Projet Architecture Réseau

Conception et déploiement d’une architecture réseau sécurisée a l’aide d’outils de virtualisation

Formation : Licence professionnelle réseaux et télécommunications

Spécialité : Administration et sécurité des réseaux

Réalisé par : Bouchra Rhrib

: Yassine Tamar

: Isam Loudi

: Christian
Sommaire
Projet architecture réseau......................................................................................................................1
1.Introduction........................................................................................................................................3
2.Cahier de charge..................................................................................................................................4
3.Analyse des besoins............................................................................................................................5
3.1Diagramme des cas d’utilisations..................................................................................................5
3.2 Diagramme d’activités..................................................................................................................6
3.3 Diagramme de séquence..............................................................................................................9
3.4 Diagramme d'état de transition………………………………………………………………………………………………15

4.Interface graphique...........................................................................................................................17
5.Réalisation de la base de donner……………………………………………………………………………………………………18

6.Conclusion.........................................................................................................................................19
7.Bibliographie.....................................................................................................................................20
1. Introduction

Ce projet consiste à faire l’étude d’installation des

services à la société STELL en analysant les besoins de
cahier des charge et en appliquant la démarche de
conduite de projet donnée avec la réalisation des
diagrammes des cas d’utilisation ,de séquence et
d’activité ainsi que la propositions d’un premier
prototype de l’interface homme machine du système à
l’aide de StarUML et GNS3.

2. Cahier de charges :
La société STELL est leader dans la fabrication et la distribution de tubes en acier inoxydable sans
soudure destinés à une industrie à forte contrainte de sécurité.

Elle utilise deux principes de fabrication : le filage et étirage. La production est réalisée sur trois sites,
Paris (siège social), Vélizy, Boulogne.

Le site de paris (Siège social)

L’usine est spécialisée dans la conception des tubes fins ayant un diamètre inférieur à 25 mm. Pour
les réaliser, la technique de l’étirage est utilisée. Elle nécessite des tubes plus épais produits par le
site de Versailles. Ces tubes sont tirés à froid et passent dans des goulottes de plus en plus étroites
jusqu’à l’obtention du diamètre désiré.

Le siège social gère toutes les transactions commerciales de la société.

Le site de Boulogne

L’usine conçoit des tubes de diamètre compris entre 25 et 50 mm. De l’acier fondu dans des
fourneaux à 1000C passe des filières de diamètre variable. A sa sortie, le tube est plongé dans un
bain d’acide afin d’évacuer toute aspérité.

Le site de Vélizy

L’usine conçoit des tubes de diamètres spécifiques supérieurs à 50 mm.

3. Analyse des besoins
3.1 Diagramme des cas d’utilisations
3.2 Diagrammes d’activités (Serveur web, Samba, Messagerie)
3.3 Diagrammes de séquences : Installer les services
3.4 Diagrammes d’état de trasitions : (Web, Méssagerie, Samba)
4. Interface graphique par GNS3 :
Site de Paris :

Installation du serveur LDAP :

Tout d'abord, installer le daemon serveur slapd de OpenLDAP et le paquet ldap-utils, un paquet
contenant des utilitaires de gestion de LDAP:

sudo apt-get install slapd ldap-utils

certains fichiers de schéma supplémentaires doivent être chargés. Dans un terminal tapez:

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/inetorgperson.ldif

Ensuite, copiez le fichier exemple LDIF suivant, en le nommant backend.example.com.ldif,
quelque part sur votre système:

# Load dynamic backend modules

dn: cn=module,cn=config

objectClass: olcModuleList

cn: module

olcModulepath: /usr/lib/ldap

olcModuleload: back_hdb

# Database settings

dn: olcDatabase=hdb,cn=config

objectClass: olcDatabaseConfig

objectClass: olcHdbConfig

olcDatabase: {1}hdb

olcSuffix: dc=example,dc=com

olcDbDirectory: /var/lib/ldap

olcRootDN: cn=admin,dc=example,dc=com

olcRootPW: secret

olcDbConfig: set_cachesize 0 2097152 0

olcDbConfig: set_lk_max_objects 1500

olcDbConfig: set_lk_max_locks 1500

olcDbConfig: set_lk_max_lockers 1500

olcDbIndex: objectClass eq

olcLastMod: TRUE

olcDbCheckpoint: 512 30

olcAccess: to attrs=userPassword by dn="cn=admin,dc=example,dc=com" write by anonymous

auth by self write by * none

olcAccess: to attrs=shadowLastChange by self write by * read

olcAccess: to dn.base="" by * read

olcAccess: to * by dn="cn=admin,dc=example,dc=com" write by * read

Changer secret dans olcRootPW: par un mot de passe de votre choix. Il est possible aussi de

générer un mot de passe chiffré avec la commande suivante:

sudo slappasswd -s secret

{SSHA}aobrpti5d0rnoT48U+XfZT9XecpYXyVA

Ajoutez les entrées à l'annuaire LDAP:

sudo ldapadd -x -D cn=admin,dc=example,dc=com -W -f frontend.example.com.ldif

Configuration du client (esclave)

– Sur le serveur client appliquez la même configuration que celle du fournisseur, sauf pour les
étapes de configuration syncrepl. Ajoutez les fichiers de schéma supplémentaires:

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif
sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/inetorgperson.ldif
En outre, créer un fichier, ou faites une copie de celui du serveur fournisseur,
nommé backend.example.com.ldif.

Et ajouter le LDIF en entrant:

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f backend.example.com.ldif

Mise en place d'ACL

L'authentification nécessite un accès au champ de mot de passe, qui ne devrait pas être
accessible par défaut. Aussi, pour que les utilisateurs puissent changer leur propre mot de passe,
en utilisant les utilitaires passwd ou autre, shadowLastChange doit être accessible une fois qu'un
utilisateur s'est authentifié.

Pour afficher la liste de contrôle d'accès (ACL), utilisez l'utilitaire ldapsearch:

ldapsearch -xLLL -b cn=config -D cn=admin,cn=config -W olcDatabase=hdb olcAccess

Enter LDAP Password:
dn: olcDatabase={1}hdb,cn=config
olcAccess: {0}to attrs=userPassword,shadowLastChange by
dn="cn=admin,dc=example,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=example,dc=com" write by * read
Serveur samba :
Installez le paquet samba , ou en ligne de commande:

sudo apt-get install samba

Configuration du samba :
Le fichier /etc/samba/smb.conf est construit de différentes sections dont la première est
généralement : [global].
Une section commence par une ligne contenant un mot entre crochets et finit lorsque la section
suivante commence.

Paramètres généraux de [global]

Groupe de travail ou Domaine

workgroup = STELL

Nom NetBios

netbios name = Paris

C'est le nom du PC sur le réseau.

Description

Server string = serveur %h (Samba %v, Ubuntu)

Paramètres généraux des partages

Répertoire partagé

Le chemin du répertoire partagé se renseigne de cette manière :

path = /data/Documents

Description

Il est possible de renseigner une description de partage :

comment = Tous les documents utiles

Masques de création

Le plus souvent, ce n'est pas la peine de se soucier de ce paramètre, par défaut, Samba fait les
choses assez bien. Si toute fois vous souhaitez personnaliser les droits sur les fichiers lors de
leur création, vous pouvez le faire avec ces paramètres :
create mask = 0700 # Fichiers : Tous les droits pour le propriétaire et rien pour les autres
directory mask = 700 # Répertoires : idem
Pour plus de détails, je vous conseille de consulter la page de manuel et d'avoir des notions
sur les droits et autorisations sur les fichiers dans le monde Linux.

Accès aux données : Lecture et écriture

Il est possible de déclarer un partage :

 en lecture/écriture pour tous,

 en lecture seule pour tous,
 en lecture seule pour certains utilisateurs et lecture/écriture pour d'autres utilisateurs.

Et en plus ce n'est même pas compliqué à mettre en place

En lecture/écriture pour tous

Afin de rendre un partage accessible en lecture et en écriture pour tous, il faut préciser :

read only = No

En lecture seule pour tous

C'est facile, c'est le mode par défaut, aucun paramètre à préciser, mais si vous ne voulez pas
l'oublier, vous pouvez le préciser :

read only = Yes

Configuration
#======================= Global Settings =======================

[global]

## Browsing/Identification ###
workgroup = Arcade
server string = Samba server (%h)
netbios name = Serveur
dns proxy = no

#### Networking ####

interfaces = 192.168.214.20
bind interfaces only = yes

### Access rights ###

create mask = 0660
directory mask = 0770

#### Debugging/Accounting ####

log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d

####### Authentication #######

security = user
# ATTENTION A BIEN REMPLACER "groupe_principal" par le nom du groupe dont
vous faites partie
# (si vous êtes l'utilisateur principal, c'est également votre login)
# et de rajouter les éventuels autres utilisateurs...
valid users = @guest, @groupe_principal
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
unix password sync = no
map to guest = bad user

############ Misc ############

socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=8192 SO_SNDBUF=8192
usershare allow guests = no

Configuration d'un partage en lecture/écriture pour certains utilisateurs

Ajouter les lignes suivantes pour chacun des partages de ce type :

[Nom_du_partage]
path = /chemin/du/répertoire/partagé
comment = Répertoire en lecture et écriture pour tous ceux qui y ont accès
read only = no
valid users = liste des utilisateurs séparés par des espaces

Configuration d'un partage en lecture/écriture pour certains utilisateurs et en lecture

seule pour d'autres

Ajouter les lignes suivantes pour chacun des partages de ce type :

[Nom_du_partage]
path = /chemin/du/répertoire/partagé
comment = Répertoire en lecture seule pour certains, en lecture/écriture pour d'autres (sans
compter ceux qui n'y ont pas accès)
read only = yes
valid users = liste des utilisateurs n'ayant que le droit de lire séparés par des espaces
write list = liste des utilisateurs ayant le droit de lire et d'écrire séparés par des espaces
Serveur DNS :
Par interface graphique

 Clique droit sur l’icône de NetworkManager puis : cliquez sur Modification des connections.
 Choisir quelle connexion et à modifier (par câble ou par Wifi), puis cliquer sur Modifier.
 Cliquer sur l'onglet Paramétres IPv4.
 Dans Méthode sélectionner Adresse automatique uniquement (DHCP).
 Dans la case Serveurs DNS, entrer la ou les adresses DNS souhaitées (si plusieurs
adresses, mettre une virgule entre chaque adresse).
 Cliquer sur Enregistrer.

Serveur DHCP :

Configuration du serveur :
Voici une configuration détaillée du fichier « /etc/dhcp/dhcpd.conf » :

##### Option générale par défaut #####

### RÉSEAU #####

## Nom du serveur DHCP

server-name "dns.ubuntu-fr.lan";

## Mode autoritaire (autoritaire)

authoritative;

## Masque de sous-réseau
option subnet-mask 255.255.255.0;

### DOMAINE ###

## Nom du domaine
option domain-name "ubuntu-fr.lan";

## Adresse IP du serveur DNS

# a remplacer par l ip de votre serveur dns ou par celle de votre fai
option domain-name-servers XXX.XXX.XXX.XXX;

## Type de mise à jour du DNS (aucune)

ddns-update-style none;

### TEMPS DE RENOUVÈLEMENT DES ADRESSES ###

default-lease-time 3600;
max-lease-time 7200;
### Sécurité ###

## refus(deny)/autorise(allow) les clients inconnus (refuse client inconnu)

deny unknown-clients;

## Use this to send dhcp log messages to a different log file (you also
## have to hack syslog.conf to complete the redirection).
log-facility local7;

### PXE ###

## Permet le boot réseau pour TFTP
allow bootp;
allow booting;

##### RÉSEAUX #####

## déclaration sous réseau 192.168.1.*
subnet 192.168.1.0 netmask 255.255.255.0 {
# Si vous voulez spécifier un domaine différent de celui par défaut :
option domain-name "ubuntu-fr.lan";
## Adresse de diffusion
option broadcast-address 192.168.1.255;
## routeur par défaut
option routers 192.168.1.1;
## Plage d'attribution d'adresse
# Ici débute à 1.5, 1.1 à 1.4 étant déjà prises.
# La plage ne contient qu'1 adresse ce qui empêche l'attribution
sauf au client dont celle-ci est fixée.
range 192.168.1.5 192.168.1.5;
## Option pxe nom du fichier servi.
# elilo.efi pour ia64; pxelinux.0 pour x86
# À placer à la racine du serveur TFTP.
# Le fichier peut être spécifié dans la section « host », il deviendra
alors prioritaire sur celui-ci
filename "pxelinux.0";
# définit le serveur qui servira le fichier « pxelinux.0 »
next-server 192.168.2.1;
# évalue si l'adresse est déjà attribuée
ping-check = 1;
}

## Déclaration sous réseau 192.168.2.*

subnet 192.168.2.0 netmask 255.255.255.0 {
option domain-name "ubuntu-fr.lan";
option broadcast-address 192.168.2.255;
option routers 192.168.2.1;
range 192.168.2.2 192.168.2.3;
ping-check = 1;
filename "pxelinux.0";
 next-server 192.168.2.1;
}

#### Configuration des hôtes avec IP fixée ####

# hôte « FTP »
host ftp {
hardware ethernet 00:0f:75:af:eb:44;
fixed-address 192.168.1.2;
### PXE ###
# fichier spécifique à une machine
# filename "debian-installer/ia64/elilo.efi";
# definit le serveur qui servira le fichier pxelinux.0
# next-server 192.168.2.1;
}
# hôte « WEB »
host web {
hardware ethernet 00:02:0d:31:d1:cc;
fixed-address 192.168.1.3;
}
# hôte « mail »
host mail {
hardware ethernet 00:02:55:d2:d1:cc;
fixed-address 192.168.1.4;
}
# hôte « PORTABLE »
host portable {
hardware ethernet 00:0e:af:31:d1:cc;
fixed-address 192.168.2.2;
}
Serveur de messagerie :

Pour mettre en production un serveur Exchange 2007, voici la configuration

minimale

requise :

Système d'exploitation - Windows Server 2003 x64 SP1 (édition standard, entreprise
ou datacenter)

- Windows Server 2003 R2 x64 (édition standard, entreprise ou datacenter)

Processeur

- 800Mhz ou supérieur

- architecture 64 bits (EMT64 ou AMD64)

Mémoire vive - 2Go

Disque dur / Espace disque

- 200 Mo sont nécessaires sur la partition système

- 1,2 Go sont nécessaire sur la partition dédié à Exchange

- 500 Mo supplémentaires sont requis pour chaque module linguistique de la

messagerie

unifiée

Autre(s) périphérique(s) - Lecteur DVD (optionnel)

Installer Active Directory

Active directory est le second prérequis indispensable. Avant de l’installer, il est

nécessaire de placer un mot de passe, sans mot de passe le rôle ne sera pas
installé. Il s’agit du service de domaine active directory… Son installation ne
demande rien de particulier.
Pour l’installation il faut exécuter la commande suivante :

Dcpromo

Puis il faut installer le service IIS.

Installation du serveur exchange 2007 :

Il faut suivre les instructions d’installation sur le guide d’installation du serveur
Microsoft exchange 2007

Installation du serveur proxy SQUID :

Installer le paquet squid.

Si après l'installation vous obtenez [fail] lors du démarrage de Squid, alors il faut simplement

spécifier le nom de la machine dans la configuration de Squid. Pour mettre en pratique Squid, il
suffit simplement de configurer les navigateurs web client afin d'utiliser un proxy, ayant pour
adresse celle de la machine squid. Squid écoute par défaut sur le port 3128.

Il est également possible d'appliquer le serveur mandataire à l'ensemble des utilisateurs et

logiciels des stations clientes. Pour ce faire, configurez les propriétés de serveur mandataire
d'Ubuntu afin que toutes les connexions à Internet passent par le proxy :

1. Ouvrez l'outil de gestion des serveurs mandataires d'Ubuntu (Système → Préférences

→ Serveur mandataire) ;
2. Dans l'onglet Configuration du serveur mandataire, cochez la case Configuration
manuelle du serveur mandataire. Puis :
o cochez éventuellement la case Utiliser le même serveur mandataire pour tous les
protocoles ;
o dans le champ Serveur mandataire HTTP, indiquez l'adresse localhost et le
port 3128 ;
3. Appuyez sur le bouton Appliquer à l'ensemble du système… pour que cette configuration
soit appliquée à tous les utilisateurs de votre système Ubuntu.Il est aussi possible
d'effectuer une redirection de port via le pare-feu pour que toutes les demandes au port 80
passent par le port défini pour le serveur mandataire.

Configuration
Par défaut Squid est configuré et fonctionnel. Cependant, on peut apporter quelques
modifications afin de l'optimiser ou mieux l'adapter à certains environnements.

Le fichier de configuration de Squid

est /etc/squid/squid.conf ou /etc/squid3/squid.conf (selon les versions). Pour toute
configuration, éditer donc ce fichier.
Site VELIZY :
Site de VILLEJUIFE :
VPN :
 4. Réalisation de la base de données

TUBE
Composer_Commande
Usin +REF_tube: string
+Libelle: String +num_commande: integer
+num: integer +ref_tube: string
+Diametre: integer
+Ville: string +Quante: integer
+poids: integer 1 1..*
+NUM_ATELIER: integer +Date_composer: date
Operateur

+Num: integer
+Nom: string 1..*
+prenom: string 1
1..* 1
+num_Atelier: integer

1
1..*
Commande
1..*
+NUm_commande: integer
+REF_Client: string
Composer_production +DATE_commande: date
+num_production_integer
+ref_Tube: string
+datejour: date 1..* 1
+quante: integer

1..*
1
1..*
1

ATELIER
1 1 1..*
+NUM: integer
+NUM_USINE: integer CLIENT
PRODUCTION
+Ref_client: string
+Nom: string +num_production: integer
+Address: string +num_commande: integer
+Pay: string
 USINE *
Num_Usine production *
Operateur *
Ville_Usine Num_production
NUM_Operateur Composer_Production *
Nom_Operateur Num_production Num_commande

Prenom_operateur Ref_tube

Num_Atelier datejour
Composer_commande * QUANTE
Num_Commande
Ref_Tube
Datejour
Quantite

commandes *
Num_commande
Ref_Client
Date_commande

Tube *
ATELIER * Ref_tube

Num_Atelier Libelle Client *

Ref_Client
Num_usine Diametre
Nom
poids
Address
Num_Atelier
Pay
Firewall

Sophos UTM 320 Protection unifiée pour les réseaux des entreprises.

 Facilité de gestion : gérez l'ensemble des paramètres au moyen d'une interface graphique Web
(GUI). Il est inutile d'utiliser une ligne de commande ou un logiciel tiers.
 Données protégées : un cryptage fort protège les données transférées d'un bureau à l'autre,
qu'elles proviennent de périphériques mobiles ou de la messagerie.
 Rapports exhaustifs : bénéficiez d'informations complètes sur l'état du système, détectez les
logiciels malveillants et identifiez les ressources utilisées.
 Protection UTM complète : une suite complète d'options de sécurité facultatives est disponible
sur toutes les Appliances UTM Sophos.
 Accès Internet assaini : des filtres avancés pour le réseau, la messagerie et le Web protègent
votre réseau et permettent de contrôler l'utilisation de vos applications.
 Souplesse de déploiement : permet de connecter les succursales au siège social en toute sécurité
Et protège entièrement les sites de taille réduite.
6. Conclusion
On a réalisé le 1er livrable technique qui consiste à analyser
les besoins de cahier des charges de la société STELL qui
consiste conception et déploiement d’une architecture
réseau sécurisé. On a commencé par faire le diagramme de
cas d’utilisation ensuite le diagramme de séquence, le
diagramme d’activité , ainsi la réalisation du projet en
machine à l’aide d’outils de vitalisations.
6. Bibliographie :

http://www.netkit.org/

http://www.gns3.net/

http://www.samba.org/

http://www.linuxhomenetworking.com/