Université Hassan I –Settat

Faculté Des Sciences Et Techniques

Master Sciences et Techniques
Réseaux et Systèmes Informatiques

Thème

Contrôle d’accès au réseau (NAC) avec la solution

PacketFence

Réalisé par
AAMAR Ghizlan

Membres du jury
Mr. NASSEREDDINE Bouchaib

Année Universitaire : 2020-2021

 Résumé
La sécurité informatique est un sujet ancien et abondamment traité, qu’elle concerne
l’accès à l’internet, avec l’études des flux (les Pares-feux, la supervision, la détections
d’intrusions …), ou la sécurisation des postes de travail et des serveurs.
Depuis quelques années, un nouvel acronyme est apparu « NAC » à l’abréviation de «
Network Access Control » traduit par « Contrôle d’accès au réseau ». Ni une technologie, ni
une architecture, le NAC est plus prêt d’un concept.
Le NAC est censé mettre en œuvre la politique de sécurité d’une entreprise concernant
aussi bien, l’identification et l’authentification des usagers (Personnes ou Matériel), que
l’évaluation du niveau de sécurité de ses usagers (avant, lors et après la connexion), ces
informations étant utilisées pour accorder ou non l’accès aux ressources informatiques de
l’entreprise. Basée sur un bilan technologique, une description de différentes solutions
disponibles et la prise en compte des contraintes existantes.
Pour des raisons techniques, liées aux équipements réseau, le niveau de sécurisation
obtenu ne répond actuellement pas à la politique de sécurité souhaitée par l’entreprise, le
renouvellement de ces équipements permettra d’évaluer vers un contrôle d’accès au réseau plus
efficace.
 Glossaire
NAC : Network Access Control
NAT : Network Address Translation
PIN : Personal Identification Number
 Listes des figures
Figure 1 : Diagramme de Gantt ............................................................................................. 11
Figure 2 : Topologie réseau utilisée pour NAC ..................................................................... 23
Figure 3 : Configuration de l’adresse de l’interface du routeur vers l’internet ....................... 23
Figure 4 : Test de connexion ................................................................................................. 24
Figure 5 : Configuration de l’adresse de l’interface du routeur vers le réseau interne ............ 24
Figure 6 : Création du plage DHCP ...................................................................................... 24
Figure 7 : Implémentation du NAT et de l’ACL.................................................................... 24
Figure 8 : Configurer les interfaces en mode Accès .............................................................. 24
Figure 9 : Configurer les interfaces dans ces modes appropriés .............................................25
Figure 10 : Importer PacketFence VM .................................................................................. 25
Figure 11 : Paramétrage de la VM hébergeant PacketFence ................................................. 26
Figure 12 : Démarrage du PacketFence ZEN ....................................................................... 26
Figure 13 : Accès à l’interface de gestion.............................................................................. 27
Figure 14 : Etape 1 => Configuration des réseaux ................................................................. 28
Figure 15 : Etape 1 => Configuration des réseaux ................................................................. 28
Figure 16 : Etape 1 => Configuration des réseaux ................................................................. 29
Figure 17 : Etape 2 => Configuration du Packetfence (serveur MYSQL) .............................. 29
Figure 18 : Etape 2 => Configuration du serveur (alertes) ..................................................... 30
Figure 19 : Etape 2 => Configuration du serveur (compte administrateur) ............................ 30
Figure 20 : Etape 3 => Embarquement Fingerbank ............................................................... 31
Figure 21 : Etape 4 => Confirmation .................................................................................... 31
Figure 22 : Ecran d’authentification ...................................................................................... 32
Figure 23 : Tableau de bord .................................................................................................. 32
Figure 24 : Profil par défaut de connexion ............................................................................ 33
Figure 25 : Profil de connexion............................................................................................. 33
Figure 26 : Création du compte utilisateur ............................................................................ 34
Figure 27 : Actions du Compte utilisateur .............................................................................35
Figure 28 : Compte d’utilisateur ........................................................................................... 35
Figure 29 : Configuration d’interface réseau sur la machine d’utilisateur .............................. 36
Figure 30 : Connexion à l’internet ........................................................................................ 36
Figure 31 : Méthodes d’authentification................................................................................ 37
Figure 32 : Acceptation des termes ....................................................................................... 37
Figure 33 : Connexion avec Login et mot de passe ............................................................... 38
Figure 34 : Accès autorisé .................................................................................................... 38
Figure 35 : Vérification ........................................................................................................ 39
Figure 36 : Méthode d’authentification pour les invités ......................................................... 39
Figure 37 : SMS-based registration ....................................................................................... 40
Figure 38 : Demande du PIN ................................................................................................ 40
Figure 39 : Insertion du PIN ................................................................................................. 41
Figure 40 : Accès autorisé .................................................................................................... 41
Figure 41 : Vérification ........................................................................................................ 42
Figure 42 : Création d'email sponsor ..................................................................................... 42
Figure 43 : Définition des actions ......................................................................................... 43
Figure 44 : Compte email sponsor ........................................................................................ 43
Figure 45 : Connexion avec sponsor based registration ......................................................... 44
Figure 46 : Accès autorisé .................................................................................................... 44

Listes des tableaux

Tableau 1 : Etude comparative des solutions NAC................................................................ 20
 Table des matières
Introduction générale ..............................................................................................................9
Chapitre 1 : Contexte général du projet .............................................................................10
I. Introduction :..........................................................................................................10
II. Présentation du projet : ........................................................................................... 10
1. Problématique : ................................................................................................... 10
2. Objectifs : ...........................................................................................................10
3. Planification du projet : ....................................................................................... 11
III. Conclusion : ........................................................................................................ 11
Chapitre 2 : Contrôleurs d’accès aux réseaux .................................................................... 12
I. Introduction :..........................................................................................................12
II. Principe du NAC : .................................................................................................. 12
1. Les actions du contrôle d’accès au réseau :.......................................................... 12
2. Les composants d’une architecture NAC :........................................................... 13
III. Conclusion : ........................................................................................................ 17
Chapitre 3 : Comparaison des solutions .............................................................................18
I. Introduction :..........................................................................................................18
II. Solutions commerciales du NAC : ..........................................................................18
III. Solutions libres du NAC : ................................................................................... 19
IV. Etude comparative et choix de solution : ............................................................. 20
V. Conclusion .............................................................................................................21
Chapitre 4 : Mise en place de PacketFence ........................................................................ 22
I. Introduction :..........................................................................................................22
II. Préparation de l’environnement de travail :............................................................. 22
III. Mise en place de la solution PacketFence : .......................................................... 22
1. Topologie utilisée : ............................................................................................. 22
2. Configuration :.................................................................................................... 23
a. Routeur : ......................................................................................................... 23
b. Les commutateurs : ......................................................................................... 24
c. Installation du PacketFence : ...........................................................................25
IV. Configuration du Serveur PacketFence :.............................................................. 26
1. Configuration du réseau : .................................................................................... 27
2. Configuration du serveur PacketFence : .............................................................. 29
 3. Fingerbank :........................................................................................................ 30
4. Confirmation : .................................................................................................... 31
V. Conclusion : ...........................................................................................................33
Chapitre 5 : Test et vérification ......................................................................................... 34
I. Introduction :..........................................................................................................34
II. Procédure de création des comptes utilisateurs :...................................................... 34
III. Test de s’authentifier au réseau avec un compte utilisateur : ................................ 36
IV. Test de s’authentifier avec un compte invité : ...................................................... 39
1. SMS-based registration : ..................................................................................... 39
2. Sponsor-based registration : ................................................................................ 42
V. Conclusion : ...........................................................................................................44
Conclusion générale et perspectives ...................................................................................... 45
 Introduction générale
Dans un contexte de connectivité croissante des réseaux informatiques de l’entreprise
(internationalisation des échanges, ouverture du système d’information vers les clients, les
partenaires et les fournisseurs), la sécurisation des systèmes d’informations est devenue un
enjeu majeur. La sécurité a pour objectif d’assurer la disponibilité des services, la
confidentialité et l’intégrité des échanges et des données sensibles telles que les bases de
données clients, les informations financières, les plans marketing ou encore les projets de
recherche et développement.

De nombreux mécanismes ont été développés pour assurer la sécurité des systèmes
d’information tels que les pares-feux et les antis virus. Mais malheureusement, ces mécanismes
présentent des limitations et ne suffit plus. De ce fait, les informations échangées doivent donc
faire l’objet d’une protection globale et cohérente couvrant l’ensemble du système
d’information de l’entreprise : réseau local, accès Internet, bases de données, applications...

Face à ces enjeux, le service informatique mène une réflexion globale et exhaustive pour
élaborer, déployer et opérer des services de sécurité open source adaptés à ses besoins.

Notre travail s’intéresse donc à l’amélioration de la sécurité du réseau informatique de

ce service par la mise en place d’un outil intéressant dans le domaine de sécurité : un système
de contrôle d’accès réseau (Network Access Control : NAC). Le NAC est une méthode
informatique permettant de soumettre l’accès à un réseau d’entreprise à un protocole
d’identification de l’utilisateur et au respect par la machine de cet utilisateur des restrictions
d’usage définies pour ce réseau.

La mise en place d’un tel système est totalement basée sur des outils open source.

Cette mémoire a pour objet mise en place et configuration de PacketFence pour

contrôler l’accès à internet.

9
 Chapitre 1 : Contexte général du projet

I. Introduction :
Dans ce premier chapitre on va présenter la problématique de sécurité dans les
Entreprises pour la gestion des accès, et les objectives qu’on doit atteindre pour résoudre avec
une planification organisée de temps au cours de deux mois avec le planificateur de Gantt.

II. Présentation du projet :

1. Problématique :

La sécurité est une difficulté que l'on doit surmonter pour la gestion du réseau des
Entreprises et pour tous les fonctionnaires, aussi pour les invités et les stagiaires (notamment
pour leurs différents services attendus et manipulations : accès Web, la téléphonie sur IP, ...).

Donc il compte sur la mise en place des politiques de sécurité, telles que la gestion des
accès, pour affirmer la probité des données ou ressources critiques de l'entreprise.

Le réseau de l'entreprise est exposé à des risques : perte d'informations, pannes, attaques,
en tant que pièce principale du système d'information, le réseau doit être abrité. La sécurité du
réseau se consiste dans la sécurisation extensive du système d'information d'une entreprise.
Justement, elle consiste à respecter des méthodes, au niveau humain, technique aussi
organisationnel.

Le système d'information est un ensemble organisé des données et des ressources «

matérielles et logicielles » de l'organisme permettant de les acquérir, les traiter, les stocker ou
de les faire circuler. Il représente une propriété absolue de l'entreprise, qu'il nécessaire de
protéger.

La cible est de mettre une solution permettant de maintenir le réseau de l'entreprise et

de se garantir contre tous les types de risques qui peuvent influencer sur ses performances.

2. Objectifs :
Les solutions de sécurité doivent concourir à remplir au moins les critères suivants :
disponibilité, intégrité, confidentialité, authentification et non répudiation.

10
 Ce projet vise à la mise en place d’un outil qui contrôle l'accès au réseau (NAC :
Network Access Controller) s’appuyant exclusivement sur des outils issus du monde de l’open
source.

Ce contrôleur d’accès au réseau nous permettra :

o L’identification et l'authentification des usagers;

o L’estimation du niveau de sécurité des systèmes d’extimités;

o La gestion des invités ;

o Le contrôle de l'activité;

o La détection d'intrusion ;

3. Planification du projet :
L’organisation et le suivi de l’avancement du travail effectué durant ce projet sont
élucidés par le diagramme de Gant comme suit :

Figure 1 : Diagramme de Gantt

III. Conclusion :
Nous avons essayé dans ce chapitre de présenter la problématique concernant la sécurité
du réseau et comment on peut l’écraser avec l’application des 5 critères de sécurité
informatique, et on se finir le chapitre avec la planification proposée.

11
 Chapitre 2 : Contrôleurs d’accès aux réseaux

I. Introduction :
L’idée générale du contrôle d’accès est que les équipements dangereux ou en mauvaise
santé ne doivent pas communiquer sur le réseau de l’entreprise, Dans la mesure où ils peuvent
créer des risques de sécurité pour les données ou les ressources critiques.

La solution NAC vient d’empêcher ces équipements d’accéder normalement au réseau

tant que son intégrité n’est pas en bonne état.

Dans ce chapitre, nous présentons le principe du fonctionnement des contrôleurs d’accès

au réseau. Puis, nous détaillons son architecture.

II. Principe du NAC :

Le contrôle d’accès au réseau est plus prêt d’un concept, d’une solution concernant les
actions d’authentification, de vérification d’intégrité, d’isolement et de mise en conformité des
postes de travail.

Supposément aujourd’hui répondre à la mise en œuvre de l’ensemble de la politique de

sécurité d’une entité relatif à l’accès à ses ressources. On l’associe des rôles aussi divers que la
détection des intrusions. Il est supposé de répondre à la mise en œuvre de certaines parties de
la politique de sécurité concernant l’accès au réseau local (Filaire, Sans-fil ou VPN).

Principalement le contrôle d’accès réseau doit répondre à ces 5 actions :

o Identification et authentification des équipements et des utilisateurs ;

o Evaluation de niveau de sécurité des systèmes de connexion ;

o Une gestion des invités ;

o Un contrôle des activités ;

o Une détection d’intrusion ;

1. Les actions du contrôle d’accès au réseau :

Identification et authentification des utilisateurs :

12
 Ils sont à la base du NAC. Connaître l’identité des entités qui veulent accéder aux
ressources et de pouvoir vérifier ces conformités permet la composition des règles d’accès
déterminés lors de la construction de la politique de sécurité.

Evaluation de niveau de sécurité des systèmes de connexion :

Le nécessaire d’évaluer les systèmes qui veulent accéder à des ressources s’est
renouvelé avec l’augmentation de leur mobilité et de leur diversité. Ces systèmes peuvent être
à la fois la source d’attaque utilisant le réseau et les cibles de ces attaques. Il est donc apparu
essentiel de récupérer un suprême d’informations sur ces systèmes pour déterminer du politique
à leur définir.

Gestion des invités (Isolement et mise en conformité) :

Quand la décision de prévenir l’accès à la ressource réseau demandée a été fait, il est
nécessaire de mettre en place un dispositif pour faire respecter et appliquer cette interdiction et
la mise en conformité du système d’extrémité par rapport aux règles. Cela concerne d’informer
des motifs de sa mise à l’écart et des actions à mener pour respecter la politique de sécurité.

Contrôle des activités :

Un contrôle permanent des activités du système connecté est utile pour pouvoir s’assurer
du respect de la politique de sécurité. En cas d’infraction aux règles, il est intéressant de pouvoir
réagir en modifiant les accès aux ressources et en informer le gestionnaire du système.

Inventaire :
L’inventaire est un rôle apparenté au NAC, puisque c’est en s’appuyant sur les
informations collectées qu’il est possible d’obtenir un état des lieux du parc informatique
(histoire ou temps réel). Cet inventaire peut être effectué sur les matériels physiques, mais peut
aussi s’étendre jusqu’aux des logiciels utilisés.

2. Les composants d’une architecture NAC :

Le système d’extrémité :
Parmi ces composants (PC, imprimantes, téléphones, etc…), les informations
d’authentification et de compatibilité, à la fois dans la demande de connexion et de manière
symétrique, ont dû être récupérées lors de la connexion.

Identification et authentification
Afin de connaître l'identité d'une entité (personne, ordinateur …) et, dans certains cas,
valider l'authenticité de cette identification, plusieurs méthodes sont disponibles.

13
 ❖ Utilisation de l’adresse MAC :
La seule méthode utilisable est l'adresse MAC des systèmes d’extrémités. Il est très
facile à mettre en œuvre, par exemple à travers des requêtes DHCP. Il exige pourtant la mise
en place d’une base renseignée de toutes les adresses MAC autorisées à se connecter sur le
réseau.

Cette méthode ne protège pas de l’usurpation d’identité, en truquant son adresse MAC
un utilisateur pourrait incarner une imprimante. Quelque technique de prise d'empreinte du
système d'exploitation peut fixer ce problème par l'association et la vérification de ces
informations qu'ils sont liées aux adresses MAC de la base.

❖ Portail Web :
Ici c'est l'authentification des usagers depuis une page web sécurisée (https), comme les
« portails captifs » qu'ils ont la priorité d'être facile et accessible à tous les utilisateurs qui
possèdent un navigateur web.

Cependant cette solution n'est pas envisageable pour les autres systèmes d'extrémités
par exemple les imprimantes.

❖ 802.1X :
Le standard 802.1X (Port Based Network Access Control) est un mécanisme
d’authentification utilisé à l'instant d'accès au réseau. Il est basé sur le protocole EAP, son
principe appuyer sur des échanges sécurisés entre le « suppliant » (l’utilisateur et sa machine),
« Authenticator » (le point d’accès sans-fil, le commutateur, ...) et « authentication server ».

Le commutateur ouvrira l’accès au réseau, si l'identité de l’utilisateur (ou de la machine)

est validée (il se peut que le serveur d'authentification transmette le VLAN de l'utilisateur).

Conformité :
Tant que la cible est de reprendre des informations sur l’état du système d’extrémité
alors il y'a deux possibilités que l'on peut anticiper, avec un agent embarqué sur le poste d'usager
ou sans agent.

Avec agents, il est très nécessaire de prendre en compte la durée d’exécution, la charge
CPU, le niveau de sécurité des échanges agent/serveur et la méthode de déploiement de ces
agents.

14
 Sans agent, le temps d’exécution peut être très long, ce qui peut forcer à évaluer la
conformité après la connexion.

❖ Agent permanent :
L’agent permanent est préinstallé ou chargé lors de la première connexion. Cet agent a
pour rôle de récupérer des informations sur l’état du système d’extrémité (version système,
correctifs de sécurité, logiciels installés, présence d’anti-virus, de pare-feu, processus actifs,
état des services, etc.…). Il doit fournir ces informations au système d’évaluation au moment
de la connexion mais aussi sur demande (permettant une réévaluation régulière).

En général ces agents sont dits « lourds » car les processus démarrés pour récupérer les
informations du système d’extrémité ont un coût CPU non négligeable. L’installation de ces
agents nécessite des droits administrateurs sur la machine. Le déploiement généralisé sur les
postes peut se faire par différentes techniques SMS (Systems Management Server, Microsoft),
Web, etc

❖ Agent temporaire :
L’agent temporaire est chargé sur le système d’extrémité à chaque tentative de
connexion, techniquement cela est fait soit à base d’applet Java, d’ActiveX ou bien par le
téléchargement d’un exécutable (ne nécessitant pas de droits administrateur). Son utilisation se
fait, la plupart du temps, dans le cadre d’accès de type portail captif ou d’accès de type VPN.

Le positionnement du système d’évaluation fournissant l’agent est important. En

coupure sur le réseau, les systèmes d’extrémité ont déjà accès à un réseau et peuvent
communiquer entre eux contrairement à un positionnement au niveau du port physique de la
connexion (port de commutateur de bordure).

Le système d’évaluation :
Le système d'évaluation est absolument nécessaire pour la politique de sécurité de
l'organisme.

À partir des informations collectées à propos de système d’extrémité, des informations

sur la méthode d’accès (sans-fil, VPN, réseau filaire), toutefois aussi à l’aide d’informations
sur l'endroit où l'instant de la demande d’accès, le système d’évaluation va destiner d’un
contexte de connexion pertinent avec la politique de sécurité.

15
 Un exemple simple de système d’évaluation serait l’utilisation des adresses MAC des
systèmes d’extrémité pour déterminer leur réseau local virtuel "VLAN" d’appartenance, si
l’adresse MAC est non déterminé, le choix de mise en quarantaine serait appliqué.

La complexité du système d’évaluation s'arrêtera sur le nombre d’informations obtenue

sur les systèmes d’extrémité et la complexité de la politique d’accès à configurer.

Ce système doit être compétent de répéter l’évaluation de manière symétrique, toute la

durée de la connexion, autorisant ainsi de se garantir contre une modification d’état du système
d’extrémité.

Le système de contrainte :
Le système de contrainte doit permettre de faire respecter l'environnement réseau
spécifié par le système d'évaluation. Dans l'infrastructure "out-of-band" et le réseau commuté,
la solution la plus simple et la plus efficace compter sur placer le système d'extrémité dans un
VLAN sélectionné par le système d'évaluation. Est-ce qu'un serveur Radius sera utilisé pour
jouer ce rôle.

Le système de mise en conformité :

Lorsque le système d’extrémité n'est pas compatible avec la politique d’accès (pas
d’antivirus, absence de correctifs de sécurité, échec de l’authentification, etc..), Il est nécessaire
d'anticiper un contexte de réseau où le système peut devenir compatible (possibilité de
télécharger un anti-virus, mise à jour système, une base de signature à jour, demande de compte
d’accès). Cette action de mise en conformité est tantôt appelée « remédiation ».

La technique la plus couramment utilisée consiste à utiliser un VLAN spécifique pour

rediriger le trafic vers un portail Web restreint qui doit guider l'utilisateur en conformité. Nous
pouvons alors faire face à quelques difficultés :

o Gérer les matériels sans navigateur Web (imprimante) ;

o Habituer l’utilisateur à ouvrir son navigateur en cas de soucis, même s’il ne

souhaitait qu’utiliser son client de messagerie par exemple ;

o Personnaliser la page Web en fonction du problème spécifique ;

En plus de ces difficultés, un problème de sécurité est généré en positionnant dans le

même réseau des machines potentiellement fragiles. En premier lieu, il y a un risque de

16
perversion mutuelle, en deuxième lieu, un attaquant peut utiliser ce réseau pour trouver des
machines vulnérables…

III. Conclusion :
Au cours de ce chapitre, nous avons abordé les différents aspects liés au contrôle d’accès
réseau (NAC). Dans le chapitre suivant, nous allons détailler les solutions NAC existantes.

17
 Chapitre 3 : Comparaison des solutions

I. Introduction :
Après avoir présenté dans le premier chapitre les principes du contrôle d’accès réseau,
nous allons détailler dans ce chapitre les solutions NAC existantes. En particulier, nous
présenterons les solutions commerciales ainsi que les solutions libres ou Open Source. Nous
finirons ce chapitre par une comparaison des solutions libres.

II. Solutions commerciales du NAC :

Les trois principaux partenaires commerciaux de NAC sont Microsoft, Cisco et Juniper.
Il existe plusieurs solutions sur le marché, nous citons ci-dessous quelques exemples.

❖ Cisco System (NAC) :

Cisco Network Access Control permet la réduction des dommages causés par les virus,
le principal avantage de Cisco existe dans IOS.

Grâce à Cisco, la société peur offrir aux terminaux des « serveurs et station de travail »,
un accès réseau qui respecte strictement les politiques de sécurité en place.

Cisco met en scène 3 composants nécessaires :

o Un serveur d’accès au réseau qui est responsable de la politique de sécurité

réseau du système de contrôle d’accès sécurisé Cisco « ACS ».

o Un protocole de surveillance dans le point d’accès au réseau.

o Un agent de confiance sur la station utilisateur et cela signifie une petite

application.

❖ Microsoft : Network Access Protection :

Le NAP est efficace mais il est compatible qu’avec les versions anciennes, par exemple
il n’est pas compatible avec Windows Server 2012 et 2016 et parmi ces composants :

o NPS (Network Policy Server): c’est un serveur RADIUS.

o Le validateur d’intégrité du système (SHV) permet la communication avec les

agents d’intégrité du système SHA pour évaluer le système d’extrémité.

18
 o Serveur RDP (Policy Decision Point) : Ce paramètre détermine la politique de
sécurité pour chaque périphérique.

Du coté client, un agent NAP fournit un récapitulatif d’intégrité du poste de travail.

❖ NetClarity NACWalls :
Les outils NetClarity NACWalls sont très efficaces car ils offrent une évaluation des
systèmes d'extrémité. Et cela implique la conformité aux politiques de sécurité en empêchant
les tentatives malveillantes d'accéder au réseau.

Les appareils "NACwalls" peuvent faire :

o L’augmentation de la qualité de l'audit ;

o L’Augmentation des rapports de conformité ;

o La réduction du temps, les efforts ainsi les dépenses à cet égard ;

En outre, ils fournissent un contrôle d'accès réseau interne en temps réel avec des
téléphones mobiles ou des e-mails.

❖ MCAféé NAC :
McAfee NAC protège les entreprises contre les risques en contrôlant l'accès à leurs
réseaux par les employés, les clients et les sous-traitants, à tout moment et en tout temps.
McAfee NAC apporte :

o Un accès uniquement aux périphériques sans infection ;

o Une gestion et respect des règles de sécurité avec McAfee Policy Enforcer ;

III. Solutions libres du NAC :

Il existe plusieurs solutions gratuites de NAC. Nous montrons juste quelques-unes.

❖ PacketFence :
PacketFence permet de sécuriser le réseau car il supervise si les ordinateurs sont
connectés au réseau, lors de la connexion des machines avec un câble réseau ou sans fil.

❖ FreeNAC :
Projet actif, c’est un gestionnaire simplifié de VLAN, il prend en charge le protocole
VMPS, il fait le contrôle d’accès réseau et il a un outil d’inventaire. Il utilise 802.1X pour
interagir avec un serveur RADIUS. Il n’y a pas une partie d’évaluation.

19
 ❖ NetPass :
Le projet est inactif, les systèmes finaux par défaut sont placés dans le VLAN de
quarantaine, car il autorise les requêtes DHCP et DNS mais bloque le trafic Web à l’exception
de la liste blanche (Mise à jour des emplacement). L’évaluation avec Nessus, si la conformité
est bonne, le serveur NetPass change le VLAN de la station. La réévaluation est possible à
l’intervalles réguliers.

NetPass s’appuie sur Open VMPS, et le principe est d’isoler les systèmes terminaux en
les mettant en quarantaine si leurs comportements réseau sont insuffisants pour la politique de
sécurité.

❖ Ring Security Analyser :

Il s’agit d’un projet de production créé à l’Université du Kansas, un portail Web qui
utilise un programme Java (applet) pour évaluer les périphériques qui cherchent à accéder au
réseau.

Dans le cas d’échec, l’accès aux mises à jour logicielles et aux sites de mise à jour
antivirus est réduit…

IV. Etude comparative et choix de solution :

Donc pour bien choisir la meilleure solution on va comparer les trois produits
(PacketFence, FreeNAC et Ring Security Analyser) dans le tableau suivant :

Packetfence Ring Security Analyser FreeNAC

Authentification et Identification

Evaluation et Conformité

Isolement et mise en conformité

Contrôle des activités

Inventaire

Tableau 1 : Etude comparative des solutions NAC

D’après cette comparaison nous trouvons que PacketFence est la meilleure solution
NAC Open Source.

20
V. Conclusion
Cette étude des solutions de contrôle d’accès réseaux nous oriente vers le choix de l’outil
PacketFence qui répond à tous les besoins de la réalisation de cette application. Dans le chapitre
suivant, nous présenterons la mise en place de la solution PacketFence.

21
 Chapitre 4 : Mise en place de PacketFence

I. Introduction :
Grâce à sa grande compatibilité, nous nous sommes intéressés à la mise en place d’une
solution de contrôle d’accès réseaux basée sur PacketFence, Dans ce chapitre, nous présentons
en détails cette mise en place de solution NAC.

II. Préparation de l’environnement de travail :

Notre projet sera réalisé sous :

o Emulateur GNS3 Version 2.2.12 ;

o GNS3 VM Version 2.2.12 ;

o VMWare Workstation 15 ;

Equipements utilisés :

o 1 Routeur C3745 ;

o 3 Commutateurs vIOS Layer 2 ;

o 2 Machines Virtuelles (Windows 7) pour les Tests ;

o 1 Machine Virtuelle pour la gestion de PacketFence ;

III. Mise en place de la solution PacketFence :

1. Topologie utilisée :

22
 Figure 2 : Topologie réseau utilisée pour NAC

2. Configuration :
a. Routeur :
La configuration de notre routeur et essentiellement nécessaire ici, elle nous permet de
router vers l’Internet.

o Premièrement on va configurer l’interface f0/0 pour avoir une adresse IP

dynamique et pouvoir connecter à l’Internet :

Figure 3 : Configuration de l’adresse de l’interface du routeur vers l’internet

Notre interface obtient l’adresse par DHCP, et maintenant nous sommes connectés à
l’Internet.

23
 Figure 4 : Test de connexion

o Deuxièmement on va configurer l’interface f0/1 pour avoir une adresse IP

statique :

Figure 5 : Configuration de l’adresse de l’interface du routeur vers le réseau interne

o Troisièmement on va faire une plage d’adresses pour notre réseau interne :

Figure 6 : Création du plage DHCP

o Quatrièmement on va configurer le NAT et de l’ACL pour permettre le réseau

de sortir à l’internet avec le NAT :

Figure 7 : Implémentation du NAT et de l’ACL

b. Les commutateurs :
La configuration des switches n’est pas obligatoire, mais pour assurer notre connectivité
sur le switch, on va configurer les interfaces vers le PC et le Serveur en mode accès.

Figure 8 : Configurer les interfaces en mode Accès

24
 En suite sur le Switch 3 dans le réseau en Ligne, on peut configurer les interfaces vers
les PC en mode accès et dans le même VLAN, et pour l’interface g0/0 qui est vers le deuxième
switch en mode trunk.

Figure 9 : Configurer les interfaces dans ces modes appropriés

c. Installation du PacketFence :
L’installation du PacketFence ZEN est assez simple et rapide, nous pouvons soit
importer la machine avec l’extension (.ova) sous notre VMware, ou de spécifier les
paramétrages avant, avec une image de l’extension (.iso),

Nous laissons les paramètres standard choisie avec l’extension (.ova), et nous importons
notre machine, en cliquant sur Importer une machine virtuelle et lancer l’import :

Figure 10 : Importer PacketFence VM

25
 Voici le paramétrage du PacketFence ZEN pour la VM :

Figure 11 : Paramétrage de la VM hébergeant PacketFence

Après d’importer notre serveur dans la machine virtuelle on le démarre :

Figure 12 : Démarrage du PacketFence ZEN

PacketFence est bien démarré !

Et pour se connecter sur le terminal du PacketFence, la session du root et déjà

configurée, il suffit d’entrer :

Login : root

Le mot de passe : p@ck3tf3nc3

IV. Configuration du Serveur PacketFence :

Maintenant on va accéder à l’interface de gestion, pour effectuer le paramétrage initial
du PacketFence.

On démarre la machine virtuelle du l’administrateur, et dans un navigateur on met

l’URL donné avec le port 1443 : [Link]

26
 Figure 13 : Accès à l’interface de gestion

Et on clique sur Avancé… pour continuer.

Après avoir accédé à l’interface de gestion, nous allons effectuer le paramétrage initial
de PacketFence.

Les réglages initiaux sont tous jusqu'à l'étape 7. Chaque étape est expliquée ci-dessous.

1. Configuration du réseau :
L’écran suivante est affiché en tant que la première étape, et dans ce cas, on spécifie
l’adresse IP des deux interfaces du serveur PacketFence avec son masque et le type, (pour eth0 :
Management, et pour eth1 : Inline layer 2), Pour la deuxième interface il faut activer le serveur
DHCP et le NAT, et aussi donner l’adresse du DNS Server ([Link]) :

27
 Figure 14 : Etape 1 => Configuration des réseaux

Figure 15 : Etape 1 => Configuration des réseaux

Après de définir les propriétés de chaque interface, il faut aussi définir l’adresse IP de
la passerelle pour accéder à l’Internet et donner le DNS et le nom d’hôte du serveur, et pour
terminer l’étape 1, on clique sur « Continuer ».

28
 Figure 16 : Etape 1 => Configuration des réseaux

2. Configuration du serveur PacketFence :

A l’étape 2, on va fait la configuration du serveur MYSQL utilisé par PacketFence,
nous définissons le nom de domaine, le nom d’hôte, les serveurs DHCP, email en cas des
alertes, etc…, comme indiqué dans les illustrations suivantes :

Figure 17 : Etape 2 => Configuration du Packetfence (serveur MYSQL)

29
 Figure 18 : Etape 2 => Configuration du serveur (alertes)

On va créer aussi un compte administrateur pour PacketFence. Cela est également fait
en définissant correctement le nom d'utilisateur et le mot de passe.

Figure 19 : Etape 2 => Configuration du serveur (compte administrateur)

3. Fingerbank :
L’étape 3 concernant la méthode Fingerbank qui permet d’identifier les appareils
électroniques comme les Robots, mais il nécessite également une clé API.

Dans notre cas, cette étape n’est pas nécessaire et on a le droit de continuer sans
Fingerbank, donc on peut sauter cette étape.

30
 Figure 20 : Etape 3 => Embarquement Fingerbank

4. Confirmation :
Et finalement nous démarrons notre serveur PacketFence pour faire la configuration
avancée.

Figure 21 : Etape 4 => Confirmation

Après de cliquer sur « Démarrer PacketFence », on se dirige directement pour

authentifier sinon lorsque nous accédons à nouveau à partir du navigateur avec l’adresse URL
[Link] on va voir une fenêtre laquelle ci-dessous :

31
 Figure 22 : Ecran d’authentification

Après de s’authentifier, Voici le tableau de bord du PacketFence

Figure 23 : Tableau de bord

Depuis cet écran de gestion, on peut vérifier et contrôler des divers paramètres et
informations du compte de chaque utilisateur.

On peut voir l’interface d’authentification par défaut des clients en allant sur

« Configuration => Profil de connexion », et on ajoute un profil :

32
 Figure 24 : Profil par défaut de connexion

Si on clique sur « Aperçu », on peut voir comme ci-dessous :

Figure 25 : Profil de connexion

V. Conclusion :
Dans ce chapitre, nous avons mis en place une solution de contrôle d’accès sur notre
réseau, en se basant sur la solution libre PacketFence, on a détaillé les étapes de configuration
initiale, et dans le chapitre suivant on va tester chaque fonctionnalité d’authentification sur notre
réseau selon notre serveur PacketFence.

33
 Chapitre 5 : Test et vérification

I. Introduction :
Dans ce chapitre nous montrons des tests et nous utilisons les machines d’utilisateurs «
Windows 7 » après la création de nos utilisateurs, et nos invités.

Pour qu’un utilisateur se connecte au réseau d’authentification par PacketFence, il est

nécessaire de créer un compte d’utilisateur au préalable, même si un utilisateur qui n’a pas de
compte utilisateur à l’avance peut se connecter au réseau d’authentification avec un compte
invité.

II. Procédure de création des comptes utilisateurs :

Pour qu’un utilisateur puisse de se connecter au réseau par PacketFence, il est nécessaire
de créer son compte au préalable, pour la faire, accédons-nous d’abord à l’écran de gestion de
PacketFence et nous cliquons sur « Utilisateurs »,

Puis, dans l’écran de configuration PacketFence nous ferons différents réglages ici, alors
pour créer un compte utilisateur, on clique sur « Créer », et nous pouvons créer un compte
d’utilisateur en entrant les informations nécessaires de ce compte.

Figure 26 : Création du compte utilisateur

On peut aussi de définir les actions de cet utilisateur tel que le temps où il peut connecter
dans le réseau, son niveau d’accès (Utilisateur simple, Super-utilisateur, …), … Comme ci-
dessous :

34
 Figure 27 : Actions du Compte utilisateur

Et voilà le compte d’utilisateur a été bien créer :

Figure 28 : Compte d’utilisateur

35
III. Test de s’authentifier au réseau avec un compte utilisateur :
Après qu’on a créé le compte utilisateur ClientWin sur PacketFence et configuré la
machine d’utilisateur à prendre une adresse IP dynamique on peut voir l’adresse IP attribuer :

Figure 29 : Configuration d’interface réseau sur la machine d’utilisateur

Maintenant tout est ça va bien marcher, nous ouvrons une fenêtre sur le navigateur, et
on essaie de se naviguer sur [Link], une fenêtre de sécurité s’ouvrira, pour suivre en
cliquant sur avancé puis Accepter et continuer :

Figure 30 : Connexion à l’internet

36
 Nous choisissons Username/Password login, pour s’authentifier avec un compte
utilisateur :

Figure 31 : Méthodes d’authentification

On accepte les termes :

Figure 32 : Acceptation des termes

Et puis on se dirige vers l’interface qui nous permet d’écrire le nom d’utilisateur et le
mot de passe comme ci-dessous :

37
 Figure 33 : Connexion avec Login et mot de passe

Si on écrit le mot de passe et le nom d’utilisateur correctement on se dirige vers

l’interface ci-dessous :

Figure 34 : Accès autorisé

Et après quelque seconde on se dirige vers le site [Link]. Et donc on peut se

connecter à internet facilement.

Et voilà ! le client a été bien enregistré dans le serveur PacketFence :

38
 Figure 35 : Vérification

IV. Test de s’authentifier avec un compte invité :

On a quatre manières pour se connecter via le compte invité, comme ci-dessous :

Figure 36 : Méthode d’authentification pour les invités

1. SMS-based registration :

39
 On va tester la connexion via « SMS-Based registration » par un invité travail sur une
autre machine Windows :

Figure 37 : SMS-based registration

Un code PIN va être envoyer par SMS au numéro :

Figure 38 : Demande du PIN

On tape le code qu’on a reçu :

40
 Figure 39 : Insertion du PIN

Si le code est correct, on se dirige vers cette interface :

Figure 40 : Accès autorisé

Donc on peut se connecter à internet.

Et Voilà le client a été bien enregistrer !

41
 Figure 41 : Vérification

2. Sponsor-based registration :
Pour faire ce test il faut créer un e-mail et le marquer comme sponsor pour les utilisateurs
peuvent utiliser :

Figure 42 : Création d'email sponsor

42
 Figure 43 : Définition des actions

Figure 44 : Compte email sponsor

Donc il nous reste que se connecter via l’utilisateur créé :

43
 Figure 45 : Connexion avec sponsor based registration

On se dirige vers cette interface pour connecter à l’internet :

Figure 46 : Accès autorisé

V. Conclusion :
Dans ce chapitre on a clôturé par des tests de validation. Ces tests ont montré le bon
fonctionnement de PacketFence.

44
 Conclusion générale et perspectives
Après avoir terminé la rédaction de ce rapport, nous ne pouvons pas dénier que ce stage
était une expérience assez enrichissante, il nous a permis de prendre conscience des
responsabilités que nous serons appelés à confronter dans notre vie professionnelle.
Le but de ce projet de fin d’étude est de contrôler et gérer notre réseau et de sécuriser nos
données contre le réseau tier, les vulnérabilités…, et pour cela on a forcé l’authentification aux
utilisateurs après de se connecter à l’Internet, que soit pour les fonctionnaires ou pour les invités, et
d’avoir connaître tous les appareils connectés au réseau avec plus de détails sur cette connexion et
ces appareils.
En effet, ce projet il nous permet d’effectuer plus de recherche pour améliorer la sécurité
des réseaux afin de sécuriser notre réseau privé et nos données sensibles.
D’après cette expérience nous avons également apporté de nouvelles connaissances et de
nouvelles compétences.
En perspective de ce projet, nous envisageons les idées suivantes :

o Faire une étude sur le nouvel parc informatique (acheté un nouveau serveur avec
des caractéristique plus performantes, assurer une ligne propriétaire pour le serveur
contient notre logiciel ERP ;
o Mettre en place d’un pare-feu ;
o Avancé l’utilisation du Alfresco pour le Workflow ;
o Améliorer le site Web de l’Entreprise ;

Nous espérons que le présent rapport a pu bien clarifier les éléments principaux de notre
projet d’une manière simple et concise et qu’il a été un apport positif pour les gens l’ayant lue et
jugés.

45