REPUBLIQUE DU CAMEROUN

REPUBLIC OF CAMEROON
Paix-Travail-Patrie
******** Peace-Work-Fatherland
MINISTERE DE L’ENSEIGNEMENT ********
SUPERIEUR MINISTRY OF HIGHER EDUCATION
******** ********
UNIVERSITE DE MAROUA THE UNIVERSITY OF MAROUA
******** ********
ECOLE NATIONALE SUPERIEURE NATIONAL ADVANCED SCHOOL OF
POLYTECHNIQUE ENGINEERING
********* ***********
BP : 46 MAROUA Informatique et TélécommunicationsPO BOX: 46 MAROUA
******** ********

Sécurisation d’un serveur par IDS :

Cas de AFC

Mémoire présenté et soutenu en vue de l’obtention du Diplôme

DE LICENSE EN SCIENCES DE L’INGENIEUR

Par :
TOUKO NJITIEU ORNELLE GUISELA
21D0648EP

Sous la direction de :
M. LAOUKOURA CHARLES
Assistant

Devant le jury composé de :

Président / Examinateur : Dr NISSO NICODEM
Rapporteur : M. LAOUKOURA CHARLES

Année Académique 2021-2022

 Dédicace

Mon

Amour

DJIOMO TESSA HIPPOLYTE

1
 Remerciements

Au terme de mon stage, je tiens vivement à remercier la structure qui

m’a accueilli et un certain nombre d’acteurs sans le concours desquels
ce stage n’aurait pas probablement pas eu la même considération, ni
la même réussite. Nous adressons particulièrement tous nos sincères
remerciements à :

- Docteur NISSO NICODEM pour avoir accepté de présider ce jury et

examiner mon travail ;
- Mon encadreur Académique Monsieur LAOUKOURA CHARLES pour
sa disponibilité lors de l’élaboration de ce travail, les corrections
apportées à celui-ci, de son suivi durant mes années de formations
et de ses conseils ;
- Administration de l’université de Maroua en particulier à celle de
l’Ecole Nationale Supérieure Polytechnique de Maroua (ENSPM) ;
- Tout le corps enseignant de l’ENSPM pour avoir assuré ma
formation ;
- Le Gérant du Cabinet AFC M. NJOMNGANG JEAN CALVIN pour
m’avoir accueilli dans sa structure et sans qui ce stage n’aurait pas
eu lieu ;
- Mon fiancé DJIOMO TESSA HIPPOLYTE pour son soutient continuel
depuis le début de ma formation jusqu’à la fin de ce cursus ;
- Tous mes camarades de l’Ecole Nationale Supérieure Polytechnique
de Maroua pour leur soutien ;
- Toutes mes connaissances, qui de près ou de loin, ont œuvré à ce
que je sois là aujourd’hui.
Mes sincères remerciements vont également à l’endroit de ma
FAMILLE qui a toujours été présente pour m’appuyer dans toutes
les différentes étapes de ma formation.

2
 Table de matière
Dédicace......................................................................................................................................................1
Remerciements...........................................................................................................................................2
Table de matière.........................................................................................................................................3
Résumé........................................................................................................................................................6
Abstract.......................................................................................................................................................7
LISTE DES SIGLES ET ABREVIATIONS............................................................................................................8
LISTE DES FIGURES.......................................................................................................................................9
LISTE DES TABLEAUX.................................................................................................................................10
CHAPITRE 1 : INTRODUCTION GENERALE..............................................................................................11
1.1 Introduction.......................................................................................................................12
1.2 Contexte et problématique................................................................................................14
1.2.1 Présentation de AFC...................................................................................................14
1.2.2 Les services offerts par AFC........................................................................................14
1.2.3 Les projets de AFC......................................................................................................15
1.2.4 Contexte....................................................................................................................15
1.2.5 Problématique...........................................................................................................15
1.3 Objectifs.............................................................................................................................15
1.4 Conclusion.........................................................................................................................16
CHAPITRE 2 : GENERALITES SUR LES SERVEURS ET LOGICIELS PRIS EN COMPTE...................................17
Introduction.......................................................................................................................................18
2.1 Généralités sur les serveurs (19)..................................................................................18
2.2 Serveur de messagerie ou serveur mail (19).................................................................20
Conclusion.........................................................................................................................................24
CHAPITRE 3 : GENERALITES SUR LA SECURITE INFORMATIQUE............................................................25
Introduction.......................................................................................................................................26
3.1 Objectifs de sécurité (16).............................................................................................26
3.2 Mécanismes de sécurité(17)........................................................................................28
3.2.1 Le chiffrement : confidentialité..........................................................................28
3.2.2 Signature électronique : authentification, intégrité...........................................28
3.2.3 Antivirus.............................................................................................................29
3.2.4 Pare-feu (firewall)..............................................................................................29
3.2.5 VPN....................................................................................................................30

3
 3.2.6 IDS......................................................................................................................30
3.2.7 IPS......................................................................................................................30
3.3 Types et techniques d’attaque(16)..............................................................................30
3.4 Mise en place d’une politique de sécurité (18)............................................................31
Conclusion.........................................................................................................................................33
CHAPITRE 4 : ETUDE DES SYSTEME DE DETECTION ET PREVENTION D’INTRUSIONS (IDS/IPS)..............34
Introduction.......................................................................................................................................35
4.1 Définition de l’IDS(14)..........................................................................................35
4.1.1 Les différents types d’IDS...............................................................................35
4.1.2 Architecture d’un IDS.....................................................................................37
4.1.3 Fonctionnement d’un IDS..............................................................................38
[Link] Les méthodes d’analyse..............................................................................38
[Link] Les techniques de détection.......................................................................39
[Link] Comportement après détection..................................................................40
4.1.4 Points forts.....................................................................................................41
4.1.5 Points faibles..................................................................................................41
4.2 Définition d’IPS..................................................................................................42
4.2.1 Les différents types d’IPS(18)............................................................................42
4.2.2 Architecture fonctionnelle d’IPS....................................................................43
4.2.3 Points forts.....................................................................................................45
4.2.4 Points faibles..................................................................................................45
4.3 La différence entre IDS et IPS(18)........................................................................46
Conclusion.........................................................................................................................................47
CHAPITRE 5 : IMPLEMENTATION ET TEST..............................................................................................48
Introduction.......................................................................................................................................49
5.1 Présentation de l’existant.................................................................................49
5.2 Mise en place de l’IDS(18)...................................................................................50
5.3 Présentation des outils utilisés(17)......................................................................52
5.3.1 Snort.................................................................................................................52
[Link]- Définition de Snort........................................................................................53
[Link]- Fonctionnement de Snort.............................................................................53
[Link] Réactions de Snort........................................................................................54
5.3.2 Pfsense..............................................................................................................54
5.3.3 LOIC(18)...............................................................................................................55
5.3.4 VirtualBox..........................................................................................................55
5.4 Sécurisation.......................................................................................................55

4
 5.4.1 Installation et configuration de Pfsense(18)........................................................55
[Link] Installation de Pfsense...................................................................................56
[Link] Configuration de Pfsense1 et Pfsense2..........................................................56
5.4.2 Installation et configuration de Snort sous Pfsense(18).......................................58
[Link] Installation de Snort.......................................................................................58
[Link] Configuration de Snort...................................................................................59
5.5 Test(18)................................................................................................................63
5.5.1 Test de l’attaque active DoS..............................................................................63
Conclusion.........................................................................................................................................64
Conclusion Générale et perspectives........................................................................................................65
Bibliographie.............................................................................................................................................66

5
 Résumé

Notre projet de fin d’études effectué au Cabinet AFC (Audit α Financial Consultants)
consistait en la sécurisation d’un serveur par IDS. Ce projet vise mettre en place un
système capable de filtrer les entrées, les sorties et le stockage des paquets au sein du
serveur mis en place. Pour y parvenir, nous avons effectué un recensement de l’existant et
une analyse des besoins. Ceci nous a permis de ressortir l’architecture réseau de
l’entreprise pour pouvoir mettre en place les systèmes de détection des intrusions de
manière efficace. Pour ressortir l’architecture réseau de l’entreprise, nous avons utilisé le
logiciel Cisco Packet Tracer ; pour assurer les objectifs de sécurité, nous avons établi une
politique de sécurité spécifique à l’entreprise et pour configurer l’IDS pour le serveur,
nous avons utilisé SNORT sous Pfsense et pour les tests nous avons utilisé LOIC.

MOTS CLES : IDS, serveur, sécurisation, SNORT, Pfsense, LOIC

6
 Abstract

Our end-of-studies project carried out at Cabinet AFC (Audit α Financial Consultants)
consisted of securing a server with IDS. This project aims to set up a system capable of
filtering the inputs, outputs and storage of packets within the server in place. To achieve
this, we carried out an inventory of the existing situation and an analysis of needs. This
allowed us to identify the company's network architecture to be able to implement
intrusion detection systems effectively. To highlight the company's network architecture,
we used Cisco Packet Tracer software; to ensure the security objectives, we established a
company-specific security policy and to configure the IDS for the server, we used
SNORT under Pfsense and for the tests, we used LOIC.
KEY WORDS: IDS, server, security, SNORT, Pfsense, LOIC

7
 LISTE DES SIGLES ET ABREVIATIONS

Sigle ou abréviations Significations

LOIC Low Orbit Ion Cannon

IDS Intrusion Detection System

IMP Interface Message Processor

DES Data Encryption Standard

AES Advanced Encryption Standard

RSA Ron Rivest, Adi Shamir et Len Aldeman

TCP Transmission Control Protoco

UDP User Datagram Protocol

ICMP Internet Control Message Protocol

PPTP Point-to-point tunneling protocol

DHCP Dynamic Host Configuration Protocol

GNU GNU's not Unix

AMD64 Advanced micro devices 64

NAT Network Address Translation

http HyperText Transfer Protocol

NMAP Network Mapper

8
 LISTE DES FIGURES
Figure 1: serveur web................................................................................................................................19
Figure 2: serveur DNS................................................................................................................................19
Figure 3: serveur mail................................................................................................................................21
Figure 4 : comparaison entre IMAP et POP...............................................................................................23
Figure 5: signature d’un texte pour le partage..........................................................................................29
Figure 6: Firewall (pare-feu) (20)..................................................................................................................30
Figure 7: NIDS............................................................................................................................................36
Figure 8: IDS Hybride.................................................................................................................................37
Figure 9: architecture IDWG d’un IDS........................................................................................................38
Figure 10: Architecture fonctionnelle d’un IPS..........................................................................................44
Figure 11 : problème de détection d’un IDS(7)...........................................................................................45
Figure 12: représentation de l’architecture réseau initiale de l’entreprise AFC........................................49
Figure 13 : architecture hybride du réseau de l’entreprise.......................................................................52
Figure 14 : configuration les l’interfaces em0 et em1 de Pfsense1...........................................................57
Figure 15 : configuration des interfaces em0, em1, em2 de Pfsense2......................................................57
Figure 16 : interface web de Pfsense.........................................................................................................58
Figure 17 : configuration de la table NAT..................................................................................................58
Figure 18 : installation des paquets Snort.................................................................................................59
Figure 19 : Importation des règles de Snort..............................................................................................60
Figure 20 : Activation de l’interface em1 sur Pfsense1..............................................................................61
Figure 21 : Activation des interfaces em1 et em2 sur Pfsense2................................................................61
Figure 22 : Maquette d’attaque active (DoS).............................................................................................63
Figure 23 : Attaque DoS via la zone WAN par l’attaquant.........................................................................64
Figure 24 : Attaque DoS via la zone PUBLIC par l’attaquant 2...................................................................64

9
 LISTE DES TABLEAUX
Tableau 1 : Différence entre IDS et IPS......................................................................................................46
Tableau 2 : Quelques règles pour la configuration de Snort à la détection...............................................62

10
 CHAPITRE 1 :
INTRODUCTION
GENERALE

11
 1.1 Introduction

Avec l’évolution des techniques de communication, les systèmes d’information et

réseaux informatiques sont aujourd’hui de plus en plus ouverts sur le monde extérieur
notamment avec Internet. Cette ouverture facilite la vie pour l’humain en lui offrant
divers services, et relie des centaines de millions de machines à Internet un peu partout
dans le monde. Cependant, cette interconnexion des machines permet également aux
utilisateurs malveillants d’utiliser ces ressources et profiter de ses vulnérabilités à des fins
abusives, à l’exemple de : rendre un service web hors ligne. La sécurité de nos jours est
un problème d’une importance capitale, elle est devenue un problème majeur dans la
gestion des réseaux d’entreprises ainsi que pour les particuliers. Différents mécanismes
ont été mis en place pour faire face à ces problèmes de sécurité, comme les antivirus, les
pare-feux, le cryptage, mais ces mécanismes ont des limites face au développement
rapide des techniques de piratage. Pour pallier à ces limites, l’utilisation des systèmes de
détection d’intrusion s’impose. Les systèmes de détection d’intrusions ont été conçus
pour une surveillance continue, et la découverte des violations de la politique de sécurité,
ainsi que l’identification de toute activité non autorisée dans un réseau.[18] C’est dans
cette optique que s’inscrit notre mémoire. À savoir l’étude des systèmes de détection
d’intrusions, et sa mise en place pour sécuriser les serveurs et le réseau informatique en
général pour le cas de AFC. Ce mémoire est structuré en cinq chapitres comme suit :

Le premier chapitre est consacré à une introduction générale comportant la présentation

de l’entreprise, le contexte, la problématique et les objectifs à atteindre ;

Dans le second chapitre, nous présentons une généralité sur les serveurs et les différents
programmes pris en charge par ceux-ci ;

Dans le troisième chapitre, nous présentons une généralité sur la sécurité informatique, en
passant par la mise en place d’une politique de sécurité propre à l’entreprise ;

12
Le quatrième chapitre est consacré à l’étude des systèmes de détection d’intrusions en
passant par la différence entre IDS et IPS ;

Dans le cinquième chapitre, nous allons passer à l’implémentation notamment la mise en

place de notre IDS, la présentation des différents outils utilisés, le choix de la bonne
architecture, la mise en place de la solution et les tests de la solution de sécurité mise en
place ;

Enfin, nous terminons le mémoire par une conclusion générale.

13
 1.2 Contexte et problématique

1.2.1 Présentation de AFC

Crée en 2002 à Douala, le cabinet AFC (Audit & Financial Consultants) est un cabinet
d'expertise comptable reconnu en Afrique, fournissant les services d'audit. Le cabinet a 3
représentations qui collaborent avec le siège de Douala Cameroun.

AFC dispose des représentations dans plusieurs pays en Afrique centrale : Cameroun,
Guinée Equatoriale, Congo Brazzaville et Tchad. Ce statut lui donne la maîtrise parfaite
de l’environnement des affaires en Afrique Centrale, lui permettant ainsi d’accompagner
les entreprises qui évoluent dans cet écosystème de confiance.

1.2.2 Les services offerts par AFC

L’offre de service du Cabinet AFC est très variée. Nous pouvons citer entre autres :

 Expertise comptable (De l’établissement des comptes annuels au conseil en matière

de gestion) ;
 Conseil et audit SI (Etablir la cartographie complète, authentique et précise de votre
organisation.) ;
 Mandataire judiciaire (Représenter les intérêts des créanciers de l’entreprise en
difficulté.) ;
 Audit légal et contractuel (assurer aux actionnaires et aux tiers la conformité des
états financiers.) ;
 Conseil en management (accompagnement sur la transformation de l’entreprise.) ;
 Conseil juridique et fiscal (Assistance complète en fiscalité et en droit du
commerce).

Le cabinet AFC offre également des formations catalogue qui sont animées par les
collaborateurs du Cabinet, spécialisés par domaine de compétences, de façon à rendre nos
formations pratico-pratiques. Ces animateurs sont également spécialisés par secteur
d’activité.

14
Les formations « catalogue » avec AFC Academy vous permettent :

 D’approfondir vos connaissances,

 D’appréhender des concepts innovants,
 De bénéficier d’un apprentissage en petits groupes,
 D’échanger sur les bonnes pratiques,
 De développer votre réseau en suivant la formation avec des homologues

1.2.3 Les projets de AFC

Actuellement le Cabinet AFC prévoit de mettre en place un département informatique

encore très peu présent dans leurs activités.

1.2.4 Contexte

La question de sécurité sans cesse grandissante, et plus encore dans le domaine

informatique. Lors de notre stage, nous avons déploré l’absence d’un système de sécurité
au sein de l’entreprise. Notre tâche était donc de le mettre en place et le rendre
fonctionnel.

1.2.5 Problématique

Au regard du contexte actuel, les interrogations qui se posent à nous sont de savoir
comment choisir idéalement les outils de sécurisation adaptés au contexte de l’entreprise
et à la politique de sécurité établie ?

1.3 Objectifs

A l’issu de notre analyse, les différentes fonctionnalités de notre système de sécurité

seront les suivantes :

 L’analyse du trafic réseau entrant et sortant dans l’entreprise ;

15
  L’enregistrement des paquets ;
 Le reniflement et la détection des paquets suspects ;
 La prévention des intrusions dans le système.

1.4 Conclusion

En définitive, il était question pour nous dans ce chapitre de prendre connaissance de la

structure d’accueil, de présenter le contexte, de ressortir le problématique lié à notre
thème. Nous avons aussi pu présenter la méthodologie à utiliser et les objectifs de notre
projet. Tout ce travail nous a permis d’avoir une base sur laquelle nous appuyer pour
proposer des solutions adaptées et qui répondent à nos envies et aux attentes des
utilisateurs. Cette proposition de solutions fera l’objet de la suite du travail. [15]

16
 CHAPITRE 2 :
GENERALITES SUR LES
SERVEURS ET LOGICIELS
PRIS EN COMPTE

17
Introduction

Après l’introduction générale, nous passons à la généralité sur les serveurs en énumérant
quelques logiciels qui peuvent être pris en charge par ces différents serveurs. Nous nous
appesantirons un peu plus sur le serveur de messagerie qui est de plus en plus mis en
place dans les entreprises.

2.1 Généralités sur les serveurs (19)

Un serveur est un ordinateur ou un système qui met des ressources, des données, des
services ou des logiciels à la disposition d'autres ordinateurs, qualifiés de « clients », sur
un réseau. En théorie, un ordinateur est considéré comme un serveur à partir du moment
où il partage des ressources avec une machine cliente.

Nous pouvons donc avoir divers types de serveurs, à savoir :

 Le serveur web
Aussi appelé serveur http par analogie avec le protocole du même nom. Il désigne
soit l’ordinateur, soit le logiciel en lui-même. Les navigateurs web (Internet
Explorer, Mozilla Firefox) y jouent le rôle de clients. Il gère aussi l’accès aux
données (les pages web des sites hébergés + contenu). Grace à l’adresse (par ex.
[Link]) que vous indiquez, le client se connecte au serveur, demande le
code HTML de la page, et le reçoit en retour. Le client (navigateur web) interprète
ce code et affiche la page.

Les serveurs HTTP les plus utilisés sont:

-Apache HTTP Server de Apache Software Fundation ;

-Internet Information Services (IIS) de Microsoft ;

- Java System Web Server de Sun Microsystems.

18
 Figure 1: serveur web

 Le serveur DNS
DNS se traduit par Domain Name System (système de nom de domaines). Il
permet d’établir la correspondance entre numéro IP (Internet Protocol à l’adresse
d’un ordinateur sur le réseau) et un nom de site Internet. Cela fonctionne dans les
deux sens (résolution inverse).
Par exemple, vous souhaitez accéder à [Link] , votre client se connecte au
serveur DNS et envoie l’adresse comme requête puis il reçoit comme réponse
l’adresse IP [Link].

Figure 2: serveur DNS

 Le serveur d’applications
Il permet de centraliser les applications sur un poste, et les utilisateurs accèdent
aux applications via le réseau. Les clients sont les ordinateurs des utilisateurs
c’est-à-dire des ordinateurs «normaux» ou des clients légers (ressources

19
 matérielles limitées : processeur peu rapide, pas de disque dur). Il désigne par
extension les applications basées sur le web.

 Le serveur de base de données

Ceci permet la centralisation et l’administration des données. Les données y sont

regroupées dans des tables. Le Logiciel (SGBD) permet d’accéder à la base de
données (interrogation, ajout, mise à jour de données). Le langage normalisé de
manipulation de BDD est SQL (Structured Query Language). Il possède beaucoup
d’éditeurs : Microsoft Access (bureautique) et SQL Server (grands systèmes),
MySQL (logiciel libre), Oracle par Oracle Corporation, IBM DB2, …

Le matériel doit permettre :

- Un accès rapide aux données (disque dur rapide) ;

- Un accès multiple (évidemment) ;
- Un accès fiable et sécurisé (comme les autres types de serveurs).

 Le serveur mail

Ce dernier fera l’objet d’une analyse…

2.2 Serveur de messagerie ou serveur mail (19)

Nous l’utilisons tous les jours (normalement). Il permet la gestion des mails
(envoi/réception + stockage). Il utilise plusieurs protocoles (émission : SMTP, réception :
IMAP, POP). L’émission et la réception peuvent être dissociées physiquement.

Il admet 2 catégories de clients :

- Les clients de messagerie : logiciels (Microsoft Outlook, Mozilla Thunderbird) ;

- Webmail : interface web (IMP/Horde, GMail, YahooMail).

Comme logiciels de serveurs mail courants, on a :

- Sendmail (open source) ;

20
- Postfix (open source) ;
- Microsoft Exchange Server / Lotus Notes (pour la messagerie interne (entreprise
principalement) avec fonctionnalités étendues (travail collaboratif))

Figure 3: serveur mail

Pour le serveur mail, les protocoles sont nombreux, à savoir :

- POP3 (Post Office Protocol 3) ou IMAP (Internet Message Access Protocol) pour la
consultation (serveur entrant) ;
- SMTP (Simple Mail Transfert Protocol) pour l’envoi (serveur sortant).

Ces services peuvent être implantés sur des machines distinctes. Ils font partie des
standards de l’internet, et sont de ce fait enregistrés en tant que RFC (Request for
Comments).

Les protocoles d’entrée dans le serveur mail se spécifient comme suit :

POP3
C’est un ancien protocole (mais toujours largement utilisé) qui utilise RFC 1939
permettant à l’origine une utilisation hors ligne :
- Connexion de la machine cliente au serveur ;
- Transfert du courrier du serveur vers la machine cliente ;
- Suppression des messages sur le serveur ;

21
- Puis, à intervalles réguliers, la machine cliente interroge le serveur pour « savoir »
s’il y a de nouveaux messages.

Il est aussi principalement utilisé avec des logiciels spécialisés (Thunderbird, Outlook,
Seamonkey, Eudora,…), et offre la possibilité de taper les différentes commandes de
manière interactive.

Les inconvénients de POP3 sont :

- Par défaut, le client récupère les messages les uns à la suite des autres : un
message ne pouvant se télécharger (ou trop volumineux) bloque tous les autres ;
- Les sauvegardes dépendent de l’utilisateur ;
- Le changement de client (logiciel) de messagerie peut s’avérer [très] complexe ;
- La consultation par webmail devient impossible après téléchargement.

IMAP
Ce protocole utilise RFC 3501 et communique sur le port 143, la liste des messages
est également transmise au client (comme dans POP). Les messages sont alors gérés
individuellement. On peut choisir :
- quels messages restent sur le serveur ;
- quels messages doivent être supprimés ;
- quels messages doivent être téléchargés ;
- Gestion distante en « local ».

Il a pour inconvénients :
- Le temps de connexion qui est assez long ;
- L’utilisation abondante des ressources serveurs.

22
 Figure 4 : comparaison entre IMAP et POP

Les protocoles de sortie dans le serveur mail se spécifient comme suit :

SMTP
Ce protocole utilise RFC 2821 et communique sur le port 25. L’expéditeur n’est pas
d’authentifié dans la transaction. La sécurité est gérée au niveau du serveur (MTA). Il
dialogue avec le serveur en plusieurs étapes.

Dans le serveur mail, on utilise aussi les alias. Les alias sont des adresses électroniques
(qu’on tape dans la console), qui redirigent vers une autre préexistante. Ils permettent de
faire des correspondances entre des adresses mail et des comptes locaux, d'autres adresses
mail ou encore des commandes à exécuter. C’est une adresse non basée sur le login. Il
permet une redirection interne sur le domaine, permettant entre autres, d’avoir plusieurs
comptes attachés à une boîte mail. Il devient possible d’avoir : un nom complet
d’utilisateur et une liste de diffusion. C’est le serveur de mail qui redirige le message à
l’adresse réelle.

Le SPAM (SPiced hAM) est un courrier non sollicité envoyé à plusieurs personnes (un
peu comme les prospectus distribués dans les boîtes aux lettres). Les adresses sont
récupérées via les News, les listes de diffusion, les pages web (analyse des champs
mailto, recherche de texte avec le caractère @, mais essaye de contourner les filtres :

23
vi@gr@ v|agra v i a g r a). Il est apparu avec l’explosion du nombre d’utilisateurs de
l’Internet.

Comme solution pour limiter les SPAM, on peut :

- Filtrer les courriers au niveau personnel : soit manuellement, via des logiciels dédiés
ou via le logiciel de messagerie ;
- Filtrer au niveau d’un site : en créant une liste noire des « spammeurs » reconnus, en
refusant les adresses invalides ou en refusant les adresses IP non valides des
expéditeurs ;
- En amont : ne pas mettre son adresse mail « en clair » sur son site, éviter de
s’enregistrer sur n’importe quel site (et dans le meilleur des cas, avoir une adresse
dédiée).

Conclusion

Au terme de ce chapitre, il était question pour nous de présenter les différents types de
serveurs, leur fonctionnement et quelques logiciels pris en charges par ces derniers. Nous
pouvons dire que les serveurs sont à la fois un ensemble de logiciels et ordinateurs les
hébergeant dont le rôle est de répondre de manière automatique à des demandes envoyées
par des clients via le réseau.

24
 CHAPITRE 3 :
GENERALITES SUR LA
SECURITE
INFORMATIQUE

25
Introduction

De plus en plus d’entreprises subissent des attaques qui peuvent entraîner des pertes
conséquentes. Le besoin des entreprises en sécurité informatique est de plus en plus
important, c’est pourquoi nous allons tout d’abord rappeler quelques notions de sécurité
concernant la mise en place d’une politique de sécurité et les attaques qu’un réseau
d’entreprise peut subir et aussi rappeler quelques notions sur la mise en œuvre d’une
politique de sécurité et quelques attaques existantes. [14]

3.1 Objectifs de sécurité (16)

La notion de sécurité fait référence à une propriété d’un système, d’un service ou d’une
entité. Elle s’exprime par les objectifs (services) de sécurité suivant :

 Disponibilité
C’est la propriété qui permet de garantir l’accès aux ressources. Exemples de
ressources : serveur, réseau, données …
o Il ne suffit pas qu’une ressource soit disponible. Elle doit être utilisable avec
des temps de réponse acceptables ;
o Un service doit être assuré avec un minimum d’interruption (continuité de
service) ;
o La disponibilité est obtenue, par exemple, par une certaine redondance ou
duplication des ressources.

 Intégrité
C’est lié au fait que des ressources ou services n’ont pas été altérés (détruits ou
modifiés) tant de façon intentionnelle qu’accidentelle.
o Il est indispensable de se protéger contre la modification des données lors de
leur stockage, de leur traitement ou de leur transfert ;
o En télécommunication, le contrôle d’intégrité consiste à vérifier que les
données n’ont pas été modifiées tant de façon intentionnelle (attaques
informatiques) qu’accidentelle durant la transmission.

26
 Confidentialité
C’est la propriété qui garantit que les informations transmises ne sont
compréhensibles que par les entités autorisées.
o Deux actions complémentaires permettent d’assurer la confidentialité des
données :
 Limiter et contrôler l’accès aux données afin que seules les personnes
autorisées puissent les lire ;
 Transformer les données par des techniques de chiffrement pour
qu’elles deviennent inintelligibles aux personnes qui n’ont pas les
moyens de les déchiffrer.
o Le chiffrement des données (ou cryptographie) contribue à en assurer la
confidentialité et à en augmenter la sécurité lors de leur transmission ou de
leur stockage.

 Authentification
C’est la propriété qui consiste à vérifier l’identité d’une entité avant de lui donner
l’accès à une ressource.
o L’entité devra prouver son identité : Exemples : mot de passe, empreinte
biométrique ;
o Tous les mécanismes de contrôle d'accès logique aux ressources informatiques
nécessitent de gérer l’identification et l’authentification (pas d’accès anonyme
aux ressources).

 Non répudiation
C’est le fait de ne pourvoir nier qu’un évènement (action transaction) a eu lieu.
o Par exemple, la non répudiation permet d’avoir une preuve comme quoi un
utilisateur a envoyé (ou reçu) un message particulier. Ainsi, l’utilisateur ne
peut nier cet envoi (ou réception).

27
3.2 Mécanismes de sécurité(17)

Aujourd’hui, la sécurité est un enjeu majeur pour les entreprises ainsi que pour
l’ensemble des acteurs qui l’entourent. Nous trouvons donc plusieurs mécanismes de
sécurité :

3.2.1 Le chiffrement : confidentialité

Le chiffrement est une technique de cryptographie qui consiste à appliquer une fonction
mathématique sur le fichier. La variable est appelée clé de chiffrement. Pour assurer la
sécurité d’un document électronique, on le chiffre.

Il existe 2 types d’algorithmes de chiffrement :

 Symétriques : clé de chiffrement = clé de déchiffrement (exemple : DES, AES).

Problème : chaque clé doit être secrète et unique ;
 Asymétriques : clé de chiffrement ≠ clé de déchiffrement (exemple : RSA). Ces
algorithmes sont aussi appelés à clé publique. Il a pour propriété la création d’un
couple de clés, le mécanisme de clé publique (chiffrement) diffusée, et de clé privée
(secrète).

3.2.2 Signature électronique : authentification, intégrité

Signature électronique ou numérique est un code digital qui permet à la personne qui
reçoit une information de contrôler l’authenticité de son origine, et également de vérifier
que l’information en question est intacte. Aussi, les signatures électroniques permettent
l’authentification et le contrôle de l’intégrité.

28
 Figure 5: signature d’un texte pour le partage

3.2.3 Antivirus

Les antivirus sont des programmes capables de détecter la présence de virus sur un
ordinateur, ainsi que de nettoyer celui-ci dans la mesure du possible, si jamais un ou des
virus sont trouvés. Nettoyer signifie supprimer le virus du fichier sans l’endommager.
Mais parfois, ce nettoyage simple n’est pas possible.

3.2.4 Pare-feu (firewall)

Le pare-feu (ou Firewall en anglais) est un mécanisme indispensable dans la sécurité

informatique des entreprises et même dans des simples ordinateurs. Le Pare-feu propose
donc un véritable contrôle sur le trafic réseau de l’entreprise. Il permet d’analyser, de
sécuriser et de gérer le trafic réseau, et ainsi d’utiliser le réseau de la façon pour laquelle
il a été prévu, sans l’encombrement des activités inutiles, et d’empêcher une personne
sans autorisation d’accéder à ce réseau de données. Il s’agit ainsi d’une passerelle
filtrante comportant au minimum les interfaces réseaux.

29
 Figure 6: Firewall (pare-feu) (20)

3.2.5 VPN

De nos jours, les cybers attaques se sont multipliées, y compris envers les particuliers.
Ces derniers ont décidé de s’armer d’une protection efficace comme le VPN pour faire
face aux hackers. Un VPN (Virtual Private Network) ou Réseau Privé Virtuel en français
est une connexion inter-réseau permettant de relier deux (2) réseaux locaux différents de
façon sécurisée par un protocole de tunnelisation. La tunnelisation est un protocole
permettant aux données passant d’une extrémité à l’autre du VPN d’être sécurisées par
des algorithmes de cryptographie.

3.2.6 IDS

Un système de détection d’intrusion (ou IDS : Intrusion Detection System) est un

mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée
(un réseau ou un hôte). Il permet ainsi d’avoir une connaissance sur les tentatives réussies
comme échouées des intrusions.

3.2.7 IPS

Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil
similaire aux IDS, sauf que ce système peut prendre des mesures afin de diminuer les
risques d'impact d'une attaque de façon automome. C'est un IDS actif, il détecte un
balayage automatisé, l'IPS peut bloquer les ports automatiquement.

3.3 Types et techniques d’attaque(16)

Il existe un grand nombre d’attaques permettant à une personne mal intentionnée de

s’approprier des ressources, de les bloquer ou de les modifier. Certaines requièrent plus
de compétences que d’autres, en voici quelques-unes :

Le sniffing

Grâce à un logiciel appelé "sniffer", il est possible d’intercepter toutes les trames que
notre carte reçoit et qui ne nous sont pas destinées. Si quelqu’un se connecte par telnet

30
par exemple à ce moment-là, son mot de passe transitant en clair sur le net, il sera aisé de
le lire. De même, il est facile de savoir à tout moment quelles pages web regardent les
personnes connectées au réseau, les sessions ftp en cours, les mails en envoi ou réception.
Une restriction de cette technique est de se situer sur le même réseau que la machine
ciblée.

L’IP spoofing

Cette attaque est difficile à mettre en œuvre et nécessite une bonne connaissance du
protocole TCP. Elle consiste, le plus souvent, à se faire passer pour une autre machine en
falsifiant son adresse IP de manière à accéder à un serveur ayant une "relation de
confiance" avec la machine "spoofée". Cette attaque n’est intéressante que dans la mesure
où la machine de confiance dont l’attaquant a pris l’identité peut accéder au serveur cible
en tant que root.

Le DoS (Denial of Service)

Le DoS est une attaque visant à générer des arrêts de service et donc à empêcher le bon
fonctionnement d’un système. Cette attaque ne permet pas en elle-même d’avoir accès à
des données. En général, le déni de service va exploiter les faiblesses de l’architecture
d’un réseau ou d’un protocole. Il en existe de plusieurs types comme le flooding, le TCP-
SYN flooding, le smurf ou le débordement de tampon (buffer-overflow).

Le craquage de mots de passe

Cette technique consiste à essayer plusieurs mots de passe afin de trouver le bon. Elle
peut s’effectuer à l’aide d’un dictionnaire des mots de passe les plus courants (et de leurs
variantes), ou par la méthode de brute force (toutes les combinaisons sont essayées
jusqu’à trouver la bonne). Cette technique longue et fastidieuse, souvent peu utilisée à
moins de bénéficier de l’appui d’un très grand nombre de machines.

31
3.4 Mise en place d’une politique de sécurité (18)

La mise en œuvre d’une politique de sécurité globale est assez difficile, essentiellement
par la diversité des aspects à considérer. Une politique de sécurité peut se définir par un
certain nombre de caractéristiques : les niveaux où elle intervient, les objectifs de cette
politique et enfin les outils utilisés pour assurer cette sécurité. Chaque aspect différent
doit être pris en compte, de façon à atteindre les objectifs de sécurité désirés, en utilisant
de façon coordonnée les différents outils à disposition.

Nous allons tout d’abord parler des différents aspects d’une politique de sécurité, avant
de définir les objectifs visés, puis de voir les outils disponibles pour appliquer cette
politique. Une politique de sécurité s’élabore à plusieurs niveaux :

 sécuriser l’accès aux données de façon logicielle (authentification, contrôle

d’intégrité) ;
 sécuriser l’accès physique aux données : serveurs placés dans des salles sécurisées,
avec contrôle d’accès… ;
 un aspect très important pour assurer la sécurité des données d’une entreprise est de
sensibiliser les utilisateurs aux notions de sécurité, de façon à limiter les
comportements à risque : si tout le monde peut accéder aux salles de serveurs, peut
imposte qu’elles soient sécurisées ! De même, si les utilisateurs laissent leur mot de
passe écrit à côté de leur PC, son utilité est limitée… ;
 enfin, il est essentiel pour un responsable de sécurité de s’informer continuellement,
des nouvelles attaques existantes, des outils disponibles… de façon à pouvoir
maintenir à jour son système de sécurité et à combler les brèches de sécurité qui
pourraient exister.

Dans le cas de notre entreprise, la politique de sécurité établie grâce à un sondage

concerne les quelques aspects suivants :
 Faites les mises à jour de sécurité de vos équipements ;
 Utilisez une solution de sécurité contre les virus et autres attaques ;
 N’installez les applications que depuis les sites ou magasins officiels ;

32
  Choisissez un mot de passe qui n’a pas de lien avec vous (mot de passe
composé d’un nom de société, d’une date de naissance, etc.), et ne doit pas être
généré automatiquement ;
 Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90
jours est un bon compromis pour les systèmes contenant des données sensibles
;
 Respectez les cycles de vie des appareils (3 ans pour une ordinateur portable, 5
ans pour un ordinateur fixe, 5 ans pour un serveur) ;
 Faire comprendre à chaque membre du personnel que la moindre négligence de
leur part peut coûter l’intégrité du système.

Conclusion

Dans ce chapitre, nous avons tour à tour présenté les objectifs de sécurité que doit
respecter un bon système, les mécanismes de sécurité qui peuvent être utilisés pour se
prémunir des attaques. Nous avons aussi proposé quelques règles de sécurité, et établi
une politique de sécurité propre à l’entreprise cible.

33
CHAPITRE 4 : ETUDE DES
SYSTEME DE DETECTION
ET PREVENTION
D’INTRUSIONS (IDS/IPS)

34
Introduction

De nos jours, l’ouverture des systèmes d’information des entreprises à des échanges
externes avec le réseau mondial internet donne aux utilisateurs malveillants des moyens
supplémentaires et un élargissement dans leur terrain de jeu afin d’attaquer et menacer
ces entreprises facilement. C’est bien d’avoir un système qui joue un rôle pour surveiller
la circulation des données échangées entre le réseau de l’entreprise et le réseau externe, et
qui serait capable de réagir en temps réel si des données semblent suspectes. Les
systèmes de détection et prévention d’intrusions (IDS/IPS) conviennent parfaitement
pour réaliser ces tâches. [18]

4.1 Définition de l’IDS(14)

Un IDS ou (Intrusion Detection System) ou le système de détection des intrusions, est un

logiciel ou un matériel qui automatise des surveillances et détecter les signes des
intrusions. Il est placée judicieusement sur un réseau ou un système pour automatiser la
surveillance et repérer les activités douteuses ou anormales sur cette cible et alerter les
responsables de sécurité. De cette façon, on peut obtenir une connaissance des tentatives
réussies (ou non) d’attaque ou d’intrusion sur le système. Le système alerte
immédiatement l'administrateur lorsqu'une anomalie est détectée. C'est la fonction
principale de l'IDS. Cependant, certains IDS peuvent également répondre à une activité
malveillante. Par exemple, IDS peut bloquer le trafic provenant d'adresses IP suspectes
qu'il a détectées.

4.1.1 Les différents types d’IDS

Les différents IDS se caractérisent par leur domaine de surveillance (surveillance d’un
hôte « HIDS », surveillance d’un segment du réseau « NIDS », surveillance d’une
application « AIDS »). Il existe trois grandes familles distinctes d’IDS :

35
 IDS sur l’hôte ou HIDS (Host IDS) : Le HIDS c’est un système de détection
d'intrusion qui s’attache à surveiller le fonctionnement ou l’état de la machine sur
laquelle il est installé, afin de détecter les attaques. Il analyse exclusivement
l’information concernant cet hôte, avec la vérification des journaux systèmes, il
contrôle l’accès aux appels systèmes, il étudie l’intégrité des systèmes de fichiers.
Comme il n’a pas à contrôler le trafic du réseau (mais seulement les activités d’un
hôte) il se montre habituellement plus précis sur les types d’attaques subies.
 IDS sur réseau ou NIDS (Network IDS) : Son rôle est l’analyse et l’interprétation
des paquets circulant sur le réseau. Pour se faire, un logiciel de protection est installé
uniquement à des points spécifiques du réseau, comme les serveurs qui établissent
l’interface entre l'environnement extérieur et le segment de réseau à protéger. Cette
interface doit être configuré en mode furtif (ou stealth mode), de façon à être
invisibles aux autres machines. Pour obtenir ce mode il faut configurer la carte de
réseau d’NIDS en mode promiscuité, c’est-à-dire le mode dans lequel la carte réseau
lit l'ensemble du trafic, de plus, aucune adresse IP n’est configurée.

Figure 7: NIDS

 IDS Hybride : IDS hybrides rassemblent les caractéristiques des NIDS et HIDS. Ils
permettent, de surveiller le réseau et les terminaux. Les sondes sont placées en des
points stratégiques, et agissent comme NIDS et/ou HIDS suivant leurs emplacements.
Toutes ces sondes remontent alors les alertes à une machine qui va centraliser le tout,
et lier les informations d’origines multiples. Ainsi, on comprend que les IDS hybrides
sont basés sur une architecture distribuée, ou chaque composant unifie son format
d’envoi. Cela permet de communiquer et d’extraire des alertes plus exactes.

36
 Figure 8: IDS Hybride

Cependant vu que le secteur des IDS est en plein développement, de nouveaux types
d’IDS sont conçus actuellement, comme les IDS basés sur la pile, qui étudie la pile
d’un système, ou les nœuds réseau IDS (Node Network IDS en abrégé NNIDS).

4.1.2 Architecture d’un IDS

Nous nous intéressons maintenant à l’architecture et les modules de base d’un IDS. On
retrouve souvent les IDS placés en première ligne du réseau à sécuriser, pour qu’il
examine tous les paquets entrants ou sortants. Il réalise un ensemble d’analyses de
détection sur chaque paquet individuel ainsi sur les conversations et motifs du réseau. En
visualisant chaque transaction dans la figure suivante :

37
 Figure 9: architecture IDWG d’un IDS

Un IDS est composé de plusieurs éléments dont chacun accompli un rôle bien précis, on
trouve :

 Capteur : ou le collecteur des données (Sensors), observe l’activité du système et

génère des évènements qui renseignent de l’évolution de l’état du système en filtrant
des données provenant d’une source de données.
 Analyseur : Les analyseurs reçoivent comme entrée les données qui proviennent d'un
ou plusieurs collecteurs ou à partir d'autres analyseurs qui auraient au préalable
procédé à un premier traitement des données. Il génère des alertes lorsque le flux
d’évènements fourni par le(s) capteur(s) contient des éléments caractéristiques d’une
activité malveillante.
 Manager : Le manager collecte les alertes produites par l’analyseur, et les transmet
ensuite à l’opérateur sous forme de notifications afin de lui permettre de gérer les
alertes reçues et prendre des décisions.
 Opérateur : Personne chargée de l’utilisation de manager associé à l’IDS. Elle décide
sur la réaction à prendre en cas d’alerte.
 Administrateur : Une personne chargée de mettre en place la politique de sécurité et
configurer les IDS et par conséquent de déployer et de configurer les IDS, via les
interfaces utilisateur.
 Interface utilisateur : C'est un module qui permet à l'IDS d'interagir avec l'utilisateur
(généralement un administrateur système), pour pouvoir configurer et fixer quelques
paramètres en relation avec la politique de sécurité qu'on veut mettre en œuvre.

4.1.3 Fonctionnement d’un IDS

Nous nous intéressons maintenant au fonctionnement d’un IDS, nous commençons par
les méthodes d’analyse, après les techniques de détection.

[Link] Les méthodes d’analyse

38
Avec la localisation de l’analyse des données on peut faire une distinction entre les IDS :

 Analyse centralisée : certains IDS ont une architecture multi-capteurs. Ils centralisent
les événements (ou alertes) pour analyse au sein d’une seule machine. L’intérêt
principal de cette architecture est de faciliter la corrélation entre événements
puisqu’on dispose alors d’une vision globale. Par contre, la charge des calculs ainsi
que la charge réseau peuvent être lourdes et risquent de constituer un goulot
d’étranglement.
 Analyse locale : si l’analyse du flot d’événements est effectuée au plus près de la
source de données (généralement en local sur chaque machine disposant d’un
capteur), on minimise le trafic réseau et chaque analyseur séparé dispose de la même
puissance de calcul. En contrepartie, il est impossible de croiser des événements qui
sont traités séparément et l’on risque de passer à côté de certaines attaques
distribuées.
 Analyse distribuée :
o Partiellement distribuée : dans ce cas un nombre limité de nœuds peuvent
exécuter des tâches d’analyse locale et de détection mais ils sont commandés
par un nœud maître, celui-ci collabore avec d’autres nœuds maîtres pour
superviser la détection globale sous forme d’une structure hiérarchique.
o Entièrement distribuée : la collecte d’informations, l’analyse et la détection
ainsi que les alertes seront réalisées au niveau local de chaque nœud. Mais
dans le cas d’information incomplète ou bien suspicion les nœuds peuvent
déclencher des procédures de collaboration supervisées par des nœuds maitres.

[Link] Les techniques de détection

Le trafic réseau est généralement constitué de datagrammes IP. Un NIDS est capable de
capturer les paquets lorsqu’ils circulent sur les liaisons physiques sur lesquelles il est
connecté. Pour que le NIDS détecte les intrusions à travers les paquets qui circulent sur le
réseau, il peut appliquer les techniques suivantes :

39
 Approche comportementale : Cette technique consiste à détecter une intrusion en
fonction du comportement de l’utilisateur ou d’une application, autrement dit c’est
créer un modèle basé sur le comportement habituel du système et surveiller toute
déviation de ce comportement.
 Approche par scénario ou par signature : Cette technique s’appuie sur les
connaissances des techniques utilisées par les attaquants contenues dans la base de
donnée, elle compare l’activité de l’utilisateur à partir de la base de donnée, ensuite
elle déclenche une alerte lorsque des événements hors profil se produisent. Cette
approche consiste à rechercher dans l’activité de l’élément surveillé les empreintes (ou
signatures) d’attaques connues, et cette approche est très similaire à celle des antivirus
et présente les même inconvénients que celui-ci (il nécessite des mises à jour
quotidiennes).
 Vérification de la pile protocolaire : par exemple « Ping-Of-Death » ont recours à des
violations des protocoles TCP, IP, UDP, ICMP dans le but d’attaquer une machine.
Une simple vérification protocolaire de nombre d’intrusions peut mettre en évidence
les paquets invalides et signaler ce type de techniques très usitées.
 Vérification des protocoles applicatifs : Cette technique est rapide (il n'est pas
nécessaire de chercher des séquences d’octets sur l’exhaustivité de la base de
signatures), élimine en partie les fausses alertes et s’avère donc plus efficiente.
Beaucoup d’intrusions utilisent des comportements protocolaires invalides, comme par
exemple « WinNuke », qui utilise des données NetBIOS invalides (ajout de données
OOB data). Dans le but de détecter efficacement ce type d’intrusions, le NIDS doit ré-
implémenter une grande variété de protocoles applicatifs.

[Link] Comportement après détection

On peut classer les IDS par type de réaction lorsqu'une attaque est détectée :

 Passive : La plupart des systèmes de détection d’intrusion n’apportent qu’une réponse

passive à l’intrusion. Lorsqu’une attaque est détectée, ils génèrent une alarme et
notifient l’administrateur système par e-mail, message dans une console, voire même
par beeper. C’est alors lui qui devra prendre les mesures qui s’imposent.

40
 Active : D’autres systèmes de détection d’intrusions peuvent, en plus de la notification
à l’opérateur, prendre automatiquement des mesures pour stopper l’attaque en cours, et
dans ce cas il devient un IPS.

4.1.4 Points forts

Le positionnement des sondes réseaux de l’IDS et la configuration des interfaces réseaux,

jouent un rôle majeur sur l’étude de l’efficacité des protections mises en place, et avoir
des avantages indispensable, comme :

 L’invisibilité des dispositifs pour les attaquants ;

 Diminue le travail manuel de la sécurité, en réduisant le coût dans les entreprises ;
 Les systèmes de détection d’intrusions peuvent analyser tout le trafic, et relever même
des attaques dont ils ne sont pas la cible directe ;
 Il n'est pas nécessaire pour les responsables de sécurité de surveiller le réseau en
permanence pour être au courant de ce qui se passe ;
 Les IDS détectent les intrusions et renvoient des alertes et notifications avec de
nombreuses informations détaillées (type supposé d’attaque, la source, la destination),
tout cela permet une bonne compréhension sur les attaques ;
 Contient des outils de filtrage très intéressants qui nous permettent de faire du contrôle
par protocole (ICMP, TCP, UDP), adresse IP, suivi de connexion ;
 L'emplacement d’une sonde dans le côté extérieur du firewall, permet de détecter les
tentatives d’attaques dirigées contre le réseau surveillé, et une autre dans le côté
intérieur de firewall, pour remonter les attaques qui ont réussi à passer le firewall ;
 Suivre une attaques sur un réseau, voir si elle arrive jusqu’à sa victime, en suivant quel
parcours,…etc ;
 Définir des périmètres de surveillance d’une sonde sur des entrées uniques vers
plusieurs domaines de collision (par exemple à l’entrée d’un commutateur), pour
réduire le nombre de sondes, garder l’efficacité de la sécurité, efficacité de la répétition
les alertes et les notifications.

41
4.1.5 Points faibles

Les IDS sont généralement basés sur une bibliothèque de signatures d’attaque connues,
cette bibliothèque devra être mise à jour à chaque nouvelle attaque. Si l’attaque ne
contient pas la signature d’une attaque spécifique et récente, cette dernière passera au
travers des mailles du filet et la sécurité des données et le réseau en général sera menacé.

Nous trouvons d’autres points faibles qui sont classées comme suit :

 Besoin de connaissances en sécurité

o La mise en place de sonde de sécurité fait appel à de bonnes connaissances en
sécurité ;
o La configuration, et l’administration des IDS nécessitent beaucoup de temps, et de
connaissances ;
o L’intervention humaine est toujours indispensable, pour prendre les décisions
critiques et finales.
 Problème de positionnement des sondes
o Avec fonctionnement en mode promiscuité. Les sondes captent tout le trafic, et
même si un Ping flood est émis, les sondes NIDS le captureront aussi et donc en
subiront les conséquences, comme si l’attaque leur était directement envoyée. Les
DoS classiques seront donc très nocifs pour les sondes NIDS.

4.2 Définition d’IPS

Un système de prévention d’intrusions (IPS) est un composant logiciel et/ou matériel

dont la fonction principale est d’empêcher toute activité suspecte détectée au sein d’un
système. Les IPS rejettent de façon proactive les paquets réseau en fonction d’un profil
de sécurité si ces paquets représentent une menace connue. En effet, le concept d’IPS a
avant tout été conçu pour lever les limitations des IDS en matière de réponses passives à
des attaques. Il ne s’agit plus seulement de détecter une attaque en cours, mais
d’empêcher que celle-ci puisse seulement débuter. Pour cette raison qu’un système IPS
est obligatoirement placé en ligne pour pouvoir réagir aux attaques. [11]

42
4.2.1 Les différents types d’IPS(18)

Comme pour les IDS, les IPS peuvent être orientés hôtes (Host IPS), réseaux (Network
IPS) ou noyau (kernel IPS). Mais, il n’existe pas d’IPS destiné à surveiller une
application.

 IPS orienté hôte (HIPS) : un IPS basé hôte est un agent installé sur le système
bloquant les comportements anormaux tels que la lecture ou l’écriture de fichiers
protégés, l’accès à des ports non autorisés, une tentative de débordement de pile, un
accès à certaines zones de la base de registres. En effet, un HIPS analyse
exclusivement l’information concernant cet hôte pour le protéger des comportements
dangereux. Les HIPS sont en général placés sur des machines sensibles, susceptibles
de subir des attaques et possédantes des données importantes pour l’entreprise.
 IPS orienté réseau (NIPS) : Le rôle d’un IPS basé réseau est d’analyser les paquets
circulant dans le réseau. La principale différence entre un NIDS et NIPS tient
principalement en deux caractéristiques. Le positionnement en coupure sur le réseau
du NIPS, et non plus seulement en écoute comme pour le NIDS et la possibilité de
bloquer immédiatement les intrusions quel que soit le type de protocole de transport
utilisé et sans reconfiguration d’un équipement tierce. Ce qui induit que le NIPS est
constitué d’une technique de filtrage de paquets et de moyens de blocage. En effet, le
positionnement en coupure, tel un firewall, est le seul mode permettant d’analyser les
données entrantes ou sortantes et de réduire dynamiquement les paquets intrusifs
avant qu’ils n’atteignent leurs destinations.
 IPS orienté noyau (KIPS) : leur particularité est de s’exécuter dans le noyau d’une
machine, pour y bloquer toute activité suspecte. Le KIPS peut reconnaître des motifs
caractéristiques du débordement de mémoire, et peut ainsi interdire l’exécution du
code. Il peut également interdire le système d’exploitation d’exécuter un appel
système qui ouvrirait un terminal de commande. Puisqu’un KIPS analyse les appels
systèmes, il ralentit l’exécution. C’est pour ça qu’ils sont moins utilisés.

43
 4.2.2 Architecture fonctionnelle d’IPS

Le fonctionnement d’un IPS est similaire à celui d’IDS. Il capture le trafic du réseau puis
l’analyse. Mais au lieu d’alerter l’utilisateur d’une intrusion ou d’une attaque, l’IDS
réagit automatiquement sans l’intervention de l’utilisateur, et bloque directement les
intrusions en supprimant les paquets illégitimes. Pour informer l’utilisateur, l’IPS peut
aussi remplir un fichier de journalisation qui contiendra la liste des paquets supprimés et
éventuellement un message indiquant la raison de cette suppression.

Figure 10: Architecture fonctionnelle d’un IPS

L’IPS détecte et produit des alertes en raison d’un certain nombre des facteurs qui sont
classifiées dans une des limites suivantes :

 Vrai positif : Une situation dans laquelle une signature met le feu correctement quand
le trafic intrusif est détecté sur le réseau, ceci représente l’opération normale et
optimale.
 Faux positif : Une situation dans laquelle d’utilisation d’une activité normale
déclenche une alerte ou une réponse, ceci représente une erreur.
 Vrai négatif : Une situation dans laquelle une signature ne met pas un signe pendant
l’utilisation normal de trafic sur le réseau. Aucune activité malveillante. Ceci
représente une opération normale et optimale.

44
 Faux négatif : Une situation dans laquelle le système détection ne détecte pas le trafic
intrusif bien qu’il y a une activité malveillante, mais le système de sécurité ne réagit
pas, dans ce cas représente une erreur.
Tout ceci se résume dans l’image suivante :

Figure 11 : problème de détection d’un IDS(7)

4.2.3 Points forts

La plupart des logiciels IPS sont multi-plateforme (Linux, FreeBSD, Windows ... etc.).

 Empêche la transmission des paquets en fonction de ses règles tous comme un

parefeu bloque le trafic en se basant sur les adresses IP.
 La liberté de création des règles pour les actions à exécuter.
 Peut détecter des attaques sur plusieurs différents types des logiciels d’exploitation et
d’applications, selon l’ampleur de sa base de données.
 Un dispositif simple peut analyser le trafic pour une grande échelle des centres
serveurs sur le réseau, qui fait des NIPS une bonne solution qui diminue le coût
d’entretien et de déploiement.

4.2.4 Points faibles

L’IPS peuvent couper les connexions suspectes ou même, pour une attaque externe,
reconfigurer le pare feu pour qu’il refuse tout ce qui vient du site incriminé. Toutefois, il
apparaît que ce type de fonctionnalité automatique est potentiellement dangereux car il

45
peut mener à des dénis de service provoqués par l’IDS. Un attaquant déterminé peut, par
exemple, tromper l’IDS en usurpant des adresses du réseau local qui seront alors
considérées comme la source de l’attaque par l’IDS. Il est préférable de proposer une
réaction facultative à un opérateur humain (qui prend la décision finale). Aussi, la
consommation des ressources (mémoire, CPU) paralyse le réseau (Faux positif).

4.3 La différence entre IDS et IPS(18)

Les IDS et IPS lisent tous les deux les paquets réseau et comparent le contenu à une base
de menaces connues. La principale différence entre les deux tient à ce qui se passe
ensuite.

Tableau 1 : Différence entre IDS et IPS

IDS IPS

- Les IDS sont des outils de détection et

- Les IPS constituent un système de
de surveillance qui n’engagent pas
contrôle qui accepte ou rejette un
d’action de leur propre fait.
paquet en fonction d’un ensemble de
- Il est nécessaire qu’un humain ou un
règles.
autre système prenne ensuite le relais
- L’IDS constitue un très bon outil, qui
pour examiner les résultats et
pourra l’utiliser dans le cadre de ses
déterminer les actions à mettre en
enquêtes sur les incidents de sécurité.
œuvre, ce qui peut représenter un
- l’IPS empêche la transmission du
travail à temps complet selon la
paquet en fonction de son contenu, tout
quantité quotidienne de trafic généré.
comme un pare-feu bloque le trafic en
- L’IDS ne modifie en aucune façon les
se basant sur l’adresse IP.
paquets réseau.

De nombreux fournisseurs d’IDS/IPS ont intégré de nouveaux systèmes IPS à des pare-
feu, afin de créer une technologie appelée UTM (Unified Threat Management). Cette
technologie combine en une seule entité les fonctionnalités de ces deux systèmes
similaires. Certains systèmes intègrent dans une même entité les fonctionnalités d’un IDS
et d’un IPS.
46
  Différence entre IDS, IPS et firewall

Trois composants réseau essentiels, à savoir IDS, IPS et pare-feu, contribuent à garantir
la sécurité d’un réseau. Cependant, il existe des différences dans la manière dont ces
composants fonctionnent et sécurisent le réseau.

La plus grande différence entre le pare-feu et IPS / IDS est leur fonction de base; tandis
que le pare-feu bloque et filtre le trafic réseau, IDS / IPS cherche à identifier les activités
malveillantes et à alerter un administrateur pour empêcher les cyberattaques. Moteur basé
sur des règles, Firewall analyse la source du trafic, l'adresse de destination, le port de
destination, l'adresse source et le type de protocole pour déterminer s'il faut autoriser ou
bloquer le trafic entrant.

Conclusion

Dans ce chapitre, nous avons montré les notions des systèmes de détection et prévention
d’intrusions, et leurs architectures, ainsi que leurs fonctionnements. Nous avons compris
que les IDS/IPS sont des outils indispensables à la bonne sécurité d’un réseau, et capables
de satisfaire les besoins de presque tous les types d’utilisateurs. Comme tous les outils
technologiques, les IDS ont des limites et des faiblesses que seule une analyse humaine
peut compenser, et les IPS ont des limites et des faiblesses que ne peut pas empêcher
toutes les attaques non connues, et ils peuvent paralyser tout un système. Mais avec le
temps, ces outils deviennent chaque jour meilleurs grâce à l’expérience acquise. [17]

47
 CHAPITRE 5 :
IMPLEMENTATION ET
TEST

48
Introduction

Dans cette partie, il s’agit pour nous de mettre en place un IDS de notre choix pour
sécuriser le réseau de l’entreprise. Pour ce faire, nous allons virtualiser les éléments de
notre réseau pour le rendre plus malléable, et rendre nos tests palpables avant
l’implémentation en réel.

5.1 Présentation de l’existant

L’entreprise AFC possède déjà une architecture réseau fonctionnelle, illustrée comme
suit (représenté grâce au logiciel Cisco Packet Tracer) :

Figure 12: représentation de l’architecture réseau initiale de l’entreprise AFC

 Equipements et applications

Ce réseau comprend :

49
  Un serveur cloud : à accès limité
 Un serveur physique : à accès surveillé, sur lequel sont installés les logiciels suivants
o Le système Windows Server 2012 R2 (avec un processeur INTEL® de
3.10GHz et 4CPU)
o My File Admin comme administrateur système
o Inventif V.9 pour la réalisation des inventaires de manière autonome
o Oracle VM comme logiciel de virtualisation
o Caseware Tracer 2015 pour visualiser et gérer les fichiers clients
o Revis audit pour l’audit financier et l’automatisation des comptes
o Dropbox pour stocker, synchroniser et protéger les fichiers
o MySQL comme système de gestion des bases de données
 Un modem Camtel par lequel arrive la connexion Internet
 Trois (3) switch qui assurent l’interconnexion
 Trois (3) routeurs sur lesquels sont connectés les équipements terminaux grâce au
WIFI
 Des PC sur lesquels sont installés les logiciels tels que :
o Le système d’exploitation Windows 10
o Sage 100 w16 comme logiciel de comptabilité
o AnyDesk pour le partage de bureau et une transmission rapide et sûre des
données entre les appareils
o Microsoft Office
o Kaspersky comme antivirus
o …

5.2 Mise en place de l’IDS(18)

La sonde IDS doit être placée judicieusement pour analyser le trafic de la majorité voire
l’entièreté du réseau.

 Positionnement des sondes IDS

 L’emplacement des sondes IDS dépend de la politique de sécurité

50
 - zone démilitarisée DMZ (attaques contre les systèmes publics) doit être
protégée prioritairement ;
- réseau privé (intrusions vers ou depuis le réseau interne) constituant la zone
WORK doit être hors d’atteinte également ;
- la zone PUBLIC pouvant aussi être infectée peut être une porte d’entrée aux
agressions.
 Le trafic entre les éléments du système IDS (sondes, serveur et console) peut (et
doit !) être chiffré

 Positions possibles des sondes IDS dans notre architecture réseau

L’architecture réseau initiale de l’entreprise est centralisée, ceci offre comme :

 Avantages :
o on pourra placer une seule sonde IDS, ce qui est économique et facile à mettre en
place ;
o tout le flux entrant et sortant de l’entreprise passera par une seule machine, qui
va donner un seul endroit à visiter pour contrôler le flux) mais bien plus
d’inconvénients
 Inconvénients :
o Si le nœud central tombe en panne, toute l’architecture tombe en panne ;
o Si un attaquant contrôle le nœud central il va avoir entre ses mains le contrôle de
toutes les zones de l’entreprise ;
o Une bande passante limitée, car le nœud central contrôle tout le trafic.

Nous pouvons aussi transformer l’architecture initiale pour obtenir une architecture
hybride (hybride de centralisée et décentralisée. Ce qui nous offre comme :
 Avantages :
o Mettre le réseau DMZ au milieu ajoute un autre mur de sécurité contre les zones ;
o Tout le flux des deux zones passe par la zone automatisée DMZ, qui va masquer
le cœur de l’entreprise (la zone WORK) au réseau WAN pour éviter les attaques
directes ;

51
 o Éviter la redondance des règles de configuration ;
o Si le serveur physique tombe en panne, le réseau interne de l’entreprise reste
fonctionnel, et si le serveur cloud tombe en panne, on va garder les services de
domaine DMZ fonctionnels pour les clients qui se trouvent dans le réseau WAN ;
o Seulement deux IDS pour contrôler trois zones, qui vont diminuer le coût par
rapport à une architecture décentralisé.
 Inconvénients :
o Un coût de plus par rapport à l’architecture centralisée ;
o Si le serveur de cloud tombe en panne, tous le réseau perdent la connexion
internet.

Vu que l’architecture centralisée offre plus d’inconvénients que d’avantages, nous optons

donc pour la mise en place d’une architecture hybride, représentée sur l’image suivante :

Figure 13 : architecture hybride du réseau de l’entreprise

5.3 Présentation des outils utilisés(17)

52
5.3.1 Snort

[Link]- Définition de Snort

Bien qu’il existe plusieurs types d’IDS (Symantec Client Security, Nessus, OSSEC,
Suricata, …), notre choix se porte sur Snort (Renifler).
Snort est un hybride d’IPS et d’IDS utile et efficace, et est un projet Open Source le plus
avancé au monde. Il utilise une série de règles qui aident à définir l'activité réseau
malveillante et utilise ces règles pour trouver les paquets qui leur correspondent à eux et
génère des alertes pour les utilisateurs. Il peut également être déployé en ligne pour
arrêter ces paquets. Snort peut être téléchargé et configuré pour une utilisation
personnelle et professionnelle, c’est un outil multi-plateformes (Linux, Windows,
FreeBSD). Snort a trois utilisations principales:
 un renifleur de paquets comme tcpdump ;
 un enregistreur de paquets - ce qui est utile pour le débogage du trafic réseau ;
 un système de prévention des intrusions réseau à part entière.

[Link]- Fonctionnement de Snort

Le fonctionnement de Snort, consiste à passer les données par 4 blocs, qui ont des rôles
complémentaires décrits comme suit :

 Bloc 1 (sniffer de paquets) : consiste d’intercepter toutes les trames qui circulent sur
le réseau, et les lire avec un décodeur qui se base sur la librairie "libpcap".
 Bloc 2 (préprocesseur) : il peut repérer les malformations, anomalies… etc. et les
réparer.
 Bloc 3 (moteur de détection) : il se base sur les flux normalisés et réassemblés pour
repérer d’éventuelles.
 Bloc 4 (les événements) : sont inscrits (logs au format unifié, BDD… etc.). Snort
utilise des règles dans leur moteur de détection, pour reconnaître les intrusions. Nous
pouvons télécharger ces règles prédéfinies via le site officiel, ou programmer nos
propres règles, via un langage simple et léger de description, qui est flexible et assez
puissant.

53
[Link] Réactions de Snort

Les alertes émises par snort peuvent être de différentes nature. Par exemple, on peut
spécifier à snort de rediriger l'intégralité des alarmes sur la sortie standard et ainsi
observer l'évolution des attaques. Cependant, ceci nécessite une présence attentive devant
un écran, ce qui peut parraîter rebutant.

Snort ne permet pas d'envoyer de mail directement, étant donné son rôle premier de
sniffer qui est gourmand en ressource. L'envoi de mail d'alerte ralentirait snort d'une telle
manière que beaucoup de paquets seraient "droppés" (éjectés). Ces derniers permettent
d'envoyer un mail avec les logs attachés en pièces jointes, et donc aussi des sms, si
l'entreprise dispose d'un tel serveur.

Snort est aussi capable d'adopter des comportements visant à interdire l'accès à certaines
adresses IP, dans le cas où ces dernières auraient tenté de pénétrer le réseau. L'IDS peut
alors interagir avec le firewall afin qu'il mette à jour ses règles d'accès pour empêcher
tout contact avec l'éventuel pirate. Il faut cependant se méfier de cette possibilité
puisqu'en cas de mauvaise configuration, elle peut facilement entrainer la coupure totale
du réseau

5.3.2 Pfsense

Le projet pfSense est une distribution de pare-feu réseau gratuite, basée sur le système
d'exploitation FreeBSD avec un noyau personnalisé et comprenant des progiciels gratuits.
Comme sur les distributions Linux, pfSense intègre aussi un gestionnaire de paquets pour
installer des paquets (logiciels) supplémentaires, et désinstaller des paquets et faire
d’autres fonctionnalités. Le nom de ce gestionnaire de paquets est pkg, et dans pfsense on
peut installer les paquets avec une ligne de commande « pkg install <nom de paquet> »,
ou par la page d’administrateur depuis un navigateur.

54
Plusieurs services peuvent être gérés par pfSense, et ces services peuvent être arrêtés ou
activés depuis une interface graphique. Voici une liste des services proposés par Pfsense :

 VPN client PPTP, VPN site à site OpenVPN et IPSec.

 Gestion des VLAN.
 Filtrage d’URL.
 Serveur DHCP
 Partage de bande passante Traffic Shaper (régulation de flux et le contrôle du volume
des échanges sur un réseau informatique dans le but d’optimiser ou de garantir les
performances).
 Répartition de charge avec répartition de charge (LoadBalancer).
 IDS-IPS Snort.

5.3.3 LOIC(18)

Low Orbit Ion Cannon (LOIC), qui peut être traduit par « canon à ion en orbite basse »
est un outil de pression réseau open source, écrit en C#. LOIC est basé sur le projet LOIC
de Praetox. LOIC est à des fins éducatives uniquement, destiné à aider les propriétaires
de serveurs à développer une attitude de «défense contre les pirates». Cet outil est livré
sans aucune garantie.

LOIC est une application de test de réseau, cette application tente d'attaquer par déni de
service (Dos), le site ciblé en inondant le serveur avec des paquets TCP ou des paquets
UDP.

5.3.4 VirtualBox

C’est un logiciel libre de virtualisation publié par Oracle sous la licence publique
générale GNU version 2, et c’est une solution pour pouvoir exécuter d’autres systèmes
d’exploitation sur une seule machine et faire un test d’un réseau réel dans un seul
ordinateur, écrit avec les langages Python, assembleur, C et C++. Il marche sur les trois
plateformes (Linux, Windows, macOS).

5.4 Sécurisation
55
5.4.1 Installation et configuration de Pfsense(18)

Après avoir installé Pfsense, nous allons créer deux distributions de pare-feu Pfsense1 et
Pfsense2 avec pour adresses respectives em0 et em1.

[Link] Installation de Pfsense

La première étape, est de télécharger le fichier ISO et nous choisissons la bonne

architecture du fichier depuis le site officiel ([Link] Dans
notre test nous allons utiliser l’architecture AMD64 (64 bits). Après avoir téléchargé le
fichier nous lançons le VirtualBox et suivons les étapes suivantes pour installer le
Pfsense1:

 Créer une nouvelle machine du type BSD et version FreeBSD (64 bits).
 Ajouter le fichier téléchargé de Pfsense comme CD de boot.
 Dans l’onglet réseau (Networks), nous activons deux adaptateurs réseaux, attacher le
premier à une interface réseau physique avec l’option adaptateur avec pont (Bridged
Adapter), et pour le deuxième adaptateur on sélectionne réseau interne (internal
network) avec le nom DMZ, après nous lançons la machine et nous choisissons les
étapes par défaut.
Les étapes d’installation de deuxième Pfsense (Pfsense2) sont les mêmes, sauf que dans
l’onglet réseau nous activons trois adaptateurs réseaux, nous attachons le premier
adaptateur au réseau interne DMZ, le deuxième au réseau WORK, et le troisième au
réseau PUBLIC.

[Link] Configuration de Pfsense1 et Pfsense2

À la fin de l’installation et le lancement de Pfsense1 et Pfsense2, la première chose que

nous devons faire est de configurer les interfaces réseau des deux serveurs. Depuis la
console de Pfsense1, nous choisissons l'option numéro 2 (Set interfaces ip address) et
nous sélectionnons l’interface réseau numéro 1 (em0) et nous acceptons la configuration
IP via le DHCP. Avec la même option, nous sélectionnons l’interface numéro 2 (em1)
pour configurer le sous réseau DMZ avec une adresse IP ([Link]) pour l’interface
em1

56
comme une passerelle ce réseau DMZ, et donner l’intervalle [[Link], [Link]]
des adresses IP pour le DHCP.

Figure 14 : configuration les l’interfaces em0 et em1 de Pfsense1

Depuis la console de Pfsense2, nous choisissons l'option numéro 2 pour voir les trois
interfaces (em0, em1 et em2) et suivons ces étapes pour les configurer:
 Sélectionner l’interface numéro 1 (em0), et donner l’adresse IP [Link] avec un
masque réseau 24, et la passerelle [Link] (interface em0 de Pfsense1).
 Sélectionner l’interface numéro 2 (em1), et donner l’adresse IP [Link] comme
passerelle pour le réseau WORK et masque réseau 24, et un intervalle [[Link] –
[Link]] des adresses IP pour le DHCP.
 Sélectionner l’interface numéro 3 (em3), et donner l’adresse IP [Link] comme
une passerelle pour le réseau PUBLIC, et un intervalle [[Link] –
[Link]] des adresses IP pour le DHCP.

Figure 15 : configuration des interfaces em0, em1, em2 de Pfsense2

Accéder à l’interface web en entrant l’adresse IP du côté LAN de Pfsense dans un

navigateur sur la machine de l’administrateur, dans notre cas : [Link] pour Pfsense1
et [Link] pour Pfsense2. Dont les identifiants sont (admin, pfsense).

57
 Figure 16 : interface web de Pfsense

Pour rendre la zone DMZ accessible via le réseau externe, nous devons configurer la
table NAT sur le Pfsense1. Ouvrez les ports sur l'interface WAN et associez-les à
l’adresse de serveur. Dans notre cas, l'adresse du serveur est [Link]

Figure 17 : configuration de la table NAT

5.4.2 Installation et configuration de Snort sous Pfsense(18)

[Link] Installation de Snort

Nous pouvons installer snort sur les deux serveurs de contrôle (Pfsense1 et Pfsense2)
avec la ligne de commande « pkg install pfSense-pkg-snort », ou avec l’interface
graphique du navigateur sur la machine de l’administrateur dans la zone WORK, on
utilise l’adresse [Link] pour le Pfsense1, et [Link] pour le Pfsense2, et allez
vers (Système → Gestionnaire de paquets → Paquets disponibles → Install).

58
 Figure 18 : installation des paquets Snort

[Link] Configuration de Snort

Snort utilise des règles pour effectuer ses analyses. Pour utiliser ces règles, nous avons
procédé par la création d'un compte sur [Link] afin de pouvoir
récupérer le code Oinkcode pour prédéfinir ses règles en temps voulu.
Ensuite nous allons dans l’onglet Services > Snort > Global Settings sur le premier
pfsense, et nous collons le code Oinkmaster après l’activation de Snort VRT, ensuite
activer GPL2 (une liste de règles de certifié et distribué gratuitement sans aucune
restriction de licence d'abonné snort), OpenAppID (plugin de sécurité réseau pour la
couche application), et modifier seulement ce qui est nécessaire :

59
 Figure 19 : Importation des règles de Snort

Nous validons, ensuite nous lançons la mise à jour depuis l’onglet « Updates ».
Nous passons maintenant à la configuration des interfaces sur Pfsense1 et Pfsense2, qui
seront les capteurs de Snort, dans l’onglet Services > Snort > Interface > Snort Interfaces,
et nous sélectionnons l’interface LAN (em1), puis nous activons l'option Search Optimize
pour optimiser les performances dans la détection.

60
 Figure 20 : Activation de l’interface em1 sur Pfsense1

Nous suivons les mêmes étapes pour configurer les deux interfaces (em1 et em2) de
Pfsense2, comme le montre la figure suivante :

Figure 21 : Activation des interfaces em1 et em2 sur Pfsense2

La configuration des interfaces est désormais terminée. Maintenant nous passons à la

programmation des règles, pour détecter les attaques DoS produites par l’outil LOIC.
Pour saisir ces règles, on va dans l’onglet Snort Interfaces -> LAN Règles sur le
pfsense1, et nous choisissons [Link] de la liste Category Selection, et nous écrivons
les règles suivantes :

61
 Tableau 2 : Quelques règles pour la configuration de Snort à la détection

Quand cette règle détecte 180 tentatives

(count 180) de demandes de connexion
alert tcp $EXTERNAL_NET any ->
(flags:S) depuis une seule machine source
$HOME_NET any (msg:"une attaque
(track by_src) pendant une durée de 60
DOS"; flags:S threshold:type both,
secondes (seconds 60) (l'équivalent de 3
track by_src, count 180, seconds 60;
tentatives/s), elle lancera une alerte avec un
sid:15031996; rev:1;)
message « une attaque DOS » (msg:"une
attaque DOS").
alert tcp $EXTERNAL_NET any ->
Cette règles tirée de la librairie de Snort, et
$HOME_NET 3306 (msg:"ET SCAN
elle détecte les requêtes suspectes le scanne
Suspicious inbound to mySQL port
le port 3306 (le port utilisé par le servcie
3306"; flow:to_server; flags:S;
mySQL) ($HOME_NET 3306), on suit les
threshold: type limit, count 5, seconds
5 tentatives (count 5) de connexion
60, track by_src;
(flags:S) de l’adresse source (track by_src)
reference:url,[Link]
vers le serveur (flow:to_server) pendant une
/2010937;
durée de 60 secondes (seconds 60), et
classtype:bad-unknown; sid:2010937;
lancer une alerte avec le message « ET
rev:3;
SCAN Suspicious inbound to mySQL port
metadata:created_at 2010_07_30,
3306 » (msg:"ET SCAN Suspicious
former_category HUNTING,
inbound to mySQL port 3306").
updated_at 2018_03_27;)

Pour les règles des interfaces sur Pfsense2, nous changeons juste :
 La variable $EXTERNAL_NET avec [Link]/24 (le réseau de la zone
PUBLIC), et la variable $HOME_NET avec [Link]/24 (le réseau de la zone
DMZ).
 La variable $EXTERNAL_NET avec [Link]/24 (le réseau de la zone
PUBLIC), et la variable $HOME_NET avec [Link]/24 (le réseau de la zone
DMZ).
EXEMPLE :

62
  alert tcp [Link]/24 any -> [Link]/24 any 3306 (msg:"ET SCAN
Suspicious inbound to mySQL port 3306"; ……
 alert tcp [Link]/24 any -> [Link]/24 any 3306 (msg:"ET SCAN
Suspicious inbound to mySQL port 3306";……

5.5 Test(18)

Dans cette section, nous allons lancer deux types attaques (attaque active "Dos" utilisant
l’outil LOIC et attaque passive "scanne" utilisant l’outil Nmap), de deux endroits
différents (zone WAN et zone PUBLIC), comme le montre la figure ci-dessous :

Figure 22 : Maquette d’attaque active (DoS)

Les cercles dans la figure 21, sont les interfaces réseau des machines, et pour chacune de
ces interfaces a une adresse IP.

5.5.1 Test de l’attaque active DoS

63
 Figure 23 : Attaque DoS via la zone WAN par l’attaquant

Figure 24 : Attaque DoS via la zone PUBLIC par l’attaquant 2

Conclusion

Dans ce chapitre, nous avons illustré l’installation et le mécanisme de fonctionnement de

Snort sur notre architecture. Nous avons vu à la fin, comment Snort a pu détecter et
stopper active (Dos) avec succès.

64
 Conclusion Générale et perspectives

L’évolution des réseaux informatiques et l’ouverture de ces réseaux rendent l’accès aux
informations plus simples et plus rapides, et les rend plus vulnérables. D’où la nécessité
de mettre en place toute une politique de sécurité. La sécurité des réseaux informatique
est un des problèmes les plus sérieux que connaissent les entreprises. Sur le réseau
Internet, les pirates informatiques exploitent et développent de plus en plus de nouvelles
stratégies, afin d’atteindre leurs objectifs sans se faire détecter. Les systèmes de détection
d’intrusions ne représentent qu’une petite partie de cette politique.

Ce mémoire nous a permis d’acquérir une certaine maitrise et un certain bagage dans le
domaine de la sécurité informatique, et nous a permis de découvrir les systèmes de
détection et de prévention d’intrusions. Nous avons étudié les fonctionnements de’IDS et
d’IPS, et comment les positionner sur différents types d’architectures réseaux (centralisée
et hybride), aussi nous avons pris le logiciel snort comme exemple qui est un très bon
outil pour la détection et la prévention d’intrusion. Il effectue en temps réel des analyses
du trafic de réseau, et garantie une sécurité continue, et nous avons appris comment le
manipuler sous la plateforme Pfsense, ce qui nous a offert l’occasion de travailler sous
l’environnement FreeBSD.

Le résultat des tests de notre système est satisfaisant, mais cela ne veut pas dire que notre
système est parfaitement efficace, car aucun système de sécurité permettant de garantir
une sécurité totalement fiable à 100%. [16]

65
 Bibliographie

[1] [Link] consulté le 22/08/22 à 08h

[2] [Link] consulté le
22/08/22 à 12h
[3] [Link]
specification-de-logiciel-et-traitement-de-l-information-presente-
[Link]#show_full_text consulté le 22/08/22 à 15h10
[4] [Link] consulté le
22/08/22 à 16h20
[5] [Link]
[Link] consulté le 22/08/22 à 16h40
[6] [Link]
abderrahmane-mira---bejaia/d%C3%A9tection-d-intrusions-dans-les-r%C3%A9seaux-
lan-ids-snort-sous-linux consulté le 22/08/22 à 16h55
[7] [Link]
seaux-LAN-IDS-Snort-sous-LINUX consulté le 22/08/22 à 17h
[8] [Link] (serveur web)
[9] [Link] consulté le 01/09/22 à 17h00
[10] [Link] consulté le 01/09/22 à 17h25
[11] [Link] consulté le
02/09/22 à 18h15
[12] [Link] consulté le
02/09/22 à 20h03
[13] [Link]
consulté le 02/09/22 à 10h
[14] Melle BELKHTMI Keltouma, Mlle BENAMARA Ouarda, Mise en place d’un
système de détection et de prévention d’intrusion, Mémoire de fin d’étude Master.
2015/2016. Université A/Mira de Béjaïa.

66
[15] MIAFFO Ronnel Fabrice, « Conception et réalisation d’une application de gestion
des préinscriptions en ligne à l’ENSPM », Mémoire pour l’obtention du diplôme
d’Ingénieur de Travaux en Informatique de Gestion/Analyse Programmeur, 2020-2021
[16] BENDELLA Zineb, « Gestion de la sécurité d’une application Web à l’aide d’un
IDS comportemental optimisé par l’algorithme de K-means », Mémoire de fin d’études
pour l’obtention du diplôme de master en informatique, 2012-2013
[17] Nicolas Baudoin, Marion Karle, Etienne Duris « NT Réseaux, IDS et IPS », CFAT
Ingénieurs2000, 2003-2004
[18] Mémoire SELMANI Elgharbi, Mise en place d’un IDS pour sécuriser un réseau en
utilisant Snort, Mémoire de master académique en Informatique. 2019/2020
[19] Guillaume Burel, Les serveurs, Master IST-IE. 2008/2009. Nancy-University.
[20] Dr. Maissa Mbaye, SRS2 : Réseaux haut débit et Sécurité, Master Ingénierie en
Informatique

67