Vous êtes sur la page 1sur 35

Construction de cahiers des charges

types pour aider les communes bien


squiper en rseau intranet

Cahier des charges


Pour linstallation et paramtrisation
dun commutateur et dun serveur de
rseau (lot 1)
Pour linstallation et paramtrisation
des lments de scurit (lot 2)
Pour linstallation et la
paramtrisation des services de
linternet (lot 3)

SOMMAIRE DU CONTENU
SOMMAIRE DU CONTENU..........................................................................................................2
REMARQUE LIMINAIRE..............................................................................................................4
1. POUR MICROSOFT :..........................................................................................................4

2. POUR OPEN SOURCE LINUX.........................................................................................5


A. CONDITIONS GENERALES DINSTALLATION...................................................................8

I. GENERALITES.................................................................................................................8
II. LIMITE DES TRAVAUX...............................................................................................8
III. NORMES ET STANDARDS.....................................................................................9
III.1. Normes............................................................................................................................9
III.2. Standards :.....................................................................................................................10

IV. MATERIEL DE REVERVE.....................................................................................11


V. RECEPTION................................................................................................................11
VI. MISE AU COURANT ET ECOLAGE DU PERSONNEL.....................................11
VII. FRAIS.......................................................................................................................12
B. CLAUSES TECHNIQUES PARTICULIERES.........................................................................14

I. GENERALITES SUR LA CONFIGURATION DES EQUIPEMENTS ET SERVICES 14


Supprimer les services non ncessaires..................................................................................14
Supprimer l'accs aux commandes inutiles............................................................................14
Choix de la plate-forme pour les serveurs et passerelles rseau............................................15
Travail sur le rseau................................................................................................................15
Connexion distance..............................................................................................................15
Transferts de fichiers..............................................................................................................15
Systmes de fichiers distants..................................................................................................16
Authentifications....................................................................................................................16
Serveur Web............................................................................................................................17
Serveur de mail.......................................................................................................................17
Antivirus.................................................................................................................................17
Centralisation des moyens de tlcommunication et des rseaux distants.............................17
Serveur DNS...........................................................................................................................18
Serveur DHCP........................................................................................................................18
Pare-feu, barrire de scurit..................................................................................................18
Installation et configuration....................................................................................................18
Remarque gnrale.................................................................................................................19

II. SPECIFICATIONS TECHNIQUES.............................................................................20


II.1. MATRIEL ACTIF.....................................................................................................20

II.2. Serveurs...................................................................................................................23
II.3 Pare-feu (BARRIERE DE SECURITE) ET SERVEUR PROXY..........................26
II.4 SERVICES WEB, DNS, MAIL ET FTP......................................................................29

REMARQUE LIMINAIRE
Lors de la mise en place dune infrastructure du type Intranet, deux directions peuvent tre
envisages :
1. soit la confiance est accorde aux systmes de type Microsoft
2. soit la confiance est accorde aux systmes ouverts de lOpen Source (Linux)
Mme si ces deux environnements peuvent communiquer entre eux, il y a un moment o un
choix doit rellement tre ralis.
Chaque environnement a ses avantages mais peut aussi avoir des inconvnients. Parmi ceux-ci,
citons :

1. POUR MICROSOFT :

Intgration globale tous les niveaux, depuis les postes clients en passant par la gestion
du rseau, de laccs aux applications et aux bases de donnes, Microsoft rpond
presque tous les besoins quun Intranet peut requrir.

Dmarrage dune solution Intranet relativement aise.

En gnral les systmes sont stables mais il faut appliquer un trop grand nombre de
patches pour corriger les erreurs.

Le prix des licences est relativement lev, tant lachat que pendant lexploitation

Les spcialistes Microsoft, au niveau des systmes, ne sont pas lgion.

La maintenance volutive est trs chre (matriel + humain).

Le systme nest pas inter oprable ou difficilement (systme propritaire) quoique


certaines portes soient ouvertes.

La scurit laisse dsirer bien que la socit Microsoft tente damliorer la situation.

2. POUR OPEN SOURCE LINUX

Possibilit de trouver des solutions qui correspondent tous les besoins mais comme la
plupart des solutions et outils sont gratuits, la commercialisation, donc le support, peut
faire dfaut (tout est disponible sur Internet).

De plus en plus de vendeurs portent leurs applications sous LINUX, qui deviennent
intgrables dans un rseau Open Source ( comme serveur de fichiers, gestion du rseau,
serveur de sauvegarde, barrire de scurit ( pare-feu ), ).
Remarque importante : en ce qui concerne la fonctionnalit pare-feu, il est plus
scurisant et efficace de choisir une appliance ddie cet effet. Le matriel et le logiciel
ont t intgrs, scuriss et optimiss par une seule socit; de plus, cette socit sera
tenue en cas de nouvelle menace dapporter un correctif dans les meilleurs dlais.
En prenant une machine open source comme pare-feu, il faut dabord scuriser le systme
dexploitation et ensuite installer la partie pare-feu open source. Dans ce cas, personne
nest responsable de la partie scurit du systme dexploitation, ni de lintgration entre
le systme dexploitation et le logiciel pare-feu, ni de fournir des correctifs temps pour
rpondre aux nouvelles menaces. Bien sr la communaut des dveloppeurs pourra fournir
les correctifs mais comme il ny a pas de paiement de licence, aucun engagement nest
pris par rapport la date de disponibilit de ces correctifs. Ceci constitue un risque majeur
par rapport la scurit globale du site

Pour des raisons de scurit et de ractivit d'ventuels trous de scurit, il est fortement
conseill de n'utiliser que des logiciels Open source.

Prix de loin infrieur.

Les grands producteurs (IBM, HP, SUN) offrent des contrats de support lanne.

Peu ou pas de virus.

Normes et standards du march sont utiliss.

Systme en constante volution, stable dans le temps, qui compte de plus en plus de
praticiens.

En tout tat de cause, nous estimons aujourdhui que les solutions proposes par lOpen Source,
soit Linux, correspondent linfrastructure de base que les villes et communes doivent mettre en
place pour raliser leur Intranet.
Cela concerne :
Barrire de scurit ( pare-feu ) ( ce choix est dconseiller mais possible )

Serveur web
Serveur mail
Serveur de fichiers
Serveur de sauvegarde (donnes)
Serveur LDAP (rpertoire lectronique, quivalent Active Directory de Microsoft)
Serveur de base de donnes des grands producteurs
Serveur dindexation et de reprage des donnes

En conclusion cette remarque liminaire :


Nous avons pris comme option de donner au soumissionnaire le choix de rpondre ce cahier des
charges avec la ou les solutions quil suppose correspondre au mieux aux exigences de ce cahier
des charges qui, pour rappel, contient trois lots. Ceux-ci sont considrs comme indispensables
la ralisation dun Intranet communal. Nous spcifions bien quil sagit des lments matriels et
logiciels qui couvrent exclusivement linfrastructure technique de cet Intranet.

A. CONDITIONS
GENERALES
DINSTALLATION

A. CONDITIONS GENERALES DINSTALLATION

I.

GENERALITES

Aperu du projet :
Mise en oeuvre d'un Intranet communal selon 3 lots distincts.
Le premier lot (Lot 1) consiste en la fourniture, linstallation et la paramtrisation dun
commutateur et dun serveur de rseau, plaque tournante de linfrastructure de rseau existante
ou raliser, ainsi que dun serveur de fichiers
Le second lot (Lot 2) consiste en la fourniture, linstallation et la paramtrisation des lments
de scurit face aux intrusions de lextrieur mais aussi de lintrieur.
Le troisime lot (Lot 3) consiste en la fourniture, linstallation et la paramtrisation des services
de lInternet que la commune dsire voir raliser.
Ces lots sont crer partiellement ou totalement. Le soumissionnaire intgrera cette ralisation
dans le contexte communal existant, il sassurera de la parfaite intgration des rseaux

II. LIMITE DES TRAVAUX


Font partie des prsents travaux :
La fourniture et l'installation d'un systme Intranet communal comprenant :

Un commutateur reliant les utilisateurs et les serveurs de ladministration en tenant


compte des quipements dj installs.

La cration du rseau dentreprise et des sous-rseaux, ceux-ci devant sintgrer dans les
rseaux existants.

Lintgration des oprateurs fournissant soit des accs Internet ou des services externes
la commune aux rseaux crs et existants de la commune.

La mise en oeuvre et la paramtrisation dun serveur de rseau avec reconnaissance et


identification scurise des membres de celui-ci. Cette ralisation devant tenir compte de
la mise en oeuvre future dun rpertoire lectronique (hors march).

La mise en oeuvre et la paramtrisation dun serveur de fichiers avec scurisation des


accs et cration despaces de travail personnels, de groupe, etc.

La ralisation dun systme de sauvegarde de base (systme et fichiers) pour le serveur de


fichiers, cette installation devant dans le futur intgrer une solution centralise des
sauvegardes de lensemble des composants des rseaux de la commune

La scurisation contre les virus tant pour les serveurs que pour les documents
lectroniques.

La paramtrisation des matriels et logiciels de scurit comme pare-feu, la cration de


zones dmilitarises pour serveur web, mail, FTP etc.

La programmation initiale complte et sur site des quipements matriels et logiciels


installs dans le cadre de ce march

Lexcution de tous les travaux ncessaires une mise en uvre complte de linstallation

La formation et la mise au courant du personnel du matre de louvrage

Lentretien courant et normal des installations durant la priode de garantie fixe un an


partir de la rception provisoire.

La fourniture des logiciels et de la documentation y relative, selon les spcifications


techniques dfinies au chapitre 2 ci-aprs.

III. NORMES ET STANDARDS


III.1. Normes
Les quipements doivent tre conformes :
au cahier des charges 400.B.02 et addenda.
au cahier des charges 400.J.02 et addenda.

au Rglement gnral sur les installations lectriques dernire dition. (RGIE)


au Rglement gnral pour la protection des travailleurs (RGPT).
toutes les rgles de lart et de la bonne pratique.
toutes les normes (lois, dcrets, ordonnances, rglements, circulaires, etc.)
belges dernires ditions, en vigueur trois mois avant louverture des offres
aux normes et recommandation du Comit Electrotechnique Belge et de
lInstitut belge de Normalisation.
aux Normes ISO et protocoles du W3C relatives au prsent march
aux Directives europennes 89/336/EEC pour le rayonnement et 73/23/EEC
pour la scurit

III.2. Standards :
1. Publications IEEE 802.1Q,
2. Publications 802.1w : rapid spanning tree,
3. Publications IEEE 802.1s : multiple spanning tree,
4. Publications IEEE 802.1p,
5. Publications IEEE 802.1x,
6. Support du standard DiffServ ( DSCP),
7. Protocole de routage OSPF : Open Shortest Path First,
8. Protocole de routage dinformation RIP V2,
9. Protocoles SNMP, FTP, SFTP etc.
10. Protocole SSH2.
11. Les crans devront correspondre aux normes en vigueur dans le RGPT.
12. Les quipements et logiciels installs respecteront les normes et standards ainsi
que les publications IEEE, ISO, IEC etc.

13. Les quipements seront compatibles avec linfrastructure en place et venir


dans les diffrents btiments.(rseau TCP/IP, connexion RJ45)
14. Le matriel propos devra tre mont dusine et apporter une garantie du
constructeur.

IV. MATERIEL DE REVERVE


Le matriel de rserve est fix par le soumissionnaire pour assurer la prennit de
l'installation en respect du MTBF du matriel install.

V. RECEPTION
La rception technique se fera dans les locaux du pouvoir adjudicateur par une
personne dsigne cet effet par le fonctionnaire dirigeant.

VI. MISE AU COURANT ET ECOLAGE DU PERSONNEL


Le soumissionnaire de la prsente entreprise doit galement procder la mise au
courant et lcolage du personnel du pouvoir adjudicateur
Cette information et formation se feront sur place et porteront sur les tches courantes
dadministration telles que :

Ajouter/supprimer un utilisateur

Ajouter/supprimer un groupe

Grer les espaces partags sur le serveur de fichiers

Mesure prendre pour raliser des sauvegardes

Vrifier les aspects scuritaires et les enrichir (barrire de scurit, DMZ,


Antivirus, accs, etc.)

Grer le serveur http

Etc.

La date de commencement est fixe par et la demande du Matre douvrage, la dure,


elle, est fixe dun commun accord et doit correspondre au programme tabli.

VII. FRAIS
Les frais pour essais et simulation des divers cas de fonctionnement envisags et mise
au courant du personnel sont inclus dans le forfait.

B. CLAUSES TECHNIQUES
PARTICULIERES

B. CLAUSES TECHNIQUES PARTICULIERES

I.

GENERALITES SUR LA CONFIGURATION DES


EQUIPEMENTS ET SERVICES

Supprimer les services non ncessaires


Quels que soient les systmes d'exploitation employs, les installations des systmes
mettent en oeuvre par dfaut un ensemble de services qui sont pour la plupart
inutiliss. Le soumissionnaire aura charge de supprimer les services non
indispensables, tant sur les machines qu'il installera que sur les machines utilisateurs
devant s'intgrer sur le rseau local. Cela concerne notamment les services suivants :
finger,
cfinger,
telnetd, ...)

Supprimer l'accs aux commandes inutiles


Il est ncessaire de restreindre les commandes disponibles pour ladministrateur
systme, qui est le seul pouvoir les excuter. Il faut supprimer l'autorisation des
commandes qui ne sont pas absolument ncessaires l'aide de suitroot pour
l'ensemble des utilisateurs. De mme, il ne doit pas tre possible d'excuter un fichier
depuis l'espace temporaire.

Choix de la plate-forme pour les serveurs et passerelles rseau


Les rseaux quiper sont de type multi-plateforme. On y trouve des ordinateurs
personnels utilisant diffrents systmes d'exploitation, tels Windows ou MacOs par
exemple. Afin de ne pas alourdir inutilement le nombre de plate-formes diffrentes
prsentes sur le rseau, il est fortement recommand de n'utiliser qu'un mme systme
d'exploitation pour l'ensemble des serveurs et passerelles.
De mme, pour des facilits d'administration, il est prfrable de n'utiliser qu'une
mme distribution de ce systme d'exploitation.
Pour ses facilits de mise jour, pour sa robustesse et la qualit de support, il est
prconis d'utiliser la distribution Linux Woody de Debian. Pour Microsoft, nous
suggrons dutiliser Windows 2000 advanced server.
Pour ce qui concerne les solutions sous forme de package offrant plusieurs services
pr-installs ou prconfigurs, cest la distribution Red Hat que nous prconisons.

Travail sur le rseau


L'change d'informations sur le rseau reprsente une aubaine pour les pirates. Trop
de services permettent le transit d'informations en clair. Ainsi, toute personne qui
coute le rseau est mme de pouvoir lire les mots de passe des diffrents
utilisateurs. Dans la mesure du possible, seuls les services ncessaires doivent tre
disponibles et, si possible, scuriss et encrypts.

Connexion distance
Les protocoles telnet, rlogin et autres rsh sont prohibs pour se connecter distance et
ne doivent pas tre disponibles sur les machines. Ces services seront remplacs par le
protocole SSH2.
L'identification des utilisateurs sur les serveurs se fera par l'utilisation de cls
publiques/cls prives.

Transferts de fichiers
De la mme faon, les serveurs n'offriront pas de serveurs FTP mais il sera mis en
place, pour les machines devant offrir un tel service, un daemon sftp.

Systmes de fichiers distants


NFS
Le partage de fichiers sur le rseau devra se faire de faon scurise au moyen
d'un serveur NFS. Le soumissionnaire prendra soin de mettre en oeuvre un
moyen permettant le partage des fichiers au travers d'un protocole scuris
SSH.
Samba
De la mme faon, le partage de fichiers et d'impressions entre les machines
Windows et Linux pourra se faire l'aide du logiciel Samba. Le transfert des
informations via Samba devra galement se faire de faon scurise au travers
d'un tunnel SSH.

Authentifications
Authentifications rseau
L'identification des utilisateurs s'effectuera de manire centralise sur le rseau
au moyen d'un serveur LDAP dont l'accs sera scuris au moyen du protocole
SSL. Ce serveur dpendra essentiellement du rpertoire lectronique crer,
une coordination avec le matre de louvrage devra avoir lieu avant sa cration.
Authentifications locales
Bien que l'ensemble des comptes utilisateurs soit centralis sur un serveur
LDAP, il peut tre utile de crer des utilisateurs locaux pour l'administration de
certaines machines tels les serveurs par exemple. Les rgles suivantes devront
alors tre respectes :
o Les passwords devront utiliser le service de shadowing. Les
fonctionnalits de password aging seront utilises, obligeant les
utilisateurs changer rgulirement leur mot de passe.
o Aucun compte invit n'est permis.

o Spcifier un interprteur de commande non fonctionnel (tel que


/bin/false) pour les comptes systmes ne devant pas se connecter (mail,
sync, ....)
o Le nombre de personnes ayant accs au compte root devra tre limit
au strict minimum.

Serveur Web
Le logiciel prconis est Apache avec le protocole scuris shttp. Le nom et le numro
de version du logiciel serveur http ne devra pas tre lisible par consultation afin
d'viter de diriger d'ventuelles malveillances sur des trous possibles de scurit.

Serveur de mail
Le serveur de mail pourrait tre Postfix . La configuration de ce serveur devra tre
scurise au maximum, notamment afin d'viter le relayage de courriers et le spam.

Antivirus
Un systme d'antivirus doit tre mis en place. Il doit permettre de dtecter tous les
virus contenus dans les courriers lectroniques, mais galement lors des chargements
de fichiers sur l'internet.
Lorsqu'un mail est dtect comme tant infect, il devra tre dtruit. Un mail sera
envoy l'expditeur et au destinataire, ainsi qu' l'administrateur pour information.

Centralisation des moyens de tlcommunication et des rseaux


distants
Dans le cas de rseaux distants dans une mme commune, une solution VPN pourra
tre propose. Cette solution est de toute faon envisage terme. La solution VPN
utilisera le protocole IKE ( Internet Key Exchange ), la famille de protocoles
standards IPSEC, et lalgorithme de chiffrement AES ( Advanced Encryption Standard
). Si le nombre de connexions VPN est important, il faudra galement que la solution
intgre une carte de chiffrement matriel pour offrir des performances acceptables. En
choisissant une appliance comme pare-feu, celle-ci offrira gratuitement la

fonctionnalit concentrateur VPN avec la carte de chiffrement matriel supportant


lalgorithme de chiffrement AES.

Serveur DNS
Un serveur DNS sera mis en place sur une machine au choix dcrite dans les
spcifications techniques ci-aprs. Cependant, pour des raisons de scurit, ce service
ne devra pas tre implment sur une machine servant de pare-feu ou de passerelle.

Serveur DHCP
Un serveur DHCP sera mis en place sur une machine au choix dcrite dans les
spcifications techniques ci-aprs. Cependant, pour des raisons de scurit, ce service
ne devra pas tre implment sur une machine servant de pare-feu ou de passerelle.

Pare-feu, barrire de scurit


Pour des raisons exprimes plus haut dans le texte, la fonctionnalit pare-feu sera
assure par une appliance ddicace cet effet. Cette appliance supportera galement
la fonctionnalit concentrateur VPN utilisant les protocoles standards IKE et IPSEC.
Lappliance intgrera de base une carte matrielle de chiffrement supportant le
protocole AES. Une interface graphique sera propose permettant la gestion des rgles
de scurit. Cette interface graphique possdera des "wizards" permettant de guider
ladministrateur lors de la configuration des rgles de scurit.
Un serveur proxy sera mis en place. Le logiciel pourrait tre Squid . Il aura
charge de servir de cache web et permettra de filtrer les droits de l'utilisateur
l'Internet. Sur justification, il pourra galement servir de serveur par mandatement
pour certains services entre le rseau local et l'extrieur.
Il sera apport une attention particulire aux services tournant sur la machine bastion
connecte dans la DMZ ( DeMilitarized Zone ) du pare-feu. Par exemple, le serveur
X11 ne devra pas tre implment sur cette machine. Ce serveur sera mis en place sur
une machine au choix dcrite dans les spcifications techniques ci-aprs.

Installation et configuration

L'installation et la configuration des machines et du rseau devront tre effectues sur


place afin que ces tches puissent tre suivies par la personne qui aura charge la
gestion de la plate-forme.

Remarque gnrale
Le soumissionnaire veillera dimensionner les capacits des serveurs en fonction du
nombre dutilisateurs qui utiliseront les services dcrits ci-avant. Il devra tenir comte
des capacits minimales de ces serveurs, comme dcrites dans les spcifications
techniques ci-aprs.

II. SPECIFICATIONS TECHNIQUES


LOT 1

II.1. MATRIEL ACTIF


II.1.1 Matriel : Equipement de
commutation (commutateur)
Commutateur
Cet quipement doit tre considr comme la plaque tournante de
linfrastructure de rseau, soit existante, soit mettre en place au sein de
ladministration communale. Ce commutateur doit tre volutif et doit
pouvoir tre intgr dans un rseau structur. Il permet un choix de
connectivit de type Fx et 10/100 Tx pour assurer la connectivit des
serveurs, quipements et postes de travail.Son quipement doit permettre
de raliser ventuellement de la tlphonie sur IP.
De type Fast ethernet , il assure le routage IP entre les sous-rseaux
crer.
Caractristiques techniques
Tout le matriel se fixe dans une armoire de type Rack 19"
Les quipements actifs pris en considration doivent respecter les
techniques suivantes :
1. Support du 10/100Megabit/sec Ethernet autosensing et support
du Gigabit/sec Ethernet
2. Support de la segmentation en sous-rseaux et respect de la
norme IEEE 802.1Q pour dfinir lappartenance un sousrseau particulier (concept de VLAN et trunking suivant la
norme IEEE 802.1Q )

3. Support natif dune couche de routage pour permettre la


communication entre sous-rseau. Cette couche de routage
supportera les algorithmes standards de routage suivants :
OSPF : Open Shortest Path First
RIP V2 : Routing Information Protocol
Les routes statiques
4. Support du routage des paquets multi-cast et gestion du trafic
multi-cast
5. Support de la qualit de service :
QOS couche 3 ( Support du standard DiffServ (DSCP) )
COS couche 2 ( norme IEEE 802.1p )
La qualit de service de lentiret du rseau pourra tre gre
par un logiciel.
6. Support du bridging pour permettre la communication de trafic
non IPv4. Chaque sous-rseau aura son propre algorithme de
Spanning-Tree IEEE 802.1D Support des normes suivantes :
rapid spanning tree
multiple spanning tree
7. Support des fonctionnalits de scurit suivantes :
Support dAccess Control Lists ( ACL ) pour contrler la
communication de paquets (filtrage bas sur ladresse MAC
source et destination, ladresse IP source et destination, le
port TCP/UDP ). La fonctionnalit ACL sera disponible
pour les portes appartenant un mme sous-rseau et pour
les portes routes. La fonctionnalit ACL pourra
sappliquer au trafic entrant et sortant. Pour des raisons de
scurit, la fonctionnalit time-based ACL sera galement
supporte.
Support de la norme IEEE 802.1x (authentification par
porte et supporte en autres par MS-Windows XP ).

Support pour chaque porte dune scurit base sur


ladresse MAC.
Support de lisolation entre les portes
Support du contrle par porte de lavalanche de trafic
broadcast, multicast et unicast
Support possible dune alimentation lectrique redondante
8. Administration de lquipement via une interface Web et
support du protocole SNMP. Possibilit de visualiser
lquipement via une interface Web. Support des quatre groupes
Rmon suivants :
historique,
statistiques,
alarmes,
vnements.
Options ventuelles
1. Extension du nombre de ports (8 et +)
2. Alimentation supplmentaire

II.1.2 Matriel : Equipement de routage (en


option)
Routeur appel perimter router ou routeur daccs
Le routeur sera raccord dun ct au pare-feu et de lautre au rseau dun
ISP, dont le choix nest pas encore fix, le soumissionnaire suggrera des
interfaces pour ADSL, Cble coaxial, ligne loues 128 K Bit/s.
Interface ct rseau : Ethernet 10/100 Base-T sur RJ45
Interface srie asynchrone et synchrone
Vitesse en mode asynchrone : jusqu 115 Kbit.s

Vitesse synchrone maximale : jusqu 2 Mbit/s

II.2. Serveurs
Il faut souligner que la solution de type RAID 5 si elle nest pas complte
et matrise, est la configuration la moins scurisante tant pour les donnes
que pour les performances. Pour tre optimal, le RAID 5 doit comporter au
moins 5 disques voire 6. Si un disque devient dfectueux, les autres disques
permettent de reconstituer le contenu du disque dfectueux occasionnant
une chute de performance significative. Par contre le RAID 1 appel
mirroring, nous semble tre loptimal. En effet, un disque a toujours une
copie complte appele disque miroir. Si un disque devient dfectueux, le
systme continue de fonctionner avec la copie. Aprs remplacement du
disque dfectueux, le contenu du disque peut tre restaur en dehors des
heures de travail sans aucun dsagrment pour les utilisateurs. Nous
recommandons donc la configuration RAID 1 du serveur.

II.2.1 Serveur de fichiers


Ce serveur contiendra lensemble des fichiers des utilisateurs. Il est intgr
au rseau, il fait partie de lIntranet. La sauvegarde du systme et des
fichiers sera assure sur ce serveur. Le partage de fichiers sur le rseau
devra se faire de faon scurise au moyen soit du protocole NFS soit du
protocole CIFS.
Description dun serveur moyen de gamme

Processeur : Intel Pentium P4 1000 Mhz

Cache 512 Kb L2

Chipset ServerWorks Grand Champion

Mmoire ECC DDR SDRAM : 512 Mbytes

Technologie IDE encore appele Parallel ATA :


o Contrleur matriel RAID IDE supportant RAID 1 /
RAID 5
o Disques Parallel ATA 7200 RPM, 8 Mbytes de buffer

o Tous les disques seront installs dans des tiroirs refroidis


et hot swappables

Soit RAID 1 : 4 disques de 250 Gigabytes


( capacit nette : 500 Gigabytes )
Soit RAID 5 : 5 disques de 80 Gigabytes

Carte graphique VGA, de prfrence AGP ou sur la carte mre (gain de


slot PCI)

Lecteur CD ou DVD

Lecteur de disquette 3.5 :

Carte rseau Ethernet 10 / 100 Mbits autosensing

Kit de montage 19

Unit de sauvegarde AIT 3 dune capacit de 100 GigaBytes non


compresss et dune capacit de 260 GigaBytes compresss

Clavier Azerty Belge

Ecran 15

Souris

Systme dexploitation : comme spcifi ci-avant

Garantie pices et main duvre pendant 3 ans dans les locaux du


fournisseur.

II.2.2 Serveur DHCP


Tout le matriel se fixe dans une armoire de type Rack 19".
Un serveur DHCP sera mis en place sur un serveur. Si ce service
existe dans un ensemble de services de type Package prpar ,
pour des raisons de scurit, ce service ne devra pas tre
implment sur une machine servant de pare-feu ou de passerelle.
Pour ce qui concerne lauthentification des utilisateurs, se rfrer
aux Gnralits sur la configuration des quipements et services,
Chapitre authentifications. Le nombre dutilisateurs est illimit.

Caractristiques techniques dun serveur de base

Processeur : Intel Pentium 450 Mhz

Cache : 512 Kb L2

Chipset ServerWorks Grand Champion

Mmoire ECC DDR SDRAM : 256 Mb extensible 512 MB

Espace disque: Disques Parallel ATA 40 Gigabytes 7200 RPM,


8 Mbytes de buffer

Carte rseau Ethernet 10 / 100 Mbits autosensing

Kit de montage 19ou plaque de support

Slot PCI : au moins 1

Support UPS et port USB

Ecran 15

Clavier Azerty Belge

Souris

Systme dexploitation : comme spcifi ci-avant

Garantie pices et main duvre pendant 3 ans dans les locaux du


fournisseur.

Options :
Contrleur matriel RAID IDE supportant RAID 1 / RAID 5
Disques supplmentaire Parallel ATA 40 Gigabytes 7200 RPM,
8 Mbytes de buffer pour le RAID 1.
Garantie omnium sur site pendant 3 ans.

Antivirus :
Protection pour les serveurs installs: systmes, fichiers et autres serveurs
dfinis dans ce cahier des charges.
Protection pour XXX postes de travail
LOT 2

II.3 Pare-feu (BARRIERE DE SECURITE) ET SERVEUR PROXY


Le pare-feu protge et permet le contrle des accs aux rseaux, tant de
lintrieur que de lextrieur.
Le serveur proxy permet de tracer au travers dapplications spcifiques les
diffrents accs des utilisateurs internes et externes. Il sert ventuellement
de cache pour les applications Web.
Les services du pare-feu devront tre configurs de manire naccepter
que les services autoriss (web, mail etc). En aucun cas il ne laissera de
porte ouverte non securise vers les rseaux internes de la commune.
Le nombre dutilisateurs est illimit, les rgles de gestion et daccs seront
revues avec le matre de louvrage, celles-ci seront consignes dans un
document sign par les deux parties.
Le soumissionnaire est tenu de tenir compte des informations dcrites ciavant dans les Gnralits sur la configuration des quipements et
services .
La vrification des accs, tentatives dintrusion etc, seront accessibles
via une interface graphique.
La configuration et la maintenance du systme doivent tre conviviales.
Les services X11 ne seront en aucun cas configurs.
Au minimum, une DMZ sera cre.
Description du pare-feu

Une appliance

Algorithme danalyse de paquets "Stateful Inspection"


Inspection des protocoles et des applications
Traduction des adresses de type rseau ( NAT ) et traduction des ports (
PAT )
Lappliance aura les certifications suivantes :
o ICSA Labs Firewall
o Common Criteria Evaluation Assurance ( EAL ) 4
o IP Security ( IPSec )
Support du multimdia :
o Vido
o Audio
o Application
Protection Dni de services ( Dos )
Fonctionnalit de network IDS.
Fonctionnalit de concentrateur VPN avec carte de chiffrement matriel
supportant lalgorithme AES. ( Liaison VPN site site et liaison VPN
installe sur machine desktop ( le client VPN pour machine desktop est
disponible gratuitement ) ).
Le pare-feu doit tre configurable via une interface graphique et cet
outil doit contenir des "wizards" pour guider ladministrateur. Cette
facilit graphique ne ncessitera linstallation daucun logiciel et sera
accessible via un navigateur.
Authentification et autorisation des utilisateurs
Support de la scurisation des protocoles de routage
Processeur Intel Celeron 300 Mhz
Mmoire RAM : 32 Mbytes
Cache L2 : 128 Kbytes
System bus : 32 bits 33 Mhz PCI
Interface Internet et Externe : 10 / 100 Mbits Ethernet
Mmoire flash : 8 Mbytes ( pas de disque dur )
Capacit danalyse du pare-feu : 27.000 paquets / seconde

Caractristiques techniques dun serveur de base


Tout le matriel se fixe dans une armoire de type Rack 19"

Processeur : Intel Pentium 450 Mhz

Cache : 512 Kb L2

Chipset ServerWorks Grand Champion

Mmoire ECC DDR SDRAM : 256 Mb extensible 512 MB

Espace disque: Disques Parallel ATA 40 Gigabytes 7200 RPM,


8 Mbytes de buffer

Carte rseau Ethernet 10 / 100 Mbits autosensing

Kit de montage 19ou plaque de support

Slot PCI : au moins 1

Support UPS et port USB

Ecran 15

Clavier Azerty Belge

Souris

Systme dexploitation : comme spcifi ci-avant

Garantie pices et main duvre pendant 3 ans dans les locaux du


fournisseur.

Options :
Contrleur matriel RAID IDE supportant RAID 1 / RAID 5
Disques supplmentaire Parallel ATA 40 Gigabytes 7200 RPM,
8 Mbytes de buffer pour le RAID 1.
Garantie omnium sur site pendant 3 ans.

LOT 3

II.4 SERVICES WEB, DNS, MAIL ET FTP


Ces services prennent place dans la DMZ cre (zone scurise).
Le service Web permet lhbergement des diffrents sites de la commune, il
permet ldition et les mises jour de ces sites.
Le service DNS permet la commune de grer ses noms de domaine.
Le service Mail permet la gestion du courrier lectronique de lensemble
des domaines. Il rpond de manire automatique en cas dabsence etc.
Le service FTP permet de raliser des transferts de fichiers vers et partir
du serveur qui hberge ce service
Caractristiques techniques pour ces quatre services:
Active serveur page, extension Front page 2000
Langage de script Perl et PHP
Support CGI
Environnement Run Time de JAVA
Services dhbergement bass sur le nom et ladresse IP
Support SNMTP, IMAP 4 et POP 3
Support FTP et FTP Anonymous
Scurit via SSL (Secure Socket Layer)
Gestion de la bande passante par adresse IP
Assistance dinstallation du navigateur Web
Utilitaire de sauvegarde et de restitution bas sur un navigateur
Maintenance et mise jour via un navigateur

Administration autorise via le service Telnet


Outil de statistique sur les performances du systme.
Le nombre dutilisateurs est illimit.
Le soumissionnaire est tenu de tenir compte des informations dcrites ciavant dans les Gnralits sur la configuration des quipements et
services
La configuration et la maintenance du systme doivent tre conviviales.
Les services X11 ne seront en aucun cas configurs.
Remarque importante
Un systme antivirus comme spcifi dans le Lot 1 doit protger le ou les
serveurs qui hbergent les services dfinis ci-dessus
Caractristiques techniques dun serveur de base
Tout le matriel se fixe dans une armoire de type Rack 19"

Processeur : Intel Pentium 450 Mhz

Cache : 512 Kb L2

Chipset ServerWorks Grand Champion

Mmoire ECC DDR SDRAM : 256 Mb extensible 512 MB

Espace disque: Disques Parallel ATA 40 Gigabytes 7200 RPM,


8 Mbytes de buffer

Carte rseau Ethernet 10 / 100 Mbits autosensing

Kit de montage 19ou plaque de support

Slot PCI : au moins 1

Support UPS et port USB

Ecran 15

Clavier Azerty Belge

Souris

Systme dexploitation : comme spcifi ci-avant

Garantie pices et main duvre pendant 3 ans dans les locaux du


fournisseur.

Options
Contrleur matriel RAID IDE supportant RAID 1 / RAID 5
Disques supplmentaires Parallel ATA 40 Gigabytes 7200 RPM,
8 Mbytes de buffer pour le RAID 1.
Garantie omnium sur site pendant 3 ans.
Caractristiques techniques dun serveur moyen :
Tout le matriel se fixe dans une armoire de type Rack 19"

Processeur : Intel Pentium P4 1000 Mhz

Cache 512 Kb L2

Chipset ServerWorks Grand Champion

Mmoire ECC DDR SDRAM : 512 Mbytes extensible 2 Gigabytes

Technologie IDE encore appele Parallel ATA


o Contrleur matriel RAID IDE supportant RAID 1 /
RAID 5
o Disques Parallel ATA 7200 RPM, 8 Mbytes de buffer
o Tous les disques seront installs dans des tiroirs refroidis
et hot swappables

Soit RAID 1 : 4 disques de 250 Gigabytes


( capacit nette : 500 Gigabytes )

Soit RAID 5 : 5 disques de 80 Gigabytes

Carte graphique VGA, de prfrence AGP ou sur la carte mre (gain de


slot PCI)

Lecteur CD ou DVD

Lecteur de disquette 3.5 :

Carte rseau Ethernet 10 / 100 Mbits autosensing

Kit de montage 19 ou plaque de support

Unit de sauvegarde AIT 3 dune capacit de 100 GigaBytes non


compresss et dune capacit de 260 GigaBytes compresss

Slot PCI : au moins 1

Support UPS et port USB

Clavier Azerty Belge

Ecran 15

Souris

Systme dexploitation : comme spcifi ci-avant

Garantie pices et main duvre pendant 3 ans dans les locaux du


fournisseur.

Options
Alimentations complmentaires
Garantie omnium sur site pendant 3 ans.
Caractristiques techniques dun serveur suprieur
Tout le matriel se fixe dans une armoire de type Rack 19"
Nous proposons deux configurations haut de gamme :

Premire configuration possible

Processeur : Bi-processeur Intel Xeon Pentium au minimum 1,4 Ghz

Cache : 512 KB L2

Chipset ServerWorks Grand Champion

Mmoire ECC DDR SDRAM : (1GBytes extensible 4 GBytes)

Technologie Serial ATA encore appele SATA


o Contrleur matriel RAID SATA supportant RAID 1 /
RAID 5
o Disques Serial ATA 10.000 RPM, 8 Mbytes de buffer
o Tous les disques seront installs dans des tiroirs refroidis
et hot swappables

Soit RAID 1 : 6 disques de 72 Gigabytes


( capacit nette : 216 Gigabytes )
Soit RAID 5 : 5 disques de 36 Gigabytes

Carte rseau Ethernet 10 / 100 / 1000 Mbits autosensing

Kit de montage 19ou plaque de support

Lecteur CD ou DVD

Lecteur de disquette 3.5"

Slot PCI : au moins 2

Support UPS et port USB

Ecran 15

Clavier azerty Belge

Souris

Systme dexploitation : comme spcifi ci-avant

Garantie pices et main duvre pendant 3 ans dans les locaux du


fournisseur.

Options
Alimentation complmentaire
Garantie omnium sur site pendant 3 ans.
Seconde configuration possible

Processeur : Bi-processeur AMD Opteron au minimum 1,4 Ghz

Cache: 512 KB L2

Chipset AMD 8131 I/O Hub HyperTransport

Mmoire ECC DDR SDRAM : (1GBytes extensible 4 GBytes)

Technologie Serial ATA encore appele SATA


o Contrleur matriel RAID SATA supportant RAID 1 /
RAID 5
o Disques Serial ATA 10.000 RPM, 8 Mbytes de buffer
o Tous les disques seront installs dans des tiroirs refroidis
et hot swappables

Soit RAID 1 : 6 disques de 72 Gigabytes


( capacit nette : 216 Gigabytes )
Soit RAID 5 : 5 disques de 36 Gigabytes

Carte rseau Ethernet 10 / 100 / 1000 Mbits autosensing

Kit de montage 19ou plaque de support

Lecteur CD ou DVD

Lecteur de disquette 3.5"

Slot PCI : au moins 2

Support UPS et port USB

Ecran 15

Clavier azerty Belge

Souris

Systme dexploitation : comme spcifi ci-avant

Garantie pices et main duvre pendant 3 ans dans les locaux du


fournisseur.

Options
Alimentation complmentaire
Garantie omnium sur site pendant 3 ans.