|
Implantation d'un réseau hybride sécurisé avec Linux comme contrôleur principal de domaine dans une entreprise publique. Cas de l'OCC (office congolais de contrôle )de Goma en RDC( Télécharger le fichier original )par Eric BALUGE Institut supérieur d'informatique et de gestion Goma RDC - Licence 2011 |
Il présente aussi les inconvénients que voici :
C'est très cher pour ce que c'est : Microsoft fait la majorité de ses bénéfices sur Windows et Office, et vu que les utilsateurs pensent qu'ils n'ont pas le choix, ils continuent soit de les acheter, soit de les « pirater ». Garder un système sain, exempté de virus, spywares et autres, demande beaucoup (trop) de connaissances. Microsoft utilise une technique capitaliste (la vente liée) pour contraindre l'utilisateur à acheter une licence d'utilisation de Windows à l'achat d'un ordinateur, même si l'acheteur possède déjà un système d'exploitation. linux nous présente les avantages que voici :
Insensibilité aux virus, spywares et menaces diverses qui ciblent quasiment toutes Windows uniquement. Choix très étendu : il existe plein de distributions Linux, on peut donc en trouver une qui couvre ses besoins. Plus de piratage de logiciels : la plupart sont gratuits, et utilisables en toute légalité. Les mises à jour sont centralisées : le système d'exploitation et les applications se mettent à jour ensemble. Moins exigeant en ressources matérielles. Pour installer une application, le plus dur c'est de se souvenir de son nom, pas besoin de fouiner sur le site de l'éditeur. Les applications sont traduites dans de nombreuses langues, les messages non traduits présentés à l'utilisateur sont rares. Il présente aussi les inconvénients que voici : Difficile d'acheter des logiciels en magasin (très dur d'en trouver pour Linux), et les logiciels pour Windows ne fonctionnent sous Linux qu'au cas par cas (en utilisant Wine par exemple). Certains périphériques n'ont pas de pilote pour Linux, ou sont mal gérés. Cela arrive quand les constructeurs ne fournissent pas de pilotes Linux, ou ne fournissent pas les spécifications du matériel pour que la communauté Linux le fasse. Il faut donc faire un peu plus attention à l'achat, et vérifier la compatibilité avant l'achat. Il peut être difficile d'installer une version récente d'une application si le distributeur de la distribution GNU/Linux ne l'a pas mise à disposition. Objectif Principal Mettre en place un réseau Hybride fonctionnel avec LINUX comme contrôleur principal de domaine pour permettre en fin la diversité des différents Système d'Exploitation. Objectif spécifiques - permettre aux utilisateurs leur itinérance - jouir de la complexité et de la sécurité que présente un domaine Linux - Renforcer la gestion de la confidentialité et l'administration des systèmes - Garantir un minimum de downtime par la réduction des virus - Garantir la stabilité du système car son administration devient plus facile, rapide et efficace - Muser sur l'intégration des machines diversifiées dans le réseau - Réduire le cout de déploiement d'un contrôleur de domaine 4. HYPOTHESELes hypothèses se présentent sous forme des propositions des réponses aux questions que se pose le chercheur. Elles constituent des réponses aux questions provisoires et relativement sommaires qui guideront le travail de recueil et d'analyse des données.1 Pour cette question nous avons proposé une solution provisoire, celle de mettre en place un contrôleur de domaine sous linux pour bien gérer les ordinateurs, Contrôler les utilisateurs, acceder aux données et sécuriser le réseau, garantir la confidentialité, gérer l'authentification et l'identité. 5. CHOIX ET INTERET DU SUJET.
Du point de vue personnel, Ce travail nous permettra de comprendre comment parvenir à réaliser un réseau hybride avec LINUX comme contrôleur de domaine dans sa distribution FEDORA et maîtriser à fond les notions sur celui-ci ainsi que l'utilisation de LINUX et l'importance de la présence d'un contrôleur de domaine dans une entreprise, Du point de vue communautaire (au public, aux décideurs) Ce travail permettra de voir les étapes à réaliser pour la création d'un réseau hybride dans un domaine sous linux, sa stabilité, son statut de libre et la démarche à suivre pour son implantation, il permet à un autre chercheur de développer une autre optique pour son travail et comprendre la notion sur l'administration réseau en ce jour d'hybridation qui permet la diversité de système d'exploitation dans un environnement de travail. 6. METHODES ET TECHNIQUESA. METHODESMme COHENDET définit la méthode comme un instrument devant permettre à l'esprit de s'épanouir ; l'expression de s'éclaircir. L'utilisation d'une bonne méthode a pour objectif de mettre en valeur la qualité de la réflexion.2 Aussi comme le dit GRAWITZ, la méthode est l'ensemble des opérations intellectuelles par les quelles une discipline cherche à atteindre les vérités qu'elle poursuit, les démontrés et les vérifiés.3 Pour mener à bien notre étude, nous avons choisi d'utiliser la méthode SYS ML qui nous aidera à 1 Madeleine GRAWITZ, Méthode des sciences sociales, 11 ème éd., Paris, Dalloz. P.383 2 Marie - Anne COHENDET, Méthode de travail, droit public, 3ème éd.Paris, Montchrestien, 1998, P.12 3 M.CRAWITZ, Méthodes des sciences sociales, 8ème éd., Paris, 1990, P.784 analyser les stratégies utilisées par le réseau de l'OCC. B. TECHNIQUES La technique est un moyen, un outil mis à la disposition de la méthode en vue de la saisie de la réalité en question. Technique d'interview : Nous avons utilisé la technique d'Interview ; les questions posées au chef de services et bureau informatiques nous ont également aidés à accomplir notre travail 17 Technique d'observation : Par un coup d'oeil sur l'environnement dans lequel les services de l'OCC fonctionnent y compris le service informatique, nous a permis d'avoir un aperçu sur sa gestion 17 Technique d'investigation : Par des contacts directes avec des experts en la matière ; des professionnels et des specialistes en Nouvelle Technologie de l'Information et de la Communication (NTIC). 7. APPROCHE DE L'ETUDELe domaine réseau dans les entreprises occupe une place relativement importante dans la vision des responsables. Cependant, un bon nombre de chercheurs se sont déjà intéressés à travailler sur différents services disponibles ayant des taches de routines, des taches
fastidieuses au niveau des différentes YACINE dans son travail intitulé : « Conception d'un système d'interconnexion sécurisé au sein du réseau MECRECO dans la ville de Goma» année académique 2009-2010 à démontrer aux responsables du réseau MECRECO, la possibilité de l'interconnexion du réseau MECRECO dans un seul domaine de travail. Qu'il a créé dans l'environnement Windows Server 2003 17 L'originalité de notre travail par rapport a celui de Yacine, est De mettre en place un serveur hybride avec linux contrôleur de domaine pour permettre la diversité des différent système d'exploitation (Windows, linux , mac os....) .dans le réseau de l'office congolais de contrôle. nous allons essayés, dans la mesure du possible, de proposer à l'Office Congolais de Contrôle, plus particulièrement au service informatique de chercher des bonnes machines serveur pour l'implantation de ce domaine. 8. Délimitation du sujetNotre travail est consacré essentiellement a la configuration et la mise en place d'un réseau hybride avec contrôleur de domaine dans un environnement Linux sous sa distribution FEDORA dans l'Office Congolais de Contrôle. Par rapport au temps, nos investigations couvrent une période allant du mois d'avril 2009 au mois de mai 2011. 9. ORGANISATION DE TRAVAILLe présent travail sera subdivisé en trois grandes parties, mis a part l'introduction et la conclusion. PREMIERE PARTIE : ETUDE PREALABLE CHAPITRE I. PRESENTATION DU CADRE DE TRAVAIL ET INTERET DU PROJET DEUXIEME PARTIE : CONCEPTS DES RESEAUX INFORMATIQUES CHAPITRE I: GENERALITE DES RESEAUX INFORMATIQUESCHAPITRE II. LA SECURITE DES RESEAUX INFORMATIQUESTROISIEME PARTIE : CONCEPTION ET REALISATION D'UN RESEAU HYBRIDE AVEC LINUX COMME CONTROLEUR PRINCIPAL DE DOMAINE CHAPITRE I. MISE EN OEUVRE D'ARCHITECTURE DES RESEAUX CHAPITRE II. CONFIGURATION DES SERVEURS SOUS LINUX PREMIERE PARTIE : ETUDE PREALABLECHAPITRE.I. PRESENTATION DU CADRE DE TRAVAIL ET INTERET DU PROJETPRESENTATION DE L'OFFICE CONGOLAIS DE CONTRÔLE I.I.1 HISTORIQUE DE L'OFFICE CONGOLAIS DE
CONTRÔLE C'est en 1949 que la Société Générale de Surveillance « SGS ». Une multinationale Suisse ayant son siège à Genève, a démarré ses activités en République Démocratique du Congo (a l'époque du Congo Belge). Au départ, ces activités de contrôle portaient essentiellement sur les exportations des produits agricoles dits coloniaux tels que le café, le cacao, le thé, le caoutchouc, le coton, les plantes médicinales, etc. A l'époque, la plupart des contrôles initiés par la société Congolaise de Surveillance filiale de la SGS procédait par des arrangements de gré à gré. Il a fallu attendre l'année 1963 pour voir les contrôles a l'importation et a l'exportation être régis par la réglementation de change. Cependant, les contrôles techniques visant la sécurité dans les milieux de travail revêtait déjà un caractère obligatoire. C'était le 30 novembre 1973 que, dans le cadre de grandes décisions prises pour rétablir la République Démocratique du Congo (a l'époque République du Zaïre) dans ses droits légitimes et renforcer son indépendance économique, le chef de l'Etat a interdit a la Société Congolaise de Surveillance d'exercer les activités de contrôle sur le territoire congolais. Il lui était reproché notamment le non respect des lois et règlements du pays. v' L'ordonnance loi n°74/013 du 10 janvier 1974, portant création d'une institution de droit public dénommée Office Zaïrois de Contrôle « OZAC » destiné à reprendre des activités de la Société Congolaise de Surveillance dissoute ; v' L'ordonnance loi n°74/014 du 14 juillet 1974, modifiant et complétant la loi n°73/009 du 05 janvier 1973 portant dispositions particulières sur le commerce et rendant obligatoire, ce, sous la responsabilité exclusive de l'OZAC, le contrôle avant expédition et au débarquement des exportations et des importations Zaïroises. Ces deux ordonnances lois ont été complétées par la loi cadre (ordonnance loi) n°78/219 du 05 mai 1978. C'est depuis le 17 mai 1997, a l'avènement de la 3ème République que l'OZAC est devenu l'Office Congolais de Contrôle « OCC ». I.II. MISSION DE L'OCCAux termes de l'ordonnance loi n°74/013, la mission assignée a l'OCC consiste a :
Effectuer des contrôles de qualités, de quantités et de conformités de toutes les marchandises ; Effectuer le contrôle de prix des marchandises et produits a l'importation et a l'exportation ; Analyser tous les échantillons et produits ; Effectuer le contrôle technique de tous les appareils et travaux ; Prévenir des sinistres et procéder au constat des dommages ou des avaries ; Gérer et exploiter des silos, magasins généraux et entrepôts de douane ; Faire toutes les opérations quelconques se rapportant directement ou indirectement a son activité légale, sauf les opérations d'achat en vue de la revente. I.III. ACTIVITES DE L'OCCA. INSPECTIONPour être compétant dans le domaine de l'inspection, l'OCC a mis en place une organisation conforme a l'ISO/CEI/17020 et exerce cette mission dans les domaines ci-après :
Dans ce secteur, l'OCC effectue : o Les techniques de sécurités sur les lieux de travail et de protection de l'environnement ; o L'évaluation de la conformité des unités fluviales et lacustres et des ouvrages en construction ou en exportation o Le contrôle technique automobile : le tout se référant a l'ISO/CEI/17020. 5) Prévention et constat d'avaries Dans ce domaine, l'OCC apporte aux assureurs les éléments d'appréciation relatifs aux dommages et/ou avaries survenus aux marchandises par : o La constatation des pertes, dommages et/ou avaries, des missions de surveillance pour compte de divers donneurs d'ordre ; o Des recours pour la préservation et la poursuite des assureurs contre les tiers responsables ; o Des enquêtes et contre expertises au profit des assureurs étrangers pour leurs assurés installés en RDC. B. CERTIFICATION DES PRODUITSL'OCC a mis en place une organisation conforme au guide ISO/CEI/65 afin de : o Aider les industriels congolais à améliorer la qualité et de le rendre compétitifs sur les marchés extérieurs et intérieurs ; o Protéger la santé du consommateur face aux risques que peuvent engendrer les produits issus de l'industrie locale de mauvaise qualité ou non conformes. C. SCE LABORATOIRE D'ESSAIS ET D'ETALONNAGEPour toutes sortes d'essais, l'OCC se conforme a la norme ISO/CEI/17025. Ces essais s'effectuent dans les laboratoires ci-après : 1. Laboratoire National de MétrologieIl a pour mission : o La conservation et la maintenance des étalons nationaux de référence ; o L'étalonnage des étalons de travail et les instruments de mesure par rapport aux étalons de référence nationaux rattachés aux étalons internationaux (traçabilité). 2. Laboratoire d'EssaisIl a pour mission : o La détermination de la qualité par des analyses physico-chimiques et/ou microbiologique ; o La détermination de la qualité des matériaux par des essais mécaniques et non destructifs. D. NORMALISATIONo La participation a la formulation, a la diffusion et a l'application des normes : o La gestion de la documentation et de l'information sur les normes ; o La coopération avec les organismes nationaux, régionaux et internationaux de normalisation et de Métrologie. Toutes ces activités de l'OCC se concrétisent dans une structure composée de 14 départements centraux (à la délégation générale) et de 9 directions provinciales. I.IV. OBJECTIFS PRINCIPAUX DE L'OCC
o Rassurer les importateurs, les exportateurs et les assureurs ainsi que les fournisseurs de qualité, de quantité, de conformité et du prix réel des marchandises et produits ; o Aider les opérateurs économiques et industriels a s'assurer du respect des normes. c) En faveur du consommateur et de l'usager : o Sécuriser et rassurer le consommateur et l'usager de la qualité du produit identifié et retenu comme propre à la consommation ou des ouvrages en chantier prêts à être utilisés ; o Sécuriser l'usager sur le lieu de travail ; o Prévenir les atteintes a l'environnement humain. I.V. BREF APERCU SUR LA DIRECTION DU NORD KIVULe siège de la Direction du Nord - Kivu se situe sur l'avenu du Gouverneur, n° 29 Quartier les volcans dans la Commune Urbaine de Goma. Son champ d'action s'étend sur les Agences de Beni et Butembo. Le siège de Goma comprend cinq divisions ainsi que des postes du siège a savoir : Ishasha, Munyaga, Bunagana, CTC, Aéroport de Goma, Entrepôt Ofida, Equipe Mobile, Grande et Petite Barrières, Port public et PAM. Ces divisions sont : + Division Administrative et Financière, DAF + Division Exploitation, DEX + Division Métrologie et Contrôle Technique, DIMCT + Division Laboratoire, DiviLabo + Division Coordination des Agences, DiviCoord Chaque Division est structurée en service et chaque service en bureau
13 14 15 77 43
59 79 56 30 31 64 19 18 48 49 50 45 6 4 47 16 17 83 84 85 86 87
24 25 26 27 73 40 42 41 74 76 75 44 28 29 60 61 62 63 67 67 78 80 35 36 37 38 68 69 70 71 72 39 54 57 58 80 81 65 32 66 33 34 55 88 I.2. STRUCTURE ORGANIQUE ET FONCTIONNELLE DE LA DIRECTION PROVINCIALE DU NORD-KIVU
LEGENDE 1 Chef de Direction Provinciale 2 Chef de Directeur Provinciale Adjoint 3 Chef de Division Administrative et Financière 4 Chef de Division Exploitation 5 Chef de Division Métrologie et Contrôle Technique 6 Chef de Division Laboratoire 7 Chef de Division Coordination 8 Chef de Division Administrative et Financière Adjoint 9 Chef de Division Exploitation Adjoint 10 Chef de Division Métrologie et Contrôle Technique Adjoint 11 Chef de Division Laboratoire Adjoint 12 Chef de Division Coordination Adjoint 13 Secrétaire de Direction 14 Chef de Service Informatique et Télématique 15 Chef de Service Informatique et Télématique Adjoint 16 Chef de Service Administratif 17 Chef de Service Administratif Adjoint 18 Chef de Service Comptabilité 19 Chef de Service Comptabilité Adjoint 20 Chef de Service Budget 21 Chef de Service Budget Adjoint 22 Chef de Service Trésorerie 23 Chef de Service Trésorerie Adjoint 24 Chef de Service Importation 25 Chef de Service Importation Adjoint 26 Chef de Service Exportation 27 Chef de Service Exportation Adjoint 28 Chef de Service EMIDOCS et Statistiques 29 Chef de Service EMIDOCS et Statistiques Adjoint 30 Chef de Service Commissariat des Avaries 31 Chef de Service Commissariat des Avaries Adjoint 32 Chef de Service Electricité 33 Chef de Service Pression et levage 34 Chef de Service Métrologie et environnement 35 Chef de Service Produits Agricole et Alimentaires 36 Chef de Service Produits de chimie, de Génie Chimiques et Miniers 37 Chef de Service Produits Pharmaceutiques et Cosmétiques 38 Chef de Service Microbiologie 39 Chef de Service Gestion Echantillon 40 Chef de Service Suivi Administratif & Finance 41 Chef de Service Suivi Exportation 42 Chef de Service Hydrocarbure 43 Chef de Bureau Informatique et Télématique 44 Secrétaire Division Administrative et Financière 45 Chef de Bureau Administratif 46 Chef de Bureau Services Généraux 47 Chef de Bureau Médicaux -Social 48 Chef de Bureau Comptabilité 49 Chef de Bureau Facturation 50 Chef de Bureau Fiscalité 51 Chef de Bureau Budget 52 Chef de Bureau Recouvrement 53 Chef de Bureau Banque 54 Chef de Bureau Caisse 55 Secrétaire Division Exploitation 56 Chef de Bureau Production Locale & Certification des Produits 57 Chef de Bureau Contrôle Avant Embarquement 58 Chef de Bureau Contrôle a l'arrivée et Banque des Prix 59 Chef de Bureau Export 60 Chef de Bureau Pool Dactylo 61 Chef de Bureau Statistique 62 Chef de Bureau Classement et Archive 63 Chef de Bureau Émission de Document 64 Chef de Bureau Commissariat des Avaries 65 Secrétaire Division Métrologie et Contrôle Technique 66 Corps d'Inspecteurs Techniques 67 Secrétaire Laboratoire 68 Chef de Bureau Produits Agricole et Alimentaires 69 Chef de Bureau Produits Non Alimentaires, de Génie Chimiques et Miniers 70 Chef de Bureau Produits Pharmaceutiques et Cosmétiques 71 Chef de Bureau Microbiologie 72 Chef de Bureau Gestion des échantillons 73 Secrétaire Division Coordination des Agences 74 Chef de Bureau Suivi Administration & Finance 75 Chef de Bureau Suivi Exportation 76 Chef de Bureau Hydrocarbure 77 Chef de Bureau Relation Publique 78 Encodeur informatique 79 Corps d'inspecteurs de conformité 80 Les Postes 81 Corps d'inspecteurs et Pointeurs Export 82 Garçon de Laboratoire 83 Huissier 84 Chauffeur 85 Sentinelle 86 Jardinier 87 Portier 88 Huissier Division Exploitation 89 Huissier Laboratoire I .2 Aperçu de l'existant1.2.1 Utilisation de SysML pour la modélisation des réseaux1 . Résumé.SysML est le nouveau langage de modélisation défini par l'OMG. Il peut être vu comme une extension d'UML destinée a la modélisation d'un large spectre de systèmes complexes. Son champ d'application est en ce sens plus large que celui d'UML mais sa filiation le rend tout particulièrement intéressant pour la modélisation de systèmes embarqués majoritairement composés de logiciel. Les logiciels déployés sur les réseaux de capteurs sans fil (WSN) sont un bon exemple de ce type d'application puisque la prise en compte de l'interaction forte entre le matériel et le logiciel inhérente à ce type de système est une condition importante pour une modélisation efficace. Dans cet article nous décrivons notre retour sur expérience concernant la modélisation d'un système utilisant des capteurs mobiles sans fil afin de mesurer les flux de personnes dans une ville. Dans cette étude, nous avons utilisé à la fois SysML pour la modélisation du système et UML pour la modélisation des parties logicielles. Nous présentons les points de recouvrements des deux langages d'une part, et nous en comparons les diagrammes statiques d'autre part. 2. Modélisation de nouvelles fonctionnalités et limitation d'UMLLes travaux dans le domaine du génie logiciel ont prouvé le besoin de développer les applications informatiques de manière modulable et faiblement couplée. L'ingénierie logicielle basée composant a ainsi apporté d'importantes contributions, offrant des méthodes, des concepts et des supports technologiques qui permettent ce type de développement. Dans ce contexte, de nombreuses nouvelles fonctionnalités peuvent alors être envisagées. Par exemple, la reconfiguration dynamique qui est une composante primordiale de la modularité est alors envisageable. En effet, cette opération permet de remplacer un composant par un autre dans une application en cours d'exécution. Cette action peut-être causée par la nécessité de substituer un composant mal implémenté c'està-dire ne réalisant pas les fonctionnalités prévues ou les réalisant de manière incorrecte, ou encore d'ajouter a ce composant de nouvelles fonctionnalités. Dans le contexte des réseaux de capteurs, il peut s'avérer pertinent, par exemple, de changer les données qu'un capteur devait initialement collecter sur son environnement ou tout simplement de reconfigurer le réseau lorsqu'un capteur n'a plus assez de batterie pour fonctionner. La reconfiguration dynamique devient alors une caractéristique importante des applications déployées sur ce type de réseau. Normalisé par l'OMG, UML est le langage graphique le plus utilisé pour modéliser les divers aspects d'un système d'information. Par contre, dans le contexte de l'ingénierie système, son pouvoir d'expression est plus limité. En effet, certains concepts spécifiques à ce domaine ne peuvent être spécifiés simplement avec UML. Par exemple, le fait qu'il existe des paramètres dont un changement de valeur entraînerait un fonctionnement différent du système ne peut être modélisé avec UML. De plus, le lien fort entre le logiciel et le matériel ne trouve pas en UML de moyen satisfaisant d'expression. Dans les systèmes qui nous intéressent, il faut être capable D'Utilisé de Sys ML pour la modélisation des réseaux 3. DIAGRAMMES SYS MLIci, nous allons décrire tous les diagrammes que le langage de modélisation SYS ML utilisé notamment :
Le diagramme de définition de bloc spécifiant une vue haut niveau d'un Capteur mobile FIGURE 1. DIAGRAMME SYSML D'EXPRESSION DES BESOINS « Exigence » Les matériels trouvé au service informatique ne remplis pas les normes pour mettre en place un serveur
« Dérivé » « Exigence » Les matériels affectés au service informatique pour la mise en place du serveur doit remplir tout les normes
«Satisfaire » « Vérifier »
Vérification de comportement
Evaluation confirmé à la LA FIGURE 1 montre un diagramme d'expression des besoins. Celui-ci spécifie des propriétés liées au besoin de mise en place d'un serveur. Le bloc Longévité est un besoin de haut niveau. Le bloc Confirmé la Réception est beaucoup plus précis. La relation <<dérivé>> montre que le second besoin découle directement du premier. Dans Utilisation de Sys ML pour la modélisation des réseaux. la partie basse de la figure, on trouve le diagramme d'état vérification de comportement nominal qui satisfait le besoin Confirmé la Réception (lien de type <<satisfaire >>) ainsi que le cas de test Evaluation confirmer à la réception qui vérifiera la bonne implémentation de ce besoin. FIGURE 2. DIAGRAMME DE DEFINITION DE BLOC « Block )) « Block ))
« Block )) « Block )) « Block )) « Block )) « Block )) La figure 2 présente le diagramme de définition de bloc spécifiant une vue haut de notre réseau, on peut remarque facilement une imprécision du langage. En effet, le bloc le serveur est lié au bloc Switch via un câble réseau, le même qui lie le bloc machine cliente, le routeur et l'imprimante, le modem est lié au routeur et à l'antenne, la composition entre le différent bloc vient du lien physique.
I.2.2 Les Equipements constituants le réseau de l'OCC48 ordinateurs Ci-dessous les différentes marques des ordinateurs ainsi que leur capacité dans les tableaux
2 routeurs
4 Switch
12 imprimantes
Modem Marque ALVARION fournit par Micro-com qui fournisseur d'accè internet de l'OCC Pas de serveur I.2.3 Topologie du réseau de l'OCC (topologie physique)L'OCC utilisé la topologie physique en étoile c'est-à-dire que tous les ordinateurs sont reliés à un système matériel central appelé concentrateur, il s'agit d'une boîte comprenant un certain nombre de jonctions auxquelles il est possible de raccorder les câbles réseau en provenance des ordinateurs. Celui-ci a pour rôle d'assurer la communication entre les différentes jonctions. I.2.4 L'adressage (topologie logique)Topologie peer to peer (paire à paire) I.2.5 Les systèmes d'Exploitation utilisés (topologie logique)
Microsoft Windows XP 2 Microsoft Windows 2007 I.2.6 Les applications (topologie logique)
une base des données pour la comptabilité et une autre au niveau de la trésorerie logiciel d'application (Microsoft office 2003 et 2007),et d'autres logiciel comme(antivirus, vlc, Adobe accrobat reader) I.2 .7 Analyse et critique des Systèmes de l'OCC
le service informatique de l'OCC/Goma ne dispose pas d'un serveur, et pourtant ce dernier est utilisé dans d'autres configurations. Ils sont très utiles notamment au sein des entreprises pour mettre en commun des fichiers ou des périphériques, comme une imprimante. Le serveur sert alors d'intermédiaire, de maillon, entre les autres ordinateurs (clients) et les imprimantes qui sont en réseau.
Le serveur permet aussi de sécuriser le réseau, de gérer les utilisateurs, les groupes, mais aussi la surveillance de mis à jour de réseau. Pas de maintenance préventive sur les ordinateurs, le faite que tout les ordinateurs ne sont pas centralisés par un serveur Schéma actuelle de la configuration du réseau de l'OCC GOM~
Nombres des équipements: - 48 ordinateurs - 4 Switch - 2 routeurs - 12 imprimantes - 1 modem DEUXIEME PARTIE : CONCEPTS DES RESEAUX INFORMATIQUES CHAPITRE I: GENERALITE DES RESEAUX INFORMATIQUESI.1 IntroductionLe terme générique « réseau » définit un ensemble d'entités (objets, personnes, etc.) interconnectees les unes avec les autres. Un reseau permet ainsi de faire circuler des elements materiels ou immateriels entre chacune de ces entites selon des règles bien definies. Réseau (en anglais network) : ensemble des ordinateurs et peripheriques connectes les uns avec les autres. Notons que deux ordinateurs connectes ensemble constituent à eux seuls un reseau minimal. Mise en réseau (en anglais networking) : mise en oeuvre des outils et des tâches permettant de relier des ordinateurs afin qu'ils puissent partager des ressources en réseau. Le réseau informatique est un système de mise en commun de l'information entre plusieurs machines. Un réseau peut ainsi relier, au moyen d'équipements de communication appropriés, des ordinateurs, des terminaux et des peripheriques divers tels que des imprimantes et des serveurs de fichiers. La connexion entre ces différents éléments peut s'effectuer à l'aide de liens permanents comme des câbles, mais aussi faire appel à des reseaux de telecommunications publics, comme le reseau telephonique. De ce fait, les dimensions de ces reseaux informatiques sont très variees, depuis les réseaux locaux, reliant quelques éléments dans un mrme bktiment, jusqu'aux ensembles d'ordinateurs disséminés sur une zone géographique importante. Quelle que soit leur étendue, les reseaux informatiques permettent aux utilisateurs de communiquer entre eux et de transferer des informations. Ces transmissions de données peuvent concerner l'échange de messages entre utilisateurs, l'accès à distance à des bases de données ou encore le partage de fichiers, etc. En bref, les avantages du reseau informatique sont les suivants: En bref, les avantages du réseau informatique sont les suivants: le partage de fichiers : les données circulent par un câble et non par des supports amovibles (disquettes, clefs USB,...). Tous les ordinateurs du réseau peuvent accéder aux mêmes données et les modifier. Le partage de ressources matérielles : imprimante, disque dur... Le partage des applications : travail dans un environnement multi-utilisateurs. La garantie de l'unicité de l'information (base de données). La communication entre personnes (courrier électronique, discussion en direct, ...) La diminution des coûts grâce aux partages des données et des périphériques. L'accès aux données en temps utile. La communication et l'organisation plus efficace D'après leur architecture, on distingue généralement deux types de réseaux bien différents, ayant tout de même des similitudes. Les réseaux poste à poste (peer to peer / égal à égal) Réseaux organisés autour de serveurs (Client/Serveur) Ces deux types de réseau ont des capacités différentes. Le type de réseau à installer dépend des critères suivants : Taille de l'entreprise Niveau de sécurité nécessaire Type d'activité Niveau de compétence d'administration disponible Volume du trafic sur le réseau Besoins des utilisateurs du réseau Budget alloué au fonctionnement du réseau (pas seulement l'achat mais aussi l'entretien et la maintenance). Dans ce travail, nous nous attelons plus à l'architecture client/serveur. Un système client/serveur fonctionne selon le schéma suivant: Le principe est simple : une station puissante (le serveur) dotée d'un système d'exploitation réseau met à la disposition des stations clientes (les postes placés dans les classes) des applications et des fichiers. N'importe quel client peut à tout moment consulter ou alimenter une base de données, lancer une application ou transférer un fichier situé sur le serveur. D'après l'étendue, on distingue les réseaux MAN des réseaux WAN. Un MAN est une série de réseaux locaux interconnectés a l'échelle d'une ville ou d'une agglomération. Ces réseaux utilisent des lignes spécialisées à haut débit (en général en fibre optique). Un WAN est un réseau constitué par l'interconnexion de réseaux locaux LAN a l'échelle d'un pays, d'un continent et même du monde. Le plus connu des WAN est Internet (Interconnexion de plusieurs réseaux). Requête I.2.2. Bref historique du réseau informatiqueAu début des années 1970, les premiers grands systèmes informatiques se composent d'ordinateurs centraux, volumineux et fragiles, auxquels accèdent en temps partagé des terminaux passifs, c'est-à-dire des postes de travail avec clavier et écran mais sans puissance de calcul. Ces systèmes constituent en quelque sorte les premiers réseaux informatiques, mais les communications réalisées demeurent élémentaires. Au cours des années 1980, l'adoption en masse des micro-ordinateurs et, d'une manière plus générale, la `démocratisation' de la puissance de calcul bouleverse complètement le monde informatique. Les grands systèmes sont alors massivement 17 Décentralisés, si bien que l'importance des réseaux informatiques s'en trouve multipliée, de par le nombre de machines connectées, les quantités de données échangées et la diversité de nature des communications. Aujourd'hui, ces réseaux sont d'un usage courant dans notre société, notamment grâce à la popularité du réseau télématique Internet. (xxx, « Historique des réseaux » I.2 L'intérêt des réseaux informatiquesUn ordinateur est une machine permettant de manipuler des
données. L'homme, en Un réseau informatique peut servir plusieurs buts distincts : * Le partage de ressources (fichiers, applications ou matériels, connexion à internet, etc.) * La communication entre personnes (courrier électronique, discussion en direct, etc.) * La communication entre processus (entre des ordinateurs industriels par exemple) * La garantie de l'unicité et de l'universalité de l'accès à l'information (bases de données en réseau) * Le jeu vidéo multijoueurs
Les réseaux permettent aussi de standardiser les applications, on parle généralement de groupware pour qualifier les outils permettant à plusieurs personnes de travailler en réseau. Par exemple la messagerie électronique et les agendas de groupe permettent de communiquer plus efficacement et plus rapidement. Voici un aperçu des avantages qu'offrent de tels systèmes : * Diminution des coûts grâce aux partages des
données et des périphériques, * Accès aux données en temps utile, Aujourd'hui, avec internet, on assiste a une unification des
réseau. Ainsi, les intêrêts de la Similitudes entre types de réseaux Les différents types de réseaux ont généralement les points suivant en commun : * Serveurs : ordinateurs qui fournissent des ressources partagées aux utilisateurs par un serveur de réseau * Clients : ordinateurs qui accèdent aux ressources partagées fournies par un serveur de réseau * Support de connexion : conditionne la façon dont les ordinateurs sont reliés entre eux. * Données partagées : fichiers accessibles sur les serveurs du réseau * Imprimantes et autres périphériques partagés : fichiers, imprimantes ou autres éléments utilisés par les usagers du réseau * Ressources diverses : autres ressources fournies par le serveur I.3 Architecture de référence OSILe modèle ISO OSI (Open Systems Interconnection) définit une structure de référence en 7 couches individualisées pour les systèmes de communication de données. (en Français: OSI - ISO !!) Deux normes sont définies pour chaque couche:
La normalisation des interfaces de service libère l'utilisateur du besoin de connaître les protocoles utilisés: Ceci permet de prédire et contrôler les conséquences des changements effectués dans un réseau, notamment lors d'une réorganisation des couches inférieures qui se fait ainsi de manière transparente pour les couches supérieures (par ex. changement de site d'un serveur, changement de la technologie du réseau, ...). Le modèle OSI permet également de fournir un langage et un cadre facilitant la description et l'interconnexion des systèmes hétérogènes. Ce modèle est contraignant et souvent plus coûteux dans les traitements spécialisés, mais il a l'énorme avantage de diminuer la tendance "spécifique constructeur" et donc de permettre une meilleure compatibilité et interopérabilité des systèmes. Les protocoles des systèmes actuels tendent à converger vers le modèle OSI, mais pour des raisons historiques ils recouvrent parfois plusieurs couches et sont donc dans ce cas incomplètement décrits par le modèle. Exemple de normalisation: communication interprocessus par socket sous UNIX est remplacé par le service de transport ISO 8072 indépendant du système et du réseau. 1.3.1 Présentation du Modèle de référence OSI
1.3.2 Avantager du Modèle de référence OSIRéduction de la complexité: Il brise la communication en réseau en plus petites, des pièces plus simples. Il divise le processus de communication réseau en éléments plus petits et plus simples, facilitant ainsi le développement de composants, la conception et le dépannage. Normalise les interfaces: Elle normalise les composants réseau pour permettre le développement de fournisseurs multiples et de soutien. Facilite l'ingénierie modulaire: Il permet différents types de matériel réseau et des logiciels de communiquer les uns avec les autres. Interopérabilité entre les fournisseurs Il permet à plusieurs fournisseurs de développement grâce à la standardisation des composants du réseau. Définit le processus de raccordement de deux couches ensemble, de promouvoir l'interopérabilité entre les fournisseurs Il permet aux fournisseurs de compartimenter leurs efforts de conception pour s'adapter à une conception modulaire, ce qui facilite et simplifie le dépannage des implémentations Assure la technologie interopérable: Il empêche les modifications en une seule couche d'affecter les autres couches, permettant de développer plus rapidement. Accélère l'évolution: .Il fournit les mises à jour efficaces et des améliorations à des composants individuels sans affecter d'autres composants ou d'avoir à réécrire l'ensemble du protocole. Simplifie l'enseignement et l'apprentissage: Il brise la communication réseau en éléments plus petits pour rendre l'apprentissage plus facile. Fournit un outil pédagogique pour aider les administrateurs réseau à comprendre le processus de communication utilisés entre les composants réseau 1.3.3 Les Fonctions des couches du Modèle OSI- une couche doit être créée lorsqu'un nouveau niveau d'abstraction est nécessaire, - chaque couche a des fonctions bien définies, - les fonctions de chaque couche doivent être choisies dans l'objectif de la normalisation internationale des protocoles, - les frontières entre couches doivent être choisies de manière à minimiser le flux d'information aux interfaces, - le nombre de couches doit être tel qu'il n'y ait pas cohabitation de fonctions très différentes au sein d'une même couche et que l'architecture ne soit pas trop difficile à maîtriser. Les couches basses (1, 2, 3 et 4) sont nécessaires à l'acheminement des informations entre les extrémités concernées et dépendent du support physique. Les couches hautes (5, 6 et 7) sont responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Par ailleurs, les couches 1 à 3 interviennent entre machines voisines, et non entre les machines d'extrémité qui peuvent être séparées par plusieurs routeurs. Les couches 4 à 7 sont au contraire des couches qui n'interviennent qu'entre hôtes distants. a - La couche physiqueLa couche physique s'occupe de la transmission des bits de façon brute sur un canal de communication. Cette couche doit garantir la parfaite transmission des données (un bit 1 envoyé doit bien être reçu comme bit valant 1). Concrètement, cette couche doit normaliser les caractéristiques électriques (un bit 1 doit être représenté par une tension de 5 V, par exemple), les caractéristiques mécaniques (forme des connecteurs, de la topologie...), les caractéristiques fonctionnelles des circuits de données et les procédures d'établissement, de maintien et de libération du circuit de données. L'unité d'information typique de cette couche est le bit, représenté par une certaine différence de potentiel. b - La couche liaison de donnéesSon rôle est un rôle de "liant" : elle va transformer la couche physique en une liaison a prioriexempte d'erreurs de transmission pour la couche réseau. Elle fractionne les données d'entrée de l'émetteur en trames, transmet ces trames en séquence et gère les trames d'acquittement renvoyées par le récepteur. Rappelons que pour la couche physique, les données n'ont aucune signification particulière. La couche liaison de données doit donc être capable de reconnaître les frontières des trames. Cela peut poser quelques problèmes, puisque les séquences de bits utilisées pour cette reconnaissance peuvent apparaître dans les données. 37 L'unité d'information de la couche liaison de données est la trame qui est composées de quelques centaines à quelques milliers d'octets maximum. c - La couche réseauC'est la couche qui permet de gérer le sous-réseau, i.e. le routage des paquets sur ce sousréseau et l'interconnexion des différents sous-réseaux entre eux. Au moment de sa conception, il faut bien déterminer le mécanisme de routage et de calcul des tables de routage (tables statiques ou dynamiques...). La couche réseau contrôle également l'engorgement du sous-réseau. On peut également y intégrer des fonctions de comptabilité pour la facturation au volume, mais cela peut être délicat. L'unité d'information de la couche réseau est le paquet. d - Couche transportCette couche est responsable du bon acheminement des messages complets au destinataire. Le rôle principal de la couche transport est de prendre les messages de la couche session, de les découper s'il le faut en unités plus petites et de les passer à la couche réseau, tout en s'assurant que les morceaux arrivent correctement de l'autre côté. Cette couche effectue donc aussi le réassemblage du message à la réception des morceaux. Cette couche est également responsable de l'optimisation des ressources du réseau : en toute rigueur, la couche transport crée une connexion réseau par connexion de transport requise par la couche session, mais cette couche est capable de créer plusieurs connexions réseau par processus de la couche session pour répartir les données, par exemple pour améliorer le débit. A l'inverse, cette couche est capable d'utiliser une seule connexion réseau pour transporter plusieurs messages à la fois grâce au multiplexage. Dans tous les cas, tout ceci doit être transparent pour la couche session. Cette couche est également responsable du type de service à fournir à la couche session, et finalement aux utilisateurs du réseau : service en mode connecté ou non, avec ou sans garantie d'ordre de délivrance, diffusion du message à plusieurs destinataires à la fois... Cette couche est donc également responsable de l'établissement et du relâchement des connexions sur le réseau. Un des tous derniers rôles à évoquer est le contrôle de flux. 38 L'unité d'information de la couche réseau est le message. e - La couche sessionCette couche organise et synchronise les échanges entre tâches distantes. Elle réalise le lien entre les adresses logiques et les adresses physiques des tâches réparties. Elle établit également une liaison entre deux programmes d'application devant coopérer et commande leur dialogue (qui doit parler, qui parle...). Dans ce dernier cas, ce service d'organisation s'appelle la gestion du jeton. La couche session permet aussi d'insérer des points de reprise dans le flot de données de manière à pouvoir reprendre le dialogue après une panne. f - La couche présentationCette couche s'intéresse à la syntaxe et à
la sémantique des données transmises : c'est elle qui Typiquement, cette couche peut convertir les données, les reformater, les crypter et les compresser. g - La couche applicationCette couche est le point de contact entre l'utilisateur et le réseau. C'est donc elle qui va apporter à l'utilisateur les services de base offerts par le réseau, comme par exemple le transfert de fichier, la messagerie... I.4 Différentes Topologies Logiques
poste veut émettre, il doit attendre jusqu'à ce qu'il ait le jeton. Dans un réseau Token ring, chaque noeud du réseau comprend un MAU (Multi station Access Unit) qui peut recevoir les connexions des postes. Le signal qui circule est régénéré par chaque MAU. Mettre en place un réseau token ring coûte chers, malgré que la panne d'une station MAU provoque le disfonctionnement du réseau. c) le FDDI La technologie LAN FDDI (Fiber Distributed Data Interface) est une technologie d'accès réseau utilisant des câbles fibres optiques. Le FDDI est constitué de deux anneaux : un anneau primaire et anneau secondaire. L'anneau secondaire sert à rattraper les erreurs de l'anneau primaire. Le FDDI utilise un anneau à jeton qui sert à détecter et à corriger les erreurs. Ce qui fait que si une station MAU tombe en panne, le réseau continuera de fonctionner. G7114411570 L'ATM (Asynchronous Transfer Mode, c'est-à-dire mode de transfert asynchrone) est une technologie très récente qu'Ethernet, Token Ring et FDDI. Il s'agit d'un protocole de niveau 2, qui a pour objectif de segmenter les données en cellules de taille unique. L'en-tête de chaque cellule comprend des informations qui permettent à la cellule d'emprunter son chemin. Les cellules ATM sont envoyées de manière asynchrone, en fonction des données à transmettre, mais sont insérées dans le flux de donnée synchrone d'un protocole de niveau inferieur pour leur transport. Avec le réseau ATM, deux technologies existent pour le moment :
I.5 Les différents types de réseauxI.5.1 LANUn réseau local, souvent désigné par l'acronyme anglais LAN de Local Area Network, est un réseau informatique tel que les terminaux qui y participent (ordinateurs, etc.) s'envoient des trames au niveau de la couche de liaison sans utiliser de routeur intermédiaire. On définit aussi le LAN par le domaine de diffusion, c'est-à-dire l'ensemble des stations qui reçoivent une trame diffusée. C'est généralement un réseau à une échelle géographique relativement restreinte, par exemple une salle informatique, une habitation particulière, un bâtiment ou un site d'entreprise. On interconnecte les réseaux locaux au moyen de routeurs. Dans le cas d'un réseau d'entreprise, on utilise aussi le terme RLE pour réseau local d'entreprise. Au niveau de l'adressage IP, un réseau local correspond généralement à un sous-réseau. Histoire Le pionnier dans ce domaine est le réseau Ethernet conçu au centre Xerox PARC dans les années 1970, puis IBM a lancé son propre système, l'anneau à jeton ou Token Ring dans les années 1980. Les réseaux Ethernet sont les plus courants, grâce a la simplicité de leur mise en oeuvre et a l'augmentation progressive des débits de connexion, passés de 10 Mbit/s, puis 100 Mbit/s, pour atteindre 10 Gbit/s au XXIe siècle. À l'origine, les réseaux locaux sont limités aux commutateurs interconnectés. Le concept de réseau local virtuel (VLAN) permet de créer des réseaux locaux logiquement distincts à l'intérieur d'un châssis de commutateur. Les protocoles dot1q et ISL permettent d'étendre des VLAN entre commutateurs. Limitations des réseaux locaux La propagation des trames de diffusion à l'ensemble des hôtes représente une limitation, celle-ci étant coûteuse en termes de bande passante et de ressources au niveau des commutateurs, ceci constitue une limite pratique au nombre d'hôtes dans un LAN. Quand plusieurs commutateurs sont interconnectés au niveau 2, il y a un risque de boucles et de broadcast storm. On emploie le Spanning tree protocol pour éviter celles-ci. Utilitaires l existe toutes sortes d'utilitaires permettant à l'administrateur réseau de détecter plus facilement des problèmes dans son réseau local.
Les sniffeurs de paquets et analyseurs de trames : o tcpdump o Wireshark (anciennement Ethereal) o PRTG Un réseau métropolitain (en anglais Metropolitan Area Network, MAN) désigne un réseau composé d'ordinateurs habituellement utilisé dans les campus ou dans les villes. Le réseau utilise généralement des fibres optiques. Les MAN (Metropolitan area Network) permettent de connecter plusieurs LAN proches entre elles. Pour les relier entre elles, on fait appel à des routeurs et des câbles de fibre optique permettant des accès à très haut débit. Utilisation Par exemple, une université ou un lycée peut avoir un MAN qui lie ensemble plusieurs réseaux locaux situés dans un espace d'1 km2. Puis, à partir des MAN, ils pourraient avoir plusieurs WAN les liant à d'autres universités ou à Internet. De la même manière qu'un WAN, un MAN peut être la " dorsale" d'un Intranet. Certaines technologies utilisées dans ce but sont l'ATM, le FDDI, et le SMDS. Ces anciennes technologies sont en passe d'être remplacées par le Gigabit Ethernet utilisé dans de nombreux MAN. La norme IEEE 802-2001 donne une définition de l'acronyme MAN dans la sous-section 1.2 de sa section "Scope". I.6 INTERCONNECTION DES RESEAUXI.6.1 DéfinitionOn entend par interconnexion la liaison physique et logique des réseaux ouverts au public exploités par le même opérateur ou un opérateur différent, afin de permettre aux utilisateurs d'un opérateur de communiquer avec les utilisateurs du même opérateur ou d'un autre, ou bien d'accéder aux services fournis par un autre opérateur. Les services peuvent être fournis par les parties concernées ou par d'autres parties qui ont accès au réseau. L'interconnexion constitue un type particulier d'accès mis en oeuvre entre opérateurs de réseaux ouverts au public. I.6.2 Avantages
Il est encore plus difficile d'estimer, après coup, de façon quantitative les avantages liés a l'interconnexion. L'UCTE (Union pour la coordination du transport de l'électricité), qui a mené des travaux sur ce sujet de 1995 a 1997, en a bien saisi la mesure. En effet, une telle évaluation suppose que l'on puisse procéder a une comparaison de la situation réelle existante avec une situation de référence sans interconnexion. Mais comment raisonner ? Ouvrir de façon fictive les lignes d'interconnexion internationales existantes, pour en déduire comment se modifieraient les avantages quantitatifs ? Ou bien se tourner vers le passé. I.6.3 OutilsSavoir reconnaître les principaux outils de sécurité d'une interconnexion de réseaux. Pare-feu Un pare-feu est un équipement réseau qui contrôle le trafic réseau au niveau transport ou inférieur. Il utilise les informations d'un paquet IP (adresse source, adresse destination, type, etc.) et celles du niveau protocolaire supérieur comme TCP ou UDP (ports source et destination) pour garantir le respect d'une politique de sécurité. Exemple Pour autoriser la consultation des serveurs web depuis un réseau interne, on « ouvre » le port 80, qui correspond au protocole HTTP. Pour cela, on configure le pare-feu avec une règle : autoriser <toute source interne> vers <toute source externe:80> Mais pour que la connexion s'établisse, il faut aussi prévoir d'autoriser la réponse : Autoriser <toute source externe:80> vers <toute source interne> Pour n'autoriser que les connexions dans un sens, on s'appuie sur le drapeau SYN. Ce drapeau est activé sur le premier paquet d'une connexion. N'autoriser ce type de paquet que dans un sens, c'est déterminer le sens possible de la connexion. Exemple Pour que seul le sens de la consultation depuis un réseau interne soit possible, on interdit l'entrée de paquet SYN depuis l'extérieur : Interdire <toute source externe:80> SYN vers <toute source interne> Pare-feu dynamique Le pare-feu décrit précédemment est appelé statique, car ses règles d'autorisation ou d'interdiction des paquets sont définies une fois pour toutes. Ceci pose toutefois des problèmes car, dans la manière dont les protocoles fonctionnent, il est souvent difficile de les contrôler de façon statique. Exemple Pour que la consultation des serveurs internet depuis un réseau interne fonctionne, il est nécessaire d'ouvrir pratiquement tous les ports de retour possibles. En effet, un butineur, lorsqu'il demande une connexion, utilise un port libre de sa machine, généralement compris entre 1024 et 65535. La réponse est donc adressée à l'un de ces ports et, dans une configuration statique, le mieux que l'on puisse faire est d'interdire les ports 0-1023 qui sont réservés aux protocoles normalisés. On aura donc une politique par défaut d'interdiction et une règle de restrictive : Autoriser <toute source externe:80> vers <toute source interne:1024-65535> Cette configuration statique conduit donc à laisser passer un paquet qui ne possède pas le drapeau SYN et se dirige vers n'importe quel port compris entre 1024 et 65535 d'une source interne, même si aucune connexion n'est active. Cet effet de bord est inutile ; or en matière de sécurité, inutilité ne rime généralement pas avec sécurité. Pour éviter ce problème, on utilise un pare-feu dynamique, qui va garder en mémoire la trace des connexions en cours. Dans ce type de pare-feu, on ne configure plus que le sens souhaité de la connexion et le protocole autorisé. Le pare-feu se charge ensuite d'autoriser les paquets conformément au protocole spécifié. Exemple Pour la consultation de l'internet, on n'aura plus, sur un pare-feu dynamique, qu'à spécifier : Autoriser <toute source interne:1024-65535> vers <toute source externe> L'effet de cette règle sera dans un premier temps de n'autoriser que des paquets d'initiation de connexion SYN, et ce uniquement s'ils se propagent dans le bon sens. D'autre part, si un paquet SYN autorisé est observé en provenance d'une source interne d'adresse intIP de port intPort vers une destination externe d'adresse extIP, alors le pare-feu va temporairement accepter les paquets compatibles de ces caractéristiques. Un paquet destiné à une autre adresse que intIP ou un autre port que intPort sera rejeté. On peut ensuite illustrer la fin de la connexion. Attention, le premier paquet est cette fois-ci celui du bas. A retenir Un pare-feu dynamique garde la trace des connexions en cours pour, à un instant donné, n'autoriser que les paquets compatibles des connexions existantes ou de ses règles d'initiation de nouvelles connexions. Remarque Ce mode de fonctionnement présente un désavantage : comme le traitement des paquets nécessite une mémorisation des connexions en cours, il existe des attaques sur ces équipements visant à saturer leur mémoire. Les équipements bien conçus prennent toutefois en compte cette menace. Un pare-feu dynamique est capable de traiter plusieurs types de protocole comme TCP, UDP ou ICMP. Toutefois, en fonction de la richesse du protocole, son contrôle sera plus ou moins fin. Exemple Sur une connexion TCP, il est facile de savoir quand une connexion se termine, car on observe une séquence de fin de connexion. Dans le cas du protocole UDP, qui ne propose aucune connexion, le seul moyen de « terminer » une connexion pour le pare-feu est de refermer les ports ouverts une fois un délai fixé d'avance écoulé sans trafic. Pare-feu applicatif Un pare-feu applicatif considère les connexions à la fois au niveau de la couche transport et au niveau applicatif. Il s'agit de pouvoir distinguer des profils de machine ayant des possibilités différentes dans le protocole. Exemple Le protocole HTTP permet d'accéder en lecture sur un serveur par une commande GET, et en écriture par une commande PUT. Un pare-feu applicatif va être en mesure d'analyser une connexion HTTP et de n'autoriser les commandes PUT qu'à un nombre restreint de machines. Certains protocoles sont particulièrement complexes et le niveau de compréhension d'un pare-feu applicatif peut être très variable. Un pare-feu applicatif peut ainsi empêcher d'utiliser des fonctionnalités récemment ajoutées d'un protocole. Inversement, il peut laisser passer sans traitement des flux qu'il ne sait pas interpréter. Exemple Les flux temps réel comme ceux utilisés dans la téléphonie sur IP ne peuvent pas être filtrés efficacement sans une perte de la qualité de la communication phonique. Le plus souvent, les pare-feu applicatifs de ToIP ne filtrent donc que la signalisation, c'est-à-dire l'établissement initial de la communication phonique. Serveur mandataire (proxy) Un serveur mandataire est un relais entre deux parties à un protocole de communication. Il est dit mandataire car la configuration du réseau oblige généralement à passer par son intermédiaire. L'intérêt de cette configuration est d'une part de garantir qu'une requête effectuée, par exemple, vers internet le sera à partir d'un ordinateur ayant une configuration à jour. D'autre part, le serveur mandataire dispose souvent d'un espace de stockage ce qui lui permet de répondre directement à des requêtes identiques s'il dispose d'une version non expirée de la page demandée. Conseil Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'adresse IP. Segment d'interface Un segment d'interface est une architecture qui organise une interconnexion de réseau. Le principe du segment d'interface est que tout flux entre les deux réseaux interconnectés doit obligatoirement être traité au niveau du segment d'interface. Il n'y a donc pas de flux direct entre les deux réseaux. Exemple Pour l'interconnexion d'un réseau interne d'entreprise à l'internet, on pourra installer un segment d'interface pour traiter le trafic HTTP (80). Toute consultation de l'internet depuis le réseau interne passera par un serveur mandataire. De cette façon, les connexions sur les sites internet sembleront toutes provenir du même serveur et la configuration des pare-feu de part et d'autre permettra d'empêcher d'accéder directement au réseau interne depuis l'extérieur. De même, la connexion sur le serveur internet de l'entreprise se limitera à ce dernier, placé sur le segment d'interface. Sa mise à jour se fera depuis le réseau interne. Conseil Lorsqu'un segment d'interface est installé, on cherche généralement à interdire toute connexion entrante sur le réseau interne. Ceci est possible pour la plupart des protocoles, à l'exception de ceux de téléphonie sur IP ou de certains protocoles pair-à-pair. Outils d'accès distant Savoir reconnaître les principaux outils de sécurité d'un accès distant Serveur RADIUS Prenons le cas pratique d'un utilisateur nomade, souhaitant se raccorder via Internet au réseau interne d'une entité de son organisme par un canal protégé (circuit virtuel protégé CVP - virtual private network VPN). Le protocole RADIUS (Remote Authentification Dial-In User Service) développé par Livingston Enterprise et standardisé par l'IETF (cf. RFC 2865 et 2866) s'appuie sur une architecture client/serveur et permet de fournir des services d'authentification, d'autorisation et de gestion des comptes lors d'accès à distance. Les numéros correspondent aux mentions suivantes :
Remarque Protocole SSL Le protocole SSL (Secure Socket Layer) développé par Netscape Communications Corp. avec RSA Data Security Inc. permet théoriquement de sécuriser tout protocole applicatif s'appuyant sur TCP/IP, par exemple HTTP, FTP, LDAP, SNMP, Telnet, etc. En pratique ses implémentations les plus répandues sont LDAPS et HTTPS. Le protocole SSL permet non seulement de fournir les services d'authentification du serveur, d'authentification du client (par certificat à partir de SSL version 3) mais également les services de confidentialité et d'intégrité. Remarque Le protocole TLS (Transport Layer Security) est la version normalisée de SSL version 3.0 (cf. RFC 2246 de l'IETF). Le protocole TLS évolue régulièrement pour tenir compte des avancées de l'état de l'art cryptographique, notamment lorsque de nouvelles attaques apparaissent.
Remarque On remarquera que ce protocole, d'un point de vue cryptographique, n'authentifie pas le client. Seul le serveur l'est. L'authentification de l'utilisateur intervient généralement ensuite par un simple identifiant/mot de passe protégé par le chiffrement de la session SSL établie. Afin d'éviter des attaques, il est recommandé d'utiliser la double authentification c'est-à-dire non seulement l'authentification du serveur mais également celle du client, qui, avec SSL, est facultative par défaut. On bénéficiera ainsi d'un accès distant authentifié par certificat de clé publique. Attention Il est également recommandé d'interdire l'utilisation de protocoles obsolètes comme SSLv2. Remarque Il existe d'autres méthodes de contrôle de l'accès distant, notamment celles qui emploient des protocoles de chiffrement comme IPsec. Toutefois, comme elles interviennent directement au niveau du transport, nous les avons classées dans la partie (( outils de cloisonnement )). Outils d'analyse de flux Anti-virus Un système anti-virus est constitué de plusieurs éléments dont le plus visible, le logiciel (( agent local )), n'est pas le plus important. Le principe d'un système (( anti-virus )) est de disposer d'un ensemble de détection des codes malveillants, opéré par des spécialistes, qui vont chercher à repérer les codes malveillants circulant sur un réseau. Pour cela, des outils comme les (( pots de miel )) (honeypot) vont chercher à attirer les activités suspectes. Ces activités, une fois analysées par les spécialistes, vont être caractérisées comme normales ou malveillantes. Une fois caractérisé un code malveillant, une signature de ce dernier va être réalisée. Cette signature dépend de l'agent local utilisé, c'est-à-dire du fournisseur du logiciel. Ce logiciel n'est qu'un moteur d'analyse simplifié, entraîné à repérer les signatures qui lui sont fournies. Placé sur le poste terminal ou sur un serveur, il va systématiquement analyser les fichiers qui lui sont passés au regard de la base de signatures dont il dispose. Remarque Le fonctionnement décrit ici est volontairement
simplifié. Les agents locaux peuvent détection ; l'utilisateur est en effet généralement invité à transmettre le code suspect au fournisseur pour analyse. A retenir Un logiciel anti-virus n'est efficace que si le système de détection auquel il s'adosse l'est. C'est le rôle du fournisseur de logiciel que de mettre en place ce système. Attention L'utilisateur, quant à lui, doit impérativement tenir à jour sa base de signatures pour bénéficier de la protection. Conseil Il existe un code normalisé pour tester si son anti-virus est actif : le code EICAR. Ce code inoffensif est inclus systématiquement dans les bases de signatures pour permettre à l'utilisateur final de vérifier, à l'aide d'un code non malveillant, que son logiciel anti-virus est bien actif. Attention Un logiciel anti-virus s'installe souvent au coeur du système d'exploitation afin de pouvoir intercepter tous les appels systèmes susceptibles d'importer des logiciels malveillants. Or, comme tout logiciel, il peut comporter des vulnérabilités, qui, compte tenu de son positionnement, peuvent s'avérer désastreuses pour la sécurité globale. Le maintien à jour du logiciel est donc une condition sine qua non de son utilité. Il est ainsi préférable au plan de la sécurité de désinstaller un logiciel anti-virus qui n'est plus maintenu. Anti-pourriel (spam) Un logiciel anti-pourriel vise à protéger les boîtes aux lettres électroniques des masses de messages non sollicités qui les inondent. À la base, le phénomène du pourriel est possible car :
La signature électronique de tous les messages est toutefois difficile à mettre en place car la gestion des clés cryptographiques correspondantes a quant à elle un coût d'infrastructure significatif. 50 Exemple Une règle pourra par exemple mesurer la présence de termes comme « viagra », « pénis », etc. et décider dans ce cas que le message est indésirable. Attention Les systèmes anti-pourriel doivent subir un apprentissage pour être efficaces. Ils doivent également être tenus à jour régulièrement. Conseil Lorsqu'on commence à utiliser un anti-pourriel, il convient de vérifier régulièrement que des messages n'ont pas été classés par erreur dans les indésirables. Il faut également, systématiquement, reclasser correctement les messages ayant subi un traitement erroné. En effet, c'est par ce mécanisme que l'anti-pourriel d'un médecin, par exemple, évitera de jeter aux oubliettes des messages professionnels sur les médicaments. Remarque Il existe d'autres systèmes anti-pourriel dont le principe est différent. Ils consistent à demander systématiquement et de façon automatique, lors d'un premier envoi de message, à confirmer celui-ci. Si cette confirmation arrive, alors le message est transmis et l'expéditeur voit son adresse mémorisée comme un expéditeur légitime. Cette méthode donne également de bons résultats mais pose un problème de fond : elle génère du trafic inutile en réponse à un pourriel et confirme indirectement que l'adresse utilisée est bien valide. Conseil En fonction du nombre de mails à traiter par jour, une solution anti-pourriel pourra reposer uniquement sur les méthodes heuristiques ou la compléter par la méthode de la confirmation. Il est en revanche déconseillé de n'utiliser que cette dernière.
Détection d'intrusion Un système de détection d'intrusion repose sur les mêmes principes qu'un système anti-virus, mais les applique à l'activité du réseau. L'objectif est donc, en observant notamment les flux réseaux, à corréler des informations pour déterminer si une activité malveillante est en cours. Cette détection est plus délicate que celle de l'anti-virus car là où le virus s'exécute sur une seule machine, une activité malveillante va être répartie sur un réseau. Les informations qui peuvent être corrélées sont de plusieurs natures :
Tout comme les systèmes anti-virus, les systèmes de détection d'intrusion ont développé des moteurs d'analyse simplifiés pour reconnaître des signatures d'attaques identifiées. Il est ainsi possible de faire bénéficier tous les utilisateurs du retour d'expérience dans l'analyse de l'attaque de l'un d'entre eux. Pare-feu personnel Le terme de pare-feu personnel recouvre un type de logiciel qui n'est pas un outil d'interconnexion comme les pare-feu « classiques ». Il s'installe sur un équipement terminal, généralement dédié à un seul utilisateur. Fonctionnellement, le pare-feu personnel va généralement implanter les capacités de filtrage réseau d'un pare-feu dynamique. Mais là où le pare-feu d'interconnexion va être configuré suite à une analyse a priori des flux de transit, le pare-feu personnel va être configuré par l'utilisateur en fonction de ses besoins. Lorsqu'une nouvelle application demandera à accéder à un nouveau service réseau, le pare-feu personnel alertera l'utilisateur pour lui demander s'il confirme que cette application est bien autorisée. Remarque Le pare-feu personnel est complémentaire d'un pare-feu d'interconnexion. Il a sur ce dernier un avantage : il est en mesure de vérifier l'intégrité d'une application qui cherche à accéder au réseau, puisqu'il s'exécute en parallèle de celle-ci sur la même machine. Il est ainsi en mesure :
Outils de cloisonnement Réseau privé virtuel (VPN) Un réseau privé virtuel (Virtual Private Network en anglais) est une terminologie qui regroupe plusieurs technologies visant à isoler des réseaux de façon logique tout en leur faisant partager la même infrastructure physique. Ces technologies sont massivement utilisées, notamment par les opérateurs, pour réduire les coûts d'installation des infrastructures. Protocole MPLS Plusieurs technologies existent pour réaliser des réseaux privés virtuels. L'une des plus répandue utilise le protocole MPLS. Il n'est pas question de détailler ici ce protocole, qui est en outre utilisé de façon très variable, mais simplement de le citer comme exemple de protocole de labellisation. Les flux d'un réseau privé virtuel vont en effet se voir attribué par les équipements de routage un label caractéristique du réseau auquel ils appartiennent. Les différents équipements de routage vont propager cette information jusqu'à l'équipement d'interconnexion entre le réseau privé et le réseau de l'infrastructure de transport. Remarque La représentation ci-dessus ne correspond pas à la réalité pratique. Le protocole MPLS est adaptable à beaucoup de protocoles. Il est le plus souvent utilisé au niveau transport, et non au niveau IP. Protocole IPsec Les technologies MPLS ne sont exploitables qu'au niveau d'un opérateur. Il faut en effet que le réseau d'infrastructure propage les informations de labellisation et que tous les équipements de routage cloisonnent correctement les réseaux en fonction de ces informations. Il existe d'autres technologies, basées sur du chiffrement, pour réaliser des réseaux privés virtuels. Le protocole employé est appelé IPsec. Il présente l'avantage de pouvoir être employé de façon autonome, indépendamment du fournisseur d'accès, à condition que ce dernier permette le trafic correspondant. Dans un réseau privé virtuel IPsec, des équipements appelés chiffreurs IPsec réalisent l'interconnexion entre le réseau privé et le réseau support. Ces équipements :
A retenir Dans les VPN IPsec, les équipements employés assurent un routage des données en les chiffrant. Le cloisonnement entre les réseaux peut donc être indépendant de l'opérateur. Le chiffrement garantit en outre la confidentialité des données. Remarque Pour faciliter la compréhension, on parle souvent de données rouges et noires. Les données du réseau privé sont des données rouges, potentiellement confidentielles. Après chiffrement, les données véhiculées par le réseau support sont dites (( noires )). Le chiffreur IPsec a donc lui aussi une adresse IP rouge et une adresse IP noire. Conseil Le fonctionnement décrit et représenté ci-dessus concerne le mode (( tunnel )) d'IPsec. Il existe un mode (( transport )) où seules les données du paquet IP sont chiffrées, les informations de routage restant inchangées. Ce mode est plus difficile à maîtriser au plan de la sécurité. Il est donc conseillé de concevoir son réseau privé virtuel en employant le mode (( tunnel )), qui est plus facile à appréhender. Attention On peut envisager de créer des réseaux privés virtuels en employant SSL/TLS à la place d'IPsec. Dans la plupart des cas, ceci ne constitue pas un réel réseau privé virtuel, mais plutôt un extranet ; c'est la raison pour laquelle nous classons plutôt TLS dans les outils d'accès distant. En effet, ce protocole est de niveau applicatif. L'employer permet difficilement de protéger le réseau interne d'attaques réseau de niveau inférieur, au contraire d'IPsec. Remarque Le protocole IPsec existe dans les deux versions du protocole IP, IPv4 et IPv6. La norme IPv6 prévoit en particulier de façon obligatoire l'implantation d'IPsec. Toutefois, ce n'est pas parce qu'un réseau est configuré en IPv6, que le chiffrement est activé. Diode Une diode réseau est un équipement de cloisonnement un peu particulier qui vise à permettre la circulation d'information dans un seul sens. Comme tous les protocoles réseaux habituels sont bi-directionnels, ceci n'est possible qu'en incorporant dans la diode réseau ou dans son environnement immédiat des serveurs mandataires chargés de simuler le comportement du réseau extérieur à la diode. Exemple Un réseau très sensible peut avoir besoin d'informations publiques pour son utilisation. Par exemple, un réseau de contrôle aérien aura besoin d'informations météo pour fonctionner. Si ces informations sont disponibles sur internet, il faut pouvoir les récupérer tout en protégeant les informations du contrôle aérien d'un accès non contrôlé depuis l'internet. Le fonctionnement d'une diode réseau consiste donc à répondre aux requêtes internes à la place du serveur externe consulté. Les informations nécessaires sont en permanence mise à jour au niveau du serveur mandataire interne, en fonction de la configuration de la diode. Attention Une diode réseau ne permet pas de « surfer » sur internet. Les serveurs potentiellement accessibles au niveau du réseau interne doivent être configurés manuellement et aucune navigation interactive n'est possible (pas de moteur de recherche, pas d'envoi de formulaire, etc.). A retenir Une diode réseau est un équipement très particulier dans un réseau. Il permet :
Exemple Une diode réseau peut effectivement être utile pour protéger une source primaire d'informations contre toute tentative d'altération. Le serveur mandataire de la diode sera dans ce cas exposé potentiellement à des attaques, mais ce ne sera qu'une copie. La source primaire restera inatteignable. I.6.4 ProtocolesUn protocole réseau est un protocole de communication mis en oeuvre sur un réseau informatique. Il est possible que plusieurs protocoles réseau forment des couches de protocoles Les couches Afin de s'y retrouver au milieu des protocoles, et même de pouvoir en changer, on les hiérarchise par exemple en quatre couches dans le modèle TCP/IP. D'autres modèles plus complexes, comme le SNA d'IBM ou le modèle de l'OSI, comptant chacun sept couches, ont rencontré moins de succès pratique et sont plutôt évoqués aujourd'hui à des fins de complétude de la théorie. Considérée dans son ensemble, une suite de protocoles entre diverses couches forme ce qu'on nomme une pile de protocoles. Les termes << protocole » et << pile de protocoles » désignent également les logiciels qui implémentent un protocole. Les protocoles les plus récents sont standardisés par l'IETF dans le cas des communications sur Internet, et par l'IEEE ou l'ISO pour les autres types de communication. L'UIT-T prend en charge les protocoles et les formats des télécommunications. Dans le milieu du P2P, on considère l'ensemble des algorithmes d'un réseau comme son protocole. Familles de protocoles Certaines piles de protocoles ou familles :
Protocoles de couche 1 Cette couche correspond à la couche physique dans le modèle OSI. A ce niveau, on trouve par exemple les protocoles suivants:
ISDN ; PDH ; RS-232 ;
SDH ; SONET ; T-carrier (T1, T3, etc). Protocoles de couche 2 Cette couche correspond à la couche de liaison de données dans le modèle OSI. A ce niveau, on trouve par exemple les protocoles suivants:
Ethernet ; Fiber Distributed Data Interface (FDDI) ; HDLC ; Logical Link Control (LLC) ; Media Access Control (MAC) ; Point-to-point protocol (PPP) ; Token bus; Token ring. Protocoles de couches 2 et 3
Protocoles de couche 3 Cette couche correspond à la couche de réseau dans le modèle OSI. A ce niveau, on trouve par exemple les protocoles suivants:
Internet Protocol (IP) ; o Border Gateway Protocol (BGP) ; o Routing information protocol (RIP) ; o Open shortest path first (OSPF) ; o Integrated Intermediate System to Intermediate System (Integrated IS-IS) o Internet Control Message Protocol (ICMP) ; Address Resolution Protocol (ARP) ; IPX Connectionless Network Protocol (CLNP) o Intermediate System to Intermediate System (IS-IS) La négociation des options de la couche 3 au-dessus de PPP se fait avec NCP Protocoles de couches 3 et 4 Xerox network services (XNS). Protocoles de couche 4 Cette couche correspond à la couche de transport dans le modèle OSI. A ce niveau, on trouve par exemple les protocoles suivants:
Protocoles de couche 5 et plus Cette couche correspond à la couche de session dans le modèle OSI. A ce niveau, on trouve par exemple les protocoles suivants:
FTP ; SSH SFTP HTTP ; IMAP ; NFS ; POP3 ; protocole Samba ou SMB/CIFS; RSerPool SNMP ; SMTP ; Telnet ; FIX ; JXTA. Session Initiation Protocol (SIP) ou H.323 pour la téléphonie IP Couche 7 : X.500 (annuaire), X.400 (messagerie) CHAPITRE II. LA SECURITE DES RESEAUX INFORMATIQUESII.1 Généralité de la sécurité des réseaux informatiquesLa sécurité des réseaux informatiques est un sujet essentiel pour favoriser le développement des échanges dans tous les domaines. Un seul mot " sécurité " recouvre des aspects très différents à la fois techniques, organisationnels et juridiques. Lattitude des utilisateurs vis à vis des problèmes de sécurité est souvent irrationnelle ce qui ne contribue pas à simplifier le débat. La sécurité du paiement par carte bancaire sur Internet fait partie des sujets controversés. En 1996 sur notre plate-forme expérimentale Inforoute, nous avions demandé à nos 10000 utilisateurs de payer une participation aux frais d'accès. Tous les moyens de paiement étaient offerts sur le serveur depuis la carte bancaire en ligne sécurisée, l'envoi du numéro de la carte par fax ou le chèque. Contrairement aux idées reçues, environ 60% des utilisateurs ont choisi le paiement en ligne sécurisé, 30% le chèque et 10% ont préféré l'envoi du numéro de carte bancaire par fax dont un a même fourni le code confidentiel ! La perception de la sécurité est donc un élément important à prendre en compte dans le développement de ces systèmes. D'un point de vue technique, la sécurité recouvre à la fois l'accès aux informations sur les postes de travail, sur les serveurs ainsi que le réseau de transport des données. Dans ce court document, nous nous concentrerons sur les problèmes posés par la sécurité des informations lors des échanges au travers de réseaux publics ou privés. Internet, le réseau des réseaux, est un outil qui permet à tous les ordinateurs quel que soit leur type de communiquer entre eux. La technologie utilisée (TCP/IP) a permis de simplifier la mise en place des réseaux, donc de réduire le coût des télécommunications. En revanche, les fonctions de sécurité ne sont pas traitées par ce protocole. Sécuriser les données, c'est garantir :
Une des manières d'assurer la sécurité des données serait de protéger physiquement l'accès au matériel. C'est possible dans une pièce ou un immeuble. C'est impossible dès que le réseau est physiquement étendu. Depuis très longtemps, les chercheurs ont travaillé sur ces sujets. Dans tous les pays, les militaires ont développé des techniques permettant de garantir la confidentialité des informations. Progressivement, ces techniques sont devenues nécessaires à de nombreuses activités économiques et leur emploi s'est répandu, favorisé par la diffusion de calculateurs de grandes puissances à bas prix. Aujourd'hui, un système s'est imposé sous de nombreuses variantes. C'est le système à double clés, une publique et l'autre privée, inventé en 1977 par trois chercheurs : Rivest, Shamir et Adleman II.2 Fonction de sécuritéRiverbed Technology est le seul fournisseur à proposer une sécurité de bout en bout dans sa solution d'optimisation WAN. Doté d'un ensemble de fonctions de sécurité multicouche, le système d'optimisation RiOS de Riverbed protège les données statiques et en déplacement. Ainsi, Riverbed n'oblige pas à choisir entre sécurité et performances. Accélération et prise en charge renforcées pour le trafic SSL Les appliances Steelhead de Riverbed accélèrent le trafic SSL sur le WAN pour des performances dignes d'un réseau local. Riverbed est la première entreprise à proposer une véritable solution d'accélération SSL (et non pas du délestage SSL) qui ne requiert pas la distribution de certificats ou de clés privées en périphérie, mais qui permet pourtant au trafic SSL d'être déchiffré, optimisé puis de nouveau chiffré avant d'être déplacé sur le WAN. Lorsque le trafic atteint l'autre côté du réseau, le processus est répété : déchiffrement, décodage (le côté « face » de l'algorithme d'optimisation de Riverbed), puis nouveau chiffrement avant la livraison au client. Ces optimisations sont bidirectionnelles afin de garantir un chiffrement du trafic de bout en bout, du client au serveur, en provenance ou à destination des sites distants. D'autres solutions d'accélération des applications symétriques peuvent se vanter d'accélérer le trafic chiffré, mais elles nécessitent la distribution de certificats ou de clés privées au site distant, ce qui ouvre d'importantes failles de sécurité, chose inacceptable aux yeux de la plupart des architectes informatiques. Riverbed continue d'améliorer sa fonctionnalité d'accélération SSL, la plus efficace du secteur à ce jour, en la rendant encore plus simple à configurer et à gérer. Plusieurs fonctions sont incluses dont la détection automatique de pairs SSL, la prise en charge des caractères génériques au niveau du domaine pour les certificats numériques et la simplification de la gestion des relations de confiance entre pairs. Elles facilitent l'accélération SSL au sein de l'entreprise pour une plus grande évolutivité et une charge administrative allégée. Chiffrement entre appliances Le chiffrement SSL entre appliances Steelhead est disponible en option. L'activation de cette fonction garantit le chiffrement des références et des données sous-jacentes partagées entre deux sites avant qu'elles quittent les appliances Steelhead. Si vous utilisez déjà un VPN pour chiffrer les données entre deux sites, il est possible que cette fonction ne soit pas nécessaire. Les appliances Steelhead prennent en charge le chiffrement DES, 3DES, AES-128 et AES-256. Les appliances Steelhead peuvent être exigées pour l'authentification avec un modèle unifié de confiance, auto-signé ou délivré par les autorités de certification. Interface MAPIhiffrée Cette fonctionnalité permet aux appliances Steelhead de fonctionner dans des environnements clients sécurisés qui recourent au chiffrement des messages électroniques (souvent par défaut) entre les serveurs clients et hôtes. Chiffrement des magasins de données Le système RiOS propose également un chiffrement des données stockées sur disque dans les appliances Steelhead pour les entreprises qui ont besoin d'une sécurité de haut niveau ou qui doivent faire face à des exigences de conformité très strictes. Normes de chiffrement prises en charge : AES-128, AES-192 et AES-256. Les clés sont conservées dans un coffre-fort de clés chiffré. II.3 Protection des données et mécanisme de sécurisation des réseaux (hackers, Crackers, virus, droit d'accès, firewall, service d'IP sec, VIP...)
la définition des profils de personnes qui manipulent des documents électroniques sur un même ensemble de données avec un niveau commun de sécurité informatique (notamment la confidentialité), l'identification des données sensibles ("actifs"). Il est nécessaire de bien structurer à la fois les données et les communautés de pratique, qui ont en commun le domaine d'activité et le niveau de sécurité. C'est un aspect important de la gestion de contenu. On doit utiliser les métadonnées d'une façon normalisée avec un registre de métadonnées. On doit examiner comment intervient chaque élément dans la sécurité, ainsi que les raffinements associés, comme par exemple : identifiant et certificat électronique associé, nature du document, portée du document, droits, audience, etc. TROISIEME PARTIE : CONCEPTION ET REALISATION D'UN RESEAUX HYBRIDES AVEC LINUX COMME CONTROLEUR PRINCIPAL DE DOMAINECHAPITRE I. MISE EN OEUVRE D'ARCHITECTURE DES RESEAUXNous avons choisi l'architecture suivante pour son intégration dans le réseau de l'OCC. Voici l'evaluation en terme de cout de sa mis en place :
Serveur Linux SAMBA Serveur Linux dns Client Windows Client Windows Client Windows Client Windows Client Windows Serveur Linux Imprimante Client Windows Client Windows CHAPITRE II. CONFIGURATION DES SERVEURS SOUS LINUXII.1 INSTALLATION DE FEDORA 14 i381.1 insérez le CD /DVD dans votre lecteur de CD/DVD lors du démarrage de votre serveur l'image ci - dessous apparaît (choisissez bien l'option pour booter sur le lecteur optique),de préférence un processeur DUO CORE, mémoire vive de 2,00 Go, disque Dur 500 Go
Plusieurs possibilités s'offrent alors à vous :
Avant de poursuivre l'installation, le système vous demande si vous voulez vérifier l'intégrité de vos/votre CD/DVD. Il est fortement recommandé d'effectuer cette vérification, cela vous évitera la mauvaise surprise de fichiers illisibles lors de l'installation par exemple.
1.2 Paramétrage des languesAprès la vérification de l'intégrité de votre support, le système vous demande de choisir votre langue puis la disposition de votre clavier. Pour un clavier « azerty » français vous avez le choix entre le Latin 1 et le Latin 9, ce deuxième vous donnant plus de caractère pour la langue française (notamment le signe €), il est donc fortement conseillé de le choisir. 1.3 Choix du type d'installationAprès avoir choisi votre configuration linguistique vous pouvez choisir la manière dont Fedora est installée sur votre disque dur. L'image ci-dessous a l'écran permet la sélection du type de périphérique. Soit des périphériques locaux (cas le plus courant) soit des périphériques spécialisés (SAN)
1.4 PartitionnementChoisissez un partitionnement personnalisé, où vous pouvez choisir les partitions que vous souhaitez créer/formater/supprimer.
Voici quelques partitionnements communément admis :
/boot partition sur laquelle va se lancer Fedora (utile en cas de multiboot et ne prends que très peu place). La taille recommandée est de 500Mo pour permettre la mise à jour par Preupgrade. 100Mo sera suffisant si n'envisagez pas la mise à jour, / partition sur laquelle s'installe le système. Variez la taille de cette partition en fonction de votre disque dur mais sachez qu'une installation complète du DVD/CD prendra environ 9 Go, SWAP correspond à la partition SWAP, historiquement elle était fixée à deux fois la valeur de la RAM de l'ordinateur. Aujourd'hui il est admis que même s'il vaut mieux une SWAP supérieure à la RAM présente dans l'ordinateur, il n'est plus nécessaire de mettre une valeur aussi élevée, /home Partition sur laquelle sont conservées les données de l'ensemble des utilisateurs. Faire une partition /home séparée permet de simplifier la transition des données utilisateurs, notamment lors des changements de version de Fedora. L'utilisation que vous prévoyez pour votre ordinateur définira le choix de la taille des différentes partitions. Par exemple, si vous préparez un serveur web, les fichiers seront stockés dans le répertoire /var/www/, les bases de données MySql dans /var/lib, vous pourrez donc dans ce cas choisir d'attribuer beaucoup d'espace disque à / ou encore créer une partition spécifique pour /var. Dans le cas d'une utilisation bureautique, une taille confortable de la partition /home sera à préférer. 1.5 Configuration réseauSaisissez les caractéristiques de votre réseau pour que Fedora se connecte à internet. Vous n'avez rien à faire si le PC est branché directement au modem en ethernet. Si vous possédez plusieurs ordinateurs en réseau, il est peut être nécessaire de spécifier les paramètres manuellement. La connexion de votre ordinateur au modem en USB est déconseillée, des pilotes non présents sur le DVD peuvent être requis.
1.6 Choix du mot de passe rootL'utilisateur root est un « super utilisateur » qui sert à administrer le système, son usage doit être réservé à des cas bien particuliers car cet utilisateur possède les pleins pouvoirs sur l'ensemble de votre système. Ce mot de passe est très important, choisissez-le bien, tant d'un point de vue de la sécurité que pour vous en souvenir facilement. Les mots de passe aléatoires, composés de lettres en majuscules et minuscules ainsi que de chiffres sont à privilégier au nom de vos enfants ou leur date de naissance.
1.7 Installation des programmes67 externes.
1.8 Page d'accueil de l'assistant de première configurationLors du premier démarrage un certain nombre de paramètres sont à configurer
1.9 Configuration du pare-feu68 l'utilisation de votre ordinateur. Pour un poste de travail, aucune ouverture de port n'est nécessaire.
1.10 Réglage de la date et de l'heure
Windows stocke l'heure dans le BIOS au format local (GMT+1 pour la France). Veillez donc bien à ce que Linux utilise ce même format pour éviter des changements d'heure à chaque changement de système d'exploitation.
Créer votre premier utilisateur (nom d'utilisateur et mot de passe) : 1.12 Création des utilisateurs 1.11 Hardware profileCette étape permet d'envoyer la configuration matérielle aux développeurs, sachant qu'aucune donnée nominative n'est envoyée. Ce profil est renvoyé tous les mois pour suivre les modifications du matériel. Cette base de données permet aux développeurs de repérer le matériel populaire pour y consacrer plus d'efforts. L'utilisateur peut également s'en servir pour vérifier que son matériel est compatible. Les statistiques sont disponibles à cette page :
- II MANIPULATION DE FEDORA
Il est a noté que dans lunix, pour faire toute configuration il faut d'abord entrer comme root qui est le super utilisateur Voici les étapes
4.1 Attribuez une adresse IP fixe au serveur#ifconfig eth0 192.168.20.1 netmask 255.255.255.0 -ifconfig: permet de configurer la carte reseau - eth : ethernet -0 : 1 ère carte reseau -1 :2ème carte reseau -n :n ème carte reseau Chez lunix on peut attribue plusieurs addresses a une carte reseau Ex :- ifconfig eth0 :10.10.10.1 netmask 255.0.0.0 - ifconfig eth1 :192.168.20.1 netmask 255.255.255.0 - ifconfig eth2:10.10.10.8 netmask 255.0.0.0 - ifconfig ethn:10.10.10.1 netmask 255.0.0.0 4.2. Voir la configuration attribue à votre carte réseau# ifconfig -a 4.3 LISTE DES COMPTES UTILISATEUR
Comande pr la creation d'un utilisateur #useradd nom_utilisateur En mode graphique Voici les étapes
Comande pr la creation d'un groupe #groupadd nom_utilisateur En mode graphique LISTE DES UTILISATEUR
4.4 LISTE DES GROUPES
DIVISION ADMINISTRATION ET FINANCE DIVISION EXPLOITATION DIVISION LABORATOIRE DIVISION METROLOGIE DIVISION COORDINATION DES AGENCES 74 LISTE DES GROUPES AVEC LES UTILISATEURS
4.5 ATTRIBUE UN MOT DE PASSE À UN UTILISATEUR#password nom_ulilisateur 4.6 SUPPRIMER UN UTILISATEUR#userdel nom_utilisateur 4.7 SUPPRIMER UN GROUPE#groupdel nom_utilisateur 4.8 Gestion des utilisateurs et des groupes
La gesion d'un compte signifie lui permettre d'être connu du poste local, s'y loguer, avoir un accès complet sur son rép. Personnel. Mais aussi dans une configuration réseau, de pouvoir se connecter à son compte par telnet et ftp, et de pouvoir bénéficier de services réseau de partage distant (sous Linux par NFS et sous Windows 9x par SMB).
Chaque utilisateur doit faire partie au moins d'un groupe, son groupe primaire. Celui-ci est défini au moment de la création du compte, et par défaut, l'utilisateur appartient à un nouveau groupe créé, portant son nom. Ainsi, dans /etc/passwd chaque utilisateur possède un groupe par défaut, précisé par son identifiant gid dans ce fichier. L'appartenance au groupe primaire n'étant pas exclusive, tout utilisateur peut faire partie de plusieurs autres groupes, appelés ses groupes secondaires. Mais le rôle joué par le groupe primaire demeure prépondérant, comme nous le verrons dans le système des permissions des fichiers. 5. CONFIGURATION DE SERVEUR DNS5.1 Installation DE BIND# yum install bind-chroot 5.2 changements de permissions :$ su # chmod 755 /var/named/ # chmod 775 /var/named/chroot/ # chmod 775 /var/named/chroot/var/ # chmod 775 /var/named/chroot/var/named/ # chmod 775 /var/named/chroot/var/run/ # chmod 777 /var/named/chroot/var/run/named/ Bind est ici installé en chroot, c'est à dire qu'on a modifié son répertoire racine pour assurer une meilleure sécurité. Nous devons maintenant Crée donc un lien symbolique pour faire pointer le répertoire classique sur le répertoire chrooté : # cd /var/named/chroot/var/named/ # ln -s ../../ chroot Pour finir l'installation de Bind, démarrerons à l'amorçage de la machine : # chkconfig --levels 235 named on 5.3 Configuration de baseNous allons ouvrir le fichier /etc/named.conf pour et modifier les lignes comme suit : allow-recursion { localhost; }; version "SECRET"; on modifier le fichier et on ajouter cette ligne à la fin de /etc/named.conf : include "/etc/named.conf.local"; 5.4 Configuration d'un serveur DNS primaireÉditez le fichier /etc/named.conf.local en ajoutant : zone " occgomar.com" IN { type master; file " occgomar.com.zone"; allow-update { none; }; }; 5.5 Configuration d'un serveur DNS secondaireÉditez le fichier /etc/named.conf.local en ajoutant : zone " occgomar.com" IN { type slave; file "occgomar.zone"; masters { 192.168.20.1; }; }; la zone masters{}; représente l'adresse IP du serveur primaire de votre zone 5.6 Configuration de la zone DNS A chacune de vos zones doit correspondre un fichier dans /var/named/ occgomar.com.zone Voici un exemple qui est bien entendu à personnaliser à votre guise : $ttl 86500 occgomar.com. IN SOA ns.votredomaine.com. dnsmaster.occgomar.com. ( 2006110801 10800 3600 605800 @ IN NS ns. occgomar.com. @ IN NS ns2. occgomar.com. @ IN MX 10 mail. occgomar.com. @ IN MX 20 mail2. occgomar.com. @ IN A 192.168.20.1 www IN A 192.168.20.1 * IN CNAME www mail IN A 192.168.20.1 mail2 IN A 192.168.20.1 ns IN A 192.168.20.1 ns2 IN A 192.168.20.1 Voici quelques explications sur ce fichier : $TTL 86500 indique une durée de vie (Time To Live) par défaut de 86500 secondes (une journée) pour les enregistrements où cela n'est pas précisé. @ est un raccourci pour le nom de la zone indiquée dans le fichier named.conf.local suivi d'un point. SOA désigne l'enregistrement de "début d'autorité" (Start Of Authority), il est suivi du nom du serveur DNS primaire et de l'adresse du responsable où "@" est remplacé par un "." et l'adresse elle même terminée aussi par un ".", si votre adresse email contient un "." il faudra noter comme cela : prenom\.nom.email.com. Lancement de la commande pour prendre en compte les modifications) qui permet de synchroniser notre serveur DNS primaire à notre serveur DNS secondaire ) : U rndc reload Mettons aussi notre serveur dans la liste de nos resolver DNS en ajoutant cette liste en haut de notre fichier /etc/resolv.conf : nameserver 127.0.0.1 5.7 Vérification du bon fonctionnement du serveur DNSPour vérifier le bon fonctionnement de notre serveur DNS nous allons utiliser ZoneCheck et voir comment on peut automatiser une vérification de la bonne configuration des DNS et être prévenu par email en cas d'erreur. 5.8 Installation de ZoneCheckNous allons satisfaire quelques dépendances : $ su -c 'yum install ruby rubygems' Nous allons installer dnsruby $ su -c 'gem install dnsruby' Puis installer ZoneCheck, $ su -c 'ruby installer.rb all' 5.9 Automatisation de ZoneCheckNous allons donc lancer automatiquement la vérification des zones DNS que nous hébergeons, pour cela nous allons créer un fichier nommé dom.conf (dans le répertoire de votre choix) et le remplir ainsi : occgomar.fr occgomar.com occgomar.net occgomar.org occgomar.info occgomar.eu Créons ensuite le script de vérification et d'envoi de mail qu'il suffira de personnaliser rapidement avec le chemin du fichier dom.conf et de email. #!/bin/sh #script de vérification des zones dns multiples + envoi de mail en cas d'échec #dernière mise à jour le mardi 17 janvier 2012 #by TitaX ####variables a personnaliser ZONECHECK="/usr/local/bin/zonecheck" DOM="/notrechemin/script/dom.conf" TXT="/tmp/zones.txt" MAIL="mail@ occgomar.com" DATE=`date +%d-%m-%Y` #### #on lance la vérification des zones #ne pas oublier de remplir le fichier $DOM for i in `cat $DOM`; do $ZONECHECK -q -vn,d,x,f $i; done > $TXT #on vérifie si des zones sont en ECHEC if cat $TXT |grep -E "ECHEC" > /dev/null #on envoi un mail si des zones sont en ECHEC then cat $TXT |mail -s "CheckZone du $DATE en ECHEC !" $MAIL #sinon tout est ok alors "have fun" else rm -f $TXT fi Ajoutons le script en Crontab: $ crontab -e 00 9 * * 1 /votre/chemin/ zonecheck.sh 6. serveur samba6.1 Installation# yum install samba 6.2 Configuration de SAMBAÉditez le fichier /etc/smb.conf et pour tester que ce ficher ne comporte pas d'erreur de syntaxe, utilisez la commande testparm Voici les paramètres essentiels pour un serveur de fichiers classique (c'est-à-dire qui nécessite une authentification) : workgroup: occgomar netbios name: occgoma server string: Mon serveur samba security: USER guest account: nobody Ensuite, on créer des partages de fichiers, qui apparaitront dans le voisinage réseau des machines Windows. Pour accéder à ces partages, il faut entrer un login et password. Le login doit etre présent en tant qu'utilisateur UNIX sur le serveur SAMBA et présent dans la base de gestion des utilisateurs Samba (smbpasswd, tdb, LDAP, etc.). Pour mettre un utilisateur dans la base de gestion des utilisateurs Samba, on utilisera la commande suivante : # Smbpasswd -a infoocc Des manipulations peuvent s'avérer nécessaires pour que les clients Windows puissent accéder à Samba, notamment des clés de registre qui sont précisées dans la section suivante, mais ça ne devrait pas être la cas à ce stade. 6.3 Configurer SAMBA en PDCDeux fichiers sont la base du serveur samba: smb.conf et smbpasswd La section [global] du smb.conf pour configurer un serveur Samba en tant que PDC ressemble à celle-ci : [global] # le nom du domaine workgroup = occgomar # le nom "netbios" du serveur (nom que Windows va lire # dans son voisinage réseau ) netbios name = occgoma # un nom au choix explicitant la machine server string = Mon serveur samba encrypt passwords = Yes # savoir ou sont les logs log file = /var/log/samba/log.%m max log size = 50 # ordre de résolution des noms NETBIOS name resolve order = wins host lmhosts bcast # pour pouvoir synchroniser l'horloge des clients sur celle du serveur # voir les scripts time server = Yes # IMPORTANT car spécifie que root peut joindre le domaine sur les clients domain admin group = root # permettre d'utiliser les profils errants sur le serveur samba domain logons = Yes # nombre pour battre les autres serveurs Windows os level = 95 preferred master = True domain master = True dns proxy = No # pour que le serveur samba soit aussi serveur WINS # càd résolve les noms NETBIOS grâce au demon nmbd wins support = Yes logon script = %U.bat # Répertoire utilisé par win9x pour stocker les profils logon path = \\%L\profiles\%U logon drive = Z: # Répertoire utilisé par winNT,XP pour stocker les profils logon home = \\%L\profiles\%U
Il faut maintenant entrer un mot de passe Samba pour root (on évitera le code root UNIX) : # smbpasswd -a root Notons que l'on doit faire cela car pour joindre les machines Windows au domaine, il faudra préciser un utilisateur qui a l'UID égal à zéro ! Une fois cela fait il faut déterminer les utilisateurs qui pourront se connecter à samba et ou seront stockés leurs profils itinérants : # addgroup smb # mkdir /var/samba # mkdir /var/samba/profiles
Puis on ajoute ces partages de bases à notre smb.conf (ainsi que le partage homes) : [netlogon] comment = Repertoires scripts path = /var/samba/netlogon browseable = No [profiles] comment = Homes windows path = /var/samba/profiles browseable = No read only = No [homes] comment = Répertoires personnels path = /home/%U browseable = No read only = No ajouter les noms de machines qui pourront se connecter à samba. Créons tout d'abord un répertoire pour ces machines : # addgroup pc Ensuite on ajoute un utilisateur spécial daf$ : # adduser --ingroup pc --shell /dev/false \ --no-create-home --force-badname daf$ Puis on l'ajoute à /etc/samba/smbpasswd : # smbpasswd -m -a daf$ Notons que sous Windows, le nom de la machine, appelé nom NETBIOS, est toujours en majuscule. Mais sous UNIX, on peut entrer le nom en minuscule. Ne pas oublier le $ à la fin du nom. 6.4 Joindre les clients Windows au serveur Samba1° - Allez dans exécuté - Tapez la commande regedit - Hkey - Local - machine - System - Controlset 001 - Services - Netlogon - Parameters - Require signor seal - Puis on remplace 1 par 0 2° - Allez dans exécuté - Tapez la commande regedit - Hkey - Local - machine - System - Controlset 001 - Services - Netlogon - Parameters - Require strong key - Puis on remplace 1 par 0 7 SERVEUR PROXY7. 1. L'authentification en SSHLa commande de base pour lancer une connexion SSH est : user@pc-client ]$ ssh -l login pc-serveur Ce qui équivaut à : sevadministratif@pc-daf ]$ ssh login@pc-occgoma - l'utilisateur servadministratif de la machine pc-daf va se connecter sur le compte de l'utilisateur login sur la machine distante pc-serveur occgoma. De plus toute connexion SSH repose sur une authentification, l'utilisateur qui lance la connexion depuis une machine locale doit en effet s'identifier sur la machine distante. Pour cela il existe deux possibilités la première est de taper chaque fois le mot de passe correspondant au nom d'utilisateur donné dans la commande de connexion et qui est login. user@pcdaf ]$ ssh -l login pc-occgoma login@pc-occgoma password:
La seconde beaucoup plus fiable, l'utilisation d'une clef de chiffrement (parfois appelée à tort clef de cryptage). Cette clef est le garant de l'identité électronique et permet de se passer de mot de passe lors de la connexion. La technique présentée dans ce document pour faire « rebondir » une connexion SSH sur une machine proxy est basée sur l'utilisation des clefs de chiffrement. 7.2. Génération de clef de chiffrementla clef de chiffrement est la suivante : user@pc-client]$ ssh-keygen -t rsa -b 4096 Generating public/private rsa key pair. Enter file in which to save the key (/home/user/.ssh/id_rsa): Ce dossier est toujours par défaut le dossier ~/.ssh qui est un dossier caché dans le répertoire de connexion de l'utilisateur, le ~ est la syntaxe abrégée de /home/user et désigne le répertoire de connexion par défaut de l'utilisateur dans un système Linux/Unix. En tapant entrée pour conserver cette valeur par défaut il vient : Enfin un résumé du travail effectué pour générer les clefs est affiché : Your identification has been saved in /home/user/.ssh/id_rsa. Your public key has been saved in /home/user/.ssh/id_rsa.pub. The key fingerprint is: 49:99:10:a8:80:a0:80:99:34:09:3b:1a:86: cf: 1d: 6b login@pc-client
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAgEAsAQld3wDloQxCC/ANMMAFS8/p1tYqMOKNinmb+ f9EUV6WXsbIOrlF104LVa1hcduowroDKLxOYczdB7FW+TnFCuUdstCCajOdr0lg+tjw7qtGAG3 Bv16V45vnBAPq2NP00Y942yhasAbt7U1yRbHXMHYZu2dKSongh/tUrcO66thIRyHrNZD7pDrg+ jc7REMW2JhPGukstjaH4+pJo+p0ML4+d5IoegOIIMlxANTqysaCSqI/QfbzN5JZgJEtWUYgEA9 Vsb4EO/dGwSdDaoZ8aKfKUvGDGR6HpmRJH2qAeztoi42kiBxRMRlHedsQg8PphvGi+6VDTf8uK Y4OW7BUWV7MBIfIJj+gf4shIeQWs7zaLx4k9zeTwspFQTN7jYdFTotNelJWEmNBKj+TwEZj7Vd 8mM157xt/lGp5Rx9EdrcNsGJ3+xvYumqLdTuPJkslqIW9WjvB6mJLcKgkYe6URi+JKif47YdXe I6CcFcd5BVEjJn1t2Yyj5QNHOJbzVvvOLH9OKvdIl7V5S29/dkUz9CO/WpoSJRzUsQdXMocHTS 0Jc0siz9op1Ii2h2nyPkJsvlzopIOBd5zW9UZj2u/VTjKNKCSHoeiJVqrLt/CmwlTPXvV053nm Ya+MF/HAogVP7OwHaecxz0SNwNUou4YOu/GuO6SNKEWyy2ydQdM9s= user@pc-client L'instruction user@pc-client est facultative, il est possible de la remplacer par l'adresse IP ou un vide ce qui est utile lorsque que l'ordinateur ne se connecte pas sur le web en utilisant une adresse ip fixe (cas d'un ordinateur personnel avec connexion par modem réinitialisée à chaque mise en fonction). BEGIN RSA PRIVATE KEY MIIJJQIBAAKCAgEAsAQld3wDloQxCC/ANMMAFS8/p1tYqMOKNinmb+f9EUV6WXsb IOrlF104LVa1hcduowroDKLxOYczdB7FW+TnFCuUdstCCajOdr0lg+tjw7qtGAG3 Bv16V45vnBAPq2NP00Y942yhasAbt7U1yRbHXMHYZu2dKSongh/tUrcO66thIRyH rNZD7pDrg+jc7REMW2JhPGukstjaH4+pJo+p0ML4+d5IoegOIIMlxANTqysaCSqI /QfbzN5JZgJEtWUYgEA9Vsb4EO/dGwSdDaoZ8aKfKUvGDGR6HpmRJH2qAeztoi42 kiBxRMRlHedsQg8PphvGi+6VDTf8uKY4OW7BUWV7MBIfIJj+gf4shIeQWs7zaLx4 k9zeTwspFQTN7jYdFTotNelJWEmNBKj+TwEZj7Vd8mM157xt/lGp5Rx9EdrcNsGJ 3+xvYumqLdTuPJkslqIW9WjvB6mJLcKgkYe6URi+JKif47YdXeI6CcFcd5BVEjJn 1t2Yyj5QNHOJbzVvvOLH9OKvdIl7V5S29/dkUz9CO/WpoSJRzUsQdXMocHTS0Jc0 siz9op1Ii2h2nyPkJsvlzopIOBd5zW9UZj2u/VTjKNKCSHoeiJVqrLt/CmwlTPXv V053nmYa+MF/HAogVP7OwHaecxz0SNwNUou4YOu/GuO6SNKEWyy2ydQdM9sCASMC ggIAeLJi1Zbd443YeqRmipRX1AMkVYB3Tyb/sBy7RWvgu2LXjdDCJTNbQzibjM2+ TRsKCWaQfbGPd+euQP8oPwNcoB3iJZKw8K5Ebq2WEVDz8+24hX2E0Zfe3PP0wskv UPOkc53hS32wg7bub1ev2ljDOEpogRf2vSQ4WTp22aIY3B2+8iIxJg9EhlS+wNox F5apYzwla0J/kJSy09A5eYcVW/No5dpAbwWGB6pjChDo6mayxHTwOHpq1Z+9TUNi UH/WSVCfFu7V/Pw/2AMp3Xv0iG+DFQDCUaP797nCnK3w62Ci8t3cRvGswXC6XaYB F1rI5u55hIZXlAkiUrsfPVNCulVgXEoWBo5W5aa2IrOa6husLrb+M4bMC8Aqp5hA ihR8UV+cNAAm8q/W+s+QwDnEnK/7PWElIZOJJO9uVpd3WNYwvTEzMASUSjlwVN8w nzJIp0xNWqZ9PZyKvRHMwEn0cKiZ8kJ7rpncMFJpEWIRBSb2kxlSx0R8F9b3nwN+ mUmXyCHyVeQPdff7W3hcQrzeCB6Vy1GEEnRK9EZRvflekMcdkOA9ZDUwR2rqDGBw Q0+vCux8TOlWWm3UxXyiqI4b9Xrf+O+eEYgYTQNutInwEV90zcZHb/AFL+8P4sxr WosVnRlCgd0DVmlcGKftpYBu+s5lF/UbW6jsPdueYIEp3AsCggEBAN4A64C63bt6 +V9q+fh/ndwOC6n/NpSaLNBONnZW5lKMuAe2WfRrbzMyGLSisSx3kqSRFxJrD9GU OfmIlBlSs61haI6ZyNuRtdooME0iX8XluBZ3hRtDj0caCl+3AcsYzP0F9fcjbr6Y rlKhH8KlwYMSummDMs7LOaKxytUH7sXEybtuf9V9T08qhAhdhCNMNt3gyNcHjjDb RAtwA3z79qUPWH5TVRFfYvLtnTMxpTVJCJiqBUJoi7/cpHmrO0uTmgXJILKORndh c0YWiUOUNUezJcIbQVsIq8yhHXaFnjetrZ8dkkAC8Kkw5KaFoPkSk3TDhMEochbF IZqEdI3IpIMCggEBAMr4aKVZeU3vebZNQp55fN/fmPJGp3kFO8KcqiXDk9sFu9xd usn6cdXsE4WohYBjQzrTzHh0sZ5cbnr1vWZG/J/JD6CFcQowFiZo1xek9KnyP+cD 9sWKKTN6JP5JoftyX9CCWBCIFlcjk8IVBfpd498awUP2lsrt7dd1TGQTi48C70st YnXw7oYCQ3zS59X++zTG//JsIrKJOlkT55UtPAK4WicygE4NLNka8X32l8URLkUG g8jsaHdxiPU79SLdR/vovRfYKHGZpP+oBtlsu86Sex1WkrVnYgeCsIuHmcedzPAw MNRL+cTHwECidYyun7SoKIfJ8RARX1yWCIn3g8kCggEAUnVeyWn6lhe7tboFEygW D+f1tCuX7g1hGiut1C7n1YS5YfNF+7LgKPVZoi3Mx1+c3goBQVr3PzcOOBzJSzv5 mCt+m12xARjdJSTevZBstzgRLOqQhngt5zWO0xgWm+Sj6POV33OPiJ8cLVHJ99cq nmYKuXnfq+UVaFCqbGIIOtQQajBbXey3DsamEbxVprXofkwtVy6xKBbtY1V9o3OH fyL0+7iNT5h1Nai2uz5TTk5TpmsJRI07OKJo+f3FkRmQ+tWtDx7m+SQyIVjT5eaX cmccpy6x3/voCi021EBCFK45LHiyqg+4eVtNnO/OE16rzEifBepzhMzgmHpXLVkn KQKCAQBilemvZfkXOc1nLNc3B87wZUpJyovbshW2TBgg+JhFz5XCznCrPyFZRsen Udpxj0yKSZ3UG2w2+bIBNYfhOGwTGIPu4bqP63h5DlnYSM6bsquMhRUbw9kxlI T6Zy0Sc5Y+GhoS9sJzkjwRGIPDt6/l3fLqEDeuE8w/HndzUoNKAdM00UttpBFwrW Oo3c+DDfHtQWqY0yJWV7uTX4AAc0hW2eApYXSDpa0pKNo6jNbr6zz/bd7yttNyVD 6ewYP5f+A1SH7KXuCMx8LQqkHt7grYxBczFQy9CHThs8dRAtwayvLVmLr9+3WbUm tU8J0Sj/+efM7Q6wCHAlp/WE106jAoIBAEpQelrj6WbnkweT1m8eN1ZVlfIFRLdY NQbZPxKw85hy8NEeyfAdg6r24AytOa/qtYuNnsDqtSJfwPL2h7aeS10Aeo34K643 MQFazjRLZOwPxlLftTXL4xqppsx0aCKtKUTtlcNr1jl3NO2FIudIuOfUbCoR/dBb EByseaTX1VR/FAT5h/BaegxW5uhJSf/5LCDZ1l6Lj/KOdQpeU33L0a8lUjvVXr2p YQZ O/HIKCTvhKp6sTjuZz7BqMfUl0fpEpVQCCEkgeJhfMynmbdpHYeVbdZD0pV85 duRCCc0CfqVr5b0QFzH9XXhgwPeMiSThT+KK6YiSX/EJ7XICVI8Yaew= END RSA PRIVATE KEY La partie privée de la clef de chiffrement ne doit en aucun cas être partagée, elle est la propriété exclusive d'utilisateur qui l'a créé. Il ne faut jamais la déplacer, modifier les conditions d'accès ou le contenu du fichier lui même. Le degré de complexité de ces clefs est évident et est assez impressionnant en comparaison de celui d'un mot de passe classique. 7.3. Fonctionnement des clefs de chiffrementPour pouvoir établir une connexion par clefs chiffrées entre le poste local sur lequel la clef a été créée et un poste distant il faut tout d'abord se connecter une fois sur le poste distant en utilisant la méthode d'authentification par mot de passe. Il faut ensuite se placer dans le dossier ~/.ssh de la machine distante et créer un fichier dont le nom est 'authorized_keys'. Ce fichier doit contenir une copie des clefs publiques des utilisateurs pouvant se connecter sur la machine distante (une simple copie du contenu du fichier 'id_rsa.pub' généré plus haut). user@pc-daf ]$ scp ~/.ssh/id_rsa.pub login@pc-occgoma:rsa.pub-user login@pc-occgomar password: id_rsa.pub 100% user@pc-daf ]$ ssh login@pc-occgoma login@pc-occgoma's password: login@pc-occgoma ]$ login@pc-occgoma ]$ cat rsa.pub-user >> ~/.ssh/authorized_keys login@pc-occgoma ]$ rm rsa.pub-user 7.4. Configuration du serveur SSH.Pour pouvoir utiliser une connexion par clef de chiffrement il faut s'assurer que le serveur SSH de la machine distante accepte l'authentification par clef, pour cela il faut éditer le fichier de configuration /etc/ssh/sshd_configet vérifier que les options suivantes sont activées: RSAAuthentication yes # SSH v1.* PubkeyAuthentication yes # SSH v2.* AuthorizedKeysFile .ssh/authorized_keys Les options RSAAuthentication(dépréciée) et PubkeyAuthenticationpermettent d'activer l'authentification par clef, l'option AuthorizedKeysFilerenseigne, pour chaque utilisateur, le nom du fichier dans lequel doivent être placées les clefs publiques des machines se connectant sur le serveur SSH. Pour terminer l'opération il faut ensuite relancer le serveur SSH: cd /etc/init.d ./sshd restart ou plus simplement: service sshd restart A partir de maintenant la connexion entre les deux machines dans le sens poste local vers poste distant se fera sans nécessiter de mot de passe et avec des clefs de chiffrement. Il n'y a simplement qu'a taper la commande dans un terminal pour être connecté instantanément sans aucune autres formalités : servadministration@pc-daf ]$ ssh login@pc-occgoma login@pc-occgoma ]$ 7.5. Connexion du serveur vers le clientPour établir une connexion sans mot de passe dans les deux sens, c'est à dire également sans mot de passe de pc-serveur vers pc-client il faut créer une clef de chiffrement sur la machine distante pc-serveuret copier sa partie publique dans le fichier ~/.ssh/authorized_keysde la machine locale pc-client. 7.6. Faire « rebondir » une connexion SSHLa procédure de connexion d'une machine à une autre est grandement simplifiée par l'utilisation des clefs de chiffrement. Cependant les normes de sécurité devenant de plus en plus drastiques, les administrateurs réseau choisissent fréquemment de contrôler tous les flux entrant et sortant de leur réseau en bloquant les connexions directes d'un poste client du réseau local vers un serveur externe (et vice-versa) il faut alors passer par un poste proxy qui filtre les connexions entrantes (et sortantes) : Utilisation d'un proxy Les connexions et plus particulièrement les transferts de données entre les machines client et serveur deviennent fastidieuses. Dans le cas de la copie d'un fichier d'un poste client d'un réseau local vers un poste serveur distant il faudrait effectuer dans l'ordre les opérations :
'Copie des fichiers sur le proxy' 'Connexion sur le proxy' 'Copie des fichiers sur le serveur distant depuis le proxy'
Et peut être, pour travailler et modifier ce fichier sur le serveur distant : 'Connexion sur le serveur distant depuis le proxy'. La première étape nécessaire pour mettre en place le « rebond » SSH est de générer des clefs de chiffrement sur chacune des machines concernées (le client, le proxy et le serveur). Bien sûr l'opération reste possible avec des mots de passe mais demeure dans ce cas toujours un peu laborieuse. Il faut ensuite créer un fichier ~/.ssh/authorized_keys sur chacune des machines concernées (le client, le proxy et le serveur) et copier dans chaque fichier authorized_keys le contenu des parties publiques des clefs de chiffrement des deux autres machines. Cela permet d'activer la connexion par clef dans les deux sens: client -> proxy -> serveur (sens 1) et serveur -> proxy -> client (sens 2). 7.8. Connexion dans le sens client ->proxy ->serveurPour établir une connexion uniquement dans le sens 1 il faut copier la partie publique de la clef du client dans le fichier ~/.ssh/authorized_keysdu proxy, ainsi que les parties publiques des clefs de chiffrement du proxy et du client dans le fichier ~/.ssh/authorized_keysdu serveur. Une fois cette étape accomplie, il faut créer un fichier portant le nom de config dans le dossier ~/.ssh de la machine client. Dans ce fichier doivent figurer les instructions suivantes : Host=pc-serveurproxy Hostname=proxy.occgomar User=serveurproxy Host=occgoma User=login ProxyCommand=ssh serveurproxy nc occgoma.occgomar Les 3 premières lignes indiquent les instructions relatives à la connexion sur la machine pc-proxy, et les 3 dernières indiquent les instructions à lancer lors de la connexion sur la machine pc-serveur proxy pour se connecter sur la machine pc-occgoma depuis la machine pc-daf. La commande nc (pour netcat) est un utilitaire permettant d'ouvrir des connexions réseau. A l'aide de la ProxyCommand c'est à dire une commande qui va être exécutée sur le proxy pcserveur proxy on demande d'ouvrir une connexion réseau vers le serveur distant. La commande netcat La syntaxe de la commande nc/netcatpeu varier d'une distribution Linux à l'autre et à plus forte raison d'un système d'exploitation à l'autre. En effet il existe plusieurs implémentations de cette commande très simple. Dans la distribution Fedora c'est l'implémentation OpenBSD et non l'implémentation GNU de la commande netcatqui est utilisée. Les syntaxes sont cependant extrêmement voisines. servadministration@pc-daf ]$ ssh pc-occgoma login@pc-occgoma ]$ La connexion par le proxy passe inaperçue. Le grand avantage de cette configuration et de l'utilisation de la ProxyCommand n'est pas uniquement de permettre une connexion plus simple, mais également de rediriger convenablement toute opération SSH depuis le client vers le serveur et en particulier le transfert de fichiers. Ainsi pour copier un fichier file du poste client vers le serveur distant il suffit de taper la commande : servadministration@pc-daf ]$ scp file pc-occgoma: Connexion dans le sens serveur ->proxy ->client Pour établir une connexion dans le sens 2 on créer un fichier ~/.ssh/config sur le serveur distant : Host=pc-serveurproxy Hostname=proxy.nom_de_domaine_de_pc-proxy bureauinfo=user_sur_proxy Host=pc-daf User=user ProxyCommand=ssh pc-proxy nc pc-daf.occgoma voici le contenu du fichier ~/.ssh/config utilisé depuis un poste client pc-client du réseau local reseau-local.fr pour se connecter sur les machines distantes serveur1.fr et serveur2.com : Host=serveurproxy Hostname= seeveurproxy.occgomar.fr User=bureauinfo Host=occgoma User=infoocc ProxyCommand=ssh serveurproxy nc occgoma.fr 22 Host=occgoma User=telmatiqueocc ProxyCommand=ssh serveurproxy nc occgoma2.com 22 user-proxy est le nom d'utilisateur sur le proxy du réseau local 'proxy.reseau-local.fr', user-1 est le nom d'utilisateur sur le serveur distant 'serveur1.fr' et user-2 est le nom d'utilisateur sur le serveur distant 'serveur2.com' Pour se connecter sur les serveurs distants occgoma et occgoma2 il faut utiliser les commandes : user@pc-daf ]$ ssh occgoma et user@pc-serveurproxy ]$ ssh occgoma2. 8. Configuration du serveur de messagerie POSTFIX8.1. InstallationLa configuration de ce serveur nécessite l'installation de plusieurs services, certains directement et d`autres pour répondre aux différentes dépendances de ces derniers. Nous nous pencherons sur les paquets suivants : POSTFIX et IMAP Pour installer ces derniers, taper la commande suivante : - yum install postfix Suivre les instructions - yum install imap 8.2. Paramétrage du fichier de configuration :Maintenant nous allons renseigner le fichier de configuration du service "postfix" : vi /etc/postfix/ main.cf Ce dernier doit contenir les lignes suivantes (certaines sont pr défaut mais facultatives) : Ajouter ou modifier les lignes : myhostname = occgoma mydomain = occgomar myorigin = $mydomain détermine l'adresse provenant du courrier sortant (ex: eric@occgomar.com) mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain sert aux différentes destinations possibles (les autres sont bloquées) inet_interfaces = all permet de filtrer les interfaces pouvant accéder au serveur. mynetworks_style = subnet permet de filtrer les clients en fonction de leur réseau d'origine. mynetworks = 192.168.20.0 / 255.255.255.0, 127.0.0.1/255.0.0.0 dans notre cas: relayhost = [occgoma]) permet de définir le du serveur par défaut pour l'acheminement du courrier sortant (serveur local ou distant FAI) Le service "IMAP" ne nécessite aucun réglage 8.3. Configuration d'un poste client :
vi /etc/postfix/ main.cf Ajouter ou modifier les lignes : myhostname = occgoma mydomain = occgomar myorigin = $mydomain détermine l'adresse provenant du courrier sortant (ex: eric@occgomar.com) mydestination = occgoma inet_interfaces = all permet de filtrer les interfaces pouvant accéder au serveur. relayhost = [occgoma] Permet de définir le du serveur par défaut pour l'acheminement du courrier sortant relaydomains = $mydestination permet de définir le du serveur par défaut pour l'acheminement du courrier sortant Le service "IMAP" ne nécessite aucun réglage 8.4. Administration des comptes et groupes utilisateurs :a. Création des comptes utilisateurs : Utilisation de la commande "useradd", et "passwd" sous la forme : useradd #177;m serviceinfo / 1RS'\iRn fl-m" permet, par défaut, de nommer le répertoire de destination comme celui de son utilisateur. passwd serviceinfo useradd -m serviceadmin passwd serviceadmin New SMB password : ****** Retype new SMB password : ****** Password changed for user serviceadmin 9. sendmail9.1 Fichiers de configurationnous avons deux niveaux de configuration, le premier avec le fichier config.mc, qui est le fichier par lequel un utilisateur va configurer sendmail, et ensuite /etc/ sendmail.cf qui est le fichier de configuration lu effectivement par sendmail qui est généré à partir de config.mc par le préprocesseur m4. Le fichier config.mc est rédigé dans un format sensé être facile à comprendre, alors que sendmail.cf est écrit dans un langage hautement "abscon". C'est ce dernier fichier qui était directement modifié avec les anciennes versions de sendmail. 9.2 Le fichier config.mcle fichier de configuration de sendmail se trouve sous /usr/lib/sendmail-cf/cf, on y trouve un certain nombre de fichier de configuration type avec le préfixe .mc. Le nom du fichier n'a pas d'importance, on l'appele simplement config.mc. Voici son contenu: include(`../m4/cf.m4')dnl OSTYPE(`linux')dnl FEATURE(redirect)dnl FEATURE(nocanonify)dnl FEATURE(always_add_domain)dnl FEATURE(local_procmail)dnl GENERICS_DOMAIN( occgoma. occgomar.fr machine localhost) FEATURE(genericstable) FEATURE(masquerade_envelope)dnl FEATURE(relay_entire_domain)dnl FEATURE(accept_unresolvable_domains)dnl define(`confDOMAIN_NAME',`ppp.fai.fr')dnl define(`SMTP_MAILER_FLAGS',`e9')dnl define(`confCF_VERSION', `Commentaire quelconque qui apparaitre dans l'entete - 25/12/99')dnl define(`confCON_EXPENSIVE', `True')dnl define(`confME_TOO', `True')dnl define(`confCOPY_ERRORS_TO', `Postmaster')dnl define(`confDEF_CHAR_SET', `ISO-8859-1')dnl define(`confMIME_FORMAT_ERRORS', `True')dnl define(`SMART_HOST', `smtp8:[ mail.fai.fr]')dnl define(`confRECEIVED_HEADER', `from fai.fr by fai.fr ($v/$Z)$?r with $r$. id $i$?u for $u; $|; $.$b') define(`confTO_QUEUEWARN', `24h')dnl MAILER(local) MAILER(smtp) Kpirateo hash -o /etc/mail/pirateo LOCAL_RULE_0 R$+ < @ $+ > $* $: < $(pirateo $1 @ $2 $: $) > $1 < @ $2 > $3 R< $+ > $+ < @ $+ > $* $@ $>97 $1 R<> $+ < @ $+ > $* $: $1 < @ $2 > $3 ^^^^^^ tabulation unique à cet endroit, ailleurs un simple espace 9.3 Quelques explicationsSont expliqués en détail, uniquement les lignes supplémentaires. FEATURE(relay_entire_domain) Permet à sendmail d'accepter les mails venants des postes appartenant à notre réseau privé, sans cette ligne tre à l'envoie d'email, on aura sur les PC sous windows un message d'erreur du style "Relaying denied". FEATURE(accept_unresolvable_domains) Sans ce feature si on est off-line, on n'arrivera pas à d'envoyer un mail d'un poste client, par contre dès qu'on passe on-line ce paramètre devient parfaitement inutile. Cependant il est conseillé de garder ce feature pour pouvoir stocker tous les mails dans la file d'attente de sendmail. Kpirateo hash -o /etc/mail/pirateo LOCAL_RULE_0 R$+ < @ $+ > $* $: < $(pirateo $1 @ $2 $: $) > $1 < @ $2 > $3 R< $+ > $+ < @ $+ > $* $@ $>97 $1 R<> $+ < @ $+ > $* $: $1 < @ $2 > $3 CONCLUSIONLes réseaux informatiques constituent une solution viable à court et à long terme. L'architecture de l'entreprise appelle a plus d'interconnexions, a plus de mobilité dans les données et les applications échangées. Il faudrait commencer à adopter ce nouveau mode de travail et a s'y adapter pour être compétitif sur le marché et pour assurer la pérennité de l'entreprise. Notre étude portant sur « L'INPLANTATION D'UN RESEAU HYBRIDE SECURISE AVEC LINUX COMME CONTROLEUR PRINCIPAL DE DOMAINE dans une entreprise public, cas de l'OCC GOMA » est acceptable et praticable comme nous venons de le démontrer dans le travail. De tout ce qui précède, il est difficile de prétendre avoir établi un système parfait de communication et de partage des informations. Toutefois, nous espérons avoir répondu tant soit peu à notre problématique et confirmé nos hypothèses. En effet, nous sommes conscients de ce qu'une conception informatique ne peut être certifiée qu'à l'issue d'un test méticuleux passible de correction et apport nouveau. Loin d'être exhaustive et une solution idéale, cette recherche ouvre une nouvelle voie a nos successeurs. C'est ainsi qu'en vue de consolider et vitaliser davantage cette recherche, nous invitons les futurs chercheurs à s'investir plus dans l'administration de LINUX car y a encore tant des choses a développé avec ce système d'exploitation dans la conception des données réparties et répliquées a travers le réseau informatique de l'OCC/GOMA. BIBLIOGRAPHIE
C. Webographie
fr.wikipedia.org/wiki/Protocole_réseau fr.wikipedia.org/wiki/Réseau informatique TABLE DES MATIERES0. AVANT PROPOS 7 1 INTRODUCTION 8 2 PROBLEMATIQUE 8 3 OBJECTIF DE L'ETUDE : 9
7. METHODES ET TECHNIQUES 11
PREMIERE PARTIE : ETUDE PREALABLE 13 CHAPITRE I. PRESENTATION DU CADRE DE TRAVAIL ET INTERET DU PROJET 13 DEUXIEME PARTIE : CONCEPTS DES RESEAUX INFORMATIQUES 13 CHAPITRE I: GENERALITE DES RESEAUX INFORMATIQUES 13 CHAPITRE II. LA SECURITE DES RESEAUX INFORMATIQUES 13 TROISIEME PARTIE : CONCEPTION ET REALISATION D'UN RESEAU HYBRIDE AVEC LINUX COMME CONTROLEUR PRINCIPAL DE DOMAINE 13 CHAPITRE I. MISE EN OEUVRE D'ARCHITECTURE DES RESEAUX 13 CHAPITRE II. CONFIGURATION DES SERVEURS SOUS LINUX 13 PREMIERE PARTIE : ETUDE PREALABLE 14 CHAPITRE.I. PRESENTATION DU CADRE DE TRAVAIL ET INTERET DU PROJET 14 PRESENTATION DE L'OFFICE CONGOLAIS DE CONTRÔLE 14 I.I.1 HISTORIQUE DE L'OFFICE CONGOLAIS DE CONTRÔLE 14 (CREATION DE L'OCC) 14 I.II. MISSION DE L'OCC 15 I.III. ACTIVITES DE L'OCC 15 A. INSPECTION 16
I.IV. OBJECTIFS PRINCIPAUX DE L'OCC 18 I.V. BREF APERCU SUR LA DIRECTION DU NORD KIVU 19 I.2. STRUCTURE ORGANIQUE ET FONCTIONNELLE DE LA DIRECTION PROVINCIALE DUNORD-KIVU 20 LEGENDE 21 I .2 Aperçu de l'existant 23 1.2.1 Utilisation de SysML pour la modélisation des réseaux 23 3. DIAGRAMMES SYS ML 24 FIGURE 1. DIAGRAMME SYSML D'EXPRESSION DES BESOINS 25 FIGURE 2. DIAGRAMME DE DEFINITION DE BLOC 26 I.2.2 Les Equipements constituants le réseau de l'OCC 27 I.2.3 Topologie du réseau de l'OCC (topologie physique) 28 I.2.4 L'adressage (topologie logique) 28 I.2.5 Les systèmes d'Exploitation utilisés (topologie logique) 28 I.2.6 Les applications (topologie logique) 28 I.2 .7 Analyse et critique des Systèmes de l'OCC 28 Schéma actuelle de la configuration du réseau de l'OCC GOMA 29 DEUXIEME PARTIE : CONCEPTS DES RESEAUX INFORMATIQUES 30 CHAPITRE I: GENERALITE DES RESEAUX INFORMATIQUES 30 I.1 Introduction 30 I.2.2. Bref historique du réseau informatique 31 I.2 L'intérêt des réseaux informatiques 32 I.3 Architecture de référence OSI 33 1.3.1 Présentation du Modèle de référence OSI 34 1.3.2 Avantager du Modèle de référence OSI 35 1.3.3 Les Fonctions des couches du Modèle OSI 36 I.4 Différentes Topologies Logiques 38 I.5 Les différents types de réseaux 39 I.5.1 LAN 39 Histoire 40 Limitations des réseaux locaux 40 Utilitaires 40 I.5.2 MAN 40 Utilisation 41 I.6 INTERCONNECTION DES RESEAUX 41 I.6.1 Définition 41 I.6.2 Avantages 41 I.6.3 Outils 42 Pare-feu applicatif 44 Serveur mandataire (proxy) 45 Segment d'interface 45 Serveur RADIUS 46 Protocole SSL 47 Outils d'analyse de flux 48 Anti-pourriel (spam) 49 Détection d'intrusion 51 Pare-feu personnel 51 Réseau privé virtuel (VPN) 52 Protocole MPLS 52 Protocole IPsec 52 Diode 54 I.6.4 Protocoles 55 CHAPITRE II. LA SECURITE DES RESEAUX INFORMATIQUES 58 II.1 Généralité de la sécurité des réseaux informatiques 58 II.2 Fonction de sécurité 59 II.3 Protection des données et mécanisme de sécurisation des réseaux (hackers, Crackers, virus, droit d'accès, firewall, service d'IP sec, VIP...) 60 CHAPITRE I. MISE EN OEUVRE D'ARCHITECTURE DES RESEAUX 61 II.1 INSTALLATION DE FEDORA 14 i38 62 1.2 Paramétrage des langues 63 1.3 Choix du type d'installation 63 1.4 Partitionnement 64 1.5 Configuration réseau 65 1.7 Installation des programmes 66 1.8 Page d'accueil de l'assistant de première configuration 67 1.10 Réglage de la date et de l'heure 68 1.11 Hardware profile 69 II MANIPULATION DE FEDORA 70 4.1 Attribuez une adresse IP fixe au serveur 71 4.2. Voir la configuration attribue à votre carte réseau 71 4.3 LISTE DES COMPTES UTILISATEUR 71 4.4 LISTE DES GROUPES 73 4.5 ATTRIBUE UN MOT DE PASSE À UN UTILISATEUR 74 4.6 SUPPRIMER UN UTILISATEUR 74 4.7 SUPPRIMER UN GROUPE 74 4.8 Gestion des utilisateurs et des groupes 74
9.1 Fichiers de configuration 90 9.2 Le fichier config.mc 90 9.3 Quelques explications 91 CONCLUSION 92 BIBLIOGRAPHIE 93
C. Webographie 93 TABLE DES MATIERES 94
|
"Ceux qui rêvent de jour ont conscience de bien des choses qui échappent à ceux qui rêvent de nuit" | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
