Administration et sécurité du réseau de l’Institut...

Administration et sécurité du réseau de l’ISIMa sous Linux

MEMOIRE

DE STAGE DE FIN D’ETUDE

Pour l’obtention du

MASTERE PROFESSIONNEL

« Nouvelles Technologies des Télécommunications et Réseaux »

Présenté par :

Hadj Ahmed Hilali Kawther

Titre

Administration et sécurité du réseau de l’Institut Supérieur

d’Informatique de Mahdia (ISIMa) sous Linux

Soutenu le : 31/01/2015

Devant le jury :

Mme Idoudi Hanen Président

Mr Ghorbel Khaled Rapporteur

Mme Ben Hassine Ahlem Encadreur (UVT)

Mme Ghannay Sana Encadreur (ISIMa)

Administration et sécurité du réseau de l’Institut Supérieur d’Informatique de Mahdia (ISIMa) sous Linux


Table des matières

Introduction générale ...................................................................................................................................1

Chapitre I : Présentation générale ...............................................................................................................3

Introduction ...............................................................................................................................................4

I. Présentation de l’organisme d’accueil (ISIMa) .................................................................................4

II. Contexte du projet .............................................................................................................................4

III. Problématique ................................................................................................................................5

IV. Travail à réaliser ............................................................................................................................5

V. Méthodologie adoptée .......................................................................................................................6

V.1. Modèle en cascade .........................................................................................................................6

V.2. Modèle en V ..................................................................................................................................7

V.3. Synthèse .........................................................................................................................................8

Conclusion .................................................................................................................................................8

Chapitre II :Etude Préalable ..........................................................................................................................9

Introduction ............................................................................................................................................ 10

I. Etude de l’existant .......................................................................................................................... 10

I.1. Architecture du réseau existant ................................................................................................... 10

I.2. Gestion des authentifications ....................................................................................................... 11

I.3. Politique d’accès aux ressources partagées .................................................................................. 11

II. Critique de L’existant ..................................................................................................................... 12

III. Solution proposée ....................................................................................................................... 12

III.1. Réseau d’égal à égal : P2P......................................................................................................... 12

III.2. Réseau Client /serveur ............................................................................................................... 13

III.3. Synthèse..................................................................................................................................... 14

Conclusion .............................................................................................................................................. 15

Chapitre III : Installation de la plateforme et des prérequis .................................................................... 16

Introduction ............................................................................................................................................ 17

I. Choix de la plateforme .................................................................................................................. 17

I.1. Comparaison Windows /Linux .................................................................................................... 17

I.2. Les distributions Linux ................................................................................................................ 18

I.3. Comparaison Ubuntu /Fedora ...................................................................................................... 19

II. Le service DNS (Domain Name System) ....................................................................................... 20

II.1. Présentation du service DNS ...................................................................................................... 20

II.2. Installation du serveur DNS ........................................................................................................ 20


II.3. Configuration du serveur DNS ................................................................................................... 21

II.4. Test de fonctionnement ............................................................................................................... 24

III. Le service DHCP (Dynamic Host Configuration Protocol) ....................................................... 25

III.1. Rôle du serveur DHCP .............................................................................................................. 25

III.2. Fonctionnement du serveur DHCP ............................................................................................ 25

III.3. Configuration du serveur DHCP ............................................................................................... 26

Conclusion .............................................................................................................................................. 28

Chapitre VI : Configuration du contrôleur de domaine ............................................................................ 29

Introduction ............................................................................................................................................ 30

I. Etude théorique............................................................................................................................... 30

I.1. L’annuaire OpenLDAP ................................................................................................................ 30

I.2. Le Contrôleur de domaine Samba ................................................................................................ 32

II. Mise en œuvre des services ............................................................................................................ 34

II.1. Service OpenLDAP ................................................................................................................... 34

II.2. Service Samba ............................................................................................................................ 37

II.3. Gestion des dossiers et des comptes ........................................................................................... 40

III. Intégration et test des services .................................................................................................... 42

III.1. Cas d’un client Windows .......................................................................................................... 42

III.2. Cas d’un client Linux ................................................................................................................ 44

IV. Gestion des quotas ...................................................................................................................... 45

IV.1. Quotas des comptes utilisateurs ................................................................................................ 45

IV.2. Serveur d’impression : CUPS ................................................................................................... 46

Conclusion .............................................................................................................................................. 50

Chapitre V : Mise en place de la sécurité du réseau ................................................................................. 51

Introduction ............................................................................................................................................ 52

I. Concepts de la sécurité ................................................................................................................... 52

I.1. Firewall (pare-feu) ....................................................................................................................... 52

I.2. Les VLANs .................................................................................................................................. 53

II. Mise en place de l’architecture sécurisée ....................................................................................... 54

II.1. Configuration du firewall ........................................................................................................... 54

II.2. Configuration du Switch .............................................................................................................. 57

Conclusion .............................................................................................................................................. 60

Conclusion générale .................................................................................................................................. 61


Liste des figures

Figure 1 : Modèle du cycle de vie en cascade ................................................................................. 7

Figure 2 : Modèle du cycle de vie en V .......................................................................................... 8

Figure 3 : Architecture existante du réseau de l’ISIMa ................................................................ 11

Figure 4 : Architecture P2P ........................................................................................................... 13

Figure 5 : Architecture Client /serveur .......................................................................................... 14

Figure 6 : Architecture DNS ........................................................................................................ 20

Figure 7 : Recherche des paquets de bind9 ................................................................................... 20

Figure 8 : Installation de bind9 ..................................................................................................... 21

Figure 9 : Configuration de l’interface eth0 .................................................................................. 21

Figure 10 : Configuration du fichier « resolv.conf » ..................................................................... 22

Figure 11 : Déclaration des zones de serveur ................................................................................ 22

Figure 12 : Création du fichier de la zone directe ......................................................................... 23

Figure 13 : Création du fichier de la zone inverse ........................................................................ 24

Figure 14 : Configuration des adresses IP des serveurs DNS externes ......................................... 24

Figure 15 : Redémarrage du service DNS ..................................................................................... 24

Figure 16 : Test du fonctionnement du serveur DNS .................................................................... 25

Figure 17 : Les étapes du fonctionnement du serveur DHCP ....................................................... 26

Figure 18 : Configuration de l’interface « inadmin » du serveur DHCP ...................................... 27

Figure 19 : Fixation de la plage d’adresses dynamiques ............................................................... 27

Figure 20 : Test du fonctionnement du serveur DHCP ................................................................. 28

Figure 21 : Exemple de la Structure d’annuaire LDAP ............................................................... 31

Figure 22 : Installation des paquets slapd et ldap-utils ................................................................. 34

Figure 23 : Ajout d’un super administrateur ................................................................................. 35

Figure 24 : Cryptage du mot de passe du super utilisateur ........................................................... 35

Figure 25 : Remplissage de l’annuaire LDAP .............................................................................. 36

Figure 26 : Redémarrage du service Slapd .................................................................................... 36

Figure 27 : Installation des packages d’authentification ............................................................... 36

Figure 28 : Ajout de LDAP comme méthode d’authentification .................................................. 37

Figure 29 : Installation de Samba, samba-doc et smbldap-tools ................................................... 38

Figure 30 : Ajout du schéma dans l’arborescence OpenLDAP .................................................... 39

Figure 31 : Initialisation du mot de passe de l’administrateur samba ........................................... 39

Figure 32 : Création de l’arbre de base de l’annuaire LDAP ........................................................ 40

Figure 33 : Fixation des droits d’accès au dossier partager .......................................................... 41

Figure 34 : Ajout d’un utilisateur .................................................................................................. 41

Figure 35 : Fichier texte d’utilisateurs .......................................................................................... 42

Figure 36 : Exécution du script shell ............................................................................................. 42

Figure 37 : Intégration au domaine ............................................................................................... 43

Figure 38 : Test de Validation pour un client Windows ............................................................... 44

Figure 39 : Test de Validation pour un client linux ...................................................................... 44

Figure 40 : Edition de la partition /home ...................................................................................... 45

Figure 41 : Quota des utilisateurs .................................................................................................. 46

Figure 42 : Ajout d’une Interface réseau ....................................................................................... 46


Figure 43 : Page Web du service CUPS ........................................................................................ 47

Figure 44 : Page de configuration des imprimantes réseau ........................................................... 47

Figure 45 : Exemple d’ajout d’une imprimante ............................................................................ 48

Figure 46 : Fixation des utilisateurs de l’imprimante ................................................................... 48

Figure 47 : Fixation des quotas d’impression ............................................................................... 48

Figure 48 : Imprimantes partagées dans le domaine ..................................................................... 49

Figure 49 : Surveillance des travaux d’impression ....................................................................... 49

Figure 50 : Emplacement du Firewall dans le réseau .................................................................... 52

Figure 51 : Exemple de création de VLAN « Etudiant » .............................................................. 55

Figure 52 : Architecture du réseau interne de l’ISIMa .................................................................. 55

Figure 53 : Règles de sécurité du VLAN Enseignant ................................................................... 56

Figure 54 : Règles de sécurité du VLAN étudiant ........................................................................ 56

Figure 55 : Ajout de la plage de temps pour une règle d’accès .................................................... 57

Figure 56 : Architecture du réseau ................................................................................................ 58

Figure 57 : Test de validation du fonctionnement des VLANs ..................................................... 60


Liste des tableaux

Tableau 1 : Comparaison Linux/Windows .................................................................................... 17

Tableau 2 : Adressage des VLANs ............................................................................................... 54

Tableau 3 : Configuration Port/PC ................................................................................................ 59


Dédicaces

Du profond de mon cœur, je dédie ce travail à tous ceux qui me sont chers,

A MES CHERS PARENTS

Que ce travail soit l’expression de ma reconnaissance pour vos sacrifices

Consentis, votre soutien moral et matériel que vous n’avez cessé de prodiguer.

Vous avez tout fait pour mon bonheur et ma réussite.

Que Dieu vous préserve en bonne santé et vous accorde une longue vie

A MES FRERES, SOEURS, LEURS EPOUX ET LEURS ENFANTS

Vous étiez toujours présents pour m’aider et m’encourager.

Sachiez que vous serez toujours dans mon cœur.

A tous mes amis qui n’ont cessé de m’encourager et de me soutenir

A Toutes MES AMIES…


Remerciement

Nous tenons à exprimer notre gratitude et nos remerciements aux membres de jury, veuillez

accepter dans ce travail notre sincère respect et notre profonde reconnaissance.

Nous tenons d’abord à exprimer notre sincère gratitude à notre encadreur de stage Mme Gannay

Sana qui n’a pas hésité un jour à nous suivre tout au long de notre projet, et à nous fournir toutes

les informations nécessaires à la réalisation de notre travail.

Nous tenons également à remercier infiniment Mme Ben Hassine Ahlem pour nous avoir offert

les conditions nécessaires et nous avoir guidées dans l’élaboration de ce travail et contribuer

largement à sa réalisation avec la patience, aussi son soutien tout au long de notre projet

Nous profitons aussi de ce mémoire pour exprimer nos plus vifs remerciements envers tous les

professeurs qui nous ont apportés du soutien durant nos études et envers tous nos amis qui ont

été toujours près de nous avec leurs encouragements, critiques et conseils

Que le corps professoral et administratif et surtout le Secrétaire général de l’institut Supérieur

d’Informatique de Mahdia trouvent ici nos vifs remerciements.

Administration et sécurité du réseau de l’ISIMa sous Linux Page 1

Introduction générale

Les réseaux informatiques sont devenus, depuis une dizaine d’années, un élément très important

dans toute institution: commerciale, industrielle, gouvernementale, éducative, etc. Ceci est dû

notamment à la vulgarisation de l’outil informatique et l’apport extraordinaire qu’apportent les

réseaux informatiques dans la circulation rapide de l’information.

Pour répondre au besoin de l’entreprise, l’administration de réseau ne cesse d’évoluer pour

chercher des outils d’échanges des données et de partage des informations en temps réel, en

tenant compte des mesures de sécurité et de confidentialité.

Cette technique est mise en place pour la résolution des problèmes d’anarchisme dans les

réseaux et le mal échange des données et des ressources, ainsi que le manque de la sécurité qui

présentent les principaux problèmes dans notre établissement lieu de stage.

C’est dans ce contexte que se situe notre projet intitulé «Administration et sécurité du réseau de

l'Institut Supérieur l'Informatique de Mahdia (ISIMa) sous Linux ».

L’idée de ce projet consiste à organiser le réseau informatique de l’établissement, à la mise en

place d’un contrôleur de domaine et à sécuriser la connexion Internet contre les pirates et les

attaques.

Les étapes d’élaboration de ce projet sont présentées d’une manière détaillée dans ce rapport,

dans lequel nous allons organiser notre travail sur cinq chapitres.

Dans le premier chapitre, nous allons présenter l’organisme d’accueil, ainsi que le contexte

général du projet. Ensuite, nous passons à la présentation de la problématique, le travail à réaliser

et le choix de la méthodologie de travail.

Le deuxième chapitre s’intéresse à l’étude de l’existant, la critique de l’existant et la solution

adoptée.

Le troisième chapitre explore une étude du système d’exploitation à utiliser et les prérequis

nécessaires pour assurer notre administration.


Dans le quatrième chapitre, nous allons présenter l’installation, la configuration et

l’implémentation du contrôleur de domaine, ainsi que le gestionnaire d’impression.

Le cinquième chapitre présente une solution de sécurité du réseau de l’entreprise basé sur la

configuration des VLANs d’une coté et la mise en place et la configuration d’un firewall

matériel d’une autre coté.

Finalement, nous terminons par une conclusion qui résume nos travaux déjà réalisé et qui

présente les perspectives à l'ensemble de travaux menés au cours de ce projet.


Chapitre I :

Présentation générale


Introduction Dans ce premier chapitre nous mettrons le sujet dans son cadre général, en présentant

l’organisme d’accueil. Par la suite, nous allons introduire notre sujet « Administration et sécurité

du réseau de l’ISIMa sous Linux » ainsi que sa problématique. Au niveau de la troisième partie

de ce premier chapitre, nous allons expliquer le travail à réaliser. Enfin nous allons décrire la

méthodologie utilisée et nous terminerons par une conclusion.

I. Présentation de l’organisme d’accueil (ISIMa)

Notre organisme d’accueil, qui est l'Institut Supérieur d'Informatique de Mahdia - ISIMa -, est un

établissement relevant de l'Université de Monastir.

Il est dirigé par un directeur et assisté par un secrétaire général, des chefs de département, un

directeur des études et stages et de 21 cadres administratifs.

La mission d’enseignement est assurée par soixante-trois enseignants de plusieurs spécialités

(informatique, Télécommunication, physique, Math, etc.)

L’établissement accueille plus que sept cent étudiants chaque année répartie sur trois branches :

Licence Fondamentale en informatique (LFI)

Licence Appliquée en informatique (LAI)

Licence Appliquée en Réseaux Informatique (LARI)

Il est doté d’une infrastructure composée des salles de cours, salles de travaux dirigés, des

laboratoires informatiques, d’une bibliothèque et des bureaux pour les services administratifs et

les enseignants répartis sur quatre étages.

II. Contexte du projet

Un réseau n’est rien de plus qu’un ensemble de machines, appelées des hôtes, reliées les unes

aux autres dans le but d’échanger des données d’une manière sûre, rapide et sécurisée. Pour

assurer cet échange dans une entreprise, nous devons avoir un système d’administration qui

assure le partage et le transfert des données d’une manière automatique et sécurisée.

Dans ce cadre se situe notre projet intitulé « Administration et sécurité du réseau de l’Institut

Supérieur d’Informatique de Mahdia sous Linux ». Dans ce projet, nous allons s’intéresser dans

une première partie, à l’organisation du réseau de l’ISIMa par la mise en place et la

configuration des différents services sous un système open source pour assurer le contrôle des


utilisateurs et le partage des ressources d’une façon hiérarchique. Ainsi, dans la deuxième partie,

nous allons s’intéresser à la sécurité des données contre les intrusions internes et externes qui

peuvent attaquer nos ressources.

III. Problématique Après une analyse détaillée du réseau local de l’institut supérieur d’informatique de Mahdia,

nous dégageons les problématiques suivantes :

Sécurité faible du réseau et surtout un manque de séparation entre le réseau d’étudiants,

de personnels, administratifs et d’enseignants.

Manque de sécurité contre les intrusions externes

Absence d'une gestion de comptes et d’utilisateurs. En effet, les étudiants travaillent et

enregistrent leurs travaux sur la machine locale, ce qui présente une perte des données en

cas d'un accès malveillant aux machines.

Absence d’un contrôleur d’imprimante

Sécurité faible du réseau: nous remarquons une absence de gestion des droits d'accès aux

machines et aux fichiers ainsi une absence d’authentification pour contrôler les

utilisateurs du réseau, etc.

Absence d'utilisation d'un serveur Windows ou Linux pour gérer le réseau. Ceci

complique le travail des enseignants et des techniciens côté installation des logiciels et

gestion d'accès des étudiants

La prise en compte des problèmes évoqués précédemment a abouti à l'élaboration d'une

solution d’administration que nous allons présenter ses buts dans la partie suivante.

IV. Travail à réaliser

Le réseau d’ISIMa présente beaucoup des problèmes d’organisation et manque des serveurs et

des services d’administration. Ainsi, afin de résoudre ces problèmes, il est primordial de munir

ce réseau d’un serveur Linux pour profiter des services open source, et pour éviter les problèmes

d’authentification des systèmes d’exploitation Windows.

Ensuite, nous allons passer à la mise en place et la configuration de l’ensemble de services pour

assurer :

le contrôle du domaine

le contrôle des utilisateurs

le partage des dossiers


le partage des imprimantes

Finalement, nous passons à la sécurisation du réseau de notre institut contre les intrusions

internes par la mise en place d’une solution pour la séparation de flux des données circulant dans

le réseau. Ainsi, nous allons adopter à une solution pour la sécurité contre les attaques prévenant

du réseau externe.

Afin d’organiser les étapes de la réalisation de notre projet, il est primordial de choisir une

méthodologie de travail que nous allons la décrire dans la section suivante.

V. Méthodologie adoptée

Le cycle de développement d’un projet passe par un certain nombre de phases. Les différents

modèles de développement ont plus ou moins les mêmes phases, mais c'est l'enchaînement de

ces phases, ce qui rend ses différents modèles se distingue les uns des autres. Les deux modèles

les plus couramment utilisés sont le développement de logiciels cascade et le modèle V.

Dans cette partie, nous allons décrire ces deux modèles en choisissant le plus adopté à notre

projet.

V.1. Modèle en cascade

Le modèle de cycle de vie en cascade a été mis au point dès 1966, puis formalisé aux alentours

de 1970 [1]. Dans ce modèle le principe est très simple : chaque phase se termine à une date

précise par la production de certains documents ou logiciels. Les résultats sont définis sur la base

des interactions entre étapes, ils sont soumis à une revue approfondie et on ne passe à la phase

suivante que s'ils sont jugés satisfaisants. Le modèle original ne comportait pas de possibilité de

retour en arrière. Celle-ci a été rajoutée ultérieurement sur la base qu'une étape ne remet en cause

que l'étape précédente, ce qui est dans la pratique s'avère insuffisant. (Figure 1)


Figure 1 : Modèle du cycle de vie en cascade

V.2. Modèle en V

Le modèle en V demeure actuellement le cycle de vie le plus connu et certainement le plus

utilisé [1]. Le principe de ce modèle est qu'avec toute décomposition doit être décrite la

recomposition, et que toute description d'un composant doit être accompagnée de tests qui

permettront de s'assurer qu'il correspond à sa description.

Ceci rend explicite la préparation des dernières phases (validation-vérification) par les premières

(construction du logiciel), et permet ainsi d'éviter un écueil bien connu de la spécification du

logiciel : énoncer une propriété qu'il est impossible de vérifier objectivement après la réalisation.

(Figure 2).


Figure 2 : Modèle du cycle de vie en V

V.3. Synthèse

Après la description des deux modèles, nous avons constaté que le modèles-en V, est le modèle

le plus convenable pour la réalisation de notre projet. En effet, ce modèle nous permet de faire

des tests unitaires après chaque étape de réalisation. Cet avantage, diminue le nombre des défauts

dans notre application par rapport au modèle en cascade.

Conclusion

Dans ce chapitre, nous avons fait une présentation générale du cadre de projet en décrivant les

problématiques, le travail à réaliser et en choisissant la méthodologie adoptée.

Le chapitre suivant, sera consacré à l’étude de l’existant, la critique de l’existant, ainsi que la

présentation de la solution proposée.


Chapitre II :

Etude Préalable


Introduction

L’étude préalable constitue une étape préliminaire pour la réalisation d’une application. En effet,

elle permet d’analyser, d’évaluer et de critiquer le fonctionnement habituel, tout en élaborant la

liste de solutions possibles.

Ce chapitre sera réservé pour présenter l’étude préalable de notre projet. Nous commençons par

une description détaillée du réseau mis en place. Cette description nous mène à une analyse et

une critique de l’existant. Enfin, nous proposons les différentes solutions aux problèmes

soulevés.

I. Etude de l’existant

L'étude de l'existant est une phase importante pour bien comprendre le réseau déjà mis en place

dans notre établissement. C’est pour cela que dans cette phase, nous allons effectuer une

description précise de l'existant en énumérant les principaux composants et l’architecture actuelle

du réseau de l’ISIMa.

I.1. Architecture du réseau existant

Le réseau de l’ISIMa est composé de sept laboratoires informatiques équipés des machines, des

postes de travail des administratifs, des ordinateurs portables des étudiants et des enseignants et

un serveur d’antivirus Kaspersky. Toutes ces machines sont interconnectées au réseau local mit

en place (filaire ou WI-FI) à travers des Switch de type : Dell, HP, D-Link, etc. Ce réseau est

subdivisé en deux réseaux séparé : 192.168.1.0/22 192.168.100.0/24. Leur adressage est fait de

manière dynamique à partir de deux serveurs DHCP intégrés respectivement dans un routeur du

type Hwawi et un firewall du type Cisco ASA 5510 placé dans une salle serveur.

Les systèmes d’exploitation installés dans les postes de travails de l’institut sont soit Windows 7

soit Ubuntu 12.04, donc nous parlons d’un réseau hétérogène.

Pour mieux comprendre l’architecture du réseau existant dans l’institut, nous avons résumé tout

ce que nous avons décrit dans le schéma de la figure 3.


Figure 3 : Architecture existante du réseau de l’ISIMa

I.2. Gestion des authentifications

Pour accéder au poste de travail de l’institut, les utilisateurs (administratifs, étudiants,

enseignants) utilisent des comptes locaux avec des droits administrateurs. Nous remarquons

aussi une absence d’un système d’authentification centralisé afin de protéger les ressources de

l’établissement comme les postes de travail, les imprimantes, etc.

I.3. Politique d’accès aux ressources partagées

La politique d’accès aux ressources partagées sur le réseau de l’ISIMa n’est pas bien

définie. En effet, les ordinateurs sont déclarés dans un seul groupe de travail et tous les

utilisateurs ont la main de partager dans le réseau. Ainsi, nous remarquons que certaines

ressources sont partagées avec un accès de lecture et écriture accordée à tout le monde.


II. Critique de L’existant

A partir de notre étude détaillée du réseau existant dans notre établissement, nous avons

remarqué l’existence de plusieurs failles dans différents niveaux. Premièrement, nous avons

constaté l’absence totale d’un contrôleur de domaine qui gère l’administration du réseau avec

une politique d’authentification et de partage claire. En effet, n’importe quelle personne peut

utiliser les ressources de l’établissement sans aucune authentification, comme il peut modifier

leurs configurations, ce qui présente un grand problème surtout que nous parlons d’un

établissement d’enseignement supérieur et la plupart des utilisateurs sont les étudiants.

Deuxièmement, tous les utilisateurs peuvent partager des documents dans le réseau de l’institut

avec une absence d’administration et de centralisation de ces ressources partagées. Ces

ressources sont partagées sans aucun droit d’accès et tout le monde peut y faire des

modifications.

Troisièmement, dans notre établissement, tous les ordinateurs que ce soit personnel, enseignant

ou étudiant sont interconnectés sous le même réseau ce qui présente une faille de sécurité et une

source d’intrusions, surtout que nous avons des services très sensibles dans l’institut comme le

service examen. En plus, nous avons constaté qu’il n’y a aucune règle de sécurité configurée sur

le firewall déjà existant.

Nous pouvons conclure de tout ce que nous avons cité que nous sommes en face d’un réseau

anarchique qui manque d’administration. Cette mauvaise organisation a engendré plusieurs

problèmes liés à la communication entre les utilisateurs du réseau et à la manière de diffusion

des informations.

III. Solution proposée

Le but de notre projet est la mise en place d’une solution fiable pour l’administration du réseau

de l’établissement et la résolution des problèmes déjà décrits dans la partie précédente.

Notre solution va être basée sur le choix de l’architecture du réseau. En effet, dans cette partie

nous allons présenter les différentes solutions déjà présentées dans la littérature. Nous focalisons

en particulier sur l’architecture égale à égale et l’architecture client/serveur.

III.1. Réseau d’égal à égal : P2P

Le réseau égal à égal ou poste à poste ou encore Peer to Peer « P2P » [2], ne comporte en général

que peu de postes, moins d’une dizaine de postes, parce que chaque utilisateur est un


administrateur de sa propre machine, il n’y a pas d’administrateur central, ni de super utilisateur.

Par ailleurs, cette architecture ne comprend pas une hiérarchie entre les postes ou bien entre les

utilisateurs. Chaque ordinateur dans un tel réseau est à la fois serveur et client comme l’indique

la figure 4. Cela signifie que nous avons la possibilité de partager les ressources de n’importe

quel ordinateur, ainsi, les imprimantes reliées à ces dernières afin d’être utilisés dans le réseau.

Figure 4 : Architecture P2P

III.2. Réseau Client /serveur

Le modèle client-serveur constitue une étape importante dans l'évolution des systèmes

d'information [3]. En effet, le principe de cette architecture est le suivant : des machines

clientes (des machines faisant partie du réseau) contactent un serveur, une machine généralement

très puissante en termes de capacités d'entrées-sorties, qui leur fournit des services (figure 5).

L’architecture client/serveur est une architecture centralisée, étant donné que le serveur est au

centre du réseau, et il peut gérer les ressources communes à tous les utilisateurs afin d’éviter les

redondances et les contradictions.

Cette architecture est particulièrement recommandée pour les réseaux étendus et qui nécessitent

un grand niveau de fiabilité vu le grand nombre d’avantages qui fournissent. Nous citons par

exemple :

http://www.commentcamarche.net/contents/508-le-concept-de-reseau


La sécurité : vu que le nombre des points d’entrée permettant l’accès aux données est

moins important

La centralisation : l’administration du réseau se fait essentiellement au niveau du

serveur, d’où les clients ont moins d’importance et nécessitent moins d’administration.

Un réseau évolutif : grâce à cette architecture nous pouvons supprimer ou rajouter des

clients sans perturber le fonctionnement du réseau et sans modification majeurs.

Figure 5 : Architecture Client /serveur

III.3. Synthèse

Après la présentation des deux architectures, nous synthétisons que même si un réseau peer-to -

peer est facile à installer et peu coûteuse, les systèmes client-serveur sont plus sûrs et offrent plus

de place pour l'expansion et l’évolution. Par ailleurs, l’architecture client/serveur est la seule qui

peut gérer le réseau de l’établissement constitué de plus qu’une centaine de machines. Ainsi,

nous pouvons envisager une machine serveur responsable de l’administration, la supervision et la

sécurité du réseau (machine, imprimante, équipement d’interconnexion, etc.).


Conclusion Dans ce chapitre nous avons présenté l’architecture existante dans notre établissement. Par la

suite, nous avons passé à une critique de l’existant. Finalement, nous avons proposé un

ensemble de solutions pour la résolution de ces problèmes.

Nous passons dans le chapitre suivant à l’installation de notre plateforme de travail ainsi que les

services de base.


Chapitre III :

Installation de la plateforme et des

prérequis


Introduction

De nos jours, il existe plusieurs systèmes d’exploitation qui jouent le rôle de gestionnaire du

réseaux. Nous citons par exemple Windows Server, Unix, Linux, etc.

De ce fait, dans la première partie de ce chapitre, nous allons détailler une comparaison entre

les différents systèmes d’exploitation existants et choisir le meilleur entre eux. Par la suite, nous

allons faire une présentation détaillée deux services réseaux à savoir : DNS (Domain Name

System) qui assure la correspondance entre l’adresse IP et le nom de la machine et DHCP

(Dynamic Host Configuration Protocol) qui permet la configuration dynamique des adresses IP.

Nous exposons principalement leurs installations, leurs configurations et leurs tests de

fonctionnement.

I. Choix de la plateforme

Le choix du système d’exploitation et la mise en place de la plateforme du travail sur laquelle

nous allons travailler est une phase très importante. De ce fait dans cette partie, nous allons

procéder à une comparaison entre les différents systèmes d’exploitation existant afin de justifier

le choix du gestionnaire de notre réseau.

I.1. Comparaison Windows /Linux

Le Tableau 1 présente une comparaison entre le système d’exploitation Windows et le système

Linux dans le domaine d’administration réseau.

Critère Linux Windows

Propriété Free Propriétaire (Microsoft)

Code source Accessible Non accessible

Logiciel et mise à jour Non payant Payant

Sécurité Forte Faible

Administration Compliquée mais sécurisée,

robuste et évolutive

Simple mais facile à

attaquer, difficile à

maintenir

Tableau 1 : Comparaison Linux/Windows

En la comparant avec l’administration sous le système d’exploitation Windows, l’administration

réseau sous Linux et comme toute administration sous n’importe quel système d’exploitation

mais Linux offre plus de sécurité de données au sein du réseau. Par ailleurs, Linux est un


système d’exploitation libre qui permet de profiter des avantages de logiciels open source (accès

libre au code source). Aujourd’hui, les entreprises sont attirées à Linux non seulement pour son

coût de licence nul, mais aussi pour le surcoût de maintenance très bas, sa stabilité, et sa sécurité.

Nous remarquons ainsi que le système Linux répond à tous nos besoins en termes d’accès au

code source, de gratuité de licence, et de disponibilité de la documentation. Toutefois, il nous

reste à choisir une parmi ses distributions.

I.2. Les distributions Linux

Une distribution Linux, appelée aussi distribution GNU/Linux pour faire référence

aux logiciels du projet GNU [4], est un ensemble cohérent de logiciels. La plupart étant logiciels

libres, assemblés autour du noyau Linux. Il existe une très grande variété de distributions, ayant

chacune des objectifs et des caractéristiques particulières.

Dans le domaine de l’administration du réseau, il existe deux principales distributions: Debian et

Redheat. De la première distribution, nous avons choisi Ubuntu Server et de la deuxième nous

avons sélectionné Fedora Server.

I.2.1. Serveur Ubuntu

Ubuntu [5] est une distribution qui propose un système libre, gratuit, sécurisé et convivial. Ce

système est utilisable aussi bien sur des serveurs que des postes de travail. Il est toutefois orienté

grand public notamment grâce à sa simplicité d’utilisation qui favorise la prise en main. C’est

une distribution compacte (fréquemment distribué sur CD) qui assure une grande compatibilité

matérielle et dispose de nombreux logiciels, de base ou à installer.

Dans un jargon plus technique, Ubuntu est une "distribution GNU/Linux très globalement libre

basée sur Debian". Depuis la première version stable d'Ubuntu, sortie en 2004, la popularité de

cette distribution ne cesse de croître; elle continue de s'améliorer en terme de fonctionnalités et

de stabilité, et séduit chaque jour de nombreux utilisateurs, tant parmi les débutants que parmi les

plus chevronnes et occupe actuellement la première place à l'échelle mondiale.

I.2.2. Serveur Fedora

Fedora,[6] anciennement Fedora Core, est une distribution GNU/Linux bâtie sur le

système RPM, développée par le projet Fedora et soutenue par la société Red Hat. Cette

distribution se veut être un système d'exploitation complet, composé uniquement de logiciels

libres. Fedora dérive donc de la distribution Red Hat Linux, et est destinée à l’expert plus tôt que

http://fr.wikipedia.org/wiki/Linux_ou_GNU/Linux

http://fr.wikipedia.org/wiki/Logiciel

http://fr.wikipedia.org/wiki/GNU

http://fr.wikipedia.org/wiki/Logiciels_libres

http://fr.wikipedia.org/wiki/Logiciels_libres

http://fr.wikipedia.org/wiki/Noyau_Linux

http://fr.wikipedia.org/wiki/Distribution_Linux

http://fr.wikipedia.org/wiki/GNU

http://fr.wikipedia.org/wiki/Linux

http://fr.wikipedia.org/wiki/RPM_Package_Manager

http://fr.wikipedia.org/wiki/Fedora_Project

http://fr.wikipedia.org/wiki/Red_Hat

http://fr.wikipedia.org/wiki/Syst%C3%A8me_d%27exploitation

http://fr.wikipedia.org/wiki/Logiciel_libre

http://fr.wikipedia.org/wiki/Logiciel_libre

http://fr.wikipedia.org/wiki/Red_Hat_Linux


les débutants ou les généralistes. Le maintien de Fedora est en grande partie redevable à sa

communauté d'utilisateurs.

Cette distribution se distingue par le très grand nombre d'architectures supportées, son

importante logithèque et par son cycle de développement relativement long, ce qui lui confère un

gage d'une certaine stabilité. Sa qualité et son sérieux sont unanimement reconnus, mais elle

garde l'image d'une distribution réservée aux experts, malgré que son ergonomie a beaucoup

évolué.

I.3. Comparaison Ubuntu /Fedora

Ubuntu et Fedora sont deux des plus grands noms quand il s'agit de distributions Linux. Les

deux distributions sont parrainées par des grandes entreprises - Canonical avec Ubuntu et Red

Hat avec Fedora - et fournissent des mises à jour régulières pour assurer la sécurité et la stabilité.

Ubuntu est souvent considérée comme la version la plus conviviale de Linux pour les nouveaux

utilisateurs, ce qui explique sans doute à ce qu'elle soit la version la plus populaire de Linux

cependant occupe Fedora la quatrième place à l’échelle mondiale. D’autre part, nous constatons

qu’avec l’utilisation du système Ubuntu, nous ne trouvons plus des problèmes de compatibilités

matériels vue que cette distribution utilise des logiciels propriétaires cependant nous ne trouvons

pas cet avantage avec la distribution Fedora et qui nous cause des problèmes de compatibilité et

par la suite l’utilisation des matérielles comme les cartes Wi-Fi ou les cartes graphiques.

Nous constatons, d’après cette comparaison, que le meilleur système qui nous aide à mettre en

place notre projet et à faire l’administration réseaux est linux et plus particulièrement la

distribution Ubuntu. En effet, ce système possède plusieurs avantages par rapport à Windows et

à d’autres systèmes et surtout au niveau de sécurité, simplicité et compatibilité. Plus

particulièrement, nous avons opté pour la version 10.04 d’Ubuntu server qui contient la

plupart des services réseau de façon stable.

Afin d’assurer le fonctionnement de notre réseau, il est nécessaire d’installer le service DNS

(Domain Name System) que nous allons présenter dans la partie suivante.


II. Le service DNS (Domain Name System)

II.1. Présentation du service DNS

DNS (Domain Name System) [7] est un système d’appellation d’ordinateurs et de services

réseau organisé selon une hiérarchie de domaines comme c’est présenté dans la figure 6.

L’attribution de noms DNS est utilisée sur les réseaux TCP/IP tel qu’Internet afin de localiser les

ordinateurs et les services au moyen de noms conviviaux. Lorsqu’un utilisateur entre un nom

DNS dans une application, les services DNS peuvent résoudre ce nom en une autre information

qui lui est associée, par exemple une adresse IP.

Figure 6 : Architecture DNS

II.2. Installation du serveur DNS

Tout d’abord, nous devons vérifier l’existence des paquetages nécessaires à l’aide de la

commande suivante : « aptitude search bind9 » (figure 7)

Figure 7 : Recherche des paquets de bind9


Dans le cas où le paquet bind9 n’est pas installé, il faut l’installer avec (figure 8):

apt-get install bind9

Figure 8 : Installation de bind9

II.3. Configuration du serveur DNS

Apres avoir installé le paquetage bind9, il faut tout d’abord commencer par la configuration de

l’interface réseau de notre serveur.

Le serveur DNS doit avoir une adresse IP statique, donc nous devons éditer le fichier

« /etc/network/interfaces » avec la commande shell : « nano » et nous ajoutons les lignes

indiquées dans la figure 9 :

Figure 9 : Configuration de l’interface eth0

Chaque élément de la configuration de l’interface eth0 (iface, address, netmask, etc) est

nécessaire pour pouvoir utiliser normalement le réseau et l’Internet.

Apres avoir fixé l’adresse IP de notre serveur, nous allons passer à la configuration des fichiers

spécifiques du serveur DNS.

La première étape consiste à la modification du fichier « /etc/resolv.conf » en déclarant le non du

domaine « isima.rnu.tn » et l’adresse IP du serveur DNS 192.168.3.100 comme l’indique la

figure 10.


Figure 10 : Configuration du fichier « resolv.conf »

La deuxième étape consiste à déclarer les différentes zones du serveur DNS dans le fichier de

configuration « /etc/bind/named.conf.local ». Nous allons ainsi remplir notre fichier avec les

lignes suivantes (figure 11):

Zone "isima.rnu.tn " IN { // Le nom de la zone directe

Type master; // Master désigne que le type qu’on va déclarer est serveur

File "/etc/bind/db.isima.rnu.tn"; // Indique le chemin où on va enregistrer la zone principale

};

Zone "168.192.in-addr.arpa" { // le nom de la zone inverse

type master; // master désigne que le type est serveur

file "/etc/bind/db.isima.rnu.tn.rev"; // indique l’emplacement du fichier de la zone inverse

};

Figure 11 : Déclaration des zones de serveur


La troisième étape est la création et le remplissage du fichier de la zone directe déclaré

antérieurement et présenté dans la figure 12 :

Figure 12 : Création du fichier de la zone directe

$TTL permet de définir en secondes et dans un intervalle qui va de 0 à 2147483647 le délai

maximum pendant lequel un enregistrement pourra être gardé en cache. Avec 86400, le

cache sera vidé, et les fichiers relus, toutes les 24 heures.

Refresh, Retry, et Expire sont des délais, exprimés en secondes, qui vont piloter le

comportement des serveurs esclaves. A l'expiration du délai refresh, l'esclave va entrer en

contact avec le maître ; s'il ne le trouve pas, il essaiera de nouveau à la fin du délai Retry. Et

si, au bout du délai expire, il n'est pas parvenu à ses fins, il considérera que le serveur maître

a été retiré du service. Nous remarquons aussi la disposition des parenthèses, obligatoire

pour disposer les informations sur plusieurs lignes.

Pour la quatrième étape, nous répétons le même processus pour la zone-inverse avec la création

du fichier spécifique « /etc/bind/db.isima.rnu.tn.rev » (figure 13)


Figure 13 : Création du fichier de la zone inverse

Pour la cinquième étape, il est conseillé (mais pas obligatoire) d’indiquer les adresses IP des

serveurs DNS externe s’il existe dans le fichier « etc/bind/named.conf.options » (figure 14)

Figure 14 : Configuration des adresses IP des serveurs DNS externes

Après avoir terminé l’installation du service DNS et la configuration de ses fichiers, il faut

redémarrer notre service.

Figure 15 : Redémarrage du service DNS

Nous passons ensuite, au test du fonctionnement de notre serveur DNS

II.4. Test de fonctionnement

Pour tester le bon fonctionnement du notre serveur, nous devons taper la commande

administrateur « nslookup ». [8]


Figure 16 : Test du fonctionnement du serveur DNS

Dans la figure 16, la commande « nslookup » permet de donner l’adresse IP en fonction du nom

de la machine et inversement après avoir interrogé le serveur DNS déjà installé.

III. Le service DHCP (Dynamic Host Configuration Protocol)

III.1. Rôle du serveur DHCP

Le protocole DHCP, (Dynamic Host Configuration Protocol) ou (Protocole de la

configuration dynamique des hôtes), est un service réseau TCP/IP [9]. Il permet aux

ordinateurs clients l'obtention automatique d'une configuration réseau. Il évite la configuration

de chaque ordinateur manuellement. Les ordinateurs configurés pour utiliser DHCP n'ont pas

le contrôle de leur configuration réseau qu'ils reçoivent du serveur DHCP.

III.2. Fonctionnement du serveur DHCP

D’une manière générale, le fonctionnement d'un client DHCP passe par les étapes déjà

présentées dans la figure 17 et qui sont les suivantes:

Localisation de bail IP : le client émet une diffusion générale afin de trouver l’IP d’un

serveur DHCP

Offre de bail : Tous les serveurs DHCP disponibles envoient une offre d’adressage IP au

client.

Demande de bail : le client sélectionne la première proposition d’adressage IP qu’il reçoit,

puis émet à nouveau une diffusion générale afin de demander un bail.

Confirmation de bail : le serveur DHCP retenu répond alors au client, et les autres serveurs

retirent leurs offres.

http://fr.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol


Le client reçoit son adresse IP ainsi que ses paramètres optionnels (passerelle, adresse serveur

DNS).

Figure 17 : Les étapes du fonctionnement du serveur DHCP

III.3. Configuration du serveur DHCP

Dans le but de la bonne exploitation du matériel existant dans l’institut, nous avons choisi de

configurer notre Firewall Cisco ASA 5510, pour qu’il soit notre serveur DHCP.

En effet, le firewall Cisco est un équipement performant, et permet de nous donner des services

très importants pour la sécurité de notre réseau dont nous allons les présenter dans le chapitre 5

« sécurité du réseau ».

Dans cette phase, nous allons nous intéresser à la configuration du serveur DHCP. En effet, nous

allons faire la création et la configuration de l’interface « inadmin » dans notre firewall, fixer

son adresse IP à 192.168.1.1 et son masque est de 255.255.252.0 comme indique la figure 18 :


Figure 18 : Configuration de l’interface « inadmin » du serveur DHCP

Par la suite, nous allons activer le DHCP et fixer la plage d’adresses dynamiques de l’interface

(figure 19).

Figure 19 : Fixation de la plage d’adresses dynamiques

Le reste de la plage d’adresses de l’interface « inadmin », du 192 .168.1.255 jusqu’au

192.168.3.255, est réservé pour l’adressage statique.

La figure 20, présente le bon fonctionnement de notre serveur DHCP sur une machine cliente

connecté dans le réseau :


Figure 20 : Test du fonctionnement du serveur DHCP

En effet, dans cette figure nous remarquons que la machine a bien acquis une adresse IP

dynamiquement de la part de notre serveur DHCP déjà configuré.

Conclusion

Dans ce chapitre, nous avons choisi notre système d’exploitation et nous l’avons installé sur

notre serveur. Ensuite, nous avons présenté la configuration des services réseaux DHCP et DNS

et nous avons détaillé leurs tests de fonctionnement. Nous possédons ainsi un serveur qui permet

de reconnaitre et configurer dynamiquement les machines du réseau.

Le chapitre suivant, sera consacré à la présentation et la mise en place du contrôleur de domaine.

Nous allons en particulier gérer le partage de dossiers et d’imprimantes et manipuler les comptes

et les groupes des utilisateurs dans notre réseau.


Chapitre VI :

Configuration du contrôleur de

domaine


Introduction

Un domaine est une entité logique vue comme une enveloppe étiquetée. Il désigne l’ensemble de

machines réseau (stations, imprimantes,…) et les comptes utilisateurs qui sont autorisés à se

connecter.

Le domaine permet à l’administrateur réseau de gérer plus efficacement les utilisateurs des

stations installées au sein de l’entreprise car toutes ces informations sont centralisées dans une

même base de données et stockées sur un serveur particulier appelé contrôleur de domaine.

Dans ce contexte, nous pouvons citer plusieurs familles des contrôleurs des domaines existants

sur le marché comme Active Directory pour les systèmes Windows (Windows XP, Windows 7,

etc.), NIS pour les systèmes Open Source (Ubuntu, Debian, etc.) et Samba pour les réseaux

hétérogènes et ce qui est le cas dans notre projet. Toutefois, Samba doit être couplé avec

l’annuaire LDAP afin d’organiser les données et les centraliser dans un annuaire séparé.

Ainsi, dans ce chapitre, nous allons nous intéresser à la présentation du contrôleur de domaine

Samba et l’annuaire OpenLDAP dans un premier lieu. Dans un second lieu, nous détaillerons les

étapes d’installation et de configuration de ces deux services. Nous terminerons enfin par

l’explication de la gestion de quotas d’espace disque et d’ impressions.

I. Etude théorique

L’étude et la mise en place d'un serveur contrôleur de domaine centralisé comme Samba sont

indispensables pour gérer les comptes utilisateurs, les authentifications et les partages des

répertoires. Néanmoins, un annuaire open source comme LDAP permettant d’enregistrer nos

données s’avère nécessaire pour avoir un contrôleur de domaine. Dans ce qui suit, nous allons

présenter ces deux services avec leurs principales fonctionnalités.

I.1. L’annuaire OpenLDAP

I.1.1. Définition D’un annuaire

OpenLDAP [10] est un projet libre diffusé sous licence OpenLDAP Public License. Il est

supporté par la fondation OpenLDAP, créée en 1998 par une société appelée Net Boolean,

fournisseur de services professionnels liés à la messagerie.

OpenLDAP est une implémentation libre de LDAP [Lightweight Directory Access Protocol],

fonctionnant en mode Client/serveur et qui permet d'offrir des fonctionnalités variées dont une


gestion des authentifications dans un environnement réseau. Il peut également gérer les comptes

utilisateurs pour Linux et celles de Windows via un contrôleur de domaine principal.

Ce service est utilisé pour enregistrer une grande quantité d’informations dans un réseau

informatique.

I.1.2. Caractéristiques et fonctionnement

Le serveur LDAP présente l’intermédiaire entre le client et la source de données. Il définit alors

l’organisation des données qu’il présente de manière hiérarchique à travers un format de fichier

standard LDIF (LDAP Data Interchange Format).

Le modèle LDAP normalise un grand nombre d’informations :

Le protocole : permettant d’accéder à l’information contenue dans l’annuaire

Le modèle de nommage : définit la manière de stockage et d’organisation des données

(attributs des objets)

Le modèle fonctionnel : définit les différents services fournis par l’annuaire

Le modèle d’information : définit le type d’informations stockées

Le modèle de sécurité : définit les droits d’accès aux ressources (authentifications des

accès)

Le modèle de duplication : définit comment la base est répartie entre serveurs

Des APIs : pour développer des applications clientes

La figure 21 présente un exemple d’un annauire LDAP .

dc=isima,dc=rnu,dc=tn

ou= groupe ou=machine ou=utilisateur

cn= etudiant

cn =enseignant cn = kawther cn = pc

Figure 21 : Exemple de la Structure d’annuaire LDAP


DC [Domain Components] : C’est une partie du nom de domaine. Dans notre cas, le

domaine que nous obtenons à partir des différentes DC est « isima.rnu.tn ».

OU [Organizational Units] : Unité d’organisation qui présente les nœuds principaux dans

une entreprise qui sont dans notre cas: utilisateur, machine et groupe

Cn [Commun Name] : ce sont les données spécifiques des unités d’organisations par

exemple « enseignant » pour l’unité d’organisation « groupe ».

L’annuaire LDAP doit être interconnecté à un contrôleur de domaine Samba que nous allons

présenter dans la suite.

I.2. Le Contrôleur de domaine Samba

I.2.1. Définition

Samba [11] est une suite de logiciels qui nous permettra d’interconnecter des systèmes

hétérogènes, afin d’en partager les ressources. Ces ressources sont composées d’utilisateurs, de

groupes, de machines et d’imprimantes. Ainsi toutes les machines Unix peuvent accéder à une

machine ou domaine Windows et inversement.

Cependant, Samba nous fournit les fonctionnalités d’un contrôleur de domaine ainsi qu’un

gestionnaire de fichiers.

I.2.2. Structure de Samba

Le serveur Samba est constitué de deux applications principales qui sont :

Nmbd : qui permet de gérer la résolution de noms NetBIOS et toutes les connexions UDP. Il

est le premier serveur démarré dans le processus de démarrage de Samba. Il fonctionne sur le

port 137.

Smbd : qui permet de gérer toutes les connexions SMB/CIFS ainsi que le partage de fichiers

et d’imprimantes. Il gère également les authentifications locales. Il est démarré juste après

Nmbd et il fonctionne sur le port 139.

Ce service fonctionne en mode client/serveur via le service SMB (Server Message Block) qui

permet la communication entre les machines sous linux et Windows.

I.2.3. Fonctionnalités de Samba

Le service Samba fournit des différentes fonctionnalités serveurs telles que serveur de fichiers,

serveur d’imprimantes et contrôleur de domaine ainsi que des fonctionnalités clientes comme la

connexion à un partage distant et le transfert des fichiers.


Ce service nous fournit encore une fonctionnalité très importante dans notre réseau hétérogène

qui est l’interconnexion bidirectionnelle entre les systèmes d’exploitation Unix et Windows.

a. Gestion des comptes

Samba permet à des comptes du type Windows de se connecter à une machine UNIX. Il fait le

lien entre les deux types de comptes pour gérer les droits d’accès aux fichiers pendant la

connexion et après la connexion. Samba fait donc une correspondance entre les utilisateurs

UNIX et les utilisateurs Windows : à chaque utilisateur Samba correspond un utilisateur UNIX.

La création d’un compte pour Samba se fait en deux étapes :

ajout du compte utilisateur sur la machine UNIX

ajout du compte à la base Samba

Dans notre projet, nous avons l’avantage de faire la création en une seule étape grâce à la

synchronisation avec l’annuaire LDAP.

b. Gestion des droits

Il existe deux types de droits sous Samba : les droits de connexion qui nous permettrons de

définir les utilisateurs ou groupes pouvant se connecter à un partage et les droits du système de

fichiers qui nous permettrons de définir les droits qu’aura un utilisateur ou un groupe sur les

fichiers. Il s’agit des droits de lecture, d’écriture (w) et d’exécution (x) qu’ont un utilisateur (u),

un groupe (g) ou tout autre personne (o) sur les fichiers, les répertoires et les autres ressources

partagées (imprimantes,…).

c. Gestion des imprimantes : Le serveur d’impression CUPS

Comme nous avons mentionné dans le paragraphe précédent, le service Samba nous permet le

partage et l’administration des imprimantes, mais pour un fonctionnement meilleur, nous devons

le coupler avec le serveur d’impression CUPS [Common UNIX Printing System].

Ce serveur nous permet d’organiser les tâches d’impression, les met en file d’attente, et rend

possible l’impression en réseau en utilisant le standard d’impression Internet Printing Protocol

[IPP]. Il offre un large support pour un très grand nombre d’imprimantes (imprimantes

matricielles aux imprimantes laser, etc.). CUPS offre également le support PostScript Printer

Description PPD et l’auto-détection des imprimantes réseaux, avec une interface de

configuration Web simple et accessible depuis n’importe quel ordinateur [12].


Dans suite de ce chapitre, nous allons décrire les étapes à suivre pour installer et configurer ces

différents services afin de mieux gérer le parc informatique de l’institution lieu de stage (ISIMa).

II. Mise en œuvre des services

Nous allons commencer par l’installation du service OpenLDAP pour préparer la base

d’authentification des utilisateurs. Ensuite nous allons passer à la configuration du contrôleur du

domaine Samba.

II.1. Service OpenLDAP

II.1.1. Installation et configuration

Nous commençons par l’installation du service à travers la commande suivante (figure 22)

apt-get install slapd ldap-utils

Figure 22 : Installation des paquets slapd et ldap-utils

Au cours de l’installation, le système va nous demander d’initialiser le mot de passe de

l’administrateur du serveur. Ensuite, nous allons passer à la configuration des fichiers

spécifiques du serveur. Le serveur OpenLDAP est basé sur un ensemble de fichiers qu’on les

appelle des schémas d’où la configuration du serveur consiste à la modification de ces schémas.

Pour la modification de ces fichiers, nous devons ajouter un super administrateur à la base du

serveur en ajoutant les lignes suivantes dans le

fichier:/etc/ldap/cn=config/olcDatabase={0}config.ldif (figure 23)

OlcRootDN : cn=admin,cn=config

OlcRootPW : XXXXXXXXXXXXXXXX


Figure 23 : Ajout d’un super administrateur

Le mot de passe crypté « olcRootPW » est obtenu comme suit :

Figure 24 : Cryptage du mot de passe du super utilisateur

Par la suite, nous allons initialiser le nom de notre domaine et la base de l’annuaire dans le

fichier :OlcDatabase= {1}hdb.ldif (Annexe LDAP, Figure 1).

Le nom du domaine : isima.rnu.tn

Base de l’annuaire : dc=isima,dc=rnu,dc=tn

II.1.2. Test de fonctionnement

Apres l’initialisation des fichiers de configuration du serveur, nous allons passer au remplissage

de l’annuaire. La communication avec LDAP ne se fait que par l’intermédiaire des fichiers de

l’extension « .ldif », ainsi, nous allons créer un fichier exemple.ldif (annexe LDAP, Figure 2).

Dans ce fichier nous allons ajouter quelques enregistrements pour tester notre annuaire. Il faut

ensuite insérer les données du fichier par la commande suivante :

ldapadd –X –D cn=admin,dc=isima,dc=rnu,dc=tn –W -f /chemin du fichier.ldif


Figure 25 : Remplissage de l’annuaire LDAP

Pour afficher le contenu de notre annuaire on utilise la commande suivante :

ldapsearch –x –b “dc=isima,dc=rnu,dc=tn”

Enfin nous allons redémarrer notre serveur LDAP (Figure 26).

Figure 26 : Redémarrage du service Slapd

II.1.3. Packages d’authentification

Une fois que nous avons notre annuaire LDAP en cours d’exécution, nous devons indexer notre

système Ubuntu pour authentifier ses clients via LDAP. Les packages responsables à ce service

sont : libnss-ldap et libpam-ldap [13].ces packages nous allons les installer à travers la

commande présentée dans la figure suivante :

Figure 27 : Installation des packages d’authentification

Au cours de l’installation, une boîte de dialogue de menu est affichée et nous demande

quelques renseignements à propos de la connexion de notre serveur LDAP.


Adresse du serveur LDAP : ldap : //127.0.0.1

DN de la base de recherche

Version de LDAP a utilisé : 3

Utilisation de PAM pour les mots de passe locaux : oui

Connexion authentifié : Non

Configuration :cn=admin,dc=isima,dc=rnu,dc=tn

Mot de passe : même qu’admin LDAP

Configuration de libnss-ldap : ok

Ensuite, nous allons passer à la configuration du fichier /etc/nswitch.conf et nous allons ajouter

Ldap comme méthode d’authentification pour les lignes correspondant à passwd, group,

shadow et netgroup (Figure 28).

Figure 28 : Ajout de LDAP comme méthode d’authentification

A ce point, l’installation et la configuration de l’annuaire LDAP sont terminées avec succès.

Nous passons maintenant à la mise en œuvre du contrôleur de domaine.

II.2. Service Samba

II.2.1. Installation

La mise en place du serveur Samba se fait par la commande :

apt-get install samba


Toutefois, ce service nécessite d’autres packages pour la connexion à l’annuaire LDAP qui sont

« samba-doc » et « smbldap-tools » (figure 29), [14]:

Figure 29 : Installation de Samba, samba-doc et smbldap-tools

II.2.2. Package samba-doc

Nous avons déjà expliqué que l’annuaire LDAP fonctionne avec des schémas qui sont déjà

installés. Pour l’intégration de samba avec LDAP, il faut encore ajouter un nouveau schéma que

nous devons obligatoirement l’installer.

Apres son installation, il faut décompresser ce schéma par les commandes suivantes :

cp /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz /etc/ldap/schema/

gunzip /etc/ldap/schema/samba.schema.gz

Ensuite, nous devons faire une série de manipulations pour intégrer le schéma samba dans

l’arborescence.

Première étape : créer un fichier « schema_new.conf » (Annexe Samba, Figure 1)

Deuxième étape : convertisser les schémas dans un répertoire temporaire

mkdir /tmp/ldif_output

slaptest –f schema_new.conf –F /tmp/ldif_output

Troisième étape: modifier le fichier générer “cn={12}samba.ldif

DN : cn=samba,cn=schema,cn=config

Cn : samba

Supprimer les Cinque derniers lignes

Quatrième étape : Ajouter le schéma généré par la commande suivante :


Figure 30 : Ajout du schéma dans l’arborescence OpenLDAP

II.2.3. Package smbldap-tools

Cet outil est un ensemble de scripts permettant de créer les utilisateurs POSIX, samba et LDAP

d'une manière automatique via des commandes.

La configuration se fait entièrement dans les deux fichiers « smbldap.conf » et «

smbldap_bind.conf » qui se trouvent dans le répertoire « /etc/smbldap-tools ».

Avant la configuration, nous devons décompresser le script en utilisant la commande suivante :

gunzip –d /usr/share/doc/smbldap-tools/configure.pl.gz

En terminant, nous passons à la configuration du fichier du serveur samba « smb.conf » situé

dans « /etc/samba ».Par défaut, ce fichier n’est pas vide, mais il faut le configurer pour qu’il

s’adapte à nos besoins (Annexe Samba, Figure 2).

Le fichier de configuration « smb.conf » contient une section globale et une section de partage.

Parmi les paramètres les plus importantes que nous devons les configurer dans le fichier sont :

WORKGROUP : Nom du domaine

Netbios : Nom de notre serveur Samba

L’adresse IP du serveur LDAP : Pour l’authentification des comptes

Ldap admin dn : administrateur de la base de données LDAP

Admin users : administrateur de contrôleur de domaine Samba

Par la suite, nous devons définir le mot de passe de l’administrateur Samba par la commande

smbpasswd (Figure 31):

Figure 31 : Initialisation du mot de passe de l’administrateur samba


Apres nous lançons la commande perl afin d’exécuter le fichier configure.pl.

perl /usr/Share/doc/smbldap-tools/configure.pl

Certaines informations vont être demandées au cours de cette phase concernant le domaine

Samba (Annexe Samba, Figure 3).

Créons maintenant l'arbre de base au niveau de LDAP pour Samba avec la commande smbldap-

populate comme suit:

Figure 32 : Création de l’arbre de base de l’annuaire LDAP

A ce stade, l’installation de notre contrôleur de domaine Samba et sa liaison avec l’annuaire

LDAP sont terminées. Nous passons ainsi à la création des dossiers partagés et les comptes des

utilisateurs.

II.3. Gestion des dossiers et des comptes

Comme c’est indiqué dans le fichier « smb.conf », nous avons partagé plusieurs dossiers tels

que :

/var/samba/netlogon : contient les éventuels scripts qui sont exécutés à chaque connexion

d’un utilisateur (.bat)


/var/samba/home : contient les profils Windows à chaque utilisateur, aussi les répertoires

Linux.

Donc, nous devons créer ces répertoires avec la commande mkdir :

mkdir nom_dossier

Apres la création des répertoires, il faut les donner les droits d’accès comme suit :

Figure 33 : Fixation des droits d’accès au dossier partager

Par la suite nous passons à la création des groupes.

Ajout d’un groupe : smbldap-groupadd –a nom_groupe

Suppression d’un groupe : Smbldap-groupdel nom_groupe

Ajout d’un utilisateur à un groupe : Smbldap-groupmod –m nom_utilisateur nom_groupe

Dans notre cas, nous avons créé trois groupes qui sont

principalement « Etudiant », « Enseignant » et « Administratif ».

Puis nous passons à la création des comptes des utilisateurs avec la commande smbldap_useradd

(figure 34).

Figure 34 : Ajout d’un utilisateur

Suppression d’un utilisateur : Smbldap-userdel nom_utilisateur

La création manuelle des comptes système est un peu classique et a des points faibles au niveau

du temps si nous désirons créer plusieurs comptes. Pour cela, nous allons améliorer cette

technique à travers la réalisation d'un script Shell qui va créer les comptes système. Il prend ses

informations à travers un fichier texte, ce fichier texte contient les noms et les mots de passe et

les groupes séparés par un « : ». La première colonne pour les noms de compte, la deuxième

pour les mots de passe et la troisième pour les groupes (figure 35). Ce script fait la création en

se basant sur ce fichier texte (Annexe Samba, Figure 4).


Figure 35 : Fichier texte d’utilisateurs

L’exécution de ce script se fait avec la commande suivante :

Figure 36 : Exécution du script shell

III. Intégration et test des services

III.1. Cas d’un client Windows

Pour intégrer les machines Windows au domaine Samba nous devons passer par les étapes

suivantes :

1er

Etape : Cliquer sur le bouton droit sur ordinateur puis propriétés

2ème

étape : cliquer sur le lien « modifier les paramètres » du paragraphe Paramètres de nom

d’ordinateurs, de domaine et de groupe de travail

3ème

étape : Cliquer sur modifier le nom d’ordinateur et groupe de travail

4ème

étape : Sélectionner membre d’un domaine et entrer le nom de domaine puis OK (figure

37)


Figure 37 : Intégration au domaine

Nous remarquons la création d’un nouveau lecteur H : dans l’explorateur Windows. Ce lecteur

pointe sur l’espace propre à l’utilisateur dans notre serveur.


Figure 38 : Test de Validation pour un client Windows

Remarque :

Pour intégrer les machines Windows 7, il faut modifier la base de registres du système. Pour cela

SAMBA propose un script téléchargeable [15].

III.2. Cas d’un client Linux

Pour un client Linux la commande « smbclient » nous permet d’accéder aux ressources partagées

du serveur. (Figure 39)

Figure 39 : Test de Validation pour un client linux


IV. Gestion des quotas

Dans ce paragraphe nous allons nous intéresser à la configuration des comptes des utilisateurs en

fixant une taille d’espace disque maximal (quota) dans un premier lieu et dans un second lieu,

nous allons gérer les quotas d’impression pour les accès des enseignants aux imprimantes réseau.

IV.1. Quotas des comptes utilisateurs

La gestion des comptes des utilisateurs nécessite l’installation du paquet « quota » en exécutant

la commande suivante :

Apt-get install quota

Nous devons éditer le fichier « /etc/fstab » afin d'ajouter usrquota dans les options pour avoir

une gestion au niveau utilisateur et grpquota pour une gestion par groupe. Puisque nos comptes

des utilisateurs sont enregistré dans la partition « /home », nous allons éditer juste cette partition

comme c’est présenté dans la figure 40:

Figure 40 : Edition de la partition /home

Afin de permettre aux quotas de fonctionner, il faut créer un fichier pour les quotas utilisateur, et

un autre pour les quotas du groupe dans la racine du dossier à protéger « /home», puis les

donner les droits d’accès avec la commande « chmod ».

nano /home/quota.group //création du fichier pour le groupe

nano /home/quota.user //création du fichier pour l’utilisateur

chmod 600 /home/quota.*

Par la suite, nous passons à la fixation des quotas des utilisateurs et des groupes en accèdant au

fichier spécifique de chacun via la commande suivante :

Fixation des quotas des groupes

edquota –g groupe

Fixation du quota des utilisateurs

edquota –u utilisateur

http://doc.ubuntu-fr.org/tutoriel/comment_editer_un_fichier


Figure 41 : Quota des utilisateurs

La colonne blocks correspond à la taille actuellement utilisée par l'utilisateur

Les premières colonnes souple & stricte correspondent aux limites "block"

La colonne inodes correspond au nombre de fichiers de l'utilisateur

Une fois que les quotas sont définis pour un utilisateur, on peut les répliquer pour d'autres

utilisateurs en utilisant l'option -p de la commande « edquota ».

edquota –p utilisateur 1 utilisateur2

IV.2. Serveur d’impression : CUPS

Comme nous avons précisé dans la première partie de ce chapitre, pour la gestion des

imprimantes nous allons installer le serveur CUPS puis le lier avec notre serveur Samba.

IV.2.1. Installation et Configuration

Pour installer CUPS, nous utilisons la commande suivante :

Apt-get install cups

Ensuite, nous passons à la configuration du fichier « /etc/cups/cupsd.conf » du serveur. Par

défaut sur Ubuntu, le serveur CUPS n'est en écoute que sur l'interface de bouclage à l'adresse

IP 127.0.0.1, par contre dans notre cas , nous ne pouvons pas consulter l’interface de ce service

dans notre serveur car nous utilisons la version « Server » du Ubuntu. D’où il faut que ce service

soit à l’écoute d’une interface réseau pour que nous pouvons le consulter depuis un hôte externe.

Pour cela nous avons ajouté la ligne suivante dans notre fichier de configuration :

Figure 42 : Ajout d’une Interface réseau

A cette étape, nous pouvons consulter l’interface de notre serveur CUPS depuis un PC Windows.

Cette interface nous simplifie l’ajout et la gestion des imprimantes réseaux.

Pour consulter l’interface, nous tapons l’adresse de notre serveur suivi de numéro de port de

serveur dans la barre d’adresse de n’importe quel navigateur Web:


Figure 43 : Page Web du service CUPS

Pour ajouter une imprimante, nous passons à l’onglet « administration », puis, nous choisissons

« add printer » (Figure 44).

Figure 44 : Page de configuration des imprimantes réseau

Par la suite, nous devons choisir le nom de l’imprimante à ajouter et sa localisation et nous

devons installer son pilote.

Ci-dessous un exemple d’ajout et configuration d’une imprimante Epson-EPL-N3000 dans notre

serveur CUPS.


Figure 45 : Exemple d’ajout d’une imprimante

Notre serveur CUPS, nous donne la possibilité de donner la main ou bien exclure certains

utilisateurs ou groupes pour utiliser l’imprimante à partir de la fenêtre présentée dans la (figure

46). Dans notre institut, nous avons mis les imprimantes seulement à la disposition des groupes

des enseignants.

Figure 46 : Fixation des utilisateurs de l’imprimante

Pour fixer les quotas d’impressions des utilisateurs de chaque imprimante, nous devons

configurer le fichier suivant « /etc/cups/printer.conf » et éditer les lignes suivantes :

Figure 47 : Fixation des quotas d’impression


Apres la configuration du serveur CUPS, il faut l’intégrer avec notre contrôleur de domaine

Samba à travers l’édition de son fichier de configuration « /etc/samba/smb.conf » et éditer les

lignes suivantes : (voir annexe 4)

Printing = cups

Printcap = cups

IV.2.2 Test de Validation

Toutes les imprimantes partagées sont affichées dans le réseau à côté des dossiers des utilisateurs

partagés (figure 48).

Figure 48 : Imprimantes partagées dans le domaine

Le serveur CUPS nous donne un rapport détaillé sur tous événements survenus sur notre

imprimante (nom de la page imprimé, utilisateur, taille, nombre de pages, date) :

Figure 49 : Surveillance des travaux d’impression


Conclusion Dans ce chapitre, nous avons présenté puis détaillé l’installation et la configuration des différents

services pour la création de notre contrôleur de domaine.

Ainsi, notre travail est testé avec succès au sein de l’institut ISIMA et prêt pour l’utilisation de la

part de nos étudiants et enseignants dans l’établissement.

Après la mise en place de notre contrôleur de domaine, nous nous intéressons dans la partie

suivante à sa sécurité des données partagées par ce réseau. Ainsi, dans le chapitre suivant nous

allons présenter une étude complète de la sécurisation du réseau d’ISIMa.


Chapitre V :

Mise en place de la sécurité du

réseau


Introduction

De nos jours, toutes les entreprises possédant un réseau local et possédant aussi un accès à

Internet. Cette ouverture est indispensable et dangereuse en même temps car elle donne la

possibilité aux attaques externes et au vol des informations. Ces attaques peuvent être aussi de

l’intérieur surtout quand nous parlons d’une diversification des catégories des utilisateurs tels

que celle qui existe dans notre réseau de l’ISIMa qui est composé des étudiants, des enseignants

et des cadres administratifs. Pour parer à ces attaques, une architecture sécurisée est nécessaire.

Dans ce contexte, nous allons présenter notre proposition d’architecture du réseau qui est basé

sur un matériel Firewall Cisco, sur lequel nous allons activer des VLANs pour chaque groupe

d’utilisateurs pour la protection interne et des règles de sécurité pour mieux gérer et surveiller le

système d’information contre les attaques externes au sein de notre établissement.

Dans ce chapitre, nous allons commencer par définir le concept de firewall et présenter les

différents types de VLANs. Par la suite, nous allons créer les VLANs et configurer les règles de

sécurité sur notre firewall. Enfin, nous allons présenter une simulation sur le logiciel packet

tracert pour la configuration des Switchs.

I. Concepts de la sécurité

I.1. Firewall (pare-feu)

Un firewall (ou pare-feu) est outil informatique conçu pour protéger les données d'un réseau

(protection d'un ordinateur personnel relié à Internet par exemple, ou protection d'un réseau

d'entreprises) [16].

Il joue le rôle d’une barrière entre les deux réseaux interne et externe (figure 50) .Cet outil nous

permet d'assurer la sécurité des informations d'un réseau en filtrant les entrées et en contrôlant

les sorties selon des règles définies par son administrateur.

Figure 50 : Emplacement du Firewall dans le réseau

http://www.futura-sciences.com/magazines/maison/infos/dico/d/maison-pare-feu-10814/

http://www.futura-sciences.com/magazines/maison/infos/dico/d/maison-pare-feu-10814/

http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/informatique-ordinateur-586/

http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/internet-internet-3983/


Un firewall peut être un outil matériel comme il peut se présenter sous forme d’un logiciel

intégré dans un tel système.

I.1.1. Firewall logiciel

Ils sont présentés à la fois sur les serveurs et les routeurs et nous pouvons les classer en deux

catégories :

Les Firewalls personnels : Ce type de firewall est souvent commercial et a pour but de protéger

un seul ordinateur. Il est simple à utiliser mais sécurisé.

Les firewalls plus « sérieux » : Ils sont généralement intégrés avec le système d’exploitation

Linux. Il offre une sécurité très élevée et un contrôle adéquat.

I.1.2. Firewall matériel

Ces types de Firewalls sont trouvés souvent dans les routeurs des grandes entreprises comme

Cisco et ils sont intégrés directement dans le Mariel. Les Firewalls matériels sont souvent très

compliqués à configuré mais leur taux de sécurité est élevé. Ainsi, leur présence sur le même

équipement, nous simplifie l’intégration avec le routeur.

I.2. Les VLANs

Un Vlan [Virtual Local Area Network] est un réseau local virtuel [17]. C’est un réseau logique

de niveau 2, qui permet de créer des domaines de diffusion gérés par les commutateurs

indépendamment de l’emplacement où se situent les nœuds et de se connecter avec un matériel

adapté à un groupe logique de stations se trouvant au même endroit ou dans des zones

géographiquement éloignées .Il permet aussi de regrouper les utilisateurs qui ont besoin

d’accéder aux mêmes ressources. Nous distinguons trois principaux types des VLANs.

I.2.1. Vlan par port

Le principe de ce type est d’affecter chaque port des commutateurs à un VLAN. L’appartenance

d’une trame à un VLAN est alors déterminée par la connexion de la carte réseau à un port du

commutateur. En effet, les ports sont affectés statiquement à un VLAN.

I.2.2. Vlan par MAC

Son principe est le suivant : nous affectons chaque adresse MAC à un VLAN. L’appartenance

d’une trame à un VLAN est déterminée par l’adresse MAC de la machine. En fait il s’agit, à

partir de l’association Mac/VLAN, d’affecter dynamiquement les ports des commutateurs à

chacun de VLAN en fonction de l’adresse MAC de l’hôte qui émet sur ce port.


I.2.3. Vlan niveau 3

Pour ce type, l’appartenance d’une trame à un VLAN est déterminée par l’adresse de niveau 3

ou supérieur qu’elle contient (le commutateur doit donc accéder à ces informations). En fait, il

s’agit à partir de l’association adresse niveau 3/VLAN d’affecter dynamiquement les ports des

commutateurs à chacun des VLANs.

II. Mise en place de l’architecture sécurisée

Pour avoir une architecture sécurisée dans notre entreprise, nous devons configurer les différents

matériaux du réseau. Pour ce fait, notre premier paragraphe va être réservé à la configuration de

notre firewall matériel Cisco. Par la suite, nous allons passer à détailler les étapes de la

configuration des Switchs.

II.1. Configuration du firewall

Dans notre établissement, nous avons déjà un Firewall Cisco ASA 5510. Dans une première

étape nous allons créer les VLANs pour chaque groupe d’utilisateurs et par la suite nous allons

créer les règles de sécurité qui convient avec chacun.

II.1.1. Création des VLANs

Pendant l’administration de notre établissement, nous avons déclaré l’existence de 3 groupes

d’utilisateurs dans notre réseau, qui sont les étudiants, les enseignants et les administratifs.

Nous allons faire une séparation de flux de données de chacun avec la création des trois VLANs

qui sont déclarés dans le tableau 2 :

Numéro de VLAN Nom @ IP Masque de sous réseau

11 Etudiant 192.168.2.1 255.255.255.0

12 Enseignant 192.168.3.1 255.255.255.0

13 Administratif 192.168.4.1 255.255.255.0

Tableau 2 : Adressage des VLANs

Nous avons créé des VLANs sur notre firewall à travers une interface graphique de la façon

suivante :


Figure 51 : Exemple de création de VLAN « Etudiant »

De la même manière nous allons créer les deux autres VLANs « Enseignant » et Administratif »

sur notre Firewall pour avoir un réseau séparé comme c’est présenté dans la figure 52.

Figure 52 : Architecture du réseau interne de l’ISIMa

II.1.2. Définition des règles de sécurité

Les règles de sécurité se diffèrent d’un groupe d’utilisateurs à une autre selon leurs utilisations.

En effet, la configuration des règles de sécurité pour le groupe d’étudiants doit être plus

sécurisée que celle des enseignants et cadres administratifs.


En effet, pour le réseau des enseignants et des cadres administratifs, nous avons interdit le

protocole « ICMP » [Internet Control Message Protocol] pour interdire le contrôle et l’écoute

de flux de données entrant et sortant, aussi, nous avons interdit l’accès à quelques sites web des

réseaux sociaux comme le facebook et youtube .(figure 53)

Figure 53 : Règles de sécurité du VLAN Enseignant

Pour le VLAN des étudiants, nous avons maintenu ces règles en programmant notre firewall

pour bloquer les deux protocoles « «http » et « https » dans des périodes bien défini comme la

période des examens de TP ou dans pendant quelques séances de TP (figure 54 et 55)

Figure 54 : Règles de sécurité du VLAN étudiant


Figure 55 : Ajout de la plage de temps pour une règle d’accès

II.2. Configuration du Switch Vu que nous n’avons pas encore des Switch de deuxième ou de troisième niveau dans notre

établissement qui supporte notre configuration des VLAN sur le firewall Cisco, nous avons

essayé de réaliser cette configuration à l’aide du simulateur Paquet tracert. Notre exemple de

simulation va être selon le schéma présenté dans la figure 56.


Figure 56 : Architecture du réseau

Pour la configuration des Vlan sur les Switchs, nous allons suivre la configuration mise en place

dans notre firewall (tableau 2).

Pour créer un VLAN sur le Switch nous tapons les lignes suivantes :

Switch>enable

Switch#configure terminal

Switch(config)#vlan 11

Switch(config-vlan)#name Etudiant

Switch(config-vlan)#exit

De la même façon, nous allons créer les deux autres VLAN sur le premier switch. Par la suite,

nous répétons ces étapes pour configurer les deux autres.

Après la configuration des VLANs sur les Switch, nous passons à la configuration des switch-

port pour effectuer le trunking ou la tunnellisation .Cette technique permet à un port du

commutateur de gérer le trafic du plusieurs VLANs.


Donc, dans cette étape nous allons permettre l’agrégation sur les ports connectés aux liens entre

le switch 0 et le Firewall, entre le switch 0 et le switch 1 et entre le switch 0 et le switch 2 à

l’aide des commandes suivantes :

Switch(config)#interface FastEthernet0/4

Switch(config-if)# switchport mode trunk

Switch(config-if)# no shutdown

Par la suite nous allons configurer les ports des Switch connectées à la machine selon

l’architecture présentée dans le tableau 3 :

Switch Pc Interface Vlan

Switch 1 Pc0 Fa 0/2 Etudiant

Switch 1 Pc 1 Fa 0/3 Enseignant

Switch 2 Pc 2 Fa 0/2 Etudiant

Switch 2 Pc 3 Fa 0/3 Enseignant

Tableau 3 : Configuration Port/PC

Pour affecter une interface de switch à un VLAN nous exécutions les commandes suivantes :

Switch(config)#interface FastEthernet0/2

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 11

Après que nous avons terminé la configuration des switchs et leurs interconnexions avec les

machines, nous pouvons tester leurs bons fonctionnements. En effet, nous remarquons d’après la

figure 57, que nous pouvons connecter les deux machines PC0 et PC2 qui appartient au même

VLAN mais pas sur le même Switch, ainsi que les deux machines PC1 et PC3, toutefois, la

connexion ne peut pas être établie entre les deux machines PC0 et PC 2 qui n’appartiennent pas

au même Vlan alors qu’ils sont connectés entre le même Switch.


Figure 57 : Test de validation du fonctionnement des VLANs

Conclusion

Dans ce chapitre, nous avons essayé de mettre en place une solution adéquate pour la

sécurisation de notre réseau contre les intrusions interne et externe qui peuvent attaquer notre

réseau local. Cette solution est basée sur la création des VLANs correspondant à chaque groupe

d’utilisateurs dans notre réseau dans le firewall, à la définition des règles de sécurité spécifiques

à chaque groupe et à la configuration des Switch afin d’assurer la séparation entre les flux

relatifs à chaque groupe.


Conclusion générale

L’administration est un aspect crucial dans les réseaux informatiques afin de garantir

l’organisation, l’extensibilité et l’efficacité d’un réseau. Afin de mieux gérer les ressources d’un

réseau (machine, équipement d’interconnexions, utilisateurs, imprimantes, etc…), une

administration basée sur un système d’exploitation performant et des protocoles réseaux

efficaces s’avère nécessaire. Par ailleurs, l’administrateur réseau doit aussi assurer la sécurité de

son parc contre les attaques internes et externes.

Dans ce projet, nous avons commencé par l’administration du réseau de l’entreprise à travers la

mise en place d’une architecture client/serveur basée sur un système Linux pour profiter de ses

avantages de gratuité, stabilité et sécurité. Précisément, nous avons choisi le système Ubuntu au

sein duquel nous avons installé le service DNS qui fait la correspondance entre le nom de la

machine et son adresse IP. Par la suite, nous avons passé à la configuration de notre contrôleur

de domaine Samba qui permet de gérer les utilisateurs au sein de l’entreprise, de centraliser les

informations, de partager des dossiers et des imprimantes dans un réseau hétérogène. Samba est

couplée avec un annuaire LDAP pour simplifier plus la diffusion des informations.

Dans la deuxième partie de notre projet, nous avons présenté une solution pour la sécurité interne

du réseau basée sur la technique des VLANs, simulée avec succès par le logiciel packet tracert.

Ainsi, pour la sécurité externe nous avons mis en place un firewall Cisco et nous l’avons

configuré selon la spécification de chaque interface.

Toutefois, notre travail reste ouvert à des extensions possibles telles que l’ajout d’autres services

comme par exemple le serveur web Apache, le serveur de clonage et le serveur de transfert de

fichier FTP et la réalisation de notre solution de sécurité dès la disposition des matériels

manquants.


Annexe LDAP


Figure 1 : Fichier de Configuration de l’administrateur de l’annuaire LDAP


Figure 2 : Fichier d’initialisation de l’annuaire LDAP


Annexe Samba


Figure 1 : Insertion des schémas dans l’arborescence LDAP


Figure 2 : Fichier de Configuration du serveur Samba


Figure 3 : Fenêtre d’exécution de script « configure.pl »


Figure 4 : Script Shell permettant la création automatique des utilisateurs


Netographie

[4] : http://factooor.fr/cataloguedeformation/linux/ consulté le 15/07/2014

[5]: http://doc.ubuntu-fr.org/ubuntu_distribution consulté le 15/07/2014

[6]: http://doc.fedora-fr.org/ consulté le 15/07/2014

[7]: http://technet.microsoft.com/fr-fr/library/cc730775.aspx consulté le 20/07/2014

[8] : http://doc.ubuntu-fr.org/ consulté juillet/2014

[9]: http://doc.ubuntu-fr.org/dhcp3-server consulté juillet/2014

[12]: http://doc.ubuntu-fr.org/cups-pdf consulté août/2014

[13] : https://help.ubuntu.com/10.04/serverguide/openldap-server.html consulté juillet/2014

[15]: https://bugzilla.samba.org/attachment.cgi?id=4988&action=view consulté août/2014

http://factooor.fr/cataloguedeformation/linux/

http://doc.ubuntu-fr.org/ubuntu_distribution

http://doc.fedora-fr.org/

http://technet.microsoft.com/fr-fr/library/cc730775.aspx

http://doc.ubuntu-fr.org/

http://doc.ubuntu-fr.org/dhcp3-server

http://doc.ubuntu-fr.org/cups-pdf

https://help.ubuntu.com/10.04/serverguide/openldap-server.html

https://bugzilla.samba.org/attachment.cgi?id=4988&action=view


Bibliographie

[1] :« Conception et Developpement d'un logiciel de gestion commerciale » par Mchangama

Ismaila -ISIMM - Maitrise 2007

[2]: Mémoire en ligne « Etude des méthodes et protocoles d'accès au support dans un réseau

informatique. Cas de LAN » par Hervé MISHIDI

[3] : Projet FreeNet « Réseau hétérogène gérer par un serveur Linux Fedora » par M.Ben Jlijel

Chakib et M.Arfaoui Majed, Tunis 2004

[10]: PFE « Etude et mise en place d'un serveur contrôleur de domaine Samba sur dministration réseaux

sous Linux » par Mahamat Adam Abdou -Université Cheikh Anta Diop de Dakar

[11] : Mémoire de fin de formation « projet de mise en place et configuration de samba en tant

que serveur de fichiers et contrôleur de domaine sur le réseau de la chambre de commerce et

d’industrie du togo (ccit) » Par DOLA KOSSI SEYRAM – Université Africain d’Administration et d’Etude

Professionnelle

[14]: Ubuntu Linux, Création, Configuration et gestion d’un réseau local d’entreprise (BTS,

DUT Informatique) -3ème

édition

[16] : « la sécurité sur l’Internet-Firewalls » par D.Brent chapman & Elizabeth D.Zwicky - 2003

[17]: « Les VLANS » par Ingrid Dhoneure BOUITY -MASTER1- EC2LT

Administration et Sécurité du réseau de l’ISIMa sous Linux

Hadj Ahmed Hilali KAWTHER

Résumé : Ce projet de fin d’étude intitulé « Administration et sécurité du réseau de l’ISIMa

sous Linux » a pour objectif d’installer et de configurer des services réseaux tels que DHCP et

DNS d’une part, ainsi qu’un contrôleur de domaine SAMBA couplé avec un annuaire LDAP

permettant le partage des dossiers et des imprimantes. D’autre part, ce projet présente une

solution pour la sécurité du réseau basée sur la technique des VLANs et configurée sur un

firewall Cisco

Mots clés : Administration, DHCP, DNS, SAMBA, LDAP, sécurité, VLAN, Firewall

Abstract: This final project study is entitled "Management and security of ISIMa Network

under Linux". The objective was to install and configure network services such as DHCP and

DNS first, so that a domain controller SAMBA coupled with an LDAP directory for sharing files

and printers. On the other hand, this project presents a solution for network security based on the

technique of VLANs and configured on a Cisco firewall

Key-words: Administration, DHCP, DNS, Samba, LDAP, security, VLAN, Firewall

Administration et sécurité du réseau de l’Institut...

Documents

Transcript of Administration et sécurité du réseau de l’Institut...