Vous êtes sur la page 1sur 5

2006/2007

IFITEP I4 - RESEAU

Mini Projets R
eseau
Organisation
Lobjectif de ce Mini-Projet est de mettre en oeuvre un des lots decrits ci dessous
(votre lot vous est attribue par lenseignant).
Une preparation ecrite de 2 pages/personne maximum est `
a rendre pour le Lundi
18/06. Ce document doit expliquer de la facon la plus claire possible les protocoles
et principes quil faudra utiliser pour realiser le lot. Attention, il ne sagit pas ici
de faire un copier/coller dune documentation trouvee sur Internet mais de rediger
votre propre documentation. Il est inutile dexpliquer les notions et protocoles dej`a vu
en cours dans ce document.
La preparation doit lister les references bibliographiques que vous avez utilisees et
presenter succintement les etapes que vous pensez mettre en oeuvre (et la liste des
tests `a effectuer pour valider chaque etape) lors des seances de TP.
Pour mettre en oeuvre chaque lot vous aurez `a votre disposition des routeurs
WRT54GS (un ou deux suivant les lots) sur lesquels la distribution OpenWRT1 aura
prealablement ete installee. Sauf pour le Lot 8 (Wifi), il vous est demande de ne pas
modifier les variables NVRAM du routeur. Par contre vous pouvez modifier tous les fichiers necessaire et installer des programmes sur le routeur.
La liste des programmes disponibles est consultable sur :
http://downloads.openwrt.org/whiterussian/packages/
http://downloads.openwrt.org/backports/rc5/
http://www.ipkg.be/
Le kit de developpement dOpenWRT (cross-compilateur C) sera egalement `a votre
disposition, mais il est conseille de contacter un enseignant au prealable si vous pensez
en avoir besoin.
Pour les tests vous aurez probablement besoin de simuler des postes des LANs ou
dInternet `a laide de la deuxi`eme carte reseau dun poste de la salle de TP.
A lissue de la seance de TP, vous devrez rendre un compte rendu de TP
comportant votre preparation ecrite (eventuellement mise `a jour au cours du TP)
ainsi que vos observations, tests et conclusions. Ce compte rendu doit expliquer pas `a
pas les differentes demarches `a effectuer pour configurer le routeur pour realiser le lot.
Idealement, toutes les op
erations `
a effectuer sur le routeur seront rassembl
ees
dans un script quil suffira dexecuter sur le routeur pour realiser le lot.

http://www.openwrt.org

- 1/5 -

djoume.salvetti@upmc.fr

2006/2007

IFITEP I4 - RESEAU

Mise en place dun r


eseau dentreprise
Introduction
La societe HM M
etal Inc oeuvre dans la fabrication de produits metalliques, dusinage, de soudage et dinstallation mecanique, soudure, assemblage / montage pi`eces
dacier, etc...
HM M
etal Inc est repartie sur deux sites. Le site de production est situe en Roumanie alors que la partie commerciale et administrative est situee en France.
Fig. 1 Lentreprise HM M
etal Inc

LAN FRANCE regroupe environ 300 PC sous Windows XP, un serveur Windows
2003 (serveur de fichiers, comptes utilisateurs, serveur dimpression), un serveur SAP
(comptabilite), un serveur RedHat Linux (proxy web, intranet, serveur NTP).
DMZ FRANCE regroupe un serveur FreeBSD (serveur web publique), et un serveur
Debian Linux (SMTP, IMAPS, DNS).
LAN ROUMANIE regroupe environ 30 PC sous Windows 2000 et un serveur Linux
- 2/5 -

djoume.salvetti@upmc.fr

2006/2007

IFITEP I4 - RESEAU

(comptes utilisateurs, serveur de fichiers, serveur SMTP).


HM M
etal Inc souhaite relier ses deux sites `a Internet afin de permettre `a ses
employes davoir acc`es aux pages web et aux emails . HM M
etal Inc souhaite egalement utiliser le reseau Internet pour echanger des informations comptables entre les
deux sites. Enfin lequipe de direction a parfois besoin dacc`eder `a la comptabilite de
lentreprise via Internet depuis un poste itinerant (lors dun deplacement `a letranger
notamment).
La s
ecurit
e est un point crucial dans ce projet, certaines machines du LAN de
production ou du LAN de la partie administrative hebergent des donnees sensibles qui
ne doivent en aucun cas etre accessible `a des personnes non autorisees.
Lensemble du projet a ete reparti en 8 lots :
Lot 1 : DHCP/DNS.
1. Mise en place dun serveur DHCP pour les postes des LAN FRANCE et ROUMANIE (un serveur DHCP pour chaque site).
2. Mise en place dun serveur DNS cache pour chaque site.
3. Mise en place dun serveur DNS autoritaire pour lintranet (intra.metalinc.com).
Il est recommande dutiliser le logiciel dnsmasq pour cette partie. On mettra en oeuvre
un DHCP dynamique pour le LAN FRANCE et un DHCP statique (par adresse MAC)
pour le LAN ROUMANIE. Le serveur DHCP devra indiquer aux postes du LAN
ladresse IP des differents serveurs du LAN (et de la DMZ). Le serveur DNS devra
indiquer ladresse IP du serveur SMTP de DMZ FRANCE pour les requetes MX
concernant intra.metalinc.com.
Liens :
http://wiki.openwrt.org/OpenWrtDocs/dnsmasq
http://thekelleys.org.uk/dnsmasq/doc.html
Lot 2 : FIREWALL ROUMANIE.
1. Mise en place dun pare-feu pour le LAN ROUMANIE.
2. Mise en place dune authentification des connections `a travers le pare-feu.
Le pare-feu ne devra autoriser que les flux necessaires pour le LAN ROUMANIE :
acc`es au web depuis tous les postes, envoi demails depuis le serveur SMTP, acc`es libre
au LAN FRANCE `a travers le VPN. Il est conseille dutiliser le logiciel iptables pour
configurer le pare-feu et NuFW pour lauthentification.
Liens :
http://olivieraj.free.fr/fr/linux/information/firewall/index.html
http://www.nufw.org/-Documentation-.html
Lot 3 : FIREWALL FRANCE.
1. Mise en place dun pare-feu pour le LAN FRANCE et la DMZ FRANCE.
- 3/5 -

djoume.salvetti@upmc.fr

2006/2007

IFITEP I4 - RESEAU

2. Configuration en mode firewall transparent.


Le pare-feu ne devra autoriser que les flux necessaires entre le LAN FRANCE, la DMZ
FRANCE et Internet. Il faudra notament mettre en place les r`egles de translation
dadresses permettant lacc`es `a la DMZ depuis Internet et depuis le LAN FRANCE. Il
faudra egalement configurer 3 VLANs sur le routeur (voir avec lenseignant pour cette
partie).
Liens :
http://olivieraj.free.fr/fr/linux/information/firewall/index.html
http://wiki.openwrt.org/TransparentFirewall
Lot 4 : PROXY.
1. Mise en place dun serveur mandataire HTTP pour le LAN ROUMANIE.
2. Configuration en mode proxy transparent.
3. Mise en place dune authentification sur le proxy.
4. Configuration automatique des param`etres du proxy sur les postes du LAN.
Plusieurs serveurs proxy pourrons etre teste dans cette partie : tinyproxy, elhttp,
ou squid par exemple.
Liens :
http://wiki.openwrt.org/tinyproxy
http://www.pervasive-network.org/SPIP/Proxy-transparent-sur-Openwrt
Lot 5 : VPN IPSEC
1. Mise en place dun reseau prive virtuel IPSec entre le LAN ROUMANIE et le
LAN FRANCE avec authentification par cle partagee (PSK).
2. Mise en place dune authentification par certificat X.509.
3. Mise en place dune authentification par login/mot de passe.
Liens :
http://wiki.openwrt.org/IPSec
http://wiki.openwrt.org/L2TP%2BIPSEC

- 4/5 -

djoume.salvetti@upmc.fr

2006/2007

IFITEP I4 - RESEAU

Lot 6 : VPN SSL


1. Mise en place dun reseau prive virtuel SSL (routed tunnel) entre le LAN ROUMANIE et le LAN FRANCE avec authentification par cle partagee (PSK).
2. Mise en place dun reseau prive virtuel SSL entre un poste itinerant et le LAN
FRANCE avec authentification par certificat X509.
3. Mise en place dun VPN SSL au niveau Ethernet (bridged tunnel)
Liens :
http://wiki.openwrt.org/OpenVPNTunHowTo
http://wiki.openwrt.org/OpenVPNHowTo
Lot 7 : VPN PPTP
Mise en place dun reseau prive virtuel PPTP entre un poste itinerant et le LAN
FRANCE avec les caracteristiques suivantes :
1. Authentification par login/mot de passe.
2. Cryptage et Compression de donnees.
3. Configuration automatique du routage sur le client.
4. Proxy ARP.
Liens :
http://wiki.openwrt.org/PPTPDHowto
http://wiki.openwrt.org/PPTPClientHowto
Lot 8 : WIFI
1. Mise en place dun point dacc`es Wifi sans cryptage et sans authentification pour
le LAN FRANCE
2. Mise en place du WEP
3. Mise en place du WPA-PSK
4. Mise en place dune configuration WPA-Entreprise avec eventuellement authentification via Radius.
Liens :
http://wiki.openwrt.org/OpenWrtDocs/Configuration
http://wiki.openwrt.org/OpenWrtDocs/Wpa2Enterprise

- 5/5 -

djoume.salvetti@upmc.fr