Académique Documents
Professionnel Documents
Culture Documents
Sujet
3
4
Table des matières
Liste des figures ....................................................................................................................................... 7
Liste des Tableaux ................................................................................................................................... 8
ملخص...................................................................................................................................................... 10
RÉSUMÉ ................................................................................................................................ 11
ABSTRACT ........................................................................................................................ 12
Dédicace ................................................................................................................................................ 13
Remerciement....................................................................................................................................... 14
Introduction .......................................................................................................................................... 15
Chapitre I : Création du domaine......................................................................................................... 17
I. Définitions : ................................................................................................................................... 18
1. Windows server ........................................................................................................................ 18
1.1 Définition .......................................................................................................................... 18
2.1 Les différentes éditions de Windows Server ................................................................... 19
3.1 Les différentes utilisations du Windows server :............................................................. 21
4.1 Différence entre Windows et Windows server : ............................................................. 22
5.1 Avantages et inconvénients ............................................................................................. 22
2. Différence entre Domain et groupe de travail ( Workgroup) : ............................................... 23
3. C’est quoi un active directory :................................................................................................. 24
II. Configuration ................................................................................................................................ 25
1. Installation et configuration du service Active et création des utilisateurs en plus de
l’affectation ....................................................................................................................................... 25
2. Création et application d’une GPO ........................................................................................... 25
Chapitre II : Sécurité du système ......................................................................................................... 26
Partie 1 : Pfsense..................................................................................................................................... 27
1. Définition .................................................................................................................................. 27
2. Les avantages de PFSense ........................................................................................................ 27
3. TOPOLOGY PFSENSE SUR VMWARE .......................................................................................... 29
4. CONFIGURATION GENERALE DU PFSENSE ................................................................................ 30
5. CONFIGURATION DHCP ............................................................................................................. 31
6. CONFIGURATION INTERFACE LAN ............................................................................................. 32
7. CONFIGURATION INTERFACE WAN ET SON GATEWQY POUR L’ACCEE A L’INTERNET ............. 32
5
8. CONFIGURATION DU DNS FORWARDER ................................................................................... 33
9. Test de connectivité. ................................................................................................................. 34
Partie 2 : SNORT ...................................................................................................................................... 35
1. IDS / IPS SUR PFSENSE ............................................................................................................... 35
2. INSTALLATION SNORT ............................................................................................................... 36
1.1 INSTALLATION SNORT ....................................................................................................... 36
3. CONFIGURATION SNORT .......................................................................................................... 38
3.1 Installation des sources de certificats des attaques ........................................................ 38
4.1 VRT (SNORT SUBSCRIBER RULES) ...................................................................................... 38
5.1 Lancement des mises à jour des règles ............................................................................. 40
4. DEMARRAGE DU SNORT ............................................................................................................ 41
Partie 3 : Installation et configuration du portail captif ........................................................................... 41
1. Définition du portail captif ........................................................................................................ 41
2. CONFIGURATION DU PORTAIL CAPTIF ...................................................................................... 42
3. Test d’authentification .............................................................................................................. 46
4. Authentification en utilisant un contrôleur de domaine .......................................................... 47
5. Configuration du serveur RADUIS sur Pfsense .......................................................................... 51
Partie 4 : Installation et configuration d’OPENVPN .............................................................................. 53
1. Définition d’OPENVPN ............................................................................................................... 53
2. CONFIGURATION D’OPENVPN................................................................................................... 54
Chapitre I : SUPERVISION DU PFSENSE .............................................................................................. 63
I. ZABBIX ........................................................................................................................................... 64
1. Définition ................................................................................................................................... 64
2. Fonctionnalités de Zabbix.......................................................................................................... 66
3. Aperçu de Zabbix ....................................................................................................................... 69
II. ZABBIX SOUS DOCKER ................................................................................................................... 70
1. Docker ....................................................................................................................................... 70
2. La virtualisation ........................................................................................................................ 70
Conclusion ............................................................................................................................................. 77
Référence .............................................................................................................................................. 77
6
Liste des figures
Figure 1: Windows server 2022 ................................................................................................................................................ 18
Figure 2 windows server 2012 Essentials ................................................................................................................................. 19
Figure 3 windows server 2012 Standard .................................................................................................................................. 20
Figure 4 windows server 2012 Datacenter Edition ................................................................................................................... 20
Figure 5 windows server 2012 Storage .................................................................................................................................... 21
Figure 6:Topologie PFSENSE .................................................................................................................................................... 28
Figure 7 : Configuration de la machine PFSENSE ..................................................................................................................... 29
Figure 8:Les adaptateurs des cartes réseaux VMWAR ............................................................................................................. 29
Figure 9 : Dashboard PFSENSE sur Windows 7 ....................................................................................................................... 30
Figure 10 : Configuration général du Pfsense ........................................................................................................................... 30
Figure 11 : Configuration du DHCP ........................................................................................................................................... 31
Figure 12 : configuration de Windows avec PFSENSE DHCP .................................................................................................... 31
Figure 13 : Interface LAN du PFSENSE ..................................................................................................................................... 32
Figure 14 : Configuration de l'interface WAN ........................................................................................................................... 32
Figure 15 : Configuration du GATEWAY ................................................................................................................................... 33
Figure 16 : DNS Forwarder ....................................................................................................................................................... 34
Figure 17: Test de connectivité ................................................................................................................................................ 34
Figure 18 : Téléchargement du SNORT ..................................................................................................................................... 36
Figure 19 : Interface 1 : configuration du SNORT ................................................................................................................... 37
Figure 20 : Interface 2 : configuration du SNORT .................................................................................................................... 37
Figure 21: Les sources gratuit pour avoir des certificats d’attaques ........................................................................................ 38
Figure 22 : VRT source .............................................................................................................................................................. 39
Figure 23 : Lancement d'installation des règles ....................................................................................................................... 40
Figure 24 : mise à jour de signature MD5 ................................................................................................................................ 40
Figure 25 : Démarrage du SNORT ............................................................................................................................................. 41
Figure 26 :Topologie du portail captif ...................................................................................................................................... 42
Figure 27 : Création d’une Zone portail captif .......................................................................................................................... 42
Figure 28 : Création de l’autorité de certification .................................................................................................................... 44
Figure 29 : Création du certificat .............................................................................................................................................. 44
Figure 30 : Création des utilisateurs ......................................................................................................................................... 45
Figure 31 : Ajouter l'utilisateur a un groupe portail captif puis l'ajouter un privilège .............................................................. 46
Figure 32 : PAGE D'AUTHENTIFICATION PFSENSE
Figure 33 : REDIRECTION APRES A UTHENTIFICATION ............................................................................................................. 46
Figure 34 : Création d'OU et les utilisateurs ............................................................................................................................. 48
Figure 35 : SERVICE NPS ........................................................................................................................................................... 48
Figure 36: CONFIGURATION DE NPS ........................................................................................................................................ 49
Figure 37 : Configuration du GPO ............................................................................................................................................ 50
Figure 38 : Ajouter le serveur RADUIS sur pfsense ................................................................................................................... 51
Figure 39: Ajouter l'authentification avec server RADUIS ........................................................................................................ 52
Figure 40 : Authentification avec user2 créer dans le serveur RADUIS .................................................................................... 52
Figure 41 : Statut de portail captif ........................................................................................................................................... 53
Figure 42: Liaison de certificat avec l'utilisateur ...................................................................................................................... 57
Figure 43:Création du VPN OPENVPN ...................................................................................................................................... 58
Figure 44 : UNE NOUVELLE CARTE VIRTUELLE EST AJOUTEE ................................................................................................... 58
Figure 45 : Fichier exporter ...................................................................................................................................................... 59
Figure 46 : LA CARTE RESEAU VIRTUEL OPENVPN .................................................................................................................... 61
Figure 47 : Connexion via un téléphone ................................................................................................................................... 61
Figure 48 : Accéder via OPENVPN client au serveur apache local ............................................................................................ 62
Figure 49: Types de supervision ............................................................................................................................................... 64
Figure 50:fonctionnalités de zabbix ......................................................................................................................................... 68
7
Liste des Tableaux
Table d’abréviations
AD DS : Active Directory Domain Services OpenAppID : programme open source de détection
Pfsense : Firewall open source d'applications
Zabbix: Solution de supervision open source VRT : Vulnerability Research Team, une équipe de
DHCP: Dynamic Host Configuration Protocol sécurité de Cisco
DNS: Domain Name System RADIUS: Remote Authentication Dial-In User Service
GPO: Group Policy Object RFC : Request for Comments
WDS: Windows Deployment Services FAI : Fournisseur d'Accès Internet
RDS: Remote Desktop Services LDAP: Lightweight Directory Access Protocol
VDI: Virtual Desktop Infrastructure NAS: Network Access Server
NLB: Network Load Balancing OpenVPN: protocole de VPN open-source
SAM: Security Account Manager UDP: User Datagram Protocol
NT4: Windows NT 4.0 TCP: Transmission Control Protocol
LDAP: Lightweight Directory Access Protocol HTTP: Hypertext Transfer Protocol
P0F: Packet Filter NAT: Network Address Translation
VPN: Virtual Private Network Zabbix: solution de supervision professionnelle libre
DHCP: Dynamic Host Configuration Protocol de droit
IPCop: Linux distribution for network security GPL: General Public License
dnsmasq: logiciel de serveur DNS et de serveur IT: Information Technology
DHCP combiné SMTP : Simple Mail Transfer Protocol
FAI: Fournisseur d'accès Internet HTTP : Hypertext Transfer Protocol
PPPoE: Point-to-Point Protocol over Ethernet HTTPS : Hypertext Transfer Protocol Secure
PPTP: Point-to-Point Tunneling Protocol SQL : Structured Query Language
WAN: Wide Area Network NoSQL : Not Only SQL
IDS: Intrusion Detection System
IPS: Intrusion Prevention System
Snort : logiciel libre de détection et de
prévention des intrusions
8
Glossair
AD DS : Active Directory Domain Services est un service NT4 : Windows NT 4.0 est un système d'exploitation
de gestion d'annuaire utilisé dans les environnements Windows Server qui a été publié en 1996 et qui a été
Windows Server pour stocker des informations sur les remplacé par Windows 2000.
ressources du réseau et les utilisateurs qui y accèdent. LDAP : Lightweight Directory Access Protocol est un
Pfsense est un firewall open source utilisé pour la protocole de réseau utilisé pour accéder et gérer les
sécurité du réseau et la protection contre les menaces informations d'annuaire stockées dans un service de
externes. gestion d'annuaire, tel qu'Active Directory.
Zabbix est une solution de supervision open source P0F : Packet Filter est un outil open source utilisé pour la
utilisée pour surveiller les performances et la détection de l'OS et de l'application à partir des
disponibilité des ressources IT, telles que les serveurs, les caractéristiques des paquets réseau.
applications, les services, etc. VPN : Virtual Private Network est une technologie de
DHCP : Dynamic Host Configuration Protocol est un réseau qui permet de connecter des ordinateurs distants
protocole de réseau qui permet aux ordinateurs clients de manière sécurisée en utilisant un réseau public, tel
d'obtenir une adresse IP et d'autres informations de qu'Internet.
configuration réseau à partir d'un serveur DHCP. IPCop est une distribution Linux dédiée à la sécurité du
DNS : Domain Name System est un système qui traduit réseau.
les noms de domaine en adresses IP numériques utilisées dnsmasq est un logiciel de serveur DNS et de serveur
pour identifier les ordinateurs sur un réseau. DHCP combiné utilisé pour le déploiement de réseau de
GPO : Group Policy Object est une fonctionnalité de petite et moyenne taille.
gestion de la sécurité dans les environnements Windows FAI : Fournisseur d'accès Internet est une entreprise qui
Server qui permet aux administrateurs de configurer les fournit des services d'accès à Internet aux utilisateurs
paramètres de sécurité pour les ordinateurs et les finaux.
utilisateurs dans un domaine Active Directory. PPPoE : Point-to-Point Protocol over Ethernet est un
WDS : Windows Deployment Services est un service de protocole de réseau utilisé pour établir une session PPP
déploiement d'images système utilisé pour installer et sur une connexion Ethernet.
configurer des systèmes d'exploitation Windows sur PPTP : Point-to-Point Tunneling Protocol est un
plusieurs ordinateurs. protocole de réseau utilisé pour établir des connexions
RDS : Remote Desktop Services est une fonctionnalité de VPN.
Windows Server qui permet aux utilisateurs d'accéder à WAN : Wide Area Network est un réseau étendu qui
distance à des ordinateurs de bureau Windows depuis un couvre une grande distance géographique et relie
emplacement distant. plusieurs réseaux locaux.
VDI : Virtual Desktop Infrastructure est une technologie IDS : Intrusion Detection System est un système de
de virtualisation qui permet aux utilisateurs d'accéder à sécurité qui surveille les activités sur le réseau pour
distance à un système d'exploitation de bureau complet détecter les menaces et les intrusions.
exécuté sur un serveur centralisé. IPS : Intrusion Prevention System est un système de
NLB : Network Load Balancing est une fonctionnalité de sécurité qui surveille les activités sur le réseau pour
Windows Server qui permet de distribuer la charge de prévenir les menaces et les intrusions.
travail entre plusieurs serveurs pour améliorer la Snort est un logiciel libre de détection et de prévention
disponibilité et la performance des applications. des intrusions utilisé pour surveiller le trafic sur le
SAM : Security Account Manager est un service de réseau.
sécurité dans les environnements Windows qui stocke et OpenAppID est un programme open source de détection
gère les informations d'authentification et de sécurité d'applications utilisé pour identifier les applications sur
pour les utilisateurs et les groupes. le réseau.
RFC : Request for Comments est un document
VRT : Vulnerability Research Team est une équipe de d'information technique publié par la communauté de
sécurité de Cisco qui est chargée de la recherche et de la l'Internet Engineering Task Force (IETF) qui décrit les
découverte de vulnérabilités de sécurité dans les normes et les protocoles de communication pour les
produits Cisco. réseaux informatiques et les systèmes d'information.
RADIUS : Remote Authentication Dial-In User Service est Share
un protocole de réseau utilisé pour l'authentification et
l'autorisation des utilisateurs qui se connectent à un
réseau.
9
ملخص
كطالب سنة خامسة في ، ISIتعرفنا على ضرورة تقديم حلول لتعزيز مهاراتنا وتحسين أداء نظام المعلومات والشبكات
داخل المؤسسة .في هذا الصدد ،حددنا ثالث حلول رئيسية.
لتحسين تنظيم الشبكة والنظام والسيطرة عليهما ،نوصي باستخدام Windows Server 2012 R2.تتيح هذه الحلول
إدارة مركزية للمستخدمين والمجموعات والموارد ،مما يسهل تنظيم وإدارة النظام بشكل أفضل.
لتعزيز األمان ،نؤيد استخدام جدار حماية يسمى Pfsenseلتعزيز األمان الشامل لنظام المعلومات والشبكات .جدار
الحماية ، Pfsenseوهو مشروع مفتوح المصدر ،يوفر ميزات متقدمة لفرز حركة المرور ومراقبتها.
أخيرا ،لضمان مراقبة فعالة للنظام ،نقترح تنفيذ Zabbixكحاوية مفتوحة المصدر . Zabbixهو حل مراقبة يتيح مراقبة
أداء النظام في الوقت الحقيقي وتحديد أي مشاكل على الفور.
من خالل تنفيذ هذه الحلول الثالث ،نهدف إلى تحسين األمان والتنظيم والمراقبة لنظام معلومات وشبكات المؤسسة ،
وتحسين أدائها وتعزيز موثوقيتها
10
RÉSUMÉ
En tant qu'étudiants en 5ème année ISI, nous avons constaté la nécessité de proposer des
solutions pour améliorer nos compétences et optimiser les performances d'un système
d'information et de réseaux Dans cette optique, nous avons identifié trois solutions clés.
Pour renforcer la sécurité, nous préconisons l'utilisation d'un pare-feu appelé Pfsense pour
renforcer la sécurité globale du système d'information et des réseaux.
Enfin, pour assurer une supervision efficace du système, nous proposons l'implémentation de
Zabbix sous la forme d'un conteneur open-source. Zabbix est une solution de supervision qui
permet de surveiller en temps réel les performances du système et d'identifier rapidement les
éventuels problèmes.
En mettant en place ces trois solutions, nous visons à améliorer la sécurité, l'organisation et la
supervision d'un système d'information et de réseaux, en optimisant ses performances et en
renforçant sa fiabilité.
11
ABSTRACT
As 5th-year ISI students, we have recognized the need to propose solutions to enhance our skills
and optimize the performance of an information system and networks within an enterprise. In
this regard, we have identified three key solutions.
To improve network and system organization and control, we recommend utilizing Windows
Server 2012 R2. This solution enables centralized management of users, groups, and resources,
facilitating better organization and administration of the system.
To reinforce security, we advocate for the use of a firewall called Pfsense to enhance the overall
security of the information system and networks. Pfsense, an open-source firewall, offers
advanced features for traffic filtering and monitoring.
By implementing these three solutions, our aim is to improve the security, organization, and
supervision of an enterprise's information system and networks, optimizing their performance
and strengthening their reliability.
12
Dédicace
13
Remerciement
Au terme de ce travail, nous exprimons tout d'abord notre gratitude envers M. Zidane,
notre encadrant, pour son précieux soutien lors de l'élaboration du projet, ainsi que pour
ses conseils et informations partagés avec une sympathie sans égale. Cela nous a permis
Nos très humbles remerciements vont à chacun des membres du jury devant lesquels
nous avons eu l'honneur de présenter notre travail et qui ont accepté de l'évaluer.
Nous tenons également à adresser nos plus sincères remerciements à l'ensemble du corps
14
Introduction
Dans un monde de plus en plus connecté et où les cybermenaces sont devenues monnaie courante, la
sécurité du système d'information est devenue une préoccupation majeure pour les entreprises. Les
attaques informatiques sophistiquées, les fuites de données et les violations de la vie privée ont des
conséquences potentiellement désastreuses sur la réputation et les opérations d'une entreprise. Par
conséquent, il est impératif d'améliorer en permanence la sécurité du système d'information afin de
protéger les données sensibles, de prévenir les intrusions et de garantir la continuité des activités.
L'amélioration de la sécurité du système d'information implique une approche proactive qui comprend
l'identification des vulnérabilités, la mise en place de mesures de prévention et de détection, ainsi que
des actions correctives en cas d'incident. Les technologies et les pratiques de sécurité évoluent
rapidement, et il est essentiel pour les entreprises de rester à la pointe des dernières avancées pour faire
face aux menaces émergentes.
Après avoir acquis une solide formation et une connaissance approfondie dans ce domaine, nous avons
réalisé qu'il était crucial de proposer des solutions pour la mise à niveau d'un système d'information et de
réseaux d'entreprise, afin d'optimiser son organisation, sa sécurité et sa supervision.
Dans cette optique, nous avons relevé trois solutions essentielles, réparties en trois chapitres distincts,
afin d'améliorer les performances et de renforcer la sécurité d'un système d'information et de réseaux :
Chapitre 1: Création du domaine - L'organisation et le contrôle du réseau sont des éléments essentiels
pour garantir un fonctionnement fluide et efficace. Nous proposons d'utiliser Windows Server 2012 R2
pour la création d'un contrôleur de domaine AD DS (Active Directory Domain Services).
Chapitre 2: Sécurité du système - La sécurité des systèmes d'information et des réseaux est d'une
importance primordiale pour protéger les données et les ressources de l'entreprise contre les menaces
potentielles. Pour renforcer cette sécurité, nous suggérons l'installation et la configuration d'un pare-feu
open source appelé Pfsense.
Chapitre 3: Supervision du système - Pour assurer une surveillance proactive et une gestion efficace des
performances du système, nous recommandons la mise en place d'une solution de supervision open source
appelée Zabbix.
15
En combinant ces trois solutions, nous sommes convaincus qu'il est possible d'améliorer considérablement
les compétences, l'organisation, la sécurité et la supervision d'un système d'information et de réseaux
d'entreprise. Dans les parties suivantes de ce rapport, nous explorerons plus en détail chacune de ces
solutions, en expliquant les étapes nécessaires pour les mettre en œuvre et les avantages qu'elles apportent.
16
Chapitre I : Création du domaine
Dans ce chapitre Nous présentons la
création d'un contrôleur de domaine AD
DS (Active Directory Domain Services).
Cette solution permettra une gestion
centralisée des utilisateurs, des groupes et des
ressources du réseau, facilitant ainsi la
collaboration et l'administration.
17
I. Définitions :
1. Windows server
1.1 Définition
Windows Server est un système d’exploitation pour serveur par Microsoft. Basé sur l’architecture Windows
NT, il fournit toutes les capacités, fonctionnalités des mécanismes de fonctionnement d’un OS pour serveur
standard.
Il propose ainsi différents services orientés serveur, comme la possibilité d’héberger un site web, la gestion
des ressources entre les différents utilisateurs et applications, ainsi que des fonctionnalités de messagerie et
de sécurité. Il est compatible avec la plupart des langages de programmation web et systèmes de bases de
données comme .NET Core, ASP.NET, PHP, MySQL et MS SQL.
18
2.1 Les différentes éditions de Windows Server
Disponible que lors de l’achat d’un nouveau serveur et destinée aux TPE, cette édition est limitée à 15
utilisateurs, elle ne prend pas en charge la virtualisation et ne supporte qu’un seul processeur. Il n’y a,
cependant, pas besoin de CAL Windows pour se connecter à un serveur Foundation. Le serveur doit être
hébergé sur une machine physique Idéal pour : Les clients qui recherchent un premier serveur très abordable
Fonctionnalités : Accès à toutes les fonctionnalités essentielles d’un premier serveur, pas de droit pour
virtualiser Mode de licence : Par serveur (limité à 15 utilisateurs)
L’objectif de cette édition est d’acheminer les PME vers les solutions cloud de Microsoft.
Elle ne prend pas en charge la virtualisation et supporte deux processeurs. Le serveur peut être hébergé sur
une machine physique ou virtuelle .Idéal pour : Les petites et moyennes entreprises
Fonctionnalités : Une interface plus simple, pas de droit pour virtualiser, installation et administration
simplifiées
Mode de licence : Par serveur (limité à 25 utilisateurs)
19
Figure 3 windows server 2012 Standard
Edition principale de Windows Server 2012 elle offre toutes les fonctionnalités, tout comme l’édition
Datacenter. Elle se distingue de cette dernière par le nombre de machines virtuelles couvertes par la licence,
à savoir deux.
Windows Server 2012 Standard supporte jusqu’à deux processeurs par licence. Tout
comme l’édition Datacenter, elle prend en charge les machines disposant d’un maximum de 64 processeurs
(sockets) et de 4 To de mémoire RAM.
Idéal pour : Des environnements à faible densité de virtualisation ou non virtualisés
Fonctionnalités : Accès à toutes les fonctionnalités de Windows Server et droit pour 2 machines virtuelles
Mode de licence : Par processeur physique (1 licence couvrant jusqu’à 2 processeurs) + CAL
20
➢ Windows Server 2012 Datacenter
Cette édition est destinée à ceux qui ont un recours intensif aux machines virtuelles. Chaque licence couvre
en effet jusqu’à deux processeurs et un nombre de machines virtuelles illimité.
Idéal pour : Des environnements à faible densité de virtualisation ou non virtualisés
Fonctionnalités : Accès à toutes les fonctionnalités de Windows Server et droit pour 2 machines virtuelles
Mode de licence : Par processeur physique (1 licence couvrant jusqu’à 2 processeurs) + CAL
➢ Storage Server
Cette version destinée aux partenaires Microsoft existe en deux éditions, la version Workgroups (50
utilisateurs maximum, 1 seul CPU, 6 disques maximum) et en version standard (pas de limites de ressources,
déduplication, mode cluster)
Grâce à Windows Server, vous pourrez créer vos propres serveurs et créer des infrastructures complexes en
installant des rôles de bases, tels que :
21
→ Un serveur Active Directory pour centraliser l'authentification des utilisateurs, gérer les
utilisateurs, la sécurité des ordinateurs du réseau grâce aux GPO, ...
→ Et bien plus Vous pourrez également déployer des services plus complexes, tels que :
→ WDS : pour déployer Windows via le réseau sur une série d'ordinateurs sans nécessiter une
intervention de la part de l'utilisateur
→ RDS : services Bureau à distance. Pour fournir des bureaux basés sur des sessions Terminal
Server à vos utilisateurs
Tout d’abord, cet OS serveur peut prendre en charge du hardware nettement plus puissant. Alors que
Windows est limité à 2 TB de RAM, Windows Server peut supporter jusqu’à 24 TB.
De plus, Windows Home Edition ne peut prendre en charge qu’un CPU physique, et Windows Edition Pro
deux au maximum. De son côté, Windows Server peut supporter jusqu’à 64 sockets. De même, Serveur n’a
pas de limites de cœurs alors que Windows 32- bit est limité à 32 cœurs et Windows 64-bit à 256 cœurs.
L’un des avantages de cet OS est qu’il est développé et vendu par Microsoft. De fait, des mises à jour sont
régulièrement déployées et le support est assuré par cette entreprise de renom. De plus, les utilisateurs
habitués à l’environnement Windows retrouveront facilement leurs marques.
La compatibilité avec le Framework ASP.NET est l’une des principales raisons pour
lesquelles les créateurs de sites web choisissent cet OS comme solution d’hébergement.
Ils retrouveront aussi des outils Microsoft tels que Web Deploy et Visual Studio, et pourront développer des
sites web ” database-driven ” en utilisant Microsoft SQL.
En revanche, si on le compare avec UNIX, l’OS de serveur ouvert, Server présente
l’inconvénient de consommer davantage de ressources système. Une puissante machine est nécessaire pour
le faire tourner. De plus, ce système d’exploitation à la mauvaise réputation d’être instable et de nécessiter
22
un reboot plus souvent qu’UNIX. Le coût des applications et des outils de développement Microsoft est
généralement plus cher que ceux d’UNIX.
Les domaines, groupes de travail et groupes résidentiels représentent différentes méthodes d'organisation
des ordinateurs en réseaux. La principale différence entre eux est la façon dont les ordinateurs et autres
ressources sur les réseaux sont gérés.
• Tous les ordinateurs sont des pairs. Aucun ordinateur n'a le contrôle d'un autre ordinateur.
• Chaque ordinateur possède un ensemble de comptes d'utilisateurs. Pour vous
Connecter à n’importe quel ordinateur du groupe de travail, vous devez avoir un compte
sur cet ordinateur.
• Un ou plusieurs ordinateurs sont des serveurs. Les administrateurs réseau utilisent des
serveurs pour contrôler la sécurité et les autorisations de tous les ordinateurs du
domaine. Cela facilite les modifications car celles-ci sont automatiquement effectuées sur
tous les ordinateurs. Les utilisateurs du domaine doivent fournir un mot de passe ou
d'autres informations d'identification chaque fois qu'ils accèdent au domaine.
• Si vous avez un compte d'utilisateur sur le domaine, vous pouvez vous connecter à
n'importe quel ordinateur du domaine sans avoir besoin d'un compte sur cet ordinateur.
23
• Vous ne pouvez probablement apporter que des modifications limitées aux paramètres
d'un ordinateur car les administrateurs réseau souhaitent souvent assurer la cohérence
entre les ordinateurs.
Active Directory est un annuaire d'entreprise qui existe depuis 1996 et est utilisable
depuis Windows 2000 Server
Edition sorti en 1999.
Il s'agit donc d'un produit éprouvé par les années. Cet annuaire
d'entreprise vient en remplacement des bases SAM (Security Account Manager) qui
étaient exploitées avec NT4 et les groupes de travail.
Ces bases présentaient notamment des limitations d'administration. L'arrivée d'Active
Directory a permis de passer des groupes de travail aux domaines Active Directory et ainsi
de centraliser toute l'administration et la gestion des droits dans un annuaire de type
LDAP. Tout logiciel utilisant LDAP sera capable de communiquer avec Active
Directory : on peut, par exemple, gérer (partiellement) des postes Linux à partir d'un
Active Directory.
La conception de votre Active Directory est très importante. Toute erreur de conception
pourra entraîner des conséquences plus ou moins importantes selon l'évolution des besoins
de votre entreprise. Par exemple, un mauvais choix de nom pour votre Active Directory
peut amener jusqu'à une migration forcée.
24
II. Configuration
25
Chapitre II : Sécurité du système
26
Partie 1 : Pfsense
1. Définition
PfSense est un routeur / pare-feu opensource basé sur FreeBSD. PfSense peut être
installé sur un simple ordinateur personnel comme sur un serveur. Basé sur PF (packet
filtre), comme iptables sur GNU/Linux, il est réputé pour sa fiabilité. Après une installation
en mode console, il s'administre ensuite simplement depuis une interface web et gère
nativement les VLAN (802.1q)
27
Cela implique une intervention minimum sur les machines sauf pour des maintenances
matérielles ou de grosse mise à jour qu'il est préférable de faire sur les machines.
28
3. TOPOLOGY PFSENSE SUR VMWARE
29
Figure 9 : Dashboard PFSENSE sur Windows 7
30
5. CONFIGURATION DHCP
La machine Windows 7 est appartient au réseau local du pfSense via l'adaptateur VMnet3, et
la passerelle est l'adresse IP de l'interface LAN du pfSense, attribuée par le protocole DHCP.
31
6. CONFIGURATION INTERFACE LAN
32
Figure 15 : Configuration du GATEWAY
Le redirecteur DNS du logiciel pfSense® est un résolveur DNS de mise en cache qui utilise
le dnsmasqdémon. Il est désactivé par défaut dans les versions actuelles, le résolveur DNS
( unbound) étant actif par défaut à la place. Le redirecteur DNS restera activé sur les
systèmes plus anciens ou les systèmes mis à niveau où il était auparavant actif.
Le redirecteur DNS utilise des serveurs DNS configurés dans Système> Configuration
générale, ou ceux obtenus automatiquement d'un FAI pour les interfaces WAN
configurées dynamiquement (DHCP, PPPoE, PPTP). Pour les connexions WAN à adresse
IP statique, les serveurs DNS doivent être saisis dans Système> Configuration générale ou
pendant l'assistant de configuration pour que le redirecteur DNS fonctionne. Les serveurs
DNS configurés statiquement peuvent également être utilisés avec des interfaces WAN
configurées dynamiquement en décochant la case Autoriser le remplacement de la liste
des serveurs DNS par DHCP / PPP sur WAN sur la page Système> Configuration générale.
Par défaut, le redirecteur DNS interroge tous les serveurs DNS à la fois et la seule
première réponse reçue est utilisée et mise en cache. Cela se traduit par un service DNS
beaucoup plus rapide du point de vue du client et peut aider à résoudre les problèmes liés
aux serveurs DNS qui sont lents par intermittence ou ont une latence élevée, en
particulier dans les environnements multi-WAN. Ce comportement peut être désactivé en
activant l’option Interroger les serveurs DNS de manière séquentielle.
33
Figure 16 : DNS Forwarder
9. Test de connectivité.
34
Partie 2 : SNORT
2. INSTALLATION SNORT
36
Figure 19 : Interface 1 : configuration du SNORT
→ Lorsque l'option "block offenders" est activée dans Snort, il fonctionne comme un
système de prévention des intrusions (IPS) et bloque tout le trafic détecté comme
malveillant.
37
→ L’option home net contient les réseaux fiables
3. CONFIGURATION SNORT
Figure 21: Les sources gratuit pour avoir des certificats d’attaques
38
Figure 22 : VRT source
39
5.1 Lancement des mises à jour des règles
40
4. DEMARRAGE DU SNORT
Le portail captif du logiciel pfSense oblige les utilisateurs d'une interface à s'authentifier
avant d'accorder l'accès à Internet. Lorsque cela est possible, le pare-feu présente
automatiquement une page Web de connexion dans laquelle l'utilisateur doit entrer des
informations d'identification telles qu'un nom d'utilisateur / mot de passe, un code de
bon d'achat ou un simple accord de clic.
41
Le portail captif est configuré sous Services> Portail captif.
42
→ Nous allons activer HTTPS pour établir une connexion sécurisée entre pfSense et les
utilisateurs. Pour ce faire, nous devons créer un certificat auto-signé.
43
Figure 28 : Création de l’autorité de certification
44
Nous allons ajouter le certificat créé à la base de données locale des utilisateurs afin de
l'utiliser pour l'authentification.
→ Il est nécessaire de créer un groupe et d'y ajouter l'utilisateur, puis lui attribuer le
privilège d'utilisateur pour le service de portail captif et la connexion
45
Figure 31 : Ajouter l'utilisateur a un groupe portail captif puis l'ajouter un privilège
3. Test d’authentification
46
4. Authentification en utilisant un contrôleur de domaine
Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les
requêtes du client à d'autres serveurs RADIUS.
47
Figure 34 : Création d'OU et les utilisateurs
→ Dans un premier temps, nous allons créer une unité d'organisation, puis nous allons
créer un groupe qui regroupera les utilisateurs autorisés à accéder à Internet avec une
authentification.
48
Figure 36: CONFIGURATION DE NPS
49
Figure 37 : Configuration du GPO
Nous allons ajouter une nouvelle politique utilisateur qui sera attribuée au groupe du portail
captif.
50
→ La stratégie a été ajoutée avec succès
51
Figure 39: Ajouter l'authentification avec server RADUIS
52
→ La machine a réussi à accéder à Internet en s'authentifiant auprès du serveur RADIUS
avec succès.
1. Définition d’OPENVPN
53
Le protocole OpenVPN est responsable de la gestion des communications client-serveur.
Fondamentalement, il aide à établir un “tunnel” sécurisé entre le client VPN et le serveur
VPN.
Quand OpenVPN gère le cryptage et l’authentification, il utilise la bibliothèque OpenSSL
de manière assez extensive. De plus, OpenVPN peut utiliser UDP (User Datagram
Protocol) ou TCP (Transmission Control Protocol) pour transmettre les données.
Si vous n’êtes pas familier avec TCP et UDP, ce sont des protocoles de couche de
transport, et sont utilisés pour transmettre des données en ligne. TCP est plus stable
puisqu’il offre des fonctions de correction d’erreur (lorsqu’un paquet réseau est envoyé,
TCP attend une confirmation avant de l’envoyer à nouveau ou d’envoyer un nouveau
paquet). UDP n’effectue pas de correction d’erreur, ce qui le rend un peu moins stable,
mais beaucoup plus rapide.
OpenVPN fonctionne mieux sur UDP (selon OpenVPN.net), c’est pourquoi OpenVPN
Access Server essaie d’abord d’établir des connexions UDP. Si ces connexions échouent,
ce n’est qu’alors que le serveur essaie d’établir des connexions TCP. La plupart des
fournisseurs VPN offrent également par défaut OpenVPN sur UDP.
En raison de la façon dont il est programmé (c’est un protocole de sécurité personnalisé),
le protocole OpenVPN peut facilement contourner HTTP et NAT.
Contrairement à la plupart des protocoles VPN, OpenVPN est open-source. Cela signifie
que son code n’est pas la propriété d’une seule entité, et que des tiers peuvent toujours
l’inspecter et l’améliorer continuellement.
2. CONFIGURATION D’OPENVPN
54
→ Le service Dynamic DNS est utilisé pour effectuer une résolution entre une adresse IP
publique et un nom de domaine.
Configuration OPENVPN :
→ Cocher la case redirect : permet de router le client pour accéder aux réseaux prive
locale il faut accéder à l’adresse IP prive de la carte virtuelle du OPENVPN
55
→ Option inter-client communication : pour autoriser le client connecter via tunnel de
communique entre eux.
→ firewall Rule et openVPN rule : pour ajouter la permission des externes d'intégrer le
réseau via le port 1119
Pour sécuriser les connexions VPN, OpenVPN utilise le protocole SSL/TLS, ce qui implique
la nécessité de mettre en place une autorité de certification.
56
→ Il est nécessaire de générer deux certificats distincts lors de la mise en place
d'OpenVPN : un certificat pour l'utilisateur et un autre pour le serveur.
57
→ Pour simplifier le processus d'authentification des clients souhaitant accéder aux
réseaux, nous vous suggérons d'installer le plugin openvpn-export. Ce plugin permet
d'exporter les fichiers de configuration côté client.
58
→ Avec l'utilisation du plugin openvpn-export, nous avons la possibilité d'exporter les
données nécessaires pour la configuration du client OpenVPN. Cela facilitera
l'authentification des clients qui souhaitent accéder aux réseaux.
59
→ Nous allons inclure les fichiers d'exportation dans le fichier de configuration de
l'application cliente pfSense. Cela permettra à l'application de charger automatiquement
les fichiers de configuration nécessaires pour se connecter au serveur OpenVPN.
60
Figure 46 : LA CARTE RESEAU VIRTUEL OPENVPN
Mise en place d’un serveur apache sur une machine locale Cent Os pour un accès à distance.
61
Figure 48 : Accéder via OPENVPN client au serveur apache local
62
Chapitre I : SUPERVISION DU PFSENSE
63
I. ZABBIX
1. Définition
La supervision informatique se réfère à l'ensemble des activités, des processus et des outils mis en place
pour surveiller et gérer les systèmes informatiques d'une organisation. Elle vise à assurer le bon
fonctionnement, la performance, la disponibilité et la sécurité des infrastructures informatiques, des réseaux,
des serveurs, des applications et des services.
La supervision informatique implique la collecte en temps réel de données pertinentes à partir des différents
composants du système, tels que les performances du processeur, l'utilisation de la mémoire, la
consommation de la bande passante réseau, les événements du système d'exploitation, les journaux
d'applications, etc. Ces données sont ensuite analysées et interprétées pour détecter les problèmes potentiels,
les anomalies, les erreurs ou les violations des seuils prédéfinis.
Grâce à la supervision informatique, les administrateurs et les équipes de support peuvent être informés
rapidement des problèmes et des incidents afin de prendre des mesures correctives et préventives. Cela
permet de minimiser les temps d'arrêt, d'améliorer la performance, d'optimiser les ressources, de prévenir
les incidents de sécurité et d'assurer une meilleure qualité de service aux utilisateurs finaux.
64
Tableau 1:Types de supervision
Zabbix a été créé par Alexei Vladishev, et est actuellement activement développé et maintenu par ZABBIX
SIA.
Zabbix est un logiciel qui permet de superviser de nombreux paramètres d'un réseau ainsi que la santé et
l'intégrité des serveurs, des machines virtuelles, des applications, des services, des bases de données, des
sites web, du cloud et plus encore. Zabbix utilise un mécanisme de notification flexible qui permet aux
utilisateurs de configurer une alerte e-mail pour possiblement tout événement. Ceci permet une réponse
rapide aux problèmes serveurs. Zabbix offre un excellent reporting et des fonctionnalités de visualisation
de données basées sur les données stockées. Cela rend Zabbix idéal pour la gestion de la capacité.
Zabbix supporte à la fois l’interrogation (polling) et la réception (trapping) de données. Tous les rapports et
statistiques de Zabbix, comme la configuration de paramètres, sont accessibles par l'interface web.
L'interface web veille à ce que le statut de votre réseau et de vos serveurs puisse être évalué depuis n'importe
quel endroit. Correctement configuré, Zabbix peux jouer un rôle important dans la supervision de
l'infrastructure IT. Ceci est vrai pour les petites organisations avec peu de serveurs ainsi que pour les grandes
entreprises avec une multitude de serveurs.
Zabbix est gratuit. Zabbix est écrit et distribué sous licence GPL (General Public License) version 2. Cela
signifie que son code source est librement distribué et disponible pour le public.
65
2. Fonctionnalités de Zabbix
Zabbix est une solution de supervision de réseaux hautement intégrée, offrant une multitude de
fonctionnalités dans un seul package
• Collecte de données
▪ Disponibilité et contrôles de performance
▪ Prise en charge de SNMP (réception et interrogation), IPMI, JMX, et de la surveillance
VMware
▪ Vérifications personnalisées
▪ Collecte des données souhaitées à des intervalles personnalisés
▪ Effectuée par le serveur/proxy et par des agents
66
• Stockage de données historiques
▪ Données stockées dans une base de données
▪ Historique configurable
▪ Procédure de nettoyage intégrée
• Configuration facile
▪ Ajouter des équipements surveillés en tant qu'hôtes
▪ Les hôtes sont pris en charge pour la surveillance, une fois dans la base de données
▪ Appliquer des modèles aux équipements surveillés
• Utilisation de modèles
▪ Grouper les vérifications dans des modèles
▪ Les modèles peuvent hériter d'autres modèles
• Découverte du réseau
▪ Découverte automatique des équipements réseaux
▪ Enregistrement automatique de l'agent
▪ Découverte de systèmes de fichiers, d'interfaces réseau et d'OID SNMP
• API Zabbix
▪ L'API Zabbix fournit une interface programmable pour des manipulations de masse sur
Zabbix, l'intégration de logiciels tiers et plus encore..
• Système de permissions
▪ Authentification utilisateur sécurisée
▪ Certains utilisateurs peuvent être limités à certaines vues
• Démons binaires
67
▪ Écrit en C, pour des performances et une faible empreinte mémoire
▪ Facilement portable
68
3. Aperçu de Zabbix
• Architecture
▪ Zabbix se compose de plusieurs composants logiciels majeurs. Leurs responsabilités sont
décrites ci-dessous.
• Serveur
▪ Le Serveur Zabbix est le composant central auquel les agents envoient leur disponibilité, les
informations d’intégrité et les statistiques. Le serveur est le référentiel central dans lequel
toutes les données de configuration, statistiques et données opérationnelles sont stockées.
• Interface Web
▪ L’interface Web est fournie pour permettre un accès facile à Zabbix de n'importe où et de
n'importe quelle plate-forme. L'interface fait partie du serveur Zabbix et fonctionne
généralement (mais pas nécessairement) sur la même machine physique que celle qui
exécute le serveur.
• Proxy
▪ Le Proxy Zabbix peut collecter des données de performance et de disponibilité au nom du
serveur Zabbix. Un proxy est un composant facultatif du déploiement de Zabbix.
Cependant, il peut être très bénéfique de distribuer la charge d'un seul serveur Zabbix.
• Agent
▪ Les Agents Zabbix sont déployés sur des cibles de surveillance pour superviser activement
les ressources locales et les applications, et envoyer les données collectées au serveur
Zabbix. Depuis Zabbix 4.4, il existe deux types d'agents disponibles : l'Agent Zabbix (léger,
pris en charge sur de nombreuses plates-formes, écrit en C) et l'Agent Zabbix 2 (extra-
flexible, facilement extensible avec des plugins, écrit en Go).
• Flux de données
▪ En outre, il est important de prendre du recul et de jeter un coup d'œil au flux de données
global au sein de Zabbix. Pour créer un élément qui rassemble des données, vous devez
d'abord créer un hôte. En passant à l'autre extrémité du spectre Zabbix, vous devez d'abord
avoir un élément pour créer un déclencheur. Vous devez avoir un déclencheur pour créer
une action. Ainsi, si vous voulez recevoir une alerte quand votre charge CPU est trop élevée
69
sur le Serveur X, vous devez d'abord créer une entrée hôte pour le Serveur X suivi d'un
élément pour surveiller son CPU, puis un déclencheur qui s'activera si le CPU est trop
chargé, suivi par une action qui vous envoie un email. Bien que cela puisse sembler
beaucoup d’étapes, avec l'utilisation des modèles, ce n'est pas vraiment le cas. Cependant,
grâce à cette conception, il est possible de créer une configuration très flexible.
1. Docker
Docker est une plateforme de conteneurs open source qui permet de créer des environnements isolés sur un
seul et même système. Il permet de faciliter le déploiement et la mise à l'échelle au niveau applicatif.
Aujourd'hui, Docker est la plateforme la plus populaire et la plus utilisée, en grande partie grâce à sa
simplicité d'utilisation.
2. La virtualisation
Pour bien comprendre l'intérêt de Docker, il nous faut tout d'abord revenir au principe de virtualisation.
Lorsque l'on parle de virtualisation, il s'agit souvent de virtualisation matérielle. C'est ce principe qui
permet de démarrer et exécuter plusieurs systèmes d'exploitation invités sur un système hôte commun.
Une machine virtuelle (ou VM pour virtual machine) est une émulation d'un système d'exploitation dans
une machine hôte ou un serveur. Ainsi, grâce à la virtualisation, on peut exécuter plusieurs machines
virtuelles au sein d'une seule et même machine hôte.
70
3. Supervision du Pfsense avec Zabbix SNMP
On va démarrez un conteneur de serveur Zabbix comme suit :
Installation de zabbix sous docker avec mapping des ports vers 10051 pour serveur et 80
pour http
71
Ajouter sur Macros rocommunity
Ajout du template OS Linux qui contient les items et les triggers par defaut
72
Agent snmp pfsense a été bien configuré
73
Ajout du community commun clé
74
Configurer d'hôte sur zabbix
75
Ajouter Template os Windows pour snmp
76
Conclusion
Référence
La mise en œuvre de ces solutions permettra d'optimiser l'organisation et le contrôle du réseau, renforçant
ainsi la sécurité et facilitant la gestion des ressources. Les entreprises pourront mieux se protéger contre
les attaques et les intrusions, prévenir les fuites de données et garantir la continuité des activités.
De plus, l'utilisation de solutions open source telles que Pfsense et Zabbix offre des avantages
supplémentaires, notamment la réduction des coûts liés aux licences logicielles et la flexibilité pour
personnaliser les configurations en fonction des besoins spécifiques de l'entreprise.
Cependant, il est important de noter que la mise en place de ces solutions ne constitue pas une solution
unique et définitive pour tous les problèmes de sécurité et de gestion du système d'information. Les
entreprises doivent continuer à se tenir au courant des dernières tendances en matière de sécurité, mettre
en place des politiques et des procédures appropriées, former leur personnel et rester vigilantes face aux
menaces émergentes.
En conclusion, en adoptant une approche proactive et en utilisant des solutions appropriées, les
entreprises peuvent améliorer considérablement la sécurité, l'organisation et la supervision de leur
système d'information et de réseaux, leur permettant ainsi de rester compétitives dans un environnement
en constante évolution.
77