Mise En Place d'une Solution de Supervision Réseau

REPUBLIQUE DU SENEGAL
Un-Peuple-Un But-Une Foi
MINISTERE DE L’ENSEIGNEMENT SUPERIEUR DE
LA RECHERCHE ET DE L’INNOVATION
UFR DES SCIENCES ET TECHNOLOGIES
Parcours : Informatique
MEMOIRE DE FIN DE CYCLE :
Pour L’obtention du diplôme de Master
Option : Système, Réseau, Télécoms
Réalisé et soutenu par : ENCADREUR :
M. YAYA N’TYENI SANOGO M. MASSAMBA LÔ
Enseignant chercheur
ANNEE UNIVERSITAIRE 2017-2018
ANNEE DE SOUTENANCE 2019

Mémoire de fin de cycle « Mise en place d’une solution de supervision réseau »
ii
DEDICACE
Au Nom D’ALLAH, Le Tout Miséricordieux, Le Très
Miséricordieux
Je dédie ce mémoire
A mes chers parents, pour tous leurs sacrifices, leur amour,
leur tendresse, leur soutien et leurs prières tout au long de mes
études,
A mes chers frères pour leur appui et leur encouragement,
A mes chères sœurs pour leurs encouragements permanents, et
leur soutien moral,
A toute ma famille pour leur soutien tout au long de mon
parcours universitaire,
Que ce travail soit l’accomplissement de vos vœux tant
allégués, et le fuit de votre soutien infaillible,
Merci d’être toujours là pour moi.

iii
REMERCIEMENTS
Au Terme de ce travail je tiens à exprimer toute ma reconnaissance à
DIEU TOUT PUISSANT ;
Au membre de ma famille en Particulier à Mon Père SANOGO OUMAR, à Ma Mère
DIALLO SALIMATA, Mes Frères KONATE OUSMANE, DIAKARIDIA
SANOGO, à Mes Sœurs MARIAM SANOGO, FANTA SANOGO, SITA SANOGO
et à tous mes oncles et tantes.
J’adresse mes sincères remerciements au Président de L’UDB Monsieur SAKHIR
THIAM à tous les professeurs, intervenants et toutes les personnes qui par leurs
paroles, leurs écrits, leurs conseils et leurs critiques ont guidé mes réflexions.
Plus particulièrement à Mon Encadreur cher Monsieur MASSAMBA LÔ mention
spéciale Vous êtes un homme formidable
Enfin Je remercie tous mes amis et La Communauté Malienne de Dakar

iv
AVANT PROPOS
Présentation UDB :
Première université privée du Sénégal, lÚDB est un établissement dénseignement
supérieur privé, laïque et apolitique jouissant de la personnalité juridique et dúne
autonomie financière.
Elle a été créée en 1995 par l'éminent Professeur Sakhir THIAM, agrégé de
Mathématiques de l'Université de Paris, Docteur d'Etat des Sciences Mathématiques et
Docteur d'Etat en économie théorique des Universités Paris VI et Paris IX Dauphine,
Homme des Arts et des Lettres. Soucieux de contribuer à l'épanouissement général de
líndividu, à certains déblocages psychologiques, lÚDB intègre les éléments suivants :
enseignement universitaire professionnalisé multidisciplinaire et exécuté selon trois
sessions de formation (hiver, printemps, été). Implantée sur un site attrayant,
lénvironnement de lÚDB est vert avec un plus dáménagement floral.
LÚniversité Dakar Bourguiba présente tous les avantages liés à sa localisation dans
lárrondissement résidentiel de Grand Dakar, tout en étant insérée dans une zone où la
moyenne industrie et les entreprises de service conservent toute leur place.
En adoptant le système LMD tout en délivrant des attestions de réussite depuis la
deuxième année de formation
L’UDB est repartie en quatre unités de formation qui sont :
 UFR de Génie Juridique
 UFR de Génie Gestion Economique
 UFR de Sciences et Technologies
 UFR des Langues et Affaires
L’UFR de Sciences et Technologies a pour missions la formation de jeunes cadres
opérationnels de haut niveau dans les filières professionnalisées répondant aux besoins
des entreprises publiques et privées.
UDB prépare en 3 ans voir 5 ans d’études les diplômes suivants :
Premier cycle (3 ans) : Licence Professionnel En Génie Logiciel, MIAGE et en Système
Réseaux Télécom
Deuxième cycle (5 ans) : Master Professionnel en Génie Logiciel, MIAGE et en
Système Réseaux Télécom
Pour l'obtention du diplôme de master en Réseau système Télécom, UDB exige ses
étudiants l'élaboration d'un mémoire de fin de cycle. C’est dans cette mesure que nous
rédigeons ce document qui s’intitule : « Etude et mise en place d’un système de
Supervision Réseau »

v
LISTE DES FIGURES
Figure 1:topologie bus............................................................................................................................. 9
Figure 2:topologie en étoile .................................................................................................................. 10
Figure 3:topologie en anneau ............................................................................................................... 10
Figure 4:topologie maillé....................................................................................................................... 11
Figure 5:topologie hybride.................................................................................................................... 11
Figure 6:Modèle OSI.............................................................................................................................. 14
Figure 7: Modèle TCP/IP........................................................................................................................ 17
Figure 8:datagramme............................................................................................................................ 19
Figure 9:transmission TCP ..................................................................................................................... 26
Figure 10:principe d'attaque direct....................................................................................................... 31
Figure 11:pincipe d'attaque indirecte par rebond ................................................................................ 32
Figure 12:principe d'attaque indirecte par reponse ............................................................................. 32
Figure 13:Architcture VPN client-serveur.............................................................................................. 42
Figure 14: Architecture VPN site to site ................................................................................................ 42
Figure 15:Architecture d'un pare-feu.................................................................................................... 44
Figure 16:couche d'une plateforme SSR ............................................................................................... 49
Figure 17:Architecture d'un système gestions des logs........................................................................ 54
Figure 18:architecture SO...................................................................................................................... 65
Figure 19:architecture cible .................................................................................................................. 67
Figure 20: chargement image................................................................................................................ 68
Figure 21:ressources alloués................................................................................................................. 68
Figure 22:choix de langue ..................................................................................................................... 69
Figure 23:choix mode d'installation...................................................................................................... 69
Figure 24:renseignement utilisateur..................................................................................................... 69
Figure 25:redémarrage.......................................................................................................................... 69
Figure 26:configuration carte management ......................................................................................... 70
Figure 27:choix carte management....................................................................................................... 70
Figure 28:configuration carte management (fixer adresse) ................................................................. 70
Figure 29: Adressage IP ......................................................................................................................... 71
Figure 30: nom domaine ....................................................................................................................... 71
Figure 31: redémarrage......................................................................................................................... 71
Figure 32: mode deploement................................................................................................................ 72
Figure 33:mode passe (squert squert) .................................................................................................. 72
Figure 34 : mode configuration............................................................................................................. 72
Figure 35:durée de sauvegarde............................................................................................................. 73
Figure 36: base de signature snort........................................................................................................ 73
Figure 37: copie oinkcode snort............................................................................................................ 73
Figure 38: choix NIDS............................................................................................................................. 74
Figure 39: désactivation sensor............................................................................................................. 74
Figure 40: taille des logs........................................................................................................................ 74
Figure 41 : application des modifications.............................................................................................. 74
Figure 42: adressage sonde................................................................................................................... 75
Figure 43: mode de deploiement sonde ............................................................................................... 75
Figure 44:definition du serveur sonde .................................................................................................. 76
Figure 45: definition utilisateur SSH...................................................................................................... 76

vi
Figure 46: choix type deploiement........................................................................................................ 76
Figure 47:choix interface sniffing.......................................................................................................... 77
Figure 48: activation IDS/plage adresse home_net .............................................................................. 77
Figure 49 activation de bro ................................................................................................................... 77
Figure 50:activation extration fichier.................................................................................................... 78
Figure 51: taille fichier à extraire .......................................................................................................... 78
Figure 52: activation nmap.................................................................................................................... 78
Figure 53:definition mémoire tampon.................................................................................................. 79
Figure 54:activation salt ........................................................................................................................ 79
Figure 55:application des changements................................................................................................ 79
Figure 56:mise à jour............................................................................................................................. 81
Figure 57: autorisation des ports .......................................................................................................... 82
Figure 58: vue des ports autorisés ........................................................................................................ 82
Figure 59: redemarrage des services .................................................................................................... 82
Figure 60:connexion ssh........................................................................................................................ 83
Figure 61:connexion sguil...................................................................................................................... 83
Figure 62: détection scan sguil.............................................................................................................. 84
Figure 63: connexion squert.................................................................................................................. 84
Figure 64: detection scan squert........................................................................................................... 84
Figure 65: intrusion armitage................................................................................................................ 85
Figure 66:detection intrusion squert .................................................................................................... 85
Figure 67: détection intrusion sguil....................................................................................................... 86

vii
SOMMAIRE
INTRODUCTION GENERALE
PREMIERE PARTIE : CADRES THEORIQUE ET
METHODOLOGIQUE
CHAPITRE I : LE CADRE THEORIQUE:
CHAPITRE II : CADRE METHODOLOGIQUE
DEUXIEME PARTIE : CADRE CONCEPTUEL
CHAPITRE III : CADRE CONCEPTUEL
CHAPITRE IV : ETUDE DES SECURITES RESEAUX
CHAPITRE V : LA SUPERVISION INFORMATIQUE
CHAPITRE VI : LES SOLUTIONS DE SUPERVISIONS
TROISIEME PARTIE: MISE EN OEUVRE
CHAPITRE VII : DEPLOIEMENT DE SECURITY ONION
CHAPITRE VIII: MAINTENANCE ET TEST
CONCLUSION GENERALE

viii
GLOSSAIRE
ACK: acknowledgement
ARP: Address Resolution Protocol
BNC: Bayonet-Neill-Concelman
CIDR: Classless Inter-Domain Routing
CIRT: Cyber Incident Response Team
CPU: Central processing unit
DDoS: Distributed Denial of Service
DNS: Domain Name System
DoS: Denial of Service
EIGRP: Enhanced Interior Gateway Routing Protocol
FTP: File Transfer Protocol
FDDI: Fiber Distributed Data Interface
GRE: Generic Routing Encapsulation
HIDS: Host Intrusion Detection
HTML: Hypertext Markup Language
HTTP: HyperText Transfert protocol
HTTPS: HyperText Transfert protocol secure
ICMP: Internet Control Message Protocol
IDS: Intrusion Detection System
IGMP: Internet Group Management Protocol
IP: Internet Protocol
IPSEC: Internet Protocol Security
IPV4: Internet Protocol Version 4
IPV6: Internet Protocol Version 6
ISO: International Organization for Standardization
L2F: Layer 2 Forwarding
L2TP: Layer 2 Tunneling Protocol

ix
LAN: Local Area Network
MAU: Multistation Access Unit
MAC: Media Access Control
MAN: Metropolitan Area Network
MITM: Man-In-The-Middle Attack
MTU: Maximum Transmission Unit
NFS: Network File System
NIDS: Network Intrusion Detection System
Nmap: Network Mappe
NSM: Network Security Monitoring
OPENVAS: Open source Vulnerability Assessment Scanner
OS: Operating System
OSI: Open Systems Interconnection
OSPF: Open Shortest Path First
OSSEC: Open Source HIDS Security
OSSIM: Open Source Security Information Management
PAN: Personal Area Network
PCAP: Packet capture
PCI: Peripheral Component Interconnect
PKI: Public Key Infrastructure
PHP: PHP HyperText Preprocessor
PPTP: Point-to-point tunneling protocol
RIPV2: Routing Information Protocol
SEM: Security Event Management
SI : Système D’information
SIEM: Security Information and Event Management
SIM: Security Information Management
SMTP: Simple Mail Transfer Protocol
SNMP: Simple Network Management Protocol

x
SO: Security Onion
SPAN: Switch Port Analyzer
SPOC: Single point of contact
SSH: Secure Shell
SSL: Secure Sockets Layer
SSR: Supervision Sécurité Réseau
SYN: Synchronise Sequence Numbers
TAP: Terminal Access Point
TCL: Tool Command Language
TCP: Transmission Control Protocol
TTL: Time to Live
UDP: User Datagram Protocol
UIT-T : Union International des Telecommunications
USB: Universal Serial Bus
VBS: Visual Basic Scripting
VLSM: Variable Length Subnet Masking
VOIP: Voice over IP
VPN: Virtual Private Network
WAN: Wide Area Network
WWW: World Wide Web

Année universitaire 2017-2018
110 janvier 2019
INTRODUCTION GENERALE:
Les réseaux informatiques sont devenus des ressources vitales et déterminantes pour le
bon fonctionnement des entreprises, ils sont constitués de plusieurs nœuds qui sont
interconnectés dans le but de s’échanger des informations.
En revanche pour faciliter les échanges entre le monde extérieur ces réseaux sont ouverts
sur internet et cette ouverture est une source d’attaque potentielle.
Toute entreprise existante d'une certaine taille dispose en général d'un réseau
informatique ; même celles qui n'en sont qu'à une idée de projet viable y pense très
souvent à une éventuelle mise en œuvre d'un réseau informatique au sein de leur future
structure. Vu l'importance des informations qui sont souvent véhiculées dans les
réseaux, ceux-ci requièrent un certain degré de sécurité. Toutefois le constat est que ceux
qui en font usage de ces réseaux ignorent parfois les risques auxquelles ils sont exposés
lorsqu'une mesure de sécurité n'est mise en place. L'augmentation rapide et continuelle
de l'utilisation des outils informatiques distribués dans différentes entreprises rend leur
protection de plus en plus importante car leur compromission peut avoir des effets
dramatiques
De ce fait il est primordial de :
 Comprendre le fonctionnement des réseaux informatiques
 Considéré la sécurité comme une activité à part entière de par sa nécessité et sa
complexité à mettre en œuvre
Pour veiller sur notre réseau plusieurs solutions sont mises en place
Chaque solution doit contribuer au bon fonctionnement de notre infrastructure
L’objectif de ce travail est la « Mise en Place d’un système de Supervision Réseau »
La première partie : présentera les cadres théorique et méthodologique où nous allons
énoncer la problématique, d’un ensemble des objectifs et hypothèses ainsi que de la
pertinence de notre sujet.
La deuxième partie : présentera le cadre conceptuel qui nous permettra de mieux
comprendre les concepts sur le réseau, sur la sécurité informatique, et finalement le rôle
des superviseurs Réseau.
La troisième partie : sera la phase de la mise en œuvre.

210 janvier 2019
PREMIERE PARTIE : CADRES THEORIQUE ET
METHODOLOGIQUE

310 janvier 2019
CHAPITRE I : LE CADRE THEORIQUE :
Section 1 : Problématique :
Avec le développement des nouvelles technologies, les réseaux informatiques sont les
centres nerveux de toute infrastructure informatique ils sont toujours au cœur des
systèmes d’information. Le nombre de postes, d'équipements, de services et de
ressources qui tournent dans le réseau croient de jour en jour. Tous ces éléments de par
leur hétérogénéité sont déjà source de dysfonctionnements sans pour autant compter les
problèmes liés à leur propre nature.
Leur dysfonctionnement peut nuire à la productivité des employés d’une entreprise ou
même paralyser l’activité de cette dernière
C'est là qu’intervient l'administrateur réseau et Sécurité, car son rôle est de gérer
l'ensemble des composants du réseau, en mettant en place plusieurs systèmes de
sécurités dans la perspective de viser un niveau de risque acceptable de nos systèmes
d’information et de nos réseaux. Nous pouvons nettement comprendre que, plus le
réseau est vaste, plus les tâches d’administration s’alourdissent. Maintenir et garantir le
bon fonctionnement du réseau devient en ce moment un objectif pas très facile à
atteindre pour tout administrateur. Face à ce problème posé, des solutions sont mises
en évidence, visant à alléger le travail d'administration. Pour réaliser ces idées, il est
obligatoire de comprendre :
 Pourquoi et comment superviser un Réseau ?
 Quelles sont les menaces auxquelles nous encourons ?
 Comment fonctionnent-t-elles sur le réseau ?
À partir de cela, nous pouvons choisir telle solution pour votre système.
Section 2 : Objectif général :
L’objectif général de notre étude vise la finalité d’un projet de système de monitoring
réseau. Afin que l’administrateur système veille au bon fonctionnement du système
informatique de l’entreprise.
I.2.1 Objectifs spécifiques :
L’objectif de ce travail est de :
 Mettre en Lumière les menaces informatiques les plus rependues
 Mettre en Evidence à travers les explications les outils permettant de faire une
bonne Supervision Réseau
 Etudier et analyser tous les aspects traités par un système de monitoring de la
sécurité des réseaux.

410 janvier 2019
Section 3 : Les hypothèses de recherche :
I.3.1 Hypothèse 1 :
La sécurité est évidemment le premier objectif à l’installation d’un network monitor en
entreprise. Au-delà des simples pare-feux ou antivirus, une solution de surveillance
réseau met bien en évidence les pics d’activité inhabituels générés ou tout processus
invalide, potentiellement révélateurs d’attaques malveillantes.
Surveiller en temps réels, les administrateurs doivent être en mesure de réagir
rapidement en cas d’incident détecté. Les administrateurs doivent être à la fois réactifs
et proactifs pour réduire les dégâts de cet incident. Les administrateurs doivent être
alertés en cas de dysfonctionnement et intervenir rapidement pour le résoudre.
Le choix de la solution la mieux adaptée dépend de plusieurs critères que nous allons
présenter au fur et à mesure de notre étude
Section 4 : Pertinence du sujet :
Dans chaque entreprise, l’information est devenue un élément fondamental et essentiel.
La maîtrise de l’information est un enjeu stratégique pour les entreprises puisqu’elle leur
offre des opportunités pour se différencier, favoriser l’innovation, bénéficier d’un
avantage concurrentiel ou même se maintenir dans le marché. Une information est jugée
utile notamment par sa valeur, sa fiabilité, sa pertinence et essentiellement sa
disponibilité. C’est pourquoi, plus que jamais il est primordial et indispensable de
protéger le système d’information pour qu’il reste en bon état et toujours disponible. En
effet, pour assurer la disponibilité du système d’information, chaque entreprise doit se
doter d’un outil de supervision qui va permettre à l’entreprise de surveiller le bon
fonctionnement de ses équipements et ses services réseau. Et en cas de problèmes
détectés on peut être avertit par les Alertes etc.

510 janvier 2019
CHAPITRE II : CADRE METHODOLOGIQUE
Section 1 : le cadre d’étude :
L’informatique est une science relativement jeune. Depuis ses débuts dans les années
40, avec notamment les travaux d’Alan Turing, en passant par les premiers ordinateurs
personnels dans les années 70, nous sommes aujourd’hui arrivés à l’heure de la
miniaturisation et de la mobilité, ou chacun possède et utilise quotidiennement plusieurs
périphériques différents afin d’accéder à des ressources informatisées : ordinateurs
portables, smartphones, tablettes. Elle est prépondérante pour les entreprises. Son
évolution a donné naissances à plusieurs disciplines spécifiques qui font de
l’informatique une science très vaste elle est en constante évolution son évolution est
plus rapide que n’importe quelle science au monde, de ce fait nous avons orienté notre
Etude sur l’une des spécialités les plus subtiles de nos jours d’où la Sécurité
informatique Telle la Supervision du Réseau et des Systèmes d’information
Section 2 : La délimitation du champ d’étude :
Dans l’optique d’avoir une bonne vision sur nos réseaux informatiques et nos systèmes
d’information afin de les protéger contre tout attaque, nous avons focalisé notre champ
d’étude avec l'objectif de surveiller ses équipements et ses bons fonctionnements. Par
ailleurs, notre travail n’a pas été traité en entreprise dans un cadre de stage ou dans un
environnement physique pour faire le test, on a supposé et simulé des problèmes qui
peuvent être rencontrés dans toutes entreprises.
Section 3 : Les techniques de recherches :
Dans le but de recueillir des informations pertinentes et importantes, à la résolution de
notre problématique et afin d’établir des conclusions utiles, nous avons fait recours à
deux types d’informations :
 Des informations primaires, recueillies par les interrogations.
 Des informations secondaires ont été recueillies grâce à des articles, des
mémoires, des rapports de recherche et des sites internet.
De ce fait, la lecture de tout un chacun nous a beaucoup permis de bien nous informer
sur le sujet. Elle nous a permis aussi à mieux perfectionner les concepts de réseaux, de
sécurité informatique et à mieux comprendre le rôle d’un système de supervision
informatique.

610 janvier 2019
Section 4 : Les difficultés rencontrées :
Tout au long de notre rédaction et de la réalisation de ce document, on a rencontré pas
mal des difficultés à savoir :
 Difficulté d’obtentions des livres qui traitent la question
 Difficulté de trouver des ressources en français car La majorité est en anglais.
 Difficulté à la collecte des données

710 janvier 2019
DEUXIEME PARTIE : CADRE CONCEPTUEL

810 janvier 2019
CHAPITRE III : CADRE CONCEPTUEL :
SECTION 1 : RAPPEL SUR LES RESEAUX INFORMATIQUE :
III.1 Notion sur le réseau informatique :
Avant l’existence des réseaux, le partage des informations par individu se faisait
uniquement soit oralement, soit par l’écriture des mémos, soit par copie des informations
sur disquette et la remise de cette disquette à l’autre personne qui devait recopier son
contenu sur son ordinateur. Ces besoins ont été couverts par la suite par l’apparition et
l’apogée des réseaux informatiques.
III.2 Définition réseau :
Un réseau en général est le résultat de la connexion de plusieurs machines entre elles,
afin que les utilisateurs et les applications qui fonctionnent sur ces dernières puissent
échanger des informations. Le terme réseau en fonction de son contexte peut désigner
plusieurs choses. Il peut désigner l'ensemble des machines, ou l'infrastructure
informatique d'une organisation avec les protocoles qui sont utilisés, ce qui est le cas
lorsque l'on parle d’internet. Le terme réseau peut également être utilisé pour décrire la
façon dont les machines d'un site sont interconnectées. C'est le cas lorsque l'on dit que
les machines d'un site (sur un réseau local) sont sur un réseau Ethernet, Token Ring,
réseau en étoile, réseau en bus, ... Le terme réseau peut également être utilisé pour
spécifier le protocole qui est utilisé pour que les machines communiquent.
III.3 Pourquoi les réseaux :
Les réseaux sont nés d'un besoin d'échanger des informations de manière simple et
rapide entre des machines. Lorsque l'on travaillait sur une même machine, toutes les
informations nécessaires au travail étaient centralisées sur la même machine. Presque
tous les utilisateurs et les programmes avaient accès à ces informations. Pour des raisons
de coûts ou de performances, on est venu à multiplier le nombre de machines. Les
informations devaient alors être dupliquées sur les différentes machines du même site.
Cette duplication était plus ou moins facile et ne permettait pas toujours d'avoir des
informations cohérentes sur les machines. On est donc arrivé à relier d'abord ces
machines entre elles; ce fût l'apparition des réseaux locaux.
Ces réseaux étaient souvent des réseaux « maisons » ou propriétaires. Plus tard on a
éprouvé le besoin d'échanger des informations entre des sites distants.
Les réseaux moyenne et longue distance commencèrent à voir le jour. Ces réseaux
étaient souvent propriétaires. Aujourd'hui, les réseaux se retrouvent à l'échelle
planétaire. Le besoin d'échanger de l'information est en pleine évolution.
Pour se rendre compte de ce problème il suffit de regarder comment fonctionnent des
grandes sociétés.

910 janvier 2019
III.4 Topologie Réseaux:
L'arrangement physique des éléments constitutifs d’un réseau est appelé topologie
physique.
La topologie physique (câblage et organisation dimensionnelle) se distingue de la
topologie logique. La topologie logique représente la façon de laquelle les données
transitent dans les supports. Les topologies logiques les plus courantes sont Ethernet,
Token Ring et FDDI.
III.4.1 Une topologie en bus :
Comme son nom l'indique, la topologie bus a les caractéristiques d'un bus (pensez, une
ligne droite). Dans cette topologie, tous les ordinateurs sont connectés entre eux par le
biais d'un seul câble réseau débuté et terminé par des terminateurs.
Les terminateurs ont pour but de maintenir les frames (signaux électriques de données)
dans le câble et d'empêcher les "rebonds" des données le long du fil.
Franchement, ce n'est pas pratique du tout, et ce pour 2 raisons majeures. La première
est que, parce que toutes les machines utilisent le même câble, s'il vient à ne plus
fonctionner, alors le réseau n'existe plus. Il n'y a plus de communication possible étant
donné que tous les hôtes partagent un câble commun.
La seconde est que, puisque que le câble est commun, la vitesse de transmission est
très faible Il y a d'autres raisons qui font que cette topologie est très peu utilisée.
Dans cette topologie, étant donné que le câble de transmission est commun, Il ne faut
pas que 2 machines communiquent simultanément, sinon, ça créé des collisions
! Heureusement que d'autres topologies plus simples et plus pratiques existent.
Figure 1:topologie bus
III.4.2 Topologie en étoile :
Dans cette topologie des appareils tel que : (routeur, commutateur, concentrateur, ...)
peut être au centre d'un réseau en étoile. L'important, c'est que pour parler à une autre
entité on passe par le matériel central (qui peut être le hub, le switch, etc.).
En pratique, dans un réseau d'entreprise en étoile, au centre on trouve un switch.

1010 janvier 2019
Le principal défaut de cette topologie, c'est que si l'élément central ne fonctionne plus,
plus rien ne fonctionne : toute communication est impossible. Cependant, il n'y a pas de
risque de collision de données.
Remarque :
Si vous reliez les terminaux à un hub (concentrateur) la topologie physique sera l’étoile
mais par contre la topologie logique sera le bus en effet, sur un hub, un seul terminal
peut émettre à la fois. Les autres doivent écouter le réseau pour savoir s’ils peuvent
émettre à leur tour.
Figure 2:topologie en étoile
III.4.3 Topologie en anneau :
Un réseau en anneau a la forme d'un anneau. Cependant, la topologie physique d'un
réseau en anneau est le bus.
Les ordinateurs sont situés sur une boucle et communiquent chacun à son tour. En
réalité, dans une topologie anneau, les ordinateurs ne sont pas reliés en boucle, mais sont
reliés à un répartiteur (appelé MAU, Multistation Access Unit) qui va gérer la
communication entre les ordinateurs qui lui sont reliés en impartissant à chacun d'entre
eux un temps de parole.
Figure 3:topologie en anneau

1110 janvier 2019
III.4.4 Une topologie maillée :
Le principe de la topologie maillée est de relier tous les ordinateurs entre eux (ou du
moins, un maximum). Comme ça, aucun risque de panne générale si une machine tombe
en rade, en revanche cette technologie dépend de beaucoup de câbles et d’espace. La
formule pour connaitre le nombre de câbles est n(n-1) / 2, avec n le nombre
d'ordinateurs. Donc rien qu'avec 8 ordinateurs par exemple, ça nous donnera 8(8-1) / 2,
soit 28 câbles !
Cette topologie reste peu utilisée vu la difficulté à mettre en place une telle
infrastructure.
Figure 4:topologie maillé
III.4.5 Une topologie hybride :
Une topologie hybride, c'est très simple (enfin, dans le principe) : c'est juste le
regroupement de plusieurs topologies différentes. Par exemple, Internet est une
parfaite illustration d'un réseau hybride car il joint des réseaux en anneau avec des
réseaux en bus, avec des réseaux en étoile, ...
internet peut aussi être vu comme un réseau maillé ,dans son sens logique. Rappelez-
vous, dans un réseau maillé, la multiplication de nombre de câbles permet plusieurs
chemins de communications (dans le réseau internet, toutes les machines ne sont pas
toutes reliées entre elles, c’est un mélange de regroupements de nœuds et d’autre
joyeusetés).
Comme il y a tout plein de câble, il y a donc plusieurs chemins possibles pour parler à
son destinataire : on peut donc décrire internet comme un réseau maillé (dans le sens
logique), car on peut transmettre des données par plusieurs chemins.
Figure 5:topologie hybride

1210 janvier 2019
III.5 La classification des réseaux :
La méthode « traditionnelle » de classification des réseaux est basée sur les distances.
Elle est fondée sur le principe qui veut que les techniques de transmission changent
suivant les distances à parcourir.
a. PAN (Personal Area Network):
Il désigne un réseau restreint d'équipements informatiques habituellement utilisés dans
le cadre d'une utilisation personnelle. Les bus utilisés les plus courants sont l'USB, les
technologies sans fil telles que Bluetooth, l'infrarouge (IR), ou le zigbee. Ces réseaux
interconnectent sur quelques mètres les équipements personnels tels que des téléphones
mobiles, des téléphones portables, etc.
b. LAN (Local Area Network) :
Le réseau local, c’est un réseau informatique à une échelle géographique relativement
restreinte, par exemple une salle informatique, une habitation particulière, un bâtiment
ou un site d'entreprise. Dans le cas d'un réseau d'entreprise, on utilise souvent le terme
RLE pour réseau local d'entreprise. Il présente les caractéristiques suivantes:
Il occupe un emplacement physique et un seul, comme le suggère le mot « local »
Leur vitesse de transfert de données est élevée, de 10 à 1000 Mbit/s
Toutes les données circulent sur le câblage local
Un réseau local est donc un réseau sous sa forme la plus simple. Par rapport aux autres
types de réseaux, il assure les connexions les plus rapides entre les machines et ceci au
dépend de la distance. La taille d’un réseau local peut atteindre jusqu'à 100 voire 1000
utilisateurs, à condition que ceux-ci soient situés à un même emplacement, comme déjà
suscité.
Exemples: Ethernet (IEEE 802.3) avec un débit de 10Mbit/s, le Fast Ethernet fournit un
débit de 100Mbit/s, Token Ring (IEEE 802.5) : fonctionne à 4 et à 16 Mbit/s
c. MAN (Métropolitain Area Network) :
Les réseaux métropolitains ou urbains sont à mi-chemin entre les réseaux locaux et les
réseaux étendus. Un réseau métropolitain est un réseau qui dessert une ville entière, mais
qui utilise la technologie des réseaux locaux. Les MAN interconnectent plusieurs LAN
géographiquement proches (au maximum quelques dizaines de km) à des débits
importants. Ainsi un MAN permet à deux nœuds distants de communiquer comme s’ils
faisaient partie d'un même réseau local.
Un MAN est formé de commutateurs ou de routeurs interconnectés par des liens hauts
débits (en général en fibre optique). Ils s’étendent à des distances allant de deux
kilomètres jusqu’à une dizaine de kilomètre et ne dépassant pas les 200 kilomètres. Ces

1310 janvier 2019
réseaux doivent être tolérants aux pannes, car vus les étendus couvertes, la coupure d’un
câble ne doit pas paralyser les entreprises.
Exemples: Norme DQDB (Dual Queue Dual Bus): IEEE 802.6, FDDI (Fiber Data
Distributed Interface) avec un débit de 100Mb/s et une portée de 200 Km.
d. WAN (Wide Area Network) :
Le WAN (Wide Area Network) permet l'interconnexion de plusieurs LAN ou MAN sur
de grandes distances géographiques, à l'échelle d'un pays ou mondiale. A la différence
du LAN qui est un réseau privé, le WAN emprunte les infrastructures publiques telle
Internet, ou celles d'un opérateur. Les débits disponibles sur un WAN résultent d'un
arbitrage avec le coût des liaisons (qui augmente avec la distance) et peuvent être faibles.
Le plus grand WAN est le réseau Internet.
III.6 Les modèles réseaux :
Les ordinateurs d'un réseau n'ont pas à être identiques : les différences de systèmes
d'exploitation, de logiciels utilisés pour naviguer sur le net, et les autres différences du
genre ne doivent pas avoir le moindre impact sur la communication entre deux
machines. Par exemple, on peut parfaitement connecter des ordinateurs sous Windows
avec des ordinateurs sous Linux. Pour cela, il a fallu inventer un certain nombre de
standards réseau, appelés protocoles réseaux. Des organismes publics supranationaux
s'occupent d'établir et de normaliser ces protocoles : ils consultent les grandes
entreprises du web (Microsoft, Apple, et ainsi de suite).
III.6.1 Principe des modèles en couches :
Lorsque les réseaux informatiques ont pris de l’importance, l’ISO (International
Standards Organization) et l’UIT-T (Union Internationale des Télécommunications) ont
décidé de créer un modèle de base pour définir les différentes fonctions que doit remplir
un réseau. Ce modèle est baptisé modèle OSI.
III.6.2 Le modèle de référence OSI (Open System Interconnection) :
Le modèle OSI est constitué de sept couches que nous représentons verticalement. A
chaque couche est associée une fonction bien précise. Une couche ne définit pas un
protocole ; elle délimite un service qui peut être réalisé par plusieurs protocoles de
différentes origines. Ainsi chaque couche peut contenir tous les protocoles, du moment
que ceux-ci fournissent le service demandé à ce niveau du modèle. Par contre chaque
couche effectue une seule fonction et dépend des services de la couche immédiatement
inférieure. De même, chaque couche fournit ses services à la couche immédiatement
supérieur.

1410 janvier 2019
Les sept couches du modèle OSI
Figure 6:Modèle OSI
De bas en haut, selon la figure ci-dessous, nous allons expliquer chaque couche réseau
La couche physique :
Elle s'occupe de la transmission des bits de façon brute sur un canal de
communication. Cette couche doit garantir la parfaite transmission des données
(un bit 1 envoyé doit bien être reçu comme bit valant 1). Concrètement, cette
couche doit normaliser les caractéristiques électriques (un bit 1 doit être
représenté par une tension de 5 V, par exemple), les caractéristiques mécaniques
(forme des connecteurs, de la topologie...), les caractéristiques fonctionnelles
des circuits de données et les procédures d'établissement, de maintien et de
libération du circuit de données. L'unité d'information typique de cette couche
est le bit, représenté par une certaine différence de potentiel.

1510 janvier 2019
La couche liaison des données :
Son rôle est un rôle de « liant » : elle va transformer la couche physique en une
liaison a priori exempte d'erreurs de transmission pour la couche réseau. Elle
fractionne les données d'entrée de l'émetteur en trames, transmet ces trames en
séquence et gère les trames d'acquittement renvoyées par le récepteur.
Rappelons que pour la couche physique, les données n'ont aucune signification
particulière. La couche liaison de données doit donc être capable de reconnaître
les frontières des trames. Cela peut poser quelques problèmes, puisque les
séquences de bits utilisées pour cette reconnaissance peuvent apparaître dans les
données. La couche liaison de données doit être capable de renvoyer une trame
lorsqu'il y a eu un problème sur la ligne de transmission. De manière générale,
un rôle important de cette couche est la détection et la correction
D’erreurs intervenues sur la couche physique. Cette couche intègre également
une fonction de contrôle de flux pour éviter l'engorgement du récepteur. L'unité
d'information de la couche liaison de données est la trame qui est composées de
quelques centaines à quelques milliers d'octets maximum.
La couche réseau :
C'est la couche qui permet de gérer le sous-réseau, le routage des paquets sur ce
sous réseau et l'interconnexion des différents sous-réseaux entre eux. Au
moment de sa conception, il faut bien déterminer le mécanisme de routage et de
calcul des tables de routage (tables statiques ou dynamiques...). La couche réseau
contrôle également l'engorgement du sous-réseau. On peut également y intégrer
des fonctions de comptabilité pour la facturation au volume, mais cela peut être
délicat. L'unité d'information de la couche réseau est le paquet.
La couche transport :
Cette couche est responsable du bon acheminement des messages complets au
destinataire. Le rôle principal de la couche transport est de prendre les messages
de la couche session, de les découper s'il le faut en unités plus petites et de les
passer à la couche réseau, tout en s'assurant que les morceaux arrivent
correctement de l'autre côté. Cette couche effectue donc aussi le réassemblage du
message à la réception des morceaux. Cette couche est également responsable de
l'optimisation des ressources du réseau : en toute rigueur, la couche transport crée
une connexion réseau par connexion de transport requise par la couche session,
mais cette couche est capable de créer plusieurs connexions réseau par processus
de la couche session pour répartir les données, par exemple pour améliorer le
débit. A l'inverse, cette couche est capable d'utiliser une seule connexion réseau
pour transporter plusieurs messages à la fois grâce au multiplexage. Dans tous
les cas, tout ceci doit être transparent pour la couche session. Cette couche est
également responsable du type de service à fournir à la couche session, et
finalement aux utilisateurs du réseau : service en mode connecté ou non, avec ou
sans garantie d'ordre de délivrance, diffusion du message à plusieurs destinataires

1610 janvier 2019
à la fois... Cette couche est donc également responsable de l'établissement et du
relâchement des connexions sur le réseau. Un des tout derniers rôles à évoquer
est le contrôle de flux. C'est l'une des couches les plus importantes, car c'est elle
qui fournit le service de base à l'utilisateur, et c'est par ailleurs elle qui gère
l'ensemble du processus de connexion, avec toutes les contraintes qui y sont liées.
L'unité d'information de la couche transport est le message ou le segment.
La couche session :
Cette couche organise et synchronise les échanges entre tâches distantes. Elle
réalise le lien entre les adresses logiques et les adresses physiques des tâches
réparties. Elle établit également une liaison entre deux programmes d'application
devant coopérer et commande leur dialogue (qui doit parler, qui parle...). Dans
ce dernier cas, ce service d'organisation s'appelle la gestion 15 du jeton. La
couche session permet aussi d'insérer des points de reprise dans le flot de
données de manière à pouvoir reprendre le dialogue après une panne.
La couche présentation :
Cette couche s'intéresse à la syntaxe et à la sémantique des données transmises
c'est elle qui traite l'information de manière à la rendre compatible entre tâches
communicantes. Elle va assurer l'indépendance entre l'utilisateur et le transport
de l'information. Typiquement, cette couche peut convertir les données, les
reformater, les crypter et les compresser.
La couche application :
Cette couche est le point de contact entre l'utilisateur et le réseau. C'est donc elle
qui va apporter à l'utilisateur les services de base offerts par le réseau, comme
par exemple le transfert de fichier, la messagerie...
III.6.3 Le modèle TCP/IP :
Le modèle TCP/IP est dérivé de l'ARPANET et deviendra plus tard connus sous le
nom de worldwide internet. L'ARPANET était à la base un projet militaire de l'armée
américaine dont le but était de connecter, via les lignes téléphoniques, une centaines
d'universités et d'installations gouvernementales entre elles. L'objectif était de maintenir
les communications coûte que coûte après une attaque nucléaire. Pour vous remettre
dans le contexte, cette problématique a pris place pendant la guerre froide.
Il en découle un réseau basé sur le routage de paquets à travers une couche appelée
Internet. La connexion de cette couche est de type connectionless (sans connexion
préalable) : tous les paquets transitent indépendamment les uns des autres et sont routés
suivant leur contenu.
Le modèle TCP/IP est donc le modèle utilisé pour Internet.
Le nom de modèle TCP/IP est étroitement lié à deux protocoles : le
protocole TCP (Transmission Control Protocol) et le protocole IP (Internet Protocol).
Ceci est en partie dû au fait que sont les deux protocoles les plus utilisés pour Internet.

1710 janvier 2019
Voici une figure qui illustre la différence entre le modèle TCP/IP et le modèle OSI :
Figure 7: Modèle TCP/IP
Le modèle OSI a été mis à côté pour faciliter la comparaison entre les deux
modèles. Comme le modèle OSI, nous allons expliquer le rôle de chaque
couche.
Access Réseau:
Cette couche est assez "étrange". En effet, elle semble "regrouper" les couches
physiques et liaison de données du modèle OSI. En fait, cette couche n'a pas vraiment
été spécifiée ; la seule contrainte de cette couche, c'est de permettre à un hôte d'envoyer
des paquets IP sur le réseau. L'implémentation de cette couche est laissée libre. De
manière plus concrète, cette implémentation est typique de la technologie utilisée sur le
réseau local. Par exemple, beaucoup de réseaux locaux utilisent Ethernet ; Ethernet est
une implémentation de la Couche hôte-réseau.
IP (Internet Protocol) :
Le but de cette couche est de permettre d'injecter des paquets dans n'importe quel réseau
et de faire en sorte qu'ils arrivent à destination. Tous les paquets ne prendront pas le
même chemin pour arriver à bon port, mais ceci n'est pas un problème. S'ils arrivent
dans le désordre, un protocole, placé dans une couche supérieure, se chargera de les
ordonner.
C'est dans la couche internet qu'est défini le format officiel des paquets et son protocole
le protocole IP pour Internet Protocol. La fonction de la couche internet est de délivrer
les paquets IP au bon endroit. Vous l'aurez compris, le routage des paquets est ici très

1810 janvier 2019
critique et on souhaite éviter une éventuelle congestion. On peut faire l'analogie avec la
couche network du modèle OSI.
Transport :
Tout comme pour le modèle OSI, la couche de transport permet aux hôtes source et
destination de faire une conversation. C'est dans cette couche-ci que sont définis deux
protocoles end-to-end pour le transport :
 TCP (Transmission Control Protocol), protocole fiable qui nécessite
une connexion entre la source et la destination. Le protocole permet de délivrer
un flux d'octets, le tout sans erreurs. Le flux d'octets est d'abord découpé en
messages, puis les passe les uns après les autres à la couche Internet. Le
destinataire réassemble ensuite les messages reçus. Le protocole TCP dispose
également de mécanismes de contrôle pour éviter qu'un émetteur trop rapide
n'inonde un receveur trop lent.
 UDP (User Datagram Protocol), protocole non fiable qui ne nécessite pas de
connexion préalable (sans négociation). Ce protocole ne dispose pas de
mécanisme de contrôle de flux. Ce protocole est surtout utilisé dans une
architecture de clients-serveur voir de requête-réponse, pour la VOIP, les jeux
en ligne, les appels vidéos. En effet on peut envoyer des plus grosses quantités
de données d'un seul coup par rapport au TCP et on part du principe, lors de
l'usage de l'UDP, que si on perd quelques paquets ce n'est pas trop grave. On
préfère par exemple avoir une conversation téléphonique hachurée qu'avec du
délai
Application:
C’est dans la couche application où se trouve la plupart des programmes réseau.
Les protocoles utilisés sont : HTTP (port TCP 80), SSH (port TCP 22). Etc.
III.6.4 La suite des protocoles TCP/IP :
III.6.4.1 Internet Protocole :
Le protocole IP fait partie de la couche Internet de la suite de protocoles TCP/IP. C'est
un des protocoles les plus importants d'Internet car il permet l'élaboration et le transport
des datagrammes IP (les paquets de données), sans toutefois en assurer la « livraison ».
En réalité, le protocole IP traite les datagrammes IP indépendamment les uns des autres
en définissant leur représentation, leur routage et leur expédition.
Le protocole IP détermine le destinataire du message grâce à 3 champs :
 Le champ adresse IP : adresse de la machine
 Le champ masque de sous-réseau : un masque de sous-réseau permet au protocole
IP de déterminer la partie de l'adresse IP qui concerne le réseau

1910 janvier 2019
 Le champ passerelle par défaut : Permet au protocole Internet de savoir à quelle
machine remettre le datagramme si jamais la machine de destination n'est pas sur
le réseau local
Les données circulent sur Internet sous forme de datagrammes (on parle aussi de
paquets). Les datagrammes sont des données encapsulées, c'est-à-dire des données
auxquelles on a ajouté des en-têtes correspondant à des informations sur leur transport
(telles que l'adresse IP de destination).
Les données contenues dans les datagrammes sont analysées (et éventuellement
modifiées) par les routeurs permettant leur transit.
Voici ce à quoi ressemble un datagramme :
Figure 8:datagramme
 Version (4 bits) : il s'agit de la version du protocole IP que l'on utilise
(actuellement on utilise la version 4 IPv4) afin de vérifier la validité du
datagramme. Elle est codée sur 4 bits.
 Longueur d'en-tête, ou IHL pour Internet Header Length (4 bits) : il s'agit du
nombre de mots de 32 bits constituant l'en-tête (nota : la valeur minimale est 5).
Ce champ est codé sur 4 bits.
 Type de service (8 bits) : il indique la façon selon laquelle le datagramme doit
être traité.
 Longueur totale (16 bits): il indique la taille totale du datagramme en octets. La
taille de ce champ étant de 2 octets, la taille totale du datagramme ne peut
dépasser 65536 octets. Utilisé conjointement avec la taille de l'en-tête, ce champ
permet de déterminer où sont situées les données.
 Identification, drapeaux (flags) et déplacement de fragment sont des champs
qui permettent la fragmentation des datagrammes.
 Durée de vie appelée aussi TTL, pour Time To Live (8 bits) : ce champ indique
le nombre maximal de routeurs à travers lesquels le datagramme peut passer.
Ainsi ce champ est décrémenté à chaque passage dans un routeur, lorsque celui-
ci atteint la valeur critique de 0, le routeur détruit le datagramme. Cela évite
l'encombrement du réseau par les datagrammes perdus.
 Protocole (8 bits) : ce champ, en notation décimale, permet de savoir de quel
protocole est issu le datagramme

2010 janvier 2019
ICMP : 1
IGMP : 2
TCP : 6
UDP : 17
 Somme de contrôle de l'en-tête, ou en anglais header checksum (16 bits) : ce
champ contient une valeur codée sur 16 bits qui permet de contrôler l'intégrité de
l'en-tête afin de déterminer si celui-ci n'a pas été altéré pendant la transmission.
La somme de contrôle est le complément à un de tous les mots de 16 bits de l'en-
tête (champ somme de contrôle exclu). Celle-ci est en fait telle que lorsque l'on
fait la somme des champs de l'en-tête (somme de contrôle incluse), on obtient un
nombre avec tous les bits positionnés à 1
 Adresse IP source (32 bits) : Ce champ représente l'adresse IP de la machine
émettrice, il permet au destinataire de répondre
 Adresse IP destination (32 bits) : adresse IP du destinataire du message
III.6.4.2 La fragmentation des datagrammes IP :
Comme nous l'avons vu précédemment, la taille d'un datagramme maximale est de
65536 octets. Toutefois cette valeur n'est jamais atteinte car les réseaux n'ont pas une
capacité suffisante pour envoyer de si gros paquets. De plus, les réseaux sur Internet
utilisent différentes technologies, si bien que la taille maximale d'un datagramme varie
suivant le type de réseau.
La taille maximale d'une trame est appelée MTU (Maximum Transfer Unit), elle
entraînera la fragmentation du datagramme si celui-ci a une taille plus importante que
le MTU du réseau.
Tableau 1: MTU
La fragmentation d'un datagramme se fait au niveau des routeurs, c'est-à-dire lors de la
transition d'un réseau dont le MTU est important à un réseau dont le MTU est plus faible.
Si le datagramme est trop grand pour passer sur le réseau, le routeur va le fragmenter,
c'est-à-dire le découper en fragments de tailles inférieures au MTU du réseau et de telle
façon que la taille du fragment soit un multiple de 8 octets.
Le routeur va ensuite envoyer ces fragments de manière indépendante et les ré-
encapsuler (ajouter un en-tête à chaque fragment) de telle façon à tenir compte de la
nouvelle taille du fragment. De plus, le routeur ajoute des informations afin que la
machine de destination puisse réassembler les fragments dans le bon ordre. Rien ne dit
toutefois que les fragments arriveront dans le bon ordre, étant donné qu'ils sont
acheminés indépendamment les uns des autres.
Type Réseau MTU (octet)
APARNET 1000
ETHERNET 1500
FDDI 4470

2110 janvier 2019
Pour tenir compte de la fragmentation, chaque datagramme possède plusieurs champs
permettant leur réassemblage :
 Champ déplacement de fragment (13 bits) : champ permettant de connaître la
position du début du fragment dans le datagramme initial. L'unité de mesure de
ce champ est de 8 octets (le premier fragment ayant une valeur de zéro).
 Champ identification (16 bits) : numéro attribué à chaque fragment afin de
permettre leur réassemblage.
 Champ longueur totale (16 bits) : il est recalculé pour chaque fragment.
 Champ drapeau (3 bits) : il est composé de trois bits :
 Le premier n'est pas utilisé.
 Le second (appelé DF : Don't Fragment) indique si le datagramme
peut être fragmenté ou non. Si jamais un datagramme a ce bit
positionné à un et que le routeur ne peut pas l'acheminer sans le
fragmenter, alors le datagramme est rejeté avec un message d'erreur
 Le dernier (appelé MF : More Fragments, en français Fragments
à suivre) indique si le datagramme est un fragment de donnée (1). Si
l'indicateur est à zéro, cela indique que le fragment est le dernier
(donc que le routeur devrait être en possession de tous les fragments
précédents) ou bien que le datagramme n'a pas fait l'objet d'une
fragmentation
III.6.4.3 Le Routage :
Le routage IP fait partie intégrante de la couche IP de la suite TCP/IP. Le routage
consiste à assurer l'acheminement d'un datagramme IP à travers un réseau en empruntant
le chemin le plus court. Ce rôle est assuré par des machines appelées routeurs, c'est-à-
dire des machines reliées (reliant) au moins deux réseaux.
Nous avons deux versions d’adresse IP : IPV4 et IPV6 (codée sur 128 bits). IPV4 est la
première version d’IP à avoir été largement déployée et qui forme la base d’internet.
III.6.4.3.1. Internet Protocol version 4 (IPV4) :
Chaque interface d'un hôte IPv4 se voit attribuer une ou plusieurs adresses IP codées sur
32 bits. Au maximum 4 294 967 296 (soit 232) adresses peuvent donc être attribuées
simultanément en théorie (en pratique, un certain nombre ne sont pas utilisables). On
écrit toujours ces adresses sous la forme de 4 octets notés en décimal séparés par des
points.
Par exemple : 192.168.10.10
À l'origine, nous avons défini plusieurs classes d'adresses IP : les classes A, B, C et D.

2210 janvier 2019
 Classe A Le premier octet d’une adresse IP a une valeur strictement inférieure à
128. Ce premier octet désigne le numéro de réseau et les 3 autres correspondent
à l'adresse de l'hôte.
 Classe B Le premier octet a une valeur comprise entre 128 et 192. Les 2 premiers
octets désignent le numéro de réseau et les 2 autres correspondent à l'adresse de
l'hôte.
 Classe C Le premier octet a une valeur comprise entre 192 et 223. Les 3 premiers
octets désignent le numéro de réseau et le dernier correspond à l'adresse de l'hôte.
 Classe D Le premier octet a une valeur comprise entre 224 et 239. Il s'agit d'une
zone d'adresses dédiées aux services de multidiffusion.
 Classe E Le premier octet a une valeur supérieure à 240. Il s'agit d'une zone
d'adresses réservées aux expérimentations. Aujourd'hui, ces classes ont peu à peu
perdu leur signification puisque l'espace d'adressage IP a été redécoupé pour être
distribué plus équitablement grâce aux fonctions CIDR ou Classless Inter-
Domain Routing (c’est une méthode d'allocation des adresses IP et du routage
Internet Protocol paquets. L’Internet Engineering Task Force introduit CIDR en
1993 pour remplacer l'architecture précédente d'adressage de réseau basé sur des
classes de conception dans l’Internet. Leur but était de ralentir la croissance des
tables de routage sur les routeurs à travers l'Internet, et pour aider à ralentir
l’épuisement rapide des adresses IPv4.
Classe Debut FIN
A 0.0.0.0 127.255.255.255
B 128.0.0.0 191.255.255.255
C 192.0.0.0 223.255.255.255
D 224.0.0.0 239.255.255.0
E 240.0.0.0 255.255.255.255
Tableau 2: les classes d’adresse
Cependant nous avons deux catégories d’adresse ipv4:
 Les adresses ipv4 publiques
 Les adresses ipv4 privées
a. Les adresses IP privées :
Représentent toutes les adresses IP de classe A, B et C que l’on peut utiliser dans
un réseau local (LAN) c'est-à-dire dans le réseau de votre entreprise ou dans le
réseau domestique. De plus, les adresses IP privées ne peuvent pas être utilisées
sur internet (car elles ne peuvent pas être routées sur internet), les hôtes qui les
utilisent sont visibles uniquement dans votre réseau local. Les classes A, B et C
comprennent chacune une plage d’adresses IP privées à l’intérieur de la plage
globale.
 Les adresses privées de la classe A : 10.0.0.0 à 10.255.255.255.
 Les adresses privées de la classe B : 172.16.0.0 à 172.31.255.255.
 Les adresses privées de la classe C : 192.168.1.0 à 192.168.255.255.

2310 janvier 2019
b. Les adresse ipv4 publiques :
Contrairement aux adresses IP privées, les adresses IP publiques ne sont pas
utilisées dans un réseau local mais uniquement sur internet. Les routeurs (par
exemple : votre box) disposent d’une adresse IP publique côté internet, ce qui
rend votre box visible sur internet (elle répondra au ping). Mais aussi, lorsque
vous accédez à un site web vous utilisez l’adresse publique du serveur web.
Une adresse IP publique est unique dans le monde, ce qui n’est pas le cas des
adresses privées qui doivent être unique dans un même réseau local mais pas au
niveau planétaire étant donné que ces adresses ne peuvent pas être routées sur
internet.
Les adresses IP publiques représentent toutes les adresses IP des classes A, B et
C qui ne font pas partie de la plage d’adresses privées de ces classes ou des
exceptions de la classe A.
EXCEPTION : Le réseau 127.0.0.0 est réservé pour les tests de boucle locale avec
notamment l’adresse IP 127.0.0.1 qui est l’adresse « localhost » c'est-à-dire de boucle
locale de votre PC.
Le réseau 0.0.0.0 est lui aussi réservé (et utilisé notamment pour définir une route par
défaut sur un routeur).
VLSM (Variable-Length Subnet Mask):
La technique VLSM est une simple extension du découpage en sous-réseaux de base,
où une même adresse de classe A, B ou C est découpée en sous-réseaux à l'aide de
masques de longueurs différentes. La VLSM permet d'optimiser l'attribution des
adresses IP et offre davantage de souplesse dans l'affectation du nombre adéquat d'hôtes
et de sous-réseaux, à partir d'un nombre limité d'adresses IP.
Au fur et à mesure de l’expansion des sous-réseaux IP, les administrateurs ont cherché
des solutions pour utiliser l’espace d’adressage plus efficacement. Une des techniques
existantes s’appelle VLSM (Variable-Length Subnet Masks). Avec VLSM, un
administrateur réseau peut utiliser un masque long sur les réseaux qui ne comportent pas
beaucoup d’hôtes et un masque court sur les sous-réseaux qui comportent beaucoup
d’hôtes.
Pour pouvoir utiliser VLSM, un administrateur réseau doit utiliser un protocole de
routage compatible avec cette technique. Les routeurs Cisco sont compatibles avec
VLSM grâce aux solutions OSPF (Open Shortest Path First), Integrated IS-IS
(Integrated Intermediate System to Intermediate System), EIGRP (Enhanced Interior
Gateway Routing Protocol), RIPv2 ET au routage statique.
La technique VLSM permet à une entreprise d’utiliser plusieurs sous-masques dans le
même espace d'adressage réseau. La mise en œuvre de VLSM est souvent appelée «
subdivision d’un sous-réseau en sous-réseaux » et peut être utilisée pour améliorer
l’efficacité de l’adressage.

2410 janvier 2019
Avec les protocoles de routage par classes (classful), un réseau doit utiliser le même
masque de sous-réseau. Par conséquent, le réseau 192.168.187.0 doit utiliser un seul
masque de sous-réseau tel que 255.255.255.0.
VLSM est simplement une fonction qui permet à un système autonome unique d’inclure
des réseaux avec différents masques de sous-réseau. Si un protocole de routage autorise
VLSM, utilisez un masque de sous-réseau de 30 bits sur les connexions réseau,
255.255.255.252, un masque de sous-réseau de 24 bits sur les réseaux utilisateurs,
255.255.255.0, voire même un masque de sous-réseau de 22 bits, 255.255.252.0, sur les
réseaux pouvant accueillir jusqu’à 1000 utilisateurs.
Pourquoi la technique VLSM est importante ? :
Auparavant, il était recommandé de ne pas utiliser le premier et le dernier sous-réseau.
L’utilisation du premier sous-réseau (appelé sous-réseau zéro) pour l’adressage d’hôtes
était déconseillée en raison de la confusion possible lorsqu’un réseau et un sous-réseau
ont la même adresse. Pour la même raison, l’utilisation du dernier sous-réseau (appelé
sous-réseau tout à 1) était également déconseillée. On pouvait utiliser ces sous-réseaux,
mais ce n’était pas une pratique recommandée. Avec l’évolution des technologies de
réseau et la pénurie anticipée d’adresses IP, il est devenu acceptable d’utiliser le premier
et le dernier sous-réseau dans un réseau subdivisé en sous réseaux, en association avec
la technique VLSM.
CIDR (Classless Inter-Domain Routing) :
CIDR est une méthode de regroupement d'adresses IP utilisée sur le réseau Internet qui
remplace le mécanisme de classes d'adresses (y compris masque de sous-réseau parfois
utilisé à tort en remplacement de cidr), trop rigide.
III.6.4.3.2. Internet Protocol version 6 (IPV6) :
Le protocole IPv6 est conçu pour être le successeur de l'IPv4. L'IPv6 possède un plus
grand espace d'adressage (128 bits) pour un total de 340 sextillions d'adresses
disponibles (c'est-à-dire 340, suivi de 36 zéros). Toutefois, l'IPv6 ne se limite pas à la
multiplication des adresses. Lorsque l'IETF a commencé à développer un successeur à
l'IPv4, l'organisme a utilisé cette opportunité pour corriger les limites de l'IPv4 et
améliorer ce protocole. Par exemple, l'ICMPv6 (Internet Control Message Protocol
version 6) inclut la configuration automatique et la résolution d'adresse, fonctions
inexistantes dans le protocole ICMP pour l'IPv4 (ICMPv4).
Il existe trois types d'adresses IPv6 :
Monodiffusion : une adresse de monodiffusion IPv6 identifie une interface sur un
périphérique IPv6 de façon unique. Une adresse IPv6 source doit être une adresse de
monodiffusion.
Multidiffusion : une adresse de multidiffusion IPv6 est utilisée pour envoyer un seul
paquet IPv6 vers plusieurs destinations.

2510 janvier 2019
Anycast : une adresse anycast IPv6 est une adresse de monodiffusion IPv6 qui peut être
attribuée à plusieurs périphériques. Un paquet envoyé à une adresse anycast est
acheminé vers le périphérique le plus proche ayant cette adresse. Les adresses anycast
sortent du cadre de ce cours.
Contrairement à l'IPv4, l'IPv6 n'a pas d'adresse de diffusion. Cependant, il existe une
adresse de multidiffusion destinée à tous les nœuds IPv6 et qui offre globalement les
mêmes résultats.
Adresse Monodiffusion :
 Monodiffusion globale : Une adresse de diffusion globale est similaire à une
adresse IPv4 publique. Ces adresses sont uniques au monde et routables sur
Internet. Les adresses de diffusion globale peuvent être configurées de manière
statique ou attribuées dynamiquement.
 Link-local : Les adresses link-local sont utilisées pour communiquer avec
d'autres périphériques sur la même liaison locale. Dans le cadre de l'IPv6, le terme
« link » (ou liaison) fait référence à un sous-réseau. Les adresses link-local sont
confinées à une seule liaison. Leur caractère unique doit être confirmé
uniquement sur cette liaison, car elles ne sont pas routables au-delà de la liaison.
En d'autres termes, les routeurs ne transmettent aucun paquet avec une adresse
source ou de destination link-local. Les adresses link-local IPv6 se trouvent dans
la plage FE80::/10. /10 Indique que les 10 premiers bits sont 1111 1110 10xx
xxxx. Le premier hextet dispose d'une plage comprise entre 1111 1110 1000
0000 (FE80) et 1111 1110 1011 1111 (FEBF).
 Adresse locale unique L'adresse de monodiffusion locale unique est un autre type
d'adresse de monodiffusion. Les adresses IPv6 locales uniques ont certains points
communs avec les adresses privées RFC 1918 utilisées dans l'IPv4, mais
présentent également d'importantes différences. Des adresses locales uniques
sont utilisées pour l'adressage local au sein d'un site ou entre un nombre limité de
sites. Ces adresses ne doivent pas être routables sur le réseau IPV6 global et ne
doivent pas être traduites en adresses IPv6 globales. Les adresses locales uniques
sont comprises entre FC00::/7 et FDFF::/7.
III.6.4.4 TCP (Transmission Control Protocol) :
TCP (Transmission Control Protocol) est un protocole de couche de transport orienté
session et est destiné à fournir une connexion fiable entre deux systèmes pour échanger
des données. TCP garantit que tous les paquets sont reçus dans l’ordre. Cela permet de
s’assurer que les deux systèmes sont prêts à échanger des données et qu’ainsi aucune
information voyageant de l’un à l’autre ne sera égarée. Les services qui utilisent TCP
comme mécanisme de communication attendent les requêtes des clients sur des numéros
de port spécifiques. La fiabilité de TCP est mise en œuvre à travers l’utilisation d’un
acquittement (couramment appelé ACK ou ACKnowledged). Un ACK () est renvoyé
par un système destinataire à un système émetteur afin de lui signaler que le message
envoyé a été reçu sans erreur. Si l’émetteur ne reçoit pas d’ACK qui fait office d’accusé

2610 janvier 2019
de réception, il envoie de nouveau le message. Pour établir une connexion TCP, un
établissement en trois phases est échangé entre un système émetteur et un système
destinataire. Un lien de communication entre les deux machines est alors établi. Tout
commence par l’envoi d’un paquet SYN (Synchronise Sequence Numbers), qui sert à
établir la connexion, depuis le système émetteur vers le système de destination. Le
système de destination doit accuser réception du paquet SYN. Pour cela, il lui envoie un
paquet avec les deux drapeaux SYN et ACK. Enfin le système émetteur envoie un ACK
au destinataire avec les premières données. Tout ceci est illustré par la figure suivante :
Figure 9:transmission TCP
III.6.4.5 UDP (User Data Protocol) :
UDP (User Data Protocol) implémente un mécanisme non fiable et non connecté pour
envoyer des données. Plutôt que de fournir des techniques pour garantir la réception et
séquence de données, l’UDP laisse les applications de haut niveau prendre en charge les
paquets perdus ou désordonnés. Ce protocole permet l’envoi des messages appelée
datagramme en évitant la surcharge due à l’envoie des ACK et l’établissement de la
session. UDP est essentiellement utilisé par les communications de type diffusion.
III.6.4.6 ICMP (Internet Control Message Protocol) :
ICMP est un protocole de maintenance utilisé pour les tests et les diagnostics, qui
véhiculent des messages de contrôle. Il permet à deux systèmes d'un réseau IP de
partager des informations d'état et d'erreur. La commande ping utilise les paquets ICMP
de demande d'écho et de réponse à un écho afin de déterminer si un système IP donné
d'un réseau fonctionne. C'est pourquoi l'utilitaire ping est utilisé pour diagnostiquer les
défaillances au niveau d'un réseau IP ou des routeurs.
III.7 Fonctionnement général des protocoles applicatifs :
Pour désigner les informations transmises et leur enveloppe, selon le niveau concerné,
on parle de message (ou de flux) entre applications, de datagramme (ou segment) au
niveau TCP, de paquet au niveau IP, et enfin, de trames au niveau de l'interface réseau
(Ethernet ou Token Ring). Les protocoles du niveau application les plus connus sont:
 HTTP (Hyper Text Transfer Protocol) permet l'accès aux documents HTML et
le transfert de fichiers depuis un site WWW

2710 janvier 2019
 FTP (File Transfer Protocol) pour le transfert de fichiers s'appuie sur TCP et
établit une connexion sur un serveur FTP.
 Telnet pour la connexion à distance en émulation terminal, aux routeurs,
commutateurs et hôtes Unix/Linux.
 SSH (Secure Shell) pour la connexion sécurisée en émulateur terminal, aux
routeurs, commutateurs et hôtes
 SMTP (Simple Mail Transfer Protocol) pour la messagerie électronique (UDP et
TCP)
 SNMP (Simple Network Management Protocol) pour la gestion et la supervision
des équipement Hardware d’un réseau
 NFS (Network File System) pour le partage des fichiers Unix/Linux.
III.8 Les constituants d’un réseau:
III.8.1 Réseau local :
Un réseau local est défini comme l’ensemble des ressources téléinformatiques
permettant l’échange à haut débit de données entre équipements dans une zone
géographique privée (entreprise, hôpital, campus, …).
III.8.1.1 Le serveur :
En principe lorsque nous parlons d’un réseau, il ne faut pas oublier la notion de client
et serveur. Le serveur est une « grande machine » (en terme d’espace de stockage
surtout), dans le cas général, capable de gérer les ressources communes à tous les
utilisateurs et de fournir des services tels que le mail, le transfert de fichier, etc. De
nombreuses applications fonctionnent selon l’architecture client/serveur.
III.8.1.2 Le client :
Les clients sont les ordinateurs qui exploitent les services du serveur. Ces services sont
des programmes fournissant des données telles que l'heure, des fichiers, une connexion,
etc. Les services sont exploités par des programmes, appelés programmes clients,
s'exécutant sur les machines clientes. Nous parlons ainsi de client FTP, de client de
messagerie, etc., un programme, tournant sur une machine cliente, capable de traiter des
informations qu'il récupère auprès du serveur.
III.8.2 Les médias :
Ce sont les voies de communication ou supports utilisés dans le réseau. Ils peuvent être
métalliques ou optiques ou onde radio
a. Le câble coaxial :
Il est composé de deux conducteurs cylindriques séparés par une matière isolante
(comme dans du câble d'antenne) Il est utilisable sur 185 m (câble 10 B 2) ou 500
m (câble 10 B 5) Le débit est toutefois limité à 10Mbps (cordon BNC)
Connecteurs BNC et bouchons d’impédance Le câble coaxial s’utilise dans les
réseaux en bus. La paire torsadée : elle est formée de deux fils de cuivre spiral

2810 janvier 2019
entourée chacune des gaines isolantes ou plastiques. Le câble de paires torsadées
est formé de quatre paires.
b. La paire torsadée :
Il correspond à une version améliorée du câble téléphonique, le coût est faible
mais les performances s'amenuisent avec la distance. Il subit les interférences
électriques (câble RJ45). Le débit peut atteindre 100 Mbps (câble 100 BT) ou
1000 Mbps (câble 1000 BT). La distance est limitée à 100 m (au-delà le risque
de perte de données est important).
Il en existe deux types :
 Câbles droit : utilisée pour connecté les équipements différents.
 Câbles croisé : utilisé pour connecté les équipements de même nature.
c. La fibre optique :
Elle est utilisée dans les transmissions à haut débit. Il existe deux types qui sont
: monomode, type de câblage qui propage un faisceau et multimode qui est un
câble à fibre dans laquelle la source génératrice de lumière est une diode
lumineuse et elle supporte plusieurs fréquences de lumière.
La carte réseau (carte LAN – Carte Ethernet) :
Elle est installée sur chaque ordinateur (y compris sur le serveur) du réseau et sur les
imprimantes réseau. Elle permet de faire communiquer les ordinateurs entre eux (en
gérant la couche liaison de données du modèle OSI). Elle prend en charge la détection
des collisions sur un réseau Ethernet : une collision se produit lorsque 2 ordinateurs
envoient simultanément des informations. Les cartes réseaux ont une adresse physique
unique attribuée par le constructeur. Cette adresse, appelée adresse MAC (Media Access
Control) est essentielle car elle permet à une machine d’être reconnue par les autres
machines du réseau. La carte réseau se présente sous la forme d’une carte d’extension
connectée à un bus (généralement PCI) et comportant un connecteur RJ45 ou BNC ou
fibre. Certaines cartes réseaux sont polyvalentes (combo), elles comportent alors un
connecteur BNC permettant de relier le poste à un réseau en bus et un connecteur RJ45
permettant de relier le poste à un réseau en étoile.
III.8.3 Les équipements réseaux :
III.8.3.1 La carte réseau :
Il s'agit d'une carte connectée sur la carte-mère de l'ordinateur et permettant de
l'interfacer au support physique, c'est-à-dire à la ligne physique permettant de
transmettre l'information.
III.8.3.2 Le transceiver ou adapteur :
C’est une interface permettant le raccordement des deux types de câbles. Il permet
d'assurer la transformation des signaux circulant sur le support physique en signaux
logiques manipulables par la carte réseau, aussi bien à l'émission qu'à la réception.

2910 janvier 2019
III.8.3.3 Le répéteur :
C’est un dispositif matériel permettant d’étendre l’utilisation d’un média (fibre optique,
câble coaxial…) au-delà de ses capacités normales, en réémettant le signal et en
l’amplifiant.
III.8.3.4 Le pont :
C’est un équipement permettant l’interconnexion de deux réseaux de même type et
travaillant avec les mêmes protocoles. Il permet de filtrer le trafic sur un réseau pour
conserver le trafic local au niveau local et permettant ainsi d’établir une connectivité
avec d’autres parties du réseau. Comme chaque unité du réseau possède une adresse
MAC unique, le pont effectue le suivi de ces adresses et prend des décisions suivant la
valeur de ces adresses.
III.8.3.5 Le concentrateur ou hub :
C’est un périphérique de connexion de réseau local. Utilisé pour la connexion des
segments réseaux, le concentrateur comporte plusieurs ports. Lorsque les données
arrivent sur l’un des ports, elles sont copiées vers les autres et peuvent ainsi être lues et
manipulées par tous les utilisateurs du réseau. Ce système ancien est lent.
III.8.3.6 Le commutateur ou switch :
C’est un périphérique réseau central et en même temps, un dispositif électronique qui
permet de créer un réseau local de type Ethernet. Le commutateur analyse les données
arrivant sur ses ports d’entrée et filtre les données afin de les rediriger vers les ports des
hôtes destinataires. Cette technique réduit l’activité du réseau et offre une meilleure
bande passante par rapport à l’utilisation d’un hub.
III.8.3.7 Le routeur :
C’est un équipement qui dispose un certain nombre de ports. Son rôle consiste à
examiner les paquets entrants puis à choisir le meilleur chemin ou route pour les
transporter sur le réseau et pour les commuter vers un port de sortie. Sur les grands
réseaux (par exemple internet) le routeur sert de régulation de trafic. Il permet à
n’importe quel type d’ordinateur appartenant à un réseau quelconque de communiquer
avec n’importe quel autre ordinateur dans un autre réseau éparpillé dans le monde.
CONCLUSION :
Le développement fulgurant de la technologie a permis de créer le réseau informatique
qui permet de véhiculer les données. Ce chapitre montre le strict minimum sur les
notions de base sur les réseaux informatiques.

3010 janvier 2019
CHAPITRE IV ETUDE DE LA SECURITES RESEAUX
INTRODUCTION
L’univers des systèmes d’information composé de réseaux et d’architectures
informatiques complexes prend un rôle et une place chaque jour plus important dans les
entreprises. Cependant, l’actualité présentée par les médias nous démontre que ces
systèmes d’information sont vulnérables et qu’ils peuvent subir des piratages, des
attaques (virus, hackers...), des pertes de données, des sinistres. Il est donc indispensable
pour les organisations de savoir définir et garantir la sécurité de leurs ressources
informatiques.
Section 1 Le piratage informatique :
Tout accès à un système informatique, quels que soient les moyens utilisés pour y
parvenir, sans en avoir eu le droit fait partie de ce que l’on appelle « piratage
informatique ». Ses aspects sont innombrables : vol et/ou destruction d’informations
confidentielles, sabotage d’outils de travail informatique, détournement de ressources
informatiques dont l’espace disque ainsi que l’accès internet à haut débit.
IV.1 Les pirates informatiques :
Le plus grand nombre d’entre eux est constitué par les « kiddies », c’est-à-dire des
adolescents qui veulent épater leurs amis en prenant la main sur tel ou tel site plus ou
moins connu. Il n’est pas indispensable d’être un génie des systèmes et des réseaux pour
devenir un pirate informatique. Tout ce qu’il faut, c’est une petite dose de curiosité
ajoutée à la méconnaissance des risques encourus. Du point de vue pratique, tous les
outils sont disponibles sur le Web. Avec quelques mots-clés et un bon moteur de
recherche, un jeune pirate se trouvera en quelques minutes en possession d’une panoplie
d’outils permettant de prendre le contrôle d’une machine, quelque part dans le monde.
A l’autre extrême, un petit nombre de pirates est issu de la communauté des « crackers
». Eux par contre, ils étudient les failles des systèmes et écrivent des programmes
permettant d’en prendre le contrôle. Ils publient ces programmes qui sont alors mis en
œuvre par des « kiddies ». Les motivations d’un pirate sont diverses : satisfaire sa
curiosité, prouver qu’il est le meilleur et est capable de se jouer des mesures de sécurité
les plus strictes, obtenir des rémunérations offertes par des personnes ou entreprises
voulant saboter les outils informatiques de leur concurrent, ou tout simplement faire du
tort aux autres.
IV.1.2 Anatomie d’une attaque, Les cinq P :
Une attaque est souvent décrite à l'aide des 5 "p" : Prospecter, Pénétrer, Persister,
Propager, Paralyser

3110 janvier 2019
 Probe(Analyser) : Dans un premier temps, une personne mal intentionnée va
chercher les failles. Le but de cette phase est de dresser une cartographie du
réseau et d’obtenir des détails sur les systèmes. L’agresseur choisit ainsi une
attaque en fonction des vulnérabilités connues pour les versions des applications
utilisées ou explore la possibilité d’erreurs de configuration.
 Penetrate(Pénétrer) : Une fois ou plusieurs failles identifiées, le pirate va
chercher à les exploiter afin de pénétrer au sien du SI. Si l’agresseur n’a gagné
qu’un accès à un utilisateur sans privilèges, il tenterait d’obtenir l’accès à un
compte possédant des droits d’administration. L’attaque peut simplement
conduire au dysfonctionnement d’un service ou du système complet.
 Persist (Persister) : Le réseau infiltré, le pirate cherchera à y revenir facilement.
Pour cela, il installera par exemple des back Doors. Cependant, en général, il
corrigera la faille par laquelle il s'est introduit afin de s'assurer qu'aucun autre
pirate n'exploitera sa cible.
 Propagate(Propager) : Le réseau est infiltré, l'accès est pérenne. Le pirate pourra
alors explorer le réseau et trouver de nouvelles cibles qui l'intéresserait.
 Paralyze(Paralyser) : Les cibles identifiées, le pirate va agir et nuire au sein du
SI.
IV.1.3 Les différentes techniques d’attaque :
Les attaques des systèmes informatiques sont de plus en plus automatisées par les
pirates. Elles sont basées sur trois principes : l’attaque directe, l’attaque indirecte par
rebonds et l’attaque indirecte par réponse.
IV.1.3.1 L’attaque directe :
C'est la plus simple des attaques. L’hacker attaque directement sa victime à partir de son
ordinateur. La plupart des "script kiddies" utilisent cette technique. En effet, les
programmes de hack qu'ils utilisent ne sont que faiblement paramétrables, et un grand
nombre de ces logiciels envoient directement les paquets à la victime.
Figure 10:principe d'attaque direct
Si vous vous faites attaquer de la sorte, il y a de grandes chances pour que vous puissiez
remonter à l'origine de l'attaque, identifiant par la même occasion l'identité de
l'attaquant.

3210 janvier 2019
IV.1.3.2 L’attaque indirecte par rebonds :
Cette attaque est très prisée des hackers. En effet, le rebond a deux avantages :
Masquer l'identité (l'adresse IP) de l’hacker.
Éventuellement, utiliser les ressources de l'ordinateur intermédiaire car il est plus
puissant (CPU, bande passante...) pour attaquer.
Le principe en lui-même, est simple : Les paquets d'attaque sont envoyés à l'ordinateur
intermédiaire, qui répercute l'attaque vers la victime. D'où le terme de rebond.
Figure 11:pincipe d'attaque indirecte par rebond
L'attaque FTPBounce fait partie de cette famille d'attaque.
Si vous êtes victime de ce genre d'attaque, il n'est pas facile de remonter à la source.
Au plus simple, vous remontrez à l'ordinateur intermédiaire.
IV.1.3.3 L’attaque indirecte par réponse :
Cette attaque est un dérivé de l'attaque par rebond. Elle offre les mêmes avantages, du
point de vue de l’hacker. Mais au lieu d'envoyer une attaque à l'ordinateur intermédiaire
pour qu'il la répercute, l'attaquant va lui envoyer une requête. Et c'est cette réponse à la
requête qui va être envoyée à l'ordinateur victime.
Figure 12:principe d'attaque indirecte par reponse
Là aussi, il n'est pas aisé de remonter à la source...

3310 janvier 2019
IV.1.3.4 L’IP Spoofing :
L'IP Spoofing signifie usurpation d'adresse IP. Bien que cette attaque soit ancienne,
certaines formes d'IP Spoofing sont encore d'actualité. Effectivement, cette attaque peut
être utilisée de deux manières différentes :
 La première utilité de l'IP Spoofing va être de falsifier la source d'une attaque.
Par exemple, lors d'une attaque de type déni de service, l'adresse IP source des
paquets envoyés sera falsifiée pour éviter de localiser la provenance de l'attaque.
 L'autre utilisation de l'IP Spoofing va permettre de profiter d'une relation de
confiance entre deux machines pour prendre la main sur l'une des deux.
IV.1.3.5 L’hijacking :
Le « vol de session TCP » (également appelé détournement de session TCP ou en
anglais TCP session hijacking) est une technique consistant à intercepter une session
TCP initiée entre deux machine afin de la détourner.
Dans la mesure où le contrôle d'authentification s'effectue uniquement à l'ouverture de
la session, un pirate réussissant cette attaque parvient à prendre possession de la
connexion pendant toute la durée de la session. Très souvent c’est une attaque qui vient
de l’intérieur c.-à-d. au sein de l’entreprise.
IV.1.4 Les principales attaques :
IV.1.4.1 Virus :
Un virus est un bout de code à l'intérieur d'un programme. Celui-ci a la particularité de
se propager à d'autres ordinateurs et peut être plus ou moins destructeur. Les virus
peuvent infecter une machine de différentes manières :
 Téléchargement de logiciel puis exécution de celui-ci sans précautions,
 Ouverture sans précautions de documents contenant des macros,
 Pièce jointe de courrier électronique (exécutable, script type VBs: script Visual
Basic…),
 Ouverture d’un courrier au format HTML contenant du JavaScript exploitant une
faille de sécurité du logiciel de courrier (normalement, le JavaScript est sans
danger).
 Exploitation d’un bug du logiciel de courrier. Les virus peuvent être très
virulents. Mais ils coûtent aussi beaucoup de temps en mise en place d’antivirus
et dans la réparation des dégâts causés. On peut malheureusement trouver
facilement des logiciels capables de générer des virus et donc permettant à des «
amateurs » (aussi appelés « crackers ») d’étaler leur incompétence.
IV.1.4.2 Deni de service (DoS) :
Une attaque DOS permet de rendre indisponible un service en envoyant pleins de
requêtes pour saturer le service. Un DDOS (Distributer DOS) permet de faire la même
chose mais avec plusieurs machines sous le contrôle de l'attaquant.

3410 janvier 2019
Il peut s’agir de :
 L’inondation d’un réseau afin d'empêcher son fonctionnement ;
 La perturbation des connexions entre deux machines, empêchant l'accès à un
service particulier ;
 L’obstruction d'accès à un service à une personne en particulier.
L'attaque par déni de service peut ainsi bloquer un serveur de fichier, rendre impossible
l'accès à un serveur web, empêcher la distribution de courriel dans une entreprise ou
rendre indisponible un site internet.
IV.1.4.3 Ecoute du réseau (sniffing) :
Il existe des logiciels qui, à l’image des analyseurs de réseau, permettent d’intercepter
certaines informations qui transitent sur un réseau local, en retranscrivant les trames
dans un format plus lisible (Network packet sniffing). C’est l’une des raisons qui font
que la topologie en étoile autour d'un hub n’est pas la plus sécurisée, puisque les trames
qui sont émises en « broadcast » sur le réseau local peuvent être interceptées. De plus,
l’utilisateur n’a aucun moyen de savoir qu’un pirate a mis son réseau en écoute.
IV.1.4.4 L’intrusion :
L'intrusion dans un système informatique a généralement pour but la réalisation d’une
menace et est donc une attaque. Les conséquences peuvent être catastrophiques : vol,
fraude, incident diplomatique, chantage… Ce type d'attaque consiste à exploiter une
vulnérabilité d'une application en envoyant une requête spécifique, non prévue par son
concepteur, ayant pour effet un comportement anormal conduisant parfois à un accès au
système avec les droits de l'application.
IV.1.4.5 Cheval de Troie :
L’image retenue de la mythologie est parlante. Le pirate, après avoir accédé à votre
système ou en utilisant votre crédulité, installe un logiciel qui va, à votre insu, lui
transmettre par Internet les informations de vos disques durs. Un tel logiciel, aussi
appelé troyen ou « trojan », peut aussi être utilisé pour générer de nouvelles attaques sur
d’autres serveurs en passant par le vôtre. Certains d’entre eux sont des « key logger »
c'est-à-dire qu’ils enregistrent les frappes faites au clavier.
IV.1.4.6 L’ingénierie sociale et l’irresponsabilité :
Lorsque quelqu’un désire pénétrer dans un système informatique, l’une de ses armes est
le ”bluff”. Il n’y a généralement pas d’attaques réussies sans relations humaines.
L’ingénierie sociale (social engineering), elle est basée sur quatre grands principes:
 Le contexte : En ayant une bonne connaissance de l’organigramme de l’entreprise
cela permet à l’agresseur d’avoir d’ores et déjà un pied dans l’entreprise. Le but
en général est de connaître qu’elles sont les personnes qui sont en droit de
demander telles ou telles informations, et également à qui les demander, dans le
but de se faire ultérieurement passer pour elles.

3510 janvier 2019
 L’audace ou le bluff : Le bavardage et l’art de la parole sont deux qualités
indispensables lorsque l’on veut utiliser le « social engineering ». Il s’agit ici
d’avoir suffisamment d’appoint et de connaissances techniques afin de faire
croire à l’interlocuteur qu’il a affaire à un responsable technique de l’entreprise
(ou d’un fournisseur de service).
 La chance : La chance est également une part importante dans le « social
engineering », cela ne marche pas à chaque fois ! Il faut de la pratique afin de
bien maîtriser le séquencement du dialogue à établir.
 La patience calculée : Il faut de plus savoir se montrer patient afin d’obtenir les
informations désirées. Malgré tout, la méthode du ”social engineering” demande
une certaine rapidité (maximum : 1 heure) pour obtenir les informations voulues.
Passé ce délai, il est préférable de changer d’entreprise ou d’attendre quelques
jours afin de ne pas éveiller les soupçons.
 La patience calculée : Il faut de plus savoir se montrer patient afin d’obtenir les
informations désirées. Malgré tout, la méthode du ”social engineering” demande
une certaine rapidité (maximum : 1 heure) pour obtenir les informations voulues.
Passé ce délai, il est préférable de changer d’entreprise ou d’attendre quelques
jours afin de ne pas éveiller les soupçons.
a. Phishing – hameçonnage :
Le phishing consiste à faire croire qu'on est un tiers de confiance (ex: une banque). Cela
peut se faire par e-mail ou par un "faux" site Web ayant une interface identique à
l'original.
b. Les hoaxs :
Un Hoax est un canular informatique. Il s'agit d'un e-mail contenant de la fausse
information et qui nous incite à l'envoyer à nos proches.
c. Les Spams :
Le spam est l'envoi massif d'e-mails non sollicités à généralement des fins publicitaires.
IV.1.4.7 Man in the middle (MITM):
L'attaque man-in-the-middle (MITM) ou « attaque de l'homme du milieu » est une
technique de piratage informatique consistant à intercepter des échanges cryptés entre
deux personnes ou deux ordinateurs pour décoder les messages. L'attaquant doit donc
être capable de recevoir les messages des deux parties et d'envoyer des réponses à une
partie en se faisant passer pour l'autre. Le biais le plus couramment employé pour ce
type d'attaque est une connexion Internet entre des ordinateurs et/ou des terminaux
mobiles.
L'objectif principal d'une attaque MITM est de pouvoir espionner les
communications voire, dans certains cas, modifier des contenus. Il existe différentes
techniques parmi lesquelles :

3610 janvier 2019
 l'empoisonnement d'un serveur DNS (DNS poisoning) ;
 le déni de service (DoS) ou l'imposture ARP (Address Resolution Protocol) qui
consiste détourner les communications sur un réseau local en se faisant passer
pour un relai physique.
Section 2 : La Sécurité Informatique :
IV.2.1 Principe de la sécurité :
Avant de pouvoir sécuriser un réseau informatique, il faut d’abord établir certains
principes pour identifier les éléments à protéger.
IV.2.1.1 Politique de sécurité :
Le système d'information, constituer de moyens informatiques, est essentiel à l'activité
de l'organisation. L'utilisation inappropriée du SI, ou son mal fonctionnement peuvent
menacer l'existence de l'organisation. En analysant et définissant les risques, l'on peut
construire une politique de sécurité du SI, définissant le cadre d'utilisation des moyens
informatiques.
La politique de sécurité informatique fixe les principes visant à garantir la protection
des ressources informatiques et de télécommunications en tenant compte des intérêts de
l'organisation et de la protection des utilisateurs.
Les ressources informatiques et de télécommunications doivent être protégées afin de
garantir confidentialité, intégrité et disponibilité des informations qu'elles traitent, dans
le respect de la législation en vigueur.
La politique de sécurité informatique s'applique à toute personne utilisant les ressources
informatiques et de télécommunications de l'organisation. L'utilisation des ressources
informatiques et de télécommunications est étendue au matériel personnel connecté au
réseau informatique, dans la mesure où une telle connexion aura été dument autorisée.
IV.2.1.2 Objectifs de la sécurité informatique :
La sécurité informatique c’est l’ensemble des moyens mis en œuvre pour réduire la
vulnérabilité d’un système contre les menaces accidentelles ou intentionnelles. Il
convient d'identifier les exigences fondamentales en sécurité informatique. Elles
caractérisent ceux à quoi s'attendent les utilisateurs de systèmes informatiques en regard
de la sécurité :
 Disponibilité :
La disponibilité des données a pour but de maintenir en condition opérationnelle
tous les équipements, logiciels qui composent l'infrastructure informatique d'une
société. L'attribution de bande passantes et de mesures pour éviter les éventuelles
latences est également une composante de ce principe. La disponibilité repose
sur des techniques de redondance (multiplication d'un équipement assurant le
même service), de bascule en cas d'indisponible.

3710 janvier 2019
 Confidentialité :
La confidentialité des données est un des aspects fondamentaux de la gestion des
données au sein d’un système d’information. Des mesures de tous types peuvent
être établies afin d’assurer que les données soient vues par les personnes
autorisées : les mesures physiques sont communément mises en place pour
accorder l’accès aux bonnes personnes comme l’installation d’un lecteur
biométrique à l’entrée de locaux informatiques. D’autres mesures logiques
peuvent être configurées notamment sur des équipements, comme des règles de
flux venant d’un pare-feu, ou encore une gestion des groupes et des autorisations
associées.
 L’authentification :
Assurer qu’une personne ou une entité soit bien celle qu’elle prétend être, cela
inclut donc de pouvoir vérifier la véracité de ses propos à son égard.
 Intégrité :
L’intégrité est un autre aspect de la gestion des données. Il s’agit ici de s’assurer
par divers moyens que les données ne soient pas altérées au cours de leur
acheminement. Il est impensable de faire fonctionner une infrastructure critique
avec des données erronées ou changées.
 La non-répudiation :
Joue un rôle majeur également dans la sécurité. L’objectif est de n’empêcher
toute personne de dénier le fait d’avoir effectué certaines actions, donc de pouvoir
consulter un historique complet des actions faites avec un horodatage précis. Cet
aspect de la sécurité a un impact évident sur la disponibilité, puisqu’il s’applique
aussi sur la possibilité d’une erreur humaine qui aurait pour conséquence une
interruption de service.
IV.2.1.3 Modèle de Sécurité :
Un modèle de sécurité repose sur des méthodes formelles pour exprimer sans ambiguïté
les contraintes d’une politique de sécurité.
 Structure de données
 Techniques pour s’assurer de la cohérence
 Relations mathématiques
 Automates à états finis
 La Méthode Bell-LaPadula :
Modèle développé au début des années 70 par D. Elliot Bell et Leonard LaPadula du
MITRE. Projet d’un système d’exploitation en temps partagé sécurisé pour les
applications militaires
Modèle dont le principal objectif est de s’assurer de la confidentialité des informations.
Niveau d’habilitation des sujets (…, top secret, secret, confidentiel,)
Classification des objets (…, top secret, secret, confidentiel, …)

3810 janvier 2019
L’objectif de ce modèle est de prévenir qu’un sujet n’obtienne de l’information d’une
classe supérieure seul ou grâce à un complice.
 La Méthode BIBA :
Modèle développé au milieu des années 70 par Ken Biba du MITRE. Modèle dont le
principal objectif est de s’assurer de l’intégrité des informations.
Niveau d’habilitation des sujets (…, top secret, secret, confidentiel, …)
Classification des objets (…, top secret, secret, confidentiel, …) L’objectif de ce modèle
est de prévenir qu’un sujet ne contamine de l’information d’une classe supérieure.
IV.2.1.4 Etude des risques :
Les coûts d'un problème informatique peuvent être élevés et ceux de la sécurité le sont
aussi. Il est nécessaire de réaliser une analyse de risque en prenant soin d'identifier les
problèmes potentiels avec les solutions avec les coûts associés. L'ensemble des solutions
retenues doit être organisé sous forme d'une politique de sécurité cohérente, fonction du
niveau de tolérance au risque. On obtient ainsi la liste de ce qui doit être protégé. Il faut
cependant prendre conscience que les principaux risques restent : les câbles arrachés, la
coupure secteur, le crash disque, le mauvais profil utilisateur, etc. Cependant, voici
quelques éléments pouvant servir de base à une étude de risque:
 La valeur des équipements, des logiciels et surtout des informations ;
 Le coût et le délai de remplacement de ces derniers;
 L’analyse de vulnérabilité des informations contenues sur les ordinateurs en
réseau (programmes d'analyse des paquets, des logs etc.) ;
 L’impact sur la clientèle d'une information publique concernant des intrusions
sur les ordinateurs de la société.
IV.2.2 Les stratégies de sécurité :
Pour se protéger contre les menaces des pirates informatiques, le déploiement de la
sécurité informatique est devenu inévitable. Pour ce faire, différentes stratégies ont été
adoptées
IV.2.2.1 Le principe de moindre privilège :
Le principe de sécurité le plus basique est celui du moindre privilège. À la base, il
signifie que toute entité (utilisateur, programme, système, …) ne doit disposer que des
privilèges (ou droit) dont il a besoin pour effectuer ses tâches assignées. Cela limite
l’exposition aux attaques ainsi que les dommages occasionnés.
IV.2.2.2 La sécurité par l’hôte :
L'intégrité de l'hôte s'assure que les ordinateurs client sont protégés et conformes avec
les politiques de sécurité de votre entreprise. Vous utilisez des politiques d'intégrité de
l'hôte pour définir, appliquer et restaurer la sécurité des clients afin de garantir la sécurité
des réseaux et des données d'entreprise.

3910 janvier 2019
IV.2.2.3 La sécurité par réseau :
Au fur et à mesure que les environnements croissent en taille et en diversité, et que leur
sécurisation machine par machine devient difficile, de plus en plus de sites se tournent
vers un modèle de sécurité par réseau. Dans ce cas de figure, on met l’accent sur le
contrôle de l’accès réseau aux divers serveurs et aux services qu’ils offrent au lieu de
les sécuriser un par un. Ce modèle inclut donc la réalisation de systèmes de filtrage
puissants que sont les pare-feux pour restreindre les communications entre le réseau
interne à protéger et le réseau extérieur.
IV.2.3 Etat de la sécurité informatique :
En dépit de la perpétuelle évolution de la technologie informatique, un fait demeure : à
une nouvelle technologie est associé un lot de vulnérabilités. Ce sont, soit des erreurs de
conception, soit des erreurs de programmation ou « bugs ». Si ce n’était pas le cas, il ne
serait pas nécessaire de s’inquiéter de la sécurité d’un système d’information. C’est pour
cela que la sécurité ne peut être sûre à 100 %. De plus, les systèmes de sécurité sont
faits, gérés et configurés par des hommes. La sécurité d’un système est souvent chère et
difficile. Certaines organisations n’ont pas de budget pour ça. D’autres acceptent de
courir le risque, pour eux la sécurité n’est pas une priorité.
IV.2.4 La meilleure façon de procéder :
Recourir à des outils logiciels et matériels n’est pas le plus important pour mieux
protéger un réseau des éventuelles attaques. Il s’agit plutôt d’une politique bien fondée
et de méthode cohérente.
IV.2.4.1 Identification des informations à protéger :
Un serveur contient des informations sensibles. Si personne ne consulte régulièrement
ces informations, il n’y a aucune raison de les laisser sur le serveur connecté au réseau.
Quant aux données utilisées par certains utilisateurs, la mise en place d’un contrôle
d’accès sérieux sur le serveur concerné est indispensable pour assurer l’authentification.
De même, chaque ordinateur ne sera accessible que par un login et un mot de passe.
Cependant, rien ne sert de sécuriser le réseau pour empêcher l’espionnage si quelqu’un
peut s’emparer du disque dur. Un serveur contenant des informations sensibles doit être
physiquement protégé.
IV.2.4.2 Recherche des failles de sécurité avant les pirates :
Les « crackers » utilisent des logiciels connus pour détecter les erreurs de configuration,
les erreurs de programmation des systèmes utilisés dans le réseau cible. L’idéal pour un
administrateur réseau serait de trouver ces « bugs » avant le pirate et de les corriger à
temps avant qu’ils soient exploités par des personnes malveillantes. La méthode pour la
détection des failles est la même que celle utilisée par l’attaquant.

4010 janvier 2019
IV.2.4.3 Suivi et gestion quotidien du système d’information :
Le système informatique parfaitement inviolable n’existe pas. Au cours du temps,
l’administrateur système et réseau améliore la sécurité du système dont il a la gestion,
tandis que le pirate, lui, trouve de nouvelles failles plus ingénieuses. La sécurité
informatique est un domaine où la surenchère est permanente. Découvrir rapidement
une compromission ou une tentative de compromission permet d’éviter ou de limiter
l’étendue des dommages. D’où la nécessité d’une surveillance régulière pour une
détection efficace des attaques. Un système bien protégé est avant tout un système mis
à jour.
Section 3 Technologies importantes de la sécurité des réseaux :
Chaque ordinateur connecté à internet (et d'une manière plus générale à n'importe quel
réseau informatique) est susceptible d'être victime d'une attaque d'un pirate
informatique. La méthodologie généralement employée par le pirate informatique
consiste à scruter le réseau (en envoyant des paquets de données de manière aléatoire) à
la recherche d'une machine connectée, puis à chercher une faille de sécurité afin de
l'exploiter et d'accéder aux données s'y trouvant. Ainsi, il est nécessaire, autant pour les
réseaux d'entreprises que pour les internautes possédant une connexion de type câble ou
ADSL, de se protéger des intrusions réseaux en installant un dispositif de protection. En
fait, quel que soit le rôle que nous jouons, attaquant ou défenseur, nous utilisons des
outils similaires. Car toute personne qui voudra protéger son réseau aura à cœur de le
tester lui-même, et tout intrus voudra d’abord se protéger lui-même, soit des gens
comme lui, soit du défenseur.
IV.3.1 L’antivirus :
Un antivirus est un logiciel informatique destiné à identifier et à effacer des logiciels
malveillants (malwares en anglais), également appelés virus, Chevaux de Troie ou vers
selon les formes.
L'antivirus analyse les fichiers entrants (fichiers téléchargés ou courriers électroniques)
et, périodiquement, la mémoire vive de l'ordinateur et les périphériques de stockage
comme les disques durs, internes ou externes, les clés USB et les cartes à mémoire
Flash.
La détection d'un logiciel malveillant peut reposer sur trois méthodes :
 Reconnaissance d'un code déjà connu (appelé signature) et mémorisé dans
une base de données ;
 analyse du comportement d'un logiciel (méthode heuristique) ;
 Reconnaissance d'un code typique d'un virus.
IV.3.2 La cryptographie :
La cryptographie permet l'échange sûr des renseignements privés et confidentiel. Un
texte compréhensible est converti en texte inintelligible (chiffrement), en vue de sa

4110 janvier 2019
transmission d'un poste de travail à un autre. Sur le poste récepteur, le texte chiffré est
reconverti en format intelligible (déchiffrement). On peut également utiliser la
cryptographie pour assurer l'authentification, la non-répudiation et l'intégrité de
l'information, grâce à un processus cryptographique spécial appelé signature numérique.
Celle-ci permet de garantir l'origine et l'intégrité de l'information échangée, et aussi de
confirmer l'authenticité d'un document.
IV.3.2.1 Cryptographie Symétrique :
La cryptographie symétrique encore appelée cryptographie classique repose sur
l'utilisation d'une « clef » mathématique qui sert au chiffrement et au déchiffrement des
données. Ainsi, pour faire parvenir un message de façon sûre, il faut le chiffrer à l'aide
d'une clef connue uniquement de l'expéditeur et du destinataire, puis faire parvenir au
destinataire prévu à la fois le message et la clef de façon à ce que seul celui-ci puisse
décoder le message.
IV.3.2.2 Cryptographie Asymétrique :
La cryptographie asymétrique encore appelée cryptographie à clef publique utilise deux
clefs. La première demeure privée, tandis que la seconde est publique. Si l'on utilise la
clef publique pour chiffrer un message, la clef privée permet de le déchiffrer. Autrement
dit, il suffit de chiffrer un message à expédier à l'aide de la clef publique du destinataire,
et ce dernier peut ensuite utiliser la clef privée pour le déchiffrer.
IV.3.3 Les VPN (virtual privé Network) :
Un VPN est un tunnel (nous pouvons aussi parler de liaison virtuelle) sécurisé
permettant la communication entre deux entités y compris au travers de réseaux peu sûrs
comme peut l’être le réseau Internet. Cette technologie, de plus en plus utilisée dans les
entreprises, permet de créer une liaison virtuelle entre deux réseaux physiques distants
de manière transparente pour les utilisateurs concernés. Les données envoyées au travers
de ces liaisons virtuelles sont chiffrées, ceci garantit aux utilisateurs d’un VPN qu’en
cas d’interception malveillante les données soient illisibles.
IV.3.3.1 Fonctionnement :
Comment fonctionne un réseau privé virtuel ? Un VPN repose sur un ou des protocoles,
appelé protocoles de tunnelisation (ou tunneling). Comme énoncé dans l’introduction,
ce sont des protocoles permettant aux données passant entre deux réseaux physiques
d’être sécurisées par des algorithmes de chiffrage. On utilise d’ailleurs le terme de «
tunnel » pour mettre l’accent sur le fait qu’entre l’entrée et la sortie d’un VPN les
données sont chiffrées et protégées. Lorsqu’un VPN est établi entre deux réseaux
physiques, l’élément qui permet de chiffrer et de déchiffrer les données du coté client
(ou utilisateur) est nommé « Client VPN ». On appelle « Serveur VPN » l’élément qui
chiffre et qui déchiffre les données du côté de l’organisation.

4210 janvier 2019
Figure 13:Architcture VPN client-serveur
Dans les faits, nous établissons une connexion sécurisée avec le serveur qui nous
propose le service VPN. Ce serveur VPN nous connecte sur Internet en masquant notre
adresse IP par son adresse IP.
Une communication VPN peut donc être de client à serveur mais il est à prendre en
considération qu’elle peut aussi se faire de serveur à serveur.
Il existe d’autres types d’utilisation des VPN :
L'intranet VPN, qui est utilisé pour relier deux intranets entre eux. Ce type de VPN est
utile pour les entreprises possédant plusieurs sites distants. Le plus important avec ce
type de VPN est de garantir la sécurité et l'intégrité des données.
Figure 14: Architecture VPN site to site
IV.3.3.2 Les principaux protocoles de tunneling :
Concernant les principaux protocoles de tunnelisation :
L2F (Layer Two Forwarding) qui est un protocole de niveau 2 développé par Cisco,
Northern Telecom et Shiva. A noter qu’il est désormais obsolète.
PPTP (Point-to-Point Tunneling Protocol) qui est aussi un protocole de niveau 2
développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
L2TP (Layer Two Tunneling Protocol), protocole de niveau 2 s’appuyant sur PPP, et
qui fait converger les fonctionnalités de PPTP et L2F.

4310 janvier 2019
GRE (Generic Routing Encapsulation), développé par Cisco, mais qui est souvent
remplacé par L2TP.
IPSec, un protocole de niveau 3, issu des travaux de l’IETF (Internet Engineering Task
Force, groupe participant à l’élaboration des standards Internet). Il permet de transporter
des données chiffrées pour les réseaux IP.
SSL (Secure Sockets Layer), quant à lui, offre une très bonne solution de tunnelisation.
L'avantage de cette solution est de permettre l'utilisation d'un navigateur Web comme
client VPN : on peut accéder à ce type de VPN avec un navigateur web via « https ».
Dans les faits, il permet aux utilisateurs de mettre en place une connexion sécurisée au
réseau depuis n’importe quel navigateur Web.
IV.3.4 Le pare-feu ou firewall :
Le firewall, appelé encore pare-feu ou garde-barrière est une barrière contre l’intrusion
à partir de l’internet c’est-à-dire que c’est un programme et/ou un matériel chargé de
protéger le réseau local du monde extérieur et de certains programmes malveillants
placés sur l’ordinateur. Il est conçu pour isoler le réseau local privé des flammes de
l’internet ou encore de protéger la pureté des membres de ce même réseau. De nos jours,
toutes les entreprises possédant un réseau local possèdent aussi un accès à Internet afin
d'accéder à la manne d'information disponible sur le réseau des réseaux et de pouvoir
communiquer avec l'extérieur. Cette ouverture vers l'extérieur est indispensable et
dangereuse en même temps. Ouvrir l'entreprise vers le monde signifie aussi laisser place
ouverte aux étrangers pour essayer de pénétrer le réseau local de l'entreprise, et y
accomplir des actions douteuses, parfois gratuites, de destruction, de vol d'informations
confidentielles. Les mobiles sont nombreux et dangereux. Pour parer à ces attaques, une
architecture sécurisée est nécessaire. Pour cela, le cœur d'une telle architecture est basée
sur un firewall.
IV.3.4.1 Principe :
Pour assurer efficacement ses tâches, un pare-feu ou firewall doit être physiquement
intercalé entre le réseau qu’il protège et l’extérieur. Cet outil a pour but de sécuriser au
maximum le réseau local de l'entreprise, de détecter les tentatives d'intrusion et d'y parer
au mieux possible. Cela représente une sécurité supplémentaire rendant le réseau ouvert
sur Internet beaucoup plus sûr. De plus, il peut permettre de restreindre l'accès du réseau
interne vers le réseau externe. En effet, des employés peuvent s'adonner à des activités
que l'entreprise ne cautionne pas, le meilleur exemple étant le jeu en ligne. En plaçant
un firewall limitant ou interdisant l'accès à ces 37 services, l'entreprise peut donc avoir
un contrôle sur les activités se déroulant dans son enceinte. Le firewall propose donc un
véritable contrôle sur le trafic réseau de l'entreprise. Il permet d'analyser, de sécuriser et
de gérer le trafic réseau, et ainsi d'utiliser le réseau de la façon pour laquelle il a été
prévu d’utiliser et sans l'encombrer avec des activités inutiles, et d'empêcher une
personne sans autorisation d'accéder à ce réseau de données.

4410 janvier 2019
Figure 15:Architecture d'un pare-feu
IV.3.4.2 Les différents types de pare-feu ou firewall :
a. Le firewall bridge :
Ces derniers sont relativement répandus. Ils agissent comme de vrais câbles réseau avec
la fonction de filtrage en plus, d'où leur appellation de firewall. Leurs interfaces ne
possèdent pas d'adresse IP, et ne font que transférer les paquets d'une interface a une
autre en leur appliquant les règles prédéfinies. Cette absence est particulièrement utile,
car cela signifie que le firewall est indétectable pour un hacker lambda. En effet, quand
une requête ARP est émise sur le câble réseau, le firewall ne répondra jamais. Ses
adresses Mac ne circuleront jamais sur le réseau, et comme il ne fait que transmettre les
paquets, il sera totalement invisible sur le réseau. Cela rend impossible toute attaque
dirigée directement contre le firewall, étant donné qu'aucun paquet ne sera traité par ce
dernier comme étant sa propre destination. Donc, la seule façon de le contourner est de
passer outre ses règles de drop. Toute attaque devra donc faire avec ses règles, et essayer
de les contourner. Dans la plupart des cas, ces derniers ont une interface de configuration
séparée. Un câble vient se brancher sur une troisième interface, série ou même Ethernet,
et qui ne doit être utilisée que ponctuellement et dans un environnement sécurisé de
préférence. Ces firewalls se trouvent typiquement sur les switches.
b. Les firewalls matériels :
Ils se trouvent souvent sur des routeurs achetés dans le commerce par de grands
constructeurs comme Cisco, Juniper ou Nortel. Intégrés directement dans la machine,
ils font office de boite noire, et ont une intégration parfaite avec le matériel. Leur
configuration est souvent relativement ardue, mais leur avantage est que leur interaction
avec les autres fonctionnalités du routeur est simplifiée par leur présence sur le même
équipement réseau.
Souvent relativement peu flexibles en terme de configuration, ils sont aussi peu
vulnérables aux attaques, car présent dans la boite noire qu'est le routeur. De plus, étant
souvent très liés au matériel, l'accès à leur code est assez difficile, et le constructeur a
eu toute latitude pour produire des systèmes de codes signés afin d'authentifier le

4510 janvier 2019
logiciel. Ce système n'est implanté que dans les firewalls haut de gamme, car cela évite
un remplacement du logiciel par un autre non produit par le fabricant, ou toute
modification de ce dernier, rendant ainsi le firewall très sûr. Son administration est
souvent plus aisée que les firewalls bridges, les grandes marques de routeurs utilisant
cet argument comme argument de vente. Leur niveau de sécurité est de plus très bon,
sauf découverte de faille éventuelle comme tout firewall. Néanmoins, il faut savoir que
l'on est totalement dépendant du constructeur du matériel pour cette mise à jour, ce qui
peut être, dans certains cas, assez contraignant. Enfin, seules les spécificités prévues par
le constructeur du matériel sont implémentées. Cette dépendance induit que si une
possibilité nous intéresse sur un firewall d'une autre marque, son utilisation est
impossible. Il faut donc bien déterminer à l'avance ses besoins et choisir le constructeur
du routeur avec soin.
c. Les firewalls logiciels :
Présents à la fois dans les serveurs et les routeurs « faits maison », on peut les classer
en plusieurs catégories :
 Les firewalls personnels Ils sont assez souvent commerciaux et ont pour but de
sécuriser un ordinateur particulier, et non pas un groupe d'ordinateurs. Souvent
payants, ils peuvent être contraignants et quelque fois très peu sécurisés. En effet,
ils s'orientent plus vers la simplicité d'utilisation plutôt que vers l'exhaustivité,
afin de rester accessible à l'utilisateur final.
 Les firewalls plus « sérieux »
Tournant généralement sous linux, car cet OS (Operating System) offre une
sécurité réseau plus élevée et un contrôle plus adéquat, ils ont généralement pour
but d'avoir le même comportement que les firewalls matériels des routeurs, à ceci
près qu'ils sont configurables à la main. Le plus courant est iptables
(anciennement ipchains), qui utilise directement le noyau linux. Toute
fonctionnalité des firewalls de routeurs est potentiellement réalisable sur une telle
plateforme. Ces firewalls logiciels ont néanmoins une grande faille : ils n'utilisent
pas la couche bas réseau. Il suffit donc de passer outre le noyau en ce qui concerne
la récupération de ces paquets, en utilisant une librairie spéciale, pour récupérer
les paquets qui auraient été normalement « droppés » par le firewall. Néanmoins,
cette faille induit de s'introduire sur l'ordinateur en question pour y faire des
modifications... chose qui induit déjà une intrusion dans le réseau, ou une prise
de contrôle physique de l'ordinateur, ce qui est déjà Synonyme d'inefficacité de
la part du firewall.

4610 janvier 2019
CONCLUSION :
Dans ce chapitre, on a illustré quelques différents types et caractéristiques techniques
d’attaques sur le réseau informatique. Ce qui nous a permis de constater qu’il existe de
nombreuses failles que les pirates peuvent exploiter. Du fait du nombre et de la variété
des attaques existantes dans le monde, le renforcement des moyens de défense s’avère
indispensable. On fait appel à différente sorte d’outil comme l’antivirus, les IDS, Les
Pare-feu Les Superviseurs informatiques pour assurer la protection.

4710 janvier 2019
CHAPITRE V : LA SUPERVISION INFORMATIQUE :
INTRODUCTION :
La gestion d'un parc de serveurs est un travail à temps réel. Un bon administrateur réseau
doit savoir à tout moment l'état des différentes machines et des différents services.
Cependant, l'administrateur ne peut pas se permettre de passer son temps devant un
tableau avec des voyants verts en attendant qu'un voyant passe au rouge pour agir, son
temps est occupé à d'autres tâches, donc il ne peut pas surveiller les statuts des machines
en permanence. L'examen quotidien des logs systèmes est un bon début, mais, si un
problème survient, on s'en rend compte seulement le lendemain, ce qui peut être trop
tard.
Pour simplifier leur travail, les administrateurs utilisent généralement ce qu'on appelle
un `'moniteur de supervision informatique'', un tel moniteur permet d'avoir une vue
globale du fonctionnement de réseau ainsi que du niveau de performances des systèmes,
et d'alerter par différents moyens l'apparition d'une anomalie.
Dans ce chapitre, nous allons présenter les notions de base concernant la supervision
informatique.
Section 1 : Notion de supervision :
Ce concept est né vers les années 1980 lors de l’explosion de la mise en place des
réseaux informatiques dans les entreprises. La taille grandissante de ceux-ci ainsi que
leurs hétérogénéités posaient un problème de gestion et d’administration du réseau,
multipliant les besoins en main d’œuvre d’experts administrateurs. C’est donc à cette
époque que les premières réflexions sur le concept de supervision sont nées. Ainsi on
supervise dans le but de s’informer sur l’état du réseau et des applications, on supervise
pour ne pas tomber nues, on supervise pour sa tranquillité et sa crédibilité…En plus la
supervision aide à la réactivité et à la proactivité c’est pourquoi de plus en plus les
entreprises possédant un parc informatique imposent la supervision.
V.1.1 La supervision :
Il y a différents types de supervision informatique à savoir :
La supervision Réseau ; la supervision système ; la supervision applicative.
V.1.1.1 La supervision système :
On parle de supervision système lorsque celle-ci concerne les postes et les services.
Ainsi elle a pour fonction de contrôler :
 La performance (mémoire de stockage, processeur…)
 Utilisation des ressources (commutateur, serveur)
 Equilibrage de charge

4810 janvier 2019
V.1.1.2 la supervision applicative :
La supervision applicative consiste à surveiller en testant régulièrement les services qui
tournent sur les machines serveurs. En effet même si tous les liens réseau sont en bon
état de fonctionnement, le programme responsable d’un service peut en revanche être
interrompu et perturbé. Donc elle a pour but de :
 Faire des analyses
 Contrôler la disponibilité
 Contrôler les performances
 Vérifier si les réponses correspondent aux interrogations
V.1.1.3 La supervision Réseau :
Nous pouvons classifier la supervision réseau en deux catégories :
 La supervision réseau proprement dite
Elle consiste à vérifier la disponibilité des services dans les équipements la
performance du support c.-à-d. :
 Débit
 Latence
 Sécurité
 Protocole
 Taux d’erreur
 Bande passante
 Qualité de service
 La supervision sécurité réseau ou Network Security Monitoring (NSM)
Section 2 La supervision de la sécurité réseau :
La surveillance de la sécurité réseau (NSM) consiste à surveiller votre réseau des
événements liés à la sécurité. Il peut être proactif lorsqu'il est utilisé pour identifier des
vulnérabilités ou expirer des certificats SSL, ou peut être réactif, comme dans la réponse
à un incident et l'investigation réseau. Que vous recherchiez un adversaire ou que vous
tentiez de contenir les logiciels malveillants, NSM fournit une connaissance du contexte,
des informations et de la situation de votre réseau.
Le NSM est une discipline mêlant les aspects instrumentation réseau (collecte de trafic)
et détection d'intrusions, essentiellement via des NIDS (Network Intrusion Detection
Systems). La démarche générale est de partir d'une alerte levée par un des NIDS et de
déterminer la source ainsi que la cible de l'attaque. Si la source est distante et que la
cible est locale on parle alors d’intrusion. Si la source est locale et que la cible est
distante, on parle alors d’extrusion. L'extrusion est souvent la conséquence d'une
intrusion réussie.
Une fois l'incident isolé, il faut remonter dans le temps pour examiner les interactions
des différents protagonistes (analyse « post mortem » - ou forensic - réseau). Les aspects
stockages sont donc également déterminants pour la durée de rétention des événements.

4910 janvier 2019
En résumé, nous avons cinq idées fortes :
 Nature des données à collecter ;
 Instrumentation du réseau ;
 Placement de la sonde ;
 Visualisation des événements ;
 Forensic réseau.
V.2.1 Architecture d’une plateforme de Supervision de la Sécurité Réseau :
Une plateforme de supervision de la sécurité réseau est constituée des éléments
suivants :
Outils de collecte de données, outils de distributions de données et d’outils de
présentation de données. Ces outils sont organisés en suivant une architecture en
couches. La première couche est la couche des outils de collecte de données. La
deuxième couche est celle des outils de distributions de données et la dernière, celle des
outils de présentation de données.
Figure 16:couche d'une plateforme SSR
Workflow d’un SSR (supervision sécurité réseau)
V.2.1.1 La couche outils de collectes des données :
C’est l’ensemble des outils qui permettent de directement collecter les données à partir
du réseau ou à travers les logs. Ces données sont ensuite envoyées aux outils de
Présenter sous
forme de
tableau de
bord & de
rapports
Outils de présentations de données
Outils distributions de données
Outils de Collecte de données
Collecte de
données
Extraction
efficace des
données
Ajouter de la
valeur

5010 janvier 2019
présentation ou d’analyse de données via la couche de distribution. Parmi ces outils, on
trouve :
 Les systèmes de détection d’intrusion (IDS)
 Les pare-feux
 Les SIEM (Security information event management)
Les analyseurs des données se réfère à un équipement réseau ou le log d’une application.
Ces données sont ensuite envoyées aux outils de présentation ou d’analyse de données
via la couche de distribution. Parmi ces outils, on trouve :
 Les systèmes de détection d’intrusion,
 Les analyseurs de trafic, Les analyseurs de réseau
 Les sources de logs.
V.2.1.2 La couche outils de distribution de données :
C’est la couche intermédiaire. Elle met en relation la couche de collecte et la couche
de présentation des données. Autrement dit, elle est constituée d’outils qui
permettent à la couche présentation de mieux exploiter les données collectées par la
couche de collecte de données.
V.2.1.3 La couche outils de présentation de données :
La couche outils de présentation de données permet d’exposer les données collectées
aux analystes et aux experts du CIRT à des fins d’analyse et de prise de décision. Au
niveau de cette couche, on trouve plusieurs catégories d’outils, certains avec des
interfaces graphiques et d’autres en ligne de commande. Les outils que la couche
comprend sont :
 Moteur de corrélation,
 Gestionnaire des alertes,
 Investigateur et escaladeur d’événements ...
V.2.2. Les différentes fonctions d’un SSR :
a. Collecte de données :
Cette fonction consiste à recueillir des logs et des données de contexte, notamment des
informations d’identité ou les résultats des analyses de vulnérabilité, à l’aide d’une
combinaison de méthodes basées ou non sur un agent.
b. La Normalisation :
La normalisation des traces collectées au travers d’analyseurs spécifiques, offre une
corrélation multicritères standardisées (métadonnées : date, heure, IP(s), port et
services…). Les traces brutes sont stockées sans modification pour garder une valeur
juridique. De nombreux analyseurs natifs (varie en fonction des éditeurs) sont
disponibles pour les solutions éditeurs et Open-Source. Dans le cas échéant la création

5110 janvier 2019
d’un analyseur spécifique pour des éléments à raccorder au SSR est réalisable (offre une
grande flexibilité d’intégration).
c. L’agrégation :
Les plates-formes SSR collectent des données provenant de sources différentes, car ces
événements fournissent les données dont nous avons besoin pour analyser la santé et la
sécurité de l’environnement de nos clients. L'agrégation est le processus consistant à
transférer des données et des fichiers journaux à partir de sources disparates dans un
dépôt commun. Les données collectées sont placées dans un magasin de données
homogènes, généralement des dépôts de fichiers plats ou des bases de données
relationnelles.
d. La corrélation :
La corrélation d'événements est une technique permettant de saisir un grand nombre
d’évènements dans un temps défini, de les comprendre et d'identifier les plus importants
dans cette masse d'information. En effet, elle permet une identification d’une ou
plusieurs menaces à l’origine d’un ou plusieurs évènements. La corrélation permet de :
 La réduction des faux positifs.
 La détection des faux négatifs.
 Prendre une décision de contre-mesure.
e. Le Reporting :
Le reporting, création de rapports et tableaux de bord afin d’obtenir une visibilité sur la
sécurité et la conformité de votre système d’information. Les capacités de reporting sont
à maintenir régulièrement par le SSR dans le but de :
 Mettre en avant les indicateurs de sécurité les plus pertinents.
 Améliorer la capacité de détection visuelle des analystes en groupant
visuellement les indicateurs partageant des liens de corrélation.
 Créer des tableaux de bord spécifiques pour les exploitants afin de répondre à
leurs attentes par rapport au SSR et à les impliquer dans le projet.
V.2.2.1 La nature des données collectés :
Un superviseur de la sécurité réseau collecte plusieurs types de données à différents
niveaux et différents endroits. Les principaux types de données collectés par un
superviseur de la sécurité réseau sont les suivantes : capture compètes, données
statistiques, données de sessions, données de transaction et les alertes.
a. Capture complète :
La capture complète récupère l’intégralité des données transitant sur le réseau. Ce type
de capture est une base pour tous les outils composant la couche NSM. Selon le type
d'information qu'on souhaite exploiter, ces outils vont utiliser tout ou partie des
données remontées par une capture complète. L'outil le plus connu pour réaliser une

5210 janvier 2019
capture complète est tcpdump. Si on veut stocker les données d'une capture
complète, tcpdump propose de stocker les trames réseau dans un fichier au format
PCAP.
Un autre outil moins connu pour acquérir du PCAP est dumpcap. Ce logiciel est issu de
la suite Wireshark. Par rapport à tcpdump, il est spécialisé dans l'écriture de fichiers
PCAP. Il intègre également un mécanisme de rotation de ces fichiers sur base de taille
ou horaire.
b. Les données statistiques :
Les données collectées à ce niveau sont assez macroscopiques. Elles donnent une vision
globale du réseau. On y trouvera, par exemple, le nombre de paquets envoyés et reçus,
la répartition des protocoles de niveau trois et quatre, ou encore la taille moyenne des
paquets échangés, etc. Ces données peuvent être collectées depuis des fichiers PCAP
avec des outils comme Wireshark.
c. Les données de sessions :
À ce niveau, on cherche à savoir qui a parlé avec qui et la durée de leur discussion, peu
importe le langage qu'ils ont utilisé. En termes de réseau, cela se traduit par récupérer
les informations jusqu'au niveau quatre du modèle OSI, c'est-à-dire les adresses source
et destination, le(s) protocole(s) utilisé(s) niveau liaison en y incluant éventuellement
des éléments de volumétrie (nombre d'octets et/ou de paquets échangés).
d. Les données d’alertes :
Les données d’alertes sont générées par les consoles d’analyse et de corrélation de la
plate-forme SSR. Les consoles de corrélation analysent en temps réel et en continue les
données provenant de la couche distribution (cf. section précédente) et déclenchent une
alerte dès qu’une donnée présente une anomalie par rapport aux règles, signatures ou
toutes autres bases d’information. L’alerte générée est une donnée de petite taille
contenant la description de l’anomalie détectée et les pointeurs vers les données
concernant cette anomalie. Il faut noter que la taille de la donnée d’alerte est très petite
du fait qu’elle ne contient que des pointeurs vers les données qui sont en rapport avec
l’alerte.
Section 3 Gestion des logs :
V.3.1 Les logs :
En informatique, on parle de log (diminutif de logging) pour désigner un fichier, ou tout
autre dispositif, permettant de stocker un historique des évènements attachés à un
processus. Ces évènements sont horodatés et ordonnés en fonction du temps. En clair,
le log est un peu le “journal de bord” d’un système. On parle parfois en français de
fichier journal pour désigner les logs. Il sera consulté en cas de besoin, par exemple pour
essayer d’identifier l’origine d’une panne ou l’auteur d’une intrusion (réussie ou
manquée).

5310 janvier 2019
V.3.2 Gestionnaires des logs :
Les principaux enjeux de l'implémentation de la gestion des logs concernent la sécurité,
les opérations systèmes et réseaux et la conformité du système. Les logs sont générés
par presque tous les appareils informatiques, et peut souvent être dirigé vers différents
endroits à la fois locales, dans le système de fichiers ou à dans un système distant.
L'analyse effective de grands volumes de divers journaux peuvent poser de nombreux
défis, tels que:
Le volume des journaux/logs peuvent atteindre des centaines de giga-octets de données
par jour pour une grande organisation. La collecte, la centralisation et le stockage de
données à ce volume peut être difficile.
Normalisation: les journaux sont produits dans de multiples formats. Le processus de
normalisation est conçu pour fournir une sortie commune pour l'analyse de diverses
sources.
Vitesse: La vitesse à laquelle les journaux sont produites à partir de dispositifs peuvent
rendre la collecte et l'agrégation difficile
Véracité: Journal des événements peut ne pas être exacte. Cela est particulièrement
problématique à partir de systèmes qui effectuent la détection. Les utilisateurs et les
utilisateurs potentiels de la gestion du journal peuvent acheter des d'outils propriétaires
complets ou construire leur propre outil de gestion de logs et outils d'intelligence, ou
bien utiliser un assemblage de composants open-sources, ou bien encore ou d'acquérir
des (sous-)systèmes de fournisseurs commerciaux. La gestion des journalisations est un
processus complexe et les organisations font souvent des erreurs dans leurs approches.
V.3.3 La centralisation des Logs :
La centralisation des logs consiste simplement à mettre sur un même système, une
même plateforme, l’ensemble des logs des systèmes, applications et services des
machines environnantes. On reprend alors le principe de la supervision, dont la
surveillance des logs doit être une branche, qui consiste à centraliser les éléments de
surveillance sur une plate-forme unique. On appellera cela un point unique de
communication, ou point unique de contact (Single Point Of Contact – SPOC) pour
l’analyse des logs. La centralisation de l’information permettra ici de mener plusieurs
opérations qui iront toutes dans le sens de la sécurité et de la meilleure gestion du
système d’information.
Elle va permettre d’effectuer des recherches très précises sur l’activité de plusieurs
systèmes tout en étant sur une machine. Les opérations de recherche et de statistique
s’en trouvent donc facilitées, car tout est sur la même plate-forme.

5410 janvier 2019
Figure 17:Architecture d'un système gestions des logs
CONCLUSION :
Dans ce chapitre nous avons vu les différents types de supervision en informatique nous
nous sommes plus attarder sur la supervision de la sécurité réseau dans le prochain
chapitre nous allons faire une étude détaillée des solutions de supervision.

5510 janvier 2019
CHAPITRE VI : LES SOLUTIONS DE SUPERVISIONS
INTRODUCTION :
Les technologies telles que : les SIEM (Security Information Event management) et les
IDS (Intrusion Detection System) sont utilisées pour faire la supervision de la sécurité
de notre réseau
Section 1 : SIEM (Security Information Event Management) :
Le terme Security Information Event Management (SIEM) a été introduit par Mark
Nicolett et AmritWilliams en 2005.
Décrit les capacités d’un produit à collecter, analyser et présenter des informations à
partir de dispositifs de réseau et de sécurité; d’applications de gestion des identités et
des accès; d’outils de gestion de la vulnérabilité et de la conformité du SI; des systèmes
d'exploitation, des journaux des bases de données, des applications; et des données des
menaces externes
VI.1.1 Définition:
Le principe d’un SIEM consiste à examiner depuis un guichet unique les données
relatives à la sécurité de l'entreprise qui sont générées en de nombreux points. Cette
approche facilite l'identification d'éventuelles tendances et de schémas inhabituels.
Une solution SIEM combine des fonctions de gestion des informations (SIM, Security
Information Management) et des événements (SEM, Security Event Management) au
sein d'un système unique de gestion de la sécurité.
VI.1.2 Fonctionnement:
SIEM combine Security Information Management (SIM) et Security Event Manager
(SEM).
La partie gestion de la sécurité qui traite de la surveillance en temps réel, la corrélation
des événements, les notifications et les vues de la console est communément connu sous
le nom de Security évent manager (SEM).
La deuxième partie gère le stockage long terme, l’analyse et le reporting est connu sous
le nom de Security Information Management (SIM).
Section 2 : Les IDS (Intrusion Detection System) :
VI.2.1 Définition:
Un système de détection d’intrusion (ou IDS : Intrusion Detection System) est un
mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée
(un réseau ou un hôte). Il permet ainsi d’avoir une action de prévention et d'intervention
sur les risques d’intrusion. Afin de détecter les attaques que peut subir un système

5610 janvier 2019
(réseau informatique), il est nécessaire d’avoir un logiciel spécialisé dont le rôle est de
surveiller les données qui transitent sur ce système, et qui est capable de réagir si des
données semblent suspectes.
VI.2.2 Fonctionnement :
Pour bien gérer un système de détection d’intrusions, il est important de comprendre
comment celui-ci fonctionne :
 Comment reconnaître/définir une intrusion?
 Comment une intrusion est-elle détectée par un tel système ?
 Quels critères différencient un flux contenant une attaque d’un flux normal ?
Il existe plusieurs méthodes permettant de détecter une intrusion :
La première consiste à détecter des signatures d’attaques connues dans les paquets
circulant sur le réseau : l’Approche par scénario ou par signature.
La seconde, consiste quant à elle, à détecter une activité suspecte dans le Comportement
de l’utilisateur : l'Approche comportementale ou par Anomalie. Ces deux techniques,
aussi différentes soient-elles, peuvent être combinées au sein d’un même système afin
d’accroître la sécurité.
Remarque:
Le monitoring permet d'obtenir un état précis et continu du niveau de sécurité d'un
système d'information. Cette surveillance est opérée en pratique par des IDS (ou
Systèmes de Détection d'Intrusions), et une corrélation des alertes remontées par chacun
de ces outils peut être réalisée par un SIEM (Security Information and Event
Management).
Il arrive très souvent de conjuguer un IDS à un SIEM
Les IDS sont généralement dédiés à un usage particulier et remontent des alertes très
précises sur les activités en cours. Cependant, ces informations peuvent être générées en
trop grand nombre et peu facilement exploitables pour réaliser un monitoring efficient.
Malgré cet inconvénient, dans leur ensemble toutes ces informations sont
particulièrement intéressantes, puisqu'elles apportent une vision globale de la situation.
C'est dans cette optique que l'utilisation d'un SIEM est précieuse, puisque ses capacités
de corrélation des alertes permettent de n'extraire que les informations essentielles issues
des différentes sources de données et de les sublimer pour obtenir une information
concentrée beaucoup plus pertinente.

5710 janvier 2019
Section 3 : Les technologies SSR :
VI.3.1Security Onion :
Security Onion est une distribution Linux open source basé sur Ubuntu pour la détection
d'intrusion, la surveillance de la sécurité d'entreprise et la gestion des journaux. Il
comprend Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert,
NetworkMiner et de nombreux autres outils de sécurité. L'assistant d'installation facile
à utiliser vous permet de créer une armée de capteurs distribués pour votre entreprise en
quelques minutes
Elle a été développé par Doug Burk
VI.3.1.1 Snort :
Snort est un Système de Détection d'Intrusion de réseau Open Source, capable d'analyser
en temps réel le trafic sur les réseaux IP. Snort est capable d'effectuer une analyse du
trafic réseau en temps réel et est doté de différentes technologies de détection
d'intrusions telles que l'analyse protocolaire. Snort peut détecter de nombreux types
d'attaques comme attaque de scans de ports. Snort est doté d'un langage de règles
permettant de décrire le trafic. De plus, son moteur de détection utilise une architecture
modulaire de plug-ins. Snort est principalement dédié aux acteurs de la sécurité réseaux.
En effet, sa fonction IDS permet une surveillance des réseaux permettant de détecter et
d’alerter en cas de tentative d’intrusion sur le réseau.
VI.3.1.2 Suricata :
Suricata est un logiciel open source de détection d'intrusion (IDS)1
, de prévention
d'intrusion (IPS), et de supervision de sécurité réseau (NSM). Il est développé par la
fondation OISF (Open Information Security Foundation).
Suricata permet l'inspection des Paquets en Profondeur (DPI). De nombreux cas
d'utilisations déontologiques peuvent être mis en place permettant notamment la
remontée d'informations qualitatives et quantitatives.
VI.3.1.3 BRO :
Bro est un logiciel libre de détection d'intrusion orientée réseau (NIDS)
Bro est conçu et maintenu par des centres de recherches.
Ce logiciel est programmé de façon totalement différente de Snort, il s'appuie sur les
mêmes bases théoriques (filtrage par motif, formatage aux normes RFC, etc.), mais il
intègre un atout majeur : l'analyse de flux réseau. Cette analyse permet de concevoir
une cartographie du réseau et d'en générer un modèle. Ce modèle est comparé en temps
réel au flux de données et toute déviance lève une alerte.

5810 janvier 2019
VI.3.1.4 OSSEC :
OSSEC (Open Source HIDS Security) est un système de détection
d’intrusion (HIDS) gratuit et à source ouverte basé sur l’hôte . Il effectue l’ analyse des
journaux , la vérification de l’intégrité, la surveillance du registre Windows ,
la détection des rootkits , les alertes chronologiques et les réponses actives. Il fournit
une détection d'intrusion pour la plupart des systèmes d'exploitation, y
compris Linux , OpenBSD , FreeBSD , OS X , Solaris et Windows . OSSEC possède
une architecture multiplateformes centralisée permettant une surveillance et une gestion
simples de plusieurs systèmes. OSSEC dispose d’un moteur d’analyse de journaux
capable de corréler et d’analyser les journaux de plusieurs appareils et formats
A la moindre anomalie, OSSEC génère alors une alerte (SMS, email). Chaque alerte
possède un niveau. Les niveaux varient de 0 à 15. Une alerte de niveau 0 est ignorée,
tandis qu’une alerte de niveau 14 nécessite un traitement, car elle indique une
compromission. OSSEC convertit les logs suivant des décodeurs et fait l’analyse et la
corrélation des événements en utilisant des règles. La plupart des règles sont
préinstallées à l’installation d’OSSEC. Ces règles sont très souvent basées sur les
indicateurs de compromissions (IOC : Indicators of Compromise) et sur les bases de
renseignements des menaces et des vulnérabilités actualisées.
VI.3.1.5 Sguil :
Sguil (prononcé sgweel) est conçu par des analystes de la sécurité réseau pour des
analystes de la sécurité réseau. Le composant principal de Sguil est une interface
graphique intuitive qui permet d'accéder aux événements en temps réel, aux données de
session et aux captures de paquets bruts. Sguil facilite la surveillance réseau et l'analyse
par événement. Le client Sguil est écrit en tcl / tk et peut être exécuté sur tout système
d'exploitation prenant en charge tcl / tk (y compris Linux, * BSD, Solaris, MacOS et
Win32
Sguil est connecté à une base de données centrale unique hébergée sur MySQL
VI.3.1.6 Squert :
Squert est une application Web utilisée pour interroger et afficher les données
d'événement stockées dans une base de données Sguil (généralement des données
d'alerte IDS). Squert est un outil visuel qui tente de fournir un contexte supplémentaire
aux événements grâce à l'utilisation de métadonnées, de représentations temporelles et
d'ensembles de résultats pondérés et logiquement groupés.
VI.3.1.7 ELSA :
ELSA (Enterprise Log Search and Archive) est un récepteur, archiveur, indexeur et
interface Web à trois niveaux pour les journaux entrants. Il exploite l’analyseur pattern-
db de syslog-ng pour une normalisation efficace des journaux et l’indexation en texte
intégral Sphinx pour la recherche de journaux.

5910 janvier 2019
L’interface Web ELSA s’authentifie par rapport à la base de données utilisateur Sguil.
Vous devez donc pouvoir vous connecter à ELSA avec le même nom d’utilisateur / mot
de passe que celui que vous avez utilisé pour vous connecter à Sguil / Squert.
Par défaut, ELSA recherche les journaux dans les 2 derniers jours
C’est un outil qui est très rapide, très évolutif (chaque capteur a sa propre base de
données mysql et son index sphinx).
Lorsque vous interrogez l'interface Web ELSA, toutes les bases de données ELSA sont
interrogées en parallèle, puis vous donne les résultats globaux.
VI.3.1.8 ELK :
ELK (Elasticsearch Logstash Kibana) est une plateforme de gestion centralisée de log
qui intègre plusieurs technologies ensemble dans le but de faciliter encore plus la
recherche de log, la classification et bien d’autres choses. C’est également une
plateforme disponible en mode haute disponibilité et en mode distribué pour permettre
une gestion ultra performante de très grandes quantités de logs.
VI.3.2 OSSIM (Open Source Security Information Management):
OSSIM (Gestion des informations de sécurité Open Source) est un système de gestion
des informations et des événements de sécurité open source , intégrant une sélection
d’outils conçus pour aider les administrateurs de réseau en matière de sécurité
informatique , de détection et de prévention des intrusions .
Le projet a débuté en 2003 sous la forme d'une collaboration entre Dominique Karg Julio
Casal et plus tard Alberto Román. En 2008, il est devenu la base de leur
société AlienVault . À la suite de l’acquisition du label du projet Eureka et de
l’achèvement de la recherche et du développement , AlienVault a commencé à vendre
un dérivé commercial d’OSSIM («AlienVault Unified Security Management»).
OSSIM a publié quatre versions majeures depuis sa création et utilise une numérotation
de version 5.xx. Une visualisation d'information des contributions au code source
d'OSSIM est publiée à 8 ans d'OSSIM . Le projet compte environ 7,4 millions de lignes
de code.
OSSIM est basé sur la distribution Debian (une distribution Linux). Elle comporte
beaucoup d’outils : OSSEC, OpenVAS, OCS Inventory, Evaluation de risque (Risk
Assesment), Nagios Availability Monitor, Nmap, etc
VI.3.2.1 OSSEC :
Nous avons décrit OSSEC dans une section précédente. Comme Security Onion, OSSIM
déploie OSSEC comme HIDS à cause de ses qualités et son architecture agent/serveur.

6010 janvier 2019
VI.3.2.2 Suricata :
Les NDIS Snort et Suricata ont été décrits dans des sections précédentes. Ils sont
présents dans OSSIM à l’instar de Security Onion.
VI.3.2.3 OpenVas :
OpenVAS (Open Vulnerability Assesment System) est une plateforme qui intègre
plusieurs outils et services qui permettent d’avoir un puissant scanneur de vulnérabilité.
En effet, OpenVAS permet d’analyser la vulnérabilité d’un quelconque système en
effectuant toute une batterie de test. La plateforme OpenVAS est la version open source
(libre) de Greenbone Networks (payante). OSSIM intègre OpenVAS dans le but de
fournir une plateforme d’évaluation de la vulnérabilité couplée à un SIEM.
VI.3.2.4 Risk Assesment :
La fonctionnalité Risk Assesment ou évaluation du risque en français, permet d’évaluer
le risque lié à un événement. Cette évaluation se base la priorité affecter à l’hôte
concerné, la menace détectée et la probabilité d’occurrence de l’événement.
VI. 3.2.5 OCS inventory :
OCS Inventory NG soit Open Computer and Software Inventory est
une application permettant de réaliser un inventaire sur la configuration matérielle des
machines du réseau, sur les logiciels qui y sont installés et de visualiser ces
informations grâce à une interface web. Il comporte également la possibilité de télé-
déployer des applications sur un ensemble de machines selon des critères de recherche.
OSSIM intègre OCS Inventory pour lui permettre de découvrir automatiquement toutes
les machines et services activés sur le réseau. Ainsi, dès l’installation d’OSSIM, vous
avez la possibilité de découvrir tous les ordinateurs et composants informatiques
disponibles sur votre réseau, ce qui est très avantageux quand on est en face d’un réseau
de plus de 1000 ordinateurs par exemple.
VI.3.2.6 Nagios :
Nagios (anciennement appelé Netsaint) est une application permettant la surveillance
système et réseau. Elle surveille les hôtes et services spécifiés, alertant lorsque les
systèmes ont des dysfonctionnements et quand ils repassent en fonctionnement normal.
C'est un logiciel libre
C'est un programme modulaire qui se décompose en trois parties :
 Le moteur de l'application qui vient ordonnancer les tâches de supervision.
 L'interface web, qui permet d'avoir une vue d'ensemble du système d'information
et des possibles anomalies.
 Les sondes (appelées greffons ou plugins), une centaine de mini programmes que
l'on peut compléter en fonction des besoins de chacun pour superviser chaque

6110 janvier 2019
service ou ressource disponible sur l'ensemble des ordinateurs ou éléments
réseaux du SI.
Il est intégré dans plusieurs solutions de supervision
Il est intégré à OSSIM afin de permettre de gérer la disponibilité de machines
configurées sur celle-ci (plateforme OSSIM).
VI.3.3 ArcSight :
ArcSight est une solution entreprise payante développée par Hewlett-Packard (HP), dans
le but de fournir une solution de gestion de sécurité aux entreprises. Elle possède toutes
les fonctionnalités d’un SSR. Sa licence coûte très chère. ArcSight est disponible en
plusieurs versions, toutes payantes. ArcSight Enterprise Security Manager (ESM) a été
conçu pour des sociétés de grandes étendues (plusieurs milliers d’actifs à gérer), tandis
qu’ArcSight Express a été conçu pour les PME.
VI.3.4 Splunk :
Splunk Enterprise Security (ES) est un SIEM fournissant des renseignements sur les
données machine générées par des technologies de sécurité, et notamment des
informations concernant les réseaux, les terminaux, les accès, les logiciels malveillants,
les vulnérabilités et les identités. Elle permet de détecter les attaques internes et externes
et d'y réagir rapidement ; les équipes de sécurité peuvent ainsi gérer plus simplement les
menaces, minimiser les risques et assurer la protection de leur activité. Splunk
Enterprise Security rationalise l'ensemble des processus de sécurité au travers de tous
types d’organisations quels que soient leur taille et leur domaine d'expertise.
À l’instar des autres SIEM et SSR monitore et gère les logs. Splunk existe en deux
versions. Une version gratuite limitée à 500 Mo de données à traiter et version payante
au-delà des 500 Mo. Le prix devient rapidement exorbitant en fonction de la quantité de
données à traiter.
VI.3.5 Graylog :
Graylogs2 est une solution open-source de gestion de logs. Chaque message est
enregistré dans une base de donnée Elasticsearch et une interface web vous permet de
gérer et analyser vos logs
Graylog2 est découpé en deux parties : graylog2-server et graylog2-web-interface
Graylog2 peut être utilisé comme un NSM
Choix de La solution :
Comme il est dit précédemment le but de ce projet est de déployer un outil totalement
libre de ce fait nous avons fait une analyse de trois solution que nous allons démontrer
dans un tableau pour choisir l’outil qui sera en accord avec notre cadre de travail

6210 janvier 2019
Critère GrayLog2 OSSIM SECURITY ONION
OPENSOURCE
TOTAL
  
NSM   
SIEM   
Gestion et intégrité
des Logs
  
Documentation
Complète
  
Règle de
corrélation
  
NIDS  
HIDS  
Tableau de bord   
Network miner 
Cap me 
Wireshark  
Argus 
OpenVas 
Nagios 
Support
Elasticsearch

Logstash kibana 
Mise à jour
régulière

Tableau 3 : comparaison des solutions
Légende :
Couleur verte = caractéristique totalement disponible
Couleur rouge = caractéristique disponible en partie
Les résultats affichés ci-dessus dans le tableau nous démontre la richesse de Security
Onion par rapport aux autres solution même si OSSIM est aussi une très bonne
alternative en tant que superviseur et SIEM.
En revanche quelques petits détails nous amène à choisir Security onion qui correspond
parfaitement au cadre de notre étude.

6310 janvier 2019
Security onion est un SSR très puissant qui nous donne le choix entre plusieurs outils
effectuant les mêmes taches à l’occurrence, ELSA et ELK
Si toute fois nous aimerions utiliser un autre gestionnaire de logs tel que ELK nous
n’avons qu’a désactiver ELSA.
CONCLUSION :
Dans ce chapitre, nous avons effectué une étude détaillée des solutions de gestion de
sécurité. Nous avons procédé à l’élections de la solution à déployer nous avons
également choisi les composants de la solution à déployer. Le prochain chapitre sera
consacré, à son déploiement et aux différentes configurations.

6410 janvier 2019
TROISIEME PARTIE : MISE EN OEUVRE

6510 janvier 2019
CHAPITRE VII DEPLOIEMENT DE SECURITY ONION
INTRODUCTION :
Dans ce chapitre nous allons procéder à l’installation de la solution choisie, elle
permettra de répondre aux questions que nous nous sommes posé depuis le début. A
l’occurrence Security Onion :
Section 1 : Installation et Configuration du serveur :
VII.1.1 Architecture ET deployment:
VII.1.1.1 Architecture de security onion:
Figure 18:architecture SO
Nous avons décrit les principaux composants de Security Onion dans le chapitre
précédent. L’interaction entre ces différents composants est présentée dans la figure. Les
composants sont repartis en collecteur, distributeurs et en consoles de visualisation. Ces
différentes couches ont été décrites dans le chapitre V. Nous remarquons également que
les composants sont regroupés à deux niveaux distincts : Sensor (sonde) et Master server

6610 janvier 2019
(serveur maitre). Security Onion est une solution fondée sur le modèle distribuée
client/serveur. Une sonde Security Onion est une machine sur laquelle sont installés
plusieurs outils pour la collecte et l’analyse du trafic, c’est la machine cliente. Parmi ces
outils, nous avons principalement : NIDS (Snort ou Surricata), l’analyseur de réseau Bro
et OSSEC. Ces éléments ont été décrits dans le chapitre précédent. Les sondes
remonteront leurs informations vers le serveur maitre Security Onion. Un serveur maitre
Security Onion est une machine sur laquelle sont installées les consoles d’administration
et de supervision de la sécurité du réseau. C’est à partir du serveur que l’équipe CIRT
pourra mener les différentes opérations voir et gérer les incidents.
VII.1.1.2 Modes de déploiement de Security Onion :
Security Onion dispose de trois (3) modes de déploiement. Il s’agit du mode standalone
ou intégré, du mode distribué et du mode hybride.
 Mode serveur maitre/sonde intégré (Standalone)
Dans ce mode de déploiement, une seule machine physique ou virtuelle est
utilisée pour l’exécution du serveur maitre et des composants de la sonde. Ladite
machine peut avoir plusieurs interfaces, pour superviser plusieurs LAN. Ce mode
de déploiement est utilisé pour les réseaux de petite taille.
 Mode distribué
Ce mode déploiement consiste à utiliser une seule machine comme serveur
maitre, et plusieurs autres comme sondes. Il est recommandé en milieu fortement
distribué, au niveau des réseaux de grande taille. Les analystes se connectent sur
les consoles présentent sur le serveur maitre.
 Mode hybride
Le mode hybride permet d’avoir une machine standalone et des sondes remontant
des informations vers le composant serveur de la machine standalone.
Ce mode peut s’avérer très gourmand en terme de ressource.
NB :
Notre choix sera porté sur le mode de déploiement du mode distribué

6710 janvier 2019
Architecture cible :
Figure 19:architecture cible
VII.1.2 Installation :
VII.1.2.1 configuration matérielle :
Télécharger l’iso à l’adresse suivante :
https://github.com/Security-Onion-Solutions/security-
onion/releases/download/v16.04.5.5_20181212/securityonion-16.04.5.5.iso
Les caractéristiques typiques des machines qui seront utilisées pour bien mener à terme
les tâches de NSM sont les suivantes :
 Processeur : 1 cœur de processeur par interface de monitoring.
D’où dans notre cas 2 cœur puisque nous utiliserons deux interfaces
 Mémoire RAM : Au minimum 3Go connecté à un port SPAN ou un TAP par
exemple un trafic de 200 Mb/s. A noter plus le volume du trafic prépondérant,
alors il faut augmenter en mémoire RAM, et cela en fonction de la taille de
l’organisation.
 Disque dur : Grande capacité de stockage, avec comme système de stockage le
RAID9. Il faut noter que les données de supervision et les trafics associés sont
sauvegardés sur le disque.
 Carte réseau : au moins deux cartes réseaux par sonde.

6810 janvier 2019
VII.1.2.1 Installation du serveur maitre:
Nous chargeons le disque au niveau de l’emplacement de celui-ci
Figure 20: chargement image
Ensuite nous allons allouer les ressources necessaires et demarrer la machine :
Figure 21:ressources alloués
Nous serons amenés directement sur l’interface de Security Onion en revanche
l’installation est loin d’être fini nous devrions faire un double clic sur l’image sur le
bureau de Security Onion pour commencer l’installation proprement dite
Nous serons amenés sur cet interface pour choisir la langue

6910 janvier 2019
Figure 22:choix de langue
L’interface suivante nous donne différents mode d’installation de notre système
d’exploitation nous cochons le choix approprié
Figure 23:choix mode d'installation
A travers cette interface nous allons fournir le nom d’utilisateur, le nom de la machine
et le mot de passe
Figure 24:renseignement utilisateur
Après cette interface on clique sur suivant jusqu’au démarrage de l’installation à la fin
de l’installation et redémarrer le serveur
Figure 25:redémarrage

7010 janvier 2019
La procédure d’installation de la distribution Security Onion est la même selon que la
machine est en mode standalone, serveur ou sonde. Une fois cette installation
terminée, il faut configurer la distribution. Cela se fait en cliquant 2 fois Setup, à partir
du bureau. Une fois le Setup lancé, un menu se présente à nous pour la configuration
des cartes réseaux, c.-à-d. la carte de gestion Management et la carte Sniffing.
Figure 26:configuration carte management
Nous allons choisir une carte réseau comme carte management
Dans notre cas ens33
Figure 27:choix carte management
Ensuite nous allons fixer l’adresse en sélectionnant static
Figure 28:configuration carte management (fixer adresse)
Ensuite valider

7110 janvier 2019
Figure 29: Adressage IP
Figure 30: nom domaine
Après l’adressage il est nécessaire de redémarrer la machine
Figure 31: redémarrage
Une fois notre serveur redémarré nous lançons setup encore une fois lorsque vous
cliquez sur « yes continue »
Le choix du cas d’utilisation se présente dans la fenêtre qui s’affiche. Nous choisissons
production mode
Après avoir validé le choix sur Production Mode, la fenêtre suivante nous affiche le
choix du mode du déploiement, « New » pour Serveur maitre ou « Existing » pour
Sonde. Nous sommes en train d’installer le serveur, nous choisissons alors New

7210 janvier 2019
Figure 32: mode deploement
Puisque nous sommes en train d’installer le serveur, nous devons configurer Sguil,
Squert et ELSA. Pour cela, Security Onion nous demande de fournir un nom
d’utilisateur et un mot de passe qui permet d’accéder à ses éléments
Figure 33:mode passe (squert squert)
Une fois le choix du mode de déploiement effectué, Security Onion nous demande de
choisir le mode configuration. Nous avons le choix entre « Best pratices » et Custom.
Nous choisissons « Custom » afin de complètement personnaliser notre installation
Figure 34 : mode configuration
Nous allons définir 365 jours pour la durée des sauvegardes des données alertes
d’IDS et des évènements.

7310 janvier 2019
Figure 35:durée de sauvegarde
Nous devons choisir la base de signature de ce dernier. Nous avons choisi l’avant
dernière option « Snort VRT ruleset and Emerging Threats NoGPL ruleset (requires
Snort VRT oinkcode) ». En effet, cette option permet à Snort d’aller chercher les
signatures (ruleset) tous les jours au niveau des bases Snort couvrant la majeure partie
des nouvelles menaces, et il nécessite d’avoir un Oinkcode. Un Oinkcode est un code
unique associé à un compte utilisateur Snort
Figure 36: base de signature snort
L’enregistrement se fait sur cette fenêtre avec notre oinkcode
Figure 37: copie oinkcode snort

7410 janvier 2019
Nous allons choisir Snort comme NIDS
Figure 38: choix NIDS
Puisque c’est le serveur maitre nous allons désactiver le sensor « Disable network
sensor services »
Figure 39: désactivation sensor
Nous allons donner une taille pour notre gestionnaire de logs
Figure 40: taille des logs
Ensuite on valide les configurations
Figure 41 : application des modifications

7510 janvier 2019
Section 3 Installation Et Configuration De la Sonde:
La procédure d’installation d’une sonde Security Onion est presque la même que celle
d’un serveur. Une fois l’installation de la distribution terminée, on procède par le
lancement du Setup. Les premières étapes consistent à configurer les paramètres réseaux
de la machine. Quand les paramètres réseaux de la machine sont correctement
configurés, on passe à l’étape d’installation des éléments de la distribution
Figure 42: adressage sonde
Figure 43: mode de deploiement sonde
Comme nous sommes en train d’installer une sonde, nous optons pour deuxième choix.
Une fois le monde sonde choisi, Security Onion nous demande de fournir l’adresse IP
du serveur maître. Dans notre cas, l’adresse IP du serveur est le 192.168.1.10

7610 janvier 2019
Figure 44:definition du serveur sonde
Après avoir donné l’adresse IP du serveur, nous devons indiquer un compte utilisateur
qui possède les privilèges super utilisateur sur le serveur et qui peut y accéder en SSH
Figure 45: definition utilisateur SSH
Nous allons choisir Forward
 Type de déploiement recommandé
 Se compose d'un serveur maître, d'un ou plusieurs nœuds de transfert et
d'un ou de plusieurs nœuds de stockage.
Figure 46: choix type deploiement
Une fois ces informations fournies, nous devons également configurer l’interface de
sniffing. Nous avons configuré en amont l’interface ens33 comme interface de
management. Nous choisirons l’interface ens38 comme interface de sniffing

7710 janvier 2019
Figure 47:choix interface sniffing
Lorsque nous avons activé les IDS, SO nous a demandé de choisir un paramètre
concernant les homes networks, c’est-à-dire les réseaux locaux. Nous laissons les
valeurs par défauts à ce niveau (Classes d’adresses IP privées RFC 1918) :
192.168.0.0/24, 10.0.0.0/8, 172.16.0.0/16.
Figure 48: activation IDS/plage adresse home_net
Ensuite SO nous demande si l’on souhaite activer l’analyseur Bro. Nous choisissons
d’activer Bro, car il sera l’œil de notre réseau en plus des NDIS et HIDS
Figure 49 activation de bro
L’analyseur Bro possède la capacité d’extraire tous les fichiers exécutables, et peut les
stocker dans un emplacement à partir duquel on peut y accéder. Cette fonctionnalité est
très intéressante dans le cadre d’une investigation en cas de présence d’un fichier
malicieux ou suspect sur le réseau
Nous allons également activer l’extraction des fichiers et donner la taille maximale

7810 janvier 2019
Figure 50:activation extration fichier
Figure 51: taille fichier à extraire
Nmap est un scanner de port nous allons également l’activer
Figure 52: activation nmap
Ici nous allons allouer une mémoire tampon pour notre pcap
Ensuite SO nous demande de fournir l’espace disque à remplir pour déclencher une
purge des logs. Par défaut nous laissons cette à 90 pourcent

7910 janvier 2019
Figure 53:definition mémoire tampon
SO nous demande si l’on souhaite activer Salt. Nous choisissons l’option activer
Salt. Nous avons déjà activé Salt sur le serveur maitre
Figure 54:activation salt
Nous allons appliquer les changements
Figure 55:application des changements

8010 janvier 2019
CONCLUSION :
Dans cette partie, nous avons réalisé le gros du travail, c’est-à-dire, le choix de
l’emplacement des sondes et le déploiement de la solution de supervision de la sécurité
du réseau. Nous avons également effectué les configurations initiales. Le prochain
chapitre est consacré à la maintenance et aux tests.

8110 janvier 2019
CHAPITRE VIII: MAINTENANCE ET TEST
INTRODUCTION :
Ce chapitre sera consacré à la maintenance de nos systèmes et aux tests. Nous
allons effectuer des tests qui sont constitués d’attaques qui vont nous permettre
de constater le comportement de Security Onion
Section 1 Maintenance :
VIII.1.1 Mise à jour :
En informatique et dans tout produit l'utilisant, une mise à jour, (souvent abrégé
en MAJ ou MàJ), parfois appelé révision est l'action qui consiste à déployer, vers
les utilisateurs, les changements effectués (ou à effectuer) à un outil informatique
Elle est très importante et recommander pour le bon fonctionnement de tout
système informatique
La mise de Security Onion se fait avec la commande suivante :
sanogo@serveur-maitre:~$ sudo soup
Figure 56:mise à jour
VIII.1.2 Autorisation des ports :
Puisque nous allons nous connecter au services du serveur maitre nous allons
autoriser les ports de ses services :
sanogo@serveur-maitre:~$ sudo so-allow
Nous allons choisir « a » et donner l’adresse IP de notre serveur sonde pour active
les ports
 22/tcp = SSH
 443/tcp = HTTPS
 7734/tcp = Sguil
Ensuite on retape la commande en choisissant cette fois l’option « s » et on donne
l’adresse IP de notre serveur maitre une fois de plus

8210 janvier 2019
Figure 57: autorisation des ports
Figure 58: vue des ports autorisés
Ensuite redémarrer les services avec la commande suivante :
sanogo@serveur-maitre:~$ sudo nsm_sensor_ps-restart
Figure 59: redémarrage des services

8310 janvier 2019
Section 2 Test (Scan, pénétration et détection) :
VIII.2.1 Scan de port :
Chaque application qui communique avec l’extérieur ouvre un ou plusieurs ports.
Ainsi, pour auditer un réseau, on va balayer (scanner) ces ports TCP et UDP
ouverts. Pour cela, nous allons vérifier l’existence ou non de cette « porte ouverte
» sur le système.
Nous utilisons Parrot Security comme machine attaquante avec l’outil nmap
Et Metasploitable2 comme machine cible
Nous allons nous connecter sur notre serveur maitre à partir de la sonde via SSH
avec la commande
sanogo@serveur-sonde:~$ sudo ssh -X user@serveur-maitre
sanogo@serveur-sonde:~$ sudo ssh -X sanogo@192.168.1.10
Figure 60:connexion ssh
Ensuite lancer Sguil avec la commande sanogo@serveur-maitre:~$ sguil.tk
Figure 61:connexion sguil

8410 janvier 2019
Résultat scan port sguil :
Figure 62: détection scan sguil
Pour se connecter à squert via la sonde nous allons tapez l’url suivant dans notre
navigateur https://@serveur_maitre/squert
https://192.168.1.10/squert
Figure 63: connexion squert
Résultat scan port squert :
Figure 64: detection scan squert

8510 janvier 2019
VIII.2.2 Armitage :
Armitage est une interface graphique pour Metasploit, développée en Java (donc
multiplateforme) qui permet de visualiser les machines cibles, les exploits
recommandés et les fonctionnalités avancées du framework metasploit
Avec cet outil nous allons nous introduire dans la machine cible et nous allons
afficher l’adresse IP de cette dernière
Resultat intrusion
Figure 65: intrusion armitage
Resultat détection d’intrusion squert
Figure 66:detection intrusion squert

8610 janvier 2019
Résultat détection d’intrusion sguil
Figure 67: détection intrusion sguil
CONCLUSION :
Dans ce chapitre nous avons effectué la maintenance de nos systèmes qui était de
les mettre à jour et d’autoriser les ports nécessaires ensuite nous avons procéder
à des tests pour constater quelques comportements essentiels de Security Onion

8710 janvier 2019
CONCLUSION GENERALE:
La sécurité des réseaux informatiques demeure encore un sujet très sensible voire
complexe, pour les acteurs du monde informatique, car les variables qui tournent
autour de ce sujet sont souvent difficiles à maitriser. Même si l’évolution de la
technologie a permis D’améliorer les mécanismes de sécurité dans les réseaux
informatiques, il est toujours difficile voire impossible de garantir une sécurité à
100%. Ce qui fait que la sécurité dans le monde des réseaux sera toujours un bras
de fer entre les innovateurs (chercheurs, experts …) et les hackers. À toute
innovation, les pirates tenteront de la contourner.
Ce projet nous a permis de nous imprégner encore plus dans ce domaine qui est
à la fois subtile et fascinant de nous familiariser avec beaucoup d’outils dans le
monde de la sécurité des réseaux.
Ce projet a été l’occasion pour nous en tant que Etudiants des réseaux et des
télécommunications de mettre en pratique les connaissances théoriques de la
sécurité des réseaux. Cette formation théorique s’est révélée particulièrement
adaptée aux compétences escomptées et nous a permis de relever le défi posé. En
outre, elle nous a permis de nous diversifier et d’aborder le monde très prisé de
la sécurité informatique.
Il n’est pas exclu que les solutions de monitoring des réseaux soient sujettes à des
limites notoires et ces systèmes peuvent être aussi la cible de certains attaquants
En revanche Security Onion est une solution qui est mise à jour de façon régulière
par toute une communauté de chercheurs en sécurité informatique et des
développeurs de la planète ce qui peut palier certaines limites au fur et à mesure.
Perspectives :
Ce travail doit être associé à la mise en place d’une organisation d’où l’équipe
CIRT. L’équipe CIRT est chargée de piloter et de mener les opérations de
supervision de la sécurité de réseau. Travailler avec un SSR permet à une équipe
CIRT de prendre de meilleures décisions et d’agir beaucoup plus rapidement.
Vu l’évolution rapide de l’informatique ce travail peut être amélioré au fur et à
mesure selon les besoins qui s’imposeront.

8810 janvier 2019
Table des matières
INTRODUCTION GENERALE: ........................................................................................................ 1
PREMIERE PARTIE : CADRES THEORIQUE ET METHODOLOGIQUE .............................. 2
CHAPITRE I : LE CADRE THEORIQUE :........................................................................................... 3
Section 1 : Problématique :.................................................................................................................... 3
Section 2 : Objectif général :.................................................................................................................. 3
I.2.1 Objectifs spécifiques : ................................................................................................................ 3
Section 3 : Les hypothèses de recherche : ............................................................................................. 4
I.3.1 Hypothèse 1 :.............................................................................................................................. 4
I.3.2 Hypothèse 2 :.............................................................................................................................. 4
I.3.3 Hypothèse 3 :.............................................................................................................................. 4
Section 4 : Pertinence du sujet : ............................................................................................................ 4
CHAPITRE II : CADRE METHODOLOGIQUE .................................................................................. 5
Section 1 : le cadre d’étude :.................................................................................................................. 5
Section 2 : La délimitation du champ d’étude : .................................................................................... 5
Section 3 : Les techniques de recherches :............................................................................................ 5
Section 4 : Les difficultés rencontrées :................................................................................................. 6
DEUXIEME PARTIE : CADRE CONCEPTUEL............................................................................. 7
CHAPITRE III : CADRE CONCEPTUEL :........................................................................................... 8
SECTION 1 : RAPPEL SUR LES RESEAUX INFORMATIQUE :................................................... 8
III.1 Notion sur le réseau informatique :.......................................................................................... 8
III.2 Définition réseau : ................................................................................................................. 8
III.3 Pourquoi les réseaux : ........................................................................................................... 8
III.4 Topologie Réseaux:.................................................................................................................... 9
III.4.1 Une topologie en bus : ........................................................................................................ 9
III.4.2 Topologie en étoile :............................................................................................................ 9
III.4.3 Topologie en anneau : ...................................................................................................... 10
III.4.4 Une topologie maillée :..................................................................................................... 11
III.4.5 Une topologie hybride :..................................................................................................... 11
III.5 La classification des réseaux :................................................................................................. 12
a. PAN (Personal Area Network): ........................................................................................... 12
b. LAN (Local Area Network) :............................................................................................ 12
c. MAN (Métropolitain Area Network) : ................................................................................. 12
d. WAN (Wide Area Network) :............................................................................................ 13
III.6 Les modèles réseaux :.............................................................................................................. 13

8910 janvier 2019
III.6.1 Principe des modèles en couches : ................................................................................... 13
III.6.2 Le modèle de référence OSI (Open System Interconnection) :....................................... 13
III.6.3 Le modèle TCP/IP :........................................................................................................... 16
III.6.4 La suite des protocoles TCP/IP :...................................................................................... 18
III.6.4.1 Internet Protocole :........................................................................................................ 18
III.6.4.2 La fragmentation des datagrammes IP :....................................................................... 20
III.6.4.3 Le Routage :................................................................................................................... 21
III.6.4.3.1. Internet Protocol version 4 (IPV4) :.......................................................................... 21
a. Les adresses IP privées :....................................................................................................... 22
b. Les adresse ipv4 publiques :................................................................................................. 23
III.6.4.3.2. Internet Protocol version 6 (IPV6) :.......................................................................... 24
III.6.4.4 TCP (Transmission Control Protocol) :........................................................................ 25
III.6.4.5 UDP (User Data Protocol) : .......................................................................................... 26
III.6.4.6 ICMP (Internet Control Message Protocol) :............................................................... 26
III.7 Fonctionnement général des protocoles applicatifs :............................................................. 26
III.8 Les constituants d’un réseau:.................................................................................................. 27
III.8.1 Réseau local :.................................................................................................................... 27
III.8.1.1 Le serveur :..................................................................................................................... 27
III.8.1.2 Le client :........................................................................................................................ 27
III.8.2 Les médias :....................................................................................................................... 27
a. Le câble coaxial :.................................................................................................................. 27
b. La paire torsadée : ................................................................................................................ 28
c. La fibre optique : .................................................................................................................. 28
III.8.3 Les équipements réseaux :................................................................................................ 28
III.8.3.1 La carte réseau :............................................................................................................. 28
III.8.3.2 Le transceiver ou adapteur :.......................................................................................... 28
III.8.3.3 Le répéteur : ................................................................................................................... 29
III.8.3.4 Le pont :.......................................................................................................................... 29
III.8.3.5 Le concentrateur ou hub : ............................................................................................. 29
III.8.3.6 Le commutateur ou switch : .......................................................................................... 29
III.8.3.7 Le routeur :..................................................................................................................... 29
CONCLUSION :.................................................................................................................................. 29
CHAPITRE IV ETUDE DE LA SECURITES RESEAUX.................................................................. 30
Section 1 Le piratage informatique : ................................................................................................... 30
IV.1 Les pirates informatiques :....................................................................................................... 30
IV.1.2 Anatomie d’une attaque, Les cinq P :............................................................................... 30

9010 janvier 2019
IV.1.3 Les différentes techniques d’attaque : .............................................................................. 31
IV.1.3.1 L’attaque directe :........................................................................................................... 31
IV.1.3.2 L’attaque indirecte par rebonds : .................................................................................. 32
IV.1.3.3 L’attaque indirecte par réponse :................................................................................... 32
IV.1.3.4 L’IP Spoofing :............................................................................................................... 33
IV.1.3.5 L’hijacking :................................................................................................................... 33
IV.1.4 Les principales attaques :.................................................................................................. 33
IV.1.4.1 Virus :.............................................................................................................................. 33
IV.1.4.2 Deni de service (DoS) :................................................................................................... 33
IV.1.4.3 Ecoute du réseau (sniffing) :.......................................................................................... 34
IV.1.4.4 L’intrusion :.................................................................................................................... 34
IV.1.4.5 Cheval de Troie :............................................................................................................. 34
IV.1.4.6 L’ingénierie sociale et l’irresponsabilité : ..................................................................... 34
a. Phishing – hameçonnage : ....................................................................................................... 35
b. Les hoaxs :................................................................................................................................ 35
c. Les Spams : ............................................................................................................................... 35
IV.1.4.7 Man in the middle (MITM):........................................................................................... 35
Section 2 : La Sécurité Informatique : ................................................................................................ 36
IV.2.1 Principe de la sécurité :......................................................................................................... 36
IV.2.1.1 Politique de sécurité : ..................................................................................................... 36
IV.2.1.2 Objectifs de la sécurité informatique :........................................................................... 36
IV.2.1.3 Modèle de Sécurité : ....................................................................................................... 37
IV.2.1.4 Etude des risques :.......................................................................................................... 38
IV.2.2 Les stratégies de sécurité :................................................................................................. 38
IV.2.2.1 Le principe de moindre privilège : ................................................................................. 38
IV.2.2.2 La sécurité par l’hôte : ................................................................................................... 38
IV.2.2.3 La sécurité par réseau :.................................................................................................. 39
IV.2.3 Etat de la sécurité informatique :...................................................................................... 39
IV.2.4 La meilleure façon de procéder : ...................................................................................... 39
IV.2.4.1 Identification des informations à protéger :.................................................................. 39
IV.2.4.2 Recherche des failles de sécurité avant les pirates :...................................................... 39
IV.2.4.3 Suivi et gestion quotidien du système d’information : .................................................. 40
Section 3 Technologies importantes de la sécurité des réseaux : ....................................................... 40
IV.3.1 L’antivirus : ........................................................................................................................... 40
IV.3.2 La cryptographie : ................................................................................................................. 40
IV.3.2.1 Cryptographie Symétrique : ........................................................................................... 41

9110 janvier 2019
IV.3.2.2 Cryptographie Asymétrique : ......................................................................................... 41
IV.3.3 Les VPN (virtual privé Network) : ........................................................................................ 41
IV.3.3.1 Fonctionnement : ........................................................................................................... 41
IV.3.3.2 Les principaux protocoles de tunneling : ...................................................................... 42
IV.3.4 Le pare-feu ou firewall :........................................................................................................ 43
IV.3.4.1 Principe :......................................................................................................................... 43
IV.3.4.2 Les différents types de pare-feu ou firewall : ................................................................ 44
a. Le firewall bridge :.................................................................................................................... 44
b. Les firewalls matériels : ........................................................................................................... 44
c. Les firewalls logiciels : ......................................................................................................... 45
CONCLUSION :.................................................................................................................................. 46
CHAPITRE V : LA SUPERVISION INFORMATIQUE :................................................................... 47
INTRODUCTION :............................................................................................................................. 47
Section 1 : Notion de supervision : ...................................................................................................... 47
V.1.1 La supervision :....................................................................................................................... 47
V.1.1.1 La supervision système : .................................................................................................. 47
V.1.1.2 la supervision applicative :............................................................................................... 48
V.1.1.3 La supervision Réseau :................................................................................................... 48
Section 2 La supervision de la sécurité réseau :.................................................................................. 48
V.2.1 Architecture d’une plateforme de Supervision de la Sécurité Réseau :................................ 49
V.2.1.1 La couche outils de collectes des données : .................................................................... 49
V.2.1.2 La couche outils de distribution de données :................................................................. 50
V.2.1.3 La couche outils de présentation de données :................................................................ 50
V.2.2. Les différentes fonctions d’un SSR :..................................................................................... 50
a. Collecte de données : ................................................................................................................ 50
b. La Normalisation : ................................................................................................................... 50
c. L’agrégation :............................................................................................................................ 51
d. La corrélation :......................................................................................................................... 51
e. Le Reporting : ........................................................................................................................... 51
V.2.2.1 La nature des données collectés : .................................................................................... 51
a. Capture complète :................................................................................................................ 51
b. Les données statistiques : ..................................................................................................... 52
c. Les données de sessions :...................................................................................................... 52
d. Les données d’alertes : ......................................................................................................... 52
Section 3 Gestion des logs :.................................................................................................................. 52
V.3.1 Les logs :.................................................................................................................................. 52

9210 janvier 2019
V.3.2 Gestionnaires des logs : .......................................................................................................... 53
V.3.3 La centralisation des Logs :.................................................................................................... 53
CONCLUSION :.................................................................................................................................. 54
Section 1 : SIEM (Security Information Event Management) :......................................................... 55
VI.1.1 Définition:.............................................................................................................................. 55
VI.1.2 Fonctionnement: ................................................................................................................... 55
Section 2 : Les IDS (Intrusion Detection System) :............................................................................. 55
VI.2.1 Définition:.............................................................................................................................. 55
VI.2.2 Fonctionnement : .................................................................................................................. 56
Section 3 : Les technologies SSR :....................................................................................................... 57
VI.3.1Security Onion :...................................................................................................................... 57
VI.3.1.1 Snort :.............................................................................................................................. 57
VI.3.1.2 Suricata :......................................................................................................................... 57
VI.3.1.3 BRO : .............................................................................................................................. 57
VI.3.1.4 OSSEC :.......................................................................................................................... 58
VI.3.1.5 Sguil :.............................................................................................................................. 58
VI.3.1.6 Squert :............................................................................................................................ 58
VI.3.1.7 ELSA :............................................................................................................................. 58
VI.3.1.8 ELK :............................................................................................................................... 59
VI.3.2 OSSIM (Open Source Security Information Management):............................................... 59
VI.3.2.1 OSSEC :.......................................................................................................................... 59
VI.3.2.2 Suricata :......................................................................................................................... 60
VI.3.2.3 OpenVas :........................................................................................................................ 60
VI.3.2.4 Risk Assesment :............................................................................................................. 60
VI. 3.2.5 OCS inventory : ............................................................................................................. 60
VI.3.2.6 Nagios :........................................................................................................................... 60
VI.3.3 ArcSight :........................................................................................................................... 61
VI.3.4 Splunk :.............................................................................................................................. 61
VI.3.5 Graylog : ............................................................................................................................ 61
CONCLUSION :.................................................................................................................................. 63
TROISIEME PARTIE : MISE EN OEUVRE.................................................................................. 64
CHAPITRE VII DEPLOIEMENT DE SECURITY ONION ............................................................... 65
INTRODUCTION :............................................................................................................................. 65
Section 1 : Installation et Configuration du serveur :......................................................................... 65
VII.1.1 Architecture ET deployment: .............................................................................................. 65
VII.1.1.1 Architecture de security onion: .................................................................................... 65

9310 janvier 2019
VII.1.1.2 Modes de déploiement de Security Onion :.................................................................. 66
VII.1.2 Installation :......................................................................................................................... 67
VII.1.2.1 configuration matérielle :............................................................................................. 67
VII.1.2.1 Installation du serveur maitre:................................................................................... 68
CONCLUSION :.................................................................................................................................. 80
CHAPITRE VIII: MAINTENANCE ET TEST.................................................................................. 81
INTRODUCTION :............................................................................................................................. 81
Section 1 Maintenance :....................................................................................................................... 81
VIII.1.1 Mise à jour : ....................................................................................................................... 81
VIII.1.2 Autorisation des ports : ...................................................................................................... 81
Section 2 Test (Scan, pénétration et détection) : ................................................................................. 83
VIII.2.1 Scan de port :...................................................................................................................... 83
VIII.2.2 Armitage : ........................................................................................................................... 85
CONCLUSION :.................................................................................................................................. 86
CONCLUSION GENERALE: ........................................................................................................... 87

9410 janvier 2019
REFERENCE BIBLIOGRAPHIE ET WEBOGRAPHIE
[1] Projet réalisé par Yaya N’tyeni SANOGO en 2018-2019
[2]https://www.appvizer.fr/magazine/services-informatiques/supervision-
reseau/monitoring-reseau-4-outils-pour-detecter-les-anomalies
Date de dernier accès: 07 /12/2018
[3]https://www.pedagogie.ac-aix-marseille.fr/upload/docs/application/pdf/2012-
07/formation_reseau.pdf
Date de dernier accès: 13/12/2018
[4]https://openclassrooms.com/fr/courses/1561696-les-reseaux-de-zero/3199431-
les-topologies
[6]https://web.maths.unsw.edu.au/~lafaye/CCM/internet/protip.htm
[7]https://www.supinfo.com/articles/single/4843-adresses-ip-privees-
publiques#idm46133027573616
[8] http://igm.univ-mlv.fr/~dr/XPOSE2007/plebacco_ids/A_attaque.html Date de
dernier accès: 23/12/2018
[9]http://tecfaetu.unige.ch/perso/maltt/garretv0/impress/technique_attaque_info.
html#/slide11
[10]https://www.futura-sciences.com/tech/definitions/informatique-attaque-man-
in-middle-10048/
[11]https://github.com/Security-Onion-Solutions/security-onion/wiki/ELSA
29/12/2018
[12]https://github.com/Security-Onion-Solutions/security-onion/wiki/Squert
29/12/2018
[13]https://github.com/Security-Onion-Solutions/security-onion/wiki/Sguil
29/12/2018
[14] Projet supervisé par Monsieur Massamba Lô 2018-2019

9510 janvier 2019
Résumé :
De nos jours, le succès de l’internet fait que plusieurs millions de personnes
dépendent de ses services, que ce soit la documentation, le courrier
électronique, le travail à distance ou la transaction bancaire. La sécurité des
infrastructures réseaux est la plus souvent considérée sous l’angle de fiabilité et
de la stabilité de l’architecture matérielle. A cette vision s’est ajouté celle des
utilisateurs qui cherchent à avoir l’assurance que les données transmises soient
protégées des pirates. Les attaques ont cependant montré que les équipements
en bout de réseau ne sont pas les seules victimes potentielles: le réseau dans son
ensemble est sensible à des attaques. Cet ouvrage se propose de faire une étude
sur la sécurité réseau et de mettre en place un système de supervision Réseau
Mots clés : Tableau de bord, Security Onion, NSM, SSR, SIEM, log, IDS,
vulnérabilité, détection, intrusion.
Abstract:
Internet becomes the most used source of services in the world. It is useful
whether for research, sending and receiving emails, remote workstation or
banking transaction. Networks infrastructures Security are often the most
considered in terms of reliability and stability of the hardware architecture. To
this was added the vision of users who search the insurance of security for data
transmitted against crackers. However, attacks showed that the equipment end
of the network is not the only potential victims: the network is susceptible to
attacks as a whole. This book sets out to do a study on network security and
implement a Network Monitoring Solution.
Key words : Dashboard, Security Onion, NSM, SSR, SIEM, log, IDS,
vulnerability, detection, intrusion.

Mise En Place d'une Solution de Supervision Réseau

Contenu connexe

Tendances

Similaire à Mise En Place d'une Solution de Supervision Réseau

Plus de Yaya N'Tyeni Sanogo

Dernier

Mise En Place d'une Solution de Supervision Réseau