Mémoire de Projet de Fin d’Etudes

Pour l’Obtention du Diplôme BAC+5 en

Ingénierie des Systèmes d’Information

Sujet

Amélioration du système d’information

(ASI)

Soutenu par : Sous la direction de :

Youness IKKOU Insérer Mme Prénom NOM

Hind ELKAMOUSI Insérer M. Prénom NOM

Année Universitaire 2022-2023

3
4
Table des matières
Liste des figures ....................................................................................................................................... 7
Liste des Tableaux ................................................................................................................................... 8
‫ ملخص‬...................................................................................................................................................... 10
RÉSUMÉ ................................................................................................................................ 11

ABSTRACT ........................................................................................................................ 12
Dédicace ................................................................................................................................................ 13
Remerciement....................................................................................................................................... 14
Introduction .......................................................................................................................................... 15
Chapitre I : Création du domaine......................................................................................................... 17
I. Définitions : ................................................................................................................................... 18
1. Windows server ........................................................................................................................ 18
1.1 Définition .......................................................................................................................... 18
2.1 Les différentes éditions de Windows Server ................................................................... 19
3.1 Les différentes utilisations du Windows server :............................................................. 21
4.1 Différence entre Windows et Windows server : ............................................................. 22
5.1 Avantages et inconvénients ............................................................................................. 22
2. Différence entre Domain et groupe de travail ( Workgroup) : ............................................... 23
3. C’est quoi un active directory :................................................................................................. 24
II. Configuration ................................................................................................................................ 25
1. Installation et configuration du service Active et création des utilisateurs en plus de
l’affectation ....................................................................................................................................... 25
2. Création et application d’une GPO ........................................................................................... 25
Chapitre II : Sécurité du système ......................................................................................................... 26
Partie 1 : Pfsense..................................................................................................................................... 27
1. Définition .................................................................................................................................. 27
2. Les avantages de PFSense ........................................................................................................ 27
3. TOPOLOGY PFSENSE SUR VMWARE .......................................................................................... 29
4. CONFIGURATION GENERALE DU PFSENSE ................................................................................ 30
5. CONFIGURATION DHCP ............................................................................................................. 31
6. CONFIGURATION INTERFACE LAN ............................................................................................. 32
7. CONFIGURATION INTERFACE WAN ET SON GATEWQY POUR L’ACCEE A L’INTERNET ............. 32

5
 8. CONFIGURATION DU DNS FORWARDER ................................................................................... 33
9. Test de connectivité. ................................................................................................................. 34
Partie 2 : SNORT ...................................................................................................................................... 35
1. IDS / IPS SUR PFSENSE ............................................................................................................... 35
2. INSTALLATION SNORT ............................................................................................................... 36
1.1 INSTALLATION SNORT ....................................................................................................... 36
3. CONFIGURATION SNORT .......................................................................................................... 38
3.1 Installation des sources de certificats des attaques ........................................................ 38
4.1 VRT (SNORT SUBSCRIBER RULES) ...................................................................................... 38
5.1 Lancement des mises à jour des règles ............................................................................. 40
4. DEMARRAGE DU SNORT ............................................................................................................ 41
Partie 3 : Installation et configuration du portail captif ........................................................................... 41
1. Définition du portail captif ........................................................................................................ 41
2. CONFIGURATION DU PORTAIL CAPTIF ...................................................................................... 42
3. Test d’authentification .............................................................................................................. 46
4. Authentification en utilisant un contrôleur de domaine .......................................................... 47
5. Configuration du serveur RADUIS sur Pfsense .......................................................................... 51
Partie 4 : Installation et configuration d’OPENVPN .............................................................................. 53
1. Définition d’OPENVPN ............................................................................................................... 53
2. CONFIGURATION D’OPENVPN................................................................................................... 54
Chapitre I : SUPERVISION DU PFSENSE .............................................................................................. 63
I. ZABBIX ........................................................................................................................................... 64
1. Définition ................................................................................................................................... 64
2. Fonctionnalités de Zabbix.......................................................................................................... 66
3. Aperçu de Zabbix ....................................................................................................................... 69
II. ZABBIX SOUS DOCKER ................................................................................................................... 70
1. Docker ....................................................................................................................................... 70
2. La virtualisation ........................................................................................................................ 70
Conclusion ............................................................................................................................................. 77
Référence .............................................................................................................................................. 77

6
Liste des figures
Figure 1: Windows server 2022 ................................................................................................................................................ 18
Figure 2 windows server 2012 Essentials ................................................................................................................................. 19
Figure 3 windows server 2012 Standard .................................................................................................................................. 20
Figure 4 windows server 2012 Datacenter Edition ................................................................................................................... 20
Figure 5 windows server 2012 Storage .................................................................................................................................... 21
Figure 6:Topologie PFSENSE .................................................................................................................................................... 28
Figure 7 : Configuration de la machine PFSENSE ..................................................................................................................... 29
Figure 8:Les adaptateurs des cartes réseaux VMWAR ............................................................................................................. 29
Figure 9 : Dashboard PFSENSE sur Windows 7 ....................................................................................................................... 30
Figure 10 : Configuration général du Pfsense ........................................................................................................................... 30
Figure 11 : Configuration du DHCP ........................................................................................................................................... 31
Figure 12 : configuration de Windows avec PFSENSE DHCP .................................................................................................... 31
Figure 13 : Interface LAN du PFSENSE ..................................................................................................................................... 32
Figure 14 : Configuration de l'interface WAN ........................................................................................................................... 32
Figure 15 : Configuration du GATEWAY ................................................................................................................................... 33
Figure 16 : DNS Forwarder ....................................................................................................................................................... 34
Figure 17: Test de connectivité ................................................................................................................................................ 34
Figure 18 : Téléchargement du SNORT ..................................................................................................................................... 36
Figure 19 : Interface 1 : configuration du SNORT ................................................................................................................... 37
Figure 20 : Interface 2 : configuration du SNORT .................................................................................................................... 37
Figure 21: Les sources gratuit pour avoir des certificats d’attaques ........................................................................................ 38
Figure 22 : VRT source .............................................................................................................................................................. 39
Figure 23 : Lancement d'installation des règles ....................................................................................................................... 40
Figure 24 : mise à jour de signature MD5 ................................................................................................................................ 40
Figure 25 : Démarrage du SNORT ............................................................................................................................................. 41
Figure 26 :Topologie du portail captif ...................................................................................................................................... 42
Figure 27 : Création d’une Zone portail captif .......................................................................................................................... 42
Figure 28 : Création de l’autorité de certification .................................................................................................................... 44
Figure 29 : Création du certificat .............................................................................................................................................. 44
Figure 30 : Création des utilisateurs ......................................................................................................................................... 45
Figure 31 : Ajouter l'utilisateur a un groupe portail captif puis l'ajouter un privilège .............................................................. 46
Figure 32 : PAGE D'AUTHENTIFICATION PFSENSE
Figure 33 : REDIRECTION APRES A UTHENTIFICATION ............................................................................................................. 46
Figure 34 : Création d'OU et les utilisateurs ............................................................................................................................. 48
Figure 35 : SERVICE NPS ........................................................................................................................................................... 48
Figure 36: CONFIGURATION DE NPS ........................................................................................................................................ 49
Figure 37 : Configuration du GPO ............................................................................................................................................ 50
Figure 38 : Ajouter le serveur RADUIS sur pfsense ................................................................................................................... 51
Figure 39: Ajouter l'authentification avec server RADUIS ........................................................................................................ 52
Figure 40 : Authentification avec user2 créer dans le serveur RADUIS .................................................................................... 52
Figure 41 : Statut de portail captif ........................................................................................................................................... 53
Figure 42: Liaison de certificat avec l'utilisateur ...................................................................................................................... 57
Figure 43:Création du VPN OPENVPN ...................................................................................................................................... 58
Figure 44 : UNE NOUVELLE CARTE VIRTUELLE EST AJOUTEE ................................................................................................... 58
Figure 45 : Fichier exporter ...................................................................................................................................................... 59
Figure 46 : LA CARTE RESEAU VIRTUEL OPENVPN .................................................................................................................... 61
Figure 47 : Connexion via un téléphone ................................................................................................................................... 61
Figure 48 : Accéder via OPENVPN client au serveur apache local ............................................................................................ 62
Figure 49: Types de supervision ............................................................................................................................................... 64
Figure 50:fonctionnalités de zabbix ......................................................................................................................................... 68

7
Liste des Tableaux
Table d’abréviations
AD DS : Active Directory Domain Services
Pfsense : Firewall open source
Zabbix: Solution de supervision open source
DHCP: Dynamic Host Configuration Protocol
DNS: Domain Name System
GPO: Group Policy Object
WDS: Windows Deployment Services
RDS: Remote Desktop Services
VDI: Virtual Desktop Infrastructure
NLB: Network Load Balancing
SAM: Security Account Manager
NT4: Windows NT 4.0
LDAP: Lightweight Directory Access Protocol
P0F: Packet Filter
VPN: Virtual Private Network
DHCP: Dynamic Host Configuration Protocol
IPCop: Linux distribution for network security
dnsmasq: logiciel de serveur DNS et de serveur
DHCP combiné
FAI: Fournisseur d'accès Internet
PPPoE: Point-to-Point Protocol over Ethernet
PPTP: Point-to-Point Tunneling Protocol
WAN: Wide Area Network
IDS: Intrusion Detection System
IPS: Intrusion Prevention System
Snort : logiciel libre de détection et de
prévention des intrusions
OpenAppID : programme open source de détection
d'applications
VRT : Vulnerability Research Team, une équipe de
sécurité de Cisco
RADIUS: Remote Authentication Dial-In User Service
RFC : Request for Comments
FAI : Fournisseur d'Accès Internet
LDAP: Lightweight Directory Access Protocol
NAS: Network Access Server
OpenVPN: protocole de VPN open-source
UDP: User Datagram Protocol
TCP: Transmission Control Protocol
HTTP: Hypertext Transfer Protocol
NAT: Network Address Translation
Zabbix: solution de supervision professionnelle libre
de droit
GPL: General Public License
IT: Information Technology
SMTP : Simple Mail Transfer Protocol
HTTP : Hypertext Transfer Protocol
HTTPS : Hypertext Transfer Protocol Secure
SQL : Structured Query Language
NoSQL : Not Only SQL
8
 Glossair
AD DS : Active Directory Domain Services est un service
de gestion d'annuaire utilisé dans les environnements
Windows Server pour stocker des informations sur les
ressources du réseau et les utilisateurs qui y accèdent.
Pfsense est un firewall open source utilisé pour la
sécurité du réseau et la protection contre les menaces
externes.
Zabbix est une solution de supervision open source
utilisée pour surveiller les performances et la
disponibilité des ressources IT, telles que les serveurs, les
applications, les services, etc.
DHCP : Dynamic Host Configuration Protocol est un
protocole de réseau qui permet aux ordinateurs clients
d'obtenir une adresse IP et d'autres informations de
configuration réseau à partir d'un serveur DHCP.
DNS : Domain Name System est un système qui traduit
les noms de domaine en adresses IP numériques utilisées
pour identifier les ordinateurs sur un réseau.
GPO : Group Policy Object est une fonctionnalité de
gestion de la sécurité dans les environnements Windows
Server qui permet aux administrateurs de configurer les
paramètres de sécurité pour les ordinateurs et les
utilisateurs dans un domaine Active Directory.
WDS : Windows Deployment Services est un service de
déploiement d'images système utilisé pour installer et
configurer des systèmes d'exploitation Windows sur
plusieurs ordinateurs.
RDS : Remote Desktop Services est une fonctionnalité de
Windows Server qui permet aux utilisateurs d'accéder à
distance à des ordinateurs de bureau Windows depuis un
emplacement distant.
VDI : Virtual Desktop Infrastructure est une technologie
de virtualisation qui permet aux utilisateurs d'accéder à
distance à un système d'exploitation de bureau complet
exécuté sur un serveur centralisé.
NLB : Network Load Balancing est une fonctionnalité de
Windows Server qui permet de distribuer la charge de
travail entre plusieurs serveurs pour améliorer la
disponibilité et la performance des applications.
SAM : Security Account Manager est un service de
sécurité dans les environnements Windows qui stocke et
gère les informations d'authentification et de sécurité
pour les utilisateurs et les groupes.
VRT : Vulnerability Research Team est une équipe de
sécurité de Cisco qui est chargée de la recherche et de la
découverte de vulnérabilités de sécurité dans les
produits Cisco.
RADIUS : Remote Authentication Dial-In User Service est
un protocole de réseau utilisé pour l'authentification et
l'autorisation des utilisateurs qui se connectent à un
réseau.
9
NT4 : Windows NT 4.0 est un système d'exploitation
Windows Server qui a été publié en 1996 et qui a été
remplacé par Windows 2000.
LDAP : Lightweight Directory Access Protocol est un
protocole de réseau utilisé pour accéder et gérer les
informations d'annuaire stockées dans un service de
gestion d'annuaire, tel qu'Active Directory.
P0F : Packet Filter est un outil open source utilisé pour la
détection de l'OS et de l'application à partir des
caractéristiques des paquets réseau.
VPN : Virtual Private Network est une technologie de
réseau qui permet de connecter des ordinateurs distants
de manière sécurisée en utilisant un réseau public, tel
qu'Internet.
IPCop est une distribution Linux dédiée à la sécurité du
réseau.
dnsmasq est un logiciel de serveur DNS et de serveur
DHCP combiné utilisé pour le déploiement de réseau de
petite et moyenne taille.
FAI : Fournisseur d'accès Internet est une entreprise qui
fournit des services d'accès à Internet aux utilisateurs
finaux.
PPPoE : Point-to-Point Protocol over Ethernet est un
protocole de réseau utilisé pour établir une session PPP
sur une connexion Ethernet.
PPTP : Point-to-Point Tunneling Protocol est un
protocole de réseau utilisé pour établir des connexions
VPN.
WAN : Wide Area Network est un réseau étendu qui
couvre une grande distance géographique et relie
plusieurs réseaux locaux.
IDS : Intrusion Detection System est un système de
sécurité qui surveille les activités sur le réseau pour
détecter les menaces et les intrusions.
IPS : Intrusion Prevention System est un système de
sécurité qui surveille les activités sur le réseau pour
prévenir les menaces et les intrusions.
Snort est un logiciel libre de détection et de prévention
des intrusions utilisé pour surveiller le trafic sur le
réseau.
OpenAppID est un programme open source de détection
d'applications utilisé pour identifier les applications sur
le réseau.
RFC : Request for Comments est un document
d'information technique publié par la communauté de
l'Internet Engineering Task Force (IETF) qui décrit les
normes et les protocoles de communication pour les
réseaux informatiques et les systèmes d'information.
Share
 ‫ملخص‬

‫كطالب سنة خامسة في ‪ ، ISI‬تعرفنا على ضرورة تقديم حلول لتعزيز مهاراتنا وتحسين أداء نظام المعلومات والشبكات‬
‫داخل المؤسسة‪ .‬في هذا الصدد ‪ ،‬حددنا ثالث حلول رئيسية‪.‬‬

‫لتحسين تنظيم الشبكة والنظام والسيطرة عليهما ‪ ،‬نوصي باستخدام ‪ Windows Server 2012 R2.‬تتيح هذه الحلول‬
‫إدارة مركزية للمستخدمين والمجموعات والموارد ‪ ،‬مما يسهل تنظيم وإدارة النظام بشكل أفضل‪.‬‬

‫لتعزيز األمان ‪ ،‬نؤيد استخدام جدار حماية يسمى ‪ Pfsense‬لتعزيز األمان الشامل لنظام المعلومات والشبكات‪ .‬جدار‬
‫الحماية ‪ ، Pfsense‬وهو مشروع مفتوح المصدر ‪ ،‬يوفر ميزات متقدمة لفرز حركة المرور ومراقبتها‪.‬‬

‫أخيرا ‪ ،‬لضمان مراقبة فعالة للنظام ‪ ،‬نقترح تنفيذ ‪ Zabbix‬كحاوية مفتوحة المصدر ‪. Zabbix‬هو حل مراقبة يتيح مراقبة‬
‫أداء النظام في الوقت الحقيقي وتحديد أي مشاكل على الفور‪.‬‬

‫من خالل تنفيذ هذه الحلول الثالث ‪ ،‬نهدف إلى تحسين األمان والتنظيم والمراقبة لنظام معلومات وشبكات المؤسسة ‪،‬‬
‫وتحسين أدائها وتعزيز موثوقيتها‬

‫‪10‬‬
 RÉSUMÉ

En tant qu'étudiants en 5ème année ISI, nous avons constaté la nécessité de proposer des
solutions pour améliorer nos compétences et optimiser les performances d'un système
d'information et de réseaux Dans cette optique, nous avons identifié trois solutions clés.

Pour améliorer l'organisation et le contrôle du réseau et du système, nous recommandons

l'utilisation de Windows Server 2012 R2.

Pour renforcer la sécurité, nous préconisons l'utilisation d'un pare-feu appelé Pfsense pour
renforcer la sécurité globale du système d'information et des réseaux.

Enfin, pour assurer une supervision efficace du système, nous proposons l'implémentation de
Zabbix sous la forme d'un conteneur open-source. Zabbix est une solution de supervision qui
permet de surveiller en temps réel les performances du système et d'identifier rapidement les
éventuels problèmes.

En mettant en place ces trois solutions, nous visons à améliorer la sécurité, l'organisation et la
supervision d'un système d'information et de réseaux, en optimisant ses performances et en
renforçant sa fiabilité.

11
 ABSTRACT

As 5th-year ISI students, we have recognized the need to propose solutions to enhance our skills
and optimize the performance of an information system and networks within an enterprise. In
this regard, we have identified three key solutions.

To improve network and system organization and control, we recommend utilizing Windows
Server 2012 R2. This solution enables centralized management of users, groups, and resources,
facilitating better organization and administration of the system.

To reinforce security, we advocate for the use of a firewall called Pfsense to enhance the overall
security of the information system and networks. Pfsense, an open-source firewall, offers
advanced features for traffic filtering and monitoring.

Lastly, to ensure effective system supervision, we propose implementing Zabbix as an open-

source container. Zabbix is a supervision solution that allows real-time monitoring of system
performance and prompt identification of any issues.

By implementing these three solutions, our aim is to improve the security, organization, and
supervision of an enterprise's information system and networks, optimizing their performance
and strengthening their reliability.

12
 Dédicace

Au nom du Dieu clément et miséricordieux

Nous dédions cet humble travail à :
Nos chers parents,
Pour qui nous devons ce que nous sommes aujourd’hui. Grâce à vos
prières,
soutiens et sacrifices tout au long de notre cursus.
Que dieu, le tout puissant vous préserve et vous procure une santé et une
longue
vie.
À nos chers frères et sœurs,
Aucune dédicace ne serait suffisante pour vous exprimer ce que nous
ressentons
envers vous. Nous vous dirons juste merci pour vos conseils et vos
encouragements, et que nous vous souhaitons une vie pleine de succès et de
prospérité.
À tous nos enseignants,
Pour leur bienveillance et pour leur contribution à notre solide formation.
À nos familles et nos amis, pour leur affection et leur soutien.

13
 Remerciement

Au terme de ce travail, nous exprimons tout d'abord notre gratitude envers M. Zidane,

notre encadrant, pour son précieux soutien lors de l'élaboration du projet, ainsi que pour

ses conseils et informations partagés avec une sympathie sans égale. Cela nous a permis

de nous préparer à un marché de plus en plus compétitif.

Nous tenons également à remercier tout particulièrement notre encadrant pédagogique,

le Pr. FALL, pour sa patience, ses conseils et ses remarques constructives.

Nos très humbles remerciements vont à chacun des membres du jury devant lesquels

nous avons eu l'honneur de présenter notre travail et qui ont accepté de l'évaluer.

Nous tenons également à adresser nos plus sincères remerciements à l'ensemble du corps

administratif et professionnel de l'École Supérieure de Management, de

Télécommunications et d'Informatique pour la qualité et l'excellence de la formation

qu'ils nous ont fournie pendant ces deux années de formation.

14
 Introduction
Dans un monde de plus en plus connecté et où les cybermenaces sont devenues monnaie courante, la
sécurité du système d'information est devenue une préoccupation majeure pour les entreprises. Les
attaques informatiques sophistiquées, les fuites de données et les violations de la vie privée ont des
conséquences potentiellement désastreuses sur la réputation et les opérations d'une entreprise. Par
conséquent, il est impératif d'améliorer en permanence la sécurité du système d'information afin de
protéger les données sensibles, de prévenir les intrusions et de garantir la continuité des activités.

L'amélioration de la sécurité du système d'information implique une approche proactive qui comprend
l'identification des vulnérabilités, la mise en place de mesures de prévention et de détection, ainsi que
des actions correctives en cas d'incident. Les technologies et les pratiques de sécurité évoluent
rapidement, et il est essentiel pour les entreprises de rester à la pointe des dernières avancées pour faire
face aux menaces émergentes.

Après avoir acquis une solide formation et une connaissance approfondie dans ce domaine, nous avons
réalisé qu'il était crucial de proposer des solutions pour la mise à niveau d'un système d'information et de
réseaux d'entreprise, afin d'optimiser son organisation, sa sécurité et sa supervision.
Dans cette optique, nous avons relevé trois solutions essentielles, réparties en trois chapitres distincts,
afin d'améliorer les performances et de renforcer la sécurité d'un système d'information et de réseaux :

Chapitre 1: Création du domaine - L'organisation et le contrôle du réseau sont des éléments essentiels
pour garantir un fonctionnement fluide et efficace. Nous proposons d'utiliser Windows Server 2012 R2
pour la création d'un contrôleur de domaine AD DS (Active Directory Domain Services).

Chapitre 2: Sécurité du système - La sécurité des systèmes d'information et des réseaux est d'une
importance primordiale pour protéger les données et les ressources de l'entreprise contre les menaces
potentielles. Pour renforcer cette sécurité, nous suggérons l'installation et la configuration d'un pare-feu
open source appelé Pfsense.

Chapitre 3: Supervision du système - Pour assurer une surveillance proactive et une gestion efficace des
performances du système, nous recommandons la mise en place d'une solution de supervision open source
appelée Zabbix.

15
En combinant ces trois solutions, nous sommes convaincus qu'il est possible d'améliorer considérablement
les compétences, l'organisation, la sécurité et la supervision d'un système d'information et de réseaux
d'entreprise. Dans les parties suivantes de ce rapport, nous explorerons plus en détail chacune de ces
solutions, en expliquant les étapes nécessaires pour les mettre en œuvre et les avantages qu'elles apportent.

16
Chapitre I : Création du domaine
Dans ce chapitre Nous présentons la
création d'un contrôleur de domaine AD
DS (Active Directory Domain Services).
Cette solution permettra une gestion
centralisée des utilisateurs, des groupes et des
ressources du réseau, facilitant ainsi la
collaboration et l'administration.

17
I. Définitions :
1. Windows server

1.1 Définition

Windows Server est un système d’exploitation pour serveur par Microsoft. Basé sur l’architecture Windows
NT, il fournit toutes les capacités, fonctionnalités des mécanismes de fonctionnement d’un OS pour serveur
standard.
Il propose ainsi différents services orientés serveur, comme la possibilité d’héberger un site web, la gestion
des ressources entre les différents utilisateurs et applications, ainsi que des fonctionnalités de messagerie et
de sécurité. Il est compatible avec la plupart des langages de programmation web et systèmes de bases de
données comme .NET Core, ASP.NET, PHP, MySQL et MS SQL.

Figure 1: Windows server 2022

18
 2.1 Les différentes éditions de Windows Server

➢ Windows Server 2012 Foundation

Disponible que lors de l’achat d’un nouveau serveur et destinée aux TPE, cette édition est limitée à 15
utilisateurs, elle ne prend pas en charge la virtualisation et ne supporte qu’un seul processeur. Il n’y a,
cependant, pas besoin de CAL Windows pour se connecter à un serveur Foundation. Le serveur doit être
hébergé sur une machine physique Idéal pour : Les clients qui recherchent un premier serveur très abordable
Fonctionnalités : Accès à toutes les fonctionnalités essentielles d’un premier serveur, pas de droit pour
virtualiser Mode de licence : Par serveur (limité à 15 utilisateurs)

Figure 2 windows server 2012 Essentials

➢ Windows Server 2012 Essential

L’objectif de cette édition est d’acheminer les PME vers les solutions cloud de Microsoft.
Elle ne prend pas en charge la virtualisation et supporte deux processeurs. Le serveur peut être hébergé sur
une machine physique ou virtuelle .Idéal pour : Les petites et moyennes entreprises
Fonctionnalités : Une interface plus simple, pas de droit pour virtualiser, installation et administration
simplifiées
Mode de licence : Par serveur (limité à 25 utilisateurs)

19
 Figure 3 windows server 2012 Standard

➢ Windows Server 2012 Standard

Edition principale de Windows Server 2012 elle offre toutes les fonctionnalités, tout comme l’édition
Datacenter. Elle se distingue de cette dernière par le nombre de machines virtuelles couvertes par la licence,
à savoir deux.
Windows Server 2012 Standard supporte jusqu’à deux processeurs par licence. Tout
comme l’édition Datacenter, elle prend en charge les machines disposant d’un maximum de 64 processeurs
(sockets) et de 4 To de mémoire RAM.
Idéal pour : Des environnements à faible densité de virtualisation ou non virtualisés
Fonctionnalités : Accès à toutes les fonctionnalités de Windows Server et droit pour 2 machines virtuelles
Mode de licence : Par processeur physique (1 licence couvrant jusqu’à 2 processeurs) + CAL

Figure 4 windows server 2012 Datacenter Edition

20
 ➢ Windows Server 2012 Datacenter

Cette édition est destinée à ceux qui ont un recours intensif aux machines virtuelles. Chaque licence couvre
en effet jusqu’à deux processeurs et un nombre de machines virtuelles illimité.
Idéal pour : Des environnements à faible densité de virtualisation ou non virtualisés
Fonctionnalités : Accès à toutes les fonctionnalités de Windows Server et droit pour 2 machines virtuelles
Mode de licence : Par processeur physique (1 licence couvrant jusqu’à 2 processeurs) + CAL

Figure 5 windows server 2012 Storage

➢ Storage Server

Cette version destinée aux partenaires Microsoft existe en deux éditions, la version Workgroups (50
utilisateurs maximum, 1 seul CPU, 6 disques maximum) et en version standard (pas de limites de ressources,
déduplication, mode cluster)

3.1 Les différentes utilisations du Windows server :

Grâce à Windows Server, vous pourrez créer vos propres serveurs et créer des infrastructures complexes en
installant des rôles de bases, tels que :

→ Un serveur DHCP pour la d'attribution des adresses IP

→ Un serveur DNS pour la gestion de domaines internes (pour un intranet) ou plus souvent pour
l'Active Directory

21
 → Un serveur Active Directory pour centraliser l'authentification des utilisateurs, gérer les
utilisateurs, la sécurité des ordinateurs du réseau grâce aux GPO, ...

→ Et bien plus Vous pourrez également déployer des services plus complexes, tels que :
→ WDS : pour déployer Windows via le réseau sur une série d'ordinateurs sans nécessiter une
intervention de la part de l'utilisateur

→ RDS : services Bureau à distance. Pour fournir des bureaux basés sur des sessions Terminal
Server à vos utilisateurs

→ la VDI : grâce à la combinaison de RDS et d'un serveur de virtualisation Hyper-V

→ La création de clusters de basculement pour assurer la haute disponibilité d'un ou plusieurs
services ou pour répartir la charge réseau (et l'utilisation des ressources) grâce à NLB

4.1 Différence entre Windows et Windows server :

Tout d’abord, cet OS serveur peut prendre en charge du hardware nettement plus puissant. Alors que
Windows est limité à 2 TB de RAM, Windows Server peut supporter jusqu’à 24 TB.
De plus, Windows Home Edition ne peut prendre en charge qu’un CPU physique, et Windows Edition Pro
deux au maximum. De son côté, Windows Server peut supporter jusqu’à 64 sockets. De même, Serveur n’a
pas de limites de cœurs alors que Windows 32- bit est limité à 32 cœurs et Windows 64-bit à 256 cœurs.

5.1 Avantages et inconvénients

L’un des avantages de cet OS est qu’il est développé et vendu par Microsoft. De fait, des mises à jour sont
régulièrement déployées et le support est assuré par cette entreprise de renom. De plus, les utilisateurs
habitués à l’environnement Windows retrouveront facilement leurs marques.
La compatibilité avec le Framework ASP.NET est l’une des principales raisons pour
lesquelles les créateurs de sites web choisissent cet OS comme solution d’hébergement.
Ils retrouveront aussi des outils Microsoft tels que Web Deploy et Visual Studio, et pourront développer des
sites web ” database-driven ” en utilisant Microsoft SQL.
En revanche, si on le compare avec UNIX, l’OS de serveur ouvert, Server présente
l’inconvénient de consommer davantage de ressources système. Une puissante machine est nécessaire pour
le faire tourner. De plus, ce système d’exploitation à la mauvaise réputation d’être instable et de nécessiter

22
un reboot plus souvent qu’UNIX. Le coût des applications et des outils de développement Microsoft est
généralement plus cher que ceux d’UNIX.

2. Différence entre Domain et groupe de travail ( Workgroup) :

Les domaines, groupes de travail et groupes résidentiels représentent différentes méthodes d'organisation
des ordinateurs en réseaux. La principale différence entre eux est la façon dont les ordinateurs et autres
ressources sur les réseaux sont gérés.

✓ Dans un groupe de travail :

• Tous les ordinateurs sont des pairs. Aucun ordinateur n'a le contrôle d'un autre ordinateur.
• Chaque ordinateur possède un ensemble de comptes d'utilisateurs. Pour vous
Connecter à n’importe quel ordinateur du groupe de travail, vous devez avoir un compte
sur cet ordinateur.

• Il n'y a généralement pas plus de vingt ordinateurs.

• Un groupe de travail n'est pas protégé par un mot de passe.
• Tous les ordinateurs doivent être sur le même réseau local ou sous-réseau.
✓ Dans un domaine :

• Un ou plusieurs ordinateurs sont des serveurs. Les administrateurs réseau utilisent des
serveurs pour contrôler la sécurité et les autorisations de tous les ordinateurs du
domaine. Cela facilite les modifications car celles-ci sont automatiquement effectuées sur
tous les ordinateurs. Les utilisateurs du domaine doivent fournir un mot de passe ou
d'autres informations d'identification chaque fois qu'ils accèdent au domaine.

• Si vous avez un compte d'utilisateur sur le domaine, vous pouvez vous connecter à
n'importe quel ordinateur du domaine sans avoir besoin d'un compte sur cet ordinateur.

23
 • Vous ne pouvez probablement apporter que des modifications limitées aux paramètres
d'un ordinateur car les administrateurs réseau souhaitent souvent assurer la cohérence
entre les ordinateurs.

• Il peut y avoir des milliers d'ordinateurs dans un domaine.

• Les ordinateurs peuvent être sur différents réseaux locaux.

3. C’est quoi un active directory :

Active Directory est un annuaire d'entreprise qui existe depuis 1996 et est utilisable
depuis Windows 2000 Server
Edition sorti en 1999.

Il s'agit donc d'un produit éprouvé par les années. Cet annuaire
d'entreprise vient en remplacement des bases SAM (Security Account Manager) qui
étaient exploitées avec NT4 et les groupes de travail.
Ces bases présentaient notamment des limitations d'administration. L'arrivée d'Active
Directory a permis de passer des groupes de travail aux domaines Active Directory et ainsi
de centraliser toute l'administration et la gestion des droits dans un annuaire de type
LDAP. Tout logiciel utilisant LDAP sera capable de communiquer avec Active
Directory : on peut, par exemple, gérer (partiellement) des postes Linux à partir d'un
Active Directory.

La conception de votre Active Directory est très importante. Toute erreur de conception
pourra entraîner des conséquences plus ou moins importantes selon l'évolution des besoins
de votre entreprise. Par exemple, un mauvais choix de nom pour votre Active Directory
peut amener jusqu'à une migration forcée.

24
II. Configuration

1. Installation et configuration du service Active et création des utilisateurs

en plus de l’affectation
Voir annexe

2. Création et application d’une GPO

Annexe

25
Chapitre II : Sécurité du système

Dans le premier chapitre, nous avons abordé la

création du domaine. Maintenant, dans le
deuxième chapitre, nous allons nous concentrer
sur l'installation et la configuration du pare-feu
open source Pfsense. Pour cela, nous allons
diviser cette partie en plusieurs sections.

Dans la première section, nous examinerons les

notions de base de la sécurité de PFsense.
Dans la deuxième section, nous aborderons la
définition et l'installation du système de
détection d'intrusion SNORT. La troisième
section sera consacrée à l'installation et à la
configuration du portail captif. Enfin, dans la
dernière section, nous aborderons l'installation et
la configuration d'OPENVPN.

26
Partie 1 : Pfsense

1. Définition

PfSense est un routeur / pare-feu opensource basé sur FreeBSD. PfSense peut être
installé sur un simple ordinateur personnel comme sur un serveur. Basé sur PF (packet
filtre), comme iptables sur GNU/Linux, il est réputé pour sa fiabilité. Après une installation
en mode console, il s'administre ensuite simplement depuis une interface web et gère
nativement les VLAN (802.1q)

2. Les avantages de PFSense

Il est adapté pour une utilisation en tant que pare-feu et routeur

• Il comprend toutes les fonctionnalités de pare-feu coûteux commerciales, et plus

encore dans de nombreux cas ;
• Il peut être installé sur un simple ordinateur personnel comme sur un serveur ;
• Il est basé sur P0F (Packet Filter), comme iptables sur GNU/Linux généralement
• Il permet d’intégrer de nouveaux services tels que l’installation d’un portail captif, la
mise en place d’un VPN, DHCP et bien d’autres.
• Il offre des options de firewalling /routage plus évoluée qu’IPCop
• Il permet en autre de réaliser :
→ Un portail captif (Lorsqu’un utilisateur ouvre son navigateur internet il est
redirigé vers une page lui proposant de s’identifier pour se connecter) : solution
proposée par les hotspot.
→ Un serveur VPN
→ De réaliser du Load Balancing MultiWAN (utiliser deux connexion Internet
avec 2 FAI différents pour avoir une redondance et ainsi éviter les pannes
ADSL).
→ La configuration se fait dans l'interface web, sans rien toucher à la ligne de
commande.

27
Cela implique une intervention minimum sur les machines sauf pour des maintenances
matérielles ou de grosse mise à jour qu'il est préférable de faire sur les machines.

Figure 6:Topologie PFSENSE

Les prérequis matériels pour l’installation sont :

→ RAM : 512M (256 min).

→ HDD : 1Gb
→ Processor : 100Mhz min.
→ 2 cartes réseaux : LAN et WAN

28
3. TOPOLOGY PFSENSE SUR VMWARE

Figure 7 : Configuration de la machine PFSENSE

Figure 8:Les adaptateurs des cartes réseaux VMWAR

29
 Figure 9 : Dashboard PFSENSE sur Windows 7

4. CONFIGURATION GENERALE DU PFSENSE

Figure 10 : Configuration général du Pfsense

30
 5. CONFIGURATION DHCP

Figure 11 : Configuration du DHCP

La machine Windows 7 est appartient au réseau local du pfSense via l'adaptateur VMnet3, et
la passerelle est l'adresse IP de l'interface LAN du pfSense, attribuée par le protocole DHCP.

Figure 12 : configuration de Windows avec PFSENSE DHCP

31
6. CONFIGURATION INTERFACE LAN

Figure 13 : Interface LAN du PFSENSE

7. CONFIGURATION INTERFACE WAN ET SON GATEWQY POUR

L’ACCEE A L’INTERNET

Figure 14 : Configuration de l'interface WAN

32
 Figure 15 : Configuration du GATEWAY

8. CONFIGURATION DU DNS FORWARDER

Le redirecteur DNS du logiciel pfSense® est un résolveur DNS de mise en cache qui utilise
le dnsmasqdémon. Il est désactivé par défaut dans les versions actuelles, le résolveur DNS
( unbound) étant actif par défaut à la place. Le redirecteur DNS restera activé sur les
systèmes plus anciens ou les systèmes mis à niveau où il était auparavant actif.
Le redirecteur DNS utilise des serveurs DNS configurés dans Système> Configuration
générale, ou ceux obtenus automatiquement d'un FAI pour les interfaces WAN
configurées dynamiquement (DHCP, PPPoE, PPTP). Pour les connexions WAN à adresse
IP statique, les serveurs DNS doivent être saisis dans Système> Configuration générale ou
pendant l'assistant de configuration pour que le redirecteur DNS fonctionne. Les serveurs
DNS configurés statiquement peuvent également être utilisés avec des interfaces WAN
configurées dynamiquement en décochant la case Autoriser le remplacement de la liste
des serveurs DNS par DHCP / PPP sur WAN sur la page Système> Configuration générale.
Par défaut, le redirecteur DNS interroge tous les serveurs DNS à la fois et la seule
première réponse reçue est utilisée et mise en cache. Cela se traduit par un service DNS
beaucoup plus rapide du point de vue du client et peut aider à résoudre les problèmes liés
aux serveurs DNS qui sont lents par intermittence ou ont une latence élevée, en
particulier dans les environnements multi-WAN. Ce comportement peut être désactivé en
activant l’option Interroger les serveurs DNS de manière séquentielle.

33
 Figure 16 : DNS Forwarder

9. Test de connectivité.

Figure 17: Test de connectivité

34
Partie 2 : SNORT

1. IDS / IPS SUR PFSENSE

Un système de détection d'intrusion est un mécanisme destiné à repérer des activités

anormales ou suspectes sur la cible analysée. Il permet ainsi d'avoir une connaissance sur
les tentatives réussies comme échouées des intrusions.
Le logiciel pfSense peut agir dans un rôle de système de détection d'intrusion (IDS) /
système de prévention d'intrusion (IPS) avec des packages complémentaires tels que
Snort et Suricata.

Dans ce projet je vais implémenter SNORT comme IPS /IDS

Snort est un système de détection et de prévention des intrusions. Il peut être configuré
pour simplement consigner les événements réseau détectés pour les enregistrer et les
bloquer. Grâce aux détecteurs et aux règles OpenAppID, le package Snort permet la
détection et le filtrage des applications. Le package peut-être installer dans pfSense®
webGUI à partir de System> Package Manager. Snort fonctionne à l'aide de signatures de
détection appelées règles. Les règles Snort peuvent être créées de manière personnalisée
par l'utilisateur, ou l'un des nombreux ensembles de règles pré-packagés peut être activé
et téléchargé.

Le package Snort offre actuellement la prise en charge de ces règles pré-packagées:

• Règles Snort VRT (Vulnerability Research Team)

35
• Règles de la communauté Snort GPLv2
• Règles ouvertes sur les menaces émergentes
• Règles Pro pour les menaces émergentes
• Détecteurs OpenAppID Open et règles pour la détection des applications
Les règles de la communauté Snort GPLv2 et les règles ouvertes sur les menaces
émergentes sont toutes deux disponibles gratuitement sans inscription requise. Les
règles Snort VRT sont proposées sous deux formes.

2. INSTALLATION SNORT

1.1 INSTALLATION SNORT

Figure 18 : Téléchargement du SNORT

36
 Figure 19 : Interface 1 : configuration du SNORT

Figure 20 : Interface 2 : configuration du SNORT

→ Lorsque l'option "block offenders" est activée dans Snort, il fonctionne comme un
système de prévention des intrusions (IPS) et bloque tout le trafic détecté comme
malveillant.

37
 → L’option home net contient les réseaux fiables

3. CONFIGURATION SNORT

3.1 Installation des sources de certificats des attaques

Figure 21: Les sources gratuit pour avoir des certificats d’attaques

4.1 VRT (SNORT SUBSCRIBER RULES)

38
 Figure 22 : VRT source

→ La création du compte et l'obtention du code de hachage des certificats

→ Nous allons sélectionner toutes les sources de certificats en les cochant.

→ RULES UPDATE SETTING (update interval) : la durée dans laquelle il va installer

les nouvelles mises à jour.
→ GENERALE SETTINGS (REMOVE BLOCKED HOSTS INTERVAL) : Lorsque
nous désinstallons le package Snort, les règles ajoutées seront supprimées, y compris
l'option "Remove Blocked Hosts Interval" des paramètres généraux.

39
5.1 Lancement des mises à jour des règles

Figure 23 : Lancement d'installation des règles

Figure 24 : mise à jour de signature MD5

40
 4. DEMARRAGE DU SNORT

Figure 25 : Démarrage du SNORT

La configuration de Snort en tant que système de prévention des intrusions (IPS) et de

détection des intrusions (IDS) a été réalisée avec succès.

Partie 3 : Installation et configuration du portail captif

1. Définition du portail captif

Le portail captif du logiciel pfSense oblige les utilisateurs d'une interface à s'authentifier
avant d'accorder l'accès à Internet. Lorsque cela est possible, le pare-feu présente
automatiquement une page Web de connexion dans laquelle l'utilisateur doit entrer des
informations d'identification telles qu'un nom d'utilisateur / mot de passe, un code de
bon d'achat ou un simple accord de clic.

Cette fonctionnalité est couramment utilisée dans l'industrie hôtelière (hôtels,

restaurants, aéroports, etc.) ainsi que dans les environnements d'entreprise et même à
domicile. Il est principalement utilisé pour les points d'accès sans fil ou pour une
authentification supplémentaire avant d'autoriser l'accès aux réseaux internes à partir de
clients sans fil.

41
Le portail captif est configuré sous Services> Portail captif.

Figure 26 :Topologie du portail captif

2. CONFIGURATION DU PORTAIL CAPTIF

Figure 27 : Création d’une Zone portail captif

42
→ Nous allons activer HTTPS pour établir une connexion sécurisée entre pfSense et les
utilisateurs. Pour ce faire, nous devons créer un certificat auto-signé.

43
Figure 28 : Création de l’autorité de certification

Figure 29 : Création du certificat

44
Nous allons ajouter le certificat créé à la base de données locale des utilisateurs afin de
l'utiliser pour l'authentification.

Figure 30 : Création des utilisateurs

→ Il est nécessaire de créer un groupe et d'y ajouter l'utilisateur, puis lui attribuer le
privilège d'utilisateur pour le service de portail captif et la connexion

45
 Figure 31 : Ajouter l'utilisateur a un groupe portail captif puis l'ajouter un privilège

→ Les utilisateurs appartenant à ce groupe ont uniquement le droit d'utiliser le portail

captif pour l'authentification.

3. Test d’authentification

Figure 32 : PAGE D'AUTHENTIFICATION PFSENSE Figure 33 : REDIRECTION APRES A UTHENTIFICATION

46
 4. Authentification en utilisant un contrôleur de domaine

Le protocole RADIUS (Remote Authentication Dial-In User Service), mis au point

initialement par Livingston, est un protocole d'authentification standard, défini par un
certain nombre de RFC.

Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir

les accès d'utilisateurs distants à un réseau. Il s'agit du protocole de prédilection des
fournisseurs d'accès à internet car il est relativement standard et propose des
fonctionnalités de comptabilité permettant aux FAI de facturer précisément leurs clients.
Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à
une base d'identification (base de données, annuaire LDAP, etc.) et un client RADIUS,
appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final
et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est
chiffrée et authentifiée grâce à un secret partagé.

Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les
requêtes du client à d'autres serveurs RADIUS.

47
 Figure 34 : Création d'OU et les utilisateurs

→ Dans un premier temps, nous allons créer une unité d'organisation, puis nous allons
créer un groupe qui regroupera les utilisateurs autorisés à accéder à Internet avec une
authentification.

→ Ensuite, nous ajouterons le rôle de service de stratégie et d'accès réseau.

Figure 35 : SERVICE NPS

48
 Figure 36: CONFIGURATION DE NPS

→ Spécification de l’adresse IP du pfsense et clé secrète pour établir une connexion

sécurise

49
 Figure 37 : Configuration du GPO

Nous allons ajouter une nouvelle politique utilisateur qui sera attribuée au groupe du portail
captif.

50
 → La stratégie a été ajoutée avec succès

Figure 38 : Ajouter le serveur RADUIS sur pfsense

5. Configuration du serveur RADUIS sur Pfsense

51
 Figure 39: Ajouter l'authentification avec server RADUIS

Figure 40 : Authentification avec user2 créer dans le serveur RADUIS

52
 → La machine a réussi à accéder à Internet en s'authentifiant auprès du serveur RADIUS
avec succès.

Figure 41 : Statut de portail captif

Partie 4 : Installation et configuration d’OPENVPN

1. Définition d’OPENVPN

53
Le protocole OpenVPN est responsable de la gestion des communications client-serveur.
Fondamentalement, il aide à établir un “tunnel” sécurisé entre le client VPN et le serveur
VPN.
Quand OpenVPN gère le cryptage et l’authentification, il utilise la bibliothèque OpenSSL
de manière assez extensive. De plus, OpenVPN peut utiliser UDP (User Datagram
Protocol) ou TCP (Transmission Control Protocol) pour transmettre les données.
Si vous n’êtes pas familier avec TCP et UDP, ce sont des protocoles de couche de
transport, et sont utilisés pour transmettre des données en ligne. TCP est plus stable
puisqu’il offre des fonctions de correction d’erreur (lorsqu’un paquet réseau est envoyé,
TCP attend une confirmation avant de l’envoyer à nouveau ou d’envoyer un nouveau
paquet). UDP n’effectue pas de correction d’erreur, ce qui le rend un peu moins stable,
mais beaucoup plus rapide.

OpenVPN fonctionne mieux sur UDP (selon OpenVPN.net), c’est pourquoi OpenVPN
Access Server essaie d’abord d’établir des connexions UDP. Si ces connexions échouent,
ce n’est qu’alors que le serveur essaie d’établir des connexions TCP. La plupart des
fournisseurs VPN offrent également par défaut OpenVPN sur UDP.
En raison de la façon dont il est programmé (c’est un protocole de sécurité personnalisé),
le protocole OpenVPN peut facilement contourner HTTP et NAT.
Contrairement à la plupart des protocoles VPN, OpenVPN est open-source. Cela signifie
que son code n’est pas la propriété d’une seule entité, et que des tiers peuvent toujours
l’inspecter et l’améliorer continuellement.

2. CONFIGURATION D’OPENVPN

54
 → Le service Dynamic DNS est utilisé pour effectuer une résolution entre une adresse IP
publique et un nom de domaine.

Configuration dynamique DNS pfsens2 configuration dynamique DNS pfsense.

Configuration OPENVPN :

→ Cocher la case redirect : permet de router le client pour accéder aux réseaux prive
locale il faut accéder à l’adresse IP prive de la carte virtuelle du OPENVPN

55
 → Option inter-client communication : pour autoriser le client connecter via tunnel de
communique entre eux.

→ firewall Rule et openVPN rule : pour ajouter la permission des externes d'intégrer le
réseau via le port 1119

→ pfSense a réussi à obtenir avec succès l'adresse IP publique.

Pour sécuriser les connexions VPN, OpenVPN utilise le protocole SSL/TLS, ce qui implique
la nécessité de mettre en place une autorité de certification.

56
→ Il est nécessaire de générer deux certificats distincts lors de la mise en place
d'OpenVPN : un certificat pour l'utilisateur et un autre pour le serveur.

Figure 42: Liaison de certificat avec l'utilisateur

57
→ Pour simplifier le processus d'authentification des clients souhaitant accéder aux
réseaux, nous vous suggérons d'installer le plugin openvpn-export. Ce plugin permet
d'exporter les fichiers de configuration côté client.

Figure 43:Création du VPN OPENVPN

Figure 44 : UNE NOUVELLE CARTE VIRTUELLE EST AJOUTEE

58
→ Avec l'utilisation du plugin openvpn-export, nous avons la possibilité d'exporter les
données nécessaires pour la configuration du client OpenVPN. Cela facilitera
l'authentification des clients qui souhaitent accéder aux réseaux.

Figure 45 : Fichier exporter

59
→ Nous allons inclure les fichiers d'exportation dans le fichier de configuration de
l'application cliente pfSense. Cela permettra à l'application de charger automatiquement
les fichiers de configuration nécessaires pour se connecter au serveur OpenVPN.

→ La connexion a été établie avec succès.

60
 Figure 46 : LA CARTE RESEAU VIRTUEL OPENVPN

Mise en place d’un serveur apache sur une machine locale Cent Os pour un accès à distance.

Figure 47 : Connexion via un téléphone

61
Figure 48 : Accéder via OPENVPN client au serveur apache local

62
Chapitre I : SUPERVISION DU PFSENSE

Dans ce chapitre, nous abordons la

configuration et l'implémentation d'une
solution open source de supervision appelée
Zabbix.

63
 I. ZABBIX

1. Définition

La supervision informatique se réfère à l'ensemble des activités, des processus et des outils mis en place
pour surveiller et gérer les systèmes informatiques d'une organisation. Elle vise à assurer le bon
fonctionnement, la performance, la disponibilité et la sécurité des infrastructures informatiques, des réseaux,
des serveurs, des applications et des services.

La supervision informatique implique la collecte en temps réel de données pertinentes à partir des différents
composants du système, tels que les performances du processeur, l'utilisation de la mémoire, la
consommation de la bande passante réseau, les événements du système d'exploitation, les journaux
d'applications, etc. Ces données sont ensuite analysées et interprétées pour détecter les problèmes potentiels,
les anomalies, les erreurs ou les violations des seuils prédéfinis.

Grâce à la supervision informatique, les administrateurs et les équipes de support peuvent être informés
rapidement des problèmes et des incidents afin de prendre des mesures correctives et préventives. Cela
permet de minimiser les temps d'arrêt, d'améliorer la performance, d'optimiser les ressources, de prévenir
les incidents de sécurité et d'assurer une meilleure qualité de service aux utilisateurs finaux.

Figure 49: Types de supervision

64
 Tableau 1:Types de supervision

Zabbix a été créé par Alexei Vladishev, et est actuellement activement développé et maintenu par ZABBIX
SIA.

Zabbix est une solution de supervision professionnelle libre de droit.

Zabbix est un logiciel qui permet de superviser de nombreux paramètres d'un réseau ainsi que la santé et
l'intégrité des serveurs, des machines virtuelles, des applications, des services, des bases de données, des
sites web, du cloud et plus encore. Zabbix utilise un mécanisme de notification flexible qui permet aux
utilisateurs de configurer une alerte e-mail pour possiblement tout événement. Ceci permet une réponse
rapide aux problèmes serveurs. Zabbix offre un excellent reporting et des fonctionnalités de visualisation
de données basées sur les données stockées. Cela rend Zabbix idéal pour la gestion de la capacité.

Zabbix supporte à la fois l’interrogation (polling) et la réception (trapping) de données. Tous les rapports et
statistiques de Zabbix, comme la configuration de paramètres, sont accessibles par l'interface web.
L'interface web veille à ce que le statut de votre réseau et de vos serveurs puisse être évalué depuis n'importe
quel endroit. Correctement configuré, Zabbix peux jouer un rôle important dans la supervision de
l'infrastructure IT. Ceci est vrai pour les petites organisations avec peu de serveurs ainsi que pour les grandes
entreprises avec une multitude de serveurs.

Zabbix est gratuit. Zabbix est écrit et distribué sous licence GPL (General Public License) version 2. Cela
signifie que son code source est librement distribué et disponible pour le public.

65
 2. Fonctionnalités de Zabbix

Zabbix est une solution de supervision de réseaux hautement intégrée, offrant une multitude de
fonctionnalités dans un seul package

• Collecte de données
▪ Disponibilité et contrôles de performance
▪ Prise en charge de SNMP (réception et interrogation), IPMI, JMX, et de la surveillance
VMware
▪ Vérifications personnalisées
▪ Collecte des données souhaitées à des intervalles personnalisés
▪ Effectuée par le serveur/proxy et par des agents

• Définitions de seuils flexibles

▪ Vous pouvez définir des seuils de problèmes très flexibles, appelés déclencheurs,
référençant des valeurs à partir de la base de données principale

• Alertes hautement personnalisables

▪ L’envoi de notifications peut être personnalisé selon le calendrier d'escalade, le
destinataire ou le type de média
▪ Les notifications peuvent être significatives et utiles en utilisant des variables macro
▪ Les actions automatiques incluent des commandes à distance

• Graphiques en temps réel

▪ Les éléments supervisés sont immédiatement représentés graphiquement à l'aide de la
fonctionnalité graphique intégrée

• Capacités de supervision Web

▪ Zabbix peut suivre un chemin de clics de souris simulés sur un site Web et ainsi vérifier
le bon fonctionnement et le temps de réponse

• Options de visualisation étendues

▪ Possibilité de créer des graphiques personnalisés pouvant combiner plusieurs éléments
dans une même vue
▪ Représentation du réseau sous forme de carte
▪ Des diaporamas pour un aperçu dans un tableau de bord
▪ Des rapports
▪ Vue de haut niveau (métier) des ressources surveillées

66
• Stockage de données historiques
▪ Données stockées dans une base de données
▪ Historique configurable
▪ Procédure de nettoyage intégrée

• Configuration facile
▪ Ajouter des équipements surveillés en tant qu'hôtes
▪ Les hôtes sont pris en charge pour la surveillance, une fois dans la base de données
▪ Appliquer des modèles aux équipements surveillés

• Utilisation de modèles
▪ Grouper les vérifications dans des modèles
▪ Les modèles peuvent hériter d'autres modèles

• Découverte du réseau
▪ Découverte automatique des équipements réseaux
▪ Enregistrement automatique de l'agent
▪ Découverte de systèmes de fichiers, d'interfaces réseau et d'OID SNMP

• Interface Web rapide

▪ Une interface web en PHP
▪ Accessible de n'importe où
▪ La navigation se fait via des clics
▪ Journal d'audit

• API Zabbix
▪ L'API Zabbix fournit une interface programmable pour des manipulations de masse sur
Zabbix, l'intégration de logiciels tiers et plus encore..

• Système de permissions
▪ Authentification utilisateur sécurisée
▪ Certains utilisateurs peuvent être limités à certaines vues

• Agent complet et facilement extensible

▪ Déployé sur des cibles de surveillance
▪ Peut être déployé sur Linux et Windows

• Démons binaires
67
 ▪ Écrit en C, pour des performances et une faible empreinte mémoire
▪ Facilement portable

• Prêt pour les environnements complexes

▪ Supervision à distance facilitée en utilisant un proxy Zabbix

Figure 50:fonctionnalités de zabbix

68
 3. Aperçu de Zabbix

• Architecture
▪ Zabbix se compose de plusieurs composants logiciels majeurs. Leurs responsabilités sont
décrites ci-dessous.

• Serveur
▪ Le Serveur Zabbix est le composant central auquel les agents envoient leur disponibilité, les
informations d’intégrité et les statistiques. Le serveur est le référentiel central dans lequel
toutes les données de configuration, statistiques et données opérationnelles sont stockées.

• Stockage des données

▪ Toutes les informations de configuration ainsi que les données collectées par Zabbix sont
stockées dans une base de données.

• Interface Web
▪ L’interface Web est fournie pour permettre un accès facile à Zabbix de n'importe où et de
n'importe quelle plate-forme. L'interface fait partie du serveur Zabbix et fonctionne
généralement (mais pas nécessairement) sur la même machine physique que celle qui
exécute le serveur.

• Proxy
▪ Le Proxy Zabbix peut collecter des données de performance et de disponibilité au nom du
serveur Zabbix. Un proxy est un composant facultatif du déploiement de Zabbix.
Cependant, il peut être très bénéfique de distribuer la charge d'un seul serveur Zabbix.

• Agent
▪ Les Agents Zabbix sont déployés sur des cibles de surveillance pour superviser activement
les ressources locales et les applications, et envoyer les données collectées au serveur
Zabbix. Depuis Zabbix 4.4, il existe deux types d'agents disponibles : l'Agent Zabbix (léger,
pris en charge sur de nombreuses plates-formes, écrit en C) et l'Agent Zabbix 2 (extra-
flexible, facilement extensible avec des plugins, écrit en Go).

• Flux de données
▪ En outre, il est important de prendre du recul et de jeter un coup d'œil au flux de données
global au sein de Zabbix. Pour créer un élément qui rassemble des données, vous devez
d'abord créer un hôte. En passant à l'autre extrémité du spectre Zabbix, vous devez d'abord
avoir un élément pour créer un déclencheur. Vous devez avoir un déclencheur pour créer
une action. Ainsi, si vous voulez recevoir une alerte quand votre charge CPU est trop élevée

69
 sur le Serveur X, vous devez d'abord créer une entrée hôte pour le Serveur X suivi d'un
élément pour surveiller son CPU, puis un déclencheur qui s'activera si le CPU est trop
chargé, suivi par une action qui vous envoie un email. Bien que cela puisse sembler
beaucoup d’étapes, avec l'utilisation des modèles, ce n'est pas vraiment le cas. Cependant,
grâce à cette conception, il est possible de créer une configuration très flexible.

II. ZABBIX SOUS DOCKER

1. Docker

Docker est une plateforme de conteneurs open source qui permet de créer des environnements isolés sur un
seul et même système. Il permet de faciliter le déploiement et la mise à l'échelle au niveau applicatif.
Aujourd'hui, Docker est la plateforme la plus populaire et la plus utilisée, en grande partie grâce à sa
simplicité d'utilisation.

Docker est une plate-forme ouverte pour le développement, la

livraison et l'exécution d'applications. Docker vous permet de
séparer vos applications de votre infrastructure afin que vous
puissiez fournir des logiciels rapidement. Avec Docker, vous
pouvez gérer votre infrastructure de la même manière que vous
gérez vos applications. En tirant parti des méthodologies de
Docker pour expédier, tester et déployer du code rapidement,
vous pouvez réduire considérablement le délai entre l'écriture du
code et son exécution en production.

2. La virtualisation

Pour bien comprendre l'intérêt de Docker, il nous faut tout d'abord revenir au principe de virtualisation.

Lorsque l'on parle de virtualisation, il s'agit souvent de virtualisation matérielle. C'est ce principe qui
permet de démarrer et exécuter plusieurs systèmes d'exploitation invités sur un système hôte commun.

Une machine virtuelle (ou VM pour virtual machine) est une émulation d'un système d'exploitation dans
une machine hôte ou un serveur. Ainsi, grâce à la virtualisation, on peut exécuter plusieurs machines
virtuelles au sein d'une seule et même machine hôte.

70
 3. Supervision du Pfsense avec Zabbix SNMP
On va démarrez un conteneur de serveur Zabbix comme suit :

Docker run --name some-zabbix-appliance -p 80:80 -p 10051:10051 -d zabbix/zabbix-appliance

Installation de zabbix sous docker avec mapping des ports vers 10051 pour serveur et 80
pour http

Configuration d'agent snmp pfsense sous zabbix

71
Ajouter sur Macros rocommunity

Ajout du template OS Linux qui contient les items et les triggers par defaut

72
Agent snmp pfsense a été bien configuré

Voici les données du pfsense

SUPERVISION DU WINDOWS SERVER AVEC ZABBIX SNMP

73
Ajout du community commun clé

Démarrage de service SNMP

74
Configurer d'hôte sur zabbix

Ajouter macros pour community

75
Ajouter Template os Windows pour snmp

snmp a été bien configurer

Les données du Windows server

76
 Conclusion

Référence

En conclusion, l'amélioration de la sécurité et de la gestion d'un système d'information et de réseaux

d'entreprise est essentielle pour faire face aux défis croissants liés à la connectivité et aux cybermenaces.
Les solutions présentées dans ce rapport, telles que la création d'un domaine avec Windows Server 2012
R2, l'installation d'un pare-feu Pfsense et la mise en place d'une supervision avec Zabbix, offrent des
moyens concrets d'atteindre cet objectif.

La mise en œuvre de ces solutions permettra d'optimiser l'organisation et le contrôle du réseau, renforçant
ainsi la sécurité et facilitant la gestion des ressources. Les entreprises pourront mieux se protéger contre
les attaques et les intrusions, prévenir les fuites de données et garantir la continuité des activités.

De plus, l'utilisation de solutions open source telles que Pfsense et Zabbix offre des avantages
supplémentaires, notamment la réduction des coûts liés aux licences logicielles et la flexibilité pour
personnaliser les configurations en fonction des besoins spécifiques de l'entreprise.

Cependant, il est important de noter que la mise en place de ces solutions ne constitue pas une solution
unique et définitive pour tous les problèmes de sécurité et de gestion du système d'information. Les
entreprises doivent continuer à se tenir au courant des dernières tendances en matière de sécurité, mettre
en place des politiques et des procédures appropriées, former leur personnel et rester vigilantes face aux
menaces émergentes.

En conclusion, en adoptant une approche proactive et en utilisant des solutions appropriées, les
entreprises peuvent améliorer considérablement la sécurité, l'organisation et la supervision de leur
système d'information et de réseaux, leur permettant ainsi de rester compétitives dans un environnement
en constante évolution.

77