Memoire_Nguessan.docx

Interconnexion et sécurisation de sites
N’guessan Kouakou Mathieu Elève ingénieur informaticien i
A
Mon seigneur et sauveur Jésus Christ
Mon PERE : KOUAKOU N’Guessan Théodore
ET MA MERE : KOFFI Adjoua Rebecca Epse N’guessan
J’exprime ma gratitude pour les atouts génétiques, culturels et spirituels que vous m’avez
donnés. La stabilité familiale dont vous m’avez fait bénéficier depuis mon enfance a forgé
ma personnalité.
Merci
DEDICACE

N’guessan Kouakou Mathieu Elève ingénieur informaticien ii
AUX RESPONSABLES
Du
DISTRICT DE YAMOUSSOUKRO
Monsieur THIAM AUGUSTIN, Gouverneur du District Autonome de Yamoussoukro, pour
nous avoir accepté comme stagiaire ;
Monsieur KOFFI CHARLES, Directeur de l’informatique et des TIC ; qui a accepté de nous
assister pendant la période de notre stage;
Monsieur KONAN ETIENNE NARCISSE, sous-directeur des systèmes d’informations ;
Monsieur KOUADIO MATHIAS, Chef de la Cellule informatique,
Monsieur SAGODOGO DAOUDA, Chef du personnel du District Autonome de
Yamoussoukro;
Nos remerciements vont à l’endroit de tout le corps administratif et professoral de l’Institut
National Polytechnique Félix Houphouët Boigny (l’INP-HB) qui a assuré notre formation,
notamment :
 La Direction Générale de l’INP-HB ;
 La Direction Générale de l’Ecole de Formation Continue et de Perfectionnement des
Cadres (l’EFCPC) ;
 La Direction du projet Centre de Formation Continue des Informaticiens
Professionnels (CFCIP) ;
 Monsieur Asseu Olivier, notre encadreur pédagogique, pour sa disponibilité
Nos remerciements vont aussi à l’endroit de tous les autres membres du personnel de la
Direction Informatique et tous ceux qui de près ou de loin ont contribué à la réalisation de
notre mémoire.
REMERCIEMENT

N’guessan Kouakou Mathieu Elève ingénieur informaticien iii
AVANT-PROPOS
Créé le 04 Septembre 1996 par décret ministériel N° 96-678, l’Institut
National Polytechnique Félix Houphouët-Boigny (INP-HB) de Yamoussoukro est un
établissement public d’enseignement supérieur et de recherche, né de la restructuration et de
la fusion de :
 l’Ecole Nationale Supérieure des Travaux Publics (ENSTP),
 l’Ecole Nationale Supérieure d’Agronomie (ENSA),
 l’Institut National Supérieur de l’Enseignement Technique (INSET) et,
 l’Institut Agricole de Bouaké (IAB).
L’INP-HB se présente comme un établissement de référence en matière de formation des
cadres et techniciens supérieurs de Côte d’Ivoire et d’Afrique subsaharienne.
Il regroupe en son sein six (6) grandes écoles que sont :
 l’Ecole Supérieure de Commerce et d’Administration des Entreprises (ESCAE),
 l’Ecole Supérieure des Mines et de Géologie (ESMG),
 l’Ecole Supérieure d’Agronomie (ESA),
 l’Ecole Supérieure des Travaux Publics (ESTP),
 l’Ecole Supérieure d’Industrie (ESI),
 l’Ecole de Formation Continue et de Perfectionnement des Cadres (EFCPC), au sein
de laquelle nous sommes inscrits.
Partageant la vocation générale de l’Institut, la direction de l’EFCPC et son
Centre de Formation Continue des Informaticiens Professionnels (CFCIP) organisent à
l’intention des étudiants en fin de cycle, des stages pratiques en entreprise en vue de les
amener à se familiariser aux réalités de l’entreprise tout en mettant au profit de celle-ci, leurs
connaissances académiques acquises au cours de leur formation.
C’est dans cette optique que nous avons été accueillis à la Direction Informatique du District
de Yamoussoukro du 21 septembre au 21 décembre 2016 pour un stage qui a permis la
rédaction de ce mémoire.

N’guessan Kouakou Mathieu Elève ingénieur informaticien iv
SOMMAIRE
DEDICACE
REMERCIEMENTS
AVANT_PROPOS
INTRODUCTION................................................................................................................... 1
PROBLEMATIQUE............................................................................................................... 2
PREMIERE PARTIE : ETUDE PREALABLE
Chapitre 1 : Cadre de référence………………………………………………….....…....... 4
1.1 Historique et missions du District de Yamoussoukro................................................. 4
1.2 Organisation et fonctionnement du District de Yamoussoukro ................................. 5
1.3 Présentation de la direction informatique...................................................................7
1.4 Attributions de la sous direction des systèmes d'information......................................7
1.5 Attributions de la sous direction du développement et NTIC .................................... 8
1.6 Description des ressources......................................................................................... 9
.
Chapitre 2 : Etude de l’existant................................………………………………...…… 11
2.1 Présentation du système actuel ................................................................................ 11
2.2 Critique du système actuel ....................................................................................... 12
Chapitre 3: Présentation du thème et définition des termes…………...……………….. 13
3.1 Présentation du thème .............................................................................................. 13
3.2 Objectifs..................................................................................................................... 13
3.3 Méthodes et Techniques d’analyses.......................................................................... 14
DEUXIEME PARTIE : ETUDE TECHNIQUE
Chapitre 4 : Présentation des solutions d’interconnexions possibles…..................……. 16
4.1 La fibre optique......................................................................................................... 16
4.2 Virtual private network (VPN).................................................................................. 18
4.3 La liaison spécialisée................................................................................................ 19
4.4 Le WIMAX................................................................................................................. 20
4.5 Proposition de solutions.............................................................................................22

N’guessan Kouakou Mathieu Elève ingénieur informaticien v
Chapitre 5 : Présentation générale de la solution choisie.................................................. 24
5.1 Fonctionnement......................................................................................................... 24
5.2 Les différents types de VPNs..................................................................................... 25
5.3 Topologies des VPNs................................................................................................. 28
Chapitre 6 : Sécurité des VPNs et protocoles utilisés........................................................ 33
6.1 Les firewalls............................................................................................................... 30
6.2 Les composants basics de la cryptographie.............................................................. 30
6.3 Le tunneling............................................................................................................... 35
6.4 Les protocoles de tunneling....................................................................................... 35
6.5 Comparaison des différents protocoles..................................................................... 47
TROISIEME PARTIE : REALISATION
Chapitre 7 : Mise en œuvre.................................................................................................. 49
7.1 Architecture de la solution proposée........................................................................ 49
7.2 Choix de la technologie VPN site-à-site à mettre en place....................................... 49
7.3 Sécurité des liaisons et des accès.............................................................................. 56
7.4 Mise en œuvre de l’interconnexion et des services................................................... 62
7.5 Coût de réalisation.................................................................................................... 67
CONCLUSION ..................................................................................................................... 68
REFERENCE WEBOGRAPHIQUE…………………………………………….....……. 69
REFERENCE BIBLIOGRAPHIQUE…………………………………………........…… 69
ANNEXE……………………………………………………………………..…......……… 70
GLOSSAIRE……………………………………………………………..........................… 75

N’guessan Kouakou Mathieu Elève ingénieur informaticien 1
INTRODUCTION
Les différentes politiques d’aménagements du territoire adoptées par le gouvernement
ivoirien depuis l’indépendance ont permis de doter un grand nombre de localités en
équipements et infrastructures socioéconomiques modernes de base, non seulement en milieu
urbain mais aussi en milieu rural.
Plusieurs instruments financiers avaient été conçus dans ce cadre afin de déclencher un
certain nombre d’actions relatives à l’aménagement du territoire en Cote d’Ivoire. Parmi ces
instruments ont figuré les Fonds Régionaux d’Aménagement Rural (FRAR) et les Fonds
d’Investissement et d’Aménagement Urbain (FIAU).
De plus, la côte d’ivoire, dans le but de s’inscrire de façon concrète dans la bonne
gouvernance et la mise en œuvre progressive de sa politique de décentralisation qui implique
entre autre la définition de stratégie de développement et de valorisation des territoires
nationaux tout en s’appuyant sur des actions de proximité, a entrepris une vaste reforme tant
budgétaire qu’administrative.
Fort de ce qui précède et ne voulant pas être en marge des nouvelles orientations fixées
par le gouvernement, le District de Yamoussoukro a adopté un ensemble de résolutions et de
recommandations, a savoir : relever le défi de la bonne gouvernance tout en produisant des
prestations de services et de qualité, en mettant un point d’honneur à la satisfaction des
exigences, attentes et besoins de tous ses usagers, administrés et partenaires au
développement. En outre, conscient de ne pouvoir atteindre ses objectifs aux fins d’un
développement durable pour ses administrés sans systèmes de gestion, de
télécommunications fiables et tenant compte de l’enjeu des nouvelles technologies de cette
présente ère informatique, le District de Yamoussoukro par le biais de son service
Informatique nous a confié ce thème intitulé :
«Interconnexion et sécurisation de sites» : Cas du District de Yamoussoukro.
De ce fait, nous nous attèlerons à présenter notre cadre de travail, puis nous procèderons à
une étude du système existant suivi par l’étude technique et la mise en œuvre de la solution
proprement dite.

PROBLEMATIQUE
Toute administrations, organismes publics ou privés, chargés d’une activité publique, est
tenue de veiller a la bonne conservation et administration des données qu’elle produits dans
l’exercice de ses attributions réglementaires. C’est un impératif d’organisation en ce sens que
des informations mal gérées font perdre du temps. C’est également une nécessité à l’égard
des administrés, de l’administration et des partenaires au développement dont les droits
respectifs peuvent être établis et validés à partir de documents perceptibles d’apporter une
présomption de preuves. C’est enfin une obligation morale et scientifique vis à vis des
générations futures.
En outre, l’avènement de l’informatique dans l’exécution des tâches quotidiennes n’est
plus à démonter eu égard aux immenses avantages qu’il offre dans tous les domaines.
Parmi les facteurs nécessaires au fonctionnement de toute entreprise, s'inscrit fortement le
système d'information (SI), dont la gestion optimale est un moyen incontournable pour une
entreprise possédant plusieurs succursales. Cette gestion du système d'information (SI), qui
constitue l'ensemble des équipements nécessaire à l'automatisation et à la sécurisation de
l'information, passe au préalable, par le choix d'une technologie de télécommunication
adaptée.
Partant de ce constat, il convient pour une gestion rationnelle et efficiente des différentes
activités du District Autonome de Yamoussoukro de mettre sur pied un système
d’interconnexion sécurisé et fiable.
Ainsi, eu égard de ce qui précède, plusieurs interrogations s’imposent a nous :
- Quelle stratégie adopter afin de procéder à un suivi fiable et efficace des différents
projets d’investissements en cours ?
- Comment assurer les accès sécurisés au sein de structures parfois reparties sur de
grandes distances géographiques ?
- Comment faciliter l’accès aux informations ?
- Quels protocoles et quelle configuration assurent-ils l'accès sécurisé à l'information à
travers ces technologies ?

PREMIERE PARTIE
ETUDE PREALABLE

Chapitre 1 : CADRE DE REFERENCE
Cette première partie présente notre cadre référentiel de stage, le District Autonome de
Yamoussoukro (DAY) dans sa configuration actuelle.
1.1 Historique et missions du District de Yamoussoukro
Le District Autonome de Yamoussoukro est situé au centre de la Côte d’ivoire à 240 km
d’Abidjan. C’est une collectivité territoriale dotée d’une autonomie financière née en 2002
par le décret 2002-44 du 21 janvier 2002 et qui répond à la politique de décentralisation
initiée par le Président de la République.
Il est dirigé par une personnalité morale (un Gouverneur) aidé par un conseil et peut a ce juste
titre engager des actions complémentaires à celle de l’Etat et des collectivités territoriales de
son ressort dans les domaines et conditions fixés par la loi.
Le District de Yamoussoukro, peut donc conclure toutes conventions avec l’Etat, d’autres
collectivités territoriales, leurs établissements publics et leurs groupements ou les organismes
privés.
Il regroupe entre autre les communes et les Sous-préfectures du département de
Yamoussoukro.
Son siège se trouve donc dans la commune de Yamoussoukro, capitale politique de la Côte
d’ivoire.
La ville de Yamoussoukro, chef lieu du District doit son essor par la volonté politique de
faire d’elle une ville avec un rôle national.
Gros bourg rural, elle a été érigée en chef lieu de sous préfecture en 1960, puis en chef lieu de
département en 1983 et enfin en chef lieu de région en 1990.
Depuis mars 1983, elle est devenue capitale politique et administrative de la Côte d’Ivoire
succédant en un demi-siècle à Grand-Bassam, Bingerville et Abidjan. Cependant, elle ne
possède pas encore les attributs institutionnels du pouvoir central.
Ville importante, Yamoussoukro connaît une évolution particuliaire dont les principales
étapes sont les suivantes :
 1952-1962 : Yamoussoukro est passé de 80 hectares à 175 hectares ;
 1962-1975 : l’espace urbain couvre une superficie de 1750 hectare avec un taux
de croissance d’agglomération de 16,10 % ;
 1975-1986 : l’agglomération de Yamoussoukro s’est étendue avec la création de
nouveaux quartiers et l’implantation des équipements d’intérêt national tels que le
CAFOP, le lycée scientifique, l’hôtel de ville, etc.

 1986-2005 : la ville couvre une superficie urbanisée de 9300 hectares.
Le District de Yamoussoukro a de nombreux avantages naturels (le climat, le relief, le sol et
le sous-sol, l’hydrographie, la végétation).
Les compétences qui lui sont conférées par l’état de Côte d’Ivoire sont consignées dans la loi
n° 2003-208 du 07 juillet 2003 portant transfert des compétences de l’état aux collectivités
territoriales.
1.1.1 Missions du District de Yamoussoukro
Dans le respect de l’intégrité territoriale, de l’autonomie et des attributions des autres
Collectivités Territoriales et en harmonie avec les orientations nationales, le District de
Yamoussoukro a pour compétences :
 L’aménagement du territoire;
 La planification de l’habitat;
 Les voies de communications et les réseaux divers;
 la santé, l’hygiène publique et la qualité;
 la protection de l’environnement et la gestion des ressources naturelles;
 la sécurité et la protection civile;
 l’enseignement, la recherche scientifique et la formation professionnelle et
technique;
 l’action sociale, culturelle et de la protection humaine;
 les sports et loisirs;
 la promotion du tourisme;
 la promotion du développement économique et de l’emploi;
 la communication;
 l’hydraulique, l’assainissement et l’électrification;
 la promotion de la famille, de la femme, de la jeunesse, des enfants, des handicapés
et des personnes du troisième âge.
1.2 Organisation et fonctionnement
Pour l’exercice de ses compétences, le District de Yamoussoukro dispose des organes
suivants :
 Un Conseil du District;
 Le bureau du District;
 Un Gouverneur du District;
 Un Comité Consultatif du District;
 Une Organisation Administrative.

Le Conseil du District
Le Conseil du District est l’organe délibérant, ses membres sont repartis en six (6)
commissions permanentes chargées d’étudier et de suivre les questions suivantes
 Planification, développement et emploi;
 Economie, budget et finance;
 Environnement, cadre de vie, tourisme et artisanat;
 Equipement, infrastructure et transport;
 Education, affaires sociales, culture, sport et loisir;
 Sécurité et protection civile.
Le bureau du District
Les attributions de ce bureau permettent une bonne répartition des charges de la gestion du
district. Il est chargé entre autre :
 De l’établissement de l’ordre du jour des réunions du conseil;
 De la préparation du programme des opérations et des actions de développements du
District;
 De la préparation du budget du district et du suivi de son exécution;
 Du suivi du recouvrement des recettes;
 Des opérations préliminaires à l’attribution d’un marché par le conseil ou par le
Gouverneur;
 D’émettre un avis préalable à l’engagement par le Gouverneur de dépenses dépassant
un montant prévu par la loi portant régime financier du District.
Le Gouverneur du District
Le Gouverneur est l’organe exécutif du district. Il prépare et soumet au bureau du l’ordre du
jour des réunions. Il convoque et préside les réunions du bureau et celle du conseil. Il se
charge de l’exécution des délibérations du conseil.
Le Gouverneur est l’ordonnateur des dépenses et des recettes du District. Il est le chef des
services du district.
L’organisation administrative
L’organisation administrative du District est élaborée sur la base des orientations définies par
l’organigramme type mis à la disposition du District de Yamoussoukro par la direction
générale de l’aménagement du territoire.

1.3 Présentation de la direction informatique
La Direction de l’Informatique est la structure qui nous a accueillis pour notre stage. Elle est
chargée de la réalisation de la politique du District en matière d’informatique, de
l’établissement du schéma directeur de l’informatique, de la supervision des projets et actions
informatiques.
Elle est composée de deux (2) sous-directions :
- La sous-direction des systèmes d’information composée des :
 Service des Systèmes d’Information ;
 Service Assistance, Formation et Supports Technique.
- La sous-direction du développement et des NTIC composée des :
 Service d’Etude et Développement ;
 Service Architecture, réseaux et sécurité.
1.4 Attributions de la sous-direction des systèmes d’information
Conception et définition d’une politique globale des systèmes d’information;
Réalisation d’études ou d’expertises nécessaires à la mise en place ou au
développement des systèmes d’information;
Planification, contrôle de la gestion des activités et des projets et de
l’utilisation des moyens consacrés aux systèmes d’information;
Contrôle de l’architecture applicative et fonctionnelle;
Organisation et configuration des structures du système d’information en
fonction des choix stratégiques;
Management et supervision de responsables ou /et d’équipe projet;
Suivi et maîtrise des contrats de sous-traitance informatique;
Définition, mise en œuvre de la politique de gestion des risques informatiques et
contrôle de fiabilité, de la sécurité, de la confidentialité et de l’intégrité des
systèmes d’information;
Maîtrise d’ouvrage de l’élaboration des Systèmes d’Information (SI);
Définition et mise en place de partenariats avec l’environnement extérieur;
Veille technologique sur les matériels et les organisations des Système
d’informations;
Formation et développement professionnel du personnel technique;
Administration du système d’information ;
Administration des réseaux ;
Administration des bases de données.

1.5 Attributions de la sous direction du développement et NTIC
Attributions de la Sous Direction :
Elaboration et conception de la politique des nouvelles technologies de
l’information et de la communication en conformité avec les objectifs fixés par
la hiérarchie;
Conception et réalisation de cd-rom interactif;
Conception et réalisation de site Internet du District;
Coordination de toutes les activités des différents services dans le domaine des
NTIC;
Créer des programmes d’application et développer toutes applications
susceptibles d’améliorer la gestion en collaboration avec la sous-direction des
Systèmes d’Information (SI);
Veille technologique sur les NTIC.
Attribution du Service d’Etudes et Développement :
Automatisation des tâches de la gestion en interne (site- web, programme de
gestion,…) en collaboration avec la sous-direction Systèmes d’Information;
Assistance aux services.
Attribution du Service NTIC :
Conception et réalisation de site Internet pour le District;
Conception d’application web;
Mise en œuvre de serveur de messagerie;
Configuration réseau de poste de travail pour accès à Internet;
Télécommunications.
1.5.1 Organigramme de la Direction Informatique
La Direction Informatique
La sous-direction
des systèmes
d’information
Service des
Systèmes
d’Information
Service
Assistance,
Formation et
Supports
Technique
La sous-direction
du
développement et
des NTIC
Service d’Etude
et
Développement
Service
Architecture,
réseaux et
sécurité

1.6 Description des ressources
Pour obtenir un meilleur rendement des services et eu égard à l’évolution même des
attributions du District de Yamoussoukro (DY), des moyens conséquents sont mis à
leur disposition.
Ceux-ci s’analysent en termes d’acquisition de matériels d’équipement et de
réhabilitation des locaux.
Sur les trois dernières années, la politique d’acquisition s’est traduite par l’achat
de matériels informatique et de bureau (imprimantes, micro-ordinateurs, etc.)
Ainsi, en ce qui concerne l’environnement matériel et logiciel nous notons qu’il
est composé :
a) Ressources matérielles
 Matériel informatique
Matériels Caractéristiques
Ordinateur de bureau
Marque : HP PRO
RAM : 4 Go
Disque Dur :1 To
Serveur
HP Proliant ML 350 G3
RAM :4 Go (8 Go maximum)
Disque Dur : 438 Go
Photocopieuse CANON IR 2200
Imprimantes HP LaserJet 1320
HP LaserJet P2014
 Matériel réseau et télécommunication
Matériels Caractéristiques
Routeur Cisco Linksys-WRT160N (4 Ports)
Cisco serie 2800
Switch D-link 216 (16 ports)
D-link Ethernet (8 ports)
Power station Version 5 ;
Fréquence: 5 GHz ;
Mode: IEEE 802.11 a.
Telephone Marque: Panasonic ;
Type: fixe.
Tableaux 1 et 2 : Les ressources matérielles

b) Logiciels
Systèmes d’exploitation
Les différents systèmes d’exploitation sur lesquels fonctionnent les applications de
l’administration du district sont :
Microsoft Windows; XP professionnelle; Vista; Seven ultimate; Windows server 2003;
Linux Mandriva.
Applications
Le District dispose de logiciels tels que :
 ;
 .
 ;
 ;


Chapitre 2 : ETUDE DE L’EXISTANT
2.1 Presentation du système actuel
Une meilleure compréhension de l'environnement informatique aide à déterminer la
portée du projet et de trouver la bonne solution à implémenter. Il est de ce fait indispensable
de disposer d'informations précises sur l'infrastructure réseau et les problèmes qui on une
incidence sur le bon fonctionnement de celle-ci.
Le réseau du District Autonome de Yamoussoukro s’étend sur quatre (4) sites distants.
L'architecture de chaque sites est également un réseau LAN (Local Area Network), Ethernet,
basé sur la topologie étoile.
Chaque LAN est de type Ethernet, câblés selon les normes IEEE 802.3, avec pour support la
paire torsadée blindée (STP) de catégorie 5e. Ces câbles sont sertis selon la norme EIA-TIA
568 B, supportant un débit maximum de 100Mbps.
 Un serveur de comptabilité, d’immobilisation et paye, Sage Saari qui est sous
Windows Server 2003 ; c’est un serveur dédié HP COMPAQ 3,2 GHz, 2 Go de RAM
et un disque dur de 80 Go ;
 Un serveur dédié Mail, base de données et contrôleur de domaine pour la gestion des
mails de tout le personnel, le contrôle des authentifications et la gestion centralisée
des bases de données qui est sous Windows Server 2003, c’est un serveur HP Proliant
ML 350 G3, RAM: 4 Go (8 Go maximum), disque dur: 438 Go.
Pour ce qui est de la gestion des comptes utilisateurs, les authentifications ne sont pas
toutes centralisées (Tous les utilisateurs des sites distant). Les comptes des utilisateurs
sont soit des comptes administrateurs ou des comptes limités et n’ont pas accès aux
ressources partagées du réseau. Les comptes Invités sont actifs sur certains postes de
travails.
Figure 1 : Topologie générale

2.2 Critique du système actuel
La critique de l'existant est un jugement objectif portant sur l'organisation actuelle de
l'entreprise.
2.2.1 Points forts du système
Le système existant possède des atouts basés sur l’organisation. Cette organisation tient
sa force des caractéristiques suivantes :
 Tout les sites distant du district de Yamoussoukro (DAY) sont dotés dune
connexion internet haut débit. Le siège en procède trois (3) de 6 Méga
chacune;
 Réseau local de chaque site opérationnel ;
 Contrôleur de domaine déjà fonctionnel.
2.2.2 Points faibles du système
Le système quoique opérationnel, n’est pas sans failles. Ainsi on peut relever entre autres :
 Données non centralisée stockées sur des supports analogiques;
 Difficulté relatives à la confidentialité des informations échangées entre
sites;
 Données échangées de façon manuelle ;
 Impossible d’utiliser les ressources du réseau (accès sécurisé aux fichiers
et bases de données distante,…) ;
 Un plan d’adressage réseau moins optimal et évolutif ;
 Les équipements du réseau utilisent une authentification par défaut;
 Pas de sécurité logicielle pour les réseaux existants (filtrage,
authentification) ;
 Manque d’un système d’équilibre des charges (Load balancing) au niveau
des connexions internet du siège. En effet, le siège du District de
Yamoussoukro possède trois (3) connexions internet de haut débit,
cependant, une seule connexion à la fois est utilisée.

Chapitre 3 : PRESENTATION DU THEME ET DEFINITION DES TERMES
3.1 Présentation du thème
Dans une entreprise, communiquer est essentiel, voire vitale. C’est le gage de son bon
fonctionnement, car étant elle-même composée de plusieurs directions et services. Toute
entreprise nécessite une parfaite interaction entre ses différentes composantes pour lui
permettre d’atteindre ses objectifs. Cela nécessite la mise en place d’un système
d’interconnexion basé sur une ou plusieurs solutions de transmission adéquat.
C’est pourquoi, nous avons été accueilli au District Autonome de Yamoussoukro, ou il
nous a été soumis le thème : « Interconnexion et sécurisation de sites distants ».
Ce projet consiste à mettre en place un système d’interconnexion fiable, sécurisé des
différents sites du District de Yamoussoukro.
3.2 Objectifs
3.2.1 Objectifs généraux
Les objectifs de ce projet sont :
 Permettre aux différents utilisateurs quelque soit leur site d’exploiter les ressources
du réseau;
 L’implémentation d’un environnement client/serveur.
3.2.2 Objectifs spécifiques
Les objectifs à atteindre pour le District sont de plusieurs ordres. Il s’agit d’assurer les
services suivants :
 Administration du système à distance ;
 Sécurisation des données;
 Administration centralisée du système;
 Eviter les pertes de données;
 Réduction considérable de consommable tel que papier.
L'interconnexion des réseaux locaux est l'ensemble des solutions permettant de relier les
ordinateurs, quelque soit la distance ou leurs différences.
Un réseau local sert à interconnecter les ordinateurs d'une organisation, toutefois une
organisation comporte généralement plusieurs réseaux locaux, il est donc parfois
indispensable de les relier entre eux. Dans ce cas, des équipements spécifiques sont
nécessaires.

3.3 Méthodes et Techniques d’analyses
Tout chercheur se focalise sur une ou plusieurs méthodes et techniques susceptibles de
l'orienter.
La technique : C'est un ensemble d'instruments ou d'outils qu'utilise la méthode enfin de
réaliser un travail scientifique.
On pourrait associer la définition du mot méthode à une combinaison de deux mots :
- Méthis : Le raisonnement rusé ou les ruses de l'intelligence
- Hodas : Le chemin, la voie à suivre.
D'où, méthode pourrait se définir comme étant le chemin de la ruse. On peut aussi dire, un
ensemble de démarches que suivent l'esprit et l'arrangement qui en résulte.
Une analyse se définie comme étant un examen méthodique, raisonnement inductif ou
déductif permettant de distinguer les différentes parties d'un problème et de définir leurs
rapports.
L’informatique est le traitement automatique et rationnel de l'information par ordinateur.
Ainsi, une méthode d'analyse informatique peut se définir comme étant un ensemble de
démarches suivant un raisonnement inductif ou déductif dans le but de distinguer les
différentes parties d’un problème et de réaliser le traitement automatique de celui-ci.
Elle a donc pour objectif de permettre la formalisation, les étapes préliminaires du
développement d'un système afin de rendre ce développement plus fidèle aux besoins du
client. Pour ce faire, on part d'un énoncé informel, ainsi que de l'analyse de l'existant
éventuel.
Notons qu’une méthode d’analyse et de conception est la réunion d’une démarche et d’un
formalisme. Son objectif est de permettre de formaliser les étapes préliminaires du
développement d’un système afin de rendre ce développement plus fidèle aux besoins du
client. La mise en place d’un système d’interconnexion nécessite un grand nombre de
connaissance. De ce fait, pour mener à bien notre étude, nous avons eu à utiliser certaines
méthodes et techniques a savoir :
 L’observation de l’environnement et des méthodes de travail des différents
acteurs afin de mieux comprendre les contours du projet ;
 L’analyse des composant du système existant qui consiste à décomposer les
éléments du système existant enfin de le définir et d'en dégager les spécificités
auxquelles le nouveau système fera face ;

 Des entretiens réalisées avec différents acteurs dans le souci de mieux cerner
le fonctionnement des différents services et de mieux percevoir les problèmes
rencontrés par les différents employés dans l’exercice de leurs attributions ;
 La documentation en ce sens que notre système doit correspondre le plus
possible à leur réalité.
La présentation du sujet et du cadre du travail mis en évidence, nous passons au choix
techniques les plus appropriées qui permettront de satisfaire toutes les contraintes. C’est
l’objet du chapitre suivant.

Deuxième PARTIE
ETUDE TECHNIQUE

Chapitre 4 : PRESENTATION DES SOLUTIONS D’INTERCONNEXION
POSSIBLES
La partie précédente a consisté à dégager la préoccupation principale de nos travaux et les
différentes questions qui s'y rattachent.
Etymologiquement, le mot interconnexion est la jonction de deux mots : inter et connexion.
L’interconnexion veut tout simplement signifier la connexion, la liaison entre deux ou
plusieurs choses. En appliquant cette définition aux réseaux informatiques, il ressort alors que
interconnecter le système informatique de deux ou plusieurs structures revient alors à établir
une jonction entre les réseaux informatiques de ces dernières afin qu’elles puissent échanger
des informations, des données.
Plusieurs moyens sont utilisés pour interconnecter deux réseaux informatiques distants, nous
avons :
 L’interconnexion par supports physiques,
 l’interconnexion par ondes radios ou faisceaux hertziens.
Plusieurs techniques de nos jours permettent l’interconnexion et la sécurisation de réseaux
locaux. Nous proposons dans cette section d'étudier les différentes solutions envisageables.
Cette étude a pour but de doter le district de Yamoussoukro d’une plateforme robuste, sûr et à
coût amoindri.
4.1 La fibre optique
La fibre optique est un fil en verre ou en plastique très fin qui a la propriété de conduire
de la lumière et sert dans les transmissions terrestres et océaniques de données. Elle offre un
débit d'informations nettement supérieur à celui des câbles coaxiaux et supporte un réseau
large bande par lequel peuvent transiter aussi bien la télévision, le téléphone, la
visioconférence ou les données informatiques.
4.1.1 Principe de fonctionnement
À la base une fibre optique est un guide-onde. C'est donc l'onde qui se propage dans la
fibre optique qui est modulée pour contenir une information. Le signal lumineux est codé en
variation d'intensité. Pour les courtes distances, et une optique à bas coût, une simple DEL
peut jouer le rôle de source émettrice tandis que sur des réseaux haut débits et à longue
distance, c'est un laser qui est de préférence utilisé. Il existe principalement deux types de
fibres optiques:
 Les fibres plastiques, en polystyrène (PS) ou en poly méthacrylate de méthyle
(PMMA), sont économiques, légères et souples, mais leur atténuation est élevée ; on
les utilise surtout pour les transmissions à courte distance.

 Les fibres silice-silicone sont constituées d'un cœur de silice pure et d'une gaine
de silicone. Elles présentent une faible atténuation, mais sont plus rigides et plus
onéreuses que les fibres plastiques et sont utilisées pour les transmissions longue
distance.
Lorsqu'un rayon lumineux entre dans une fibre optique à l'une de ses extrémités avec un
angle adéquat, il subit de multiples réflexions totales internes. Ce rayon se propage alors
jusqu'à l'autre extrémité de la fibre optique sans perte, en empruntant un parcours en zigzag.
La propagation de la lumière dans la fibre peut se faire avec très peu de pertes même lorsque
la fibre est courbée.
4.1.2 Les différentes catégories de fibres optiques
On peut distinguer deux catégories de fibres optiques selon le diamètre de leur cœur et la
longueur d'onde utilisée:
 Les fibres optiques multimodes, les premières sur le marché, les fibres multimodes
ont pour caractéristiques de transporter plusieurs modes (trajets lumineux). Elles sont
caractérisées par un diamètre de cœur de plusieurs dizaines à plusieurs centaines de
micromètres et permettent d'atteindre le Gbit/s sur des distances de l'ordre du km.
Elles sont réservées aux réseaux informatiques à courtes distances.
Dans cette famille, nous trouvons deux sous catégories:
a) La fibre multimode à saut d'indice;
b) La fibre multimode à gradient d'indice.
 La fibre optique monomode c'est le top. Pour de plus longues distances ou de plus
hauts débits, il est préférable d’utiliser des fibres monomodes (dites SMF, pour Single
Mode Fiber), qui sont technologiquement plus avancées.
Leur cœur très fin n'admet ainsi qu'un mode de propagation, le plus direct possible c'est-à-
dire dans l'axe de la fibre. Elles sont utilisées pour les réseaux à très longues distances tels
que les lignes intercontinentales et la solution la meilleure, mais aussi la plus onéreuse.
4.1.3 Avantages et inconvénients de la fibre optique
 LES AVANTAGES
 Débit très élevé, d'une grosse centaine de Mégas bit par seconde : 10,2 Tbit/s
(l0 200 Gbit/s), sur une distance de 100 kilomètres;
 Transmission longue distance;
 Sécurité élevée ;
 Durée de vie de la fibre est de 20 ans, ce qui représente une valeur sûre,
durable et économique pour les entreprises;

 Insensibilité aux interférences extérieures.
 LES INCONVENIENTS
 Coût de déploiement élevé. La fibre optique, par apport au câble en cuivre
coûte moins cher. En revanche, la connectique et les convertisseurs d'énergie
électrique/lumineuse et réciproquement à placer aux extrémités coûtent cher,
très cher même, suivant les méthodologies mises en œuvre;
 La silice qui est le matériau au centre de la fibre est fragile. Il est important
que cette silice soit bien protégée;
 Maintenance difficile.
4.2 Virtual private network (VPN)
Le VPN est l'abréviation de Virtual Private Network ou Réseau Privé Virtuel. Le VPN
dispose de la même fonctionnalité qu'un réseau prive (utilisant des lignes spécialisées) mais
utilise Internet pour créer des lignes louées virtuelles qui passent par le réseau public. Un
VPN permet le raccordement de travailleurs mobiles et l'interconnexion de sites distants.
En d’autre terme, le but de la solution VPN (Virtual Private Network) est de pouvoir faire
communiquer à distance les employés distants et partenaires de l'entreprise de façon
confidentielle, et ceci en utilisant internet. Il s'agit donc de créer un canal virtuel de
communication protégé traversant un espace public non protégé. Chacun des membres du
réseau VPN peut être un réseau local (LAN) ou un ordinateur individuel.
Un VPN fonctionne en encapsulant les données d'un réseau à l'intérieur d'un paquet IP
ordinaire et en le transportant vers un autre réseau. Quand le paquet arrive au réseau de
destination, il est décapsulé et délivré à la machine approprié de ce réseau. En encapsulant les
données et en utilisant des techniques de cryptographie, les données sont protégées de
l'écoute et de d’éventuelle modification pendant leur transport au travers du réseau public.
4.2.1 Avantages et inconvénients du VPN
 LES AVANTAGES
 La possibilité de réaliser des réseaux privés à moindre coût;
 La mise en œuvre d'un intranet étendu permettant à tous les utilisateurs et
partenaires d'accéder à distance à des ressources partagées, quelle que soit leur
localisation géographique;
 Solution sécurisée puisque le VPN est un réseau privé reposant sur deux
éléments: L'authentification et l'encryptage.
 Nécessité de respecter les règlementations nationales en vigueur sur le
chiffrement ;

 Cette solution est dépendante d’un fournisseur d’accès internet.
4.3 La liaison spécialisée
Elle se définit sur le plan technique comme une liaison permanente constituée par
un ou plusieurs tronçons d'un réseau ouvert au public et réservée à l'usage exclusif
d'un utilisateur. Elle s'oppose ainsi à la liaison commutée, qui est temporaire. Au plan
juridique, la ligne louée, encore appelée liaison louée ou liaison spécialisée, est ainsi
définie par le code des postes et télécommunications : "la mise à disposition par
l'exploitant public dans le cadre d'un contrat de location d'une capacité de
transmission entre des points de terminaison déterminés du réseau public, au profit
d’un utilisateur, à l'exclusion de toute commutation contrôlée par cet utilisateur". Ce
type de service est utilisé par les entreprises pour leurs réseaux internes, ainsi que par
les fournisseurs de services de télécommunications qui ne disposent pas
d'infrastructures propres ou souhaitent les compléter.
La liaison spécialisée (LS) est une ligne téléphonique tirée directement entre les
locaux du client et le fournisseur d'accès. Le débit varie entre 64 Kb/s à des dizaines
Mb/s, et le coût est fonction du débit demandé.
Dans le cas de l'interconnexion de réseaux locaux, on utilisera un modem et un
routeur pour chaque réseau local. La liaison se ferra à travers une ligne téléphonique
qui reliera les modems entre eux, connectés à leur tour aux routeurs.
4.3.1 Avantages et inconvénients de la liaison spécialisée
 LES AVANTAGES
 C'est une liaison qui offre des débits de connexion symétriques, garantis en
émission et en réception de données et allant de 64 Kbps jusqu'à des dizaines
de Mbps ;
 Par le biais d'un canal unique exclusivement réservé à votre entreprise, une
liaison spécialisée vous offre la possibilité d'échanger tous types de données;
 Toutes vos communications sont sécurisées et offrent ainsi une fiabilité et une
confidentialité totales.
 Cette solution est dépendante d’un fournisseur d’accès internet;
 En cote d’ivoire le coût de la redevance mensuelle est très élevé: 472.000 F
pour les frais d'accès et 1.180.000 F pour la redevance mensuelle d'un débit de
1 Mb/s.
 Dans le cas d’une interconnexion de plusieurs sites (Point à multipoint),
chaque site à interconnecter entraine obligatoirement l’utilisation d’une
nouvelle interface pour chaque lignes spécialisées, plus d’interfaces signifie
donc plus de dépense.

4.4 Le WIMAX
L'évolution technologique des interconnexions de réseaux a permis de s'affranchir de
l'utilisation des câbles (paire torsadée, fibre optique...). L'utilisation du réseau filaire est
progressivement délaissée au profit de réseaux sans fils en raison des contraintes liées à leur
déploiement et maintenance. Le nouveau monde de l'interconnexion se caractérise par
l'utilisation des voies hertziennes. La boucle locale radio, utilisée pour l'interconnexion de
bâtiments en accès haut débit par voie hertzienne, a trouvé un nouveau souffle avec la
technologie WiMAX.
WIMAX est l’abréviation pour Worldwide Interoperability for Microwave Access. Il s'agit
d'un standard de réseau sans fil métropolitain créé par les sociétés Intel et Alvarion en 2002 et
ratifié par l'IEEE Institute (Institue of Electrical and Electronics Engineer) sous le nom IEEE-
802.16. Plus exactement, WIMAX est le label commercial délivré par le Wi Max Forum aux
équipements conformes à la norme IEEE 802.16, afin de garantir un haut niveau
d'interopérabilité entre ces différents équipements. Ainsi il permet d'obtenir des débits
montants et descendants de 70 Mbit/s avec une portée de 50 Km. Le WIMAX étend la
couverture et le débit de la BLR. Outre les connexions en ligne de vue directe ou LOS (Line
Of Sight) dans la bande 10-66 GHz, le WIMAX permet aussi une connexion NLOS (No
Line Of Sight) dans la bande 211 GHz, grâce à l'utilisation de la modulation OFDM. Elle
permet notamment de surfer sur Internet en haut débit, de téléphoner (VoIP), ou encore
d'interconnecter des réseaux d'entreprises.
Le fonctionnement d'un réseau WIMAX est principalement basé sur la communication
entre les stations de base (Base Transceiver Station ou BTS) et les divers équipements
certifiés Wi Max qui y sont reliés. Les stations de base correspondent aux antennes placées
sur les points hauts de la ville et à tous les équipements qui y sont reliés, chargés d'émettre et
de recevoir les données sous forme d'ondes radio. La station de base est reliée au centre de
l'opérateur et prend en charge les transmissions avec les abonnés. Chez le client, une petite
antenne doit être placée sur le toit du domicile et orientée vers la station de base (LOS).
Celle-ci est reliée par un câble à un boîtier périphérique de l'ordinateur, qui joue le rôle
d'interface et d'alimentation de l'ODU (Out Door Unit). Les évolutions technologiques
permettent désormais de connecter des antennes clients sans que celles-ci ne soient en vue
des stations de base (NLOS). La figure illustre clairement le principe de fonctionnement du
WIMAX.

4.4.1 AVANTAGES ET INCONVENIENTS DU WIMAX
 LES AVANTAGES
 Large zone de couverture ;
 Facilité de maintenance et d'administration;
 Possibilité d'investissement progressif en fonction de la demande;
 Faible coût de déploiement par rapport au réseau filaire (Fibres
optiques).
 les signaux ne peuvent pas traverser les obstacles entre les antennes
émettrices et réceptrices ;
 Faible tolérance aux perturbations en milieu urbain;
 Sensibilité aux conditions météorologiques;
 Réseau coûteux. Le réseau Wimax a un coût relativement élevée car
l’installation d'antenne nécessite un grand déploiement de personnel ;
 Nécessité de disposer d'un point haut.
Figure 2 : Interconnexion par WIMAX

Tableau 3 : Comparaison des solutions
Solutions
Fibre
Optique
LS VPN WIMAX
Avantages
Débit très élevé ;
Transmission longue
distance ;
Sécurité élevée ;
Durée de vie élevée ;
Insensibilité aux
interférences extérieures.
Liaison et débits de
connexion garantis ;
Echange de tous types de
données ;
Confidentialité et fiabilité.
Interconnexion à moindre coût ;
Accès des ressources partagées
distant ;
Solution sécurisée ;
Large zone de couverture ;
Facilite de maintenance ;
Investissement progressif.
Inconvénients
Coût de déploiement élevé ;
Fragilité des fibres ;
Maintenance difficile.
Solution est dépendante d’un
FAI;
Coût redevance mensuelle
très élevé ;
Dépense pour chaque site à
interconnecter.
Respect de réglementations sur le
cryptage ;
Solution dépendante du FAI.
Faibles tolérances aux perturbations ;
Sensibilité aux conditions
météorologiques ;
Réseau coûteux ;
Nécessité de disposer d'un point
haut.
Implantation Complexe Facile Facile Complexe
Coût Très élevé Elevé Moyen Très élevé
Durée
D’implantation
Très élevée Peu élevée Peu élevée
Assez
élevée

4.5 Proposition de solutions
4.5.1 Solutions selon les besoins fonctionnels
Ce sont les besoins exprimés par la direction informatique du District de Yamoussoukro
pour mener a bien se projet.
Le réseau du district de Yamoussoukro, par son manque d’homogénéité, ne permet une
gestion centralisée du système, ainsi que l’implémentation efficiente d’une politique de
sécurité visant à sécuriser les données transitant entre sites. De ce fait, toutes les informations
passant par internet sont transmises en clair.
La première solution pour répondre à ce besoin de communication sécurisée pourrait
consister à relier les réseaux distants à l'aide de liaisons spécialisées. Toutefois, un bon
compromis consiste à utiliser Internet comme support de transmission à partir d'un protocole
d'encapsulation" (en anglais tunneling, d'où la prononciation impropre parfois du terme
"tunnelisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée.
Eu égard de ce qui précède, notre choix s’est donc porté sur le VPN pour les raisons ci-
après.
La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des LAN
distants.
Ce procédé utilisé par de nombreuses entreprises permet un grand nombre
d'applications possibles :
 permettent d'administrer efficacement et de manière sécurisé un réseau local
à partir d'une machine distante ;
 permettent aux utilisateurs qui travaillent à domicile ou depuis d'autres sites
distants d'accéder à distance à un serveur d'entreprise par l'intermédiaire d'une
infrastructure de réseau public, telle qu'Internet ;
 permettent de partager des fichiers et programmes de manière sécurisés entre
une machine locale et une machine distante.
A cela s’ajoute une nécessite de sécuriser chaque sites par :
 l’installation de pare-feu dans le but d’empêcher toute intrusion extérieur ;
 Proposer un plan d’adressage par sites à interconnecter ;
 La sécurité des accès au réseau (mot de passe : longueur, caractères spéciaux,
filtrage).

4.5.2 Solutions selon les besoins non fonctionnels
Les besoins non fonctionnels représentent les exigences implicites auxquelles le système doit
répondre.
Ainsi à part les besoins fondamentaux, notre système répondra aux critères suivants :
 La simplicité d’utilisation des services implémentés ;
 La centralisation de l’administration et de la gestion des utilisateurs ;
 La performance du réseau (temps de réponse) ;
 La disponibilité aux heures de charge (heures de connexion) ;
 La documentation du réseau ;
 Mise en place d’une stratégie de bascule des lignes internet en cas de coupure
d’une des connexions ;
 Mise en place d’un système d’équilibre des charges ;
 La fiabilité (moyenne de temps de bon fonctionnement).

Chapitre 5 : PRESENTATION GENERALE DU VPN
Ce chapitre a pour but l’étude des principes, des moyens techniques et des technologies
nécessaires à la mise en œuvre des réseaux privés virtuelles (VPN). Nous détaillerons les
différents types de tunnélisation ainsi que les protocoles de chiffrement utilisés lors de la
mise en place de tunnels sécurisés VPN.
Il sera également question d’examiner les raisons pour les quelles les VPNs sont très
important, quel types de VPNs sont disponible a déployer et quel type de VPN est approprié
pour une situation donnée.
5.1 Fonctionnement
Le terme VPN (Virtual Private Network) ou réseau privé virtuel, au fil des années, est
devenu un terme courant dans l'informatique d'entreprise et le domaine des réseaux en
général.
Le VPN repose sur un protocole de tunnélisation (tunneling), c'est-à-dire un protocole qui
permet le passage de données cryptées d'une extrémité du VPN à l'autre grâce à des
algorithmes. On emploi le terme « tunnel » pour symboliser le fait que les données soient
cryptées et de ce fait incompréhensible pour tous les autres utilisateurs du réseau public (ceux
qui ne se trouvent pas aux extrémités du VPN).
Ainsi, les utilisateurs ont l'impression de se connecter directement sur le réseau de leur
entreprise.
Le principe du VPN consiste à construire un chemin virtuel après avoir identifié l'émetteur et
le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant ce
chemin virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets
d'entreprise, les réseaux privés virtuels d'accès simulent un réseau privé, alors qu'ils utilisent
en réalité une infrastructure d'accès partagée, comme Internet.
Les données à transmettre peuvent être prises en charge par un protocole différent d'Ip. Dans
ce cas, le protocole de tunneling encapsule les données en ajoutant un en-tête. Le VPN est
l'ensemble des processus d'encapsulation, de transmission et de désencapsulation.
Pour émuler une liaison privée, les données sont cryptées à des fins de confidentialité. Les
paquets interceptés sur le réseau partagé ou public restent indéchiffrables sans clé de
décryptage. La liaison servant à l'encapsulation et au cryptage des données privées est une
connexion VPN.
Etant donné que chaque point d'un réseau VPN est relié au réseau central par le biais d'un
tunnel, reliant les périphériques à un Gateway, tous les utilisateurs passent par le
même "portail", ce qui permet de gérer la sécurité des accès, ainsi que le trafic utilisé par
chacun. En effet, malgré son aspect sécurisé, un réseau VPN reste une extension du réseau
principal vers chaque employé qui y accède, ce qui augmente d'autant le risque de failles.
Centraliser les entrées au réseau permet de renforcer la sécurité, et de mieux gérer la taille
prise par le réseau étendu.

5.2 Les différents types de VPNs
Il existe deux (2) principale catégories dans lesquelles les VPNs peuvent être classée :
5.2.1 Le VPN d'accès
Le VPN d'accès (remote-access VPN) est utilisé pour permettre à des utilisateurs itinérants
d'accéder au réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la
connexion Vpn. Il existe deux cas:
 L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers
le serveur distant : il communique avec le Nas (Network Access Server) du
fournisseur d'accès et c'est le Nas qui établit la connexion cryptée.
 L'utilisateur possède son propre logiciel client pour le VPN auquel cas il établit
directement la communication de manière cryptée vers le réseau de l'entreprise.
Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :
La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs
tunnels, mais nécessite un fournisseur d'accès proposant un Nas compatible avec la solution
VPN choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est pas cryptée
Ce qui peut poser des problèmes de sécurité.
Sur la deuxième méthode, ce problème disparaît du fait que l'intégralité des informations
transmises sera cryptée dès l'établissement de la connexion. Par contre, cette solution pourrait
nécessiter que chaque utilisateur ait un logiciel client (VPN client) déjà préinstallé ou
téléchargé directement du serveur d’accès distant, lui permettant d'établir une communication
cryptée.
De plus, il est possible par le biais de tous les navigateurs web d’établir une connexion
sécurisée par l’utilisation du protocole SSL, aussi utilisé pour sécuriser l’accès aux différents
serveurs web via HTTPS.
Le VPN d’accès permet différents types d’accès :
 L’accès sans client (Clientless) ;
 L’accès port forwarding ;
 L’accès avec client (Full client).
a) L’accès sans client
Dans le mode d’accès sans client VPN, l’utilisateur distant accède aux ressources internes en
utilisant un navigateur web (Mozilla, Chrome,…). Ce mode ne requière l’utilisation d’un
logiciel spécial. Toutes les données sont transmises via le navigateur web.
En utilisant l’accès sans client, l’utilisateur distant à la possibilité d’accéder a certaines
applications client/serveur, aux applications avec des interfaces web, les emails et les
serveurs de fichiers.

Toutes les applications client/serveur ne sont pas accessible dans ce mode ; cependant, cet
accès limité est un excellant moyen pour les partenaires qui devraient avoir accès a des
ressources limitées de l’entreprise et n’est donc pas utilisé pour les employés qui ont besoins
d’un accès distant illimité.
b) Le port forwarding
Le TCP port forwarding, assume que l’utilisateur distant utilise une application cliente
basée sur le protocole TCP dans le but de se connecter à un serveur.
Dans ce mode, l’utilisateur télécharge une applet java qui agit comme un proxy TCP sur la
machine cliente pour le service configuré sur la passerelle VPN.
Cette applet envoie une requête HTTPS de l’application cliente distante à la passerelle VPN,
qui a sont tour se charge de créer une connexion TCP avec la ressource interne.
En d’autres termes, le TCP port forwarding, fait souvent référence au mode d’accès sans
client et peut donc être utilisé partout ou celui-ci est utilisé. Il étant la capacité des fonctions
cryptographiques des navigateurs web à permettre des accès distants à des applications basées
sur le protocole TCP tel que Telnet, SSH, POP3, SMTP.
c) L’accès avec client
Ce mode supporte la plupart des applications basées sur le protocole IP (Internet Protocol) et
est appropries pour toute application client/server.
L’utilisateur distant peut utiliser toute les ressources internes comme s’il était dans le réseau
intranet de l’entreprise. Ce mode d’accès nécessite que chaque utilisateur ait un logiciel client
(VPN client) déjà préinstallé ou téléchargeable directement du serveur d’accès distant.
Figure 3 : Le VPN d’accès

5.2.2 Le VPN site à site
Le VPN site à site (site-to-site VPN) est une extension classique du WAN. Il permet aux
compagnies aillant deux ou plusieurs sites de pouvoir communiquer.
Dans le VPN site a site, les données sont envoyées et reçus normalement tout en transitant
par une passerelle VPN, qui peut être un routeur, un pare feu ou un concentrateur VPN. La
passerelle VPN est chargée d’encapsuler et crypter le trafique sortant provenant d’un site
particulier et de l’acheminer a destination au travers d’un tunnel VPN.
Il en existe deux catégories :
 L'intranet VPN
L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de
réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites
distants. Le plus important dans ce type de réseau est de garantir la sécurité et
l'intégrité des données. Certaines données très sensibles peuvent être amenées à
transiter sur le VPN (base de données client, informations financières...).
 L'extranet VPN
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses
partenaires. Elle ouvre alors son réseau local à ces derniers. Dans Ce cadre, il est
fondamental que l'administrateur du VPN puisse tracer les clients sur le réseau et
gérer les droits de chacun sur celui-ci.
Figure 4 : Le Site-to-Site VPN

5.3 Topologies des VPNs
Au niveau des différentes topologies physiques envisageable, on retrouve des réseaux
privés virtuels en étoile, maillé ou partiellement maillé.
 VPN en étoile
Dans cette topologie toutes les ressources sont centralisées au même endroit et
c'est à ce niveau qu'on retrouve le serveur d`accès distant ou serveur VPN,
dans ce cas de figure tous les employés du réseau s'identifient ou
s'authentifient au niveau du serveur et pourront ainsi accéder aux ressources
qui se situent sur l'intranet.
Figure 5 : VPN en étoile
 VPN maille et partiellement maille
Dans cette autre topologie les routeurs ou passerelles présents aux extrémités
de chaque site seront considérés comme des serveurs d'accès distant, les
ressources ici sont décentralisées sur chacun des sites autrement dit les
employés pourront accéder aux informations présents sur tous les réseaux.

Figure 6 : VPN maillée
Figure 7 : VPN partiellement maillée

Chapitre 6 : SECURITE DES VPNs ET PROTOCOLES UTILISES
Lors de l'utilisation de serveurs VPN sur un réseau, il est conseillé de s'attarder de façon
rigoureuse sur la sécurité. Pour éviter d'être exposé aux différentes attaques des hackers. Le
VPN utilise un ensemble de technologies pour sécuriser les données qui voyagent d'un bout à
l'autre d'internet. Les concepts les plus importants sont ceux de firewall, d'authentification,
protocole de tunnels et du chiffrement de données que nous allons présenter.
6.1 Les firewalls
Un firewall (pare-feu) internet a le même but qu'une porte coupe-feu dans un immeuble:
protéger une certaine zone de l'avancée des flammes ou d'une explosion qu'elles pourraient
engendrer. L'avancée des flammes dans un immeuble est contrôlée en plaçant de solides murs
à des endroits stratégiques qui aident à contenir les flammes et à réduire les dégâts
occasionnés. Un pare-feu Internet a le même rôle. Cependant, il utilise des techniques telles
que l'examen de l'adresse IP du paquet qu'il reçoit ou le port sur lequel arrive une connexion
et décide de laisser passer ou de bloquer le trafic entrant.
Bien que le VPN n'implémente pas de firewall standard par défaut, les pare-feu font partie
intégrante d'un VPN. L'idée est qu'ils doivent être utilisés pour garder les utilisateurs ou le
trafic de données non désirables hors du réseau tout en acceptant les utilisateurs du VPN. Le
pare-feu le plus classique est un pare-feu filtrant les paquets (Statefull firewall), qui bloquera
l'accès à certains services (en fonction des ports) au niveau de la passerelle (routeur). De
nombreux équipements supportant les technologies VPN, tel que le routeur Cisco Privat
Internet Exchange (PIX) et ASA (Adaptive Security Appliance), gère en natif ce type de
filtrage. Un serveur proxy est aussi une solution possible. Ce type de serveur tourne
généralement sur des systèmes d'exploitation tels que Linux, Open BSD, Windows ou Novell
Netware.
6.2 Les composants basics de la cryptographie
La cryptographie peut se définir comme la science ou l’ensemble des méthodes utilisées
pour le cryptage et le décryptage de données sensibles.
Comprendre une technologie étant un moyen de connaitre toutes les technologies,
commençons par certains fondamentaux.
6.2.1 Le chiffrement (Cipher) et les clés
6.2.1.1 Le chiffrement
Un cipher est un ensemble de règles, qui peuvent également être appelées algorithmes
permettant le cryptage ou le décryptage.

6.2.1.2 Les clés
Connaitre comment crypter ou décrypter un message, il faut la correct clé. La clé est donc les
instructions nécessaires au décryptage ou cryptage des données.
6.2.2 Le hachage (Hashing)
Le hachage est l’une des méthodes utilisée pour vérifier l’intégrité des données. C’est un
processus qui consiste en grande partie à prendre un block de données et de créer une valeur
fixe de hachage. Ce processus est dit processus à sens unique. Car en effet, si deux différentes
machines prennent la même donnée et exécutent la même fonction de hachage, elles
devraient obtenir un résultat identique appelé le hache (the hash) ou emprunte.
Figure 8: Fonction de hachage
Les trois types d’algorithmes de hachage sont : Message digest 5 (MD5), Secure Hash
Algorithm 1 et 2 (SHA-1 et SHA-2)
Figure 9: Le Hachage

L’application du hachage dans le processus d’échange consiste à exécuter l’algorithme de
hachage sur chaque paquet et joindre le hachage (résultat du hachage) au paquet à
transmettre.
Le receveur exécute le même processus sur le paquet reçus et compare son résultat a celui de
l’émetteur. Si le hache généré correspond à celui reçu, le paquet est intact et est dit intègre.
Cependant, si un seul bit du paquet transmis est modifié, le hache calculé par le receveur ne
correspondra pas. Et le paquet sera déclaré non intègre.
6.2.3 Code d’authentification de message Haché (HMAC)
Le Code d’authentification de message Haché utilise le mécanisme de hachage.
Cependant, consiste à adjoindre au message un sceau ou code d’authentification de message
MAC (Message Authentification Code) qui est le résultat d’une fonction de hachage à sens
unique à clé secrète. Tout se passe en théorie comme avec une fonction de hachage énoncée
précédemment, sauf qu’il faut avoir la clé pour calculer l’empreinte. L’empreinte dépend à la
fois des données et de la clé, elle n’est donc calculable que par les personnes connaissant la
clé.
Le scellement est une façon incontestable d’ajouter une authentification à un message. Il
est possible de modifier les fonctions de hachage à sens unique conventionnelle en fonction
de hachage à clé secrète, ainsi on trouve des fonctions HMAC-sha et HMAC-md5.
Figure 10 : Code d’Authentification de Message Haché
6.2.4 Les algorithmes symétriques et asymétriques
6.2.4.1 Les algorithmes symétriques
Un algorithme symétrique, aussi connu sous le nom de chiffrement symétrique
(Symetrical Cipher), utilise la même clé pour le cryptage et le décryptage des données. De ce
fait, les différents périphériques connectés via le VPN, ont besoin de cette même clé pour

crypter et décrypter les données qui sont protégées. Pour de tels algorithmes, l’émetteur et le
destinataire doivent se mettre d’accord sur une clé à utiliser avant d’échanger des messages
chiffrés. Cette clé doit être gardée secrète.
Figure 11: Clé symétrique
Les algorithmes symétriques les plus utilisés sont : DES, 3DES, AES.
Ils sont utilisés pour la plupart des données que nous protégeons dans les VPNs de nos jours,
parce qu’ils sont plus rapides et prennent moins de CPU.
6.2.4.2 Les algorithmes asymétriques
Au niveau du chiffrage asymétrique, deux clés (La clé publique et la clé privée) sont
utilisées en lieu et place d’une.
Une des raisons pour laquelle l’une des clés est appelée publique, est que celle-ci publiée, est
disponible à tous ceux qui veulent l’utiliser. La seconde, qu’en a elle (La clé privée) est
détenue exclusivement par le dispositif qui possède la paire, clé privée-publique.
L’algorithme le plus utilisé est RSA (Rivest, Shamir et Aldeman). Une clé, dans ce cas, est
généralement utilisée pour le cryptage et l’autre pour le décryptage.
Figure 12 : Clé asymétrique
L’utilisation des algorithmes asymétriques ne se limite pas seulement au chiffrement des
données, mais également a l’authentification.
Lorsque deux entités sont impliquées dans une authentification utilisant par exemple RSA
(RSA digital signature), toute deux génèrent chacune leur propre paire de clé publique-privée
et s’inscrivent au près d’une autorité de certification CA (Certificate Authority), en lui
fournissant certaines informations telle que l’adresse IP, la clef publique… . Celle-ci crée et
leur délivre a chacun un certificat numérique (digital certificate) signé numériquement.
En effet, les certificats numériques contiennent des informations identifiant un périphérique.
Un certificat numérique est comme un passeport, il contient une preuve d’identité crédible et
irréfutable.

Figure 13 : Exemple de certificat numérique sous Mozilla Firefox
Voici un résumé du contenu d'un certificat (remarquons la présence d’une clé publique sur la
Figure 16) :
Figure 14 : Exemple de clé publique dans un certificat numérique
Le volume de données chiffrées à l’aide d’une clé privée devenant trop important avec le
temps, les chances de découverte de cette clé par un intrus augmente significativement, d’où
la nécessité de prévoir une durée de vie à cette clé et donc au certificat. Comme une clé peut
se perdre ou être volée, il faudra aussi prévoir un système « d'opposition », une liste de
révocation, qui permet de signaler les certificats non encore expirés, mais qui ne sont plus
dignes de confiance pour une raison quelconque. Le CA se doit donc de tenir à jour une liste

de révocation, et, lorsqu'un utilisateur doit user d'un certificat qui est déjà en sa possession, il
devrait commencer par vérifier si celui-ci n'a pas été révoqué entre temps.
6.3 Le tunneling
6.3.1 Qu’est-ce que le tunneling
Il s'agit en fait de créer un tunnel dans lequel par la suite, transiteront des informations
sans que ces dernières doivent à chaque fois créer le chemin d'accès. Ce qu'offre le tunneling,
c'est d'aménager une voie d'accès qui est privée, et dont seuls ceux autorisés peuvent
l'emprunter. Cela notamment sur un réseau public.
Les données à transférer peuvent être des trames d'un autre protocole. Plutôt que
d'envoyer une trame directement, cette dernière est encapsulée dans une autre, qui se charge
d'implémenter le tunnel. L'en-tête supplémentaire fourni les informations de routage, afin que
la charge (payload contenant les données), de ce nouveau paquet puisse traverser le tunnel.
Le tunneling comprend les phases d'encapsulation, de transmission, et de désencapsulation
des données.
Le tunneling peut être appliqué aux couches 2 ou 3 du modèle OSI, suivant les systèmes
d’implémentations.
Figure 15 : Tunneling
6.4 Les protocoles de tunneling
Nous pouvons classer les protocoles que nous allons étudier en deux catégories:
 Les protocoles de niveau 2 comme PPTP, GRE et L2TP.
 Le protocole de niveau 3 comme IPsec.
Il existe en réalité quatre (4) protocoles de niveau 2 permettant de réaliser des Vpn : PPTP
(de Microsoft), L2F, GRE (développé par CISCO) et enfin L2TP. Nous n'évoquerons dans
cette étude que GRE, PPTP et L2TP : le protocole L2F ayant aujourd'hui quasiment disparut.
Le protocole PPTP aurait sans doute lui aussi disparut sans le soutien de Microsoft qui
continue à l'intégrer à ses systèmes d'exploitation Windows. L2tp est une évolution de PPTP
et de L2F, reprenant les avantages des deux protocoles.
Les protocoles de couche 2 dépendent des fonctionnalités spécifiées pour PPP (Point to Point
Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de ce protocole.

6.4.1 PPP (Point to Point Protocol)
Le protocole PPP (Point To Point Protocol) est un ensemble de protocoles standards
garantissant l'interopérabilité des logiciels d'accès distant de divers éditeurs. Une connexion
compatible PPP peut appeler des réseaux distants par l'intermédiaire d'un serveur PPP
standard de l'industrie. PPP permet également à un serveur d'accès à distance de recevoir des
appels entrants et de garantir l'accès au réseau à des logiciels d'accès distant d'autres éditeurs,
conformes aux normes PPP. Il est le fondement des protocoles PPTP et L2TP utilisés dans les
connexions VPN (Virtual Private Network) sécurisées. PPP est la principale norme de la
plupart des logiciels d'accès distant.
6.4.2 GRE (Generic Routing encapsulation)
GRE est un protocole de tunneling défini dans RFC 1702 et RFC 2784. Il support
plusieurs protocoles de tunneling et peut encapsuler plusieurs paquets à l’intérieur d’un
tunnel IP. Ajoutant une entête GRE additionnel entre la charge utile et l’entête IP lui fourni
l’avantage de supporter les fonctionnalités de plusieurs autre protocoles.
Figure 16 : GRE
Les avantages de GRE sont les suivant :
 encapsulation des trafiques n’utilisant pas le protocole IP;
 supporte les trafiques multicast et broadcaste ;
 Utilisation de protocoles de routage permettant l’échange dynamique des informations
de routages.
Cependant, GRE souffre d’un défaut majeur, la confidentialité. C’est pourquoi IPsec est
utilisé.
Figure 17 : Encapsulation avec GRE

6.4.3 PPTP (Point to Point Tunneling Protocol)
PPTP, Point to Point Tunneling Protocol a été mis en œuvre par Microsoft. Il travaille
que sur des réseaux IP comme internet. Le principe du protocole PPTP est de créer des
trames sous le protocole PPP et de les encapsuler dans un datagramme IP via GRE. Ainsi,
dans ce mode de connexion, les machines distantes des deux réseaux locaux sont connectés
par une connexion point à point (comprenant un système de chiffrement et d'authentification,
et le paquet transite au sein d'un datagramme IP.
PPTP permet le cryptage des données PPP encapsulées mais aussi leur compression par
l’utilisation des protocoles MS-CHAP (Microsoft Challenge Handshake Authentification) et
MPPE (Microsoft Point to Point Encryption).
Figure 18: Point to Point Tunneling Protocol
6.4.3.1 Scénario typique PPTP
Le client se connecte au serveur d’accès réseau (NAS). Après que le client ait initialisé sa
connexion PPP, un second appel est fait sur la connexion PPP existante (datagramme IP
contenant des paquets PPP). Ce second appel crée une connexion VPN au serveur PPTP
appelée tunnel. Lorsque le serveur PPTP reçoit des paquets du réseau public il traite le paquet
PPTP pour obtenir le nom de l’ordinateur ou l’adresse encapsulée dans le paquet PPP
(supporte TCP IP, IPX ou NetBEUI).
Figure 19: Scénario PPTP
6.4.4 L2TP (Layer Two Tunnelling Protocol)
Ce protocole réunit les avantages de PPTP et L2F (Aujourd’hui obsolète). L2TP est un
protocole réseau qui encapsule des trames PPP pour les envoyer sur des réseaux IP. Mais
L2TP peut aussi être directement mis en œuvre sur des supports WAN (relais de trames) sans
utiliser la couche de transport IP.

On l’utilise souvent pour créer des VPN sur Internet. Dans ce cas, L2TP transporte des
trames PPP dans des paquets IP.
Le tunnel peut être ouvert par l’utilisateur ou par l’opérateur. Soit deux cas possibles :
 Tunnel direct entre les clients et le serveur (Voluntary Tunneling)
 Tunnel entre l’ISP et le serveur (Compulsory Tunneling)
Il y a deux composants, l’encapsulation des trames PPP dans L2TP, puis le transport via
UDP. Quant à la sécurité, elle se situe au niveau des trames PPP (PAP, CHAP, MPPE). Mais
pour protéger le tunnel lui-même, il est fortement conseillé d’utiliser IPsec.
Figure 20: Layer Two Tunnelling Protocol
6.4.4.1 Scenario typique d’L2TP
Figure 21: Scenario L2TP
L’utilisateur distant initialise une connexion PPP avec le LAC (L2TP Access
Concentrator). Ce dernier accepte la connexion et le lien PPP est établi.
L’ISP peut maintenant entreprendre une authentification partielle de l’utilisateur en
interprétant le champ " user name ". Ou bien il peut maintenir une base de donné qui lie
l’utilisateur a un service. Si le LNS (L2TP Network Server) l’accepte, le LAC peut "
tunneliser " la connexion PPP sans identification.

Si aucun tunnel n’existe vers ce LNS, il ya création du tunnel. Quand le tunnel existe, un
" Call ID " est alloué, et une indication de connexion est envoyée au LNS qui l’accepte ou la
refuse. Si le LNS accepte la connexion, il crée une interface virtuelle pour PPP. Sur le tunnel
une encapsulation L2TP est mise en place. Celle-ci est levée après réception par le LNS, et ce
qui était encapsulé est transmis sur le réseau privé sur l’interface recherché.
6.4.5 SSL/TLS (Secure Socket Layer )
Transmettre des informations au travers d’un réseau public nécessite une sécurisation par
le chiffrement dans le but de prévenir tout accès non autorisé aux données.
Il est possible de bénéficier des concepts de chiffrement et d’authentification en utilisant
différentes technologies tels que SSL/TLS.
SSL et son prédécesseur TLS, permettent l'accès sécurisé à un site web ou à certaines pages
d'un site web. Supporté par tous les navigateurs web, toute personne possédant un ordinateur
peut les utiliser. La majeur partie des transactions via le web sont sécurisées par ces deux
protocoles.
Il est également possible, par le biais de ces protocoles, d’accéder à des sites distants et
d’avoir accès aux ressources via un navigateur web.
SSL v3 a servi de base à la conception de TLS 1.0 et tous deux utilisent les algorithmes
symétriques pour le chiffrage de données et les algorithmes asymétrique sont utilisés
l’authentification et l’échange de clés.
SSL et TLS se situent au sommet de la couche TCP/IP, et au-dessous de la couche
d'application.
Figure 21 : SSL selon le modèle OSI
Pour mettre en place une connexion SSL/TLS, il faut d'abord établir une connexion TCP/IP,
car ils utilisent certaines "primitives" de TCP/IP. Ainsi SSL et TLS peuvent être vus comme
un canal sûr au sein de TCP/IP, où tout le trafic entre deux applications "Peer to Peer" est
échangé de manière cryptée.

6.4.5.1 Les fonctionnalités de SSL/TLS
SSL et TLS ont trois fonctions:
 Authentification du serveur
Qui permet à un utilisateur d'avoir une confirmation de l'identité du serveur. Cela est fait
par les méthodes de chiffrement à clés publiques qu'utilise SSL. Cette opération est
importante, car le client doit pouvoir être certain de l'identité de son interlocuteur à qui par
exemple, il va communiquer son numéro de carte de crédit.
 Authentification du client
Selon les mêmes modalités que pour le serveur, il s'agit de s'assurer que le client est bien
celui qu'il prétend.
 Chiffrement des données
Toutes les données qui transitent entre l'émetteur et le destinataire, sont chiffrées par
l'émetteur, et déchiffrées par le destinataire, ce qui permet de garantir la confidentialité des
données, ainsi que leur intégrité grâce souvent à des mécanismes également mis en place
dans ce sens.
6.4.5.2 Le principe de fonctionnement
La sécurité est importante et SSL/TLS VPNs peuvent la fournir. Il est important de
comprendre les bases de leur fonctionnement. Qu’il s’agisse d’une opération bancaire en
ligne ou d’une connexion sécurisée à un équipement supportant SSL/TLS, le processus reste
le même :
1. Le client établi une connexion TCP (port 443) avec le serveur (serveur Web ou tout
équipements supportant SSL/TLS VPNs) ;
2. Apres que le client est initié sa requête pour la connexion, le server lui fourni son
certificat numérique. Certificat signé numériquement par une autorité de certificat
reconnue (CA) qui contient sa clé publique ;
3. Le client, dés réception du certificat numérique, a une décision à prendre. Celle de
croire en la crédibilité du certificat numérique.
Si le dit certificat est signé par une autorité de certificat reconnu par le navigateur
web du client et est encore valide, le client génère une clé secrète;
4. Cette clé est ensuite chiffrée avec la clé publique du serveur et lui est transmise. Le
serveur déchiffre la clé symétrique en utilisant sa clé privée. Ainsi, les deux
équipements on connaissance et peuvent utiliser la même clé secrète ;
5. La clé est alors utilisée pour crypter la session SSL/TLS.

Figure 22 : Session SSL
Tableau 4 : Comparaison SSL et TLS
6.4.6 IPSec
IPSec est un protocole défini par l'IETF permettant de sécuriser les échanges au niveau de
la couche réseau. Il s'agit en fait d'un protocole apportant des améliorations au niveau de la
sécurité au protocole IP.
IPSec n’est pas lié à des algorithmes de chiffrement, d’authentification et de sécurités. Il est
une bibliothèque de plusieurs protocoles aux normes ouverte qui donnent des indications dans
le but de sécuriser des communications. IPSec «travail » au niveau trois de la couche OSI,
protégeant et authentifiant les paquets IPs entre les équipements impliqués dans une
communication sécurisé. Il peut également protéger virtuellement tout trafiques de la couche
trois à la couche sept du model OSI.
SSL TLS
Développé par Netscape en 1990
Standard développé par l’IETF (Internet
Engineering Task Force)
Débute avec un canal sécurisé et
continue directement à sécuriser les
négociations sur un port dédié
Peut débuter avec des communications non
sécurisées et passer dynamiquement à un
canal sécurisé
Largement supporté du cotée client
Supporté et implémenté plus du coté
serveur
Versions antérieures jugées non
sécurisées
Implémentation plus rigide à cause des
processus standards

6.4.6.1 Concept de base d'IPSec
Le protocole IPSec est destiné à fournir différents services de sécurité. Il permet grâce à
plusieurs choix et options de définir différents niveaux de sécurité afin de répondre de façon
adaptée aux besoins de chaque entreprise. La stratégie IPSec permettant d'assurer les
fonctions de sécurités essentielles sont :
 Authentification des extrémités : Elle permet à chacun de s'assurer de l'identité de
chacun des interlocuteurs. Précisons que l'authentification se fait entre les machines et
non entre les utilisateurs, dans la mesure où IPSec est un protocole de couche 3. IPSec
utilise IKE (Internet Key Exchange) pour l’authentification. IKE utilise plusieurs
types d’authentifications dont : le certificat numérique et la clé pré-partagée.
 Confidentialité des données échangées : Le contenu de chaque paquet IP peut être
chiffré afin qu'aucune personne non autorisée ne puisse le lire.
 Authenticité des données : IPSec permet de s'assurer que chaque paquet a bien été
envoyé par l'hôte et qu'il a bien été reçu par le destinataire souhaité.
 Intégrité des données échangées : IPSec permet de vérifier qu'aucune donnée n'a été
altérée lors du trajet.
 Protection contre les écoutes et analyses de trafic : Le mode tunneling (détaillé
plus loin) permet de chiffrer les adresses IP réelles et les entêtes des paquets IP de
l'émetteur et du destinataire. Ce mode permet ainsi de contrecarrer toutes les attaques
de ceux qui voudraient intercepter des trames afin d'en récupérer leur contenu.
 Protection contre le rejeu : IPSec intègre la possibilité d'empêcher un pirate
d'intercepter un paquet afin de le renvoyer à nouveau dans le but d'acquérir les mêmes
droits que l'envoyeur d'origine.
6.4.6.2 Les composants d’IPSec
IPSec définit cinq (5) blocs de protocoles réalisant chacun une tache bien précise.
Figure 23 : Bibliothèque IPSec

 Le premier bloc représente les protocoles d’IPSec (Protocoles d’acheminement) qui
sont de deux ESP (Encapsulating Security payload) et AH (Authentication Header) ;
 Le second représente le type de confidentialité implémenté en utilisant un algorithme
de chiffrement tel que : DES, 3DES, AES ou SEAL. Le choix dépend du niveau de
sécurité voulu ;
 Le troisième, l’intégrité qui peut être implémenté en utilisant des algorithmes de
hachages MD5 ou SHA ;
 Le quatrième représente comment la clé secrète est établie. Les deux méthodes sont :
la clé pré-partagée ou numériquement signée utilisant RSA ;
 Et la cinquième représentant le groupe d’algorithme DH (Diffie-Hellman) qui fourni
un mécanisme d’échange de clés publique permettant a deux Peers de partager une clé
secrète.
6.4.6.3 Les protocoles de base d’IPSec
IPSec est basé sur deux (2) mécanismes différents assurant les rôles de sécurisation des
données : AH (Authentification header) et ESP (Encapsulating Security Payload).
IPSec est largement configurable. Ainsi, chacun des deux mécanismes AH et ESP peuvent
être utilisés seuls ou combinés avec le second afin de définir le niveau de sécurité voulu. De
plus, il est possible d'indiquer les algorithmes de hachage ou d'encryptions voulu lors d'une
communication.
Figure 24: Exemple d’implémentation IPSec

 AH (Authentification header)
AH, qui est un protocole IP (port 51), est approprié quand la confidentialité n’est pas
obligatoire ou permise. Il permet l’authentification des données et l’intégrité pour
tous paquets IPs qui transitent entre deux systèmes.
AH ne fourni pas la confidentialité des données (chiffrement). Toutes les données
sont donc non cryptées et donc transmises en claire. Utilisé seul, le protocole AH
fourni une sécurité faible.
Figure 25 : Implémentation d’AH
 ESP (Encapsulating Security Payload)
ESP, qui est un protocole IP (port 50), peut fournir la confidentialité et
l’authentification. Il fournit cette confidentialité en cryptant les paquets IPs, cachant
ainsi la charge utile de ceux-ci. Bien que l’authentification et le chiffrement soient
optionnels, avec ESP, un des deux doit au minimum être configuré.
Figure 26 : Implémentation d’ESP

6.4.6.4 Modes de transit des données : Transport et Tunnel
ESP et AH peuvent être appliqués aux paquets IPs dans deux (2) différents modes : le mode
transport et le mode tunnel. Néanmoins, le niveau de sécurité le plus élevé est le mode tunnel.
 Le mode transport
Dans ce mode, la sécurité est fournie seulement pour la couche de transport a la
couche application du model OSI. Le transport mode protège la charge utile du
paquet, mais laisse intact l’adresse IP d’origine. Celle-ci est utilisée pour le
processus de routage.
 Le mode tunnel
Ce mode fourni la sécurité pour tout le paquet d’origine. Le paquet d’origine est
crypté et ensuite encapsulé dans un autre paquet. Seul l'entête contenant les
adresses IP publiques de l'émetteur et du destinataire est laissé en clair.
6.4.6.5 Gestion des flux IPSec
Les flux IPSec sont gérés uni directionnellement. Ainsi, une communication
bidirectionnelle entre deux machines utilisant IPSec sera définie par divers processus pour
chacun des sens de communication. Les procédés détaillés ci-dessous respectent tous deux
cette loi.
a) SA (Security association)
La solution IPSec VPN permet la négociation des paramètres d’échange de clés,
l’établissement d’une clé partagé, l’authentification et la négociation des paramètres de
chiffrages. Les paramètres négociés entre les équipements sont donc appelés association de
sécurité. Il s’agit d’une structure de données servant à stocker l’ensemble des paramètres
associés à une communication donnée. Une SA est unidirectionnelle ; en conséquence,
protéger les deux sens d’une communication classique requiert deux associations, une dans
chaque sens. Les services de sécurité sont fournis par l’utilisation soit de AH soit de ESP.
Pour gérer les associations de sécurité actives, on utilise une base de données des associations
de sécurité (Security Association Database, SADB). Elle contient tous les paramètres
relatifs à chaque SA et sera consultée pour savoir comment traiter chaque paquet reçu ou à
émettre.
b) SP (Security Policy)
Les protections offertes par IPsec sont basées sur des choix définis dans une base de
données de politique de sécurité (Security Policy Database, SPD). Cette base de données est
établie et maintenue par un utilisateur, un administrateur ou une application mise en place par
ceux-ci. Elle permet de décider, pour chaque paquet, s’il se verra apporter des services de
sécurité, s’il sera autorisé à passer outre ou sera rejeté. Ces services sont basés sur des
mécanismes cryptographiques. Pour cela, IPsec fait appel a ses deux protocoles de sécurité
qui viennent s'ajouter au protocole IP classique : a savoir les protocoles AH et ESP.

6.4.6.6 ISAKMP et IKE
Les SA contiennent tous les paramètres nécessaires à IPsec, notamment les clés utilisées.
La gestion des clés pour IPsec n’est liée aux autres mécanismes de sécurité de IPsec que par
le biais des SA. Une SA peut être configurée manuellement dans le cas d’une situation
simple, mais la règle générale consiste à utiliser un protocole spécifique qui permet la
négociation dynamique des SA et notamment l’échange des clés de session.
Le protocole de négociation des SAs, développé pour IPSec, est le protocole de gestion des
clés et des associations de sécurité pour Internet (Internet Security Association and Key
Management Protocol, ISAKMP). ISAKMP est en fait inutilisable seul (il s’agit d’un cadre
générique qui permet l’utilisation de plusieurs protocoles d’échange de clé). Dans le cadre de
la standardisation de IPSec, ISAKMP est associé à une partie des protocoles SKEME et
Oakley pour donner un protocole final du nom de Internet Key Exchange, IKE.
Dans le but d’établir un canal de communication sécurisé, le protocole IKE exécute deux
(2) phases :
 Phase 1 – Deux (2) Peers exécutent la négociation initiale des SAs. Le but principal
de cette phase 1 est de négocier un ensemble de politiques de sécurités,
l’authentification et établir un canal sécurisé. La phase 1 peut être implémentée en
deux (2) modes : le mode principal (main mode) ou agressif (agressive mode). Le
mode agressif est plus rapide que le mode principal due au nombre de paquets
échangés, mais est moins sécurisé.
 Phase 2 – Le but de la phase 2, aussi appelée IKE phase 2, est de négocier les
paramètres de sécurités IPSec. Cette phase 2 est implémentée dans le mode rapide
(quick mode) et peut seulement être exécutée qu’après la phase 1.
Dans cette phase, les SAs utilisées par IPSec sont unidirectionnels et sont négociées
par le protocole IKE.
IKE phase 2 exécute les fonctions suivantes : négociation des paramètres de sécurités,
connue sous le nom d’IPSec transform sets, établissement des associations de
sécurités IPSec, renégociation périodique de celles-ci dans le but d’assurer la sécurité
et optionnellement, exécuter un échange additionnel de clé (Diffie-Hellman) par la
propriété de Perfect Forward Secrecy.

Figure 27: Mode principale IKE
Figure 28 : Mode agressif IKE

Figure 29 : Négociation IKE
6.5 Comparaison des différents protocoles
Le tunneling sur des VPN, peut être considéré comme une meilleure réponse que SSL au
fait qu'une entreprise désire rendre toutes ses communications entre deux end-point sécurisés.
PPTP présente l'avantage d'être complètement intégré dans les environnements Windows.
Cependant comme pour beaucoup de produit Microsoft, la sécurité est le point faible. IPSec
implémente des algorithmes plus sûrs que PPTP. Par défaut dans L2TP, c'est IPSec qui est
utilisé. C'est seulement si l’end-point distant ne le supporte pas, qu’alors un protocole moins
sûr comme PPP est utilisé. IPSec ne permet d'identifier que des machines et non pas des
utilisateurs. Ceci est particulièrement problématique pour les utilisateurs itinérants. Il faut
donc prévoir un service d'authentification des utilisateurs.
Présentés comme la solution miracle pour permettre aux itinérants de se connecter aux
applications réparties de l'entreprise, les VPNs-SSL souffrent de problèmes, principalement
liés aux navigateurs web utilisés. L’utilisation des navigateurs permet aux utilisateurs
d'utiliser un outil dont ils ont l'habitude et qui ne nécessite pas de configuration
supplémentaire. Cependant lorsqu'un certificat expire l'utilisateur doit aller manuellement le
renouveler. Cette opération peut poser problème aux utilisateurs novices.

Chapitre 7 : MISE EN ŒUVRE
7.1 Architecture de la solution proposée
Après l’entame de l’analyse de son infrastructure informatique et l’étude de l’existant,
l’on aboutit à la conclusion que, les connexions au réseau internet du District de
Yamoussoukro ne sont ni contrôlée, ni sécurisée, ce qui crée un vrai problème pour tout le
réseau.
D’où l’idée d’intégrer dans son système une solution permettant d’une part la sécurisation de
chaque site et d’autre part d’assurer de nouvelles fonctionnalités comme le fait de pouvoir
accéder à son ordinateur de bureau à distance.
Figure 30 : Topologie finale
Cette solution sera donc l’intégration de routeurs firewall ayant pour but d’interconnecter
chaque sites, sécuriser toutes données échangées tout en bloquant toute intrusions provenant
de l’extérieure.
A cela s’ajoute l’implémentation d’un système de bascule de ligne internet en cas de coupure
d’une des connexions internet de la direction.
7.2 Choix de la technologie VPN site à site à mettre en place
De nos jours, plusieurs solutions VPN site à site, flexibles et riches en fonctionnalités sont
fournies. Ces solutions sont construites sur les quatre (4) technologies VPN sous-jacentes: le
VPN multipoint dynamique (DMVPN), le standard IPSec VPN, le GRE-VPN et le VPN de
transport de groupe crypté (GET-VPN). Chaque technologie bénéficie et est personnalisée
pour répondre aux exigences de déploiement spécifiques.
7.2.1 IPSec VPN standard
Le VPN IPSec standard est une solution fiable de communication sécurisée. Cette
solution fournit donc un cryptage entre sites, mais également l’implémentation de la qualité
de service (le temps de transit lors du transfert des données, La probabilité de rupture d’une
connexion réseau, la priorité lors des connexions, etc.…) fonctionnalité très importante dans

le VPN. Le VPN IPSec standard est à utiliser lorsque l'interopérabilité de plusieurs
fournisseurs est requise (lorsqu’il est nécessaire d’interconnecter plusieurs équipements de
différents constructeurs) et pour les topologies a faible maillage car il présente un certain
nombre de limites.
Premièrement, lorsque l’on rajoute un site qui doit communiquer avec un site central, il
est nécessaire de modifier la configuration de ce site central. Cela présente non seulement un
problème pratique de maintenance (il faut intégrer une modification conséquente dans la
configuration d’un équipement en production), mais surtout d’échelle : la configuration du
site central peut devenir rapidement illisible à partir de plusieurs sites distants.
Par ailleurs, si les sites distants doivent communiquer entre eux, l’équation devient
impossible à résoudre. Imaginons un réseau composé de quatre (4) sites distant. D’un Siege
(S) et de ses trois annexes (A1, A2 et A3).
Figure 31 : Réseau complètement maillé à quatre routeurs
Pour obtenir un réseau "full meshed" (complètement maillé, ayant des liaisons IPSec entre
tous les sites), il faut créer six (6) tunnels IPSec (S-A1, S-A2, S-A3, A1-A2, A1-A3, A2-A3).
En effet, pour interconnecter n sites, il faut configurer n (n-1)/2 tunnels et modifier les
configurations de n routeurs.
7.2.2 Le GET-VPN (Group Encrypted Transport-VPN)
De multiple raisons poussent les entreprises à envisager le chiffrement de leur réseau
WAN privé. Parmi ces raisons, la plus courante, mais pas la seule, est l’évolution des
réglementations dans certains secteurs, tels que la banque et l’assurance.
Ces entreprises n’ont pas toujours les compétences internes pour mettre en œuvre des grands
réseaux chiffrés et, pour remplir leurs obligations légales, souhaitent de plus en plus que leur
opérateur prenne ce besoin en charge.
Les technologies GET-VPN ont donc pour but d’implémenter des fonctions de
chiffrement sur un réseau WAN privé de la manière la plus transparente possible. S’adressant
à des réseaux any-to-any (tous les sites vers tous les sites), GET-VPN se doit de garder cette
architecture, contrairement aux autres technologies IPSec point-à-point.
Une architecture typique GET-VPN, comprend deux types de composants, un ou plusieurs «
Key Servers » et plusieurs « Group Members ».

Memoire_Nguessan.docx

Recommandé

Recommandé

Contenu connexe

Similaire à Memoire_Nguessan.docx

Similaire à Memoire_Nguessan.docx (20)

Dernier

Dernier (8)

Memoire_Nguessan.docx