INTRODUCTION

                              Le développement du réseau Internet soulève des questions essentielles en matière de sécurité informatique.

L’accroissement des trafics en télécommunication révèlent les besoins grandissants d’échanges privés et professionnels.

Ces transmissions de données imposent une ouverture des systèmes d'information vers l'extérieur, notamment vers Internet. Celle-ci entraîne une certaine dépendance des entreprises et des personnes vis-à-vis des services qu'offre Internet.

Ainsi, cette ouverture et cette dépendance rendent l'entreprise vulnérable aux risques. C’est pour cela que la sécurité Internet est devenue un sujet de recherche très intense.

Ces recherches ont permis le développement de certains dispositifs de sécurité comme les pare-feux, les antivirus et les systèmes de cryptographie pour protéger les systèmes informatiques.

Vu l’importance et l’obligation de l’élaboration d’un pare-feu, chaque organisme doit établir un pare-feu pour la sécurité informatique afin d’identifier les sources de menace et ses dégâts informationnels.

C’est dans cette optique que s’inscrit mon sujet : établir un Pare-feu de sécurisation open source dans le réseau informatique de L'Université Virtuelle de Côte d'Ivoire (UVCI).

Un pare-feu, appelé aussi ‘‘coupe-feu’’, ‘‘garde-barrière’’ ou ‘‘firewall’’ en anglais, est un système permettant de protéger un ordinateur ou un réseau d’ordinateurs des intrusions provenant d’un réseau externe (Internet). Ce système permettant de filtrer les paquets de données échangés avec le réseau. Il s’agit ainsi d’une passerelle filtrante comportant au minimum les interfaces réseau suivantes :

 Une interface pour le réseau à protéger (réseau interne),                                          Une interface pour le réseau externe.

Organisation du mémoire : ce mémoire s’articule autour de quatre (04) principaux chapitres :

  Le premier chapitre, est un survol sur les généralités de la sécurité informatique, où on présente les outils nécessaires pour l’assurer,

   Le deuxième chapitre décrit brièvement les différentes architectures de pare-feu

  Le troisième chapitre, comprend deux phases : une phase de l’analyse du projet, suivie d’une phase de conception qui définit l’installation et la configuration basique du pare-feu IPCOP,

  Le dernier chapitre présente la phase de réalisation : clôturer la mise en place du pare-feu par le paramétrage du pare-feu IPCOP.

Une conclusion générale reprenant les points forts de ce travail, termine ce mémoire.

LE CONTEXTE

I-            PRESENTATION DU SERVICE IMPACTE

               Université virtuelle de côte d’ivoire pour une compréhension de son fonctionnement a mis en place un organigramme, de ce fait je me focalise sur le secteur de la sous-direction des moyens généraux qui en fait partie. Les services généraux désignent l'ensemble des services nécessaires au fonctionnement normal d'une entreprise. On peut citer par exemple : la gestion du courrier, la maintenance, la gestion des locaux techniques, des systèmes d'incendie, de sécurité, des droits d'accès. Elles ont tendance à être externalisés, permettant à une entreprise de concentrer ses moyens sur son cœur de métier, et mutualiser les coûts des services généraux. C'est notamment le cas pour les jeunes ou petites entreprises qui n'ont pas le besoin ou les capacités financières d'avoir une ou plusieurs personnes à plein temps.

Vu les nombreux services quelle englobe, mon sujet de recherche qui consiste à mettre en place un pare-feu dans un système open source dans le réseau de l’université virtuelle converge vers un de ses services qui est « Service de la logistique et de la maintenance ».

Le service de la logistique et de la maintenance sur qui se base mon sujet de stage a pour but :

Ø Gérer les flux de matières en mettant à disposition et en gérant des ressources correspondant aux besoins, aux conditions économiques et pour une qualité de service déterminée, dans des conditions de sécurité et de sûreté satisfaisantes ;

Ø Maintenir au meilleur niveau l’infrastructure de toute l’Administration de l’UVCI.

Ø Gérer le parc des postes de travail

Ø Support aux activités des Examens et l'administration des services réseaux collaboratifs

Ø Achat des équipements informatiques

Ø Suivi du plan des travaux de construction de nouvel ouvrage

Ø Suivi des travaux de réhabilitation

Ø Suivi des travaux d’entretien et de renouvellement 

      

   Sur le site ci-dessous nous pouvons voir l'organigramme de l'université virtuelle de côte d'ivoire (UVCI).

 http://www.uvci.edu.ci/organigramme/propo.html

II-           ETUDE DE L’EXISTANT

             Chaque ordinateur connecté à Internet et d’une manière plus générale à n’importe quel réseau informatique, est susceptible d’être victime d’une attaque d’un pirate informatique.

Ainsi, il est nécessaire de se protéger de ces attaques réseaux en installant un dispositif de protection c’est dans cette optique qu’intervient la notion de sécurité informatique.

La sécurité informatique est définie par sept (07) grands principes à protéger, ces derniers sont la protection de la confidentialité, la protection de l’intégrité et de la disponibilité de l’information, mais aussi l’authenticité, la fiabilité, l’imputabilité et la non-répudiation de cette information. Souvent assimilé à la SSR qui est l’acronyme de la sécurité des systèmes et des réseaux.

Les 5 notions les plus importantes en sécurité informatique sont les suivantes :

La confidentialité : Garantir que l’accès à l’information et aux données n’est autorisé que pour les entités ou personnes autorisées à les consulter.

La disponibilité : Ici il faut garantir que la ressource ou l’information sera disponible à tout moment, ou a minima accessible quand une personne souhaitera l’utiliser.

L’intégrité : Garantir que les données ou informations stockées ne soient pas modifiées par un tiers, c'est-à-dire quelles conservent leur pertinence et empêchant une altération de celle-ci.

La non-répudiation : Ici une liaison avec une partie du droit et de la justice est présente, cela consiste à interdire ou empêcher à une entité ou une personne d’avoir la possibilité de nier sa participation ou son intégration au sien d’une action.

L’authentification : Assurer qu’une personne ou une entité soit bien celle qu’elle prétend être, cela inclut donc de pouvoir vérifier la véracité de ses propos à son égard.

La sécurité des systèmes d’information elle, englobe les mesures mises en place et assurant la sécurité dans les systèmes d’information, incluant donc la sécurité informatique et la sécurité des communications. Les types de sécurité entrant dans la sécurité des systèmes d’information met en jeu la sécurité physique contre les vols et incidents majeurs (tremblement de terres, feu, inondation), la sécurité logicielle, la sécurité électronique etc.

Objectif de la sécurité informatique

La sécurité a pour objectif de lutter contre trois éléments principaux :

ü Le premier élément est défini par la « menace », qui se caractérise par un évènement susceptible de se produire. Qu’il soit le fruit d’une action malveillante ou non, une menace est définie par tout élément, action ou opération qui aurait comme résultat, de nuire à une ressource.

ü Le second élément lui, est lié au premier. La vulnérabilité, qui si elle est existante ou laissé à la négligence, permet le risque de menace potentiel. Ces vulnérabilités peuvent être soit d’origine dans un programme, on parlera ici d’erreur de conception. Une vulnérabilité dans la configuration des droits d’accès ou de paramétrage de sécurité est appelée vulnérabilité de configuration. Une vulnérabilité au sein même du code, comme par exemple ne pas protéger des champs de saisi utilisateur contre des injections SQL, ce qui rend le code vulnérable et non fiable. Mais la plupart des vulnérabilités sont souvent dût à de mauvais comportement de la part des utilisateurs. Par Exemple laisser sa session ouverte lors d’une pause-café, télécharger des logiciels externes à ceux de l’entreprise, ou encore brancher une clef USB inconnu directement sur son poste, sont des actions à prévenir pour éviter une mauvaise surprise.

Le dernier élément lui, profite de la menace ou de la vulnérabilité, c’est l’attaque. Par exemple un site non protégé ou sans contrôle d’entrée peut par cette vulnérabilité être attaqué par une attaque DDOS qui aura pour but de rendre ce même site inutilisable ou inaccessible. De même par le branchement d’une clef USB vérolée sur un poste pourra le verrouiller et crypter les données sur celui-ci pour ensuite demander une rançon pour le déblocage du poste de travail.

Les facteurs de la mise en place d’une sécurité informatique

Sur Internet des attaques ont lieu en permanence, à raison de plusieurs attaques par minute sur chaque machine connectée. Ces attaques sont pour la plupart lancées automatiquement à partir de machines infectées (par des virus, chevaux de Troie, etc.), à l’insu de leur propriétaire. Plus rarement il s’agit de l’action de pirates informatiques. Afin de contrer ces attaques, il est indispensable de connaître les principaux types d’attaques afin de mieux s’y préparer.

Les motivations des attaques peuvent être de différentes sortes :

ü Obtenir un accès au système,

ü Voler des informations, tels que des secrets industriels ou des propriétés intellectuelles,

ü Glaner des informations personnelles sur un utilisateur,

ü Récupérer des données bancaires,

ü S’informer sur l’organisation (entreprise de l’utilisateur, etc.),

ü Troubler le bon fonctionnement d’un service,

ü Utiliser les ressources du système de l’utilisateur, notamment lorsque le réseau sur lequel il est situé possède une bande passante élevée, etc.

Mise en place d’une politique de sécurité

La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d’accès aux données et ressources d’un système en mettant en place des mécanismes d’authentification et de contrôle permettant d’assurer que les utilisateurs des ressources possèdent uniquement les droits qui leur ont été octroyés.

La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu’ils puissent utiliser le système d’information en toute confiance. C’est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, dont la mise en œuvre se fait selon les quatre étapes suivantes :

ü Identifier les besoins en termes de sécurité, les risques informatiques pesant sur l’entreprise et leurs éventuelles conséquences,

ü Elaborer des règles et des procédures à mettre en œuvre dans les différents services de l’organisation pour les risques identifiés,

ü Surveiller et détecter les vulnérabilités du système d’information et se tenir informé des failles sur les applications et matériels utilisés,

L’open Source

               Elle s'applique aux logiciels dont la licence respecte des critères établis par l'Open Source Initiative, c'est-à-dire la possibilité de libre redistribution, d'accès au code source, et de travaux dérivés, qualifie souvent un logiciel libre d’Open Source, car les licences compatibles Open Source englobent les licences libres selon la définition de la FSF. La fondation pour le logiciel libre (en anglais FSF, sigle de Free Software Foundation) est une organisation américaine à but non lucratif, fondée par Richard Stallman en 1985 pour aider au financement du projet GNU et de la communauté du Logiciel libres. L’Open Source défend en particulier la liberté d'accéder aux sources des programmes.

Ainsi les logiciels approuvés par l’Open source offrent la possibilité de libre redistribution, d’accès au code source et de travaux dérivés. L’open source est un moyen d’investir dans des solutions moins coûteuses en comparaison aux produits commerciaux.

Maintenant, nous allons ici vous présenter deux termes qui nous semblent importants dans le monde de l’open source.

·        Le premier terme est le projet GNU. Il s’agit d’un système d’exploitation composé exclusivement de logiciels libres. La mission GNU est de développer un système Unix complètement libre.

·        Le deuxième terme est la licence GPL (General Public License) qui fixe les conditions légales de distribution des logiciels libres du projet GNU. La principale caractéristique de cette licence est « le copyleft » qui consiste à détourner le principe du copyright pour préserver la liberté d’utiliser, de modifier et de diffuser le logiciel.

L'expression « Logiciel libre » fait référence à la liberté et non pas au prix. Pour comprendre le concept, vous devez penser à la « liberté d'expression », pas à « l'entrée libre ». L'expression « Logiciel libre » fait référence à la liberté pour les utilisateurs d'exécuter, de copier, de distribuer, d'étudier, de modifier et d'améliorer le logiciel. Elle fait référence à quatre types de liberté pour l'utilisateur du logiciel :

ü La liberté d’utiliser le logiciel pour tout usage.

ü La liberté d'étudier le fonctionnement du logiciel et de l'adapter à ses besoins

ü La liberté de redistribuer le logiciel

ü La liberté d'améliorer le logiciel et de distribuer ses améliorations, pour en faire profiter toute la communauté.

Le recours à l'Open Source apparaît donc comme la solution idéale pour répondre aux nouveaux défis de l'informatique, notamment dans l'évolution de son modèle économique.

L’open source et la sécurité

                 L’Open Source est en plein essor depuis quelques années avec de nombreuses innovations qui apparaissent sans cesse tous les jours. De plus aujourd’hui, la sécurité est devenue un enjeu commercial ce qui pousse les entreprises à se tourner vers des solutions open source. Mais l’Open source entre souvent en concurrence avec les solutions propriétaires et de multiples modèles économiques existent.

Les logiciels Open Source présentent en effet des qualités fonctionnelles et de bonnes performances dans le domaine de la sécurité.

Souvent plus fiables, plus performants que les produits commerciaux, les logiciels libres, de par leur philosophie garantissent la sécurité d’un système d’information. L’open source pour beaucoup d’entreprise apporte des avantages au niveau de la sécurité comme :

ü Des coûts réduits grâce à la mutualisation des équipements réseau.

ü Une pérennité et une stabilité accrues avec l’ouverture du code.

ü Une sécurité performante

ü Une évolution des logiciels grâce à la communauté Open Source.

L’open source sont l’absence de licence, la disponibilité du code source, le développement décentralisé, la correction des bogues et un support communautaire. La transparence du code source est donc plutôt une assurance de sécurité qu’un risque supplémentaire.

Toute faille de sécurité ou bug informatique peuvent être rectifiés par les développeurs grâce au code source du programme. Les entreprises bénéficient de logiciels constamment améliorés, stables et sécurisés sans avoir à attendre la sortie de nouvelles versions pour obtenir les corrections effectuées par les éditeurs.

Voici quelques systèmes d’exploitation open source que nous pouvons citer RedHat, Fedora, Mandriva, Debian, Suse, Slackware, Gentoo.

III-        PROBLEMES

    Au cours de mes recherche je rencontrais quelques problèmes assez légers du fait qu’après avoir activé un pare-feu Internet, il se peut que vous ne parveniez pas à faire des recherches, ou « naviguer », sur d'autres ordinateurs de votre réseau domestique ou d'entreprise ; il se peut également que vous ne soyez pas en mesure de partager des fichiers avec d'autres ordinateurs de votre réseau domestique.

LA CONCEPTION

I-             IPcop

I-1) Présentation d’IPcop

                          IPCop est une distribution Linux basée sur Linux From Scratch1, qui vise à fournir un pare-feu simple à gérer basé sur du matériel PC (Personnal computer). IPCop est un pare-feu à états construit sur le framework netfilter de Linux.

Elle vise à fournir un moyen simple mais puissant pour configurer un pare-feu sur une architecture de type PC. Elle peut protéger sur une telle architecture un réseau familial ou de petites ou moyennes entreprises, elle offre la classique Zone démilitarisée ainsi que les tunnels réseau privé virtuel (acronyme VPN en anglais).

IPCop peut également servir de serveur mandataire (proxy), serveur fournissant des adresses IP dynamique (DHCP), de relais DNS, de serveur de temps (NTP), et en installant des greffons ou modules, de bien d'autres choses (contrôle de contenu, liste noire, liste d'accès, DNS dynamique, contrôle de trafic, etc.). Le support des clients sans fil est aussi prévu par le biais d'une zone dédiée

I-2) Les services

Les services permettent de créer différents serveurs, ou tout simplement d'ajouter un rôle afin qu'IPCop soit plus qu'un simple firewall (pare-feu).
Divers services sont disponibles avec IPCop, certains peuvent être désactivés tandis que d’autres qui sont nécessaires ne peuvent l’être. Seuls les services visibles depuis l'onglet " Etat du système " vont être exposés ici, bien entendu d'autres sont disponibles mais ils feront l'objet d'un futur dossier concernant l'interface web d'administration.

Nous pouvons énumérez quelques services :

ü RPV
ce service vous permet de créer un Réseau Privé Virtuel (VPN pour les intimes) entre votre IPCop et un autre IPCop. Il peut être désactivé si l'on ne fait pas de VPN.

ü Serveur CRON
cron est le nom d’un démon (ou processus) qui permet de planifier l’exécution de tâches à des dates et heures définies à l’avance, ce service pourrait être comparé aux " Tâches planifiées " de Windows. Ce service ne peut être désactivé.

ü Serveur DHCP
vous permet de créer un serveur DHCP afin d’allouer dynamiquement une adresse IP, une passerelle et l’adresse de vos serveurs DNS à des ordinateurs dont les cartes réseau sont configurées en mode « client DHCP » (GNU Linux et Mac) ou « Automatique » (Windows). Il peut être désactivé.

ü Serveur NTP
il s'agit là d'un service de serveur de temps, ceci permet de synchroniser l'heure de votre IPCop en fonction de celle d'un serveur NTP d'internet. Il est possible de désactiver ce service.

ü Serveur Web
ne peut être désactivé car ce service permet l'accès à l'interface web d'administration.

ü Serveur d'accès à distance (SSH)
vous permet d’accéder à votre serveur IPCop via le protocole SSH (avec PuTTYdont on peut automatiser les connexions par exemple). Il peut être désactivé.

ü Serveur d'enregistrement de journaux
vous permet d’avoir des rapports de suivi des événements survenus sur le réseau et les services (tentatives d’intrusion, trafic sortant et entrant, etc.). Ce service peut être désactivé.

ü Serveur d'enregistrement des journaux du noyau
ce service peut être désactivé. Son rôle est d'analyser le noyau du système, vous permettant ainsi de repérer les erreurs du système.

ü Serveur mandataire (proxy)
peut être désactivé. Ce service permet de créer un serveur proxy jouant le rôle de tampon entre les ordinateurs de votre réseau et Internet.

ü Système de détection d’intrusion
peut être désactivé. Il permet d’activer la détection d’intrusion sur les interfaces avec les règles Snort (inscription gratuite obligatoire sur le site de Snort pour pouvoir profiter de ce service), il est possible de choisir l’interface sur laquelle on souhaite l’activer ou la désactiver.

I-3) Plug-ins

Des plug-ins (modules supplémentaires) peuvent être installés afin d’améliorer des services existants ou afin d’ajouter des rôles supplémentaires à votre serveur IPCop.

·        AdvProxy
Advanced Proxy est, comme son nom l’indique, un serveur proxy avancé. Il enrichit ainsi les options existantes au niveau du proxy d’IPCop, son installation est nécessaire pour pouvoir utiliser et activer le plug-in URL Filter.

·        URL FILTER
Ce plug-in vous permettra d’effectuer un filtrage d’url afin d’interdire l’accès à certaines catégories de sites web (contenu pornographique, violence, drogue, hack, warez, etc.).

·        CopFilter
On ne peut pas vraiment définir CopFilter de plug-in tellement l’étendu de ce qu’il apporte à IPCop est importante. CopFilter regroupe en fait un ensemble de plug-ins permettant d’effectuer un contrôle antivirus sur les e-mails entrants, de stopper le spam (pourriel), d’effectuer des tâches de monitoring, etc.

I-4) Configuration du matériel

IPCop ne nécessite pas une grosse configuration pour fonctionner convenablement (un ordinateur PC ayant un processeur à 233 Mhz et 64 Mo de mémoire vive suffit pour un réseau d’une vingtaine de postes).
Cependant la machine devra posséder au moins autant de cartes réseaux que d’interfaces que vous comptez exploiter (sauf si vous utilisez un modem pour l’interface rouge) ainsi qu’un lecteur CD-ROM pour effectuer l’installation. Il peut être également utile d’ajouter un lecteur de disquettes si l’on souhaite effectuer et restaurer des sauvegardes.

La configuration matérielle minimale est un processeur de type 386, 32Mo de RAM, un disque dur de 300Mo, et une carte réseau (si vous utilisez un modem).
Il y’a une liste des cartes réseaux et des modems compatibles avec IPCop qu’on peut trouver sur le net, il arrive que certains modèles qui ne figurent pas dans la liste soient tout de même reconnus, cependant pour éviter d'éventuels problèmes, il vaut mieux utiliser un périphérique qui figure dans celle-ci.
Un écran et un clavier sont bien évidemment nécessaires pour l’installation, mais dont on pourrait se passer une fois celle-ci terminée (à condition de désactiver l’erreur correspondant à l’absence de clavier au démarrage dans le BIOS...).

I-5) Installation de IPcop

Ø Installation à l'aide d'une disquette et d'un serveur Web ou FTP

·        Placez le CD IPCop dans le lecteur de CD du PC IPCop. Si nécessaire, insérez la disquette de démarrage d'IPCop dans le lecteur de disquette. Pressez le bouton reset pour redémarrer l'ordinateur. Si le PC IPCop ne démarre pas, vérifiez les paramètres de démarrage du BIOS. Rapidement, l'écran représenté ci-dessous apparaît. Si ce n'est pas le cas, vérifiez que le moniteur est bien branché à la carte vidéo de la machine cible et qu'il est bien allumé, que l'ordinateur a bien démarré depuis le lecteur de CD ou le lecteur de disquette.

Cet écran vous avertit de la prochaine destruction des données du disque dur de la machine si vous poursuivez l'installation.

Vous pouvez presser ici la touche Entrée, ou choisir l'une des trois options d'installation.

Lors du démarrage, beaucoup de messages informatifs venant du noyau défilent à l'écran. Vous n'avez pas à vous soucier de ces messages à moins qu'un problème dû au matériel ne survienne. Dans ce cas, la séquence de démarrage s'arrête. Après quelques secondes, l'écran permettant de sélectionner la langue pour les boîtes de dialogue de la procédure d'installation est affiché.

•         Le choix de la langue 

     

     ·        Configuration du clavier

       

 

•      Configuration du fuseau horaire
•         Choix du disque dur
•        Choix du support

          

Cette boîte de dialogue vous permet de choisir le support d'installation. Dans la mesure où vous souhaitez installer depuis un serveur HTTP, sélectionnez la ligne HTTP, utilisez la touche de tabulation jusqu'au bouton Ok et pressez la touche Entrée pour valider ce choix.

•            La configuration des interfaces 

       

•   Configuration du réseau 

      

•       Activation du DHCP
•       Configuration du serveur DHCP

       

•         Définition d’un mot de passe

     

•        Fin de l’installation

       

I-            LES LOGICIELS UTILISES

ü VMware Workstation 15.0

ü IPcop v. 2.1.8

ü ParrotOS security

II-1) Présentation de VMware Workstation

C'est la version station de travail du logiciel. Il permet la création d'une ou plusieurs machines virtuelles au sein d'un même système d'exploitation (généralement Windows ou Linux), ceux-ci pouvant être reliés au réseau local avec une adresse IP différente, tout en étant sur la même machine physique (machine existante réellement). Il est possible de faire fonctionner plusieurs machines virtuelles en même temps, la limite correspondant aux performances de l'ordinateur hôte. La version Linux présente l'avantage de pouvoir sauvegarder les fichiers de la machine virtuelle pendant son fonctionnement.

II-2) Présentation de ParrotOS Security

ParrotOS (Parrot Security, ParrotOS) est une distribution GNU / Linux libre et open source basée sur les tests Debian conçue pour les experts en sécurité, les développeurs et les personnes sensibilisées à la vie privée. Il comprend un arsenal entièrement portable pour la sécurité informatique et les opérations d'investigation numérique, mais il contient également tout ce dont vous avez besoin pour développer vos propres programmes ou protéger votre vie privée tout en surfant sur Internet. Le système d'exploitation est livré avec l'environnement de bureau MATE préinstallé et est disponible en plusieurs versions pour répondre à des besoins.