Memoire Online > 

Informatique et Télécommunications > 
Sécurité informatique

Conception et déploiement d?une

Disponible en
architecture réseau sécurisée : cas mode multipage

de SUPEMIR
( Télécharger le fichier original )
par Angeline Kone
SUPEMIR - Ingénieur 2011
  

DEDICACE
Je dédis ce mémoire à la famille

NGOUMBOUTE.

REMERCIEMENTS
Le travail présenté dans ce mémoire couronne deux années de formation académique ; il a
été concrétisé avec le soutien de plusieurs personnes. Leur disponibilité, leurs critiques,
conseils et suggestions ont été d'un apport indéniable. Nous voulons leur adresser nos
sincères remerciements.

Allusion à

· M. ABGHOUR Noreddine, notre encadreur académique pour sa disponibilité, ses conseils

et ses encouragements,

· Tout le corps administratif de SUPEMIR,

· Nos enseignants,

· Ma famille pour tous ses multiples soutiens,

· Mon collègue de stage IDRISSOU-TRAORE Khaled pour son étroite collaboration lors de
la réalisation de ce projet,

· Mes ami(e)s qui ont été d'un soutien moral indéniable.

Que ceux-ci et ceux dont les noms n'y figurent pas, puissent trouver l'expression de leur
encouragement dans ce travail.
AVANT PROPOS
Le mémoire de fin d'étude est un prolongement naturel de l'immersion de l'étudiant dans le
monde professionnel, qui comme de coutume, permet à celui-ci de couronner sa dernière
année universitaire. Il met en exergue les qualités de réflexion de l'étudiant et souligne ses
aptitudes d'analyse globale à partir d'une expérience professionnelle.

La réalisation de ce document répond à l'obligation pour tout étudiant en dernière année du

cycle ingénieur à l'Ecole Supérieur de Multimédia Informatique et Réseaux en abrégé
SUPEMIR de présenter un projet de fin d'étude en vue la validation de l'année académique.

Ce rapport rend compte simultanément de la découverte du milieu professionnel et de la

conduite d'une mission attribuée à l'étudiant.

Le thème sur lequel s'appui ce document est « Conception et déploiement d'une

architecture réseau sécurisée : cas de SUPEMIR ». Le choix de ce thème se justifie par
l'absence de toute politique de sécurité dans le réseau informatique existant.

SOMMAIRE
DEDICACE I

REMERCIEMENTS II

AVANT PROPOS III

SOMMAIRE IV

CAHIER DE CHARGES VII

INTRODUCTION GENERALE 9

PREMIERE PARTIE : 10

CONCEPTION D'UNE ARCHITECTURE RESEAU SECURISEE (THEORIE). 10

CHAPITRE I : ARCHITECTURE PHYSIQUE 11

I. ETUDE DE L'EXISTANT 11

II. SUPPORTS PHYSIQUES 12

1. Câble coaxial 13

2. Câble paire torsadée 13

3. Fibre optique 15
III. EQUIPEMENTS D'INTERCONNEXION 16

1. Répéteur 17

2. Hub 18

3. Pont 18

4. Switch 18

5. Routeur 19

6. Passerelle 19

7. Firewall 19

CHAPITRE II : ARCHITECTURE LOGIQUE 20

I. ADRESSAGE IP 20

II. PLAN D'ADRESSAGE 21

III. ROUTAGE 22

CHAPITRE III : L'ADMINISTRATION DES EQUIPEMENTS ET LA SURVEILANCE,

LES SERVICES RESEAUX ET OUTILS DE SECURITE 23

I. LES SERVICES RESEAUX (DNS, DHCP, LDAP, MESSAGERIE, WEB,...) 23

1. Noms machines (DNS) 23

2. Attribution d'adresse (DHCP) 23

3. Messagerie 24

4. Annuaires 25

5. Service web 25

II. ADMINISTRATION DES EQUIPEMENTS 26

III. POLITIQUE DE SECURITE 27

1. Généralités 27

2. Vulnérabilité et les attaques 28

3. Solution à la sécurité 29
CHAPITRE VI : LES CONNEXIONS EXTERNES ET INTERNES 31

I. ACCES A INTERNET 31

II. ACCES DEPUIS L'INTERNET 31

CHAPITRE V : MISE EN PLACE D'UN RESEAU SOLIDE 33

I. CARACTERISTIQUES D'UN RESEAU FIABLE 33

II. ELABORATION D'UNE ARCHITECTURE (PHYSIQUE ET LOGIQUE) 34

DEUXIEME PARTIE : ETUDE DE CAS : IMPLEMENTATION

D'ARCHITECTURE RESEAU SECURISEE : CAS DE SUPEMIR 36

CHAPITRE I : ANALYSE ET CRITIQUE DU RESEAU EXISTANT 37

I. ETUDE DE L'EXISTANT 37

1. Présentation du réseau de SUPEMIR 37

2. Architecture du réseau existant 37

3. Analyse du parc informatique 38

4. Les équipements d'interconnexion 39

5. Adressage, connexion externe 40

II. CRITIQUE DE L'EXISTANT ET SPECIFICATION DES BESOINS 40

1. Critique de l'existant 40

2. Spécification des besoins 40

III. LES SOLUTIONS 42

CHAPITRE II : PHASE DE PLANIFICATION DU DEPLOIEMENT 43

I. PLANIFICATION DU DEPLOIEMENT 43

1. Matériels utilisés 43

2. Pré-requis 44

3. Architecture de mise en oeuvre 46

4. Architecture de déploiement 47
II. LES DIFFERENTS SERVICES ET L'ADRESSAGE 47

1. Services 47

2. Adressage 48

CHAPITRE III : PHASE DE MISE EN OEUVRE 49

I. SCENARIOS D'INSTALLATION ET DE CONFIGURATION 49

1. Installation et configuration des serveurs 49

II. SECURITE 98

CHAPITRE IV : EVALUATION FINANCIERE 100

I. PLANNING DE REALISATION DES TRAVAUX 100

II. COUT DE MISE EN OEUVRE 101

1. Fourniture matériels 101

2. Mise en place des serveurs 101

3. Coordination 102

4. Récapitulatif du coût de la prestation 102

CONCLUSION 103

WEBOGRAPHIE 104

GLOSSAIRE 105

LISTES DES FIGURES 106

LISTE DES TABLEAUX 108

LISTE DES SIGLES ET ABREVIATIONS 109

CAHIER DE CHARGES
· Présentation de l'architecture existante

· Description du projet :

Ø Concevoir et déployer une architecture réseau sécurisée à SUPEMIR.

· Spécifications des besoins :

- Besoins fonctionnels

Ø Déployer un serveur DHCP dans le but de centraliser la gestion de l'adressage et d'éviter

des conflits d'adresses IP,

Ø Déployer un serveur DNS qui permettra la résolution de nom dans le réseau local,

Ø Déployer un serveur Web pour une haute disponibilité en cas de rupture du lien avec le
réseau public,

Ø Déployer un serveur mandataire générique qui va relayer différentes requêtes et entretenir

un cache des réponses. Il permettra aussi de sécurisé le réseau local,

Ø Déployer un firewall pour protéger le réseau interne,

Ø Déployer un serveur de mail pour la gestion de la messagerie local,

Ø Déployer un serveur de fichiers à fin de mieux gérer les droits d'accès aux informations de
l'école.

- Besoin non fonctionnels

Ø La simplicité d'utilisation des services implémentés,

Ø La centralisation de l'administration,

Ø La sécurité des accès (local, mot de passe : longueur, caractères spéciaux, politique de
réutilisation), sécurité wifi,

Ø La performance du réseau (temps de réponse),

Ø La disponibilité (heures de connexion),

Ø La fiabilité (moyenne de temps de bon fonctionnement, Le temps moyen de

Rétablissement),

Ø La gestion des sauvegardes (fichiers, mails),

Ø La documentation du réseau.

INTRODUCTION GENERALE
Toute entreprise existante d'une certaine taille dispose en général d'un réseau informatique ;
même celles qui n'en sont qu'à une idée de projet viable y pense très souvent à une éventuelle
mise en oeuvre d'un réseau informatique au sein de leur future structure. Vu l'importance des
informations qui sont souvent véhiculées dans les réseaux, ceux-ci requièrent un certain
degré de sécurité. Toutefois le constat est que ceux qui en font usage de ces réseaux ignorent
parfois les risques auxquelles ils sont exposés lorsqu'une mesure de sécurité n'est mise en
place. Les réseaux les plus sécurisés disposent très souvent d'un outillage tant matériel que
logiciel à fin de s'assurer une sécurité optimale. Pour certaines entreprises, vu les moyens
dont ils disposent, ils ne peuvent se prémunir d'un tel arsenal. C'est à la recherche de
solutions pouvant pallier aux problèmes de disponibilité et de sécurité au sein du réseau de
SUPEMIR que le thème « Conception et déploiement d'une architecture réseaux
sécurisée : cas de SUPEMIR » qui nous a été confié.

Dans notre démarche, il sera donc question pour nous de présenter dans un premier temps
une étude théorique de conception d'une architecture réseau sécirisé, enfin nous présenterons
un cas pratique de l'implémentation d'une architecture réseau sécurisée.

PREMIERE PARTIE :
CONCEPTION D'UNE ARCHITECTURE
RESEAU SECURISEE (THEORIE).
CHAPITRE I : ARCHITECTURE PHYSIQUE
Rappelons qu'un réseau informatique est un maillage de micro-ordinateurs interconnectés
dans le but du partage des informations et du matériel redondant. Quelque soient le type de
systèmes informatiques utilisés au sein d'une entreprise, leur interconnexion pour constituer
un réseau est aujourd'hui obligatoire. La constitution de celui-ci passe par une conception qui
consiste à définir :

Ø L'architecture physique si le réseau est inexistant, ou faire évoluer l'architecture le cas

contraire. Il est abordé ici la cartographie des sites, des bâtiments, des salles devant être
connectés ; de même que les supports physiques et les équipements actifs.

Ø L'architecture logique autrement dit la topologie logique, elle fait référence à toutes les
couches du réseau, les protocoles, le plan d'adressage, le routage.

Ø Utiliser les services des opérateurs ou des sous-traitants.

Ø La politique d'administration et de surveillance des équipements

Ø Les services réseaux

Ø Les outils de sécurité

Ø La connexion avec l'extérieur : Internet

I. ETUDE DE L'EXISTANT
Une bonne compréhension de l'environnement informatique aide à déterminer la portée du
projet d'implémentation d'une solution informatique. Il est essentiel de disposer
d'informations précises sur l'infrastructure réseau physique et les problèmes qui ont une
incidence sur le fonctionnement du réseau. En effet, ces informations affectent une grande
partie des décisions que nous allons prendre dans le choix de la solution et de son
déploiement. Cette étude consiste à mettre à découvert, de façon aussi claire que possible,
l'analyse qualitative et quantitative du fonctionnement actuel du réseau informatique. Une
telle étude consiste dans un premier temps à recueillir les informations ; elle est réalisée à
partir d'entretiens ou de questionnaires, tableaux de bords, catalogues, documentation
existante.

Par la suite on peut passer à une analyse, classer et donner une vue synthétique de l'ensemble
des informations collectés sur le parc informatique (matériels et logiciels), la dimension du
réseau (LAN : étages, bâtiments, salles, sites géographiques, diamètre du réseau,
interconnexion, WAN, MAN). Enfin, on peut esquisser une modélisation à grande échelle
des données ainsi obtenues.

L'état des lieux étant effectué, elle peut aboutir à une critique de l'existant qui analyse les
ponts positifs et négatifs de l'environnement informatique déjà en place et dégager les
améliorations à apporter : les tâches rendues et les tâches non rendues, les services rendus et
les services non rendus, etc. cette critique sera ainsi un tremplin pour l'analyse des besoins.
Cette analyse est en fait la nécessité ou le désir éprouvé(e) par un utilisateur. Ce besoin peut
être explicite ou implicite, potentiel, avoué ou inavoué. Par conséquent, l'étude des besoins
consiste à dégager les critères de migration vers la nouvelle solution ou de l'implémentation
de celle-ci, à évaluer les divers avantages attendus (retour sur investissement). Elle est à
réaliser sous forme de questionnaire. Cette étude donne une vue globale des besoins
fonctionnels (les besoins qui expriment des actions qui doivent être menées sur
l'infrastructure à définir en réponse à des demandes) et techniques mais aussi des besoins des
utilisateurs.

Ces études sont d'un atout important dans le choix des matériels qui constitueront la future
infrastructure.

II. SUPPORTS PHYSIQUES

Les supports physiques sont des moyens de transmissions utilisés entre les équipements d'un
réseau. Le choix de ces derniers pour la conception d'une architecture est étroitement lié à la
dimension du réseau (LAN, MAN, WAN).

Une analyse sur l'étendue du réseau doit être faite à fin de savoir s'il est restreint à une salle,
un étage, un bâtiment ou s'il s'étend ou s'il occupe un site géographique (domaine privée),
plusieurs bâtiments (site-campus) ; dans ce dernier cas une interconnexion des LAN pourra
s'imposer tout en gardant la présence d'esprit que le LAN s'étend sur un diamètre inférieur à
2 Km. Dans le cas d'un MAN qui peut s'étendre à la dimension d'une ville tout en gardant un
diamètre inférieur à 10Km, les services d'opérateurs locaux s'avèrent utiles (domaine public).
Le WAN qui est un réseau de très longues distances nécessitera les services d'opérateurs
(inter)nationaux.

En théorie, le choix des liens physiques se base sur les propriétés physiques du support par
contre, dans le pratique le choix est fait en référence aux paramètres tels que :

Ø Le coût

· Câble (média)

· Connecteurs (connectique)

· Emetteurs et récepteurs

· Installation

Ø L'immunité aux perturbations (foudre, électromagnétismes)

Ø Longueur maximale possible entre deux équipements actifs

· Coût équipement

· Besoin alimentation électrique,...

Ø Débits possibles (surtout débit maximum) : bps

1. Câble coaxial

Le câble coaxial est largement utilisé comme moyen de transmission. Ce type de câble est
constitué de deux conducteurs concentriques : un conducteur central, le coeur, entouré d'un
matériau isolant de forme cylindrique, enveloppé le plus souvent d'une tresse conductrice en
cuivre. L'ensemble est enrobé d'une gaine isolante en matière plastique. Il est utilisé pour les
transmissions numériques en bande de base sur quelques kilomètres avec une impédance
caractéristique de 50 Ohm. On en fait également usage de ce support pour les transmissions
analogiques en mode large bande avec une impédance caractéristique de 75 Ohm. Deux
types de ce support se distinguent:

· gros coaxial : 10 base 5 ; il peut faire cas d'une épine dorsale de 100 stations maximum par
segment, 5 segments maximum, 500 m maximum et 2,5 m minimum.

· coaxial fin : 10 base2 ; 230 stations maximum par segment, 5 segments maximum, 185 m
maximum et 50 cm minimum.

Si vous câblez en coaxial fin, il faut vérifier que les cartes possèdent un connecteur BNC ou
prise vampire. Il faut placer un bouchon à chaque extrémité du réseau (donc deux bouchons)
ils sont indispensables pour des raisons d'impédance.

Le câble coaxial offre de bons débits (de l'ordre des Gbits/s), une bonne immunité par contre
les équipements utilisés sont onéreux et leur mises en place difficile.

2. Câble paire torsadée

Celui-ci est un ancien support de transmission utilisé depuis très longtemps pour le
téléphone ; il est encore largement utilisé aujourd'hui. Ce support est composée de deux
conducteurs en cuivre, isolés l'un de l'autre et enroulés de façon hélicoïdale autour de l'axe
de symétrie longitudinale. Cet enroulement autour de l'axe de symétrie permet de réduire les
conséquences des inductions électromagnétiques parasites provenant de l'environnement
dans lequel la paire torsadée remplit sa fonction de transmission. Couramment ; il est utilisé
pour desservir les usagers du service téléphonique abonnées du service public ou usagers des
réseaux privés. Les signaux transmis par l'intermédiaire des paires torsadées peuvent
parcourir plusieurs dizaines de kilomètres sans amplification ou régénération. Quand
plusieurs paires torsadées sont rassemblées dans un même câble, les signaux électriques
qu'elles transportent interfèrent plus ou moins les uns sur les autres par rayonnement :
phénomène de diaphonie. Elle est souvent blindée à fin de limiter les interférences, de ce fait
on distingue cinq types de paires torsadées:

Ø Paire torsadée non blindée (UTP en anglais): dénomination officielle (U/UTP); elle n'est
pas entourée d'un blindage protecteur. Ce type de câble est souvent utilisé pour le téléphone
et les réseaux informatiques domestiques.

Ø Paire torsadée blindée (STP en anglais): dénomination officielle U/FTP. Chaque paire

torsadée est entourée d'une couche conductrice de blindage, ce qui permet une meilleure
protection contre les interférences. Elle est fréquemment utilisée dans les réseaux token ring.

Ø Paire torsadée écrantée (FTP en anglais) officiellement connu sous la dénomination

F/UTP. L'ensemble des paires torsadées ont un blindage commun assuré par une feuille
d'aluminium, elle est placée entre la gaine extérieure et les quatre paires torsadées. On en fait
usage pour le téléphone et les réseaux informatiques.

Ø Paire torsadée écrantée et blindée (SFTP en anglais), nouvelle dénomination S/FTP. Ce

câble est doté d'un double écran commun à toutes les paires.

Ø Paire torsadée super blindée (SSTP en anglais), nouvellement connu sous la dénomination
S/FTP. C'est un câble STP doté en plus d'un écran commun entre la gaine extérieur et les
quatre paires.

La bande passante d'un câble à paire torsadée dépend essentiellement de la qualité de ses
composants, de la nature des isolants et de la longueur du câble. L'UTP est normalisé en
diverses catégories qui sont ratifiées par les autorités internationales de normalisation
ANSI/TIA/EIA. Ces catégories sont :

Ø Catégorie 1 : câblage abonné, destinée aux communications téléphoniques ; elle n'est plus
d'actualité.

Ø Catégorie 2 : câblage abonné, offrant une transmission des données à 4 Mbit/s avec une
bande passante de 2Mhz ; utilisé pour les réseaux token ring.

Ø Catégorie 3 : offre une bande passante de 16Mhz, elle est reconnue sous la norme
ANSI/TIA/EIA-568B. utilisée pour la téléphonie analogique que numérique et aussi pour les
réseaux Fast Ethernet (100Mbps), il est aujourd'hui à l'abandon au bénéfice de la catégorie
5e.
Ø Catégorie 4 : permettant une bande passante de 20 Mhz, elle fut utilisée dans les réseaux
token ring à 16 Mbps.

Ø Catégorie 5 : permettant une bande passante de 100Mhz et un débit allant jusqu'à 100
Mbps.

Ø Catégorie 5e : elle peut permettre un débit allant jusqu'à 1000 Mbps avec une bande
passante de 100Mhz, apparue dans la norme TIA/EIA-568B.

Ø Catégorie 6 : permettant une bande passante de 250 Mhz et plus.

Ø Catégorie 6a : une extension de la catégorie 6 avec une bande passante de 500Mhz,
permettent le fonctionnement du 10 GBASE-T sur 90mètres.

Ø Catégorie 7 : elle offre une bande passante de 600MHz.

Ø Catégorie 7a : elle offre une bande passante de 1Ghz, avec un débit allant jusqu'à 10 Gbps.

L'utilisation de la paire torsadée nécessite des connecteurs RJ45. Son câblage universel
(informatique et téléphone), son faible coût et sa large plage d'utilisation lui permet d'être le
support physique le plus utilisé.

3. Fibre optique

L'intégration de la fibre optique dans le système de câblage est liée au fait que celle-ci résout
les problèmes d'environnement grâce à son immunité aux perturbations électromagnétiques
ainsi qu'à l'absence d'émission radioélectrique vers l'environnement extérieur. De plus,
lorsque les possibilités de liaison en cuivre sont dépassées, elle permet de s'affranchir des
distances dans les limites connues. De par ses caractéristiques, l'introduction de la fibre
optique a été intéressante pour des applications telles l'éloignement des points d'utilisation,
l'interconnexion des sites multibâtiments, la confidentialité pour des applications sensibles.
La fibre optique est composée d'un cylindre de verre mince : le noyau, qui est entourée d'une
couche concentrique de verre : la gaine optique. Deux types de fibre optique :

Ø La fibre multimode : composée d'un coeur de diamètre variant entre 50 et 62.5 microns.
Principalement utilisée dans les réseaux locaux, elle ne s'étend pas sur plus de deux
kilomètres. Sa fenêtre d'émission est centrée sur 850, 1300 nanomètres. Elle supporte de très
larges bandes passantes, offrant un débit pouvant aller jusqu'à 2.4Gbps ; aussi elle peut
connecter plus de station que ne le permettent les autres câbles. L'inconvénient est qu'il est
onéreux et difficile à installer.

Ø La fibre monomode : elle a un coeur extrêmement fin de diamètre 9 microns. La

transmission des données y est assurée par des lasers optiques émettant des longueurs d'onde
lumineuses de 1300 à 1550 nanomètres et par des amplificateurs optiques situés à intervalles
régulier. Les fibres monomodes les plus récentes sont compatibles avec la technologie de
multiplexage dense en longueur d'ondes DWDM. C'est celle que l'on utilise sur les liaisons à
longue portée car elles peuvent soutenir les hauts débits sur des distances de 600 à 2000 km
par contre son câblage est onéreux et difficile à mettre en place.
La circulation des données informatiques s'effectue essentiellement par le biais de liaisons
filaires. Cependant, dans certains cas la nécessité d'un autre support de communication se
fait sentir. Ainsi, on peut également utiliser une :

Ø Liaison radio LAN (R-LAN - WIFI) qui utilise une bande de fréquence de 2.4 Ghz. Ce
lien est utilisé dans des architectures en étoile où les stations sont équipées d'une carte
PCMCIA et le concentrateur d'une antenne (borne sans fil), est connecté au réseau câblé. Ces
liaisons sont régies par la norme IEEE 802.11 et la distance maximale station-borne se situe
entre 50 et 200m. En fonction des spécifications, les débits maximales sont de l'ordre de : 11
Mbits/s, partagé (802.11b) ; 54 Mbits/s (802.11a). L'usage de ce type de support est fait à
l'intérieur de bâtiment pour assurer une liaison provisoire (portables, salle de conférence),
pour des locaux anciens où il est impossible d'effectuer un câblage). Les problèmes liés à ce
support sont le débit limité qu'il offre et la sécurité qui n'est pas fiable (contrôle de l'espace
de diffusion, ...). Lorsque ce support est déployé pour les MAN, on parle de boucle local
radio.

Ø Liaison laser : il permet d'implémenter des liaisons point à point (interconnexion des
réseaux), la distance entre les sites peut varier de 1 à 2 km sans obstacles ; les débits pouvant
aller de 2 à 10 Mbits/s. Elle n'est pas soumise à des conditions météorologiques par contre le
réglage de la direction des faisceaux reste problématique.

La liaison laser peut être mise place essentiellement dans le cas d'un environnement ouvert,
sans obstacle. Tandis que la liaison radio s'applique à toute sorte de configuration.

III. EQUIPEMENTS D'INTERCONNEXION

L'interconnexion de réseaux peut être locale: les réseaux sont sur le même site
géographique ; dans ce cas, un équipement standard (répéteur, routeur etc ...) suffit à réaliser
physiquement la liaison. Elle peut aussi concerner des réseaux distants. Il est alors nécessaire
de relier ces réseaux par une liaison téléphonique (modems, etc..). Il demeure important de
savoir l'utilité de ses équipements dans un réseau. Ils permettent de :

Ø Amplifier les signaux (électriques, optiques) et d'augmenter la distance maximale entre

deux stations.

Ø Connecter des réseaux différents

· Supports : coaxial, paire torsadée, fibre optique, radio, Hertzien,...

· Protocoles couche liaison : Ethernet, FDDI, ATM

Ø Limiter la diffusion (Ethernet) :

· Diminuer la charge globale du réseau : limitation des broadcast-multicast inutiles.

· Diminuer la charge entre stations : limitation de la dépendance /charge des voisins :

garantir une bande passante disponible entre deux station (une qualité de service).
Ø Limiter les problèmes de sécurité : diffusion, écoute possible (pas de confidentialité).

Ø Restreindre le périmètre de connectivité désirée :

· Extérieur - intérieur : protection contre les attaques (sécurité)

· Intérieur - extérieur : droits de connexion limités.

Ø Segmenter le réseau :

· Un sous-réseau / groupe d'utilisateurs : entreprises, directions, services,...).

· Séparer l'administration de chaque réseau

· Créer des réseaux virtuels : s'affranchir de la contrainte géographique.

Ø Pouvoir choisir des chemins différents dans le transport des données entre 2 points :
autoriser ou interdire d'emprunter certains réseaux ou liaisons à certains trafics.

La difficulté avec des équipements d'interconnexion réside dans le fait qu'ils sont conçus
pour répondre à des besoins qui évoluent au cours du temps, ce qui rend leur durée de vie
courte. Par contre ils sont retrouvés rapidement à moindre coût, chaque éléments offrant
certaines fonctions, les prioritaires du marché de l'époque.

Le choix d'un équipement d'interconnexion demeure un compromis entre les fonctions

désirées et le coût.

1. Répéteur

Un répéteur est un équipement qui permet d'étendre la portée du signal sur le support de
transmission en générant un nouveau signal à partir du signal reçu (il augmente la puissance
du signal reçu). Le but de cet élément est d'augmenter la taille du réseau ; il fonctionne au
niveau de la couche 1 du modèle OSI. Il est transparent pour les stations de travail car il ne
possède pas d'adresse Ethernet. Il offre un débit de 10 Mbits/s ; l'avantage de cet équipement
est qu'il ne nécessite pas (ou très peu) d'administration. Par contre il ne diminue pas la charge
du réseau, ne filtre pas les collisions, n'augmente pas la bande passante et n'offre pas de
possibilité de réseau virtuel.

2. Hub

Le hub est un répéteur qui transmet le signal sur plus d'un port d'entrée-sortie. Lorsqu'il
reçoit un signal sur un port, il le retransmet sur tous les autres ports. Il présente les mêmes
inconvénients que le répéteur. Il assure en fonction annexe une auto-négociation du débit
entre 10 et 100 Mbits/s, il est utilisé en extrémité du réseau et doit être couplé en un nombre
maximum de 4 entre deux stations de travail.

3. Pont

Il est aussi appelé répéteur filtrant ou bridge en anglais. Le pont peut servir à la segmentation
du réseau LAN pour réduire la congestion au sein de chaque segment. Les équipements de
chaque segment se partagent la totalité de la bande passante disponible. Les ponts sont des
équipements de couche 2 qui transmettent des trames de données en fonction de l'adresse
MAC. Les ponts lisent l'adresse MAC de l'émetteur des paquets de données reçus sur les
ports entrants pour découvrir les équipements de chaque segment. Les adresses MAC sont
ensuite utilisées pour créer une table de commutation qui permet au point de bloquer les
paquets qu'il n'est pas nécessaire de transmettre à partir du segment local.

4. Switch

Aussi appelé commutateur, en général, les stations de travail d'un réseau Ethernet sont
connectés directement à lui. Un commutateur relie les hôtes qui sont connectés à un port en
lisant l'adresse MAC comprise dans les trames. Intervenant au niveau de la couche 2, il
ouvre un circuit virtuel unique entre les noeuds d'origine et de destination, ce qui limite la
communication à ces deux ports sans affecter le trafic des autres ports. En plus de ces
fonctions, il offre des avantages suivants ;

Ø Réduction du nombre de collision,

Ø Multiples communication simultanément,

Ø Amélioration de la réponse du réseau (augmentation la bande passante disponible),

Ø Hausse de la productivité de l'utilisateur,

Il convient de savoir les critères de choix techniques (performances) lors de l'achat de celui
ci :

· Bus interne avec un débit max de 10 Gb/s

· Vitesse de commutation nombre de trame/s

· Bande passante annoncée : 24 Gb/s

· Nombre d'adresse MAC mémorisable / interface.

5. Routeur

Aussi appelé commutateur de niveau 3 car il y effectue le routage et l'adressage, il permet

d'interconnecter deux ou plusieurs réseaux. Possédant les mêmes composants de base qu'un
ordinateur, le routeur sélectionne le chemin approprié (au travers de la table de routage) pour
diriger les messages vers leurs destinations. Cet équipement est qualifié de fiable car il
permet de choisir une autre route en cas de défaillance d'un lien ou d'un routeur sur le trajet
qu'empreinte un paquet.

6. Passerelle

La passerelle relie des réseaux hétérogènes, elle dispose des fonctions d'adaptation et de
conversion de protocoles à travers plusieurs couches de communication jusqu'à la couche
application.

On distingue les passerelles de transport qui mettent en relation les flux de données d'un
protocole de couche transport ; les passerelles d'application qui quant à elles réalisent
l'interconnexion entre applications de couches supérieures. Malgré le fait que la passerelle
est incontournable dans les grandes organisations, elle nécessite souvent une gestion
importante.

7. Firewall

Très souvent pour sa mise en place, le firewall nécessite deux composants essentiels : deux
routeurs qui filtrent les paquets ou datagrammes et une passerelle d'application qui renforce
la sécurité. En général le filtrage de paquet est géré dans des tables configurées par
l'administrateur ; ces tables contiennent des listes des sources/destinations qui sont
verrouillées et les règles de gestion des paquets arrivant de et allant vers d'autres machines.
Très souvent des machines Unix peuvent jouer le rôle de routeur. La passerelle d'application
quant à elle intervient pour surveiller chaque message entrant /sortant ; transmettre/rejeter
suivant le contenu des champs de l'en-tête, de la taille du message ou de son contenu.

On trouve aussi sur le marché des équipements dédiés à la fonction de garde-barrière.

CHAPITRE II : ARCHITECTURE LOGIQUE

Afin de maintenir dans des limites raisonnables la localisation de tout problème dans un
réseau dont l'ambition est initialement de connecter quelques ordinateurs, vous pouvez opter
pour une architecture de réseaux routés. Ceci dans l'optique de limiter des collisions, des
diffusions ou tout autre type de problèmes des réseaux partagés et surpeuplés. L'architecture
logique nous permettra de trouver une solution après une analyse en termes de sous-réseaux,
d'adressage IP en fonction de ces sous-réseaux, de plan d'adressage, du routage à
implémenter dans le réseau.

I. ADRESSAGE IP

Une adresse IP est un numéro d'identification qui est attribué à chaque branchement
d'appareil à un réseau informatique utilisant l'Internet Protocol. L'adresse IP est attribuée à
chaque interface avec le réseau de tout matériel informatique (routeur, ordinateur, modem
ADSL, imprimante réseau, etc...) lorsqu'il fait partie du réseau informatique utilisant
l'Internet Protocol comme protocole de communication entre ses noeuds. Cette adresse est
assignée individuellement par l'administrateur du réseau local dans le sous-réseau
correspondant, ou automatiquement via le protocole DHCP. Ainsi l'adressage peut être
statique ou dynamique. Si l'ordinateur dispose de plusieurs interfaces, chacune dispose d'une
adresse IP. Une interface peut également disposer de plusieurs adresses IP. Une adresse est
constituée de deux parties dont la partie réseau qui identifie le réseau auquel est connecté un
équipement et la partie hôte qui, quant à elle, identifie l'équipement dans le réseau. La partie
réseau est déterminée à partir du masque de sous-réseau.

Les adresses IP sont organisées en quatre classes (A, B, C, D) offrant chacune un certain
nombre de sous-réseaux et de machines pouvant être adressable dans chaque sous-réseau.

En fonction de la taille du réseau vous pouvez être amené à créer des sous réseaux soit en
implémentant les VLAN (si sous disposez des switchs et/ou des routeurs manageables), soit
en utilisant les routeurs adaptés qui réduisent les domaines de diffusion et connectent à
chacun de leur port un sous-réseau précis. Ceci est mise en place dans l'optique d'augmenter
les performances du réseau du fait d'une réduction du nombre de ressource utilisant la bande
passante au sein de chaque LAN.

II. PLAN D'ADRESSAGE

Lorsque vous devez créer un réseau d'entreprise, ce réseau restreint à un site ou

interconnectant différents sites de l'organisation, il est primordial de réfléchir à un plan
d'adressage. Cette opération a pour but de définir pour chaque réseau physique (LAN et
WAN) une adresse IP. Chaque ordinateur, chaque composant actif doit avoir un moyen
d'être identifié sur le réseau. Pour cela, une adresse IP lui est attribuée. Il y a deux types
d'adressage IP ; « privée » qui permet la communication inter-entreprise et « publique »
utilisée pour la communication vers, ou depuis Internet. Un organisme spécialisé fournit les
adresses IP publiques. C'est donc un plan d'adressage IP privée que vous êtes sensés définir.

Pour définir la ou les classes d'adresses que vous allez choisir, vous tiendrez compte du
nombre de réseau physique de votre réseau d'entreprise et du nombre de machines sur
chacun de ces réseaux. Vous avez alors différentes possibilités :

Ø Votre choix des adresses réseaux IP est totalement libre (1.0.0.0, 2.0.0.0, 3.0.0.0, etc.).
Vous définissez ainsi un plan d'adressage privé, mais vous ne vous assurez pas de l'unicité
mondiale des adresses. Autrement dit, si vous envisagez un jour de connecter votre réseau à
Internet, il y a de fortes chances que ces adresses soient déjà attribuées à d'autres sociétés.
Vous aurez alors de sérieuses difficultés de routage vers Internet et vous serez obligé de
rectifier le tir de deux façons possibles :

· sur votre point de sortie vers Internet vous placez un équipement (routeur ou FireWall) qui
va modifier "à la volée" vos adresses de machines pour les rendre compatibles avec le plan
d'adressage Internet. Cette fonction de translation d'adresse est appelée NAT.

· vous redéfinissez complètement votre plan d'adressage.

Ø Vous prévoyez votre interconnexion possible avec Internet et, à ce titre, souhaitez être
compatible avec son plan d'adressage. Vous devez définir un plan d'adressage conforme au
plan d'adressage public. Pour cela, vous demandez à des organismes spécifiques (NIC,
AFNIC ou votre IAP) des adresses IP publiques qui vous seront réservées. Avec ces adresses
réseaux vous définirez votre plan d'adressage interne. La difficulté de cette solution est qu'il
y a une très grosse pénurie d'adresses IP publiques. C'est d'ailleurs une des raisons qui a
conduit à redéfinir une nouvelle version du protocole IP, l'IP V6, qui propose un format
d'adressage sur 16 octets. Vous aurez donc très peu d'adresses, et si votre réseau est
important vous risquez d'être coincé.

Ø La dernière solution est d'utiliser des adresses dites non routables (adresses privée). Ce
sont des adresses réseaux spécifiques qui ne sont et ne seront jamais utilisées sur Internet.
Vous êtes ainsi sûr de ne pas avoir de conflit d'adressage. Ces adresses sont définies par une
RFC spécifique, la RFC 1918.

Un plan d'adressage doit donner la possibilité d'ajouter un nouveau site, un nouveau service,
ce qui laisse transparaître une évolutivité du réseau.

III. ROUTAGE

Les réseaux informatiques ont ceci d'intéressant: Ils couvrent des besoins aussi simples que
la connexion entre deux hôtes sur un réseau local que l'interconnexion de systèmes à l'échelle
planétaire (Internet). Internet et les réseaux IP sont composés d'un ensemble de réseaux reliés
via des machines particulières que l'on appelle routeurs. Pour la communication au sein de
ces réseaux, le protocole IP est capable de choisir un chemin (également appelé une route)
suivant lequel les paquets de données seront relayés de proche en proche jusqu'au
destinataire. C'est ainsi que le routage IP fonctionne de façon totalement décentralisée au
niveau des machines qui constituent le réseau. Aucune n'a une vision globale de la route que
prendront les paquets de données.

Le routage en lui-même est un processus par lequel des données transmises par un ordinateur
d'un réseau sont acheminées vers leur destinataire qui est une machine d'un autre réseau. De
ce fait sur un réseau, le rôle des routeurs se limite à analyser les paquets qu'ils reçoivent, puis
à les acheminer à destination ou à informer l'expéditeur que le destinataire est inconnu et
inaccessible. Il achemine ou relaie des paquets en fonction d'itinéraires définis dans sa table
de routage. Une table de routage quant à elle, est une base de données qui établit une
corrélation entre les adresses IP d'un segment de réseau et l'adresse IP des interfaces du
routeur. Vous pouvez opter soit pour un routage statique soit pour un routage dynamique en
fonction de vos besoins. Le routage statique consiste à configurer manuellement chaque table
de routage ce qui implique une maintenance et une mise à jour manuelle. En routage
statique, les routeurs ne se partagent pas de données. Ce routage est généralement utilisé au
niveau des stations, dans certains routeurs d'extrémité. Lorsque la taille du réseau évolue, la
maintenance et les paramétrages deviennent fastidieux, de ce fait ce routage est adapté pour
les réseaux de petite taille. Lorsqu'un réseau atteint une taille assez importante, il est très
lourd de devoir ajouter les entrées dans les tables de routage à la main. La solution est le
routage dynamique. Cela permet de mettre à jour les entrées dans les différentes tables de
routage de façon dynamique. Les deux protocoles de routage IP les plus utilisés pour les
intranets sont le protocole RIP et le protocole OSPF.

CHAPITRE III : L'ADMINISTRATION DES

EQUIPEMENTS ET LA SURVEILANCE,
LES SERVICES RESEAUX ET
OUTILS DE SECURITE
I. LES SERVICES RESEAUX (DNS, DHCP, LDAP, MESSAGERIE,
WEB,...)

Un service réseau est une fonctionnalité assurée par un ordinateur consistant en l'aptitude à la
fourniture d'informations à d'autres ordinateurs via une connexion réseau normalisée. Les
services réseaux se basent sur des protocoles pour fournir des fonctionnalités qui sont
accessibles par l'utilisateur au niveau de la couche 7 du modèle OSI (couche application).
Comme services réseaux, on peut implémenter le service de résolution de noms (machines :
DNS), l'attribution d'adresse (DHCP), la messagerie, l'annuaire, le web, ...

1. Noms machines (DNS)

Le service DNS, né de la volonté de faciliter et de standardiser le processus d'identification

des ressources connectées aux réseaux informatiques, il associe un nom à une adresse IP à
chaque machine connectée au réseau. Ce principe de fonctionnement suscite une unicité des
noms et le respect d'un nommage hiérarchique avec des domaines existants (.com, .edu,
.org,...).

Pour déployer un serveur DNS dans un réseau, il faut définir l'adresse du réseau ; pour des
organisations désirant donner un accès public à leur domaine, il faut acheter un nom de
domaine chez un prestataire de services tout en assurant son unicité sur internet. Dans un
réseau subdivisé en plusieurs sous réseaux, il doit y avoir un serveur DNS primaire par zone
(sous réseau) et plusieurs serveurs secondaires sur lesquels on effectue des copies régulières
des informations primaires pour des mesures de sécurité. Dans ce cas, une configuration des
sous-domaines s'imposent.

2. Attribution d'adresse (DHCP)

Un serveur DHCP a pour rôle de distribuer des adresses IP à des clients pour une durée
déterminée. Au lieu d'affecter manuellement à chaque machine une adresse statique, ainsi
que tous les paramètres tels que serveur de noms, passerelle par défaut, nom du réseau, un
serveur DHCP alloue à chaque client un bail d'accès au réseau, pour une durée déterminée
(durée du bail). Il passe en paramètres au client toutes les informations dont il a besoin. Tous
les noeuds critiques du réseau (serveur de nom primaire et secondaire, passerelle par défaut)
ont une adresse IP statique, en effet si celle-ci variait, ce processus ne serait réalisable.

L'affectation et la mise à jour d'informations relatives aux adresses IP fixes peuvent

représenter une lourde tâche. Afin de faciliter ce travail et de simplifier la distribution des
adresses IP, le service DHCP via le protocole DHCP offre une configuration dynamique des
adresses IP et des informations associées ; il peut également figer l'adresse de certains
ordinateurs sur le réseau.

3. Messagerie

Le courrier électronique est aujourd'hui l'une des applications les plus populaires du réseau.
Utilisé pour des applications très variées : personnelles, professionnelles, associatives,
politiques, etc. En fait, pour fonctionner, la messagerie électronique s'appuie principalement
sur des serveurs de messagerie, des protocoles de transport ainsi que sur des protocoles de
contenu. Le serveur de messagerie est un logiciel de courrier électronique ayant pour
vocation de transférer les messages électroniques d'un serveur à un autre.

Pour implémenter un service de messagerie, il est nécessaire de faire le choix de la forme des
adresses, de répartir les serveurs (entrant/sortant), de définir les méthodes d'accès aux boites
aux lettres et le format des messages :

Ø Choix de la forme d'adresse : il s'agit de définir quelle stratégie pour la forme des adresses
email. Il est possible d'opter pour un forme canonique (ex : prénom.nom@...), soit faire
apparaître le sous-domaine ou non (ex : nom.prenom@labs.supemir.ma ou
nom.prenom@supemir.ma), soit utiliser des adresses génériques (ex : info@..., helpdesk@).

Ø Répartition des serveurs : vu le double service (relais de message et hébergement de boîtes

aux lettres) offert, le serveur entrant (serveur qui rapatrie les mails en local) peut assurer ces
deux services ou uniquement le service de relayage de messages dans ce dernier cas les
boîtes aux lettres sont sur des serveurs internes non accessibles sur internet. Le serveur
sortant quant à lui passe de préférence par un seul serveur relais.

Ø Méthodes d'accès aux boîtes aux lettres : il est possible d'utiliser soit une connexion
interactive sur le serveur (commande mail unix,...), soit POP (l'utilisateur accède au serveur
via un client de messagerie tel qu'un navigateur et la boîte aux lettres est transférée sur la
station du client), soit IMAP (l'accès client est pareil à celui de POP mais la boîte aux lettres
reste sur la station du client).

Ø Format de messages : MIME, S/MIME (MIME sécurisé).

4. Annuaires

Le service d'annuaire, sur un réseau TCP/IP utilise le protocole LDAP. Un annuaire

électronique est une base de données spécialisée, dont la fonction première est de retourner
un ou plusieurs attributs d'un objet grâce à de recherche multi-critères. Contrairement aux
SGBD, un annuaire est très performant en lecture mais l'est beaucoup moins en écriture. Il
peut servir d'entrepôt pour centraliser des informations et les rendre disponibles via le réseau,
à des applications, des systèmes d'exploitation ou des utilisateurs. La majorité des logiciels
serveurs LDAP proposent un protocole de communication serveur-serveur pour assurer le
service de réplication et de synchronisation des contenus, quand bien même la
communication client-serveur est normalisée. La mise en service d'un annuaire électronique
passe par les étapes suivantes :

Ø Détermination des besoins en service d'annuaire et ses applications.

Ø Définition du modèle de données : il est question ici de définir l'arborescence hiérarchique

de l'annuaire (schéma), les classes d'objets à utiliser, leurs types d'attributs et leur syntaxe. Il
faut également définir ici le modèle de nommage qui définira comment les entrées de
l'annuaire seront organisées, nommées et accédées.

Ø Définition du modèle fonctionnel : les opérations pouvant être effectuées sur le serveur
(ajout, modification, recherche, comparaison, ...).

Pour aller plus loin, on peut penser à un modèle de sécurité.

5. Service web

A l'ère du village planétaire, la technologie des services web est aujourd'hui de plus en plus
incontournable et se présente comme le nouveau paradigme des architectures logicielles.
C'est une technologie qui permet à des applications de communiquer à travers le réseau
Internet, indépendamment des plates-formes d'exécution et des langages de programmation
utilisés. Dans les entreprises, l'accès aux serveurs web externes (Internet) fait très souvent
l'objet d'une décision de la direction et non de l'administrateur réseau à fin d'attribuer des
autorisations aux utilisateurs. Dans ce cas on peut implémente un proxy pour réglementer
l'accès à Internet et la sécurité. Pour un déploiement d'un serveur web en interne (Intranet) au
sein d'une organisation, le serveur doit héberger les informations internes, être placé dans un
sous réseau et non accessible depuis l'extérieur. Contrairement à un serveur web externe
(Extranet), les informations sont hébergées dans un sous-réseau public et accessible par tout
internaute.

II. ADMINISTRATION DES EQUIPEMENTS

L'administration est une tâche qui requiert que le réseau soit fonctionnel et que les différents
services soient implémentés. Avant d'entrer dans le vif du sujet il serait primordial de
rappeler ce qu'il faut administrer dans le réseau : les hommes (administrateurs et utilisateurs),
les standards (SNMP, ICMP,...), la configuration des équipements, la surveillance (détection
des anomalies à travers des alarmes et des relevés sur une période indiquant des charges, des
utilisations anormales), le dépannage, les stations d'administration, la sécurité. Ces tâches
d'administration peuvent être d'après l'ISO, reparties sur cinq axes :

Ø La gestion de la configuration réseau (configuration management) : il convient de gérer la

configuration matérielle et logicielle du réseau pour en optimiser l'utilisation ; de permettre
des configurations à distance via des outils adéquats (telnet, interface web) et le stockage des
différentes configurations ; les serveurs ftp sont très souvent sollicités pour cette tâche.

Ø La gestion des anomalies (fault management) : l'administration a pour objectif d'avoir un

réseau opérationnel sans rupture de service, ce qui définit une certaine qualité de service ; on
doit être à mesure de localiser le plus rapidement possible toute panne ou défaillance pour
pouvoir y remédier.

Ø La gestion des performances (performance management) : consiste à contrôler à tout

moment le réseau pour observer s'il est en mesure d'écouler le trafic pour lequel il a été
conçu. Le délai, le débit, le taux d'erreur, la disponibilité sont autant des paramètres à
prendre en compte pour l'évaluation.

Ø La gestion de la sécurité (security management) : on gère ici les contrôles d'accès au

réseau, la confidentialité des données qui y transitent, leur intégrité et leur authenticité pour
pouvoir les protéger contre tout dysfonctionnement, toute inadvertance ou toute
malveillance. Un enregistrement de l'activité des utilisateurs plus précisément les
événements significatifs, les actions interdites ou sensibles peut s'avérer nécessaire.

Ø La gestion de la comptabilité (accounting management) : évaluation de la consommation

des ressources réseaux en fonction de la durée, du volume à des fins de facturation ou
d'identification des stations saturant la bande passante.

Dans un réseau d'envergure, l'administration est fondamentale. Lors de la surveillance sur le

réseau, les relevés du trafic doivent rester confidentiels à fin d'éviter toute atteinte à la vie
privée des utilisateurs. On peut utiliser des outils pour l'administration du réseau car il en
existe une panoplie tant du domaine privé que public. Chaque outil ayant un but particulier,
il incombe à l'administrateur de bien savoir ce qu'il veut obtenir. Quelques exemples de
choix de logiciel du domaine public :

· Outil de dépannage : tcpdump : analyseur sur station Unix

· Outil de surveillance de liaison : MTR : utilise ping et traceroute, il détecte rapidement une
anomalie sur une liaison (coupure, engorgement), sort des statistiques

· Outil de surveillance de trafic : NTOP : sonde, indique à quoi est utilisé le réseau (charge,
stations les plus bavardes, qui dialogue avec qui, avec quels protocoles,...) sur une courte
période.

· Outil de métrologie : cricket basé sur MRTG : il interroge des routeurs, commutateurs sur
SNMP, donne l'aperçu de la charge, du trafic sur un longue période.

III. POLITIQUE DE SECURITE

1. Généralités

Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises et des écoles

ouvrent leur système d'information (ensemble des moyens dont le fonctionnement fait appel,
d'une façon ou d'une autre, à l'électricité et destinés à élaborer, traiter, stocker, acheminer et
ou présenter) à des utilisateurs externes (partenaires, fournisseurs, membres de
l'administration) au réseau local, il est dont essentiel de connaître les ressources de
l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du
système d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur
Internet.

Le système d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de

protéger. La sécurité informatique, d'une vue générale, consiste à assurer que les ressources
matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.
La sécurité vise généralement cinq objectifs :

Ø L'intégrité, autrement dit garantir que les données sont bien celles que l'on croit être,

Ø La confidentialité, consistant à assurer que les seules personnes autorisées aient accès aux
ressources qu'il s échangent,

Ø La disponibilité, permettant de maintenir le bon fonctionnement du système d'information

pour assurer un accès permanant,

Ø La non répudiation, assurant la garantie qu'aucune transaction ne peut être niée,

Ø L'authentification, visant la vérification de l'identité des acteurs de la communication.

2. Vulnérabilité et les attaques

Avec la libre circulation des informations et la haute disponibilité de nombreuses ressources,
les responsables doivent connaître toutes les menaces successibles de compromettre la
sécurité du fait de la vulnérabilité de leur réseau. Toute faiblesse dans un SI qui permet à un
attaquant de porter atteinte à l'intégrité de ce système, c'est-à-dire à son fonctionnement
normal, à la confidentialité et l'intégrité des données qu'il contient est appelée une
vulnérabilité. Au fil des années, la sécurité des SI devient un besoin absolue, alors même que
la complexité de ces systèmes s'accroît, ils deviennent donc plus vulnérables aux menaces.

Figure 1 : Evolution du risque en fonction de la vulnérabilité et de la menace.

Cependant les organisations sont peu ou presque pas protégées contre des attaques sur le
réseau. Des raisons démontrent pourtant bien cet état de vulnérabilité des systèmes :

Ø La sécurité est onéreuse, les entreprises n'ont pas souvent de budget attribué à ce domaine,
soulignant en parallèle la raison selon laquelle la sécurité ne peut être fiable à 100% du fait
des bugs dans les applications, exploitables par les attaquants ;

Ø Les organisations attribue un degré de priorité minime ou presque qu'inexistant à la

sécurité ;

Ø L'utilisation de la cryptographie qui a ses faiblesses, avec des mots de passe pouvant être
cassés ;

Ø L'attaque d'un système fiable par des personnes abusant de leurs droits légitimes ;

Ø Faiblesses dues à la gestion et à la configuration des systèmes ;

Ø Emergence de nouvelles technologies, et par là même, de nouveaux points d'attaques.

Les attaques (n'importe quelles actions qui compromettent la sécurité des informations)
informatiques constituent aujourd'hui l'un des fléaux de notre civilisation moderne. Il est
régulier de suivre que telle entreprise ou tel institut a essuyé de lourdes pertes financières en
raison d'une défaillance de la sécurité de son système d'information. Par conséquent les
entreprises ne peuvent pas ignorer ces risques et se croire à l'abri de telles épreuves sachant
que les attaques ont des buts précis qui visent des mécanismes de sécurité précis très souvent
implémentés dans les réseaux :

· Interruption d'un service : vise la disponibilité des informations,

· Interception des données : vise la confidentialité des informations,

· Modification des données : vise l'intégrité des informations,

· Fabrication des données : vise l'authenticité des informations.

3. Solution à la sécurité

La sécurité des SI fait très souvent l'objet de métaphores. L'on la compare régulièrement à
une chaine en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau
de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si
les fenêtres sont ouvertes sur la rue. Cela signifie qu'une solution de sécurité doit être
abordée dans un contexte global et notamment prendre en compte les aspects suivants :

Ø La sensibilisation des utilisateurs aux problèmes de sécurité ;

Ø La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les données
de l'entreprise, les applications ou encore les systèmes d'exploitation ;

Ø La sécurité des télécommunications : technologies réseaux, serveurs de l'entreprise,

réseaux d'accès, etc ;

Ø La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles

sécurisées, lieux ouverts au public, espaces communs de l'entreprise, stations de travail des
personnels, etc.

Etant donné les enjeux financiers qu'abritent les attaques, les SI se doivent de nos jours d'être
protégés contre les anomalies de fonctionnement pouvant provenir soit d'une attitude
intentionnellement malveillante d'un utilisateur, soit d'une faille rendant le système
vulnérable.

Du fait du nombre croissant de personnes ayant accès ces systèmes par le billet d'Internet, la
politique de sécurité se concentre généralement sur le point d'entrée du réseau interne. La
mise en place d'un pare-feu est devenue indispensable à fin d'interdire l'accès aux paquets
indésirables. On peut, de cette façon, proposer une vision restreinte du réseau interne vu de
l'extérieur et filtrer les paquets en fonction de certaines caractéristiques telles qu'une adresse
ou un port de communication. Bien que ce système soit une bastille, il demeure insuffisant
s'il n'est pas accompagné d'autres protections, entre autres :

Ø La protection physique des informations par des accès contrôlés aux locaux,

Ø La protection contre les failles de configuration par des outils d'analyse automatique des
vulnérabilités du système,

Ø La protection par des systèmes d'authentification fiables pour que les droits accordés à
chacun soient clairement définis et respectés, ceci afin de garantir la confidentialité et
l'intégrité des données.

Implémenter la sécurité sur les SI, consiste à s'assurer que celui qui modifie ou consulte des
données du système en a l'autorisation et qu'il peut le faire correctement car le service est
disponible. Toujours est il que même en mettant en place tous ces mécanismes, il reste
beaucoup de moyens pour contourner ces protections. A fin de les compléter, une
surveillance permanente ou régulière des systèmes peut être mise en place à savoir:

Ø Les systèmes de détections d'intrusions ayant pour but d'analyser tout ou partit des actions
effectuées sur le système afin de détecter d'éventuelles anomalies de fonctionnement.

Ø L'utilisation des antivirus professionnels accompagnées de leurs mises à jour régulière.

Ø L'utilisation d'un serveur proxy dont le but est d'isoler une ou plusieurs machines pour les
protéger. De plus le proxy possède un avantage supplémentaire en termes de performance.

Ø L'utilisation de la technologie RAID qui signifie « ensemble redondant de disques

indépendants » qui permet de constituer une unité de stockage à partir de plusieurs disques
et d'y effectuer des sauvegardes régulières à partir de plusieurs disques durs. L'unité ainsi
constituée (grappe) a donc une grande tolérance aux pannes ou une plus grande capacité et
vitesse d'écriture. Une telle répartition de données sur plusieurs disques permet d'augmenter
la sécurité et de fiabiliser les services associés.

CHAPITRE VI : LES CONNEXIONS EXTERNES ET

INTERNES
I. ACCES A INTERNET

A partir du LAN d'une entreprise, quelque soit la station qui désire accéder à la toile, il est
possible d'exploiter l'une des trois méthodes ci après :

Ø Connexion directe (sans NAT) : dans cette méthode, la station interne qui fait office de
passerelle d'accès au réseau externe doit disposer d'une adresse IP officielle (publique) qui
lui permettra de l'identifier sur internet.

Ø Connexion directe avec NAT : dans ce cas, la station interne se contentera d'une adresse
IP privée, ses requêtes passeront par un NAT qui lui a une adresse IP public. Le NAT se
chargera de traduire l'adresse de la station locale puisque celle-ci n'est pas routable autrement
dit autorisée sur internet du fait qu'elle n'est pas unique. Ce mécanisme de NAT permet
notamment de faire correspondre une seule adresse externe publique visible sur internet à
toutes les adresses d'un réseau privée, et pallie ainsi à l'épuisement des adresses IPV4.

Ø Proxy-cache web : la station interne a une adresse privée et est configurée pour utiliser le
serveur proxy lorsqu'elle émet une requête web ; c'est donc au tour du proxy d'envoyer la
requête sur le serveur web externe. Cet état des fait ouvre deux sessions TCP (http) : station-
proxy et proxy-serveur web, conserve une cache web en interne, permet un gain de la bande
passante.

De ces trois méthodes, la plus sécurisée est la dernière ; elles sont ainsi énumérées suivant le
degré de sécurité le moins élevé.

II. ACCES DEPUIS L'INTERNET

Dans une architecture réseau où certains services tels la messagerie, le web sont parfois
utilisés hors du réseau local, il convient de placer les serveurs hébergeant ces services dans
une DMZ (zone démilitarisée) qui doit être semi ouverte à fin d'autoriser les accès externes.
A défaut d'héberger ce service dans la zone démilitarisée, l'entreprise peut opter également
solliciter les services d'un fournisseur d'accès ou d'un hébergeur. Les stations de la DMZ
doivent être des stations dédiées c'est-à-dire réservées pour des tâches précises à fin de
limites les risques d'attaques du réseau local.
En matière de sécurité, vu les nombreuses failles de sécurité que présentent l'environnement
windows (serveur web IIS en l'occurrence), il est préférables d'utiliser les logiciels libres
(ex : apache) et les systèmes Unix car ils présent moins de vulnérabilité ; tout en prévoyant
un mécanisme de mise à jour.

En général, accéder à partir de L'Internet au réseau local de l'entreprise concerne les tâches
telles que :

Ø La consultation de la messagerie et l'émission des messages,

Ø L'accès (interactif) aux stations interne,

Ø Le transfert de fichiers

Ø L'accès global à toutes les ressources de l'Intranet (réseau interne) de manière sécurisée
(absence de mot de passe en clair sur le réseau)

Pour réduire la vulnérabilité du réseau local, il convient de sécuriser les moyens d'accès à ses
tâches. L'accès interactif aux stations internes (telnet), POP, IMAP,... présente une
vulnérabilité élevée, ainsi il est nécessaire de les coupler avec le protocole de sécurisation
des échanges SSL, qui assure la sécurité (confidentialité, intégrité et authentification) des
transactions sur internet. Au niveau applicatif, on peu également sécuriser l'accès interactif et
le transfert de fichiers en utilisant SSH ; penser à intégrer un garde-barrière dans la chaîne de
sécurité.

Un accès complet à toutes les ressources internes requiert davantage de sécurité. De ce fait
l'entreprise peut opter pour l'implémentation d'un VPN qui est une bonne alternative aux
liaisons spécialisées qui bien qu'étant plus fiables sont onéreuses. Le VPN utilise le principe
de tunneling pour la communication entre le deux points distants via les protocoles tels que
PPTP, L2TP, IPSec.

Tous ces mécanismes de sécurité requièrent des compétences pointues pour ne pas créer des
trous de sécurité dans les configurations ; ils ne garantissent pas une sécurité à 100% contre
des attaques et des vols d'information, d'où il est primordial de prévoir des sauvegardes.

CHAPITRE V : MISE EN PLACE D'UN RESEAU

SOLIDE
I. CARACTERISTIQUES D'UN RESEAU FIABLE

Qui dit réseau solide dit un réseau qui offre une certaine :

Ø Disponibilité, autrement dit la capacité à être près à fournir un service (la probabilité
qu'un service soit en bon état de fonctionnement à un instant donné). Dans un réseau, la
disponibilité est plus qu'un but ou une vision abstraite. Si le réseau venait à être inaccessible,
la communication et la collaboration s'arrêteront, ainsi la productivité de des utilisateurs se
verrait réduite. L'importance de maintenir un réseau constant et fiable ne doit donc pas être
sous-estimée car la disponibilité du réseau est essentielle. La disponibilité touche les aspects
tels que :

· Les liaisons avec le réseau public : chaque contrat avec un opérateur doit garantir par
exemple un certain délai de rétablissement du lien en cas de dysfonctionnement. Ce même
principe doit être définit en interne.

· Les équipements matériels d'interconnexion : il est important de conclure des contrats de

maintenance avec des entreprises sous-traitantes pour le dépannage des équipements en cas
de panne, et d'obtenir une garantie lors de l'achat du matériel. Une sous-estimation de ces
aspects peut engendrer de graves conséquences sur la productivité d'une entreprise.

Ø Tolérance aux pannes : les pannes sont des éléments perturbateurs mettant en cause la
sécurité des données confiées aux serveurs ou encore le bon fonctionnement des liaisons
avec le réseau public. Qu'elles soient permanentes (dommages physiques, erreur de
conception du matériel ou du logiciel), transitoires (perturbations électriques,
électromagnétiques ou de température), ou intermittentes, elles peuvent avoir de multiples
causes. Tout dispositif technique permettant de palier à ces différentes pannes sans
interrompre la bonne marche du système peut être considérée comme tolérant les pannes. En
pratique, cela implique presque toujours une redondance du matériel, gérée par un dispositif
soft ou hard et assurant la transition active de l'élément défectueux vers celui de réserve.
Autrement dit, le matériel est systématiquement remplacé par un autre aux fonctionnalités
équivalentes, sans affecter durablement la productivité globale du système. Quelques
solutions envisageables dans ce domaine seraient :

· Redondance des liaisons c'est-à-dire existence de deux points d'arrivé des liaisons externes
différentes.

· Routage dynamique : il est utilisé dans un réseau maillé de routeurs pour permettre de
basculer d'un chemin à un autre sans intervention manuelle. Il consiste à établir plusieurs
chemins différents pour une destination mais avec des poids différents.

· Serveurs secondaires : pour les services (DNS, messagerie, web,...) implémentés dans le
réseau local, on peut également déployer des serveurs relais qui sont de fournir les mêmes
services en cas d'indisponibilité des serveurs primaires.

Ø Sécurité : les problèmes liés à la sécurité, souvent très onéreux, peuvent être
l'indisponibilité des serveurs, du réseau, les vols d `information, des attaques qui viennent
parfois du réseau local. Les outils pour y remédier sont tellement disparates (un peu à tous
les niveaux) et ne colmatent qu'une partie des failles du fait des nouvelles sorties. De plus le
protocole réseau IP qui n'assure aucune fiabilité ne rend pas cette tâche facile. Vue
l'importance de la sécurité, il s'avère utile de coupler plusieurs outils et mécanismes pour au
moins s'assurer une meilleure protection.

Ø Qualité de service : qui dit qualité de service dit la capacité à véhiculer dans de bonnes
conditions un type de trafic donné, en termes de débit, latence (délai de transmission), taux
de perte de paquets, gigue (variation de la latence). Ce problème ne se pose pas quand la
bande passante est à profusion, c'est le cas généralement des LAN. Par contre le besoin
d'assurer une qualité de service s'impose quand la bande passante est limitée et chère, c'est le
cas dans les WAN ; la difficulté augmente avec la présence d'un ou de plusieurs opérateurs.
L'utilisation des mécanismes tels que Diffserv (classification du trafic) ou RSVP (réservation
de ressources) serait autant de solution pour pallier au problème de la QOS.

II. ELABORATION D'UNE ARCHITECTURE (PHYSIQUE ET

LOGIQUE)

Construire un réseau fiable revient à réaliser les différentes étapes ci-après tout en tenant
compte des aspects ci -dessus :

Ø Réaliser une architecture (physique et logique) simple

Ø Etablir des cahiers de charge pour chaque évolution (les fonctionnalités désirées)

Ø Choisir les équipements spécialisés

Ø Réservation des machines dédiées

Ø Définir les services réseaux

En tant qu'ingénieur, il est important de définir les besoins vitaux (ceux-ci dépendent des
applications à déployer) à fin de travailler avec des moyens dont on dispose ; de chaque
incident devra être consigné une leçon car l'expérience est très utile. Vue l'envergure des
tâches, les services des entreprises du métier sont à explorer, toujours est il que nous devons
comprendre et contrôler tous les aspects.

DEUXIEME PARTIE : ETUDE DE CAS :

IMPLEMENTATION
D'ARCHITECTURE RESEAU
SECURISEE : CAS DE SUPEMIR
CHAPITRE I : ANALYSE ET CRITIQUE DU RESEAU
EXISTANT
I. ETUDE DE L'EXISTANT

Une meilleure compréhension de l'environnement informatique aide à déterminer la portée

du projet et de la solution à implémenter. Il est indispensable de disposer d'informations
précises sur l'infrastructure réseau et les problèmes qui on une incidence le fonctionnement
du réseau. En effet ces informations vont affecter une grande partie des décisions que nous
allons prendre dans le choix de la solution et de son déploiement.

1. Présentation du réseau de SUPEMIR

Le réseau de SUPEMIR, est un réseau Ethernet commuté à 100Mbps, essentiellement basé

sur une topologie étoile. La norme de câblage réseau utilisée est T568A au détriment de
T568B. Il ne dispose d'aucune subdivision en sous-réseau, ni d'aucun control d'accès au
réseau public pareil qu'au réseau local ; ceci laisse libre cour aux potentiels attaques et vols
d'informations dont peut être victime les ordinateurs de l'administration.

2. Architecture du réseau existant

Figure 2 : Architecture du réseau existant

3. Analyse du parc informatique

Le parc informatique de SUPEMIR compte environ une quarantaine d'ordinateurs de type

pentium IV, reparti sur un seule site donc un local technique, deux salles machine
(laboratoire) et le bureau des étudiants au premier étage. Au rez de chaussé, il y'a une salle
machine et la direction. L'architecture est de type égal à égal (peer to peer en anglais),
contrairement à une architecture de type client/serveur, il n'y pas de serveur dédié. Ainsi
chaque station est en partie client et en partie serveur, autrement dit chacun des ordinateurs
du réseau est libre de partager ses ressources.

Inconvénients :

Ø Ce système n'est pas du tout centralisé, ce qui le rend très difficile à administrer

Ø La sécurité est très peu présente

Ø Aucun maillon du système n'est fiable

Les systèmes d'exploitation installés sur les postes clients sont de la plate-forme Microsoft,
plus précisément Windows XP, service pack 2 version 2002.

Les postes sont dimensionnés comme suit :

Capacité disque dur Caractéristiques Processeur

Mémoire RAM
512 - 1Ghz 20 - 40 Go 2.80 Ghz

Tableau 1 : Caractéristiques des ordinateurs du réseau de SUPEMIR.

4. Les équipements d'interconnexion

Dans une architecture, le matériel d'interconnexion représente le coeur du réseau. S'il est mal
configuré (équipement manageable), il peut avoir des effets néfastes sur le trafic réseau,
allant à la détérioration de celui-ci. Le réseau de SUPEMIR comporte des commutateurs qui
de par leur fonction permettent de réduire les domaines de collision, et un routeur auquel tout
le a accès, ce qui laisse le droit à tout un chacun de le manipuler à sa guise.
Le réseau se constitue des équipements d'interconnexion suivants :

Modèle Nombre de port Nombre

Equipement
Routeur Fast@TM 3320 V2 1 port USB 1

1 port ADSL

2 ports RJ-11 FXO

4 ports RJ-45
Point d'accès ZyXEL NWA1100-N 1 port RJ-45 1
Switch TrendNet TE100-S24 24 ports RJ-45 1
Switch DLink DES 1016D 16 ports RJ-45 1
Switch 3Com 3C16471 24 ports RJ-45 1
Switch D-Link DES-1008D 8 ports RJ-45 4

Tableau 2 : Equipements d'interconnexion

5. Adressage, connexion externe

Comme dit précédemment, le réseau de SUPEMIR n'est pas segmenté en sous-réseau, ainsi
l'adresse privée 192.168.1.0/24 est utilisée. Le réseau ne dispose vraiment pas d'un véritable
plan d'adressage ; le routeur que l'opérateur offre intègre un serveur DHCP qui attribue
systématiquement une adresse IP à tout ordinateur qui se connecte au réseau de l'école. Par
ailleurs certains ordinateurs utilisent des adresses statiques. Vu qu'il n'y pas d'équipement
d'interconnexion manageable, seul le protocole IGMP activé par défaut par l'opérateur est
utilisé ; le routeur intègre la fonction NAT qui permet de masquer les adresses privées du
réseau local qui accèdent à Internet.

Le réseau local est connecté au réseau public via une liaison spécialisée d'un opérateur local
(Maroc Telecom) qui fournit un modem/routeur ADSL à cet effet.

II. CRITIQUE DE L'EXISTANT ET SPECIFICATION DES BESOINS

1. Critique de l'existant

Une analyse du réseau de SUPEMIR nous a permis de définir un nombre de contraintes

pouvant réduire ses performances voir sa dégradation ; et de plus certains de ces contraintes
peuvent être un obstacle à la réalisation de la mission de SUPEMIR :

Ø Trafic web important

Ø Volume accru du trafic généré par chaque utilisateur

Ø Accès non restreint aux données de l'administration

Ø Libre accès au routeur (paramètres de configuration)

Ø Démotivation de certains professeurs

Ø Conflit d'adressage IP

2. Spécification des besoins

Suite à la critique de l'existant, quelques besoins ont été relevés à fin de pallier aux
contraintes précédemment mentionnées.

a. Besoins fonctionnels

Les besoins fonctionnels expriment une action qui doit être menée sur l'infrastructure à
définir en réponse à une demande. C'est le besoin exprimé par le client; ce besoin peut être
exprimé de manière fonctionnelle mettant en évidence les fonctions de services (pour
répondre à la question «A quoi ça sert ?») et les fonctions techniques (comment cela peut
marcher ?). Dans ce cadre, nous allons :

Ø Déployer un serveur DHCP dans le but de centraliser la gestion de l'adressage et d'éviter

des conflits d'adresses IP,

Ø Déployer un serveur DNS qui permettra la résolution de nom dans le réseau local,

Ø Déployer un serveur Web pour une haute disponibilité en cas de rupture du lien avec le
réseau public,

Ø Déployer un serveur mandataire générique qui va relayer différentes requêtes et entretenir

un cache des réponses. Il permettra aussi de sécurisé le réseau local,

Ø Déployer un firewall pour protéger le réseau interne,

Ø Déployer un serveur de mail pour la gestion de la messagerie local,

Ø Déployer un serveur de fichiers à fin de mieux gérer les droits d'accès aux informations de
l'école.

b. Besoins non fonctionnels

Les besoins non fonctionnels représentent les exigences implicites auquel le système doit
répondre. Ainsi à part les besoins fondamentaux, notre système doit répondre aux critères
suivants :

Ø La simplicité d'utilisation des services implémentés,

Ø La centralisation de l'administration,

Ø La sécurité des accès (local, mot de passe : longueur, caractères spéciaux, politique de
réutilisation),

Ø La performance du réseau (temps de réponse),

Ø La disponibilité (heures de connexion),

Ø La fiabilité (moyenne de temps de bon fonctionnement, Le temps moyen de

Rétablissement),

Ø La gestion des sauvegardes (fichiers, mails),

Ø La documentation du réseau.

III. LES SOLUTIONS

Les solutions que nous avons proposées consistent à déployer les différents services,
sécuriser les accès à ces services et implémenter une sécurité accrue à travers un filtrage de
paquet au niveau du firewall et un proxy cache jouant le rôle d'un firewall à relayage de
paquets. Nous proposons également une sécurité sur un plan global en faisant référence à la
mise en place d'un local technique, la restriction des accès.

L'enjeu principal d'une architecture réseau sécurisée, est de pouvoir est de pouvoir
réglementer les accès aux ressources du réseau tant à partir du réseau local qu'à l'extérieur,
tout en essayant au maximum de limiter les failles d'éventuelles attaques ou vols
d'informations à fin d'accroître la sécurité du réseau local. En effet, face à des applications
telle la messagerie qui permettent la mobilité donc les accès d'origine diverse, il est toujours
important de définir une architecture fiable de sécurisation du réseau. L'implémentation
d'une telle architecture aboutira à un gain en termes de performance et sécurité du réseau.

CHAPITRE II : PHASE DE PLANIFICATION DU

DEPLOIEMENT
I. PLANIFICATION DU DEPLOIEMENT

Une bonne mise en oeuvre des solutions requiert une bonne planification. Dans cette phase,
nous allons présenter le matériel et les pré-requis nécessaires à la mise en place de la
solution.

Il est important de noter les différentes contraintes qui pourront être rencontrées :

Ø Les services rendus à l'utilisateur doivent être interrompu le moins longtemps possible
pendant les heures de travail

Ø L'accès aux pages web ne doit pas être de piètre performance du fait de la mise en place de
la DMZ.

1. Matériels utilisés
 Système Services installés Spécifications Adresse IP
Matériel/nom d'exploitation techniques
Routeur / - - 1 port USB LAN : 192.168.1.1
sagembox.home
1 port ADSL WAN : dynamique

2 ports FXO

4 ports RJ-45
PC / srvfirewall Red Hat Iptables (natif à Red RAM 1Go Eth0 192.168.1.10
Enterprise Had) Processeur
linux server Intel® Pentium Eth1 192.168.2.1
release 5 4 CPU 2.80Ghz
Eth2 192.168.4.1
Noyau 2.6.18-8 DD 20Go
el5xem Eth3 192.168.3.1
PC /srvsupemir2 Ubuntu 10.10 Squid RAM 1Go 192.168.2.2

Noyau linux squidGuard Processeur

2.6.35-22- Intel® Pentium
generic, webmin 4 CPU 2.80Ghz
GNOME
2.32.0 DD: 40Go
PC /srvsupemir3 Ubuntu 10.10 DHCP RAM 1Go 192.168.3.254

Noyau linux DNS Processeur

2.6.35-22- Intel® Pentium
generic, Postfix+squirrelmail 4 CPU 2.80Ghz
GNOME
2.32.0 Samba DD: 40Go

Webmin
PC /srvsupemir4 Ubuntu 10.10 Web : xampp RAM 1Go 192.168.4.2
Processeur
Noyau linux Intel® Pentium
2.6.35-22- 4 CPU 2.80Ghz
generic,
GNOME DD: 20Go
2.32.0
Switch - - 24 ports RJ-45 -

Tableau 3 : Matériels pour le déploiement.

2. Pré-requis

Dans ce document il est question de créer des serveurs particuliers, ce qui requiert dans un
environnement unix la connaissance de certaines commandes. Nous les présentons ici qui
permettra par la suite de s'en passer de longues explications et se limiter aux différentes
commandes et modifications de fichier de configuration. Nous allons donc rappeler quelques
commandes unix que nous avons utilisé :

cd - changer de répertoire,

vi - éditeur système,

df - afficher l'espace disponible,

more - afficher un fichier page à page, (la touche x permet de passer une page),

grep - filtrer la sortie,

chmod - changer les droits d'accès à un fichier, (chmod +x rendre un fichier exécutable),

cp - copier de fichiers,

find - rechercher de fichiers,

man - afficher l'aide sur une commande,

mkdir - créer un dossier,

mv - déplacer un fichier,

passwd - changer le mot de passe,

ps - lister des process,

pwd - afficher le chemin du dossier en cours,

rm - détruire un fichier,

adduser - useradd (suivant la distribution et l'installation) ajouter un utilisateur,

userdel - supprimer un utilisateur,

addgroup - groupadd - ajouter un group

wget - télécharger un fichier, elle est souvent utilisée pour les installations manuelles,

chgrp - changer un fichier de groupe,

chown - changer le propriétaire d'un fichier,

ln - créer un lien sur un fichier,

ls - lister des fichiers,

rmdir - détruit un dossier,

tar - sauvegarde / compresse,

mount - monte un système de fichier,

ifconfig - Affiche les informations d'une interface, configure une interface, assigne une
adresse, assigne un masque de sous-réseau, active et désactive une interface,

route - ajoute un route dans la table de routage,

killall - tue un processus mais au lieu d'indiquer le PID vous indiquerez le nom du processus,

smbpasswd -

/etc - contient la plupart des fichiers de configuration du système Linux,

/dev - contient les fichiers correspondant au matériel,

/proc - contient les fichiers de processus, avec pour les fichiers portant un numéro: leur ID,

/var - contient la plupart des variables,

/var/log - contient la plupart des fichiers de log générés par le système,

init.d/ - contient les scripts de démarrage (/etc/init.d).

3. Architecture de mise en oeuvre

Figure 3 : Architecture du réseau de SUPEMIR

Dans cette nouvelle architecture, le réseau de l'école est scindé en deux parties : le réseau
local et la DMZ. On voit également sur cette architecture la liaison avec le réseau public.
Dans la nouvelle infrastructure, nous disposons de trois serveurs (srvsupemir2, srvsupemir2,
srvsupemir2) et un firewall (PC/linux nommé srvfirewall) sur lesquels sont déployés les
différents services. Le routeur de l'opérateur joue le rôle de passerelle entre le réseau de
l'école et le réseau public.

4. Architecture de déploiement

Figure 4 : Architecture de déploiement.

A travers le logiciel Microsoft Visio, nous avons reproduit notre environnement de travail
(figure ......). Cet environnement nous permettra d'aboutir à une bonne configuration de notre
solution.

II. LES DIFFERENTS SERVICES ET L'ADRESSAGE

1. Services

Vu les contraintes de matériels, nous avons cumulé plusieurs services sur un des serveurs, il
s'agit du serveur nommé srvsupemir3. Nous avons opté pour une plate-forme open source,
ainsi tous les logiciels que nous avons utilisés pour déployer les services sont des logiciels
open-source. Les services sont repartis come suit sur les serveurs :

srvsupemir2 : il est installé sur cet ordinateur le serveur mandataire Squid http qui est une
solution open-souce, il est couplé à SquidGuard qui est également une solution open-source
qui permet le filtrage en servant des URI (uniform ressouce Identifier). Nous avons aussi
installé le logiciel webmin pour une administration en mode graphique.

srvsupemir3 : il héberge notre serveur web. Nous y avons utilisé xampp qui est un ensemble
complet de services pour faire tourner un serveur web.

srvsupemir4 : sur ce poste est installé les services DHCP, DNS, messagerie, partage de
fichier.

srvfirewall : ici nous n'avons pas installer un service particulier, nous avons utilisé iptables
qui est un firewall natif aux systèmes unix.

2. Adressage

Le plan d'adressage IP que nous avons utilisé est le suivant :

Adresse IP Passerelle Sous-réseau Zone

Serveur
srvsupemir4 192.168.3.254 192.168.3.1 192.168.3.0/24 Réseau local
srvsupemir2 192.168.2.1 192.168.2.1 192.168.2.0/24 DMZ (service)
srvsupemir3 192.168.4.2 192.168.4.1 192.168.4.0/24 DMZ (public)
srvfirewall Eth0 192.168.1.11 192.168.1.1 DMZ

Eth1 192.168.2.1

Eth2 192.168.4.1

Eth3 192.168.3.1
Tableau 4 : Plan d'adressage

Nous avons utilisé un adressage statique pour ces serveurs à fin de faciliter l'accès aux
ressources qu'elles hébergent.
CHAPITRE III : PHASE DE MISE EN OEUVRE
I. SCENARIOS D'INSTALLATION ET DE CONFIGURATION

1. Installation et configuration des serveurs

L'installation et la configuration s'opèrent via le shell en ligne de commande avec le compte

root (saisir la commande sudo -s et entrer le mot de passe root) qui est le compte
administrateur sur linux, à fin d'avoir les pleins pouvoirs de modification des fichiers de
configuration.

a. Serveur DHCP

Nous avons configuré l'adresse IP du serveur dans le fichier /etc/network/interfaces comme

suit :

Configuration de l'interface réseau

# interface r(c)seau de bouclage

auto lo

iface lo inet loopback

address 127.0.0.1

netmask 255.0.0.0

# carte r(c)seau en ip statique

iface eth0 inet static

address 192.168.3.254

broadcast 192.168.3.255

netmask 255.255.255.0

gateway 192.168.3.1

auto eth0

Installation

Nous avons installé le serveur DHCP depuis la logithèque d'Ubuntu ou en tapant la

commande apt-get install dhcp3-server. Cette installation place dans le répertoire
/etc/dhcp3/ le fichier dhcpd.conf qui est le principal fichier de configuration.
Configuration

En plus de la fonction principale qui est celle de l'attribution d'adresse IP, nous avons
configuré une synchronisation avec le serveur DNS c'est-à-dire que le serveur DHCP
enregistre l'hôte à qui il attribue une adresse les fichiers de zone (zone direct et zone
inversée) du serveur DNS. Ainsi voici le contenu de notre fichier de configuration :

# configuration du DDNS

server-identifier 192.168.3.254;

ddns-updates on;

ddns-update-style interim;

ddns-domainname "labs.supemir.ma.";

ddns-rev-domainname "in-addr.arpa.";

update-static-leases on;

# Ignore Windows FQDN updates

ignore client-updates;

# Include the key so that DHCP can authenticate itself to BIND9

key dhcp_updater{

algorithm hmac-md5;

secret
"5STvKYJR/wkFEPCoG1BTI8dDAQ2mzYJSTB82jBqHVs3uBYsF3wW1NsMQKq23xTT
ZMFtXJRY93tnynjZ9Pfa1ZQ==";

};

# This is the communication zone

zone labs.supemir.ma. {

primary 127.0.0.1;

key dhcp_updater;

# dur(c)e par d(c)faut et dur(c)e max des baux d'adrese

default-lease-time 600;

max-lease-time 7200;

# d(c)claration du serveur dns et du nom de domaine

option domain-name-servers 192.168.3.254;

option domain-name "labs.supemir.ma";

# notre serveur dhcp fait autorit(c) sur le r(c)seau

authoritative;

# configuration du serveur dhcp

subnet 192.168.3.0 netmask 255.255.255.0 {

option broadcast-address 192.168.3.255;

option subnet-mask 255.255.255.0;

range 192.168.3.100 192.168.3.200;

option routers 192.168.3.1;

# zone DNS   mette   jour

zone 3.168.192.in-addr.arpa. {

primary 192.168.3.254;

key dhcp_updater;

zone labs.supemir.ma. {

primary 192.168.3.254;

key dhcp_updater;

# attribution d'adresses statiques aux pc de l'administration

host shaita {
hardware ethernet 00:0B:DB:7C:B8:E7;

fixed-address 192.168.3.211;

option host-name "shaita.labs.supemir.ma";

host AZERTY {

hardware ethernet 00:11:43:CB:F6:E7;

fixed-address 192.168.3.212;

option host-name "AZERTY.labs.supemir.ma";

host BUREAU {

hardware ethernet 00:08:74:FA:A3:7D;

fixed-address 192.168.3.213;

option host-name "bureau.labs.supemir.ma";

host UNICORNI-D9DEED {

hardware ethernet 00:0E:A6:C7:97:14;

fixed-address 192.168.3.214;

option host-name "UNICORNI-D9DEED.labs.supemir.ma";

host KHALID {

hardware ethernet 00:0E:A6:9A:0F:A1;

fixed-address 192.168.3.215;

option host-name "KHALID.labs.supemir.ma";

# fin de fichier
La clé dhcp_updater est une clé avec laquelle le serveur dhcp s'authentifie auprès du serveur
bind. Elle est générée a vec la commande suivante :

dnssec-keygen -a HMAC-MD5 -b 512 USER dhcp_updater

Après la configuration, il faut redémarrer le service à fin de prendre en charge les paramètres
configurés : service dhcp3-server restart.

Utilisation : Test du serveur

Nous avons édité le fichier /etc/dhcpd3/dhcpd.leases pour voir les baux d'adresses que le
serveur a octroyé. Nous avons également connecté le serveur sur un switch et d'autres postes
clients et renouveler le bail comme l'indique le schéma ci -après. Au niveau des postes nous
avons fait la manipulation suivante pour obtenir l'adresse IP :

Client Windows :

ipconfig /release : pour libèrer les connexions.

Ipconfig /renew : pour rétablir les connexions.

Figure 5 : Renouvèlement de bail IP.

Client linux :

dhclient : interroge le serveur DHCP pour configurer l'interface réseau et les services
associés en conséquence.

b. Serveur DNS

Installation

Ubuntu est livré par défaut avec BIND le serveur DNS le plus utilisé sur Internet. C'est ce
serveur BIND, que nous allons utiliser comme serveur DNS. Nous avons choisi la dernière
version de bind qui est BIND9, disponible dans le dépôt principal. Ce choix ce justifie par le
fait que cette version résout certains bugs des précédentes versions, ajoute la prise en charge
de DNSSEC qui est le protocole standardisé par l'IETF permettant de résoudre certains
problèmes de sécurité liés au protocole DNS et bien d'autres points importants tel IPV6. Pour
l'installer, il suffit de saisir la commande apt-get install bind9. Nous avons opté pour le nom
de domaine labs .supemir.ma.

Configuration

La configuration de ce serveur nécessite la modification de plusieurs fichiers et la création

des fichiers de zone. Ce sont :
/etc/bind/named.conf.local

/etc/bind/named.conf.options

/etc/bind/db.labs.supemir.ma (c'est le fichier de zone direct que nous avons créé)

/etc/bind/db.192.168.3 (c'est le fichier de zone inversée que nous avons créé)

/etc/resolv.conf

/etc/hosts

Nous avons édité le fichier named.conf.local (gedit /etc/bind/named.conf.local) et l'avons

modifié comme suit :

// Do any local configuration here

// Consider adding the 1918 zones here, if they are not used in your

// organization

//include "/etc/bind/zones.rfc1918";

# cl(c) que le serveur dhcp utilisera lors de la synchronisation avec le serveur dns

key dhcp_updater{

algorithm hmac-md5;

secret
"5STvKYJR/wkFEPCoG1BTI8dDAQ2mzYJSTB82jBqHVs3uBYsF3wW1NsMQKq23xTT
ZMFtXJRY93tnynjZ9Pfa1ZQ==";

};

zone "labs.supemir.ma" {

type master;

file "/etc/bind/db.labs.supemir.ma";

allow-update { key dhcp_updater; };

notify yes;

};

// configuration de la zone invers(c)e

zone "3.168.192.in-addr.arpa" {

type master;

file "/etc/bind/db.192.168.3";

allow-update { key dhcp_updater; };

notify yes;

};

// fin de fichier

Le fichier suivant nécessitant une modification est named.conf.options (gedit

/etc/bind/named.conf.options), son contenu est modifié comme suit :

options {

directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want

// to talk to, you may need to fix the firewall to allow multiple

// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable

// nameservers, you probably want to use them as forwarders.

// autres dns   contacter si la resolution local est sans succ·s

forwarders {

192.168.1.1;

212.217.0.1;

212.217.0.12;

};

auth-nxdomain no; # conform to RFC1035

listen-on-v6 { any; };

};
// fin de fichier

Les fichiers des zones sont utilisés pour lister les différentes ressources d'un domaine,
comme les serveurs de mails (MX), les serveurs de noms (NS), ou les enregistrements
machine/IP (A) et redirections (CNAME). Voici une petite liste des principaux types
d'enregistrements dont nous avons fait usage dans les fichiers de zone :

NS : Déclare un serveur DNS pour la zone.

MX : Déclare un serveur mail pour la zone.

A : Réalise le lien entre le nom d'une machine et son adresse IP.

PTR : Réalise le lien entre l'IP d'une machine et son nom. Utilisé pour le fichier de zone
inverse.

CNAME : C'est une espèce d'alias, permettant de définir un nom par rapport à un autre nom.

Nous avons créé les fichiers de la manière suivante :

gedit /etc/bind/db.labs.supemir.ma, ci dessous son contenu :

$ORIGIN .

$TTL 604800 ; 1 week

labs.supemir.ma IN SOA srvsupemir4.labs.supemir.ma. root.labs.supemir.ma. (

16 ; serial

604800 ; refresh (1 week)

86400 ; retry (1 day)

2419200 ; expire (4 weeks)

604800 ; minimum (1 week)

NS srvsupemir4.labs.supemir.ma.

A 192.168.3.254

AAAA ::1

$ORIGIN labs.supemir.ma.
srvsupemir4 A 192.168.3.254

dhcp IN CNAME srvsupemir4

dns IN CNAME srvsupemir4

mail IN CNAME srvsupemir4

gedit /etc/bind/db.192.168.3, ci dessous son contenu :

$ORIGIN .

$TTL 604800 ; 1 week

3.168.192.in-addr.arpa IN SOA srvsupemir4.labs.supemir.ma. root.labs.supemir.ma. (

11 ; serial

604800 ; refresh (1 week)

86400 ; retry (1 day)

2419200 ; expire (4 weeks)

604800 ; minimum (1 week)

NS srvsupemir4.labs.supemir.ma.

MX 10 srvsupemir4.labs.supemir.ma.

254 PTR srvsupemir4.labs.supemir.ma.

Contenu du fichier /etc/resolv.conf (gedit /etc/resovl.conf)

domain labs.supemir.ma

search labs.supemir.ma

order local,bind

nameserver 192.168.1.1

nameserver 192.168.3.254

nameserver 212.217.0.1
# fin de fichier

Contenu du fichier /etc/hosts (gedit /etc/hosts), dans fichier nous avons juste ajouté la
première ligne

192.168.3.254 srvsupemir4.labs.supemir.ma srvsupemir4

# Added by NetworkManager

127.0.0.1 localhost.localdomain localhost

::1 srvsupemir4 localhost6.localdomain6 localhost6

127.0.1.1 srvsupemir4

# The following lines are desirable for IPv6 capable hosts

::1 localhost ip6-localhost ip6-loopback

fe00::0 ip6-localnet

ff00::0 ip6-mcastprefix

ff02::1 ip6-allnodes

ff02::2 ip6-allrouters

ff02::3 ip6-allhosts

# fin de fichier

Lorsqu'une application est installée sur le système, apparmor la verouille en limitant

strictement ses accès aux seules ressources auxquelles elle a droit sans empêcher son
fonctionnement, ainsi il lui ait attribué un profil standard de sécurité qui restreint ses
capacités. Les profils standards sont stockés dans /etc/apparmor.d mais les modifications
locales de ces profils sont stockés dans /etc/apparmor/local et les profils standards incluent
les profils locaux. La synchronisation entre le serveur DHCP et le serveur DNS implique une
modification de profil, c'est ainsi que nous avons ajouté « <include/usr.sbin.named>» dans
le fichier /etc/apparmor.d/usr.sbin.named avant l'accolade fermante ; puis nous avons crée
le fichier /etc/apparmor.d/local/usr.sbin.named dont le contenu est :

/etc/bind/* rw,

/etc/bind rw,

A la suite de ce qui précède, il faut accorder les droits nécessaire à l'utilisateur bind qui est
crée lors de l'installation de bind. Lorsqu'il est crée, il est ajouté au groupe root et est
propriétaire du répertoire /etc/bind, par contre le groupe root n'est pas le droit d'écriture dans
ce répertoire par défaut. Nous avons accordé le droit d'écriture au groupe avec le commande
« chmod 774 /etc/bind ».

Test du serveur

Plusieurs outils sont disponibles pour réaliser des tests de la configuration du serveur et de
ses zones tels que named-checkconf, named-checkzone, nslookup et dig, nous avons utilisé
nslookup à cet effet, voici un aperçu du test :

Figure 6 : Résultat du test de résolution de nom par le serveur DNS.

c. Serveur de fichiers

Le logiciel Samba est un outil permettant de partager des dossiers et des imprimantes à
travers un réseau local. Il permet de partager et d'accéder aux ressources d'autres ordinateurs
fonctionnant avec des systèmes d'exploitation Microsoft® Windows et Apple Mac OS X,
ainsi que des systèmes GNU/Linux, BSD et Solaris dans lesquels une implémentation de
Samba est installée. Pour partager de manière simple des ressources entre plusieurs
ordinateurs, l'utilisation de Samba est conseillée. Vu les fonctionnalités qu'offrent ce logiciel,
nous avons en usé de sa possibilité d'émuler un domaine Windows pour le configurer en
contrôleur de domaine principal (PDC). Le contrôleur de domaine principal est un serveur
chargé du contrôle de l'authentification des requêtes de connexion et d'accès aux ressources
dans un domaine windows qui est quant à lui un groupe d'ordinateurs (techniquement appelé
forêt) où l'accès à une variété de ressources hébergée sur un ordinateur est contrôlé par la
PDC. Il existe divers outils pour une configuration graphique de samba mais nous avons
souhaité utiliser le shell car celui-ci offre la possibilité de configurer tous les paramètres de
samba.

Installation

Afin d'installer les paquets minimums nécessaires pour la suite des opérations, nous avons
lancé les commandes suivantes :

apt-get update

apt-get update --fix-missing

apt-get install ssh (pour l'accès au serveur à distance)

apt-get install samba

Création des groupes et des utilisateurs

Afin que tout le monde ne puisse pas accéder à tous les fichiers, il a fallu restreindre l'accès à
certains utilisateurs et à certains groupes et pour cela nous les avons créé au préalable. Nous
avons crée trois groupes : etudiants, profs et cadre. Chacun de ces groupes contient des
utilisateurs et nous avons créé juste ceux donc nous avions besoins.

Figure 7 : Création des groupes et des utilisateurs.

Dans notre cas, nous avons utilisé plusieurs options. L'option -m qui permet de créer
directement le répertoire home du nouvel utilisateur. Ce répertoire se situe dans /home/.
L'option -g permet à l'utilisateur de rejoindre le groupe spécifié en paramètre. L'option -R de
la commande chmod permet d'appliquer le mode d'accès préciser à tous les fichiers dans les
sous répertoires de manière récursive.

Après cette manipulation il faut activer ces comptes utilisateurs dans Système>
Administration> Utilisateurs et groupes, en saisissant le mot de passe de chaque
utilisateur à la demande.

Pour que les utilisateurs aient accès aux ressources de samba, il a fallu que nous les ajoutions
à samba grâce à la commande smbpasswd de la manière ci-dessous :

Figure 8 : Ajout des utilisateurs au serveur Samba.

L'option -a permet juste de spécifier le nom de l'utilisateur. Il faut faire pareil pour le compte
root à fin de lui permettre d'intégrer des postes clients au domaine.

Ajout des machines sous samba

Pour que chaque machine puisse se connecter au domaine au démarrage, il faut qu'il ait un
compte au niveau du contrôleur de domaine samba pour cela nous avons créé un groupe
ordinateurs qui contiendra toutes les machines du domaine.

Par exemple pour joindre le poste portant le nom supemirpc3, il faut un compte machines
portant ce nom sur le PDC.

Création du groupe ordinateus

Ajoute de l'utilisateur supemirpc3$

Ajout de son mot de passe à /etc/samba/smbpasswd :

Ne pas oublier le $ à la fin du nom, tout se passe comme ci-dessous :

Figure 9 : Ajout du groupe des ordinateurs et d'un compte machine à Samba.
L'option -m permet de préciser que ce compte est un compte machine et de ce fait il n'a pas
de mot de passe.

Création des dossiers de partage

Vu que le répertoire public est accessible par tout le monde, nous avons donné le droit de
lecture, écriture er exécution des fichiers et répertoires à tout le mode : chmod 777
/home/public.

Figure 10 : Création des répertoires de partage.

Le répertoire profiles permet de stocker les profiles des utilisateurs qui se connectent au
domaine à fin de le permettre de garder leur environnement de travail quelque soit le poste
sur lequel ils se connecteront, le répertoire netlogon quant à lui permet de stocker les scripts
de connexion.

Configuration de smb.conf

Le fichier smb.conf est le fichier de configuration de samba contenu dans le répertoire

/etc/samba/. Ce fichier décrit les ressources que l'on désire partager, ainsi que les
permissions/restrictions qui leur sont associées.

gedit /etc/samba/smb.conf pour éditer le fichier de configuration et le modifier comme suit :

# smb.conf par A.K

#--------CONFIGURATION GLOBALE---------------------------

[global]

workgroup = labs.supemir.ma

# nom sous lequel appara®tre le serveur dans le voisinage r(c)seau

netbios name = srvsupemir4

# ce qui appara®tra dans la rubrique d(c)tail du voisinage r(c)seau, %v fait appara®tre le

n° de version de samba

server string = %h Serveur Samba %v

# les mots de passes transitent chiffr(c)s

encrypt passwords = Yes

# lieux de stockage du journal des (c)v(c)nements

log file = /var/log/samba/log.%m

# taille max du journal

max log size = 50

# param·tre qui permet d'augmenter les performances r(c)seau

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

# pas de proxy dns

dns proxy = No

username map = /etc/samba/smbusers

# oblige les utilisateurs   avoir un compte sur le serveur pour se connecter

security = user

# crypter le mot de passe

encrypt passwords = true

# base de donn(c)es des utilisateurs, groupes et mots de passe

passdb backend = tdbsam:/var/lib/samba/pdcpass.tdb

smb passwd file = /etc/samba/smbpasswd

# synchronisation des mots de passe samba avec les mots de passe linux

unix password sync = yes

pam password change = yes

passwd program = /usr/bin/passwd %u

passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n

*password\supdated\ssuccessfully* .

#pour pouvoir synchroniser l'horloge des client sur celle du serveur

time server = yes

# autorise la connection des utilisateurs sur le domaine

domain logons = yes

# ce serveur est le controleur du domaine

domain master = yes

# dans le cas de la pr(c)sence de plusieurs contr'leurs de domaine, c'est le serveur qui est le
favori

preferred master = yes

# il fait autorit(c) sur le r(c)seau local

local master = yes

# permet de gagner l'(c)lection contre les autres machines windows

os level = 255

#sp(c)cifie que root et les user du groupe cadre peuvent joindre le domaine sur les clients

#domain admin group = @root,@cadre

# repertoire de connexion

logon home = \\%N\%H

logon path = \\%N\profile\%U

logon script = %U.bat

# administrateur du domain

admin users = root manager

#--------CONFIGURATION DU PARTAGE DES FICHIERS-------------

[netlogon]

comment = R(c)pertoire des scripts de connextion

path = /home/netlogon/

browseable = no

writeable = no

write list = root, manager

#

[profile]

comment = R(c)pertoire des profiles de connextion

path = /home/profile

browseable = no

writeable = yes

create mask = 0700

directory mask = 0700

[public]

comment = R(c)pertoire Public

public = yes

path = /home/public

# il est accessible en (c)criture

writeable = yes

valid users = @profs,@cadre,@etudiants

write list = @profs,@cadre,@etudiants

read list = @profs,@cadre,@etudiants

# les fichiers cr(c)(c)s sont en lecture seule, sauf pour le propri(c)taire

create mode = 0755

[cours]

comment = Repertoire des cours acc(c)ssibles par les profs

path = /home/cours
browsable=no

#valid users = @profs

valid users = @profs

write list = @profs

read list = @profs

[direction]

comment = Repertoire des cours acc(c)ssibles par les profs

path = /home/direction

browsable=no

valid users = @cadre

write list = @cadre

read list = @cadre

[amine]

comment = Repertoire amine

path = /home/amine

browsable=no

valid users = amine

[achraf]

comment = Repertoire achraf

path = /home/achraf

browsable=no
valid users = achraf

[mounir]

comment = Repertoire mounir

path = /home/mounir

browsable=no

valid users = mounir

[khalid]

comment = Repertoire khalid

path = /home/khalid

browsable=no

valid users = khalid

[niveau1]

comment = Repertoire des cours niveau1

path = /home/niveau1

#browseable = no

valid users = @profs,niveau1

write list = @profs

read list = niveau1

[niveau2]

comment = Repertoire des cours niveau2

path = /home/niveau2

#browseable = no

valid users = @profs,niveau2

write list = @profs

read list = niveau2

[niveau3]

comment = Repertoire des cours niveau3

path = /home/niveau3

#browseable = no

valid users = @profs,niveau3

write list = @profs

read list = niveau3

[niveau4]

comment = Repertoire des cours niveau4

path = /home/niveau4

#browseable = no

valid users = @profs,niveau4

write list = @profs

read list = niveau4

[niveau5]

comment = Repertoire des cours niveau5

path = /home/niveau5

#browseable = no

valid users = @profs,niveau5

write list = @profs

read list = niveau5

# partarge supervision

[manager]

comment = Repertoire de supervision

browseable = no

path = /home/

valid users = manager

write list = manager

read list = manager

# fin de fichier

Scripts de connexion

Etant donnée que les utilisateurs ne son pas nombreux, nous avons créé un script pour
chacun d'eux, ainsi ne seront montés à la connexion au domaine uniquement les partages
auxquels l'utilisateur a droit.

gedit /home/netlogon/achraf.bat

REM montage du répertoire de l'utilisateur

NET USE R: \\srvsupemir4\direction

NET USE S: \\srvsupemir4\public

NET USE X: \\srvsupemir4\achraf

REM réglage de l'heure du client par arpport à celle du serveur

NET TIME \\srvsupemir4\ /SET /YES

gedit /home/netlogon/amine.bat

REM montage du répertoire de l'utilisateur

NET USE R: \\srvsupemir4\direction

NET USE S: \\srvsupemir4\public

NET USE X: \\srvsupemir4\amine

REM réglage de l'heure du client par arpport à celle du serveur

NET TIME \\srvsupemir4\ /SET /YES

gedit /home/netlogon/mounir.bat

REM montage du répertoire de l'utilisateur

NET USE R: \\srvsupemir4\direction

NET USE S: \\srvsupemir4\public

NET USE X: \\srvsupemir4\mounir

REM réglage de l'heure du client par arpport à celle du serveur

NET TIME \\srvsupemir4\ /SET /YES

gedit /home/netlogon/khalid.bat

REM montage du répertoire de l'utilisateur

NET USE R: \\srvsupemir4\direction

NET USE S: \\srvsupemir4\public

NET USE X: \\srvsupemir4\khalid

REM réglage de l'heure du client par arpport à celle du serveur

NET TIME \\srvsupemir4\ /SET /YES

gedit /home/netlogon/prof1.bat

REM montage du répertoire de l'utilisateur

NET USE R: \\srvsupemir4\niveau1

NET USE S: \\srvsupemir4\niveau2

NET USE X: \\srvsupemir4\niveau3

NET USE Y: \\srvsupemir4\niveau4

NET USE W: \\srvsupemir4\niveau5

NET USE Y: \\srvsupemir4\niveau4

NET USE W: \\srvsupemir4\public

REM réglage de l'heure du client par arpport à celle du serveur

NET TIME \\srvsupemir4\ /SET /YES

gedit /home/netlogon/niveau1

REM montage du répertoire de l'utilisateur

NET USE R: \\srvsupemir4\niveau1

NET USE S: \\srvsupemir4\public

REM réglage de l'heure du client par arpport à celle du serveur

NET TIME \\srvsupemir4\ /SET /YES

Ceci a été fait pour les 4 autres niveaux.

Test de la configuration

Avant le démarrage du serveur, nous avons procédé à une examination de la syntaxe du

fichier de configuration grâce à la commande testparm. Pour cela nous avons du installé le
package samba-common-bin (apt-get install samba-common-bin). Cette commande vérifie
la syntaxe du fichier de configuration par contre elle ne garantit pas le bon fonctionnement
du serveur. Elle inspecte toutes les sections du fichier de configuration, il n'y pas d'erreur
dans la syntaxe, nous avons un aperçu comme ci-dessous.

Figure 11 : Résultat du test de la syntaxe du fichier de configuration.

Connexion au serveur

Le serveur configuré, il est nécessaire de le relancer pour que les modifications soient prises
en compte : service smbd stop / service smbd start. Le service smbd est celui qui gère le
partage de fichiers et d'imprimantes.

Pour vérifier que les répertoires ont été correctement partagés nous avons utilisé la
commande smbclient de la manière suivante : smbclient -L //127.0.0.1/ (le 127.0.0.1 car
nous sommes toujours sur le serveur, sur un machine linux à distance on doit préciser
l'adresse IP du serveur), puis saisir le mot de passe root ; nous obtenons cet aperçu :

Figure 12 : Aperçu des répertoires partagés sur le serveur.

L'option -L permet de spécifier l'hôte en renseignant son adresse IP.

La commande smbclient permet aussi à un utilisateur d'accéder au partage sur linux.

Figure 13 : Utilisation du serveur.

L'option -U permet de préciser l'utilisateur qui veut se connecter au partage. Le console nous
demande le mot de passe de l'utilisateur et autorise l'accès si ce dernier est correct et si
l'utilisateur possède les droits pour accéder à ce partage.

Connexion au partage : smbclient

Affiche des fichiers présents dans le répertoire de partage : ls

Quitter le partage : exit

Intégration d'un client windows dans samba

L'intégration au domaine samba permet à l'utilisateur de monter directement ses répertoires

de partage sur son poste de travail et là il verra des lecteurs réseaux identifiants les partages
auxquels il a accès au niveau du serveur. Là c'est plus sécurisant parce que l'utilisateur ne
voit que les partages auxquels il a droit. La procédure est la suivante :

Démarrer > clic droit sur poste de travail > Propriétés > Nom de l ordinateur >
Modifier

Figure 14 : Intégration d'un client windows au domaine.

Il est nécessaire de s'authentifier avec un compte Administrateur de domaine sur notre poste
client.
Notre ordinateur est désormais intégré au domaine.

A l'ouverture de session, le client doit choisir de se connecter au domaine afin de monter les
répertoires de partage auxquels il a accès dans l'explorateur. Voici l'aperçu de ces lecteurs
dans l'explorateur.

Figure 15 : Lecteurs réseau associées au partage de l'utilisateur achraf.

d. Serveur de mails

La plupart des serveurs de messagerie possèdent ces deux fonctions (envoi/réception), mais
elles sont indépendantes et peuvent être dissociées physiquement en utilisant plusieurs
serveurs. L'agent de transfert de courriel communément appelé MTA (Mail Transfert Agent),
en anglais est un programme qui reçoit et envoie les courriels depuis votre serveur, et par
conséquent, en est la pierre angulaire. On distingue plusieurs sortes de MTA dont les plus
connus sont : Postfix, Exim4, SendMail, Google Mail, Fetchmail, Mailman Xmail et Zimbra.
Pour notre projet, nous avons choisi d'utiliser Postfix. Pour permettre le téléchargement des
courriels depuis les postes clients, il est nécessaire de configurer un serveur IMAP ou POP3.
Il en existe de nombreux. On a par exemple Dovecot, Cyrus et Courier. Tous les serveurs
cités dessus peuvent être installés depuis le dépôt principal, et donc bénéficier des mises à
jour de sécurité lorsque cela est nécessaire. Mais celui pour lequel nous avons opté pour ce
projet est le serveur Dovecot.

Postfix est un serveur de messagerie électronique et un logiciel libre développé par Wietse
Venema et plusieurs contributeurs. Il se charge de la livraison de courriers électroniques (
courriels) et a été conçu comme une alternative plus rapide, plus facile à administrer et plus
sécurisée que l'historique Sendmail.

Postfix permet de gérer presque tous les cas d'une utilisation professionnelle, il permet
d'éviter bon nombre de spams sans même devoir scanner les contenus de message.

La mise en place de ce serveur passe par plusieurs étapes :

Vérification du nom du serveur

Cette opération se fait à l'ai de la commande hostname de la manière suivante :

Figure 16 : Vérification du nom d'hôte.

Installation des paquets requis

Une mise à jour de la liste des fichiers disponibles dans les dépôts APT présents dans le
fichier de configuration /etc/apt/sources.list et une mise à jour de tous les paquets installés
sur le système vers les dernières versions sont nécessaires pour la suite. Pour cela nous avons
utilisé  les commandes ci-après :

apt-get update

apt-get upgrade

Les paquets postfix, mysql, dovecot et bien d'autres sont installés comme suit :

apt-get install postfix postfix-mysql postfix-doc mysql-client mysql-server dovecot-common

dovecot-imapd dovecot-pop3d postfix libsasl2-2 libsasl2-modules libsasl2-modules-sql
sasl2-bin libpam-mysql openssl telnet mailutils

Lors de cette installation, nous avons configuré dans différentes boîtes de dialogues les
paramètres suivants :

Ø Le mot de passe root pour MySQL

Ø Le type de configuration du serveur mail : 'Site internet'

Ø Le nom de domaine pleinement qualifié du système de messagerie : 'labs.supemir.ma'.

Configuration de Mysql pour les domaines et utilisateurs virtuels

Pour ce faire nous nous sommes connectés à la base de données au travers de cette
commande :

Figure 17 : Connexion à la base de données.

Nous avons créé la base de données pour notre serveur de messagerie de la manière
suivante :

CREATE DATABASE mail;

USE mail;

Après sa création nous nous sommes connectés à elle pour créer les différentes tables qu'elle
doit contenir. Nous avons créé un compte administrateur « mail_admin » avec mot de passe
pour gérer la base de données des mails, nous lui avons donné les droits adéquats :

Figure 18 : Création d'un utilisateur avec d'c droits.

Nous avons crée les tables :

Ø domains qui contient les domaines virtuels

Ø forwardings qui gère l'acheminement des mails

Ø users qui enregistre les adresses email des utilisateurs

Ø transport

Après ces manipulations, il faut quitter l'invite de commande avec la commande « quit »
pour pourvoir continué la configuration.

Il faut vérifier dans le fichier /etc/mysql/my.cnf que Mysql est configuré pour utiliser
localhost c'est-à-dire l'adresse IP 127.0.0.1 ; ceci est confirmé par la présence de la ligne
« bind-address = 127.0.0.1 » dans le dit fichier. Cette ligne permet à postfix de
communiquer avec le serveur de base de données en local.

Il faut redémarrer mysql pour la prise en compte des modifications : service mysql restart .

Configuration de postfix pour utiliser Mysql

Nous avons créé des fichiers de configurations suivants :

Ø /etc/postfix/mysql-virtual_domains.cf pour la gestion du domaine virtuel postfix, ci-

dessous son contenu :

user = mail_admin

password = password_admin

dbname = mail

query = SELECT domain AS virtual FROM domains WHERE domain='%s'

hosts = 127.0.0.1

Ø /etc/postfix/mysql-virtual_forwardings.cf pour le transfert postfix, ci-dessous son

contenu :
user = mail_admin

password = password_admin

dbname = mail

query = SELECT destination FROM forwardings WHERE source='%s'

hosts = 127.0.0.1

Ø /etc/postfix/mysql-virtual_mailboxes.cf pour les boîtes aux lettres virtuelles, ci-dessous

son contenu :

user = mail_admin

password = password_admin

dbname = mail

query = SELECT CONCAT(SUBSTRING_INDEX(email,'@',-

1),'/',SUBSTRING_INDEX(email,'@',1),'/') FROM users WHERE email='%s'

hosts = 127.0.0.1

Ø /etc/postfix/mysql-virtual_email2email.cf, ci-dessous son contenu :

user = mail_admin

password = password_admin

dbname = mail

query = SELECT email FROM users WHERE email='%s'

hosts = 127.0.0.1

La valeur de password_admin dans les fichiers ci-dessus est le mot de passe de

l'administrateur `mail_admin' que nous avons précédemment créé.

Nous avons attribué des autorisations appropriées au groupe utilisant ces fichiers de
configurations ainsi :

chmod o= /etc/postfix/mysql-virtual_*.cf

chgrp postfix /etc/postfix/mysql-virtual_*.cf

Nous avons aussi créé un utilisateur et un groupe pour le traitement des courriers
électroniques, ainsi toutes les boîtes aux lettres des utilisateurs sont stockées dans ce
répertoire :

Groupadd -g 5000 vmail

Useradd -g vmail -u 5000 vmail -d /home/vmail -m

Pour compléter la suite de la configuration, nous avons exécuté la suite des commandes ci-
dessous :

Figure 19 : Suite configuration postfix.

Création d'un certificat SSL pour postfix

Nous avons créé ce certificat avec la commande suivante :

Figure 20 : Création du certificat SSL.

Le certificat créé, nous lui avons attribué les droits nécessaires pour l'utilisation de la clé par
cette commande : chmod o = /etc/postfix/smtpd.key

Configuration de saslauthd pour utiliser Mysql

Le saslauthd est le processus démon qui prend en charge l'authentification en texte plein des
requêtes des utilisateurs. Il faut créer un répertoire pour saslauthd avec la commande :

mkdir -p /var/spool/postfix/var/run/saslauthd

Ensuite, il faut faire une sauvegarde du fichier /etc/default/saslauthd avec la commande :

cp -a /etc/default/saslauthd/etc/default/saslauthd.bak

Nous avons remplacé son contenu comme suit :

START=yes

DESC="SASL Authentication Daemon"

NAME="saslauthd"

MECHANISMS="pam"
MECH_OPTIONS=""

THREADS=5

OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r"

Il faut aussi crée le fichier /etc/pam.d/smtp avec ce contenu :

auth required pam_mysql.so user=mail_admin passwd=mail_admin_password

host=127.0.0.1 db=mail table=users usercolumn=email passwdcolumn=password crypt=1

account sufficient pam_mysql.so user=mail_admin passwd=mail_admin_password

host=127.0.0.1 db=mail table=users usercolumn=email passwdcolumn=password crypt=1

Le dernier fichier à créer est /etc/postfix/sasl/smtp.conf avec ce contenu :

pwcheck_method: saslauthd

mech_list: plain login

allow_plaintext: true

auxprop_plugin: mysql

sql_hostnames: 127.0.0.1

sql_user: mail_admin

sql_passwd: mail_admin_password

sql_database: mail

sql_select: select password from users where email = '%u'

Nous avons donné des permissions et droits adéquats pour l'utilisation de ces fichiers de
configuration de la manière suivante :

chmod o= /etc/pam.d/smtp

chmod o= /etc/postfix/sasl/smtpd.conf

Pour que postfix puisse utiliser les services du deomon saslauthd, il faut ajouter l'utilisateur
postfix au groupe sasl, puis redémarrer les services pour la prise en compte des
configurations faites :

adduser postfix sasl

service postfix restart

service saslauthd restart

Configuration de Dovecat

Nous avons choisi ce serveur IMAP/POP3 pour sa aisance à configurer et son efficacité.
Pour configurer Divecot, nous avons édité le fichier /etc/postfix/master.cf et ajouté en fin de
ligne :

dovecot unix - n n - - pipe

flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -d ${recipient}

Avant la modification du fichier /etc/dovecot/dovecot.conf de sauvegarde avec cette

commande :

cp -a /etc/dovecot/dovecot.conf /etc/dovecot/dovecot.conf.bak

Nous l'avons édité ensuite remplacé son contenu par celui-ci :

protocols = imap imaps pop3 pop3s

log_timestamp = "%Y-%m-%d %H:%M:%S "

mail_location = maildir:/home/vmail/%d/%n/Maildir

ssl_cert_file = /etc/ssl/certs/dovecot.pem

ssl_key_file = /etc/ssl/private/dovecot.pem

namespace private {

separator = .

prefix = INBOX.

inbox = yes

protocol lda {

log_path = /home/vmail/dovecot-deliver.log

auth_socket_path = /var/run/dovecot/auth-master

postmaster_address = postmaster@labs.supemir.ma

mail_plugins = sieve
global_script_path = /home/vmail/globalsieverc

protocol pop3 {

pop3_uidl_format = %08Xu%08Xv

auth default {

user = root

passdb sql {

args = /etc/dovecot/dovecot-sql.conf

userdb static {

args = uid=5000 gid=5000 home=/home/vmail/%d/%n allow_all_users=yes

socket listen {

master {

path = /var/run/dovecot/auth-master

mode = 0600

user = vmail

client {

path = /var/spool/postfix/private/auth

mode = 0660

user = postfix

group = postfix
}

Etant donné que Mysql est utilisé pour stocker les mot de passe, nous avons faites une copie
de sauvegarde et l'avons ainsi modifié :

driver = mysql

connect = host=127.0.0.1 dbname=mail user=mail_admin password=mail_admin_password

default_pass_scheme = CRYPT

password_query = SELECT email as user, password FROM users WHERE email='%u';

La configuration de dovecot terminées, il faut redémarrer pour se rassurer qu'il fonctionne:

service dovecot restart .

Une vérification également dans le fichier /var/log/mail.log est nécessaire en utilisant la

commande tail : tail /var/log/mail.log , nous avons obtenu ceci

Figure 21 : Aperçu des fichiers logs.

Avant de tester dovecot, nous avons modifié les permissions sur le fichier
/etc/dovecot/dovecot.conf pour permettre à l'utilisateur vmail d'y accéder :

chgrp vmail /etc/dovecot/dovecot.conf

chmod g +r /etc/dovecot/dovecot.conf

Test de connexion au serveur pop

Figure 22 : Test de connexion au serveur POP.

Configuration des alias massagerie

Pour ce faire, nous avons édité le fichier /etc/aliases et l'avons ainsi modifié :

postmaster: root
root: postmaster@labs.supemir.ma

Après avoir modifié ce fichier, un redémarrage de Postfix est requis pour mettre à jour les
alias. La configuration de Postfix est complète, nous sommes au test du serveur mail pour
être sûr qu'il fonctionne correctement.

Figure 23 : Redémarrage de postfix

Test de Postfix

Pour ce faire, il faut saisir la commande suivante : telnet localhost 25

Etant connecté, il faut saisir cette commande pour continuer le test : ehlo localhost

Nous obtenons ceci :

Figure 24 : Aperçu du test de connexion au serveur.

Pour quitter Postfix, il faut entrer la commande quit.

Configuration des domaines et des utilisateurs

Nous avons dans cette partie, ajouté notre domaine labs.supemir.ma à la table domains et
ajouté également un utilisateur nommé test à la table users . Ceci a nécessité une connexion
à la base de données comme suit :

mysql -u root -p

USE mail;

INSERT INTO domains (domain) VALUES ('labs.supemir.ma');

INSERT INTO users (email, password) VALUES ('test@labs.supemir.ma',

ENCRYPT('password'));

Quit

Pour activer les nouveaux comptes emails, il faut leur envoyer un message afin qu'ils soient
accessibles par IMAP ou POP3. Ceci est au fait que les emails des nouveaux utilisateurs ne
sont pas créés jusqu'à ce qu'un mail ne leur soit envoyés.

Nous nous sommes servis de mailutils pour envoyer un message à notre nouvel utilisateur
test, pour ce faire on tape la commande :

Figure 25 : Envoi de mail.

La combinaison de touche ctrl+D est utilisé pour compléter le message.

Ensuite une vérification des fichiers de log de Dovecot situé dans /var/log/mail.log est
requise, nous avons obtenu le message ci-dessous, ce qui signifier que le mail a bien été
envoyé :

Figure 26 : Aperçu du fichier mail.log

Enfin une vérification des fichiers de log de Dovecot situé dans /home/vmail/dovecot-
deliver.log est requise, nous avons obtenu le message ci-dessous, ce qui signifier que le mail
a bien été envoyé :

La configuration de notre serveur mail s'achève ici, mais pour permettre à nos utilisateurs de
pouvoir accéder à leur mail en interface graphique nous avons donc à cet effet mis en place
un webmail.

Installation de squirrelmail

Un webmail ou messagerie Web, est une interface Web rendant possible l'émission, la
consultation et la manipulation de courriers électroniques directement sur le Web depuis un
navigateur.

Un logiciel de webmail est un client de messagerie qui s'exécute sur un serveur Web, Il sert
d'interface entre un serveur de messagerie et un navigateur web contrairement au client lourd
qui permet les mêmes opérations à partir d'un logiciel installé localement sur un ordinateur
personnel. Les avantages du webmail pour l'utilisateur sont de ne pas avoir à installer un
logiciel spécialisé sur sa ou ses machines, de ne pas avoir à faire la configuration de base
pour envoyer et recevoir le courrier et de déporter la responsabilité de la sécurité de
l'installation vers le serveur. Les inconvénients de cette solution sont d'être dépendant en
performance de la rapidité du réseau, en particulier si le nombre de message est grand ou s'il
y a des pièces jointes de taille importante dans les messages.

Nous avons plusieurs sortes de webmail sous la distribution GNU/Linux dont les plus
connus sont : Squirrelmail et Roundcube. Dans la suite de notre projet, nous avons utilisé
Squirrelmail pour sa facilité de déploiement, sa rapidité et sa configuration assez simple.
Nous avons installé Squirrelmail en saisissant la commande :

apt-get install squirrelmail

Il est fournit avec une interface qui facilite sa configuration. Cette interface est accessible par
la commande : squirrelmail-configure

Figure 27 : Interface de configuration de squirrelmail.

Le menu 2 'Server settings' (paramètres du serveur de messagerie) permet de renseigner les

paramètres IMAP tels que le nom du serveur, le port utilisé et dans le menu 4 `General
options', nous avons activé l'option `Allow server-side sorting' pour permettre le tri des
mails côté serveur.

Squirrelmail est livré avec un fichier de configuration apache

dans /etc/squirrelmail/apache.conf . Pour permettre l'accès à squirrelmail via un navigateur,
nous avons copié ce fichier dans /etc/apache2/sites-available/squirrelmail avec la commande:

cp /etc/squirrelmail/apache.conf /etc/apache2/sites-available/squirrelmail

Ensuite nous avons créé un lien vers le répertoire sites-enabled avec la commande :

ln -s /etc/apache2/sites-available/squirrelmail /etc/apache2/sites-enabled/squirrelmail

Nous avons terminé la configuration, en saisissant en fin la commande : a2ensite

squirrelmail

Test d'utilisation

Squirrelmail est accessible à travers cette url http://labs.supemir.ma/squirrelmail et nous

obtenons cette interface qi permet à l'utilisateur de s'identifier pour accéder à sa boîtes aux
lettres.

Figure 28 : Aperçu de l'interface de connexion à squirrelmail.

En entrant le login test@labs.supemir.ma et le mot de passe de notre utilisateur `test', nous

entrons dans la boîte mail et nous apercevons ci-dessous le contenu de sa boîte aux lettres.

Figure 29 : Interface de la boîte aux lettres d'un utilisateur.

Nous avons créé des mails virtuels pours les membres de l'administration et les étudiants par
niveau, tous ces utilisateurs peuvent désormais accéder à leurs boîte aux lettres à partir de
toutes les machines du réseau local en saisisant l'adresse :
http://labs.supemir.com/squirrelmail .

Après la mise en place de notre serveur mail et d'un webmail, nous avons pensé à
implémenter une sécurité contre les spams, qui représentent une réelle entrave pour les
serveurs mail. C'est ainsi que pour pallier au problème des spams, nous avons d'installer
SpamAssassin.

Mise en place de SpamAssassin

Ce logiciel a pour but de filtrer le trafic des courriels pour éradiquer les courriels reconnus
comme pourriels ou courriels non sollicités. Face à l'augmentation importante du spam, ce
logiciel connaît un engouement important et est adaptable sur de nombreux serveurs de
courriels Postfix.

SpamAssassin est un programme (en Perl) qui fait passer un certain nombre de tests au
message. En fonction du résultat de ces tests, il attribue un score au message. Si le score
dépasse un certain seuil, le courriel est alors considéré comme du Spam. SpamAssassin
modifie alors le titre du message (il l'encadre par ** SPAM **). De plus, SpamAssassin
positionne deux nouveaux en-têtes au message : X-Spam-Status et X-Spam-Level. Ces deux
en-têtes permettent alors de créer des filtres dans votre client de messagerie pour orienter le
message (par exemple vers la corbeille). Tous les messages doivent donc passer par
SpamAssassin pour être traités, avant d'arriver dans leur dossier définitif. Nous allons donc
procéder à l'installation de SpamAssassin. Ubuntu possède par défaut un anti-spam
Bogofilter, il est installé et activé par défaut, il faut donc au préalable le désinstaller, cela se
fait en ligne de commande ou en passant par la logithèque Ubuntu. Ensuite on peut installer
SpamAssassin, en tapant la commande :

apt-get install spamassassin spamc

Nous avons souhaité qu'il ne démarre pas en tant que root, de ce fait nous avons créé un
groupe et un utilisateur spamd de la manière suivante :

groupadd spamd

useradd -g spamd -s /bin/false -d /var/log/spamassassin spamd

mkdir /var/log/spamassassin

chown spamd:spamd /var/log/spamassassin

Pour automatiser le demarrage de spamassassin au démarrage du système, nous avons faites

la modification suivante dans le fichier /etc/default/spamassassin :

ENABLED=1

SAHOME="/var/log/spamassassin/"
OPTIONS="--create-prefs --max-children 2 --username spamd \-H ${SAHOME} -s $
{SAHOME}spamd.log"

-max-children définit le nombre de processus enfant

-username définit le nom d'utilisateur de spamd précédemment créé

-H définit le répertoire de base

-s définit le fichier de log

Ensuite le redémarrage du deamon spamassassin se fait en exécutant la commande :

/etc/init.d/spamassassin start .

Pour permettre à spamassassin d'utiliser Postfix, nous avons modifié le fichier

/etc/postfix/master.cf en ajoutant cette ligne en début de ce fichier :

smtp inet n - - - - smtpd

-o content_filter=spamassassin

Puis en ajoutant cette autre à la fin du même fichier :

spamassassin unix - n n - - pipe

user=spamd argv=/usr/bin/spamc -f -e

/usr/sbin/sendmail -oi -f ${sender} ${recipient}

Ceci fait, nous avons redémarré, nous avons redémarré Postfix pour charger la modification
effectuée.

Il a été important de faire un test pour s'assurer du bon fonctionnement se spamassassin, de

cet fait nous avons envoyé des spams volontairement à notre adresse test@labs.supemir.ma
et une vérification des fichiers de log nous a donné le resultat ci-dessous qui attest le bon
fonctionnement du filtre antispam.

Jul 26 14:56:10 localhost postfix/pipe[12139]: 9CBD5DA4BF: \

to=<test@labs.supemir.ma>, relay=spamassassin, delay=17, status=sent (localhost)

Le serveur srvsupemir4 hébergeant plusieurs services, l'administration, la supervision de

tous ces services en ligne de commande s'avère très lourde ; afin faciliter ces tâches
d'administration, nous avons installé un logiciel qui prend en charge une vue générale sur
tous les services que nous avons installés sur ce serveur. C'est dans ce cadre qu'est intervenu
Webmin.

Installation de Webmin
Webmin est un outil permettant d'administrer une machine Linux. Il s'utilise par le biais d'un
navigateur web. Webmin est une mine d'or pour les administrateurs réseaux : presque tout
peut être configuré avec Webmin.

Nous avons procédé à l'installation de Webmin en ajoutant d'abord sa clé à notre système en
tapant :

cd /root

wget http://www.webmin.com/jcameron-key.asc

apt-key add jcameron-key.asc

la modification se fait également dans le fichier /etc/apt/sources.list en ajoutant cette ligne :

deb http://download.webmin.com/download/repository sarge contrib

Ceci fait, l'installation en ligne de commande est donc possible en exéxutant ces
commandes :

apt-get update

apt-get install webmin

Pour utiliser Webmin, il faut entrer dans notre navigateur l'adresse https://localhost:10000.
Et nous avons l'interface de login :

Figure 30 : Interface de connexion à Webmin.

Après avoir renseigné les champs de login et de mot de passe correctement, nous obtenons le
panneau visuel ci-dessous :

Figure 31 : Aperçu de la page d'accueil de Webmin.

Au travers de cette interface, nous avons une visibilité sur l'ensemble des services du
système, nous pouvons leur apporter des modifications d'une manière aisée. Il reste à noter
que pour des configurations affinées, il serait primordial de faire recourt aux fichiers de
configuration afin de faire les modifications manuellement.

Notre serveur est désormais fonctionnel, tout en respectant le cahier de charge qui a été
définit.

e. Serveur web
Le poste nommé srvsupemir3 est le nom du serveur qui nous a servi de serveur web. Pour
ce faire, nous avons procédé en deux étapes : d'abord nous avons installé un serveur web et
ensuite hébergé un site web qui nous a servi de site de test.

Sous le système GNU/Linux, nous disposons d'une variété de serveurs mais les plus réputés
sont : LAMP Server, Nginx, XAMPP.

Pour notre serveur, nous avons opté d'utiliser XAMPP car est que tout est bien ficelé pour
que tout s'installe facilement et s'utilise très facilement. XAMPP est un kit d'installation
d'Apache qui contient MySQL, PHP et Perl. Nous avons donc utilisé le kit Xampp pour les
systèmes Linux ; ce kit (testé sous SuSE, RedHat, Mandrake and Debian) comprend :
Apache, MySQL, PHP & PEAR, Perl, ProFTPD, phpMyAdmin, OpenSSL, GD, Freetype2,
libjpeg, libpng, gdbm, zlib, expat, Sablotron, libxml, Ming, Webalizer, pdf class, ncurses,
mod_perl, FreeTDS, gettext, mcrypt, mhash, eAccelerator, SQLite et IMAP C-Client.

Installation

Nous avons récupéré l'archive de xampp sur le site http://www.apachefriends.org/fr/xampp-

linux.html . Il s'installe de la manière suivante :

Explication :

· tar : le programme permettant de gérer les archives tar ou tar.gz (c'est le cas échéant).

· x : extrait l'archive.

· v : montre ce qu'il fait (vous verrez par vous-même si vous l'activez).

· f : utilise le fichier donné en paramètre, dans notre cas nous avons donné le chemin d'accès
absolu à ce fichier.

· z : prend en charge le type d'archive gzip (qui est utilisé ici).

· -C : redirige l'extraction de l'archive vers le dossier donné en paramètre après.

· /opt : répertoire d'installation des logiciels supplémentaires.

L'installation terminée, il est nécessaire de démarrer le service pour pouvoir l'utiliser, ceci au
travers de la commande : /opt/lampp/lampp start .

Figure 32 : Démarrage de xampp.

Test d'utilisation

Notre serveur web installé, il a fallu vérifier qu'il fonctionne correctement et pour ce faire
nous avons saisi l'adresse http://localhost dans la barre d'adresse du.

Sécurisation

L'inconvénient de xampp est qu'il est destiné à un usage de développement afin d'offrir le
plus d'ouverture possible. Les éléments de sécurité absents observés sont les suivants :

Ø Le mot de passe de l'administrateur de la base de données Mysql,

Ø L'accès au serveur de base de données depuis le réseau,

Ø Le serveur ftp intégré utilise un mot de passe par défaut connu,

Ø phpMyadmin est accessible depuis le réseau,

Ø Mysql et Apache s'exécutent via le même utilisateur.

Ceci ouvre des brèches exploitables par un utilisateur malveillant ou des initiateurs
d'attaques sur internet.

Pour corriger ces faiblesses de sécurité, il a été important pour nous d'exécuter cette
commande : /opt/lampp/lampp security, elle effectue une vérification de sécurité et rend le
service xampp plus sécurisé. Elle permet en fait de modifier les paramètres par défaut de la
manière suivante.

Figure 33 : Sécurisation du serveur Web.

Déploiement de notre site web

Pour ce déploiement, nous avons utilisé le CMS Joomla! sous lequel nous avons créé un site
pour l'école SUPEMIR. Joomla! Est un système de gestion de contenu libre, open source et
gratuit. Il est écrit en PHP et utilise une base de données MySql.

Nous avons donc exporté notre site créé localement et nous l'avons hébergé sous le serveur
web. Voici les étapes de mise en place de notre site web sous notre serveur :

Ø Exportation de la base de données de notre site,

Ø Création d'une nouvelle base de données qui va accueillir la base de données sous
PhpMyAdmin de Xampp,

Ø Copie de l'ensemble des fichiers de notre site que nous avons placé à l'arborescence de la
racine de notre site que nous avons créé avec la commande :

sudo mkdir /opt/lampp/htdocs/supemir

Ø Pour que le site soit fonctionnel sous notre serveur, nous avons donc modifié le fichier de
configuration de notre site config.php ( se trouvant à la racine de notre site) pour qu'il puisse
avoir accès à la base de données. Nous avons renseigné ce fichier par rapport à la
configuration de notre serveur.

Ø Pour permettre ensuite aux utilisateurs d'avoir accès à notre site, nous leur avons donné les
droits d'accès au dossier supemir et à ses arborescences grâce à la commande : sudo chmod
-R  777  /opt/lampp/htdocs/supemir

Maintenant nous pouvons nous connecter à notre site, en saisissant dans notre navigateur
https://localhost/supemir, ou depuis une machine du réseau nous saisissons :
https://192.168.4.2/supemir.

Figure 34 : Aperçu du site de test de SUPEMIR hébergé sur notre serveur.

f. Serveur proxy

Notre choix pour Squid se justifie par sa nature de logiciel libre et sa performance. Pour sa
mise en place tout comme les autres logiciels il faut avoir les doits d'administration.

Installation

L'installation se fait au moyen de la commande : apt-get install squid, celui-ci s'installe et

crée un répertoire /etc/squid/ contenant le principal fichier de configuration nommé
squid.conf.

Configuration

La configuration par défaut de squid est fonctionnelle, mais nous avons apporté des
modifications au fichier de configuration afin de l'optimiser, de mieux l'adapter à notre
environnement et également pour rester en parfaite adéquation avec notre cahier de charges.
Nous avons édité le fichier squid.conf et nous avons ajouté les lignes suivantes :

Ø Définition des droits d'accès (contrôle d'accès)

Nous avons définit ici les liste de contrôle d'accès pour la gestion des droits d'accès.

# définit le réseau local que squi doit gérer

acl local_network src 192.168.3.0/24

# définit un ensemble de poste auxquels nous autoriserons l'accès à l'interface du routeur

acl allow_clients src 192.168.3.11 192.168.3.12 192.168.3.13 192.168.3.14 192.168.3.15 

définit l'adresse du routeur auquel nous avons autorisé l'accès à partir de certains postes

acl router dst 192.168.1.1/24 

# définit l'horaire de connexion le matin

acl matin time MTWHFA 06:00-09:00 

# définit l'horaire de connexion à la pause

acl pause time MTWHA 12:00-13:00 

# définit l'horaire de connexion dans l'après midi

acl pauseven time F 12:00-14:00 

# définit l'horaire de connexion le matin

acl soir time MTWHFA 16:00-23:00 

Nous avons ajouté ces acls à la suite des lignes commaçant par « acl local_net » afin de
respecter la structure du fichier.

Ø Application des ACLs

Après avoir créé les listes de contrôle d'accès, nous les avons autorisé à utiliser le proxy
come suit :

# autoriser les acces aux heures définies

http_access allow local_network matin

http_access allow local_network pause

http_access allow local_network pauseven

http_access allow local_network soir

# permettre un accès permanent à internet aux members de l'administration

http_access allow allow_clients

# permettre aux member de l'administration d'accéder à l'interface web du routeur, refuser

aux postes
http_access allow allow_clients router

http_access deny !allow_clients router

Ces lignes sont ajoutées juste avant la ligne http_access deny all qui bloque

tout ce qui n'est pas permit explicitement.

Ø Autres modifications

o Nom du serveur

Dans la partie TAG : visible_hostname, nous avons ajouté le nom de notre serveur avec cette
ligne : visible_hostname srvsupemir2

o Ne pas divulguer l'identité du serveur

Nous avons désactivé l'option qui permet d'inclure l'adresse IP ou le nom du système dans
les requêtes http que le serveur proxy transfert, ceci en décommentant et en modifiant la
ligne « # forwarded_for on|off » comme suit : forwarded_for on. Ceci permet de réduire les
failles de sécurité au niveau du proxy.

o Messages d'erreur

Par défaut les messages d'erreur de squid sont en anglais, nous avons configuré la langue
française pour faciliter la compréhension des erreurs aux utilisateurs. Ainsi dans la partie
TAG : error_directory, nous avons décommenté et modifié la ligne comme suit :

error_directory /usr/share/squid/errors/French .

o Cache web

Puisque notre proxy doit jouer le rôle de cache, nous avons augmenté la taille du cache en
décommentant et en modifiant la ligne comme suit :

cache_dir ufs /var/spool/squid 50000 32 512 .

o DNS

Nous avons ajouté cette ligne pour préciser les serveurs dns que le proxy doit interroger. Ce
ci se fait dans la partie TAG : dns_nameservers :

dns_nameservers 192.168.1.1 192.168.3.254 212.217.0.1 212.217.0.12

o Proxy transparent

Afin d'obliger tous les utilisateurs à passer par le proxy avant d'aller sur internet, nous avons
configuré pour un usage transparent. Ainsi nous avons modifié la ligne « http_port 3128 »
comme suit : http_port 3128 transparent.

Pour un bon fonctionnement nous avons ajouté une règle au niveau du firewall qui redirige
toutes les requêtes du réseau local utilisant le port 80 vers le serveur proxy.

Redémarrage du service

Après tout les modifications, il est important de redémarrer le processus squid pour la prise
en compte des paramètres configurés : service squid stop puis service squid start.

Installation et configuration de SquidGuard

Nous avons opté de couplé squid avec squidGuard qui est un rédirecteur utilisé par ce
dernier pour limiter l'accès à certaines URL en fonction de l'utilisateur, de la machine, de
l'heure, du contenu ...

Ce logiciel a plusieurs avantages, mais n'en avons utilisé que deux. Le premier d'entre eux
est de limiter l'accès à des sites potentiellement dangeureux pour le poste client et plus
généralement pour le réseau. Enfin, d'un point de vue légal, le fait de détenir des documents
dégradants étant répréhensible, la mise en place de SquidGuard contribue à se prémunir de
ce genre de mésaventure.

- Installation : apt-get install squidGuard

- Récupération des blacklists (liste noire, elle contient des une liste des urls malveillantes)

wget ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz

tar -zxvf blacklists.tar.gz -C /var/lib/squidguard/db/

cd /var/lib/squidguard/db

mv blacklists/* .

rm -rf blacklists

Nous avons paramétré une mise à jour hebdomadaire des listes noires du squidGuard en
créant une tâche cron. Pour ce faire, nous avons le fichier nommé squidguard_blacklists
(gedit /etc/cron.weekly/squidguard_blacks) et nous y avons inscrit les lignes suivantes :

#!/bin/sh

# Fichier de recup hebodmadaire /etc/cron.weekly/squidguard_blacklists

if [ -d /var/lib/squidguard ]; then

wget ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz -O
/var/lib/squidguard/blacklists.tar.gz

tar -zxvf /var/lib/squidguard/blacklists.tar.gz -C /var/lib/squidguard/

rm -rf /var/lib/squidguard/db

mkdir /var/lib/squidguard/db || true

mv -f /var/lib/squidguard/blacklists/* /var/lib/squidguard/db/

chmod 2770 /var/lib/squidguard/db

rm -rf /var/lib/squidguard/blacklists /var/lib/squidguard/blacklists.tar.gz

/usr/bin/squidGuard -C all

chown -R proxy:proxy /etc/squid /var/log/squid /var/spool/squid /usr/lib/squid

/usr/sbin/squid /var/lib/squidguard

/etc/init.d/squid restart

fi

Nous avons rendu ce fichier exécutable comme suit : chmod +x

/etc/cron.weekly/squidguard_blacklists

Nous avons également modifié le fichier de configuration de squidGuard afin de préciser les
domaines auxquels nous avons appliqué des restrictions :

# CONFIG FILE FOR SQUIDGUARD

dbhome /var/lib/squidguard/db

logdir /var/log/squid

# ----------------------------------------

# Définition de la base de données de filtrage utilisée

# ----------------------------------------

dest adult {

domainlist adult/domains
urllist adult/urls

dest publicite {

domainlist publicite/domains

urllist publicite/urls

dest warez {

domainlist warez/domains

urllist warez/urls

dest porn {

domainlist porn/domains

urllist porn/urls

dest violence {

domainlist violence/domains

urllist violence/urls

# ----------------------------------------

# Définition des ACL

# ----------------------------------------

acl {

default {

# les thèmes supplémentaires sont à ajouter avant le mot-clé all par !<nom du thème>
pass !porn !adult !publicite !warez !violence all

# page qui s'affichera lors d'une tentative d'accès àaux sites interdits

redirect http://localhost/interdiction.html

Ceci fait, nous avons redémarré squid (service squid restart) pour charger les paramétrages
effectués.

Configuration d'une machine cliente

Puisque le service fourni utilise un port particulier du serveur, les machines clientes doivent
bien sûr être configurées en conséquence. Sur un poste client connecté sur le réseau local
(avec une adresse IP valide) et qui établit parfaitement un 'ping' vers le serveur proxy, nous
avons faites la configuration suivante.

Pour Firefox

Dans Outils -> Options

Sélection de l'onglet Connexion puis un clic sur Réseau Local

Cocher Serveur Proxy et entrer l'adresse IP 192.168.2.2 et le numéro de port d'écoute qui est
3128.

Pendant les heures où la connexion est interdite, les utilisateurs reçoivent ce message
lorsqu'ils essaient de se connecter :

Figure 35 : Message d'erreur pendant les heures où la connexion est interdite.

Nous avons paramétré cette page pour qu'elle informe l'utilisateur des horaires auxquels il
peut se connecter

g. Firewall

Notre firewall est un ordinateur sur lequel nous avons installé Red Had Enterprise linux
server 5. Netfilter que nous avons utilisé est un firewall natif intégré à linux qui utilise
iptables comme interface en ligne de commande pour sa configuration. Nous avons intégré
trois cartes réseau à ce poste afin de le relier au serveur web et au serveur proxy par des
câbles croisés ; il est relié au réseau local et au routeur par des câbles droits.
Nous avons attribué des adresses statiques à ces interfaces du firewall

Nous avons édité les fichiers et les avons modifiés comme suit :

gedit /etc/sysconfig/network-script/ifcfg-eth0

DEVICE=eth1

ONBOOT=yes

BOOTPROTO=dhcp

HWADDR=00:0c:29:74:15:67

TYPE=Ethernet

gedit /etc/sysconfig/network-script/ifcfg-eth1

DEVICE=eth0

ONBOOT=yes

BOOTPROTO=none

HWADDR=00:0c:29:74:15:5d

TYPE=Ethernet

NETMASK=255.255.255.0

IPADDR=192.168.2.1

USERCTL=no

IPV6INIT=no

PEERDNS=yes

gedit /etc/sysconfig/network-script/ifcfg-eth2

DEVICE=eth2

ONBOOT=yes

BOOTPROTO=none

HWADDR=00:0c:29:74:15:71
TYPE=Ethernet

NETMASK=255.255.255.0

IPADDR=192.168.4.1

USERCTL=no

IPV6INIT=no

PEERDNS=yes

gedit /etc/sysconfig/network-script/ifcfg-eth3

DEVICE=eth3

ONBOOT=yes

BOOTPROTO=none

HWADDR=00:0c:29:74:15:7b

NETMASK=255.255.255.0

IPADDR=192.168.3.1

TYPE=Ethernet

USERCTL=no

IPV6INIT=no

PEERDNS=yes

Mise en place de la passerelle

Afin d'activer le routage entre les quatres interfaces réseaux, nous avons activé le service
routage de Linux par la commande : « echo 1  > /proc/sys/net/ipv4/ip_forward » .

Pour rendre ce routage permanant nous avons modifié cette valeur dans le fichier
/etc/sysctl.conf en remplaçant la ligne « net.ipv4.ip_forward= 0 » par
« net.ipv4.ip_forward = 1 ».

Règles de filtrage

Accès  au réseau local à partir du réseau externe  interdit

Toutes les  requêtes http du réseau local doivent passer par le proxy
Accès au serveur web depuis le réseau local autorisé

Accès au serveur web depuis l'extérieur autorisé

Accès au réseau local depuis le serveur web interdit

Accès au serveur mail depuis l'extérieur autorisé

Accès au serveur proxy depuis l'extérieur  interdit

Accès au réseau local depuis le serveur proxy interdit

II. SECURITE

Mise en oeuvre d'un politique de sécurité

Nous avons axé notre politique de sécurité selon cinq axes :

- Se prémunir des attaques (proactif) en évitant, dans un premier temps, la présence des
failles dans les composants du système d'information. Dans l'optique de respecter ce premier
point, nous avons opté pour des versions stables des logiciels mis sur le réseau.

- Bloquer les attaques en leur empêchant de parvenir jusqu'aux composants sensibles et

potentiellement vulnérables du système d'information ou plus généralement réduire les
chances de succès des attaques même si elles visent des éléments vulnérables. Nous avons
ainsi mis en oeuvre un système de filtrage des paquets en fonction des adresses sources,
destinations, les protocoles.

- Renforcer la défense (rétroactif) afin de limiter les conséquences d'une compromission de

l'un ou l'autre des éléments du système d'information. Ce point nous semblait être le plus
difficile à mettre en oeuvre du fait de l'accessibilité de la salle accueillant les postes serveurs.
Malgré cela, nous avons suggérer une mise en place d'un local technique à accès restreint.

- Détecter et identifier les incidents ou compromissions survenant sur le système

d'information afin d'y faire face.

- Réparer le système suite à un incident ou à une compromission. Nous avons pensé à une
sauvegarde périodique des configurations réalisées sur les machines, les fichiers de partages
et les mails sur un support externes.

Réalisations

En terme de sécurité pour cette architecture, voici autres points abordés :

Ø Définition du domaine à protéger qui est le réseau local,

Ø Définition de l'architecture du réseau (pare-feu,DMZ),

Ø Mise en place d'une méthode d'authentification des utilisateurs lors de l'ouverture de

session sur les postes clients,

Ø Mise en place d'une méthode d'authentification des utilisateurs lors de la connexion au

domaine,

Ø Mise en place d'une méthode d'authentification des utilisateurs pour l'utilisation de

certains services (messagerie, partage de fichiers)

Ø Restriction de l'accès au routeur aux membres de l'administration.

Suggestions

Ø Aménagement d'un local technique à accès restreint où tous les serveurs seront placés, ce
dernier doit être une salle donc l'accès n'est autorisé qu'aux personnes qui administrent le
réseau.

Ø Définition d'une fréquence de changement des mots de passe du compte administrateurs

sur les serveurs.

Ø Sensibilisation des utilisateurs : tout utilisateur a le droit de recevoir les renseignements

nécessaires à la bonne compréhension de ses responsabilités en matière de sécurité
informatique.

Ce document peut servir de documentation à d'autres étudiants, pour ne pas donc

compromettre la sécurité de nos serveurs, les mots de passe n'ont pas été diffusés dans ce
document, ils seront remis à l'administrateur du réseau à la fin du projet.

CHAPITRE IV : EVALUATION FINANCIERE

Quelque que soit le type et la nature d'un projet, une analyse de sa faisabilité économique
s'avère primordiale. Ce chapitre repose essentiellement sur l'étude de faisabilité au niveau
économique. Elle permet d'estimer grossièrement les coûts d'investissement et de
fonctionnement du projet, les délais prévus et les retours sur investissements possibles.

I. PLANNING DE REALISATION DES TRAVAUX

La planification indique le calendrier général d'exécution des grandes étapes du projet.

Chacune de ces étapes contient des sous étapes qui vont être développées lors de l'exécution
du projet.

Mois 1 Mois 2 Mois 3

Durée

Etapes
Réunion de lancement et cadrage du projet

Identification des risques.

Conception de l'architecture
Déploiement et configuration
Tests
Mise en production, transfert de compétence

Tableau 5 : les étapes t la durée du projet.

Vu le temps que nous avons mis pour le déploiement du réseau de SUPEMIR, pour un
éventuelle projet de même nature, nous estimons à trois mois le temps nécessaire pour
présenter une solution complète, avec une documentation à l'appui.

II. COUT DE MISE EN OEUVRE

L'offre financière est exprimée en journées homme de travail, auxquelles sont associés les
coûts unitaires suivants, fonction des profils des experts intervenant sur le projet :

Ø Direction de projet / Responsable technique : 300 Dhs HT / jour

Ø Chef de projet: 250 FCFA Dhs / jour

Ø Ingénieur système et réseaux : 300 Dhs / jour

Sur ces bases, le budget lié à la réalisation des composants de la solution global est présenté
comme suit.

1. Fourniture matériels

Quantité Coût
Matériel
Ordinateur 4 1200
Switch 1 600
Câble RJ-45 catégorie 6 100
Carte réseau Ethernet 3 600
Total 2500

Tableau 6 : Fourniture matériels, coût en Dirham.

Ces matériels peuvent varier si le client opte pour la virtualisation de ses certains serveurs.

2. Mise en place des serveurs

Coût en Dhs
Tâches
Cadrage du projet : 1000
- Mise en place du cadre organisationnel
- Identification des risques liés à l'exécution du projet
Conception et rédaction du dossier technique de la solution 2000
Mise en oeuvre de la solution : 2000
- Installation et configuration des postes
- Configuration des noeufs actifs du réseau
Déploiement de la solution 1000
Total 6000

Tableau 7 : Coût de la mise en oeuvre.

3. Coordination

Coût
Coordination
Coordination et vérification de la bonne exécution du projet 1000
Total 1000

4. Récapitulatif du coût de la prestation

Coût
Liste des prestations
Fourniture de matériel 2500
Mise en place de la solution 6000
Coordination et vérification de la bonne exécution du projet 1000
Pré requis : formations (formations pour l'administrateur) 800
Total

CONCLUSION
La sécurité des systèmes d'informations prend tout son sens dans un contexte tel que celui
dans lequel nous avons travaillé. La connaissance des principes de base de la sécurité ainsi
que la mise en place d'une bonne politique de sécurité a contribué, dans ce cadre, à instaurer
un réseau sécurisé même si l'activité de ce dernier n'était pas significative par rapport à la
durée du projet. Même si les exigences fonctionnelles et non fonctionnelles ont été
satisfaites, ce manque aurait pu être comblé par une capacité étendue de virtualisation du
parc, offrant une continuité de service à ce dernier.

Les enseignements acquis par le biais de notre autonomie et la démarche de recherche ont
incontestablement participé à l'acquisition de méthodes valorisantes pour l'avenir
professionnel se dessinant à cours terme.

REFERENCES BIBLIOGRAPHIES
· Support électronique
http://www.apachefriends.org/fr/xampp-windows.html

http://library.linode.com/email/postfix/dovecot-mysql-ubuntu-10.10-maverick

https://help.ubuntu.com/community

http://doc.ubuntu-fr.org

http://fr.wikipedia.org

· Support papier

Supports de cours technologies réseaux, sécurité internet, administration réseaux sous Unix.

GLOSSAIRE
Bande de base : Mode de transmission où les informations à transmettre ne subissent pas de
modification de rythme entre l'émetteur et le canal de transmission, et où la modulation
occupe la totalité de la bande passante.

Laser : fondamentalement, un amplificateur de lumière (fonctionnant grâce à l'émission

stimulée) dont la sortie est branchée sur l'entrée.

Garde-barrière : Système logiciel ou matériel utilisé pour empêcher les intrusions non
autorisées sur un réseau.

URI : courte chaîne de caractères identifiant une ressource sur un réseau.

Latence : décalage entre le temps d'émission et de réception d'une information.

Gigue : variation du délai de transfert de l'information.

Blacklist : listes des sites internet qui ne respectes pas certaines règles et conditions et qui
sont de ce fait réprimandés par les moteurs de recherches.

LISTES DES FIGURES

Figure 1 : Evolution du risque en fonction de la vulnérabilité et de la menace. 27

Figure 2 : Architecture du réseau existant 37

Figure 3 : Architecture du réseau de SUPEMIR 45

Figure 4 : Architecture de déploiement. 46

Figure 5 : Renouvèlement de bail IP. 51

Figure 6 : Résultat du test de résolution de nom par le serveur DNS. 55

Figure 7 : Création des groupes et des utilisateurs. 56

Figure 8 : Ajout des utilisateurs au serveur Samba. 57

Figure 9 : Ajout du groupe des ordinateurs et d'un compte machine à Samba. 57

Figure 10 : Création des répertoires de partage. 58

Figure 11 : Résultat du test de la syntaxe du fichier de configuration. 63

Figure 12 : Aperçu des répertoires partagés sur le serveur. 64

Figure 13 : Utilisation du serveur. 64

Figure 14 : Intégration d'un client windows au domaine. 65

Figure 15 : Lecteurs réseau associées au partage de l'utilisateur achraf. 66

Figure 16 : Vérification du nom d'hôte. 66

Figure 17 : Connexion à la base de données. 67

Figure 18 : Création d'un utilisateur avec d'c droits. 68

Figure 19 : Suite configuration postfix. 70

Figure 20 : Création du certificat SSL. 71

Figure 21 : Aperçu des fichiers logs. 74

Figure 22 : Test de connexion au serveur POP. 74

Figure 23 : Redémarrage de postfix 75

Figure 24 : Aperçu du test de connexion au serveur. 75

Figure 25 : Envoi de mail. 76

Figure 26 : Aperçu du fichier mail.log 77

Figure 27 : Interface de configuration de squirrelmail. 78

Figure 28 : Aperçu de l'interface de connexion à squirrelmail. 79

Figure 29 : Interface de la boîte aux lettres d'un utilisateur. 79

Figure 30 : Interface de connexion à Webmin. 82

Figure 31 : Aperçu de la page d'accueil de Webmin. 82

Figure 32 : Démarrage de xampp. 84

Figure 33 : Sécurisation du serveur Web. 85

Figure 34 : Aperçu du site de test de SUPEMIR hébergé sur notre serveur. 86

Figure 35 : Message d'erreur pendant les heures où la connexion est interdite. 92

LISTE DES TABLEAUX

Tableau 1 : Caractéristiques des ordinateurs du réseau de SUPEMIR. 38

Tableau 2 : Equipements d'interconnexion 38

Tableau 3 : Matériels pour le déploiement. 43

Tableau 4 : Plan d'adressage 47

Tableau 5 : les étapes t la durée du projet. 96

Tableau 6 : Fourniture matériels, coût en Dirham. 97

Tableau 7 : Coût de la mise en oeuvre. 98

LISTE DES SIGLES ET ABREVIATIONS

ADSL : Asymetric Digital Suscriber Line

AFNIC: Association Française pour le Nommage Internet en Coopération

ANSI/TIA/EIA: American National Standards Institute/Telecommunications Industry

Association/ Electronic Industries Alliance

ATM : Asynchronous Transfer Mode

BIND: Berkley Internet Naming Daemon

BNC: Bayonet Neill-Concelman

CPU: Centrat Process Unit

DD: Disque Dur

DHCP : Dynamic Host Configuration Protocol

DIFFServ: Differentiated Services or DiffServ

DMZ: Demilitarized zone

DNS: Domain Name Sever

DNSSEC : DNS Security Extensions

DWDM: Dense Wavelength Division Multiplexing

FDDI : Fiber Distributed Data Interface

FTP : Foiled Twisted Pair

HTTP: Hypertext Transfert Protocol

IAP : Internet Access Provider

ICMP: Internet Control Message Protocol

IEEE: Institute of Electrical and Electronics Engineers

IGMP (Internet Group Management Protocol)

IIS: Internet Information Services

IMAP: Internet Message Access Protocol

IP : Internet Protocol

IPSec: Internet Protocol Security

IPV4:Internet Protocol version 4

ISO: Interconnection des Systèmes Ouverts

LDAP : Lightweight Directory Access Protocol

LAN: Local Area Network

L2TP: Layer 2 Tunneling Protocol

MAC : Media Access Control

MAN: Metropolitan Area Network

MIME : Multiputpose Internet Mail Extention

MRTG: Multi Router Traffic Grapher

NAT : Network Address Translation

NIC: Network Interface Card

OSI: Open System Interconnect

OSPF : Open Shortest Path First

PCMCIA: Personal Computer Memory Card International Association

PDC : Primary Domain Controler

PID: Proccess Identifier

POP: Post Office Protocol

PPTP: Point-to-Point Tunneling Protocol

QOS: Quality Of Service

RAID :Redundant Array of Inexpensive Disks

RAM: Read Access Memory

RIP : Routing Information Protocol

RFC: Request Form Comment

R-LAN - WIFI: Radio Local Area Network - Wireless Fidelity

RSVP: Resource Reservation Protocol

STP : shielded twisted pair

SFTP : shielded foiled twisted pair

SGBD: Système de Gestion de Base de Données

SMIME: Secure/Multipurpose Internet Mail Extensions

SNMP:Simple Network Management Protocol

SSL: Secure Sockets Layer

SSTP : Super Shielded Twisted Pair

TCP : Transport control Protocol

URI : Uniform Ressource Identifier

UTP : Unshielded Twisted Pair

VLAN:Virtual Locan Area Network

VPN: Virtual Private Network

WAN : Wide Area Network

Rechercher sur le site:

9Impact, le film from Onalukusu Luambo on Vimeo.

© Memoire Online 2000-2020