REPUBLIQUE DU CAMEROUN REPUBLIC OF CAMEROON

PAIX-TRAVAIL-PATRIE PEACE-WORK-
FATHERLAND
************** **************
MINISTERE DE L’ENSEIGNEMENT MINISTRY OF HIGHER
SUPERIEUR EDUCATION
UNIVERSITE DE NGAOUNDERE UNIVERSITY OF NGAOUNDERE
INSTITUT UNIVERSITATAIRE DE UNIVERSITY INSTITUTE OF
TECHNOLOGIE TECHNOLOGY

INSTITUT UNIVERSITAIRE DE TECHNOLOGIE DE

NGAOUNDERE
BP: 455 NGAOUNDERE
TEL TEL: 77 51 21 08 / 77 11 22 17 / 74 91 60 57

Division des stages, de la Formation Permanente et

des Relations avec les milieux Professionnels

Mémoire de fin d’études en vue de l’obtention du Diplôme Universitaire de

Technologie (DUT) à l’Institut Universitaire de Technologie (IUT) de Ngaoundéré

MENTION : Génie Informatique

PARCOURS : Réseau et télécommunication

Thème : MISE EN PLACE D’UN ACCES VPN

AU SEIN DU LAN DE L’IUT

Effectué du 21 mars au 25 mai 2024 à l’IUT de Ngaoundéré

Par
OUMOUL HAIRI
Matricule : 22RTE032IU

Encadreur
M. KANI DJOULDE
Enseignant à l’IUT

Année académique 2023 / 2024

 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

DEDICACES

Je dédie ce modeste
travail à
 Toute personne
ayant contribué
de près ou de loin
à sa réalisation.

OUMOUL HAIRI i
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

REMERCIEMENTS
Au terme de ce travail, je tiens à exprimer une profonde gratitude à tous ceux qui ont
contribué à sa réalisation.
Mes remerciements vont particulièrement à :
 Pr MOHAMMADOU BOUBA ADJI, le Directeur de l’IUT, pour l’accueil
dans son établissement et la formation reçue au sein de son enceinte ;
 Pr EDOUN MARCE le directeur adjoint de l’IUT de Ngaoundéré;
 Dr DANGBE EZEKIEL, le Chef de la Division de la Formation Initiale de
l’IUT de Ngaoundéré ;
 Pr NDAM AROUNA, Services des stages, de la Formation Permanente et des
Relations avec les milieux Professionnels ;
 Pr YENKE BLAISE OMER, le Chef de Département Informatique de
l’Institut Universitaire de Technologie de Ngaoundéré ;
 M. KANI DJOULDE JACQUES ARMAND, mon encadreur industriel, pour
sa grande disponibilité, sa confiance, sa patience, sa compréhension et son
accompagnement durant cette période de stage ;
 Tout le personnel enseignant de l’Institut Universitaire de Technologie de
Ngaoundéré ;

 Ma grande famille, pour leur encouragement ;

 Mes parents M. MOHAMADOU SANI, Mme FADIMATOU NENNE pour

leur soutien moral, financier et leur amour ;
 Tous mes camarades de promotion pour leur aide et leur solidarité ;
 Tous mes camarades de stage ;

OUMOUL HAIRI ii
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Table des matières

DEDICACES.........................................................................................................................................i

REMERCIEMENTS............................................................................................................................ii

Table des matières...............................................................................................................................iii

Listes des figures................................................................................................................................vii

Listes des tableaux............................................................................................................................viii

Liste des abréviations..........................................................................................................................ix

PRESENTATION DE L’ENTREPRISE D’ACCUEIL : IUT DE NGAOUNDERE.........................x

1. Situation géographique de l’entreprise......................................................................................x

2. Adresse complète de l’IUT de Ngaoundéré.............................................................................xi

3. Brève historique de l’IUT de Ngaoundéré..............................................................................xii

4. Secteur d’activité.....................................................................................................................xii

5. Nombre de personnel..............................................................................................................xiv

6. Structure et organisation hiérarchique....................................................................................xiv

RESUME..............................................................................................................................................1

ABSTRACT.........................................................................................................................................2

INTRODUCTION................................................................................................................................3

Chapitre 1 : GENERALITES SUR LES RESEAUX INFORMATIQUES ET ETUDE DU

RESEAU EXISTANT..........................................................................................................................3

I. DEFINITION ET INTERET DES RESEAUX............................................................................4

1. Définition d’un réseau...............................................................................................................4

2. Intérêts d’un réseau....................................................................................................................4

II. ETUDE DU RESEAU DEL’ADMINISTRATION DE L’IUT DE NGAOUNDERE...........5

1. Topologie du réseau...................................................................................................................5

a. Topologie en bus................................................................................................................6

b. Topologie en étoile.............................................................................................................6

OUMOUL HAIRI iii

 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

c. Topologie en anneau..........................................................................................................6

d. Topologie en arbre.............................................................................................................7

e. Topologie maillée...............................................................................................................8

f. . Topologies logiques.........................................................................................................8

g. Topologie réseau IUT.........................................................................................................9

2. Adressage IP............................................................................................................................10

a. Structure...........................................................................................................................11

b. Les classes d’adresses IP..................................................................................................11

c. Masques de sous réseaux..................................................................................................12

d. Adressage IP du réseau de l’IUT......................................................................................13

3. Protocoles de communication..................................................................................................14

a. Catégories de protocoles..................................................................................................15

4. La sécurité................................................................................................................................16

a. Les techniques d’attaques.................................................................................................16

b. Les types d’attaques.........................................................................................................16

c. Autres attaques.................................................................................................................17

d. Les méthodes de protection..............................................................................................18

e. Les mesures de sécurités dans le LAN de l’IUT..............................................................22

5. Les politiques de routage.........................................................................................................23

III. ROLE DE LA MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT.......24

1. Les failles qu'implique l'accès directe à l'adresse d'un serveur en réseau...............................24

2. Les mesures directes de sécurité qu'apportera l'implémentation d'un VPN du type logiciel
OpenVPN.......................................................................................................................................25

a. Chiffrement des communications :..................................................................................25

b. Authentification forte :.....................................................................................................25

c. Accès restreint :................................................................................................................25

OUMOUL HAIRI iv
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

d. Contournement des pares-feux :.......................................................................................25

e. Intégration avec d'autres mesures de sécurité :................................................................26

Chapitre 2 : NOTION DE VPN ET ETUDE COMPARATIVE DES SOLUTIONS........................23

1. Le réseau privé virtuel.............................................................................................................27

2. Topologie des vpn...................................................................................................................27

3. les différents types de vpn.......................................................................................................28

a. Le VPN d'accès................................................................................................................29

b. L'intranet VPN.................................................................................................................30

c. L'extranet VPN.................................................................................................................30

4. Les différentes architectures des VPN.....................................................................................31

a. VPN d’entreprise..............................................................................................................31

b. VPN Opérateur.................................................................................................................35

ETUDE COMPARATIVES DE SOLUTIONS VPN EXISTANT....................................................36

1. Les caractéristiques à prendre en compte................................................................................36

2. comparaison : cisco anyconnect, openvpn et ipsec.................................................................36

3. Etude comparative des différents protocoles...........................................................................37

a. Les tunnels de niveau 2 (liaison de données)...................................................................37

b. Point-to-Point Tunneling Protocol (PPTP)......................................................................37

c. Le protocole PPP..............................................................................................................38

d. L2TP.................................................................................................................................39

e. L2F :.................................................................................................................................40

4. Solution adoptée pour l’implémentation.................................................................................41

CHAPITRE 3 : DEPLOIEMENT ET TEST......................................................................................23

1. Schéma d’architecture.............................................................................................................42

2. le matériel nécessaire a la mise en place.................................................................................43

3. Méthode de réalisation.............................................................................................................43

OUMOUL HAIRI v
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

a. Création de l’autorité de certification...............................................................................43

b. Creation d’un utilisateur et de son certificat....................................................................45

c. Création du serveur VPN et de son certificat...................................................................47

d. Installation de l’installeur de paquet................................................................................48

e. Création des règles du firewall.........................................................................................49

4. Test de la configuration...........................................................................................................50

a. Exporter la configuration du client vpn............................................................................50

b. Journal du log...................................................................................................................50

c. Connexion effective à travers la configuration................................................................50

CONCLUSION..................................................................................................................................51

Bibliographie......................................................................................................................................52

OUMOUL HAIRI vi
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Listes des figures

FIGURE 1 : PLAN DE LOCALISATION GOOGLE MAPS...........................................................................XI
FIGURE 2 : ORGANIGRAMME DE L’IUT DE NGAOUNDÉRÉ................................................................XV
FIGURE 3 : TOPOLOGIE EN BUS (TINHINAN, 2017)...............................................................................6
FIGURE 4 : TOPOLOGIE EN ÉTOILE (TINHINAN, 2017)..........................................................................6
FIGURE 5 : TOPOLOGIE EN ANNEAU (TINHINAN, 2017).......................................................................7
FIGURE 6 : TOPOLOGIE EN ARBRE (TINHINAN, 2017)..........................................................................7
FIGURE 7 : TOPOLOGIE MAILLÉE (TINHINAN, 2017)............................................................................8
FIGURE 8 : ARCHITECTURE DU RÉSEAU DE L’IUT RÉALISÉE AVEC VISIO.........................................10
FIGURE 9 : LES ADRESSES IP (TINHINAN, 2017)................................................................................11
FIGURE 10 : STRUCTURE D’ADRESSES (TINHINAN, 2017)..................................................................11
FIGURE 11 : LES CLASSES DES ADRESSES IP (TINHINAN, 2017)........................................................12
FIGURE 12 : ADRESSAGE DU LAN IUT..............................................................................................14
FIGURE 13 : ADRESSAGE DE LA DMZ DE L’UT.................................................................................14
FIGURE 14 : PARE-FEU (TINHINAN, 2017)..........................................................................................20
FIGURE 15 : PFSENSE (TINHINAN, 2017)...........................................................................................22
FIGURE 16 : VPN EN ÉTOILE (FATOUMATA, 2021).......................................................................28
FIGURE 17 : VPN MAILLÉ (FATOUMATA, 2021)...........................................................................28
FIGURE 18 : ARCHITECTURE D’UN VPN D’ACCÈS (FATOUMATA, 2021)......................................29
FIGURE 19 : ARCHITECTURE D’UN VPN INTRANET (FATOUMATA, 2021)....................................30
FIGURE 20 : ARCHITECTURE D’UN VPN EXTRANET (FATOUMATA, 2021)...................................31
FIGURE 21 : VPN DE POSTE À POSTE (FATOUMATA, 2021).........................................................32
FIGURE 22 : VPN DE POSTE À SITE (FATOUMATA, 2021)............................................................33
FIGURE 23 : EXEMPLE D’UN VPN DE SITE À SITE (FATOUMATA, 2021)......................................34
FIGURE 24 : SCHÉMA RÉSEAU UTILISÉE POUR LES PROTOCOLES (FATOUMATA, 2021)................39
FIGURE 25 : ENCAPSULATION PPP AVEC L2TP. (FATOUMATA, 2021).........................................40
FIGURE 26 : NOUVELLE ARCHITECTURE DU RÉSEAU DE L’IUT.........................................................42

OUMOUL HAIRI vii

 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Listes des tableaux

TABLEAU 1 : ADRESSE COMPLÈTE DE L’IUT DE NGAOUNDÉRÉ........................................................ XI
TABLEAU 2 : PLAGES ET CLASSES DES ADRESSES IP.........................................................................13

OUMOUL HAIRI viii

 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Liste des abréviations

LAN Local Area Network (Réseau Local)
WAN Wide Area Network (Réseau Étendu)
VPN Virtual Private Network (Réseau Privé Virtuel)
SSID Service Set Identifier
TCP/IP Transmission Control Protocol/Internet Protocol
DNS Domain Name System
DHCP Dynamic Host Configuration Protocol
FTP File Transfer Protocol
OSI Open Systems Interconnection
HTTP Hypertext Transfer Protocol
ARP Address Resolution Protocol
ICMP Internet Control Message Protocol
IP Internet Protocol
TCP Transmission Control Protocol
UDP User Datagram Protocol
SMTP Simple Mail Transfer Protocol
Telnet Telecommunication Network
NNTP Network News Transfer Protocol
GRE Generic Routing Encapsulation
PPP Point-to-Point Protocol
L2TP Layer 2 Tunneling Protocol
PPTP Point-to-Point Tunneling Protocol
L2F Layer Two Forwarding
IPsec Internet Protocol Security
SSL Secure Sockets Layer
IANA Internet Assigned Numbers Authority
ICANN Internet Corporation for Assigned Names and Numbers
ATM Asynchronous Transfer Mode

OUMOUL HAIRI ix
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

PRESENTATION DE L’ENTREPRISE D’ACCUEIL : IUT DE

NGAOUNDERE
L’institut universitaire de technologie de Ngaoundéré est une école de formation de
techniciens supérieurs et d’ingénieurs de travaux dans les domaines des techniques industrielles et
du génie des procédés. L’IUT est l’unique institut de l’université de Ngaoundéré c’est l’un des
instituts phare en termes de formation pratique qui offre aux étudiants des compétences
opérationnelles qui les préparent à l’emploi. L’IUT de Ngaoundéré a été créé en janvier 1993 par
Arrêté n° 009/CAB/PR du 19 janvier 1993 portant création des Instituts Universitaires de
Technologie au sein des Universités. Cette initiative visait à répondre aux besoins du marché du
travail camerounais en formant des techniciens supérieurs, un maillon essentiel entre les ingénieurs
et les ouvriers qualifiés. L'IUT de N'Gaoundéré s'est fixé trois objectifs clés pour ses formations :
▪ Excellence professionnelle : Transmettre aux étudiants des connaissances, des compétences
techniques et technologiques de haut niveau dans leur domaine de spécialisation, les
préparant ainsi à des carrières exigeantes.
▪ Adaptabilité et polyvalence : Encourager les étudiants à s'adapter aux évolutions rapides des
sciences et des technologies, en favorisant le développement continu de leurs connaissances
et compétences, et en leur offrant une certaine mobilité professionnelle.
▪ Esprit d'initiative et entrepreneuriat : Cultiver l'esprit d'initiative, l'esprit d'entreprise et le
travail d'équipe chez les étudiants, les préparant ainsi à la création d'emplois et à l'auto-
emploi. L'objectif ultime est de former des jeunes capables de s'intégrer facilement dans le
monde professionnel et de relever les défis de leur domaine.

1. Situation géographique de l’entreprise

L’IUT de Ngaoundéré se situe dans l’arrondissement de Ngaoundéré 3eme à vingt une minute
du centre-ville soit environ douze kilomètres il existe deux itinéraires pour se rendre sur les lieux.
Les routes empruntables possibles sont soit par la gare ou l’aéroport. L’institut est hébergé au sein
de l’université de Ngaoundéré.

OUMOUL HAIRI x
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Figure 1 : Plan de localisation google maps

2. Adresse complète de l’IUT de Ngaoundéré

Tableau 1 : Adresse complète de l’IUT de Ngaoundéré

Raison sociale Institut Universitaire de Technologie de

Ngaoundéré
Sigle IUT
Logo

Siège Sociale Ngaoundéré

Boite postale 455 Ngaoundéré
Téléphone (+237) 677 11 22 18 / 677 11 22 20
Fax (+237) 677 11 22 18
Site internet [Link]
Email iut@[Link]
Ressources matérielles Matériel informatique et matériel de sécurité incendie

Ressources humaines L’IUT compte plus de 50 employés

Personnels Personnel d’appuis et personnel enseignant

OUMOUL HAIRI xi
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

3. Brève historique de l’IUT de Ngaoundéré

Créée par décret présidentiel N0 008/CAB/PR du 19 janvier 1993 et placée sous la
tutelle de l’Université de Ngaoundéré, l’Institut Universitaire de Technologie de Ngaoundéré
est un établissement de formation professionnel qui a pour mission de former les techniciens
supérieurs qualifiés, dotés des compétences adaptées aux besoins des entreprises.
Depuis sa création, elle a connu une évolution tant sur ses formations que sur la qualité
de ses enseignements. Nous retenons ici quelques dates marquantes de son évolution :

 1993 : Création de l’IUT de Ngaoundéré ;

 1995 : Création de la spécialité Génie Informatique ;
 2003 : GAI devient Génie Biologique ;
 2003 : Création de la spécialité Génie Thermique et Energétique ;
 2007 : Passage au système Licence- Master - Doctorat (LMD) ;
 2008 : Ouverture de la Licence Professionnelle en Génie Informatique ;
 2009/2010 : Ouverture de la Licence Professionnelle en Génie Biologique ;
 2010/2011 : Ouverture de la Licence Professionnelle en Génie Industriel et
maintenance ;
 2014 : Ouverture du parcours Génie Mécanique.
 2017/2018 : Passage de la Licence Professionnelle pour la Licence Technologique
en Génie Informatique ;
 2020/2021 : Ouverture du cycle BTS.
 2022 : Création au niveau du DUT du parcours réseau et télécommunications dans
la filière génie informatique.
 2024 : Ouverture des filières énergies renouvelable et génie chimique

4. Secteur d’activité
L’Institut Universitaire de Technologie de Ngaoundéré est une école de formation dans le
domaine des technologies. Cet institut a pour missions :

 De dispenser en formation initiale un enseignement moyen supérieur préparant aux

fonctions de cadres intermédiaires dans les domaines des Techniques Industrielles, du Génie
des Procédés et de l’Informatique ;

OUMOUL HAIRI xii

 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

 D’assurer la formation permanente dans les mêmes domaines qu’en formation initiale ;
 De fournir aux entreprises ou administrations, des prestations de recherche appliquée, de
services ou de formation professionnelle dans les domaines techniques correspondant à ses
activités.

L’IUT de Ngaoundéré dispose de trois cycles :

 Un cycle du Diplôme Universitaire de Technologie, d’une durée de quatre semestres, et

sanctionné par le Diplôme Universitaire de Technologie (DUT) (niveau BAC + 2) ;
 Un cycle de Brevet de Technicien Supérieur, d’une durée de quatre semestres, et sanctionné
Brevet de Technicien Supérieur (BTS) (niveau BAC + 2) ;
 Un cycle de Licence Professionnelle (post DUT ou BTS), d’une durée de deux semestres,
sanctionné par le Diplôme de Licence technologique (niveau BAC + 3).

Il existe cinq mentions à l’IUT de Ngaoundéré à savoir : Génie Informatique, Génie

Biologique, Génie Industriel et maintenance et Génie Civil et construction durable.
L’IUT offre donc plusieurs parcours de formation pour chaque mention :
Mention Génie Industrielles et Maintenance :
- Génie Thermique et Énergétique
- Maintenance Industriel et Productique
- Génie Électrique
- Génie Mécanique
Mention Génie Biologique :
- Industries Alimentaires et Biotechnologiques
- Génie de l’Environnement
- Analyses Biologiques et Biochimiques
Mention Génie Informatique :
- Génie Logiciel
- Réseautique et Internet.
- Réseau et télécommunication
Génie Civile et construction durable :
Maintenance des équipements biomédicales :

OUMOUL HAIRI xiii

 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

5. Nombre de personnel
Le personnel de l'IUT est divisé en deux : le personnel d'administratifs qui est constitué de 33
personnes et le personnel enseignant qui comprend 31 personnes répartit comme suit :

La Direction : elle est composée d'un Directeur assisté d'un adjoint. Elle est chargée de la police
générale de l'établissement, de la gestion des crédits et du personnel, de la représentation de l'Institut
auprès du Recteur de l'université, du suivi de la coopération, de la coordination et de l'animation des
activités académiques ;

 Les Divisions : il y en deux : celle en charge de la formation initiale qui gère

l'organisation, l'animation et le suivi des activités de l'ensemble des départements, et
celle des stages et de la formation permanente et des relations avec les milieux
professionnels;
 Le service chargé des affaires qui s'occupe de la gestion du personnel administratif et
de l'instruction des affaires générales ;
 Le service de la documentation et de la reprographie qui organise et anime les
activités d’impression et de diffusion des matériels pédagogiques ;
 Le service de la scolarité et de l'orientation professionnelle, chargé de l'information et
de l'orientation des candidats à l'inscription dans les différentes filières et la gestion des
statistiques ;
 Le service de l'intendance qui a en charge l'instruction des Affaires financières ;
 Le service des stages qui est chargé de la gestion des étudiants en stage et des
relations avec les entreprises ;

6. Structure et organisation hiérarchique

L’organigramme hiérarchique de l’IUT est présenté à la figure 2. Les différents maillons de la
chaîne administrative de l’IUT sont formés de la direction, des divisions et de divers services allant
des affaires générales à l’intendance.

OUMOUL HAIRI xiv

 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Figure 2 : Organigramme de l’IUT de Ngaoundéré

OUMOUL HAIRI xv
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

RESUME
Notre projet concerne la mise en place d’un tunnel VPN à base du logiciel OpenVPN. En effet pour
une interconnexion sécurisée entre les sites distants d’une même entreprise partageant les mêmes
ressources ou avec des partenaires, on fait recours à des lignes spécialisées (LS), cette solution bien
qu’elle soit efficace présente des contraintes de point de vue cout de réalisation, de maintenance en
cas de problème sur les câbles. Lorsque ce raccordement va se faire à l’échelle d’un pays voire d’un
continent, il faut penser à une solution plus souple tout en minimisant le cout, Pour remédier à ce
problème, la technologie VPN (Virtual Private Network) a été mise en place afin de permettre à un
utilisateur n’étant pas connecté à un réseau interne de pouvoir quand même y accéder en totalité ou
en partie au travers d’un réseau public (Internet). L’objectif de notre travail à été de proposer une
architecture réseau sécurisée afin de protéger les différents serveurs de l’IUT. Notre solution à été
développer sur un pare-feu pfsense. À l’aide de notre webconfigurer générer par Pfsense, nous
avons mis en place et configuré un réseau tunnel VPN entre l’internet public et le réseau local de
l’IUT à l’aide du logiciel OpenVPN. A cet effet, des tests ont été effectués afin de procédé au
contrôle, d’assurer et garantir l'intégrité et la confidentialité des données avec le protocole UDP sur
le port 1194.
Mots clés : OpenVPN, webconfigurator, Pfsense, IUT

OUMOUL HAIRI 1
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

ABSTRACT

Our project involves setting up a VPN tunnel based on the OpenVPN software. Indeed, for secure
interconnection between remote sites of the same company sharing the same resources or with
partners, we use specialized lines (LS). While this solution is effective, it has constraints in terms of
implementation cost and maintenance in case of cable problems. When this connection is going to
be made on a country or even continent scale, we need to think about a more flexible solution while
minimizing the cost. To address this problem, VPN (Virtual Private Network) technology was put
in place to allow a user not connected to an internal network to still access all or part of it through a
public network (Internet). The objective of our work is to propose a secure network architecture to
protect the various servers of the IUT. Our solution is developed on a pfsense firewall. Using our
webconfigurer generated by Pfsense, we have implemented and configured the VPN tunnel network
with the OpenVPN software. In fact, tests have been carried out to control, ensure and guarantee the
integrity and confidentiality of data with the UDP protocol on port 1194.

Keywords: OpenVPN, webconfigurator, Pfsense, IUT

OUMOUL HAIRI 2
INTRODUCTION
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

INTRODUCTION

De nos jours, les réseaux informatiques sont des outils indispensables à toutes les grandes
structures. A l’origine, la communication était facile du fait qu’une société était composée d’une
seule entité ou de plusieurs entités géographiquement proches. Le problème et les besoins sont
apparus lorsque les usagers hors du réseau local doivent accéder à des ressources situées dans le
réseau local. Il est donc question de contrôler et de règlementer l’accès au réseau local pour les
usagers qui se trouve hors de ce dernier. C’est dans ce sens qu’on a créé les VPN.
Le principe du VPN est relativement simple, il a pour but de créer au travers d’un réseau
public un tunnel crypté permettant de faire transiter des données jusqu’à un réseau privée disposant
d’une connexion internet. L’objectif principal de ce projet est basé sur la mise en place d’un accès a
VPN au sein du LAN de l’IUT.
Pour se faire, la technologie VPN (Virtual Private Network) sera mise en place afin de
permettre à un utilisateur n’étant pas connecté à un réseau interne de pouvoir quand même y accéder
en totalité ou en partie au travers d’un réseau public (Internet).
Notre travail a pour but principale l’accès au réseau interne(locale) nous avons eu à
configurer les clients qui auront accès aux différentes ressources du réseau locale tout en s’assurant
que les usagers non autorisés n’y puissent pas accéder. En d’autres termes nous avons limiter
l’accès au réseau et aux différents serveurs.
Pour mener à bien notre travail nous allons tout d’abord faire une étude du réseau de
l’administration de l’IUT ensuite nous ferons une étude comparative des solutions VPN existant
afin de choisir la meilleure solution pour se faire nous ferons une étude approfondie de la solution
choisie dans le but de mieux planifier son implémentation et enfin nous procèderons à la mise en
place de la solution choisie pour notre projet.

OUMOUL HAIRI 3
 Chapitre 1 : GENERALITES SUR LES RESEAUX
INFORMATIQUES ET ETUDE DU RESEAU EXISTANT
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Chapitre 1 : GENERALITES SUR LES RESEAUX

INFORMATIQUES ET ETUDE DU RESEAU EXISTANT

I. DEFINITION ET INTERET DES RESEAUX

En reliant toutes les stations de travail, les périphériques, les terminaux et les autres unités de
contrôle du trafic, le réseau informatique a permis aux entreprises de partager efficacement
différents éléments (des fichiers, des imprimantes…) et de communiquer entre elles, notamment par
courrier électronique et par messagerie instantanée. Il a permis aussi de relier les serveurs de
données, de communication et de fichiers.

1. Définition d’un réseau

Un réseau de communication est l'ensemble des ressources matérielles et logicielles liées à la
transmission et l'échange d'information entre différentes entités. Les réseaux font l'objet d'un certain
nombre de spécifications et normes suivant leur organisation, architecture, les distances, les vitesses
de transmission et la nature des informations transmises.

2. Intérêts d’un réseau

Un réseau informatique peut servir à plusieurs buts distincts :
▪ Le partage de ressources (fichiers, applications ou matériels).
▪ La communication entre personnes (courrier électronique, discussion en direct...)
▪ La communication entre processus (entre des machines industrielles par exemple).
▪ La garantie de l’unicité de l’information (bases de données).
▪ Le jeu vidéo multi-joueurs.
Les réseaux permettent aussi de standardiser les applications, on parle généralement de
groupware. Par exemple, la messagerie électronique et les agendas de groupe qui permettent de
communiquer plus efficacement et plus rapidement. Voici les avantages qu’offrent de tels
systèmes :
o Diminution des couts grâce aux partages de données et de périphériques.
o Standardisation des applications.
o Accès aux données en temps utile.
o Communication et organisation plus efficace

OUMOUL HAIRI 4
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

II. ETUDE DU RESEAU DEL’ADMINISTRATION

DE L’IUT DE NGAOUNDERE
Dans cette partie nous allons faire une étude approfondie du réseau de l’administration de
l’IUT afin de mieux planifier l’implémentation de notre VPN. Pour se faire, nous allons nous
bases sur les différentes caractéristiques du réseau qui joueront un rôle particulier dans la mise
en place de notre solution à savoir :
 La topologie du réseau : il sera question d’identifier la topologie actuelle du réseau, y
compris les différents sous-réseaux, les routeurs, les commutateurs et les serveurs.
Cette information nous aidera à déterminer comment configurer notre VPN pour
s'intégrer dans cette topologie.
 Adressage IP : il s’agit ici de noter les plages d'adresses IP utilisées sur le réseau
existant. Nous devrons choisir des plages d'adresses distinctes pour notre VPN afin
d'éviter les conflits d'adresses.
 Protocoles de communication : Il faut identifier les protocoles de communication
utilisés sur le réseau existant (par exemple, TCP, UDP). Nous devons nous assurer
que notre VPN prend en charge ces protocoles pour assurer une connectivité
transparente.
 Sécurité : Évaluer les mesures de sécurité actuelles mises en place sur le réseau
existant, telles que les pares-feux, la détection d'intrusion, etc. assurons nous que
notre VPN intègre des fonctionnalités de sécurité adéquates pour protéger les
données transitant à travers le tunnel VPN.
 Politiques de routage : Identifier les politiques de routage en place sur le réseau
existant pour assurer une connectivité efficace entre les différents segments du
réseau. Nous devons nous assurer de configurer correctement les routes sur notre
VPN pour permettre la communication entre les différents sous-réseaux.

1. Topologie du réseau
Dans cette partie on fera une brève présentation des topologies et enfin nous nous attarderons
sur la topologie en place dans le réseau de l’IUT. Tout d’abord il faut savoir qu’il existe 02 types de
topologies à savoir celle qui définit la configuration spatiale du réseau est appelé topologie physique

OUMOUL HAIRI 5
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

et celle qui représente la façon dont les données transitent sur les lignes de communication appelé la
topologie logique par opposition à la topologie physique.

a. Topologie en bus
Dans une topologie en bus les ordinateurs sont reliés à une même ligne de transmission,
Chaque PC est connecté par l'intermédiaire d'un connecteur BNC. Cette topologie a pour avantage
d’être facile à mettre en œuvre et de posséder un fonctionnement simple. En revanche, elle est
extrêmement vulnérable étant donné que si l’une des connexions est défectueuse, l’ensemble du
réseau est affecté. (Tinhinan, 2017)

Figure 3 : topologie en bus (Tinhinan, 2017)

b. Topologie en étoile
Dans une topologie en étoile, les ordinateurs du réseau sont reliés à un système matériel
central appelé concentrateur (hub). Contrairement aux réseaux construits sur une topologie en bus,
les réseaux avec une topologie en étoile sont beaucoup moins vulnérables car une des connexions
peut être débranchée sans paralyser le reste du réseau.

Figure 4 : topologie en étoile (Tinhinan, 2017)

OUMOUL HAIRI 6
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

c. Topologie en anneau
La topologie en anneau se caractérise par une connexion circulaire de la ligne de
communication.
Les informations circulent de stations en stations, en suivant l’anneau, donc dans un seul sens. Un
jeton circule en boucle et permet à chaque station de prendre la parole à son tour. La station qui a le
jeton émet des données qui font le tour de l’anneau. Lorsque les données reviennent, la station qui
les a envoyées les élimine du réseau et passe le "droit d'émettre" à son voisin, et ainsi de suite.

Figure 5 : topologie en anneau (Tinhinan, 2017)

.

d. Topologie en arbre
Aussi connue sous le nom de topologie hiérarchique, le réseau est divisé en niveaux. Le
sommet, le haut niveau, est connectée à plusieurs nœuds de niveau inférieur, dans la hiérarchie. Ces

nœuds peuvent être eux-mêmes connectés à plusieurs nœuds de niveau inférieur. Le tout dessine
alors un arbre, ou une arborescence.

OUMOUL HAIRI 7
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Figure 6 : topologie en arbre (Tinhinan, 2017)

e. Topologie maillée
La topologie maillée est une topologie hybride de type étoile mais avec différents chemins
pour accéder d'un nœud à un autre. C'est la méthode utilisée sur Internet : pour un transfert entre
deux points, chaque nœud (un routeur intelligent, qu'on appelle Switch dans le jargon technique) va
sélectionner en temps réel la route la plus rapide pour le transfert.

Figure 7 : topologie maillée (Tinhinan, 2017)

Le principal avantage de ce type de topologie est l’adaptabilité : une ligne coupée ne perturbe
pas les communications d'où son utilisation dans les réseaux sensibles.

OUMOUL HAIRI 8
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

f. . Topologies logiques

i. Topologie Ethernet

Ethernet est aujourd’hui l’un des réseaux les plus utilisés en local. Il repose sur une
topologie physique de type bus linéaire, c'est-à-dire tous les ordinateurs sont reliés à un seul

support de transmission. Dans un réseau Ethernet, la communication se fait à l’aide d 'un

protocole appelé CSMA/CD (Carrier Sense Multiple Access with Collision Detect), ce qui fait
qu’il aura une très grande surveillance des données à transmettre pour éviter toute sorte de
collision. Par conséquent un poste qui veut émettre doit vérifier si le canal est libre avant d’y
émettre.
ii. Le Token Ring

Il utilise la méthode d’accès par jeton (token). Dans cette technologie, seul le poste ayant

le jeton a le droit de transmettre. Si un poste veut émettre, il doit attendre jusqu’à c e qu’il ait le
jeton. Dans un réseau Token ring, chaque nœud du réseau comprend un MAU (Multi station
Access Unit) qui peut recevoir les connexions des postes. Le signal qui circule est régénéré par
chaque MAU.
iii. Le FDDI(Fiber Distributed Data Interface)

La technologie LAN FDDI (Fiber Distributed Data Interface) est une technologie
d'accès réseau utilisant des câbles fibres optiques. Le FDDI est constitué de deux anneaux : un
anneau primaire et anneau secondaire. L’anneau secondaire sert à rattraper les erreurs de
l’anneau primaire. Le FDDI utilise un anneau à jeton qui sert à détecter et à corriger les erreurs.
Ce qui fait que si une station MAU tombe en panne, le réseau continuera de fonctionner.

iv. L’ATM (Asynchronous Transfer Mode)

L’ATM (Asynchronous Transfer Mode, c'est-à-dire mode de transfert asynchrone) est

une technologie très récente qu’Ethernet, Token Ring et FDDI. Il s’agit d’un protocole de
niveau 2, qui a pour objectif de segmenter les données en cellules de taille unique. L’en-tête de
chaque cellule comprend des informations qui permettent à la cellule d’emprunter son chemin.
Les cellules ATM sont envoyées de manière asynchrone, en fonction des données à transmettre,
mais sont insérées dans le flux de donnée synchrone d'un protocole de niveau inférieur pour leur
transport.

OUMOUL HAIRI 9
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Avec le réseau ATM, deux technologies existent pour le moment :

 La commutation des paquets

 La commutation des circuits

g. Topologie réseau IUT

Le réseau comporte une salle de serveur avec quatre points d’accès dissimiler dans les différents
recoins du bâtiment. La salle des serveurs est reliée au CDTIC à travers une connexion par fibre
optique. La connexion entre le réseau de l’iut et celui du CDTIC est assurée par un switch qui
constitue l’élément centrale des topologies en étoile. Les trois serveurs (un serveur d’application, un
serveur DHCP, et d’un serveur de calcul) et l’ordinateur centrale sont connectés au switch à travers
un câble Ethernet. Comme présenté dans la figure suivante :

Figure 8 : Architecture du réseau de l’IUT réalisée avec visio

OUMOUL HAIRI 10
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

2. Adressage IP
Sur internet, les ordinateurs communiquent entre eux grâce au protocole IP (Internet
Protocol), qui utilise des adresses numériques, appelées adresses IP, c’est l’ICANN (Internet
Corporation for Assigned Names and Numbers, remplaçant l’IANA, internet Assigned Numbers
Agency, depuis 1998) qui est chargée d’attribuer des adresses IP publiques, c'est-à-dire les adresses
IP des ordinateurs directement connectés sur le réseau public internet.
Ces adresses servent aux ordinateurs du réseau pour communiquer entre eux, ainsi chaque
ordinateur d’un réseau possède une adresse IP unique sur ce réseau.
Une adresse IP (Internet Protocol) est constituée d’un nombre binaire de 32 bits. Pour
faciliter la lecture et la manipulation de cette adresse on la représente plutôt en notation décimale
pointée, par exemple :

Figure 9 : les adresses IP (Tinhinan, 2017)

a. Structure

Une adresse IP d’un équipement, codée sur 4 octets, contient à la fois un identifiant
réseau (Net ID) et un identifiant équipement (Host ID)
32 bits (4 octets)

Identifiant Réseau Identifiant Equipement ou Hôte

(Net ID) (Host ID)

n bits 32-n bits

Figure 10 : structure d’adresses (Tinhinan, 2017)

OUMOUL HAIRI 11
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Dans le cas des réseaux « standards » (sans sous-réseaux) la partie Identifiant Réseau peut
être codée sur 1, 2 ou 3 octets. Le nombre de bits restants pour la partie HostID détermine le
nombre d’équipements pouvant être connectés sur le réseau.

b. Les classes d’adresses IP

En fonction du nombre d’équipements pouvant être connectés à un réseau, les adresses IP
appartiennent à la classe A, B ou C.

Le format d’une adresse IP selon sa classe est le suivant :

Figure 11 : les classes des adresses IP (Tinhinan, 2017)

L’adresse IP du réseau est une adresse IP avec tous les bits de la partie « ID Hôte » à 0. C’est
donc une Adresse réservée et non attribuable à un équipement.
Une autre combinaison est réservée. C’est celle où tous les bits de la partie « ID Hôte » sont à 1.
Cette adresse est l’adresse de diffusion (broadcaste) et sert à désigner tous les hôtes du réseau.

c. Masques de sous réseaux

i. Format
Une adresse IP est toujours associée à un « masque de sous-réseau », c’est grâce à celui -ci que
l’on peut extraire de l’adresse IP, le numéro de la machine et l’adresse réseau/sous réseau auquel il
appartient.

Par défaut, lorsqu’il n’y a pas de sous réseaux, les masques sont :

@ En classe A : [Link]

@ En classe B : [Link]

OUMOUL HAIRI 12
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

@ En classe C : [Link]

ii. Adresses Public / Adresses Privée

Sont celles qu’il est possible d’utiliser pour une connexion à l’Internet. Elles sont attribuées par
l’IANA (Internet Assigned Numbers Authority ) auprès de qui il faut s’enregistrer.

Tout ordinateur d’un réseau local voulant se connecter à Internet doit disposer de sa propre
adresse IP.
 Adresse publique

Une adresse IP dite “publique” est une adresse qui est unique au niveau mondial et qui
est attribuée à une seule entité. A titre d’exemple l’adresse IP : [Link] est celle du
constructeur Cisco et que seul Cisco a le droit de l’utiliser.
 Adresse privée

Une adresse IP dite “privée” est une adresse qui n’est pas unique au niveau mondial et
donc qui peut être attribuée à plusieurs entités en même temps. La restriction pour que cela soit
autorisé est qu’une adresse IP privée ne peut pas sortir vers l’extérieur ou plus simplement ne
peut pas sortir sur Internet.

Tableau 2 : plages et classes des adresses IP

Classe d’adresses privées Plage d’adresses privées

Réseau privé de classe A De [Link] à [Link]

Réseau privé de classe B De [Link] à [Link]

Réseau privé de classe C De [Link] à [Link]

OUMOUL HAIRI 13
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

L’utilisation des réseaux d’ordinateurs partagent des serveurs (apporte une grande souplesse).
Les réseaux permettent l’accès à de très nombreuses ressources et c’est pour cela qu’on observe une
augmentation de la demande sur l’utilisation des réseaux. Par conséquent, les risques augmentent.

d. Adressage IP du réseau de l’IUT

Le réseau de l’IUT utilise un adressage IP décimale. Le réseau est fait de quatre adresses
publiques qui constitue l’adresse des différents serveurs et une adresse publique inutilisée. Un
réseau local est fait sur l’adresse [Link] qui est code en CIDR sur 24 donc le masque de sous
réseau et [Link].

Figure 12 : adressage du LAN IUT

Les adresses publiques sont sous différents couches d’adresse publique car les différents
serveurs sont connectés entres elles au travers des passerelles par exemple la passerelle du serveur
d’application nous fait tomber sur le serveur DHCP.

Figure 13 : adressage de la DMZ de l’UT

Cette configuration en particulier est un frein à la réalisation de notre projet car en installant
le serveur VPN sur le serveur d’application nous n’avions accès au serveur que en réseau locale or
dans le long terme notre projet vise à restreindre l’accès des différents serveurs à partir de
l’extérieur que au travers du serveurs VPN donc les clients possédant la configurations or le serveur
DHCP sur lequel le port de notre serveur ne peut être ouvert que si ce dernier est installé sur le
serveur il était impossible à ouvrir et l’installation du serveur VPN sur le serveur DHCP était
impossible car ce dernier fonctionnait sous Ubuntu 16 et les dépendances ne pouvais être mise a
jours sous peine de mettre à mal le système.

OUMOUL HAIRI 14
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

3. Protocoles de communication
Un protocole est une méthode standard qui permet la communication entre des processus
(s’exécutant éventuellement sur différentes machine), c'est-à-dire un ensemble de règles et de
procédures à respecter pour émettre et recevoir des données sur un réseau. Il en existe plusieurs
selon ce que l’on attend de la communication. Certains protocoles seront par exemple spécialisés
dans l’échange de fichiers le (ftp), d’autres pourront servir à gérer simplement l’état de la
transmission et des erreurs (c’est le cas du protocole ICMP)
Sur internet, les protocoles utilisés font partie d’une suite de protocoles, c'est-à-dire un
ensemble de protocoles reliés entre eux. Cette suite de protocole s’appelle TCP/IP. Elle contient,
entre autres, les protocoles suivants : http, FTP, ARP, ICMP, IP, TCP, UDP, SMTP, Telnet, NNTP.
Dans cette partie nous allons ressortir les différents protocoles utilisés par le réseau et ceux
qui entre dans la configuration de notre VPN.
En générale dans les réseaux certains protocoles sont ouverts par défaut ils sont entre autres
les protocoles essentiels au fonctionnement de ce dernier ce sont les protocoles https http TCP.

a. Catégories de protocoles

i. Classement par Niveau OSI

Il existe deux catégories de protocoles VPN :
 Les protocoles nécessitant parfois/souvent du matériel particulier :
 Les protocoles de niveau 2 (Couche Liaison) dans la pile TCP/IP : PPTP, L2F et
L2TP
 Les protocoles de niveau 3 (Couche Réseau) dans la pile TCP/IP : IPSec
 Les protocoles ne nécessitant qu'une couche logicielle :
 Les protocoles de niveau 4 (Couche Transport) : OpenVPN en SSL

ii. Classement par Système d'exploitation

Voici les protocoles classés par OS
 Disponibles nativement sous Windows
 PPTP et IPSec/L2TP
 Protocoles disponibles sous Linux et Windows par logiciel annexe :
 OpenVPN

OUMOUL HAIRI 15
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

 Disponibles sous Linux

iii. Les principaux protocoles de VPN

Les principaux protocoles de tunneling VPN sont les suivants :

• PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 développé par

Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.

• L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Northern
Telecom et Shiva. Il est désormais quasi-obsolète

• L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC
2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole
de niveau 2 s'appuyant sur PPP.

• IP Sec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des
données chiffrées pour les réseaux IP

4. La sécurité
De nos jours, l’utilisation de l’internet n’est plus sûre. Très souvent les transmissions de
données ainsi que les sites web ne sont pas protégés et sont vulnérables aux attaques des cybers
criminels. La sécurité d’un réseau est un niveau de garantie pour que l’ensemble des machines
fonctionnent d’une façon optimale.

Dans cette partie, nous allons présenter les attaques les plus fréquentes et les notions de
sécurité et en particulier le VPN.

a. Les techniques d’attaques

 Attaque contre la communication

Est un type d’attaque contre la confidentialité, qui consiste à accéder aux informations
transmises ou stockées, l’information n’est pas altérée par celui qui en prélève une copie. Ces
attaques sont donc indétectables par le système et peuvent seulement être réparées par des mesures
préventives.
 Interposition

OUMOUL HAIRI 16
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Ce type consiste à tromper les mécanismes d’authentification pour ce faire passer pour un
utilisateur (personne disposant des droits dont on a besoin) pour compromettre la confidentialité,
l’intégrité ou la disponibilité (le IP spoofing qui est un vol d’adresse IP).

 Coupure
Est un accès avec modification des informations transmises sur des communications, il
s’agit donc d’une attaque contre l’intégrité.

b. Les types d’attaques

i. Les attaques logicielles

 Les virus : Les Virus informatiques (appelés véritablement « CPA ou Code Parasite
Autopropageable » sont des codes qui ont la particularité : de s’auto reproduire, d’infecter
(Contaminer), d’activer et d’altérer ou même détruire le fonctionnement du système ou de
l’information stockée.
 Les vers : Un ver est un programme indépendant, qui se copie d’un ordinateur en un
autre ordinateur.
La différence entre un ver et un virus est que le ver ne peut pas se greffer à un autre programme
donc l’infecter. Il va simplement se copier via un réseau ou internet, d’ordinateur en ordinateur. Ce
type de réplication peut donc non seulement affecter un ordinateur, aussi dégrader les performances
du réseau dans une entreprise.
 Le cheval de Troie
Un cheval de Troie ou trojen n’est ni un ver ni un virus, par ce qu’il ne se reproduit pas. Un
trojen s’introduit sur une machine dans le but de détruire ou de récupérer des informations
confidentielles sur celle-ci. Généralement il est utilisé pour créer une porte dérobée sur l’hôte
infecté afin de mettre à disposition d’un pirate un accès à la machine depuis internet.
Les opérations suivantes peuvent être effectuées par intermédiaire d’un cheval de Troie :
 Récupération des mots de passe grâce à keylogger
 Administration illégale à distance d’un ordinateur
 Relais utilisé par les pirates pour effectuer des attaques
 Serveur de spam (envoi en masse des e-mail )

OUMOUL HAIRI 17
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

 L’écoute du réseau (sniffing) : Grâce à un logiciel appelé ‘sniffer’, il est possible

d’intercepter toutes les trames que notre carte reçoit et qui ne nous sont pas destinées.
Si quelqu’un se connecte par internet par exemple à ce moment-là, son mot de passe
transitant en clair sur le net. Il sera aisé de lire et c’est facile de savoir à tout moment quelles
pages web regardent les personnes connectées au réseau.

c. Autres attaques

 Attaque par déni de service (dos dinial of service)

Est un type d’attaque visant à rendre indispensable pendant un temps indéterminé les
services aux ressources d’une organisation. Il s’agit la plupart de temps d’attaques à l’encontre des
serveurs d’une entreprise, afin qu’il ne puisse être utilisés et consultés.
Le principe de ces attaques consiste à envoyer des paquets IP ou des données de grande taille
afin de provoquer une saturation ou un état instable des machines victimes et de les empêcher ainsi
d’assurer les services réseau qu’elles proposent.
 Attaque de l’homme de milieu
Consiste à faire passer les échanges réseaux entre deux systèmes par le biais d’un troisième,
sous contrôle d’un pirate. Ce dernier peut transformer à sa façon les données volées, tout en
masquant à chaque acteur de l’échange la réalité de son interlocuteur.

 Balayage de port
C’est une technique servant à chercher les ports ouverts sur un serveur de réseau. Elle est
utilisée par les administrateurs des systèmes informatique pour contrôler la sécurité des serveurs de
leurs réseaux .la même technique aussi utilisée par les pirates pour trouver les failles dans les
systèmes informatiques. Un balayage de port effectué sur un système tiers est généralement
considéré comme une tentative d’intrusion.
 Usurpation d’adresse IP (IP spoofing)
C’est une technique qui consiste à envoyer des paquets IP en utilisant une adresse IP qui n’a
pas été attribuée à l’expéditeur, cette technique permet au pirate d’envoyer des paquets
Anonymement.
 Le craquage de mot de passe
Cette technique consiste à essayer plusieurs mots de passe afin de trouver le bon. Elle peut
s’effectuer à l’aide d’une liste des mots de passe les plus courants (et de leur variantes), ou par la
méthode de brute force (toutes les combinaisons sont essayées jusqu’à trouver la bonne), cette

OUMOUL HAIRI 18
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

technique longue, souvent peut utiliser à moins de bénéficier de l’appui d’un très grand nombre de
machines.

Pour remédier à cela une sécurité a été établé afin de protéger les données, les informations
Circulant sur le réseau.

d. Les méthodes de protection

La sécurité : est l’ensemble des moyens mis en œuvre pour réduire la vulnérabilité d’un
système informatique contre les menaces accidentelles ou intentionnelles auxquelles il peut être
confronté. En d’autres mots, c’est l'ensemble des techniques qui assurent que les ressources du
système d'information (matérielles ou logicielles) d'une organisation sont utilisées uniquement dans
le cadre où il est prévu qu'elles le soient.
Les exigences fondamentales de la sécurité Informatiques se résument à assurer :
 La disponibilité : L’information sur le système doit être toujours disponible aux
personnes autorisées.

 La confidentialité : L’information sur le système ne doit être diffusée qu’aux

personnes autorisées.

 L’Intégrité : L'information sur le système ne doit pouvoir être modifiée que par les personnes
autorisées.

 Antivirus :

Logiciel permettant de détecter et de supprimer les virus informatiques sur n’importe quels
types de stockage (disque dur, disquette, CD-ROM…). Pour être efficace ce type de logiciel
demande une mise à jour très fréquente au cours desquelles il mémorise les nouvelles formes de
virus de circulation.
 La cryptographie :
Est un ensemble de technique permettant de transformer les données dans le but de cacher
leur contenu, empêcher leur modification ou leur utilisation illégale. Ceci permet d’obtenir un texte,
en effectuant des transformations inverse (ou encre des algorithmes de déchiffrement). Désormais,
elle sert non seulement à préserver la confidentialité des données mais aussi à garantir leur intégrité
et leur authenticité.

OUMOUL HAIRI 19
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

La taille des clés de chiffrement dépend de la sensibilité des données à protéger plus ces clés
sont longues plus le nombre de possibilités de les déchiffrer est important, par conséquent il sera
difficile de deviner la clé.
Les algorithmes de chiffrement se divisent en deux catégories :
 Chiffrement symétrique :
Dans ce cas de chiffrement l’émetteur et le récepteur utilisent la même clé secrète qu’ils
appliquent à un algorithme donné pour chiffrer ou déchiffrer un texte.
Ce cryptage à un inconvénient puisqu’il faut que les deux parties possèdent la clé secrète, il faut
donc la transmettre d’un bout à l’autre, ce qui risque sur un réseau non fiable comme internet car la
clé peut ainsi être interceptée.
 Chiffrement asymétrique
Ces systèmes se caractérisent par la présence d’une entité pour chaque interlocuteur désirant
communiquer des données. Chaque interlocuteur possède une bi-clé ou couple de clés calculées
l’une en fonction de l’autre.

Une première clé, visible appelée clé publique est utilisée pour chiffrer un texte en clair.
Une deuxième clé, secrète appelée clé privée est connu seulement par le destinataire, qui est
utilisé pour déchiffrer un texte.

Le pare –feu (firewall)

C’est un système permettant de protéger un ordinateur ou un réseau d’ordinateurs des intrusions
provenant d’un réseau tiers (internet).
Le pare feu est un système permettant de filtrer les paquets de données échangés avec le réseau,
il s’agit ainsi d’une passerelle filtrante comportant au minimum les interfaces réseau suivante :
• Une interface pour le réseau à protéger (réseau interne)
• Une interface pour le réseau externe

OUMOUL HAIRI 20
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Figure 14 : pare-feu (Tinhinan, 2017)

Le système firewall est un système logiciel ou matériel, constituant un intermédiaire entre le
réseau local (ou la machine local) et un ou plusieurs réseaux externes. Il est possible de mettre un
système pare-feu sur n’importe quelle machine et avec n’importe quel système pourvu que :

• La machine soit suffisamment puissante pour traiter le trafic.

• Le système soit sécurisé.
• Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.
Le fonctionnement de pare-feu :
Un système pare-feu contient un ensemble de règles permettant :

• D’autoriser la connexion (allow)

• De bloquer la connexion (deny)

• De rejeter la demande de connexion sans avertir l’émetteur (drop).

L’ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la
politique de sécurité adoptée par l’entité. On distingue habituellement deux types de politiques de
sécurité permettant :
• Soit d’autoriser uniquement la communication ayant explicitement autorisées.

• Soit d’empêcher les échanges qui ont été explicitement interdites.

La première méthode est plus sure, mais elle impose toutes fois une définition précise et
contraignante des besoins en communication.
 Les VLAN ( virtual Area Network)

Un VLAN permet de créer des domaines de diffusion (domaine de brodcast) gérer par les
commutateurs indépendamment d’emplacement où se situent les nœuds, ce sont des domaines de
diffusion gérer logiquement.
 Le NAT(Network Address Translation)
Dans les entreprises de grandes tailles, différent réseau interconnecté peut utiliser les même
adresse IP. Pour que la communication soit possible entre nœuds des deux côtés, il est nécessaire de
modifier les références de l’émetteur de paquets afin qu’il n’y ait pas de conflits et que la
transmission soit fiable.

OUMOUL HAIRI 21
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Des équipements de translation d’adresse NAT (Network Address Tranlation) sont chargés
d’adopter cette fonctionnalité. Ils permettent le changement d’une adresse IP par une autre Trois
types d’adresse sont possibles :

• La translation de port PAT (Port Address Traslation), joue sur une allocation dynamique des
ports TCP ou UDP, en conservant l’adresse IP d’origine.
• La conversion dynamique d’adresses (NAT dynamique) change à la volée d’adresse IP par
rapport à une externe disponible dans une liste.

• La conversion statique d’adresse (NAT statique), effectue également un changement

d’adresse IP, mais une table est maintenue, permettant à une adresse IP interne de toujours
être remplacée par la même adresse IP externe.

 Les ACL ( Acces control list)

Les listes de contrôle d’accès ont pour objectif de disposer d’une fonction de filtrage prenant en
compte l’historique des connexions en cours, afin de ne pas accepter du trafic qui n’aurait pas été
demandé à partir d’une zone précise du réseau.

Les ACL semblent avoir toujours existé sur les routeurs et rares sont les configurations ou elles
n’apparaissent pas. Elles servent principalement au filtrage des paquets sur les interfaces physiques.

e. Les mesures de sécurités dans le LAN de l’IUT

Dans la nouvelle configuration du LAN de l’IUT nous avons mis sur pied un pare-feu
pfsense qui remplace la configuration existante principalement effectué avec IPTABLE.

Définition
Pfsense est un routeur/pare-feu open source basée sur le système d’exploitation Free

BSD, qui peut être installé sur un simple ordinateur personnel comme sur un serveur.

Il a pour particularité de gérer nativement les VLAN et dispose de très nombreuses

fonctionnalités tels que faire un VPN ou portail captif. Voici l’architecture avec laquelle peut être
utilisé le pfsense.

OUMOUL HAIRI 22
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Figure 15 : Pfsense (Tinhinan, 2017)

Les principes de fonctionnement de Pfsense
Pfsense offre une multitude de fonctionnalités intéressantes comme par exemple :

• Pare-feu (sa fonction primaire) qui est basé sur le paquet filtrer il permet donc :
 Le filtrage par adresse IP source et de destination, par protocole IP et par port.
 Limitation de connexions simultanées.
 La possibilité de router les paquets sur les passerelles spécifiques selon les règles.

• Table d’état : qui contient des informations sur les connexions réseaux.

• Traduction d’adresses réseaux (NAT)ce qui permet de joindre une machine située sur le
LAN à partir de l’extérieur.

• VPN pour sécuriser les données transitant sur le réseau.

• Serveur DHCP qui permet de distribuer automatiquement une configuration IP aux

Équipements présents sur le réseau.

• Serveur DNS (statique ou dynamique) qui permet de communiquer avec les autres
périphériques présents sur le réseau grâce à leurs adresses IP.
• Serveur PPPOE (point to point Protocol Over Ethernet) un protocole d’encapsulation sur

PPP et Ethernet.

• Une base de données locale peut être utilisée pour l’authentification.

Avantage d’utilisation de pfsense :

OUMOUL HAIRI 23
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

• Simplicité d’installation et d’administration

• La mise à jour du système sans le réinstaller, package téléchargeable depuis le web

• Solution riche et performante (basé sur un logiciel libre).

VPN (Virtual Private Network)

5. Les politiques de routage

Les protocoles de routages permettent l'échange des informations à l'intérieur d'un système
autonome. On retient les protocoles suivants :

• États de lien, ils s'appuient sur la qualité et les performances du média de communication
qui les séparent. Ainsi chaque routeur est capable de dresser une carte de l'état du réseau
pour utiliser la meilleure route : OSPF
• Vecteur de distance, chaque routeur communique aux autres routeurs la distance qui les
sépare. Ils élaborent intelligemment une cartographie de leurs voisins sur le réseau : RIP
• Hybride des deux premiers, comme EIGRP

Les protocoles couramment utilisés sont :

• Routing Information Protocol (RIP)

• Open Shortest Path First (OSPF)
• Enhanced Interior Gateway Routing (Franck, 2018)

III. ROLE DE LA MISE EN PLACE D’UN ACCES

VPN AU SEIN DU LAN DE L’IUT
Ce projet sur le long terme vise à sécuriser les différents serveurs se trouvant au niveau de la
DMZ de l’architecture du réseau de l’IUT. En effet les serveurs sont accessibles depuis seulement
leurs adresses IP ce qui représente une faille d’envergure.

1. Les failles qu'implique l'accès directe à l'adresse d'un

serveur en réseau
 Exposition des services : Lorsqu'un serveur est accessible directement via son adresse IP
publique, tous les services et ports ouverts sur ce serveur sont également exposés. Cela

OUMOUL HAIRI 24
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

signifie que tout service tel qu'un serveur web, un serveur de messagerie, un serveur de
fichiers, etc., est accessible depuis n'importe où sur Internet. Si ces services ne sont pas
correctement configurés ou sécurisés, cela peut conduire à des failles de sécurité.

 Attaques par force brute : L'accès direct à l'adresse d'un serveur rend celui-ci vulnérable aux
attaques par force brute. Les attaquants peuvent tenter de deviner les identifiants et mots de
passe pour accéder au serveur ou à ses services. Les attaques par force brute peuvent être
automatisées et peuvent compromettre la sécurité du système si des mesures de protection
adéquates ne sont pas en place.

 Exposition des vulnérabilités : Les serveurs peuvent avoir des vulnérabilités connues ou
inconnues qui peuvent être exploitées par des attaquants pour compromettre la sécurité du
serveur. L'accès direct à l'adresse du serveur augmente le risque que ces vulnérabilités soient
découvertes et exploitées par des attaquants malveillants.

 Manque de chiffrement : Sans l'utilisation de mécanismes de chiffrement tels que les VPN,
les communications entre le client et le serveur peuvent être interceptées et lues par des tiers
non autorisés. Cela peut entraîner la divulgation d'informations sensibles ou confidentielles
échangées entre les deux parties.

2. Les mesures directes de sécurité qu'apportera

l'implémentation d'un VPN du type logiciel OpenVPN
L'accès direct à l'adresse d'un serveur en réseau peut présenter plusieurs failles potentielles
en termes de sécurité, comme mentionné précédemment. L'implémentation d'un VPN (Virtual
Private Network) tel que le logiciel OpenVPN peut aider à atténuer ces failles en offrant un tunnel
sécurisé pour les communications entre le client et le serveur. Voici comment l'utilisation
d'OpenVPN peut contribuer à renforcer la sécurité d'un serveur :

a. Chiffrement des communications :

OUMOUL HAIRI 25
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

OpenVPN utilise des protocoles de chiffrement robustes pour sécuriser les données
transitant entre le client et le serveur. Cela empêche les tiers non autorisés d'intercepter et de lire les
informations échangées, ce qui renforce la confidentialité des communications.

b. Authentification forte :

OpenVPN prend en charge l'authentification à deux facteurs, ce qui signifie que les
utilisateurs doivent fournir à la fois un identifiant/mot de passe et un certificat numérique pour
établir une connexion au serveur. Cela renforce l'authentification et réduit le risque d'accès non
autorisé.

c. Accès restreint :

En utilisant OpenVPN, l'accès au serveur peut être restreint aux seuls utilisateurs autorisés
disposant des certificats appropriés. Cela permet de mettre en place une liste blanche d'utilisateurs
autorisés, ce qui renforce la sécurité en limitant l'accès aux seules personnes légitimes.

d. Contournement des pares-feux :

OpenVPN peut être configuré pour fonctionner sur des ports standard (comme le 443 pour
HTTPS), ce qui permet de contourner les restrictions imposées par le pare-feu et les filtres réseau.
Cela peut être utile pour accéder au serveur depuis des réseaux publics ou restreints.

e. Intégration avec d'autres mesures de sécurité :

OpenVPN peut être intégré avec d'autres mesures de sécurité telles que des politiques de
gestion des accès, des listes de contrôle d'accès (ACL) et des systèmes de détection d'intrusion pour
renforcer davantage la sécurité du serveur.
En mettant en place un VPN tel qu'OpenVPN, l’IUT peut renforcer la sécurité de ces
serveurs en réseau en offrant un canal sécurisé pour les communications, en renforçant
l'authentification des utilisateurs et en limitant l'accès aux seules personnes autorisées

OUMOUL HAIRI 26
Chapitre 2 : NOTION DE VPN ET ETUDE COMPARATIVE
DES SOLUTIONS
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Chapitre 2 : NOTION DE VPN ET ETUDE

COMPARATIVE DES SOLUTIONS
Cette partie est consacrée au réseau privé virtuel (VPN), les type de réseaux VPN, les
différentes topologies et architecture du réseau.

Les grandes sociétés et les groupements d'entreprises cherchent à pouvoir se connecter

à des sites distants et à communiquer avec leurs clients et partenaires de façon transparente et
sécurisée. Compte-tenu des difficultés liées au cout dans l’exemple de la mise en place d’un
DSL et la grande vulnérabilité de la connexion directe au travers d’internet il a été nécessaire
de penser à une solution qui pourrait pallier au problème d’interconnexion des sites tout en
assurant la sécurité et l’intégrité des données à un prix résolument bas. C’est ainsi qu’on a
créé le réseau privé virtuel (VPN) qui a pour tâche de permettre de connecter de façon
sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils
étaient sur le même réseau local. C'est dans cette vision que de nombreuses entreprises
l'utilisent afin de permettre à leurs utilisateurs de se connecter au réseau d'entreprise à distance
et hors lieu de travail.

1. Le réseau privé virtuel

Le réseau privé virtuel est un réseau crypté dans le réseau internet permettant à une
société dont les locaux sont géographiquement dispersés de communiquer et partager des
documents d’une façon complètement sécurisée, comme s’il n’y avait qu’un local avec un
réseau interne.

Le VPN est basé sur un protocole appelé protocole de tunnelisation (tunneling). Ce

protocole permet aux données de circuler d’un site à l’autre en étant sécurisées par des
algorithmes de cryptographie. Le terme « tunnel » est utilisé dans le sens où entre l’entrée et
la sortie du VPN, les données sont cryptées.

2. Topologie des vpn

Les VPN s'appuient principalement sur Internet comme support de transmission,
avec un protocole d'encapsulation et un protocole d'authentification, au niveau des
topologies, on retrouve des réseaux privés virtuels en étoile, maillé ou partiellement maillé.

OUMOUL HAIRI 27
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Figure 16 : VPN en étoile (FATOUMATA, 2021)

Dans cette topologie toutes les ressources sont centralisées au même endroit et c'est à
ce niveau qu'on retrouve le serveur d`accès distant ou serveur VPN, dans ce cas de figure tous
les employés du réseau s'identifient ou s'authentifient au niveau du serveur et pourront ainsi
accéder aux ressources qui se situent sur l'intranet.

Figure 17 : VPN maillé (FATOUMATA, 2021)

Dans cette autre topologie les routeurs ou passerelles présents aux extrémités de
chaque site seront considérés comme des serveurs d'accès distant, les ressources ici sont
décentralisées sur chacun des sites autrement dit les employés pourront accéder aux
informations présentes sur tous les réseaux.

3. les différents types de vpn

Parmi ces différents types on peut citer les :

➢ Le VPN d’accès

OUMOUL HAIRI 28
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

➢ Intranet VPN
➢ Extranet VPN

a. Le VPN d'accès
Le VPN d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder au
réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la connexion VPN. Il
existe deux cas

▪ L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers le
serveur distant : il communique avec le NAS du fournisseur d'accès et c'est le NAS qui établit
la connexion cryptée
▪ L'utilisateur possède son propre logiciel client pour le VPN auquel cas il établit directement la
communication de manière cryptée vers le réseau de l'entreprise.

Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :

▪ La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs
tunnels, mais nécessite un fournisseur d'accès proposant un NAS compatible avec la solution
VPN choisie par l'entreprise. De plus, la demande de connexion par le NAS n'est pas cryptée
Ce qui peut poser des problèmes de sécurité.
▪ Sur la deuxième méthode Ce problème disparaît puisque l'intégralité des informations sera
cryptée dès l'établissement de la connexion. Par contre, cette solution nécessite que chaque
client transporte avec lui le logiciel, lui permettant d'établir une communication cryptée.
Quelle que soit la méthode de connexion choisie, Ce type d'utilisation montre bien
l'importance dans le VPN d'avoir une authentification forte des utilisateurs.

Figure 18 : Architecture d’un VPN d’accès (FATOUMATA, 2021)

OUMOUL HAIRI 29
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

b. L'intranet VPN
Ce type de réseau est particulièrement utile au sein d'une entreprise possédant
plusieurs sites distants, l'intranet VPN est utilisé pour relier au moins deux intranets entre eux
toutes en garantissant la sécurité, la confidentialité et l'intégrité des données.

Un VPN permet aux utilisateurs éloignés de se connecter à un réseau. Dans ce cas,

on parle de l’intranet VPN car il s'agit aussi de connecter plusieurs clients distants à un site
de l'entreprise.
Certaines données très sensibles peuvent être amenées à transiter sur le VPN (base
de données clients, informations financières...). Des techniques de cryptographie sont mises
en œuvre pour vérifier que les données n'ont pas été altérées. Il s'agit d'une authentification
au niveau paquet pour assurer la validité des données, de l'identification de leur source ainsi
que leur non-répudiation. La plupart des algorithmes utilisés font appel à des signatures
numériques qui sont ajoutées aux paquets. La confidentialité des données est, elle aussi,
basée sur des algorithmes de cryptographie. La technologie en la matière est suffisamment
avancée pour permettre une sécurité quasi parfaite.

Généralement pour la confidentialité, le codage en lui-même pourra être moyen à

faible, mais sera combiné avec d'autres techniques comme l'encapsulation IP dans IP pour
assurer une sécurité raisonnable.

Figure 19 : Architecture d’un VPN intranet (FATOUMATA, 2021)

c. L'extranet VPN
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses
partenaires. Elle ouvre alors son réseau local à ces derniers. Dans Ce cadre, il est fondamental
que l'administrateur du VPN puisse tracer les clients sur le réseau et gérer les droits de chacun
sur celui-ci.

OUMOUL HAIRI 30
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Figure 20 : Architecture d’un VPN extranet (FATOUMATA, 2021)

Les utilisateurs externes n'ont pas accès à l’ensemble de l’Intranet, mais seulement à
certaines zones donc l’accès à l’Extranet est possible à partir de plusieurs endroits. L'accès
dans un extranet est limité à certaines informations qui sont différents par rapport aux groupes
et les rôles d'utilisateurs. Par exemple, les fournisseurs et les clients ont des droits d’accès
différents.

4. Les différentes architectures des VPN

a. VPN d’entreprise
Dans ce cas, l’entreprise garde le contrôle de l’établissement des VPN entre ses
différents points de présence ainsi qu’entre ses postes situés à l’extérieur de l’entreprise et les
sites principaux.

i. De poste à poste

Le VPN poste à poste présente comme intérêt majeur de protéger la conversation de

bout en bout. Il est donc particulièrement indiqué dans des contextes où le besoin de
confidentialité, y compris pour des conversations se déroulant sur un réseau local, est
primordial.

Il s’agit de mettre en relation deux serveurs. Le cas d’utilisation peut être le besoin de
synchronisation de base de données entre deux serveurs d’une entreprise disposant de chaque
côté d’un accès Internet. L’accès réseau complet n’est pas indispensable dans ce genre de
situation.

OUMOUL HAIRI 31
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Le poste à poste désigne également une conversation entre deux postes d’utilisateurs
que la connexion entre un poste de travail et un serveur. Généralement ce dernier cas est le
plus souvent utilisé.

En effet, il serait quand même difficile d’imaginer qu’un nombre important de postes
individuels puissent être concernés par des VPN poste à poste établis, la mise en place serait
compliquée à déployer d’un point de vue pratique. Nous pouvons également craindre que
l’utilisation de protocoles de VPN en maillage d’un nombre important de postes puisse avoir
un impact négatif sur les performances de ceux-ci ainsi que sur les besoins en matière
d’assistance aux utilisateurs finaux.

Une autre contrainte des VPN poste à poste est que les postes constituant les
extrémités doivent pouvoir se contacter plus ou moins directement.

Figure 21 : VPN de poste à poste (FATOUMATA, 2021)

 Avantages et inconvénients :
Le principal intérêt dans cette solution est que la conversation entre les deux postes est
parfaitement protégée de bout en bout.
Par contre, elle présente de nombreux inconvénients
➢ Un impact très important sur les performances en cas de fort débit puisque le cryptage est
uniquement logiciel.
➢ Quand les postes se situent sur des locaux sépares par internet il est nécessaire que les deux
extrémités puissent échanger leurs messages sur des protocoles et des ports qui doivent
autorisés par les firewalls situés sur chaque site, cela nécessite également des translations
d’adresses puisque les machines concernées sont rarement dotées d’adresses IP publiques et
cela n’est pas sans poser quelques problèmes.

➢ Ne peut être utilisé pour atteindre des matériels peu intelligents.

OUMOUL HAIRI 32
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

ii. De poste à site

Le VPN poste à site présente plusieurs atouts. Le premier est qu’il permet
potentiellement à n’importe quelle machine distante, qu’elle soit isolée ou sur un réseau, de
joindre une ou plusieurs machines d’un autre réseau en utilisant seulement les adresses
privées.

Il est donc utilisable pour joindre depuis un poste distant des ordinateurs mais aussi
pour atteindre des imprimantes, des fax, des webcams. Avec l’essor des cartes 3G et des
fonctions modem des téléphones portables, la demande est de plus en plus forte pour ce type
de service. Le nomadisme des individus qui peuvent être amenés à travailler à distance depuis
le train, l’hôtel, les locaux d’un client consolide également cette demande.

Figure 22 : VPN de poste à site (FATOUMATA, 2021)

• Avantages et inconvénients :
Parmi les avantages de cette solution, on trouve :
➢ L’accès du poste mobile peut se faire de n’importe quel point du monde avec un à accès
Internet.
➢ Assurer la transition des données entre le poste distant et le site central d’une façon sécurisée
grâce à l’authentification.
➢ L'avantage est que le côté de la connexion entre le poste et le pare-feu de l’entreprise est
chiffré. Par contre, celui entre le pare-feu et les postes du réseau local ne l’est pas puisque le
cryptage, côté site central, est assuré par le pare-feu.
Les inconvénients de cette configuration :
➢ Nécessite une installation logicielle sur le poste distant

OUMOUL HAIRI 33
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

➢ Le cryptage exige une charge au poste distant, cela peut dégrader les performances
➢ Le cryptage n’est pas assuré au-delà du firewall du site central.
iii. De site à site

En utilisant seulement les adresses privées, le VPN site à site assure potentiellement à
n’importe quelle machine d’un réseau de joindre celle d’un autre réseau. Il est donc utilisable
pour des imprimantes, des fax, des webcams. Le deuxième intérêt est que le travail de mise en
tunnel est effectué par les équipements d’extrémité les routeurs et/ou les firewalls, cela permet
de ne pas charger les postes de travail et d’utiliser éventuellement des composants
électroniques appliqués au cryptage par exemple, pour de meilleures performances.

Enfin ce type de VPN ne garantit pas la conversation de bout en bout puisque le flux
est seulement crypté entre les deux extrémités du tunnel (c’est-à-dire les routeurs ou les pare-
feu), ce qui peut nécessiter d’autres mesures si les échanges doivent être en continu ... [10]

Figure 23 : Exemple d’un VPN de site à site (FATOUMATA, 2021)

• Avantages et inconvénients :
Parmi les avantages fournis par cette configuration nous pouvons citer :
➢ Le cryptage est pris en charge par des processeurs spécialisés, pour de meilleures
performances.
➢ Une facilité notable pour le contrôle de trafic autorisé.

OUMOUL HAIRI 34
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

➢ Aucun impact sur les performances des postes puisqu’il n’assure pas le cryptage.
➢ La possibilité d’initier les VPN d’un côté ou de l’autre.

Ils existent quelques inconvénients :

➢ Aucune protection de données entre les postes et les firewalls puisque le tunnel n’est établi
qu’entre les deux firewalls.
➢ La connexion des VPN nécessite que les deux extrémités soient bien identifiées soit par une
adresse IP publique fixe, soit par un nom référencé dans des DNS officiels [11].

b. VPN Opérateur

Un réseau privé VPN (Virtual Private Network) est considéré comme virtuel si
partageant le réseau public d’ADD - ON TELECOM, il dispose de mécanismes garantissant
la communication uniquement entre les clients du VPN. Ces mécanismes utilisent un
identifiant unique permettant aux clients réseau disposant du même identifiant de dialoguer
entre eux.
Ce réseau privé est complètement sécurisé puisque les adresses IP publiques, support
des échanges de données, ne sont pas connues de l’Internet de manière générale.
Le VPN opérateur permet entre autres une diminution du temps de transit des
informations sur le réseau, le maintien d’un réseau haute disponibilité, la mise en œuvre de
QOS (Qualité Of Services) et la gestion souple des VPN, par simple adjonction d’un
équipement de routage supplémentaire (CPE).
Les différents supports de connectivité accessibles pour cette offre peuvent être :
➢ ADSL
➢ SDSL à débit garanti
➢ BLR (Boucle Local Radio) – si pearing ADD-ON TELECOM sur la zone
géographique concernée
➢ Fibre Optique – si pearing ADD-ON TELECOM sur la zone géographique
concernée.
L'offre se compose des éléments suivants :
• Un lien IP d’accès disposant des caractéristiques décrites précédemment,
• Un port d’accès et le transit VPN regroupant les ressources utilisées au sein de la dorsale IP
par la connexion VPN du site. Plus précisément, le port d’accès matérialise le port physique

OUMOUL HAIRI 35
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

sur lequel est raccordé le lien IP. Ces deux éléments, le port d’accès et le transit, sont
packagés en un seul et même élément : le port VPN.
• Un équipement d’accès spécifique suivant le lien IP choisi.
Les tarifs de l'offre VPN Opérateur sont en fonction de la zone d'éligibilité du site à équiper.

ETUDE COMPARATIVES DE SOLUTIONS VPN EXISTANT

Pour mener à bien cette étude nous allons analyser les fonctionnalités et les avantages
de chaque solution. Il existe plusieurs solutions VPN disponibles sur le marché, notamment
OpenVPN, IPSec, PPTP et L2TP/IPSec. Chacune de ces solutions à ses propres
caractéristiques et avantages.

1. Les caractéristiques à prendre en compte

Pour choisir la meilleure solution, nous devons prendre en compte plusieurs critères
tels que la sécurité, la facilité d'utilisation, la compatibilité avec les systèmes d'exploitation,
les performances et les coûts.

2. comparaison : cisco anyconnect, openvpn et ipsec

OpenVPN :
Coût : OpenVPN est une solution open source, ce qui signifie qu'elle est gratuite à
utiliser. Cependant, des coûts supplémentaires peuvent être nécessaires pour la configuration
et la maintenance du serveur VPN.
Facilité de mise en place : OpenVPN peut être facilement configuré et déployé sur
différents systèmes d'exploitation. Il offre également une grande flexibilité en termes de
configuration.

Cisco AnyConnect :
Coût : Cisco AnyConnect est une solution commerciale, ce qui signifie qu'elle
implique des frais de licence. Les coûts peuvent varier en fonction du nombre d'utilisateurs et
des fonctionnalités requises.
Facilité de mise en place : Cisco AnyConnect est généralement considéré comme
facile à déployer, notamment grâce à son interface conviviale et à sa documentation détaillée

IPsec VPN :

OUMOUL HAIRI 36
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Coût : IPsec VPN est une solution qui peut être implémentée en utilisant du matériel
réseau existant. Cela signifie qu'il n'y a pas de coût direct associé à l'achat de logiciels
supplémentaires. Cependant, l'infrastructure réseau existante peut nécessiter des
investissements supplémentaires.
Facilité de mise en place : La mise en place d'un VPN IPsec peut être plus complexe
que d'autres solutions, car elle nécessite une configuration précise au niveau du routeur.
Cependant, une fois configuré correctement, il peut fournir une connexion sécurisée et fiable.
Conclusion :
En analysant les coûts et la facilité de mise en place de chaque solution, il apparaît que
OpenVPN est la solution la moins coûteuse, car elle est gratuite à utiliser. De plus, sa facilité
de configuration et sa flexibilité en font une option intéressante. Cependant, Cisco
AnyConnect offre une interface conviviale et une documentation détaillée, ce qui facilite
grandement sa mise en place.

3. Etude comparative des différents protocoles

La solution VPN doit supporter les protocoles les plus utilisés sur les réseaux publics
en particulier IP. Les Protocoles de tunneling niveau 2 supportent plusieurs protocoles de
liaisons de données (Ethernet, PPP, FR, MPLS, etc.). Les Protocoles de tunneling niveau 3,
tels que IPSEC, supportent uniquement les couches cibles utilisant le protocole IP.

a. Les tunnels de niveau 2 (liaison de données)

• Protocoles : PPTP et L2TP
• PPTP (Point-to-Point Tunneling Protocol) a été développé par Microsoft, 3Com,
Ascend, US Robotics et ECI Telematics.

• L2TP (Layer Two Tunneling Protocol) est une évolution de PPTP et de L2F, reprenant
les avantages des deux protocoles.

• L2F (Layer Two Forwarding) développé par Cisco est remplacé par L2TP. • PPTP et
L2TP dépendent des fonctionnalités du protocole PPP (Point to Point Protocole).

b. Point-to-Point Tunneling Protocol (PPTP)

Le protocole PPTP (Point to Point Tunneling Protocol), est un protocole qui utilise une
connexion Point to Point Protocol à travers un réseau IP en créant un réseau privé virtuel
(VPN). Il est en même temps une solution très employée dans les produits VPN commerciaux

OUMOUL HAIRI 37
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

à cause de son intégration au sein des systèmes d'exploitation tels que Windows. Tout en étant
un protocole de niveau 2, Le PPTP permet aussi l'encryptage des données ainsi que leur
compression.

➢ Microsoft chiffrement MPPE (RC4 40 ou 128 bits) – Protocole réseau qui encapsule
des trames PPP dans des datagrammes IP.
➢ Compresse éventuellement les communications
➢ PPTP crée ainsi un tunnel de niveau 3 défini par le protocole GRE (Generic Routing
Encapsulation)
➢ Utilise les canaux de communication :

• Port TCP 1723

• Protocole IP 47 (GRE)

• Inconvénients :

➢ Faiblesse de l’authentification (attaques faciles par force brute)

➢ Mauvaise gestion des mots de passe dans les environnements mixtes Windows 95/NT,
➢ Identification des paquets non implémentée (vulnérabilité à la mascarade d’adresse),
➢ Protocole IP 47 (GRE) pas toujours traité par certains routeurs ce qui nécessite
d’ouvrir tout IP vers le serveur VPN.

• Avantages :

➢ Facile à installer sur Windows

➢ Utilise l’authentification Radius des Windows

• application :

➢ VPN d’accès (nomades à site)

c. Le protocole PPP
• Le protocole PPP (Point -to-Point Protocol) est un protocole qui permet de transférer des
données sur un lien synchrone ou asynchrone. Utilisé dans les liaisons d'accès au réseau
Internet ou sur une liaison entre deux routeurs. Son rôle est d'encapsuler un paquet IP pour le

OUMOUL HAIRI 38
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

transporter vers le nœud suivant et sa fonction consiste à indiquer le type des informations
transportées dans le champ de données de la trame.

➢ Il est full duplex et garantit l'ordre d'arrivée des paquets.

➢ Il encapsule les paquets IP, IPX et Netbeui dans des trames PPP, puis transmet ces
paquets encapsulés sur la liaison point à point.

d. L2TP
• L2TP (Layer Two Tunneling Protocol)

– Protocole réseau qui encapsule des trames PPP pour les envoyer sur des réseaux IP,
X25, relais de trames ou ATM. [12]

- Utilise le port UDP 1701

- Par défaut, utilise le protocole IPsec

Figure 24 : schéma réseau utilisée pour les protocoles (FATOUMATA, 2021)

Inconvénients :

➢ L2TP repose sur UDP lui-même repose sur IP. Au total, l'empilement total des
couches protocolaires est assez lourd : IP/PPP/L2TP/UDP/IP/Couche2,
➢ Si utilisé avec IPsec, authentification à la machine, pas d’authentification de
l’utilisateur => mettre en place Radius.
➢ Empilement des couches lorsque qu’un client surf sur le web.

OUMOUL HAIRI 39
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Figure 25 : Encapsulation PPP avec L2TP. (FATOUMATA, 2021)

• Avantages :

➢ Facile à installer sur les Windows

• Prérequis :

➢ Authentification Radius à mettre en place

• Application :

➢ VPN d’accès (nomades à site)

e. L2F :
• Protocole développé Cisco Systems (RFC 2341)

• L2F fournit un tunnel sécurisé entre utilisateurs distants et la passerelle VPN

➢ Authentification basée sur PPP / Chiffrement basé sur PPP

• Composants :

➢ Tunnel L2F entre l’ISP et le serveur d’accès distant,

➢ Connexion PPP entre le client et l’ISP, que l’ISP fait suivre au serveur d’accès
distant via le tunnel L2F

OUMOUL HAIRI 40
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Les VPNs sont très utilisés par les multinationales et les grandes sociétés. Le VPN
peut garantir la sécurité et la confidentialité des données, qui circulent de manière cryptée par
Internet afin que personne de malintentionné ne puisse intercepter les informations.

4. Solution adoptée pour l’implémentation

Pour notre implémentation nous avons opté pour le Protocole Open VPN qui est une
application informatique ouverte pour la mise en place de techniques de réseaux privés
virtuels (VPN, en anglais Virtual Private Network), avec des connexions sécurisées point-par-
point ou site-par-site, pour des configurations via routage ou pont, ainsi que pour les accès à
distance. Il exploite un protocole de sécurité sur mesure qui utilise SSL/TLS pour les
échanges clés. Un protocole Open VPN permet à des homologues de s’authentifier
mutuellement en utilisant une clé secrète pré-partagée, des certificats ou un nom d’utilisateur /
mot de passe. Lorsqu’il est utilisé dans une configuration multi client-serveur, il permet au
serveur de libérer un certificat d’authentification pour chaque client, en utilisant la signature
et l’autorité de certification. Ce système utilise en grande partie la base de cryptage OpenSSL,
ainsi que le protocole SSLv3/TLSv1 et contient de nombreuses fonctionnalités de sécurité et
de contrôle

OUMOUL HAIRI 41
CHAPITRE 3 : DEPLOIEMENT ET TEST
 Chapitre 3 : DEPLOIEMENT ET TEST
Dans cette partie nous allons mettre notre projet sur pied c’est-à-dire nous allons faire
une documentation détaillée de la méthode des outils ainsi que des résultats et des
perspectives d’avenir.
Tout d’abord ce projet vise à protéger une partie très sensible de notre réseau à savoir
la DMZ. C’est la zone dans laquelle nous retrouvons les serveurs ainsi que des données très
sensible de l’école à savoir les notes les dossier scolaire les unités ainsi que la programmation.
Pour mener à bien notre projet nous devons configurer notre VPN sur pfsense en
exporter les config et enfin de réécrire les règles de pare-feu afin de limiter et sécuriser au
mieux les accès depuis l’extérieur c’est-à-dire hors de réseau local de nos serveurs.

1. Schéma d’architecture
La structure du réseau est assez simple car il est constitué de trois zone à savoir un
réseau local une zone intermédiaire DMZ et enfin de l’internet qui constitue le WAN dans
cette situation.
Les point de configuration de notre mise en place sont entre autres le pare-feu sur
pfsense et le terminal de notre utilisateur.

Figure 26 : nouvelle architecture du réseau de l’IUT

 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

2. le matériel nécessaire a la mise en place

Pour mener à bien notre travail nous aurons besoins de éléments suivants à savoir :
 Ressources matérielles
 Les serveurs
 Les écrans
 Un clavier
 Des souris
 Ressource logicielle
 Un système FreeBSD
 Un navigateur web
 Un système Windows

3. Méthode de réalisation
Dans cette partie nous présentons les différentes étapes de la configuration de VPN.

a. Création de l’autorité de certification

Dans l’onglet certificat d’autorité system « Cas » cliquer sur ajouter « + » afin de créer
une nouvelle autorité de certification. Nous allons remplir le formulaire c’est dessus en
choisissant la méthode « create an internal certificat » pour crée une autorité de certificat
interne.

 Nom descriptif : Le nom d'affichage de l'autorité de certification. Ce nom est utilisé

pour identifier l'autorité de certification dans l'interface graphique de pfSense.
 Méthode : Détermine la méthode utilisée pour créer l'autorité de certification. Deux
options sont disponibles :
 Importer une autorité de certification existante : Cette option vous permet
d'importer une autorité de certification existante en collant son certificat au format
PEM X.509 dans le champ "Données du certificat".
 Créer une nouvelle autorité de certification : Cette option vous permet de créer
une nouvelle autorité de certification en générant une nouvelle paire de clés et en
spécifiant les informations requises.
 Trust Store : Détermine si l'autorité de certification doit être ajoutée au Trust Store du
système d'exploitation. Lorsque cette option est activée, les certificats signés par cette
autorité de certification seront considérés comme fiables par le système d'exploitation.

OUMOUL HAIRI 43
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

 Randomize Serial : Détermine si les numéros de série des certificats signés par cette
autorité de certification doivent être randomisés. Lorsque cette option est activée, les
numéros de série seront générés aléatoirement pour éviter les conflits.
 Next Certificate Serial : Spécifie le numéro de série suivant à utiliser pour les
certificats signés par cette autorité de certification. Ce champ est ignoré si l'option
"Randomize Serial" est activée.

AUTORITE DE CERTIFICATION CREER

OUMOUL HAIRI 44
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

b. Creation d’un utilisateur et de son certificat

A partir de l’onglet « système » en clic sur « user manager» en suite « user » et en fin « Add
» pour ajouter un utilisateur autorisé à se connecter au VPN, celui-ci possédera son propre
certificat qui sera généré lors de la création de l’utilisateur.
On remplit le formulaire et on clique sur « Save ».

UTILISATEUR VPN CREER

OUMOUL HAIRI 45
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

FORMULAIRE DE CREATION D’UN UTILISATEUR LOCAL

OUMOUL HAIRI 46
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

LE CERTIFICAT CLIENT : Il peut être générer automatiquement avec la création du client.

c. Création du serveur VPN et de son certificat

Les éléments à prendre en compte lors de la configuration sont entre autres :
 L’interface réseau qui est le WAN
 Le type de protocole de transmission (UDP), ainsi
 Le numéro du port (qui est le 1194 par défaut)
 Les algorithmes de cryptographie
 L’adresse du réseau virtuel qu’on souhaite créer
 L’adresse du réseau local qui devra être accessible depuis notre internet au travers de
notre réseau virtuel
 Le nombre maximum de connexion
 La topologie du réseau si l’on souhaite avoir des communications entre les clients
connecte

OUMOUL HAIRI 47
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

SERVEUR VPN CONFIGURER SUR PFSENSE

d. Installation de l’installeur de paquet

les paquets comme l’installateur de paquets et le paquet pour l’exportation du client ne
sont pas préinstallés

L’INSTALLATION DES PAQUETS OPENVPN

OUMOUL HAIRI 48
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

e. Création des règles du firewall

Pour l’activation des pares-feux par défaut, il faut cocher les cases pour Firewall rule
et OpenVPN rule

CREATION DES REGLES DE FIREWALL OPENVPN

OUMOUL HAIRI 49
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

4. Test de la configuration

a. Exporter la configuration du client vpn

b. Journal du log

c. Connexion effective à travers la configuration

TESTER L’ACCES DISTANT DEPUIS UN PC

OUMOUL HAIRI 50
CONCLUSION
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Le secteur des technologies de l'information étant en constante mutation, le présent

travail fait état des résultats obtenus lors de la mise en place d'un réseau VPN d’accès. Nous
avons en effet grâce à cette nouvelle technologie permis à un utilisateur l’accès à distance vers
un réseau privé afin de partager de façon protégés leurs données via les protocoles de sécurité
qui sont les principaux outils permettant d'implémenter le VPN, ce partage était possible en
interne pour les utilisateurs du réseau local de l'entreprise, mais aussi en externe pour les
utilisateurs dit « distants » situés en dehors du réseau local. En effet, la mise en place de VPN
permet aux réseaux privés de s'étendre et de se relier entre eux au travers d'internet. Cette
solution mise en place est une politique de réduction des coûts liés à l'infrastructure réseau des
entreprises. Il en ressort que la technologie VPN basée sur le protocole de sécurité comme
IPSec et OpenVPN est l'un des facteurs clés du succès qui évolue et ne doit pas aller en marge
des infrastructures réseaux sécurisés et du système d'information qui progressent de façon
exponentielle. Ce travail nous a permis d’acquérir et d’enrichir nos connaissances et nos
compétences dans de nombreux domaines, il nous a initié au monde de la recherche sur les
réseaux surtout ce qui concerne leur sécurisation.
Nous nous sommes initiées à la ritualisation ainsi que la mise en place des réseaux
VPN et la configuration de ses protocoles. Parvenu au terme de ce long ce jour en entreprise
ou nous avions été appelés à mettre en place un VPN pour l'accès VPN au sein du LAN de
l’IUT il ressort que notre projet n’a pas été un chemin tranquille tant sur le point ressource
matérielle que logiciel néanmoins nous avons pu mener à bien ce projet qui en fin de compte
pourra être déployer dans la structure.
Ce projet pourra être améliorer en l’intégrant au différent matériel des enseignant sur
place il serais aussi utile de pouvoir rendre l’utilisation du VPN moins contraignant en
supprimant certaines configurations comme de posséder un fichier de configuration on pourra
le faciliter en rendant la configuration à travers les adresses macs par exemple. La connexion
du réseau est très limitée et la mise en place d’un tunnel VPN devra forcement faire appel
débit du réseau déjà très faible du LAN IUT il serait donc question de voir comment
augmenter la bande passante du réseau qui est vraiment déplorable.

OUMOUL HAIRI 51
 MISE EN PLACE D’UN ACCES VPN AU SEIN DU LAN DE L’IUT

Bibliographie
Archier, J. p. (2011). Les VPN Fonctionnement, mise en œuvre et maintenance (2ième
édition) Informatique Technique. .
FATOUMATA, D. (2021). Configuration et mise en place de réseaux VPN. UNIVERSITÉ
BADJI MOKHTAR - ANNABA.
Franck, D. (2018). MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE
ENTREPRISE: CAS DE LA SOROUBAT. ABIDJAN: UNIVERSITE FRANCAISE
D'ABIDJAN ECOLE SUPERIEURE DE GENIE INFORMATIQUE ITE
FRANCAISE D’ABIDJAN.
MAYELE, J. N. (2016). Déploiement d'un cœur de réseau IP/MPLS", Licence en génie
informatique. Kinshasa: Université de Kinshasa.
RADJIL, H.-O. (2023). AUDIT DU SYSTEME DE SECURITE DE L’IUT. Ngaoundéré:
L’Institut Universitaire de Technologie (IUT) de Ngaoundéré.
Tinhinan, R. (2017). Etude et mise en place d'un réseau VPN. UNIVERSITE MOULOUD
MAMMERI DE TIZI OUZOU.

OUMOUL HAIRI 52