Vous êtes sur la page 1sur 23

VI Nom du rédacteur Nature de la modification

Administrateurs réseau

Session 2008

Etude, mise au point, réalisation et présentation d’une maquette de réseau privé d’entreprise

Dates du stage 30 Octobre au 6 Mars 2008

Administrateur systèmes et Réseaux

Tuteur GRETA : Mr. Jean Gautier

Messieurs Meziane ABTOUT & Aziz JATTI

Organisme ou entreprise Noms des destinataires

Equipe Projet :

Messieurs :

Hervé ROSSE Julien VEILLERANT Jonathan MALHERBE Abdel Aziz NACERI.

SOMMAIRE

IInnttrroodduuccttiioonn

3

PPrrééaammbbuullee

::

3

CCaahhiieerr ddeess

cchhaarrggeess

4

PPllaanniiffiiccaattiioonn

10

10

10

10

11

11

11

12

12

13

14

14

15

16

17

17

18

20

20

20

20

21

21

22

22

5

Bureautique

6

Architecture Réseau

6

PPrréésseennttaattiioonn AArrcchhiitteeccttuurree rréésseeaauu

7

PPrréésseennttaattiioonn ddAAccttiivvee DDiirreeccttoorryy

8

CCaarraaccttéérriissttiiqquueess dd''AAccttiivvee ddiirreeccttoorryy

8

Implémentation des services de domaine Active Directory

8

Configurer le service de noms de domaine des services de domaine Active Directory

8

Configurer les objets et les approbations Active Directory

8

Configurer les sites Active Directory et la réplication

9

Créer et configurer une stratégie de groupe

9

Stratégie de groupe des utilisateurs

9

DDNNSS

9

SSeerrvveeuurr ee--mmaaiill

9

Mise en place du serveur SMTP Postfix

9

Choix du protocole de communication

Configuration des options

Paramètres TLS (Transport Layer Security)

Déploiement du serveur IMAP, POP Dovecot

Protocoles de transfert

Sécurisation de Dovecot

IInnssttaallllaattiioonn dduunn sseerrvveeuurr WWeebb AAppaacchhee22

IInnssttaallllaattiioonn dduunn sseerrvveeuurr ggeessttiioonnnnaaiirree ddee bbaasseess ddee ddoonnnnééeess MMyySSQQLL

IInnssttaallllaattiioonn dduu llooggiicciieell ddee ttrraavvaaiill ccoollllaabboorraattiiff EEggrroouuppWWaarree

ZZEENNOOSSSS

VVLLAANN

PPrrooxxyy eett VVPPNN

CCoonnnneeccttiivviittéé IInntteerrnneett

SSeerrvveeuurr FFTTPP

AAssttéérriisskk SSeerrvveeuurr ddee ttéélléépphhoonniiee

Choix de la solution

Fonctionnalités d’Astérisk

Choix du protocole

Association avec Active Directory Services

Messagerie vocale

Interface d’administration

HHyyllaaffaaxx sseerrvveeuurr ddee FFaaxx

GGLLPPII :: GGeessttiioonn ddee PPaarrcc

OOCCSS IINNVVEENNTTOORRYY :: OOuuttiill ddiinnvveennttaaiirree

SSaauuvveeggaarrddee

IInnttrroodduuccttiioonn

Ce rapport est le fruit d’un travail effectué par les stagiaires L’objectif du projet était de pouvoir appliquer l’ensemble des cours qui ont été dispensés dans le cadre de la formation.

PPrrééaammbbuullee ::

Nous nous intéresserons dans un premier temps à l'aspect technique et à la réalisation d'une maquette en laboratoire représentant la future architecture informatique de la société MSE. Nous verrons les détails du cahier des charges et le projet sur lequel nous avons travaillés ainsi que les problématiques à résoudre. Chaque intervenant présentera plus précisément son travail : l’organisation des projets, leurs réalisations, les technologies employées… en terminant sur les résultats obtenus. Avant de conclure le rapport, une estimation financière globale vous sera fournie pour la réalisation de ce projet. Pour assurer un suivi et nous orienter dans la bonne direction en cas de problème, nous devions suivre une règle : effectuer un compte rendu hebdomadaire faisant ressortir le travail réalisé et les tâches prévues de faire durant la prochaine période. Nous devions estimer, pour chacune de ces tâches, la charge de travail nécessaire. Nous avons ainsi pu au fur et à mesure des semaines, gérer notre temps efficacement et définir de façon précise la quantité de travail nécessaire suivant le type d’activité que nous devions réaliser. D’un point de vue technique, un labo VMWare a été mise en place par les membres de l’équipe. Cette structure nous a permis de travailler avec des machines virtuelles comme plateformes de test.

CCaahhiieerr ddeess cchhaarrggeess

MSE souhaite aujourd'hui :

1. Optimiser les échanges de données.

2. Disposer pour chacun d'un dossier privatif de données

3. Posséder un système de sauvegarde de données, efficace.

4. Être protéger contre les virus et Malwares.

5. Assurer la mobilité des utilisateurs sur les postes informatique de l'entreprise

6. Permettre l'accès à distance aux données en toute sécurité.

7. Pouvoir publier des données via Internet.

8. Disposer d'un planning partagé et dédié, accessible n'importe où.

9. Déléguer l'administration à distance de l'ensemble du système.

10. Disposer d'un central de téléphonie IP exploitable par tous les utilisateurs.

11. Disposer d'un serveur de Fax avec non impression et transfert des fax sur

un poste client.

12. Solutionner les risques de conflits d'adresses et noms de machines.

13. Il est impératif que l'accès à la messagerie, aux agendas et aux plannings,

puisse se faire, tant en interne que depuis l'extérieur.

PPllaanniiffiiccaattiioonn

Préparation et Paramétrage

 

Tâche

Début

Fin

Temps passé

Installation Windows Server 2003

17/02/2009

17/02/2009

2

Mise en place du domaine

17/02/2009

17/02/2009

3

Création utilisateurs

18/02/2009

18/02/2009

2

Mise en place réplication avec annuaire Active Directory

18/02/2009

18/02/2009

2

Test de la réplication d’annuaires

18/02/2009

18/02/2009

1

Création stratégies de groupe

19/02/2009

19/02/2009

2

Création serveur de fichiers avec mappage des groupes

19/02/2009

19/02/2009

2

Installation de la messagerie Postfix / Dovecot

18/02/2009

18/02/2009

2

Paramétrage de Postfix / Dovecot

19/02/2009

19/02/2009

3

Test de la messagerie

20/02/2009

20/02/2009

2

Installation et paramétrage Astérisk (TOIP)

23/02/2009

23/02/2009

6

Installation Egroupware

17/02/2009

17/02/2009

6

Paramétrage d’EGROUPWARE

18/02/2009

18/02/2009

8

Test d’EGROUPWARE

18/02/2009

18/02/2009

4

Installation et paramétrage GLPI (Gestion de Parc)

19/02/2009

19/02/2009

4

Installation et paramétrage OCS Inventory (Outil d’inventaire de Parc)

19/02/2009

19/02/2009

4

Installation et paramétrage HYLAFAX

20/02/2009

20/02/2009

4

Proxy

23/02/2009

23/02/2009

2

VPN

24/02/2009

24/02/2009

2

FTP Sécurisé

25/02/2009

27/02/2009

6

Installation et paramétrage ZENOSS

19/02/2009

19/02/2009

6

Test et Validation

28/02/2009

28/02/2009

8

Total heures

   

81

Bureautique

Nous proposons la suite bureautique Open Office en remplacement et en upgrade de la

suite Microsoft Office.

Cette solution présente l’avantage d’être aussi performante que la suite Office et est une

solution logicielle complètement gratuite .

Architecture Réseau

Nous avons opté pour un réseau en 192.168.x.x/24 afin d’être dans un réseau privé de

classe C.

Gestion du réseau plus facile avec une plage d’adresse restreinte.

Un boîtier UTM (United Threat Management) sur le site principal regroupant les fonctions :

Routeur Firewall (pare-feu) VPN Antivirus Anti-Spam Sonde Anti Intrusion

(pare-feu) VPN Antivirus Anti-Spam Sonde Anti Intrusion  Un switch de niveau 3 (fonction router) POE

Un switch de niveau 3 (fonction router) POE

Fonction de routage inter vlan Serveur VTP permettant de diffuser sur les autres switchs les vlans configurés Relais DHCP Contrôle d’accès par ACL (Access Control List)

Un switch gérant les Vlans

PPrréésseennttaattiioonn AArrcchhiitteeccttuurree rréésseeaauu

r r é é s s e e n n t t a a t t

PPrréésseennttaattiioonn ddAAccttiivvee DDiirreeccttoorryy

Active Directory est le nom du service d'annuaire de Microsoft apparu dans le système d'exploitation Microsoft Windows Server 2000. Le service d'annuaire Active Directory est basé sur les standards TCP/IP : DNS, LDAP, Kerberos … Le service d'annuaire Active Directory doit être entendu au sens large, c'est-à-dire qu'Active Directory est un annuaire référençant les personnes (nom, prénom, numéro de téléphone, etc.) mais également toute sorte d'objet, dont les serveurs, les imprimantes, les applications, les bases de données, etc.

CCaarraaccttéérriissttiiqquueess dd''AAccttiivvee ddiirreeccttoorryy

Active Directory permet de recenser toutes les informations concernant le réseau, que ce soient les utilisateurs, les machines ou les applications. Active Directory constitue ainsi le moyeu central de toute l'architecture réseau et a vocation à permettre à un utilisateur de retrouver et d'accéder à n'importe quelle ressource identifiée par ce service. Active Directory est donc un outil destiné aux utilisateurs mais dans la mesure où il permet une représentation globale de l'ensemble des ressources et des droits associés il constitue également un outil d'administration et de gestion du réseau. Il fournit à ce titre des outils permettant de gérer la répartition de l'annuaire sur le réseau, sa duplication, la sécurisation et le partitionnement de l'annuaire de l'entreprise. La structure d'Active Directory lui permet de gérer de façon centralisée des réseaux pouvant aller de quelques ordinateurs à des réseaux d'entreprises répartis sur de multiples sites.

Implémentation des services de domaine Active Directory

- Installation

- Déploiement de contrôleurs de domaine en lecture seule

- Configuration

Configurer le service de noms de domaine des services de domaine Active Directory

- Configuration des zones intégrées Active Directory

- Configuration des zones DNS en lecture seule

Configurer les objets et les approbations Active Directory

- Stratégies d'utilisation des GPO

- Automatisation de la gestion des objets

- Délégation de l'accès administratif aux objets

- Configuration des approbations

Configurer les sites Active Directory et la réplication

- Vue d'ensemble

- Présentation des sites et de la réplication

- Configuration et surveillance de la réplication des services de domaine Active Directory

Créer et configurer une stratégie de groupe

- Vue d'ensemble

- Définition de la portée des GPO

- Gestion des objets

- Délégation du contrôle d'administration

Stratégie de groupe des utilisateurs

- Configuration des paramètres

- Configuration de scripts et redirection de dossiers à l'aide d'une stratégie de groupe

- Configuration des modèles d'administration

- Préférences de stratégie de groupe

- Déploiement de logiciels à l'aide d'une stratégie de groupe.

DDNNSS

Le service de résolution de noms DNS étant un pilier essentiel d’un domaine active directory il faut configurer et vérifier celui-ci. Le service DNS permet de résoudre l’adresse IP d’un ordinateur depuis son nom pleinement qualifié sur le domaine ou de résoudre le nom d’un ordinateur depuis son adresse IP (zone de recherche inversée). Le service DNS permet également de pointer les différents services apportés par les serveurs du domaine (contrôleur de domaine, service de messagerie) Pour les besoins du test il faut également créer les groupes et utilisateurs du domaine.

SSeerrvveeuurr ee--mmaaiill

Mise en place du serveur SMTP Postfix

Nous avons choisi la solution Postfix à défaut d’autres logiciels tels que Sendmail en vue de ses avantages vis-à-vis de la sécurité et des performances. En effet Postfix est performant bien qu’étant un logiciel plus récent, il fait l’objet d’évolutions permanentes. De plus Postfix a

fait ses preuves en milieu professionnel, certaines entreprises comme Wanadoo, Numéricâble, SFR lui font confiance.

Choix du protocole de communication

Pour des raisons de sécurités, nous avons choisi de désactiver le port 25 qui est le port utilisé par le protocole SMTP (Simple Mail Transfer Protocol) non chiffré. Les communications passant en clair, tout échange pourrait être intercepté et interprété. Le protocole d’échange utiliser ici sera le SMTPS fonctionnant sur le port 465. De ce fait les communications entre clients et serveur seront non utilisables car sécurisées par un chiffrement.

Configuration des options

Pour optimiser le serveur de message, nous avons mis en place certaines options qui pourront être modifiées à souhait. Chaque boite email ne pourra excéder 1 GO de données pour éviter de dépasser la capacité de stockage du serveur. Les e-mails envoyés ne pourront pas dépassés 30 Mo avec les éventuels pièces jointes. Contrôle pendant la phase helo de la communication, les noms de machines invalides ou inexistants ne seront pas acceptés. Les accès concurrentiels aux boites ont êtes limites à 2. L’envoi de plus de 10 messages à une destination sera interdit. Les e-mails seront rejetés si le nom de domaine de leurs expéditeurs n’existe pas. L’email d’erreur indiquant le non envoi des emails sera envoyé après 1h. La bannière sera personnalisée avec l’indication MSE-MAIL.

Paramètres TLS (Transport Layer Security)

Nous avons mis en place un certificat d’authentification pour les échanges clients serveur ceci apportera une sécurité supplémentaire au serveur.

Déploiement du serveur IMAP, POP Dovecot

L’IMAP (Internet Mail Access Protocol) peut s’avéré avantageux pour les utilisateurs nomades vu que les messages sont sauvegardés sur le serveur dans le dossier de l’utilisateur. De cette façon, il lui est possible de consulter et de gérer ses mails depuis n’importe quel poste informatique. POP (Post Office Protocol) permet de relever le courrier reçu. Il enregistre les messages sur l’ordinateur du client. Nous aurons donc avec Dovecot et Postfix un serveur de messagerie polyvalent et sécurisé.

Protocoles de transfert

Comme a notre habitude, pour préserver la discrétion de l’entreprise et de ses employés, nous avons choisi les protocoles IMAPS et POP3S qui utilisent respectivement les ports 993 et 995

et POP3S qui utilisent respectivement les ports 993 et 995 Sécurisation de Dovecot Le serveur diffusera
et POP3S qui utilisent respectivement les ports 993 et 995 Sécurisation de Dovecot Le serveur diffusera

Sécurisation de Dovecot

Le serveur diffusera un certificat qu’il partage avec Postfix pour l’authentification. Il n’autorisera que les mots de passes cryptés en SASL (Simple Authentication and Security Layer).

Le serveur de messagerie sera synchronisé avec l’Active Directory

IInnssttaallllaattiioonn dduunn sseerrvveeuurr WWeebb AAppaacchhee22

Afin de permettre l’installation et le fonctionnement du logiciel EgroupWare nous avons du mettre en place un serveur Web Apache2 supportant l’interprétation du langage PHP sur le serveur Debian. Cette installation est suffisamment documentée et aisée pour ne pas avoir poser de difficultés.

IInnssttaallllaattiioonn dduunn sseerrvveeuurr ggeessttiioonnnnaaiirree ddee bbaasseess ddee ddoonnnnééeess MMyySSQQLL

Egroupware fonctionnant sur une base de données il nécessite l’installation d’un service de gestion de bases de données, MySQL est supporté par EgroupWare, gratuit et suffisamment documenté. L’installation et la configuration de MySQL ne représente pas de difficulté sur une distribution Linux comme la Debian utilisée, il faut juste bien prendre soin de sécuriser son accès en interdisant un accès distant à la base (seul Egroupware y accèdera, et EgroupWare est une application locale au serveur) et en définissant un compte d’administrateur sécurisé (l’administrateur root de la base de données doit devoir entrer un mot de passe)

IInnssttaallllaattiioonn dduu llooggiicciieell ddee ttrraavvaaiill ccoollllaabboorraattiiff EEggrroouuppWWaarree

Egroupware est un logiciel de travail collaboratif gratuit qui est conçu nativement avec une interface Web qui permet son accès depuis n’importe quel poste client quelque soit sont système d’exploitation ou bien qu’il soit situé sur le réseau interne ou externe. Egroupware permet un accès depuis des solutions mobiles comme un téléphone portable ou encore un PDA. Il permet la gestion de calendriers partagés, d’une messagerie personnelle, des contacts, de projets collaboratifs, d’accéder à des fichiers partagés et bien d’autres choses. Nous avons donc du mettre en place sur la maquette la solution Egroupware appuyée sur le logiciel de messagerie Postfix et avec une authentification centralisée par l’annuaire active directory. L’image VmWare ainsi obtenu a pu être installée en labo et est actuellement fonctionnelle en Labo. Différents problèmes ont été rencontré, l’installation d’Egroupware n’est pas des plus aisée :

Il a fallu installer les modules dont le logiciel a besoin notamment les modules pear. Enfin, lors des premiers essais, l’authentification sur le domaine Active directory était effective. Il s’est avéré qu’il fallait impérativement que l’utilisateur Active directory possède un nom renseigné pour être créé dans la base par Egroupware.

Schéma Installation d’egroupware

Schéma Installation d’egroupware Z Z E E N N O O S S S S Pour

ZZEENNOOSSSS

Pour que les administrateurs de l’entreprise puisse avoir un œil sur la supervision du réseau, nous devions mettre en place une solution nous permettant de superviser le réseau et ceci au moindre coût. Notre choix s’est donc porté sur le logiciel ZENOSS tournant sur une plateforme Linux. Zenoss est basé sur Nagios qui est une autre solution de supervision réseau mais la particularité de ZENOSS est qu’il possède une interface graphique accessible par un simple navigateur internet. Zenoss se base sur une application Web qui va surveiller les noeuds du réseau et générer des rapports. Ses principales fonctions sont la découverte de la configuration du réseau, la supervision de l'activité du réseau, la gestion de la performance, d'événements et l'alerte. La découverte de l'environnement est automatique, y compris le détail des relations entre chaque composant du réseau. Parmi les protocoles utilisés, citons SNMP, WMI (pour Windows) et Telnet/SSH. Les données sont enregistrées dans une base de données objet propriétaire exportable en XML. Le suivi de l'activité réseau se fait au travers de tests SCMP et TCP programmés. L'alerte est envoyée par e-mail ou par pager.

VVLLAANN

Pour accroître la sécurité au sein du réseau et nous permettre d’isoler les machines et serveurs critiques du réseau, nous avons opté pour créer des VLAN (Virtual Local Area Network, en français Réseau Local Virtuel).

De plus, la mise en place de VLAN permettra de pouvoir segmenter le réseau et ainsi en cas de plantage de machines dans un VLAN cela n’affectera pas la totalité du réseau de l’entreprise. Donc, dans cette optique, nous avons décidé de créer 4 VLANS.

VLAN Serveurs.

VLAN Comptabilité.

VLAN TOIP

VLAN Commun.

NB : Nous avons créé des ACL (Access Control List) sur le switch de niveau 3 pour que les différents VLAN ne puissent être accessibles qu’en fonction des droits définis.

Nous avons décidé de créer un VLAN pour les serveurs afin de pouvoir pleinement les sécuriser et les isoler. Ce VLAN permettra donc d’avoir une sécurité maximale sur les serveurs. Puis, nous avons décidé d’intégrer les machines de la comptabilité dans un deuxième VLAN En effet ces PC sont considérés comme critiques et ne doivent être accessibles uniquement en fonction des permissions accordées.

Nous avons également créé un VLAN pour la TOIP/VOIP afin de pouvoir utiliser cette technologie de manière sécurisée et isolée. Ce VLAN permettra donc d’avoir une sécurité maximale avec une bande passante et une QoS (Quality Of Services) dédiées.

Enfin, le quatrième VLAN comporte le reste des machines du parc afin de segmenter le réseau. Ce dernier VLAN n’était pas forcément nécessaire mais nous avons décidé de le créer pour accroître un peu plus la sécurité et avoir, au final, un réseau complètement sécurisé.

PPrrooxxyy eett VVPPNN

Pour les utilisateurs devant se connecter au réseau depuis des sites distants nous devions mettre en place une solution permettant l’accès à distance. Nous avons donc opté pour une solution de VPN en utilisant le boîtier « Secure 50G » de chez « Bewan ».

Ce boîtier permet donc de créer des tunnels VPN. De plus, il peut-être configuré en tant que proxy pour l’accès internet. Enfin, ce boîtier peut-être utilisé en tant que point d’accès au réseau en WIFI et sécurisé en WPA. Nous avons donc opté pour cette solution « clés en main » nous permettant de pouvoir configurer facilement et rapidement tous ces protocoles. Nous avons donc configuré la sécurité du VPN en IPSec. Ce protocole permet d’avoir une sécurité optimale au niveau de la connexion. Enfin, la sécurité du WIFI est en WPA avec une clé de cryptage en AES-CCMP ce qui permet d’avoir un point d’accès WIFI totalement sécurisé.

CCoonnnneeccttiivviittéé IInntteerrnneett

Par souci de disponibilité, notre choix s’est porté sur deux FAI ,un accès SDSL pour permettre l’accès VPN (4 Méga en download et 4 Méga en Upload), ce qui permet de garder une bande passante suffisante pour les utilisateurs des sites annexes et pour nos collaborateurs souhaitant se connecter sur le réseau a travers un tunnel VPN, un accès internet pour le site principal relativement rapide, et en cas de rupture de liens ,notre Appliance UTM , permet de faire la commutation automatique sur un autre FAI (Free en l’occurrence) .Notre choix s’est porté en premier lieu sur le fournisseur d’accès internet « Vivaction » en accès SDSL (Symetric Digital Suscriber Line) au tarif de 489 €/Mois TTC. Concernant l’accès de secours, nous nous sommes basés sur le fournisseur d’accès internet « FREE » proposant un accès ADSL de base (20Méga en Download, 1Méga en Upload) Pour les sites annexes, un accès ADSL classique afin que nos collaborateurs puissent avoir un accès au site principal à travers un accès sécurisé de type VPN. D’autre part pour l’’accès à internet les boitiers sur les sites annexes intègrent un Serveur VPN, un proxy intégré, un firewall avancé intégrant les fonctions de prévention d’attaques de types Dos, replay

… S S e e r r v v e e u u r r F

SSeerrvveeuurr FFTTPP

Pour que les utilisateurs de l’entreprise puissent avoir accès à certaines données, nous devions mettre en place un serveur FTP. L’idéal aurait été de créer ce serveur sous Windows 2003 mais pour ce faire, nous aurions du investir dans un serveur supplémentaire. En effet, pour des raisons de sécurité évidente, nous ne pouvions pas nous permettre de configurer ce serveur FTP sur le serveur 2003 gérant l’Active Directory. Notre choix s’est donc logiquement dirigé vers un serveur FTP sous Linux. Le choix de serveurs FTP était assez vaste mais nous avons décidé de nous diriger vers la solution VSFTPD (Very Secure File Transfert Protocol Daemon) qui est un serveur FTP dont les connexions peuvent être sécurisées en SSL. Nous avons donc installé et configuré ce serveur sur une distribution Linux Ubuntu 8.10. Dans un premier temps, la solution trouvée était de créer, pour chaque compte FTP devant accéder au serveur, un par un les accès client. Pour se faire, nous étions obligés de créer les utilisateurs sur le serveur Ubuntu, créer le répertoire personnel, créer le dossier de partage, donner les droits sur ce partage.

La procédure s’est avérée être longue et complexe, surtout si par la suite nous devions créer un grand nombre d’utilisateurs supplémentaires. En approfondissant nos recherches, nous avons trouvé une méthode qui consiste à créer un fichier de configuration supplémentaire en y entrant les logins et mot de passe des utilisateurs pouvant se connecter au serveur FTP. Ce fichier a été ensuite convertit en fichier database et surtout sécurisé. Pour pouvoir se connecter, il faut créer un fichier de configuration par utilisateur. Ce fichier permet de gérer les droits propres à l’utilisateur sur le serveur FTP. Ensuite, nous avons créé une clé de cryptage en SSL permettant de sécuriser au maximum le serveur FTP, car, il faut savoir que les connexions FTP se déroulent en « clair », c'est-à- dire que les logins et mots de passe ne sont pas cryptés sur le réseau et peuvent donc être récupérés très facilement d’où l’intérêt de sécuriser cette connexion.

Une fois cette installation terminée, nous avions donc un serveur FTP totalement sécurisé et nous permettant d’ajouter et de supprimer des utilisateurs très facilement.

AAssttéérriisskk SSeerrvveeuurr ddee ttéélléépphhoonniiee

Il s'agit de pouvoir bénéficier de l'ensemble des fonctionnalités que pourrait offrir un PABX VoIP du marché. Nous devons aussi être capables, depuis un téléphone à l'intérieur du réseau, de téléphoner sur une ligne intérieure fonctionnant sur le protocole SIP et des lignes extérieures par l'intermédiaire d'une connexion RNIS ou d'un opérateur SIP extérieur. Nous avons aussi mis en place un point d'accès sans-fil en Wifi afin de permettre à des téléphones Wifi ou des ordinateurs portables de pouvoir se connecter à notre réseau.

Choix de la solution

Astérisk est une solution alternative aux différents PABX IP déjà présents sur le marché qui peuvent être coûteux (environ 1500 euros). En plus d'être totalement gratuit, Astérisk est relativement assez fiable pour être déployé au sein d'une entreprise possédant un réseau IP solide. Pour cela, Astérisk est une offre très compétitive par rapport aux différentes solutions sur le marché des PABX IP.

Astérisk est une solution gratuite qui correspond à toutes les entreprises qui cherchent à réduire les frais de leurs installations téléphoniques. Elle conviendra surtout aux PME/PMI qui n'ont pas forcément les moyens d'investir dans un équipement propriétaire coûteux à l'achat et à l'entretien.

Fonctionnalités d’Astérisk

L'entreprise peut alors bénéficier d'un certain nombre de fonctionnalités comme:

- le transfert d'appel

- roaming (interopérabilité entre des serveurs Astérisk)

- envoi/réception de fax

- musique d'attente

- boites vocales personnelles/groupées

- messagerie unifiée

- la conférence à plusieurs

- identification de l'appelant

- envoi/réception de sms

- musique sur transfert

- le parquage d'appel

Choix du protocole

Nous optons pour le protocole SIP (Session Initiation Protocol) Il se charge de l’authentification et de la localisation des participants. Mais il ne transporte pas de données. SIP remplace progressivement H.323 car il est plus souple et plus évolutif.

Association avec Active Directory Services

Le serveur Astérisk est couplé au serveur Active directory LDAP. Le but étant de récupérer des informations du serveur LDAP et de les transférer sur le serveur Astérisk. Cela évite d’avoir à saisir tous les noms du personnel. Les adresses e-mail serviront pour envoyer un mail en cas de message sur la boîte vocale. L’un des avantages est la prise en compte de tout changement (ex une adresse e-mail) dans l’annuaire. La modification sera effectuée sur Astérisk lors de sa mise à jour avec le serveur LDAP.

Messagerie vocale

Nous avons mis en place un service de messagerie vocale unifiée joignable en composant par exemple le 777 et en un code secret. Les messages vocaux sont aussi envoyés par e- mail. Chaque fois que quelqu'un reçoit un message, il lui est transféré dans sa boite mail au format wav.

Interface d’administration

Nous avons choisi de mettre en place l’interface web Freepbx logiciel gratuit anciennement AMP (Astérix management Portail) développée afin de faciliter l’administration du serveur Astérisk. Cette interface sera sécurisée via SSL.

HHyyllaaffaaxx sseerrvveeuurr ddee FFaaxx

Hylafax est système qui permet l'envoie de fax depuis n'importe quel ordinateur de votre réseau. Cette solution est simple à mettre en place et ne demande pas beaucoup de matériel. Un simple modem RTC relié à une machine d'un côté et au réseau téléphonique de l'autre. Hylafax fonctionne sur une architecture client / serveur. Le serveur est chargé de gérer les connexions des clients, l'émission / réception de fax et l'envoi de notification d'état des fax via un serveur mail. En émission, le programme sendfax sous Linux suffit. À partir de Windows il en existe plusieurs. Un des plus aboutis est Whfc, dont l'interface est ultra simple. En outre, il permet l'utilisation d'un connecteur OBDC vers une base de données qui stocke les noms de destinataires et leurs numéros de fax. En réception, Hylafax est capable d'acheminer le fax par mail au destinataire.

GGLLPPII :: GGeessttiioonn ddee PPaarrcc

GLPI s'interface nativement avec l'outil d'inventaire OCS Inventory NG. Cela permet de :

créer automatiquement les matériels (Ordinateurs, imprimantes, écrans, etc suivre les mises à jour des matériels

)

Un outil facile d’utilisation. Afin d’atteindre une efficacité maximale, la solution proposée doit être facile à prendre en main et à utiliser au quotidien. Un outil qui fournisse un inventaire du réseau en cherchant automatiquement les équipements actifs. Ceci permet un gain de temps considérable et réduit fortement la probabilité d’erreurs par rapport à un inventaire manuel qui ne sera pas forcément à jour. Un outil capable de fournir des rapports sur demande ou programmés afin de contrôler les différents changements (qu’est ce qui a changé, qui a effectué la modification…). Un outil capable de fournir un référentiel unique pour les configurations des équipements.

Un outil extensible qui puisse suivre l’expansion du réseau et s’intégrer facilement sur le

réseau existant.

OOCCSS IINNVVEENNTTOORRYY :: OOuuttiill ddiinnvveennttaaiirree

OCS Inventory est aussi capable de détecter tout périphérique actif sur le réseau, comme les commutateurs, routeurs, imprimantes et autres matériels inattendus. Pour chacun, il stocke les adresses MAC et IP et vous autorise à les classifier. Si le serveur d'administration fonctionne sous Linux, et que nmap et smblookup sont disponibles, vous avez aussi la possibilité de scanner une IP ou un sous-réseau pour des informations détaillées sur les hôtes non inventoriés.

SSaauuvveeggaarrddee

Nous souhaitons mettre en place une solution de sauvegarde externalisée. Notre souci majeur est que la société MSE est une entreprise de publicité et donc, nos partons du principe que beaucoup de données sont stockées et surtout de gros fichiers multimédias. Ces données entraînent une taille importante à sauvegarder. Dans cette optique, une solution externalisée nous parait plus adaptée pour MSE. Nous avons estimé dans un premier temps une sauvegarde de 200 Go. Nous nous sommes tournés vers une solution hébergée au sein de la société LWS. (Voir dans les données financière le coût relatif à cette sauvegarde)

Cette solution répond aux critères suivants :

Sécurisation optimale des données dans un lieu autre que la société MSE

Haute disponibilité (redondance)

Accessibilité 24/24 et 7/7j

Pas d’investissement matériels et donc un coût de maintenance nul (TCO)

EESSTTIIMMAATTIIOONN FFIINNAANNCCIIEERREE

CCOONNCCLLUUSSIIOONN

Notre proposition présente l’avantage de vous offrir une solution globalisée tant au point de vue infrastructure que sécurité répondant au cahier des charges établit par MSE. Nous avons adopté des solutions logicielles basées sur de l’Open Source et complètement gratuites.