II.2.2. MISE EN PLACE DE LA POLITIQUE DE RESTRICTION
Cette &tape sera realisee a travers l'outil Win
box, par la modification des parametres lies aux profiles et aux utilisateurs,
il est a noter que les applications qui affectent l'etat du reseau informatique
en generale et celui de la de la DGD A en particulier, sont plus liees a
INTERNET.
Ceci nous pousse a dire qu'une fois l'acces a internet
est reglemente, le reseau pourra etre souple.
Les utilisateurs rattachés aux Profiles DECL et
PART n'aurons pas acces a Internet, de ce fait leurs profiles correspondants
seront dépourvus des adresses DNS, pas de NAT pour leurs profiles
correspo ndants.
La configuration du routeur ne peut se faire que
directement en utilisant les peripheriques (clavier et ecran), de ce fait il
faut bloquer l'acces Telnet, Win box par la commande :
Un compte utilisateur ne peut pas etre
operationnel sur plus d'un poste a la fois, de ce fait nous allons cocher la
case : "one-session-per-host" de tous les serveurs PPPoE et aussi la case 0
only-one 0 de tous les profiles.
Seuls les ordinateurs reconnus par le Division de
l'Informatique/DGDA-KAT pourront acceder au reseau de l'entreprise. De ce fait
nous devons activer le 0 Caller-IDs de chaque ordinateur, ceci est un
enregistrement de toutes les adresses MAC autorisees qui imposera aux
utilisateurs de ne travailler que sur les ordinateurs qui leurs sont
attribues.
Les telechargements seront limites a un seuil
acceptable pour les profiles tels que profile-verif et profile-insp,
profile-cont en reduisant la bande passante de chaque profil correspondant. Par
la suite, nous allons proceder au verrou des certains sites dans le point
suivant qui traite le filtrage des paquets.
Un utilisateur X qui est inactif pendant environ
15 minutes, doit etre deconnecte du reseau, ce delai peut etre reduit afin que
d'autres utilisateurs n'utilisent le compte de l'utilisateur X pendant qu'il
est absent, nous allons determiner le delai dans le champ 0 Idle Timeout
0
· Restriction Directe sur les
Utilisateurs
· Restrictions directe sur un
profile
· Restriction sur un profile en passant par la
liste des serveurs PPPoE
· Tableau de correspondances entre utilisateurs
et profiles
N°
|
Nom
Categorie
|
IP-Pool & Nom
|
Interface & Addresse
Locale-
Profile
|
Niveau et Type
d'acces
|
Nbres
Utilisateurs
|
Adresse
Disponibles
|
1
|
Informaticien
|
192.168.110..2-
|
LOCAL1
|
Elevé
|
|
|
|
|
192.168.110.20
|
192.168.110.1/27
|
|
8
|
20
|
|
Profile-info
|
Pool-info
|
|
Tous
|
|
|
2
|
Directeur
|
192.168.120.2-
|
LOCAL1
|
Moyen
|
|
|
|
|
192.168.120.15
|
|
Internet et
|
6
|
15
|
|
Profile-dir
|
Pool-dir
|
192.168.120.1/27
|
Sydonia
|
|
|
3
|
Inspecteur
|
192.168.130.2-
|
LOCAL2
|
Moyen
|
|
|
|
|
192.168.130.70
|
|
Internet et
|
39
|
70
|
|
Profile-i nsp
|
Pool-i nsp
|
192.168.130.1/25
|
Sydonia
|
|
|
4
|
Contrôleur
|
192.168.140.2-
|
LOCAL2
|
Moyen
|
|
|
|
|
192.168.140.80
|
|
Internet et
|
58
|
80
|
|
Profile-cont
|
Pool-cont
|
192.168.140.1/25
|
Sydonia
|
|
|
5
|
Vérificateur
|
192.168.150.1-
|
LOCAL2
|
Moyen
|
|
|
|
|
192.168.150.254
|
|
Internet et
|
15
|
30
|
|
Profile-verif
|
Pool-verif
|
192.168.150.1/24
|
Sydonia
|
|
|
6
|
Déclarant
|
192.168.160.2-
|
LOCAL3
|
Faible
|
|
|
|
|
192.168.160.254
|
|
|
100
|
150
|
|
Profile-decl
|
Pool-decl
|
192.168.153.1/24
|
Sydonia
|
|
|
7
|
Partenaire
|
192.168.170.1-
|
LOCAL3
|
Faible
|
|
|
|
|
192.168.170.254
|
|
Sydonia et
|
|
|
|
|
|
192.168.153.1/24
|
Serveur des
|
100
|
150
|
|
Profile-part
|
Pool-part
|
|
fichiers
|
|
|
TOTAL CLIENTS
|
326
|
516
|
|
Le tableau ci haut, nous permet de faire un
rapprochement entre les utilisateurs et les profiles auxquels ils sont
rattaches.
Ceci donne d'une maniere globale le resume de la
configuration du nouveau reseau qui sera gere par le routeur OS
Mikrotik.
Nous avons trois interfaces locales et sept profiles,
au cas ou. nous disposions d'un materiel Routeur Broad par exemple le RB1200 ou
RB 1100, il est possible d'avoir un profile par interface. Neanmoins, ce que
nous donne le routeur OS depend des caracteristiques minimales de l'ordinateur
sur lequel il est configure et le resultat est aussi meilleur que pour le
Router Broad.
Les differentes profiles fonctionnent comme des
sous-reseaux, ce qui permet d'avoir une situation telle que les sous-reseaux ne
se communiquent pas entre eux (sauf si l'on veut le faire), ceci nous permet
d'accroitre la securite du fait que etant connecte au reseau, les utilisateurs
et leurs machines doivent etre configures par l'administrateur pour
l'authentification, et aussi les utilisateurs d'un profiles ne peuvent pas
acceder aux autres profile
| 
