PLAN UTM ...pdf

7/22/2019 PLAN UTM ...pdf

http://slidepdf.com/reader/full/plan-utm-pdf 1/51

Réalisé par :

SEBBAR Wassim

EL OUARDIGHI Ali

Encadré par :

Mr ALAOUI

Rapport de mini projet

de la mise en place

d’un UTM Untangle

ECOLE MAROCAINE DES

SCIENCES D’INGENIEUR



EMSI____________________________________________________________________2011/2012 2

PLAN :

Premiére Partie : Etude bibliographique autour des UTM ………………………….….3

1. Introduction …………………………………………………………………….….42. UTM sur le réseau …………………………………………………………………53. Technique des modules des boitiers UTM……………………………………...….5

a. Firewall………………………………………………………………………..…6 b. Antivirus………………………………………………………………...……….7c.VPN…………………………………………………………………………..…..7d.IPS……………………………………………………………………………..…8e.IDS………………………………………………………………………………..8

4. Politique de sécurité……………………………………………………………………….…95. Sélection d’une solution de sécurité UTM ……………………………………….…………..96. Conclusion…………………………………………………………………………………10

Deuxième Partie : Les méthodes de comparaison des outils open source……………………………..11

1. Q SOS………………………………………………………………………………...………12

2. OpenBRR………………………………………………………………………………….…13

3. Méthode retenue ……………………………………………………………………..14

Troisième Partie : Comparaison des 2 plate formes UTM grâce à la méthode Q SOS ..16

1. La méthode Q SOS …………………………………………………………………...17

a. Critère de comparaison …………………………………………………..……..17

b. Notation selon la méthode Q SOS……………………………………………...17

c. Pondération du différent critère …………………………………………….….17

2. Evaluation de la plate forme UNTANGLE avec Q SOS……………………………..18

3. Evaluation de la plate forme IP Table ………………………………………………..22

4. Outil retenu à partir des résultats ……………………………………………………22

Quatrième Partie : Installation de l’outil retenu ………………………………………….24

1. UNTANGLE ……………………………………………………………………...….25

a. Mode routeur ……………………………………………………………...……25

b. Mode pont ……………………………………………………….……………26

2. Les applications UNTANGLE ………………………………………………….……27

a. Filtrage applicatif……………………………………………………………....27



EMSI____________________________________________________________________2011/2012 3

b. Service applicatif………………………………………………………………31

3. Installation et configuration d’UNTANGLE…………………………………………33

4. La maquette réalisée…………………………………………………………………...365. Configuration des applications UNTANGLE…………………………………………37

a. Web filter………………………………………………………………………37

b. Virus Blocker………………………………………………………………….39

c. Firewall………………………………………………………………………...40

d. Captive Portal………………………………………………………………….41

e. Spyware Blocker………………………………………………………………42

f. Instruction System …………………………………………………………….43

6. Conclusion…………………………………………………………………………….447. Bibliographie et Webographie………………………………………………………...45



EMSI____________________________________________________________________2011/2012 4



EMSI____________________________________________________________________2011/2012 5

Remerciement

Avant tout, je voudrais exprimer mes profonds et

sincères remerciements à M ALAOUI

particulièrement et généralement à tout le staff pédagogique, administratif et directorial.

M A LAOUI nous a accompagné tout au long de cette

année, nous enrichi de son savoir et de sa générosité

intellectuelle.

Je tiens à le remercier pour sa patience, sacompréhension, sa tolérance et son dévouement.



EMSI____________________________________________________________________2011/2012 6

Introduction

L’explosion d’internet entraîne la venue d’applications web

riches qui amplifient les vecteurs d’attaques. En effet, ces applications

ne sont pas dépourvues de vulnérabilités qui sont sans cesse traquées

et exploitées par les pirates.

Viennent s’ajouter à cela virus, vers, spywares et autres

malwares dont le

développement croît aussi vite que les systèmes d’information. En

2008, l’éditeur Allemand G Data a recense 894 250 nouveaux

programmes malveillants, soit sept fois plus qu’en 2007.

Afin de faire face aux menaces émanant de l’internet, la simple

installation

d’un pare-feu ou d’un antivirus n’est plus suffisante. En effet,

l’augmentation et

la diversité des attaques de plus en plus ingénieuses nous poussent à

utiliser des outils plus spécialises. Or, la mise en place intelligente de

ces outils requiert une réflexion préalable et un savoir-faire certain

quant à leur organisation. Ceci peut vite devenir un point bloquant

pour les utilisateurs non connaisseurs ou pour certaines entreprises.



EMSI____________________________________________________________________2011/2012 7

Il est donc nécessaire de réfléchir à l’élaboration d’une solution

centralisant ces outils sur un même boitier .



EMSI____________________________________________________________________2011/2012 8

2- Simple sécurité :

Les boitiers UTM proposent la protection la plus efficace surtout pour les entreprises qui doivent en mêmetemps simplifier leur protections ou leurs solutions de sécurité pour bien protéger leur système informatique et

prévenir les attaques sans compromettre leur intégrité .

De nombreuses fonctionnalités :

Les boitiers UTM représentent une réelle évolution par rapport aux solutions traditionnelles, les boîtiers UTM comportent des fonctionnalités supplémentaires auparavant gérées par plusieurs

logiciels : filtrage d’URL, blocage des Spams, protection anti-spyware, prévention contre lesintrusions, ,fonctions unifiées de gestion, de surveillance et d’enregistrement .

Des avantages multiples :

Ces boîtiers répondent parfaitement aux attentes des petites entreprises qui ne disposent

pas de spécialistes en sécurité. Outre une réduction sensible du coût de possession, ces

équipements simplifient aussi l’administration de la sécurité, en centralisant leur gestion. La

demande n’en est qu’à ses débuts, mais le nombre de fournisseurs ne cesse d’augmenter, et

l’intégration d’offre de sécurisation de la messagerie devrait encore accélérer le mouvement.

3. UTM sur le réseau :

La tâche première de l'UTM est la protection péri métrique. A ce titre, elle se dispose avanttout devant l'accès Internet et les connexions entre plusieurs sites d'une même entreprise.Toutefois, l'évolution des usages dans l'informatique a rendu incertaine la notion de périmètre.



EMSI____________________________________________________________________2011/2012 9

C'est pourquoi les équipements UTM se retrouvent dorénavant aussi à l'intérieur du réseau, encoupure devant des serveurs de données, ou encore à des points et sur des segmentsnévralgiques en raison des informations sensibles qui y transitent ou de la présenced'applications critiques.

4-Technique des modules des boitiers UTM :

Les systèmes UTM consolident plusieurs fonctions de sécurité dans un seul système. Lesfonctions fournies dans des systèmes UTM peuvent varier, mais inclus généralement :

Firewall Antivirus Anti-spyware

Filtre Anti-spam Filtre URL IDS IPS VPN

A . Firewall :

Un firewall ou pare-feu est un dispositif physique (matériel) ou logique (logiciel) servantde système de protection pour les ordinateurs domestiques. Il peut également servird'interface entre un ou plusieurs réseaux d’entreprise afin de contrôler et éventuellement



EMSI____________________________________________________________________2011/2012 10

bloquer la circulation des données en analysant les informations contenues dans les flux dedonnées (cloisonnement réseau). Il permet donc d'une part de bloquer des attaques ouconnexions suspectes pouvant provenir de virus, vers ou trojans… ainsi que de les tracer.

D’un autre côté, un firewall sert dans de nombreux cas également d’éviter la fuite non

contrôlée d’informations vers l’extérieur.

Il existe principalement 2 catégories de firewalls :

Les firewalls personnels protégeant uniquement les stations de travail ou ordinateurs personnels. Ils sont installés directement sur l’ordinateur de l’utilisateur.

Les firewalls d’entreprise installés sur des machines dédiées. Ce type de firewall estsouvent placé entre Internet et un réseau d’entreprise afin de protéger ce dernier des

différentes menaces d’Internet.

Il est également utilisé pour la création de zones démilitarisées (DMZ) pourl’hébergement de serveurs publics. Dans certains cas, il sert même à séparer différentes

parties du réseau d’entreprise en périmètres de sécurité différents (cloisonnement réseau).

Architecture d’un firewall

B. Antivirus :

Un antivirus permet, comme son nom l’indique, de bloquer et supprimer les virus. La plupartde ces virus arrivent par la baise d’Internet sur les machines. Il était donc indispensable

d’intégrer la protection contre ces menaces dans le boîtier UTM .



EMSI____________________________________________________________________2011/2012 11

C. VPN :

Un VPN (Virtual Privat Network) ou Réseau Privé Virtuel en français est connexion inter-réseau permettant de relier 2 réseaux locaux différents de façon sécurisé par un protocole detunnelisation.

La tunnelisation est un protocole permettant aux données passant d'une extrémité à l'autre duVPN d'être sécurisées par des algorithmes de cryptographie.

Le terme tunnel est utilisé pour symboliser le fait qu'entre l'entrée et la sortie du VPN lesdonnées sont chiffrées et donc normalement incompréhensibles pour toute personne situéeentre les deux extrémités du VPN, comme si les données passaient dans un tunnel. De plus,créer un tunnel signifie aussi encapsuler un protocole dans un autre protocole de même niveaudu modèle OSI (IP dans IPSec par exemple). Dans le cas d'un VPN établi entre deuxmachines, on appelle client VPN l'élément permettant de chiffrer les données à l'entrée etserveur VPN (ou plus généralement serveur d'accès distant) l'élément déchiffrant les donnéesen sortie.

I nterconnexion de deux sites a tr avers un VPN

D. IPS :

Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil desspécialistes en sécurité des systèmes d'information, similaire aux IDS, permettant de prendredes mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif, il détecte un



EMSI____________________________________________________________________2011/2012 12

balayage automatisé, l'IPS peut bloquer les ports automatiquement. Les IPS peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables à 100% etrisquent même en cas de faux positif de bloquer du trafic légitime.

Les types de l’IPS :

Les H IPS (Host-based Intrusion Prevention System) qui sont des IPS permettant desurveiller le poste de travail à travers différentes techniques, ils surveillent les processus,les drivers, les .dll etc. En cas de détection de processus suspect le HIPS peut le tuer pourmettre fin à ses agissements. Les HIPS peuvent donc protéger des attaques de bufferoverflow

Les NI PS (Netword Intrusion Prevention System) sont des IPS permettant de surveiller letrafic réseau, ils peuvent prendre des mesures tel que terminer une session TCP ...

Il existe aussi les KIPS

(Kernel Intrusion Prevention System) qui permettent de détecter

toutes tentatives d'intrusion au niveau du noyau, mais ils sont moins utilisés.

E. IDS :

Un système de détection d'intrusion (ou IDS : Intrusion Détection System) est unmécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un

réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies commeéchouées des intrusions.

Un IDS a 4 fonctions : l’analyse, La journalisation, la gestion et l’action.

Analyse : Analyse des journaux pour identifier des motifs dans la masse de données recueillie

par l’IDS. Il ya 2 méthodes d’analyse : une basée sur les signatures d’attaques, et l’autre sur la

détection d’anomalies.

Journalisation : Enregistrement des événements (arrivée d’un paquet, tentative de connexion)

dans un fichier.

Gestion : Les IDS doivent être gérés de manière continue. Ils doivent être configurés et

vérifies. Il permet de détecter les intrusions.

Action : Alerter le personnel quand une situation dangereuse est détectée.

Il existe deux sortes d’IDS :

Les NIDS (Network Intrusion Détection System), ils assurent la sécurité au niveau du réseau.

Les HIDS (Host Intrusion Détection System), ils assurent la sécurité au niveau des hôtes.



EMSI____________________________________________________________________2011/2012 13

5-Politique de sécurité :

Evaluation des enjeux et des risques :

Il faut commencer par identifier précisément les enjeux face aux risques techniques.

Définir ensuite les objectifs de sécurité.

Avant de choisir un boîtier UTM, il faut en effet élaborer une politique de sécurité

intégrale ou brique par brique (sécurité du poste de travail, audit de vulnérabilité, impact de la

r églementation, etc…)

Détermination des priorités :

Selon la taille de l’entreprise, les besoins seront très différents : les petites structures, ont

besoin de maîtriser leurs coûts en passant par une installation simple.

Les structures en phase de développement de leur réseau commercial, de leur côté,veulent une confidentialité assurée, pour que les nomades puissent garder à moindre coût un

contact avec leur entreprise.

Les moyennes structures en pleine expansion, préfèreront un modèle modulaire et

évolutif, permettant une transition simple et pour accompagner les évo lutions de l’entreprise.

Pour conclure l’évaluation des besoins avec précision aidera dans le choix du boîtier

UTM.

6- Sélection d’une solution de sécurité UTM :

Sélection d’ un prestataire :



EMSI____________________________________________________________________2011/2012 14

On achète pas simplement un boîtier UTM , les prestataires proposent toute une gamme de

services après-vente, que l’e client pourrait associer à son achat selon ces besoins.

Programmes de maintenance est garanties en cas de problème logiciel, offres d’échange,

assistance en cas de difficulté, mises à jour pour disposer du meilleur niveau de protection entemps réel, formations permettant d’acquérir rapidement les connaissances nécessaires à la

protection optimale des réseaux .

Choix des options :

Un boîtier UTM regroupe les fonctions firewall, anti-virus, détection / prévention

d’intrusions (IDS/IPS). On peut y ajouter une palette d’applications de sécurité existant sur le

marché : contrôle de contenu, authentification, anti-spam, QoS etc . Tout le problème réside

dans le fait de trouver un bon compromis entre fonctionnalités, performances et prix.

Déploiement de la solution :

L’installation d’un boîtier UTM doit rester très simple. Plus que les contraintes

techniques, le déploiement d’un produit de sécurité permet souvent de détecter des problèmes

jusque-là insoupçonnés tel des difficultés de routage ou des logiciels espions. Dans ce cas, un

outil de surveillance en temps réel eff icace et simple d’utilisation est indispensable.

De plus, la possibilité d’activer les fonctions une par une permet de gérer une intégration

en douceur.

7-Conclusion :

L’UTM se veut un moyen de bâtir une architecture de sécurité multicouche cohérente et

non plus un assemblage disparate de produits. Le premier bénéfice des UTM est le



EMSI____________________________________________________________________2011/2012 15

regroupement de fonctions de base de la sécurité et les économies sur le coût d’achat et

d’exploitation en raison de la centralisation de la configuration et de l’administration.

Le tout-en-un permet en outre de s’affranchir du traitement des rapports multiples génères par

les différents produits de sécurité.



EMSI____________________________________________________________________2011/2012 16



EMSI____________________________________________________________________2011/2012 17

1-Méthode Q SOS ;

QSOS est une méthode conçue pour qualifier, sélectionner et comparer les logiciels opensource. Elle est mise à disposition de la communauté sous licence libre GNU FreeDocumentation License.

QSOS consiste en un processus itératif en quatre étapes :

Définir : Les différents référentiels typologiques concernés sont les suivants : - Typesde logiciels : classification hiérarchique de types de logiciels et description descouvertures fonctionnelles associées à chaque type. - Types de licences : classificationdes types de licences libres et Open Source utilisées. - Types de communautés :classification des types d'organisations communautaires existant autour d'un logicielOpen Source pour en assurer le cycle de vie.

Evaluer : L'objectif de cette étape est de procéder à l'évaluation des logiciels OpenSource. - Constituer les fiches d'identité d'un logiciel - Constituer sa fiche d'évaluation :

noter le logiciel selon des critères répartis sur trois axes majeurs (Couverturefonctionnelle, Risques du point de vue de l'utilisateur, Risques du point de vue du

prestataire de services) L'évaluation en elle même se fait sur des notes de 0 à 2 : 0 :

fonctionnalité non couverte 1 : fonctionnalité partiellement couverte 2 : fonctionnalité

couverte Chaque critère d'évaluation peut faire l'objet de commentaire, sur la notation 1on peut apporter une pondération de type : prévu dans la roadmap de la solution enversion 2.0. Ce travail d'évaluation est insérable dans une démarche plus large de veilletechnologique tel que décrit dans l'article "Choix d'une solution Open Source".

Qualifier : L'objectif de cette étape est de définir un ensemble d'éléments traduisant les besoins et les contraintes liés à la démarche de sélection d'un logiciel Open Source.





EMSI____________________________________________________________________2011/2012 19

Pondération des critères : la méthode intègre un mécanisme de pondération descritères évalués

Comparaison : le processus de comparaison des logiciels/projets évalués est formalisé parla méthode

Voici un tableau comparatif entre la méthode QSOS et Open BRR :

Critères QSOS Open BRR

Ancienneté 2004 2005

Auteurs

originaux/Sponsors Atos Origin

Carnegie Mellon West,

SpikeSource, O'Reilly, Intel

Licence Méthode et évaluations sous licenceFDL, logiciels sous licence GPL

Évaluations sous licenceCreative Commons

Modèle d'évaluation Pragmatique Scientifique

Niveaux de détail 3 niveaux ou plus (grille fonctionnelle) 2 niveaux

Critères prédéfinis Oui Oui

Critères

techniques/fonctionnels Oui Oui

Modèle de notation Strict Strict

Echelle de notation 0 à 2 1 à 5

Démarche itérative Oui Non

Pondération des critères Oui Oui

http://fr.wikipedia.org/wiki/QSOS

http://fr.wikipedia.org/wiki/OpenBRR

http://fr.wikipedia.org/wiki/Licence_publique_g%C3%A9n%C3%A9rale_GNU




http://fr.wikipedia.org/wiki/OpenBRR

http://fr.wikipedia.org/wiki/QSOS



EMSI____________________________________________________________________2011/2012 20

Depuis ce tableau on a choisi la méthode QSOS car elle est la plus adaptée au contexte.

Comparaison Oui Non



EMSI____________________________________________________________________2011/2012 21



EMSI____________________________________________________________________2011/2012 22

1.La méthode Q SOS :

A. Critère de comparaison :

»Référentiels» Types de licences » Types de logiciels

»Critères génériques» Appliqués à toutes les évaluations » Même version que la méthode

»Critères techniques et fonctionnels» Par domaine logiciel » Indépendants de la version méthode

»Constitution de grilles fonctionnelles »Gestion d'inclusions de groupes de critères »Un même logiciel peut être vu selon plusieurs grilles »Utilisables pour réaliser les évaluations

B .Notation selon la méthode Q SOS :

»Notation selon trois axes majeurs» Risques Utilisateur » Risques Prestataire de services » Couverture fonctionnelle

»Notation stricte et objective » 0 : critère non satisfait » 1 : critère partiellement satisfait » 2 : critère pleinement satisfait

c.Pondération des différents :

»pondération des critères» Critère non pertinent » Critère pertinent » Critère critique



EMSI____________________________________________________________________2011/2012 23

2-Evaluation de la plate forme UNTANGLE avec Q SOS :

Untangle est une société de logiciels de réseau qui fournit unenouvelle race de pare-feu multifonctions avec un ensemble

d’applications de gestion d’internet, qui sont optimisées pour

les besoins des petites et moyennes organisations. Cettesolution permet soit de remplacer ,soit de consolider lesystème de sécurité existant tout en simplifiant les taches devérification inhérente a la mise en place d’outils de sécurité.

Untangle est une plateforme globale open source sous licence GNU général Public licence v2qui offre des solutions supérieures de sécurité faciles a déployer et a gérer au cout le plus basde l’industrie. Ces solutions logiciels sont installées dans environ 25000 organisations et,elles permettent la protection de plus de 1,5 millions de personnes et de leurs ordinateurs.

Les produits Untangle se trouvent soit sous format hard, c’est – à-dire sous f orme de boitierqui joue le rôle de retour, soit sous format soft regroupés dans des packages .ces différents

produit sont repartis en plusieurs catégories parmi eux on trouve :

o Next Generation Applianceo Standard Applianceo Untangle premiumo Untangle standardo Untangle open source

Définition

Il s’agit des grilles de couverture fonctionnelle propres à chaque domaine logiciel. Avant de pouvoir réaliser une évaluation d’un logiciel donné.

Il existe un éditeur spécifique pour faciliter la saisie et la modification des grilles, il s’agit de

“QSOS XUL Template Editor” qui peut être utilisé comme application xulrunner oucomme extension Firefox.

http://www.qsos.org/tools/tpl-xuleditor-application-0.4.zip



http://www.qsos.org/tools/tpl-xuleditor-firefox-0.4.xpi







EMSI____________________________________________________________________2011/2012 24

Evaluation : Plusieurs éditeurs qui sont disponibles pour réaliser une évaluation

QSOS en se basant sur une grille fonctionnelle existante , et on a choisi : QSOS XUL

Editor comme étant extension Firefox

Qualification :

Se fait via l’outil O3S qui signifie “Open Source Selection Software”, il s’agit d’une

application Web qui permettra de visualiser, pondérer et comparer les fiches QSOS. Il permet

de visualiser, comparer, exporter les évaluations QSOS au format Open Document, ainsi quegénérer des graphes (aux formats PNG ou SVG). Il est disponible ici: http://www.qsos.org/o3s/ .

http://www.qsos.org/tools/xuleditor-firefox-1.2.xpi



http://www.qsos.org/o3s/







EMSI____________________________________________________________________2011/2012 25



EMSI____________________________________________________________________2011/2012 26

Cette outil nous permet de générer aussi des graphes a partir des scors et des pondérationsdonnés au paravent pour cette plate forme :



EMSI____________________________________________________________________2011/2012 27

3-Evaluation de la plate forme IPTABLE avec Q SOS :

Iptables est un logiciel libre de l'espace utilisateur Linux grâce auquel l'administrateursystème peut configurer les chaînes et règles dans le pare-feu en espace noyau (et qui estcomposé par des modules Netfilter).

Différents programmes sont utilisés selon le protocole employé : iptables est utilisé pourle protocole IPv4, Ip6tables pour IPv6, Arptables pour ARP (Address Resolution Protocol) ou encore Ebtables, spécifique aux trames Ethernet.

Ce type de modifications doit être réservé à un administrateur du système. Parconséquent, son utilisation nécessite l'utilisation du compte root. L'utilisation du programme

est refusée aux autres utilisateurs.

4. Outil retenu à partir des résultats :

Depuis la comparaison faites par notre professeur Mr ALAOUI et nous même on a constaté :

Critères coefficient Untangle Iptables

Age

coefficient 2

2

Note : 4

2

Note : 4

Licence

coefficient 2

1

Note : 2

2

Note : 4

OS support

coefficient 2

2

Note : 4

0

Note : 0

Installation

coefficient 1

2

Note : 2

2

Note : 2

Facilité

coefficient 1

2

Note : 2

0

Note : 0

Fonctionnalités

Offertes :

Firewall coefficient 2 2 2

VPN coefficient 2 2 2

IDS/IPS coefficient 2 2 0

Anti Spam coefficient 2 2 0

http://fr.wikipedia.org/wiki/Logiciel_libre

http://fr.wikipedia.org/wiki/Espace_utilisateur

http://fr.wikipedia.org/wiki/Linux

http://fr.wikipedia.org/wiki/Administrateur_syst%C3%A8me


http://fr.wikipedia.org/wiki/Pare-feu_%28informatique%29

http://fr.wikipedia.org/wiki/Espace_noyau

http://fr.wikipedia.org/wiki/Netfilter

http://fr.wikipedia.org/wiki/IPv4


http://fr.wikipedia.org/wiki/Address_Resolution_Protocol

http://fr.wikipedia.org/wiki/Ethernet

http://fr.wikipedia.org/wiki/Utilisateur_root

http://fr.wikipedia.org/wiki/Utilisateur_root

http://fr.wikipedia.org/wiki/Ethernet

http://fr.wikipedia.org/wiki/Address_Resolution_Protocol



http://fr.wikipedia.org/wiki/Netfilter

http://fr.wikipedia.org/wiki/Espace_noyau

http://fr.wikipedia.org/wiki/Pare-feu_%28informatique%29



http://fr.wikipedia.org/wiki/Linux

http://fr.wikipedia.org/wiki/Espace_utilisateur

http://fr.wikipedia.org/wiki/Logiciel_libre



EMSI____________________________________________________________________2011/2012 28

Depuis la comparaison faites par notre professeur Mr ALAOUI et nous même on a constaté :

Ce tableau nous permet de bien comparé les plates formes Untangle et IpTable , a travers cesderniers on peut voire que avec Untangle on aura la possibilité de mieux administré notreréseau car il intègre des modules avancé de supervision et de sécurité de petits et moyensréseaux .c’est pour cela on a adopté la plate forme UNTANGLE .

URL Filtering coefficient 2 2 0

Content Filtering coefficient 2 2 0

Note: 24 Note: 8

Note global coefficient 20 38/40

19/20

18/40

9/20



EMSI____________________________________________________________________2011/2012 29



EMSI____________________________________________________________________2011/2012 30

1-UNTANGLE :

Le serveur Untangle est un moyen de contrôle et de surveillance des ordinateurs du réseau. Il

fournit la technologie désirée pour protéger le réseau contre des menaces telles que virus,logiciels espions, et attaques. Il protège aussi la productivité en contrôlant l’accès à des sites

web illégitimes et donne une vue approfondie de l’activité réseau à travers le service Report.

Ce dernier prévoit des rapports clairs et concis sur le trafic réseau et les violations des politiques. Avec ces informations, on peut repérer tous les problèmes et surveiller lecomportement des utilisateurs illégitimes.

Untangle est un dispositif en ligne, ce qui signifie que le trafic qui circule à travers elle serafiltrée . Il ya deux modes disponibles avec Untangle: Routeur mode et le pont de mode.

A. Mode routeur :

Dans routeur en mode, Untangle sera le dispositif de pointe sur votre réseau et de servir derouteur et de pare-feu. Dans ce cas, vous aurez besoin pour configurer votre interfacesexternes et internes correctement pour le trafic à l'écoulement, ce qui aurait dû être fait lors de

l'installation.

Untangle en mode routeur



EMSI____________________________________________________________________2011/2012 31

B. Mode pont :

En Pont mode, Untangle est fixé entre votre pare-feu existant et le commutateur principal. Quand en mode Bridge Untangle est transparent, ce qui signifie que vous n'aurez

pas besoin de changer la passerelle par défaut des ordinateurs sur votre réseau ou les

itinéraires sur votre pare-feu - il suffit de mettre le Untangle entre votre pare-feu et

l'interrupteur principal .Vous aurez besoin de donner pour l'interface Untangle externe une

adresse IP dans le sous-réseau du pare-feu, régler l’interface Internal comme étant pont et

de le combler à l'externe.

Untangle en mode Bridge

http://wiki.untangle.com/index.php/Image:Bridge_mode.png



EMSI____________________________________________________________________2011/2012 32

2-Les applications UNTANGLE :

Les applications du serveur Untangle sont divisées en 2 sections :

Filter Application : Toutes les applications au-dessus du volet Services dansl’interface peuvent avoir une configuration unique aui permettra de créer des politiques

différentes pour différents d’utilisateurs.

Service Application : Ils sont des services globaux. Chacun a une configuration quis’applique à tous les supports virtuels. Alors, si on supprime un service de n’importe quel

rack, il sera supprimé dans tous les supports et chez tous les utilisateurs.

A. Filtrage applicatif :

Web Filter :

Web Filter sert à filtrer le trafic web sur le réseau, bloquer les contenus inappropriés etsurveiller le comportement des utilisateurs en utilisant une variété de techniques par exemple :

Sélectionner une catégorie.

Edité les sites à bloquer

Sélectionner les types de MIME ou de fichiers

Spécifié la liste des sites à autoriser

Spécifié la liste des utilisateurs à autoriser

Et tout cela en utilisant la liste de passage ou de blocage.

Spam Bloker :

Spam Bloker est un filtre de courrier électronique intelligent qui identifie les spam mêmes’ils sont envoyés à travers des images. Spam Blocker peut bloquer n’importe quel courriel

utilisant les protocoles suivants : SMTP, POP ou IMAP Spame Blocker utilise une solution

open source : SpamAssassin.



EMSI____________________________________________________________________2011/2012 33

Spyware Blocker :

Spyware Blocker est une compilation de plusieurs projets open source. Spyware Blockerexamine les demandes web à partir du réseau protégé et effectue les opérations suivants :

o Utilise la signature virus pour détecter et identifier des virus spécifiques.o Fournit une liste noire des URL pour bloquer les Spyware des sites Web conuso

Fournit une liste noire des URL pour bloquer les sites Web qui exigent desfichiers cookies.

Dans le cas ou les membres du réseau visitent un site web légitime que Spyware Blocker juge malveillants, l’interface du serveur Untangle vous permet de créer des règles d’exception

pour enlever ce site de la liste noire Spyware Blocker.

Les différents paramètres utilisés par cette application sont :

Liste de Blocage : Blocage de sites Web Spyware

Blocage de cookies Liste de passage

Firewall :

Firewall fournit des fonctionnalités de pare-feu traditionnels, comme le blocage de

trafic en se basant sur des règles, Bien que le terme « Firewall » s’est accru pour englober denombreuses fonctionnalités telles que la redirection de port ou le blocage de protocoles.

Firewall utilisé une liste de règles simples pour déterminer quel trafic à bloquer et à autoriser.

Ces règles sont basées sur une combinaison des éléments suivants :

Type de trafic (protocole)

Interface source

Interface de destination

Adresse source Adresse de destination



EMSI____________________________________________________________________2011/2012 34

Port source

Port de destination

Ad Blocker :

Ad Blocker est un service gratuit qui permet de bloquer la majorité du contenu publicitaire qui est livré aux utilisateurs sur des pages web. Ad Bloker utilise des filtres avecabonnements téléchargeables à partir d’une variété de sources, qui cont iennent des listes desites Web et les extensions qui sont généralement utilisés pour la diffusion de la publicité.

Intrusion Prévention :

Intrusion Prévention est un ID (Intrusion Détection) système qui intercepte tout le traficet détecte l’activité malveillante au niveau du réseau. Pour détecter une activité malveillante.Intrusion Prévention utilise la détection de signature, une méthode qui s’appuie sur une base

de données d’attaque connus. Cette application ne réagit pas directement sur le système et elleest transparente pour l’utilisateur.

Intrusion Prévention est préconfiguré. Pour cette raison il n’a pas besoin de personnalisation,

mais on peut modifier ses valeurs par défaut ou ajouter de nouvelles règles.

Protocol Control :

Protocol Control blocs et enregistre des protocoles indésirables connus et qui sont

difficilement bloqués par un pare-feu traditionnels en raison de leur « port hopping » comme peer-to-peer (P2P) ou la messagerie instantanée Ces protocoles sont bloqués au niveau del’entrée ou la sortie du réseau et sur n’importe quel port. Il permet également d’empêcher les

utilisateurs d’utiliser des jeux vidéo ou de la multimédia.

Si Protocol Control ne prend pas en charge un protocole qu’on souhaite bloquer, nous

pouvons utiliser l’interface utilisateur du serveur Unatnagle pour créer des nouvelles réglesvisant à bloquer les protocoles non pris en charge



EMSI____________________________________________________________________2011/2012 35

.

Phish Blocker :

Phish Blocker fournit une protection pharming sur le Web et une protection contre le phishing à la fois sur le web et email. Phish Blocker inspecte e-mail phishing, ou e-mailsfrouduleux. Un courriel d’hameçonnage tente d’obtenir des informations sensibles telles que

mots de passe et numéros de carte de crédit en se faisant passer pour une personne deconfiance. Phish Blocker analyse SMTP, POP et IMAP e-mails.

Kaspersky virus Blocker :

Les différents virus utilisent plusieurs techniques afin d’arriver sur le réseau. C’est dans

cette priste que Kaspersky virus Blocker se focalise pour scanner les nombreux protocoles detrafic afin d’éliminer toute sorte de virus. Alors Kaspersky virus Blocker scans de protocoles

comme : Email : SMTP, POP, IMAP

Web : http

File Transfer : FTP

Virus Blocker :

Virus Blocker est basé sur un scanner de virus open-source, Clam AntiVirus. VirusBlocker effectue les opérations suivantes :

Détecte les virus et cheval de Troie.

Analyse des fichier archives et compressées tel que : Zip, RAR,TAR,GZIP,GZIP2,MS

OLE2,MS fichiers CAB, CHM MS et MS SZDD.



EMSI____________________________________________________________________2011/2012 36

Protège contre la Zip bomb qui est un fichier archive malicieux conçue pour rendre le programme ou le système qui le lit inutilisable.

b. Service applicatif :

Open VPN :

Un réseau privé virtuel (VPN) est une connexion sécurisée entre un hôte distant et unréseau local sur un support non-sécurisés comme Internet. Avec une connexion VPN, il y a unclient et un serveur. Le serveur Untangle peut être un serveur VPN, qui permet aux clientsdistants de se connecter au réseau interne comme il peut être un client VPN.

OpenVPN est un SSL-VPN (réseau privé virtuel) qui supporte des configurations à la fois desite à site et de client-à-site. Lorsqu’on créé de nouveaux clients ou sites, Open VPN créé un

exécutable personnalisé pour chaque client qui contient la configuration et les informationsd’authentification. Les utilisateurs ont simplement besoin d’installer l’exécutable personnalisé

sur leurs ordinateurs. Open VPN supporte les systèmes d’exploitation suivant :

Windows 2000/XP

Mac OS X

Linux

Attak Blocker :

Attack Blocker protége le réseau de la manière suivant :

Assainit tous les paquets que le serveur Untangle reçoit.

Protège contre les attaques de niveau inférieur du réseau.

Protège contre les dénis de service (DOS)



EMSI____________________________________________________________________2011/2012 37

Reports :

Le serveur Untangle génère des rapports d’informations sur le trafic du réseau qui

peuvent être consultés sur le serveur lui-même ou à travers des e mails de synthèse desrapports qui peuvent être envoyé par courriel aux destinataires. Si on a beso in d’une analyse

des donnés supplémentaire on peut utiliser les rapports en ligne ou les fichiers CSV.

Captuve Portal :

Captuve Portal permet aux administrateurs d’exiger aux utilisateurs du réseau des

protocoles définis, comme l’authentification et d’accepter une politique d’utilisation du

réseau, avant d’accéder à l’Internet. Captive Portal peut authentifier les utilisateurs en

utilisant le répertoire local d’Untangle, RADIUS ou Active Directory si Directory Connector

est Install. Les utilisateurs authentifiés par Directory Connector peuvent suivre des politiquesspéciales à l’aide de Policy Manager et on aura des rapports spéciaux par utilisateur dans

Report.

Policy Manager :

Policy Manager est une fonctionnalité puissante et avancée du serveur Untangle.Advanced Policy Manager avec custom Racks est une option commerciale ou payée sur leserveur Untangle. On peut, toutefois, utiliser No Rack et default Rack politiques dans le Lite

paquet.



EMSI____________________________________________________________________2011/2012 38

3- Installation et configuration d’UNTANGLE :

Après avoir choisi l’UTM sur lequel on va travailler et pour bien assimiler toutes les

applications et services qui proposent, il est jugé nécessaire d’établir une étude détaillée du

produit.

Dans la partie précédente, on a constaté l’existence de plusieurs modules. Ces derniers présents des services bien déterminés.

Jusqu’à maintenant, on est en train de décrire le produit d’une manière un peu

théorique. Dans ce qui suit, on va présenter un test sur le produit Untangle qui englobera lesdifférents modules (services, application).

Matériel requis pour l’installation

Pour installer Untangle il faut passer par quelques étapes. Tout d’abord créer une nouvelle

machine virtuelle dans laquelle on va indique l’image de l’application Untangle, en cliquant sur suivant, on arrivera à la fin de l’installation. Quand on accède à la machine Untangle, on a

devant nous l’interface suivante :



EMSI____________________________________________________________________2011/2012 39

Cette interface comporte différents buttons. Pour accéder à Untangle il faut cliquer sur le bouton (Launch client) qui nous ramène sur la page d’authentification de l’administrateur.

Les différentes applications du serveur Untangle sont disponibles en paquets adaptés aux

besoins particuliers. Nous avons choisi de combiner les applications gratuites et open source.

Après le téléchargement et l’installation du paquet standard on obtient l’illustration ci -

dessous.



EMSI____________________________________________________________________2011/2012 40

L’interface graphique Untangle est décomposée en trois grandes parties : le volet denavigation, la grille ou le rack et les applications. Sur le coté gauche de l’interface graphique

on trouve le volet de navigation, qui contient deux onglets : Applications et Configuration.Lorsque les applications sont téléchargées, elles apparaîtront dans l’onglet applications et

peuvent être installées dans un rack. L’interface est similaire à une armoire avec unecollection de matériel.L’onglet de configuration contient des paramètres d’administration du serveur Untangle. C’est

à partir de ce dernier qu’on peut configurer les différents interfaces qui sont dans notre cas

trois : interne, externe et DMZ dont les adresses sont claires sur la figure ci-dessous .

Les di fférentes interfaces réseaux du serveur Untangle



EMSI____________________________________________________________________2011/2012 41

les adresses IP des interfaces

Dans notre cas on met en place le Serveur Untangle entre le routeur et le commutateur principal interne. Dans ce scénario, le serveur Untangle fonctionnera comme un pont(bridge) :



EMSI____________________________________________________________________2011/2012 42

Le serveur Un tangle comme un pont

4-La maquette réalisée :

Maquette de simulation

Avec cette maquette on a pu configuré notre UTM et simulé les applications déjà installé surUntangle et pour cela on a utilisé trois réseaux (local ,DMZ et internet) .



EMSI____________________________________________________________________2011/2012 43

5. Configuration des applications UNTANGLE :

A . Web filter :

Web Filter Lite peut bloquer des sites Internet spécifiques. L'application s'appuie sur une

base de données maintenue par la communauté, qui classe les sites en 16 catégories. Ces

catégories comprennent la pornographie, le jeu et de recherche d'emploi, par exemple. Web

Filter Lite vous permet de choisir entre ces catégories de définir des politiques de contrôle de

contenu Web dans votre milieu de travail. En outre, Web Filter Lite utilise des blocklists

personnalisée pour les hôtes, les domaines et types de fichiers à bloquer les contenus

supplémentaires. Il analyse de manière transparente le trafic http et il permet aux

administrateurs de :

Protéger le réseau contre les malware sur le Web

Bloquer les sites font perdre du temps comme facebook.

Conserve la bande passante en bloquant les téléchargements audio / vidéo

Menu principale de l’application Web Filter

Comme est illustré dans la figure ci-dessus, Web Filter peut être configuré de différentesmanières.

Par exemple, au niveau de la liste du blocage on peut bloquer un ensemble de catégoriescomme le sport, le musique, la messagerie instantané ou autres , et en même temps on peutautoriser des sites dont in a de confiance même s’ils appartiennent à ces catégories bloquées.



EMSI____________________________________________________________________2011/2012 44

D’autres façons, est d’éditer les sites, les types des fichiers, ou bien tout simplement bloqué

les pages provenant d’une liste d’adresse IP des hôtes.

Afin de tester l’efficacité de ce module, on a essayé de configurer cette applicationcommençant tout d’abord par bloquer un site web. Le site qu’on a choisi est :(www.facebook.com).

Edi tion du site àbloquer

Après la confirmation de cette procédure, on a constaté que l’UTM bloqueeffectivement l’URL choisi mais cette façon reste assez fatigante tant qu’il y a des milliers et

des milliers de sites à bloquer et chaque jour une autre dizaine qui s’ajoute. Alors, pour

faciliter cette tache on a choisi de configurer les catégories.

Edi tion des catégories bloquées

http://www.facebook.com/






EMSI____________________________________________________________________2011/2012 45

Au niveau d’Untangle certaines catégories sont par défaut bloqué. Alors, pour tester, on achoisi d’interdire l’accès à tout site appartement à la catégorie (Gambling, Hacking, Sports,

Violence …).

En bref, on peut dire que Web Filter dispose de plusieurs fonctionnalités qui peuvent

garder un bon niveau de sécurité et assurent le bon fonctionnement du réseau.

B. Virus Blocker :

Virus Blocker est une application libre open source pour attraper les virus, permet

d’augmenter le niveau de sécurité du réseau.

Différentes extension àchoisir dans Virus Blocker



EMSI____________________________________________________________________2011/2012 46

Activation du scan du traff ic de messager ie

Virus Blocker a un moteur et une formulation de virus donc il faut mette à jour la base designature des virus.

C . Firewall :

Un firewall est un module primordial dans la composition d’un UTM.c’est pour cela, on le

trouve parmi les modules primaires pré installés avec Untangle.Le rôle principal de ce moduleest de bloquer et consigner le trafic réseau basé sur un module de règles.

Pour configurer le Firewall on procède de la manière suite :

Confi guration du fi rewall

En confirmant cette configuration on obtient la page suivante qui permet d’activer la régle

qu’on a éditée :



EMSI____________________________________________________________________2011/2012 47

Acti vation de la règle fi l trée

D. Captive Portal :

Captive Portal est l’un des services proposés par Untangle. Ce module permet àl’administrateur d’exiger aux différents utilisateurs des règles bien déterminées. Son rôle

principal est d’imposer une politique d’authentification avant d’accéder à internet.

On peu créer un rôle qui oblige l’authentification des utilisateurs internes.

Configuration d’un rôle



EMSI____________________________________________________________________2011/2012 48

Pour autoriser l’accès à internet, on peut créer une liste d’utilisateurs locaux comme le montre

la figure ci-dessous, pour chaque utilisateur on doit faire entrer son identifiant, son nom, prénom, adresse courriel et mot de passe.

L’ajout d’un utilisateur

La tentative de connexion à partir d’une machine du réseau nécessite l’authentification du

client.

E . Spyware Blocker :

Un spyware est un logiciel malveillant qui s’installe dans un ordinateur dans le but decollecter et transférer des informations sur l’environnement dans lequel il est s’installé. Très

souvent sans que l’utilisateur en ait connaissance. Alors il était nécessaire d’avoir un

antispyware qui est dans notre cas l’application Spyware Blocker.

Menu Spyware Blocker



EMSI____________________________________________________________________2011/2012 49

F . Instruction System :

Un écoute le trafic réseau de manière furtive afin de repérer des activités anormales ou

suspectes et permettant ainsi d'avoir une action de prévention sur les risques d'intrusion.

suspectes et permettant ainsi d'avoir une action de prévention sur les risques d'intrusion.

base de signature d’attaques

Pour bien illustrer les choses, Intrusion Prevention est un module transparent pourl’utilisateur. Il permet de scanner tout le trafic entrant au réseau afin de prévenir les

utilisateurs de réseau.



EMSI____________________________________________________________________2011/2012 50

Conclusion :

Les UTM sont une vraie alternative tout-en-un au déploiement

de dispositifs de sécurité dédiés à chaque service, ils offrentainsi un avantage indéniable celui de la cohérence del'architecture de sécurité multicouche face aux habituels

assemblages disparate de produits.

Par ce petit projet nous avons eu l'occasion de comprendre etde tester certaine de ces solutions.



Bibli ographie et Webographie :

http://untangle.com

http://erictechnicien.com/antivirus.html

http://fr.wikipedia.org/wiki/Unified_threat_management

http://www.openBRR.org/

http://www.qsos.org/

http://www.qsos.org/o3s



Documents

PLAN UTM ...pdf