Académique Documents
Professionnel Documents
Culture Documents
UNIVERSITE D’ANTANANARIVO
----------------------
ECOLE SUPERIEURE POLYTECHNIQUE
-----------------------
DEPARTEMENT TELECOMMUNICATION
En ce préambule, il m’est agréable d’exprimer ma gratitude et de rendre gloire à Dieu pour son
Amour et sa Bonté, de m’avoir donné la force et le courage de mener à bien ces années d’études
et d’arriver à cette soutenance de mémoire de fin d’études.
Aussi, je tiens à exprimer mon immense gratitude à Monsieur RAKOTOMALALA Mamy Alain,
Maître de Conférences, Responsable de la mention Télécommunication, et Directeur de ce
mémoire, qui s’est efforcé de trouver la meilleure voie pour nous, lors de notre formation et s'est
toujours montré à l'écoute et très disponible tout au long de la préparation de ce mémoire.
Toute ma reconnaissance va également à l’égard de Monsieur ANDRIAMIASY Zidora, Maître
de Conférences, qui fait l’honneur de présider le Jury.
Mes vifs remerciements s’adressent autant aux autres membres de Jury, qui, malgré leurs lourdes
responsabilités, ont voulu examiner mon travail :
Madame RAMAFIARISONA Hajasoa Malalatiana, Maître de Conférences ;
Monsieur ANDRIAMANALINA Ando, Maître de Conférences ;
Monsieur RAJAONARISON Roméo, Maître de Conférences.
i
Monsieur RAKOTOARISOA Lantoarisaina Donelly, Chef de service Administration
de réseaux et de télécommunications, qui m’a également dirigé durant le stage ;
Monsieur LANTOARIMANANA Tatamoniaina, Directeur de la Supervision de la
Sécurité.
Ma très grande attention sera naturellement à tous les membres de ma famille, mes parents, mon
frère et ma sœur pour leur amour, et qui m’ont toujours soutenu et encouragé tout au long de mes
études.
Mes pensées particulières vont à l’endroit de mes amis et mes collègues pour leur aide et appui.
Ils vont trouver ici le témoignage d’une fidélité et d’une amitié infinie.
Et que tous ceux qui ont contribué de près ou de loin à l’élaboration de ce présent mémoire
trouvent dans ces lignes l’expression de ma profonde gratitude.
ii
TABLE DES MATIERES
REMERCIEMENTS .............................................................................................................................. i
TABLE DES MATIERES .................................................................................................................... iii
NOTATIONS ET ABREVIATIONS .................................................................................................. vii
INTRODUCTION GENERALE .......................................................................................................... 1
CHAPITRE 1 PRESENTATION D’ACM ET ANALYSE DES EXISTANTS ................................... 2
1.1 Introduction ................................................................................................................................ 2
iii
1.5.3 Solutions proposées ............................................................................................................. 16
iv
3.3.2 Administration..................................................................................................................... 37
v
4.5.3 Configuration de la notification par SMS ........................................................................... 60
vi
NOTATIONS ET ABREVIATIONS
vii
IPX Iner-Network Packet Exchange
ISAKMP Internet Security Association and Key Management Protocol
ISO International Standardization Organization
L2F Layer Two Forwarding
L2TP Layer Two Tunneling Protocol
LAN Local Area Network
LSP Label Switching Path
MAC Medium Access Control
MAN Metropolitan Area Network
Mbps Mega bits per second
MIB Management Information Base
MPLS MultiProtocol Label Switching
MTA Message Transport Agent
OACI Organisation de l'Aviation Civile Internationale
ONU Organisation des Nations Unies
OSI Open Systems Interconnection
PAN Personal Area Network
PPP Point to Point Protocol
PPTP Point to Point Tunneling Protocol
RAM Random Access Memory
RFC Request For Comments
RRAS Routing and Remote Access Service
SA Security Association
SMS Short Message Service
SMTP Simple Mail Transfer Protocol
SNMP Simple Network Management Protocol
SSH Secure Shell
SSL Secure Socket Layer
SQL Structured Query Language
TCP Transfer Control Protocol
UDP User Datagram Protocol
USB Universal Serial Bus
VLAN Virtual Local Area Network
VPN Virtual Private Network
WAN Wide Area Network
WLAN Wireless Local Area Network
WPA2-PSK Wifi Protected Access 2 Pre Shared Key
viii
INTRODUCTION GENERALE
Internet est un réseau publiquement accessible dans le monde entier. Sa prolifération globale à
grande échelle en fait un mode d’interconnexion intéressant pour les sites distants. Cependant,
dans la mesure où il s’agit d’une infrastructure publique, les entreprises et leurs réseaux internes
sont sujets à des risques de sécurité importants. Une solution commune permettant aux
utilisateurs d'accéder aux ressources internes de l'entreprise consiste à construire un système de
sécurité bien organisé et à protéger ses utilisateurs. La technologie des réseaux privés virtuels
permet de créer des réseaux privés sur l’infrastructure publique d’Internet tout en garantissant
confidentialité et sécurité. Les entreprises ont recours à ces réseaux pour fournir une
infrastructure virtuelle de réseau étendu pour connecter les bureaux de leurs agences, les bureaux
à domicile, les sites de leurs partenaires commerciaux et les télétravailleurs distants à une partie
ou à tout leur réseau.
Quelle que soit le secteur d'activité d’une entreprise, l’informatique y est indispensable. Sa
maîtrise devient primordiale, puisque, il doit fonctionner pleinement et en permanence pour
garantir la fiabilité et l’efficacité exigées, d’une part. D’autre part, les problèmes liés au système
informatique tels que les défaillances, les pannes, les coupures et les différents problèmes
techniques doivent être réduits, du fait qu’une indisponibilité du système ou du réseau peut
causer des pertes considérables. Une panne de serveur ou une inaccessibilité des informations
peut, de ce fait, facilement nuire à la bonne marche des activités d’une société. Afin de
minimiser le nombre de ces pertes, une surveillance et un contrôle s’avèrent obligatoire.
ACM (Aviation Civile de Madagascar) possède une architecture réseau réparti sur deux sites. Le
siège se trouve à Tsimbazaza, et la direction technique à Ivato aéroport. Ces deniers doivent se
connecter en tout temps pour se communiquer, se partager des ressources communes et de
s’échanger des messages.
L’objectif de ce projet de fin d’études est de mettre en place un réseau privé virtuel entre ces
deux sites distants d’ACM et de faire un monitoring du réseau avec des notifications par SMS
(Short Message Service) et par e-mails. Pour ce faire, ce travail sera réparti en quatre chapitres :
Le premier chapitre consiste à la présentation et à l’analyse des existants d’ACM. Dans le second
chapitre seront expliquer ce qu’est le VPN (Virtual Private Network) et le monitoring. Le
troisième se concentrera sur le choix et la présentation des outils à utiliser et enfin le dernier
chapitre où l’on trouvera la mise en œuvre du projet.
1
CHAPITRE 1
PRESENTATION D’ACM ET ANALYSE DES EXISTANTS
1.1 Introduction
L'aviation civile désigne tout ce qui est relatif à l'aviation non-militaire. Cela englobe ainsi le
transport civil de passagers et de marchandises. Au niveau international, c'est l'Organisation de
l'aviation civile internationale (OACI), dépendant de l'Organisation des Nations unies (ONU),
qui est chargée de l'élaboration des normes internationales pour le transport aérien civil. ACM ou
Aviation Civile de Madagascar est donc là pour gérer et administrer la convention relative à
l’aviation civile internationale. Ce chapitre parlera principalement de l’Aviation Civile de
Madagascar, sa vision, ses missions, son organigramme ainsi que l’analyse de ses existants.
Institué suivant le Décret N°99-124 du 17 février 1999, ACM est un Etablissement Public à
Caractère Industriel et Commercial (EPIC). C’est l’organe régulateur de Madagascar en matière
d’Aviation Civile. Elle est administrée par un Conseil d’Administration et une Direction
Générale. ACM est placé sous la tutelle technique du Ministère de Transport et sous la tutelle
budgétaire du Ministère des Finances et du Budget. [1]
ACM se trouve à Antananarivo, Madagascar. Son siège se situe au 13, rue Fernand Kasanga
Tsimbazaza. Sa boîte postale est 4414 avec le code postal 101. Pour la contacter, son adresse
électronique est acm@acm.mg et son téléphone est 020 22 224 38.
La Direction de la supervision de la sécurité se trouve à Ivato Aéroport.
2
d’exécuter la politique de l’Etat en matière d’aviation civile ;
d’élaborer, mettre en œuvre et surveiller l’application de la réglementation en matière
d’aviation civile conformément aux normes de l’OACI ;
de veiller :
au respect et au maintien des normes de sûreté et de sécurité, à l’efficacité et à
la régularité du transport aérien
à la promotion de l’aviation civile à Madagascar
à la concurrence saine entre les exploitants et entre les prestataires
d’installations et de services
à la protection de l’environnement
de conseiller le Ministre chargé de l’aviation civile en matière de politique du transport
aérien tant intérieur qu’international et de veiller à son application. [1]
Pour atteindre ces visions, ACM a adopté les quatre axes stratégiques suivant :
AXE 1 : Exceller dans l’exercice et la maitrise de notre métier et de notre mission « faire
mieux »
AXE 2 : Développer un système de management efficace, rigoureux « travailler mieux »
AXE 3 : Développer notre communication (interne et externe) « communiquer »
AXE 4 : Renforcer notre contribution au développement du secteur et de l’économie
« contribuer au développement ». [1]
Une entité doit avoir ses propres valeurs afin d’assurer le bon fonctionnement de cette institution,
l’atteinte de meilleurs résultats, et afin de préserver son prestige. Les valeurs d’ACM sont :
3
ETHIQUE : agir avec déontologie et intégrité
Agir suivant les normes du métier et agir de manière irréprochable
EXCELLENCE : faire le travail du mieux possible
Travailler à un degré au-dessus de la perfection
RIGUEUR : être rigoureux dans l’exercice du métier
Agir avec une exigence morale et intellectuelle de bien faire, agir avec exactitude
APPARTENANCE : culture d’appartenance d’ACM
Agir en s’identifiant aux normes du groupe
En vivant ces valeurs, ACM est sûre d’atteindre un certain niveau de performance. La relation
entre ces valeurs et la performance est présentée par la figure 1.01 suivante :
1.2.4.1 Organigramme
4
Figure 1.02 : Organigramme d’ACM
5
Les sigles correspondant à l’organigramme sont présentés comme suit :
DGE : Direction Générale
SGE : Secrétariat Général
DGA : Direction Générale Adjointe (OPERATIONS)
DDG : Direction auprès de la Direction Générale chargée de la Coordination et du
Développement
DQL : Direction de la Qualité
DSE : Direction de la supervision de la Sécurité
DSU : Direction de la Supervision de la Sûreté
DRG : Direction de la Règlementation
DJE : Direction des Affaires Juridiques et Economiques
DRH : Direction des Ressources Humaines
DAF : Direction Administrative et Financière
DPA : Direction du Patrimoine Aéroportuaire
En tant que grand organisme, ACM dispose d’un Conseil d’Administration (CA) qui assure le
bon fonctionnement de cette institution. Selon ce CA, la Direction Générale est constituée :
Du Comité de Direction
Du Comité des Directeurs
Du Groupe « Opérations »
Du Groupe d’Appui
a. Le comité de direction
Le comité des Directeurs est composé du Secrétaire Général, du Directeur Général Adjoint
« Opérations », du Directeur auprès de la Direction Générale de la Coordination et du
Développement, et de tous les Directeurs. Il est aussi dirigé par le Directeur Général.
6
c. Le Groupe des « Opérations »
d. Le groupe d’appui
7
De surveiller les activités techniques et économiques de toute personne physique ou
morale établie à Madagascar et agréée pour œuvrer dans le secteur de l'aviation civile ;
De s'assurer le contrôle des compagnies aériennes étrangères desservant Madagascar ;
De veiller à la sauvegarde des biens et immeubles de l'Etat affectés à l'autorité de
l'aviation civile ;
D'homologuer la création, la construction, l'exploitation et l'entretien des aérodromes et
des installations de navigation aérienne ;
De surveiller la gestion de l'exploitation des aérodromes appartenant à l'Etat et des
services de navigation aérienne dans la limite de ses pouvoirs définis dans le présent
article ;
De délivrer, suspendre ou retirer :
Les certificats de transport aérien,
Les licences et autorisations d'exploitation du transport aérien,
Les autorisations de services de transport aérien non régulier,
Les certificats d'aérodrome,
Des certificats de navigabilité,
Des licences d'exploitation de télécommunications aéronautiques,
Des agréments de prestation de services en escale aux transports aériens et aux
prestataires de services autorisés ;
De veiller aux intérêts aux usagers ;
De veiller à la mise en place des programmes nationaux de sûreté et de facilitation et de
coordonner toutes les activités s'y rapportant ;
D'approuver les plans de sûreté des aérodromes ainsi que les programmes de sûreté des
exploitants d'aéronefs. [1]
De 1999 à 2013, l’informatique est un Service sous la dénomination Cellule Informatique. Elle
est placée sous la Direction Générale. En 2014 à ce jour, l’informatique est un département sous
la direction de la DDG. Elle porte le nom : département e-Gestion.
8
1.2.6.1 Missions
Garantir l’efficience continue d’un système d’information sécurisé, intègre et évolutif pour
assurer les missions d’autorité de référence, de service et de développement.
1.2.6.2 Objectifs
1.2.6.3 Responsabilités
Chef de Département
de e-Gestion
Administrateur Administrateur de
d'Applications et de Réseau et de
Base de données Télécommunication
9
Administration de Réseau Administration du Système Administration
et de Télécommunication d'Applications et de Base
de données
Moyen Convergence Rapidité du temps Réduction du
Terme numérique du site d’intervention (0 retard) nombre de papier
(2015) (Internet, TV, Réduction des dépenses imprimé (0 papier)
Téléphone, PC) de fonctionnement et Disponibilité des
Intégration des d’investissement données à tout
Smartphones au (Réparation, moment (local, sur
réseau optimisation…) le net)
Communication Plan d’amortissement Sécurité des
vocale, vidéo Sécurité des postes applications
Rapidité de la clients
vitesse d’accès
Sécurité du réseau
et des données
Long Téléphonie IP et Externalisation des Numérisation des
Terme Smartphone services documents
(2020) Passage en IPV6 Réparation des matériels Développement
Migration défectueux d’application web
Formation des Installation et Externalisation des
utilisateurs configuration données via Cloud
Formation des computing
utilisateurs (redondance des
Commande des données)
équipements adaptés à la Formation des
nouvelle technologie utilisateurs
(fibre optique, …)
Il faut faire l’analyse des existants pour une bonne compréhension de l’environnement de travail.
Cette étude consiste à mettre à découvert, de façon aussi claire que possible, l’analyse du
fonctionnement actuel du réseau informatique. Cette analyse a pour but de recueillir les données
qui vont servir pour élaborer le diagnostic en vue de la recherche et le choix des solutions.
Les deux sites d’ACM sont gérés par deux sources différentes au niveau de
l’architecture réseau à cause de la distance qui les sépare. De ce fait, chaque site est
connecté au réseau Internet séparément. La figure 1.04 suivante montre la topologie de réseau
des deux sites :
10
Figure 1.04 : Topologie de réseau d’ACM
Il y a une dépendance entre eux, au niveau des équipements informatiques installés. Sur le site
Tsimbazaza, se trouve le serveur de messagerie ou SMTP (Simple Message Transfer Protocol),
le serveur Web et le contrôleur primaire de serveur Active Directory. Pour se connecter à
Internet, le site collabore avec l’opérateur Telma.
A Ivato, il n’y a ni serveur de messagerie ni de serveur Web ; mais le serveur Active Directory
qui s’y trouve détient un rôle de contrôleur secondaire. Et pour la connexion Internet, le site
ACM Ivato collabore avec l’opérateur Orange.
La communication interne est gérée par des serveurs différents pour chaque site mais il y a une
fibre optique, gérée par Telma, qui relie les deux sites afin qu’ils puissent s’échanger des
documents de travail ainsi que des mails.
11
1.3.3 Les équipements d’interconnexion
Les équipements d’interconnexion sont utilisés pour interconnecter les différents matériels
informatiques connectés au réseau afin de pouvoir échanger des informations.
Désignation Caractéristiques Emplacements Nombres
Switch 1 D-Link DES-1024R : 1
Etage 1 / Tsimbazaza
24ports 10/100 Mbps
Switch 2 D-Link DES-1024R : 1
Etage 2 / Tsimbazaza
24ports 10/100 Mbps
Switch 3 D-Link DES-1016R : 1
Etage 3 / Tsimbazaza
24ports 10/100 Mbps
Switch 4 D-Link DES-1024R : 1
Etage 4 / Tsimbazaza
24ports 10/100 Mbps
Switch 5 D-Link DES-1024R : 1
Etage 1 / Ivato
24ports 10/100 Mbps
Access Point 1 D-Link 3200 ; Salle Serveur / 1
Wifi 802.11b/g Tsimbazaza
Access Point 2 D-Link 3200 ; Salle de Réunion / 1
Wifi 802.11b/g Tsimbazaza
Access Point 3 D-Link 2600 ; 1
Etage 1 / Ivato
Wifi 802.11b/g
Routeur 1 Mikrotik Salle Serveur / 1
(Internet) Tsimbazaza
Routeur 2 Mikrotik 1
Salle Serveur / Ivato
(Internet)
Routeur 3 Cisco 1
Salle Serveur /
(Interconnexion
Tsimbazaza
Tsimbazaza-Ivato)
Routeur 4 Cisco 1
(Interconnexion Ivato- Salle Serveur / Ivato
Tsimbazaza)
Un serveur est un ordinateur puissant qui offre des services à un ou plusieurs clients, tel que la
sauvegarde des données, partage de fichiers, autorisation d’accès au réseau. Il peut être matériel
ou logiciel. Il exécute des opérations suivant les requêtes effectuées par un autre ordinateur
appelé client. C’est pourquoi on entend souvent parler de relation « client/serveur ».
12
Noms Caractéristiques Système Rôles Logiciel
CPU RAM DD d’exploitation
ACM Intel 16Go 3To Windows Serveur DNS Active
PRODSIEGE Xeon Server 2012 Serveur DHCP Directory
2.7 (x2) R2 64 bits Serveur de
GHz fichiers
ACM Dell 16Go 2To Windows Serveur Symantec
Imprimante/ Xeon Server 2012 d’impression/ Endpoint
Antivirus 2.4GHz R2 Antivirus
ACM Proxy Dell 8 Go 500 Windows Cache Web /
Xeon Go Server 2012 Filtre d’accès
2.4GHz R2 Internet
ACM Web Intel 6.5Go 2To Windows Serveur Web Microsoft
Xeon Server 2012 Serveur Mail Exchange
2.7 (x2) R2 64 bits server 2010
GHz Symantec Mail
Security for
Microsoft
ACM DEV Intel 12Go 3To Windows Serveur Sage 100i7
Xeon Server 2012 d’application SQL Server
2.7 (x2) R2 64 bits Serveur Web 2008 R2
GHz Serveur de base
de données
L’Aviation Civile de Madagascar joue un rôle capital dans le transport aérien. Elle applique les
règles de sécurité et de sûreté, ainsi que le contrôle aérien, la régulation économique, le soutien à
la construction aéronautique, l’aviation générale, les formations aéronautique. Les deux sites
d’ACM sont en communication en permanence, les données qui transitent entre ces deux sites
sont les e-mails et des documents de travails qui sont confidentielles. Les échanges se font donc
en temps réel.
1.3.6.1 Routeur
Le routeur est un appareil intermédiaire dans un réseau informatique assurant le routage des
paquets. Il a comme rôle de faire transiter des paquets d’une interface réseau vers un autre,
autrement dit assurer le routage des paquets entre des réseaux indépendants.
13
1.3.6.2 Switch
Dans le réseau informatique, le mot "serveur web" désigne à la fois une machine physique et un
logiciel. Dans le premier cas, il s'agit d'un ordinateur relié à Internet et hébergeant des
ressources. Ces ressources peuvent être des fichiers, des programmes ou des bases de données.
Dans son sens logiciel, un serveur Web est un ensemble de programmes permettant de faire
fonctionner et de rendre public un site ou une application web.
C’est le serveur où sont centralisées les informations de l’antivirus installé sur tous les postes
clients qui sont connectés au réseau. Ce serveur permet de gérer à distance les installations de
l’antivirus sur les postes clients.
C’est le serveur sur lequel sont installés les pilotes de tous les imprimantes connectées au réseau
et il permet de gérer le partage des imprimantes sur le réseau.
Le Serveur Active Directory est un serveur contenant un annuaire qui répertorie et organise les
informations concernant les utilisateurs, les machines et les applications. Il est aussi un système
centralisé d’authentification des utilisateurs. Autrement dit, il permet aux utilisateurs une fois
connecter de retrouver et d’accéder à une ressource.
Une liaison point à point est une connexion entre le réseau du client et celui du transporteur qui
se fait généralement via des lignes louées ou « leased-line » en anglais. Au bout de chaque ligne,
14
on place un routeur connecté d'un côté au réseau local du client et de l'autre à l'infrastructure de
l'opérateur. L’accès Internet par ligne louée est l’une des technologies les plus stable et les mieux
adapté aux sociétés qui disposent d’un réseau informatique et qui ont besoin d’une connexion
permanente avec Internet. La ligne louée est une liaison privée entre le site et son fournisseur
Internet. Il existe un grand nombre de contrats et de débits, notamment en raison des distances à
parcourir. Coûteuse à l’installation, cette solution est réservée aux gros usagers. Ces lignes sont
en fait des liaisons point à point louées par un opérateur de télécommunication à une entreprise.
Cette ligne étant dédiée, les performances et la sécurité sont au maximum mais le coût d’une
telle connexion reste très élevé. Certaines entreprises mettent en œuvre un VPN entre deux sites
même s’ils sont connectés par une ligne louée. C’est le cas d’ACM, une fibre optique permet
déjà l’interconnexion de leurs deux sites mais ils veulent mettre en œuvre un VPN pour renforcer
cette liaison.
La critique des existants est un jugement objectif portant sur l'organisation actuelle de
l'entreprise. Voici quelques évaluations d’après l’étude des existants effectuée précédemment :
C’est l’ACM Proxy, avec Windows Server 2012 R2 comme système d’exploitation qui
joue le rôle de routeur pour partager la connexion au LAN.
En cas de problème de la fibre optique, les sites ne pourront plus être connectés entre
eux.
Les matériels informatiques ne sont pas surveillés. Il est difficile d’identifier la source
lors d’une panne.
Les failles de sécurité ne permettent pas la protection des réseaux informatiques internes
de l'entreprise contre les intrusions du monde extérieur, en particulier les piratages
informatiques.
1.5.1 Problématiques
Les réseaux sont nés du besoin d'échanger des informations de manière simple et rapide entre des
machines. Les services qu’ils offrent font partie de la vie courante des entreprises et
administrations. Comme l’on a précisé plus haut, ACM se répartit sur deux sites distants : le
siège se trouvant à Tsimbazaza et les directions techniques à Ivato Aéroport. L’échange
15
d’informations entre ces deux sites est permanent et se fait en temps réel. Actuellement, une fibre
optique, gérée par Telma permet la communication et les échanges de données entre ces sites.
ACM a déjà vécu des coupures de la fibre optique ce qui a causé des interruptions et a nui à
certains de leurs activités.
Par principe des réseaux, il faut avoir d’autres issues pour détourner les pannes afin d’assurer la
continuité de la communication entre les entités. Notons que ce n’est pas encore le cas d’ACM,
d’où le besoin de mettre en place un réseau de secours, pour renforcer la connexion entre leurs
sites mais aussi de permettre un équilibrage de charge.
A part cela, ACM a la volonté d’améliorer l’administration de son réseau et le fonctionnement de
ses équipements informatiques. L’administrateur réseau veut connaître l’état des serveurs, des
équipements informatiques et du flux de données en temps réel afin d’échapper à d’éventuelles
pannes.
1.5.2 Objectifs
Il peut être plus coûteux pour une entreprise de faire face à un problème de sécurité que de se
prémunir. L’objectif de ce projet est donc de mettre en place une infrastructure réseau qui
secondera la ligne louée et qui permettra de faire l’équilibrage des charges lors de la
transmission. Il a aussi pour but de trouver des moyens pour anticiper les pannes dans le réseau
en supervisant les équipements et en envoyant des alertes lorsqu’il y a des anomalies. Il s’agit
donc d’une stratégie de sécurité préventive.
Compte tenu des problématiques, la solution qui tend à résoudre ces difficultés est de mettre en
place un réseau privé virtuel « site to site » et d’implémenter un serveur de supervision qui
notifiera l’état des équipements du réseau à l’administrateur.
1.6 Conclusion
Au terme de ce chapitre, nous avons pu connaître ACM et ses principales activités. Aussi,
l’analyse de ses existants nous a permis de voir les problèmes et d’avancer des solutions. A la
fin, nous avons eu un clin d’œil sur le projet qui va être explicité dans les prochains chapitres.
16
CHAPITRE 2
LES RESEAUX VPN ET LE MONITORING
2.1 Introduction
De nos jours, les réseaux informatiques occupent une place très importante au sein de chaque
entreprise. Ce réseau met en relation des ordinateurs, comme un réseau téléphonique met en
relation des personnes. Pour bien cerner le sujet, on va voir un rappel sur le réseau informatique,
puis on développera le réseau VPN et finalement, on abordera le monitoring.
Le terme réseau définit un ensemble d'entités interconnectées les unes avec les autres. Le réseau
informatique est donc un ensemble d’ordinateurs interconnectés reliés entre eux grâce à des
lignes physiques et échangeant des informations sous forme de données numérique.
Dans les années 1980, le modèle OSI (Open Systems Interconnection) a été adopté pour faciliter
l'échange des données provenant des matériels des différents constructeurs. Ce modèle de
référence a été défini en 7 couches pour communiquer entre elles. [4]
Il convient de comprendre que : chaque couche est conçue de manière à dialoguer avec son
homologue, comme si une liaison virtuelle était établie directement entre elles. Et aussi, chacune
17
d’elles fournit des services clairement définis à la couche immédiatement supérieure, en
s'appuyant sur ceux, plus rudimentaires, de la couche inférieure, lorsque celle-ci existe.
Couche application : Elle joue le rôle d’une interface d’accès des applications au réseau.
La couche application concerne les applications réseaux qui tournent sur un poste (telnet,
FTP ou File Transfer Protocol, …), et correspond à l’interface de l’utilisateur.
Couche présentation : Elle assure la mise en forme des données c’est-à-dire déterminer le
format utilisé pour l’échange des données entre les ordinateurs du réseau.
Couche session : Elle gère la connexion entre deux ordinateurs du réseau, établit une
session entre deux utilisateurs et détermine les mécanismes de synchronisation à
employer.
Couche transport : Elle s’assure que les paquets ont été reçus dans l’ordre, sans erreurs,
sans pertes, ni duplication. La couche transport gère l’empaquetage et le réassemblage
des paquets ainsi que le contrôle et la correction des erreurs.
Couche réseau : Elle se charge de l’adressage des messages. La couche réseau fournit un
schéma d’adressage et traduit les adresses logiques (les adresses IP) en adresses
physiques (les adresses MAC ou Medium Access Control des cartes réseaux).
Couche liaison de données : Elle est responsable de l’acheminement d’unités de données
appelées trames en assurant la meilleure qualité de transmission possible
Couche physique : Elle assure l'établissement, le maintien de la liaison physique et le
transfert de bits sur le canal physique (support). Elle comprend donc les spécifications
mécaniques (connecteurs) et les spécifications électriques (niveaux de tension).
Le protocole TCP/IP (Transfer Control Protocol / Internet Protocol) fut développé par le DoD
(Department of Defense) des Etats-Unis. C’est le langage adopté dans l'internet pour
communiquer entre machines. Il est issu du modèle OSI mais quatre couches sont suffisantes
pour définir l’architecture de ce protocole. [6]
18
Figure 2.02 : Analogie entre le modèle OSI et TCP/IP
Couche application : Au plus haut niveau les utilisateurs invoquent les programmes qui
permettent l’accès au réseau. Chaque programme d’application interagit avec la couche
de transport pour envoyer ou recevoir des données.
Couche transport : Sa principale tâche est de fournir la communication d’un programme
d’application à un autre. Elle divise le flux de données en paquets.
Couche internet : Cette couche reçoit des datagrammes en provenance de la couche
réseau, qu’elle doit analyser pour déterminer s’ils lui sont adressés ou pas. Elle prend
aussi en charge la communication de machine à machine. Elle accepte des requêtes
venant de la couche de transport avec une identification de la machine vers laquelle le
paquet doit être envoyé.
Couche accès au réseau : Le protocole dans cette couche définit le moyen pour un
système de délivrer l’information à un autre système physiquement relié. Il définit
comment les datagrammes IP sont transmis. La définition de ceux-ci reste indépendante
de la couche réseau, ce qui leur permet de s’adapter à chaque nouvelle technologie au fur
et à mesure de leur apparition.
La topologie est une représentation d'un réseau. Cette représentation peut être considérée du
point de vue de l’emplacement des matériels (câbles, postes, dispositifs de connectivité,), alors
on parle de « topologie physique », ou du point de vue du parcours de l'information entre les
19
différents matériels, alors on parle de « topologie logique ». La topologie logique détermine la
manière dont les stations se partagent le support et dépend de la méthode d'accès au réseau. Par
exemple, un réseau peut être considéré comme appartenant à une topologie en étoile, du point de
vue physique, alors qu'en réalité il appartient à une topologie en anneau, du point de vue logique.
Les différentes topologies de réseaux sont les suivantes : [4] [7]
Les réseaux en bus sont aussi appelés réseaux en bus linéaire, épine dorsale ou backbone. Les
différents postes ou périphériques du réseau sont reliés à un seul et même câble. Ils sont simples,
peu coûteux, faciles à mettre en place et à maintenir. Si une machine tombe en panne sur un
réseau en bus, alors le réseau fonctionne toujours, mais si le câble est défectueux alors le réseau
tout entier ne fonctionne plus.
Dans un réseau en étoile chaque poste est relié au réseau par l’intermédiaire de son propre câble
à un concentrateur (un hub). Le concentrateur centralise tous les échanges (le trafic), et toutes les
communications passent au travers du concentrateur qui régénère aussi le signal électrique.
Les réseaux en anneau sont constitués d’un seul câble qui forme une boucle logique. Ce sont des
réseaux qui gèrent particulièrement le trafic. Le droit de parler sur le réseau est matérialisé par un
jeton qui passe de poste en poste. Chaque poste reçoit le jeton chacun son tour, et chaque station
ne peut conserver le jeton qu’un certain temps. Le trafic est ainsi très réglementé, il n’y a pas de
20
collisions de « paquets », le signal électrique circule seul sur le câble, depuis la station émettrice
jusqu’à la station réceptrice, et cette dernière renvoi un accusé de réception.
Le réseau maillé correspond à plusieurs liaisons point à point. Chaque terminal est relié à tous les
autres. Cette topologie se rencontre dans les grands réseaux de distribution comme Internet.
On distingue différents types de réseaux selon leur taille (en termes de nombre de machines),
leur vitesse de transfert des données ainsi que leur étendue. On fait généralement trois catégories
de réseaux : [8]
PAN (Personal Area Network) : Il s'agit du plus petit réseau permettant de connecter à un
ordinateur plusieurs périphériques, tels que des souris, des claviers et des assistants
numériques personnels. Tous ces périphériques sont dédiés à un seul hôte, généralement
équipé de la technologie Bluetooth ou infrarouge.
LAN (Local Area Network) : ou réseau local est constitué d'ordinateurs et de périphériques
reliés entre eux et implantés dans une même entreprise, et à caractère privé. Il ne dépasse pas
généralement la centaine de machines et ne dessert jamais au-delà du kilomètre. Le partage
des ressources est ici fréquent et les vitesses de transmissions vont de 10 à 100 Mbps
(mégabits/seconde)
MAN (Metropolitan Area Network) : correspond à la réunion de plusieurs réseaux locaux
(LAN) à l'intérieur d'un même périmètre d'une très grande entreprise ou d'une ville.
21
WAN (Wide Area Network) : Il s'agit cette fois d'un réseau multi-services couvrant un pays
ou un groupe de pays, qui est en fait constitué d'un ensemble de réseaux locaux
interconnectés.
2.3.1 Définition
Le réseau privé virtuel ou virtual private network en anglais, est un réseau privé construit par-
dessus un réseau public. C’est une solution de communication pour laquelle les infrastructures de
transport sont partagées entre plusieurs utilisateurs. Il permet donc aux interlocuteurs de
communiquer d’une manière sûre. Plus concrètement, un VPN consiste en un tunnel logique
établi entre deux entités, permettant de rendre invisible de l'extérieur les données qui y circulent.
Dans les réseaux informatiques et les télécommunications, le réseau privé virtuel est vu comme
une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur
d'un réseau local. [7] [9]
Les réseaux privés virtuels ont pour objectif de contribuer à la sécurisation des échanges de
données privées, sensible, sur les réseaux particulièrement sensibles. Certaines entreprises
mettent en œuvre un VPN entre deux sites même s’ils sont connectés par une ligne louée.
Pour comprendre cette technologie, détaillons en les concepts :
Un Réseau : il s’agit donc d’un support pour des échanges électroniques de données.
Un réseau privé : les échanges sur ce réseau sont sécurisés de telle sorte que seules les
entités clairement identifiées puissent communiquer entre elles et que l’intégrité et la
confidentialité des données échangées soient assurées.
Un réseau privé virtuel : la mise en place de ce type de réseau ne dépend pas d’une
infrastructure physique dédiée, mais est réalisée par l’adjonction de moyens logiques à
une infrastructure existante. [10]
Aussi appelé VPN host to site, il est utilisé pour permettre à des utilisateurs itinérants d'accéder
au réseau de leur entreprise. L'utilisateur se sert d'une connexion Internet pour établir la
connexion VPN.
22
Figure 2.07 : VPN d’accès
Il se réfère à des implémentations dans lesquelles le réseau d'un emplacement est connecté au
réseau d'un autre emplacement via un VPN. Il existe deux types de VPN site to site :
L’intranet VPN : il est utilisé pour relier deux ou plusieurs LAN entre eux. Ce type de
réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites distants.
Souvent, cette connectivité est utilisée pour le courrier électronique et pour le partage
d’applications et de fichiers. [11]
L’extranet VPN : Il permet aussi de relier deux ou plusieurs LAN entre eux. Mais dans ce
cas, il peut s'agir, d'un réseau d'une société et de ses clients ou ses partenaires. L’entreprise
ouvre alors son réseau local à ces derniers et il est nécessaire d'avoir une authentification
forte des utilisateurs, ainsi qu'une trace des différents accès. Souvent, seule une partie des
ressources est partagée, ce qui nécessite une gestion rigoureuse des espaces d'échange.
23
2.3.3 Le fonctionnement du VPN
2.3.3.1 Le tunneling
Le VPN repose sur un protocole de tunnelisation, c'est-à-dire un protocole qui permet le passage
de données cryptées d'une extrémité du VPN à l'autre grâce à des algorithmes. Le terme «
tunnel» est employé pour symboliser le fait que les données soient cryptées et de ce fait
incompréhensible pour tous les autres utilisateurs du réseau public (ceux qui ne se trouvent pas
aux extrémités du VPN). Les utilisateurs ont l'impression de se connecter directement sur le
réseau de leur entreprise.
Le tunneling consiste à construire un chemin virtuel après avoir identifié l'émetteur et le
destinataire. Les données peuvent être des paquets ou des trames, qui seront encapsulés dans un
en-tête supplémentaire par le protocole qui implémente le tunnel. Cet entête fourni les
informations de routage pour l'acheminement de la charge utile encapsulée, dans le réseau
intermédiaire. Les tunnels sont donc des chemins logiques empruntés au sein du réseau
intermédiaire. Les trames ne sont pas envoyées telles quelles, elles sont d'abord encapsulées par
le protocole de tunneling, et désencapsulées par ce même protocole à l'arrivée. Le tunneling
inclut donc tout un processus qui peut se résumer par l'encapsulation, la transmission et la
désencapsulation. [12]
2.3.3.2 L’authentification
Tous les membres d’un réseau privé virtuel n’ont pas nécessairement les mêmes besoins en
termes d’accès aux ressources du système d’information. Des mécanismes de contrôle d’accès
devront être mis en place pour gérer ces différences.
24
2.3.3.4 Les chiffrements et signatures
Le principal atout des réseaux privés virtuels réside dans l’utilisation d’une infrastructure
publique. La confidentialité et l’intégrité des données ne sont pas assurées par une telle
infrastructure car elle est mutualisée. [13]
Les réseaux privés virtuels utilisent des mécanismes de chiffrement et de signature électronique
pour assurer que seul le destinataire puisse utiliser les données échangées (confidentialité) et que
ces données ne puissent être modifiées en transit (intégrité).
Le VPN repose sur un protocole de tunnelisation qui est un protocole permettant de chiffrer les
données par un algorithme cryptographique entre les deux réseaux. Ces protocoles encapsulent et
désencapsulent les paquets. Il existe différents protocoles pour créer un tunnel sécurisé qui
peuvent être classé selon le niveau OSI : [13]
Les protocoles de niveau 2 (Couche Liaison) dans la pile TCP/IP : PPTP, L2F et L2TP.
Les protocoles de niveau 3 (Couche Réseau) dans la pile TCP/IP : IPSec.
Les protocoles de niveau 4 (Couche Transport) : OpenVPN , SSL
PPP est un protocole qui permet de transférer des données sur un lien synchrone ou asynchrone.
Il est full duplex et garantit l'ordre d'arrivée des paquets. Il encapsule les paquets IP, IPx dans des
trames PPP, puis transmet ces paquets encapsulés au travers de la liaison point à point. PPP est
employé généralement entre un client d'accès à distance et un serveur d'accès réseau. PPP n'est
pas sécurisé mais sert de support aux protocoles PPTP ou L2TP. Il est défini dans la RFC 2153.
Il est le fondement des protocoles PPTP et L2TP utilisés dans les connexions VPN sécurisées.
PPP est la principale norme de la plupart des logiciels d'accès distant. [14]
25
2.3.4.2 PPTP (Point to Point Tunneling Protocol)
PPTP, défini par la RFC 2637, est un protocole qui encapsule les paquets PPP dans des
datagrammes IP pour la transmission sur internet ou un autre réseau public basé sur IP. Il peut
même être utilisé pour des liaisons site à site. Une trame PPP (un datagramme IP ou IPX ou
Appletalk) est encapsulée dans un en-tête GRE (Generic Routing Encapsulation) et un en-tête IP.
L'en-tête IP contient les adresses IP sources et de destination qui correspondent respectivement
au client et au serveur VPN. [15]
Est un protocole de niveau 2, qui permet à un serveur d'accès distant de véhiculer le trafic sur
PPP et transférer ces données jusqu'à un serveur L2F. Ce serveur désencapsule les paquets et les
envoie sur le réseau, L2F est progressivement remplacé par L2TP qui est plus souple.
L2TP, défini par la RFC 2661, est issu de la convergence des protocoles PPTP et L2F.
L2TP repose sur deux concepts :
LAC (L2TP Access Concentrator) : le concentrateur d'accès L2TP. Il sert à fournir un
moyen physique pour se connecter à un ou plusieurs LNS par le protocole L2TP. Il est
aussi responsable de l'identification et construit le tunnel vers les LNS.
LNS (L2TP Network Server) : le serveur réseau L2TP. Il assure la communication entre
le réseau auquel il est connecté et les LAC vers lesquels il a un tunnel. Il se trouve
généralement dans l'entreprise ou le service auquel appartient l'utilisateur distant. [14]
26
Figure 2.11 : Illustration du protocole L2TP
IPSec est un protocole défini par la RFC 2401. Il s'agit d'un protocole apportant des
améliorations au niveau de la sécurité au protocole IP afin de garantir la confidentialité,
l'intégrité et l'authentification des échanges. IPSec permet de protéger les données et également
l'en-tête d'une trame, en masquant le plan d'adressage grâce à l'ajout d'un en-tête IPSec à chaque
datagramme IP.
IPsec définit deux modes d’opérations : [13]
le mode transport : permet de protéger principalement les protocoles de niveaux
supérieurs. IPSec récupère les données venant de la couche 4 (TCP/transport), les signe et
les crypte puis les envoie à la couche 3 (IP/réseau). Cela permet d'être transparent entre la
couche TCP et la couche IP ainsi que d'être relativement facile à mettre en place. Il
protège le contenu d’une trame IP en ignorant l’en-tête. Ce mode de transport est
généralement utilisé entre les points terminaux d’une connexion.
le mode tunnel : plus performant, il crée des tunnels en encapsulant chaque trame dans
une enveloppe qui protège tous les champs de la trame. En mode tunnel, c'est la totalité
du paquet IP qui est chiffrée et/ou authentifiée. Le paquet est ensuite encapsulé dans un
nouveau paquet IP avec une nouvelle en-tête IP. Il est utilisé entre 2 équipements dont au
moins un n’est pas un équipement terminal. Le mode tunnel est surtout utilisé pour créer
des VPN permettant la communication de réseau à réseau (entre deux sites distants).
IPSec est soutenu par deux protocoles de sécurité (AH et ESP) : [16]
27
a. AH (Authentification Header)
Il est employé pour assurer l'authentification des machines aux deux extrémités du tunnel. Il
permet aussi de vérifier l'unicité des données grâce à l'attribution d'un numéro de séquence ainsi
que l'intégrité de celles-ci à l'aide d'un code de vérification des données (Integrity Check Value).
AH mode transport
L’en-tête AH est inséré dans la trame IP originelle, entre l’en-tête IP d’origine et l’en-tête de
niveau 4 (TCP, UDP par exemple), comme présenté sur la figure 2.12 :
AH mode tunnel
Le mode tunnel nécessite la création d’un nouvel en-tête IP, après lequel sont placés l’en-tête
AH puis la trame IP originelle.
Il a pour rôle premier d’assurer la confidentialité, mais peut aussi assurer l’authenticité des
données. Le principe d’ESP est de générer, à partir d’un datagramme IP classique, un nouveau
datagramme dans lequel les données et éventuellement l’en-tête original sont chiffrés.
ESP mode transport
La trame ESP est créée en insérant l’en-tête ESP dans la trame IP originelle et en plaçant
la terminaison et les données d’authentification à la fin de cette trame.
28
Figure 2.14 : Trame ESP mode transport
Les mécanismes mentionnés ci-dessus font bien sûr appel à la cryptographie, et utilisent donc
un certain nombre de paramètres (algorithmes de chiffrement utilisés, clés, mécanismes
sélectionnés...) sur lesquels les tiers communicants doivent se mettre d’accord. Afin de gérer
ces paramètres, IPsec a recours à la notion d’association de sécurité (Security Association, SA)
Un des problèmes principaux dans ce cas est la gestion de ces clés. Par gestion, on entend la
génération, la distribution, le stockage et la suppression de ces clés. Ces différentes tâches sont
dévolues à des protocoles spécifiques à savoir :
29
ISAKMP (Internet Security Association and Key Management Protocol): c’est le
protocole de négociation des SA développés pour IP. Il est en fait inutilisable seul : c’est
un cadre générique qui permet l’utilisation de plusieurs protocoles d’échange de clé et qui
peut être utilisé pour d’autres mécanismes de sécurité que ceux de IPsec.
IKE (Internet Key Exchange) : négocie les algorithmes cryptographiques et les
paramètres relatifs destinés à AH et ESP. Il utilise l'échange de clés Diffie-Hellman pour
mettre en place un secret partagé d'où les clés de chiffrement sont dérivées. [17]
MPLS ou MultiProtocol Label Switching est une technique pour le routage dans un réseau. Elle
fonctionne en mode connecté. Comme son sigle l’indique, ses caractéristiques sont :
Multiprotocol (multi-protocoles) : capable de supporter différents protocoles de niveau
inférieur, au sens OSI (ATM, Frame Relay, …)
Label Switching (commutation par étiquettes) : se base sur une étiquette ou label qui est
un identifiant pour la commutation des paquets.
MPLS permet d’étiqueter les paquets de données provenant d’applications différentes en
fonction de leur urgence puis de les acheminer via des chemins de commutation d’étiquette
prédéfini (LSP ou Label Switching Path) sur le réseau IP privé de l’opérateur de
télécommunications. Elle permet ainsi de donner la priorité aux données qui sont les plus
urgentes pour qu’elles arrivent à destination avant les données d’applications moins importantes.
En effet, à partir du moment où un datagramme est encapsulé, il est acheminé en utilisant les
mécanismes de commutation de niveau 2. [18]
Le protocole SSL a été spécifié dans le but de sécuriser les transactions sur internet. Il constitue
un complément à TCP/IP et permet en principe de sécuriser n'importe quel protocole ou
programme utilisant TCP/IP.
SSL est le dernier arrivé dans le monde des VPN, mais il présente un gros avantage dans la
mesure du côté client, il ne nécessite qu’un navigateur Internet. Ce protocole est celui utilisé en
standard pour les transactions sécurisées sur Internet. SSL combine l'utilisation de clés
asymétriques (phase de négociation) et symétriques (phase d'encodage). Le chiffrement
30
symétrique est utilisé pour chiffrer les données transmises durant une session SSL alors que le
chiffrement asymétrique est utilisé pour négocier les clés symétriques de session. [13] [16]
2.4 Le monitoring
Le monitoring ou supervision se définit comme une technique utilisant au mieux les ressources
informatiques pour obtenir des informations sur l'état des réseaux et de leurs composants. Elle est
devenue une opération indispensable qui peut économiser beaucoup d’argent en améliorant les
performances du réseau, le coût de l’infrastructure et la productivité des employés. Un système
de supervision réseau a comme tâche principale de trouver les problèmes dans un réseau tel que :
station non connectée, serveurs hors service, etc.
31
La supervision réseau ne peut être réalisée qu’en utilisant une variété de logiciels ou une
combinaison de solutions “software” et “hardware”. N’importe quel réseau peut être supervisé,
que ça soit filaire, sans fil, VPN ou même WAN. Il est possible de réaliser la supervision des
machines sous n’importe quel système d’exploitation (Windows, Linux, Cisco IOS. . .). [19]
Les bénéfices retirés d’une supervision réseau sont rapidement visibles à plusieurs niveaux :
Les problèmes sont détectés avant qu’ils n’apparaissent
Bug informatique détecté en temps réel
Alerte par SMS ou email
La prise en main à distance permet de redémarrer un serveur distant, réglant ainsi un
éventuel problème de disponibilité (site web, production, mise à jour, etc.)
On peut donc tout surveiller pour anticiper les anomalies et les résoudre en amont.
2.4.4.1 Présentation
SNMP (Simple Network Management Protocol) est un protocole de couche applicative qui a
pour but de superviser les réseaux. Il a été conçu en 1988 par l'IETF (Internet Engineering Task
Force) avec pour idée directrice de créer un protocole simple qui ne vient pas gêner le trafic du
réseau qu'il supervise. Depuis sa création, le protocole a évolué par soucis de sécurité. La version
2 qui est pour l'instant la plus utilisée possède une notion de communauté qui est utilisée comme
un mot de passe, la version 3 durcit un peu plus le protocole en y ajoutant le chiffrement.
L’ensemble des fonctionnalités de SNMP est suffisamment puissant pour permettre la gestion
des réseaux hétérogènes complexes. Il est aussi utilisé pour la gestion à distance des applications:
les bases de données, les serveurs, les logiciels.
32
L’environnement de gestion SNMP est constitué de plusieurs composantes : la station de
supervision, les éléments actifs du réseau, les variables MIB et un protocole.
Les éléments actifs du réseau sont les équipements ou les logiciels que l’on cherche à gérer. Cela
va d’une station de travail à un concentrateur, un routeur, un pont, etc. Chaque élément du réseau
dispose d’une entité dite agent qui répond aux requêtes de la station de supervision. Les agents
sont des modules qui résident dans les éléments réseau. Ils vont chercher l’information de
gestion comme par exemple le nombre de paquets reçus ou transmis. [20]
Par soucis de simplicité et donc de rapidité, SNMP ne transporte que des variables et s'appuie sur
le protocole UDP (User Datagram Protocol). SNMP va créer un dialogue entre des agents
installés sur des machines à superviser et un serveur de supervision que l’on nomme aussi
« manager » ou « superviseur ». Les échanges entre agents et serveur se résument à trois
opérations : les alarmes, les requêtes et les réponses.
Une requête SNMP est un datagramme UDP habituellement à destination du port 161 de la
machine surveillée. La réponse est envoyée au travers du port 162 du superviseur. Les
commandes pour les requêtes et les réponses SNMP sont indiquées dans le tableau 2.01:
Commande Action
get-request Le manager SNMP demande une information à l’agent
get-next-request Le manager SNMP demande l’information suivante à l’agent
set-request Le manager met à jour une information sur un agent SNMP
get-response L’agent SNMP répond à un get-request ou à un set-request
Trap L’agent SNMP envoie une alerte au manager
33
Figure 2.16 : Fonctionnement du protocole SNMP
Pour que SNMP fonctionne, il faut que les informations soient standardisées pour que ce
protocole puisse les transporter. Ces informations sont stockées dans une MIB, « Management
Information Base ». C’est le moteur qui s’occupe de faire la traduction des informations
transmises via SNMP entre un superviseur et un agent. Elle contient une partie commune à tous
les agents SNMP en général, une partie commune à tous les agents SNMP d’un même type de
matériel et une partie spécifique à chaque constructeur.
Il s'agit donc la base d'informations de gestion. Il y a des informations à consulter, des
paramètres à modifier, des alarmes à émettre. Tout ceci, en principe, de façon indépendante du
matériel et du logiciel. Il faut donc que SNMP permette de retrouver ces informations et d'agir
sur les paramètres de façon indépendante du matériel, comme du logiciel.
Une MIB se présente comme une base de données normalisée, qui permettra de lire et d'écrire
sur les équipements distants, de façon également normalisée. Ce sera à l'agent lui-même de faire
l'interface entre les informations récupérables sur la plateforme où il est installé et le jargon
utilisé par SNMP. [21]
Elle est organisée hiérarchiquement, comme montré sur la figure 2.17. Chaque nœud ou feuille
de l’arbre est situé par un index, cette numérotation étant normalisée. Pour rendre cet arbre plus
lisible, les nœuds possèdent un nom, cette nomenclature étant elle-même normalisée.
34
Figure 2.17 : Arborescence de la MIB
2.5 Conclusion
A l’issue de ce chapitre, nous avons détaillé les catégories et possibilités de déploiement d’un
VPN, leurs rôles et leurs différents protocoles utilisés. Il nous a aussi explicité ce qu’est la
supervision de réseau ou le monitoring en parlant du protocole SNMP qui permet aux
administrateurs réseaux de gérer, superviser et diagnostiquer le matériel informatique à distance.
35
CHAPITRE 3
CHOIX ET PRESENTATION DES OUTILS
3.1 Introduction
Le choix des outils à utiliser est essentiel car il garantit l’efficience du projet. Il est aussi
indispensable d’avoir des informations sur ces outils pour pouvoir les utiliser à bon escient. Dans
le présent chapitre, nous allons discuter des choix des outils qu’on va utiliser pour la mise en
œuvre du projet et les présenter.
Ce sont, la plupart du temps, des routeurs regroupant des fonctions de VPN. Ce sont aussi des
solutions vendues sous forme de boîtier prêt à configurer. Les fonctionnalités sont plus ou moins
riches. En voici quelques-unes : Cisco, Nokia, Juniper, Nortel. [22]
36
3.3 Windows Server 2012 R2
On a choisi d’utiliser Windows Server 2012 R2 pour déployer les serveurs VPN car cette
fonctionnalité y existe déjà mais il faut la configurer. C’est cet outil qui est actuellement utilisé
chez ACM pour faire le routage et aussi détient l’Active Directory. De plus, le processus
d’acquisition de nouveaux matériels est un peu difficile et long, donc il a fallu utiliser les
ressources disponibles.
Windows Server 2012 R2 est une nouvelle version du système d'exploitation de Microsoft qui
apporte des innovations dans la gestion de la mobilité, la gestion du stockage et la gestion du
réseau. Il est au cœur du système d’exploitation Cloud de Microsoft.
Windows Server 2012 : [23]
Permet d'aller au-delà de la virtualisation : il offre une infrastructure dynamique et multi-
tenante, qui va plus loin que la virtualisation et offre toute la flexibilité pour fournir des
services Cloud et s’y connecter.
Fournit la puissance de plusieurs serveurs avec la simplicité d'un seul ; plus économique
et plus efficace, il intègre une plateforme multiserveur qui associe haute disponibilité,
administration simplifiée et automatisation généralisée.
Ouvre la voie à toutes les applications, à tous les clouds : c’est la plateforme Web et
applicative la plus étendue, performante et élastique qui soit. Pour développer et déployer
des applications en local, dans le Cloud ou dans un environnement hybride, il utilise un
même jeu cohérent d'outils et d’environnements de travail.
Est au service des utilisateurs en entreprise : il dynamise l'informatique en fournissant
aux utilisateurs un accès flexible aux données et aux applications en tous lieux, à partir de
n'importe quel dispositif, avec une expérience utilisateur enrichie, tout en simplifiant
l'administration et en assurant la sécurité, le contrôle et la conformité.
3.3.2 Administration
Tous les services sont désormais présentés sous forme de rôles ou de fonctionnalités. Désormais,
lorsqu’on sélectionne un rôle, on voit l’ensemble des informations utiles pour l’administrer. De
plus, des rôles existants sont bien réorganisés. L’administrateur peut avoir une vision très claire
de ce que fait chaque serveur, et n’a plus à superviser un par un des services participant à la
même fonction.
37
3.3.3 Les rôles et fonctionnalités
L’Active Directory permet de recenser toutes les informations concernant le réseau, que ce soit
les utilisateurs, les machines ou les applications. L'Active Directory constitue ainsi le noyau de
toute l'architecture réseau et permet ainsi de faciliter l'accès aux applications et aux périphériques
disponibles sur le réseau.
Un serveur DNS est en quelque sorte un annuaire pour ordinateur. Lorsqu’on veut accéder à un
ordinateur dans le réseau, il va interroger le serveur DNS pour récupérer l’adresse de l’ordinateur
qu’on veut joindre. Une fois l’adresse du destinataire récupérée, on pourra le joindre directement
avec son adresse IP.
38
3.3.4.3 Le DHCP (Dynamic Host Configuration Protocol)
Un serveur DHCP délivre des adresses IP de façon automatique aux ordinateurs se connectant au
réseau. En plus d'une adresse IP, le serveur DHCP informe de la configuration réseau tel que la
passerelle par défaut et le masque de sous-réseau.
Le DHCP règle un certain nombre d'inconvénients de l'IP : il centralise les modifications de
paramètres, qu'il renvoie sur les stations au moment du démarrage, les ordinateurs en service ont
la possibilité de recourir à une adresse de l'espace d'adressage. Il réduit considérablement
l'intervention humaine et réalise des économies.
Le DFS est un système de fichier hiérarchisé permettant de structurer les fichiers partagés sur
différents serveurs de façon logique. On note que le DFS a un impact sur l'utilisateur. Comme le
DFS synchronise les données disponibles sur plusieurs serveurs, l'utilisateur ne verra pas le nom
du serveur sur lequel il accède pour lire les données.
3.3.5 Hyper-V
La virtualisation est aujourd’hui une fonctionnalité intégrée dans Windows Serveur 2012 R2
grâce à Hyper-V. Elle offre des avantages au niveau de la facilité de gestion, simplicité des
migrations futures, redondance accrue, etc…. La virtualisation avec Hyper-V offre une plus
grande souplesse dans le déploiement de solution type PRA (Plan de reprise d’activité), une
meilleure évolutivité pour les scénarios de consolidation et une meilleure gestion des migrations
futures. La virtualisation permet aussi d’optimiser les investissements en serveurs en utilisant à
100% leur puissance de calcul et leurs ressources.
39
3.3.6 Routage et accès à distance
Le service de routage et accès à distance ou RRAS (Routing and Remote Access Service) permet
de déployer des connexions VPN pour offrir aux utilisateurs finaux un accès à distance au réseau
d’une organisation. On peut également créer une connexion VPN de site à site entre deux
serveurs situés à différents emplacements. On l’utilise aussi pour configurer : une connexion
sécurisée entre deux réseaux privés, une passerelle de réseau privé virtuel, un serveur d’accès à
distance, la traduction d’adresse, le routage réseau, un pare-feu de base.
RRAS est un routeur logiciel et une plateforme ouverte pour le routage et la prise en charge
réseau. Il fournit des services de routage aux entreprises dans des environnements de réseau local
(LAN) et de réseau étendu (WAN) ou sur Internet au moyen de connexions VPN sécurisées. Le
routage est utilisé pour les services de routage multiprotocole de réseau local à réseau local, de
réseau local à réseau étendu, VPN et de traduction d'adresses réseau. [25]
Il existe plusieurs outils sur le monde de la supervision. On va voir les différents outils qui
existent et les comparer. Le tableau ci-dessous montre les points forts et les faiblesses de ces
outils de supervision :
40
SSH ou un tunnel SSL • Dispose d’une interface compliquée
• Les plugins sont écrits dans les • Ne permet pas d’ajouter des hosts via
langages de programmation les plus Web
adaptés à leurs tâches : • Besoin d’un autre outil comme
: scripts shell (Bash, ...), CACTI ou centreon pour faciliter sa
C++, Perl, Python, Ruby, PHP, configuration
C#. • Pas de représentations graphiques
• La remontée des alertes est • Les mises à jour de la configuration se
entièrement paramétrable grâce à font en mode « lignes de commandes »
l'utilisation de plugins (alerte par et doivent être réalisées côté supervision
courrier électronique, SMS, etc…). comme côté serveur à superviser.
• Une interface beaucoup plus • L'interface peut paraître complexe car
sympathique, permettant de tout il existe beaucoup d'options, de vues, …
configurer, de garder un œil sur tout le Cela nécessite une petite formation.
réseau en permanence • Un développement qui n'est pas
• Les utilisateurs de Nagios ne seront encore en phase avec celui de Nagios :
pas perdus pour autant, l'interface parfois des problèmes de compatibilité
reprenant avantageusement certaines • Un peu plus lourd que du Nagios pur.
vues Nagios
• Une solution complète permettant le
reporting, la gestion de panne et
Centreon
d'alarmes, gestion utilisateurs, ainsi que
la cartographie du réseau.
• Une entreprise qui pousse le
développement
• Peut-être décorrélé du serveur
Nagios et tourner tout seul sur un autre
serveur.
• Indépendant avec beaucoup de plugins
disponibles pour dernier la dernière
version
41
Après la comparaison de ces outils de monitoring, Centreon se démarque notamment par sa
capacité à offrir des fonctions adaptées à la vision « métier » exigée par les responsables. On l’a
choisi car c’est la solution mature, fiable et innovante pour satisfaire aux besoins de l’entreprise.
3.5 Centreon
Centreon est un logiciel de supervision Open Source, édité par la société française Merethis. Il
mesure la disponibilité et la performance des couches applicatives, du service utilisateur
jusqu’aux ressources matérielles.
Centreon est un puissant outillage destiné aux administrateurs et exploitants du service de
supervision. Basé historiquement sur Nagios, il intègre depuis 2012 son propre moteur de
collecte (Centreon Engine) et gestionnaire d’événements (Centreon Broker). [26]
42
Figure 3.01 : Architecture simple de Centreon
Un hôte est toute entité possédant une adresse IP correspondant à une ressource du système
d’informations. Exemples : un serveur, une imprimante réseau, une base de données, une sonde
de température, une caméra IP...
Tous les ajouts d’hôtes dans Centreon se font dans le menu Configuration > Hôtes > Ajouter.
Voici les informations générales sur l’hôte que l’on devra remplir lors de la configuration :
Nom de l’hôte définit le nom d’hôte qui sera utilisé par le moteur de supervision.
Alias indique l’alias de l’hôte.
Adresse IP/DNS : Adresse IP ou nom DNS de l’hôte. Le bouton Résoudre permet de
résoudre le nom de domaine en interrogeant le serveur DNS configuré sur le serveur
central.
Communauté SNMP & Version contiennent respectivement le nom de la communauté
ainsi que la version SNMP.
43
Surveillé depuis le collecteur indique quel est le serveur de supervision chargé de
superviser cet hôte.
Modèles d’hôte permet d’associer un ou plusieurs modèles d’hôtes à cet objet.
Configuration des options de contrôles :
Période de contrôles : on choisit 24x7 (c’est-à-dire 24h sur 24 et 7 jours sur 7)
Nombre de contrôles avant validation de l'état : au bout de combien de check ou
contrôle on change l'état de l'hôte en sain (OK), alerte(warning) ou critique (critical).
Dans le cas où le réseau est instable, on augmentera cette valeur.
Intervalle normale de contrôles : nombre de minutes entre deux check si l'hôte est en
état OK (nombre * 60secondes).
Intervalle non régulier de contrôles : nombre de minutes entre deux check si l'hôte est
en état fail (nombre * 60secondes).
Un service est un point de contrôle lié ou rattaché à un hôte. Par exemple : Pourcentage
d’utilisation de partition sur un serveur, niveau d’encre sur une imprimante.
Tous les ajouts de services se font dans le menu Configuration > Services > Ajouter.
Voici les informations générales sur le service :
Description définit le nom du service.
Modèle de service indique le modèle de service auquel le service est lié.
Configuration des états des services :
Période de contrôle définit la période temporelle durant laquelle l’ordonnanceur vérifie
le statut du service.
Commande de vérification indique la commande utilisée pour vérifier la disponibilité
du service.
Arguments définit les arguments donnés à la commande de vérification (le nombre
d’arguments varie en fonction de la commande de vérification choisie).
Nombre de contrôles avant validation de l’état définit le nombre de contrôles à
effectuer avant de valider le statut du service. Lorsque le statut est validé, le processus de
notification est enclenché.
Intervalle normal de contrôle est exprimé en minutes. Il définit l’intervalle entre chaque
vérification lorsque le statut du service est OK.
44
3.5.3.3 Les notifications
D’une manière générale, en cas de déclenchement d’une alerte, une notification permet de
contacter un ou plusieurs contacts (ou groupes de contacts). De même, il est possible d’envoyer
plusieurs notifications suivant un intervalle de temps régulier.
Voici les informations générales concernant les notifications :
Notification activée permet d’activer ou de désactiver les notifications pour l’objet.
Utiliser les contacts définis sur l’hôte : permet de faire hériter les contacts depuis la
configuration de l’hôte.
Contacts liés indique les contacts qui recevront les notifications.
Groupe de contacts liés tous les contacts appartenant aux groupes de contacts définis
recevront les notifications.
Intervalle de notification est exprimé en minutes. Il indique la durée entre chaque envoi
de notification lorsque le statut est non-OK. Si la valeur est définie à 0 alors
l’ordonnanceur envoie une seule notification par changement de statut.
Options de notifications définissent les statuts pour lesquels une notification sera
envoyée.
Délai de première notification est exprimé en minutes. Il fait référence au délai à
respecter avant l’envoi d’une première notification lorsqu’un statut non-OK est validé.
Un utilisateur Centreon est à la fois un contact qui recevra les alertes issues de la supervision
et une personne qui pourra se connecter à l’interface web Centreon. Pour ajouter un utilisateur, il
faut se rendre dans le menu Configuration > Utilisateurs >Contacts / Utilisateurs et cliquer
sur le bouton Ajouter. On accède à un formulaire assez complet permettant de définir un
utilisateur mais pas de panique tous les champs ne sont pas nécessaires.
Dans un premier onglet informations générales, on trouve :
Pseudo (Alias/Login), qui sera utilisé pour se connecter à l’interface web Centreon
Nom complet : nom complet de l’utilisateur
Adresse mail : adresse e-mail de l’utilisateur
Bipeur : numéro de l’utilisateur
Pour recevoir des notifications, il faut définir les paramètres suivants :
45
Activer la notification via le champ Activer les notifications
Définir les types de notification d’hôte qu’on souhaite recevoir via le champ Options de
notification d’hôte, par exemple : Indisponible, injoignable, récupération, temps d’arrêt
programmés.
Définir la plage durant laquelle on souhaite recevoir les notifications d’hôte via le champ
Période de notification d’hôte, par exemple : 24x7
Définir la manière dont on recevra les notifications d’hôte via le champ Commandes de
notification d’hôte, par exemple : host-notify-by-email, host-notify-by-sms
Définir les types de notification de service que l’on souhaite recevoir via le champ
Options de notifications de service, par exemple : Alerte, Inconnu, Critique,
Récupération, Temps d’arrêt programmés.
Définir la plage durant laquelle on souhaite recevoir les notifications de service via le
champ Période de notification de service, par exemple : 24x7
Définir la manière dont on recevra les notifications de service via le champ Commandes
de notification de service, par exemple : service-notify-by-email.
Dans un autre onglet, nous avons la méthode d’accès de l’utilisateur à l’interface web de
centreon à savoir :
Autorisation à se connecter à l’interface web
Définition du mot de passe de l’utilisateur et sa confirmation
Définition du fuseau horaire
Définition du type de compte si c’est un compte administrateur de la plate-forme
(Admin) ou un simple utilisateur.
Sur l’interface Web de Centreon, il existe un menu Supervision qui permet de visualiser en
temps-réel l’évolution de la supervision de son système d’information.
Les statuts sont des indicateurs pour les hôtes ou les services. Chaque statut a une signification
bien précise pour l’objet. A chaque statut correspond un code généré par la sonde de supervision
en fonction des seuils définis par l’utilisateur. [26]
Le tableau 3.02 résume l’ensemble des statuts possibles pour un hôte.
46
Code de
Statut Description
retour
UP 0 L’hôte est disponible et joignable
DOWN 1 L’hôte est indisponible
UNREACHABLE 2 L’hôte est injoignable
Il est possible de personnaliser la page d’accueil en créant une vue personnalisée contenant des
colonnes et chaque colonne pouvant contenir des widgets. L’objectif étant de créer une vue
synthétique qui pourra être affichée sur un écran dédié à la supervision.
47
Un widget est un module permettant de visualiser certaines informations sur certains objets. Il est
possible d’insérer au sein d’une même vue plusieurs widgets de différents types.
Toutes les manipulations se déroulent au sein de la page Accueil > Vues personnalisées. Cette
page est également la première page affichée lors de la connexion d’un utilisateur au sein de
Centreon.
Voici les informations à fournir lors de l’ajout d’une vue personnalisée :
Nom de la vue indique le nom de la vue qui sera visible par l’utilisateur
Mise en page permet de choisir le nombre de colonne de la vue
Pour ajouter des widgets, il suffit de cliquer sur ajouter un widget, puis de lui donner un nom.
[28]
Les rapports de disponibilités des objets accessibles via l’interface web Centreon permettent de
visualiser de manière intuitive le taux de disponibilité d’un hôte, d’un groupe d’hôtes ou d’un
groupe de services sur une période de temps donnée.
Pour visualiser le rapport de disponibilité d’un hôte, il faut :
Se rendre dans le menu Rapports > Tableau de bord
Dans le menu de gauche, sélectionner Hôte
Sélectionner l’hôte désiré dans la liste déroulante
La liste Période de génération permet de choisir la période de temps sur laquelle on souhaite
visualiser le taux de disponibilité. Il est possible de sélectionner une période prédéfinie via la
liste déroulante ou de sélectionner manuellement sa période en définissant les champs Du et Au
Le tableau état de l’hôte permet de visualiser le taux et la durée de disponibilité associé par état
de l’objet. Le tableau statuts des éléments du rapport permet de visualiser la disponibilité des
services associés à l’hôte suivant leurs statuts.
3.6 Conclusion
Au cours de ce chapitre, nous avons pu décrire le choix des outils qu’on va utiliser pour la mise
en œuvre du projet. Windows Server 2012 R2 est utilisé parce qu’il permet d'aller au-delà de la
virtualisation et est déjà disponible au sein de l’entreprise. Le serveur Centreon est l’outil le plus
adapté à l’attente de l’administrateur vis-à-vis de la supervision du réseau.
Le prochain et dernier chapitre va être consacré à la description de la mise en œuvre du projet, à
savoir les installations, les configurations des serveurs et à des tests.
48
CHAPITRE 4
MISE EN ŒUVRE DU PROJET
4.1 Introduction
Après avoir pris connaissance des outils à utiliser, passons à la mise en œuvre du projet. Celui-ci
permet d’apporter des améliorations au réseau de l’entreprise, en mettant l’accent sur une
meilleure sécurité en utilisant les réseaux virtuels et le monitoring des équipements du réseau. Il
s’agit d’une phase de test, c’est pourquoi on utilise des machines virtuelles pour les serveurs,
avant sa mise en production. Dans ce dernier chapitre, on va voir l’installation et la configuration
des serveurs VPN, puis un test de l’interconnexion entre les deux sites. Après, on entamera
l’installation et les configurations du serveur de supervision ainsi qu’à la validation du projet.
D’abord, on va créer des machines virtuelles Windows Server 2012 R2 sur Virtualbox, sur
lesquelles on installera les serveurs VPN. Puis on installera les rôles Accès à distance qui
permettent de mettre en place les VPN. Il faut préciser que les serveurs VPN devraient avoir 2
cartes réseaux, l’une pour se connecter au LAN et l’autre pour se connecter à Internet. On
configurera après ces serveurs, et finalement, on fera un test sur la connectivité des sites. Ce test
adopte la topologie suivante :
49
4.3 Mise en place des serveurs VPN
Virtualbox est une plateforme de virtualisation. On peut créer des machines virtuelles sur celle-
ci, alors plusieurs systèmes d’exploitation peuvent fonctionner simultanément. On spécifie le
type de système d’exploitation, la taille de la mémoire et du disque dur virtuel. On sélectionne
après, l’image ISO d’installation de Windows Server 2012 R2 puis on démarre la machine
virtuelle.
Maintenant que le serveur est installé, ajoutons le rôle accès à distance qui permet de mettre en
place les tunnels VPN. Pour ce faire, on clique sur « Ajouter des rôles et des fonctionnalités »,
une fenêtre d’assistance s’affiche. Puis, il faut cliquer sur « Suivant ». Pour créer un VPN, il faut
sélectionner « Installation basée sur un rôle ou une fonctionnalité », puis choisir le serveur sur
lequel le VPN va être mis en place. Il faut à présent déterminer le rôle de l’outil que nous
voulons créer. Dans notre cas, nous allons opter pour l’accès à distance.
50
Figure 4.03 : Choix du rôle à installer
A présent, nous allons choisir les services de rôles. Il nous faut donc cocher « DirectAccess et
VPN » ainsi que le « Routage » car désormais, c’est le serveur qui s’occupe du routage des
paquets dans le tunnel VPN.
Nous avons inclus tous les services et toutes les options nécessaires à la création du VPN.
Cliquons à présent sur « Installer » pour créer le VPN dans le serveur.
4.3.3 Configurations
Pour configurer le serveur VPN, on clique sur le lien "Ouvrir l'Assistant de Mise en route" et on
choisit « Déployer VPN uniquement ». Puis, on fait un clic droit sur le nom de notre serveur et
on choisit : "Configurer et activer le routage et l'accès à distance". L'assistant d'installation d'un
serveur de Routage et accès distant s'affiche et on sélectionne : « Configuration personnalisée ».
51
Dans la configuration personnalisée, on coche : accès VPN, connexion à la demande, routage
réseau. Finalement, on peut démarrer le service.
Après avoir configuré et démarré les services sur le serveur VPN de chaque site, nous allons
maintenant les connecter en créant de nouvelles interfaces de connexion. Pour cela, il faut faire
un clic droit "Nouvelle interface de connexion à la demande" sur "Interfaces réseau".
Sur le serveur de Tsimbazaza, cette connexion à la demande nous permettra de nous connecter à
Ivato. Donc, nous indiquerons "Ivato" comme nom de la nouvelle interface. Et respectivement
« Tsimbazaza » pour le serveur d’Ivato.
Ensuite, on choisit : "Se connecter en utilisant un réseau privé virtuel (VPN)" puis on sélectionne
le protocole qu’on va utiliser. Un tunnel sera donc créé entre les 2 routeurs. Dans Windows
Server 2012 R2, les protocoles proposés sont PPTP, L2TP et IKEv2. Il est préférable d'utiliser le
protocole L2TP/IKEv2 pour une meilleure sécurité de la connexion. Il faut noter que les
protocoles utilisés sur les deux sites doivent être identiques.
52
4.3.3.4 Ajout des itinéraires statiques
Puis on indique l'adresse IP externe de notre serveur VPN, c’est à dire l'adresse IP publique du
serveur distant fournie par notre fournisseur d'accès internet (FAI).
Tsimbazaza (site 1) : 192.168.43.10
Ivato (site 2) : 192.168.43.20
Ensuite, on coche les cases "Router les paquets IP sur cette interface" et « Ajouter un compte
d’utilisateur pour qu’un routeur puisse effectuer un appel entrant ».
Il faut configurer les itinéraires statiques qui permettront à chaque serveur de savoir quelles
adresses IP privées font partie du réseau distant. En d'autres termes, quand le serveur tentera
l'accès à l'adresse IP LAN d'un serveur du réseau distant, il saura qu'il devra passer par cette
connexion à la demande pour y accéder.
Itinéraires statiques serveur Tsimbazaza : 172.17.1.0 /24
Itinéraires statiques serveur Ivato : 172.17.2.0 /24
Maintenant que la connexion à la demande est configurée, le serveur VPN à Tsimbazaza possède
une interface sur le routeur qui lui permettra de se connecter au routeur distant pour atteindre le
réseau local d’Ivato, et réciproquement pour le serveur d’Ivato.
Le principe d’une connexion à la demande est que la connexion sera établie entre les 2 sites
uniquement lorsqu'une personne du réseau tentera de se connecter au réseau distant. Le reste du
temps, la connexion sera déconnectée, mais cette demande de connexion peut prendre du temps.
Cependant, dans notre cas, la connexion entre les 2 sites sera permanente, c’est-à-dire qu’une
fois connectée, on n’a plus besoin de faire une demande de connexion ce qui nous fera gagner du
temps. Pour configurer ces paramètres, on fait un clic droit sur l’interface et on choisit le type de
connexion qu’on veut utiliser, à la demande ou permanente.
53
4.3.3.6 Configuration des passerelles en utilisant L2TP/IKEv2
On va dans paramètres avancés et on peut faire le choix sur l’utilisation d’une clé pré-partagée
ou d’un certificat pour l’authentification. Dans notre cas, on utilisera une clé pré-partagée.
Pour terminer, on va dans « propriétés » du serveur et dans l'onglet "Sécurité", cochons la case
"Autoriser la stratégie IPsec personnalisée pour les connexions L2TP/IKEv2" et indiquons la
même clé qu’on vient de définir.
54
Figure 4.10 : Autorisation pour les connexions L2TP/IKEv2
Maintenant que les serveurs sont configurés, on va tester la connectivité entre les deux sites.
Ping est une composante du protocole de connexion Internet TCP/IP. Sa mission principale
consiste à vérifier les connexions établies entre un ou plusieurs hôtes distants. A cet effet, on va
envoyer une requête ping entre le serveur VPN de Tsimbazaza et le serveur VPN d’Ivato. On
peut alors mesurer le temps de réponse que l'on nomme latence. Mais la requête ping permet
aussi de vérifier et tester l'établissement de la connexion entre les deux hôtes et de vérifier si on a
un ralentissement ou s’il y a une perte de paquets.
55
Figure 4.11 : Envoi de ping de Tsimbazaza à Ivato
On peut voir sur les figures 4.11 et 4.12 que les deux serveurs VPN se retrouvent, il n’y a pas eu
d’erreur lors de l’envoi des requêtes ping. L’état de la connexion changera en « connecté » s’il
n’y a pas d’erreur. Ceci marquera que les deux serveurs VPN ou les deux routeurs sont connectés
l’un à l’autre.
56
Maintenant, envoyons tracert, la commande qui permet de déterminer l'itinéraire vers une
destination, L'itinéraire affiché correspond à la série d'interfaces de routeurs sur l'itinéraire situé
entre un hôte source et une destination. Cette commande a été envoyé respectivement depuis le
serveur de Tsimbazaza, Ivato montrant les chemins empruntés lorsque l’on veut accéder au
réseau distant d’Ivato, de Tsimbazaza.
Comme on peut le constater, pour atteindre le réseau du site distant, les paquets transitent dans
un tunnel avec les adresses IP : 172.16.1.X . Ceci marque que le tunnel VPN a bel et bien été
créé.
On peut constater sur le serveur VPN, qu'un client est maintenant connecté sur un port L2TP.
La plate-forme de supervision peut être installée de plusieurs manières. L’installation se base sur
la distribution CentOS. Le paquet d’installation a été téléchargé sur le site officiel de
Centreon.[28] L’installation est démarrée à partir de l'image ISO :
57
Figure 4.17 : Installation de Centreon
Après plusieurs paramétrages, le serveur est pratiquement prêt, il reste la partie configuration
Web à réaliser. (cf. Annexe 1)
En lui-même, Centreon est un excellent outil de supervision et peut être configuré pour
correspondre exactement à nos besoins. Cependant, il s’avère utile d’utiliser Centreon IMP pour
nous aider à configurer rapidement notre supervision. Centreon IMP fournit des Plugin Packs qui
sont des paquets contenant des modèles de configuration qui réduisent le temps
nécessaire pour superviser la plupart des services de notre réseau. Pour ce faire, on saisit le code
suivant :
#yum install centreon-pp-manager
Une fois les paquets installés, il est nécessaire d’activer les modules dans Centreon. Il faut se
rendre à la page Administration > Extensions > Modules. Tous les modules disponibles sont
affichés dans cette zone, pour les activer il faut cliquer sur Install Module.
En allant dans Administration > Extensions > Plugins packs > Setup, on pourra trouver les
plugins. Des plugins sont gratuits mais d’autres Plugin Packs supplémentaires seront débloqués
après avoir être inscrit à l’offre IMP.
Smstools et wvdial sont des outils qui vont nous permettre de configurer les alertes par SMS. On
va les installer avec les commandes suivantes :
#yum install wvdial
#cd /tmp
#wget http://smstools3.kekekasvi.com/download/smstools3-3.1.21.tar.gz
#tar -xzf smstools3-3.1.21.tar.gz
#cd smstools3-3.1.21
#make
58
#make install
Postfix est un serveur de messagerie électronique sous licence publique. Il est utilisé pour
l’acheminement de courriers électroniques. C’est un des nombreux logiciels de messagerie
existants tel que Sendmail. Il est communément appelé MTA (Message Transport Agent).
Comme postfix est déjà intégré dans centreon, on n’a plus qu’à le configurer.
Tout d’abord, il faut vérifier l’installation des paquets suivants :
#yum install postfix mailx cyrus-sasl-plain -y
Puis on va éditer le fichier /etc/postfix/main.cf et ajouter les lignes de configuration concernant
le serveur de messagerie. Ici on va utiliser le relais smtp de Gmail :
#vim /etc/postfix/main.cf
relayhost = [smtp.gmail.com] :587
smtp_sasl_auth_enable = yes
smtp_sasl_auth_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_CAfile = /etc/postfix/cacert.pem
59
smtp_use_tls = yes
Ensuite, on va créer le fichier d’authentification, notamment, ce compte sera utilisé comme
envoyeur de notifications :
#nano /etc/postfix/sasl_passwd
[smtp.gmail.com]:587 utilisateur@gmail.com : mot_de_passe
On sauvegarde et on applique les autorisations appropriées :
#chmod 400 /etc/postfix/sasl_passwd
#postmap /etc/postfix/sasl_passwd
Afin de recevoir les mails, nous devons configurer notre compte pour permettre les applications
moins sécurisées :
Une fois terminé, on redémarre Postfix pour que les configurations prennent effet :
# /etc/init.d/postfix restart
Les alertes peuvent être envoyées directement par SMS, sans utiliser de courrier électronique.
Fondamentalement, on doit connecter un modem GSM (ou un téléphone mobile approprié) via
USB, puis envoyer les messages texte directement via le réseau GSM.
Pour configurer la notification par SMS, il faut d’abord détecter et indiquer le nom du modem.
#wvdialconf
#nano /etc/smsd.conf
[GSM1]
device = /dev/ttyUSB1(port USB où le modem est connecté)
60
Figure 4.19 : Ajout de la commande de notification sms des hôtes
61
4.5.3.2 Configuration adresse IP du serveur
On a déjà configuré l’adresse IP du serveur centreon lors de l’installation mais il est possible de
la modifier par rapport au réseau. Pour cela, on va dans le fichier /etc/sysconfig/network-
scripts/ifcfg-eth0
62
Pour accéder à l’interface Web de Centreon, là où on réalise toutes les configurations, il faut
ouvrir un navigateur et saisir l’adresse IP du serveur. On parvient à la page d’authentification
que l’on a déjà personnalisé pour ACM.
Entrons maintenant dans l’ajout des hôtes. Dans notre cas, nous allons superviser notre serveur
Centreon et une machine Windows. Pour ce faire, il faut se référer au paragraphe 3.5.3.1.
63
Configuration des options de contrôles :
- Période de contrôles : on choisit 24x7 (c’est-à-dire 24heures sur 24 et 7 jours sur 7)
- Nombre de contrôles avant validation de l'état : au bout de combien de check on change l'état
de l'hôte en sain/warning/critical (dans le cas où le réseau est instable, on augmentera cette
valeur).
- Intervalle normale de contrôles : nombre de minutes entre deux checks si l'hôte est en état OK
(nombre * 60secondes).
- Intervalle non régulier de contrôle : nombre de minutes entre deux checks si l'hôte est en état
fail (nombre * 60secondes).
Maintenant, attribuons des services à nos hôtes. Un service est un point de contrôle lié ou
rattaché à un hôte. Par exemple la latence d'un ping, l’occupation d'un espace disque, l’utilisation
d'un processeur, la température d'une salle serveur, la vitesse de rotation d'un ventilateur, la
connexion à une base de données, la latence d'une page web, le nombre de commandes bloquées
dans un logiciel, l’état de processus de mise à jour, le pourcentage d’utilisation de partition sur
un serveur ou le niveau d’encre sur une imprimante.
Lorsque l’on veut appliquer un service à un hôte en particulier, il faut aller dans Configuration >
Services > Services par hôte. Puis choisir l’hôte sur lequel le service sera appliqué, le modèle de
service, ainsi que la commande associée.
Ici, on va ajouter un service pour superviser la mémoire RAM sur l’hôte serveur centreon. il est
important de superviser les composants matériels et de s’assurer que les machines sont . C’est ici
qu’on définit le seuil pour lequel le serveur de supervision envoie une notification lorsque celui-
ci est dépassé. Ici, on va définir que l’hôte est en état d’alerte lorsqu’il utilise 40% de sa mémoire
RAM et en état critique à 60%.
64
Figure 4.27 : Ajout de service sur un hôte
On va ensuite définir les utilisateurs concernés. Un utilisateur Centreon est à la fois un contact
qui recevra les alertes issues de la supervision et une personne qui pourra se connecter à
l’interface web Centreon. C’est ici qu’on va définir si un compte est administrateur ou un simple
utilisateur.
65
Figure 4.29 : Utilisateur qui va recevoir les notifications
L'agent SNMP de Windows est nécessaire pour répondre aux requêtes SNMP et pour envoyer
des traps SNMP ou notifications vers le manager SNMP. Les Traps sont envoyés par l'agent
SNMP et selon les objets de MIB pris en charge.
Pour ajouter un service SNMP sur Windows 10, on va dans Panneau de configuration >
Programmes et fonctionnalités, clic sur le lien Activer ou désactiver des fonctionnalités
Windows, on coche la case Protocole SNMP.
Pour la configuration du service SNMP sur Windows :
Panneau de configuration > Outils d’administration > Services, clic droit sur Service SNMP >
Propriétés. Dans l’onglet Sécurité, on ajoute une communauté avec le bouton Ajouter, puis on
sélectionne LECTURE SEULE dans la liste déroulante.
Dans la zone "Nom de la communauté", on saisit "acm", puis on coche "Accepter les paquets
SNMP provenant de n’importe quel hôte" > Appliquer > OK.
Après la configuration, on redémarre le service SNMP.
66
Figure 4.30 : Ajout de service SNMP
4.5.4.4 Collecteur
Nos deux hôtes à superviser ont le statut UP, c’est-à-dire que les hôtes sont disponibles et
joignables.
Dans le cas des services, voici leurs états :
67
Figure 4.32 : Etats des services
Nos services sont bien fonctionnels. Mais on peut remarquer que le service CPU de l’hôte
Hents_pc dont les états sont « Warning ». D’après la configuration des notifications, lorsque des
services ou des hôtes présentent une anomalie, des alertes seront envoyé aux personnes
concernées pour qu’il puisse agir et éviter une panne ou un éventuel incident.
Ici donc, des alertes e-mails et SMS devraient être envoyé à l’administrateur.
68
On peut constater qu’on a bien reçu des notifications par e-mails et par sms disant que les
processeurs de l’hôte 192.168.88.47 fonctionnent à un régime élevé ce qui pourra entrainer le
surchauffage de la machine et créer un bug par exemple.
Les changements d’états sont résumés par jour et par heure dans les journaux d’évènements.
Enfin, on a créé des vues personnalisées en utilisant les widgets de centreon afin d’avoir une vue
globale de ce qui se passe à temps réel.
69
Comme c’est une vue personnalisée, l’utilisateur peut éditer cette page en fonction de ce qu’il
veut voir. Dans notre cas, on a mis la liste des utilisations CPU, le graphe d’utilisation du CPU et
de RAM d’un hôte. On peut aussi tout de suite voir la liste des états des services.
Au terme de ce travail, on obtient une nouvelle topologie de réseau. Après la mise en place des
serveurs VPN, ainsi que le serveur de supervision, la nouvelle topologie réseau d’ACM est
comme suit :
4.7 Conclusion
L’installation et la configuration des serveurs VPN ont été un peu fastidieuses, mais on a fini par
créer le tunnel pour permettre aux deux sites de s’interconnecter et de s’échanger les données en
toute sécurité. Quant au serveur de supervision, il a permis de faire une bonne administration du
réseau, mais aussi grâce à lui et les notifications d’alertes, les pannes peuvent être anticipé et
même que cela peut contribuer au maintien en bon état des équipements informatiques. Il s’agit
d’une stratégie de sécurité préventive.
70
CONCLUSION GENERALE
Le secteur des technologies de l'information étant en constante mutation, les entreprises et les
administrateurs réseau ont pour priorité de sécuriser leurs ressources et leurs actifs en mettant en
œuvre des mesures de sécurité avant d'offrir des services basés sur le réseau. Actuellement, le
bon fonctionnement d’un serveur et des équipements informatiques est aussi un élément capital
de rentabilité, du fait de l’informatisation importante des sociétés.
Le présent travail fait état des résultats de la mise en place d'un réseau VPN entre les deux sites
d’ACM, ainsi que le monitoring de son réseau. Grâce à ces technologies, nous permettrons aux
employés de partager de façon sécurisée leurs données via le protocole L2TP, qui est le principal
outil permettant d'implémenter le VPN. L’interconnexion des sites est permanente et sert de
réseau de secours en cas de problème de la ligne louée. Il n’y a pas de coût à son implémentation
car toutes les infrastructures nécessaires sont déjà en place, ce qui est un grand avantage. Mais
aussi, d’éventuelles pannes informatiques pourront être évitées grâce à la supervision du réseau
par le protocole SNMP et aux notifications envoyées à l’administrateur par le serveur Centreon.
Les ordinateurs et les autres équipements peuvent être surveillés pour que l’administrateur soit
en tout temps informé de l’état de ces derniers.
Notons que les résultats concordent avec les objectifs tracés au début à savoir, superviser le
réseau et mettre en place un réseau VPN entre les sites distants. Ce travail a été intéressant au
niveau des connaissances et des expériences qu’il a apporté. Nous considérons que ce projet a été
bénéfique vu qu’il a permis de consolider et de renforcer nos compétences vers l’administration
de réseau et système ainsi qu’à la télécommunication informatique. D’une part, il n'a pas été
facile du point de vue conception car afin de tester le réseau, il fallait comprendre le
fonctionnement des différents outils utilisés et leurs fonctionnalités, comprendre les notions de
VPN et de monitoring.
71
ANNEXE 1
INSTALLATION EN MODE WEB DE CENTREON
72
Un message de non-conformité est obtenu si le fuseau horaire n’a pas encore été configuré. Pour
ce faire, on va dans le répertoire /etc/php.ini, puis rechercher la ligne « date.timezone » qui
devrait être commentée et le modifier en « date.timezone = Inde/Antananarive ».
73
Figure A1.05 : Information d’administrateur
74
Figure A1.07 : Installation des bases
Une fois, l’installation terminée, nous pouvons désormais nous connecter sur notre infrastructure
75
ANNEXE 2
WINDOWS SERVER 2016
A2.1 Présentation
Windows Server 2016 est un système d'exploitation pour serveur x86-64 de Microsoft. Il fait
partie de la famille de Windows NT qui est destinée aux serveurs d'entreprises. Il est aussi connu
sous le nom de "Windows Server vNext". Des versions de preview sont déja sorties (Windows
Server 2016 Technical Preview 5 pour la dernière) mais la sortie définitive est annoncée pour la
3ème trimestre de 2016. Parmi les nouvelles fonctionnalités figurent l'utilisation des containers,
les micro-services et le cloud hybride. [29]
76
ANNEXE 3
EXTRAIT DE CODE SOURCE DE L’INTERFACE D’AUTHENTIFICATION
77
<tr> <img src="img/logo.png" style="margin-left:50px;height:20%;
"alt="ACM Logo" title="ACM Logo" /> </tr>
<tr> <td align='right' style="color:white;">{$form.useralias.label}</td>
<td>{$form.useralias.html}</td>
</tr>
<tr> <td align='right' style="color:white;">{$form.password.label}</td>
<td>{$form.password.html}</td>
</tr>
<tr> <td colspan="2" align='center'>{$form.submitLogin.html}</td>
</tr>
</table>
</div>
<div class="LoginInvitVersion">
<span id="LoginInvitcpy">
© <a href="www.acm.mg">Aviation Civile de Madagascar</a> 2018
</span>
<br>
<span> centreon {$centreonVersion} </span>
</div>
</div>
{$form.hidden}
</form>
</body>
</html>
78
BIBLIOGRAPHIE
[9] C. Pham, « VPN et solutions pour l’entreprise », Université de Pau et des pays de
l’Adour.
[10] L. Xavier, K. Thomas, « Réseaux privés virtuels-vpn », http://www.frameip.com/vpn/
2004
[11] Lhuissier G.,«Les réseaux privés virtuels» http://hautrive.ftpdeveloppez.com/reseaux/
Septembre 2007
[12] E. Gallet De Santerre, « Protocole L2TP. Techniques de l’ingénieur.», Télécoms,
(TE7579), 2006.
[13] B. Sonnetag, J. Steinberg et T. Speed, « SSLVPN : Accès Web et Extranets sécurisés
», Eyroll, 2006
[14] M. Adrien, Philippe Jean Dit Pannel, « Sécurité avec ip : Les solutions », 2003
[15] P. Mathon, « Windows Server 2003 : les services réseaux TCP/IP ». Editions ENI,
2003
[16] R. Corvalan, E. Corvalan, Y. Le Corvic, « Les VPN » , 2ème édition, Octobre 2005.
79
[19] T. Briche et M. Voland, « Les outils d’administration et de supervision réseau »,
2004
[20] W. Stallings. « SNMP, SNMPv2, and CMIP. » Don Mills : Addison-Wesley, 1993.
80
FICHE DE RENSEIGNEMENTS
Nom : RANDRETSAMALALA
Prénoms : Henintsoa Vololona
Adresse de l’auteur : Lot IVB 17 Ambatomitsangana
Antananarivo 101
E-mail : tsourandretsa@yahoo.fr
Contact : +261327275884
Titre du mémoire :
« MISE EN PLACE D’UN VPN SITE TO SITE SUR WINDOWS SERVER 2012 R2 ET
MONITORING DES SERVEURS AVEC NOTIFICATIONS PAR E-MAILS ET SMS. »
Nombre de pages : 82
Nombre de figures : 68
Nombre de tableaux : 8
81
RESUME
Ce travail relate l’étude et la mise en place d’un VPN entre les deux sites distants de l’Aviation
Civile de Madagascar. Il montre aussi une méthode de supervision de leurs réseaux pour
anticiper à d’éventuelles pannes et de notifier des alertes. L’objectif a été de renforcer la
connexion entre les deux sites et d’améliorer l’administration de leurs réseaux. Il s’agit d’une
stratégie de sécurité préventive. La virtualisation a été conçue sur Windows Server 2012 R2 en
utilisant le protocole L2TP/IKEv2. Tandis que la supervision a été faite sur le serveur Centreon
qui envoie des notifications par e-mails et par SMS à l’administrateur en cas de problèmes au
niveau des équipements et logiciels supervisés de chaque site.
Mots clés : VPN, protocole de tunneling, Windows Server 2012 R2, Centreon, notifications.
ABSTRACT
This work relates the study and the setting up of a VPN between the two remote sites of the Civil
Aviation of Madagascar. It also shows a method of supervising their networks to anticipate
possible failures and notify alerts. The aim has been to strengthen the connection between the
two sites and improve the administration of their networks. This is a preventive security strategy.
Virtualization was designed on Windows Server 2012 R2 using the L2TP/IKEv2 protocol. While
the supervision was done on the Centreon server that sends notifications by e-mail and SMS to
the administrator in case of problems with the equipment and software supervised on each site.
Keywords: VPN, tunneling protocol, Windows Server 2012 R2, Centreon, notifications.