43 0 5MB
Chapitre 1 : PRESENTATION DU PROJET i.
Mise en place d'un réseau sans fil sécurisé pour les invitées et les employées
Un réseau sans fil est, comme son nom l'indique, un réseau dans lequel au moins deux terminaux (ordinateur portable, PDA, etc.) équipé d'un adaptateur wifi peuvent communiquer sans liaison filaire. Grâce aux réseaux sans fil, un utilisateur a la possibilité de rester connecté tout en se déplaçant dans un périmètre géographique plus ou moins étendu, c'est la raison pour laquelle on entend parfois parler de "mobilité". Les réseaux sans fil permettent de relier très facilement des équipements distants d'une dizaine de mètres à quelques kilomètres. De plus l'installation de tels réseaux ne demande pas de lourds aménagements des infrastructures existantes comme c'est le cas avec les réseaux filaires (creusement de tranchées pour acheminer les câbles, équipements des bâtiments en câblage, goulottes et connecteurs), ce qui a valu un développement rapide de ce type de technologies. En contrepartie se pose le problème de la réglementation relative aux transmissions radio-électriques. En effet, les transmissions radio-électriques servent pour un grand nombre d'applications (militaires, scientifiques, amateurs, ...), mais sont sensibles aux interférences, c'est la raison pour laquelle une réglementation est nécessaire dans chaque pays afin de définir les plages de fréquence et les puissances auxquelles il est possible d'émettre pour chaque catégorie d'utilisation. De plus les ondes hertziennes sont difficiles à confiner dans une surface géographique restreinte, il est donc facile pour un pirate d'écouter le réseau si les informations circulent en clair (c'est le cas par défaut). Il est donc nécessaire de mettre en place les dispositions nécessaires de telle manière à assurer une confidentialité des données circulant sur les réseaux sans fil. Actuellement, ces réseaux (sans fil) sont devenus une des piliers indispensable de chaque entreprise compris (les administrations publiques, les écoles, etc.). Dû ses caractéristiques. Ainsi que la sécurité de ses réseaux est maintenant réalisable grâce aux outils permettant une sécurité sans fil très fiable (chiffrement des données échangé, filtrage des paquets, etc.). Et d’après une étude faite par Cisco IT Case Study l’implémentation d’un réseau sans fil rend Les employés gagnent en moyenne près de 90 minutes par jour de temps productif, soit l’équivalent de plus de 24 000 dollars de bénéfices de productivité par utilisateur et par an.
ii.
Problématiques
Le réseau de l’école supérieure de technologie Salé (ESTS), comme n'importe quel autre réseau n'est pas sans faille en termes de sécurité car ses utilisateurs sont de diverses origines. Cela veut dire qu’il n’existe pas une séparation du réseau des employés qui ont une autorisation d’accéder à certain service au sein de notre réseau et les invités qui ont juste le droit d’accéder à Internet.
iii.
Objectifs Notre objectif est la mise en place d'un réseau sans fil sécurisé.
Ce réseau serait séparé en deux réseaux virtuelles l'un pour les invités et l'autre pour les employés. Le but de cette séparation est de garantir un premier niveau de sécurité, c'est d'éviter les interférences entre les invités et les employés car ces derniers ont des autorités plus élevés, en contrepartie les invités vont avoir droit à accéder à l'internet. La prochaine étape est la sécurisation de chaque réseau virtuel : Commençant par la sécurisation du réseau des employés grâce à un serveur d'authentification permettant d'identifier les utilisateurs sur le réseau et de définir leurs droits d'accès. Ce qui permet un contrôle d'accès de chaque utilisateur au sein du même réseau à travers l'attribution du droit d'accès grâce au serveur d'authentification. Après l'implémentation d'un portail captif au sein du réseau des invités ce qui permet de créer une passerelle entre le réseau interne et le réseau Internet. Ainsi que le portail sera doté de fonctionnalités d'authentification qui permettent d'identifier les usagers du service à des fins de traçabilité. Et comme l'accès à internet est partagé entre les deux réseaux, Alors l'implémentation d'un pare-feu est indispensable. Ce qui crée un système de filtrage d'adresses internet permettant d'éviter l'utilisation des sites indésirables. Un filtrage applicatif sera également mis en place afin de limiter l'utilisation de certains logiciels. N'oublions pas la supervision réseau, qui porte sur la surveillance de manière continue de la disponibilité des services en ligne, du fonctionnement, des débits, de la sécurité mais également du contrôle des flux. Ainsi que la supervision des applications permettant de connaître la disponibilité des machines en termes de services rendus en testant les applications hébergées par les serveurs.
Chapitre 2 : Etude technique Dans cette partie Nous allons étudier l’architecture réseau proposée par les encadrants, en proposant les meilleures solutions selon nos besoins. Et à travers une étude de marché, nous allons proposer des équipements convenables et les comparer. Enfin nous allons choisir l’équipement idéal pour remplacer l’existant. La figure ci-dessous représente l’architecture réseau.
i.
Etude de l’architecture réseau
L’architecture globale du réseau (Figure 1) Comme il est indiqué dans Figure 1 notre réseau va être séparé en deux réseaux virtuels VLAN 10 pour les employées et VLAN 20 pour les invitées. Chaque VLAN contient une point d’accès afin d’étendre notre réseau filaire en un réseau sans fil WLAN. Pour le VLAN 10 (les employées) : on a un serveur DHCP afin d’attribuer à chaque machine qui vient à se connecter les informations nécessaire pour qu’il puisse joigne le réseau. Ainsi qu’on a un serveur d’authentification avec une base de données MYSQL pour qu’on puisse authentifier les utilisateurs de notre réseau. Et un serveur de supervision pour une surveillance continue de la disponibilité du réseau. Pour le VLAN 20 (les invitées) : on a un Portail captif + firewall pour qu’on puisse contrôler l’accès à internet.
Les deux VLANs sont créé grâce à un switch manageable. Mais aussi un routeur pour le routage vers le réseau commun entre VLAN 10 et 20 qui est internet. Cette accès et bien contrôler par un firewall matériel qui existe entre le routeur de notre LANs et le point d’accès 3G ‘qui est pour accès à internet’.
ii.
Etude comparative des équipements a. Commutateur
Un commutateur réseau (en anglais switch), est un équipement qui relie plusieurs segments (câbles ou fibres) dans un réseau informatique et qui permet de créer des circuits virtuels. Et qui a comme rôle principal l’analyse des trames arrivant sur ses ports d'entrée et le filtrage des données afin de les aiguiller uniquement sur les ports adéquats (on parle de commutation ou de réseaux commutés). C’est-à-dire qu'il s'agit d'un élément actif agissant au niveau 2 du modèle OSI. a. Comment choisir un commutateur ? La différence s'explique par des performances et des fonctionnalités plus ou moins élevées. Par exemple, pour une utilisation domestique (mise en réseau de trois pc et d'une imprimante) un commutateur 5 ports non manageable suffit. Par contre, s'il s'agit de connecter 100 téléphones IP et 200 pc en réseau, on choisira un switch manageable avec des fonctionnalités de vlan, qos, ... et un niveau de performance adapté au besoin. b. Quels éléments prendre en compte dans le choix d'un switch ? Le premier critère à prendre en compte est bien évidemment le nombre de poste. C’est principalement le nombre de ports qui va déterminer le prix du Switch. Il est parfois difficile de prévoir l’avenir les prix peuvent rapidement s’envoler. Sachez qu’il est très d’augmenter le nombre de ports tout simplement en chaînant plusieurs Switch. Ce n’est pas très élégant mais ça fonctionne très bien et c’est parfaitement transparent. Le second est la vitesse du réseau : La vitesse requise par votre switch dépendra de la typologie de votre réseau informatique. - L'Ethernet : c'est le protocole "de base" permettant de se connecter à Internet. Sa vitesse peut aller jusqu'à 10Mbit/s. - Le Fast Ethernet : évolution de l’Ethernet, le fast Ethernet permet des transferts de données allant jusqu'à 100 Mbits/s. - Le Gigabit Ethernet : le Gigabit permet lui un taux de transfert de 1000 Mégabits par seconde.
Utilisation Usage internet / intranet, mail, conversation instantané Transfert de fichier léger (1-100 Mo), streaming Plusieurs PC et serveurs, transfert de fichier lourd
10 Mbits
Vitesse conseillée
100 Mbits 1 Gbits et plus
Le troisième critère est votre besoin d’administrer votre réseau. Certains Switch permettent de surveiller le trafic et ajuster des priorités. Il existe 2 types de switch : les switch non manageables et les switch manageables. Pour relier quelques ordinateurs entre eux, un switch non vite manageable suffira amplement. Passé 30 à 40 ordinateurs, la gestion "manuelle" peut vite devenir chronophage. L'administration par switch manageable se révèle alors indispensable. Vous pourrez surveiller votre réseau, effectuer des statistiques, mais aussi gérer les priorités au niveau trafic. Le Switch manageable est programmable à distance. Vous pourrez ainsi définir des autorisations ou des restrictions d'accès à des machines faisant partie d'un sous-réseau local ou VLAN (voir plus loin : technologie VLAN). c. Connectiques switch et fonctions avancées Le stack Le stack est une connectique permettant à un ensemble de Switchs interconnectés entre eux en "cascade" d'être reconnus comme une seule et même machine. Le module SFP ou ports GBIC Le module SFP ou GBIC est un module permettant de convertir le signal d'une fibre optique en un signal Ethernet gigabit. La fibre optique se généralisant dans les immeubles de bureau, cette conversion est de plus en plus utile. Le POE, ou comment remplacer une prise de courant par une prise réseau ! Le POE ou Power Over Internet permet d'alimenter en courant un appareil électrique relié au switch par un câble réseau. Le POE utilise pour ce faire deux fils inexploités par le câble et y fait passer une tension de 48 V. Autre avantage de cette technologie, un seul onduleur situé à la source du POE suffira à protéger l'ensemble des appareils alimentés par cette source de courant.
Le VLAN : Virtual LAN logique.
Le VLAN ou "réseau virtuel" est un ensemble de machines gérées de manière
Cette "logique" est définie par des critères administrateur (adresse IP, adresse MAC, ou autre protocole). L'administrateur peut autoriser ou restreindre la communication entre certains groupes d'utilisateurs connectés au même switch. La technologie VLAN permet ainsi d'accéder à un stade supérieur en terme de sécurité des données. Enfin, prenez en compte la marque. Globalement toutes les marques proposent des produits de qualité. Les ténors du marché que sont TP-Link, Netgear, Linksys… proposent des produits les plus innovants à des prix corrects.
b. Routeur Un routeur est un équipement d'interconnexion de réseaux informatiques permettant d'assurer le routage des paquets entre deux réseaux ou plus afin de déterminer le chemin qu'un paquet de données va emprunter. Les routeurs vont plus loin que les Switch : Tout d’abord, ils peuvent jouer le rôle de serveur DHCP (Dynamic Host Configuration Protocol). C’est le système qui assigne une adresse IP à chaque appareil connecté sur le réseau. Le routeur intègre un système NAT (Network Address Translator) qui permet d’assigner une liste d’adresse IP sur le réseau local (LAN). C’est grâce au NAT par exemple que vous pourrez assigner une adresse à votre serveur domotique pour qu’il ne change plus d’adresse lors d’un redémarrage. Enfin il intègre un Firewall pour protéger le LAN
c. Routeur sans fil Le principe d'un routeur sans fil est le même que celui d'un routeur classique, si ce n'est qu'il permet à des dispositifs sans-fil (stations Wifi par exemple) de se connecter aux réseaux auxquels le routeur est connecté par des liaisons filaires (généralement Ethernet).
a. Comment choisir un Routeur sans fil Choisir la bonne norme réseau Evoquons maintenant les caractéristiques et fonctionnalités qui semblent absolument nécessaires dans un routeur sans fil. Et là les normes de connectivité Wi-Fi sont importantes. Les normes 802.11g (débit max. 54 Mbit/s, portée intérieure ~25 m, portée extérieure ~75 m), 802.11n (débit max. 450 Mbit/s, portée intérieure ~50 m, portée extérieure ~125 m), et 802.11ac (débit max. 1300 Mbit/s, portée intérieure ~20 m, portée extérieure ~50 m) par exemple définissent le débit sans fil théorique maximum proposé par les routeurs sans fil, mais aussi leur portée. Le choix de la norme, au-delà du prix du matériel, va donc définir les applications qui transiteront par le réseau sans fil. Streamer de la vidéo tout en effectuant un backup de données avec du 802.11g risque par exemple d'être compliqué.
La sécurité des données sur les réseaux sans fil N'importe quel routeur que nous achetons doit embarquer au moins la norme WPA2 (Wi-Fi Protected Access Protocol). Mais la conséquence n'est que tous les appareils qui se connectent à notre réseau doivent également supporter cette norme de sécurité WPA2 pour fonctionner. La norme WPA peut faire l'affaire, mais elle n'est pas idéale. Evitons la norme WEP, facilement cassées par des outils que tout un chacun peut télécharger gratuitement. Audelà, n'oublions pas que notre réseau est aussi sécurisé que l'appareil le moins sécurisé qui y est connecté.
De combien de bandes avons-nous besoin ? Pendant des années, les fabricants ont vendu des routeurs dual-band, mais désormais ce sont les routeurs tri-bande qui ont la cote. Bi-bande (ou dual band) signifie que le routeur est équipé de deux émetteurs radio, une qui fonctionne sur une bande de fréquences du 2,4 GHz, et l'autre sur 5,0 GHz. Cela permet de mettre en place deux réseaux sans fil distincts, pour accueillir plus de monde par exemple. Les routeurs tri-bande comprennent une deuxième bande de 5,0 GHz. Bien pratique entreprise pour améliorer encore la disponibilité du réseau. Sachez cependant lire les petits caractères des notices. Certains routeurs bi-bande ne peuvent faire fonctionner qu'une fréquence à la fois.
La fonctionnalité Smart Wireless Management L'un des défis de la gestion du réseau sans fil est la question des interférences. Certaines solutions utilisent des processus dits « intelligents » qui identifient les appareils et les zones mortes ou moins couvertes. Ils ciblent alors ces appareils pour leur garantir une connexion. De quoi améliorer la couverture de votre réseau sans fil sans passer par des amplificateurs de signal ou multiplier les points d'accès sans fil.
Chapitre 3 : Les serveurs d’authentification L’authentification est une procédure qui consiste, pour un réseau de communication, à vérifier l’identité d’une entité (personne, groupe, ordinateur…), afin d’autoriser l’accès de cette dernière à des ressources (systèmes, réseaux, applications…). L’authentification, dans son sens technologique, permet donc de valider l’authenticité de l’entité en question. Alors que l’identification revient simplement à soumettre une identité que l’authentification est à même de prouver. Au niveau d’un réseau sécurisé, un utilisateur non-identifié ne doit pas pouvoir se connecter ; on doit alors utiliser un protocole d’authentification pour lui vérifier l’identité des entités autorisées à utiliser les ressources protégées. Sécuriser le système d’information est de plus en plus difficile, surtout à l’heure où le nombre d’applications et le degré d’ouverture vers l’extérieur croissent. Définir les entités autorisées à accéder au système d’information constitue l’une des bases de la sécurité. Une telle procédure, dite contrôle d’accès, est étroitement liée à l’authentification dans la mesure où l’identité des entités autorisées doit être vérifiée afin de faire face aux usurpateurs. L’authentification englobe souvent des concepts et des approches différentes. Il y a plusieurs moyens d’authentification, qui sont généralement regroupés en trois grandes catégories :
Ce que l’on connaît : un mot de passe, un code PIN … Ce que l’on a : une carte à puce, un certificat … Ce que l’on est : la biométrie.
L’authentification par mot de passe est utilisée en grande majorité dans les systèmes sécurisés, car elle est la plus simple à mettre en place. Nous verrons néanmoins les autres possibilités d’authentification et les avantages. Sachant que les services définissent l’ensemble des opérations accessibles par des protocoles, les services d’authentifications regroupent donc l’ensemble des opérations pour s’authentifier, quel que soit le protocole et quelle que soit la couche OSI.
I.
Fonctionnement général du serveur d’authentification
Ce protocole répond au modèle AAA. Ces trois initiales résument en quelques mots les fonctions de ce protocole:
Authentification : Ce processus permet de garantir que la personne qui essaye d’accéder à Internet possède un compte valide. Le mot de passe va être comparé et validé en fonction des entrées de la base de données. Autorisation : Processus qui va permettre de définir les services réseau dont les utilisateurs ont le droit d’accès. Par exemple, la Croix-Rouge veut autoriser les privilèges administrateur à certain groupe de l’Active Directory ou alors spécifier une plage d’adresse IP pour autoriser les clients Radius. Accounting : ou Comptabilisation : Processus qui va permettre à celui qui gère le serveur Radius d’avoir un compte rendu des connexions faites sur le réseau, on parle souvent de «logs» les fichiers contenant ces informations.
II.
Avantages d'utilisation du serveur d’authentification
Une implication minime pour les utilisateurs
Une fois le certificat installé aucune autre action n'est nécessaire. Lorsqu'un utilisateur tente de se connecter ou d'accéder à un réseau ou à une application, il doit sélectionner son certificat dans une liste donnée. Ce qui signifie : Processus d'intégration et de formation minimal Nombre réduit de demandes d'assistance technique
Aucun équipement supplémentaire nécessaire
A l'inverse des autres solutions, y compris les mots de passe uniques et la biométrie, aucun équipement supplémentaire n'est nécessaire pour utiliser un certificat numérique. Le certificat est conservé sur l'ordinateur de l'utilisateur, il n'y a donc aucun risque d'oubli ou de perte du jeton d'authentification indispensable pour la création d'un mot de passe unique. Les certificats numériques peuvent être exportés sur d'autres appareils Ce qui signifie : Aucun jeton d'authentification à distribuer ou gérer Aucun plan de secours à mettre en place si oubli ou perte du jeton Les utilisateurs peuvent travailler sur plusieurs appareils sans interruptions
Une solution facile à gérer
La plupart des solutions d'authentification au moyen d'un certificat sont gérables à partir d'une plate-forme cloud qui facilite l'émission, le renouvellement et la révocation des certificats. Ce qui signifie : Fonctionne avec très peu de ressources internes Identifiants faciles à émettre ou révoquer selon le renouvellement du personnel Solution évolutive s'adaptant à la croissance de l'entreprise
Une reconnaissance automatique des certificats numériques par la plupart des applications et des réseaux des entreprises
La plupart des applications et des réseaux des entreprises reconnaissent les certificats numériques X.509, le format standard des certificats numériques à clé publique. Cela signifie que quelques changements minimes de configuration suffisent pour activer l'authentification au moyen d'un certificat pour de nombreux cas d'utilisation, tels que la connexion aux systèmes Windows, l'accès aux applications Google, à Salesforce ou à SharePoint, ou encore l'accès à des serveurs à distance grâce aux portails Citrix ou SonicWall.
Ce que cela signifie pour vous : Implémentation ne nécessitant qu'une configuration minimale Authentification à 2 facteurs facile à activer pour de nombreux réseaux et applications Solution idéale pour les employés travaillant à distance ou sur leurs appareils portables
III.
Les services d’authentification applicatifs
RADIUS
Schéma du Serveur d’Authentification Radius (Figure 2) Définition Le protocole Radius (Remote Authentification Dial-In User Service) est un protocole d’authentification standard basé sur un système client/serveur qui permet de sécuriser des réseaux contre des accès à distance non autorisés. C’est le protocole d’authentification le plus utilisé et le plus implémenté par les équipements réseaux et notamment par les FAI (Fournisseur d’accès à internet) qui utilisent des serveurs Radius avec des connexions par ligne téléphonique (numérique ou analogique). Fonctionnement Le fonctionnement de RADIUS est basé sur un scénario proche de celui-ci : Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance, Le NAS achemine la demande au serveur RADIUS, Le serveur RADIUS consulte la base de données d'identification afin de connaître le type de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit une autre méthode d'identification est demandée à l'utilisateur. Le serveur RADIUS retourne ainsi une des quatre réponses suivantes pour ce qui est de l’authentification : ACCEPT : l'identification a réussi. REJECT : l'identification a échoué. CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part de l'utilisateur et propose un défi « challenge ».
CHANGE PASSWORD : le serveur RADIUS demande à l'utilisateur un nouveau mot de passe. Suite à cette phase dite d'authentification, débute une phase d'autorisation où le serveur retourne les autorisations de l'utilisateur. Dans le cas des implémentations de RADIUS, ces deux étapes d’authentification et d’autorisation sont regroupées en une seule phase.
Avantages Sécurité Fiabilité Centralisation de l’authentification Inconvénients o Lourd à mettre en place o Limité à 254 octets par attribut
Pourquoi Radius Les avantages d'un serveur RADIUS sur l'efficacité d'un réseau entier sont vastes. Bien que certaines entreprises ne connaissent pas les avantages d'un serveur RADIUS par opposition à une clé pré-partagée, d'autres ont depuis longtemps bénéficié de la vitesse accrue des serveurs RADIUS, ainsi que de leur capacité à renforcer la sécurité, Pour personnaliser les restrictions basées sur l'utilisateur. Voici quelques-uns des principaux avantages d'un serveur RADIUS: Chaque session utilisateur individuelle est cryptée de façon unique, ce qui empêche les autres utilisateurs d'acquérir des informations privées. Cela diffère d'un réseau PSK, dans lequel chaque utilisateur partage la même clé de cryptage. Un utilisateur ou un dispositif particulier peut facilement être dés autorisé en désactivant la clé de cryptage unique correspondante. Cette simple désactivation garantit que l'utilisateur dés autorisé ne peut accéder au réseau avec aucune autre clé et n'affecte pas les clés de sécurité pour les autres utilisateurs. Les autorisations réseau, telles que la stratégie de pare-feu, la planification et les paramètres de Qos, peuvent être attribuées dans un profil d'utilisateur particulier, en fonction de l'identité de l'utilisateur. Un serveur RADIUS ne nécessite pas de puissance de serveur significative et peut être installé de manière à ce qu'il corresponde le mieux à vos besoins sans changer votre système actuel.
Installation et configuration
Installation du packages nécessaire pour free radius sur Ubuntu Server (Figure 3)
Configuration d’un mot de passe pour le serveur MySQL (Figure 4)
Configuration de la base de données pour phpmyadmin (Figure 5)
Fichier de configuration manuel des clients radius ‘point d’accès’ (Figure 6)
Configuration du fichier de connexion avec le serveur MySQL et la base de données radius (Figure 7)
Création d’une base de données qui porte le même nom configuré dans le fichier qui précède ‘radius’ (Figure 8)
Copier des tables du serveur Radius sur la base de données qu’on a créé ‘radius’ (Figure 9)
La base de données ‘radius’ après la copie des tables du serveur Radius (Figure 10)
La table nas pour la configuration des clients radius ‘les point d’accès qui vient d’utiliser wpa2/entreprise comme protocole de chiffrement’ (Figure 11) La table nas contient des champs obligatoires comme nasname qui est l’adresse IP du client radius, ainsi que le port qui est en général 1812. Et le plus important c’est le secret qui une clé partager entre le client radius et le serveur.
La table radcheck pour la configuration des utilisateurs de notre réseau (Figure 12)
TACACS Définition TACACS+ (Terminal Access Controller Access Control System Plus) est un protocole de sécurité inventé dans la fin des années 90 par CISCO Systems. Il permet de vérifier l’identité des utilisateurs distants mais aussi, grâce au modèle AAA, d’autoriser et de contrôler leurs actions au sein du réseau local. Il a fini par remplacer les protocoles TACACS et XTACACS, TACACS+ n’est pas basé sur ces derniers TACACS+ est un serveur d’authentification permettant de centraliser les autorisations d’accès (Les mots de passe utilisés sont gérés dans une base de données centrale). Fonctionnement : Authentification TACACS accomplit l’authentification via un identifiant et un mot de passe fourni par l'utilisateur. TACACS sépare les processus d'authentification, d'autorisation et de comptabilité, offrant un niveau de granularité et de flexibilité ne trouve pas dans RADIUS. TACACS chiffre également le nom d'utilisateur et mot de passe, offrant un niveau de sécurité plus élevé. Autorisation TACACS fournit une gestion centralisée d'autorisation et de renforcement de la sécurité en vérifiant chaque commande émise contre la base de données de configuration de l'autorisation. Cela garantit que l'utilisateur est seulement autorisé à exécuter des commandes et à émettre. Cette méthode nécessite plus de bande passante et parce que TACACS utilise le protocole TCP, les frais généraux inhérents. Cela pourrait provoquer des problèmes de performances si TACACS est largement utilisé. Comptables Auditeurs réseau nécessitent des parcours ludiques pour faire leur travail correctement, ce qui signifie qu'ils ont besoin de journaux d'activité. Inconvénient majeur de TACACS est qu'il manque des services de comptabilité. Cet inconvénient critique peut être surmonté en utilisant TACACS + ou XTACACS, versions améliorées qui offrent des services de comptabilité. En plus d'ajouter la fonctionnalité de comptabilité de TACACS, TACACS + est soutenu par de nombreux fournisseurs d'équipement de réseau. Cependant, parce que la base de données de l'utilisateur ne réside pas sur le serveur TACACS +, la performance peut être lente. TACACS étendues (XTACACS) fournit également des services de comptabilité et de soutien de protocole multiple, et n'est pas propriétaire, comme c'est TACACS +.
Description d'un paquet TACACS+ La taille de l’entête d’un paquet TACACS+ est de 12 Octet
Paquet TACACS+ (Figure 13)
Major version : donne le Numéro de la version Majeure de TACACS+. Minor version : donne le Numéro de la version Mineure de TACAS+. Type : définit s’il s’agit d’un paquet d’authentification, d’autorisation, ou de comptabilisation (conformément à AAA). Seq_no : numéro de séquence s’incrémentant de 1 pour chaque paquet envoyé lors d’une session. Flags : différents drapeaux permettant entre autre de crypter le paquet entier grâce à l’algorithme MD5. Length : taille du paquet. Gestion de la session TACACS+ : Le protocole TACACS+ utilise la notion de session pour ses communications entre le client et le serveur. Une session ne contient qu’un échange qui peut être un échange d’authentification, d’autorisation, ou de rapports. Les échanges TACACS+ peuvent éventuellement être chiffrés (l’identifiant des sessions est alors utilisé pour chiffrer l’intégralité des paquets). Mécanismes d’authentification TACACS+ : Les implémentations TACACS+ peuvent aussi bien utiliser des techniques d’authentification classiques type login/mot de passe statique, ou bien des procédés plus évolués à base de challenge avec authentification réciproque, par exemple.
Mécanismes d’autorisation TACACS+ : Lors d’une nouvelle demande d’authentification, le client émet un message START au serveur décrivant le type d’authentification à utiliser. En retour, le serveur envoie un message REPLY, indiquant que l’authentification est terminée, ou bien qu’elle doit continuer, auquel cas, le client récupère l’information manquante et la retourne dans un message CONTINUE. Mécanismes de rapport TACACS+ : Le type de requête provenant du serveur peut être une demande GETDATA, GETUSER ou GETPASS. GETDATA est une requête générique de récupération d’information du profil utilisateur. Lors d’un accès à un service particulier, le client ouvre une session d’autorisation. Cette session consiste juste en l’échange d’une paire de messages (Requête / Réponse). La requête décrit l’authentification pour l’utilisateur ou le processus qui demande l’accès au service. La réponse du serveur contient un ensemble d’attributs pouvant restreindre ou modifier les actions du client, plutôt qu’une simple réponse affirmative de type oui/non.
KERBEROS Définition Kerberos est un protocole d'authentification réseau créé par MIT qui utilise une cryptographie à clés symétriques pour authentifier les utilisateurs auprès des services réseau, éliminant par là même la nécessité de transmettre des mots de passe sur le réseau. Lorsque les utilisateurs s'authentifient auprès des services réseau au moyen de Kerberos, les utilisateurs non-autorisés tentant d'intercepter des mots de passe en surveillant le trafic sur le réseau voient leurs desseins contrecarrés. Fonctionnement Maintenant, détaillons ce processus afin de bien comprendre les mécanismes de sécurité de Kerberos. Note : Le chiffrement sera noté comme suit Kclé {partie chiffrée par la clé}
L’utilisateur s’authentifie en entrant un couple login/password (généralement à l’ouverture de session sur la machine). Le client Kerberos de la machine dérive à l’aide d’un algorithme de hash le mot de passe de l’utilisateur en clé secrète Kutilisateur. Le client Kerberos va maintenant contacter l’AS pour authentifier l’utilisateur. Il envoie pour cela à l’AS l’identité de l’utilisateur (en clair) ainsi que Kutilisateur {message authentifiant définie dans le protocole Kerberos, timestamp}. L’utilisateur n’aura pas à renouveler son authentification durant plusieurs heures (variable selon les réglages).
Remarque : Le mot de passe n’est pas transmis à travers le réseau. Il sert uniquement à générer Kutilisateur. De même, Kutilisateur servira à chiffrer une partie du message et ne sera jamais transmise à travers le réseau. Il n’y a donc pas de possibilité d’interception. Seule une compromission de la machine cliente ou un brute force peut permettre à une personne malveillante de récupérer ces informations.
L’AS lit l’identité de l’utilisateur (envoyé en clair). L’AS connait le mot de passe de l’utilisateur, car c’est lui qui gère la base de données utilisateur. Il peut donc obtenir Kutilisateur. Grâce à Kutilisateur il va déchiffrer le message authentifiant envoyé par l’utilisateur. Si une fois celui-ci déchiffré il correspond, c’est qu’il a bien été chiffré avec Kutilisateur. L’AS vérifie ensuite le timestamp pour éviter tout rejoue de l’authentification.
L’AS retourne maintenant au client Kutilisateur {TGT, KsessionTGS}. C’est-à-dire un Ticket TGT et une clé de session entre l’utilisateur et le TGS, le tout chiffré par la clé secrète de l’utilisateur pour que personne n’ait accès à ces informations. Remarque : Kutilisateur n’est connu que du serveur et du client et n’a jamais été communiqué à travers le réseau. Cette communication ne peut donc être lue par aucune tierce partie malveillante.
L’utilisateur déchiffre la réponse de l’AS. Il récupère le TGT et la clé de session pour communiquer avec le TGS. Le TGT est un ticket contenant trois éléments chiffrés avec Ktgs : une date d’expiration, le nom de l’utilisateur et KsessionTGS. Donc TGT = Ktgs {date d’expiration, nom d’utilisateur, KsessionTGS}. L’utilisateur envoie au TGS : le TGT, un KsessionTGS {timestamp} (permet d’assurer l’unicité de la requête, antirejeu) ainsi que le service auquel il souhaite accéder. Cet envoi correspond à une demande d’accès à un service donné.
Remarque : le TGT n’est pas lisible par l’utilisateur puisqu’il est chiffré avec la clé secrète Ktgs connue uniquement de l’AS et du TGS.
Grâce au TGT, le TGS connait l’identité du sujet et la clé de session à utiliser pour chiffrer la communication avec l’utilisateur. Il vérifie grâce à KsessionTGS la valeur du timestamp (permet d’éviter le rejoue et de signer en quelque sorte la requête de l’utilisateur). En fonction des droits du sujet, il va accepter ou refuser la demande d’accès au service.
Dans le cas où le sujet possède les droits d’accès au service, le TGS va lui envoyer KsessionTGS {timestamp, Ksession, service à joindre, TicketService}. Le TicketService est un ticket à transmettre au service pour assurer la connexion avec celui-ci. TicketService = Kservice {Ksession, identité sujet, date d’expiration}. Remarque : KsessionTGS a été transmise au TGS via le TGT, donc de manière sécurisée. Ainsi, seuls le TGS, l’utilisateur et l’AS (fournis Ksession) connaissent la clé. Cette communication ne pourra toujours pas être lue par une personne externe au procédé.
Le sujet déchiffre la réponse du TGS. Il transmet ensuite TicketService au service pour initialiser la connexion. TicketService = Kservice {Ksession, identité sujet, date d’expiration}. Remarque : TicketService est chiffré avec Kservice une clé secrète connue uniquement du service et du TGS. L’utilisateur ne peut donc pas lire ou modifier son contenue.
Le service déchiffre TicketService et récupère Ksession. Il renvoie Ksession {timestamp}.
Le sujet déchiffre le timestamp, vérifie que le temps écoulé entre l’envoi et la réception de la réponse n’est pas trop long. Ksession {timestamp}. Remarque : L’utilisation de timestamp permet de s’assurer que les parties connaissent la clé et d’éviter qu’une personne mal intentionnée rejoue une séquence d’accès intercepté.
Les versions du Kerberos version1-2-3 Les versions 1, 2 et 3 du protocole sont internes au MIT et auront servi à expérimenter de nouveaux concepts, pour finalement concevoir un système stable. Elles sont donc plutôt considérées comme des versions de test du protocole. Version 4 Des origines à la version 4 Mise à disposition le 24 janvier 1989, la première version publique du protocole a été rapidement approuvée et mise en œuvre par plusieurs concepteurs de systèmes d'exploitation. En réponse à la législation américaine leur interdisant l'exportation de leur produit, en particulier à cause de l'utilisation de DES (algorithme de cryptographie), une version spéciale dédiée à l'exportation a été conçue. Surnommée Bone, elle ne contient donc plus aucun code de cryptage. Dans l'université australienne Bond, Errol Young développe sa propre implémentation de l'algorithme DES et l'intègre à la version Bones. Cela va donner eBones qui, développée en dehors des Etats- Unis, ne tombe plus sous sa législation et peut être librement exportée. Plusieurs implémentations du protocole Kerberos 4 ont été développées. Même si certaines sont encore assez activement utilisées, la version 4 de l'implémentation du MIT est dorénavant en phase de maintenance, et peut être considérée comme terminée. Il est aujourd'hui recommandé d'utiliser la version 5, dernière en date. Version 5 La version 5 du protocole Kerberos a été développée afin d'apporter de nouvelles fonctionnalités et de nouvelles améliorations du point de vue de la sécurité. La nouveauté la plus importante pour la pérennité du protocole est sa documentation dans la RFC1510. Ont été améliorés : – la délégation des tickets – des types de cryptage extensibles – des authentifications inter- royaumes améliorées
Avantages et inconvénients Avantages La plupart des services réseau conventionnels utilisent des procédures d'authentification basées sur des mots de passe. Dans ce cadre, un utilisateur doit s'authentifier auprès d'un serveur réseau précis en fournissant son nom d'utilisateur et son mot de passe. Regrettablement, la transmission des informations d'authentification pour de nombreux services s'effectue de façon non-cryptée. Pour qu'une telle procédure soit sécurisée, il est essentiel que le réseau soit inaccessible aux utilisateurs externes d'une part et d'autre part, que tous les ordinateurs et utilisateurs du réseau soient dignes de confiance. Même si c'est le cas, une fois qu'un réseau est connecté à l'Internet, on ne peut plus supposer que le réseau soit sécurisé. Il suffit à tout pirate obtenant l'accès au réseau d'utiliser un simple analyseur de paquets (aussi connu sous le nom de renifleur de paquets) pour intercepter des noms d'utilisateurs et des mots de passe envoyés en texte clair. Dans de telles
circonstances, les comptes utilisateur et l'intégrité de toute l'infrastructure de sécurité sont remis en cause. Le but essentiel de Kerberos est d'éviter la transmission de mots de passe non-cryptés à travers le réseau. Lorsque Kerberos est utilisé correctement, il élimine de façon efficace la menace que représentent les renifleurs de paquets pour un réseau. Inconvénients
La migration de mots de passe utilisateur d'une base de données de mots de passe UNIX standard, comme /etc/passwd ou /etc/shadow, vers une base de données de mots de passe Kerberos peut être relativement longue car il n'existe aucun mécanisme automatique permettant d'effectuer cette tâche.
2Kerberos n'est que partiellement compatible avec le système d'authentification PAM (de l'anglais Pluggable Authentication Modules) utilisé par la plupart des serveurs exécutant Red Hat Enterprise Linux.
Kerberos suppose certes que tout utilisateur soit digne de confiance mais utilise un hôte non-sécurisé sur un réseau non-sécurisé. Son but primaire est d'empêcher que des mots de passe en texte clair ne soient envoyés à travers ce réseau. Toutefois, si quelqu'un d'autre que l'utilisateur lui-même a physiquement accès à l'hôte qui émet les tickets utilisés pour l'authentification — appelé centre de distribution de clés (ou KDC de l'anglais Key Distribution Center) — l'ensemble du système d'authentification Kerberos est menacé d'être compromis.
Pour qu'une application utilise Kerberos, ses sources doivent être modifiées afin d'effectuer les appels appropriés dans les bibliothèques Kerberos. Les applications modifiées de la sorte sont considérées comme étant kerberisées. Pour certaines applications, ceci peut poser de nombreux problèmes en raison de la taille et de la conception de l'application. Pour d'autres applications qui ne sont pas compatibles, des modifications doivent être apportées à la manière selon laquelle les serveurs et les clients communiquent entre eux. Là encore, il se peut que des modifications importantes soient nécessaires au niveau de la programmation. Les applications dont les sources ne sont pas accessibles et dont la prise en charge de Kerberos n'est pas disponible par défaut sont celles posant généralement le plus de problèmes.
Avec une solution Kerberos, c'est tout ou rien. Une fois que Kerberos est utilisé sur le réseau, tout mot de passe non-crypté transmis à un service non- kerberisé risque d'être intercepté. Dans de telles circonstances, le système ne tirera aucun avantage de l'utilisation de Kerberos. Afin de sécuriser votre réseau avec Kerberos, vous devez soit utiliser des versions kerberisées de toutes les applications client/serveur qui envoient des mots de passe en texte clair, soit n'utiliser absolument aucune application client/serveur.
Installation et configuration Installation Pour installer Kerberos : apt-get sudo apt-get install krb5-kdc krb5-admin-server
Configuration Lors de la configuration de Kerberos, installez tout d'abord le serveur. S'il est nécessaire de configurer des serveurs esclaves, les informations détaillées relatives à la configuration de relations entre les serveurs maîtres et esclaves sont présentées fournies dans le guide d'installation de Kerberos V5 (Kerberos 5 Installation Guide) qui se trouve dans le répertoire /usr/share/doc/krb5-server-5 Pour installer un serveur Kerberos, suivez les étapes suivantes : 1. Avant d'installer Kerberos 5, assurez-vous que la synchronisation de l'horloge et que le DNS fonctionnent sur tous les ordinateurs clients et serveurs. Prêtez une attention toute particulière à la synchronisation du temps entre le serveur Kerberos et ses différents clients. Si l’horloge du serveur et celle des clients diffèrent de plus de cinq minutes (cette durée par défaut est configurable dans Kerberos 5), les clients Kerberos ne pourront pas s'authentifier auprès du serveur. Cette synchronisation de l'horloge est nécessaire pour empêcher un agresseur d'utiliser un ancien ticket afin de se faire passer pour un utilisateur valide. 2. Installez les paquetages krb5-libs, krb5-server et krb5-workstation sur la machine choisie pour l'exécution du KDC. Cette machine doit bénéficier d'une sécurité très élevée — dans la mesure du possible, elle ne devrait exécuter aucun service autre que le KDC. Si une interface utilisateur graphique (ou GUI) est nécessaire pour l'administration de Kerberos, installez le paquetage gnome-kerberos. Celui-ci contient krb5, un outil graphique permettant la gestion des tickets. 3. Éditez les fichiers de configuration /etc/krb5.conf et /var/kerberos/krb5kdc/kdc.conf afin qu'ils correspondent aux mappages nom de zone et domaine-à-zone. Une simple zone (aussi appelée realm) peut être construite en remplaçant des instances de EXAMPLE.COM et example.com par le nom de domaine correct — en vous assurant de bien respecter le format approprié des noms contenant des lettres majuscules et de ceux avec des minuscules — et en remplaçant le KDC kerberos.example.com par le nom de votre serveur Kerberos. Par convention, tous les noms de realm sont en lettres majuscules et tous les noms d'hôtes et de domaines DNS sont en lettres minuscules. Pour obtenir des informations plus
détaillées sur les différents formats de ces fichiers, consultez leurs pages de manuel respectives. 4. Créez la base de données en utilisant l'utilitaire kdb5_util à partir de l'invite du shell : /usr/kerberos/sbin/kdb5_util create -s 5. La commande create crée la base de données qui stockera les clés pour votre realm Kerberos. L'option -s permet la création forcée d'un fichier stash dans lequel la clé du serveur maître est conservée. En l'absence d'un fichier stash à partir duquel la clé peut être lue, le serveur Kerberos (krb5kdc) enverra une invite pour que l'utilisateur saisisse le mot de passe du serveur maître (qui permet de recréer la clé) chaque fois qu'il est lancé. 6. Éditez le fichier /var/kerberos/krb5kdc/kadm5.acl. Ce fichier est utilisé par kadmind d'une part afin de déterminer les éléments principaux devant avoir un accès administratif à la base de données de Kerberos et d'autre part, afin de définir leur niveau d'accès. Une seule ligne suffit à la plupart des sociétés, comme dans l'exemple ci-dessous : */[email protected] * 7. La plupart des utilisateurs seront représentés dans la base de données par un seul principal (avec une instance NULL ou vide, tel que [email protected]). Avec cette configuration, les utilisateurs ayant un second principal avec une instance admin (par exemple, niggas/[email protected]) peuvent exercer un pouvoir total sur la base de données Kerberos du realm. 8. Une fois que kadmind est lancé sur le serveur, tout utilisateur peut accéder à ses services en exécutant kadmin sur un client ou serveur quelconque du realm. Toutefois, seuls les utilisateurs spécifiés dans le fichier kadm5.acl peuvent modifier le contenu de la base de données, à l'exception du changement de leur propre mot de passe. Remarque
L'utilitaire kadmin communique avec le serveur kadmind sur le réseau et utilise Kerberos pour effectuer l'authentification. Pour cette raison, il est nécessaire que le premier principal existe avant d'effectuer une connexion au serveur sur le réseau afin de l'administrer. Pour créer le premier principal, utilisez kadmin.local, une commande conçue spécifiquement pour être utilisée sur le même hôte que le KDC et qui ne nécessite pas Kerberos pour l'authentification.
9. Tapez la commande kadmin.local suivante sur terminal KDC afin de créer le premier élément principal : /usr/kerberos/sbin/kadmin.local -q "addprinc username/admin"
10. Lancez Kerberos à l'aide des commandes suivantes : /sbin/service krb5kdc start /sbin/service kadmin start /sbin/service krb524 start 11. Ajoutez des principaux pour les utilisateurs à l'aide de la commande addprinc avec kadmin. Les commandes kadmin et kadmin.local sont des interfaces de ligne de commande vers le KDC. En tant que telles, de nombreuses commandes sont disponibles après le lancement du programme kadmin. Reportezvous à la page de manuel de kadmin pour obtenir de plus amples informations. 12. Vérifiez que le KDC émet bien des tickets. Tout d'abord, exécutez kinit pour obtenir un ticket et stockez-le dans un fichier de cache de certificats d'identité. Utilisez ensuite klist pour afficher la liste des certificats d'identité présents dans votre cache et utilisez kdestroy pour détruire le cache et les certificats qu'il contient. Remarque
Par défaut, kinit tente une authentification en utilisant le même nom d'utilisateur que celui servant à la connexion au système (pas le serveur Kerberos). Si ce nom d'utilisateur ne correspond pas à un principal de la base de données Korberos, kinit émet un message d'erreur. Dans ce cas, donnez à kinit le nom du bon principal en l'insérant comme argument sur la ligne de commande (kinit ).
Une fois les étapes ci-dessus accomplies, le serveur Kerberos devrait être opérationnel.
IV.
Conclusion
Exemple de trafic TACACS+ (Figure 13)
Exemple de trafic RADIUS (Figure 14)
Exemple de trafic KERBEROS (Figure 15)
V.
Solution choisie Après une étude comparative des trois serveurs d’authentification RADIUS, KERBEROS et TACACS+. On a choisi RADIUS en raison de sa simplicité, rapidité ainsi qu’il est un outil très puissant en cas des petite et moyenne entreprise. Ce qui compatible avec notre cas. N’oublions pas que RADIUS est un outil qui ne demande pas beaucoup de ressource en termes de matériel ou logiciel ce qui lui donne un grande avantage d’être le serveur d’authentification principale dans notre réseau.
Chapitre 4 : Les portails captifs Dans cette partie en détaillera plus la notions de portal captif qu’est-ce que c’est, pourquoi on l’utilise (les fonctionnements des portal captif), les avantages et l’inconvénient
I.
Le portal captif qu’est-ce que c’est ?
Un portail captif est un élément matériel ou software qui vient s’intégrer dans votre réseau et qui, pour chaque nouvelle connexion va rediriger les utilisateurs vers une page d’accueil ou ils devront entrer un nom d’utilisateur et un mot de passe. Une fois ces informations récupérés, le portail captif comme alcasar.net et pfsense.org les stocke sur le serveur et autorise la connexion. Au-delà de l'authentification, les portails captifs permettent d'offrir différentes classes de services et tarifications associées pour l'accès Internet (Par exemple: Wifi gratuit, filaire payant, 1 heure gratuite,...). Cela est obtenu en interceptant tous les paquets quelles que soient leurs destinations jusqu'à ce que l'utilisateur ouvre son navigateur web et essaie d'accéder à Internet. Lors de l'établissement de la connexion, aucune sécurité n'est activée. Cette sécurité ne sera active que lorsque l'ordinateur connecté tentera d'accéder à Internet avec son navigateur web. Le portail captif va, dès la première requête HTTP, rediriger le navigateur web afin d'authentifier l'utilisateur, sans quoi aucune demande ne passera au-delà du serveur captif. Une fois l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci se voit autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de la durée fixée, l'utilisateur se verra redemander ses identifiants de connexions afin d'ouvrir une nouvelle session. Ce système offre donc une sécurité du réseau mis à disposition, il permet de respecter la politique de filtrage web de l'entreprise grâce à un module proxy et permet aussi grâce à un firewall intégré d'interdire l'accès aux protocoles souhaités.
II.
Les portails captif comment se fonctionne
Schéma général d’un portail captif (Figure 16)
Le client se connecte au réseau par l'intermédiaire d'une connexion filaire ou au point d'accès pour du wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les paramètres de la configuration du réseau. A ce moment-là, le client a juste accès au réseau entre lui et la passerelle, cette dernière lui interdisant, pour l'instant, l'accès au reste du réseau. Lorsque le client va effectuer sa première requête de type web en HTTP ou HTTPS, la passerelle le redirige vers une page web d'authentification qui lui permet de s'authentifier grâce à un login et un mot de passe. Cette page est cryptée à l'aide du protocole SSL pour sécuriser le transfert du login et du mot de passe. Le système d'authentification va alors contacter une base de données contenant la liste des utilisateurs autorisés à accéder au réseau. Enfin le système d'authentification
Fonctionnement d’un portail captif (Figure 17) Le client se connecte au réseau par l'intermédiaire d'une connexion filaire ou au point d'accès sans fil pour du wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les paramètres de la configuration du réseau. A ce moment-là, le client a juste accès au réseau entre lui et la passerelle, cette dernière lui interdisant, pour l'instant, l'accès au reste du réseau.
Lorsque le client va effectuer sa première requête de type web en HTTP ou HTTPS, la passerelle le redirige vers une page web d'authentification qui lui permet de s'authentifier grâce à un login et un mot de passe. Cette page est cryptée à l'aide du protocole SSL pour sécuriser le transfert du login et du mot de passe. Le système d'authentification va alors contacter une base de données contenant la liste des utilisateurs autorisés à accéder au réseau. Enfin le système d'authentification indique, plus ou moins directement selon les portails captifs, à la passerelle que le couple MAC/IP du client est authentifié sur le réseau. Finalement le client est redirigé vers la page Web qu'il a demandé initialement; le réseau derrière la passerelle lui est dorénavant accessible. Le portail captif, grâce à divers mécanismes comme une fenêtre pop- up sur le client rafraîchie à intervalles réguliers ou des requêtes Ping vers le client, est en mesure de savoir si l'utilisateur est toujours connecté au réseau. Au bout d'un délai d'absence sur le réseau, le portail captif va couper l'accès à cet utilisateur.
III.
Les avantages de portail captif
L'avantage majeur du portail captif par rapport au 802.1x (Radius, Taccas) est pour le client : il doit uniquement disposer d'un navigateur Web supportant le SSL. Le portail captif est donc facile à implémenter du côté client, contrairement au 802.1x (Radius, Taccas…) qui nécessite un logiciel particulier sur chaque poste.
Limiter l’utilisation de la bande passante : La fourniture d’Internet gratuitement ou de façon onéreuse est un nouveau service rendu à votre clientèle. Cependant, lorsque le nombre d’utilisateur simultané est important, il faut freiner l’utilisation du réseau car la bande passante disponible de par la technologie ADSL, est limitée. Pour éviter les abus, il faut impérativement limiter le temps de connexion avec des tickets de durée variable mais maîtrisée. En hôtellerie de plein air, nous préconisons de faire payer la connexion Internet. Le coût serveurs/matériels L'implémentation du 802.1x requiert du matériel compatible. Cette architecture représente donc un coût supplémentaire par rapport à du matériel « classique ». Le portail captif présente l'avantage de reposer sur des serveurs « classiques » ou même d'être embarqué dans du matériel de type routeur (il existe des codes binaires gratuits pour les routeurs Linksys par exemple). Il ne remet donc pas en cause l'infrastructure existante, ce qui se traduit par des coûts plus faibles. De plus, il existe des solutions de portail captif gratuites (comme par exemple NoCatAuth qui sera étudié par la suite). Ainsi, l'utilisation des portails captifs nécessite moins de complexité dans les points d’accès ou les commutateurs utilisés, celle-ci étant reportée soit dans des serveurs soit dans des routeurs embarquant des portails captifs.
IV.
Les inconvénients de portal captif
Le plus important est qu'il détourne le trafic normal : en cela, le portail captif est une attaque de l'Homme du Milieu et a donc de graves conséquences en termes de sécurité. Il éduque les utilisateurs à trouver normal le fait de ne pas arriver sur l'objectif désiré, et facilite donc le hameçonnage. Le portail captif ne marche pas ou mal si la première connexion est en HTTPS, ce qui est de plus en plus fréquent. Là encore, il éduque les utilisateurs à trouver normaux les avertissements de sécurité (« mauvais certificat, voulez-vous continuer ? »). Le portail captif n'est pas authentifié, lui, et l'utilisateur est donc invité à donner ses informations de créance à un inconnu. En Wifi, comme l'accès n'est pas protégé par WPA, le trafic peut être espionné par les autres utilisateurs. Spécifique au Web, le portail captif ne marche pas avec les activités non-Web (comme XMPP). Même les clients HTTP non-interactifs (comme une mise à jour du logiciel via HTTP) sont affectés.
V. ETUDE DES PORTAIL CAPTIF ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)
ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au
Réseau) est un projet français essentiellement dédié aux fonctions de portail captif. Cet applicatif s'installe via un script supporté par la distribution Linux Mandriva, les configurations se font via .me interface de gestion sécurisée (HTTPS) ou bien en ligne de commande directement sur le Serveur Mandriva. Une sauvegarde de la configuration est prise en charge via la création d'un ghost système (fichier système) dans le panneau d'administration, ce qui engendre tout de même un fichier d'une certaine taille. Les mises à jour régulières assurent la pérennité de la solution. passe.
L'authentification au portail est sécurisée par HTTPS et un couple utilisateur / mot de
Une documentation assez complète est disponible pour l'installation et la configuration et la communauté est active. Tout comme PFsense, ALCASAR est compatible avec de nombreuses plates-formes, la personnalisation des pages utilisateurs et la simplicité d'utilisation sont présentes.
PFSENSE PFsense est une distribution FreeBSD développée en 2004. L'objectif de départ est d'assurer les fonctions de pare-feu et de routeur mais l'engouement généré par cet applicatif lui a permis d'étendre ses fonctionnalités et présente maintenant les fonctions de portail captif, serveur proxy, DHCP ... Son installation se fait facilement via une distribution dédiée et toutes les configurations peuvent se faire soit en ligne de commande (SSH) ou via l'interface web (HTTPS). La sauvegarde et la restauration de configuration est disponible à travers l'interface web et permet de générer un simple fichier d'une taille raisonnable. Le portail assure une évolution constante grâce à des mises à jour régulières dont l'installation est gérée automatiquement dans une partie du panneau d'administration. Cette solution permet une authentification sécurisée via le protocole HTTPS et un couple utilisateur / mot de passe.
ZeroShell ZeroShell est une distribution Linux conçue pour mettre en place une sécurité globale au sein d'un réseau (Pare-Feu, VPN, portail captif...). Son installation est simple via une distribution dédiée. Elle présente une interface de gestion web simple d'utilisation qui permet entre autres de sauvegarder la configuration du portail captif ou encore de personnaliser les pages de connexion et déconnexion dans un éditeur HTML intégré. Comme les deux autres solutions la page d'authentification est sécurisée et la connexion se fait via un couple utilisateur / mot de passe. On retrouve assez peu de documentation pour la gestion du système mais la communauté à l'air tout de même bien présente. Son utilisation reste identique aux autres solutions présentées.
Etude comparative des portails captifs Pour faire c’étude on mais des critères qu’est on a besoin pour l’implémentation de
notre réseau sécurisé et que doivent prendre en compte les différentes solutions :
Sécurité des échanges lors de l'authentification: pour éviter la récupération de mot de passe sur le réseau ; Présence d'une documentation complète: pour assurer la rapidité de mise en place de la solution; Simplicité d'administration: pour permettre à différentes personnes d'administrer le logiciel; Simplicité d'utilisation: pour permettre à tous les visiteurs (expérimentés ou non) de se connecter au réseau Wi-Fi ou filaire; Compatibilité multiplate-formes : pour permettre la connexion depuis les Smartphones, différents navigateurs web et différents système d'exploitation. Présence de sauvegarde et restauration de configuration : pour permettre un redémarrage du système très rapidement en cas de problèmes; Possibilité de personnaliser la page de connexion : pour adapter le logiciel à la charte graphique de l'entreprise et ainsi le rendre plus convivial Pare-feu : les types des filtrages existant Administration : les interfaces graphique les autres services (DHCP, DNS)
Comparaison des trois portails captifs (Figure 18)
Critères
PFsense
ALCASAR
ZeroShell
HTTPS
HTTPS
HTTPS
Documentation
++
+++
+
Personnalisation
+
+
-
Installation via script automatise
Installation via une distributio n dédiée
Sécurité Authentification
Facilite d’administration
Installation via une distribution dédiée
Facilite d'Utilisation
+++
+++
+++
Sauvegarde Restauration
+
+
+
+
+
-
configuration Pérennité de la solution
Bien que nous n'ayons pas mis en pratique toutes ces solutions pour les comparer, l'étude théorique permet de retenir les deux premières solutions à savoir PFsense et ALCASAR car elles répondent toutes deux à nos besoins: solutions libres, peuvent s'installer sur un serveur comme sur un poste de travail, authentification des utilisateurs par login et mot de passe, contrôle de la bande passante, facilité d'administration, d'installation et de configuration, facilité d'utilisation, documentation très détaillée et disponible, disponibilité de mises à jour, etc.
ETUDE THECHNIQUE D’ALCASAR Définition ALCASAR est un contrôleur sécurisé d'accès à Internet pour les réseaux publics ou domestiques. Il authentifie et protège les connexions des utilisateurs indépendamment de leurs équipements (PC, tablette, smartphone, console de jeux, TV, etc.). Il intègre plusieurs mécanismes de filtrage adaptés aux besoins privés (contrôle parental et filtrage des objets connectés) ou aux chartes et règlements internes (entreprises, associations, centres de loisirs et d'hébergement, écoles, bibliothèques, mairies, etc.). Installé sur un réseau public, il protège le responsable du réseau en journalisant et en attribuant (imputation) toutes les connexions afin de répondre aux exigences légales et réglementaires*. Au-delà de ces aspects, ALCASAR est utilisé comme outil pédagogique dans le cadre de diverses formations : "sécurité des réseaux", "contrôles et éthique", "respect de la vie privée", etc. La documentation complète de ce projet est disponible dans la section "Téléchargement" de ce site Web. ALCASAR est un projet indépendant, libre (licence GPLv3) et gratuit. L'équipe de suivi de projet (alcasar team) est conduite par Richard Rey "rexy" et Franck Bouijoux "3abtux". Elle est constituée de développeurs "seniors" (Pascal Levant "angel95" et Stéphane Weber "Ste web"), de développeurs «juniors», de rédacteurs/traducteurs, de graphistes et de testeurs identifiables sur le forum.
Aperçu des fonctionnalités et services d’ALCASAR et aussi les versions de logiciel En fonction de la version du logiciel, le nombre de services et/ou de fonctionnalités peut varier, pour cela nous avons présenté ce tableau qui nous donne un vue globale sur toutes les versions d’alacasar et leurs fonctionnalités :
MISE EN PLACE DE LA SOLUTION ALCASAR Nous allons maintenant mettre en place la solution Alcasar dans un environnement de test. En premier lieu nous définirons l’architecture réseau utilisée pour le maquettage. En second lieu nous procéderons à l’installation de la solution. Ensuite, nous effectuerons la configuration des différents éléments.
L’architecture de réseau
Le but est de simuler une configuration réseau simple mais réaliste par rapport au matériel actuellement déployé dans les infrastructures publiques.
Afin de perfectionner la maquette, il est nécessaire de configurer 2 éléments : ~ Le point d’accès Wifi LINKSYS ~ Un serveur DHCP sur le Portail Captif pour gérer les adresses IP du réseau
INSTALLATION DE MANDRIVA PROBLEME RENCONTRE
(a) ECHECS D’INSTALLATION DE MANDRIVA Lors de l’installation de Mandriva, on a rencontré des problèmes d’échecs d’installations. En effet selon les essais, plusieurs paquets étaient impossibles à installer.
(b) SOLUTION On a finalement résolu le problème, qui semblait venir du partitionnement. En effet, on a choisi de découper le disque dur en 3 partitions : • Une partition obligatoire, « SWAP », pour le fichier d’échange (Taille : environ 2 fois la quantité de mémoire vive) • Une partition pour le système Mandriva (plus que 5GB – point de montage : /) • Une partition pour la sauvegarde des LOG (plus que 10GB de l’espace – point de montage : /var)
Partitionnement du disk (Figure 19)
(c) Echecs dans le boot de system Alcasar ne démarre pas il reste dans cette étape
(d) Solution Après des multiples recherches, on a trouvé que ce problème est un bug dans le système Mandriva et pour résoudre ce problème, nous devons supprimer une ligne qui contient "VGA = 791" de ‘/mnt/boot/grub/menu.list ‘ et pour ce faire, nous avons Démarré sur le système de secours (rescue system)
Apres ça en va la console mode
Premièrement on va la commande line on va à la direction suivante : /mnt/boot/grub Secondement on entre au fichier menu. 1er par un éditeur de texte quelconque dans notre je travaille avec `nano` comme ci-dessus :
Apres ça en supprimer tous ligne qui contient ‘VGA=791’ ;
Et après ça on redémarre notre machine. INSTALLATION D’ALCASAR IMPORTATION DE L’INSTALLATEUR SUR LA MACHINE Afin d’installer Alcasar, il est nécessaire de décompresser l’archive du programme « alcasar-1.8.tar.gz » dans le dossier /root de la machine. J’implémente le programme à l’aide De serveur ftp, voici les différentes étapes effectuées afin d’importer Alcasar : #lftp ftp.alcasar.net/pub • Connectez-vous au serveur FTP avec la commande « lftp » #cd stable #ls • déplacez-vous dans le répertoire « stable » et listez son contenu #get alcasar-x.y.tar.gz • Récupérez le fichier
Extraire le fichier .gz # tar -xvf alcasar-3.0.1.tar.gz X : Extraire V: Affichage du traitement effectué F : utilisation
Placement dans le dossier du logiciel # cd alcasar-3.0.1
Lancement de l’installation # Sh alcasar.sh -install Lors de l’installation d’Alcasar, plusieurs paramètres sont demandés afin de préconfigurer les différents modules. NOM DE L’ORGANISME
PLAN D’ADRESSAGE RESEAU Le plan d’adressage réseau défini pour la maquette est le suivant : 192.168.1.0/24 Au début.
PARAMETRAGE DU COMPTE ADMINISTRATEUR
FIN DE L’INSTALLATION
Maintenant qu’Alcasar est installé, la machine doit être redémarrée. Nous allons procéder aux derniers paramétrages de la machine.
VERIFIER QU’INSTALLATION BIEN FAIT Une fois le système relancé, vous pouvez vérifier que tous les composants d’ALCASAR sont bien lancés en vous connectant et en lançant le script « alcasar-daemon.sh ».
CONFIGURATION D’ALCASAR L’installation d’Alcasar et la configuration du système est effectuée, les incidents ont été réglés. Nous allons maintenant procéder à la configuration de la solution via l’interface Graphique COMMENT ACCEDER A LA PAGE DE CONFIGURATION La page d’accueil du portail est consultable à partir de n’importe quel équipement situé sur le réseau de consultation. Elle est située à l’URL http://alcasar (ou http://alcasar.localdomain). Elle permet aux usagers de se connecter, de se déconnecter, de changer leur mot de passe et d’intégrer le certificat de sécurité dans leur navigateur. Cette page permet aux administrateurs d’accéder au centre de gestion graphique « ACC » (ALCASAR Control Center) en cliquant sur la roue crantée située en bas à droite de la page (ou via le lien : https://alcasar.localdomain/acc). Ce centre de gestion est exploitable en deux langues (anglais et français) via une connexion chiffrée (HTTPS).
Une authentification est requise au moyen d’un compte d’administration lié à l’un des DEUX profils suivants: ● Profil « admin » permettant d’accéder à toutes les fonctions d’administration du portail ; ● Profil « manager » limité aux tâches de gestion des usagers du réseau de consultation ; Apres cette authentification une interface Web doit s’afficher sur le browser comme l’exemple ci-dessus :
Paramétrage d’alcasar
projet :
Avant entrer a les détaillé de paramétrages en fait un rappelle sur l’architecture de le
Le réseau LAN : Adresse IP du réseau : 192.168.1.0/24 (masque de réseau : 255.255.255.0) ; • Nombre maximum d’équipements : 253 ; • Adresse IP de la carte réseau interne d’ALCASAR : 192.168.1.4/24 ;
• Paramètres des équipements : • Adresses IP disponibles : de 192.168.1.3 à 192.168.1.254 (statiques ou dynamiques); • Adresses du serveur DNS : 192.168.1.4 (adresse IP de la carte réseau interne d’ALCASAR); • suffixe DNS : localdomain (ce suffixe doit être renseigné pour les équipements en adressage statique); • Adresse du routeur par défaut (default Gateway) : 192.168.1.4 (adresse IP de la carte réseau interne d’ALCASAR) ; • masque de réseau : 255.255.255.0
Le réseau WAN: Adresse IP du réseau : 172.25.0.0/24 (masque de réseau : 255.255.255.0) ; • Nombre maximum d’équipements : 253 ; • Adresse IP de la passerelle par default : 172.25.0.1/24 ; • Adresse IP de la carte réseau interne d’ALCASAR : 172.25.0.3/24 ; • Paramètres des équipements : • Adresses IP disponibles: de 172.25.0.3 à 172.25.0.254 (statiques ou dynamiques) ; • Adresses du serveur DNS : 172.25.0.2 • suffixe DNS : niggas (ce suffixe doit être renseigné pour les équipements en adressage statique) ; • masque de réseau : 255.255.255.0
Configuration IP Interface graphique Le menu « système » + « réseau » vous permet de visualiser et de modifier les paramètres réseau d’ALCASAR.
Ps : Si vous modifiez le plan d'adressage du réseau de consultation, vous devrez relancer tous les équipements connectés à ce réseau (dont le vôtre).
LINE DE COMMANDE (mode console) Vous pouvez aussi modifier ces paramètres en mode console en éditant le fichier « /usr/local/etc/alcasar.conf» puis en lançant la commande «alcasar-conf.sh -apply».
1 : les interfaces d’ALCASAR EXTIF : interface WAN INTIF : interface LAN 2 /4 : les adresses IP utiliser pour le WAN et LAN PPUBLIC_IP : L’ADRESSE IP WAN de alcasar GW : la passerelle pare default du réseau WAN PRIVATE_IP : L’ADRESSE IP LAN de alcasar 3 : l’adresse de DNS premières et secondaire d’ALCASAR 5 : configuration de DHCP de ALCASAR
CONFIGURATION DE DHCP
Le serveur DHCP (Dynamic Host Control Protocol) fournit de manière dynamique les paramètres réseau aux équipements de consultation. Vous pouvez réserver des adresses IP pour vos équipements exigeant un adressage fixe (ou statique) comme vos serveurs, vos imprimantes ou vos points d’accès WIFI. ALCASAR doit être le seul routeur et le serveur DHCP sur le réseau de consultation. Dans le cas contraire, assurez-vous de bien maîtriser l’architecture multiserveur DHCP. PS : Le serveur DHCP est activer par default dans ALCASAR pour et aussi la configuration faite automatiquement.
Les utilisateurs Nous allons configurer un usager afin de pouvoir constater les fonctionnalités offertes par Alcasar. On accède à la page de création d’usagers dans le menu : USAGERS Créer Usager.
On a créé un usager de test, niggas. On peut spécifier un grand nombre de paramètre concernant cet usager. Le cahier des charges spécifie uniquement le nom et prénom de la personne mais nous pouvons également spécifier : • Son adresse Email • Son Services • Ses Coordonnées • Des règles d’utilisation (durée de session, plages horaires…)
La casse est prise en compte pour l'identifiant et le mot de passe (« Dupont » et « Dupont » sont deux usagers différents)
Appartenance éventuelle à un groupe. Dans ce cas, l'usager hérite des attributs du groupe*.
Une fois l'usager créé, un ticket au format PDF est généré. Il vous est présenté dans la langue de votre choix Si vous créez plusieurs utilisateurs, il peut être intéressant de définir une date d'expiration
L’interface de gestion permet également de créer des groupes de manière à pouvoir appliquer des paramètres à plusieurs utilisateurs. Ce sont les paramètres soulignés en bleu qui sont configurables pour les groupes.
PARE-FEU
Le Pare-Feu est l’un des points faible de la solution Alcasar. En effet, elle ne contient pas de filtrage de protocoles comme les solutions PFsense ou ZeroShell mais se contente d’un filtrage classique basé sur les ports. Néanmoins au final, ce ne représente pas un handicap pour la solution étant donné que nous avons choisi d’autoriser uniquement les protocoles HTTP, HTTPS et SSH pour la prise en main à distance.
ETUDE THECHNIQUE De ZEROSHELL Définition ZeroShell est une distribution Linux créée dans le but d'être très complète conçue pour fournir des services réseaux sécurisés dans un réseau local. Elle a été développée par Fulvio Ricciardi pour être totalement administrable via une interface web. Fournie sous forme de Live CD, elle s'initialise en insérant le CD dans la machine cible et en la redémarrant. La connexion à l’interface d’administration se fait via un navigateur web pour ensuite configurer les services réseaux. Fonctionnement Les principales fonctionnalités de ZeroShell sont les suivantes: Administration web (sécurisée); Routeur avec routes statiques et dynamiques; NAT pour utiliser le réseau local de classe privée adresses cachées sur le WAN avec des adresses publiques; Serveur DHCP pour assigner automatiquement des adresses IP aux postes clients qui le demandent; Serveur DNS pour définir sa propre zone et les enregistrements associés; Serveur et le client NTP (Network Time Protocol) pour maintenir l'accueil des horloges synchronisées; Client DNS dynamique utilisé pour rejoindre facilement même lorsque l'IP WAN est dynamique. Une gestion dynamique des enregistrements MX DNS pour acheminer des emails sur le serveur mail SMTP avec IP variable; Authentification Kerberos 5 en utilisant un KDC intégrée et l'authentification entre domaines; VPN LAN-to-LAN, pour interconnecter deux réseaux locaux via Internet en encapsulant les trames Ethernet; VPN Host-to-LAN, pour permettre à des postes clients de se connecter au réseau local via internet; Serveur proxy avec fonction de proxy transparent, intégrant un anti-virus; Serveur RADIUS pour l'authentification et la gestion automatique des clés de chiffrement pour réseaux sans fil supportant de nombreux protocoles;
Firewall avec des filtres applicables dans les deux routages et de pontage sur tous les types d'interfaces, y compris VPN et VLAN; et de classification Qos du trafic de type partage de fichiers Peer-To-Peer (P2P); Captive Portal pour soutenir la connexion Internet sur les réseaux câblés et sans fil. ZeroShell agit comme une passerelle pour le réseau sur lequel le portail captif est actif et sur lequel les adresses IP (généralement appartenant à des particuliers) sont allouées dynamiquement par DHCP. Un client qui accède à ce réseau privé doit s'authentifier à l'aide d'un navigateur Web en utilisant Kerberos 5 avec un nom d'utilisateur et mot de passe qu’avant le pare-feu ZeroShell lui permet d'accéder au réseau public. L’intégration entre Unix et Windows Active Directory sur un seul système d'authentification et d'autorisation en utilisant LDAP et Kerberos 5.
Avantages et inconvénients du ZeroShell Avantages : ◦ Gestion des usagers ◦ Gestion des logs (Archivage/Compression/Suppression) Inconvénients :
◦ Filtrage Web à implémenter en parallèle ◦ Peu de documentation Pourquoi on a choisir ZeroShell
l'étude
Bien que nous n'ayons pas mis en pratique toutes ces solutions pour les comparer,
Théorique permet de retenir les deux premières solutions à savoir ZeroShell et ALCASAR car elles répondent toutes deux à nos besoins: solutions libres, peuvent s'installer sur un serveur comme sur un poste de travail, authentification des utilisateurs par login et mot de passe, contrôle de la bande passante, facilité d'administration, d'installation et de configuration, facilité d'utilisation, documentation très détaillée et disponible, disponibilité de mises à jour, etc. Installation du ZeroShell
Prérequis: - Une machine (serveur ZeroShell) avec au moins deux (2) cartes réseau; - Un CD d’installation de ZeroShell - Une connexion Internet (pour tester toutes les fonctionnalités) - Un réseau local On télécharge d’abord le fichier d’installation, qui est un fichier compressé avec l’extension .iso. Ensuite, on crée un CD Bootable, c’est-à-dire un CD de démarrage. Enfin, on insère le CD pour lancer l’installation qui sera de façon automatique.
À la fin du lancement, nous aurons un écran comme suit:
N: pour afficher les interfaces réseau P: pour changer le mot de passe de l’administrateur T: pour afficher la table de routage F: pour afficher les règles du pare-feu I: pour gérer les adresses IP
ETH0: cette interface a l’adresse 192.168.0.75 obtenue de façon automatique lors de l’installation de ZeroShell. On peut toutefois la modifier. ETH1: cette interface n’a pas encore d’adresse. Cependant, on lui en attribuera une en interface graphique.
Configuration du ZeroShell Pour la configuration des différents services, sur un poste client, nous utiliserons un navigateur web (Internet Explorer, Mozilla Firefox, Safari…) pour accéder à l’interface graphique avec l’adresse : 192.68.0.75
Par défaut: Username: admin Password: zeroshell
Création d’une partition pour stocker notre configuration (Figure 20) Il est très important d’enregistrer nos fichiers de configuration dans une partition de notre disque dur. Pour se faire, nous allons créer une nouvelle partition.
1 - on clique sur Setup pour accéder au menu. 2- on clique sur Profiles pour voir les différents profils (s’il en existe). 3- on choisit le disque dur sur lequel on veut créer la partition.
4- on clique sur New partition pour créer une nouvelle partition. Une nouvelle fenêtre apparaitra dans laquelle nous indiquerons les informations de la partition. 5- on spécifie la taille de la partition ou utiliser le disque en entier (option par défaut)
6- on choisit le type de système de fichier (ext3 dans notre cas) 7- on renseigne le nom de la partition et on clique sur Create Partition. Une fois notre partition créée, nous allons ajouter un profil à cette dernière.
8- on choisit notre partition nouvellement créée.
9- on clique sur Create Profile. Une nouvelle fenêtre apparaitra, comme suit:
10- on renseigne les différentes informations relatives à notre profil 11- on clique sur Create.
12- On choisit notre nouveau profil 13- on clique sur Activate pour l’activer. Ceci va redémarrer le système ZeroShell.
Configuration réseau Après avoir créé notre partition et notre profil, nous allons configurer les adresses IP de notre réseau.
1- on clique sur Network pour afficher nos interfaces réseau. ETH00 est l’interface de notre réseau local avec une adresse par défaut 192.168.0.75. 2- on choisit l’interface ETH01 pour lui attribuer une adresse IP, 192.168.1.5 3 on clique sur Add IP. Une nouvelle fenêtre apparaitra.
4-
on entre l’adresse et le masque de sous réseau.
5- on clique sur OK pour valider. Nous allons ensuite ajouter une passerelle par défaut (Default Gateway), 192.168.1.154
6- on clique sur GATEWAY pour ajouter la passerelle. Une nouvelle fenêtre apparaitra.
7- on indique l’adresse IP de la passerelle par défaut. 8- on clique sur OK pour valider.
Une fois tout ceci fait, il nous affichera les routes statiques:
9- affiche la table de routage 10- affiche le journal (les logs)
DHCP ZeroShell peut aussi être un serveur DHCP (Dynamic Host Configuration Protocol), les clients du réseau local n’auront pas besoin d’adresses IP statiques.
1- on clique sur DHCP 2- on clique sur New, une nouvelle fenêtre apparaitra.
3- on choisit l’interface sur laquelle on veut activer le DHCP 4- on clique sur OK pour valider
5- on spécifie la plage d’adresses 6- on renseigne la passerelle et les serveurs DNS (Domain Name System) 7- on clique sur Save pour enregistrer le serveur DHCP
Surfer sur Internet Pour permettre aux clients internes d’utiliser la connexion Internet, nous devons activer le NAT (Network Adresse Translation).
1- on clique sur Router. 2- on clique sur NAT pour faire la translation d’adresse. Une nouvelle fenêtre apparaitra.
3- on choisit l’interface parmi la liste Avaible Interfaces (ETH01 dans notre cas), puis on l’ajoute dans la liste NAT Enabled Interfaces, avec le bouton . 4- on clique sur Save pour valider. Portail Captif Le portail captif (captive portal) consiste à forcer les clients HTTP d'un réseau à afficher une page web spéciale (le plus souvent dans un but d'authentification) avant d'accéder à Internet normalement.
Avant d’activer cette fonction, nous allons d’abord créer des utilisateurs.
1- on clique sur Users. 2- on clique sur Add pour pouvoir ajouter un nouvel utilisateur. Une nouvelle fenêtre apparaitra.
1- on renseigne les informations de l’utilisateur (nom d’utilisateur, répertoire, groupe…) 2- on lui attribue un mot de passe 3- on clique sur Submit pour valider la création.
1- on clique sur Captive Portal. 2- on active la passerelle par défaut. 3- on choisit l’interface du réseau local (ETH00 dans notre cas). 4- on clique sur Save pour valider. 5- on clique sur Authentication pour activer l’authentification des utilisateurs. Une nouvelle fenêtre apparaitra.
6- on coche Status pour activer l’authentification. 7- on clique sur Save pour valider les modifications.
Une fois tout ceci fait, on peut déjà se connecter avec l’utilisateur que nous avons créé précédemment
HTTP Proxy Les pages Web sont de plus en plus souvent les moyens par lesquels les vers et les virus se propagent sur Internet. Pour pallier à ce problème, des techniques sont adaptées telles que le proxy. Un des plus gros problèmes lorsqu’on utilise un serveur proxy est la configuration de tous les navigateurs Web pour l'utiliser. Il est donc nécessaire de spécifier son adresse IP ou nom d'hôte et le port TCP sur lequel il répond (généralement le port 8080). Cela pourrait être lourd dans le cas des réseaux locaux avec de nombreux utilisateurs, mais pire encore, les utilisateurs pourront supprimer cette configuration pour avoir Internet. Pour résoudre ce problème, ZeroShell utilise un proxy transparent qui consiste à capturer automatiquement les demandes des clients. ZeroShell est en mesure de saisir ces requêtes web, pour se faire il doit être configuré comme une passerelle réseau, afin que le trafic Internet client passe au travers. ZeroShell permet également de bloquer l’accès à certaines pages web, c’est ce qu’on appelle Black List ou Liste Noire. Exemple: www.exemple.com: bloque la page d’accueil du site alors que www.exemple.com/* bloque tout le contenu.
1- on clique sur HTTP Proxy pour accéder à l’interface de configuration. 2- on ajoute les différentes adresses IP auxquelles on veut restreindre l’accès. Une nouvelle fenêtre apparaîtra.
1- on renseigne l’action à effectuer, l’interface réseau, l’adresse IP source et/ou de destination. 2- on clique sur Save pour enregistrer les modifications
ETUDE THECHNIQUE DE PFSENSE Définition Pfsense est un OS transformant n'importe quel ordinateur en routeur/pare-feu. Basé sur FreeBSD, connu pour sa fiabilité et surtout sa sécurité, Pfsense est un produit Open Source adapté à tout type d'entreprise. Fonctionnalités - Gestion complète par interface web - Pare-feu stateful avec gestion du NAT, NAT-T - Gestion de multiples WAN - DHCP server et relay - Failover (possibilité de monter un cluster de pfsense) - Load balancing - VPN Ipsec, OpenVPN, L2TP - Portail captif -Superviser son réseau Cette liste n'est pas exhaustive et si une fonction vous manque, des extensions sont disponibles directement depuis l'interface de Pfsense, permettant notamment l'installation d'un proxy ou d'un filtrage d'URL, très simplement. En plus d'être disponible en version 32 et 64 bits, Pfsense est également disponible pour l'embarqué, il fonctionne très bien sur des petits boitiers Alix. Dernière chose, Pfsense nécessite deux cartes réseaux minimum (une pour le WAN et une pour le LAN). Avantages et inconvénients Comme toute solution de routeur/pare-feu, Pfsense possède son lot d'avantages et d'inconvénients. Mais sa polyvalence et le nombre conséquent de fonctionnalités font de cet outil une solution fiable pour les entreprises, et ce, quelles que soient la taille et l'activité de ces dernières.
Le coût est un élément à prendre en compte, car comme vous le savez, les PME pour qui les systèmes d'informations ne sont pas le cœur de métier n'ont pas des budgets importants pour ce genre de solutions. Comme nous le verrons par la suite, il existe plusieurs façons de mettre en place Pfsense, en passant par une plateforme virtuelle (ESXi par exemple) ou en faisant l'acquisition d'un routeur sur lequel la distribution est déjà installée.
Enfin, il est important de souligner que Pfsense est très peu gourmand en termes de ressources. En effet, la configuration minimale requiert un processeur équivalent ou supérieur à 500Mhz quand la mémoire exigée est de 256Mo. Vous n'aurez donc aucune difficulté à mettre en place cette solution ! En revanche, et malgré les nombreux avantages de cette solution, il faudra s'assurer que la personne en charge de gérer le parc informatique ait les connaissances nécessaires pour déployer cette solution. En effet, de nombreuses PME font confiance à des opérateurs qui disposent d'un service entreprise (comme Orange, SFR ou encore Numéricâble) pour la mise en place d'une connexion internet dans leurs locaux. Les box possèdent donc des interfaces simplifiées avec un support adapté à leurs besoins afin de faire face aux problèmes de tous les jours. Installation et configuration Téléchargez l’image de Pfsense dans la section « Download » de Pfsense (http://www.pfsense.com). Démarrez votre ordinateur à partir du cd de l’image de Pfsense ; l’installation va alors commencer.
Laissez alors le compte à rebours se terminer (10 secondes) ou appuyez directement sur « Entrée ». Le démarrage par défaut est choisi. Ensuite vient la configuration des interfaces réseaux. Vous remarquerez cidessous que FreeBSD détecte le nombre de carte réseau, et y attribue des noms (em0 et em1 dans notre cas). Choisissez donc quel interface sera le LAN et l'autre le WAN (ici LAN : em1, WAN : em0). Les VLAN ne seront pas utilisés.
Nous allons à présent choisir quelle interface appartient au LAN, au WAN.
Une fois les interfaces assignées, nous arrivons enfin au menu.
L’adresse par défaut du LAN est 192.168.1.1. Nous allons la modifier en 172.16.0.16 pour que Pfsense soit sur le même réseau. Saisir l’option « 2 ».
Nous voilà de nouveau au menu. Nous allons à présent installer réellement pfSense sur le disque dur. Saisir alors le choix « 99 ».
L'installation qui va suivre se fait en acceptant toutes les options par défaut. Il suffit d'accepter toutes les demandes (formatage si nécessaire et création de la partition).
On choisit d’installer Pfsense facilement et rapidement.
Nous allons ici créer le swap. Le swap sert de partition d'échange pour FreeBSD. Elle utilisé comme une mémoire RAM, mais sur le disque dur Une fois appuyée sur OK on a ceci :
Si tout c'est bien passé, Pfsense s'installe
Si Pfsense s'est installé correctement, vous pouvez retirer le cd et redémarrer la machine en allant sur reboot Configuration du portail captif Pfsense est désormais disponible à l’adresse du LAN : http://pfsense.groupe6.esgis -login : admin ; -mot de passe : Pfsense (par défaut) C’est à partir de cette adresse que toutes les manipulations vont se dérouler Lors de la connexion à l’adresse de Pfsense, une aide à la configuration apparaît. Elle permet de configurer la base de Pfsense. Il est conseillé de l’utiliser même si par la suite les informations renseignées peuvent être changées. Nous voilà enfin sur la page par défaut d’administration de Pfsense
Ici se trouve la configuration générale de Pfsense. Entrez ici le nom de la machine, le domaine et l'IP du DNS. Attention, il vous faut décocher l'option se trouvant dessous (Allow DNS server list to be overridden by DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les DNS des clients n'est plus Pfsense, mais un DNS du WAN inaccessible par le LAN. Ensuite, modifiez le nom et le mot de passe du compte permettant de se connecter sur Pfsense. Vous pouvez ensuite activer l'accès à ces pages, via une connexion sécurisée SSL. Pour cela, activer l'HTTPS. Entrez le port 443 dans webGui port (correspondant à SSL). Vous pouvez ensuite modifier le serveur NTP et le fuseau horaire pour régler votre horloge. Enfin, nous vous conseillons de changer le thème d'affichage de Pfsense. En effet, le thème par défaut (metallic), comporte quelques bugs (problème d'affichage, lien disparaissant). Mettez donc le thème "Pfsense".
Vous devriez donc avoir une interface comme ceci :
Ensuite, toujours dans "system", allez dans Advanced. Ici, nous pouvons activer la connexion SSH afin de l'administrer à distance sans passer par l'interface graphique (en effet, pour une configuration accrus, il vaut mieux passer par le Shell).
Nous allons maintenant configurer les interfaces LAN et WAN en détail. Pour cela, allez dans Interface, puis WAN pour commencer. Entrez ici l'adresse IP de la carte réseau coté WAN, ainsi que l'adresse IP de la passerelle.
Configurer ensuite la carte LAN (elle doit être normalement bien configuré, mais vous pouvez faire des modifications par la suite ici)
Allez ensuite dans la section DNS forwarder. Activez ensuite l'option Enable DNS forwarder. Cette option va permettre à Pfsense de transférer et d'émettre les requêtes DNS pour les clients
Il ne reste plus qu'à configurer le serveur DHCP pour le LAN, afin de simplifier la connexion des clients. Pour cela, allez dans la section DHCP server. Cochez la case Enable DHCP server on LAN interface. Entrez ensuite la plage d'adresse IP qui sera attribuée aux clients. Dans notre cas, notre plage d'IP sera 176.16.0.10 – 176.16.0.30. Il faut par la suite entrer l'IP du serveur DNS qui sera attribuée aux clients. Ici, il vous faut entrer l'IP du portail captif. En effet, nous avons définie plus haut que Pfsense fera lui-même les requêtes DNS. Pour finir, entrez l'adresse de la passerelle pour les clients. Celle-ci sera le portail captif : 176.16.0.6. Voici donc ce que vous devriez avoir
Voilà, Pfsense est correctement configuré. Pour le moment il sert uniquement de Firewall et de routeur. Nous allons maintenant voir comment activer l'écoute des requêtes sur l'interface LAN et obliger les utilisateurs à s'authentifier pour traverser le Firewall. Nous allons voir la procédure afin de mettre en place le portail captif. Pour cela, allez dans la section Captive portail. Cochez la case Enable captive portail, puis choisissez l'interface sur laquelle le portail captif va écouter (LAN dans notre cas.
Ensuite vient la méthode d'authentification. 3 possibilités s'offre à nous : - Sans authentification, les clients sont libres - Via un fichier local - Via un serveur RADIUS On précise le type d’authentificateur que l’on désire: dans notre cas, on utilisera l'authentification via notre serveur RADIUS comme l'indique la capture suivante.
Ensuite on va dans System User Manager dans server on crée un nouveau server qu’on nommera radius : para
Maintenant on essaie d’accéder à une page web par exemple google.fr le Pfsense nous renvoie vers une page d’authentification :
VI.
Solution choisie
Après nombreux essais, on a choisi Pfsense, d'une part parce que c'est une solution Open Source qui dispose d'une grande communauté et d'autre part parce qu'elle offre un grand nombre de fonctionnalités. Cette distribution, si elle est bien utilisée, permet de couvrir une bonne partie des besoins d'une société, si ce n'est l'intégralité.
Chapitre 5 : PARE FEU Pourqoi choisir un Firewall ? De nos jours, la plus part des entreprises possèdent de nombreux postes informatiques qui sont en général reliés entre eux par un réseau local. Ce réseau permet d'échanger des données entre les divers collaborateurs internes à l'entreprise et ainsi de travailler en équipe sur des projets communs. La possibilité de travail collaboratif apportée par un réseau local constitue un premier pas. L'étape suivante concerne le besoin d'ouverture du réseau local vers le monde extérieur, c'est à dire internet. En effet, une entreprise n'est jamais complètement fermée sur elle même. Il est par Exemple nécessaire de pouvoir partager des informations avec les clients de l'entreprise. Ouvrir l'entreprise vers le monde extérieur signifie aussi laisser une porte ouverte a divers acteurs étrangers. Cette porte peut être utilisée pour des actions qui, si elles ne sont pas contrôlées, peuvent nuire à l'entreprise (piratage de données, destruction,...). Les mobiles pour effectuer de tel actions sont nombreux et variés : attaque visant le vol de données, passetemps, ... Pour parer à ces attaques, une architecture de réseau sécurisée est nécessaire. L'architecture devant être mise en place doit comporter un composant essentiel qui est le firewall. Cette outil a pour but de sécuriser au maximum le réseau local de l'entreprise, de détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela permet de rendre le réseau ouvert sur Internet beaucoup plus sûr. De plus, il peut également permettre de restreindre l'accès interne vers l'extérieur. En effet, des employés peuvent s'adonner à des activités que l'entreprise ne cautionne pas, comme par exemple le partage de fichiers. En plaçant un firewall limitant ou interdisant l'accès à ces services, l'entreprise peut donc avoir un contrôle sur les activités se déroulant dans son enceinte. Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il permet d'analyser, de sécuriser et de gérer le trafic réseau, et ainsi d'utiliser le réseau de la façon pour laquelle il a été prévu. Tout ceci sans l'encombrer avec des activités inutiles, et d'empêcher une personne sans autorisation d'accéder à ce réseau de données. Les différentes catégories de firewall Depuis leur création, les firewalls ont grandement évolué. Ils sont effectivement la première solution technologique utilisé pour la sécurisation des réseaux. De ce fait, il existe maintenant différentes catégories de firewall. Chacune d'entre-elles disposent d'avantages et d'inconvénients qui lui sont propre. Le choix du type d'un type de firewall plutôt qu'un autre dépendra de l'utilisation que l'on souhaite en faire, mais aussi des différentes contraintes imposées par le réseau devant être protégé.
Firewall sans états (stateless)
Ce sont les firewall les plus anciens mais surtout les plus basiques qui existent. Ils font un contrôle de chaque paquets indépendamment des autres en se basant sur les règles prédéfinies par l'administrateur (généralement appelées ACL, Access Control Lists). Ces firewalls interviennent sur les couches réseau et transport. Les règles de filtrages s'appliquent alors par rapport à une d'adresses IP sources ou destination, mais aussi par rapport à un port source ou destination. Les limites :
Lors de la création des règles de filtrage, il est d'usage de commencer à spécifier que le firewall ne doit laisser passer aucun paquets. Ensuite, il faut ajouter les règles permettant de choisir les flux que nous souhaitons laisser passer. Il suffit alors d'autoriser l'ouverture des ports des serveurs devant être accessible depuis l'extérieur. Mais les connexions des postes vers l'extérieur poseront problèmes. Effectivement, il faudrait autoriser les ports utilisés par les postes clients lors des connexions vers les serveurs, ceci implique donc d'ouvrir tout les ports supérieurs à 1024. Ceci pose donc un réel problème de sécurité. Il n'est pas possible non plus de se préserver des attaques de type ip-spoofing (technique consistant à se faire passer pour une machine de confiance) ou SYN Flood (surcharge de demande de connexion sans attente de la réponse). Les règles de filtrage de ces firewalls sont basées que sur des adresses IP, il suffit donc au pirate de trouver les règles de ce firewall pour pouvoir utiliser cette technique de piratage. Une solution pour se protéger des attaques de type ip-spoofing est de mettre en place une règle interdisant les paquets provenant du réseau extérieur dont l'adresse IP source correspond à une adresse valide du réseau local. Exemple d'attaque pas ip-spoofing. Une connexion est établie entre le client A et le serveur B. Un pirate C souhaite attaquer cette connexion. Une autre limite de ce type de firewall se trouve au niveau des protocoles fonctionnant de manière similaire au FTP. Effectivement, certains protocoles ont besoin d'ouvrir un autre port que celui dédié . Ce port est choisi aléatoirement avec une valeur supérieure à 1024. Dans le cas du protocole FTP, l'utilisation de deux ports permet d'avoir un flux de contrôle et un flux de données pour les connexions. Le problème posé viens du fait que ce port est choisi aléatoirement, il n'est donc pas possible de créer des règles pour permettre les connexions FTP avec les firewalls sans états.
Firewall à états (stateful)
Les firewalls à états sont une évolution des firewalls sans états. La différence entre ces deux types de firewall réside dans la manière dont les paquets sont contrôlés. Les firewalls à états prennent en compte la validité des paquets qui transitent par rapport aux paquets précédemment reçus.
Ils gardent alors en mémoire les différents attributs de chaque connexions, de leur commencement jusqu'à leur fin, c'est le mécanisme de stateful inspection. De ce fait, ils seront capables de traiter les paquets non plus uniquement suivant les règles définies par l'administrateur, mais également par rapport à l'état de la session : – NEW : Un client envoie sa première requête. – ESTABLISHED : Connexion déjà initiée. Elle suit une connexion NEW. – RELATED : Peut être une nouvelle connexion, mais elle présente un rapport direct avec une connexion déjà connue. – INVALID : Correspond à un paquet qui n'est pas valide. Les attributs gardés en mémoires sont les adresses IP, numéros de port et numéros de séquence des paquets qui ont traversé le firewall. Les firewalls à états sont alors capables de déceler une anomalie protocolaire de TCP. De plus, les connexions actives sont sauvegardées dans une table des états deconnexions. L'application des règles est alors possible sans lire les ACL à chaque fois, car l'ensemble des paquets appartenant à une connexion active seront acceptés. Un autre avantages de ce type de firewall, se trouve au niveau de la protection contre certaines attaques DoS comme par exemple le Syn Flood. Cette attaque très courante consiste à envoyer en masse des paquets de demande de connexion (SYN) sans en attendre la réponse (c'est ce que l'on appel flood). Ceci provoque la surcharge de la table des connexions des serveurs ce qui les rend incapable d'accepter de nouvelles connexions. Les firewalls stateful étant capables de vérifier l'état des sessions, ils sont capables de détecter les tentatives excessives de demande de connexion. Il est possible, en autre, ne pas accepter plus d'une demande de connexion par seconde pour un client donné. Un autre atout de ces firewalls est l'acceptation d'établissement de connexions à la demande. C'est à dire qu'il n'est plus nécessaire d'ouvrir l'ensemble des ports supérieurs à 1024. Pour cette fonctionnalité, il existe un comportement différent suivant si le protocole utilisé est de type orienté connexion ou non. Pour les protocoles sans connexion (comme par exemple UDP), les paquets de réponses légitimes aux paquets envoyés sont acceptés pendant un temps donné. Par contre, pour les protocoles fonctionnant de manière similaire à FTP, il faut gérer l'état de deux connexions (donnée et contrôle). Ceci implique donc que le firewall connaisse le fonctionnement du protocole FTP (et des protocoles analogues), afin qu'il laisse passé le flux de données établi par le serveur. Les limites : La première limite de ce type de firewall ce situe au niveau du contrôle de la validité des protocoles. Effectivement, les protocoles « maisons » utilisant plusieurs flux de données ne passeront pas, puisque le système de filtrage dynamique n'aura pas connaissance du fonctionnement de ces protocoles particuliers.
Ensuite, il existe un coût supplémentaire lors de la modification des règles du firewall. Il faut que les firewalls réinitialisent leurs tables à état. Pour finir, ce type de firewall ne protège pas contre l'exploitation des failles applicatives, qui représentent la part la plus importante des risques en terme de sécurité. Firewall applicatif
Les firewall applicatif (aussi nommé pare-feu de type proxy ou passerelle applicative) fonctionne sur la couche 7 du modèle OSI. Cela suppose que le firewall connaisse l'ensemble des protocoles utilisés par chaque application. Chaque protocole dispose d'un module spécifique à celui-ci. C'est à dire que, par exemple, le protocole HTTP sera filtré par un processus proxy HTTP. Ce type de firewall permet alors d'effectuer une analyse beaucoup plus fine des informations qu'ils font transiter. Ils peuvent ainsi rejeter toutes les requêtes non conformes aux spécifications du protocole. Ils sont alors capables de vérifier, par exemple, que seul le protocole HTTP transite à travers le port 80. Il est également possible d'interdire l'utilisation de tunnels TCP permettant de contourner le filtrage par ports. De ce fait, il est possible d'interdire, par exemple, aux utilisateurs d'utiliser certains services, même s'ils changeant le numéro de port d'utilisation du services (comme par exemple les protocoles de peer to peer).
Les limites : La première limitation de ces firewalls réside sur le fait qu'ils doivent impérativement connaître toutes les règles des protocoles qu'ils doivent filtrer. Effectivement, il faut que le module permettant le filtrage de ces protocoles soit disponible. Ensuite, ce type de firewall est très gourmand en ressource. Il faut donc s'assurer d'avoir une machine suffisamment puissante pour limiter les possibles ralentissements dans les échanges. Firewall authentifiant
Les firewall authentifiant permettent de mettre en place des règles de filtrage suivant les utilisateurs et non plus uniquement suivant des machines à travers le filtre IP. Il est alors possible de suivre l'activité réseau par utilisateur. Pour que le filtrage puisse être possible, il y a une association entre l'utilisateur connecté et l'adresse IP de la machine qu'il utilise. Il existe plusieurs méthode d'association. Par exemple authpf, qui utilise SSH, ou encore NuFW qui effectue l'authentification par connexion.
Firewall personnel
Les firewalls personnels sont installés directement sur les postes de travail. Leur principal but est de contrer les virus informatiques et logiciels espions (spyware). Leur principal atout est qu'ils permettent de contrôler les accès aux réseaux des applications installés sur la machines. Ils sont capables en effet de repérer et d'empêcher l'ouverture de ports par des applications non autorisées à utiliser le réseau.
Les différents types de firewalls Pare-feu matériel
Les pare-feu matériels peuvent être achetés en tant que produit autonome, mais plus récemment, les pare-feu matériels se trouvent généralement dans les routeurs à large bande, et devraient être considérés comme une partie importante de votre système et de configuration réseau, en particulier pour toute connexion haut débit. Les pare-feu matériels peuvent être efficaces avec peu ou pas de configuration, et ils peuvent protéger chaque machine sur un réseau local. La plupart des pare-feu matériels disposeront d'au moins quatre ports réseau pour connecter d'autres ordinateurs, mais pour les réseaux plus importants, des solutions de parefeu de réseautage d'entreprise sont disponibles. Un pare-feu matériel utilise le filtrage de paquets pour examiner l'en-tête d'un paquet afin de déterminer sa source et sa destination. Ces informations sont comparées à un ensemble de règles prédéfinies ou créées par l'utilisateur qui déterminent si le paquet doit être renvoyé ou abandonné. Comme pour tout équipement électronique, un utilisateur d'ordinateur ayant des connaissances informatiques générales peut brancher un pare-feu, ajuster quelques paramètres et le faire fonctionner. Pour vous assurer que votre pare-feu est configuré pour une sécurité optimale et protéger, les consommateurs auront sans doute besoin d'apprendre les caractéristiques spécifiques de leur pare-feu matériel, comment les activer et comment tester le pare-feu pour s'assurer qu'il fait un bon travail de protection de votre réseau. Pas tous les pare-feu sont créés égaux, et à cette fin, il est important de lire le manuel et la documentation qui accompagne votre produit. De plus, le site Web du fabricant fournira généralement une base de connaissances ou une FAQ pour vous aider à démarrer. Si la terminologie est un peu trop axée sur la technologie, vous pouvez également utiliser la recherche Webopedia pour vous aider à mieux comprendre certaines des conditions techniques et informatiques que vous rencontrerez lors de la configuration de votre pare-feu matériel. Pour tester votre sécurité de pare-feu matériel, vous pouvez acheter des logiciels de test tiers ou rechercher sur Internet un service de test de pare-feu en ligne gratuit. Le test de pare-feu est une partie importante de la maintenance pour vous assurer que votre système est toujours configuré pour une protection optimale.
Pare-feu logiciel
Pour les utilisateurs à la maison individuels, le choix de pare-feu le plus populaire est un pare-feu logiciel. Les pare-feu logiciels sont installés sur votre ordinateur (comme n'importe quel logiciel) et vous pouvez le personnaliser; Vous permettant un certain contrôle sur sa fonction et les caractéristiques de protection. Un pare-feu logiciel protégera votre ordinateur contre les tentatives extérieures de contrôle ou d'accès à votre ordinateur et, selon votre choix de pare-feu logiciel, il pourrait également fournir une protection contre les programmes Trojan les plus courants ou les vers e-mail. De nombreux pare-feu logiciels ont des contrôles définis par l'utilisateur pour configurer le partage sécurisé des fichiers et des imprimantes et pour empêcher les applications dangereuses de s'exécuter sur votre système. En outre, les pare-feu logiciels peuvent également intégrer des contrôles de confidentialité, le filtrage Web et plus encore. L'inconvénient des pare-feu logiciels est qu'ils ne protègeront que l'ordinateur sur lequel ils sont installés, et non pas un réseau, de sorte que chaque ordinateur devra disposer d'un pare-feu logiciel installé sur celui-ci. Comme les pare-feu matériels, il existe un grand nombre de firewalls logiciels à choisir. Pour commencer, vous pouvez lire les avis de pare-feu logiciels et de rechercher sur le site Web du produit pour recueillir des informations en premier. Étant donné que votre pare-feu logiciel fonctionnera toujours sur votre ordinateur, vous devriez prendre note des ressources système nécessaires à l'exécution et des éventuelles incompatibilités avec votre système d'exploitation. Un bon pare-feu logiciel fonctionnera en arrière-plan sur votre système et n'utilisera qu'une petite quantité de ressources système. Il est important de surveiller un pare-feu logiciel une fois installé et de télécharger les mises à jour disponibles auprès du développeur. Les différences entre un pare-feu logiciel et matériel sont vastes, et la meilleure protection pour votre ordinateur et votre réseau est d'utiliser les deux, car chacun offre des fonctionnalités de sécurité différentes mais très nécessaires. La mise à jour de votre pare-feu et de votre système d'exploitation est essentielle au maintien d'une protection optimale, tout comme le test de votre pare-feu pour vous assurer qu'il est connecté et fonctionne correctement.
DMZ une zone démilitarisée (ou DMZ, de l'anglais demilitarized zone) est un sous réseau séparé du réseau local et isolé de celui-ci et d'Internet (ou d'un autre réseau) par un pare-feu. Ce sousréseau contient les machines étant susceptibles d'être accédées depuis Internet. Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité. Et les services susceptibles d'être accédés depuis Internet seront situés en DMZ. En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non au réseau local.
La figure ci-contre représente une architecture DMZ avec un pare-feu à trois interfaces. L'inconvénient est que si cet unique pare-feu est compromis, plus rien n'est contrôlé. Il est cependant possible d'utiliser deux pare-feu en cascade afin d'éliminer ce risque. Il existe aussi des architectures de DMZ où celle-ci est située entre le réseau Internet et le réseau local, séparée de chacun de ces réseaux par un pare-feu.
Configuration Pour ce réseau on va utiliser un firewall matériel avec la configuration suivante : On va acceder à l’interfece de configuration du firewall par l’adresse 192.168.1.1
Apres cette etape on va configurer l’interface Lan ( Internal)
On a donné l’interface une adresse statique et on a alouer le passage des paquets des protocoles HTTPS , HTTP , PING et FMG-Access Apres cette étape on doit configurer l’interface WAN
Même chose pour cette interface Maintenant il nous reste de configurer le port DMZ
On doit router vers les sous réseau(Vlan 10 et Vlan 20)
La derniere etape c’est de alouer les packets de passer du DMZ ver LAN et du LAN vers DMZ et du LAN vers WAN
Ref : http://www.cisco.com/c/dam/en_us/about/ciscoitatwork/downloads/ciscoitatwork/ pdf/French_Cisco_IT_Case_Study_WLAN_Benefits.pdf http://www.commentcamarche.net http://www.wikipedia.org switch/
http://www.compufirst.com/compufirst-lab/reseau-et-telecom/comment-choisir-sonhttp://www.clemanet.com/achat-switch.php http://www.projetsdiy.fr/router-switch-hub-differences-choix/
http://www.zdnet.fr/actualites/8-points-pour-choisir-le-bon-routeur-wi-fi-d-entreprise39829180.htm