Intégrité et confidentialité des données

En général les données transmises sur le medium (interface radio) sont très sensibles aux interférences créant ainsi des erreurs. Il est alors nécessaire de disposer d‟un mécanisme de protection et de correction des erreurs. La technologie EGPRS intègre ce mécanisme de protection, détection et correction d‟erreurs grâce à neuf (09) schémas de codage (MCS-1 à MCS-9) avec pour compromis une réduction du débit disponible sur chaque timeslot.

En réalité, EGPRS fait correspondre à chaque condition radio rencontrée le schéma de modulation et de codage (MCS pour

Réalisé par CHOUTY Nabil A. Page 61 Modulation and Codage Scheme), le plus approprié en regard de la qualité de service requise sur la liaison. Cette technique est appelée adaptation de lien. Le choix du schéma de codage est réalisé par le PCU (Packet Control Unit) en vue d‟utiliser le lien radio au maximum de sa capacité. Il adapte le schéma de modulation et de codage à la qualité de signal reçue par la BTS (Base Transceiver Station).

Avec l‟EGPRS, en plus du principe d‟adaptation de lien il y a également l‟IR (Incremental Redundancy) qui n‟existe pas en GPRS.

L‟IR peut être combiné avec le principe d‟adaptation de lien. Il consiste à retransmettre seulement la redondance du bloc RLC (Radio Link Protocol) erroné avec un même MCS ou un autre MCS appartenant à la même famille de l‟ancienne MCS mais avec un schéma de poinçonnage² différent (Puncturing Scheme).

Les données qui vont transiter par le réseau cœur de l‟opérateur GSM ne doivent être en aucun cas lisibles ou altérées par une tierce personne (écoute passive ou active). Ainsi, pour sécuriser les communications, nous allons créer un tunnel entre les deux sites distants et utiliser des algorithmes de cryptage et d‟authentification pour définir des niveaux de sécurité. Le cryptage ou chiffrement permet d‟assurer la confidentialité et la signature l‟intégrité et l‟origine des données transmises. Ils peuvent être réalisés à différents niveaux du modèle OSI (Open Systems Interconnection). Au niveau de la couche réseau, on parlera du protocole ESP (Encapsulating Security Payload) pour le cryptage et du protocole AH (Authentification Header) pour la signature ; tous deux intégrés dans IPSec (IP sécurisé).

2 Le poinçonnage est une technique qui consiste à améliorer le rendement d'un codeur convolutif en ne transmettant pas certains bits sortant du codeur.

Réalisé par CHOUTY Nabil A. Page 62 4.3.7. Coût

L‟EGPRS définit une architecture de réseau à commutation de paquets, qui permet d‟allouer des ressources à un utilisateur qu‟au coup par coup, lorsqu‟il a réellement des données à émettre ou à recevoir, et non durant toute la durée de sa connexion. Il permet ainsi de facturer les communications au volume de données échangées (en kilobit) et non à la durée de connexion. Ainsi la souplesse des coûts proposés sera très rentable pour notre système surtout en zones rurales et reculées où le taux de bancarisation est encore faible. En outre, cette souplesse des coûts peut conduire la filiale ECOBANK Bénin à gagner encore une grande part du marché en menant une politique de bancarisation des zones moins bancarisées tout en minimisant les coûts.

Signalons qu‟un coût supplémentaire mais payable une seule fois peut être réalisé pour la souscription à certaines QoS pour répondre aux besoins techniques énumérés plus haut.

4.4. Proposition d’architectures d’interconnexion

Les présentes propositions d‟interconnexion des GAB off-site avec le réseau cœur d‟ECOBANK Bénin ne s‟inscrivent pas dans un cadre de remplacement systématique de celles existantes. Elles serviront dans un premier temps pour de nouveaux déploiements de GAB surtout dans les zones reculées, rurales et moins bancarisées. En outre, elles pourront servir de liaisons backups pour les déploiements existants. Par suite si leur adoption s‟avère concluant et rentable, elles pourront être utilisées pour interconnecter tous les GAB off-site de la filiale ECOBANK Bénin en remplacement de ceux existants.

Réalisé par CHOUTY Nabil A. Page 63 Nous proposons dans le cadre de notre travail deux (02) architectures pour l‟interconnexion des GAB off-site.

4.4.1. Scénario 1

Figure 4.3 : Architecture d’interconnexion via une infrastructure publique

Le GAB est connecté au réseau EGPRS de l‟opérateur GSM via un routeur CISCO supportant la technologie 3G. La liaison radio entre le routeur et la BTS est réalisée par un canal radio dédié. Ce canal radio dédié sera poursuivi par une liaison spécialisée de la BTS jusqu‟au SGSN. Un tunnel VPN (Virtual Private Network) sera réalisé entre les deux sites distants via une infrastructure publique qui est „„Internet‟‟. A l‟entrée de ce tunnel du côté LAN ECOBANK Bénin, nous disposerons d‟un routeur Cisco placé dans une zone démilitarisée derrière un firewall.

Réalisé par CHOUTY Nabil A. Page 64 4.4.2. Scénario 2

Figure 4.4 : Architecture d’interconnexion via une infrastructure dédiée

Contrairement au scénario 1, la différence ici réside dans le fait qu‟en lieu et place du tunnel VPN via une infrastructure publique, nous adopterons une liaison radio dédiée point-à-point. Cette solution radio point-à-point est facilitée par le fait que les trois (03) opérateurs GSM au Bénin, que sont MTN, MOOV et GLO, fournissant un accès data sur leurs infrastructures ont leurs directions générales se trouvant à quelques kilomètres (moins d‟une dizaine) du siège de la filiale ECOBANK Bénin.

Ainsi suite à un partenariat entre les deux parties, une antenne radio BF (Basse Fréquence) de 2 Mbps et un routeur Cisco, à la charge d‟ECOBANK Bénin, sera installée chez l‟opérateur GSM pour véhiculer le trafic des GAB.

Réalisé par CHOUTY Nabil A. Page 65 Conclusion partielle

Ce chapitre nous a permis de définir les besoins d‟ordre général de la filiale ECOBANK Bénin en fonction de ses prérogatives et comment le GAB peut en être une part de solution. Ainsi pour accompagner cette solution, nous proposons deux (02) architectures pour l‟interconnexion du GAB avec son serveur distant.

Réalisé par CHOUTY Nabil A. Page 66 CHAPITRE 5 : IMPLEMENTATION

Introduction

Après avoir défini les besoins d‟ordre technique de notre système et proposé deux scénarii de solution d‟interconnexion, nous allons maintenant procéder à son implémentation.

Ainsi dans ce chapitre, nous annoncerons la méthodologie utilisée et les notions de sécurité qui s‟y confèrent pour réaliser notre solution d‟interconnexion. Par suite, nous proposerons une procédure de configuration des équipements d‟extrémités pour mettre en place les scenarii de la solution d‟interconnexion proposée.

5.1. Choix techniques et justifications

5.1.1. Choix et justification de la technologie de télécommunication utilisée

Nous avons choisi, dans le cadre de notre travail, d‟interconnecter les GAB de la filiale ECOBANK Bénin en utilisant les infrastructures de télécommunication GSM. La technologie retenue ici est l‟EGPRS. Les raisons qui ont motivées ce choix sont multiples.

En effet, l‟étude effectuée au chapitre 3 a montré le fort taux de couverture des infrastructures GSM sur l‟étendue du territoire national.

En effet, le point de présence des infrastructures GSM supplante largement celui des autres infrastructures de télécommunications du point de vue déploiement. Ainsi, les zones reculées aussi bien en milieu urbain et rural pourront bénéficier de biens et services socioéconomiques liés aux télécommunications.

Réalisé par CHOUTY Nabil A. Page 67 La souplesse des coûts de tarification pour l‟utilisation du service de données qui est calculée au volume de données échangé en kilobits et non à la durée de connexion. Pour les zones en voie de bancarisation, ce type de tarification est approprié car minimisant les coûts de redevance mensuelle.

L‟impossibilité de disposer de l‟ADSL dans certaines zones des villes à statut particulier principalement dans la ville de Cotonou malgré l‟arrivée de la ligne téléphonique dans lesdites zones. En effet, pour réaliser des économies dans certains cas spécifiques ou pour pallier à des pénuries, Bénin Télécoms installe des systèmes électroniques actifs comme les systèmes dits à gains de paire. Ce sont des multiplexeurs ou des concentrateurs, qui permettent de transporter plusieurs communications téléphoniques sur un système de transmission numérique. Cette technique ne permet pas le déploiement de l‟ADSL.

5.1.2. Choix et justification du matériel

Plusieurs équipementiers réseaux tels que CISCO, VIOLA Systems, JUNIPER, etc… offrent des gammes variées de routeurs supportant la technologie 3G et compatible avec les versions largement déployées que sont la 2,5G et 2,75G (GPRS et EDGE). Dans le cadre de nos travaux, nous avons choisi le routeur Cisco 881G-SEC-K9 with 3G Modem du constructeur CISCO (voir sa présentation en annexe 5).

Ce choix a été opéré sur la base des multiples innovations réalisées en matière de sécurité dans le domaine par le constructeur, le plaçant résolument en tête de l‟industrie.

Réalisé par CHOUTY Nabil A. Page 68 5.1.2.1. Fonctionnalités du routeur

Le routeur CISCO 881G-SEC-K9 with 3G Modem offre une connectivité à la fois filaire et sans fil à travers une multitude de protocoles tels que :

 Le protocole de liaison de données (Ethernet, Fast Ethernet, IEEE 802.11b, etc.) ;

 Le protocole réseau et transport (IPSec, L2TP, FTP, etc.) ;

 Le protocole de routage (RIP-1, OSPF, EIGRP, etc.) ;

 Le protocole de gestion à distance (Telnet, SSH, SNMP, Ping, etc.) ;

 Etc.

Parmi les multiples fonctions réalisées par le routeur, nous avons entre autres la prise en charge de VPN site-à-site jusqu‟à 20, l‟équilibrage de charge, la prise en charge du réseau local (LAN) virtuel, la régulation de trafic, le filtrage par adresse MAC, le filtrage de contenu, la prévention contre les intrusions grâce aux services IP avancés, l‟authentification, etc.

En outre le routeur CISCO 881G-SEC-K9 with 3G Modem fournit :

 La possibilité de gérer des liaisons WAN redondantes, entre les technologies filaire et sans fil, permet d‟assurer la continuité des activités en cas de panne de la liaison principale.

 Une amélioration de la sécurité pour protéger les données d'affaires: un pare-feu à inspection d‟état intégré protège le périmètre du réseau avec une sécurité avancée. IP sécurisé (IPSec), Triple Data Encryption Standard (3DES) et Advanced Encryption Standard (AES) aident à assurer la confidentialité des

Réalisé par CHOUTY Nabil A. Page 69 données sur Internet. Les systèmes de prévention d‟intrusions (IPS) sophistiqués permettent de détecter et d'atténuer les menaces à la sécurité.

 Etc.

5.1.2.2. Fonctions de sécurité intégrées du routeur Les routeurs CISCO 881G-SEC-K9 with 3G Modem supportent un vaste éventail de fonctions de sécurité qui permet aux administrateurs réseaux d‟identifier et de prévenir les menaces de sécurité et d‟y réagir efficacement. Le réseau à autodéfense Cisco (Cisco Self-Defending Network) contenu dans le logiciel IOS de Cisco dispose d‟un certain nombre de protection qui s‟appliquent au niveau du routeur.

 Tunnelisation et cryptage des VPN

Les VPN constituent le mode de connectivité de réseau qui a connu la plus forte croissance et Cisco renforce sa valeur ajoutée dans ce domaine en intégrant les fonctions correspondantes au niveau matériel dans la gamme routeurs à services intégrés. Les routeurs Cisco 881G sont équipés d‟une accélération matérielle intégrée des fonctions de cryptage IPSec (AES, 3DES et DES) et des processus VPN pour augmenter le débit des réseaux privés virtuels. Parmi les principales fonctions des accélérateurs VPN intégrés, nous avons :

 L‟accélération du cryptage IPSec à des vitesses compatibles avec des débits T3/E3 full-duplex multiples ;

 L‟accélération matérielle des algorithmes de cryptage DES, 3DES et AES (128, 192 et 256) sur tous les modules à intégration de service ;

Réalisé par CHOUTY Nabil A. Page 70

 Le support des signatures de l‟algorithme RSA (Rivest, Shamir, Aldeman) et Diffie-Hellman pour l‟authentification ;

 L‟utilisation des algorithmes de hachage SHA-1 (Secure Hash Algorithm 1) ou MD5 (Message Digest Algorithm 5) qui garantissent l‟intégrité des données,

En plus des services génériques IPSec, les routeurs à services intégrés peuvent également utiliser une technique de tunnelisation particulière qui associe les protocoles IPSec et GRE (Generic Routing Encapsulation). L‟encapsulation GRE avec IPSec est une solution originale développée par Cisco qui permet la transmission de protocoles de routage dynamiques sur le VPN et de garantir ainsi une plus grande robustesse du réseau plus que les solutions IPSec seules.

 Contrôle NAC (Network Admissions Control)

Le contrôle NAC (Network Admission Control) est le fruit d‟une collaboration menée par Cisco Systems avec l‟ensemble de l‟industrie pour garantir que chaque point d‟extrémité respecte les politiques de sécurité avant de pouvoir obtenir un accès au réseau, et de réduire ainsi les dégâts que peuvent occasionner les virus et les vers. NAC contrôle l‟accès au réseau en interrogeant les postes de travail au moment de leur connexion au réseau pour vérifier qu‟ils sont en conformité avec la politique de sécurité de l‟entreprise.

Le contrôle NAC peut être activé sur les routeurs Cisco 881G-SEC-K9 with 3G Modem disposant des packages logiciels IOS Advanced Security, Advanced IP Services ou Advanced Enterprise Services.

Réalisé par CHOUTY Nabil A. Page 71

 Authentification, Autorisation et Administration (AAA)

Les services de sécurité de réseau AAA (Authentification, Autorisation, Administration) de la plate-forme logicielle Cisco IOS constituent le cadre principal de la définition du contrôle d‟accès sur un routeur ou un serveur d‟accès. AAA est conçu pour permettre aux administrateurs de configurer de manière dynamique le type d‟authentification et d‟autorisation qu‟ils souhaitent en fonction de la liaison (par utilisateur) ou du service à l‟aide de listes de méthodes applicables à des services ou des interfaces spécifiques.

 Les ACL

Les listes de contrôle d‟accès (ACL pour Access Control List) est un script de configuration de routeur pour l‟autorisation ou le refus de passage des paquets, conformément aux critères stipulés dans leur en-tête. Les listes de contrôle d‟accès sont les objets les plus couramment utilisés dans le logiciel Cisco IOS. Elles servent également à contrôler le trafic entrant et sortant d‟un réseau, à sélectionner le type de trafic à analyser, transmettre ou traiter selon d‟autres méthodes. Les types d‟ACL proposés sont les suivants :

 les ACL standards qui filtrent sur l‟adresse source ;

 les ACL étendues qui filtrent sur l‟adresse source, l‟adresse destination ainsi que les ports sources et destination ;

 les named ACL sont des ACL étendues qui reçoivent un nom au lieu d‟un numéro ;

 les ACL reflexives utilisent les informations de session pour laisser entrer les paquets de retour correspondant aux paquets envoyés ;

Réalisé par CHOUTY Nabil A. Page 72

 les ACL context-based access control utilisent les informations de session pour autoriser, à la demande et en fonction du sens d‟initialisation, le passage du trafic.

 Etc.

Les ACL sont nécessaires pour l‟implémentation de nombreux points de la politique de sécurité réseau. Les exigences les plus courantes dans lesquelles les ACL sont sollicitées sont :

 Communications vers les équipements du réseau ;

 Communications des équipements vers le réseau ;

 Communications entre réseaux.

5.2. Méthodologies utilisées

5.2.1. VPN (Virtual Private Network)

Les réseaux privés virtuels (en Anglais Virtual Private Network, en abrégé VPN) sont une solution économique et particulièrement souple pour remplacer ou élargir les réseaux privés dédiés utilisant des lignes louées, des liaisons BLR (Boucle Locale Radio), Frame Relay ou le mode de transmission asynchrone (ATM). Le réseau privé virtuel est vu comme une extension des réseaux locaux et préserve la sécurité logique que l‟on peut avoir à l‟intérieur d‟un réseau local. Il correspond en fait à une interconnexion de réseaux locaux. On parle de VPN lorsqu‟un organisme interconnecte ses sites via une infrastructure partagée avec d‟autres organismes.

Il existe deux types d‟infrastructure partagées : les „„publiques‟‟

comme internet et les infrastructures „„dédiées‟‟ comme les liaisons

Réalisé par CHOUTY Nabil A. Page 73 spécialisées (LS) et la boucle locale radio. Ces types d‟infrastructures sont mis en place les entreprises ou les opérateurs pour s‟offrir ou offrir des services de VPN. C‟est sur internet et les infrastructures IP que se sont développées les techniques dites de „„tunnel‟‟. Un VPN repose sur un protocole permettant aux données passant d‟une extrémité à une autre d‟être sécurisées par les algorithmes de cryptographie.

Le terme „„tunnel‟‟ est utilisé pour symboliser le fait qu‟entre l‟entrée et la sortie du VPN les données sont chiffrées et donc normalement incompréhensibles pour toute personne située entre les deux extrémités, comme si les données passaient dans un tunnel. De plus, créer un tunnel signifie encapsuler un protocole dans un autre protocole de même niveau du modèle OSI (IP dans IPSec par exemple). Dans le cas d‟un VPN établi entre deux machines, on appelle client VPN l‟élément permettant de chiffrer les données à l‟entrée et serveur VPN (ou plus généralement serveur d‟accès distant) l‟élément déchiffrant les données à la sortie. Ainsi, lorsqu‟un système extérieur à un réseau privé (client nomade, agence ou travailleur à domicile) souhaite se connecter à son réseau d‟entreprise :

 Les paquets (qui contiennent les données) sont chiffrés par le client VPN (selon l‟algorithme décidé par les interlocuteurs lors de l‟établissement du tunnel VPN) et éventuellement signés ;

 Ils sont transmis par le biais du réseau transporteur (internet ou liaison privée) ;

 Ils sont reçus par le serveur VPN qui les déchiffre et les traite si les vérifications requises sont correctes.

Réalisé par CHOUTY Nabil A. Page 74

Figure 5.1 : Principe de fonctionnement d’un VPN

5.2.2. IPSec (Internet Protocol Security)

IPSec est un protocole défini par l‟IETF (Internet Engineering Task Force) comme un cadre de standards ouverts pour assurer des communications privées et protégées sur les réseaux IP par l‟utilisation des services de cryptographies.

IPSec se différencie des standards de sécurité antérieurs en n‟étant pas limité à une seule méthode d‟authentification ou d‟algorithme et c‟est la raison pour laquelle il est considéré comme un cadre de standards ouverts. De plus, IPSec opère à la couche réseau (couche 3 du modèle OSI) contrairement aux standards antérieurs qui opéraient à la couche application (couche 7 du modèle OSI), ce qui le rend indépendant des applications, et veut dire que les utilisateurs n‟ont pas besoin de configurer chaque application aux standards IPSec. Réalisée dans le but de fonctionner avec le protocole IPv6, la suite de protocoles IPSec fut adaptée à l‟actuel protocole IP (IPv4). Son objectif est d‟authentifier et de chiffrer les données : le flux ne pourra être compréhensible que par le destinataire final (chiffrement) et la

Réalisé par CHOUTY Nabil A. Page 75 modification des données par des intermédiaires ne pourra être possible (intégrité). IPSec est souvent un composant de VPN, il est à l‟origine de son aspect sécurité (canal sécurisé ou tunneling).

5.2.2.1. Fonctionnement

Lors de l‟établissement d‟une connexion IPSec, plusieurs opérations sont effectuées :

 Echange des clés

Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion. Avant qu‟une transmission IPSec puisse être possible, IKE est utilisé pour authentifier les deux extrémités d‟un tunnel sécurisé en échangeant des clés partagées. Ce protocole permet deux types d‟authentifications : PSK (Pre-Shared Key) pour la génération de clefs de sessions RSA ou l‟utilisation de certificats. Ces deux méthodes se distinguent par le fait que l'utilisation d'un certificat signé par une tierce-partie appelée Autorité de Certification assure la non-répudiation. Tandis qu'avec l'utilisation de clefs RSA, une partie peut nier être à l'origine des messages envoyés.

IPSec utilise une association de sécurité (Security association) pour dicter comment les parties vont faire usage des AH et de l‟encapsulation de la charge utile d‟un paquet. Une association de sécurité (SA) est l‟établissement d‟information de sécurité partagée entre deux entités pour soutenir la communication protégée. Une SA peut être établie par une intervention manuelle ou par ISAKMP (Internet Security Association and Key Management Protocol). ISAKMP est défini dans la RFC (Request For Comment) 4306 comme un cadre pour établir, négocier, modifier et supprimer des associations de sécurité entre deux

Réalisé par CHOUTY Nabil A. Page 76 parties. En centralisant la gestion des associations de sécurité, ISAKMP réduit la quantité de fonctionnalité reproduite dans chaque protocole de sécurité.

 Transfert de données

Le trafic du réseau privé est véhiculé par un ou plusieurs canaux de données par lesquels, deux protocoles sont possibles :

 Le protocole n° 51, AH (Authentification Header) fournit l‟intégrité et l‟authentification. AH authentifie les paquets en les assignant, ce qui assure l‟intégrité de l‟information. Une signature unique est créée pour chaque paquet envoyé et empêche que l‟information soit modifiée.

 Le protocole n° 50, ESP (Encapsulating Security Payload) fournit également l‟intégrité mais aussi la confidentialité par l‟entremise de

 Le protocole n° 50, ESP (Encapsulating Security Payload) fournit également l‟intégrité mais aussi la confidentialité par l‟entremise de