Explorer les Livres électroniques
Catégories
Explorer les Livres audio
Catégories
Explorer les Magazines
Catégories
Explorer les Documents
Catégories
Mes remerciements vont également à mes parents et mon oncle Driss pour leurs
sacrifices qu’ils ont consentis pour ma formation, et aux toutes personnes ayant contribué de
loin ou de près à la réussite de ce stage, reçoive l’expression de mes sincères reconnaissances
et gratitudes.
1
Table des matières
2
Table des matières
3
Table des matières
4
Liste des Figures
Figure 1. 1 : CGI en chiffres ................................................................................................................... 10
Figure 1. 2 : Organigramme de CGI ...................................................................................................... 12
Figure 1. 3 : Organigramme de CGI France, Maroc et Luxembourg .................................................... 12
Figure 1. 4 : Interface du tableau de bord d’OTRS............................................................................... 14
Figure 2. 1 : Architecture Générale ...................................................................................................... 15
Figure 2. 2 : Principe de fonctionnement du proxy ............................................................................. 21
Figure 2. 3 : Tunnel VPN IP Sec ............................................................................................................. 23
Figure 2. 4 : Plan d'action ..................................................................................................................... 26
Figure 2. 5 : Diagramme de Gantt ........................................................................................................ 26
Figure 3. 1 : Architecture globale du projet ......................................................................................... 27
Figure 3. 2 : Architecture du cloud ....................................................................................................... 29
Figure 3. 3 : Principe des zones de sécurité – SRX ............................................................................... 30
Figure 3. 4 : Distance administrative des protocoles de routage........................................................ 32
Figure 3. 5 : Architecture du Site1 CGI ................................................................................................. 34
Figure 3. 6 : Principe de fonctionnement du DNS ............................................................................... 37
Figure 3. 7 : Principe de fonctionnement de l’Exchange ..................................................................... 39
Figure 3. 8 : Architecture du Site2 CGI ................................................................................................. 40
Figure 4. 1 : architecture site1 .............................................................................................................. 44
Figure 4. 2 : Configuration des interfaces du Fortigate Site1 .............................................................. 44
Figure 4. 3 : Interface Web du Fortigate Site1 ..................................................................................... 45
Figure 4. 4 : Configuration des routes statique sur Fortigate Site1 .................................................... 45
Figure 4. 5 : Exemple de configuration du route statique su Fortigate .............................................. 45
Figure 4. 6 : Configuration du Policy route sur Fortigate Site1 ........................................................... 46
Figure 4. 7 : Exemple de configuration du Policy sur Fortigate Site1 ................................................. 46
Figure 4. 8 : Exemple de nomination d'un réseau sur Fortigate Site1 ................................................ 46
Figure 4. 9 : Configuration des autorisations sur les flux entrants et sortants sur le Fortigate Site1 47
Figure 4. 10 : Configuration -1- du proxy ............................................................................................. 47
Figure 4. 11 : Configuration -2- du proxy ............................................................................................. 47
Figure 4. 12 : Configuration -3- du proxy ............................................................................................. 48
Figure 4. 13 : Configuration du service DHCP sur le Fortigate Site1 ................................................... 48
Figure 4. 14 : Installation de fonctionnalité de l'AD ............................................................................ 49
Figure 4. 15 : Résultat d'installation de la fonctionnalité de l'AD....................................................... 49
Figure 4. 16 : Assistant d'installation des services de domaine AD .................................................... 50
Figure 4. 17 : Adressage IP du serveur AD ........................................................................................... 50
Figure 4. 18 : Le Résumé d'installation de service de l'AD-DS ............................................................ 51
Figure 4. 19 : Configuration du Zone principale DNS........................................................................... 51
Figure 4. 20 : Configuration de la recherche directe DNS ................................................................... 51
Figure 4. 21 : L'ajout de traduction de nom de domaine en adresse IP ............................................. 52
Figure 4. 22 : Configuration de la recherche inversée DNS ................................................................. 52
Figure 4. 23 : Assistant de configuration de la recherche inversée .................................................... 52
Figure 4. 24 : Résultat de configuration de la recherche direct et inversée sur DNS ......................... 53
Figure 4. 25 : Installation de Serveur FTP............................................................................................. 53
Figure 4. 26 : l'ajout du site FTP ........................................................................................................... 53
Figure 4. 27 : L'ajout des informations du site FTP .............................................................................. 54
5
Figure 4. 28 : la configuration d''adresse IP et du port sur le serveur FTP ......................................... 54
Figure 4. 29 : Les autorisations et l'authentification du serveur FTP.................................................. 54
Figure 4. 30 : Interface Web du serveur Asterisk ................................................................................ 55
Figure 4. 31 : Exemple de création d'utilisateur sur Asterisk Site1..................................................... 55
Figure 4. 32 : l'ajout du réseau local au serveur Asterisk .................................................................... 55
Figure 4. 33 : Configuration Asterisk Site1 ........................................................................................... 56
Figure 4. 34 : Dernière phase de configuration Asterisk Site 1 ........................................................... 57
Figure 4. 35 : Exemple de configuration d'utilisateur sur x-lite .......................................................... 57
Figure 4. 36 : Installation d'Exchange Server 2010 .............................................................................. 58
Figure 4. 37 : La configuration des différents paramètres du Serveur Exchange ............................... 58
Figure 4. 38 : Résumé d'installation du service Exchange ................................................................... 59
Figure 4. 39 : La dernière phase d'installation du serveur Exchange .................................................. 59
Figure 4. 40 : Architecture du Cloud..................................................................................................... 60
Figure 4. 41 : Les interfaces de l'ASA-cloud- coté client ...................................................................... 60
Figure 4. 42 : Configuration d'accès à l'interface management de l'ASA-Cloud- coté client ............. 60
Figure 4. 43 : l'ajout du fichier ASDM sur l'ASA-Cloud- coté client ..................................................... 61
Figure 4. 44 : Interface web de l'ASA ................................................................................................... 61
Figure 4. 45 : L'accès à l'interface ASDM sur l'ASA-Cloud- coté client ................................................ 61
Figure 4. 46 : Configuration des routes statiques sur l'ASA-Cloud- coté client .................................. 62
Figure 4. 47 : Configuration des ACL sur l'ASA-Cloud- coté client....................................................... 62
Figure 4. 48 : Configuration du routeur Cloud coté site1 .................................................................... 63
Figure 4. 49 : Configuration du routeur Cloud coté site2 .................................................................... 63
Figure 4. 50 : Configuration des interfaces et des zones de sécurité du cloud sur le SRX ................. 64
Figure 4. 51 : Configuration pour faire communiquer entre les zones du Cloud sur le SRX .............. 64
Figure 4. 52 : Routage Statique au niveau du SRX ............................................................................... 65
Figure 4. 53 : Configuration pour faire communiquer entre les sites internes de l'architecture ...... 65
Figure 4. 54 : Architecture Site 2 .......................................................................................................... 66
Figure 4. 55 : Les interfaces de l'ASA-Site2 .......................................................................................... 66
Figure 4. 56 : Configuration des routes statiques sur l'ASA coté Site2 ............................................... 67
Figure 4. 57 : Configuration des ACL sur l'ASA Site2............................................................................ 67
Figure 4. 58 : Configuration DHCP sur le Site2 ..................................................................................... 68
Figure 4. 59 : Configuration Asterisk Site 2 .......................................................................................... 68
Figure 4. 60 : Exemple de création d'utilisateur SIP sur l'Asterisk Site2 ............................................. 68
Figure 4. 61 : l'ajout d'utilisateur sur x-lite .......................................................................................... 69
Figure 4. 62 : Adressage IP du Serveur Centreon................................................................................. 69
Figure 4. 63 : Interface graphique du serveur Centreon ..................................................................... 69
Figure 4. 64 : Interface de supervision Centreon................................................................................. 70
Figure 4. 65 : Adressage IP du serveur Web - FTP - CA ........................................................................ 70
Figure 4. 66 : l'ajout du rôle Autorité de certification ......................................................................... 70
Figure 4. 67 : Résumé de configuration des services de certificats .................................................... 71
Figure 4. 68 : L'ajout des certificats des utilisateurs............................................................................ 71
Figure 4. 69 : Configuration des interfaces du Fortigate site client .................................................... 72
Figure 4. 70 : Configuration des routes statiques sur le Fortigate client ............................................ 72
Figure 4. 71 : Insertion des routes policy sur le Fortigate client ......................................................... 72
Figure 4. 72 : autorisation des flux entrants et sortants sur le Fortigate client ................................. 72
Figure 4. 73 : tunnel IPSEC ASA-Fortigate ............................................................................................ 73
6
Figure 4. 74 : Configuration phase 1 tunnel IP Sec sur l'ASA............................................................... 73
Figure 4. 75 : Configuration phase 2 tunnel IP Sec sur l’ASA .............................................................. 73
Figure 4. 76 : Configuration phase 1 tunnel IP Sec sur le Fortigate .................................................... 74
Figure 4. 77 : Configuration phase 2 tunnel IP Sec sur le Fortigate .................................................... 74
Figure 4. 78 : Test Tunnel VPN IPSEC ................................................................................................... 75
Figure 4. 79 : Ping entre client et utilisateur du site 1 CGI .................................................................. 75
Figure 4. 80 : Teste d'accès telnet vers Client ...................................................................................... 76
Figure 4. 81 : Teste de résolution DNS en utilisant nslookup ............................................................. 76
Figure 4. 82 : Supervision des hosts de la topologie ........................................................................... 77
Figure 4. 83 : Appel téléphonique entre deux clients x-lite ................................................................ 77
7
Liste des tableaux :
8
Introduction Générale
La sécurité informatique de nos jours est devenue un élément majeur dans la gestion
des réseaux informatique ainsi que pour les particuliers toujours plus nombreux à se
connecter à Internet. La transmission d’informations sensibles et le désir d’assurer la
confidentialité de celles-ci sont devenus un point primordial dans la mise en place des réseaux
informatiques.
Ce stage constitue pour moi une opportunité qui consiste à explorer de plus en plus le
monde de travail en entreprise tant au niveau organisationnel que méthodologie de travail et
à consolider mes savoirs acquis au cours de ma formation.
À la fin, je conclus sur le déroulement global de cette période de cinq mois en insistant
sur les faits marquants et les points bénéfiques.
9
Chapitre 1 : Présentation de l’entreprise d’accueil
Le présent chapitre a pour but de situer le projet dans son contexte général, ce chapitre
donne un bref aperçu sur l’organisme d’accueil, à savoir la société CGI, son organisation, ses
domaines d’activité et dans la suite de ce chapitre on décrit le déroulement du stage et des
activités professionnelles exercées.
CGI est l’une des rares entreprises possédant l’envergure, la portée et les capacités pour
répondre aux besoins des clients en matière de transformation numérique. Elle offre des
services-conseils complets et novateurs en TI et en management grâce à un modèle d’affaires
axé sur la proximité avec les clients. Elle travaille de concert avec eux et met à profit ses
capacités mondiales pour définir, élaborer, mettre en œuvre et exécuter les stratégies et
solutions requises pour satisfaire aux attentes des consommateurs et des citoyens.
CGI tire parti de sa présence mondiale grâce à ses 400 emplacements répartis dans 40 pays
et qui regroupent 73 000 membres, dont la majorité est actionnaires de CGI. Ses
professionnels agissent à titre de partenaires de confiance pour plus de 5 000 clients à l’échelle
mondiale. Forts de plus de quatre décennies de croissance soutenue, elle offre une expertise
spécialisée dans 10 secteurs d’activité et bonifie son offre de services grâce à un portefeuille
de plus de 150 solutions fondées sur la propriété intellectuelle (PI). [1]
10
Chapitre 1 : Présentation de l’entreprise d’accueil
Sa détermination à surpasser les attentes de ses clients se traduit par une note globale
de satisfaction des clients de 9 sur 10, dans le cadre d’évaluations en personne. Son bilan
inégalé de 95 % de projets réalisés selon les échéances et budgets prévus est le témoignage
de son engagement envers l’excellence opérationnelle.
CGI cible 10 secteurs d’activité clés au sein desquels les TI sont un facteur stratégique
ainsi qu’un outil de transformation et de création de valeur.
Gouvernements :
2 000 clients gouvernementaux dans 15 pays.
Secteurs : provincial et municipal, central et fédéral, défense et renseignement.
Secteur bancaire :
Collaboration avec 15 des 20 principales banques à l’échelle mondiale.
Secteurs : banques de détail, marchés des capitaux, services aux entreprises et
transactions bancaires.
Secteur manufacturier :
Plus de 700 clients du secteur manufacturier.
Secteurs : ressources naturelles, biens commerciaux et industriels, industrie automobile.
Services publiques :
Plus de 450 clients des secteurs de l’électricité, de l’eau et du gaz dans le monde
Secteurs : vente au détail, exploitants de réseaux et tous les autres.
11
Chapitre 1 : Présentation de l’entreprise d’accueil
Santé :
Gestion de régimes d’assurance maladie couvrant plus de 195 millions de personnes et
plus de 6 milliards de dossiers médicaux.
Secteurs : assureurs, fournisseurs, sciences de la vie.
Assurance :
Collaboration avec 7 des 10 principales compagnies d’assurance mondiales.
Secteurs : assurance de dommages et assurance.
Communications :
Collaboration avec 6 des plus importants fournisseurs de services de communication au
monde.
Gamme de services : transformation de la facturation, de l’orchestration des
commandes, de l’assurance des revenus ou du service à la clientèle.
Transport et logistique :
Plus de 200 clients à l’échelle mondiale.
Secteurs : services postaux et logistique ainsi que transport aérien, ferroviaire, maritime,
routier et transit régional.
Pétrole et Gaz :
Collaboration avec toutes les entreprises pétrolières et gazières dans le monde Services
en production, raffinage, approvisionnement et distribution, commerce électronique
interentreprises (B2B) et de l’entreprise au consommateur (B2C).
CGI collabore avec des leaders de tous ces secteurs d’activité qui visent à devenir, selon
la portée et le rythme appropriés, des organisations agiles qui répondent aux attentes des
consommateurs et des citoyens.
12
Chapitre 1 : Présentation de l’entreprise d’accueil
Opérations – France :
13
Chapitre 1 : Présentation de l’entreprise d’accueil
14
Chapitre 2 : Contexte général du projet
Vu la Répartition géographique des différents sites de CGI et ses multiples clients, dont
la majorité se localisent sur le territoire français, les sites marocains de CGI se trouvent obligés
de concevoir une architecture conforme pour contribuer à la gestion des infrastructures des
clients, et offrir des services d'infrastructure, solutions et services-conseils rentables,
novateurs et sécurisés, pour cela il existe des obligations à respecter et des améliorations à
mener sur son réseau :
Assurer une communication sécurisée entre les sites CGI et les clients
Accroître l’efficacité de l’infrastructure, réaliser des économies de coûts et
obtenir d'autres résultats stratégiques.
Minimiser la lenteur d’accès, et assurer la haute disponibilité des VM, hébergés
dans les DATACENTER de CGI.
Gérer les flux selon le besoin.
15
Chapitre 2 : Contexte général du projet
Les firewalls ont été une première ligne de défense en sécurité réseau depuis plus de
25 ans. Ils établissent une barrière entre les réseaux internes sécurisés et contrôlés qui
peuvent être fiables et non fiables en dehors des réseaux, comme Internet.
On distingue entre deux types de parfeu : Les parfeu Next-Génération, et les parfeu
UTM :
16
Chapitre 2 : Contexte général du projet
Firewall UMT :
Cisco ASA
Les Serveurs de Sécurité Adaptatifs Cisco ASA combinent les meilleurs services de VPN
et de sécurité, conçue comme l’élément principal de la solution Self-Defending Network de
Cisco (le réseau qui se défend tout seul), cette gamme Cisco ASA permet de mettre en place
une défense proactive face aux menaces et de bloquer les attaques avant qu’elles ne se
diffusent à travers le réseau, de contrôler l’activité du réseau et le trafic applicatif et d’offrir
une connectivité VPN flexible( que ça soit SSL VPN ou IPSEC ).
ASA est un pare-feu capable d’assurer en profondeur la protection élargie des réseaux
des PME/PMI et des grandes entreprises tout en réduisant l’ensemble des frais de
déploiement et d’exploitation et en simplifiant les tâches généralement associées à un tel
niveau de sécurité, il permet de surveiller le trafic entrant et sortant du réseau et décide
d'autoriser ou de bloquer un trafic spécifique en fonction d'un ensemble défini de règles de
sécurité. [3]
La configuration de l’ASA se fait soit par ligne de commande sois par l’outil de l’ASDM.
17
Chapitre 2 : Contexte général du projet
Juniper SRX :
Pour notre architecture, et pour satisfaire les besoins de trois sites, la passerelle de
services SRX1400 est la solution la plus adapté. Elle regroupe de multiples services de sécurité
et fonctions de mise en réseau au sein d'un équipement 3 U hautement disponible. De plus,
elle dispose d'une conception modulaire qui utilise des modules à encombrement standard
pouvant être remplacés depuis le panneau avant. Elle intègre des innovations qui améliorent
la fiabilité, renforcent la disponibilité du réseau et assurent aux services de sécurité simultanés
des performances déterministes à grande échelle. [4]
Une sécurité globale : Protection complète comprenant les fonctions de gestion des menaces
unifiée (UTM) incluant un système de prévention des intrusions (IPS), sécurité des applications
(AppSecure), contrôles du pare-feu en fonction du rôle des utilisateurs, antivirus, anti spam,
filtrage Web et fonctions NAT, DoS et QoS.
Performances évolutives : L'évolutivité des performances permet d'ajouter des services sans
dégradation.
Fiabilité de qualité opérateur : La résilience système et réseau garantit une fiabilité de qualité
opérateur du matériel et des composants redondants, et du logiciel Junos OS.
Flexibilité de l'interface : La flexibilité de l'interface lui permet de répondre aux besoins de tous
les réseaux.
Segmentation du réseau : Grâce à la segmentation du réseau, les administrateurs peuvent adapter
la sécurité et les stratégies en fonction des situations.
Moteur de routage robuste : Le moteur de routage robuste distingue les plans de données et de
contrôle afin de permettre le déploiement d'équipements de routage et de sécurité consolidés.
[4]
18
Chapitre 2 : Contexte général du projet
Fortigate
La série FortiGate 7000E offre des services de sécurité NGFW ultra-performants pour
les grandes entreprises et les environnements de centres de données qui ont besoin d'une
protection sans compromis contre les cyber-menaces et les logiciels malveillants, à la frontière
et dans le cœur. Avec des débits jusqu'à 100 Gbps NGFW et une simplicité de gestion, la série
7000E est la solution NGFW la plus rapide et la plus avancée du marché. [5]
La configuration du Fortigate se fait soit par ligne de commande sois par interface
graphique via sa page HTML.
2.2. Proxy :
Un proxy est un relais applicatif c’est en effet application de la couche 7 du modèle OSI
qui permet à une machine d’intercepter les données qui ne lui sont pas destinées et les
transmis vers la machine de destination « internet ».
19
Chapitre 2 : Contexte général du projet
Filtrage
Le masquage
Permet de masquer de votre lieu de connexion : Le proxy peut être dans un pays
différent du votre. Cela peut être utile sur certains sites qui filtrent les connexions suivants les
lieux d’où elles proviennent.
Proxy-cache
La capacité à garder en mémoire (en "cache") les pages les plus visitées par les
utilisateurs du réseau local afin de pouvoir les fournir le plus rapidement possible.
Authentification
Sert à authentifier les utilisateurs, de leur demander de s'identifier à l'aide d'un nom
d'utilisateur et d'un mot de passe par exemple. [6]
Principe de fonctionnement
1- Un client fait une requête vers internet ; c’est le serveur proxy qui l’intercepte et la
traite.
2- S’il s’agit d’un lien qui est déjà filtré, le serveur répond par une page des règles de
sécurité, sinon il cherche dans son cache pour répondre à la requête de manière
rapide, sinon il redirige la requête vers internet.
20
Chapitre 2 : Contexte général du projet
3- Le résultat de la requête est retourné vers le serveur proxy qu’il le stocke dans son
cache.
4- Le serveur proxy redirige la réponse vers le client.
2.3. La VOIP :
21
Chapitre 2 : Contexte général du projet
SIP est le standard ouvert de VoIP, interopérable, le plus étendu et vise à devenir le
standard des télécommunications multimédia (son, image, etc.).SIP n'est donc pas seulement
destiné à la VoIP mais pour de nombreuses autres applications telles que la visiophonie, la
messagerie instantanée, la réalité virtuelle ou même les jeux vidéo. [7]
22
Chapitre 2 : Contexte général du projet
La MIB (Management Information Base) est une collection d’objets résidant dans une
base d’information virtuelle. Ces collections d’objets sont définies dans des modules MIB
spécifiques.
23
Chapitre 2 : Contexte général du projet
Le mode tunnel : utilisé dans les VPN de type « Client à site » ou « Site à Site », dans
lequel le paquet IP originale est totalement protégé puisque l’entête du corps du
paquet IP est chiffré et encapsulé dans un autre paquet IP.
Le mode transport : utilisé dans les VPN de type « Serveur à serveur » ou « client à
serveur », dans lequel l’entête des paquets IP n’est pas chiffré. Les adresses IP ne sont
pas protégées, ce mode protège juste les données transportées par le paquet IP.
IKE=ISAKMP+ OAKLEY
24
Chapitre 2 : Contexte général du projet
• Les résultats de l’établissement d’une session ISAKMP sont des associations de sécurité
ISAKMP bidirectionnelles.
IKE Phase 2 :
• Définit le mécanisme d’échange des clefs dans les Sas ISAKMP.
3. Plan d’action
Pour mettre en place notre planification nous avons utilisé le logiciel de gestion de projet
Gantt Project, il permet de planifier efficacement les projets, décrits par les différentes tâches
et leurs dépendances, les ressources et les charges de travail associées. La planification
obtenue peut ensuite être adaptée en fonction de l’avancement du projet et des difficultés
rencontrées. Cet outil nous permet aussi d’avoir une vue précise sur notre avancement grâce
à ses différentes fonctions de calcul (diagramme de Gant, tableau de tâches.. etc).
L’enjeu de cette tâche était de planifier notre projet en respectant les différents délais
imposés, en tenant compte de la remise de différentes phases, ainsi que de la date de rendu
final.
Il nous a fallu évaluer la charge de travail requise pour chaque tâche du projet, qui ne
constitue pas forcément la charge réelle, notamment en ce qui concerne les parties
exploratoires, difficiles à spécifier précisément sans avoir commencé la phase de conception.
25
Chapitre 2 : Contexte général du projet
Après avoir présenté l’organisme d’accueil, définir le cadre du projet et planifier les
différentes tâches du projet, nous allons par la suite effectuer une étude théorique pour mieux
cerner le projet.
4. Conclusion
Ce chapitre nous a permet de savoir le contexte générale du projet, les différents
protocoles et technologies à utiliser par la suite et le plan d’action qu’on va le suivre durant la
réalisation de notre projet.
26
Chapitre 3 : Etude détaillée du projet
1. Description de la solution
La sécurité est un sujet qui touche tous les composants du système d'information, y
compris l'environnement (local technique) et les utilisateurs. Elle couvre généralement trois
principaux objectifs :
L’intégrité : garantir que les données sont bien celles qu'on croit être ;
La confidentialité : donner l'accès aux ressources aux seules personnes autorisées ;
La disponibilité : maintenir le bon fonctionnement du système informatique.
Pour assurer son fonctionnement ou ses interconnexions, le réseau a besoin
d'équipements tels que les Firewalls (Fortigate, Cisco Asa, SRX juniper), les routeurs et des
commutateurs (switches). Ces équipements très sensibles sont installés dans des locaux
spécifiques sécurisés couramment appelés "Data Center".
27
Chapitre 3 : Etude détaillée du projet
PLAN D’adressage :
Le tableau suivant décrit le plan d’adressage des équipements installés sur les sites
(Réseaux Locaux) :
Adresse IP Masque du réseau
@ Réseaux du site 10.10.0.0 255.255.255.0
@ Réseaux des clients 10.10.0.10=>10.10.0.110 255.255.255.0
Site1 CGI @ Serveur AD 10.10.0.5 255.255.255.255
@ Serveur Téléphonie 10.10.0.4 255.255.255.255
@ Serveur Exchange 10.10.0.6 255.255.255.255
@ Réseaux du site 10.20.0.0 255.255.255.0
@ Réseaux des clients 10.20.0.10=>10.20.0.210 255.255.255.0
Site2 CGI
@ Serveur Supervision 10.20.0.2 255.255.255.255
@ Serveur Téléphonie 10.20.0.4 255.255.255.255
Site Client @ Réseaux du site 172.16.10.0 255.255.255.0
Tableau 3. 1 : Plan d'adressage des Sites
Le tableau suivant décrit le plan d’adressage des équipements d’interconnexion entre les
sites :
Equipement Interface Adresse IP
ASA « Client » - SRX ASA E0/0 192.168.200.2
ASA – Fortigate ASA E1/0 1.1.1.1
Routeur Site1 – SRX Routeur Site1 F0/0 192.168.100.2
Routeur Site1 - Fortigate Routeur Site1 F0/1 2.2.2.1
Routeur Site2 – SRX Routeur Site2 F0/0 192.168.150.2
Routeur Site2 – ASA « Site2» Routeur Site2 F0/1 3.3.3.1
SRX – ASA « Client » SRX Ge-0/0/1 192.168.200.1
SRX – Routeur Site1 SRX Ge-0/0/2 192.168.100.1
SRX – Routeur Site2 SRX Ge-0/0/3 192.168.150.1
Tableau 3. 2 : Plan d'adressage des équipements d'interconnexion
28
Chapitre 3 : Etude détaillée du projet
Cette partie comporte un firewall jupier SRX conçu pour l’ouverture de flux, définir et
assurer l’intercommunication des zones de sécurité, connecté à un Cisco ASA coté client qui
permet de sécuriser les flux entrants et sortants, utilisé aussi pour avoir un tunnel IPSec Site
to Site (entre les sites CGI et le Site du client) et des routeurs Cisco 3735 coté site1 et site 2.
3.1.1. SRX :
Lorsqu’on parle du SRX Juniper il faut bien indiquer les paramètres suivant qu’on a utilisé pour
notre configuration :
Les zones de sécurité sont les éléments constitutifs des règles. Ce sont des entités logiques
auxquelles une ou plusieurs interfaces sont liées. Les zones de sécurité permettent de
distinguer les réseaux et leurs ressources les unes des autres afin de leur appliquer différentes
mesures de sécurité sur le trafic entrant et sortant. [11]
29
Chapitre 3 : Etude détaillée du projet
Une interface pour une zone de sécurité peut être considérée comme une porte à travers
laquelle le trafic TCP / IP peut passer entre cette zone et toute autre zone.
De nombreuses interfaces peuvent partager exactement les mêmes exigences de sécurité.
Cependant, différentes interfaces peuvent également avoir des exigences de sécurité
différentes pour les paquets de données entrants et sortants. Les interfaces présentant des
exigences de sécurité identiques peuvent être regroupées en une seule zone de sécurité.
Une politique de sécurité est une stratégie qui fournit un ensemble d'outils aux
administrateurs réseau, leur permettant d'implémenter la sécurité réseau pour leurs
organisations et les actions qui doivent être effectuées sur le trafic lorsqu'il passe à travers le
pare-feu pour sécuriser et contrôler l'accès à leurs réseau local et à leurs ressources.
Du point de vue des stratégies de sécurité, le trafic entre dans une zone de sécurité et
quitte une autre zone de sécurité. Cette combinaison de from-zone et de to-zone s'appelle un
contexte. Grâce aux contextes définis, le trafic est autorisé entre les zones à circuler dans une
direction ou dans les deux, chaque contexte contient une liste ordonnée de règles traitées
dans l'ordre dans lequel elles sont définies dans un contexte.
Les règles permettent de refuser, autoriser, rejeter, crypter et décrypter, authentifier,
hiérarchiser, planifier, filtrer et surveiller le trafic qui tente de traverser une zone de sécurité
à un autre. On décide quels utilisateurs et quelles données peuvent entrer et sortir, et quand
et où ils peuvent aller.
30
Chapitre 3 : Etude détaillée du projet
La stratégie de sécurité
Une stratégie de sécurité est un ensemble d'instructions qui contrôle le trafic d'une source
spécifiée vers une destination spécifiée à l'aide d'un service spécifié. Une stratégie autorise,
refuse des types de trafic spécifiés unidirectionnellement entre deux points.
Address Book
Un carnet d'adresses est une collection d'adresses et de jeux d'adresses. Junos OS vous
permet de configurer plusieurs carnets d'adresses. Les carnets d'adresses sont pour but
d’identifier une ou ensemble d’adresse réseau afin que vous puissiez leur appliquer des
stratégies. [11]
Les entrées du carnet d'adresses incluent les adresses des hôtes et des sous-réseaux dont
le trafic est autorisé, bloqué, crypté ou authentifié par l'utilisateur. Ces adresses peuvent être
n'importe quelle combinaison d'adresses IPv4, d'adresses IPv6, d'adresses génériques ou de
noms DNS (Domain Name System).
Routage statique de base
Comme vous pouvez lier plusieurs interfaces à une zone, les routes que vous utilisez sont
importantes pour diriger le trafic vers les interfaces de votre choix.
Les routes permanentes dans les tables de routage et de transfert sont souvent
configurées en tant que routes statiques
Pour créer une route statique dans la table de routage, vous devez au moins définir la
route comme statique et lui associer une adresse de saut suivant.
31
Chapitre 3 : Etude détaillée du projet
La route statique est insérée dans la table de routage et par la suite dans la table transfert
lorsque l'adresse de saut suivant est accessible. Tout le trafic destiné à la route statique est
transmis à l'adresse du saut suivant pour le transit.
3.1.2. ASA :
Lorsqu’on parle de l’asa il faut bien indiquer les paramètres suivant qu’on a utilisé pour notre
configuration
Les interfaces réseau et les niveaux de sécurité (Security Level) :
Routage :
Sur les équipements Cisco, les protocoles de routage possèdent tous une Distance
Administrative (DA) qui permet de privilégier certaines informations par rapport à d’autres.
Chaque protocole de routage possède sa propre DA et cette dernière est prise en compte dans
le choix du chemin à emprunter, si un équipement possède deux routes identiques annoncées
par deux protocoles différents, l’équipement choisira la route proposée par le protocole de
routage possédant la DA la plus faible. Voici donc un tableau récapitulatif des protocoles les
plus utilisés ainsi que leur DA associée (il s’agit des valeurs Cisco par défaut, elles sont
personnalisables afin de pouvoir privilégier un protocole à un autre) : [12]
32
Chapitre 3 : Etude détaillée du projet
Par la suite on a configuré dans notre architecture le routage statique afin de bien préciser
la source et la destination demandé et pour mieux sécurisé les réseaux (sites CGI en question)
car ce routage est plus maitrisable dans la partie production.
Règle de filtrage :
Nat transversal :
En réseau informatique, NAT-T (NAT traversal dans le cadre de l'IKE) est une méthode
permettant aux datagrammes IPsec de traverser un réseau utilisant du NAT. [13]
En effet, le PAT est un type de NAT qui ne s'applique qu'aux protocoles UDP et TCP (couche
4 du modèle OSI) pour discriminer les différents flux IP. Or IPSec (Internet Protocol Security)
est un protocole de couche 3 uniquement, il ne possède pas de couche 4. De ce fait, il n'est
pas compatible avec le PAT.
Cependant, il est toujours possible d'utiliser le protocole NAT-T qui encapsule les paquets
IPsec dans des paquets UDP permettant à ces derniers de traverser un réseau « natté » avec
du PAT. La négociation du NAT-T durant l'IKE est définie par la RFC 39471 et l'encapsulation
proprement dite est quant à elle définie dans la RFC 39482.
Cisco a développé son propre protocole de tunnel pour traverser un réseau natté. Il
permet d'utiliser IPSec sur TCP ou bien UDP. [13]
DHCP en ASA :
Vous pouvez configurer un serveur DHCP sur chaque interface de l'ASA. Chaque interface
peut avoir son propre pool d'adresses à partir duquel dessiner.
33
Chapitre 3 : Etude détaillée du projet
Toutefois, les autres paramètres DHCP, tels que les serveurs DNS, le nom de domaine, les
options, le délai d'attente de ping et les serveurs WINS, sont configurés globalement et utilisés
par le serveur DHCP sur toutes les interfaces.
IP Sec en ASA :
La création de tunnels VPN est l’une des fonctionnalités principales de l’ASA Cisco. Il est
possible de réaliser des VPN site à site, mais aussi des VPN pour un accès distant. Par la suite
nous allons configurer un VPN site à site entre notre l’ASA et le Fortigate (Coté client).
3.2. Le Site1-CGI :
34
Chapitre 3 : Etude détaillée du projet
Cette partie comporte un firewall Fortigate conçu pour la sécurisation du réseau local du
Site1 en analysant les flux entrants et sortants, un serveur de téléphonie (Asterisk) utilisé pour
réaliser des appels téléphoniques entre les utilisateurs des sites CGI et un serveur AD dans
lequel on a installé les fonctionnalités : l’AD DS, DNS.
Commençant par le Fortigate :
3.2.1. Fortigate :
Les interfaces réseau et les niveaux de sécurité (Security Level) :
L’unité Fortigate comporte un certain nombre de ports, Chaque interface doit posséder
les protocoles quelle permet le faire passer le flux correspondant au protocole déclarer. La
communication entre les interfaces se fait par Policy, chaque policy à un sens unidirectionnel
Routage
L’unité Fortigate peut jouer le rôle d’un routeur pour faire circuler les flux entrant et
sortants vers leurs destinations, suivant une table de routage. Le routage dans Fortigate se
base sur des priorités des différentes routes possibles, le système évalue d'abord les règles
d'itinéraire de contenu, puis les routes de stratégie, puis les routes statiques. Les paquets sont
routés vers la première route qui correspond. [14]
La table de routage statique est celle qui doit inclure une "route par défaut" à utiliser
lorsqu'aucune route plus spécifique n'a été déterminée.
Les routes statiques spécifient l'adresse IP d'un routeur next-hop accessible depuis cette
interface réseau.
Règle de filtrage :
Les règles pare-feu sont des instructions utilisées par le boîtier FortiGate pour décider de
la réponse à donner à une requête de connexion. Lorsque le boitier FortiGate reçoit une
requête de connexion sous la forme d'un paquet, il analyse ce paquet pour en extraire
l'adresse source, l'adresse de destination et le service (via le numéro du port).
L’adresse source, l’adresse de destination et le service d’un paquet qui veut se connecter
à travers un FortiGate doivent correspondre à une règle pare-feu. La règle régit l’action du
pare-feu sur le paquet. Les actions possibles sont l’autorisation de la connexion, le blocage de
la connexion, la requête d’une authentification avant que la connexion soit autorisée ou le
traitement du paquet comme un paquet IPSec VPN. [14]
35
Chapitre 3 : Etude détaillée du projet
DHCP en Fortigate :
Le Fortigate peut fournir le service DHCP et donc distribuer une ou plusieurs adresses aux
équipements du réseau local, à partir d'une plage d'adresses définie.
Un ou plusieurs serveurs DHCP peuvent être configuré sur n'importe quelle interface
Fortigate. Un serveur DHCP attribue dynamiquement des adresses IP aux hôtes du réseau
connecté à l'interface. Les ordinateurs hôtes doivent être configurés pour obtenir leurs
adresses IP en utilisant DHCP.
Windows Server 2008 permet de gérer les rôles et fonctionnalités des autres
serveurs de notre réseau. Nous n’avons pour l’instant aucun autre serveur donc cette
installation ne concernera que notre futur contrôleur de domaine.
L'AD (Active Directory) : L'active Directory permet de recenser toutes les
informations concernant le réseau, que ce soit les utilisateurs, les machines ou les
applications. L'Active Directory constitue ainsi le noyau de toute l'architecture réseau
et permet ainsi de facilité l'accès aux applications et aux périphériques disponibles sur
le réseau.
FTP (File Transfer Protocol) est un protocole de communication, de la couche
application du modèle OSI, destiné au partage de fichiers sur un réseau TCP/IP. Il
permet, depuis un ordinateur, de copier des fichiers vers un autre ordinateur du
réseau, ou encore de supprimer ou de modifier des fichiers sur cet ordinateur. Ce
mécanisme de copie est souvent utilisé pour alimenter un site web hébergé chez un
tiers.
Le DNS (Domain Name System) : Un serveur DNS est en quelque sorte un annuaire
pour ordinateur. Lorsque vous voulez accéder à un ordinateur dans le réseau, votre
ordinateur va interroger le serveur DNS pour récupérer l’adresse de l’ordinateur que
vous voulez joindre. Une fois, que votre ordinateur aura récupéré l’adresse du
destinataire, il pourra le joindre directement avec son adresse IP.
36
Chapitre 3 : Etude détaillée du projet
37
Chapitre 3 : Etude détaillée du projet
38
Chapitre 3 : Etude détaillée du projet
Sur le schéma précédent vous pouvez constater les différents points de contrôle
entre ces deux Exchange Server 2016. Voici à quoi correspondent ces différents
acronymes :
Le MUA = Mail User Agent : Le MUA désigne le client de messagerie (ou logiciel) utilisé
pour envoyer ou recevoir ses mails. La messagerie professionnelle la plus répandue est
Microsoft Outlook Exchange mais il en existe d’autres tels que Thunderbird, Lotus
Notes, Zimbra ou encore Google Suite avec Gmail.
Le MSA = Mail Submission Agent : C’est le programme serveur qui traite les demandes
de mails envoyés. En fait le Mail User Agent envoi une demande d’envoi email au MSA
qui y répondra favorablement si toutes les conditions sont remplis (login et password
corrects, contenu autorisé…).
Le MTA = Mail Transfert Agent : Cet élément correspond à la voiture de transport du
courrier électronique pour amener le mail d’un serveur Exchange à l’autre.
Le MDA = Mail Delivery Agent : Jouant le rôle inverse du MSA, le Mail Delivery Agent
comme son nom l’indique permet de délivrer le mail dans le client de messagerie du
destinataire. C’est un logiciel serveur qui traite l’information du courrier électronique
pour le transmettre à un Mail User Agent comme Outlook Exchange par exemple. [17]
39
Chapitre 3 : Etude détaillée du projet
Pour communiquer entre eux de manière sécurisée, tous ces agents mails reposent
sur le protocole SMTP
SMTP « Simple Mail Transfert Protocol »: Ce protocole permet globalement
d’émettre les mails, il est donc surtout utilisé par le Mail Submission Agent et le Mail
Transfert Agent.
3.3. Site2-CGI :
Centreon est un serveur conçus pour la supervision des différents équipements d’un
réseau, suite à des recherches plus approfondies et aux conseils de notre encadrant,
on est penché sur une variante de la solution, à savoir : Centreon Entreprise Server.
La base Centreon est une surcouche de Nagios, et donc logiquement il fallait
procéder à une installation complète de Nagios (plugins..) puis à l'installation de
Centreon. Grâce à CES, on retrouve le meilleur de la suite Centreon dans une solution
efficace, complète et maintenue au sein d'un même package. [18]
40
Chapitre 3 : Etude détaillée du projet
L'intérêt est bien entendu de déployer rapidement les outils nécessaires à notre
supervision vis-à-vis de notre infrastructure.
La solution est présentée sous la forme d'une image ISO, on peut alors la graver
pour procéder à l'installation, ou tout simplement créer une machine virtuelle basée
sur celle-ci. Une fois installée, CES est prêt à l'emploi.
Il est composé des différents outils suivants :
Un noyau Linux: CES est basé sur la distribution CentOs 6.5, elle-même basée sur
RedHat Enterprise Linux (REHL). Le principal avantage vient de l'outil YUM qui
facilite l'exploitation et la gestion des paquets au format RPM, toutes les
dépendances sont automatiquement calculées par YUM, il n'est donc pas nécessaire
de vérifier les versions de chaque paquet. Un simple "yum update" permet de
mettre à jour tous les éléments de CES (Centreon Entreprise Serve).
Un ordonnanceur (moteur central): CES propose le choix de deux ordonnanceurs,
le premier Nagios le plus classique connu de tous, et le second Centreon Engine,
développé par les équipe de Meréthis. Celui-ci offre une alternative au moteur
central Nagios, mais est cependant basé sur Nagios. C'est un véritable challenge
que se sont lancés les équipes de Meréthis, en ne cachant pas qu'ils souhaitent à
long terme remplacer Nagios par leur propre ordonnanceur.
Un broker: Un Broker est un module chargé de remonter les informations dans la
base de données.
Une IHM intuitive: il s'agit bien évidemment de Centreon lui-même, qui fournit une
interface simplifiée, pour rendre la consultation de l'état du système accessible aux
utilisateurs, également à présent les informations et l'administration des
ordonnanceurs sont inclus dans l'interface (sous le nom de Monitoring Engine).
Un serveur HTTP: CES propose la version propose la version la plus récente de
APACHE (la version 2) qui est actuellement le serveur HTTP le plus utilisé pour le
développement. Son support Multiplateformes ainsi que les processus légers UNIX
en font un incontournable.
Une base de données et son SGBD: Une base de données est installée afin de
permettre la remontée des données à l'aide du Broker. [18]
41
Chapitre 3 : Etude détaillée du projet
Serveur CA
Les certificats d’authentification serveur sont des certificats qui servent à identifier
de façon sûre le serveur (ou les applications) auprès d’autres applications tierces. [19]
En effet comme tous les certificats, le certificat d’authentification serveur est
considéré comme la carte d’identité du serveur. Pareillement à la carte d’identité, il
doit être émis par une autorité ou un tiers de confiance et est composé d’un ensemble
de données servant à identifier le serveur. En principe, son fonctionnement est basé
sur le chiffrement d’informations et sur la confiance. De ce fait, un tel certificat doit au
moins contenir une clé publique pour que les informations sur le serveur ne soient
lisibles que par ceux qui détiennent la clé privée correspondante. En outre, il doit
contenir les informations d’identification du serveur comme son nom, sa localisation,
etc… Il doit aussi être associé au moins à une signature puisque celle-ci est le garant
de la non-altération des informations hébergées sur le serveur. [19]
Par ailleurs, les certificats d’authentification serveur permettent d’établir des
sessions sécurisées pour l’échange des données entre serveurs .
42
Chapitre 4 : Réalisation et Simulation du projet
Afin de réaliser notre projet nous avons utilisé deux plateformes (GNS3 et VMWAR)
le premier c’est pour dessiner l’architecture et réaliser les interconnexions, le
deuxième est utilisé pour mettre en place les machines virtuelles et les configurer.
L’interconnexion entre les deux plateformes se fait par un fichier « gns3server.exe »
et en importons les machines, ainsi d’attribuer à chaque machine virtuel des cartes
réseaux virtuelles de VMnet 1 => VMnet 19.
1.1. GNS3
43
Chapitre 4 : Réalisation et Simulation du projet
2. Réalisation du projet
44
Chapitre 4 : Réalisation et Simulation du projet
On ajoute des routes statique sur le Fortigate afin qu’il puisse connaitre la route
vers le réseau demandé en question :
Sur cet équipement le routage n’est pas suffisant pour identifier les réseaux
distants, il fallait donc configurer Policy Route
L’ajout d’une route Policy se fait comme montre la figure suivante :
45
Chapitre 4 : Réalisation et Simulation du projet
Après avoir ajouté les routes policy on s’assure que les routes sont bien
configurées :
Il nous reste qu’à configurer les Policy afin de surveiller les flux entrants et sortant
vers le site 1 pour cela on sélection l’interface source et on ajoute le réseau source,
l’interface de destination et le port de destination et les services à autoriser :
L’appellation d’un réseau par un nom se fait par (clique sur le bouton plus pour
ajouter un nouveau nom d’un réseau) et on remplit les cases :
46
Chapitre 4 : Réalisation et Simulation du projet
La configuration résultant des flux entrants et sortants pour autoriser le flux de passe r
par les deux interfaces est la suivante :
Figure 4. 9 : Configuration des autorisations sur les flux entrants et sortants sur le Fortigate Site1
La configuration du proxy sur le Fortigate est montrée sur les figures suivantes :
47
Chapitre 4 : Réalisation et Simulation du projet
La dernière phase avant le tunnel c’est de distribuer les adresses IP en réseau local
à travers le service DHCP :
48
Chapitre 4 : Réalisation et Simulation du projet
On confirme les sélections par défaut et on vérifie les fonctionnalités installé dans le
champ résultat :
Après avoir installé les fonctionnalités de l’AD il reste d’installer ses services :
Pour cela on crée une nouvelle forêt qu’on la nomme CGI-Local :
49
Chapitre 4 : Réalisation et Simulation du projet
50
Chapitre 4 : Réalisation et Simulation du projet
51
Chapitre 4 : Réalisation et Simulation du projet
52
Chapitre 4 : Réalisation et Simulation du projet
Figure 4 :de
Figure 4. 24 : Résultat la recherche directede
configuration et la
inverse installédirect
recherche avec succès
et inversée sur DNS
Puis on ajoute les utilisateurs que nous allons autoriser à manipuler les fichiers et répertoires
gérés par le service FTP et on clique ajouter site FTP :
53
Chapitre 4 : Réalisation et Simulation du projet
On saisit le nom du site FTP et on sélectionne le chemin du dossier qu’on souhaite le partager :
54
Chapitre 4 : Réalisation et Simulation du projet
55
Chapitre 4 : Réalisation et Simulation du projet
56
Chapitre 4 : Réalisation et Simulation du projet
Il reste qu’à configurer les utilisateurs ajoutés sur x-lite après son installation sur l’une
des machines d’utilisateurs locaux
57
Chapitre 4 : Réalisation et Simulation du projet
58
Chapitre 4 : Réalisation et Simulation du projet
59
Chapitre 4 : Réalisation et Simulation du projet
60
Chapitre 4 : Réalisation et Simulation du projet
L’ASDM est l’interface WEB de l’ASA. Même si elle n’est pas exempte de dé faut, elle
reste une très bonne interface de configuration, qui vous permettra de vous passer en
grande partie de la CLI, les commandes ci-dessous permettent d’importer le fichier
asdm.bin via tftp afin d’accéder à l’interface de configuration de l’ASA via la machine
physique
On installe l’ASDM et on configure l’accès admin avec le mot de passe en cli, on peut
maintenant accéder à l’interface ASDM :
61
Chapitre 4 : Réalisation et Simulation du projet
On ajoute les routes afin d’y accéder vers les réseaux définit précédemment dans
le plan d’adressage
62
Chapitre 4 : Réalisation et Simulation du projet
63
Chapitre 4 : Réalisation et Simulation du projet
Figure 4. 50 : Configuration des interfaces et des zones de sécurité du cloud sur le SRX
Figure 4. 51 : Configuration pour faire communiquer entre les zones du Cloud sur le SRX
64
Chapitre 4 : Réalisation et Simulation du projet
La figure suivante montre la configuration des routes statiques sur le SRX afin qu’il
puisse identifier les réseaux distants :
Figure 4. 53 : Configuration pour faire communiquer entre les sites internes de l'architecture
65
Chapitre 4 : Réalisation et Simulation du projet
66
Chapitre 4 : Réalisation et Simulation du projet
67
Chapitre 4 : Réalisation et Simulation du projet
68
Chapitre 4 : Réalisation et Simulation du projet
On continue l’installation de notre serveur en suivant les étapes par défaut puis on accède
à son interface web dans laquelle on confirme la configuration des modules de notre serveur
:
69
Chapitre 4 : Réalisation et Simulation du projet
70
Chapitre 4 : Réalisation et Simulation du projet
71
Chapitre 4 : Réalisation et Simulation du projet
72
Chapitre 4 : Réalisation et Simulation du projet
Après avoir configuré les deux équipements coté client (ASA et Fortigate), il reste de
monté le tunnel VPN IP Sec entre eux afin de réaliser une communication sécurisé entre eux
73
Chapitre 4 : Réalisation et Simulation du projet
74
Chapitre 4 : Réalisation et Simulation du projet
3. Test et vérification
Apres configuration sur les deux équipements. Sur Fortigate, on aille sur VPN > Monitor
> IPSEC Monitor. On met le tunnel en mode fonctionnement, en cliquant sur « Bring Up ».
Depuis le réseau interne du Site 1, on devrait être capable d’envoyer un Ping, et de passer
le flux vers le réseau interne du Client, dans le tunnel en toute sécurité.
75
Chapitre 4 : Réalisation et Simulation du projet
Résolution DNS
Pour accéder aux différents servers CGI, c’est plus pratique d’avoir des noms de domaines des
serveurs que de se rappeler des centaines d’adresses IP.
76
Chapitre 4 : Réalisation et Simulation du projet
Supervision Centreon
La supervision des sites CGI est centralisée dans un serveur Centreon, se trouvant sur le site
2, et peut superviser les différents équipements de l’architecture. Centreon donne la
possibilité de voir les statistiques d’utilisation des ressources et les affiche sur un Dashboard.
En cas de saturation ou excès d’utilisation, Centreon génère des Warnings pour précipiter la
défaillance.
77
Chapitre 4 : Réalisation et Simulation du projet
78
Chapitre 4 : Réalisation et Simulation du projet
- S’assurer de mettre des redondances des chemins entre sites, en cas de destruction lien,
on bascule vers le 2éme chemin automatiquement.
- prévoir une bande passante adéquate pour satisfaire les besoins croissants de CGI.
- Mettre en place un lieu de stockage externe pour les sauvegardes.
5. Conclusion
Dans ce chapitre, on a pu présenter la réalisation de notre projet, tout en expliquant
l’ensemble des étapes à suivre pour pouvoir mettre en place l’architecture réseau, et de
sécurisé les communications inter-sites, en achevant le chapitre par des tests et des un plan
de maintenance.
79
Conclusion Générale
Conclusion Générale :
En effet, les objectifs fixés ont donc été atteints, nous avons su proposer une solution de
sécurisation et supervision complète qui répond au cahier des charges imposé, et nous avons
pu l'intégrer avec OTRS pour plus d'efficacité et de souplesse de travail.
Cette expérience était une occasion unique pour épanouir mes capacités de
communication dans un environnement professionnel, de plus nous avons eu l’occasion de
découvrir l’ambiance de travail dans une multinationale, et de travailler avec des ingénieurs
d’une grande expertise, chose qui a été d’un grand apport pour nous. Enfin mon stage au sein
de CGI été très satisfaisant et dans l’ensemble mon objectif a été atteint.
80
Les références
Les références
[2]: Guide d'achat : quel pare-feu nouvelle génération "UTM/NGFW" [en ligne] disponible à
l’adresse <https://www.tomshardware.fr/articles/firewall-pare-feu-securite,2 2362.html>
[3]: pare-feu de nouvelle génération Cisco ASA, série 5500-X. [en ligne] disponible à l’adresse
<https://www.cisco.com/c/fr_ca/products/security/asa-5500-series-next-generation-
firewalls/index.html>
81
Les références
[14]: https://docs.fortinet.com/uploaded/files/1953/Advanced%20Routing%2052.pdf
82
Les annexes
Les annexes
Pour les firewalls (ASA, SRX juniper et le Fortigate) on les a eu à travers notre
encadrant, il nous a donné les machines installés en utilisant sur une version d’essai (de 6 mois
pour chaque virtual machine).
Annexe A : Installation et Configuration de Centreon
On a commencé par l’installation du Centreon .Pour commencer, il faudra récupérer
l'image ISO de Centreon 3.4.
Il faut nommer l’ordinateur pour qu’il soit identifiable sur le réseau, dans notre cas le
nom d’hôte est : SRV-SUP.localdomain.
Puis On choisit maintenant l’installation de supervision, suivant l’architecture proposée
précédemment, notre choix se portera sur la proposition par défaut, le serveur central avec
la base de données interne :
83
Les annexes
84
Les annexes
85
Les annexes
Après vous être connecté, on peut voir l'adresse IP de notre PBX comme défini ci-
dessous.
On suit les étapes définit par défaut, puis on choisit la version avec interface graphique
en suite on sélectionne mode avancé :
86
Les annexes
87