Interconnexion et sécurisation de sites

DEDICACE

Mon seigneur et sauveur Jésus Christ

Mon PERE : KOUAKOU N’Guessan Théodore

ET MA MERE : KOFFI Adjoua Rebecca Epse N’guessan

J’exprime ma gratitude pour les atouts génétiques, culturels et spirituels que vous m’avez
donnés. La stabilité familiale dont vous m’avez fait bénéficier depuis mon enfance a forgé
ma personnalité.

Merci

N’guessan Kouakou Mathieu Elève ingénieur informaticien i

 Interconnexion et sécurisation de sites

REMERCIEMENT

AUX RESPONSABLES

Du

DISTRICT DE YAMOUSSOUKRO

Monsieur THIAM AUGUSTIN, Gouverneur du District Autonome de Yamoussoukro, pour

nous avoir accepté comme stagiaire ;
Monsieur KOFFI CHARLES, Directeur de l’informatique et des TIC ; qui a accepté de nous
assister pendant la période de notre stage;

Monsieur KONAN ETIENNE NARCISSE, sous-directeur des systèmes d’informations ;

Monsieur KOUADIO MATHIAS, Chef de la Cellule informatique,
Monsieur SAGODOGO DAOUDA, Chef du personnel du District Autonome de
Yamoussoukro;
Nos remerciements vont à l’endroit de tout le corps administratif et professoral de l’Institut
National Polytechnique Félix Houphouët Boigny (l’INP-HB) qui a assuré notre formation,
notamment :
 La Direction Générale de l’INP-HB ;
 La Direction Générale de l’Ecole de Formation Continue et de Perfectionnement des
Cadres (l’EFCPC) ;
 La Direction du projet Centre de Formation Continue des Informaticiens
Professionnels (CFCIP) ;
 Monsieur Asseu Olivier, notre encadreur pédagogique, pour sa disponibilité

Nos remerciements vont aussi à l’endroit de tous les autres membres du personnel de la
Direction Informatique et tous ceux qui de près ou de loin ont contribué à la réalisation de
notre mémoire.

N’guessan Kouakou Mathieu Elève ingénieur informaticien ii

 Interconnexion et sécurisation de sites

AVANT-PROPOS

Créé le 04 Septembre 1996 par décret ministériel N° 96-678, l’Institut

National Polytechnique Félix Houphouët-Boigny (INP-HB) de Yamoussoukro est un
établissement public d’enseignement supérieur et de recherche, né de la restructuration et de
la fusion de :

 l’Ecole Nationale Supérieure des Travaux Publics (ENSTP),

 l’Ecole Nationale Supérieure d’Agronomie (ENSA),
 l’Institut National Supérieur de l’Enseignement Technique (INSET) et,
 l’Institut Agricole de Bouaké (IAB).

L’INP-HB se présente comme un établissement de référence en matière de formation des

cadres et techniciens supérieurs de Côte d’Ivoire et d’Afrique subsaharienne.

Il regroupe en son sein six (6) grandes écoles que sont :

 l’Ecole Supérieure de Commerce et d’Administration des Entreprises (ESCAE),

 l’Ecole Supérieure des Mines et de Géologie (ESMG),
 l’Ecole Supérieure d’Agronomie (ESA),
 l’Ecole Supérieure des Travaux Publics (ESTP),
 l’Ecole Supérieure d’Industrie (ESI),
 l’Ecole de Formation Continue et de Perfectionnement des Cadres (EFCPC), au sein
de laquelle nous sommes inscrits.

Partageant la vocation générale de l’Institut, la direction de l’EFCPC et son

Centre de Formation Continue des Informaticiens Professionnels (CFCIP) organisent à
l’intention des étudiants en fin de cycle, des stages pratiques en entreprise en vue de les
amener à se familiariser aux réalités de l’entreprise tout en mettant au profit de celle-ci, leurs
connaissances académiques acquises au cours de leur formation.

C’est dans cette optique que nous avons été accueillis à la Direction Informatique du District
de Yamoussoukro du 21 septembre au 21 décembre 2016 pour un stage qui a permis la
rédaction de ce mémoire.

N’guessan Kouakou Mathieu Elève ingénieur informaticien iii

 Interconnexion et sécurisation de sites

SOMMAIRE

DEDICACE

REMERCIEMENTS

AVANT_PROPOS

INTRODUCTION................................................................................................................... 1

PROBLEMATIQUE............................................................................................................... 2

PREMIERE PARTIE : ETUDE PREALABLE

Chapitre 1 : Cadre de référence………………………………………………….....…....... 4

1.1 Historique et missions du District de Yamoussoukro................................................. 4

1.2 Organisation et fonctionnement du District de Yamoussoukro ................................. 5
1.3 Présentation de la direction informatique...................................................................7
1.4 Attributions de la sous direction des systèmes d'information......................................7
1.5 Attributions de la sous direction du développement et NTIC .................................... 8
1.6 Description des ressources......................................................................................... 9
.
Chapitre 2 : Etude de l’existant................................………………………………...…… 11

2.1 Présentation du système actuel ................................................................................ 11

2.2 Critique du système actuel ....................................................................................... 12

Chapitre 3: Présentation du thème et définition des termes…………...……………….. 13

3.1 Présentation du thème .............................................................................................. 13

3.2 Objectifs..................................................................................................................... 13
3.3 Méthodes et Techniques d’analyses.......................................................................... 14

DEUXIEME PARTIE : ETUDE TECHNIQUE

Chapitre 4 : Présentation des solutions d’interconnexions possibles…..................……. 16

4.1 La fibre optique......................................................................................................... 16

4.2 Virtual private network (VPN).................................................................................. 18
4.3 La liaison spécialisée................................................................................................ 19
4.4 Le WIMAX................................................................................................................. 20
4.5 Proposition de solutions.............................................................................................22

N’guessan Kouakou Mathieu Elève ingénieur informaticien iv

 Interconnexion et sécurisation de sites

Chapitre 5 : Présentation générale de la solution choisie.................................................. 24

5.1 Fonctionnement......................................................................................................... 24
5.2 Les différents types de VPNs..................................................................................... 25
5.3 Topologies des VPNs................................................................................................. 28

Chapitre 6 : Sécurité des VPNs et protocoles utilisés........................................................ 33

6.1 Les firewalls............................................................................................................... 30

6.2 Les composants basics de la cryptographie.............................................................. 30
6.3 Le tunneling............................................................................................................... 35
6.4 Les protocoles de tunneling....................................................................................... 35
6.5 Comparaison des différents protocoles..................................................................... 47

TROISIEME PARTIE : REALISATION

Chapitre 7 : Mise en œuvre.................................................................................................. 49

7.1 Architecture de la solution proposée........................................................................ 49

7.2 Choix de la technologie VPN site-à-site à mettre en place....................................... 49
7.3 Sécurité des liaisons et des accès.............................................................................. 56
7.4 Mise en œuvre de l’interconnexion et des services................................................... 62
7.5 Coût de réalisation.................................................................................................... 67

CONCLUSION ..................................................................................................................... 68
REFERENCE WEBOGRAPHIQUE…………………………………………….....……. 69
REFERENCE BIBLIOGRAPHIQUE…………………………………………........…… 69
ANNEXE……………………………………………………………………..…......……… 70

GLOSSAIRE……………………………………………………………..........................… 75

N’guessan Kouakou Mathieu Elève ingénieur informaticien v

 Interconnexion et sécurisation de sites

INTRODUCTION

Les différentes politiques d’aménagements du territoire adoptées par le gouvernement

ivoirien depuis l’indépendance ont permis de doter un grand nombre de localités en
équipements et infrastructures socioéconomiques modernes de base, non seulement en milieu
urbain mais aussi en milieu rural.

Plusieurs instruments financiers avaient été conçus dans ce cadre afin de déclencher un
certain nombre d’actions relatives à l’aménagement du territoire en Cote d’Ivoire. Parmi ces
instruments ont figuré les Fonds Régionaux d’Aménagement Rural (FRAR) et les Fonds
d’Investissement et d’Aménagement Urbain (FIAU).

De plus, la côte d’ivoire, dans le but de s’inscrire de façon concrète dans la bonne
gouvernance et la mise en œuvre progressive de sa politique de décentralisation qui implique
entre autre la définition de stratégie de développement et de valorisation des territoires
nationaux tout en s’appuyant sur des actions de proximité, a entrepris une vaste reforme tant
budgétaire qu’administrative.

Fort de ce qui précède et ne voulant pas être en marge des nouvelles orientations fixées
par le gouvernement, le District de Yamoussoukro a adopté un ensemble de résolutions et de
recommandations, a savoir : relever le défi de la bonne gouvernance tout en produisant des
prestations de services et de qualité, en mettant un point d’honneur à la satisfaction des
exigences, attentes et besoins de tous ses usagers, administrés et partenaires au
développement. En outre, conscient de ne pouvoir atteindre ses objectifs aux fins d’un
développement durable pour ses administrés sans systèmes de gestion, de
télécommunications fiables et tenant compte de l’enjeu des nouvelles technologies de cette
présente ère informatique, le District de Yamoussoukro par le biais de son service
Informatique nous a confié ce thème intitulé :

«Interconnexion et sécurisation de sites» : Cas du District de Yamoussoukro.

De ce fait, nous nous attèlerons à présenter notre cadre de travail, puis nous procèderons à
une étude du système existant suivi par l’étude technique et la mise en œuvre de la solution
proprement dite.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 1

 Interconnexion et sécurisation de sites

PROBLEMATIQUE

Toute administrations, organismes publics ou privés, chargés d’une activité publique, est
tenue de veiller a la bonne conservation et administration des données qu’elle produits dans
l’exercice de ses attributions réglementaires. C’est un impératif d’organisation en ce sens que
des informations mal gérées font perdre du temps. C’est également une nécessité à l’égard
des administrés, de l’administration et des partenaires au développement dont les droits
respectifs peuvent être établis et validés à partir de documents perceptibles d’apporter une
présomption de preuves. C’est enfin une obligation morale et scientifique vis à vis des
générations futures.

En outre, l’avènement de l’informatique dans l’exécution des tâches quotidiennes n’est

plus à démonter eu égard aux immenses avantages qu’il offre dans tous les domaines.
Parmi les facteurs nécessaires au fonctionnement de toute entreprise, s'inscrit fortement le
système d'information (SI), dont la gestion optimale est un moyen incontournable pour une
entreprise possédant plusieurs succursales. Cette gestion du système d'information (SI), qui
constitue l'ensemble des équipements nécessaire à l'automatisation et à la sécurisation de
l'information, passe au préalable, par le choix d'une technologie de télécommunication
adaptée.
Partant de ce constat, il convient pour une gestion rationnelle et efficiente des différentes
activités du District Autonome de Yamoussoukro de mettre sur pied un système
d’interconnexion sécurisé et fiable.
Ainsi, eu égard de ce qui précède, plusieurs interrogations s’imposent a nous :

- Quelle stratégie adopter afin de procéder à un suivi fiable et efficace des différents
projets d’investissements en cours ?
- Comment assurer les accès sécurisés au sein de structures parfois reparties sur de
grandes distances géographiques ?
- Comment faciliter l’accès aux informations ?
- Quels protocoles et quelle configuration assurent-ils l'accès sécurisé à l'information à
travers ces technologies ?

N’guessan Kouakou Mathieu Elève ingénieur informaticien 2

 PREMIERE PARTIE

ETUDE PREALABLE
 Interconnexion et sécurisation de sites

Chapitre 1 : CADRE DE REFERENCE

Cette première partie présente notre cadre référentiel de stage, le District Autonome de
Yamoussoukro (DAY) dans sa configuration actuelle.

1.1 Historique et missions du District de Yamoussoukro

Le District Autonome de Yamoussoukro est situé au centre de la Côte d’ivoire à 240 km

d’Abidjan. C’est une collectivité territoriale dotée d’une autonomie financière née en 2002
par le décret 2002-44 du 21 janvier 2002 et qui répond à la politique de décentralisation
initiée par le Président de la République.
Il est dirigé par une personnalité morale (un Gouverneur) aidé par un conseil et peut a ce juste
titre engager des actions complémentaires à celle de l’Etat et des collectivités territoriales de
son ressort dans les domaines et conditions fixés par la loi.

Le District de Yamoussoukro, peut donc conclure toutes conventions avec l’Etat, d’autres
collectivités territoriales, leurs établissements publics et leurs groupements ou les organismes
privés.
Il regroupe entre autre les communes et les Sous-préfectures du département de
Yamoussoukro.
Son siège se trouve donc dans la commune de Yamoussoukro, capitale politique de la Côte
d’ivoire.

La ville de Yamoussoukro, chef lieu du District doit son essor par la volonté politique de
faire d’elle une ville avec un rôle national.
Gros bourg rural, elle a été érigée en chef lieu de sous préfecture en 1960, puis en chef lieu de
département en 1983 et enfin en chef lieu de région en 1990.
Depuis mars 1983, elle est devenue capitale politique et administrative de la Côte d’Ivoire
succédant en un demi-siècle à Grand-Bassam, Bingerville et Abidjan. Cependant, elle ne
possède pas encore les attributs institutionnels du pouvoir central.

Ville importante, Yamoussoukro connaît une évolution particuliaire dont les principales
étapes sont les suivantes :

 1952-1962 : Yamoussoukro est passé de 80 hectares à 175 hectares ;

 1962-1975 : l’espace urbain couvre une superficie de 1750 hectare avec un taux
de croissance d’agglomération de 16,10 % ;
 1975-1986 : l’agglomération de Yamoussoukro s’est étendue avec la création de
nouveaux quartiers et l’implantation des équipements d’intérêt national tels que le
CAFOP, le lycée scientifique, l’hôtel de ville, etc.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 4

 Interconnexion et sécurisation de sites

 1986-2005 : la ville couvre une superficie urbanisée de 9300 hectares.

Le District de Yamoussoukro a de nombreux avantages naturels (le climat, le relief, le sol et

le sous-sol, l’hydrographie, la végétation).

Les compétences qui lui sont conférées par l’état de Côte d’Ivoire sont consignées dans la loi
n° 2003-208 du 07 juillet 2003 portant transfert des compétences de l’état aux collectivités
territoriales.

1.1.1 Missions du District de Yamoussoukro

Dans le respect de l’intégrité territoriale, de l’autonomie et des attributions des autres

Collectivités Territoriales et en harmonie avec les orientations nationales, le District de
Yamoussoukro a pour compétences :

 L’aménagement du territoire;
 La planification de l’habitat;
 Les voies de communications et les réseaux divers;
 la santé, l’hygiène publique et la qualité;
 la protection de l’environnement et la gestion des ressources naturelles;
 la sécurité et la protection civile;
 l’enseignement, la recherche scientifique et la formation professionnelle et
technique;
 l’action sociale, culturelle et de la protection humaine;
 les sports et loisirs;
 la promotion du tourisme;
 la promotion du développement économique et de l’emploi;
 la communication;
 l’hydraulique, l’assainissement et l’électrification;
 la promotion de la famille, de la femme, de la jeunesse, des enfants, des handicapés
et des personnes du troisième âge.

1.2 Organisation et fonctionnement

Pour l’exercice de ses compétences, le District de Yamoussoukro dispose des organes

suivants :
 Un Conseil du District;
 Le bureau du District;
 Un Gouverneur du District;
 Un Comité Consultatif du District;
 Une Organisation Administrative.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 5

 Interconnexion et sécurisation de sites

Le Conseil du District

Le Conseil du District est l’organe délibérant, ses membres sont repartis en six (6)
commissions permanentes chargées d’étudier et de suivre les questions suivantes

 Planification, développement et emploi;

 Economie, budget et finance;
 Environnement, cadre de vie, tourisme et artisanat;
 Equipement, infrastructure et transport;
 Education, affaires sociales, culture, sport et loisir;
 Sécurité et protection civile.

Le bureau du District

Les attributions de ce bureau permettent une bonne répartition des charges de la gestion du
district. Il est chargé entre autre :

 De l’établissement de l’ordre du jour des réunions du conseil;

 De la préparation du programme des opérations et des actions de développements du
District;
 De la préparation du budget du district et du suivi de son exécution;
 Du suivi du recouvrement des recettes;
 Des opérations préliminaires à l’attribution d’un marché par le conseil ou par le
Gouverneur;
 D’émettre un avis préalable à l’engagement par le Gouverneur de dépenses dépassant
un montant prévu par la loi portant régime financier du District.

Le Gouverneur du District

Le Gouverneur est l’organe exécutif du district. Il prépare et soumet au bureau du l’ordre du

jour des réunions. Il convoque et préside les réunions du bureau et celle du conseil. Il se
charge de l’exécution des délibérations du conseil.

Le Gouverneur est l’ordonnateur des dépenses et des recettes du District. Il est le chef des
services du district.

L’organisation administrative

L’organisation administrative du District est élaborée sur la base des orientations définies par
l’organigramme type mis à la disposition du District de Yamoussoukro par la direction
générale de l’aménagement du territoire.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 6

 Interconnexion et sécurisation de sites

1.3 Présentation de la direction informatique

La Direction de l’Informatique est la structure qui nous a accueillis pour notre stage. Elle est
chargée de la réalisation de la politique du District en matière d’informatique, de
l’établissement du schéma directeur de l’informatique, de la supervision des projets et actions
informatiques.
Elle est composée de deux (2) sous-directions :

- La sous-direction des systèmes d’information composée des :

 Service des Systèmes d’Information ;

 Service Assistance, Formation et Supports Technique.

- La sous-direction du développement et des NTIC composée des :

 Service d’Etude et Développement ;

 Service Architecture, réseaux et sécurité.

1.4 Attributions de la sous-direction des systèmes d’information

Conception et définition d’une politique globale des systèmes d’information;

Réalisation d’études ou d’expertises nécessaires à la mise en place ou au
développement des systèmes d’information;
Planification, contrôle de la gestion des activités et des projets et de
l’utilisation des moyens consacrés aux systèmes d’information;
Contrôle de l’architecture applicative et fonctionnelle;
Organisation et configuration des structures du système d’information en
fonction des choix stratégiques;
Management et supervision de responsables ou /et d’équipe projet;
Suivi et maîtrise des contrats de sous-traitance informatique;
Définition, mise en œuvre de la politique de gestion des risques informatiques et
contrôle de fiabilité, de la sécurité, de la confidentialité et de l’intégrité des
systèmes d’information;
Maîtrise d’ouvrage de l’élaboration des Systèmes d’Information (SI);
Définition et mise en place de partenariats avec l’environnement extérieur;
Veille technologique sur les matériels et les organisations des Système
d’informations;
Formation et développement professionnel du personnel technique;
Administration du système d’information ;
Administration des réseaux ;
Administration des bases de données.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 7

 Interconnexion et sécurisation de sites

1.5 Attributions de la sous direction du développement et NTIC

Attributions de la Sous Direction :

Elaboration et conception de la politique des nouvelles technologies de

l’information et de la communication en conformité avec les objectifs fixés par
la hiérarchie;
Conception et réalisation de cd-rom interactif;
Conception et réalisation de site Internet du District;
Coordination de toutes les activités des différents services dans le domaine des
NTIC;
Créer des programmes d’application et développer toutes applications
susceptibles d’améliorer la gestion en collaboration avec la sous-direction des
Systèmes d’Information (SI);
Veille technologique sur les NTIC.

Attribution du Service d’Etudes et Développement :

Automatisation des tâches de la gestion en interne (site- web, programme de

gestion,…) en collaboration avec la sous-direction Systèmes d’Information;
Assistance aux services.

Attribution du Service NTIC :

Conception et réalisation de site Internet pour le District;

Conception d’application web;
Mise en œuvre de serveur de messagerie;
Configuration réseau de poste de travail pour accès à Internet;
Télécommunications.

1.5.1 Organigramme de la Direction Informatique

La Direction Informatique

La sous-direction La sous-direction
des systèmes du développement
d’information et des NTIC
Service
Service des Assistance, Service
Systèmes Formation et Service d’Etude et Architecture,
d’Information Supports Développement réseaux et
Technique sécurité

N’guessan Kouakou Mathieu Elève ingénieur informaticien 8

 Interconnexion et sécurisation de sites

1.6 Description des ressources

Pour obtenir un meilleur rendement des services et eu égard à l’évolution même des
attributions du District de Yamoussoukro (DY), des moyens conséquents sont mis à
leur disposition.
Ceux-ci s’analysent en termes d’acquisition de matériels d’équipement et de
réhabilitation des locaux.
Sur les trois dernières années, la politique d’acquisition s’est traduite par l’achat
de matériels informatique et de bureau (imprimantes, micro-ordinateurs, etc.)
Ainsi, en ce qui concerne l’environnement matériel et logiciel nous notons qu’il
est composé :

a) Ressources matérielles
 Matériel informatique

Matériels Caractéristiques
Marque : HP PRO
Ordinateur de bureau RAM : 4 Go
Disque Dur :1 To
HP Proliant ML 350 G3
Serveur RAM :4 Go (8 Go maximum)
Disque Dur : 438 Go
Photocopieuse CANON IR 2200
Imprimantes HP LaserJet 1320
HP LaserJet P2014

 Matériel réseau et télécommunication

Matériels Caractéristiques
Routeur Cisco Linksys-WRT160N (4 Ports)
Cisco serie 2800
Switch D-link 216 (16 ports)
D-link Ethernet (8 ports)
Power station Version 5 ;
Fréquence: 5 GHz ;
Mode: IEEE 802.11 a.
Telephone Marque: Panasonic ;
Type: fixe.

Tableaux 1 et 2 : Les ressources matérielles

N’guessan Kouakou Mathieu Elève ingénieur informaticien 9

 Interconnexion et sécurisation de sites

b) Logiciels

Systèmes d’exploitation

Les différents systèmes d’exploitation sur lesquels fonctionnent les applications de

l’administration du district sont :
Microsoft Windows; XP professionnelle; Vista; Seven ultimate; Windows server 2003;
Linux Mandriva.
Applications

Le District dispose de logiciels tels que :

 ;

 .
 ;
 ;


N’guessan Kouakou Mathieu Elève ingénieur informaticien 10

 Interconnexion et sécurisation de sites

Chapitre 2 : ETUDE DE L’EXISTANT

2.1 Presentation du système actuel

Une meilleure compréhension de l'environnement informatique aide à déterminer la

portée du projet et de trouver la bonne solution à implémenter. Il est de ce fait indispensable
de disposer d'informations précises sur l'infrastructure réseau et les problèmes qui on une
incidence sur le bon fonctionnement de celle-ci.
Le réseau du District Autonome de Yamoussoukro s’étend sur quatre (4) sites distants.
L'architecture de chaque sites est également un réseau LAN (Local Area Network), Ethernet,
basé sur la topologie étoile.
Chaque LAN est de type Ethernet, câblés selon les normes IEEE 802.3, avec pour support la
paire torsadée blindée (STP) de catégorie 5e. Ces câbles sont sertis selon la norme EIA-TIA
568 B, supportant un débit maximum de 100Mbps.

 Un serveur de comptabilité, d’immobilisation et paye, Sage Saari qui est sous

Windows Server 2003 ; c’est un serveur dédié HP COMPAQ 3,2 GHz, 2 Go de RAM
et un disque dur de 80 Go ;
 Un serveur dédié Mail, base de données et contrôleur de domaine pour la gestion des
mails de tout le personnel, le contrôle des authentifications et la gestion centralisée
des bases de données qui est sous Windows Server 2003, c’est un serveur HP Proliant
ML 350 G3, RAM: 4 Go (8 Go maximum), disque dur: 438 Go.
Pour ce qui est de la gestion des comptes utilisateurs, les authentifications ne sont pas
toutes centralisées (Tous les utilisateurs des sites distant). Les comptes des utilisateurs
sont soit des comptes administrateurs ou des comptes limités et n’ont pas accès aux
ressources partagées du réseau. Les comptes Invités sont actifs sur certains postes de
travails.

Figure 1 : Topologie générale

N’guessan Kouakou Mathieu Elève ingénieur informaticien 11

 Interconnexion et sécurisation de sites

2.2 Critique du système actuel

La critique de l'existant est un jugement objectif portant sur l'organisation actuelle de

l'entreprise.

2.2.1 Points forts du système

Le système existant possède des atouts basés sur l’organisation. Cette organisation tient
sa force des caractéristiques suivantes :

 Tout les sites distant du district de Yamoussoukro (DAY) sont dotés dune
connexion internet haut débit. Le siège en procède trois (3) de 6 Méga
chacune;
 Réseau local de chaque site opérationnel ;
 Contrôleur de domaine déjà fonctionnel.

2.2.2 Points faibles du système

Le système quoique opérationnel, n’est pas sans failles. Ainsi on peut relever entre autres :

 Données non centralisée stockées sur des supports analogiques;

 Difficulté relatives à la confidentialité des informations échangées entre
sites;
 Données échangées de façon manuelle ;
 Impossible d’utiliser les ressources du réseau (accès sécurisé aux fichiers
et bases de données distante,…) ;
 Un plan d’adressage réseau moins optimal et évolutif ;
 Les équipements du réseau utilisent une authentification par défaut;
 Pas de sécurité logicielle pour les réseaux existants (filtrage,
authentification) ;
 Manque d’un système d’équilibre des charges (Load balancing) au niveau
des connexions internet du siège. En effet, le siège du District de
Yamoussoukro possède trois (3) connexions internet de haut débit,
cependant, une seule connexion à la fois est utilisée.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 12

 Interconnexion et sécurisation de sites

Chapitre 3 : PRESENTATION DU THEME ET DEFINITION DES TERMES

3.1 Présentation du thème

Dans une entreprise, communiquer est essentiel, voire vitale. C’est le gage de son bon
fonctionnement, car étant elle-même composée de plusieurs directions et services. Toute
entreprise nécessite une parfaite interaction entre ses différentes composantes pour lui
permettre d’atteindre ses objectifs. Cela nécessite la mise en place d’un système
d’interconnexion basé sur une ou plusieurs solutions de transmission adéquat.

C’est pourquoi, nous avons été accueilli au District Autonome de Yamoussoukro, ou il

nous a été soumis le thème : « Interconnexion et sécurisation de sites distants ».
Ce projet consiste à mettre en place un système d’interconnexion fiable, sécurisé des
différents sites du District de Yamoussoukro.

3.2 Objectifs

3.2.1 Objectifs généraux

Les objectifs de ce projet sont :

 Permettre aux différents utilisateurs quelque soit leur site d’exploiter les ressources
du réseau;
 L’implémentation d’un environnement client/serveur.

3.2.2 Objectifs spécifiques

Les objectifs à atteindre pour le District sont de plusieurs ordres. Il s’agit d’assurer les
services suivants :

 Administration du système à distance ;

 Sécurisation des données;
 Administration centralisée du système;
 Eviter les pertes de données;
 Réduction considérable de consommable tel que papier.

L'interconnexion des réseaux locaux est l'ensemble des solutions permettant de relier les
ordinateurs, quelque soit la distance ou leurs différences.

Un réseau local sert à interconnecter les ordinateurs d'une organisation, toutefois une
organisation comporte généralement plusieurs réseaux locaux, il est donc parfois
indispensable de les relier entre eux. Dans ce cas, des équipements spécifiques sont
nécessaires.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 13

 Interconnexion et sécurisation de sites

3.3 Méthodes et Techniques d’analyses

Tout chercheur se focalise sur une ou plusieurs méthodes et techniques susceptibles de
l'orienter.

La technique : C'est un ensemble d'instruments ou d'outils qu'utilise la méthode enfin de

réaliser un travail scientifique.

On pourrait associer la définition du mot méthode à une combinaison de deux mots :

- Méthis : Le raisonnement rusé ou les ruses de l'intelligence

- Hodas : Le chemin, la voie à suivre.

D'où, méthode pourrait se définir comme étant le chemin de la ruse. On peut aussi dire, un
ensemble de démarches que suivent l'esprit et l'arrangement qui en résulte.

Une analyse se définie comme étant un examen méthodique, raisonnement inductif ou

déductif permettant de distinguer les différentes parties d'un problème et de définir leurs
rapports.

L’informatique est le traitement automatique et rationnel de l'information par ordinateur.

Ainsi, une méthode d'analyse informatique peut se définir comme étant un ensemble de
démarches suivant un raisonnement inductif ou déductif dans le but de distinguer les
différentes parties d’un problème et de réaliser le traitement automatique de celui-ci.

Elle a donc pour objectif de permettre la formalisation, les étapes préliminaires du

développement d'un système afin de rendre ce développement plus fidèle aux besoins du
client. Pour ce faire, on part d'un énoncé informel, ainsi que de l'analyse de l'existant
éventuel.

Notons qu’une méthode d’analyse et de conception est la réunion d’une démarche et d’un
formalisme. Son objectif est de permettre de formaliser les étapes préliminaires du
développement d’un système afin de rendre ce développement plus fidèle aux besoins du
client. La mise en place d’un système d’interconnexion nécessite un grand nombre de
connaissance. De ce fait, pour mener à bien notre étude, nous avons eu à utiliser certaines
méthodes et techniques a savoir :

 L’observation de l’environnement et des méthodes de travail des différents

acteurs afin de mieux comprendre les contours du projet ;

 L’analyse des composant du système existant qui consiste à décomposer les

éléments du système existant enfin de le définir et d'en dégager les spécificités
auxquelles le nouveau système fera face ;

N’guessan Kouakou Mathieu Elève ingénieur informaticien 14

 Interconnexion et sécurisation de sites

 Des entretiens réalisées avec différents acteurs dans le souci de mieux cerner
le fonctionnement des différents services et de mieux percevoir les problèmes
rencontrés par les différents employés dans l’exercice de leurs attributions ;

 La documentation en ce sens que notre système doit correspondre le plus

possible à leur réalité.

La présentation du sujet et du cadre du travail mis en évidence, nous passons au choix

techniques les plus appropriées qui permettront de satisfaire toutes les contraintes. C’est
l’objet du chapitre suivant.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 15

 Deuxième PARTIE

ETUDE TECHNIQUE
 Interconnexion et sécurisation de sites

Chapitre 4 : PRESENTATION DES SOLUTIONS D’INTERCONNEXION

POSSIBLES

La partie précédente a consisté à dégager la préoccupation principale de nos travaux et les

différentes questions qui s'y rattachent.
Etymologiquement, le mot interconnexion est la jonction de deux mots : inter et connexion.

L’interconnexion veut tout simplement signifier la connexion, la liaison entre deux ou

plusieurs choses. En appliquant cette définition aux réseaux informatiques, il ressort alors que
interconnecter le système informatique de deux ou plusieurs structures revient alors à établir
une jonction entre les réseaux informatiques de ces dernières afin qu’elles puissent échanger
des informations, des données.

Plusieurs moyens sont utilisés pour interconnecter deux réseaux informatiques distants, nous
avons :

 L’interconnexion par supports physiques,

 l’interconnexion par ondes radios ou faisceaux hertziens.

Plusieurs techniques de nos jours permettent l’interconnexion et la sécurisation de réseaux

locaux. Nous proposons dans cette section d'étudier les différentes solutions envisageables.
Cette étude a pour but de doter le district de Yamoussoukro d’une plateforme robuste, sûr et à
coût amoindri.

4.1 La fibre optique

La fibre optique est un fil en verre ou en plastique très fin qui a la propriété de conduire
de la lumière et sert dans les transmissions terrestres et océaniques de données. Elle offre un
débit d'informations nettement supérieur à celui des câbles coaxiaux et supporte un réseau
large bande par lequel peuvent transiter aussi bien la télévision, le téléphone, la
visioconférence ou les données informatiques.

4.1.1 Principe de fonctionnement

À la base une fibre optique est un guide-onde. C'est donc l'onde qui se propage dans la
fibre optique qui est modulée pour contenir une information. Le signal lumineux est codé en
variation d'intensité. Pour les courtes distances, et une optique à bas coût, une simple DEL
peut jouer le rôle de source émettrice tandis que sur des réseaux haut débits et à longue
distance, c'est un laser qui est de préférence utilisé. Il existe principalement deux types de
fibres optiques:

 Les fibres plastiques, en polystyrène (PS) ou en poly méthacrylate de méthyle

(PMMA), sont économiques, légères et souples, mais leur atténuation est élevée ; on
les utilise surtout pour les transmissions à courte distance.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 17

 Interconnexion et sécurisation de sites

 Les fibres silice-silicone sont constituées d'un cœur de silice pure et d'une gaine
de silicone. Elles présentent une faible atténuation, mais sont plus rigides et plus
onéreuses que les fibres plastiques et sont utilisées pour les transmissions longue
distance.
Lorsqu'un rayon lumineux entre dans une fibre optique à l'une de ses extrémités avec un
angle adéquat, il subit de multiples réflexions totales internes. Ce rayon se propage alors
jusqu'à l'autre extrémité de la fibre optique sans perte, en empruntant un parcours en zigzag.
La propagation de la lumière dans la fibre peut se faire avec très peu de pertes même lorsque
la fibre est courbée.

4.1.2 Les différentes catégories de fibres optiques

On peut distinguer deux catégories de fibres optiques selon le diamètre de leur cœur et la
longueur d'onde utilisée:

 Les fibres optiques multimodes, les premières sur le marché, les fibres multimodes
ont pour caractéristiques de transporter plusieurs modes (trajets lumineux). Elles sont
caractérisées par un diamètre de cœur de plusieurs dizaines à plusieurs centaines de
micromètres et permettent d'atteindre le Gbit/s sur des distances de l'ordre du km.
Elles sont réservées aux réseaux informatiques à courtes distances.
Dans cette famille, nous trouvons deux sous catégories:
a) La fibre multimode à saut d'indice;
b) La fibre multimode à gradient d'indice.

 La fibre optique monomode c'est le top. Pour de plus longues distances ou de plus
hauts débits, il est préférable d’utiliser des fibres monomodes (dites SMF, pour Single
Mode Fiber), qui sont technologiquement plus avancées.
Leur cœur très fin n'admet ainsi qu'un mode de propagation, le plus direct possible c'est-à-
dire dans l'axe de la fibre. Elles sont utilisées pour les réseaux à très longues distances tels
que les lignes intercontinentales et la solution la meilleure, mais aussi la plus onéreuse.

4.1.3 Avantages et inconvénients de la fibre optique

 LES AVANTAGES

 Débit très élevé, d'une grosse centaine de Mégas bit par seconde : 10,2 Tbit/s
(l0 200 Gbit/s), sur une distance de 100 kilomètres;
 Transmission longue distance;
 Sécurité élevée ;
 Durée de vie de la fibre est de 20 ans, ce qui représente une valeur sûre,
durable et économique pour les entreprises;

N’guessan Kouakou Mathieu Elève ingénieur informaticien 18

 Interconnexion et sécurisation de sites

 Insensibilité aux interférences extérieures.

 LES INCONVENIENTS

 Coût de déploiement élevé. La fibre optique, par apport au câble en cuivre

coûte moins cher. En revanche, la connectique et les convertisseurs d'énergie
électrique/lumineuse et réciproquement à placer aux extrémités coûtent cher,
très cher même, suivant les méthodologies mises en œuvre;
 La silice qui est le matériau au centre de la fibre est fragile. Il est important
que cette silice soit bien protégée;
 Maintenance difficile.

4.2 Virtual private network (VPN)

Le VPN est l'abréviation de Virtual Private Network ou Réseau Privé Virtuel. Le VPN
dispose de la même fonctionnalité qu'un réseau prive (utilisant des lignes spécialisées) mais
utilise Internet pour créer des lignes louées virtuelles qui passent par le réseau public. Un
VPN permet le raccordement de travailleurs mobiles et l'interconnexion de sites distants.

En d’autre terme, le but de la solution VPN (Virtual Private Network) est de pouvoir faire
communiquer à distance les employés distants et partenaires de l'entreprise de façon
confidentielle, et ceci en utilisant internet. Il s'agit donc de créer un canal virtuel de
communication protégé traversant un espace public non protégé. Chacun des membres du
réseau VPN peut être un réseau local (LAN) ou un ordinateur individuel.

Un VPN fonctionne en encapsulant les données d'un réseau à l'intérieur d'un paquet IP
ordinaire et en le transportant vers un autre réseau. Quand le paquet arrive au réseau de
destination, il est décapsulé et délivré à la machine approprié de ce réseau. En encapsulant les
données et en utilisant des techniques de cryptographie, les données sont protégées de
l'écoute et de d’éventuelle modification pendant leur transport au travers du réseau public.

4.2.1 Avantages et inconvénients du VPN

 LES AVANTAGES

 La possibilité de réaliser des réseaux privés à moindre coût;

 La mise en œuvre d'un intranet étendu permettant à tous les utilisateurs et
partenaires d'accéder à distance à des ressources partagées, quelle que soit leur
localisation géographique;
 Solution sécurisée puisque le VPN est un réseau privé reposant sur deux
éléments: L'authentification et l'encryptage.

 LES INCONVENIENTS
 Nécessité de respecter les règlementations nationales en vigueur sur le
chiffrement ;

N’guessan Kouakou Mathieu Elève ingénieur informaticien 19

 Interconnexion et sécurisation de sites

 Cette solution est dépendante d’un fournisseur d’accès internet.

4.3 La liaison spécialisée

Elle se définit sur le plan technique comme une liaison permanente constituée par
un ou plusieurs tronçons d'un réseau ouvert au public et réservée à l'usage exclusif
d'un utilisateur. Elle s'oppose ainsi à la liaison commutée, qui est temporaire. Au plan
juridique, la ligne louée, encore appelée liaison louée ou liaison spécialisée, est ainsi
définie par le code des postes et télécommunications : "la mise à disposition par
l'exploitant public dans le cadre d'un contrat de location d'une capacité de
transmission entre des points de terminaison déterminés du réseau public, au profit
d’un utilisateur, à l'exclusion de toute commutation contrôlée par cet utilisateur". Ce
type de service est utilisé par les entreprises pour leurs réseaux internes, ainsi que par
les fournisseurs de services de télécommunications qui ne disposent pas
d'infrastructures propres ou souhaitent les compléter.

La liaison spécialisée (LS) est une ligne téléphonique tirée directement entre les
locaux du client et le fournisseur d'accès. Le débit varie entre 64 Kb/s à des dizaines
Mb/s, et le coût est fonction du débit demandé.
Dans le cas de l'interconnexion de réseaux locaux, on utilisera un modem et un
routeur pour chaque réseau local. La liaison se ferra à travers une ligne téléphonique
qui reliera les modems entre eux, connectés à leur tour aux routeurs.

4.3.1 Avantages et inconvénients de la liaison spécialisée

 LES AVANTAGES
 C'est une liaison qui offre des débits de connexion symétriques, garantis en
émission et en réception de données et allant de 64 Kbps jusqu'à des dizaines
de Mbps ;
 Par le biais d'un canal unique exclusivement réservé à votre entreprise, une
liaison spécialisée vous offre la possibilité d'échanger tous types de données;
 Toutes vos communications sont sécurisées et offrent ainsi une fiabilité et une
confidentialité totales.
 LES INCONVENIENTS
 Cette solution est dépendante d’un fournisseur d’accès internet;
 En cote d’ivoire le coût de la redevance mensuelle est très élevé: 472.000 F
pour les frais d'accès et 1.180.000 F pour la redevance mensuelle d'un débit de
1 Mb/s.
 Dans le cas d’une interconnexion de plusieurs sites (Point à multipoint),
chaque site à interconnecter entraine obligatoirement l’utilisation d’une
nouvelle interface pour chaque lignes spécialisées, plus d’interfaces signifie
donc plus de dépense.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 20

 Interconnexion et sécurisation de sites

4.4 Le WIMAX

L'évolution technologique des interconnexions de réseaux a permis de s'affranchir de

l'utilisation des câbles (paire torsadée, fibre optique...). L'utilisation du réseau filaire est
progressivement délaissée au profit de réseaux sans fils en raison des contraintes liées à leur
déploiement et maintenance. Le nouveau monde de l'interconnexion se caractérise par
l'utilisation des voies hertziennes. La boucle locale radio, utilisée pour l'interconnexion de
bâtiments en accès haut débit par voie hertzienne, a trouvé un nouveau souffle avec la
technologie WiMAX.
WIMAX est l’abréviation pour Worldwide Interoperability for Microwave Access. Il s'agit
d'un standard de réseau sans fil métropolitain créé par les sociétés Intel et Alvarion en 2002 et
ratifié par l'IEEE Institute (Institue of Electrical and Electronics Engineer) sous le nom IEEE-
802.16. Plus exactement, WIMAX est le label commercial délivré par le Wi Max Forum aux
équipements conformes à la norme IEEE 802.16, afin de garantir un haut niveau
d'interopérabilité entre ces différents équipements. Ainsi il permet d'obtenir des débits
montants et descendants de 70 Mbit/s avec une portée de 50 Km. Le WIMAX étend la
couverture et le débit de la BLR. Outre les connexions en ligne de vue directe ou LOS (Line
Of Sight) dans la bande 10-66 GHz, le WIMAX permet aussi une connexion NLOS (No
Line Of Sight) dans la bande 211 GHz, grâce à l'utilisation de la modulation OFDM. Elle
permet notamment de surfer sur Internet en haut débit, de téléphoner (VoIP), ou encore
d'interconnecter des réseaux d'entreprises.

Le fonctionnement d'un réseau WIMAX est principalement basé sur la communication

entre les stations de base (Base Transceiver Station ou BTS) et les divers équipements
certifiés Wi Max qui y sont reliés. Les stations de base correspondent aux antennes placées
sur les points hauts de la ville et à tous les équipements qui y sont reliés, chargés d'émettre et
de recevoir les données sous forme d'ondes radio. La station de base est reliée au centre de
l'opérateur et prend en charge les transmissions avec les abonnés. Chez le client, une petite
antenne doit être placée sur le toit du domicile et orientée vers la station de base (LOS).
Celle-ci est reliée par un câble à un boîtier périphérique de l'ordinateur, qui joue le rôle
d'interface et d'alimentation de l'ODU (Out Door Unit). Les évolutions technologiques
permettent désormais de connecter des antennes clients sans que celles-ci ne soient en vue
des stations de base (NLOS). La figure illustre clairement le principe de fonctionnement du
WIMAX.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 21

 Interconnexion et sécurisation de sites

4.4.1 AVANTAGES ET INCONVENIENTS DU WIMAX

 LES AVANTAGES
 Large zone de couverture ;
 Facilité de maintenance et d'administration;
 Possibilité d'investissement progressif en fonction de la demande;
 Faible coût de déploiement par rapport au réseau filaire (Fibres
optiques).

 LES INCONVENIENTS
 les signaux ne peuvent pas traverser les obstacles entre les antennes
émettrices et réceptrices ;
 Faible tolérance aux perturbations en milieu urbain;
 Sensibilité aux conditions météorologiques;
 Réseau coûteux. Le réseau Wimax a un coût relativement élevée car
l’installation d'antenne nécessite un grand déploiement de personnel ;
 Nécessité de disposer d'un point haut.

Figure 2 : Interconnexion par WIMAX

N’guessan Kouakou Mathieu Elève ingénieur informaticien 22

 Fibre
Solutions LS VPN WIMAX
Optique
Débit très élevé ; Liaison et débits de Interconnexion à moindre coût ; Large zone de couverture ;
Transmission longue connexion garantis ; Accès des ressources partagées Facilite de maintenance ;
distance ; Echange de tous types de distant ; Investissement progressif.
Avantages Sécurité élevée ; données ; Solution sécurisée ;
Durée de vie élevée ; Confidentialité et fiabilité.
Insensibilité aux
interférences extérieures.
Coût de déploiement élevé ; Solution est dépendante d’un Respect de réglementations sur le
Faibles tolérances aux perturbations ;
Fragilité des fibres ; FAI; cryptage ;
Sensibilité aux conditions
Maintenance difficile. Coût redevance mensuelle Solution dépendante du FAI.
météorologiques ;
Inconvénients très élevé ;
Réseau coûteux ;
Dépense pour chaque site à
Nécessité de disposer d'un point
interconnecter.
haut.

Implantation Complexe Facile Facile Complexe

Coût Très élevé Elevé Moyen Très élevé

Durée Assez
Très élevée Peu élevée Peu élevée
D’implantation élevée

Tableau 3 : Comparaison des solutions

 Interconnexion et sécurisation de sites

4.5 Proposition de solutions

4.5.1 Solutions selon les besoins fonctionnels

Ce sont les besoins exprimés par la direction informatique du District de Yamoussoukro

pour mener a bien se projet.
Le réseau du district de Yamoussoukro, par son manque d’homogénéité, ne permet une
gestion centralisée du système, ainsi que l’implémentation efficiente d’une politique de
sécurité visant à sécuriser les données transitant entre sites. De ce fait, toutes les informations
passant par internet sont transmises en clair.

La première solution pour répondre à ce besoin de communication sécurisée pourrait

consister à relier les réseaux distants à l'aide de liaisons spécialisées. Toutefois, un bon
compromis consiste à utiliser Internet comme support de transmission à partir d'un protocole
d'encapsulation" (en anglais tunneling, d'où la prononciation impropre parfois du terme
"tunnelisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée.
Eu égard de ce qui précède, notre choix s’est donc porté sur le VPN pour les raisons ci-
après.
La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des LAN
distants.
Ce procédé utilisé par de nombreuses entreprises permet un grand nombre
d'applications possibles :

 permettent d'administrer efficacement et de manière sécurisé un réseau local

à partir d'une machine distante ;
 permettent aux utilisateurs qui travaillent à domicile ou depuis d'autres sites
distants d'accéder à distance à un serveur d'entreprise par l'intermédiaire d'une
infrastructure de réseau public, telle qu'Internet ;
 permettent de partager des fichiers et programmes de manière sécurisés entre
une machine locale et une machine distante.

A cela s’ajoute une nécessite de sécuriser chaque sites par :

 l’installation de pare-feu dans le but d’empêcher toute intrusion extérieur ;

 Proposer un plan d’adressage par sites à interconnecter ;
 La sécurité des accès au réseau (mot de passe : longueur, caractères spéciaux,
filtrage).

N’guessan Kouakou Mathieu Elève ingénieur informaticien 24

 Interconnexion et sécurisation de sites

4.5.2 Solutions selon les besoins non fonctionnels

Les besoins non fonctionnels représentent les exigences implicites auxquelles le système doit
répondre.

Ainsi à part les besoins fondamentaux, notre système répondra aux critères suivants :

 La simplicité d’utilisation des services implémentés ;

 La centralisation de l’administration et de la gestion des utilisateurs ;
 La performance du réseau (temps de réponse) ;
 La disponibilité aux heures de charge (heures de connexion) ;
 La documentation du réseau ;
 Mise en place d’une stratégie de bascule des lignes internet en cas de coupure
d’une des connexions ;
 Mise en place d’un système d’équilibre des charges ;
 La fiabilité (moyenne de temps de bon fonctionnement).

N’guessan Kouakou Mathieu Elève ingénieur informaticien 25

 Interconnexion et sécurisation de sites

Chapitre 5 : PRESENTATION GENERALE DU VPN

Ce chapitre a pour but l’étude des principes, des moyens techniques et des technologies
nécessaires à la mise en œuvre des réseaux privés virtuelles (VPN). Nous détaillerons les
différents types de tunnélisation ainsi que les protocoles de chiffrement utilisés lors de la
mise en place de tunnels sécurisés VPN.
Il sera également question d’examiner les raisons pour les quelles les VPNs sont très
important, quel types de VPNs sont disponible a déployer et quel type de VPN est approprié
pour une situation donnée.

5.1 Fonctionnement

Le terme VPN (Virtual Private Network) ou réseau privé virtuel, au fil des années, est
devenu un terme courant dans l'informatique d'entreprise et le domaine des réseaux en
général.
Le VPN repose sur un protocole de tunnélisation (tunneling), c'est-à-dire un protocole qui
permet le passage de données cryptées d'une extrémité du VPN à l'autre grâce à des
algorithmes. On emploi le terme « tunnel » pour symboliser le fait que les données soient
cryptées et de ce fait incompréhensible pour tous les autres utilisateurs du réseau public (ceux
qui ne se trouvent pas aux extrémités du VPN).

Ainsi, les utilisateurs ont l'impression de se connecter directement sur le réseau de leur
entreprise.
Le principe du VPN consiste à construire un chemin virtuel après avoir identifié l'émetteur et
le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant ce
chemin virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets
d'entreprise, les réseaux privés virtuels d'accès simulent un réseau privé, alors qu'ils utilisent
en réalité une infrastructure d'accès partagée, comme Internet.
Les données à transmettre peuvent être prises en charge par un protocole différent d'Ip. Dans
ce cas, le protocole de tunneling encapsule les données en ajoutant un en-tête. Le VPN est
l'ensemble des processus d'encapsulation, de transmission et de désencapsulation.

Pour émuler une liaison privée, les données sont cryptées à des fins de confidentialité. Les
paquets interceptés sur le réseau partagé ou public restent indéchiffrables sans clé de
décryptage. La liaison servant à l'encapsulation et au cryptage des données privées est une
connexion VPN.

Etant donné que chaque point d'un réseau VPN est relié au réseau central par le biais d'un
tunnel, reliant les périphériques à un Gateway, tous les utilisateurs passent par le
même "portail", ce qui permet de gérer la sécurité des accès, ainsi que le trafic utilisé par
chacun. En effet, malgré son aspect sécurisé, un réseau VPN reste une extension du réseau
principal vers chaque employé qui y accède, ce qui augmente d'autant le risque de failles.
Centraliser les entrées au réseau permet de renforcer la sécurité, et de mieux gérer la taille
prise par le réseau étendu.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 26

 Interconnexion et sécurisation de sites

5.2 Les différents types de VPNs

Il existe deux (2) principale catégories dans lesquelles les VPNs peuvent être classée :

5.2.1 Le VPN d'accès

Le VPN d'accès (remote-access VPN) est utilisé pour permettre à des utilisateurs itinérants
d'accéder au réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la
connexion Vpn. Il existe deux cas:

 L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers
le serveur distant : il communique avec le Nas (Network Access Server) du
fournisseur d'accès et c'est le Nas qui établit la connexion cryptée.

 L'utilisateur possède son propre logiciel client pour le VPN auquel cas il établit
directement la communication de manière cryptée vers le réseau de l'entreprise.

Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :

La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs
tunnels, mais nécessite un fournisseur d'accès proposant un Nas compatible avec la solution
VPN choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est pas cryptée
Ce qui peut poser des problèmes de sécurité.
Sur la deuxième méthode, ce problème disparaît du fait que l'intégralité des informations
transmises sera cryptée dès l'établissement de la connexion. Par contre, cette solution pourrait
nécessiter que chaque utilisateur ait un logiciel client (VPN client) déjà préinstallé ou
téléchargé directement du serveur d’accès distant, lui permettant d'établir une communication
cryptée.
De plus, il est possible par le biais de tous les navigateurs web d’établir une connexion
sécurisée par l’utilisation du protocole SSL, aussi utilisé pour sécuriser l’accès aux différents
serveurs web via HTTPS.

Le VPN d’accès permet différents types d’accès :

 L’accès sans client (Clientless) ;
 L’accès port forwarding ;
 L’accès avec client (Full client).

a) L’accès sans client

Dans le mode d’accès sans client VPN, l’utilisateur distant accède aux ressources internes en
utilisant un navigateur web (Mozilla, Chrome,…). Ce mode ne requière l’utilisation d’un
logiciel spécial. Toutes les données sont transmises via le navigateur web.
En utilisant l’accès sans client, l’utilisateur distant à la possibilité d’accéder a certaines
applications client/serveur, aux applications avec des interfaces web, les emails et les
serveurs de fichiers.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 27

 Interconnexion et sécurisation de sites

Toutes les applications client/serveur ne sont pas accessible dans ce mode ; cependant, cet
accès limité est un excellant moyen pour les partenaires qui devraient avoir accès a des
ressources limitées de l’entreprise et n’est donc pas utilisé pour les employés qui ont besoins
d’un accès distant illimité.

b) Le port forwarding

Le TCP port forwarding, assume que l’utilisateur distant utilise une application cliente
basée sur le protocole TCP dans le but de se connecter à un serveur.
Dans ce mode, l’utilisateur télécharge une applet java qui agit comme un proxy TCP sur la
machine cliente pour le service configuré sur la passerelle VPN.
Cette applet envoie une requête HTTPS de l’application cliente distante à la passerelle VPN,
qui a sont tour se charge de créer une connexion TCP avec la ressource interne.
En d’autres termes, le TCP port forwarding, fait souvent référence au mode d’accès sans
client et peut donc être utilisé partout ou celui-ci est utilisé. Il étant la capacité des fonctions
cryptographiques des navigateurs web à permettre des accès distants à des applications basées
sur le protocole TCP tel que Telnet, SSH, POP3, SMTP.

c) L’accès avec client

Ce mode supporte la plupart des applications basées sur le protocole IP (Internet Protocol) et
est appropries pour toute application client/server.
L’utilisateur distant peut utiliser toute les ressources internes comme s’il était dans le réseau
intranet de l’entreprise. Ce mode d’accès nécessite que chaque utilisateur ait un logiciel client
(VPN client) déjà préinstallé ou téléchargeable directement du serveur d’accès distant.

Figure 3 : Le VPN d’accès

N’guessan Kouakou Mathieu Elève ingénieur informaticien 28

 Interconnexion et sécurisation de sites

5.2.2 Le VPN site à site

Le VPN site à site (site-to-site VPN) est une extension classique du WAN. Il permet aux
compagnies aillant deux ou plusieurs sites de pouvoir communiquer.
Dans le VPN site a site, les données sont envoyées et reçus normalement tout en transitant
par une passerelle VPN, qui peut être un routeur, un pare feu ou un concentrateur VPN. La
passerelle VPN est chargée d’encapsuler et crypter le trafique sortant provenant d’un site
particulier et de l’acheminer a destination au travers d’un tunnel VPN.
Il en existe deux catégories :

 L'intranet VPN
L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de
réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites
distants. Le plus important dans ce type de réseau est de garantir la sécurité et
l'intégrité des données. Certaines données très sensibles peuvent être amenées à
transiter sur le VPN (base de données client, informations financières...).

 L'extranet VPN
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses
partenaires. Elle ouvre alors son réseau local à ces derniers. Dans Ce cadre, il est
fondamental que l'administrateur du VPN puisse tracer les clients sur le réseau et
gérer les droits de chacun sur celui-ci.

Figure 4 : Le Site-to-Site VPN

N’guessan Kouakou Mathieu Elève ingénieur informaticien 29

 Interconnexion et sécurisation de sites

5.3 Topologies des VPNs

Au niveau des différentes topologies physiques envisageable, on retrouve des réseaux

privés virtuels en étoile, maillé ou partiellement maillé.

 VPN en étoile
Dans cette topologie toutes les ressources sont centralisées au même endroit et
c'est à ce niveau qu'on retrouve le serveur d`accès distant ou serveur VPN,
dans ce cas de figure tous les employés du réseau s'identifient ou
s'authentifient au niveau du serveur et pourront ainsi accéder aux ressources
qui se situent sur l'intranet.

Figure 5 : VPN en étoile

 VPN maille et partiellement maille

Dans cette autre topologie les routeurs ou passerelles présents aux extrémités
de chaque site seront considérés comme des serveurs d'accès distant, les
ressources ici sont décentralisées sur chacun des sites autrement dit les
employés pourront accéder aux informations présents sur tous les réseaux.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 30

 Interconnexion et sécurisation de sites

Figure 6 : VPN maillée

Figure 7 : VPN partiellement maillée

N’guessan Kouakou Mathieu Elève ingénieur informaticien 31

 Interconnexion et sécurisation de sites

Chapitre 6 : SECURITE DES VPNs ET PROTOCOLES UTILISES

Lors de l'utilisation de serveurs VPN sur un réseau, il est conseillé de s'attarder de façon
rigoureuse sur la sécurité. Pour éviter d'être exposé aux différentes attaques des hackers. Le
VPN utilise un ensemble de technologies pour sécuriser les données qui voyagent d'un bout à
l'autre d'internet. Les concepts les plus importants sont ceux de firewall, d'authentification,
protocole de tunnels et du chiffrement de données que nous allons présenter.

6.1 Les firewalls

Un firewall (pare-feu) internet a le même but qu'une porte coupe-feu dans un immeuble:
protéger une certaine zone de l'avancée des flammes ou d'une explosion qu'elles pourraient
engendrer. L'avancée des flammes dans un immeuble est contrôlée en plaçant de solides murs
à des endroits stratégiques qui aident à contenir les flammes et à réduire les dégâts
occasionnés. Un pare-feu Internet a le même rôle. Cependant, il utilise des techniques telles
que l'examen de l'adresse IP du paquet qu'il reçoit ou le port sur lequel arrive une connexion
et décide de laisser passer ou de bloquer le trafic entrant.
Bien que le VPN n'implémente pas de firewall standard par défaut, les pare-feu font partie
intégrante d'un VPN. L'idée est qu'ils doivent être utilisés pour garder les utilisateurs ou le
trafic de données non désirables hors du réseau tout en acceptant les utilisateurs du VPN. Le
pare-feu le plus classique est un pare-feu filtrant les paquets (Statefull firewall), qui bloquera
l'accès à certains services (en fonction des ports) au niveau de la passerelle (routeur). De
nombreux équipements supportant les technologies VPN, tel que le routeur Cisco Privat
Internet Exchange (PIX) et ASA (Adaptive Security Appliance), gère en natif ce type de
filtrage. Un serveur proxy est aussi une solution possible. Ce type de serveur tourne
généralement sur des systèmes d'exploitation tels que Linux, Open BSD, Windows ou Novell
Netware.

6.2 Les composants basics de la cryptographie

La cryptographie peut se définir comme la science ou l’ensemble des méthodes utilisées

pour le cryptage et le décryptage de données sensibles.
Comprendre une technologie étant un moyen de connaitre toutes les technologies,
commençons par certains fondamentaux.

6.2.1 Le chiffrement (Cipher) et les clés

6.2.1.1 Le chiffrement

Un cipher est un ensemble de règles, qui peuvent également être appelées algorithmes
permettant le cryptage ou le décryptage.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 32

 Interconnexion et sécurisation de sites

6.2.1.2 Les clés

Connaitre comment crypter ou décrypter un message, il faut la correct clé. La clé est donc les
instructions nécessaires au décryptage ou cryptage des données.

6.2.2 Le hachage (Hashing)

Le hachage est l’une des méthodes utilisée pour vérifier l’intégrité des données. C’est un
processus qui consiste en grande partie à prendre un block de données et de créer une valeur
fixe de hachage. Ce processus est dit processus à sens unique. Car en effet, si deux différentes
machines prennent la même donnée et exécutent la même fonction de hachage, elles
devraient obtenir un résultat identique appelé le hache (the hash) ou emprunte.

Figure 8: Fonction de hachage

Les trois types d’algorithmes de hachage sont : Message digest 5 (MD5), Secure Hash
Algorithm 1 et 2 (SHA-1 et SHA-2)

Figure 9: Le Hachage

N’guessan Kouakou Mathieu Elève ingénieur informaticien 33

 Interconnexion et sécurisation de sites

L’application du hachage dans le processus d’échange consiste à exécuter l’algorithme de

hachage sur chaque paquet et joindre le hachage (résultat du hachage) au paquet à
transmettre.
Le receveur exécute le même processus sur le paquet reçus et compare son résultat a celui de
l’émetteur. Si le hache généré correspond à celui reçu, le paquet est intact et est dit intègre.
Cependant, si un seul bit du paquet transmis est modifié, le hache calculé par le receveur ne
correspondra pas. Et le paquet sera déclaré non intègre.

6.2.3 Code d’authentification de message Haché (HMAC)

Le Code d’authentification de message Haché utilise le mécanisme de hachage.

Cependant, consiste à adjoindre au message un sceau ou code d’authentification de message
MAC (Message Authentification Code) qui est le résultat d’une fonction de hachage à sens
unique à clé secrète. Tout se passe en théorie comme avec une fonction de hachage énoncée
précédemment, sauf qu’il faut avoir la clé pour calculer l’empreinte. L’empreinte dépend à la
fois des données et de la clé, elle n’est donc calculable que par les personnes connaissant la
clé.
Le scellement est une façon incontestable d’ajouter une authentification à un message. Il
est possible de modifier les fonctions de hachage à sens unique conventionnelle en fonction
de hachage à clé secrète, ainsi on trouve des fonctions HMAC-sha et HMAC-md5.

Figure 10 : Code d’Authentification de Message Haché

6.2.4 Les algorithmes symétriques et asymétriques

6.2.4.1 Les algorithmes symétriques

Un algorithme symétrique, aussi connu sous le nom de chiffrement symétrique
(Symetrical Cipher), utilise la même clé pour le cryptage et le décryptage des données. De ce
fait, les différents périphériques connectés via le VPN, ont besoin de cette même clé pour

N’guessan Kouakou Mathieu Elève ingénieur informaticien 34

 Interconnexion et sécurisation de sites

crypter et décrypter les données qui sont protégées. Pour de tels algorithmes, l’émetteur et le
destinataire doivent se mettre d’accord sur une clé à utiliser avant d’échanger des messages
chiffrés. Cette clé doit être gardée secrète.

Figure 11: Clé symétrique

Les algorithmes symétriques les plus utilisés sont : DES, 3DES, AES.
Ils sont utilisés pour la plupart des données que nous protégeons dans les VPNs de nos jours,
parce qu’ils sont plus rapides et prennent moins de CPU.

6.2.4.2 Les algorithmes asymétriques

Au niveau du chiffrage asymétrique, deux clés (La clé publique et la clé privée) sont
utilisées en lieu et place d’une.
Une des raisons pour laquelle l’une des clés est appelée publique, est que celle-ci publiée, est
disponible à tous ceux qui veulent l’utiliser. La seconde, qu’en a elle (La clé privée) est
détenue exclusivement par le dispositif qui possède la paire, clé privée-publique.
L’algorithme le plus utilisé est RSA (Rivest, Shamir et Aldeman). Une clé, dans ce cas, est
généralement utilisée pour le cryptage et l’autre pour le décryptage.

Figure 12 : Clé asymétrique

L’utilisation des algorithmes asymétriques ne se limite pas seulement au chiffrement des

données, mais également a l’authentification.
Lorsque deux entités sont impliquées dans une authentification utilisant par exemple RSA
(RSA digital signature), toute deux génèrent chacune leur propre paire de clé publique-privée
et s’inscrivent au près d’une autorité de certification CA (Certificate Authority), en lui
fournissant certaines informations telle que l’adresse IP, la clef publique… . Celle-ci crée et
leur délivre a chacun un certificat numérique (digital certificate) signé numériquement.
En effet, les certificats numériques contiennent des informations identifiant un périphérique.
Un certificat numérique est comme un passeport, il contient une preuve d’identité crédible et
irréfutable.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 35

 Interconnexion et sécurisation de sites

Figure 13 : Exemple de certificat numérique sous Mozilla Firefox

Voici un résumé du contenu d'un certificat (remarquons la présence d’une clé publique sur la
Figure 16) :

Figure 14 : Exemple de clé publique dans un certificat numérique

Le volume de données chiffrées à l’aide d’une clé privée devenant trop important avec le
temps, les chances de découverte de cette clé par un intrus augmente significativement, d’où
la nécessité de prévoir une durée de vie à cette clé et donc au certificat. Comme une clé peut
se perdre ou être volée, il faudra aussi prévoir un système « d'opposition », une liste de
révocation, qui permet de signaler les certificats non encore expirés, mais qui ne sont plus
dignes de confiance pour une raison quelconque. Le CA se doit donc de tenir à jour une liste

N’guessan Kouakou Mathieu Elève ingénieur informaticien 36

 Interconnexion et sécurisation de sites

de révocation, et, lorsqu'un utilisateur doit user d'un certificat qui est déjà en sa possession, il
devrait commencer par vérifier si celui-ci n'a pas été révoqué entre temps.

6.3 Le tunneling

6.3.1 Qu’est-ce que le tunneling

Il s'agit en fait de créer un tunnel dans lequel par la suite, transiteront des informations
sans que ces dernières doivent à chaque fois créer le chemin d'accès. Ce qu'offre le tunneling,
c'est d'aménager une voie d'accès qui est privée, et dont seuls ceux autorisés peuvent
l'emprunter. Cela notamment sur un réseau public.
Les données à transférer peuvent être des trames d'un autre protocole. Plutôt que
d'envoyer une trame directement, cette dernière est encapsulée dans une autre, qui se charge
d'implémenter le tunnel. L'en-tête supplémentaire fourni les informations de routage, afin que
la charge (payload contenant les données), de ce nouveau paquet puisse traverser le tunnel.
Le tunneling comprend les phases d'encapsulation, de transmission, et de désencapsulation
des données.
Le tunneling peut être appliqué aux couches 2 ou 3 du modèle OSI, suivant les systèmes
d’implémentations.

Figure 15 : Tunneling

6.4 Les protocoles de tunneling

Nous pouvons classer les protocoles que nous allons étudier en deux catégories:
 Les protocoles de niveau 2 comme PPTP, GRE et L2TP.
 Le protocole de niveau 3 comme IPsec.
Il existe en réalité quatre (4) protocoles de niveau 2 permettant de réaliser des Vpn : PPTP
(de Microsoft), L2F, GRE (développé par CISCO) et enfin L2TP. Nous n'évoquerons dans
cette étude que GRE, PPTP et L2TP : le protocole L2F ayant aujourd'hui quasiment disparut.
Le protocole PPTP aurait sans doute lui aussi disparut sans le soutien de Microsoft qui
continue à l'intégrer à ses systèmes d'exploitation Windows. L2tp est une évolution de PPTP
et de L2F, reprenant les avantages des deux protocoles.

Les protocoles de couche 2 dépendent des fonctionnalités spécifiées pour PPP (Point to Point
Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de ce protocole.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 37

 Interconnexion et sécurisation de sites

6.4.1 PPP (Point to Point Protocol)

Le protocole PPP (Point To Point Protocol) est un ensemble de protocoles standards

garantissant l'interopérabilité des logiciels d'accès distant de divers éditeurs. Une connexion
compatible PPP peut appeler des réseaux distants par l'intermédiaire d'un serveur PPP
standard de l'industrie. PPP permet également à un serveur d'accès à distance de recevoir des
appels entrants et de garantir l'accès au réseau à des logiciels d'accès distant d'autres éditeurs,
conformes aux normes PPP. Il est le fondement des protocoles PPTP et L2TP utilisés dans les
connexions VPN (Virtual Private Network) sécurisées. PPP est la principale norme de la
plupart des logiciels d'accès distant.

6.4.2 GRE (Generic Routing encapsulation)

GRE est un protocole de tunneling défini dans RFC 1702 et RFC 2784. Il support
plusieurs protocoles de tunneling et peut encapsuler plusieurs paquets à l’intérieur d’un
tunnel IP. Ajoutant une entête GRE additionnel entre la charge utile et l’entête IP lui fourni
l’avantage de supporter les fonctionnalités de plusieurs autre protocoles.

Figure 16 : GRE

Les avantages de GRE sont les suivant :

 encapsulation des trafiques n’utilisant pas le protocole IP;

 supporte les trafiques multicast et broadcaste ;
 Utilisation de protocoles de routage permettant l’échange dynamique des informations
de routages.
Cependant, GRE souffre d’un défaut majeur, la confidentialité. C’est pourquoi IPsec est
utilisé.

Figure 17 : Encapsulation avec GRE

N’guessan Kouakou Mathieu Elève ingénieur informaticien 38

 Interconnexion et sécurisation de sites

6.4.3 PPTP (Point to Point Tunneling Protocol)

PPTP, Point to Point Tunneling Protocol a été mis en œuvre par Microsoft. Il travaille
que sur des réseaux IP comme internet. Le principe du protocole PPTP est de créer des
trames sous le protocole PPP et de les encapsuler dans un datagramme IP via GRE. Ainsi,
dans ce mode de connexion, les machines distantes des deux réseaux locaux sont connectés
par une connexion point à point (comprenant un système de chiffrement et d'authentification,
et le paquet transite au sein d'un datagramme IP.
PPTP permet le cryptage des données PPP encapsulées mais aussi leur compression par
l’utilisation des protocoles MS-CHAP (Microsoft Challenge Handshake Authentification) et
MPPE (Microsoft Point to Point Encryption).

Figure 18: Point to Point Tunneling Protocol

6.4.3.1 Scénario typique PPTP

Le client se connecte au serveur d’accès réseau (NAS). Après que le client ait initialisé sa
connexion PPP, un second appel est fait sur la connexion PPP existante (datagramme IP
contenant des paquets PPP). Ce second appel crée une connexion VPN au serveur PPTP
appelée tunnel. Lorsque le serveur PPTP reçoit des paquets du réseau public il traite le paquet
PPTP pour obtenir le nom de l’ordinateur ou l’adresse encapsulée dans le paquet PPP
(supporte TCP IP, IPX ou NetBEUI).

Figure 19: Scénario PPTP

6.4.4 L2TP (Layer Two Tunnelling Protocol)

Ce protocole réunit les avantages de PPTP et L2F (Aujourd’hui obsolète). L2TP est un
protocole réseau qui encapsule des trames PPP pour les envoyer sur des réseaux IP. Mais
L2TP peut aussi être directement mis en œuvre sur des supports WAN (relais de trames) sans
utiliser la couche de transport IP.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 39

 Interconnexion et sécurisation de sites

On l’utilise souvent pour créer des VPN sur Internet. Dans ce cas, L2TP transporte des
trames PPP dans des paquets IP.

Le tunnel peut être ouvert par l’utilisateur ou par l’opérateur. Soit deux cas possibles :
 Tunnel direct entre les clients et le serveur (Voluntary Tunneling)
 Tunnel entre l’ISP et le serveur (Compulsory Tunneling)
Il y a deux composants, l’encapsulation des trames PPP dans L2TP, puis le transport via
UDP. Quant à la sécurité, elle se situe au niveau des trames PPP (PAP, CHAP, MPPE). Mais
pour protéger le tunnel lui-même, il est fortement conseillé d’utiliser IPsec.

Figure 20: Layer Two Tunnelling Protocol

6.4.4.1 Scenario typique d’L2TP

Figure 21: Scenario L2TP

L’utilisateur distant initialise une connexion PPP avec le LAC (L2TP Access
Concentrator). Ce dernier accepte la connexion et le lien PPP est établi.
L’ISP peut maintenant entreprendre une authentification partielle de l’utilisateur en
interprétant le champ " user name ". Ou bien il peut maintenir une base de donné qui lie
l’utilisateur a un service. Si le LNS (L2TP Network Server) l’accepte, le LAC peut "
tunneliser " la connexion PPP sans identification.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 40

 Interconnexion et sécurisation de sites

Si aucun tunnel n’existe vers ce LNS, il ya création du tunnel. Quand le tunnel existe, un
" Call ID " est alloué, et une indication de connexion est envoyée au LNS qui l’accepte ou la
refuse. Si le LNS accepte la connexion, il crée une interface virtuelle pour PPP. Sur le tunnel
une encapsulation L2TP est mise en place. Celle-ci est levée après réception par le LNS, et ce
qui était encapsulé est transmis sur le réseau privé sur l’interface recherché.

6.4.5 SSL/TLS (Secure Socket Layer )

Transmettre des informations au travers d’un réseau public nécessite une sécurisation par
le chiffrement dans le but de prévenir tout accès non autorisé aux données.
Il est possible de bénéficier des concepts de chiffrement et d’authentification en utilisant
différentes technologies tels que SSL/TLS.
SSL et son prédécesseur TLS, permettent l'accès sécurisé à un site web ou à certaines pages
d'un site web. Supporté par tous les navigateurs web, toute personne possédant un ordinateur
peut les utiliser. La majeur partie des transactions via le web sont sécurisées par ces deux
protocoles.
Il est également possible, par le biais de ces protocoles, d’accéder à des sites distants et
d’avoir accès aux ressources via un navigateur web.
SSL v3 a servi de base à la conception de TLS 1.0 et tous deux utilisent les algorithmes
symétriques pour le chiffrage de données et les algorithmes asymétrique sont utilisés
l’authentification et l’échange de clés.
SSL et TLS se situent au sommet de la couche TCP/IP, et au-dessous de la couche
d'application.

Figure 21 : SSL selon le modèle OSI

Pour mettre en place une connexion SSL/TLS, il faut d'abord établir une connexion TCP/IP,
car ils utilisent certaines "primitives" de TCP/IP. Ainsi SSL et TLS peuvent être vus comme
un canal sûr au sein de TCP/IP, où tout le trafic entre deux applications "Peer to Peer" est
échangé de manière cryptée.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 41

 Interconnexion et sécurisation de sites

6.4.5.1 Les fonctionnalités de SSL/TLS

SSL et TLS ont trois fonctions:

 Authentification du serveur
Qui permet à un utilisateur d'avoir une confirmation de l'identité du serveur. Cela est fait
par les méthodes de chiffrement à clés publiques qu'utilise SSL. Cette opération est
importante, car le client doit pouvoir être certain de l'identité de son interlocuteur à qui par
exemple, il va communiquer son numéro de carte de crédit.
 Authentification du client
Selon les mêmes modalités que pour le serveur, il s'agit de s'assurer que le client est bien
celui qu'il prétend.
 Chiffrement des données
Toutes les données qui transitent entre l'émetteur et le destinataire, sont chiffrées par
l'émetteur, et déchiffrées par le destinataire, ce qui permet de garantir la confidentialité des
données, ainsi que leur intégrité grâce souvent à des mécanismes également mis en place
dans ce sens.
6.4.5.2 Le principe de fonctionnement

La sécurité est importante et SSL/TLS VPNs peuvent la fournir. Il est important de

comprendre les bases de leur fonctionnement. Qu’il s’agisse d’une opération bancaire en
ligne ou d’une connexion sécurisée à un équipement supportant SSL/TLS, le processus reste
le même :
1. Le client établi une connexion TCP (port 443) avec le serveur (serveur Web ou tout
équipements supportant SSL/TLS VPNs) ;

2. Apres que le client est initié sa requête pour la connexion, le server lui fourni son
certificat numérique. Certificat signé numériquement par une autorité de certificat
reconnue (CA) qui contient sa clé publique ;
3. Le client, dés réception du certificat numérique, a une décision à prendre. Celle de
croire en la crédibilité du certificat numérique.
Si le dit certificat est signé par une autorité de certificat reconnu par le navigateur
web du client et est encore valide, le client génère une clé secrète;
4. Cette clé est ensuite chiffrée avec la clé publique du serveur et lui est transmise. Le
serveur déchiffre la clé symétrique en utilisant sa clé privée. Ainsi, les deux
équipements on connaissance et peuvent utiliser la même clé secrète ;
5. La clé est alors utilisée pour crypter la session SSL/TLS.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 42

 Interconnexion et sécurisation de sites

Figure 22 : Session SSL

SSL TLS
Standard développé par l’IETF (Internet
Développé par Netscape en 1990
Engineering Task Force)
Débute avec un canal sécurisé et Peut débuter avec des communications non
continue directement à sécuriser les sécurisées et passer dynamiquement à un
négociations sur un port dédié canal sécurisé
Supporté et implémenté plus du coté
Largement supporté du cotée client
serveur
Versions antérieures jugées non Implémentation plus rigide à cause des
sécurisées processus standards

Tableau 4 : Comparaison SSL et TLS

6.4.6 IPSec
IPSec est un protocole défini par l'IETF permettant de sécuriser les échanges au niveau de
la couche réseau. Il s'agit en fait d'un protocole apportant des améliorations au niveau de la
sécurité au protocole IP.
IPSec n’est pas lié à des algorithmes de chiffrement, d’authentification et de sécurités. Il est
une bibliothèque de plusieurs protocoles aux normes ouverte qui donnent des indications dans
le but de sécuriser des communications. IPSec «travail » au niveau trois de la couche OSI,
protégeant et authentifiant les paquets IPs entre les équipements impliqués dans une
communication sécurisé. Il peut également protéger virtuellement tout trafiques de la couche
trois à la couche sept du model OSI.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 43

 Interconnexion et sécurisation de sites

6.4.6.1 Concept de base d'IPSec

Le protocole IPSec est destiné à fournir différents services de sécurité. Il permet grâce à
plusieurs choix et options de définir différents niveaux de sécurité afin de répondre de façon
adaptée aux besoins de chaque entreprise. La stratégie IPSec permettant d'assurer les
fonctions de sécurités essentielles sont :

 Authentification des extrémités : Elle permet à chacun de s'assurer de l'identité de

chacun des interlocuteurs. Précisons que l'authentification se fait entre les machines et
non entre les utilisateurs, dans la mesure où IPSec est un protocole de couche 3. IPSec
utilise IKE (Internet Key Exchange) pour l’authentification. IKE utilise plusieurs
types d’authentifications dont : le certificat numérique et la clé pré-partagée.
 Confidentialité des données échangées : Le contenu de chaque paquet IP peut être
chiffré afin qu'aucune personne non autorisée ne puisse le lire.
 Authenticité des données : IPSec permet de s'assurer que chaque paquet a bien été
envoyé par l'hôte et qu'il a bien été reçu par le destinataire souhaité.
 Intégrité des données échangées : IPSec permet de vérifier qu'aucune donnée n'a été
altérée lors du trajet.
 Protection contre les écoutes et analyses de trafic : Le mode tunneling (détaillé
plus loin) permet de chiffrer les adresses IP réelles et les entêtes des paquets IP de
l'émetteur et du destinataire. Ce mode permet ainsi de contrecarrer toutes les attaques
de ceux qui voudraient intercepter des trames afin d'en récupérer leur contenu.
 Protection contre le rejeu : IPSec intègre la possibilité d'empêcher un pirate
d'intercepter un paquet afin de le renvoyer à nouveau dans le but d'acquérir les mêmes
droits que l'envoyeur d'origine.

6.4.6.2 Les composants d’IPSec

IPSec définit cinq (5) blocs de protocoles réalisant chacun une tache bien précise.

Figure 23 : Bibliothèque IPSec

N’guessan Kouakou Mathieu Elève ingénieur informaticien 44

 Interconnexion et sécurisation de sites

 Le premier bloc représente les protocoles d’IPSec (Protocoles d’acheminement) qui

sont de deux ESP (Encapsulating Security payload) et AH (Authentication Header) ;

 Le second représente le type de confidentialité implémenté en utilisant un algorithme

de chiffrement tel que : DES, 3DES, AES ou SEAL. Le choix dépend du niveau de
sécurité voulu ;

 Le troisième, l’intégrité qui peut être implémenté en utilisant des algorithmes de

hachages MD5 ou SHA ;

 Le quatrième représente comment la clé secrète est établie. Les deux méthodes sont :
la clé pré-partagée ou numériquement signée utilisant RSA ;

 Et la cinquième représentant le groupe d’algorithme DH (Diffie-Hellman) qui fourni

un mécanisme d’échange de clés publique permettant a deux Peers de partager une clé
secrète.
6.4.6.3 Les protocoles de base d’IPSec
IPSec est basé sur deux (2) mécanismes différents assurant les rôles de sécurisation des
données : AH (Authentification header) et ESP (Encapsulating Security Payload).
IPSec est largement configurable. Ainsi, chacun des deux mécanismes AH et ESP peuvent
être utilisés seuls ou combinés avec le second afin de définir le niveau de sécurité voulu. De
plus, il est possible d'indiquer les algorithmes de hachage ou d'encryptions voulu lors d'une
communication.

Figure 24: Exemple d’implémentation IPSec

N’guessan Kouakou Mathieu Elève ingénieur informaticien 45

 Interconnexion et sécurisation de sites

 AH (Authentification header)

AH, qui est un protocole IP (port 51), est approprié quand la confidentialité n’est pas
obligatoire ou permise. Il permet l’authentification des données et l’intégrité pour
tous paquets IPs qui transitent entre deux systèmes.
AH ne fourni pas la confidentialité des données (chiffrement). Toutes les données
sont donc non cryptées et donc transmises en claire. Utilisé seul, le protocole AH
fourni une sécurité faible.

Figure 25 : Implémentation d’AH

 ESP (Encapsulating Security Payload)

ESP, qui est un protocole IP (port 50), peut fournir la confidentialité et
l’authentification. Il fournit cette confidentialité en cryptant les paquets IPs, cachant
ainsi la charge utile de ceux-ci. Bien que l’authentification et le chiffrement soient
optionnels, avec ESP, un des deux doit au minimum être configuré.

Figure 26 : Implémentation d’ESP

N’guessan Kouakou Mathieu Elève ingénieur informaticien 46

 Interconnexion et sécurisation de sites

6.4.6.4 Modes de transit des données : Transport et Tunnel

ESP et AH peuvent être appliqués aux paquets IPs dans deux (2) différents modes : le mode
transport et le mode tunnel. Néanmoins, le niveau de sécurité le plus élevé est le mode tunnel.

 Le mode transport
Dans ce mode, la sécurité est fournie seulement pour la couche de transport a la
couche application du model OSI. Le transport mode protège la charge utile du
paquet, mais laisse intact l’adresse IP d’origine. Celle-ci est utilisée pour le
processus de routage.

 Le mode tunnel
Ce mode fourni la sécurité pour tout le paquet d’origine. Le paquet d’origine est
crypté et ensuite encapsulé dans un autre paquet. Seul l'entête contenant les
adresses IP publiques de l'émetteur et du destinataire est laissé en clair.

6.4.6.5 Gestion des flux IPSec

Les flux IPSec sont gérés uni directionnellement. Ainsi, une communication
bidirectionnelle entre deux machines utilisant IPSec sera définie par divers processus pour
chacun des sens de communication. Les procédés détaillés ci-dessous respectent tous deux
cette loi.

a) SA (Security association)

La solution IPSec VPN permet la négociation des paramètres d’échange de clés,

l’établissement d’une clé partagé, l’authentification et la négociation des paramètres de
chiffrages. Les paramètres négociés entre les équipements sont donc appelés association de
sécurité. Il s’agit d’une structure de données servant à stocker l’ensemble des paramètres
associés à une communication donnée. Une SA est unidirectionnelle ; en conséquence,
protéger les deux sens d’une communication classique requiert deux associations, une dans
chaque sens. Les services de sécurité sont fournis par l’utilisation soit de AH soit de ESP.
Pour gérer les associations de sécurité actives, on utilise une base de données des associations
de sécurité (Security Association Database, SADB). Elle contient tous les paramètres
relatifs à chaque SA et sera consultée pour savoir comment traiter chaque paquet reçu ou à
émettre.

b) SP (Security Policy)

Les protections offertes par IPsec sont basées sur des choix définis dans une base de
données de politique de sécurité (Security Policy Database, SPD). Cette base de données est
établie et maintenue par un utilisateur, un administrateur ou une application mise en place par
ceux-ci. Elle permet de décider, pour chaque paquet, s’il se verra apporter des services de
sécurité, s’il sera autorisé à passer outre ou sera rejeté. Ces services sont basés sur des
mécanismes cryptographiques. Pour cela, IPsec fait appel a ses deux protocoles de sécurité
qui viennent s'ajouter au protocole IP classique : a savoir les protocoles AH et ESP.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 47

 Interconnexion et sécurisation de sites

6.4.6.6 ISAKMP et IKE

Les SA contiennent tous les paramètres nécessaires à IPsec, notamment les clés utilisées.
La gestion des clés pour IPsec n’est liée aux autres mécanismes de sécurité de IPsec que par
le biais des SA. Une SA peut être configurée manuellement dans le cas d’une situation
simple, mais la règle générale consiste à utiliser un protocole spécifique qui permet la
négociation dynamique des SA et notamment l’échange des clés de session.

Le protocole de négociation des SAs, développé pour IPSec, est le protocole de gestion des
clés et des associations de sécurité pour Internet (Internet Security Association and Key
Management Protocol, ISAKMP). ISAKMP est en fait inutilisable seul (il s’agit d’un cadre
générique qui permet l’utilisation de plusieurs protocoles d’échange de clé). Dans le cadre de
la standardisation de IPSec, ISAKMP est associé à une partie des protocoles SKEME et
Oakley pour donner un protocole final du nom de Internet Key Exchange, IKE.

Dans le but d’établir un canal de communication sécurisé, le protocole IKE exécute deux
(2) phases :

 Phase 1 – Deux (2) Peers exécutent la négociation initiale des SAs. Le but principal
de cette phase 1 est de négocier un ensemble de politiques de sécurités,
l’authentification et établir un canal sécurisé. La phase 1 peut être implémentée en
deux (2) modes : le mode principal (main mode) ou agressif (agressive mode). Le
mode agressif est plus rapide que le mode principal due au nombre de paquets
échangés, mais est moins sécurisé.

 Phase 2 – Le but de la phase 2, aussi appelée IKE phase 2, est de négocier les
paramètres de sécurités IPSec. Cette phase 2 est implémentée dans le mode rapide
(quick mode) et peut seulement être exécutée qu’après la phase 1.

Dans cette phase, les SAs utilisées par IPSec sont unidirectionnels et sont négociées
par le protocole IKE.

IKE phase 2 exécute les fonctions suivantes : négociation des paramètres de sécurités,
connue sous le nom d’IPSec transform sets, établissement des associations de
sécurités IPSec, renégociation périodique de celles-ci dans le but d’assurer la sécurité
et optionnellement, exécuter un échange additionnel de clé (Diffie-Hellman) par la
propriété de Perfect Forward Secrecy.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 48

 Interconnexion et sécurisation de sites

Figure 27: Mode principale IKE

Figure 28 : Mode agressif IKE

N’guessan Kouakou Mathieu Elève ingénieur informaticien 49

 Interconnexion et sécurisation de sites

Figure 29 : Négociation IKE

6.5 Comparaison des différents protocoles

Le tunneling sur des VPN, peut être considéré comme une meilleure réponse que SSL au
fait qu'une entreprise désire rendre toutes ses communications entre deux end-point sécurisés.
PPTP présente l'avantage d'être complètement intégré dans les environnements Windows.
Cependant comme pour beaucoup de produit Microsoft, la sécurité est le point faible. IPSec
implémente des algorithmes plus sûrs que PPTP. Par défaut dans L2TP, c'est IPSec qui est
utilisé. C'est seulement si l’end-point distant ne le supporte pas, qu’alors un protocole moins
sûr comme PPP est utilisé. IPSec ne permet d'identifier que des machines et non pas des
utilisateurs. Ceci est particulièrement problématique pour les utilisateurs itinérants. Il faut
donc prévoir un service d'authentification des utilisateurs.
Présentés comme la solution miracle pour permettre aux itinérants de se connecter aux
applications réparties de l'entreprise, les VPNs-SSL souffrent de problèmes, principalement
liés aux navigateurs web utilisés. L’utilisation des navigateurs permet aux utilisateurs
d'utiliser un outil dont ils ont l'habitude et qui ne nécessite pas de configuration
supplémentaire. Cependant lorsqu'un certificat expire l'utilisateur doit aller manuellement le
renouveler. Cette opération peut poser problème aux utilisateurs novices.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 50

Troisième PARTIE

REALISATION
 Interconnexion et sécurisation de sites

Chapitre 7 : MISE EN ŒUVRE

7.1 Architecture de la solution proposée

Après l’entame de l’analyse de son infrastructure informatique et l’étude de l’existant,
l’on aboutit à la conclusion que, les connexions au réseau internet du District de
Yamoussoukro ne sont ni contrôlée, ni sécurisée, ce qui crée un vrai problème pour tout le
réseau.
D’où l’idée d’intégrer dans son système une solution permettant d’une part la sécurisation de
chaque site et d’autre part d’assurer de nouvelles fonctionnalités comme le fait de pouvoir
accéder à son ordinateur de bureau à distance.

Figure 30 : Topologie finale

Cette solution sera donc l’intégration de routeurs firewall ayant pour but d’interconnecter
chaque sites, sécuriser toutes données échangées tout en bloquant toute intrusions provenant
de l’extérieure.
A cela s’ajoute l’implémentation d’un système de bascule de ligne internet en cas de coupure
d’une des connexions internet de la direction.

7.2 Choix de la technologie VPN site à site à mettre en place

De nos jours, plusieurs solutions VPN site à site, flexibles et riches en fonctionnalités
sont fournies. Ces solutions sont construites sur les quatre (4) technologies VPN sous-
jacentes: le VPN multipoint dynamique (DMVPN), le standard IPSec VPN, le GRE-VPN et
le VPN de transport de groupe crypté (GET-VPN). Chaque technologie bénéficie et est
personnalisée pour répondre aux exigences de déploiement spécifiques.

7.2.1 IPSec VPN standard

Le VPN IPSec standard est une solution fiable de communication sécurisée. Cette
solution fournit donc un cryptage entre sites, mais également l’implémentation de la qualité
de service (le temps de transit lors du transfert des données, La probabilité de rupture d’une
connexion réseau, la priorité lors des connexions, etc.…) fonctionnalité très importante dans

N’guessan Kouakou Mathieu Elève ingénieur informaticien 52

 Interconnexion et sécurisation de sites

le VPN. Le VPN IPSec standard est à utiliser lorsque l'interopérabilité de plusieurs

fournisseurs est requise (lorsqu’il est nécessaire d’interconnecter plusieurs équipements de
différents constructeurs) et pour les topologies a faible maillage car il présente un certain
nombre de limites.
Premièrement, lorsque l’on rajoute un site qui doit communiquer avec un site central, il
est nécessaire de modifier la configuration de ce site central. Cela présente non seulement un
problème pratique de maintenance (il faut intégrer une modification conséquente dans la
configuration d’un équipement en production), mais surtout d’échelle : la configuration du
site central peut devenir rapidement illisible à partir de plusieurs sites distants.
Par ailleurs, si les sites distants doivent communiquer entre eux, l’équation devient
impossible à résoudre. Imaginons un réseau composé de quatre (4) sites distant. D’un Siege
(S) et de ses trois annexes (A1, A2 et A3).

Figure 31 : Réseau complètement maillé à quatre routeurs

Pour obtenir un réseau "full meshed" (complètement maillé, ayant des liaisons IPSec entre
tous les sites), il faut créer six (6) tunnels IPSec (S-A1, S-A2, S-A3, A1-A2, A1-A3, A2-A3).
En effet, pour interconnecter n sites, il faut configurer n (n-1)/2 tunnels et modifier les
configurations de n routeurs.

7.2.2 Le GET-VPN (Group Encrypted Transport-VPN)

De multiple raisons poussent les entreprises à envisager le chiffrement de leur réseau
WAN privé. Parmi ces raisons, la plus courante, mais pas la seule, est l’évolution des
réglementations dans certains secteurs, tels que la banque et l’assurance.
Ces entreprises n’ont pas toujours les compétences internes pour mettre en œuvre des grands
réseaux chiffrés et, pour remplir leurs obligations légales, souhaitent de plus en plus que leur
opérateur prenne ce besoin en charge.

Les technologies GET-VPN ont donc pour but d’implémenter des fonctions de
chiffrement sur un réseau WAN privé de la manière la plus transparente possible. S’adressant
à des réseaux any-to-any (tous les sites vers tous les sites), GET-VPN se doit de garder cette
architecture, contrairement aux autres technologies IPSec point-à-point.
Une architecture typique GET-VPN, comprend deux types de composants, un ou plusieurs «
Key Servers » et plusieurs « Group Members ».

N’guessan Kouakou Mathieu Elève ingénieur informaticien 53

 Interconnexion et sécurisation de sites

Figure 32 : GET-VPN

Key Server

Le « key server » a deux responsabilités, authentifier les « group members » et distribuer

la politique de sécurité. Le protocole utilisé est Group Domain Of Interpretation GDOI. La
première étape est l’enregistrement des « group members » auprès de leur « Key server »
(enregistrement protégé par la phase 1 d’ISAKMP). Ce premier contact est à l’initiative du «
group member » qui doit connaître son « key server ».
L’enregistrement d’un « Group Member » permet à ce-dernier d’obtenir deux clés. La
première nommée « KEK » pour « Key Encryption Key » (utilisée pour les échanges avec le
« Key Server ») et la seconde « TEK » pour « Trafic Encryption Key » (utilisée pour chiffrer
et déchiffrer les données sur le réseau). Le « Group Member » obtient aussi toutes les
informations nécessaires à la création de la SAs (Security Association) IPsec. Entre autres,
les algorithmes de chiffrement et de hash, ainsi que les « access-list » permettant de
sélectionner le trafic à chiffrer.

Group Member

Le « Group Member » est le composant qui aura la responsabilité de chiffrer et déchiffrer

le trafic réseau. Assez proche de ce que l’on peut voir dans une architecture IPsec classique.
De là, une autre particularité de GET-VPN, nommée « Header Preservation ». Contrairement
aux techniques de « tunneling » traditionnelles, GET-VPN va créer un nouvel entête IP en
gardant les mêmes adresses IP que le paquet original.

Cela permettra au paquet d’être routé normalement sur le WAN, comme s’il n’était pas
chiffré. Une autre conséquence immédiate est le support natif du chiffrement des paquets
multicast, puisque le header étant inchangé le réseau multicast continue de fonctionner de
façon totalement transparente.
Toutefois cela introduit aussi la seule limitation de GET-VPN, à savoir que les adresses
originales doivent être routables sur l’infrastructure. Ce n’est pas un problème avec un réseau
MPLS géré par le FAI, le transport des paquets du client étant géré par celui-ci.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 54

 Interconnexion et sécurisation de sites

L’implémentation de GET-VPN pour le chiffrement d’un réseau WAN privé comporte de

multiples avantages :

 Support natif des flux multicast ;

 Pas de remise en cause du plan de routage ou plan d’adressage IP;
 Architecture any-to-any;
 Très grande évolutivité;
 Simplicité de mise en œuvre et de mise au point;
 Support évolué de la QoS;
 Architecture basée sur des standards.

7.2.3 Le DMVPN (Dynamic Multipoint VPN)

Les principales limites VPN IPSec classic ont poussé à la création d’une technologie
beaucoup plus avantageuse : le DMVPN (Dynamic Multipoint VPN). Il s’agit d’un
mécanisme qui permet d’établir les tunnels IPSec + GRE directement entre les routeurs qui
veulent dialoguer ensemble avec une simplicité et surtout de façon totalement dynamique.
Son avantage majeur est qu’il permet de garder la configuration des routeurs statiques en cas
d’ajout d’un nouveau site et la création des tunnels entre les sites distants est entièrement
automatique.
Le DMVPN est en réalité un ensemble de technologies (IPSec, mGRE et NHRP) qui,
combinées, facilite le déploiement des réseaux privés virtuels IPSec. Il s’agit d’une solution
fiable, sécurisée et évolutive, permettant une mise en place et une gestion souples des tunnels
IPSec. DMVPN est basée sur une architecture centralisée et prend en compte divers types
d’utilisateurs dont les travailleurs mobiles, les télétravailleurs et même les utilisateurs
d’extranet. Cisco DMVPN prend en compte la voix sur IP entre les différents sites connectés
et ne nécessite pas une connexion VPN permanente entre les sites. Il réduite
considérablement la latence, tout en optimisant l’utilisation de la bande passante.

7.2.3.1 Les composants et les terminologies

DMVPN est en fait une combinaison des technologies suivantes :

 IPSec : protocole de chiffrement permettant de chiffrer le trafic entre deux sites.
(Voir sécurité des VPNs et protocoles utilisés).

 mGRE (multipoint GRE) :

GRE permet d’encapsuler des paquets multicast, requis notamment pour les
protocoles de routage (Voir sécurité des VPNs et protocoles utilisés).
Le mGRE permet lui de créer des tunnels multipoints entre les sites, c’est à dire
créer plusieurs tunnels par une seule pseudo-interface ’Tunnel’.

 NHRP (Next Hope Resolution Protocol):

Protocole permettant aux routeurs distants de faire connaitre leur adresse IP servant
à monter le tunnel GRE avec le serveur. Le serveur, de son coté, stocke les adresses

N’guessan Kouakou Mathieu Elève ingénieur informaticien 55

 Interconnexion et sécurisation de sites

IP pour permettre à chaque routeur de connaitre l’adresse de son voisin et ainsi

établir un tunnel direct avec lui.

 OSPF (Open Shortest Path First) :

OSPF (protocole de routage) permet aux sites distants d’annoncer leur réseau local
au site central, et au site central de propager la totalité des routes apprises aux sites
distants.

 Hub and Spoke :

Les sites sont appelés ’hub’ ou ’spoke’, en terminologie Cisco, selon qu’ils jouent
respectivement le rôle de site central ou de site distant. Le site central (hub) fait
office de serveur NHRP et de routeur principal (Designated Router) OSPF.

Figure 33 : DMVPN

7.2.3.2 Les models de déploiements

Le DMVPN propose deux modèles de déploiement possibles :

 Le modèle Hub-and-spoke : chaque spoke possède une interface GRE

permettant de monter le tunnel vers le HUB. Tous trafics entre les Spokes
passent par le HUB. Ce modèle ne prend pas en compte les liaisons entre les
spokes.

 Le modèle Spoke-to-Spoke : chaque spoke doit disposer d’une interface mGRE

permettant aux tunnels dynamiques de transiter vers les autres spokes. Ce
modèle prend en compte les liaisons entre différents spokes et offre une grande
évolutivité de la configuration pour les périphériques.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 56

 Interconnexion et sécurisation de sites

Mécanisme d’établissement

 Les différents Spokes sont connecté en permanence avec le ou les Hubs via un tunnel
GRE-IPSec, mais ne sont pas connecter entre eux. Ceux-ci s’enregistre aux près du ou
des Hubs comme client.

 Si un spoke veut transmettre un paquet a un sous réseau derrière un autre Spoke, il

regarde dans sa table NHRP locale si il possède déjà l’adresse IP publique qui
correspond à l’adresse de tunnel virtuel entre le hub et le Spoke.

 S’il ne trouve pas de correspondance dans sa table NHRP locale, il transmet une
requête NHRP au hub dans le but d’obtenir l’adresse publique du Spoke en question.
Le hub, ayant en permanence un circuit virtuel associé avec tous les Spokes, connait
cette réponse et va donc répondre.

 Une fois que le Spoke (l’initiateur de la transmission) à cette adresse publique, il peut
maintenant directement négocier un tunnel dynamique avec le Spoke destinataire sans
passer par le Hub.

La force de ce genre de mécanisme est d’établir des tunnels de façon totalement dynamique
et temporaire. Si au bout d’un certain temps, plus aucun trafic ne transite plus via ce tunnel
temporaire, il sera déconnecté et renégocié au besoin.

7.2.3.3 Le GRE-VPN (Generic Routing Encapsulation-VPN)

Generic Routing Encapsulation (GRE ou Encapsulation Générique de Routage)

initialement développé par Cisco est un protocole de mise en tunnel qui permet d’encapsuler
n’importe quel paquet de la couche réseau dans n’importe quel paquet de la couche réseau
(ex : IP dans IP). Il utilise le protocole IP 47. Le paquet d’origine est le payload du paquet
final (Voir partie 7.4.1 GRE).
Le GRE-VPN peut utiliser les mêmes fonctions que DMVPN hub-and-spoke, mais il
nécessite une configuration plus complexe.
Il est une solution fiable de communication sécurisée, a condition d’utiliser IPSec comme
solution de cryptage.
Le GRE-VPN, comme le VPN standard, est utiliser lorsque l'interopérabilité de plusieurs
fournisseurs est requise et pour les topologies a faible maillage.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 57

 STANDARD IPSec
GET-VPN DMVPN GRE-VPN
VPN
 Simplifie l'intégration du  Simplifie la configuration et  Permet le transport du  Fournit un cryptage
cryptage sur les réseaux étendus la gestion du cryptage des trafic multicast et de entre les sites ;
WAN IP et multiprotocole Label tunnels GRE point à point ; routage sur un VPN
Switching (MPLS) ; IPsec ;  Supporte la QoS.
 Simplifie la gestion du cryptage  Fournit des spoke-to -spoke
à l'aide d'une "clé de groupe" au à la demande ;  Prise en charge de
lieu de paires de clés point à protocoles non IP ;
Avantages client  Prise en charge de QoS,
point ;
 Permet une connectivité tout-à- multicast et routage.
tout évolutive et gérable entre  Supporte la QoS.
les sites ;
 Prise en charge de la qualité de
service (QoS), du multicast et du
routage.
 Ajoute le cryptage aux réseaux  Simplifie la configuration  Utiliser lorsque le Utiliser lorsque
MPLS ou IP WAN tout en des VPN hub-and-spoke tout routage doit être pris en l'interopérabilité de
préservant les fonctionnalités de en supportant le routage, la charge sur le réseau plusieurs fournisseurs est
connectivité du réseau ; QoS et la multidiffusion ; VPN ; requise
 Offre un maillage extensible à
Quand l’utiliser temps plein pour les VPN IPsec ;  Fournit un maillage à petite  Utiliser pour les mêmes
échelle et à la demande. fonctions que DMVPN
 Simplifie la gestion des clés de hub-and-spoke, mais il
cryptage tout en supportant le nécessite une
routage, la QoS et la configuration plus
multidiffusion. détaillée.
interopérabilité Routeur Cisco seulement Routeur Cisco seulement Plusieurs fournisseurs Plusieurs fournisseurs
Hub et spoke ;
Topologie Hub et spoke ;Any to any Maillage partiel spoke-a-spoke à Maillage à petite échelle Maillage à petite échelle
la demande;
Routage Prise en charge Prise en charge Prise en charge Pas prise en charge
QOS Prise en charge Prise en charge Prise en charge Prise en charge

Tableau 5: Comparaison des technologies VPN site-à-site

 Interconnexion et sécurisation de sites

Suite a ce qui précède, notre choix c’est porté sur le DMVPN pour les raisons suivante :

 Réduction des dépenses d’exploitation et d’immobilisation en permettant l’intégration

de la voix et la vidéo à la sécurité VPN ;
 Simplification de la communication de la branche par une connectivité directe
branche à branche ;
 Réduction de la complexité de déploiement par la mise en place d’une configuration
simple, réduisant les difficultés de déploiement des VPNs ;
 Amélioration de la résilience de l’activité en empêchant les perturbations et les
services critiques. Le routage se fait avec la technologie IPsec.

7.3 Sécurité des liaisons et des accès

La sécurité informatique, d'une manière générale, consiste à s’assurer que les ressources
matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu. Il
convient donc de mettre en place toute une politique de sécurité matérielle et logicielle et un
code de conduite adéquat pour garantir un maximum de sécurité.

7.3.1 La charte de sécurité

La charte de sécurité définit un ensemble de règles de bonne conduite à respecter par les
utilisateurs dans le but de faciliter le déploiement de la politique sécurité.
Il s’agit d’un document qui garantit à tous une libre circulation de l’information, un libre
accès aux ressources informatiques, électroniques et numériques dans le respect de la légalité.
Elle sert également à faire prendre conscience aux utilisateurs de certains risques qu’ils
pourraient encourir et des conséquences de tels risques.
Si un système informatique est considéré comme un automate d’état fini avec un ensemble de
transitions (opérations) qui changent l’état du système, alors une politique de sécurité peut
être vue comme un moyen qui partitionne ces états en autorisés et non autorisés.
Étant donnée cette définition simple, on peut définir un système sûr comme étant un système
qui commence dans un état autorisé et qui n’entrera jamais dans un état non autorisé.
Nous allons donc rédiger une stratégie de sécurité qui concernera tous les utilisateurs du
réseau à déployer, en les éduquant aux bonnes conduites à tenir.

7.3.2 La sécurité logicielle

C’est l’ensemble des règles applicatives implémentées au niveau des nœuds pour protéger
le réseau contre toutes sortes de compromissions, d’agressions venant de l’extérieur et même
de l’intérieur.
Au vu de cette réalité, la sécurité logicielle et ses vulnérabilités sont devenu une
préoccupation majeure, et les entreprises font de leur mieux pour déjouer les risques que
peuvent introduire des politiques de sécurité logicielle inadaptées.
Il convient donc de mentionner de façon détaillé les aspects sécuritaires du sans fil, wifi en
particulier puis en générale le réseau dans son entièreté.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 59

 Interconnexion et sécurisation de sites

7.3.2.1 Modifier et cacher le nom par défaut du réseau

Un réseau Wifi porte toujours un nom d'identification afin que les ordinateurs puissent le
détecter et se connecter dessus. Ce nom, SSID (Service Set IDentifier) est défini par défaut.
Ainsi donc, il convient de le modifier, afin de le cacher aux éventuels pirates pour les
empêcher d’identifier facilement notre réseau.
Le SSID est une information importante pour se connecter au réseau sans fil. Le point d'accès
diffuse continuellement cette information pour permettre aux ordinateurs de le détecter. A
cela s’ajoute Authentification avec code d’accès pour les utilisateurs Wifi.

7.3.2.2 Configuration et sécurisation des systèmes de management

La gestion de configuration est un processus par lequel les modifications de configuration
sont proposées, révisées, approuvées et déployées. Dans le contexte d'une configuration de
périphérique (Routeur, Switch…), deux aspects supplémentaires de la gestion de la
configuration sont essentiels: la configuration et la sécurité.
De nombreux protocoles sont utilisés pour transporter des données de gestion de réseau
sensibles. De ce fait, il est impératif d’utiliser des protocoles sécurisés chaque fois que
possible. Un choix de protocole sécurisé comprend l'utilisation de SSH au lieu de Telnet,
HTTPS au lieu de HTTP afin que les données d'authentification et les informations de gestion
soient chiffrées.

7.3.2.3 Prévenir ou atténuer les attaques directes

Cette étape consistera principalement par la configuration d’iACLs (Infrastructure Access
Control List) ou liste de contrôle d'accès des infrastructures à prévenir ou atténuer les
attaques directes des routeurs en autorisant explicitement les trafics autorisés. Bien que
conçus pour les fournisseurs de services Internet (ISP), les iACL peuvent également être
utilisés pour protéger l'infrastructure de l'entreprise avec quelques modifications.

Parce que les iACLs sont conçus comme la première ligne de défense contre les menaces
externes, ils doivent être déployés aux points d'entrée du réseau. D'un point de vue technique,
les iACLs consistent en ACL étendues qui restreignent l'accès externe à l'espace d'adressage
de l'infrastructure. Ils autorisent uniquement les périphériques autorisés à communiquer avec
des éléments d'infrastructure tels que les routeurs et les commutateurs, tout en laissant le
trafic de transit circuler librement. Les routeurs, ainsi que d'autres périphériques réseau, ont
une puissance de traitement finie et une quantité excessive de trafic dirigé vers eux peut
épuiser leurs ressources disponibles, en particulier la capacité du processeur. Quand cela
arrive, le routeur ou tout autre périphérique réseau peut commencer à laisser tomber les
paquets. Il en résulte un état de déni de service (DoS).

N’guessan Kouakou Mathieu Elève ingénieur informaticien 60

 Interconnexion et sécurisation de sites

7.3.2.4 Pare-feu (ZBF)

Notre réseau d'entreprise étant relié à l'Internet, il est donc plus vulnérable aux attaques
venant de l'extérieur. Dans ce cas, pour surveiller et contrôler les données qui entrent et qui
sortent de notre réseau, il est primordial d'utiliser un pare-feu. Il existe deux (2) types de
pare-feu: le pare-feu logiciel et le pare-feu matériel.
Dans un système d'information, les politiques de filtrage et de contrôle du trafic sont placées
sur un matériel ou un logiciel intermédiaire communément appelé pare-feu (firewall). Cet
élément du réseau a pour fonction d’examiner et filtrer le trafic qui le traverse.
L’idée qui prévaut à ce type de fonctionnalité est le contrôle des flux du réseau TCP/IP.
Nous aurons à utiliser des routeurs comme pare-feu par l’implémentation d’une technologie
connue sous le nom de pare-feu de la politique selon les zones ou ZBF (Zone Base Firewall).
Des interfaces sont affectées aux zones et la politique d'inspection est appliquée au trafic qui
se déplace entre les zones.

Figure 34 : Topologie ZBF basic

Les stratégies d'Inter-zone offrent la flexibilité et la finesse considérables. Par conséquent,

différentes stratégies d'inspection peuvent être appliquées plusieurs groupes hôte connectés à
la même interface de routeur. Les zones établissent les frontières de sécurité de votre réseau.
Une zone définit une borne où le trafic est soumis aux restrictions politiques à mesure qu'elle
se dirige vers une autre région de votre réseau. La politique par défaut du ZBF entre les zones
est tout refuser. Si aucune politique n'est explicitement configurée, tout le trafic qui se
déplace entre les zones est bloqué.

 Fonctionnement

Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance, en

filtrant les flux de données qui y transitent.
Généralement, les zones de confiance incluent l’Internet (une zone dont la confiance est
nulle) et au moins un réseau interne (une zone dont la confiance est plus importante). Le but
est de fournir une connectivité contrôlée et maîtrisée entre des zones de différents niveaux de
confiance, grâce à l'application de la politique de sécurité et d'un modèle de connexion basé
sur le principe du moindre privilège.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 61

 Interconnexion et sécurisation de sites

Un pare-feu permet ainsi d'isoler le réseau en plusieurs zones de sécurité appelées zones
démilitarisées ou DMZ. Ces zones sont séparées suivant le niveau de confiance qu'on leur
porte.

Figure 35 : Politique de filtrage ZBF

7.3.2.5 NAT (Translation d’adresses)

Le mécanisme de translation d'adresses (en anglais Network Address Translation noté

NAT) a été mis au point afin de répondre à la pénurie d'adresses IP avec le protocole IPv4 (le
protocole IPv6 répondra à terme à ce problème).
En effet, en adressage IPv4 le nombre d'adresses IP routables (donc uniques sur la planète)
n'est pas suffisant pour permettre à toutes les machines nécessitant d'être connectées à
internet de l'être.
Le principe du NAT consiste donc à utiliser une adresse IP routable (ou un nombre limité
d'adresses IP) pour connecter l'ensemble des machines du réseau en réalisant, au niveau de la
passerelle de connexion à internet, une translation (littéralement une « traduction ») entre
l'adresse interne (non routable) de la machine souhaitant se connecter et l'adresse IP de la
passerelle.

Figure 36 : Principe du NAT

N’guessan Kouakou Mathieu Elève ingénieur informaticien 62

 Interconnexion et sécurisation de sites

7.3.3 La sécurité matérielle

La sécurité matérielle concerne essentiellement tout ce qui contribue, d’une part, à garder
les équipements hors de la portée de personnes malveillantes, et d’autre part à la protection
contre les variations de niveaux d’alimentation en électricité.

7.3.3.1 Protection contre les vols

Dans une société, où la criminalité est sans cesse galopante, des personnes mal
intentionnées ne se gêneraient pas à dépouiller une structures publique de son patrimoine
informatique ; raison pour laquelle, différentes mesures de sécurités doivent être mise en
œuvre en guise de prévention contre les vols. Les équipements devront être installés dans des
salles closes. En outre, l’accès à ces salles devra être interdit aux personnes étrangères au
service en charge du système. Enfin, Les nœuds tels que les Switch, AP, Routeur seront
installés dans des coffrets sécurisés (panneaux de brassage) pour éviter tout désagrément. Les
équipements du réseau cœur seront par ailleurs centralisés dans la salle serveur qui est mieux
protégée.
7.3.3.2 Protection contre les pannes électriques

Il est nécessaire de se procurer des onduleurs capables d’allonger la fourniture

d’électricité pendant un temps suffisant pour éteindre convenablement tous les équipements
du système matériel, voire pour continuer le travail entamé. En effet, les ordinateurs, n’étant,
en général, pas équipés de batterie, ils n’ont aucune autonomie propre en électricité et toute
rupture de la fourniture en électricité de l’opérateur national d’électricité entraîne
automatiquement l’arrêt des équipements. Cela peut sans doute occasionner des pertes
d’information, voire des pannes au niveau du matériel.
La salle « serveur » devra être dotée d’équipements de conditionnement d’air fonctionnels,
pour réguler la température, en vue protéger les composants électroniques contre la
surchauffe.
7.3.4 La redondance de passerelles

Sur un PC, l’on configure généralement une seule

passerelle par défaut (default Gateway). Une
passerelle est un équipement qui permet de mettre
plusieurs ordinateurs en réseau. Elle permet de mettre
en contact deux réseaux fondamentalement différents
et fait frontière généralement entre le réseau local et
Internet.
Cependant, si celle-ci est hors service plus moyen de
communiquer en dehors de son domaine de diffusion.
Pour remédier à cela, il existe plusieurs méthodes pour
gérer la redondance de passerelle dont le GLBP
(Gateway Load-Balancing Protocol). Figure 37 : Redondance de passerelles

N’guessan Kouakou Mathieu Elève ingénieur informaticien 63

 Interconnexion et sécurisation de sites

7.3.4.1 Principe général

GLBP est un protocole propriétaire Cisco qui fourni une solution de continuité de service
principalement pour la redondance de
passerelles par défaut.
Pour chaque réseau, on associe les interfaces
des routeurs à un groupe GLBP (le même n°
de groupe pour toutes les interfaces qui
doivent assurer le même rôle). A ce groupe on
associe une adresse IP virtuelle (dans le cas de
l’exemple ce sera 192.168.1.99). La
redondance est mise en place par le biais du
protocole ARP (Address Resolution Protocol).
Lorsqu’un des hôtes doit utiliser la passerelle
par défaut pour communiquer en dehors de
son domaine de diffusion, il émet une requête
ARP pour obtenir l’adresse MAC
correspondant à 192.168.1.99.
Dans le cas de GLBP, un des routeurs sera
l’AVG (Active Virtual Gateway), celui qui
aura la plus grande priorité (ou la plus grande
adresse IP configurée à priorité égale). Figure 38 : GLBP
Les autres routeurs seront les AVF (Active Virtual Forwarders).
L’AVG a pour mission de distribuer la charge entre les différentes passerelles (lui-même et
les différents AVF). Pour y arriver, il se chargera de répondre aux requêtes ARP en variant la
réponse, indiquant la sienne, celle d’un AVF, celle de l’AVF suivant etc.
Ceci est possible par le fait que chaque routeur faisant partie d’un même groupe GLBP
prendra en charge une adresse MAC GLBP différente mais faisant partie d’un même groupe.
La structure de l’adresse MAC est la suivante: 0007.b400.XXYY (où les X symbolisent le n°
de groupe et les Y l’incrémentation d’une passerelle à l’autre).
Les routeurs communiquent entre eux par multicast (224.0.0.102) en s’échangeant des
messages HELLO. Si l’un d’eux manque à l’appel il disparaît de la rotation au niveau des
réponses ARP et si c’est l’AVG qui disparaît, c’est le meilleur AVF qui prendra sa place.
De plus GLBP permet de mettre en place un système efficace de bascule des lignes internet
en cas de coupure.

7.3.5 Recommandations
 Il est utile de former les agents du DY car ils n'ont pas conscience que certaines
attitudes habituelles de leur part peuvent être au détriment de la qualité de notre
réseau. D'où la nécessité de la sensibilisation. Voici les points sur lesquels il faudra
insister :
Scanner les disques amovibles avant de les ouvrir. Car même si l'antivirus n'arrive pas
à détruire le virus, il arrive parfois qu'il détecte et avertit d'une possible infection
virale ;

N’guessan Kouakou Mathieu Elève ingénieur informaticien 64

 Interconnexion et sécurisation de sites

Il faut éviter l’accès à la salle serveur au risque d’endommager les équipements qui
sont sensibles au toucher.
 Il est souhaitable que le Direction informatique du District, dispose de nouvelle
licence serveur ;
 Doter le DY d’un autre contrôleur de domaine pour palier a tous problèmes
d’authentifications ;
 Il serait souhaitable, d’avoir un serveur d’anti-virus vu l’étendu du réseau afin de
centraliser les mises à jour et gérer les clients anti-virus sur chaque poste.

7.4 Mise en œuvre de l’interconnexion et des services

7.4.1 Gestion de l’adressage

Plusieurs groupes d’adresses ont été définis dans le but d’optimiser l’acheminement (ou le
routage) des paquets entre les différents réseaux. Ces groupes ont été baptisés classes
d’adresses IP qui correspondent à des regroupements de réseaux de même taille. En ce qui
concerne notre projet, nous utiliserons des adresses de classe C pour la configuration des
différents nœuds (poste, routeur) du réseau.
En théorie, une adresse de classe C offre la possibilité d’identifier 254 machines (sans
adresses broadcast et réseau) et a un masque réseau qui est 255.255.255.0.
Pour prévoir une extensibilité future du réseau, il convient d’attribuer une adresse de cette
classe à chacun des sites.

Siege Site 1 (Annexe 1)

Adresse IP local 192.168.0.0 /24 Adresse IP local 192.168.1.0 /24

Masque réseau 255.255.255.0 Masque réseau 255.255.255.0

Adresse IP passerelle
192.168.0.1 /24
1 (HUB1)
Adresse IP passerelle 192.168.1.1 /24
Adresse IP passerelle
192.168.0.2 /24
2 (HUB2)

Site 2 (Annexe 2) Site 3 (Annexe 3)

Adresse IP local 192.168.2.0 /24 Adresse IP local 192.168.3.0 /24

Masque réseau 255.255.255.0 Masque réseau 255.255.255.0

Adresse IP passerelle 192.168.2.1 /24 Adresse IP passerelle 192.168.3.1 /24

Tableau 6 : Plan d’adressage de chaque site

N’guessan Kouakou Mathieu Elève ingénieur informaticien 65

 Interconnexion et sécurisation de sites

Figure 39: Sites du réseau DMVPN

7.4.2 Configuration DMVPN du site centrale (HUB1)

La configuration du DMVPN ce fait en trois (3) étapes à savoir :

1. Configuration de la protection IPsec ;

2. Configuration des tunnels mGRE (Multipoint GRE) et NHRP ;
3. Configuration du routage dynamique.

 Etape 1 : Configuration de la protection IPsec

Cette étape commence par la configuration des phases 1 et 2 d’IPSec.

La phase 1 d’IPSec est utilisée pour établir un canal de communication sécurisé pour les
données transmises. Dans cette phase, nous configurons une politique ISAKMP (ISAKMP
policy) qui doit correspondre aux autres politiques configurées dans les autres Peer. Cette
ISAKMP policy permet à ceux-ci de connaitre les différents paramètres de sécurités qui
doivent être utilisés (protocole de chiffrage, algorithme de hachage, méthode
d’authentification, le group Diffie Hellman, la durée de vie du tunnel).
Plusieurs politiques ISAKMP peuvent être configurées dans le but de correspondre à
plusieurs besoins. Cependant, un numéro de priorité identifie de manière unique chaque
politique.

HUB1(config)# crypto isakmp policy 10 policy numéro 10 est crée

HUB1(config-isakmp)# encryption aes utiliser AES pour le chiffrage

N’guessan Kouakou Mathieu Elève ingénieur informaticien 66

 Interconnexion et sécurisation de sites

HUB1(config-isakmp)# hash SHA utiliser SHA pour le hachage

HUB1(config-isakmp)# authentication pre-share utiliser une clé pré-partagée

pour l’authentification

HUB1(config-isakmp)# group 2 utiliser Diffie-Helman Group 2

HUB1(config-isakmp)# exit

HUB1(config)# crypto isakmp key strongsecretkey address 0.0.0.0 0.0.0.0

Cette commande définit la PSK ("pre-shared key", clef pré-partagée. En général une PSK
est associée à un partenaire IPsec ("peer") particulier. Mais dans notre cas, nous devons
utiliser une "wildcard PSK", afin d’utiliser cette clef pour tous les peers qui contacteraient le
hub afin d’établir un tunnel IPsec.

Attention : il faut changer ’strongsecretkey’ par une valeur convenable.

La phase 2 d’IKE est d’établir une session IPSec sécurisée entre peer. Avant que cela ne soit
possible, chaque équipement négocie le niveau de sécurité requis (algorithmes
d’authentification et de chiffrement pour la session).

En lieu et place de négocier chaque protocole de manière individuel, ceux-ci sont regroupés
pour former un transform sets.

Configurer un transform set avec aes pour le cryptage et sha-HMAC pour

l’authentification
HUB1(config)# crypto ipsec transform-set TRSET esp-aes 256 esp-sha-hmac
Configurer un transform set avec aes pour le cryptage et sha-HMAC pour
l’authentification
HUB1(config)# crypto ipsec transform-set TRSET esp-aes 256 esp-sha-hmac

HUB1(cfg-crypto-trans)# mode transport

HUB1(cfg-crypto-trans)# exit

Crée un profil IPSec utilisé plus loin pour encapsuler la totalité du trafic transitant sur le
tunnel.

HUB1(config)# crypto ipsec profile vpn_tunnel_profile

Hub1(ipsec-profile)# set transform-set TRSET

N’guessan Kouakou Mathieu Elève ingénieur informaticien 67

 Interconnexion et sécurisation de sites

HUB1(ipsec-profile)# exit

 Etape 2 : Configuration des tunnels mGRE

HUB1(config)# interface FastEthernet0/0  Interface Public WAN sur le routeur

Hub Router
HUB1(config-if)# ip address adresse_IP_publique masque_de_sous_reseau  IP publique
HUB1(config-if)# exit
HUB1(config)# interface Tunnel 0  l’ Interface mGRE
HUB1(config-if)# ip address 10.0.0.1 255.255.255.0  Choisir un block
d’adresses privée pour l’interface mGRE
HUB1(config-if)# no ip redirects
HUB1(config-if)# ip mtu 1436  Maximum Transmission Unit
HUB1(config-if)# ip nhrp authentication NHRP_KEY  clé d’authentification NHRP
HUB1(config-if)# ip nhrp map multicast dynamic
HUB1(config-if)# ip nhrp map multicast <adresse_IP_HUB2>
HUB1(config-if)# ip nhrp redirect
HUB1(config-if)# ip nhrp network-id 99  Identifie le groupe DMVPN. Tous les
routeurs doivent avoir le même identifiant
HUB1(config-if)# ip nhrp holdtime 600
HUB1(config-if)# ip ospf network broadcast
HUB1(config-if)# ip ospf priority 2
HUB1(config-if)# tunnel source FastEthernet0/0  la source du tunnel est l’interface WAN
HUB1(config-if)# tunnel mode gre multipoint
HUB1(config-if)# tunnel key 100000
HUB1(config-if)# tunnel protection ipsec profile vpn_tunnel_profile
HUB1(config-if)# exit

L’interface Tunnel sert à encapsuler le trafic hub-spoke dans un tunnel IP/GRE. Pour
éviter les fragmentations de paquets, il faut ajuster le MTU à 1436 pour cette interface. Les
commandes nhrp permettent de configurer le protocole sur cette interface, et en particulier la
clef d’authentification (ip nhrp authentication), l’insertion automatique des ’spokes’ dans la
liste de destinataires multicast (ip nhrp map multicast dynamic), ainsi que le HUB2 qui joue
le rôle de serveur NHRP relais (ip nhrp map multicast) et la ’communauté’ NHRP (ip nhrp
network-id99).
Tunnel source FastEthernet0/1 permet d’indiquer que l’interface source du tunnel est
l’interface WAN FastEthernet0/1. Avec tunnel protection ipsec profile vpn_tunnel_profile, le
trafic transitant par le tunnel sera chiffré selon les spécifications du profil défini plus haut.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 68

 Interconnexion et sécurisation de sites

 Etape 3 : Configuration du routage dynamique

HUB1(config)# router ospf 1 Créer une instance OSPF

HUB1(config)# network 10.0.0.0 0.0.0.255 area 0 L’interface du sous-réseau du
tunnel DMVPN
HUB1(config)# network 192.168.0.0 0.0.0.255 area 0 Le sous-réseau LAN du HUB
HUB1(config)# exit

OSPF doit fonctionner au travers du tunnel pour permettre d’échanger des routes et faire
connaitre les réseaux LAN du hub et des différents spokes. Ces routes seront propagées sur la
totalité des routeurs participants au tunnel multipoint GRE.
7.4.3 Configuration DMVPN du HUB2

Le HUB2 joue le rôle serveur NHRP relais en cas de mauvais fonctionnement du HUB1
(HUB serveur). Les HUBs ont quasiment la même configuration.
Cependant, il est nécessaire de changer les adresses IPs des commandes suivante :
HUB1(config)# interface FastEthernet0/0
HUB1(config-if)# ip address adresse_IP_publique masque_de_sous_reseau
HUB1(config-if)# exit
HUB1(config)# interface Tunnel 0
HUB1(config-if)# ip address 10.0.0.2 255.255.255.0
ip nhrp map multicast <adresse_IP_HUB1>

7.4.4 Configuration DMVPN des annexes (SPOKES)

SPOKE(config)# crypto isakmp policy 1

SPOKE(config-isakmp)# encryption aes
SPOKE(config-isakmp)# hash SHA
SPOKE(config-isakmp)# authentication pre-share
SPOKE(config-isakmp)# group 2
SPOKE(config-isakmp)# exit
SPOKE(config)# crypto isakmp key strongsecretkey address 0.0.0.0 0.0.0.0
SPOKE(config)# crypto ipsec transform-set TRSET esp-aes 256 esp-sha-hmac
SPOKE(cfg-crypto-trans)# mode transport
SPOKE(cfg-crypto-trans)# exit
SPOKE(config)# crypto ipsec profile vpn_tunnel_profile
SPOKE(ipsec-profile)# set transform-set TRSET
SPOKE(ipsec-profile)# exit
SPOKE(config)# interface FastEthernet0/0  Interface Public WAN sur le routeur
Hub Router
SPOKE(config-if)# ip address dhcp  Les addresses IPs des Spokes peuvent être
dynamiques

N’guessan Kouakou Mathieu Elève ingénieur informaticien 69

 Interconnexion et sécurisation de sites

SPOKE(config-if)# exit
SPOKE(config)# interface Tunnel 0  l’ Interface mGRE
SPOKE(config-if)# ip address 10.0.0.3 255.255.255.0  l’IP du tunnel du même sous-
réseau que les Hubs
SPOKE(config-if)# no ip redirects
SPOKE(config-if)# ip mtu 1436
SPOKE(config-if)# ip nhrp authentication NHRP_KEY clé secrete pour s’authentifier
avec les Hubs
SPOKE(config-if)# ip nhrp nhs <HUB1-tunnel-IP>
SPOKE(config-if)# ip nhrp map < HUB 1-tunnel-IP> <Public-IP>  un next hop server
et une entrée NHRP (le hub, dans les deux cas) sont définies statiquement
SPOKE(config-if)# ip nhrp map multicast < HUB 1-Public-IP>
SPOKE(config-if)# ip nhrp nhs < HUB 2-tunnel-IP>
SPOKE(config-if)# ip nhrp map < HUB 2-tunnel-IP> <Public-IP>
SPOKE(config-if)# ip nhrp map multicast < HUB 2-Public-IP>
SPOKE(config-if)# ip nhrp shortcut
SPOKE(config-if)# ip nhrp network-id 99
SPOKE(config-if)# ip nhrp holdtime 600
SPOKE(config-if)# ip ospf network broadcast
SPOKE(config-if)# ip ospf priority 0 priorité OSPF mise à 0 (pour éviter qu’un
spoke soit élu gestionnaire des routes (DR) pour la zone)
SPOKE(config-if)# tunnel source FastEthernet0/0
SPOKE(config-if)# tunnel mode gre multipoint
SPOKE(config-if)# tunnel key 100000
SPOKE(config-if)# tunnel protection ipsec profile vpn_tunnel_profile
SPOKE(config-if)# exit

N’guessan Kouakou Mathieu Elève ingénieur informaticien 70

 Interconnexion et sécurisation de sites

Chapitre 8 : COUT DE REALISATION

8.1 Achat de matériels et de logiciels

Le tableau ci-après présente une estimation globale du coût de réalisation du projet. Cette
estimation prendra en compte tous les éléments nécessaires à la mise en place de notre
système.

Ressources nécessaires Coût unitaire Quantités Coût total

(en f Cfa)
Matériel
Routeur Cisco ISR 890 serie 700 000 5 3500000
Switch 20 000 1 20 000
TOTAL 3 520 000

Tableau 7: Le coût de réalisation du projet.

On estimera le coût de réalisation du projet à 3 520 000FCFA.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 71

 Interconnexion et sécurisation de sites

CONCLUSION

Au cours de ce stage, il nous a été demandé d’interconnecter les différents sites du

District de Yamoussoukro (DY). Sans prétendre avoir cerné tous les contours du problème,
Nous avons dans les prémices de notre travail, effectué un tour d'horizon sur les besoins de
l'entreprise, afin de mieux comprendre le problème posé et répondre aux attentes de
l'entreprise, tout en respectant sa politique financière.
Par la suite, une étude comparative des différentes technologies d'interconnexions
envisageables, dans le but de choisir celle qui pourra être la mieux adapté à une société
comme le District de Yamoussoukro.

Pour ce faire, il nous a fallu d’abord nous familiariser à l’environnement réseau,

comprendre le fonctionnement de celui-ci.

Après une étude approfondie, la solution à ce problème s’est faite par la mise en place d’un
système d’interconnexion par VPN.

En effet, L'arrivée des accès rapides à l'internet ainsi que la baisse globale de leurs
coûts permet aux entreprises, de nos jours, confrontées aux problèmes de distribution et de
collecte d'informations, d’interconnecter leur différents LAN. Le VPN, bien que n’étant pas
la seule solution, demeure l’une des plus avantageuses, due certainement à son coût de
déploiement, mais aux nombreux avantages sécuritaire, évolutif et technique qu'il offre,
même si son fonctionnement reste dépendant de la connexion internet et de la bande passante
allouée.

Bien vrai que le projet ne soit pas encore terminé, ce stage a été très enrichissant pour
nous, il nous a permis entre autres :
 D’appréhender les réalités techniques du monde de l’entreprise ;
 De travailler sur un projet très évolutif, ce qui nous a permis d’élargir nos domaines
de connaissance ;
 Et de nous frotter au monde des télécommunications dans un environnement réel.
Nous espérons terminer ce projet dans les nouveaux délais impartis afin de le mettre
le plus tôt possible en service.
Au terme de notre étude, nous pouvons nous estimer satisfait de notre séjour au
District de Yamoussoukro qui nous a donné un avant goût de la vie en entreprise.
Toutefois, ce mémoire demeurant le fruit d’un travail humain, nous le soumettons aux
critiques et suggestions en vue d’y apporter des modifications et des corrections. Ces
dernières serviront à améliorer le travail réalisé et aussi à permettre une évolution prochaine
du système.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 72

 Interconnexion et sécurisation de sites

REFERENCES
WEBOGRAPHIQUES

https://fr.wikidedia.org/wiki/Réseau_privé_virtuel
http://www.ietf.org/html.charters/ipsec
http://www.commentcamarche.net
https://www.cisco.com/go/dmvpn
https://www.cisco.com/go/pix
http://www.xs4all.nV-yskes/howto/linux_ipip_tunnel.htm
http://www.routage.org/gre.html
http://www.securite.org/db/reseau/tunnel
ciscomadesimple.be

REFERENCES
BIBLIOGRAPHIQUES

Implementing Cisco Secure Mobility Solutions – Student Guide

Cisco Network Academy
Rapport de fin de cycle: Interconnexion des sites de la sonabel : cas de la Direction
régionale de l'ouest» par Arnaud TAMINI & Somaye OUATTARA
Official ccna security cert guide 640-554
Memoire de fin de cycle: Connexions d'accès distant & Connexions VPN avec RADIUS
par Mlle LACHGAR Kaoutar

N’guessan Kouakou Mathieu Elève ingénieur informaticien 73

 Interconnexion et sécurisation de sites

ANNEXES
A.1 Configuration des iACLs

! Bloquer tous paquets provenant d’une adresse publique RFC-1918 (Plages d’adresse
privee)
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny 172.16.0.0 0.15.255.255 any
access-list 101 deny 192.168.0.0 0.0.255.255 any
! Bloquer les adresses IPs speciales
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.0.2.0 0.0.0.255 any
access-list 101 deny ip 224.0.0.0 31.255.255.255 any
! Bloquer tous paquets provenant de sa plage d’adresse
access-list 101 deny ip < Votre_block_d’adresse_privee > any
! Permettre tous trafiques
access-list 101 permit udp any any eq 500
access-list 101 permit ah any any
access-list 101 permit esp any any
! Permettre le trafique de transite
access-list 101 permit ip any any
!------------ interface connecte au fournisseur d’accès internet--------------
interface F0/0
ip access-group 101 in
exit

B.1 Configuration ZBF

! Il faut configurer les zones avant d’y ajouter des interfaces et une interface ne
peut faire partie que d’une seule zone à la fois.
Router(config)#zone security zone_securisee
Router(config-sec-zone)#description zone securise!
Router(config-sec-zone)#exit
Router(config)#interface fastEthernet 0/1
Router(config-if)#zone-member security zone_securisee
! Création d’une zone non sécurisée. Zone extérieure à notre domaine de sécurité
Router(config)#zone security zone_non_securisee
Router(config-sec-zone)#exit
Router(config)#interface f0/0
Router(config-if)#zone-member security zone_non_securisee
Router(config-if)#exit
! Création de class-map permettant de sélectionner le type de paquets sur lesquels des
actions seront appliquées. Trois (3) types d’actions possibles : inspect, drop, pass.

N’guessan Kouakou Mathieu Elève ingénieur informaticien 74

 Interconnexion et sécurisation de sites

 Pass: Le trafic est autorisé à transiter d’une zone à l’autre

 Inspect: Autoriser le trafic et inspecter le trafic retour (= ip inspect)
 Drop: Supprimer le traffic

Router(config)#class-map type inspect match-any insp-traffic

Router(config-cmap)#match protocol dns
Router(config-cmap)#match protocol https
Router(config-cmap)#match protocol icmp
Router(config-cmap)#match protocol imap
Router(config-cmap)#match protocol pop3
Router(config-cmap)#match protocol tcp
Router(config-cmap)#match protocol udp
Router(config)#class-map type inspect match-any voice-permit
Router(config-cmap)#match protocol h323
Router(config-cmap)#match protocol skinny
Router(config-cmap)#match protocol sip
Router(config)#class-map type inspect match-any cls-protocol-p2p
Router(config-cmap)#match protocol signature
Router(config-cmap)#match protocol gnutella signature
Router(config-cmap)#match protocol kazaa2 signature
Router(config-cmap)#match protocol fasttrack signature
Router(config-cmap)#match protocol bitTorrent signature
Router(config)#class-map type inspect http match-any block-http-violation
Router(config-cmap)#match protocol req-rep protocol-violation
Router(config-cmap)#match protocol request uri length gt 500
Router(config)#class-map type inspect all-http-trafic
Router(config-cmap)#match protocol http
! Création des politiques de sécurité
Router(config)#policy-map type inspect http block-http-violation-policy
Router(config-pmap)#class type inspect http block-http-violation
Router(config-pmap-c)#reset
Router(config-pmap-c)#exit
Router(config)#policy-map type inspect all-trafic-policy
Router(config-pmap)#class type inspect all-http-trafic
Router(config-pmap-c)#service-policy http block-http-violation-policy
Router(config-pmap-c)#exit
Router(config-pmap)#class type inspect insp-traffic
Router(config-pmap-c)#inspect
Router(config-pmap-c)#exit
Router(config-pmap)#class type inspect cls-protocol-p2p
Router(config-pmap-c)#reset
Router(config-pmap-c)#exit
Router(config-pmap)#class type inspect voice-permit
Router(config-pmap-c)#inspect
Router(config-pmap-c)#exit

N’guessan Kouakou Mathieu Elève ingénieur informaticien 75

 Interconnexion et sécurisation de sites

! Et affectation des politiques de sécurité aux zone-pair.

Router(config)#zone-pair security secure_to_unsecure source zone_securisee dest
zone_non_securisee
Router(config-sec-zone-pair)#service-policy type inspect all-trafic-policy
Router(config-sec-zone-pair)#exit

C.1 Configuration de la redondance de passerelle (Hub1 et 2)

Hub1(config)#interface f0/1  Interface interne

Hub1(config-if)#glbp 1 ip 192.168.1.99 Adresse IP de la passerelle virtuelle. Activation
du GLBP sur le Hub1 en utilisant le numéro de groupe (1) qui doit être identique pour
tous les membres du groupe.
Hub1(config-if)#glbp 1 priority 150 La priorité 150 du Hub1 fait de lui le AVG
Hub1(config-if)#glbp 1 preempt
Hub1(config-if)#glbp 1 authentication md5 key-string mypass  clé d’authentification
Hub1(config-if)#glbp 1 weighting track 16 decrement 40
Hub1(config-if)#glbp 1 weighting 100 lower 70 upper 90
Hub1(config-if)#exit
Hub1(config)# track 16 interface fastEthernet 0/0 line-protocol

! Tracking de l’interface WAN connecté à internet (fastEthernet 0/0). Surveillance de la

disponibilité des connexions internet. En cas de coupure, la priorité qui est de 100 est
décrémentée de 40. De ce fait, le routeur (AVG ou AVF) concerné est retiré du groupe
jusqu'à ce que la ligne soit de nouveau disponible.
NB : Cette configuration doit être faite sur le Hub2 sans la commande : glbp 1 priority
150.

D.1 Configuration NAT (Network Address Translation)

Hub1(config)#interface f0/1  Interface interne

Hub1(config-if)#ip address 192.168.0.1 255.255.255.0
Hub1(config-if)#ip nat inside
Hub1(config-if)#no shutdown
Hub1(config-if)#exit
Hub1(config)#interface f0/0  Interface WAN
Hub1(config-if)#ip address 192.168.0.1 255.255.255.0
Hub1(config-if)#ip nat outside
Hub1(config-if)#no shutdown
Hub1(config-if)#exit
Hub1(config)#ip access-list extended NAT-ACL
Hub1(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 any
Hub1(config-ext-nacl)#exit
Hub1(config)# ip nat inside source list NAT-ACL interface interface f0/0 overload

N’guessan Kouakou Mathieu Elève ingénieur informaticien 76

 Interconnexion et sécurisation de sites

TABLE DES
ILLUSTRATIONS

Figure 1 : Topologie générale .................................................................................................... 11

Figure 2 : Interconnexion par WIMAX........................................................................................ 21

Figure 3 : Le VPN d’accès……….................................................................................................... 26

Figure 4 : Le Site-to-Site VPN…................................................................................................... 27

Figure 5 : VPN en étoile………….................................................................................................... 28

Figure 6 : VPN maillée…………….................................................................................................... 29

Figure 7 : VPN partiellement maillée........................................................................................... 29

Figure 8 : Fonction de hachage.................................................................................................... 31

Figure 9 : Le Hachage.................................................................................................................. 31

Figure 10 : Code d’Authentification de Message Haché............................................................... 32

Figure 11 : Clé symétrique............................................................................................................ 33

Figure 12 : Clé asymétrique.......................................................................................................... 33

Figure 13 : Exemple de certificat numérique sous Mozilla Firefox............................................... 34

Figure 14 : Exemple de clé publique dans un certificat numérique............................................. 34

Figure 15 : Tunneling.................................................................................................................... 35

Figure 16 : GRE.............................................................................................................................. 35

Figure 17 : Encapsulation avec GRE.............................................................................................. 36

Figure 18 Point to Point Tunneling Protocol................................................................................ 37

Figure 19: Scénario PPTP............................................................................................................. 37

Figure 20: Layer Two Tunnelling Protocol.................................................................................... 38

Figure 21: SSL selon le modèle OSI.............................................................................................. 39

Figure 22 : Session SSL.................................................................................................................. 40

Figure 23 : Bibliothèque IPSec...................................................................................................... 42

Figure 24 : Exemple d’implémentation IPSec............................................................................... 43

N’guessan Kouakou Mathieu Elève ingénieur informaticien 77

 Interconnexion et sécurisation de sites

Figure 25 : Implémentation de AH................................................................................................ 43

Figure 26 : Implémentation d’ESP................................................................................................ 44

Figure 27 : Mode principale IKE.................................................................................................... 46

Figure 28 : Mode agressif IKE....................................................................................................... 47

Figure 29 : Négociation IKE........................................................................................................... 47

Figure 30 : Topologie finale.......................................................................................................... 49

Figure 31 : Réseau complètement maillé à quatre routeurs........................................................ 50

Figure 32 : GET-VPN...................................................................................................................... 51

Figure 33: DMVPN....................................................................................................................... 53

Figure 34 : Topologie ZBF basic.................................................................................................... 58

Figure 35 : Politique de filtrage ZBF.............................................................................................. 59

Figure 36: Principe du NAT…………................................................................................................ 59

Figure 37 : Redondance de passerelles........................................................................................ 60

Figure 38: GLBP............................................................................................................................ 61

Figure 39 : Sites du réseau DMVPN.............................................................................................. 63

Tableau 1 : Les ressources matérielles......................................................................................... 9

Tableau 2 : Les ressources matérielles......................................................................................... 9

Tableau 3 : Comparaison des solutions ....................................................................................... 21

Tableau 4 : Comparaison SSL et TLS............................................................................................. 40

Tableau 5 : Comparaison des technologies VPN site-à-site.......................................................... 55

Tableau 6 : Plan d’adressage de chaque site................................................................................ 62

Tableau 7 : Le coût de réalisation du projet................................................................................. 67

N’guessan Kouakou Mathieu Elève ingénieur informaticien 78

 Interconnexion et sécurisation de sites

GLOSSAIRE

AES: Advanced Encryption Standard

AH: Authentication Header.

ARP: Address Resolution Protocol.

BGP: Border Gateway Protocol.

DES: Data Encryption Standard

3DES: Triple Data Encryption Standard

DMZ : DeMilitarized Zone

FAI: Fournisseur d'Accès Internet

HTTP: Hyper Text Transfer Protocol

IP: Internet Protocol

IKE: Internet Key Exchange

ISO: International Standards Organisation

ISP: Internet Service Provider

IEEE: Institute of Electrical and Electronics Engineers

IPSEC: Internet Protocol Security

IPX: Inter-network Protocol eXchange

ISAKMP: Internet Security Association and Key Management Protoco

L2TP: Layer Two Tunneling Protocol

OSI: Open Systems Interconnection

PPP: Point To Point Protocol

PKI: Public Key Infrastructure

PPTP: Point-to-Point Tunneling Protocol

QoS : Quality Of Service

RFC: Request For Comments

RSA: Rivest Shamir Adleman

N’guessan Kouakou Mathieu Elève ingénieur informaticien 79

 Interconnexion et sécurisation de sites

SHA: Secure Hash Algorithm

SSL: Secure Socket Layer

SA: Security Association

TCP/IP: Transmission Control Protocol/Internet Protocol

TLS: Transport Layer Security

VPN: Virtual Private Network

VSAT: Very Small Aperture Terminal

WAN: Wide Area Network ou réseau Etendu

WIFI: Wireless Fidelity

N’guessan Kouakou Mathieu Elève ingénieur informaticien 80