MÉMOIRE DE MASTER II INFORMATIQUE
Spécialité : Réseaux et Télécommunications
Options : Réseaux, Systèmes et Services
Etude et mise en place d’une solution de contrôle d’accès au réseau (NAC) d’une entreprise
La sécurité informatique
Exigence fondamentale à la sécurité
La sécurité du réseau informatique d’une entreprise a pour objectif de faire des actions contre les menaces intentionnelles ou accidentelles. Le système informatique est souvent établi par la totalité des informations et des ressources matérielles et logicielles de la société, permettant de les stocker ou de les faire transiter. Il représente un patrimoine important de la société, qu’il est nécessaire de sécuriser. La sécurité de l’information protège l’information d’une multitude d’intimidations afin de garantir la continuité de l’organisme, restreindre les dommages et participer le plus que possible à avoir le degré de protection désiré. La sécurité de l’information vise la confidentialité, de l’intégrité et de disponibilité de l’information : Confidentialité : Assure le secret de l’information. Au moment où la confidentialité est convenablement garantie, elle permet l’accessibilité à l’information aux seuls utilisateurs autorisés. Il est ici question d’endiguer toute révélation non admis des dispositifs et information, Intégrité : Garantit la conformité de l’information. Elle permet aux utilisateurs d’avoir l’assurance que l’information est exacte et qu’elle n’a pas été changée par une personne non autorisé. Il est ici question d’endiguer toute altération non admis des dispositifs et informations, Disponibilité : Assure que l’information parvienne à être utilisable. Elle permet aux utilisateurs de pouvoir accéder aux applications qui traitent ces informations. Il est ici question de contrarier tout arrêt de prestation et de productivité.
Attaque et contre-attaque
Le virus
Les Virus informatiques (appelés véritablement « CPA ou Code Parasite Autopropageable ») sont des codes qui ont la particularité : de s’auto reproduire, d’infecter (contaminer), d’activer et d’altérer ou même détruire le fonctionnement du système ou de l’information stockée. [2] Autoreproduction : L’autoreproduction est le terme correcte pour designer tout programme doté de la faculté de se recopier lui-même sans l’intervention humaine, et soit de façon systématique, soit si certaines circonstances ou conditions sont remplies. Infection : L’infection signifie que le programme dupliqué va se loger de manière illégitime dans certaines parties du système informatique. Les cibles privilégiées sont la mémoire centrale (ce ne peut être la seule cible car le virus ne se propagerait pas d’un ordinateur à l’autre, sauf à travers des réseaux, et disparaîtrait à l’extinction de l’ordinateur) et les zones d’informations exécutables contenues sur les disques ou les disquettes (on pense immédiatement aux programmes enregistrés sur ces supports, mais ce n’est pas le seul cas possible). Lorsque l’ordinateur tentera d’exécuter ces instructions, le programme viral qu’elles contiennent s’exécutera également. Activation : L’activation du virus, ou plus exactement celle de sa (ou de ses) fonction(s) pathogène(s) se produira uniquement si certaines conditions sont réunies : par exemple lors du nième lancement du virus, lors d’un double clic, ou toute autre conjonction arbitraire de conditions. Altération : Lorsque les conditions d’activation sont remplies le virus déclenche en effet une fonction d’agression (payload en anglais) restée en sommeil : il prend au moins partiellement le contrôle du fonctionnement de l’ordinateur pour lui faire accomplir des actions diverses. [3] L’excellente solution est l’emploi d’un logiciel de sécurité à jour et de faire les patches des applications afin de fuir l’utilisation des bugs.
L’écoute du réseau (Sniffer)
Il existe des logiciels qui, à l’image des analyseurs de réseau, permettent d’intercepter certaines informations qui transitent sur un réseau local, en retranscrivant les trames dans un format plus lisible (Network packet sniffing). La meilleure solution contre cette attaque est l’utilisation d’une carte SIM ou d’une calculette à mot de passe. Un sniffer est un formidable outil permettant d’étudier le trafic d’un réseau. Il sert généralement aux administrateurs pour diagnostiquer les problèmes sur leur réseau ainsi que pour connaître le trafic qui y circule. Ainsi les détecteurs d’intrusion (IDS, pour intrusion detection system) sont basés sur un sniffeur pour la capture des trames, et utilisent une base de données de règles (rules) pour détecter des trames suspectes. Malheureusement, comme tous les outils d’administration, le sniffer peut également servir à une personne malveillante ayant un accès physique au réseau pour collecter des informations. Ce risque est encore plus important sur les réseaux sans fils car il est difficile de confiner les ondes hertziennes dans un périmètre délimité, si bien que des personnes malveillantes peuvent écouter le trafic en étant simplement dans le voisinage.
Le cheval de Troie
Un cheval de Troie (Trojan horse en anglais) est un type de logiciel malveillant, qui ne doit pas être confondu avec les virus ou autres parasites. Le cheval de Troie est un logiciel en apparence légitime, mais qui contient une fonctionnalité malveillante. Le rôle du cheval de Troie est de faire entrer ce parasite sur l’ordinateur et de l’y installer à l’insu de l’utilisateur. Suite l’accès au système cible, les pirates utilisent la crédibilité en installant un logiciel qui permet de transmettre les données par web. La meilleure solution est de contrôler l’accès des utilisateurs à l’ordinateur et d’installer et mettre à jour de l’antivirus.
Le Déni de service Distribuer (DDoS)
Le « Distributed Denial-of-Service » ou déni de service distribué est un type d’attaque très évolué visant à faire planter ou à rendre muette une machine en la submergeant de trafic inutile (voir 13 fiche DoS). Plusieurs machines à la fois sont à l’origine de cette attaque (c’est une attaque distribuée) qui vise à anéantir des serveurs, des sous-réseaux, etc. D’autre part, elle reste très difficile à contrer ou à éviter. C’est pour cela que cette attaque représente une menace que beaucoup craignent. [6] La meilleure solution contre cette attaque est le firewall ou la répartition des machines sur un réseau sécurisé.
Le contrôle d’accès au réseau
C’est un mécanisme permettant de sécuriser les actifs de la société des intimidations et des faiblesses en bridant l’usage d’une ressource (physique : Serveur, Point d’Accès, Routeur, ou rationnel : Application, Système d’informations, Processus) du site aux seules structures autorisées.
Le principe de fonctionnement
Le principe de fonctionnement du processus de contrôle d’accès au réseau : Indiquer quels utilisateurs peuvent avoir accès au système, / Indiquer les ressources auxquelles ils peuvent avoir accès, Indiquer les opérations qu’ils peuvent réaliser, Donner la responsabilisation de chacun.
Les différents types
On distingue trois types de contrôle d’accès à savoir : Technique : ce genre de contrôle d’accès touche l’ensemble des accès logiques aux ressources du site. Il est intégré avec des règlements logiciels et matériels se basant sur des technologies, Physique : Il touche l’ensemble des accès physiques aux bâtiments et ressources matérielles, Administratif : ce type de contrôle d’accès est opéré via des documents exposant les stratégies, les responsabilités et les fonctions administratives requises pour gérer l’environnement de contrôle.
Les méthodes de contrôle d’accès
Après la présentation des concepts essentiels dans la sécurité informatique et l’obligation de contrôle d’accès pour la protection des actifs de la société, nous allons dévoiler au cours de cette section les dispositions de sécurité qui peuvent ne pas se heurter au les dangers qui menacent la sécurité informatique des réseaux locaux au sein des entreprises.
La procédure d’identification et d’authentification
L’identification : C’est une phase dans laquelle, l’utilisateur établit son identité unique. Ainsi, on peut le connaître. L’authentification : C’est la méthode qui a pour objectif, pour un système informatique, à contrôler l’identité d’une entité (personne, ordinateur,) afin de permettre l’accessibilité de cette entité à des ressources (systèmes, réseaux, applications,) L’autorisation : permettre ou non l’accessibilité à la ressource donnée.
La fonction de hachage
Une fonction de hachage est aussi appelée fonction de hachage à sens unique ou « one-way hash function » en anglais. Ce type de fonction est très utilisé en cryptographie, principalement dans le but de réduire la taille des données à traiter par la fonction de cryptage. En effet, la caractéristique principale d’une fonction de hachage est de produire un haché des données, c’est-à-dire un condensé de ces données. Ce condensé est de taille fixe, dont la valeur diffère suivant la fonction utilisée : nous verrons plus loin les tailles habituelles et leur importance au niveau de la sécurité.
Le logiciel de protection (antivirus)
Un antivirus permet de détecter d’éradiquer logiciels malveillants ou les virus et empêcher l’attaque. Son fonctionnement consiste à analyser régulièrement les fichiers du système pour vérifier qu’ils ne contiennent pas de code malveillant en inspectant les disques durs, la mémoire et les volumes amovibles (CD, disque dur externe, clé USB, DVD…).
Le pare-feu
Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est un système permettant de protéger un ordinateur ou un réseau d’ordinateurs des intrusions provenant d’un réseau tiers (notamment internet). Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s’agit ainsi d’une passerelle filtrante comportant au minimum les interfaces réseau suivante : Une interface pour le réseau à protéger (réseau interne) ; Une interface pour le réseau externe. Un pare-feu servant d’interface entre un ou plusieurs réseaux et internet afin de contrôler et éventuellement bloquer la circulation des paquets de données, en analysant les informations.
Introduction générale |
Liste des figures
Figure 1 : Principe du fonctionnement d’un firewall
Figure 2 : Architecture d’une solution Microsoft NAP
Figure 3 : Architecture de la solution Juniper UAC
Figure 4 : Interaction des outils NAC
Figure 5 : Diagramme de cas d’utilisation global
Figure 6 : Diagramme de déploiement
Figure 7 : Diagramme de séquence « configurer une interface réseau »
Figure 8 : Diagramme de séquence « Bloquer un site ou un domaine »
Figure 9 : La topologie réseau de notre solution
Figure 10 : Etapes de déploiement
Figure 11 : Les interfaces réseaux du Pfsense
Figure 12 : la table de routage
Figure 13 : Test de connectivité entre Lan et WAN
Figure 14 : Les règles de filtrage au noveau DMZ
Figure 15 : Les regles de fltrage au niveau LAN
Figure 16 : Les regles de fltrage au niveau WAN
Figure 17 : Interfaces de Free Radius
Figure 18 : Interface de Snort
Figure 19 : La liste de services et outils intégrés à pfsense
Figure 20 : Connexion de Free Radius et AD
Figure 21 : Interface compte utilisateur
Figure 22 : Interface d’authentification (mot de passe correcte)
Figure 23 : Compte utilisateur bloqué
Figure 24 : Réclamation d’un utilisateur
Figure 25 : Interface de supervision du trafic
Figure 26 : La liste des utilisateurs