Académique Documents
Professionnel Documents
Culture Documents
MASTERE PROFESSIONNEL
« Nouvelles Technologies des Télécommunications et Réseaux »
Présenté par :
Titre
Administration et sécurité du réseau de l’Institut Supérieur d’Informatique
Administration de
et sécurité
Mahdia du réseau
(ISIMa) deLinux
sous l’Institut Supérieur
d’Informatique de Mahdia (ISIMa) sous Linux
Soutenu le : 31/01/2015
Devant le jury :
Consentis, votre soutien moral et matériel que vous n’avez cessé de prodiguer.
Que Dieu vous préserve en bonne santé et vous accorde une longue vie
Nous tenons d’abord à exprimer notre sincère gratitude à notre encadreur de stage Mme Gannay
Sana qui n’a pas hésité un jour à nous suivre tout au long de notre projet, et à nous fournir toutes
Nous tenons également à remercier infiniment Mme Ben Hassine Ahlem pour nous avoir offert
les conditions nécessaires et nous avoir guidées dans l’élaboration de ce travail et contribuer
largement à sa réalisation avec la patience, aussi son soutien tout au long de notre projet
Nous profitons aussi de ce mémoire pour exprimer nos plus vifs remerciements envers tous les
professeurs qui nous ont apportés du soutien durant nos études et envers tous nos amis qui ont
Cette technique est mise en place pour la résolution des problèmes d’anarchisme dans les
réseaux et le mal échange des données et des ressources, ainsi que le manque de la sécurité qui
présentent les principaux problèmes dans notre établissement lieu de stage.
C’est dans ce contexte que se situe notre projet intitulé «Administration et sécurité du réseau de
l'Institut Supérieur l'Informatique de Mahdia (ISIMa) sous Linux ».
Les étapes d’élaboration de ce projet sont présentées d’une manière détaillée dans ce rapport,
dans lequel nous allons organiser notre travail sur cinq chapitres.
Dans le premier chapitre, nous allons présenter l’organisme d’accueil, ainsi que le contexte
général du projet. Ensuite, nous passons à la présentation de la problématique, le travail à réaliser
et le choix de la méthodologie de travail.
Le troisième chapitre explore une étude du système d’exploitation à utiliser et les prérequis
nécessaires pour assurer notre administration.
Le cinquième chapitre présente une solution de sécurité du réseau de l’entreprise basé sur la
configuration des VLANs d’une coté et la mise en place et la configuration d’un firewall
matériel d’une autre coté.
Finalement, nous terminons par une conclusion qui résume nos travaux déjà réalisé et qui
présente les perspectives à l'ensemble de travaux menés au cours de ce projet.
Chapitre I :
Présentation générale
Introduction
Dans ce premier chapitre nous mettrons le sujet dans son cadre général, en présentant
l’organisme d’accueil. Par la suite, nous allons introduire notre sujet « Administration et sécurité
du réseau de l’ISIMa sous Linux » ainsi que sa problématique. Au niveau de la troisième partie
de ce premier chapitre, nous allons expliquer le travail à réaliser. Enfin nous allons décrire la
méthodologie utilisée et nous terminerons par une conclusion.
Il est dirigé par un directeur et assisté par un secrétaire général, des chefs de département, un
directeur des études et stages et de 21 cadres administratifs.
L’établissement accueille plus que sept cent étudiants chaque année répartie sur trois branches :
Il est doté d’une infrastructure composée des salles de cours, salles de travaux dirigés, des
laboratoires informatiques, d’une bibliothèque et des bureaux pour les services administratifs et
les enseignants répartis sur quatre étages.
Dans ce cadre se situe notre projet intitulé « Administration et sécurité du réseau de l’Institut
Supérieur d’Informatique de Mahdia sous Linux ». Dans ce projet, nous allons s’intéresser dans
une première partie, à l’organisation du réseau de l’ISIMa par la mise en place et la
configuration des différents services sous un système open source pour assurer le contrôle des
utilisateurs et le partage des ressources d’une façon hiérarchique. Ainsi, dans la deuxième partie,
nous allons s’intéresser à la sécurité des données contre les intrusions internes et externes qui
peuvent attaquer nos ressources.
III. Problématique
Après une analyse détaillée du réseau local de l’institut supérieur d’informatique de Mahdia,
nous dégageons les problématiques suivantes :
V. Méthodologie adoptée
Le cycle de développement d’un projet passe par un certain nombre de phases. Les différents
modèles de développement ont plus ou moins les mêmes phases, mais c'est l'enchaînement de
ces phases, ce qui rend ses différents modèles se distingue les uns des autres. Les deux modèles
les plus couramment utilisés sont le développement de logiciels cascade et le modèle V.
Dans cette partie, nous allons décrire ces deux modèles en choisissant le plus adopté à notre
projet.
V.2. Modèle en V
Ceci rend explicite la préparation des dernières phases (validation-vérification) par les premières
(construction du logiciel), et permet ainsi d'éviter un écueil bien connu de la spécification du
logiciel : énoncer une propriété qu'il est impossible de vérifier objectivement après la réalisation.
(Figure 2).
Figure 2 : Modèle du cycle de vie en V
V.3. Synthèse
Après la description des deux modèles, nous avons constaté que le modèles-en V, est le modèle
le plus convenable pour la réalisation de notre projet. En effet, ce modèle nous permet de faire
des tests unitaires après chaque étape de réalisation. Cet avantage, diminue le nombre des défauts
dans notre application par rapport au modèle en cascade.
Conclusion
Dans ce chapitre, nous avons fait une présentation générale du cadre de projet en décrivant les
problématiques, le travail à réaliser et en choisissant la méthodologie adoptée.
Le chapitre suivant, sera consacré à l’étude de l’existant, la critique de l’existant, ainsi que la
présentation de la solution proposée.
Chapitre II :
Etude Préalable
Introduction
L’étude préalable constitue une étape préliminaire pour la réalisation d’une application. En effet,
elle permet d’analyser, d’évaluer et de critiquer le fonctionnement habituel, tout en élaborant la
liste de solutions possibles.
Ce chapitre sera réservé pour présenter l’étude préalable de notre projet. Nous commençons par
une description détaillée du réseau mis en place. Cette description nous mène à une analyse et
une critique de l’existant. Enfin, nous proposons les différentes solutions aux problèmes
soulevés.
I. Etude de l’existant
L'étude de l'existant est une phase importante pour bien comprendre le réseau déjà mis en place
dans notre établissement. C’est pour cela que dans cette phase, nous allons effectuer une
description précise de l'existant en énumérant les principaux composants et l’architecture actuelle
du réseau de l’ISIMa.
Les systèmes d’exploitation installés dans les postes de travails de l’institut sont soit Windows 7
soit Ubuntu 12.04, donc nous parlons d’un réseau hétérogène.
Pour mieux comprendre l’architecture du réseau existant dans l’institut, nous avons résumé tout
ce que nous avons décrit dans le schéma de la figure 3.
Figure 3 : Architecture existante du réseau de l’ISIMa
Deuxièmement, tous les utilisateurs peuvent partager des documents dans le réseau de l’institut
avec une absence d’administration et de centralisation de ces ressources partagées. Ces
ressources sont partagées sans aucun droit d’accès et tout le monde peut y faire des
modifications.
Troisièmement, dans notre établissement, tous les ordinateurs que ce soit personnel, enseignant
ou étudiant sont interconnectés sous le même réseau ce qui présente une faille de sécurité et une
source d’intrusions, surtout que nous avons des services très sensibles dans l’institut comme le
service examen. En plus, nous avons constaté qu’il n’y a aucune règle de sécurité configurée sur
le firewall déjà existant.
Nous pouvons conclure de tout ce que nous avons cité que nous sommes en face d’un réseau
anarchique qui manque d’administration. Cette mauvaise organisation a engendré plusieurs
problèmes liés à la communication entre les utilisateurs du réseau et à la manière de diffusion
des informations.
Notre solution va être basée sur le choix de l’architecture du réseau. En effet, dans cette partie
nous allons présenter les différentes solutions déjà présentées dans la littérature. Nous focalisons
en particulier sur l’architecture égale à égale et l’architecture client/serveur.
L’architecture client/serveur est une architecture centralisée, étant donné que le serveur est au
centre du réseau, et il peut gérer les ressources communes à tous les utilisateurs afin d’éviter les
redondances et les contradictions.
Cette architecture est particulièrement recommandée pour les réseaux étendus et qui nécessitent
un grand niveau de fiabilité vu le grand nombre d’avantages qui fournissent. Nous citons par
exemple :
La sécurité : vu que le nombre des points d’entrée permettant l’accès aux données est
moins important
Un réseau évolutif : grâce à cette architecture nous pouvons supprimer ou rajouter des
clients sans perturber le fonctionnement du réseau et sans modification majeurs.
III.3. Synthèse
Après la présentation des deux architectures, nous synthétisons que même si un réseau peer-to -
peer est facile à installer et peu coûteuse, les systèmes client-serveur sont plus sûrs et offrent plus
de place pour l'expansion et l’évolution. Par ailleurs, l’architecture client/serveur est la seule qui
peut gérer le réseau de l’établissement constitué de plus qu’une centaine de machines. Ainsi,
nous pouvons envisager une machine serveur responsable de l’administration, la supervision et la
sécurité du réseau (machine, imprimante, équipement d’interconnexion, etc.).
Conclusion
Dans ce chapitre nous avons présenté l’architecture existante dans notre établissement. Par la
suite, nous avons passé à une critique de l’existant. Finalement, nous avons proposé un
ensemble de solutions pour la résolution de ces problèmes.
Nous passons dans le chapitre suivant à l’installation de notre plateforme de travail ainsi que les
services de base.
Chapitre III :
De ce fait, dans la première partie de ce chapitre, nous allons détailler une comparaison entre
les différents systèmes d’exploitation existants et choisir le meilleur entre eux. Par la suite, nous
allons faire une présentation détaillée deux services réseaux à savoir : DNS (Domain Name
System) qui assure la correspondance entre l’adresse IP et le nom de la machine et DHCP
(Dynamic Host Configuration Protocol) qui permet la configuration dynamique des adresses IP.
Nous exposons principalement leurs installations, leurs configurations et leurs tests de
fonctionnement.
I. Choix de la plateforme
Le choix du système d’exploitation et la mise en place de la plateforme du travail sur laquelle
nous allons travailler est une phase très importante. De ce fait dans cette partie, nous allons
procéder à une comparaison entre les différents systèmes d’exploitation existant afin de justifier
le choix du gestionnaire de notre réseau.
Nous remarquons ainsi que le système Linux répond à tous nos besoins en termes d’accès au
code source, de gratuité de licence, et de disponibilité de la documentation. Toutefois, il nous
reste à choisir une parmi ses distributions.
Une distribution Linux, appelée aussi distribution GNU/Linux pour faire référence
aux logiciels du projet GNU [4], est un ensemble cohérent de logiciels. La plupart étant logiciels
libres, assemblés autour du noyau Linux. Il existe une très grande variété de distributions, ayant
chacune des objectifs et des caractéristiques particulières.
Dans un jargon plus technique, Ubuntu est une "distribution GNU/Linux très globalement libre
basée sur Debian". Depuis la première version stable d'Ubuntu, sortie en 2004, la popularité de
cette distribution ne cesse de croître; elle continue de s'améliorer en terme de fonctionnalités et
de stabilité, et séduit chaque jour de nombreux utilisateurs, tant parmi les débutants que parmi les
plus chevronnes et occupe actuellement la première place à l'échelle mondiale.
Cette distribution se distingue par le très grand nombre d'architectures supportées, son
importante logithèque et par son cycle de développement relativement long, ce qui lui confère un
gage d'une certaine stabilité. Sa qualité et son sérieux sont unanimement reconnus, mais elle
garde l'image d'une distribution réservée aux experts, malgré que son ergonomie a beaucoup
évolué.
Ubuntu est souvent considérée comme la version la plus conviviale de Linux pour les nouveaux
utilisateurs, ce qui explique sans doute à ce qu'elle soit la version la plus populaire de Linux
cependant occupe Fedora la quatrième place à l’échelle mondiale. D’autre part, nous constatons
qu’avec l’utilisation du système Ubuntu, nous ne trouvons plus des problèmes de compatibilités
matériels vue que cette distribution utilise des logiciels propriétaires cependant nous ne trouvons
pas cet avantage avec la distribution Fedora et qui nous cause des problèmes de compatibilité et
par la suite l’utilisation des matérielles comme les cartes Wi-Fi ou les cartes graphiques.
Nous constatons, d’après cette comparaison, que le meilleur système qui nous aide à mettre en
place notre projet et à faire l’administration réseaux est linux et plus particulièrement la
distribution Ubuntu. En effet, ce système possède plusieurs avantages par rapport à Windows et
à d’autres systèmes et surtout au niveau de sécurité, simplicité et compatibilité. Plus
particulièrement, nous avons opté pour la version 10.04 d’Ubuntu server qui contient la
plupart des services réseau de façon stable.
Afin d’assurer le fonctionnement de notre réseau, il est nécessaire d’installer le service DNS
(Domain Name System) que nous allons présenter dans la partie suivante.
II. Le service DNS (Domain Name System)
II.1. Présentation du service DNS
DNS (Domain Name System) [7] est un système d’appellation d’ordinateurs et de services
réseau organisé selon une hiérarchie de domaines comme c’est présenté dans la figure 6.
L’attribution de noms DNS est utilisée sur les réseaux TCP/IP tel qu’Internet afin de localiser les
ordinateurs et les services au moyen de noms conviviaux. Lorsqu’un utilisateur entre un nom
DNS dans une application, les services DNS peuvent résoudre ce nom en une autre information
qui lui est associée, par exemple une adresse IP.
Le serveur DNS doit avoir une adresse IP statique, donc nous devons éditer le fichier
« /etc/network/interfaces » avec la commande shell : « nano » et nous ajoutons les lignes
indiquées dans la figure 9 :
Chaque élément de la configuration de l’interface eth0 (iface, address, netmask, etc) est
nécessaire pour pouvoir utiliser normalement le réseau et l’Internet.
Apres avoir fixé l’adresse IP de notre serveur, nous allons passer à la configuration des fichiers
spécifiques du serveur DNS.
La deuxième étape consiste à déclarer les différentes zones du serveur DNS dans le fichier de
configuration « /etc/bind/named.conf.local ». Nous allons ainsi remplir notre fichier avec les
lignes suivantes (figure 11):
Type master; // Master désigne que le type qu’on va déclarer est serveur
};
};
Refresh, Retry, et Expire sont des délais, exprimés en secondes, qui vont piloter le
comportement des serveurs esclaves. A l'expiration du délai refresh, l'esclave va entrer en
contact avec le maître ; s'il ne le trouve pas, il essaiera de nouveau à la fin du délai Retry. Et
si, au bout du délai expire, il n'est pas parvenu à ses fins, il considérera que le serveur maître
a été retiré du service. Nous remarquons aussi la disposition des parenthèses, obligatoire
pour disposer les informations sur plusieurs lignes.
Pour la quatrième étape, nous répétons le même processus pour la zone-inverse avec la création
du fichier spécifique « /etc/bind/db.isima.rnu.tn.rev » (figure 13)
Figure 13 : Création du fichier de la zone inverse
Pour la cinquième étape, il est conseillé (mais pas obligatoire) d’indiquer les adresses IP des
serveurs DNS externe s’il existe dans le fichier « etc/bind/named.conf.options » (figure 14)
Après avoir terminé l’installation du service DNS et la configuration de ses fichiers, il faut
redémarrer notre service.
Dans la figure 16, la commande « nslookup » permet de donner l’adresse IP en fonction du nom
de la machine et inversement après avoir interrogé le serveur DNS déjà installé.
Localisation de bail IP : le client émet une diffusion générale afin de trouver l’IP d’un
serveur DHCP
Offre de bail : Tous les serveurs DHCP disponibles envoient une offre d’adressage IP au
client.
Demande de bail : le client sélectionne la première proposition d’adressage IP qu’il reçoit,
puis émet à nouveau une diffusion générale afin de demander un bail.
Confirmation de bail : le serveur DHCP retenu répond alors au client, et les autres serveurs
retirent leurs offres.
Le client reçoit son adresse IP ainsi que ses paramètres optionnels (passerelle, adresse serveur
DNS).
En effet, le firewall Cisco est un équipement performant, et permet de nous donner des services
très importants pour la sécurité de notre réseau dont nous allons les présenter dans le chapitre 5
« sécurité du réseau ».
Dans cette phase, nous allons nous intéresser à la configuration du serveur DHCP. En effet, nous
allons faire la création et la configuration de l’interface « inadmin » dans notre firewall, fixer
son adresse IP à 192.168.1.1 et son masque est de 255.255.252.0 comme indique la figure 18 :
Figure 18 : Configuration de l’interface « inadmin » du serveur DHCP
Par la suite, nous allons activer le DHCP et fixer la plage d’adresses dynamiques de l’interface
(figure 19).
La figure 20, présente le bon fonctionnement de notre serveur DHCP sur une machine cliente
connecté dans le réseau :
Figure 20 : Test du fonctionnement du serveur DHCP
En effet, dans cette figure nous remarquons que la machine a bien acquis une adresse IP
dynamiquement de la part de notre serveur DHCP déjà configuré.
Conclusion
Dans ce chapitre, nous avons choisi notre système d’exploitation et nous l’avons installé sur
notre serveur. Ensuite, nous avons présenté la configuration des services réseaux DHCP et DNS
et nous avons détaillé leurs tests de fonctionnement. Nous possédons ainsi un serveur qui permet
de reconnaitre et configurer dynamiquement les machines du réseau.
Configuration du contrôleur de
domaine
Introduction
Un domaine est une entité logique vue comme une enveloppe étiquetée. Il désigne l’ensemble de
machines réseau (stations, imprimantes,…) et les comptes utilisateurs qui sont autorisés à se
connecter.
Le domaine permet à l’administrateur réseau de gérer plus efficacement les utilisateurs des
stations installées au sein de l’entreprise car toutes ces informations sont centralisées dans une
même base de données et stockées sur un serveur particulier appelé contrôleur de domaine.
Dans ce contexte, nous pouvons citer plusieurs familles des contrôleurs des domaines existants
sur le marché comme Active Directory pour les systèmes Windows (Windows XP, Windows 7,
etc.), NIS pour les systèmes Open Source (Ubuntu, Debian, etc.) et Samba pour les réseaux
hétérogènes et ce qui est le cas dans notre projet. Toutefois, Samba doit être couplé avec
l’annuaire LDAP afin d’organiser les données et les centraliser dans un annuaire séparé.
Ainsi, dans ce chapitre, nous allons nous intéresser à la présentation du contrôleur de domaine
Samba et l’annuaire OpenLDAP dans un premier lieu. Dans un second lieu, nous détaillerons les
étapes d’installation et de configuration de ces deux services. Nous terminerons enfin par
l’explication de la gestion de quotas d’espace disque et d’ impressions.
I. Etude théorique
L’étude et la mise en place d'un serveur contrôleur de domaine centralisé comme Samba sont
indispensables pour gérer les comptes utilisateurs, les authentifications et les partages des
répertoires. Néanmoins, un annuaire open source comme LDAP permettant d’enregistrer nos
données s’avère nécessaire pour avoir un contrôleur de domaine. Dans ce qui suit, nous allons
présenter ces deux services avec leurs principales fonctionnalités.
OpenLDAP est une implémentation libre de LDAP [Lightweight Directory Access Protocol],
fonctionnant en mode Client/serveur et qui permet d'offrir des fonctionnalités variées dont une
gestion des authentifications dans un environnement réseau. Il peut également gérer les comptes
utilisateurs pour Linux et celles de Windows via un contrôleur de domaine principal.
Ce service est utilisé pour enregistrer une grande quantité d’informations dans un réseau
informatique.
dc=isima,dc=rnu,dc=tn
L’annuaire LDAP doit être interconnecté à un contrôleur de domaine Samba que nous allons
présenter dans la suite.
Dans notre projet, nous avons l’avantage de faire la création en une seule étape grâce à la
synchronisation avec l’annuaire LDAP.
Ce serveur nous permet d’organiser les tâches d’impression, les met en file d’attente, et rend
possible l’impression en réseau en utilisant le standard d’impression Internet Printing Protocol
[IPP]. Il offre un large support pour un très grand nombre d’imprimantes (imprimantes
matricielles aux imprimantes laser, etc.). CUPS offre également le support PostScript Printer
Description PPD et l’auto-détection des imprimantes réseaux, avec une interface de
configuration Web simple et accessible depuis n’importe quel ordinateur [12].
Dans suite de ce chapitre, nous allons décrire les étapes à suivre pour installer et configurer ces
différents services afin de mieux gérer le parc informatique de l’institution lieu de stage (ISIMa).
Pour la modification de ces fichiers, nous devons ajouter un super administrateur à la base du
serveur en ajoutant les lignes suivantes dans le
fichier:/etc/ldap/cn=config/olcDatabase={0}config.ldif (figure 23)
OlcRootDN : cn=admin,cn=config
OlcRootPW : XXXXXXXXXXXXXXXX
Figure 23 : Ajout d’un super administrateur
Par la suite, nous allons initialiser le nom de notre domaine et la base de l’annuaire dans le
fichier :OlcDatabase= {1}hdb.ldif (Annexe LDAP, Figure 1).
ldapsearch –x –b “dc=isima,dc=rnu,dc=tn”
Enfin nous allons redémarrer notre serveur LDAP (Figure 26).
Apres son installation, il faut décompresser ce schéma par les commandes suivantes :
cp /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz
/etc/ldap/schema/ gunzip /etc/ldap/schema/samba.schema.gz
Ensuite, nous devons faire une série de manipulations pour intégrer le schéma samba dans
l’arborescence.
mkdir /tmp/ldif_output
DN : cn=samba,cn=schema,cn=config
Cn : samba
Supprimer les Cinque derniers lignes
gunzip –d /usr/share/doc/smbldap-tools/configure.pl.gz
Le fichier de configuration « smb.conf » contient une section globale et une section de partage.
Parmi les paramètres les plus importantes que nous devons les configurer dans le fichier sont :
Par la suite, nous devons définir le mot de passe de l’administrateur Samba par la commande
smbpasswd (Figure 31):
perl /usr/Share/doc/smbldap-tools/configure.pl
Certaines informations vont être demandées au cours de cette phase concernant le domaine
Samba (Annexe Samba, Figure 3).
Créons maintenant l'arbre de base au niveau de LDAP pour Samba avec la commande
smbldap- populate comme suit:
/var/samba/netlogon : contient les éventuels scripts qui sont exécutés à chaque connexion
d’un utilisateur (.bat)
/var/samba/home : contient les profils Windows à chaque utilisateur, aussi les répertoires
Linux.
mkdir nom_dossier
Apres la création des répertoires, il faut les donner les droits d’accès comme suit :
Dans notre cas, nous avons créé trois groupes qui sont
principalement « Etudiant », « Enseignant » et « Administratif ».
Puis nous passons à la création des comptes des utilisateurs avec la commande smbldap_useradd
(figure 34).
La création manuelle des comptes système est un peu classique et a des points faibles au niveau
du temps si nous désirons créer plusieurs comptes. Pour cela, nous allons améliorer cette
technique à travers la réalisation d'un script Shell qui va créer les comptes système. Il prend ses
informations à travers un fichier texte, ce fichier texte contient les noms et les mots de passe et
les groupes séparés par un « : ». La première colonne pour les noms de compte, la deuxième
pour les mots de passe et la troisième pour les groupes (figure 35). Ce script fait la création en
se basant sur ce fichier texte (Annexe Samba, Figure 4).
Figure 35 : Fichier texte d’utilisateurs
L’exécution de ce script se fait avec la commande suivante :
1er Etape : Cliquer sur le bouton droit sur ordinateur puis propriétés
2ème étape : cliquer sur le lien « modifier les paramètres » du paragraphe Paramètres de nom
d’ordinateurs, de domaine et de groupe de travail
4ème étape : Sélectionner membre d’un domaine et entrer le nom de domaine puis OK (figure
37)
Figure 37 : Intégration au domaine
Nous remarquons la création d’un nouveau lecteur H : dans l’explorateur Windows. Ce lecteur
pointe sur l’espace propre à l’utilisateur dans notre serveur.
Figure 38 : Test de Validation pour un client Windows
Remarque
:
Pour intégrer les machines Windows 7, il faut modifier la base de registres du système. Pour cela
SAMBA propose un script téléchargeable [15].
Nous devons éditer le fichier « /etc/fstab » afin d'ajouter usrquota dans les options pour avoir
une gestion au niveau utilisateur et grpquota pour une gestion par groupe. Puisque nos comptes
des utilisateurs sont enregistré dans la partition « /home », nous allons éditer juste cette partition
comme c’est présenté dans la figure 40:
Par la suite, nous passons à la fixation des quotas des utilisateurs et des groupes en accèdant au
fichier spécifique de chacun via la commande suivante :
edquota –g groupe
edquota –u utilisateur
Figure 41 : Quota des utilisateurs
Les premières colonnes souple & stricte correspondent aux limites "block"
Une fois que les quotas sont définis pour un utilisateur, on peut les répliquer pour d'autres
utilisateurs en utilisant l'option -p de la commande « edquota ».
Pour consulter l’interface, nous tapons l’adresse de notre serveur suivi de numéro de port de
serveur dans la barre d’adresse de n’importe quel navigateur Web:
Figure 43 : Page Web du service CUPS
Pour ajouter une imprimante, nous passons à l’onglet « administration », puis, nous choisissons
« add printer » (Figure 44).
Par la suite, nous devons choisir le nom de l’imprimante à ajouter et sa localisation et nous
devons installer son pilote.
Printing = cups
Printcap =
cups
IV.2.2 Test de Validation
Toutes les imprimantes partagées sont affichées dans le réseau à côté des dossiers des utilisateurs
partagés (figure 48).
Ainsi, notre travail est testé avec succès au sein de l’institut ISIMA et prêt pour l’utilisation de la
part de nos étudiants et enseignants dans l’établissement.
Après la mise en place de notre contrôleur de domaine, nous nous intéressons dans la partie
suivante à sa sécurité des données partagées par ce réseau. Ainsi, dans le chapitre suivant nous
allons présenter une étude complète de la sécurisation du réseau d’ISIMa.
Chapitre V :
Dans ce contexte, nous allons présenter notre proposition d’architecture du réseau qui est basé
sur un matériel Firewall Cisco, sur lequel nous allons activer des VLANs pour chaque groupe
d’utilisateurs pour la protection interne et des règles de sécurité pour mieux gérer et surveiller le
système d’information contre les attaques externes au sein de notre établissement.
Dans ce chapitre, nous allons commencer par définir le concept de firewall et présenter les
différents types de VLANs. Par la suite, nous allons créer les VLANs et configurer les règles de
sécurité sur notre firewall. Enfin, nous allons présenter une simulation sur le logiciel packet
tracert pour la configuration des Switchs.
I. Concepts de la sécurité
Les Firewalls personnels : Ce type de firewall est souvent commercial et a pour but de protéger
un seul ordinateur. Il est simple à utiliser mais sécurisé.
Les firewalls plus « sérieux » : Ils sont généralement intégrés avec le système d’exploitation
Linux. Il offre une sécurité très élevée et un contrôle adéquat.
Nous avons créé des VLANs sur notre firewall à travers une interface graphique de la façon
suivante :
Figure 51 : Exemple de création de VLAN « Etudiant »
De la même manière nous allons créer les deux autres VLANs « Enseignant » et Administratif »
sur notre Firewall pour avoir un réseau séparé comme c’est présenté dans la figure 52.
Les règles de sécurité se diffèrent d’un groupe d’utilisateurs à une autre selon leurs utilisations.
En effet, la configuration des règles de sécurité pour le groupe d’étudiants doit être plus
sécurisée que celle des enseignants et cadres administratifs.
En effet, pour le réseau des enseignants et des cadres administratifs, nous avons interdit le
protocole « ICMP » [Internet Control Message Protocol] pour interdire le contrôle et l’écoute
de flux de données entrant et sortant, aussi, nous avons interdit l’accès à quelques sites web des
réseaux sociaux comme le facebook et youtube .(figure 53)
Pour le VLAN des étudiants, nous avons maintenu ces règles en programmant notre firewall
pour bloquer les deux protocoles « «http » et « https » dans des périodes bien défini comme la
période des examens de TP ou dans pendant quelques séances de TP (figure 54 et 55)
Pour créer un VLAN sur le Switch nous tapons les lignes suivantes :
Switch>enable
Switch#configure
terminal
Switch(config)#vlan 11
Switch(config-vlan)#name
Etudiant Switch(config-vlan)#exit
De la même façon, nous allons créer les deux autres VLAN sur le premier switch. Par la suite,
nous répétons ces étapes pour configurer les deux autres.
Après la configuration des VLANs sur les Switch, nous passons à la configuration des switch-
port pour effectuer le trunking ou la tunnellisation .Cette technique permet à un port du
commutateur de gérer le trafic du plusieurs VLANs.
Donc, dans cette étape nous allons permettre l’agrégation sur les ports connectés aux liens entre
le switch 0 et le Firewall, entre le switch 0 et le switch 1 et entre le switch 0 et le switch 2 à
l’aide des commandes suivantes :
Switch(config)#interface FastEthernet0/4
Par la suite nous allons configurer les ports des Switch connectées à la machine selon
l’architecture présentée dans le tableau 3 :
Switch(config)#interface FastEthernet0/2
11
Après que nous avons terminé la configuration des switchs et leurs interconnexions avec les
machines, nous pouvons tester leurs bons fonctionnements. En effet, nous remarquons d’après la
figure 57, que nous pouvons connecter les deux machines PC0 et PC2 qui appartient au même
VLAN mais pas sur le même Switch, ainsi que les deux machines PC1 et PC3, toutefois, la
connexion ne peut pas être établie entre les deux machines PC0 et PC 2 qui n’appartiennent pas
au même Vlan alors qu’ils sont connectés entre le même Switch.
Figure 57 : Test de validation du fonctionnement des VLANs
Conclusion
Dans ce chapitre, nous avons essayé de mettre en place une solution adéquate pour la
sécurisation de notre réseau contre les intrusions interne et externe qui peuvent attaquer notre
réseau local. Cette solution est basée sur la création des VLANs correspondant à chaque groupe
d’utilisateurs dans notre réseau dans le firewall, à la définition des règles de sécurité spécifiques
à chaque groupe et à la configuration des Switch afin d’assurer la séparation entre les flux
relatifs à chaque groupe.
Conclusion générale
L’administration est un aspect crucial dans les réseaux informatiques afin de garantir
l’organisation, l’extensibilité et l’efficacité d’un réseau. Afin de mieux gérer les ressources d’un
réseau (machine, équipement d’interconnexions, utilisateurs, imprimantes, etc…), une
administration basée sur un système d’exploitation performant et des protocoles réseaux
efficaces s’avère nécessaire. Par ailleurs, l’administrateur réseau doit aussi assurer la sécurité de
son parc contre les attaques internes et externes.
Dans ce projet, nous avons commencé par l’administration du réseau de l’entreprise à travers la
mise en place d’une architecture client/serveur basée sur un système Linux pour profiter de ses
avantages de gratuité, stabilité et sécurité. Précisément, nous avons choisi le système Ubuntu au
sein duquel nous avons installé le service DNS qui fait la correspondance entre le nom de la
machine et son adresse IP. Par la suite, nous avons passé à la configuration de notre contrôleur
de domaine Samba qui permet de gérer les utilisateurs au sein de l’entreprise, de centraliser les
informations, de partager des dossiers et des imprimantes dans un réseau hétérogène. Samba est
couplée avec un annuaire LDAP pour simplifier plus la diffusion des informations.
Dans la deuxième partie de notre projet, nous avons présenté une solution pour la sécurité interne
du réseau basée sur la technique des VLANs, simulée avec succès par le logiciel packet tracert.
Ainsi, pour la sécurité externe nous avons mis en place un firewall Cisco et nous l’avons
configuré selon la spécification de chaque interface.
Toutefois, notre travail reste ouvert à des extensions possibles telles que l’ajout d’autres services
comme par exemple le serveur web Apache, le serveur de clonage et le serveur de transfert de
fichier FTP et la réalisation de notre solution de sécurité dès la disposition des matériels
manquants.
Annexe LDAP
Figure 1 : Fichier de Configuration de l’administrateur de l’annuaire LDAP
Figure 2 : Fichier d’initialisation de l’annuaire LDAP
Annexe
Samba
Figure 1 : Insertion des schémas dans l’arborescence LDAP
Figure 2 : Fichier de Configuration du serveur Samba
Figure 3 : Fenêtre d’exécution de script « configure.pl »
Figure 4 : Script Shell permettant la création automatique des utilisateurs
Netographie
août/2014
[2]: Mémoire en ligne « Etude des méthodes et protocoles d'accès au support dans un réseau
informatique. Cas de LAN » par Hervé MISHIDI
[3] : Projet FreeNet « Réseau hétérogène gérer par un serveur Linux Fedora » par M.Ben Jlijel
Chakib et M.Arfaoui Majed, Tunis 2004
[10] : PFE « Etude et mise en place d'un serveur contrôleur de domaine Samba sur dministration
réseaux sous Linux » par Mahamat Adam Abdou -Université Cheikh Anta Diop de Dakar
[11] : Mémoire de fin de formation « projet de mise en place et configuration de samba en tant
que serveur de fichiers et contrôleur de domaine sur le réseau de la chambre de commerce et
d’industrie du togo (ccit) » Par DOLA KOSSI SEYRAM – Université Africain d’Administration et d’Etude
Professionnelle
[14]: Ubuntu Linux, Création, Configuration et gestion d’un réseau local d’entreprise (BTS,
DUT Informatique) -3ème édition
[16] : « la sécurité sur l’Internet-Firewalls » par D.Brent chapman & Elizabeth D.Zwicky - 2003
Mots clés : Administration, DHCP, DNS, SAMBA, LDAP, sécurité, VLAN, Firewall
Abstract: This final project study is entitled "Management and security of ISIMa Network
under Linux". The objective was to install and configure network services such as DHCP and
DNS first, so that a domain controller SAMBA coupled with an LDAP directory for sharing files
and printers. On the other hand, this project presents a solution for network security based on the
technique of VLANs and configured on a Cisco firewall