MASTER 2 Informatique – R2SD Module : Architectures de Sécurité (Pr. C. DIALLO) Projet à rendre
WLANs, Haute Disponibilité avec HSRP, NAT, flux d’administration et ACLs :
On considère le réseau représenté sur la figure suivante :
Plan d’adressage : Proposer un plan d’adressage cohérent et optimal en considérant que
les routeurs RT-BAT1 et RT-BAT2 soient des serveurs DHCP pour respectivement les actifs du bâtiment 1 {ex. PC1, PC2 et Tablet_PC0}, et ceux du bâtiment 2 {ex. PC3, PC4 et Tablet_PC1}. Le RT-ADMIN doit également être un serveur DHCP pour les équipements sans fil de la zone d’administration. Pour cela il est demandé de proposer les plages d’adresses réservées pour les clients DHCP. Penser à allouer des adresses IP privées et publiques aux équipements accessibles ou qui accèdent à l’Internet public. De ce fait une politique de NAT sera implémentée en accord avec le FAI sur le routeur FAI (RT-FAI).
Paramétrage WiFi : Sur la figure ci-dessus, vous remarquez que tous les équipements WiFi sont connectés sur le point d’accès AP-BAT2. Proposer un paramétrage simple pour que les actifs du bâtiment 1 {ex. PC1, PC2 et Tablet_PC0} soient connectés sur le point d’accès AP- BAT1 ; et que ceux du bâtiment 2 {ex. PC3, PC4 et Tablet_PC1} soient connectés sur le point d’accès AP-BAT2 ? Il en sera de même pour les équipements sans fil de la zone
1/3 d’administration qui doivent se connecter sur le point d’accès AP-ZONE-ADMIN. Penser à sécuriser les commutateurs de manières à éviter la possibilité d’ajout d’AP sauvages.
Ingénierie du trafic : Indiquer les étapes de configuration pour partager la charge de la façon suivante : Les flux depuis et vers les actifs du bâtiment 1 {ex. PC1, PC2 et Tablet_PC0} passent par RT-CŒUR-1. Les flux depuis et vers les actifs du bâtiment 2 {ex. PC3, PC4 et Tablet_PC1} passent par RT-CŒUR-2. Les routeurs RT-CŒUR-1 et RT-CŒUR-2 doivent se secourir mutuellement de panne de l’un de ces 2 routeurs.
Zone d’administration : Indiquer les étapes de configuration pour que :
La zone d’administration sert à administrer l’ensemble du réseau (à l’exception du routeur FAI). Les configurations des différents commutateurs et routeurs (à l’exception du routeur FAI) soient sauvegardées sur le serveur TFTP. Les LOGS des événements issus des différents commutateurs et routeurs (à l’exception du routeur FAI) soient envoyés vers le serveur SYSLOG de la zone d’administration.
Routage et ACLs : Indiquer les étapes de configuration en routage statique uniquement
(pas de routage dynamique) pour que :
La zone d’administration sert à administrer l’ensemble du réseau (à l’exception du
routeur FAI). Rajouter un serveur DNS Externe dans la DMZ Externe pour les requêtes dns en provenance d’internet. Rajouter un serveur DNS INterne dans la DMZ INterne pour les requêtes dns en provenance des utilisateurs internes. Les serveurs de la DMZ EXTERNE sont les seuls équipements accessibles pour les flux (http/80, https, smtp, dns et ftp) en provenance d’internet. Le PROXY-EXTERNE a la possibilité d’aller sur internet (http, https, et ftp). Le REV-PROXY communique avec le serveur http SRV-HTTP en http/8080. Les postes clients qui souhaitent aller sur internet envoient leurs requêtes vers le PROXY-INTERNE sur le port tcp/3128.
2/3 Le PROXY-INTERNE depuis son port tcp/3128 relaie ces requêtes vers le PROXY- EXTERNE sur le port tcp/3129. Le PROXY-EXTERNE depuis son port tcp/3129 envoie ses réponses vers le PROXY- INTERNE sur le port tcp/3128. Les postes clients qui souhaitent envoyer des mails envoient leurs mails vers le SRV- SMTP2 de la DMZ INTERNE sur le port tcp/25. Le SRV-SMPT2 depuis son port tcp/25 relaie ces mails vers le SRV-SMTP1 de la DMZ-EXTERNE sur le port tcp/25. Le SRV-SMPT1 depuis son port tcp/25 relaie ces mails vers les serveurs mails de l’Internet public (tcp/25). Proposer le cheminement complet des flux relatifs à la réception des mails. Faire le paramétrage avec des ACLs, des routes et des NAT adéquates. Proposer une architecture pour les différents mécanismes de résolution DNS. La zone d’administration administre l’ensemble du réseau (à l’exception du routeur FAI) en telnet, http, https, ftp, tftp, ssh et syslog. Mettre les ACLs uniquement sur les routeurs RT-DMZ-EXTERNE, RT-DMZ-INTERNE et RT-ADMIN.
Proxy, Reverse Proxy, DNS Interne, DNS Externe, SMTP, http, FTP, Syslog : Pour ces services chacun choisit un seul service à configurer. Indiquer les étapes de configuration sous Linux (os laissé à votre choix). Pour les proxies et reverse proxy, choisir SQUID. Donner les fichiers de configuration dans le rapport. Tout le monde devra installer le service TFTP.
Configuration et Tests : Pour chacune des étapes de configuration, illustrer la démarche
suivie pour les tests prouvant le bon fonctionnement et expliquer les résultats obtenus.
Compte rendu : Rendre le projet au plus tard le 26 janvier 2020 à 23h59’59’’. Au-delà de cette deadline : 1 point de pénalité par demi-journée de retard. Tout projet rendu au-delà du 31 janvier 2020 (23h59’59’) ne sera pas pris en compte et sera attribué de la note 0/20. Envoyer les compte rendus par mail à l’adresse suivante : cherif.diallo@ugb.edu.sn, en mettant en objet : MaRT1-2019 : NOM Prénom, Projet cours sécurité des réseaux. Inclure dans le mail, les fichiers du projet (.PKT, etc.) en donnant la version utilisée. En cas de fichier compressé, seul le format .ZIP est accepté (donc : pas de fiches .RAR ou autres). La clarté et la qualité du document est importante et sera récompensée par des points bonus. 3/3
