Académique Documents
Professionnel Documents
Culture Documents
DEDICACE
i
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Remerciements
➢ Je tiens à remercier toutes les personne qui ont contribué au succès de mon
stage et qui mon aide lors de la rédaction de ce rapport de stage ;
➢ Je remercie tous mes professeurs qui durant toute l’année scolaire mon
soutenu avec des conseils solide à l’instar de mon encadreur Mr TALLA
TAGUEM ;
ii
MISE EN PLACE D’UN SERVEUR WEB MIROIR
SIGLES ET ABREVIATIONS
AH : Authentication Header
DH : Diffie-Hellman
HA : High Availability
iii
MISE EN PLACE D’UN SERVEUR WEB MIROIR
IP : Internet Protocol
iv
MISE EN PLACE D’UN SERVEUR WEB MIROIR
GLOSSSAIRE
Serveur web : est un ordinateur connecté à Internet et sur lequel sont hébergés des sites web,
composés de pages
v
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Serveur miroir : Un serveur web miroir est une copie exacte d’un autre serveur web
Protocol : est un ensemble de règles et de procédures à respecter pour émettre et recevoir des
données sur un réseau.
Cluster : est une architecture composée de plusieurs serveurs formant des nœuds, où chacun
des nœuds est capable de fonctionner indépendamment des autres.
Détection d’intrusion : mécanisme destiné à repérer des activités anormales ou suspectes sur
la cible analysée
Intrusion : opération qui consiste à accéder, sans autorisation, aux données d’un système
informatique ou d’un réseau, en contournant ou en désamorçant les dispositifs de sécurité mis
en place
Snort : est un puissant système de détection d’intrusion qui permet de détecter et prévenir une
utilisation frauduleuse du réseau
NMAP : scanner de port libre. Il est conçu pour détecter les ports ouverts, identifier les
services hébergés et obtenir des informations sur le système d’exploitation d’un ordinateur
distant.
vi
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Sommaire
DEDICACE ................................................................................................................................. i
REMERCIEMENTS .................................................................................................................. ii
SIGLES ET ABREVIATIONS ................................................................................................. iii
GLOSSSAIRE ............................................................................................................................ v
SOMMAIRE ............................................................................................................................. vi
LISTE DES FIGURES ............................................................................................................. vii
LISTE DES TABLEAUX .......................................................................................................... x
RESUME ................................................................................................................................... xi
ABSTRACT ............................................................................................................................. xii
INTRODUCTION GÉNÉRALE ................................................................................................ 1
PARTIE I : DOSSIER D’INSERTION ..................................................................................... 2
INTRODUCTION ...................................................................................................................... 4
I. ACCUEIL ET INTÉGRATION ............................................................................................. 4
II.PRESENTATION DU MINFI ............................................................................................... 5
III.PRÉSENTATION DE MA DIVISION D’ACCUEIL : DIVISION DES SYSTÈMES
D’INFORMATION (DSI) ........................................................................................................ 13
CONCLUSION ........................................................................................................................ 15
PARTIE II : DOSSIER TECHNIQUE ..................................................................................... 16
CHAPITRE 1 : CAHIER DE CHARGE .................................................................................. 18
CHAPITRE 2 : L’ÉTAT DE L’ART ET DÉMARCHE D’IMPLÉMENTATION ................. 30
CHAPITRE 3 : IMPLÉMENTATION DE LA SOLUTION ................................................... 52
CHAPITRE 4 : RÉSULTATS ET COMMENTAIRES .......................................................... 86
CONCLUSION GENERALE ET PERSPECTIVES ............................................................... 95
ANNEXES ................................................................................................................................ A
BIBLIOGRAPHIE .................................................................................................................... B
WEBOGRAPHIE ...................................................................................................................... C
TABLES DES MATIERES ...................................................................................................... D
vii
MISE EN PLACE D’UN SERVEUR WEB MIROIR
viii
MISE EN PLACE D’UN SERVEUR WEB MIROIR
x
MISE EN PLACE D’UN SERVEUR WEB MIROIR
xi
MISE EN PLACE D’UN SERVEUR WEB MIROIR
RESUME
La taille des réseaux ne cessant de grandir de jour après jour et l’importance de ceux-ci
dans le monde de l’entreprise prenant une place prépondérante, le besoin d’assurer en temps
réel leurs disponibilités est rapidement devenu une priorité. Arrivé au Ministère des Finances
dans le cadre de notre stage académique, nous avons pu constater le rôle essentiel que joue
cette structure pour la bonne marche de l’Etat du Cameroun ; ainsi, étant donné la sensibilité
des informations y traitées et les services y hébergés, nous avons pu remarquer l’absence de
moyens pour assurer la disponibilité des services d’une part et d’autre part, pour assurer la
restauration desdites informations en cas de catastrophes ou de pannes majeures ce qui
pourrait affecter la qualité des services du ministère qui se veut à la pointe pour ce qui est du
domaine des TIC. Pour pouvoir pallier à ces manquements en termes de disponibilité et de
restauration, plusieurs solutions ont été étudiées avec chacune leurs avantages et leurs limites.
Dans notre cas, en vue de résoudre ces deux problèmes en n’utilisant qu’une solution ; tout en
conservant un coût de déploiement relativement bas, nous avons opté pour la mise en place
d’un cluster web avec sécurisation des échanges.
xii
MISE EN PLACE D’UN SERVEUR WEB MIROIR
S’agissant du cluster, nous avons utilisé pour sa mise en place heartbeat qui est un
logiciel de surveillance de la disponibilité pour les systèmes linux (Debian en ce qui nous
concerne) et DRBD (Distributed Replicated Block Device) qui est un logiciel permettant le
stockage distribué favorisant la réplication des blocs entre des serveurs. Ici, le volet sécurité
émane principalement du fait qu’il y ait un transfert de données d’un serveur à un autre,
données circulant en clair sur le réseau, pouvant donc être interceptées et utilisées à mauvais
escient ; l’implémentation d’un VPN site à site à l’aide du protocole de « tunnelisation »
IPSEC nous a permis de garantir la sécurisation de ces échanges ; l’implémentation de Snort
permet aux responsables de sécurité informatique de réagir à temps en étant au courant des
risques ou des tentatives d’attaques et de sécuriser le réseau du ministère. Malgré les multiples
difficultés rencontrées, nous avons pu mener à bien notre projet avec le concours de nos
encadrants professionnel et académique qui nous ont été d’une aide précieuse.
xiii
MISE EN PLACE D’UN SERVEUR WEB MIROIR
ABSTRACT
As the size of networks continues to grow day by day and the importance of networks
in the business world taking a prominent place, the need to ensure their availability in real
time has quickly become a priority. Arrived at the Ministry of Finance as part of our academic
internship, we have seen the essential role played by this structure for the smooth running of
the State of Cameroon; thus, given the sensitivity of the information processed and the
services hosted there, we have noticed the lack of means to ensure the availability of services
on the one hand and on the other hand, to ensure the restoration of the information in case of
major disasters or failures, which could affect the quality of the department's leading-edge
services in the ICT field. To overcome these shortcomings in terms of availability and
restoration, several solutions have been studied with each their advantages and limitations. In
our case, to solve these two problems using only one solution; while maintaining a relatively
low cost of deployment, we opted to set up a web cluster with secure exchanges.
Regarding the cluster, we used for its implementation heartbeat which is an availability
monitoring software for linux systems (Debian for OS) and DRBD (Distributed Replicated
Block Device) which is a software allowing the Distributed storage that promotes the
replication of blocks between servers. Here, the security component comes mainly from the
fact that there is a transfer of data from one server to another, data circulating in clear on the
network, can therefore be intercepted and misused; the implementation of a site-to-site VPN
using the IPSEC "tunneling" protocol enabled us to guarantee the security of these exchanges;
xiv
MISE EN PLACE D’UN SERVEUR WEB MIROIR
xv
MISE EN PLACE D’UN SERVEUR WEB MIROIR
xvi
MISE EN PLACE D’UN SERVEUR WEB MIROIR
INTRODUCTION GÉNÉRALE
L’importance grandissante des TIC les rend de plus en plus indispensables pour notre
quotidien. Quel que soit le service rendu par un système informatique, il est essentiel que les
utilisateurs aient confiance en son fonctionnement pour pouvoir l'utiliser dans de bonnes
conditions. On appelle « haute disponibilité » (en anglais « high availability ») toutes les
dispositions visant à garantir la disponibilité d'un service, c'est-à-dire assurer le bon
fonctionnement d'un service 24H/24. Partis en stage au Ministère des Finances pour une
période de trois mois comme prévu dans notre formation, nous avons avec l’approbation de
nos encadrants travailler sur le thème : Mise en place d’un serveur web miroir avec
sécurisation des échanges dans l’optique de pallier à la fois aux problèmes d’indisponibilité
Etant donné que les serveurs web du Ministère des Finances héberge bon nombre de
ressources utilisées quotidiennement, nous avons pu constater qu’il n’existait pas une solution
pour la restauration en cas de perte d’informations pour une raison ou une autre, mais
également que la disponibilité des services du serveur web n’était pas garantie et aussi le
problème de sécurité du réseau. La résolution des problèmes précédemment énoncés sera
faite en plusieurs étapes qui seront davantage détaillées dans la phase technique de notre
rapport, étapes montrant les canevas suivis pour mener à bien et de façon efficiente notre
projet. Bien entendu, cette phase technique sera précédée par la phase d’insertion dans
laquelle il sera question de présenter la structure d’accueil, ses objectifs et ses missions.
Enfin, nous allons présenter les résultats de tests et nous envisagerons certaines perspectives
pour l’amélioration de la solution mise en place.
3
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Partie I :
DOSSIER
d’insertion
RESUME :
APERCU :
4
MISE EN PLACE D’UN SERVEUR WEB MIROIR
INTRODUCTION
ACCUEIL ET INTEGRATION
PRESENTATION DU MINFI
PRESENTATION DE LA DSI
CONCLUSION
INTRODUCTION
5
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Premier rapport de notre stage, la phase d’insertion est celle qui informe sur la prise
de contact de l’étudiant avec la structure d’accueil jusqu’au choix de notre thème à
développer. L’Institut Africain d’Informatique Représentation du Cameroun (IAI-Cameroun)
y accorde une importance particulière en se rassurant que l’étudiant a été bien accueilli et
bien suivi durant son séjour au sein de ladite structure. Il est souvent difficile pour l’étudiant
de faire ses premiers pars en entreprise, ceci parfois dû au nouvel environnement auquel il
fait face. C’est dans ce sens qu’il nous a été demandé de rédiger un rapport d’insertion qui ici
présentera le compte rendu de l’accueil que nous avons reçu et du nouvel environnement que
nous avons découvert dans la structure. Elle offre aussi la possibilité au stagiaire de mieux
connaitre la structure qui l’accueille, d’identifier les besoins de ladite structure et de proposer
ainsi des solutions pour remédier aux problèmes présentés.
I. ACCUEIL ET INTÉGRATION
Arrivé en date du 3 juillet 2019, nous nous sommes présentés dans les locaux du
ministère des finances puis précisément à la sous-direction du développement des ressources
humaines située au bâtiment A (porte 134) pour remplir les conditions de stage académique
notifiées par le secrétaire général auprès du ministre en charge de ce département ministériel
muni de notre lettre de stage et après vérification, nous avons été conduit à la division des
systèmes d’information.
Le 04 juillet 2019 marquait le début effectif de notre stage et nous avons été accueillis par
Monsieur BOMA Louis Marie CHEF DE LA CELLULE DE GESTION TECHNIQUE DE
L’INTRANET ET DES RÉSEAUX DE COMMUNICATION. Celui-ci nous a entretenu
pendant quelques minutes au sujet de notre formation académique, notre carrière
professionnelle, notre choix par rapport au domaine d’étude (réseaux et systèmes,
développements, sécurité…), une fois nous ayant présenté à notre encadrant professionnel à
savoir monsieur NKONLA Basile, par la suite notre encadrant nous a présenté à ses
collègues.
Le 05 juillet 2019 nous avons assisté à la configuration des VLANS, l’identification des
équipements de la salle serveur sous la supervision de monsieur WELEPE Wilfried et
Monsieur KINGUE Yves tous informaticiens de la DSI. Dans l’après-midi du 05 juillet 2019
nous avons effectué une visite des locaux du MINFI assisté par Monsieur KINGUE Yves.
Nous avons aussi assisté à quelques travaux de maintenance informatique en assistance au
personnel de la DSI. Le 25 juillet 2019 nous avons effectué une visite guidée des locaux,
6
MISE EN PLACE D’UN SERVEUR WEB MIROIR
❖ TÂCHES EFFECTUÉES
Lors de notre stage nous avons, en plus notre projet, en tant qu’Ingénieur des travaux
informatiques, nous avons assisté nos encadrants dans quelques travaux de maintenances
pendant notre séjour, parmi lesquels :
En 1961, l’accent est mis sur le Ministère des Finances et le Ministre de l’Economie
Nationale ;
7
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Depuis l’indépendance, l’économie camerounaise aura jusqu’à nos jours un cheminement en trois
étapes :
D’abord la grande euphorie post Independence (1960-1986) arquée par une longue période
de croissance strictement positive ;
2. Mission
i. En matière budgétaire,
8
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Du contrôle financier des organismes dotés d’un budget annexe et des établissements
publics autonomes suivant les règlements propres à chaque organisme ou
établissement ;
9
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Pour ce qui est de ses objectifs, le ministère des finances assure la tutelle sur institut de
mission, les établissements de crédits, les compagnies d’assurance suivantes :
i. ORGANIGRAMME
10
MISE EN PLACE D’UN SERVEUR WEB MIROIR
11
MISE EN PLACE D’UN SERVEUR WEB MIROIR
4. Plan de localisation
13
MISE EN PLACE D’UN SERVEUR WEB MIROIR
13
MISE EN PLACE D’UN SERVEUR WEB MIROIR
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
1. Mission
Placée sous l’autorité d’un Chef de Division, la Division des Systèmes d’Information a
pour mission la mise en œuvre des stratégies définies dans le domaine de l’informatique, des
Technologies de l’Information et des Communications (T.I.C) et des réseaux de communication
au sein du Ministère.
2. Organigramme de la DSI
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
DSI
la Cellule de
la Cellule des la Cellule du Suivi Gestion Technique
Etudes et des de l’Exploitation et de l’intranet et des
Développements de la Maintenance Réseaux de
Communication
Le personnel de la DSI peut être estimé à une trentaine d’informaticiens, repartis dans les
deux bâtiments du MINFI.
CONCLUSION
Rendu au terme de cette phase d’insertion qui portait non seulement sur la présentation
générale de l’entreprise mais aussi sur l’accueil qui nous a été réservé, les conditions dans
lesquelles nous avons travaillé et notre capacité à s’imprégner de l’environnement
professionnel, il en découle que cette étape a été réalisée sans difficulté majeure, dans un
espace convivial, avec un esprit de confiance dû au professionnalisme et à l’expérience du
maître de stage (encadrant professionnel) et de ses collaborateurs. En outre, cette phase a été
pour nous très productive en ce sens qu’elle a permis aux uns et aux autres de percevoir la
nécessité du travail collaboratif, de la coopération, et le plus important de pouvoir nous
intégrer dans le monde professionnel. Nous allons poursuivre avec la phase technique qui
constitue l’essence même de notre travail.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Partie II :
DOSSIER
TECHNIQUE
Résume :
Le dossier technique est un document qui présente le volet technique de notre travail,
du recueil et critique de l’existant, à l’implémentation de la solution en passant par une
approche méthodologique.
Aperçu :
INTRODUCTION
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
CHAPITRE 3 : IMPLEMENTATION
CHAPITRE 4: RESULTATS ET
COMMENTAIRE
CONCLUSION
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Ce chapitre permet de mettre notre projet dans son cadre général en présentant les
fondements et raisons de notre présence en entreprise. En effet, nous allons tour à tour :
présenter le contexte de notre stage, puis faire ressortir la problématique, les objectifs, la
planification et enfin l’évaluation financière.
I. CONTEXTE
Dans la première partie nous avons présenté le MINFI qui est une structure stratégique de
l’administration camerounaise. Il héberge en son sein plusieurs applications critiques. A la
Division des Systèmes d’Information où nous avons effectué notre stage, plusieurs serveurs y
sont hébergés notamment :
✓ Le serveur de « MESSAGERIE » ;
✓ Le serveur « MAILSOFT » ;
✓ Un serveur de supervision ;
✓ Etc…
Tous ces serveurs ont besoin d’être disponible 24H/24 et 7jours/7 pour permettre au MINFI
d’atteindre ses objectifs de performance raison pour laquelle l’importance d’envisager la mise
en place d’une solution de réplication de ces serveurs tout en assurant la sécurité de ceux-ci.
Ainsi, étant donné la sensibilité et l’importance des informations traitées par le MINFI,
il ne peut se permettre d’avoir un certain nombre de ses services indisponibles durant des
périodes plus ou moins longues, car cette indisponibilité réduit de manière significative la
productivité et l’efficacité du ministère. Bien que cette indisponibilité soit malvenue, compte
tenue le nombre multiple de serveurs que possède le MINFI, il n’en demeure pas moins que
les utilisateurs n’ont pas toujours accès à ces ressources en temps voulu, ce qui engendre des
conséquences néfastes.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Le réseau local du Ministère des Finances (MINFI) est bâti sur une architecture
physique en étoile ; où les nœuds principaux sont situés respectivement à la Cellule
Informatique (CIB) de la Direction Générale du Budget (DGB) au bâtiment B et à la Cellule
Informatique (CIT) de la Direction Générale du Trésor et de la Coopération Financière et
Monétaire (DGTCFM) au bâtiment A. Les sites distants (22 au total) des services extérieurs
du MINFI sont raccordés à ce nœud à travers des liaisons de transmission sur support fibre
optique, sur faisceau hertzien numérique ou par liaison satellitaire.
La connectivité inter sites est mise en œuvre par la technologie IP à travers des routeurs
Cisco 2821 et 3845. Les routeurs 2821 sont déployés dans les sites MINFI de Yaoundé et de
Douala, ainsi qu’aux Pops de CAMTEL des autres circonscriptions financières. Les routeurs
3845 sont déployés aux Pops d’agrégation de Yaoundé et de Douala et à l’ACCT,
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Les salles serveurs (03 salles) du MINFI contiennent des équipements comme par
exemple les armoires (baie) de brassages de 24U, les armoires de 42U, les tiroirs optiques, les
routeurs Cisco, les convertisseurs optique-électriques S4TEF de Network Transitions, les
commutateurs Cisco Catalyst, les serveur HP ProLiant, les mini PABX pour le téléphone, les
panneaux de brassages de 24 ports, bandeaux de prises avec parafoudre. Le réseau du MINFI
est protégé par des checkpoint. Les ordinateurs par les onduleurs de marque APC. La
communisation est effectuée à l’aide des mini centrale téléphonique de marque CAMTEL.
❖ Les serveurs
Le MINFI possède une trentaine de serveurs dans lesquels sont installées les applications
lourdes comme EBULLETIN, PROBMIS, TABOR…
❖ Les routeurs
On trouve des routeurs de la gamme Cisco 2800 séries, 1800 séries et 3000 séries. Les
routeurs de la gamme 2800 sont utilisés pour l’accès Internet fourni par la société CAMTEL.
Les routeurs de la gamme 1800 et 3000 sont utilisées pour l’interconnexion des structures du
MINFI.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
❖ Les commutateurs(switch)
❖ Les armoires(baie)
Hébergeant les équipements comme les routeurs, les serveurs, les tiroirs optiques, les
commutateurs, les convertisseurs optiques-électriques. Nous avons constaté l’existence des
baies de 12U, 24U, 42U.
❖ Les firewalls
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
checkpoints qui permet en particulier de protéger les serveurs hébergés et la sortir vers
l’extérieure. L’un se trouve à la DRH et l’autre à la DSI.
❖
❖ Les onduleurs de marque APC
Caractéristique : APC Smart-UPS VT 10kVA et 6 KVA 400V w/4 Batt Mod, Start-Up 5X8,
Int Maint Bypass, Parallèle Capable
❖ Les microordinateurs
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Utilisées pour les travaux d’impression des documents. De marque HP laser et jet d’encre ;
Canon 400 MHz.
➢ Logiciels clients: Windows 7, Windows 8 et 8.1, Windows 10, Ubuntu, Microsoft office
2007, 2010, 2013 et 2016
➢ Logiciels serveurs : Ubuntu server, Windows server 2008 et 2012
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
IV. PROBLÉMATIQUE
Assurer la disponibilité d'un serveur est identique à assurer la continuité des services,
malgré une panne du serveur sur lequel il tourne et procédures de bascules automatiques si le
service est critique. Il s’agit en général de dupliquer un maximum d’éléments matériels du
système (redondance) et de prévoir des mécanismes de basculement automatique du serveur
en panne vers celui en état de fonctionnement normal. Dans ce cas de figure, la difficulté
majeure est d’assurer la conformité et l’intégrité des données à la disposition de l’utilisateur
après la panne du serveur sur lequel elles étaient disponibles initialement ; étant entendu que
ces données demeurent accessibles mais sur un autre serveur désormais. Toutefois, nous
avons constaté des anomalies relatives à la sécurité des serveurs. Notamment, le manque d’un
mécanisme de détection d’intrusion. Ceci dit, le mécanisme de réécriture des données sur le
second serveur n’est pas d’une sécurité optimale. Sur ce, nous nous posons la question de
savoir comment assurer la haute disponibilité des services de façon sécurisée et comment
sécuriser le réseau du Ministère des Finances ?
V. OBJECTIFS
Suite aux différents problèmes soulignés et aux propositions de solutions faites. Il nous
parait logique de définir un certain nombre d’objectif qui fera office de feuille de route ou
mieux de conducteur de notre projet. Ce dernier comprendra de façon détaillée tous les points
de résolution qui animeront notre travail.
1. Objectifs généraux
Notre travail consiste à assurer la haute disponibilité des services du serveur web «
EBULLETIN » du Ministère des Finances ; tout en sécurisant les données transitant et
prévenir en cas d’intrusions frauduleuses des pirates.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Synchroniser les données entre le serveur web principal et le serveur web miroir en temps
réel ;
Effectuer le basculement des requêtes des clients vers le serveur web miroir lorsque le
serveur web principal est hors service ;
Permettre de reprendre rapidement les activités du ministère après un incident ;
Résister aux pannes et augmenter la disponibilité des serveurs ;
Répartir la charge de travail entre les deux serveurs ;
Implémenter un réseau privé virtuel entre le site hébergeant le serveur web principal et
celui où est situé le serveur web miroir ;
En entreprise, les données informatiques ont aujourd'hui une valeur unique. Toute
société a besoin de protéger ses données, et d'avoir la garantie d'assurer sa continuité de
service en cas de problème. Que ce soit lié à un sinistre total ou partiel (vol de machine, erreur
de manipulation, panne irrécupérable de serveur), il est indispensable de pouvoir assurer une
haute disponibilité des serveurs.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
2. Intervenants du projet
Pour la réalisation de ce projet l’équipe sera constituée de :
Tableau 2: intervenants du projet
Noms et Prénoms Rôle Fonction
1. Ressources matérielles
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
2. Ressources logicielles
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
3. Ressources humaines
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Serveurs web statiques, ils sont qualifiés de statiques car envoient les fichiers
hébergés tels quels vers le navigateur. Le serveur web statique est composé d’un
système d’exploitation et d’un serveur http ;
Serveurs web dynamiques, un serveur web dynamique possède d’autres composants
logiciels en plus de ceux du serveur web statique. Certains qu’on retrouve
fréquemment à l’instar d’un serveur d’applications et une base de données. Il est
appelé
« dynamique » car le serveur d’applications met à jour les fichiers hébergés avant de les
envoyés au navigateur via HTTP.
Une solution consiste à stocker les données sur un équipement SAN (Storage Area
Network). Données qui pourront être accessibles à partir de deux serveurs (ou plus).
Ainsi, en cas de dysfonctionnement du serveur principal, le second pourra accéder aux
données à jour sur le SAN. Cependant, plusieurs limites sont attribuées à cette
technologie à savoir :
▪ Le coût de déploiement est assez important ;
▪ Elle peut représenter un SPOF (Single Point Of Failure) en ce sens ou si le
SAN, pour une raison ou une autre, venait à être hors service, l’ensemble du
système le serra également ce qui ne garantirait pas la haute disponibilité telle
que préalablement définie
Comme seconde solution, nous avons les synchronisations régulières de types rsync
entre deux serveurs, dans le sens serveur principal-serveur secondaire. De cette façon,
si le serveur principal venait à être hors service, les services affectés pourraient être
démarrer sur le serveur secondaire, à ceci près que les données disponibles dateront de
la dernière synchronisation ;
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Une autre solution est la redondance matérielle. Elle consiste à doubler le matériel
critique afin d’assurer la continuité des services, en cas de défaillance engendrant un
coût plus ou moins important ;
La mise en cluster de deux serveurs est notre dernière solution. Elle permet d’utiliser
plusieurs équipements en commun afin de gérer des services ; l’infrastructure en
cluster a de nombreux avantages tels que l’augmentation de la disponibilité, la
répartition des charges sur plusieurs équipements (via le loadbalancing) et la gestion
efficace des ressources physiques partagées. Avec cette technologie, nous sommes à
l’abri des SPOFs et les données du système sont parfaitement ajour sur le serveur
secondaire en cas de bascule vers ce dernier (fail over). Dans notre cas, nous
utiliserons DRBD et
HEARTBEAT.
Ici, les échanges dont il est question sont ceux entre les sites hébergeant les deux
serveurs. comme solutions pour sécuriser lesdits échanges, nous avons :
L’usage d’une ligne louée spécialisée ou ligne dédiée : c’est-à-dire que l’entreprise
souscrit à un forfait mensuel ou annuel lui permettant d’utiliser une connexion internet
dédiée. Cette solution est très onéreuse et la confidentialité des données n’est pas
garantie ;
La mise en place d’un VPN, c’est-à-dire un tunnel sécurisé à travers le réseau internet
dans lequel circuleront les données transitant d’un site à un autre.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Face aux problèmes d’intrusions, il existe plusieurs solutions concernant le choix d’un
IDS. Il existe des solutions commerciales aussi bien qu’open source. Les solutions open
source n’ont rien à envier aux solutions commerciales. Nous pouvons avoir comme solutions :
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
protocole TCP est un protocole orienté connexion c’est-à-dire qu’il permet à deux
machines qui communiquent de contrôler l’état de transmission. Ce protocole permet
de vérifier le flot des données afin d’éviter la saturation du réseau ; de formater les
données en segments de longueur variable afin de les restituer au protocole IP.
2. Présentation de DRBD
En temps réel. En permanence, pendant que les applications modifient les données
présentes sur le périphérique ;
De façon transparente. Les applications qui stockent leurs données sur le périphérique
répliqué n'ont pas conscience que ces données soient en fait stockées sur plusieurs
ordinateurs ;
De façon synchrone, ou asynchrone. En fonctionnement synchrone, une application qui
déclenche une écriture de donnée est notifiée de la fin de l'opération seulement après
que l'écriture a été effectuée sur tous les serveurs, alors qu'en fonctionnement
asynchrone, la notification se fait après que la donnée ai été écrite localement, mais
avant la propagation de la donnée.
À ce jour, DRBD permet la réplication entre deux serveurs grâce à la technologie de RAID1
encore appelée : disque en miroir qu’elle intégré. DRBD permet d’effectuer la
synchronisation des données selon 3 protocoles présentés par ordre de performance :
Protocole A : une opération d’écriture est considérée comme terminée avec succès dès
que les données sont écrites sur le disque local (serveur maitre) et envoyées sur le
réseau vers le serveur esclave.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Protocole B : une opération d’écriture est considérée comme terminée avec succès dès
que les données sont écrites sur le disque local (serveur maitre) et que le serveur
esclave a accusé réception des données.
Protocole c : une opération d’écriture est considérée comme terminée avec succès dès
que les données sont écrites sur le disque local (serveur maitre) et que le serveur
exclave a indiqué qu’il a écrit les données sur son disque.
Comme on peut le voir, le protocole C est le plus sécurisé mais également le plus lent.
En effet, il est le seul à garantir qu’en cas de crash, la totalité des écritures réalisées sur le
maitre a été entièrement effectuée sur l’esclave. On est donc certain de retrouver à l’identique
sur le serveur esclave les données présentes sur le serveur maitre avant le crash.
3. Présentation de heartbeat
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Lorsqu'une panne intervient sur le serveur principal, le serveur miroir détecte l'arrêt
des battements et lance le processus de bascule : elle prend l'adresse IP des services, monte le
système de fichiers et lance les services réseaux rendus par le cluster. Ce mécanisme de
bascule est donc facile à implémenter, à une exception près : le système de fichier que l’on
monte sur le serveur web miroir doit contenir exactement les mêmes données que celui du
serveur web principal au moment du crash. C’est là que DBRD joue son rôle. Le mécanisme
est le suivant lorsque le serveur web principal écrit sur le système de fichier, il écrit à la fois
sur son propre système de fichier, mais également sur le système de fichier du serveur web
miroir. Ainsi il dispose en temps réel d’une copie des données.
Figure 14:illustration du cluster avec drbd et heartbeat (source : ma conception, edraw max)
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Cryptage des données : les données circulant dans le réseau public (Internet) doivent être
illisibles aux clients non autorisés ;
Gestion des clés : la solution doit générer et mettre à jour les clés pour l'encryption des
données du client et du serveur ;
Prise en charge multi-protocoles : la solution doit permettre l'utilisation de protocoles
communs utilisés dans le réseau public ;
Les protocoles sont un ensemble de règles qui régissent les communications dans les
réseaux entre couches de même nature. En ce qui concerne les protocoles du VPN, ils
constituent l’essence même des VPN. Les principaux protocoles VPN sont :
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Non
Compression Oui (Option) Non
Accessibilité Simple Difficile Difficile
Pour mettre en place notre VPN nous allons utiliser le Protocol IPSEC car il répond à nos
attentes.
2. Protocole IPSEC
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
On distingue deux types de VPN : les VPN d’accès à distance et les VPN site à site (qui
feront l’objet de notre étude)
a. Mode de fonctionnement
Développé pour fonctionner sur les réseaux utilisant les protocoles IPv4 et IPv6 par
l’IETF, IP sec permet de sécuriser les données au niveau de la couche 3 ou couche réseau du
modèle OSI. IP sec offre deux modes de fonctionnement :
Le mode transport
Le mode tunnel
Dans le cas du mode transport, les données sont prises au niveau de la couche 4 du
modèle OSI (couche transport). Elles sont cryptées et signées avant d’être transmise à la
couche IP. Ce mode est relativement facile à mettre en œuvre.
Le défaut présenté par le mode transport, est que, étant donné que le mécanisme
s’applique au niveau de la couche transport, il n’y a pas de confidentialité (masquage
d’adresses). C’est pourquoi un deuxième mode peut être mis en œuvre, le mode tunnel, dans
lequel l’encapsulation IP sec a lieu après que les données envoyées par l’application aient
traversé la pile de protocole jusqu’à la couche IP incluses. Dans ce cas, il y a bien masquage
des adresses.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Le protocole IP sec est un protocole qui permet de sécuriser les échanges au niveau de la
couche réseau. Il utilise deux mécanismes pour assurer la sécurité des données :
Intégrité ✓ ✓
Authentification ✓ ✓
Détection du rejet ✓ ✓
Confidentialité ✓
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
SPD (Security Policy Database) : c’est elle qui contient la police de sécurité. Elle
permet de décider, pour chaque paquet, s'il se verra apporter des services de sécurité,
s'il sera autorisé à passer ou rejeté.
Il est à noter qu’une "Security Policy" est unidirectionnelle, si la communication veut s’établir
dans les deux sens il faudra deux "Security Policy" ou entrée dans la SPD.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Les HIDS sont les tous premier IDS à avoir été développés et implémentés. Ce
système collecte et analyse les données d’un hôte qui offre un service tel que service web ou
base de données. Une fois que les données sont collectées, elles seront analysées par un agent
localement ou elles seront envoyées vers une autre machine dédiée à cette tâche.
Le HIDS peut être sous la forme d’un programme qui est installé sur un système
d’exploitation afin d’analyser les fichiers logs ou les fichiers des résultats d’audit. Ce programme
est très efficace contre les différentes attaques connues sur les machines, il est capable de
détecter les « backdoors » et les « rootkits ». Aussi, il est capable de détecter les modifications
interdites des fichiers importants. Cependant, il ne s’agit pas d’un système idéal. Le HIDS a un
grand inconvénient, il peut être détecté facilement par le « hacker » et il peut lui bloquer la
collection des données, il deviendra alors inutile.
Exemple : OSSEC-HIDS : Il s’agit un HIDS open-source, il est capable d’analyser les logs,
vérifier l’intégrité des fichiers, détecter les « rootkits » et envoyer des alertes en temps réels.
C’est un type d’IDS qui est capable d’écouter sur le réseau, sniffer le trafic et analyser
les paquets. Ces paquets seront examinés par le NIDS et comparés avec des donnée suspectes
pour vérifier s’ils sont malicieux ou bien non. Les NIDS sont responsables de la sécurité de
tout un réseau et non pas d’une seule machine comme le cas d’un HIDS. Ils sont plus
distribués. Au lieu de collecter les données depuis les machines, les NIDS les collectent
depuis les paquets sniffés sur le réseau. Cette surveillance des connexions entre les terminaux
rend le NIDS efficace en détection des tentatives des intrusions et des accès interdits. Il est
capable de détecter les accès non autorisés dans le réseau. Comme tout système, le NIDS à ses
propres défauts : il ne peut pas sniffer tous les paquets si le débit du réseau est trop élevé.
Aussi, il ne peut pas détecter les intrusions si les paquets contenant les « payloads » sont très
bien chiffrés.
Exemple : Snort : C’est un NIDS Open-Source, il a été développé par « sourcefire ». C’est le
père des NIDS. Il peut aussi jouer le rôle d’un IPS (Intrusion Prevention system). Il est le plus
utilisé.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Les IDS hybrides rassemblent les caractéristiques des NIDS et HIDS. Ils permettent,
de surveiller le réseau et les terminaux. Les sondes sont placées en des points stratégiques, et
agissent comme NIDS et/ou HIDS suivant leurs emplacements. Toutes ces sondes remontent
alors les alertes à une machine qui va centraliser le tout, et lier les informations d’origines
multiples. Ainsi, on comprend que les IDS hybrides sont basés sur une architecture distribuée,
ou chaque composant unifie son format d’envoi. Cela permet de communiquer et d’extraire
des alertes plus exactes.
NIDS -Les capteurs peuvent être bien -La probabilité de faux négatifs
sécurisés puisqu’ils se contentent (attaques non détectées) est élevée et il
d’observer le trafic. est difficile de contrôler le réseau
entier.
-Détecter plus facilement les scans
grâce aux signatures. -Ils doivent principalement fonctionner
de manière cryptée d’où une
-Filtrage de trafic.
complication de l’analyse des paquets.
-assurer la sécurité contre les attaques
puisqu’il est invisible. -A l’opposé des IDS basés sur l’hôte,
ils ne voient pas les impacts d’une
attaque.
HIDS -Découvrir plus facilement un Cheval -Ils ont moins de facilité à détecter les
de Troie puisque les informations et scans.
les possibilités sont très étendues.
-Ils sont plus vulnérables aux attaques
-Détecter des attaques impossibles à de type DoS.
détecter avec des IDS réseau puisque
le trafic est souvent crypté. -Ils consomment beaucoup de
ressources
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Comme son nom l’indique un système de détection d’intrusion est fait pour détecter
les intrusions, c’est à dire qu’il a pour but de détecter les attaques ciblant les équipements du
réseau et alerter les personnes concernées. Un IDS installé dans un réseau peut être comparé à
un système d’alarme installé dans une maison. À travers les différentes méthodes, ces deux
systèmes détectent les intrusions et envoient une sorte de signal d’alarme spécifique. Un IDS
peut être configuré afin de pouvoir travailler en coopération avec un firewall qui vise à
contrôler le trafic. Il ne faut pas confondre ces deux outils de sécurité. Un firewall essaye de
stopper les attaques et les accès interdits, il est souvent placé dans la première ligne de
défense. Alors que l’IDS détecte si oui ou non le réseau est attaqué. C’est sûr que la mise en
place d’un IDS va améliorer la sécurité d’un réseau mais il n’offre pas une garantie totale de
la sécurité.
C’est dans cette perspective que nous allons vous présenter, sans rentrer dans les
détails, les deux approches principales utilisées pour la détection des intrusions aux systèmes
d’information. En effet, plusieurs techniques sont utilisées pour assurer cette fonctionnalité
selon l’approche utilisée pour assurer la détection d’intrusions.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Ainsi cette technique présente un inconvénient principal qui se traduit par le niveau de
précision des signatures d’attaques. De plus le niveau de détection des attaques dépend
impérativement de la manière dont elles sont gérées, les mises à jour de la base des signatures
et du nombre des règles présentes pour gérer les alertes
❖ Approche comportementale :
Cette approche s’appuie principalement sur l’analyse du comportement passé des
utilisateurs, des services ou des applications. Elle permet d’établir une certaine corrélation
entre les différents événements sur un système et ainsi détecter des anomalies qui mènent à la
détection de tentatives intrusives sur ce dernier. En effet, cette approche définie un
comportement normal du système et considère toute déviation par rapport à ce comportement
comme étant suspecte.
En général, les IDS mélangent les différentes techniques de détection par scénario ou
par anomalie en proposant des combinaisons entre la recherche des motifs, l’analyse
protocolaire et la détection d’anomalies.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
✓ Fiabilité : les alertes générées doivent être justifiées et aucune intrusion ne doit
pouvoir lui échapper ;
✓ Réactivité : un IDS doit être capable de détecter les nouveaux types d’attaques le plus
rapidement possible ; pour cela il doit rester constamment à jour. Des capacités de
mise à jour automatique sont indispensables ;
✓ Facilité de mise en œuvre et adaptabilité : un IDS doit être facile à mettre en œuvre,
surtout s’adapter au contexte dans lequel il doit opérer. Il est inutile d’avoir un IDS
émettant des alertes en moins de 10 secondes si les ressources nécessaires à une
réaction ne sont pas disponibles pour agir dans les mêmes contraintes de temps ;
✓ Performance : la mise en place d’un IDS ne doit en aucun cas affecter les
performances des systèmes surveillés.
5. Présentation de Snort
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Dans cette position, la sonde occupe une place de premier choix dans la détection des
attaques de sources extérieures visant l’entreprise. SNORT pourra alors analyser le trafic qui
sera éventuellement bloqué par le Firewall. Les deux inconvénients de cette position du NIDS
sont : primo, le risque engendré par un trafic très important qui pourrait entraîner une perte de
fiabilité et secondo, étant situé hors du domaine de protection du firewall, le NIDS est alors
exposé à d'éventuelles attaques pouvant le rendre inefficace.
Sur la DMZ :
Dans cette position, la sonde peut détecter tout le trafic filtré par le Firewall et qui a
atteint la zone DMZ. Cette position de la sonde permet de surveiller les attaques dirigées vers
les différents serveurs de l’entreprise accessibles de l’extérieur.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
partir de l'intérieur. Dans le cas d’entreprises utilisant largement l'outil informatique pour la
gestion de leurs activités ou de réseaux fournissant un accès à des personnes peu soucieuses
de la sécurité (réseaux d’écoles et d’universités), cette position peut revêtir un intérêt
primordial.
SNORT emploie un langage flexible de règle écrit par « sourcefire » pour décrire le
trafic qu’il devrait se rassembler ou passer, aussi bien qu’un moteur de détection qui utilise
une architecture plug-in modulaire.
Les règles de SNORT sont composées de deux parties distinctes : le header et les optons :
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
SNORT est considéré comme l’un des meilleurs outils de détection d’intrusions sur le marché
car il se base sur l’emploi des règles de sécurité qui sont maintenues à jour par une communauté
très actives. Snort analyse la totalité des données sur le réseau et chacun des paquets reçus, puis
effectue une action si ceux-ci correspondent à une règle biendéfinie. Snort peut être configuré
pour fonctionner en trois modes : le mode sniffer, le mode packet logger et le mode détection
d’intrusion.
✓ Le mode sniffer : dans ce mode, SNORT lit les paquets circulant sur le réseau et les
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
✓ Le mode « packet logger » : dans ce mode SNORT journalise le trafic réseau dans des
répertoires sur le disque ;
▪ L’option ‘-l répertoire ‘ : active le mode journalisation des paquets et spécifie
le répertoire ou sont stockés les alertes et les paquets capturés. Par défaut, le
répertoire est /var/log/Snort.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
SOLUTION
I. INSTALLATION ET CONFIGURATION DU SERVEUR
PRINCIPAL
Les services suivants sont déjà installés sur notre serveur :
Un serveur http
Il s’agit d’un programme qui tourne sur une même machine (un serveur ou sur un poste
en local) qui permet à des clients d’accéder à des pages web, ou tout autre fichier présent sur le
serveur à partir d’un navigateur ou tout autre programme supportant le protocole HTTP.
Un langage de script
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Après avoir rempli le fichier on enregistre et on redémarre l’interface réseau avec les
commandes suivantes pour que la configuration soit prise en considération.
❖ Nous allons par la suite créer une partition sur notre disque dur réservé au stockage des
données qui seront synchroniser par DRBD :
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
❖ Activation de DRBD
❖ Editions à présent le fichier de configuration pour la réplication des données entre nos
deux disques ainsi qu’il suit :
Explications :
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Resource r0 : Tout d’abord on donne un nom à notre ressource DRBD dans notre cas
nous allons l’appeler « r0 » ;
Rate 10M : la vitesse de synchronisation des données entre les deux serveurs ;
device /dev/drbd0 : Ceci est le nom du disque DRBD que nous allons créer
disk /dev/sdb1 : Ceci est le chemin de la partition que nous allons utiliser et qui a été créé
au début ;
address 192.168.0.25:7789 : Adresse IP avec le numéro de port TCP sur lequel DRBD à
attendre les connexions de l’autre serveur ;
Une fois la configuration de DRBD terminé nous allons créer les métadonnées sur la partition
drbd.
Nous constatons que les deux serveurs sont connectés en secondaire, il faut donc définir
l’un en primaire pour que la synchronisation des données soit effective et pour ce faire, nous
allons définir le serveur web principal comme primaire.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
❖ Nous allons à présent formater en ext4 la partition drbd précédemment créée question de
pouvoir y écrire désormais :
La configuration de drbd sur le serveur principal étant ainsi terminée, passons à celle de
heartbeat.
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Nous allons créer et éditer trois fichiers nécessaires pour la configuration de heartbeat
dans le dossier /etc/ha.d/ à savoir : ha.cf, haresources et authkeys
❖ Fichier /etc/ha.d/ha.cf
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
• Udpport 694 : c’est le numéro de port udp qui sera utilisé par les battements de cœur sur
Ethernet (694 par défaut)
• Mcast ens33 : c’est le lien réseau utilisé pour le battement de cœur
• Warntime 4 : au bout de 4s sans battement de cœur, une alerte sera générée ;
• Deadtime 5 : au bout de 5s sans battement de cœur, le serveur est déclaré « mort ». s’il
s’agit du serveur web principal, les services doivent basculer vers le serveur web miroir
• Initdead 15 : si l’on est en phase de démarrage de la machine, le délai normal (deadtime)
est augmenté à 15s pour prendre en compte les éventuelles lenteurs de démarrage de
l’autre serveur ou du réseau.
• Keepalive 2 : temps en secondes deux battements de cœur successifs.
• Auto_failback on : en cas de crash du serveur web principal, les ressources basculent
vers le serveur web miroir. Avec ce paramètre, on demande à heartbeat de rebasculer les
ressources sur les serveurs principal quand celui-ci réapparaît sur le réseau.
• Node serveur-web-principal, node serveur-web-miroir : les noms des deux serveurs
web constituant notre cluster.
❖ Fichier /etc/ha.d/haresources
Ce fichier indique quels sont les services à rendre hautement disponibles, quelle
adresse IP acquérir, et le serveur primaire (serveur-web-principal), la plupart du temps il ne
contient qu’une seule ligne. Il a une importance capitale, puisqu’il est la description exacte
des services rendus par le cluster.
❖ Fichier /etc/ha.d/authkeys
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
sont possibles : sha1, crc et md5. Dans notre cas nous avons utilisé le md5 car il offre un niveau
de sécurité assez élevé.
Après avoir configuré ce fichier nous allons lui attribuer la permission 600 avec la
commande chmod 600 /etc/ha.d/authkeys. Le fichier doit être exactement le même sur les
deux serveurs du cluster car c’est une passphrase qui leur permettra de s’identifier
mutuellement.
4. Configuration d’apache
Pour commencer nous allons désactiver le démarrage automatique d’apache, puisque c’est
désormais heartbeat qui va se charger de démarrer apache
❖ Suppression du dossier par défaut d’apache qui stocke les pages web (/var/www) et
création du nouveau dossier sur la partition drbd montée dans le dossier /mnt
Une fois ce dossier supprimé nous allons créer un nouveau dossier de stockage des pages web
d’apache dans le répertoire /mnt, puis un lien symbolique de /var/www vers /mnt/www
63
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Maintenant nous allons configurer heartbeat pour qu’il gère le démarrage automatique
d’apache2. Sur les deux serveurs nous allons éditer le fichier /etc/ha.d/haresources et
rajoutez simplement apache2 à la fin de la ligne.
8. Configuration de Mysql
Pour commencer nous allons désactiver le démarrage automatique de MySQL,
puisque c’est maintenant heartbeat qui va se charger de démarrer MySQL
❖ Arrêt de MySQL
66
MISE EN PLACE D’UN SERVEUR WEB MIROIR
Les configurations étant terminées sur le serveur principal, passons à celles du serveur miroir
Nous commencerons par l’installation des essentiels sur le serveur miroir après l’avoir
adressé :
66
MISE EN PLACE D’UN SERVEUR WEB MIROIR
❖ Installation de drbd
❖ Installation de heartbeat
66
MISE EN PLACE D’UN SERVEUR WEB MIROIR
SECURISATION DES ECHANGES
❖ Installation de MySQL-server(mariadb)
Les services étant installés, passons aux configurations proprement dites. Notons ici que ces
configurations sont une réplication relativement fidèle de celles effectuées sur le serveur
principal, à quelques exceptions près.
69
MISE EN PLACE D’UN SERVEUR WEB MIROIR
SECURISATION DES ECHANGES
❖ Heartbeat étant déjà installé, nous commencerons par éditer les trois fichiers de
configurations nécessaires à sa mise en place (ha.cf, haresources et authkeys), fichiers
se trouvant dans le dossier /etc/ha.d/
69
MISE EN PLACE D’UN SERVEUR WEB MIROIR
SECURISATION DES ECHANGES
Il faut aussi protéger ce fichier avec la permission 600 grâce à la commande chmod 600
/etc/ha.d/authkeys. Le script de configuration de ce fichier doit être exactement le même sur
les deux serveurs du cluster.
69
MISE EN PLACE D’UN SERVEUR WEB MIROIR
SECURISATION DES ECHANGES
4) Configuration d’apache
Pour commencer nous allons désactiver le démarrage automatique d’apache puis, arrêter
apache, étant entendu que c’est maintenant heartbeat qui va se charger de démarrer apache.
69
MISE EN PLACE D’UN SERVEUR WEB MIROIR
SECURISATION DES ECHANGES
5) Configuration de MySQL
De même qu’avec apache, nous allons désactiver le démarrage automatique de
MySQL, puisque c’est désormais heartbeat qui va se charger de démarrer automatiquement
MySQL.
69
MISE EN PLACE D’UN SERVEUR WEB MIROIR
SECURISATION DES ECHANGES
69
MISE EN PLACE D’UN SERVEUR WEB MIROIR
SECURISATION DES ECHANGES
Au terme de notre stage effectué au sein du Ministère des Finances, nous dirons que,
nous avons assuré la haute disponibilité des ressources informatiques du Ministère des
Finances en mettant sur pieds un système de mirroring du serveur web permettant ainsi la
continuité des services même si un disfonctionnement se produit au sein du réseau. Pour le
faire, nous avons d’abord fait une étude du réseau pour comprendre son fonctionnement,
ensuite nous avons fait une étude sur les différentes solutions de la haute disponibilité et de la
sécurité informatique, et enfin nous sommes passés à son déploiement sous VMWare et
GNS3. En effet, nous pouvons dire que nous sommes pleinement satisfaits ; d’une part des
connaissances apprises en plus et surtout de la mise en pratique de celles apprises durant
l’année académique en cours. D’autre part, nous avons appris comment s’intégrer dans un
monde purement professionnel malgré quelques difficultés rencontrées qui n’ont pas été un
frein mais un atout efficace, pour redorer notre culte de la persévérance, patience qui
constituent les qualités exceptionnelles de l’entrepreneur. Ce stage nous a permis d’acquérir
une expérience extrêmement valorisante dans la mesure où il reflète parfaitement un domaine
passionnant et intéressant. Toutes fois, dans le but de perfectionner ce projet, nous pourrons
éventuellement mettre en œuvre le loadbalancing, technologie qui permettra d’équilibrer les
charges de travail des nœuds de notre cluster de telle sorte que le serveur miroir ne soit plus
que seulement passif en attente de défaillance de serveur principal. Nous envisageons aussi
mettre sous pieds un système de notification par sms pour que Snort alerte les administrateurs
sur leurs mobiles et un système de prévention d’intrusion pour bloquer les attaques.
69
MISE EN PLACE D’UN SERVEUR WEB MIROIR
xvi
MISE EN PLACE D’UN SERVEUR WEB MIROIR
BIBLIOGRAPHIE
[2] : Dictionnaire Larousse 2016 (consulté pour la définition des mots difficiles) ;
[5] : Cours CISCO CCNA3 ET CCNA4, SR3C M. TANKOU Eddy IAI-Cameroun Année
Académique 2018-2019, pour les VPN et les ACL ;
[9] : Cours Sécurité des Réseaux, SR3D M. NDOUMI François IAI-Cameroun Année
Académique 2018-2019 ;
[10] : Rapport de stage portant sur l’implémentation d’un VPN site a site par M.
DZUAKOU TODEM Yvan Dimitri IAI-Cameroun année académique 2016-2017 ;
xvi
MISE EN PLACE D’UN SERVEUR WEB MIROIR
WEBOGRAPHIE
[1] : http://www.minfi.gov.cm
[5] :https://wapiti.telecomhttps://wapiti.telecom-lille.fr/commun/ens/peda/options/st/rio/pub/
exposes/exposesrio2007/legrand-playez/fonctionnement.htm/lille.fr/commun/ens/peda/
options/st/rio/pub/exposes/exposesrio2007/legrandhttps://wapiti.telecom-lille.fr/commun/
ens/peda/options/st/rio/pub/exposes/exposesrio2007/legrand-playez/fonctionnement.htm/
playez/fonctionnement.htm/ « Fonctionnement DRBD, Visité le 10/08/2019 à 22H00 »
[6] :http://www.univbejaia.dz/dspace/bitstream/handle/123456789/526/Etude%20et%20mise
%20en%20place%20d%E2%80%99un%20syst%C3%A8me%20de.pdf?
sequence=1&isAllo
wed=y (visité le 10/09 à 12h00 GMT pour la documentation de l’IDS et IPS)
[7] : http://www.aubeuf-hacquinyoann.fr/contenu/realisations/rapport_stage/rapport_herve-
assistant-marketing-webmaster-referenceur-91.pdf (visité le 10 septembre 2019 à 09h00
GMT pour la documentation de l’IDS et IPS)
[10] : https://www.m00nie.com/2011/03steps-to-configure-an-ipsec-site-to-site-vpn-
onahttps://www.m00nie.com/2011/03steps-to-configure-an-ipsec-site-to-site-vpn-ona-
xix
MISE EN PLACE D’UN SERVEUR WEB MIROIR
[11] : http://jacquesgouetth.blogspot.com/2017/07/comment-mettre-en-place-un-
systemehttp://jacquesgouetth.blogspot.com/2017/07/comment-mettre-en-place-un-
systeme-de.html?m=1de.html?m=1 « pour la configuration de Snort, visité le 10
septembre 2019 à 00h10 GMT »
xx
MISE EN PLACE D’UN SERVEUR WEB MIROIR
DEDICACE .................................................................................................................................
i
Remerciements ...........................................................................................................................
ii
SIGLES ET ABREVIATIONS .................................................................................................
iii
GLOSSSAIRE ............................................................................................................................
v
Sommaire ..................................................................................................................................
vi
Liste des figures .......................................................................................................................
vii
Liste des tableaux .......................................................................................................................
x
RESUME ...................................................................................................................................
xi
ABSTRACT .............................................................................................................................
xii
INTRODUCTION GÉNÉRALE ................................................................................................
1
Partie I : ......................................................................................................................................
2
DOSSIER d’insertion .................................................................................................................
2
INTRODUCTION ......................................................................................................................
4
I. ACCUEIL ET
INTÉGRATION ......................................................................................... 4
II. PRESENTATION DU MINFI ........................................................................................
5
1. Historique ........................................................................................................................
5
2. Mission ............................................................................................................................
6 i. En matière
xxi
MISE EN PLACE D’UN SERVEUR WEB MIROIR
DOSSIER
TECHNIQUE .........................................................................................................16
CHAPITRE 1 : CAHIER DE CHARGE ..................................................................................
18
INTRODUCTION ....................................................................................................................
18
I. CONTEXTE .....................................................................................................................
18
II. ETUDE DE L’EXISTANT ...........................................................................................
19
1. Présentation du matériel informatique et logiciels du MINFI .......................................
20
xxi
MISE EN PLACE D’UN SERVEUR WEB MIROIR
xxi
MISE EN PLACE D’UN SERVEUR WEB MIROIR
xxi
MISE EN PLACE D’UN SERVEUR WEB MIROIR
c. Système de détection
hybride .................................................................................... 43
2. Mode de fonctionnement d’un IDS ...............................................................................
44
3. Les méthodes de détection ............................................................................................
45
4. Critères de choix d’un IDS ............................................................................................
46
5. Présentation de Snort .....................................................................................................
47
6. Positionnement de Snort dans un réseau .......................................................................
47
7. Les règles de SNORT ....................................................................................................
48
VI. ARCHITECTURE DE LA SOLUTION .......................................................................
51
CHAPITRE 3 : IMPLÉMENTATION DE LA SOLUTION ...................................................
52
I. INSTALLATION ET CONFIGURATION DU SERVEUR
PRINCIPAL ...................... 52
1. Préparation du serveur web principal ............................................................................
52
2. Installation et configuration de DRBD ..........................................................................
54
3. Installation et configuration de heartbeat ......................................................................
56
4. Configuration d’apache .................................................................................................
59
8. Configuration de Mysql ................................................................................................ 60
II. INSTALLATION ET CONFIGURATION DU SERVEUR MIROIR .........................
61
1. Préparation du serveur web miroir ................................................................................
61
2. Installation et configuration de DRBD ..........................................................................
63
3. Installation et configuration de heartbeat ......................................................................
64
xx
MISE EN PLACE D’UN SERVEUR WEB MIROIR
xx
MISE EN PLACE D’UN SERVEUR WEB MIROIR
ANNEXES ........................................................................................................................
QQQQ
BIBLIOGRAPHIE ............................................................................................................
QQQQ
WEBOGRAPHIE ..............................................................................................................
QQQQ
TABLES DES MATIERES ..............................................................................................
QQQQ
xx