus connus, on trouve AMAVIS (A Mail Virus Scanner) qui examine le message et fait analyser les documents attachs aux messages.
IV.3- Anti-Virus pour les postes de travail

Pour scuriser les machines du rseau des virus, on utilise un anti-virus gratuit Clam Antivirus . Clam Antivirus est un antivirus qui permet une mise jour des dfinitions de virus via Internet. Il permet de scanner les fichiers, rpertoires, page web et courrier lectroniques (notamment fichiers attachs) de faon ergonomique.
V-
Scurit de laccs WiFi
La scurisation de laccs au rseau Wifi est une tape indispensable pour empcher un utilisateur malintentionn de lutiliser. Voici les tapes quon a suivre afin de scuriser le rseau Wifi de Computer System .
- 38 -
V.1- Configuration des paramtres du rseau

Changer le mot de passe utilisateur du routeur Wifi : Laccs lutilitaire de configuration du routeur Wifi est scuris par un nom dutilisateur et un mot de passe. Cette page est accessible en tapant son adresse IP dans un navigateur Internet (par exemple : 192.168.1.1). La premire tape de scurisation de notre nouveau rseau WiFi consiste donc changer le mot de passe par dfaut. Dfinir un nom du rseau (SSID) : Tout rseau Wifi a un nom qui est le SSID (Service Set IDentifier). La seconde tape consiste donc changer ce nom et le cacher la vue des utilisateurs malintentionns. Dans l'utilitaire de configuration de notre routeur, nous essayons de changer le SSID par dfaut en un nom en vitant qu'il soit trop simple. Nous dsactivons ensuite la diffusion du nom SSID du sans fil en cochant la case correspondante, pour qu'il napparaisse pas dans la liste des connexions possibles. Activer le cryptage : Avant d'utiliser notre rseau sans-fil, il sera utile de crypter celui-ci avec une clef numrique afin de ne laisser l'accs qu'aux utilisateurs disposant de celle-ci. Deux types de cryptage de donne existent actuellement : WEP (Wired Equivalent Privacy) et WPA (WiFi Protected Access). Si le routeur et tous les adaptateurs sans-fil le supportent, nous conseillons d'opter pour une clef WPA avec cl de chiffrement pr partage. Cependant, si le matriel ne supporte pas le WPA (cest le cas de Computer System), On doit activer alors le cryptage WEP. La manipulation est simple car le cryptage numrique est cr partir d'une phrase : il faut entrer un mot de 5 lettres minimum ou une expression dans le champ correspondant et le routeur va gnrer diffrents codes. Il ne faut pas les oublier car ils seront utiliss pour connecter chaque ordinateur du rseau. Filtrage des adresses MAC : Les points d'accs permettent gnralement dans leur interface de configuration de grer une liste de droits d'accs (appele ACL) base sur les adresses MAC des quipements autoriss se connecter au rseau sans fil. Cette prcaution un peu contraignante permet de limiter l'accs au rseau un certain nombre de machines. En contrepartie cela ne rsout pas le problme de la confidentialit des changes [13].
V.2- Amliorer lauthentification par un serveur Radius

L'authentification 802.1x ncessite la mise en place d'un serveur RADIUS (Remote Authentication Dial-In User Service), cela s'adresse donc plus aux entreprises qu'aux particuliers. - 39 -
V.2.1- Principe de fonctionnement du protocole Radius

Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), reli une base d'identification (base de donnes, annuaire LDAP, etc.) et un client RADIUS, appel NAS (Network Access Server), faisant office d'intermdiaire entre l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffr et authentifi grce un secret partag. Le fonctionnement de RADIUS est bas sur un scnario proche de celui-ci : Un utilisateur envoie une requte au NAS afin d'autoriser une connexion distance. Le NAS achemine la demande au serveur RADIUS. Le serveur RADIUS consulte la base de donnes d'identification afin de connatre le type de scnario d'identification demand pour l'utilisateur. Soit le scnario actuel convient, soit une autre mthode d'identification est demande l'utilisateur. Le serveur RADIUS retourne ainsi une des quatre rponses suivantes : ACCEPT : l'identification a russi. REJECT : l'identification a chou. CHALLENGE : le serveur RADIUS souhaite des informations supplmentaires de la part de l'utilisateur et propose un dfi (en anglais challenge ). CHANGE PASSWORD : le serveur RADIUS demande l'utilisateur un nouveau mot de passe. Suite cette phase dit d'authentification, dbute une phase d'autorisation o le serveur retourne les autorisations de l'utilisateur [5].
V.2.2- Implmentation dun serveur Radius FreeRadius

Pour implmenter un serveur Radius pour le rseau Wifi de Computer System , nous avons choisit de mettre en place loutil open source Free Radius . Nous avons configur Free Radius pour utiliser une base de donnes MySQL contenant la liste des adresses MAC des clients autoriss utiliser le rseau WiFi.
- 40 -
Conclusion
La scurit est un sujet de discussion inpuisable. Nous avons prsent au cours de ce chapitre les principaux outils open source que nous avons utiliss afin de protger le maximum possible un rseau dentreprise en tudiant le cas du rseau de Computer System .
- 41 -
PARTIE II : Analyse, conception et implmentation dun outil de gestion de la scurit dun rseau Csys Security
- 42 -
Dans la premire partie du projet, nous avons construit une palissade qui protge notre rseau. Nous allons maintenant dvelopper un outil logiciel pour surveiller les accs. La protection ne vaudra rien et notre entreprise ne sera pas labri, si nous ny ajoutons pas un mcanisme de surveillance qui permettra de dtecter les tentatives dintrusions russies ou non. Par ailleurs, les technologies que nous disposons pour dvelopper la scurit sont en courante volution. Les pirates disposent galement doutils plus sophistiqus de jour en jour ! Ainsi, un niveau de scurit qui tait confortable auparavant, savre nettement insuffisant aujourdhui et fera de nous la cible de toutes les compromissions sil na pas volu demain. Il faut donc tre capable de mesurer au quotidien la robustesse de notre politique de scurit. Cest le rle des outils de surveillance et daudit. Pour cela, lobjectif de cette partie est de dvelopper un outil daide la gestion de la scurit dans un rseau dentreprise qui permet de :
Contrler et superviser le fonctionnement des machines lintrieure du rseau local. Intervenir dans le cas dun problme li la scurit du rseau. Juger lefficacit de la scurit du rseau.
Chapitre 1 : Analyse des besoins

- 43 -
Introduction
Lanalyse des besoins est la premire tape pour dvelopper une application. Cest une tape dterminante qui se construit mesure que la problmatique est pose. Il est alors primordial de bien comprendre le sujet afin de cerner les problmes potentiels dun point de vue conceptuel, organisationnel et technique. Nous commencerons dans la premire partie par une tude de larchitecture existante pour en extraire dans une deuxime partie, les nouvelles orientations en terme de besoins. Finalement, une analyse dtaille sera ralise en utilisant les diagrammes de cas dutilisation.
I-
Etude de lexistant
Il existe une vingtaine de solution de Supervision de la Scurit (SIM : Security Information Management) sur le march. Parmi lesquelles il existe une seule solution open source (OSSIM : Open Source SIM) qui nest pas encore suffisamment abouti pour esprer un dploiement fiable sur un rseau de production [12]. En plus OSSIM est purement un outil de supervision, il ne comporte aucun outil dintervention (Scan rseau, Scan antivirus, grer une machine sur le rseau, Configurer le pare-feu). Pour toutes ces raisons, nous avons pens dvelopper notre propre outil Csys Security .
II- Spcification des besoins

Csys Security doit apporter une interface de synthse de plusieurs composantes (open source) de scurit (Snort, Nessus, TightVNC, NTOP). Mais bien videmment il ne se contente pas dintgrer ces outils et il intgre ses propres fonctionnalits (Recherche des machines connectes sur le rseau, consultation de ltat dun pare-feu, le comportement dune machine sur le rseau). Lapplication doit donc disposer de plusieurs fonctionnalits qui doivent satisfaire diffrentes tches grce aux diffrents outils qui sont intgrs dans le mme noyau savoir : Recherche_Rseau : Cet outil permet de dtecter les machines prsentes sur le rseau et les afficher avec leurs noms dhte. - 44 -
Projet de fin dtudes Scan_Rseau : Un sniffer rseau est un outil indispensable dans les logiciels de scurit. Pour cela il faut quiper notre application dun Sniffer qui doit analyser le trafic du rseau en temps rel. Connexions actives : Grce cet outil, ladministrateur rseau peut surveiller en temps rel les diffrentes connexions entrantes et sortantes du rseau local (les adresses sources et destination, ltat de la connexion et lusage de la bande passante). Statistiques : Permet un administrateur de prendre une ide gnrale, sous forme de graphes, sur lvolution dans le temps du nombre de connexions entrantes et sortantes qui traversent la passerelle. Stat_Rseau : Cest un outil de supervision de rseau. Il capture et analyse en temps rel les trames dune interface donne (celle de la passerelle) et permet un administrateur dobserver certaines des caractristiques du trafic (entrant et sortant) sous forme dune interface web. o Il trie et affiche le trafic rseau en fonction de nombreux critres (par protocole, adresse destination,). o Identifie les utilisateurs du rseau. o Identifie lOS de chaque machine. o Il suit la bande passante et les domaines DNS impliqus. o Il diffrencie le multicast, le broadcast et lunicast. o Gnre des graphes de statistiques. o Status_IDS : Cet outil permet un administrateur de visualiser laide dune interface PHP (ACID) les remontes d'alarmes gnres par lIDS SNORT. Cette partie sous-entend que nous avons une base de donnes qui rcupre les informations envoyes par SNORT. Statut_FW : Grce a cet outil, un administrateur rseau peut contrler et analyser le fonctionnement des firewalls prsents sur le rseau (dtecter la prsence et le type de firewall utilis, rcuprer le fichier log, consulter des statistiques sur les connexions, identifier les ports utiliss par un troyen). Dans un rseau, on distingue deux catgories de firewalls qui sont les firewalls personnels installs chez les machines du rseau ainsi que le firewall de la passerelle. Dans le rseau de Computer System , les firewalls personnels utiliss sont soit le firewall de Windows XP de Microsoft soit Kerio Personal Firewall, alors que celui de la passerelle cest Iptables . - 45 -
Projet de fin dtudes Processus : Permet de fournir la liste des processus actifs sur une machine du rseau (Windows ou Linux) afin didentifier la prsence dun programme malveillant (cheval de Troie, virus). Csys Security contient une base de programmes malveillants les plus fameux quon doit la mettre jour rgulirement. Scan_Ports : Cet outil est conu pour dtecter les ports ouverts, les services hbergs et les informations sur le systme d'exploitation d'un ordinateur prsent sur le rseau. Analyse du fonctionnement de la passerelle/Charge CPU de la passerelle : Un administrateur met en uvre ces deux fonctionnalits pour vrifier le bon tat de la passerelle rseau. Contrle_Machine : Cet outil permet de surveiller en temps rel les activits dune machine sur le rseau. Les outils dj traits sont des outils de surveillance et de dtections des anomalies au sein dun rseau local. Afin de ragir, on propose les outils suivants : Configurer_FW : Pour configurer ou mettre jour une configuration existante du firewall de la passerelle du rseau IPtables . Diffrentes mthodes de configurations sont proposes : o Application dune configuration par dfaut (une configuration minimale qui nautorise que les services web et ftp pour les machines du rseau). o La configuration laide dun script fourni par ladministrateur. o La configuration en utilisant un outil graphique webmin . Contrle_Machine : Permet ladministrateur daccder la machine du rseau slectionn dans la liste des machines afin de corriger les failles de configuration, lancer un scan antivirus Laccs se fait soit par une interface graphique dans le cas dune machine Windows ou par une session ssh pour les machines Linux. Conf_WiFi : Pour configurer les points daccs et le serveur Radius du rseau WiFi. Envoyer_MSG : Pour communiquer avec les utilisateurs du rseau.
Puisque Csys Security peut donner des informations critiques sur le rseau et ses utilisateurs, on a prvu davoir des outils dauthentifications pour limiter laccs et lutilisation de ce logiciel.
- 46 -
Projet de fin dtudes En effet, pour accder aux fonctionnalits de Csys Security, un processus dauthentification de lutilisateur est obligatoire :
Le nombre maximum de tentatives dauthentification est trois si non lapplication sera bloque. Les informations et les mots de passe doivent tre chiffrs. Lapplication doit permettre le changement du mot de passe tout en assurant le maximum de confidentialit grce loutil Changer_PWD.
III- Diagramme des cas dutilisation

Les diagrammes de cas d'utilisation (use cases) reprsentent les cas d'utilisation, les acteurs et les relations entre les cas d'utilisation et les acteurs. Ils dcrivent, sous la forme d'actions et de ractions, le comportement d'un systme du point de vue d'un utilisateur. Ils permettent de dfinir les limites du systme et les relations entre un systme et l'environnement.
III.1- Identification des acteurs

Un acteur reprsente le rle jou par une personne ou une chose qui interagit avec un systme. Les acteurs se dterminent en observant les utilisateurs directs du systme, ceux qui sont responsables de son exploitation ou de sa maintenance, ainsi que les autres systmes qui interagissent avec le systme en question. Dans ce systme de gestion de la scurit dun rseau informatique les acteurs ventuels sont : Administrateur : Celui qui est charg de la tche dadministration du rseau dentreprise (configurer le routage, configurer le firewall, suivi de ltat du rseau). Fichier crypt : Emplacement o sont enregistrs les donnes ncessaires lidentification. LAN : Cest notre rseau local qui ragit avec le systme en fournissant des informations sur son utilisation (des statistiques en temps rel sur lutilisation de la bande passante, informations sur le trafic). Base de donnes : Une base o sont enregistres les alertes gnres par lIDS SNORT. Machine : Une machine appartenant au rseau.
- 47 -
III.2- Identification des cas dutilisation

Les cas dutilisation recensent les expressions des besoins des utilisateurs. En partant du principe quun systme est avant tout construit pour les utilisateurs, les cas dutilisation permettent de structurer et darticuler les besoins en fonctionnalits et de dfinir la manire dont les utilisateurs voudraient interagir avec le systme. Les cas dutilisation de notre systme sont : Authentification : Un administrateur doit sauthentifier pour pouvoir accder aux fonctionnalits de Csys Security. Gestion de lIHM : Personnaliser linterface graphique de lapplication par la suppression dun lment slectionn, ouverture dune nouvelle session Recherche des machines : Permet dafficher la liste des machines connectes sur le rseau avec leurs noms dhte. Scan du trafic rseau : La possibilit de scanner le trafic rseau en temps rel en affichant les paquets circulant sur le rseau avec gnration dalarmes pour certains types dattaques. Surveillance en temps rel des connexions depuis et vers Internet. Evaluation des statistiques : Consultation des statistiques en temps rel sur lutilisation et sur le trafic du rseau. Gestion des alertes dattaques sur le rseau : Consultations des diffrentes alertes gnres par lIDS SNORT. Gestion des HIDS : Lancer une analyse du serveur et consulter le rapport gnr. Configuration du rseau wifi : Configurer les points daccs et le serveur Radius du rseau wifi. Gestion de IPtables : Surveillance et configuration du pare-feu IPtables . Contrle de pare-feu : Consultation du fichier log du pare-feu dune machine sur le rseau et gnration des statistiques sur les connexions sortants et entrants. Contrle des processus actifs : Ladministrateur systme peut consulter les processus actifs sur nimporte quelle machine du rseau avec la possibilit de dtection des programmes malveillants (virus, troyen). Contrle des ports ouverts : Affichage des diffrents ports ouverts dune machine sur le rseau.
- 48 -
Projet de fin dtudes Contrle de lactivit dune machine : Permet ladministrateur de surveiller lactivit de nimporte quelle machine du rseau (soit par tracking des connexions en cours soit par laccs direct cette machine).
III.3- Reprsentation du diagramme des cas dutilisation

La figure 3.1 montre la reprsentation du diagramme des cas dutilisation qui donne une vision globale du fonctionnement de lapplication. Afin de simplifier la lecture du diagramme, seul ladministrateur rseau qui est lutilisateur de lapplication est prsent comme acteur.
- 49 -
CSYS SECURITY
Gestion IHM
Scan trafic rseau
Surveillance des connexions
Evaluation des statistiques
Gestion des alertes d'attaques Authentification
Gestion des HIDS
Configuration wifi
Gestion de IPtables Admnistrateur
Recherche des machines
Controle de pare-feu
Controle des processus actifs
Controle des ports ouverts
Controle d'une machine
Fig.3.1 : Diagramme des cas dutilisation de lapplication Csys Security
- 50 -
Conclusion
Dans le prsent chapitre nous avons prsent la spcification de notre application qui comprend une tude de lexistant et une spcification des besoins ainsi que les cas dutilisation de lapplication. Pour illustrer la concrtisation de la spcification, le chapitre suivant prsente la conception des diffrentes fonctionnalits de notre application.
- 51 -
Chapitre 2 : La conception de Csys Security
Introduction
Une fois l'analyse des besoins et la spcification des exigences de lapplication sont labores, on aborde la partie conception qui constitue la phase la plus importante dans le cycle de dveloppement d'un logiciel puisqu'elle permet de traduire l'ensemble des exigences exposes en une solution.
I-
Conception gnrale de lapplication
Lanalyse des besoins, dans le chapitre prcdent, trace les grandes lignes de larchitecture de Csys Security . En effet, cinq modules principaux sont envisags, et qui interagissent ensemble derrire linterface Homme Machine (IHM).
Module dauthentification des utilisateurs (Authentification): Ncessaire pour pouvoir

accder aux diffrentes fonctionnalits de Csys Security . Il permet aussi lactivation de lapplication, le changement de mot de passe et surtout le chiffrement de toutes les informations dauthentification.
Module de gestion de linterface homme/machine (Manip_IHM): Permet de personnaliser

lIHM de lapplication (Suppression dune machine, Ouverture dune nouvelle session).
Module de recherche des machines sur le rseau (Scan_Rseau): Pour dtecter les machines
connectes sur le rseau en les identifiants par leurs adresses IP et leurs noms dhte.
Module de supervision et danalyse du fonctionnement du rseau (Stat_Rseau): Permet de

fournir, grce plusieurs sous modules, des informations et statistiques concernant la scurit et lutilisation du rseau :
- 52 -
Projet de fin dtudes Des statistiques en temps rel sur le trafic rseau (trie et affichage du trafic en fonction de nombreux critres, des informations sur les machines connectes Internet). Statistiques sur lvolution du nombre de connexions entrantes et sortantes du rseau local. Tracking en temps rel des connexions entrantes et sortantes du rseau local. Statistiques sur lutilisation de la bande passante du rseau. Les alertes gnres par lIDS SNORT. Informations en temps rel ou consultation de lhistorique sur le fonctionnement de IPtables. Informations sur le fonctionnement des diffrents pares feux personnels utiliss par les machines du rseau local. Informations sur les ports ouverts pour chaque machine du rseau. Informations sur les processus actifs sur les machines. Surveillance en temps rel de lactivit dune machine (Les connexions en cours). Informations sur lutilisation de la passerelle (charge CPU).
Module de configuration des outils de scurit (Sec_Rseau) : Grce ce module, un

administrateur rseau peut ragir face aux problmes rencontrs (Configurer le firewall, lancer un scan antivirus, vrifier lintgrit des fichier et dossiers de la passerelle, arrter un processus malveillant, configurer un point daccs WiFi, configurer un serveur radius). La figure.4.1 dcrit larchitecture gnrale de Csys Security :
- 53 -
IHM
Noyau
Authentification Dverouiller Authentification
Changer mot de passe Fichier crypt
Vider la liste des machines
Supprimer une machine Nouvelle session
Manip_IHM
Chercher une plage d'adresses Scan_Rseau Scanner le rseau
Statistiques rseau Statistiques Internet Bande passante Connexions actives Etat de l'IDS Etat du pare-feu Rapport antivirus Processus actifs Ports ouverts LAN
Administrateur
Stat_Rseau
Configurer_pare feu Configurer Radius Sec_Rseau Analyse passerelle
Audit rseau
Fig.4.1 : Conception gnrale de Csys Security
- 54 -
Projet de fin dtudes II-
Conception dtaille
II.1- Le module Authentification

Pour assurer les objectifs de ce module, nous avons dfini la classe Authentification qui comporte les mthodes prsentes dans la figure.4.2.
Authentification + + + + Authentification () Changer_pwd () Crypte () Compare ()
Fig.4.2 : La classe Authentification
Le constructeur Authentification ( ) permet de crer une interface graphique qui demande

de lutilisateur de saisir son identifiant et son mot de passe, puis elle rcupre ces deux variables et assure le lien avec linterface principale de lapplication. Elle permet aussi la gnration des messages derreurs ainsi que ceux de confirmations.
Changer-pwd ( ) : Pour crer une interface qui permet lutilisateur de changer son mot de
passe. Elle permet aussi la gnration des messages derreurs ainsi que les messages de confirmations.
Crypte ( ) : On utilise cette mthode pour chiffrer le mot de passe avant son enregistrement
dans un fichier (lors du processus de changement du mot de passe), aussi il est utilis pour chiffrer ce qui est crit par un utilisateur dans la page dauthentification avant de le comparer avec le mot de passe (chiffr) enregistr dj dans le fichier.
Compare ( ) : Elle assure la vrification de la conformit entre lidentifiant et le mot de passe

introduits par lutilisateur et ceux enregistrs dans le fichier.
II.2 : Le module Manip_IHM

Comme il est dj indiqu dans la premire partie de ce chapitre, le rle de ce module est de construire et manipuler linterface principale de lapplication. Sa modlisation se fait par la classe nomme Manip_IHM dcrite par la figure.4.3.
- 55 -

Manip_IHM + + + + + Manip_IHM () Supp_List () Supp_Mach () Nvlle_session () Verrouiller ()
Fig.4.3 : La classe Manip_IHM
Le constructeur Manip_IHM ( ) : permet la cration de linterface principale de lapplication. Supp_List ( ) : Cette mthode est utilise pour vider et initialiser la liste des machines. Supp_Mach ( ) : Cette mthode rcupre la machine slectionne par lutilisateur et la
supprime de la liste.
Nvlle_session ( ) : Permet de fermer la session en cours, et douvrir une nouvelle session de

travail.
Verrouiller ( ) : Pour verrouiller lapplication et afficher la page dauthentification afin de la

ractiver.
II.3- Le module Scan_Rseau

Pour bien programmer les fonctionnalits attendues, nous avons modlis ce module par la classe Scan_Rseau.
Scan_Rseau + + + + Scan_Rseau () Chercher () Scanner () Afficher ()
Fig.4.4 : La classe Scan_Rseau
La mthode Chercher ( ) permet de dtecter les machines appartenant une plage dadresses
introduite par lutilisateur sur une interface graphique.
La mthode Scanner ( ) se rassemble Chercher ( ). La seule diffrence est que cette

mthode lit ladresse de la carte rseau de la machine sur laquelle lapplication tourne et dtecte toutes les machines appartenant au mme sous rseau.
Afficher ( ) se charge de se connecter avec linterface principale (IHM) et afficher chaque

machine dtecte.
II.4- Le module Stat_Rseau

- 56 -
Projet de fin dtudes Daprs la phase de spcification des besoins, Csys Security est avant tout un outil de supervision et danalyse de statistiques sur le fonctionnement dun rseau dentreprise. Pour atteindre cet objectif, nous avons dfini ce module et vu la diversit des fonctionnalits, et afin de simplifier la programmation, nous avons dfini plusieurs sous modules.
II.4.1- Sous-module Statistiques

Ce sous-module est modlis par la classe Statistiques, son rle principal est de fournir des informations sur le trafic circulant sur le rseau :
Statistiques + + + + + Statistiques () Stat_Rx () Stat_Net () Stat_Bw () Stat_IDS ()
Fig.4.5 : La classe Statistiques
Les mthodes utilises par cette classe sont :
Stat_Rx ( ) : Pour se connecter avec linterface web de loutil open source NTOP afin de fournir les statistiques dtailles sur le trafic circulant sur le rseau. Stat_Net ( ) : Cette mthode assure les fonctions : Se connecter la partie serveur install sur la passerelle rseau. Analyse le fichier log du firewall IPtables . Gnre des graphes de statistiques sur lvolution du nombre de connexions entrantes et sortantes du rseau local pour une journe, un moi ou toute lanne. Affichage des graphiques de statistiques sur lIHM. Stat_Bw ( ) : Le principe du fonctionnement de cette mthode est similaire celle de Stat_Rx( ), en effet elle connecte avec linterface web de loutil MRTG qui fournit des graphiques sur lvolution de la consommation de la bande passante sur linterface cot FAI de la passerelle.
La mthode Stat_IDS ( ) permet douvrir linterface web de loutil ACID pour consulter
les alertes gnres par le NIDS.
- 57 -
II.4.2- Sous-module Connexions

Ce sous-module nous permet danalyser le trafic rseau en temps rel. Il prsente de hautes performances grce ces fonctions. On distingue deux classes prsentes par la figure.4.6 :
Connexions + + + + Connexions () Detect () Scan () Affich ()
Track_Conn + + + + + + Track_Conn () Detect () Scan () Get_Mach () Affich () Affich_Mach ()
Fig.4.6 : Diagramme de classes du module Connexions
La classe mre Connexions permet danalyser la totalit du trafic rseau, ces mthodes sont :
La premire mthode (Detect ( )) permet la dtection de la carte rseau et la manipulation de

ses paramtres afin de louvrir en mode promiscuous.
La deuxime (Scan ( )) capte le trafic circulant sur le rseau en temps rel. La troisime fonction est laffichage des connexions entrantes et sortantes du rseau.
La classe Track_Conn est une classe fille de la classe Connexion , elle hrite ses
mthodes mais elle naffiche que les paquets concernant une seule machine du rseau. Pour cela elle a en plus la mthode Get_mach () qui rcupre la machine slectionne par lutilisateur et la mthode affich_Mach () qui naffiche que les paquets qui la concerne.
II.4.3- Sous-module Pare-feu Il permet lanalyse et la gestion du fonctionnement des firewalls installs sur les machines du
rseau (machine local ou la passerelle). Il utilise :
- 58 -
Une mthode Detect ( ) qui dtecte la machine slectionne par lutilisateur. Une mthode pour rcuprer ladresse IP de la machine slectionne. Une fonction qui assure la connexion avec la partie serveur installe sur la machine distante
(qui peut tre la passerelle du rseau ou une machine locale) et la rcupration du log sans perturber le fonctionnement du firewall.
Une fonction danalyse statistique. Une fonction de dtection des anomalies. Une fonction daffichage sur la console de lapplication.
Pare-feu + + + + + + + Pare-feu () Detect () get_machine () Connect () Stat () Detect_error () Affich ()
Fig.4.7 : La classe Pare-feu
II.4.4- Sous-systme Processus_Actifs

Cest un outil trs puissant pour la gestion des processus malveillants qui utilisent des connexions illgales afin de transfrer des informations. La classe qui modlise ce sous systme est prsente par la figure.4.8 :
Processus_Actifs + + + + + + + + Processus_Actifs () Detect () get_Machine () Connect () Proc_mal () Stop_Proc () Ports_Open () Affich ()
Fig.4.8 : La classe Processus_Actifs
Les mthodes de cette classe sont : - 59 -
Detect ( ) : Dtecter la machine slectionne par lutilisateur. Get_Machine ( ) : Rcuprer ladresse IP de la machine slectionne. Connect ( ) : Assure la connexion avec la partie serveur installe sur la machine distante et
rcupre des informations concernant tous les processus actifs.
Proc_mal ( ) : Dtecter les processus malveillants qui tournent sur la machine slectionne. Stop_Proc ( ) : Terminer le processus slectionn par lutilisateur. Ports_Open ( ) : Dtecter les ports ouverts sur la machine. Affich ( ).
II.5- Le module Sec_Rseau

Ce module prsente loutil dintervention en temps rel suite la prise de dcision, qui a t prise en analysant les rsultats offerts par le module Stat_Rseau. La classe Sec_Rseau modlise ce module :
Sec_Rseau + + + + + + Sec_Rseau () Conf_FW1 () Conf_FW2 () Conf_Radius () Control_PC () Analyse_Pass ()
Fig.4.9 : La classe Sec_Rseau
Le constructeur Sec_rseau ( ) permet de dtecter la machine slectionne par lutilisateur et

rcuprer son adresse IP.
Conf_FW1 ( ) : Il permet de configurer le firewall IPtables et elle fonctionne comme suit :

Se connecter la partie serveur installe sur la passerelle rseau. Envoyer un fichier, cest un script de configuration du pare-feu IPtables. Lancer le Script sur le serveur
Conf_FW2 ( ) : Le but de cette mthode est identique la prcdente mais celle-ci se

connecte linterface web de loutil Webmin (outil qui offre une interface graphique pour configurer IPtables) install sur le serveur. - 60 -
Conf_Radius ( ) : Pour configurer ou mettre jour le serveur Free-Radius pour scuriser le

rseau WiFi. Elle utilise linterface web de loutil Webmin.
Control_PC ( ) : Accder une machine distante du rseau afin de rgler les problmes et les
failles de scurit.
Analyse_Pass ( ) : Lancer un Scan pour vrifier lintgrit des fichiers, rpertoires et les
donnes confidentielles de la passerelle.
Conclusion
Dans ce chapitre, nous avons dtaill larchitecture de Csys Security avec ces diffrents modules : Identification, Manip_IHM, Scan_Rseau, Stat_Rseau et Sec_Rseau. A ce stade l, il ne reste quimplmenter et tester lapplication.
Chapitre 3 :
- 61 -
Implmentation & Validation de Csys Security
Introduction
Aprs avoir tudi lexistant, exprim les besoins, procd une tude thorique et enfin spcifi et conu le systme raliser, il ne reste plus qu limplmenter. Dans ce chapitre on prsentera les techniques utilises pour la ralisation de notre application, lenvironnement du dveloppement ainsi que les tapes de la ralisation.
I-
Environnement de dveloppement
I.1- Environnement matriel

Ce projet a t effectu au sein de lentreprise Computer System qui a mis notre disposition lenvironnement matriel suivant :
Serveur ALIS Entry Level Linux base de processeur Pentium 4, dune mmoire de 512
Mo et dun disque dur SATA de 80 GO.
Une poste de travail Windows XP base de processeur Celeron, dune mmoire de 512 Mo
et dun disque dur 80 Go.
Une connexion Internet ADSL ddie au projet. Une infrastructure rseau de test.
I.2- Environnement logiciel

Lenvironnement logiciel se compose de : - 62 -
Power AMC : Cest un logiciel de modlisation. Il permet de modliser les traitements

informatiques et leurs bases de donnes associes.
Borland JBuilder Entreprise Evaluation : Cest

applications d'entreprise Java.
un environnement pour construire des
WinPcap : Bibliothque de traitement des paquets pour Windows. WinPcap est l'outil
standard pour l'accs au rseau dans les environnements de Windows: il peut tre employ pour capturer et transmettre les paquets des protocoles comme TCP / IP. Cela veut dire quil n'est pas capable de bloquer, filtrer ou manipuler le trafic produit par les autres programmes sur la mme machine, il capture simplement les paquets qui transitent sur le mdia.
LibPcap : Cest lquivalent de WinPcap mais sous Linux. Il est utilis dans le cas o
lapplication tourne sur une machine Linux.
JFreeChart : Cest une API Java permettant de crer des graphiques et des diagrammes de
trs bonne qualit.
J2SSH : Cest une API Java permettant daccder des ordinateurs distants sur le rseau en
utilisant le protocole ssh.
Ghost Installer : Cet outil est un logiciel libre, il permet la cration des paquetages
dinstallation. Il se base sur le XML avec une interface lisible qui facilite le travail.
II-
Implmentation & Validation
II.1- Installation et premire utilisation de Csys Security

Csys Security se compose de deux parties : une partie serveur et une partie client . Il existe deux types de programmes serveurs ; Le premier doit tre install sur la passerelle du rseau alors que le second va tre install sur toutes les machines du rseau. La partie client ne doit tre installe que sur la poste de ladministrateur. Pour les machines du rseau, le paquetage dinstallation du serveur cre un raccourci dans : C:\Documents and Settings\All Users\Menu Dmarrer\Programmes\Dmarrage et se lance en arrire plans sans avoir besoin daucune intervention de lutilisateur.
- 63 -
Projet de fin dtudes Linstallation de la partie client de Csys Security sur le PC de ladministrateur rseau permet de crer un raccourci sur le bureau comme il est indiqu par la figure.5.1.
Fig.5.1 : Raccourci de Csys Security.
II.2- La phase dauthentification

Pour scuriser lapplication, une phase dauthentification est ncessaire.
Fig.5.2 : Phase dauthentification.
Lapplication sera installe avec un identifiant par dfaut (Admin) et son mot de passe (AdminSys). Ds la premire utilisation de Csys Security, ladministrateur peut changer ces paramtres. Si lutilisateur nest pas authentifi, un message saffiche qui demande la rcriture des paramtres.
- 64 -
Fig.5.3 : Message de vrification de lidentifiant et du mot de passe
Au bout de trois tentatives, un message derreur saffiche (figure 5.4) et lapplication sera bloque.
Fig.5.4 : Message derreur de blocage de lapplication
II.3- Linterface principale de Csys Security

En cas de succs de lauthentification, lutilisateur pourra bnficier des services de lapplication moyennant une interface principale (figure.5.5).
1 2
- 65 -

Fig.5.5 : Interface principale de Csys Security
A partir de cette interface, lutilisateur peut accder aux diffrentes fonctionnalits offertes par Csys Security . Cette interface se compose de quatre parties :
La premire partie (Numro 1) cest la barre de menu qui contient les liens vers les
diffrentes fonctionnalits de lapplication.
La deuxime partie (Numro 2) : Une barre doutils qui contient une liste des boutons les
plus utiliss.
Une partie (Numro 3) pour laffichage des machines dtectes sur le rseau, elle contient
aussi les boutons : Chercher : Permet de chercher les machines connectes au rseau et qui appartiennent au sous rseau introduit par lutilisateur. Scanner : Permet de dtecter toutes les machines qui sont connectes au rseau.
La dernire partie (Numro 4) sert laffichage des rsultats.
II.4- Changement du mot de passe

Aprs linstallation de Csys Security, et ds la premire utilisation, lutilisateur peut modifier son mot de passe laide de la commande Changer mot de passe du menu Edition :
- 66 -

Fig.5.6 : Fentre de changement du mot de passe
II.5- Recherche des machines

Pour connatre les machines actives sur le rseau local, il suffit pour ladministrateur de lancer la procdure de recherche. Cet outil comporte aussi une fonction permettant la translation entre le nom de la machine et son adresse IP. Les machines actives seront affiches alors avec leurs noms dhte dans la zone 3 de la figure.5.5. On distingue deux types de recherches :
II.5.1- Recherche dans un sous-rseau

Pour gagner le temps, ou si ladministrateur veut vrifier lactivit des machines dans un sous rseau, il peut utiliser cet outil. Il suffit de cliquer sur (Barre de menu : Chercherchercher une plage dadresses) ou tout simplement utiliser le bouton Chercher pour que la fentre de la figure.5.7 saffiche.
Fig.5.7 : Recherche dans un sous rseau
Sur cette fentre, lutilisateur doit introduire ladresse IP initiale et finale et cliquer sur le bouton Lancer pour commencer la recherche. Une fonction sert se connecter linterface principale de Csys Security et afficher la liste des machines actives (Figure.5.8).
II.5.2- Recherche dans tout le rseau

- 67 -
Lautre type de recherche consiste balayer la totalit du rseau. Pour utiliser ce type utiliser la commande Scanner tout le rseau du menu Recherche ou tout simplement cliquer sur le bouton Scanner . Linconvnient de cette mthode cest le temps dexcution, en effet une recherche pour un rseau 192.168.0.0/24 dure peu prs 15 mn. A la fin de la procdure de recherche, par lune ou lautre des deux mthodes les machines actives seront affiches avec leurs noms dhte comme il est indiqu dans la figure.5.8:
Fig.5.8 : Dtection des machines actives sur le rseau
II.6- Les outils danalyse et de supervision
- 68 -
Projet de fin dtudes Parmi ces outils il y a ceux qui sont propres Csys Security , mais aussi nous avons utilis des outils Open Source comme NTOP, ACID et FirewallEyes pour bien rpondre nos besoins.
II.6.1- Surveillance des connexions actives

Pour utiliser cet outil, ladministrateur rseau doit ouvrir la fentre Surveillance en temps rel des connexions actives (figure.5.9) (barre de menu : RseauConnexions actives, ou le bouton Connexions de la barre doutils), puis cliquer su le bouton Commencer .
Fig.5.9 : Surveillance en temps rel des connexions qui traversent la passerelle
Comme il est indiqu par la figure, loutil distingue entre les connexions sortantes du rseau local vers Internet et les connexions entrantes, affiche pour chaque paquet ladresse source, ladresse destination, le protocole utilis, le port source, le port destination et permet aussi de gnrer des alertes pour toute demande de connexion TCP depuis lextrieur.
II.6.2- Statistiques sur lvolution dans le temps des nombres de connexions Internet.
Afin dvaluer le comportement du rseau, ladministrateur utilise cet outil qui gnre des graphiques qui montrent lvolution dans le temps du nombre de connexions entrantes et sortantes du rseau local. - 69 -
Projet de fin dtudes La figure.5.10 nous montre lvolution du nombre de connexions pour un jour (Vendredi 25 mai 2007) de 0h jusqu 11h du matin :
Fig.5.10 : Etude du comportement du rseau
La courbe de la figure.5.10 prsente un pic (une volution massive du nombre de connexions entrantes et sortantes) 4h du matin et ce-ci prsente un tat anormal. En analysant le fichier log du firewall IPtables , nous avons remarqu des tentatives de connexions dune machine du rseau local qui utilise un logiciel de tlchargement peer-to-peer.
II.6.3- Surveillance en temps rel de lactivit dune machine

Grce cet outil, ladministrateur rseau peut surveiller les activits dune machine du rseau en temps rel. Pour cela il suffit de slectionner une machine de la liste affiche sur linterface principale puis ouvrir une session de tracking (barre de menu : MachineConnexions en cours) et enfin cliquer sur le bouton Commencer . Tous les paquets qui concernent cette machine seront affichs avec description de ce quelle est en train de faire. En plus des alertes seront gnrs dans le cas dune demande de connexion de lextrieur.
- 70 -
Fig.5.11 : Contrle des activits dune machine du rseau
II.6.4- Analyse statistique du firewall dune machine

Une fois on a slectionn une machine de la liste, on utilise le bouton Status_FW de la barre doutils ou (barre de menu : MachineEtat du pare-feu personnel) pour consulter et rcuprer le log sans perturber le fonctionnement du firewall (Figure 5.12).
Fig.5.12 : Analyse statistique du fonctionnement du firewall
- 71 -
Pour bien analyser le fichier log on a plusieurs sous_outils utiliser :
Conn_TCP : permet dafficher toutes les connexions utilisant TCP comme protocole de
transport.
Conn_UDP : permet dafficher toutes les connexions utilisant UDP comme protocole de
transport.
Conn ICMP : permet de traiter les paquets ICMP. Statistiques : permet dafficher des statistiques. Ports troyens : permet dillustrer toutes les connexions qui utilisent un port qui peut tre
utilis par un troyen.
Lanalyse statistique des connexions permet davoir le nombre de connexion total ainsi que les pourcentages des connexions TCP, UDP et ICMP. On peut voir aussi les pourcentages des connexions bloques, fermes et ouvertes pour chaque protocole (Figure 5.13).
Fig.5.13 : Statistique des connexions
- 72 -
II.6.5- Dtection des processus malveillants

Afin de vrifier quaucun virus ou troyen nest install sur une machine slectionne de la liste, on va lancer loutil Processus en cliquant sur le bouton Processus de la barre doutils ou (barre de menu : MachineEtat des processus actifs) (Figure 5.14).
Fig.5.14 : Contrle des processus actifs dune machine du rseau
Cet outil contient deux principaux modules qui permettent de faciliter la tche de ladministrateur afin de protger une machine sur le rseau :
Proc_malveillant : Permet de chercher dans la liste des processus actifs ceux qui sont
malveillants (virus, troyen). Ce module est fond sur une base de donnes qui contient une liste des processus malveillants les plus fameux que ladministrateur doit mettre jour rgulirement.
Arreter_Proc : Pour mettre fin un processus malveillant ou inutilisable par lutilisateur de la

machine, il suffit de slectionner le processus puis cliquer sur le bouton Arreter_Proc .
II.6.6- Contrle des ports ouverts

Aprs la slection dune machine de la liste, le responsable de scurit peut cliquer sur (barre de menu : Machine Scan des ports) pour afficher sur lIHM la liste de ses ports ouverts. - 73 -
Projet de fin dtudes Lexemple de la figure.5.15 prsente le rsultat de scan des ports dune machine (192.168.0.177) du rseau de Computer System.
Fig.5.15 : Scan des ports dune machine sur le rseau
II.6.7- Intgration des outils NTOP, ACID et FirewallEyes

Afin de rpondre tous les besoins qui concernent la surveillance du fonctionnement dun rseau dentreprise, nous avons pens intgrer quelques outils Open Source dans lapplication Csys Security :
Loutil NTOP : Ntop dlivre une quantit impressionnante d'informations sur le trafic
dun rseau informatique qui aident le responsable de scurit pour la prise des dcisions. Parmi les informations les plus utilises dans notre cas on cite ; Tri du trafic rseau selon plusieurs critres (protocole, niveau applicatifs, taille des paquets), lidentification des utilisateurs du rseau (internes ou externes) en spcifiant pour chacun la bande passante quil utilisePour lancer Ntop il suffit dutiliser le bouton Rseau de la barre doutils.
- 74 -
Fig.5.16 : Exemples dinformations gnrs par Ntop
Loutil ACID : Cet outil permet au responsable de scurit danalyser les alertes gnrs
par le NIDS Snort (figure.2.7). pour le lancer, utiliser le bouton Stat_IDS de la barre doutils.
FirewallEyes : Outil graphique danalyse des logs gnrs par IPtables . Il suffit de
slectionner la passerelle (sur laquelle est install IPtables) de la liste des machines et cliquer sur le bouton Stat_FW ou utiliser le lien (barre de menu : RseauEtat du pare-feu) (figure.2.4).
II.7- Les outils dintervention dans Csys Security

II.7.1- Configuration de IPtables
Le bouton Config-FW permet de configurer le fierwall IPtables (figure 5.16)
- 75 -
Fig.5.17 : Fentre de configuration de IPtables.
Trois mthodes sont possibles pour configurer IPtables. Par exemple la premire mthode consiste exporter un script de configuration vers le serveur et de le lancer. Quelques paramtres de configurations sont alors ncessaires (figure.5.17).
Fig.5.18 : Paramtres ncessaires pour configurer IPtables partir dun script
II.7.2- Contrler une machine

Aprs le choix dune machine qui appartient la liste affiche sur linterface principale de Csys Security, ladministrateur peut cliquer sur le bouton Contrle_PC de la barre doutils ou utiliser la commande pour accder au bureau distant.
- 76 -
Fig.5.19 : Contrle dune machine distante (Machine Atef1)
Conclusion
Ce dernier chapitre a permis de prsenter les diffrentes fonctionnalits de lapplication. L application dveloppe est oprationnelle et a apport une valeur ajoute puisque elle est utilise par la direction de Computer System depuis un mois. En effet, elle offre une panoplie de fonctions qui permettent doptimiser ladministration du rseau, revoir la politique de scurit adopte par lentreprise et assurer une meilleure protection et gestion du trafic.
- 77 -
Conclusion gnrale
Le travail prsent dans le cadre de ce projet de fin d'tudes a consist principalement en la conception et l'implmentation d'une solution de scurit dun rseau informatique. Le projet a t divis en deux parties ; Au cours de la premire partie, nous avons prsent et implment une architecture de base (form par des programmes Open Source) pour scuriser un rseau informatique, alors quau cours de la deuxime partie nous avons dvelopp notre propre application de gestion et de supervision de la scurit rseau Csys Security et on a montr comment on a pu, laide de cet outil, grer la scurit de notre rseau. Comme nous avons dj indiqu dans ce rapport, les pirates disposent doutils plus sophistiqus et volus de jour en jour ! Ainsi, un niveau de scurit qui savre confortable un moment donn devient nettement insuffisant ultrieurement. Par consquent, le niveau de scurit atteint par larchitecture que nous avons dploy peut ne pas satisfaire certains types de rseaux. Tout d'abord, le pare-feu doit laisser passer une partie du trafic et l'attaque peut avoir lieu justement sur le service qui est accessible. videmment, le systme IDS est capable de dtecter une attaque quun pare-feu a laiss pass. Mais toutefois il est incapable de la faire chouer tant donn quil nest quun simple observateur : sa prsence n'aura qu'une valeur informative. Aussi un systme IDS peut provoquer beaucoup de faux positifs (alerte gnre alors qu'il n'y a pas d'attaque) et de faux ngatifs (absence d'alerte alors qu'il y a une attaque). Pour rsoudre ces problmes et amliorer le niveau de scurit atteint, il existe des nouveaux outils qui permettent la prvention et le blocage des attaques nomms IPS (Annexe A), et aussi des nouvelles mthodes de dtection dintrusion qui sont les pots de miels (Annexe B). Dautre part, suite lachvement et lessai de lapplication Csys Security , on ne prtend pas que le travail effectu est ce quon dsire au mieux. En effet, - 78 -
Projet de fin dtudes il reste quelques dtails examiner, soit pour mieux adapter lapplication soit pour ajouter de nouvelles alternatives.
Annexe A Les IPS (Intrusion Prevention System)

Les diteurs et la presse spcialise parlent de plus en plus dIPS (Intrusion Prevention System) en remplacement des IDS traditionnels . Entre IDS et IPS une seule lettre diffre, mais elle change tout : l o les systmes de dtection d'intrusion se contentent de donner l'alerte, les systmes de prvention d'intrusion bloquent le trafic jug dangereux. Aussi contrairement un IDS, un IPS pourra fonctionner sans une surveillance constante : une fois qu'il fonctionne, l'administrateur rseau peut l'oublier, il bloquera seul les attaques qu'il connat. L'IPS examine la totalit du trafic. Il l'analyse la recherche d'attaques connues (grce aux signatures IDS), mais aussi la recherche d'anomalies dans les protocoles ou de contenus malicieux dans les paquets. Outre le blocage du trafic clairement identifi comme tant dangereux et qui ne concerne qu'une partie rduite des attaques qu'il connat, l'IPS fonctionne galement la manire d'un IDS et peut donner l'alerte (sans bloquer le trafic) sur un nombre d'incidents plus lev. Les systmes IPS sont implants dans le rseau de la mme faon que les pare-feux -sur le chemin des paquets- de faon ce que toutes les donnes envoyes sur le rseau passent par lui. L'IPS analyse ces donnes du point de vue des proprits caractristiques aux types des attaques connus et en fonction de leur classification, il les laissent passer ou les bloquent. La plupart des solutions IPS qui existent sont commerciaux comme Cisco Systems , Huawei , McAfee Mais daprs un article rcent de la magazine Hakin9 , il est possible pour une entreprise de construire son propre systme IPS bas sur les logiciels libres et notamment lIDS Snort .
- 79 -
Annexe B Les pots de miels

Les honey pots ou pots de miels sont une des nouvelles mthodes utilises en dtection d'intrusion. L'ide du honey pot est d'installer un systme leurre avec un systme d'exploitation non scuris ou prsentant de nombreuses vulnrabilits permettant un accs facile ses ressources. Le systme leurre doit tre install de manire similaire un serveur de production classique de l'organisation et doit comporter de nombreux faux fichiers, rpertoires et autres donnes ressemblant aux vraies. Ce faisant, le honey pot ressemblera une machine lgitime avec des fichiers lgitimes, laissant le hacker croire qu'il a obtenu un accs des informations importantes. L'intrus restera dans les alentours pour rassembler des donnes pendant que l' honey pot collectera des informations sur l'intrus et la source de son attaque. Idalement, les honey pots fournissent un environnement o les intrus peuvent tre surveill ou/et les vulnrabilits dcele avant qu'elles natteignent les vrais serveurs. Les leurres ne sont pas installs pour capturer les intrus mais pour surveiller et comprendre leurs mouvements, trouver comment ils sondent et exploitent le systme et comment prvenir l'utilisation de ses vulnrabilits sur des serveurs de production sans que tout ceci ne soit remarqu par le hacker. Les honey pots fonctionnent selon le principe que tout trafic avec lui est suspect. Comme expliqu prcdemment, un honey pot est gnralement bas sur un vrai serveur, un vrai systme d'exploitation et des donnes qui semblent vraies. Une des principales diffrences est la localisation de la machine par rapport aux serveurs rels. La machine leurre est habituellement place dans une DMZ. Ainsi, le rseau interne n'est pas expos au hacker. Les honey pots fonctionnent en surveillant et/ou parfois contrlant l'intrus pendant son utilisation du honey pot. Ceci nous permet de savoir si l'attaque provient de l'extrieur ou de l'intrieur du rseau, en fonction de la localisation du systme leurre. Les honey pots sont gnralement destins surveiller l'activit d'un intrus, sauvegarder les fichiers logs, et enregistrer chaque vnement comme le lancement de processus, la compilation, la suppression, la modification et l'ajout de fichier, et mme les entres.
- 80 -
Projet de fin dtudes Un grand nombre de projets Open Source sur les honey pots ont vu le jour (HoneyD, HoneyNet) pour collecter des informations sur les outils utiliss par les pirates, leurs mthodes dattaque et les failles de scurit quils exploitent.
Bibliographie
[1] Hassen Turki Dveloppement dun outil daide la gestion de la scurit dans les rseaux TCP/IP : SATAN Projet de fin dtude filire ingnieur en tlcommunications- SUPCOM promotion 2005. [2] Alexandre Viardin Un petit guide pour la scurit : Livre ouvert sur Internet www.mirabellug.org [3] Site Internet : www.securiteinfo.com Ralis par des professionnels du conseil et de la prestation dans la scurit informatique. [4] Jamila Ben Slimene Conception et implmentation dun systme de corrlation hors ligne dalertes dintrusions Projet de fin dtude filire ingnieur en tlcommunications- SUPCOM promotion 2004. [5] Site Internet : www.commentcamarche.com : Un livre ouvert sur linformatique. [6] Bernard Boutherin Scuriser un rseau Linux : Cahier de lAdmin : Une collection dirig par Nat Makarvitch EYROLLES out 2003. [7] Christian Casteyde Guide dinstallation et de configuration Linux : Un livre ouvert sur Internet. [8] Nicolas Baudoin NT Rseau : IDS et IPS extrait dun cours Tlcom Paris 2003. [9] Rafeeq abd Rehman Intrusion Detection Systems with Snort: Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID Edition Eyrolles May 2003. [10] Eric Cole Network Security Bible Publi par: Wiley Publishing 2005. [11] Michal Piotrowski : extrait dune magazine de scurit informatique Hakin9 N1 2006. [12] Site web www.supinfo-projects.com Un site qui contient tous les projets des lves de lcole suprieure dinformatique Paris. [13] Olivier de Vaublanc, Installer un rseau WiFI , dition Dunod, Paris, 2004
- 81 -
Liste des abrviations

ACL: Access Control List ADSL: Asymmetric Digital Subscriber Line DDOS: Distributed Denial of Service DHCP: Dynamic Host Configuration Protocol DMZ : DeMilitarized Zone DNAT : Destination Network Address Translation DNS : Domain Name System DOS : Denial of Service FTP: File Transfer Protocol HIDS: Host Intrusion Detection System ICMP: Internet Control Message Protocol IDS: Intrusion Detection System IHM: Interface Homme Machine IMAP: Internet Message Access Protocol IP: Internet Protocol IPS: Intrusion Prevention System MAC: Medium Access Control NAS: Network Access Server NAT: Network Address Translation NIDS: Network Intrusion Detection System - 82 -
Projet de fin dtudes NSA: National Security Agency POP: Post Office Protocol SNAT: Source Network Address Translation SMTP: Simple Mail Transfer Protocol SIM: Security Information Management SSID : Service Set IDentifier TCP : Transmission Control Protocol UDP : User Datagram Protocol WEP : Wired Equivalent Privacy WPA : WiFi protected Access
- 83 -

MHIRI Rostom

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

MHIRI Rostom

Uploaded by

Copyright:

Available Formats

Projet de fin dtudes

Cycle de formation des ingnieurs en Tlcommunications

Rseaux et services mobiles

Rapport de Projet de fin dtudes

Conception et mise en place dune solution intgre de scurit informatique

M. Hassen Ellouze M. Adel Bouhoula

Travail propos et ralis en collaboration avec

Projet de fin dtudes

Table des matires

Projet de fin dtudes

Introduction gnrale.7 Partie I : Principes et outils de scurit dun rseau informatique9

Terminologie de la scurit informatique...10 Les principaux types de vulnrabilits11

Le rseau scuriser21 Scurisation du primtre du rseau par un firewall24

Projet de fin dtudes VScurit de laccs WiFi.38

1- Configurer les paramtres du rseau.39 2- Amliorer lauthentification par un serveur Radius..39

Partie II : Analyse, Conception et implmentation de Csys Security 42

Etude de lexistant44 Spcification des besoins44 Diagramme des cas dutilisation47

Chapitre 2 : Conception de Csys Security .52

Conception gnrale de Csys Security .52 Conception dtaille....55

Chapitre 3 : Implmentation et validation de Csys Security .62

1- Environnement matriel62 2- Environnement logiciel.63 IIImplmentation et validation..63

Liste des figures

Projet de fin dtudes

Projet de fin dtudes

Projet de fin dtudes

Partie I : Principes et outils de scurit dun rseau informatique

Projet de fin dtudes

Chapitre 1 : Principe de la scurit des rseaux dentreprises

Terminologie de la scurit informatique

Projet de fin dtudes

II- Les principaux types de vulnrabilits

III.1.1- Les installations par dfaut

III.1.2- Les mauvaises configurations

III.1.3- Les services non crypts

Projet de fin dtudes

II.2- Les failles lies aux protocoles

II.2.2- Le protocole DNS

Les diffrents types dattaques rseau

III.1- Ecoute du rseau

Projet de fin dtudes

III.2- Abus de droits lgitimes

Projet de fin dtudes

Fig.1.3 : Technique dune attaque DOS

III .2.2- Le dni de service distribu

Projet de fin dtudes

III.3- Usurpation d'identit

III.3.2- Le Craquage des mots de passe

III.4- Injection de codes

III.4.2- Les chevaux de Troie

III.4.3- Les vers

Politique de scurit dans un rseau informatique

Projet de fin dtudes

V- Les services offerts par la scurit informatique

Projet de fin dtudes

Les services rseau ncessaires au bon fonctionnement de lentreprise sont : - 21 -

Projet de fin dtudes

Projet de fin dtudes

Fig.2.1 : La nouvelle architecture du rseau de Computer System

II- Scurisation du primtre du rseau par un firewall

Projet de fin dtudes

II.1- Principe dun systme pare-feu

Fig. 2.2 : La solution firewall

Projet de fin dtudes