rapportfiniale-141213092544-conversion-gate02.pdf

Ministère de l’Enseignement Supérieur et de la Recherche Scientifique

Direction Générale des Etudes Technologiques

Institut Supérieur des Etudes Technologiques de Bizerte

Département Technologies de l'Informatique

Référence Dép. TI

AN 2013

N° RSI 16.13

Rapport de

PROJET DE FIN D’ETUDES

En vue de l’obtention de :

Licence Appliquée en [Réseau et System Informatique]

Mise en place d’un firewall open source PfSense

Elaboré par :

Marwen Ben Cheikh Ali

&

Khlifa Hammami

Encadré par :

Mme Afef Gafsi (ISET)

Mme Manoubia GAABAB (ISET)

Mr Soufien Abiidi (ENTREPRISE)

Effectué à :

Entreprise : Tunisie Trade Net (TTN)

Adresse : (Rue de lac d’Annecy, Immeuble STRAMICA 1053, Les Bergees du lac)

Tel : (71 861 712)

Mail : ( [email protected])

Année universitaire : 2012/2013

mailto:[email protected]

Dédicace

J’ai le grand plaisir de dédier ce travail en témoignage d’affectation et de reconnaissance à

tous ceux qui m’ont aidé à le réaliser.

A tous les membres de la famille, pour leurs encouragements, soutien, affectation et confiance

ainsi que mon binôme dans ce travail Hammami Khifa qui m’accompagnée durant toutes mes

études universitaires, à tous mes collègues de travail qui m’ont donné du courage pour

continuer les études et pour préparer ce diplôme et enfin aux Enseignant et Encadreur de

l’ISET qui nous ont donné confiance et espoir et qui nous ont soutenus durant tout le cursus

universitaire de cette année.

Marwen Ben Cheikh Ali

Je dédie ce travail à tous ceux qui m’ont aidé de près ou de loin à la réalisation de mon projet

fin d’étude. Mes vifs et sincères remerciements s’adressent aux âmes de mes chers parents,

sans oublier mon binôme dans ce travail Marwen Ben Cheikh Ali et aussi à mes frères pour

leur soutien et ses biens faits qu’il m’apporté tout au long de ce stage et enfin à tous mes

professeurs et mes amis.

Hammami Khifa

Remerciement

C’est avec le plus grand honneur que nous avons réservé cette page en signe de gratitude et

de reconnaissance à tous ceux qui nous ont aidés de prés ou de loin à la réalisation de ce

rapport de stage.

Nos remerciements s’adressent à Mr Khaled Marzouk, le directeur général de l’Entreprise

Tunisie TradNet(TTN) qui nous a accueillies dans son établissement.

Nos remerciements vont aussi à notre encadreur Mr Abidi Sofien qui assuré notre

encadrement tout au long de ce stage et par leurs conseils et leur aides précieux, nous a guidés

pendant notre projet.

Notre sincère gratitude s’adresse également à tous nos enseignants du département

informatique du l’Institut Supérieur des Etudes Technologies de Bizerte qui ont assuré notre

formation pendant ces trois années d’étude.

De même nous tenons à remercier les membres de jury pour l’honneur qui nous ont fait en

acceptant de juger notre travail.

Sommaire Introduction Général…………………………………………………………………………...1

Chapitre 1 : Présentation du cadre du stage……………………………………………………2

1. Présentation de la société……………………………………………………………….2

1.1. Historique……………………………………………………………………………2

1.2. Domaine d’activité…………………………………………………………………..2

1.3. Organigramme……………………………………………………………………….4

2. Etude de l’existant………………………………………………………………………5

3. Description de l’existant………………………………………………………………...5

4. Critique de l’existant……………………………………………………...……...……..7

5. Objectifs ………………………………………………………………………………..8

6. Solution proposée……………………………………………………………………….8

7. Planification du projet……………………………………………………...…...………9

Chapitre 2 : Etat de l'art……………………………………………………………………….11

1. Définition Free BSD……………...………………………………………………......11

2. Portail Captif de free BSD……...……………………………………………….........11

3. Etude des différents portails captifs free BSD……..........……………………………12

3.1. WifiDog……...……………………………………………….................................13

3.2. Talweg…...…………………………………………………..................................13

3.3. NoCatSplash……...………………………………………………..........................14

3.4. Tableau comparaison de Free BSD………………………………..........................15

4. Choix de la solution pfsense…………………………...............................................15

4.1. Présentation de pfsense ……………………………...............................................15

4.2. Objectifs…………………………….......................................................................16

4.3. Avantage ……………………………......................................................................16

5. VPN Client……………………………........................................................................17

5.1 Présentation………………………………………………………………...……...17

5.2 Open VPN...…………………….............................................................................18

5.3 Limitation d’open VPN…...…….............................................................................19

Chapitre 3 : Mise en place du pare feu……………………………….....................................20

1. Configuration de pfsense sous Vmware………………………………........................20

1.1. Partie WAN………………………….....................................................................20

1.2. Partie des interfaces réseaux…………………………............................................21

1.3. Configuration du serveur PfSense……………………...........................................24

2. Portail Captif…………………….......................................................................................26

2.1. Description des différentes options de PFsense.......................................................27

2.2. Configuration à travers l’interface web....................................................................30

Chapitre 4 : Paramétrage et test des packages de PfSense.......................................................35

1. Serveur et Filtre Proxy : SQUID/SQUIDGUARD.............................................................35

1.1. Bloquage des sites web ..........................................................................................35

1.2. Configuration de Squid ..........................................................................................36

1.3. Configuration de SquidGuard.................................................................................37

1.4. Spécification de la Common Access List ..............................................................37

1.5. Filtrage des sites web .............................................................................................38

2. Configuration du server Open VPN………........................................................................40

3. Détection et Prévention d’Intrusion Réseau « SNORT » ...................................................46

3.1. Maquette de test................................................................................................47

3.2. Installation et configuration de SNORT...........................................................47

3.3. Test de la solution.............................................................................................50

4. Partage de la Bande Passante « TRAFFIC SHAPER »…………......................................52

4.1. Maquette de test………....................................................................................52

4.2. Configuration de TRAFFIC SHAPER.............................................................53

5. Supervision de la Bande Passante «NTOP » .....................................................................56

5.1. Maquette de test............................................................. ..................................56

5.2. Installation et configuration .............................................................................57

5.3. Scénarios d’utilisation de NTOP .....................................................................59

Conclusion Générale………………………………………………………………………….61

Netographie…………………………………………………………………………………...62

Liste des Figures

Figure 1: Organigramme de la Société…………………………………………………………4

Figure 2: L’architecture informatique de la Tunisie Trade Net………………………………..6

Figure 3: Architecture proposée du réseau de Tunisie Trade Net…………….………………..9

Figure 4 : Portail Captif……………………………………………………………………….12

Figure 5: Principe du portail captif Talweg…………………………………………………...14

Figure 6: Architecture NoCat…………………………………........…………………………14

Figure 7: le réseau informatique avec notre application PfSense…………………….............17

Figure 8: Configuration de carte réseau WAN………………………………………………..20

Figure 9: Configuration de carte réseau WAN sous Virtual Network Editor………………...21

Figure 10: Configuration de carte réseau Administrateur………………………………….....21

Figure 11: Configuration de carte réseau Administrateur sous Virtual Network Editor……..22

Figure 12: Configuration de carte réseau DMZ………………………………………………22

Figure 13: Configuration de carte réseau DMZ sous Virtual Network Editor….……………23

Figure 14: Configuration de carte RéseauLAN………………………………………………23

Figure 15: Configuration de carte réseau RéseauLAN sous Virtual Network Editor………...24

Figure 16: configuration des interfaces réseau Administrateur et interface WAN…………...25

Figure 17: configuration de l’interface DMZ ………………………………………………...25

Figure 18: configuration de l’interface RéseauLAN..........................................................…...26

Figure 19 : Schéma théorique d’un portail captif.....................................................................27

Figure 20: configuration des interfaces réseaux sur serveur PfSense ……………………….28

Figure 21 : Configuration de base de système………………………………………………..31

Figure 22 : paramétrage de base……………………………………………………………...32

Figure 23 : Activation de SSH……………………………………………………………......32

Figure 24 : Accées sécurisé du WebGUI……………………………………………………..32

Figure 30: création de certificat………………………………………………………………41

Figure 31: Vérification de clé de certification………………………………………………..41

Figure 32: Association de certificat aux client………………………………………………..42

Figure 33 :Utilisation d’OpenVPN Wizard…………………………………………………..42

Figure 34: choisir le certificat………………………………………………………………...43

Figure 35: Création de certificat serveur……………………………………………………...43

Figure 36 : choisir l’alogoritheme de cryptage……………………………………………….44

Figure 37: modifier l’adresse de TUNNEL…………………………………………………..44

Figure 38: Exportation d’archives de configuration………………………………………….45

Figure 39: Authentification d’OpenVPN……………………………………………………..46

Figure 40: Maquette de test de SNORT… …………………………………………………...47

Figure 41: Installation de package SNORT…………………………………………………..47

Figure 42: Activation et configuration du service……………………………………………48

Figure 43: Sépcification des catégories………………………………………………………49

Figure 44: Vérification des alertes……………………………………………………………50

Figure 45: Test de la solution…………………………………………………………………51

Figure 46 : vérification des Alerts ……………………………………………………………51

Figure 47: maquette de test bande passante…………………………………………………..52

Figure 48 : teste de débit initial……………………………………………………………….53

Figure 49: Ajoute un limite de download ‘‘down_limit’’…………………………………….54

Figure 50: Ajoute un limite de download ‘‘up_limit’’ ………………………………………54

Figure 51:Ajouter un Client…………………………………………………………………..55

Figure 52:Association des limiteurs au Client………………………………………………..55

Figure 54: test de Bande Passante sur un client de RéseauLAN……………………………..56

Figure 54: Maquette de test de ntop…………………………………………………………..57

Figure 55 : Installation de packge de ntop……………………………………………………57

Figure 56 :Configuration de compte d’administrateur………………………………………..58

Figure 57 : Interface d’écoute………………………………………………………………...58

Figure 58 : Le rapport de trafic……………………………………………………………….58

Figure 59 : La répartition totale du trafic par protocole………………………………………59

Figure 60 : diagramme de trafic par service…………………………………………………..59

Figure 61 : Interface des hôtes connectés…………………………………………………….60

Introduction Général

Vu l’importance et l’obligation de l’élaboration d’un pare-feu, chaque organisme doit établir

un pare-feu pour la sécurité informatique périodiquement afin d’identifier ses sources de

menace et ces dégâts informationnels.

Portant de cette idée, nous avons décidé d’établir un rapport d’un Pare-feu de sécurité

informatique.

Un pare-feu (appelé aussi ‘‘coupe-feu’’, ‘‘garde-barrière’’ ou ‘‘firewall’’ en anglais), est un

système permettant de protéger un ordinateur ou un réseau d’ordinateurs des intrusions

provenant d’un réseau tiers (notamment internet).

Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le

réseau, il s’agit ainsi d’une passerelle filtrante comportant ou minimum les interfaces réseau

suivante :

Une interface pour le réseau à protéger (réseau interne) ;

Une interface pour le réseau externe.

Ainsi ce rapport est scindé sur trois parties primordiales :

La première partie est axée sur les différentes phases ou bien les types de pare-feu réparti sur

l’analyse.

La deuxième partie présente une étude pratique qui définie la mise en place d’un pare-feu.

La troisième partie comporte une étude théorique qui définie le thème d’un pare-feu de la

sécurité informatique.

Chapitre 1 : Présentation du cadre du stage

2


1. Présentation de la société

1.1. Historique

La société Tunisie Trade Net gère, depuis sa création en février 2000, un réseau informatique

qui relie les différents intervenants dans les procédures du commerce extérieur en Tunisie

(Banques, Administrations, Douanes,…).

Sous la tutelle du ministère des finances tunisien depuis 2002, TTN s’intègre dans le projet de

l’administration en ligne. Le Projet a pour but de faciliter les procédures du commerce

extérieur, d’en assurer la traçabilité, et de réduire les délais de séjour des marchandises aux

ports.

Ainsi, La solution apportée par Tunisie TradeNet permet aux différents opérateurs: Entreprises,

Transitaires et commissionnaires en Douanes, Transporteurs et Agents maritimes de traiter les

différentes formalités d’importation et d’exportation en mode électronique.

Outre son rôle en tant qu’intermédiaire dans les échanges de documents relatifs aux procédures

de commerce extérieur en mode électronique, Tunisie TradeNet se distingue en tant que

société de services et d'ingénierie informatique SSII.

1.2. Domaine d’activité

Références dans le transport : Développement interfaçage Laisse Transport,

application manifeste.

Connaissances des systèmes d’exploitation : UNIX (SOLARIS), Windows 9x, NT,

2000, LINUX et XP

Compétences en SGBD: ORACLE – SQL SERVER

Compétence en architecture de systèmes :

Mise en place de plates-formes équivalentes à celle de TradeNet

Mise en place de la plate forme d’échange de données du GUCE au port de

Douala Cameroun

Compétences en outils de développement de systèmes : (JSP, JAVA, C++, VISUAL

C++)

Compétences en développement de sites WEB : Site TTN, Site GUCE Douala

http://www.tradenet.com.tn/html_fr/nos_services.htm


3

Compétences en développement de portail Internet : Portail TTN, Portail GUCE

Douala

Compétences en développement d'applications dans le domaine de la gestion

informatisée : Application transitaire, agent maritime, organisme de contrôle

technique à l’importation, interfaçage

Réseaux et Sécurité des systèmes : Définition et amélioration de la solution de

sécurité de la PLATE- FORME TradeNet.

Connaissances des réseaux de télécommunication nationaux et internationaux : (X25,

Frame Relay, LS, RTC)

Compétences en développement d'applications sécurisées : (solution

d'authentification forte)

Procédures du transport international et rôle des partenaires du transport : Etude et

analyse fonctionnelle des procédures et des circuits des flux documentaires entre les

intervenants de la communauté portuaire Tunisienne.

Procédures douanières : Analyse fonctionnelle des procédures douanières et

développement des procédures électroniques équivalente dans le cadre du

projet Liasse Unique Et Liasse Transport (dédouanement à l’importation, admission

temporaire, régime suspensif, transit, dédouanement à l’exportation, déclaration du

manifeste douanier….)


4

1.3. Organigramme

Figure 1: Organigramme de la Société


5

2. Etude de l’existant

2.1. Description de l’existant

Le réseau de l'entreprise met en œuvre des données sensibles, les stocke, les partage en

interne et les communique parfois à d'autres entreprises ou personnes.

Cette ouverture vers l'extérieur conditionne des gains de productivité et de compétitivité.

Il est impossible de renoncer aux bénéfices de l'informatisation, d'isoler le réseau de

l'extérieur ou de risquer la confidentialité des données de l’entreprise.

Les données sensibles du système d'information de l'entreprise sont donc exposées aux actes

malveillants dont la nature et la méthode d'intrusion sont sans cesse changeantes.

Les hackers s'attaquent aux ordinateurs surtout par le biais d'accès aux réseaux qui relient

l'entreprise à l'extérieur.

La société travaille dans un environnement basé sur le système d’exploitation Unix. Elle est

caractérisée par un très grand nombre de serveurs à gérer :

Serveur http : (HyperText Transfer Protocol) : est un logiciel servant des requêtes

respectant le protocole de communication client-serveur, qui a été développé pour le

World Wide Web. Un serveur HTTP utilise alors par défaut le port 80.

Serveur FTP : (File Transfer Protocol) est un serveur utilisant un protocole de

communication destiné à l'échange informatique de fichiers sur un réseau TCP/IP.

Cette communication va permettre le partage de fichiers entre machines distantes, et

utilise le port 21 par défaut.

serveur SMTP : (Simple Mail Transfer Protocol) Il permet d'envoyer des messages

texte ASCII vers des hôtes disposant de services de courrier, Il utilise le port TCP 25.


6

L’architecture du réseau de l’entreprise se présente comme suit :

Figure 2: L’architecture informatique de la Tunisie Trade Net

L’administrateur chargé du contrôle du réseau n’est pas actuellement capable de vérifier ni la

disponibilité des accès (en ligne ou pas), ni la qualité des services offerts, ni la détection des

défaillance des équipements (charge CPU, Etat mémoire, surcharge des disque...). Il ne

peut contrôler non plus les surcharges et pénurie temporaire des ressources. Le seul moyen

de détecter ces anomalies ne peut se faire que par la réception des différentes plaintes et

réclamations des différents utilisateurs.

Les moyens de la sécurité adoptée :

Portail captif (mécanisme d’authentification) : cette interface va jouer le rôle d’une

passerelle sécurisée dans le but d’authentification avant l’accès Internet.


7

VPN c’est un tunnel sécurisé.

Système de détection et prévention d’intrusion réseau (SNORT) : pour protéger le

système d’information de la Société contre les attaques.

Partage de bande passante (TRAFFIC SHAPER) et supervision de bande passante

(NTOP).

Filtrage URL (SquidGuard) : va permettre à la société d’appliquer la politique de

sécurité pour l’autorisation de l’accès aux sites web.

Mise en place d’un serveur proxy (proxy cache)

Personnalisation du thème (on peut change le thème de page Web de PfSense)

Backup (pour sauvegarder la configuration du serveur PfSense) : Ce module va

permettre à la TTN d’appliquer une solution de backup pour le serveur PfSense pour

avoir une solution de secours en cas de panne du serveur PfSense afin d’éviter de

répéter toute la configuration.

2.2. Critique de l’existant

Se souciant de sa réputation et concerné par la satisfaction et le confort de ses clients, la

société veut à tout prix éviter la confrontation des clients mécontents afin éviter le risque

de les perdre, et ce en veillant à offrir une meilleure qualité de services à sa clientèle et

en anticipant les pannes et en évitant les arrêts de longue durée pouvant avoir de mauvaises

conséquences aussi bien financières qu’organisationnelles.

Le système existant présente de nombreux problèmes qui se résument aux points suivants :

L’architecture de réseau TTN possède un très grand nombre de postes et de serveurs

qui rend la gestion de ce réseau une tâche délicate.

L’ouverture de la société vers l'extérieur est indispensable et dangereuse en même

temps et peut laisser place aux étrangers pour pénétrer au réseau local de l'entreprise,

et notamment accomplir des actions douteuses de destruction ou de vol

d'informations.

L’entreprise présente aussi une absence de contrôle de trafic entre le réseau interne et

externe.

Le but de notre projet est de trouver une solution pour remédier à tous ces problèmes et ce

en permettant de :


8

Réaliser une meilleure gestion des serveurs pour améliorer la communication et

assurer une stabilité des équipements et un bon monitoring de leurs états et offrir

ainsi la possibilité de faire face aux problèmes rencontrés.

Pouvoir détecter et interpréter les causes et origines des problèmes rencontrés afin de

les traiter le plus rapidement possible.

Sécuriser et contrôler les accès externes aux données ainsi que le partage et transfert

interne des données, vu le nombre important des utilisateurs internes et externes de

système réseaux.

Mettre à niveau le réseau local de la société puisque l’infrastructure existante ne

répond plus aux besoins croissant en bande passante (nombres d’accès externes en

croissance).

Apporter la sécurité essentielle afin de bloquer les virus.

Interdire l’accès à certains sites et filtrer les pages Web.

2.3. Objectifs

L’objectif de notre stage est d’implémenter une architecture réseau sécurisée, dans un

environnement Linux, comprendre les problématiques liées aux attaques réseau intégrer des

outils de sécurité et de surveillance réseau, déployer des solutions sous Linux :

Mise en place d’un serveur firewall open source vu la multiplicité et la vitesse de

mutation des attaques, en plus des dispositifs spécialisés pour la protection des accès

internet.

Sécuriser un système informatique : à travers le package SNORT est un système

open source de prévention et détection d'intrusions (IDS/IPS) sur les réseaux,

2.4. Solution proposée

La gestion des serveurs distants et le monitoring de ses équipements étant le plus grand

souci de l’administrateur. Nous avons jugé nécessaire de mettre en évidence un outil

pour contrôler le fonctionnement du réseau, d’étudier les données collectées et de

définir des seuils d’alertes qui peuvent servir pour le déclenchement des alertes lors de

détection des problèmes.

Il s’agit donc et sans doute d’une mise en place d’un composant firewall. Notre choix porte

sur le logiciel PfSense Open Source qui pourra, grâce à ses différentes fonctionnalités,


9

d’apporter la sécurité nécessaire au réseau local de l'entreprise et de détecter les tentatives

d'intrusion.

Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il

permet d'analyser, de sécuriser et de gérer le trafic réseau, et d'utiliser ainsi convenablement le

réseau de la société. Ceci doit se réaliser sans encombrer le réseau avec des activités non

essentielles.

La nouvelle architecture proposée pour réseau de la société Trade Net est la suivante :

Figure 3: Architecture proposée du réseau de Tunisie Trade Net

3. Planification du projet

Pendant ces quatre mois de travail nous avons fait de notre mieux pour s’enchaîner au plan

suivant :


10

Premier Mois : C’est la période que nous avons consacré à la préparation des outils

de travails et à la documentation et la formation sur le logiciel PfSense.

Deuxième mois : Consacré à l’élaboration du cahier de charge, l’installation et mise

en place de PfSense et créer le démarche de sécurité.

Troisième mois : Nous avons pu enfin entamer la configuration de serveur proxy

sous PfSense et faire les étapes de sécurité proposée.

Quatrième mois : la réalisation de l’application : la mise en place de la solution

PfSense au niveau du réseau local de l’entreprise TTN.

Conclusion

Nous avons présenté, au niveau de ce premier chapitre, l’entreprise d’accueil ainsi que les

défaillances de l’architecture réseau actuelle, et nous avons fini par proposer une nouvelle

architecture qui mettra fin aux failles de sécurité du réseau de Tunisie Trade Net.

Suite à l’étude et à la critique de l’existant, les problèmes que rencontre la société ont été

soulevés ce qui nous a permis de cerner la problématique de notre projet. Nous avons par la

suite proposé des solutions : c’est une seule solution que vous avez proposé et finalement

nous avons fixé notre choix des outils que nous avons jugé convenables pour la société.

Le chapitre suivant sera consacré à une étude de l’état de l’art qui comprend une étude

comparative de différents produits du marché afin de justifier nos choix et de clarifier les

aspects techniques de notre solution.

Chapitre 2 : Etat de l’art

11

Chapitre 2 : Etat de l'art

Introduction

Suite à l’étude de l’existant de la société TTN, nous avons présenté les problèmes et la

solution proposée pour aider l’administrateur à contrôler le fonctionnement du serveur proxy

et lui permettre d’expliquer certaines situations de surcharge ou encore de mauvaise

utilisation.

Cependant, La solution proposée de mise en place d’un firewall, nous ramène à étudier les

différents produits disponibles sur le marché et faire notre choix. Ceci ne peut être fait

indépendamment de l’environnement de travail du réseau de la société TTN.

La société TTN travaille sur l'étude de solutions de filtrage de flux Internet basées sur des

logiciels Open Source basé sur le système d’exploitation Free BSD.

1. Définition Free BSD [1]

Le système d’exploitation UNIX développé à l'université de Berkeley, elle contient quatre

BSD Open Source : Net BSD (fonctionne sur des ordinateurs de poche que sur des gros

serveurs, et a été utilisé par la NASA dans le cadre de missions spatiales), Open BSD (vise la

sécurité et la pureté du code: utiliser dans les banques, les bourses) et Dragon Fly BSD, mais

dans notre projet on utiliser le système d’exploitation FreeBSD est un système

d'exploitation UNIX libre.

L'objectif du projet FreeBSD est de fournir un système qui peut servir à tout, avec le moins

de restrictions possibles.

FreeBSD vise les hautes performances et la simplicité d'utilisation pour l'utilisateur final. Il

est l'un des systèmes d'exploitation favoris des fournisseurs de contenu sur le Web. Il

fonctionne sur de nombreuses plates-formes.

2. Portail Captif de FreeBSD [2] :

Un portail captif est une structure permettant un accès rapide et sécurisé à Internet. Lorsqu'un

utilisateur cherche à accéder à Internet pour la première fois, le portail capte sa demande de

connexion grâce à un routage interne et lui propose de s'identifier afin de pouvoir recevoir son

accès. Cette demande d'authentification se fait via une page web stockée localement sur le

portail captif grâce au serveur HTTP. Ceci permet à tout ordinateur équipé d'un « Web

browser » ou navigateur web et d'un accès Wifi de se voir proposer un accès à Internet. La

http://fr.wikipedia.org/wiki/Universit%C3%A9_de_Californie_(Berkeley)

http://fr.wikipedia.org/wiki/Syst%C3%A8me_d%27exploitation

http://fr.wikipedia.org/wiki/Syst%C3%A8me_d%27exploitation

http://fr.wikipedia.org/wiki/UNIX

http://fr.wikipedia.org/wiki/Logiciel_libre


12

connexion au serveur est sécurisée par SSL grâce au protocole HTTPS ce qui garantit

l'inviolabilité de la transaction. Les identifiants de connexion (Login et Mot de passe) sont

stockés dans une base de données qui est hébergée localement ou sur un serveur distant. Une

fois l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci ce

voir autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de

la durée fixée, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une

nouvelle session.

Figure 4 : Portail Captif [3]

Le client se connecte au réseau par l'intermédiaire d'une connexion filaire ou à travers un

point d'accès wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les

paramètres de configuration du réseau. A ce moment là, le client a juste accès au réseau via la

passerelle. Cette dernière lui interdit momentanément l'accès au reste du réseau. Lorsque le

client va effectuer sa première requête de type web en HTTP ou HTTPS, la passerelle le

redirige vers une page web d'authentification qui lui permet de s'authentifier grâce à un login

et un mot de passe. Cette page est cryptée à l'aide du protocole SSL pour sécuriser le transfert

du login et du mot de passe. Le système d'authentification va alors contacter une base de

données contenant la liste des utilisateurs autorisés à accéder au réseau.

3. Etude des différents portails captifs free BSD : [3]

Il existe dans le monde du logiciel libre plusieurs solutions de portail captif dont voici les

principaux :


13

3.1. WifiDog [5]

Wifidog est un logiciel libre fonctionnant à la fois sur des serveurs d'authentification et, grâce

à un logiciel de portail captif embarqué, sur une base sans-fil. Cette architecture distribuée

permet d'offrir un service de portail captif gratuit tout en réduisant les coûts par nœuds

installés au minimum.

Fonctionne sur des plateformes embarquées ou autres

Se compose de deux parties:

WifiDog Authentification Server : serveur d'authentification

WifiDog Gateway: passerelle filtrante du système de portail captif

dépendances (un serveur web Apache mode SSL, un serveur DHCP, un

serveur DNS, un pare-feu netfilter).

Les inconvénients de WifiDog sont :

La consommation en ressource réseau est extrêmement faible.

Elle utilise seul le port 80 passe.

la bande passante demandée est très faible.

3.2. Talweg[4]

Le logiciel talweg est un portail captif s'exécutant sur une plate-forme Linux. Il utilise un

serveur DNS, DHCP, Apache ainsi qu’Asp.Net et Iptables*.

Talweg présente de nombreux points intéressants :

Une authentification sécurisée.

Du multifenêtrage.

Des traces très détaillées (de type proxy web : date, utilisateur, URL complète) ;

La possibilité d’utiliser ses « liens favoris » (en lecture) ou des liens par

copier/coller.

En revanche, il y a des points négatifs :

Talweg ne fonctionne pas avec certains JavaScript, ActiveX et ne fonctionne pas du

tout avec les pages ASP.

Il est impossible d’enregistrer des liens issus de la réécriture des URLs.


14

Il n’y a pas de gestion de la durée de connexion des utilisateurs.

Figure 5: Principe du portail captif Talweg [5]

3.3. NoCatSplash

Le logiciel NoCatSplash est un portail web captif destiné à sécuriser le partage d’une

connexion sans-fil en redirigeant les utilisateurs vers une page web sur laquelle ils doivent

s’authentifier via https avec un login/mot de passe. Pour cela, NoCat modifie dynamiquement

les règles Iptables* du firewall pour ouvrir certains ports pour l’utilisateur (uniquement TCP

avec NoCatAuth-0.82). NoCatAuth nécessite les droits root pour manipuler les règles

Iptables*.

NoCatSplash est une solution idéale pour les petites structures ou personnes souhaitant

partager facilement une partie de leur bande passante en offrant notamment un contrôle sur les

ports autorisés.

Figure 6: Architecture NoCat


15

3.4. Tableau comparaison de Free BSD

NoCatSplash Talweg Wifidog PfSense

Simplicité

d'installation

Plus important Nom

Disponible

Important Important

Infrastructure

nécessaire

Plus important Nom

Disponible

important Important

Performances

réseau Plus important Plus important Plus important Plus important

Gestion utilisateurs Nom

Disponible

Plus important important Important

Sécurité

authentification

Nom

Disponible

Plus important Plus important Plus important

Sécurité

communications Nom

Disponible

Plus important Nom

Disponible

Plus important

Etude comparative des différents portails captifs

4. Choix de la solution « pfSense » [5]

Au vu de ce comparatif des différentes solutions de portail captif, PfSense apparaît

comme la plus performante et évolutive s'adaptant aux attentes de One Voice Line. Elle

répond également aux critères de sécurité dont nous avons besoin :

Disponibilité (Base Free BSD, load balancing, etc...)

Confidentialité (HTTPS Web GUI, HTTPS authentification, IPSEC, PPTP, etc...)

Adaptabilité (Statistique très nombreuses avec ntop, etc...)

Mise à jour du système sans réinstallation, packages téléchargeables directement

depuis le Web GUI, etc...).

Simplicité d'installation et d'administration.

4.1. Présentation de pfSense

PfSense à été crée en 2004 comme un fork du projet mOnOwall, pour viser une

installation sur un PC plutôt que sur du matériel embarqué. PfSense est basée sur Free BSD,

en visant les fonctions de firewall et routeur.


16

PfSense est puissante, en bonne partie car elle est basée sur Free BSD, mais aussi assez

simple d'accès, car elle fournit une interface web pour la configuration, (en plus de l'interface

console). Je recommande quand même de connaitre les commandes basiques de Free BSD en

mode console, au moins pour pouvoir récupérer la configuration en cas d'erreur (par exemple

une mauvaise route qui vous empêche de joindre le firewall...). Cette interface web n'est

accessible par défaut qu'à partir du LAN.

PfSense est une distribution Free BSD dédié firewall / routeur.

Le firewall est basé sur Paquet Filter. Toute la configuration du système est stockée

dans un fichier xml (/cf/conf/config.xml).

Performances sont liées au matériel.

L’installation ainsi que la configuration PfSense va se réaliser sur un système

d’exploitation de type Free BSD. Il est possible d’émuler le système d’exploitation

Free BSD grâce à VMware.

4.2. Objectifs

Passer en revue les principales fonctionnalités de pfSense à travers une analyse détaillée de

son interface.

Apprendre à dimensionner son hardware en fonction de ses besoins.

Installer et mettre à jour son système sur différents supports.

S’initier à la pratique de l’outil en présentant les différents modes d’accès

envisageables (Web, port série, SSH).

Procéder aux réglages de base de pfSense (hôte, domaine, serveurs DNS, NTP).

Manipuler et assigner les interfaces du firewall pfSense.

Présentation du fichier XML de configuration /cf/conf/config.xml

Procédure d’urgence : accès SSH, désactivation du firewall, rétablissement de règles

opérationnelles.

Procédure d’installation des paquetages par l’intermédiaire de l’interface graphique.

Incidence sur le système du déploiement des paquets.

4.3. Avantage

Simplicité de l’activation / désactivation des modules de filtrage.

Solution riche et performante à moindre coût (basé sur des logiciels libres).


17

Solution légère pouvant être déployé sur des configurations minimales.

Interface web sensible et efficace

Figure 7 : le réseau informatique avec notre application PfSense

Sous PfSense il existe plusieurs packages disponibles permettent de mettre en place un réseau

virtuel privé : un VPN client.

5. VPN Client [6]

5.1. Présentation

Le VPN client consiste à connecter un nomade informatique a son entreprise via un tunnel

sécurise. Ce tunnel est vu comme un tuyau hermétique de bout en bout ferme a ses extrémités

par deux portes verrouillées avec une même clef. A l’intérieur de ce tunnel, il y a de

l’information qui transite de façon sécurisée puisque personne ne peut accéder à ce qu’il y a

dans le tuyau. Les personnes pouvant voir le contenu du tuyau se trouvent donc a l’extrémité

de ce dernier et possèdent tous deux la même clef.


18

Plusieurs packages disponibles dans PfSense permettent de mettre en place un VPN client

suivant différentes technologies telles que (OpenVPN, IPSec, L2TP, PPTP) :

1. OpenVPN: OpenVPN est une solution flexible, puissante solution de VPN SSL

supportant une large gamme de systèmes d’exploitation client. Elle peut être mise en

œuvre en PfSense à partir du package http://openvpn.net/

2. IPSec: permet la connectivité avec tout dispositif de support standard IPsec. Ceci est le

plus généralement utilisé pour la connectivité du site aux installations PfSense. IPSEc

peut être mise en œuvre en PfSense à partir du package

http://tools.ietf.org/html/rfc4301

3. L2TP: Cette option va gérer le Layer 2 Tunneling Protocol (L2TP) qui signifie

protocole de tunnellisation de niveau 2. Il s’agit d’un protocole réseau utilisé pour

créer des réseaux privés virtuels (VPN). Cette technologie peut être mise en place à

partir du package http://tools.ietf.org/html/rfc7546

4. PPTP: est une option populaire VPN, car presque tous les OS sont dotés d’un client

PPTP, y compris toutes les versions de Windows depuis Windows 95 OSR2. Le

serveur Pfsense PPTP peut utiliser une base de données d’utilisateur local, ou d’un

serveur RADIUS pour l’authentification. PPTP peut être utilisé en pfSense à partir du

package : http://www.ietf.org/rfc/rfc2637.txt

5.2. OpenVPN

OpenVPN est un logiciel libre permettant de créer un réseau privé (VPN).

Ce logiciel, disponible dans PfSense, permet à des paires de s’authentifier entre eux à l’aide

d’une clé privée partagée à l’avance ou à l’aide de certificats. Pour chiffrer ses données,

OpenVPN utilise le protocole SSLv3 de la librairie OpenSSL aussi présente dans PfSense.

http://tools.ietf.org/html/rfc4301

http://tools.ietf.org/html/rfc

http://www.ietf.org/rfc/rfc2637.txt


19

5.3. Limitations d’OpenVPN :

OpenVPN IPSec PPTP

Clients mobiles Oui Ne support pas NAT-

T ce qui empêche

l’utilisation de client

mobiles derrière du

NAT

Oui

Utiliser IP statiques ou

dynamiques

Static IP : Oui

Dynamic IP :

V2.0

Static IP : Oui

Dynamic IP : Un seul

point final autorisé

Static IP : Oui

Dynamic IP : Oui

Filtrage de traffic VPN Prévu dans la

V2.0

Oui Oui

Type d’authentification Shared Key,

Certificat

Pre Shared Key,

Certificat

Local user database,

RADIUS server

(Authentification,

Accounting)

Fonctionnalités du

mécanisme non encore

implémentées dans

PfSense

Celles

manquantes dans

la V2.0

DPD, XAuth, NAT-T

et autres

Tableau : Limitation d’OpenVPN

Conclusion

Les différents modèles présentés dans ce chapitre expliquent bien le fonctionnement

global du projet. Cette définition nous donne une idée claire sur les principes et les objectifs

de l’application¸ et on peut facilement par la suite atteindre la phase de réalisation.

Nos travaux nous ont conduits à étudier plus particulièrement le projet pfSense. Cette solution

offre des avantages important en termes de filtrage des flux Internet et peut permettre de

répondre efficacement à la plupart des problèmes de sécurité et de filtrage des flux Internet.

Chapitre 3 : Installation de PFSense et Configuration des réseaux

20

Chapitre 3 : Installation de PFsense et configuration des réseaux

1. Configuration de pfsense sous VMware

1.1. Partie WAN

Une carte réseau contient deux interfaces réseau :interne et externe

1.1.1. Interface du carte réseau WAN interne :

Pour réseau WAN on coche tous les services activés,par exemple :

VMware br idge protocol

Protocole internet version 6 (TCP IPv6)

Protocole internet version 4 (TCP IPv4)… etc.

Figure 8: Configuration de carte réseau WAN


21

1.1.2. Interface du carte réseau WAN externe:

On configure l’adresse IP en mode bridge pour détecter l’adresse automatiquement.

Figure 9: Configuration de carte réseau WAN sous Virtual Network Editor

1.2. Partie des interfaces réseaux :

1.2.1. Configuration carte réseau Administrateur :

Pour le réseau Administrateur, nous activons tous les services sauf le service WAN

(Vmware Bridge Protocol) afin de pouvoir le configurer manuellement.

Figure 10: Configuration de carte réseau Administrateur


22

Ensuite On passe à l’écran suivant,afin de configurer l’adresse IP : L’administrateur saisit

l’adresse : 192.168.1.0, adresse de la carte réseau externe de l’administrateur.

Figure 11: Configuration de carte réseau Administrateur sous Virtual Network Editor

1.2.2. Configuration carte réseau DMZ :

Pour réseau DMZ , Nous activons tous les services sauf le service WAN (Vmware Bridge

Protocol).

Figure 12: Configuration de carte réseau DMZ


23

Figure 6: Configuration de carte réseau DMZ sous Virtual Network Editor

1.2.3. Configuration RéseauLAN :

Pour RéseauLAN , Nous activons tous les services sauf le service WAN (Vmware Bridge

Protocol).

Figure 14: Configuration de carte réseauLAN


24

Figure 15: Configuration de carte réseau RéseauLAN sous Virtual Network Editor

1.3. Configuration du serveur PfSense :

1.3.1 Configuration du réseau Administrateur :

Après l'installation du logiciel Free BSD pfSense nous avons commencé par

configurer l’interface réseau Administrateur. Nous avons désactivé l’adressage dynamique

(DHCP) et nous avons changé l’adresse IP Administrateur par l’adresse 192.168.1.1 et

donc cette adresse IP va nous permettre l’accès à pfSense via son interface WEB.

1.3.2 Configuration du réseau WAN :

Après Configuration du réseau Administrateur nous avons commencé par configurer

l’interface réseau WAN. Nous avons activé l’adressage dynamique (DHCP) et change

l’adresse IP par l’adresse 192.168.137.1 et donc cette adresse IP va nous permettre l’accès

à pfSense via son Internet.


25

Figure 16: configuration des interfaces réseau Administrateur et interface WAN

1.3.3 Configuration du réseau DMZ

Nous avons configuré l’interface réseau DMZ et désactivé l’adressage dynamique

(DHCP) et nous avons ajouté l’adresse IP 192.168.2.1 et donc cette adresse IP va nous

permettre l’accès au réseau DMZ par pfSense.

Figure 17: configuration de l’interface DMZ


26

1.3.4 Configuration du réseauLAN :

Configuration d’interface RéseauLAN. Nous avons désactivé l’adressage

dynamique (DHCP) et nous avons ajouté l’adresse IP 192.168. 3.1

Figure 18: configuration de l’interface réseauLAN

2. Portail Captif :

La différence entre un simple Firewall et un portail captif réside dans le fait que le portail

captif ne refuse pas une connexion, il la redirige vers une page d’authentification.

Les identifiants de connexion (Login et Mot de passe) de chaque utilisateur sont stockés dans

une base de données qui est hébergée localement ou sur un serveur distant. Une fois

l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci ce voir

autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de la

durée fixée, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une

nouvelle session.


27

Fonction type d’un portail captif :

Si le Client : http://www.google.fr (en passant par le portail…)

Portail : redirection vers la page d’authentification locale

Client : Login+Mot de Passe

SI OK : le client à accès à la page

http://www.google.fr

Les mêmes paramètres d’authentification du client doivent fonctionner avec tous les

protocoles applicatifs (FTP, HTTP,….).

Figure 19 : Schéma théorique d’un portail captif [7]

2.1. Description des différentes options de PFsense:

http://www.google.fr/

http://www.google.fr/


28

Figure 20: configuration des interfaces réseaux sur serveur PfSense

1) Assign Interfaces :

Cela va redémarrer le serveur en réaffectant les interfaces existantes, ou en créant de

nouvelles.

En choisissant cette option, nous avons ajouté les interfaces :

DMZ, Administrateur et réseau LAN

2) Set interface(s) IP address

Cette option nous permet d’abord d’ajouter ou de modifier une adresse IP, ensuite soit :

Activer le DHCP sur l’interface : Dans ce cas, nous avons la main pour régler la plage

d’adresses IP.

Désactiver le DHCP sur l’interface.

Au niveau de cette option, nous avons ajouté les adresses suivantes :

WAN : 192.168.137.5 en activant le DHCP pour les plages : 192.168.137.1 à

192.168.137.100.

Administrateur : l’adresse IP est 192.168.1.1 /24 et en désactivant le DHCP.

DMZ : l’adresse IP est 192.168.2.1 /24 et en désactivant le DHCP

Réseau LAN : l’adresse IP est 192.168.3.1 /24 et en désactivant le DHCP


29

3) Reset web configurator password

Cette option permet de réinitialiser le nom d’utilisateur et le mot de passe Web GUI,

respectivement à « admin » et « pfsense ».

4) Reset to factory default

Cela permet de restaurer la configuration du système aux paramètres d’usine. Cela n’apporte

cependant pas de modifications au système de fichier ou aux paquets installés sur le système

d’exploitation. Si les fichiers système ont été endommagés ou modifiés, le meilleur moyen

consiste à faire une sauvegarde, et réinstaller PfSense à partir du CD ou autre support

d’installation ou également à partir du WebGUI, onglet Diagnostic puis Factory defaults).

5) Reboot system

Arrête PfSense et redémarre le système d’exploitation. Cette opération est également possible

à partir du WebGUI, onglet Diagnostic puis Reboot.

6) Halt system

Arrête proprement PfSense et met la machine hors tension. Cette opération est également

possible à partir du WebGUI, onglet Diagnostic puis Halt system).

7) Ping host

Ajuste une adresse IP, à qui seront envoyées trois demandes d’écho ICMP. Le résultat du Ping

montre le nombre de paquets reçus, les numéros de séquence, les temps de réponse et le

pourcentage de perte paquets.

Au niveau de cette option, nous avons effectué des tests de Ping vers les différentes interfaces.

8) Shell

Démarre une ligne de commande Shell. Cette option est très utile, et puissante. Certaines

tâches de configuration complexes peuvent nécessiter de travailler avec les commandes Shell,

et certaines tâches de dépannage sont plus faciles à accomplir avec Shell. Cependant, il y a

toujours une chance de provoquer des erreurs de manipulation irréparables au système s’il

n’est pas manipulé avec soin. La majorité des utilisateurs PfSense ne toucheront peut-être

jamais au Shell, ou même ignoreront qu’il existe. Les utilisateurs de Free BSD pourront se

auront la majorité des commandes certaines ne sont pas présentes sur le système pfSense,

puisque les parties inutiles de l’OS ont été supprimées pour des contraintes de sécurité ou de

taille.

9) Pftop

Pftop donne une vue en temps réel des connexions du pare-feu, et la quantité de données

envoyée et reçue. Il peut aider à identifier les adresses IP qui utilisent actuellement de la

bande passante et peut aussi aider à diagnostiquer d’autres problèmes de connexion réseau.


30

10) Filter Logs

En utilisant cette option vous verrez toutes les entrées du journal de filtrage apparaissant en

temps réel, dans leur sous forme brute. Il est possible de voir ces informations dans le

WebGUI (onglet Status Puis System Logs et enfin onglet Firewall), avec cependant mois de

renseignements par lignes.

11) Restart webConfigurator

Redémarrer le processus du système qui exécute le WebGUI. Dans de rares occasions, un

changement sur ce dernier pourrait avoir besoins de cela pour prendre effet, ou dans des

conditions extrêmement rares, le processus peut avoir été arrêté pour une raison quelconque.

Le redémarrer permettrait d’y rétablir l’accès.

12) PfSense Développer Shell

Le Shell du développeur est un utilitaire très puissant qui permet d’exécuter du code PHP

dans le contexte du système en cours d’exécution. Comme avec le Shell normal, il peut aussi

être très dangereux à utiliser suite à une mauvaise manipulation. Ce Shell est principalement

utilisé par les développeurs et les utilisateurs expérimentés qui sont familiers au code PHP et

au code de base de pfSense.

13) Upgrade from console

En utilisant cette option, il est possible de mettre à niveau le VMware de pfSense, et ce en

entrant l’URL de l’image pfSense à mettre à niveau, ou grâce à un chemin d’accès locale vers

une image téléchargée d’une autre manière.

Nous avons travaillé avec la version PfSense 2.0.1, caractérisée par sa stabilité. Cependant

grâce à cette option, il nous est possible de mettre à jour facilement notre version.

14) Enable Secure Shell (sshd)

Cette option nous permet de changer le statut du démon Secure Shell, sshd.

Nous avons effectué son activation à travers l’interface Web WebGUI. Dans ce qui suit, nous

allons détailler les tâches réalisées pour le faire.

2.2. Configuration à travers l’interface web

Pour effectuer la mise en place des différents services objets de notre architecture réseau avec

le serveur pfSense, nous allons utiliser son interface WEBGUI.

L’URL d’accès à l’administration de pfSense est : 192.168.1.1

Cette adresse présente l’interface d’authentification pour configurer Pfsense.


31

Les paramètres de sécurité d’accès sont offerts par défaut comme suit :

- utilisateur: admin

- Mot de passe: pfsense.

Ainsi, une page d’accueil est affichée. En choisissant le menu System General Setup, on

accède à l’interface de configuration générale suivante :

Figure 21 : Configuration de base de système

Dans cette page, nous avons introduit les données suivantes :

Le nom de la machine : pfSense

Le domaine : localdomain

l’IP DNS : 196.203.80.4 et 196.203.82.4

Nous avons décoché l’option se trouvent dessous (Allow DNS server liste to be overridden by

DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les DNS des

clients ne sont plus les DNS de PfSense, mais des DNS du WAN qui est inaccessible par le

LAN.

Ensuite, nous avons modifié le nom et le mot de passe du compte permettent de se connecter

sur PfSense.

Nous pouvons ensuite activer l’accès à ses pages, via une connexion sécurisée SSL. Pour cela,

nous avons activé le protocole HTTPS pour plus de sécurité.


32

Nous avons entré le port 443 dans Web GUI, port correspondant à SSl.

Nous avons ensuite modifié le serveur NTP (Network Time Protocol : qui permet de

synchroniser les horloges des systèmes informatiques à travers un réseau) et le fuseau horaire

pour régler votre horloge.

Enfin, il est conseillé de changer le thème d’affichage de pfSense. En effet, le thème par

défaut (metallic), comporte quelques bugs (problème d’affichage, lien disparaissant). Nous

avons choisi le thème “ code-red “.

Nous obtenons l’interface suivante :

Figure 22 : paramétrage de base

Ensuite, nous avons choisi le menu « System Advanced » pour activer la connexion SSH

afin d’administrer le réseau à distance sans passer par l’interface graphique. Nous avons

introduit le numéro de port SSH : 22


33

Figure 23 : Activation de SSH

En activant le SSH, nous avons obtenu les pages web https. Comme le montre la figure 17.

Figure 24 :Accées sécurisé du WebGUI


34

Conclusion :

Dans ce chapitre nous avons décrit la mise en place de firewall PfSense dans notre

environnement de travail. Nous avons configuré les interfaces réseaux existantes dans le

firewall.

Dans le chapitre suivant, nous allons implémenter et réaliser notre application et présenter une

description complète de l’application.

Chapitre 4 : Paramétrage et test des packages de PFSense

35

Chapitre 4 : Paramétrage et test des packages de PFsense

Introduction :

Ce chapitre constitue la dernière phase de ce projet, durant laquelle nous allons essayer de

continuer la mise en place de PfSense dans son environnement d’exécution. Nous allons

procéder au paramétrage des différent packages qu’il présente, tout en effectuant les divers

tests nécessaires à la vérification de la sécurité des multiples échanges au niveau de notre

réseau.

Nous allons ainsi détailler quelque écran montrant les fonctionnalités les plus importantes de

l’application et les résultats des tests effectués.

1. Serveur et Filtre Proxy : SQUID/SQUIDGUARD:

1.1. Bloquage des sites web

Pour pouvoir utiliser les fonctionnalités du proxy, il faut ajouter les packages « Squid » et

« SquidGuard » puis configurer les blacklist, les différentes restrictions et éventuellement des

règles d’accès supplémentaires ACL (Access Control List).

1.1.1 Squid :

« Squid » est un serveur proxy/cache libre très connu de monde Open Source. Ce serveur est

très complet et propose une mulitude d’options et de services qui lui ont permis d’être très

largement adopté par les professionnels, mais aussi dans un grand nombre d’école ou

administrations travailliant avec les systèmes de type Unix

Squid est capable de manipuler les protocoles HTTP,FTP,SSL...

1.1.2 SquidGuard :

« SquidGuard » est un redirecteur URL utilisé pour utiliser les listes noires avec le logiciel

proxy « Squid ». SquidGuard possède deux grands avantages: Il est rapide et il est aussi

gratuit. SquidGuard est publié sous GNU Public License, licence gratuite.

SquidGuard peut etre utilisé pour :

Limiter l’accés Internet pour certains utilisateurs à une liste de serveurs Web et /ou

des URLs qui sont acceptés et bien connus.

Bloquer l’accés à des URL correspondant à une liste d’expressions régulières ou

des mots pour certains utilisateurs.


36

Imposer l’utilisation de mons de domaine et interdire l’utilisation de l’adresse IP

dans les URL .

Rediriger les URLbloquées à une page d’informations relative à Pfsence.

Rdiriger certaines bannières à un vide.

Avoir des régles d’accés différents selon le moment de la journée, le jour de la

semaine, date, etc.

Figure 25 : Instalation des pakages :Squid et SquidGuard

1.2. Configuration de Squid

Nous avons choisi le menu « Services → Proxy server ».

Dans l’onglet Général, nous vons configuré les options suivantes :

Proxy interface : Nous a permi de choisir d’affecter Squid au interfaces réseau.

Allow user on interface :Nous avons choisi de valider cette option pour l’interface

choisie.

Log store directory : /var/log :dossier contenant les autres logs.

Proxy port : 3128 : port de proxy.

Language : French.

Au niveau du menu l’onglet « Access Control → Blacklist », Il est possible d’indiquer des

sites non autorisé en compléement des Blacklist de SquidGuard.


37

1.3. Configuration de SquidGuard

Nous avons choisi le menu « Services →Proxy filter ».

nous vons configuré les options suivantes :

Enable : valider pour activer SquidGuard

Blacklist : valider pour activer blacklist

Blacklist URL : ftp://ftp.univ-tlse1.fr/blacklist/blacklists_for_pfsense.tar.gz, Url de

la blacklist

Ensuite nous sauvegardons et nous téléchargeons la blacklist.

1.4. Spécification de la Common Access List

Lorsque le téléchargement est terminé, Il faut ensuite cliquer sur l’ongle « Default » puis sur

le triangle vert pour afficher la blacklist dans la page Common ACL .

Sur chaque élément quenous voulons autoriser, nous choisissons « allow », et » pour ceux que

vous voulez interdire, nous choisissons « deny .

Au niveau de l’’onglet Common ACL, nous configuron les options suivantes:

Not to allow IP adresses in URL :nous cochons cette option si nous voulons

interdire les adresses IP tapées directement dans l’URL.

Redirect mode : laisser l’option par défaut int error page : Pour garder les messages

d’erreur par défaut

Redirect info : pour entrer un message d’erreur personnalisé, par exemple « Accés

interdit,cantacter votre administrateur »

Enable log : nous cochons cette case pour enregistrer l’activité du service

Enfin nous enregistrons la configuration et nous cliquons sur Apply au niveau de

l’onglet General settings pour visualiser les options paramétrés.

Après avoir installé les packages au niveau de l’onglet « Services proxy filtre », on

active le paquet SquidGuard comme il se trouve dans la figure

ftp://ftp.univ-tlse1.fr/blacklist/blacklists_for_pfsense.tar.gz


38

Figure 26: Activation de proxy filter

1.5. Filtrage des sites web

Nous avons activé le paquet SquidGuard, nous allons ensuite ajouter les autres sites à filtrer.

Nous alonns tester par exemple les sites:

www.facebook.com

www.gmail.fr

www.tunisa sat.com

Pour cela, nous nous sommes dirigés à l’onglet Target catégories (nous travaillons encore

sous le Proxy filter), puis nous mettons le nom du site, le nom du domaine et nous activons le

log et enfin, nous pouvons ajouter une description.


39

Figure 27: journalisation des filtrage

Lorsque nous avons terminé, nous cliququons sur le bouton « Save » et nous avançons au

dernier onglet « Common ACL » et nous mettons uniquement les sites choisis en mode

« deny ».

Nous avons testé l’accès au site filtré : www.facebook.com.

Nous avons obtenu le résultat du filtrage s’affiche dans la figure 28: Le message suivant

s’affiche : « Request denied by pfsense proxy »

Figure 28: Résultat du test d’interdiction d’accès

http://www.facebook.com/


40

2. Configuration du server OpenVPN [8]

Dans un premier temps, nous allons installer le paquet « client OpenVPN Export Utility », à

partir du « System Packages ».

Figure 29: Installation d’openVPNclient export

Puis, à partir de « System Cert Management », au niveau de l’onglet CA (Certificate

Authority), nous allons crée un nouveau certificat. Nous notons les noms descriptifs et

communs (Descriptive and Common names) que nous lui donnons puisque nous en aurons

besoin plus tard. Ensuite nous entrons le reste des détails pour le CA, voir figures 30 et 31.


41

Figure 30: création de certificat

Figure 31: Vérification de clé de certification


42

Aprés, nous allons sous « Système User Management », afin de créer un nouveau compte

utilisateur.

Figure 32: Association de certificat aux client

Nous avons Coché dans la « section certificat » pour créer un certificat d’utilisateur, après

que l’utilisateur est créé, nous avons entré le compte d’utilisateur nouvellement créé et généré

un certificat pour l’utilisateur.

Nous avons choisi de sélectionner « Créer un certificat interne ».

Puis nous avons configuré le serveur OpenVPN « VPN OpenVPN ».

Pour le type de serveur, nous avons sélectionné « l’accès des utilisateurs locaux » voir figure

33.

Figure 33 :Utilisation d’OpenVPN Wizard


43

Pour l’autorité de certification nous avons entré le nom que nous avons créé plus tôt

(TTN_vpn).

Figure 34: choisir le certificat

Pour un certificat de serveur, nous avons sélectionné « ajouter un nouveau certificat ». Ensuite

nous avons renommé le nom descriptif « TTN_vpn Server Cert », pour l’utiliser au niveau

du serveur VPN.

Figure 35: Création de certificat serveur

Ensuite, nous éditons la configuration du serveur OpenVPN.


44

Figure 36 : choisir l’alogoritheme de cryptage

Nous sélectionnons l’algorithme de chiffrement.

Pour le réseau Tunnel, nous avons choisi un sous-réseau qui est différent de notre sous-réseau

WAN.

Dans le réseau local, nous entrons notre sous-réseau CLIENT. Et nous Décidons du nombre

de connexions simultanées. Nous avons choisi : 10 clients externes.

Figure 37: modifier l’adresse de TUNNEL


45

Comme il s’agit d’une configuration très basique, nous n’enterons pas les serveurs DNS et de

domaine par défaut, mais nous devrions envisager ces options, en fonction de notre

environnement.

Puis nous allons à « VPN OpenVPN », sélectionnons la feuille « Client Export ». Le

paquet que nous avons installé dans le début nous donne la possibilité d’exporter

automatiquement l’archive en plus des fichiers de configuration utilisateur.

Nous Trouvons l’utilisateur pour lequel nous voulons exporter la configuration, et nous

cliquons sur le lien d’archive de configuration voir la figure 38.

Figure 38: Exportation d’archives de configuration

Après l’installation du OpenVPN GUI, nous ouvrons l’archive de configuration et y extraire

les fichiers à cet emplacement sur la machine avec laquelle nous allons établir la connexion

VPN.

Lorsque nous lançons OpenVPN GUI, nous obtenons une icône représentant un petit poste

de travail de couleur rouge qui nous indique que notre connexion au serveur VPN n’est pas

active.

Pour activer notre connexion VPN, nous faisons un clic droit sur l’icône de la barre de tâche

« OpenVPN ». Puis nous cliquons sur Connect.

Une fois que nous aurons cliqué sur Connect, nous obtenons la fenêtre suivante avec une

boîte de dialogue nous demandant d’enter le mot de passe. Voir la figure 39.


46

Figure 39: Authentification d’OpenVPN

Si la connexion VPN se déroule sans aucun problème, l’icône dans notre barre de tâche

change de couleur et devient verte. La connexion à notre serveur VPN est fonctionnelle.

3. Détection et Prévention d’Intrusion Réseau « SNORT » [9]

SNORT est outil open source de détection d’intrusion réseaux (NIDS). SNORT est capable

d’écouter sur une interface afin d’effectuer une analyse du trafic en temps réel, de logger les

paquets IP et de rechercher des correspondances de contenu ; le but étant de détecter une

grande variété d’attaques connues.

SNORT peut fonctionner en quatre modes différents :

SNIFFER:capture et affichage des paquets, pas de log.

PACKET LOGGER :capture et log des paquets.

NIDS(Network Intrusion Détection System): analyse le trafic, le compare à des

régles, et affiche des alertes et ainsi détecter des tentatives d’intrusion réseau d’aprés

des régles.

IPS (Système de prévention d'intrusion): détection et prévention d’attaques et donc

empécher les intrusions réseau détectées en suivant les mêmes régles.


47

Nous nous concentrerons sur les modes NIDS et IPS ,qui nous rendent deux services bien

différents.

3.1. Maquette de test :

Voici la maquette qui nous permet de tester SNORT afin de mettre en avant ses fonctions de

NIDS et d’IPS :

Figure 40: Maquette de test de SNORT [10]

3.2. Installation et configuration de SNORT :

Le premiére étape est l’installaltion du package SNORT dans Pfsense

« Système package SNORT » :

Figure 41: Installation de package SNORT

La seconde étape importante est la création d’un compte sur http:/ /snort.org,afin de pouvoir

récupérer les régles prédéfinies en temps voulu, nous y revenons par la suite.

L’interface étant maintenant paramétrée, nous allons configurer SNORT « Service

SNORT » :

http://snort.org,afin/


48

Figure 42: Activation et configuration du service

Les paramètres de SNORT sont resumés sous forme de tableau :

Interface Nous spécifions ici l’interface de pfSense sur laquelle SNORT

écoutera l’ensemble du trafic. conformément au schéma précédent :

réseauLAN

performance Nous indiquons ici la méthode de recherche utilisée par SNORT sur

les paquets analysés. «ac-sparse bands» est la méthode recommandée.

Oinkmastre code Code récupéré via notre compte sur SNORT.org qui nous permettrons

de télécharger les règles SNORT pré établies.

Snort.org subscriber Nous cochons cette case si nous utilisons un Oinkmaster code.

Block offenders Elément important de la configuration, puisque le fait de cocher cette

case bloquera automatiquement tout hôte déclenchant une alerte sur

l’interface d’écoute (fonction IPS de SNORT). Voir plus bas pour des

détails complémentaires.

Update rules

authomatically

Mise à jour automatique des règles SNORT.

Whitelists VPNs uris to

clickable links

Ajouter automatiquement les VPN pré configurés dans pfSense à la

whitelist, afin d’éviter tout refus de connexion ou blacklistage.


49

Convert Snort alerts

uris to clickable links

Les alertes apparaissent sous la forme de liens hypertextes.

Associate events on

Blocked tab

Lier la raison du blocage à l’hôte bloqué dans l’onglet « blocked ».

Sync Snort

configuration to

secondary cluster

members

Synchroniser la configuration de SNORT avec tous les membres du

cluster CARP s’il en existe un.

Tableau :définition de paramétres

Nous validons ensuite en cliquant sur le bouton «Save» en bas de page. SNORT va ensuite

automatiquement télécharger les régles (premium rules) depuis Snort.org grâce à notre

Olinkmastre code.

Toutes les régles ainsi téléchargées sont regroupées sous forme de catégories das l’onglet

«Categories». Nous séléctionnons celles qui correspondent aux attaques que nous désirons

détecter sur notre réseau. Afin de tester l’efficacité de la solution, nous nous contentons de la

régle «scan.rules» qui nous permettra de détecter et bloquer un attaquant effectuant un scan de

port sur hote distant.

L’étape suivante consiste à paramétrer les régles présentent dans la catégories que nous

venons de sélectionner.

Figure 43: Sépcification des catégories


50

Nous activons et paramétrons notamment la règle « SCAN nmap XMAS » afin de pouvoir

détecter un scan de port Nmap lancé depuis l’interface administrateur vers un hôte situé sur un

réseau distant (interface WAN). La figure suivante illustre l’interface avant le test au niveau

de nos réseaux.

Figure 44: Vérification des alertes

3.3. Test de la solution :

Un attaquant va effectuer un scan de port Nmap sur un hôte distant. Pendant toute la durée du

test, l’attaquant effectue, en parallèle du scan du port, un Ping vers la victime, afin de vérifier

en permanence la connectivité vers l’hôte et fixer le moment où il sera blacklisté par

SNORT : attaque détecté ET contrée.


51

Figure 45: Test de la solution

Une fois le scan de port lancé, la station de supervisons peut très rapidement lancer des alertes

ainsi, l’adresse IP 192.168.2.99, de notre attaquant, a été bloquée :

Figure 46 : vérification des Alerts


52

4. Partage de la Bande Passante « TRAFFIC SHAPER »

La fonction « traffic shaping » de pfSense permet initialement d’optimiser la bande passante

en attribuant des priorités aux différents flux du réseau. Par exemple, nous donnons une

meilleure priorité aux flux VOIP par rapport au reste du trafic afin d’optimiser les

communications VOIP.

Nous allons voir comment mettre en place un autre aspect de la gestion de bande passante, à

savoir comment la partager entre plusieurs hôtes/réseaux selon nos besoins

4.1. MAQUETTE DE TEST

Figure 47: maquette de test bande passante


53

L’objectif va être de démontrer comment, à partir d’une connexion ADSL (2500Kbps down,

463 Kbps up), nous pouvons offrir une portion de bande passante différente à chacun nos

deux clients, ou bien une bande passante limitée et partagée entre les deux clients.

4.2. Configuration de TRAFFIC SHAPER

Il y a deux étapes de base à la mise en place d’un limiteur de contrôle la bande passante.

Configurez les limiteurs que vous allez utliser.

Attribuer le trafic vers ces limiteurs.

A partir de ce moment, nous le vérifions la bande passante d’une maniére très simple,via le

speedtest.net qui nous permet de calculer le débit descendant depuis une station.

Figure 48 : teste de débit initial

Limitteur sont configurés en les créant sous « firewall Traffic Shaper »,sur l’onglet

limiter.

Nous pouvons utiliser un seul tuyau pour le traffic entrant , et sortant mais cela signifierait

que nous simulons une connexion half-duplex.

La méthode recommandéé consiste à créer 2 tuyaux, lun pour le trafic entrant et un pour le

trafic sortant. La méthode est à partir de la persective de l’interface.si nous utilisons des

limteurs sur LAN ,la file d’attente entrante est notre upload et la file d’attente sortante est

notre téléchargement. Nous devons nommer les tuyaux down_limit et up_limit.

Pour le tuyau down_limit nous avons choisi la valeur exemple (300kbps)


54

Figure 49: Ajoute un limite de download ‘‘down_limit’’

Pour le tuyau up_limit nous avons choisi la valeur exemple (200kbps)

Figure 50: Ajoute un limite de download ‘‘up_limit’’


55

Figure 51:Ajouter un Client

Une fois que nous avons installé un tuyau limiteur,l’étape suivante consiste à affecter le trafic

à en définissant l’ « in /out’’ dans un firewall rule.Rapplons-nous que dans et hors du point de

vue sont de cette interface sur le pare-feu.si nous choisissons limiteurs sur l’interface

RéseauLAN, ‘’out’’ est la vitesse de télechargement (le trafic du carte réseau LAN sur le

réseau local) et « dans » est la vitesse de télechargement (le trafic du réseau local dans la carte

réseau LAN).

Il suffit de créer les limiteurs de ne rien faire,nous devons les attribuer sur firewall rule pour

qu’ils soient utilisés.

Figure 52:Association des limiteurs au Client


56

Le resultat s’affiche comme le montre le figure suivante :

Figure 53: test de Bande Passante sur un client de RéseauLAN

5. Supervision de la Bande Passante «NTOP »

Ntop est une sonde d’analyse du trafic réseau et nous permet ainsi d’avoir un œil sur

l’utilisation qui est faite en temps réel de notre réseau. Nous pouvons également le qualifier

de superviseur de bande passante, puisque nous pourrons afficher de manière détaillée un

ensemble d’éléments tels que la bande passante moyenne utilisée par un hôte ou un réseau, les

différents flux, leur type et leur sens (locallocal, localRemote…).

Nous ne détaillerons pas ici l’ensemble des fonctions et éléments visualisables via Ntop

(beaucoup trop nombreux), mais seulement les éléments qui nous montrent les plus

intéressants pour superviser au mieux son réseau. De même, la fonction permettant à NTOP

de recevoir des informations depuis une sonde NetFlow ne sera pas aborde.

5.1. Maquette de test :

Ntop sera raccordé au cœur de notre réseau via un port miroir. Ce port miroir, aussi appelé

port monitoring, effectue une réplication de l’ensemble du trafic transitant via l’élément actif

sur lequel il est configuré (généralement un commutateur ou un châssis de cœur de réseau).

Ainsi, l’ensemble des paquets entrants et sortants sera redirigé vers notre PfSense avec Ntop

en écoute.


57

Un port miroir se contente uniquement de dupliquer les paquets, ils ne sont en aucun cas

remaniés, ce qui nous permet de conserver les adresses, ports, etc.… d’origine. Voici ainsi la

maquette déployée pour traiter ce chapitre :

Figure 54: Maquette de test de ntop

5.2. Installation et configuration :

Nous avons commence par le téléchargement et l’installation du package Ntop :

Figure 55 : Installation de packge de ntop

Une fois l’installation terminée, nous allons au menu « Diagnostics ntop settings » pour

initialiser ntop et lancer le service correspondant. Nous avons configuré le mot de passe

« admin » pour accéder à la configuration avancée de ntop, ainsi l’interface d’écoute :


58

Figure 56 :Configuration de compte d’administrateur

Puis nous avons allée au « access ntop » ci-dessus, ou encore via le menu pfSense

« Diagnostics ntop »).pour accéder aux statistiques générales de réseauLAN

les informations concernant Ntop (interface d’écoute, uptime, etc.…)

Figure 57 : Interface d’écoute

Un rapport concernant le trafic sur l’interface d’écoute (paquets, trafic, ou la

charge)

Figure 58 : Le rapport de trafic


59

La répartition totale du trafic par protocole

Figure 59 : La répartition totale du trafic par protocole

Ou encore un diagramme détaille du trafic par services

Figure 60 : diagramme de trafic par service

5.3. Scénarios d’utilisation de NTOP :

NTOP est très fournit en termes de menus et de données affichables. Nous allons donc

imaginer les scenarios classiques auxquels nous faisons face lorsque nous supervisons notre

réseau/bande passante.

Consomment de bande passante


60

Des lenteurs ont été constatées pour tout accès à Internet, que ce soit pour du download ou de

l’upload, et nous désirons contrôler l’utilisation que fait chaque hôte de notre connexion a

Internet.

Nous allons donc afficher un « top 10 » des hôtes les plus gourmands en bande passante

Internet.

Pour ce faire :

1. Sélectionner all protocols traffic

2. Dans ‘hosts’ choisir ‘Local Only’

3. Dans ‘data’, choisir au choix ‘received’ ou ‘sent’

4. Et enfin le VLAN concerne ou la totalité du réseau

Figure 61 : Interface des hôtes connectés

Nous affichons ainsi l’ensemble des hôtes et les quantités de données reçues et/ou envoyées.

Il ne reste plus qu’a cliquer sur « data » pour afficher les plus gros consommateurs en tête de

liste.

Dans chaque fenêtre NTOP de ce type, nous cliquant sur le nom ou l’adresse d’un hôte, nous

pourrons accéder à toutes ses statistiques détaillées.

Conclusion Générale

L’administration réseau est un travail complique. Le métier veut que l’on doive souvent

maîtriser différentes technologies et les faire travailler ensembles. La tâche se complique

encore si l’administration et la configuration de tout cela se fait manuellement.

En ce sens nous avons vérifie à travers ce rapport que PfSense répond à ces interrogations.

Cet Outil est en effet un gestionnaire central d’outils réseaux. On peut ainsi faire travailler

ensemble un pare feu, un routeur, un serveur VPN, un Proxy, un outil de détection d’attaque

réseau etc. Le tout sur un seul et même Serveur. On peut par exemple créer très facilement des

« Backups » pour ne pas se retrouver avec un seul point névralgique dans notre réseau… Bref

nous pensons que PfSense est voue à exister et se développer.

Nous avons mis en place et testé certains services (les principaux pour être précis) de

PfSense.

Netographie

[1] http://fr.wikipedia.org/wiki/FreeBSD: Système d’exploitation FreeBSD: le 2 mai 2013

consulté le17 mai 2013

[2] http://fr.wikipedia.org/wiki/Pfsense : Portail captif : le 21 Décembre 2012 consulté le 17

février 2013

[3] http://www.memoireonline.com/02/10/3156/m_Implementation-dune-infrastructure-securisee-

dacces-internet-portail-captif2.html : Définition et infrastructure portail captif le 03 février 2010

consulté le28 mars 2013

[4] http://www.crium.univ-metz.fr/reseau/talweg/ : information Talweg: le 21 juin2011consulté

le 22 avril 2013

[5] http://bzhmarmit.wordpress.com/2012/09/11/pfsense: configuration PFSense: le 11

septembre 2012 consulté le 20 février 2013

[6]http://www.frameip.com/vpn/ Virtuel private network : le 27 septembre 2012 juin2011

consulté le 29 mai 2013

[7] http://www.gizeek.com/2010/05/16/tutoredacteur-invite-portail-captif-avec-pfsense/ :

Schéma portail captif: le 16 mai 2010 consulté le 03 mai 2013

[8] http://www.osnet.eu/fr/content/client-openvpn-pour-ios-compatible-pfsense-2 : open

Virtuel private Network: le 18 juin 2013consulté le 30 mai 2013

http://bzhmarmit.wordpress.com/2012/09/11/pfsense

[9]http://www-igm.univ-mlv.fr/~dr/XPOSE2004/IDS/IDSSnort.html Intrusion Détection

Systems: le juillet 2011 consulté le 2 juin 2013 [10]http://www.snortattack.org/ schéma test de snort le 19 novembre 2005 consulté le 30 mai

2013

[11]http://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tutorial

information sur Squid et SquidGuard le 22 janvier 2013 consulté le 30 février 2013

WWW.pfsense.org

http://doc.pfsense.org

http://fr.wikipedia.org/wiki/FreeBSD:

http://fr.wikipedia.org/wiki/Pfsense

http://www.memoireonline.com/02/10/3156/m_Implementation-dune-infrastructure-securisee-dacces-internet-portail-captif2.html

http://www.memoireonline.com/02/10/3156/m_Implementation-dune-infrastructure-securisee-dacces-internet-portail-captif2.html

http://www.crium.univ-metz.fr/reseau/talweg/


http://www.frameip.com/vpn/

http://www.gizeek.com/2010/05/16/tutoredacteur-invite-portail-captif-avec-pfsense/

http://www.osnet.eu/fr/content/client-openvpn-pour-ios-compatible-pfsense-2


http://www-igm.univ-mlv.fr/~dr/XPOSE2004/IDS/IDSSnort.html

http://www.snortattack.org/

http://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tutorial

http://www.pfsense.org/

http://doc.pfsense.org/index.php/Main_Page

Résumé :

La sécurité permet la protection du réseau informatique c’est pour cela nous avons utilisés un

Firewall PFSense qui peut servir à enregistré l’utilisation de l’accès à Internet et à bloquer

l’accès à des sites web pour avoir une idée sur l’état du trafic et les menaces on provenance

d’Internet pour offre à les utilisateurs un accès distant rapide et sécurisé à travers de package

installer Squid/SquidGuard, SNORT, TRAFFIC SHAPPER, NTOP et Open VPN.

Abstract:

Security enables the protection of computer network that is why we used a PFSense Firewall

that can serve recorded using the Internet and block access to web sites to get an idea on the

traffic conditions and threats from the Internet is to offer users fast and secure remote access

through the install package: Squid / Squid Guard, SNORT, TRAFFIC Shapper, NTOP and

Open VPN.

لخص م

التي يمكن أن تخدم "esnPSFP"األمن تمكن من حماية شبكة الكمبيوتر الذي هو السبب في أننا استخدام جدار حماية

سجلت باستخدام شبكة االنترنت ومنع الوصول الى المواقع على شبكة االنترنت للحصول على فكرة عن ظروف حركة

/ ndiuq ألتثبيتريع واآلمن عن بعد من خالل حزمة المرور وتهديدات من اإلنترنت لتوفر للمستخدمين الوصول الس

ndiuq diuqq ,nRONS ,SNFssS nFFeRN ,RSOeو OPPS eeR .

Documents

rapportfiniale-141213092544-conversion-gate02.pdf