Académique Documents
Professionnel Documents
Culture Documents
Administrateurs rseau
Session 2008
Etude, mise au point, ralisation et prsentation dune maquette de rseau priv dentreprise
Dates du stage 30 Octobre au 6 Mars 2008 Administrateur systmes et Rseaux Tuteur GRETA : Mr. Jean Gautier Messieurs Meziane ABTOUT & Aziz JATTI Organisme ou entreprise Noms des destinataires
Equipe Projet : Messieurs : Herv ROSSE Julien VEILLERANT Jonathan MALHERBE Abdel Aziz NACERI.
SOMMAIRE
Introduction .......................................................................................................3 Prambule : ........................................................................................................3 Cahier des charges ............................................................................................4 Planification .......................................................................................................5 Bureautique ....................................................................................................6 Architecture Rseau .......................................................................................6 Prsentation Architecture rseau ......................................................................7 Prsentation dActive Directory .........................................................................8 Caractristiques d'Active directory....................................................................8 Implmentation des services de domaine Active Directory...........................8 Configurer le service de noms de domaine des services de domaine Active Directory.........................................................................................................8 Configurer les objets et les approbations Active Directory...........................8 Configurer les sites Active Directory et la rplication ...................................9 Crer et configurer une stratgie de groupe .................................................9 Stratgie de groupe des utilisateurs ..............................................................9 DNS ....................................................................................................................9 Serveur e-mail ....................................................................................................9 Mise en place du serveur SMTP Postfix.........................................................9 Choix du protocole de communication .......................................................10 Configuration des options ...........................................................................10 Paramtres TLS (Transport Layer Security) ..................................................10 Dploiement du serveur IMAP, POP Dovecot ...............................................10 Protocoles de transfert.................................................................................11 Scurisation de Dovecot...............................................................................11 Installation dun serveur Web Apache2 ...........................................................11 Installation dun serveur gestionnaire de bases de donnes MySQL..............12 Installation du logiciel de travail collaboratif EgroupWare .............................12 ZENOSS ............................................................................................................13 VLAN ................................................................................................................14 Proxy et VPN ....................................................................................................14 Connectivit Internet .......................................................................................15 Serveur FTP ......................................................................................................16 Astrisk Serveur de tlphonie.......................................................................17 Choix de la solution .....................................................................................17 Fonctionnalits dAstrisk............................................................................18 Choix du protocole ......................................................................................20 Association avec Active Directory Services ..................................................20 Messagerie vocale ........................................................................................20 Interface dadministration............................................................................20 Hylafax serveur de Fax ....................................................................................21 GLPI : Gestion de Parc......................................................................................21 OCS INVENTORY : Outil dinventaire ...............................................................22 Sauvegarde ......................................................................................................22
Introduction
Ce rapport est le fruit dun travail effectu par les stagiaires Lobjectif du projet tait de pouvoir appliquer lensemble des cours qui ont t dispenss dans le cadre de la formation.
Prambule :
Nous nous intresserons dans un premier temps l'aspect technique et la ralisation d'une maquette en laboratoire reprsentant la future architecture informatique de la socit MSE. Nous verrons les dtails du cahier des charges et le projet sur lequel nous avons travaills ainsi que les problmatiques rsoudre. Chaque intervenant prsentera plus prcisment son travail : lorganisation des projets, leurs ralisations, les technologies employes en terminant sur les rsultats obtenus. Avant de conclure le rapport, une estimation financire globale vous sera fournie pour la ralisation de ce projet. Pour assurer un suivi et nous orienter dans la bonne direction en cas de problme, nous devions suivre une rgle : effectuer un compte rendu hebdomadaire faisant ressortir le travail ralis et les tches prvues de faire durant la prochaine priode. Nous devions estimer, pour chacune de ces tches, la charge de travail ncessaire. Nous avons ainsi pu au fur et mesure des semaines, grer notre temps efficacement et dfinir de faon prcise la quantit de travail ncessaire suivant le type dactivit que nous devions raliser. Dun point de vue technique, un labo VMWare a t mise en place par les membres de lquipe. Cette structure nous a permis de travailler avec des machines virtuelles comme plateformes de test.
1. Optimiser les changes de donnes. 2. Disposer pour chacun d'un dossier privatif de donnes
3. Possder un systme de sauvegarde de donnes, efficace. 4. tre protger contre les virus et Malwares.
5. Assurer la mobilit des utilisateurs sur les postes informatique de l'entreprise 6. Permettre l'accs distance aux donnes en toute scurit. 7. 8. 9. Pouvoir publier des donnes via Internet. Disposer d'un planning partag et ddi, accessible n'importe o. Dlguer l'administration distance de l'ensemble du systme.
10. Disposer d'un central de tlphonie IP exploitable par tous les utilisateurs. 11. Disposer d'un serveur de Fax avec non impression et transfert des fax sur un poste client. 12. Solutionner les risques de conflits d'adresses et noms de machines. 13. Il est impratif que l'accs la messagerie, aux agendas et aux plannings, puisse se faire, tant en interne que depuis l'extrieur.
Planification
Prparation et Paramtrage Tche Installation Windows Server 2003 Mise en place du domaine Cration utilisateurs Mise en place rplication avec annuaire Active Directory Test de la rplication dannuaires Cration stratgies de groupe Cration serveur de fichiers avec mappage des groupes Installation de la messagerie Postfix / Dovecot Paramtrage de Postfix / Dovecot Test de la messagerie Installation et paramtrage Astrisk (TOIP) Installation Egroupware Paramtrage dEGROUPWARE Test dEGROUPWARE Installation et paramtrage GLPI (Gestion de Parc) Installation et paramtrage OCS Inventory (Outil dinventaire de Parc) Installation et paramtrage HYLAFAX Proxy VPN FTP Scuris Installation et paramtrage ZENOSS Test et Validation Total heures Dbut Fin Temps pass 2 3 2 2 1 2 2 2 3 2 6 6 8 4 4 4 4 2 2 6 6 8 81
17/02/2009 17/02/2009 17/02/2009 17/02/2009 18/02/2009 18/02/2009 18/02/2009 18/02/2009 18/02/2009 18/02/2009 19/02/2009 19/02/2009 19/02/2009 19/02/2009 18/02/2009 18/02/2009 19/02/2009 19/02/2009 20/02/2009 20/02/2009 23/02/2009 23/02/2009 17/02/2009 17/02/2009 18/02/2009 18/02/2009 18/02/2009 18/02/2009 19/02/2009 19/02/2009 19/02/2009 19/02/2009 20/02/2009 20/02/2009 23/02/2009 23/02/2009 24/02/2009 24/02/2009 25/02/2009 27/02/2009 19/02/2009 19/02/2009 28/02/2009 28/02/2009
Bureautique
Nous proposons la suite bureautique Open Office en remplacement et en upgrade de la suite Microsoft Office. Cette solution prsente lavantage dtre aussi performante que la suite Office et est une solution logicielle compltement gratuite .
Architecture Rseau
Nous avons opt pour un rseau en 192.168.x.x/24 afin dtre dans un rseau priv de classe C. Gestion du rseau plus facile avec une plage dadresse restreinte. Un botier UTM (United Threat Management) sur le site principal regroupant les fonctions :
Fonction de routage inter vlan Serveur VTP permettant de diffuser sur les autres switchs les vlans configurs Relais DHCP Contrle daccs par ACL (Access Control List)
- Automatisation de la gestion des objets - Dlgation de l'accs administratif aux objets - Configuration des approbations
DNS
Le service de rsolution de noms DNS tant un pilier essentiel dun domaine active directory il faut configurer et vrifier celui-ci. Le service DNS permet de rsoudre ladresse IP dun ordinateur depuis son nom pleinement qualifi sur le domaine ou de rsoudre le nom dun ordinateur depuis son adresse IP (zone de recherche inverse). Le service DNS permet galement de pointer les diffrents services apports par les serveurs du domaine (contrleur de domaine, service de messagerie) Pour les besoins du test il faut galement crer les groupes et utilisateurs du domaine.
Serveur e-mail
fait ses preuves en milieu professionnel, certaines entreprises comme Wanadoo, Numricble, SFR lui font confiance.
Protocoles de transfert
Comme a notre habitude, pour prserver la discrtion de lentreprise et de ses employs, nous avons choisi les protocoles IMAPS et POP3S qui utilisent respectivement les ports 993 et 995
Scurisation de Dovecot
Le serveur diffusera un certificat quil partage avec Postfix pour lauthentification. Il nautorisera que les mots de passes crypts en SASL (Simple Authentication and Security Layer). Le serveur de messagerie sera synchronis avec lActive Directory
ZENOSS
Pour que les administrateurs de lentreprise puisse avoir un il sur la supervision du rseau, nous devions mettre en place une solution nous permettant de superviser le rseau et ceci au moindre cot. Notre choix sest donc port sur le logiciel ZENOSS tournant sur une plateforme Linux. Zenoss est bas sur Nagios qui est une autre solution de supervision rseau mais la particularit de ZENOSS est quil possde une interface graphique accessible par un simple navigateur internet. Zenoss se base sur une application Web qui va surveiller les noeuds du rseau et gnrer des rapports. Ses principales fonctions sont la dcouverte de la configuration du rseau, la supervision de l'activit du rseau, la gestion de la performance, d'vnements et l'alerte. La dcouverte de l'environnement est automatique, y compris le dtail des relations entre chaque composant du rseau. Parmi les protocoles utiliss, citons SNMP, WMI (pour Windows) et Telnet/SSH. Les donnes sont enregistres dans une base de donnes objet propritaire exportable en XML. Le suivi de l'activit rseau se fait au travers de tests SCMP et TCP programms. L'alerte est envoye par e-mail ou par pager.
VLAN
Pour accrotre la scurit au sein du rseau et nous permettre disoler les machines et serveurs critiques du rseau, nous avons opt pour crer des VLAN (Virtual Local Area Network, en franais Rseau Local Virtuel).
De plus, la mise en place de VLAN permettra de pouvoir segmenter le rseau et ainsi en cas de plantage de machines dans un VLAN cela naffectera pas la totalit du rseau de lentreprise. Donc, dans cette optique, nous avons dcid de crer 4 VLANS.
NB : Nous avons cr des ACL (Access Control List) sur le switch de niveau 3 pour que les diffrents VLAN ne puissent tre accessibles quen fonction des droits dfinis.
Nous avons dcid de crer un VLAN pour les serveurs afin de pouvoir pleinement les scuriser et les isoler. Ce VLAN permettra donc davoir une scurit maximale sur les serveurs. Puis, nous avons dcid dintgrer les machines de la comptabilit dans un deuxime VLAN En effet ces PC sont considrs comme critiques et ne doivent tre accessibles uniquement en fonction des permissions accordes. Nous avons galement cr un VLAN pour la TOIP/VOIP afin de pouvoir utiliser cette technologie de manire scurise et isole. Ce VLAN permettra donc davoir une scurit maximale avec une bande passante et une QoS (Quality Of Services) ddies.
Enfin, le quatrime VLAN comporte le reste des machines du parc afin de segmenter le rseau. Ce dernier VLAN ntait pas forcment ncessaire mais nous avons dcid de le crer pour accrotre un peu plus la scurit et avoir, au final, un rseau compltement scuris.
Proxy et VPN
Pour les utilisateurs devant se connecter au rseau depuis des sites distants nous devions mettre en place une solution permettant laccs distance. Nous avons donc opt pour une solution de VPN en utilisant le botier Secure 50G de chez Bewan .
Ce botier permet donc de crer des tunnels VPN. De plus, il peut-tre configur en tant que proxy pour laccs internet. Enfin, ce botier peut-tre utilis en tant que point daccs au rseau en WIFI et scuris en WPA. Nous avons donc opt pour cette solution cls en main nous permettant de pouvoir configurer facilement et rapidement tous ces protocoles. Nous avons donc configur la scurit du VPN en IPSec. Ce protocole permet davoir une scurit optimale au niveau de la connexion. Enfin, la scurit du WIFI est en WPA avec une cl de cryptage en AES-CCMP ce qui permet davoir un point daccs WIFI totalement scuris.
Connectivit Internet
Par souci de disponibilit, notre choix sest port sur deux FAI ,un accs SDSL pour permettre laccs VPN (4 Mga en download et 4 Mga en Upload), ce qui permet de garder une bande passante suffisante pour les utilisateurs des sites annexes et pour nos collaborateurs souhaitant se connecter sur le rseau a travers un tunnel VPN, un accs internet pour le site principal relativement rapide, et en cas de rupture de liens ,notre Appliance UTM , permet de faire la commutation automatique sur un autre FAI (Free en loccurrence) .Notre choix sest port en premier lieu sur le fournisseur daccs internet Vivaction en accs SDSL (Symetric Digital Suscriber Line) au tarif de 489 /Mois TTC. Concernant laccs de secours, nous nous sommes bass sur le fournisseur daccs internet FREE proposant un accs ADSL de base (20Mga en Download, 1Mga en Upload) Pour les sites annexes, un accs ADSL classique afin que nos collaborateurs puissent avoir un accs au site principal travers un accs scuris de type VPN. Dautre part pour laccs internet les boitiers sur les sites annexes intgrent un Serveur VPN, un proxy intgr, un firewall avanc intgrant les fonctions de prvention dattaques de types Dos, replay
Serveur FTP
Pour que les utilisateurs de lentreprise puissent avoir accs certaines donnes, nous devions mettre en place un serveur FTP. Lidal aurait t de crer ce serveur sous Windows 2003 mais pour ce faire, nous aurions du investir dans un serveur supplmentaire. En effet, pour des raisons de scurit vidente, nous ne pouvions pas nous permettre de configurer ce serveur FTP sur le serveur 2003 grant lActive Directory. Notre choix sest donc logiquement dirig vers un serveur FTP sous Linux. Le choix de serveurs FTP tait assez vaste mais nous avons dcid de nous diriger vers la solution VSFTPD (Very Secure File Transfert Protocol Daemon) qui est un serveur FTP dont les connexions peuvent tre scurises en SSL. Nous avons donc install et configur ce serveur sur une distribution Linux Ubuntu 8.10. Dans un premier temps, la solution trouve tait de crer, pour chaque compte FTP devant accder au serveur, un par un les accs client. Pour se faire, nous tions obligs de crer les utilisateurs sur le serveur Ubuntu, crer le rpertoire personnel, crer le dossier de partage, donner les droits sur ce partage.
La procdure sest avre tre longue et complexe, surtout si par la suite nous devions crer un grand nombre dutilisateurs supplmentaires. En approfondissant nos recherches, nous avons trouv une mthode qui consiste crer un fichier de configuration supplmentaire en y entrant les logins et mot de passe des utilisateurs pouvant se connecter au serveur FTP. Ce fichier a t ensuite convertit en fichier database et surtout scuris. Pour pouvoir se connecter, il faut crer un fichier de configuration par utilisateur. Ce fichier permet de grer les droits propres lutilisateur sur le serveur FTP. Ensuite, nous avons cr une cl de cryptage en SSL permettant de scuriser au maximum le serveur FTP, car, il faut savoir que les connexions FTP se droulent en clair , c'est-dire que les logins et mots de passe ne sont pas crypts sur le rseau et peuvent donc tre rcuprs trs facilement do lintrt de scuriser cette connexion. Une fois cette installation termine, nous avions donc un serveur FTP totalement scuris et nous permettant dajouter et de supprimer des utilisateurs trs facilement.
Choix de la solution
Astrisk est une solution alternative aux diffrents PABX IP dj prsents sur le march qui peuvent tre coteux (environ 1500 euros). En plus d'tre totalement gratuit, Astrisk est relativement assez fiable pour tre dploy au sein d'une entreprise possdant un rseau IP solide. Pour cela, Astrisk est une offre trs comptitive par rapport aux diffrentes solutions sur le march des PABX IP. Astrisk est une solution gratuite qui correspond toutes les entreprises qui cherchent rduire les frais de leurs installations tlphoniques. Elle conviendra surtout aux PME/PMI qui n'ont pas forcment les moyens d'investir dans un quipement propritaire coteux l'achat et l'entretien.
Fonctionnalits dAstrisk
L'entreprise peut alors bnficier d'un certain nombre de fonctionnalits comme:
- le transfert d'appel - roaming (interoprabilit entre des serveurs Astrisk) - envoi/rception de fax - musique d'attente - boites vocales personnelles/groupes - messagerie unifie
- la confrence plusieurs - identification de l'appelant - envoi/rception de sms - musique sur transfert - le parquage d'appel
Choix du protocole
Nous optons pour le protocole SIP (Session Initiation Protocol) Il se charge de lauthentification et de la localisation des participants. Mais il ne transporte pas de donnes. SIP remplace progressivement H.323 car il est plus souple et plus volutif.
Messagerie vocale
Nous avons mis en place un service de messagerie vocale unifie joignable en composant par exemple le 777 et en un code secret. Les messages vocaux sont aussi envoys par email. Chaque fois que quelqu'un reoit un message, il lui est transfr dans sa boite mail au format wav.
Interface dadministration
Nous avons choisi de mettre en place linterface web Freepbx logiciel gratuit anciennement AMP (Astrix management Portail) dveloppe afin de faciliter ladministration du serveur Astrisk. Cette interface sera scurise via SSL.
Sauvegarde
Nous souhaitons mettre en place une solution de sauvegarde externalise. Notre souci majeur est que la socit MSE est une entreprise de publicit et donc, nos partons du principe que beaucoup de donnes sont stockes et surtout de gros fichiers multimdias. Ces donnes entranent une taille importante sauvegarder. Dans cette optique, une solution externalise nous parait plus adapte pour MSE. Nous avons estim dans un premier temps une sauvegarde de 200 Go. Nous nous sommes tourns vers une solution hberge au sein de la socit LWS. (Voir dans les donnes financire le cot relatif cette sauvegarde) Cette solution rpond aux critres suivants :
Scurisation optimale des donnes dans un lieu autre que la socit MSE Haute disponibilit (redondance) Accessibilit 24/24 et 7/7j Pas dinvestissement matriels et donc un cot de maintenance nul (TCO)
CONCLUSION
Notre proposition prsente lavantage de vous offrir une solution globalise tant au point de vue infrastructure que scurit rpondant au cahier des charges tablit par MSE. Nous avons adopt des solutions logicielles bases sur de lOpen Source et compltement gratuites.