Memoire Online - Mise en place d'une plateforme sécurisée de centralisation des données de Radio Lomé

Mise en place d'une plateforme sécurisée de centralisation des données de Radio Lomé

DEDICACE

A mon très cher père ASSIH AgouyaToyiet à ma mère WALLA Christine pour les innombrables sacrifices déployés à mon égard dans mon cursus scolaire et universitaire.

REMERCIEMENTS

Ce travail, réalisé dans le cadre de notre fin de formation à l'Ecole Supérieur de Gestion d'Informatique et des Sciences (ESGIS) en vue de l'obtention du Master2, est le fruit du concours de plusieurs personnes. Qu'elles trouvent ici toute notre reconnaissance pour leurs divers apports.

Nous remercions mes parents, mes frères et soeurs, mes ami(e)s pour tous leurs soutiens et leurs encouragements à mon égard.

Nous remercions le Directeur de Radio Lomé M. TAKOU Takouda A. Komlaet tout le personnel de cette institution.

Nous tenons à témoigner toute notre gratitude à MmeKPOWODAN Nicoleet AGBASSA Olivia pour leur soutien inestimable et leur apport dans notre vie.

Nous remercions ici certaines personnes qui ont, de près ou de loin contribué à la réalisation de ce travail. Il s'agit de :

§ M. Marcel MacyAKAKPO, Président Directeur Général du groupe ESGIS et tout son personnel ;

§ Dr DamienZOMAHOUN, Directeur des Etudes de ESGIS Lomé, qui est toujours à l'écoute de ses étudiants ;

§ Tous les enseignants de ESGIS, qui ont participé à notre formation, nous leur présentons nos sincères remerciements ;

§ Nos collègues du Master 2 Système Réseau et Sécurité et tous les autres étudiants d'ESGIS, qu'ils trouvent ici, l'expression de notre profonde gratitude ;

SOMMAIRE

RESUME

Ce travail donne une idée d'ensemble sur les dangers que courent les entreprises qui ne centralisent pas leurs données, n'authentifient pas les utilisateurs sur le réseau, ne sécurisent pas leurs partages de données.Elles sont exposées auxdifférentes attaques, intrusions et inflexibilités dans leurs réseaux.Tous ces problèmes, il s'avère indispensable de renforcer les mesures de sécurités, dans le but de maintenir la confidentialité, l'intégrité et la disponibilité du service.Partant de ce fait, nous avions proposé des solutions de centralisations des données, d'authentification des utilisateurs sur le réseau, et de gestion des droits de ces utilisateurs, sur les données à travers ce document.

ABSTRACT

This work gives a general idea of ??the dangers faced by companies that do not centralize their data, do not authenticate users on the network, do not secure their data sharing. They are exposed to different attacks, intrusions and inflexibilities in their networks. In view of all these problems, it is essential to strengthen the security measures in order to maintain the confidentiality, integrity and availability of the service. From this fact, we proposed data centralization solutions, user authentication on the network, and rights management of these users, on the data through this document.

LISTE DES FIGURES

LISTE DES TABLEAUX

SIGLES ET ABREVIATIONS

AAA	:	Authentication, Authorization, Accounting/Auditing
ACL	:	Access Control List
AD DC	:	Active Directory Domain Controller
C.I.A	:	Confidentiality, Integrity and Availability
CHAP	:	Challenge Handshake Authentication Protocol
CIFS	:	Common Internet File System
DAS	:	Direct Attached Storage
DNS	:	Domain Name System
DRBD	:	Distributed Replicated Block Device
GNU	:	General Public License
GPO	:	Group Policy Object
HTTPS	:	Hyper Text Transfer Protocol Secure
IDS	:	Intrusion Detection System
IEEE	:	Institute of Electrical and Electronics Engineers
IPS	:	Intrusion Prevention System
KDC	:	Key Distribution center
LAN	:	Local Area Network
LDAP	:	Lightweight Directory Access Protocol
NAC	:	Network Access Control
NAS	:	Network Attached Storage
NetBIOS	:	NETwork Basic Input Output System
NTLM	:	New Technology Lan Manager
OSI	:	Open Systems Interconnection
OTP	:	One Time Password
PAP	:	Password Authentication Protocol
PCA	:	Plan de Continuité d'Activité
PRA	:	Plan de Reprise d'Activité
PSSI	:	Politique de Sécurité du Système d'Information
RADUIS	:	Remote Authentication Dial-In User Service
RAID	:	Redundant Array of Independent Disks
RFC	:	Request For Comments
RSAT	:	Remote Server Administration Tools
SAN	:	Storage Area Network
SCADA	:	Supervisory Control And Data Acquisition
SIEM	:	Security Information Event Mangement
SMB	:	Server Message Block
SMSI	:	Système de Gestion de la Sécurité de l'Information
SOC	:	Security Operations Center
SSH	:	Secure Shell
SSL	:	Secure Socket Layer
SSO	:	Single Sign-On
SSSD	:	System Security Services Daemon
TACACS	:	Terminal Access Controller Access-Control System
TCP	:	Transmission Control Protocol
TLS	:	Transport Layer Security
URL	:	Uniform Resource Locator
XML	:	Extensible Markup Language

INTRODUCTION GENERALE

CONTEXE

Il y a de cela quelques années, le monde entier assiste à une évolution croissante de la technologie. Les réseaux et les systèmes d'information sont des outils indispensables au fonctionnement des entreprises. L'informatique s'est alors généralisée etson usage est devenu commun. L'informatique est aujourd'hui déployée dans des domaines aussi critiquescomme la sécurité, la santé ou encore les finances. Les systèmes d'information sont omniprésents pour fournir différents services dans le but de faciliter et de simplifier des tâches qui devraient à l'origine demander plus de temps et d'efforts. Un nombre de plus en plus grand d'entreprises est et sera engagé dans la course à la performance et à l'efficacité, afin de mieux gérer leur énorme flux de données par l'informatisation. Nouspouvons ainsi noter qu'il y a une grande différence entre l'usage des entreprises et celuides individus. En effet, la demande est bien plus forte quand il s'agit des entreprises en termes de ressources. L'application de l'informatique à la gestion des données a envahi la vie professionnelle et ce phénomène ne fait que s'amplifier.

Les entreprises, quel que soit leur mode d'accès (câblé, sans fil), devront alors, en fonction de leurs besoins, accéder à des ressources devant leur permettre d'assumer correctement et efficacement leur mission dans la société. La croissance des entreprises s'accompagne naturellement d'une augmentation du nombre d'utilisateurs du système d'information, connus ou non.Ces utilisateurs ne sont pas forcément pleins de bonnes intentions vis-à-vis de ces réseaux. Ils peuvent exploiter les vulnérabilités des réseaux et systèmes pour essayer d'accéder à des informations sensibles dans le but de les lire, les modifier ou les détruire, pour porter atteinte au bon fonctionnement du système, pour un profit illicite, par ignorance ou encore tout simplement par curiosité.

Dès lors que les réseaux informatiques sont apparus comme des cibles d'attaques potentielles, leur sécurisation est devenue un enjeu incontournable pour les différentes institutions, comme Radio Lomé, une structure de l'Etat togolais qui ne fait pas exception à cette règle surtout avec la mise en place du réseau E-GOUV, une interconnexion par fibre optique entre ministères et organismes para étatiques pour la fourniture de l'internet. Pour faire face à ces attaques, nous avons mené des recherches pour une amélioration de la sécurité du réseau existant de Radio Lomé.

PROBLEMATIQUE

Toute entreprise utilisant l'informatique pour ses activités cherche à sécuriser ses données par tous les moyens dont elle peut disposer. Dans ce sens nous avons une multitude d'entreprises qui produisent des systèmes de centralisation et de sécurisation des données. Pour Albert Einstein^1(*)<<L'homme et sa sécurité doivent constituer la première préoccupation de toute aventure technologique>>. Dans les entreprises, échanger des informations devient une nécessité absolue. Malgré la complexité de la gestion des ressources et de l'administration des réseaux, les besoins se multiplient pour élargir les tâches administratives de chaque entreprise quel que soit sa taille. Cependant la gestion des comptes des utilisateurs est l'une des tâches dévolues aux administrateurs systèmes pourauthentifier les utilisateurs et donner des droits d'accès.

En effet, Radio Lomé n'a aucune visibilité globale de son réseau, il n'existe pas de système de stockage des ressources. Les utilisateurs disposent des accès d'administration sur leur poste de travail, leur permettant ainsi d'installer des applications qui n'ont pas été vérifiées et acceptées par le service des TIC. Elle ne dispose pas d'une centralisation des informations.Tout le réseau est accessible à n'importe quel utilisateur 24/24h,ce qui entraîne le vol, la suppression et le déplacement des fichiers ou dossiers. Il faut noter qu'elle souffre énormément de la mauvaise gestion des ressources : tout le monde a accès aux données à n'importe quel moment.Ceci porte atteinte à la disponibilité, la confidentialité et l'intégrité des données. Avec sa configuration basique, Peer to Peer, elle a du mal à reprendre ses activités après un sinistre ; lorsque le studio d'émission tombe en panne, pour faire un rollback des autres studios, il faut physiquement transporter les PC dans les autres studios pour faire la connexion des équipements. La plupart des entreprises s'investissent beaucoup dans la centralisation et la sécurisation des données tandis qu'un grand nombre ignorent toujours son importance.

Ainsi la sécurité reste le point sensible de toute entreprise et surtout le contrôle de l'accès aux données. Pour pallier à tous ces problèmes nous serons amenés à nous poser les questions suivantes :

§ Comment rendre le service disponible même en cas de défaillance d'un des serveurs principaux ?

Ces inquiétudes et ces questions posées ci-dessus nous ont guidé au cours de nos recherches et nous ont permis de choisir le thème : Mise en place d'une plateforme sécurisée de centralisation des données de Radio Lomé.

BUTS ET OBJECTIFS

Le but de notre travail est de montrer qu'il existe des solutions pour centraliser et authentifier les utilisateurs sur le réseau à travers un document simple et d'amener les entreprises qui disposent encore de la configuration basique, réseaux postes à postes, à migrer vers PC- Serveur, pour bien gérer, administrer et sécuriser leurs réseaux.

Le but principal de ce travail est de mettre en place un contrôleur de domaine et un serveur de fichier avec la solution informatique Samba afin de répondre :

Notre objectif à travers ce document est tout d'abord de permettre aux lecteurs d'avoir une vue globale et précise sur les outils de stockage, d'authentification sur le réseau, de haute disponibilité, de gestion des droits et de continuité des services. Ensuite, pour les entreprises, vu le nombre important d'outils présents sur le marché, nous lesappuieronsà disposerà moindre coûtde ces technologies déployées dans ce document.

DEMARCHE

Notre démarche de rédaction se repose essentiellement sur deux méthodes. Nous avons la synthèse documentaire et l'expérimentation pratique. Dans la synthèse documentaire nous avionsconsulté divers livres dont Gestion de droits d'accès dans des réseaux informatiques^2(*)qui nous a permis de faire une synthèse de l'état de l'art des contrôle d'accès sous Windows et Linux, etl'utilisation des techniques permettant la gestion des droits d'accèsavec leGPO.Nous avons aussi consulté des sites internet tels que https://doc.ubuntu-fr.org, le site officiel de documentation de Ubuntu.Ce site internet nous a permis d'approfondir notre connaissance dans la configuration du système Ubuntu et des technologies liées à ce système. Au cours de cette phase, nous avons fait une collecte d'informations et analysé les travaux et les recherches déjà effectuéssur des sujets similaires. Dans notre travail, nous avons également utilisé la méthode expérimentale.Nous avons donc travaillé dans un environnement de test à partir de VMware Workstation pro. La virtualisation est mieux pour implémenter nos serveurs et des machines Windows.

PLAN DU MEMOIRE

Ce rapport est structuré en trois chapitres. Dans le premier chapitre nous présenterons l'entreprise ainsi que son réseau de communication, l'étude de l'existant, la critique de l'existant et les recommandations.Le deuxième chapitre sera consacré à la recherche et au choix d'une solution. Il s'agit de présenter les différentes solutions disponibles et de motiver le choix de la solution retenue.Le dernier chapitre consistera en la proposition d'une nouvelle architecture et en la mise en place d'une solution de Samba qui nous permettra de créer le domaine, des utilisateurs et de gérer leurs droits d'accès.

CHAPITRE I: PRESENTATION DE RADIO LOME

Introduction

Dans ce chapitre, nous commencerons par une présentation globale du réseau local de Radio Lomé, en décrivant les éléments qui entrent dans l'interconnexion etnous expliquerons comment se fait la transmission des données, puis nous essayerons de voir les points faibles du réseau en vue de faire des suggestions afin d'améliorer la sécurité et de rendre le trafic plus efficace.Enfin nous présenterons l'architecture améliorée du réseau.

I.1 - Situation géographique

La Radio Lomé encore appelée « La station du plaisir » est située dans le quartier administratif de Lomé à côté du stade omnisport et a ouvert ses portes le 13 août 1953.

I.2 -Mission

La Radio Lomé a pour mission principale d'assurer l'administration, la supervision et la coordination de toutes activités de la radio afin d'informer, d'éduquer et de divertir ses auditeurs. Chaine généraliste, Radio Lomé s'occupe de la couverture médiatique de tous les évènements politiques, socioculturels et sportifs sur l'étendue du territoire national et réalise des émissions et des magazines éducatifs.

I.3 - Organisation

La Radio Lomé, dirigée actuellement par Monsieur TAKOU John Abalo est dotée d'une organisation structurée. Elle comprendtreize(13) divisions : Division des affaires administratives, des ressources humaines, du patrimoine et de l'entretien, Division de la Comptabilité et du Budget, de la Publicité, du Marketing et du Partenariat, Division des Actualités, Division des programmes, Division des Etudes et de la Formation, Division des magazines, des enquêtes, et des sports ; Division de la Radio éducative ; Division de la Documentation et des Archives, Division des actualités, de l'Approvisionnement Energie Maintenance, Division de la Haute Fréquence, Division de la Base Fréquence,Division des TIC.

I.3.1 - Division des affaires administratives, des ressources humaines, du patrimoine et de l'entretien

Cette divisionest chargée d'assister la direction dans la gestion des affaires administratives, des ressources humaines, du patrimoine et de l'entretien de l'environnement de tout le service.

I.3.2 - Division de la Comptabilité et du Budget, de la Publicité, du Marketing et du Partenariat

Elle assure la comptabilité générale, élabore le budget, négocie, produit et suit la diffusion des spots publicitaire, fait le marketing de la radio auprès des opérateurs économiques. Elles recherchent et noue des relations de partenariat avec les opérateurs économiques identifiés.

I.3.3 - Division des Actualités

Cette divisiona pour mission principale d'informer quotidiennement les citoyens de l'actualité nationale et internationale. Elle se charge de collecter, mettre en forme et de diffuser les informations à des rendez-vous régulier que sont les flashes, les bulletins et les grandes éditions du journal. Elle diffuse en outre les chroniques et magazines produits par la division des magazines, enquêtes et sports en les annexant aux journaux.

I.3.4 - Division des programmes

Elle planifie les activités de la Radio, élabore quotidiennement les programmes de passage des émissions sur l'antenne.

I.3.5 - Division des Etudes et de la Formation

Elle est charge de concevoir un plan de formation des agents, de définir les besoins selon les niveaux requis pour le personnel des différentes divisions. Elle négocie les bourses de formations auprès de l'Etat et des institutions étrangères et locales.

I.3.6 - Division des magazines, des enquêtes, et des sports

Elle est chargée de tout ce qui entre en jeu avec les sports, enquêtes et magazines. Elle produit des magazines à annexer au journal.

I.3.7 - Division de la Radio éducative

Elle est chargée de présenter des émissions en langue nationales et locales en vue d'informer, d'éduquer et de divertir les auditeurs.

I.3.8 - Division de la Documentation et des Archives

Elle est chargée d'organiser la documentation et les archives de la direction. Toutes les émissions produites par la Radio Lomé sont archivées en vue des besoins du futur et de la sauvegarde de la mémoire de la nation.

I.3.9 - Division de la Production et des Echanges

Elle est la division qui est chargée de rechercher des informations pour les diffuser sur les ondes de Radio Lomé.

I.3.10 - Division de l'Approvisionnement,de l'Energie et de la Maintenance

Cette divisionveille au bon fonctionnement des installations électriques informatique et électronique et s'occupe de leur maintenance. Elle est chargée d'approvisionner Radio Loméen infrastructures.

I.3.11 - Division de la Haute Fréquence

Elle est le centre d'émission des ondes électroniques pour des auditeurs lointains. Elle charge de permettre à la radio de couvrir toute l'étendue du territoire national et même au-delà des frontières.

I.3.12 - Division de la Base Fréquence

Cette divisions'occupe de la production du signal. Elle est chargée et de coordonner et d'assurer la mise en ondes des programmes.

I.3.13 - Division des TIC (Technologies de l'Information et de la Communication) et du site Web de la Radio

Elle est chargé de recueillir les informations et de le mettre sur le site internet de Radio Lomé au www.radiolomé.tg afin d'informer la diaspora.

La figure ci-dessous montre la présentation de la structure de notre entreprise :

I.4 -Etude de l'existant

Le Réseau local étant accessible à plusieurs personnes (Journaliste, Administration, Animateur et Technicien Son), il s'avère essentiel de connaître les ressources de l'entreprise à protéger et ainsi maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information. L'étude du réseau local actuel, l'existant, est une phase importante qui permettra de fairedes recommandations.

I.4.1- Architecturedu réseauexistant

Le réseau informatique est un maillage d'ordinateurs interconnectés dans le but du partage des informations et du matériel redondant. Quel que soit le type de système informatique utilisé au sein d'une entreprise, aujourd'hui il est obligatoire d'interconnecter les équipements informatiques pour constituer un réseau.

La figure 2 nous montre le réseau local de Radio Lomé. Dans son architecture réseau nous avons :

I.4.1.1 - Les PC (Personal Computer)

Les ordinateurs sont des appareils dédiés au traitement de l'information. Leur fonctionnement met en oeuvre trois (03) parties distinctes à savoir la partie matériel ou hardware, le système d'exploitation et les logiciels et programmes dédiés aux applications des utilisateurs. Au service de la radiodiffusion de Lomé, la majorité des machines sont des ordinateurs de type Pentium IV. Cet environnement du hardware se prête à l'installation de Windows XP (version professionnelle) comme système d'exploitation. La capacité des disques durs varie entre 80 Go et 500 Go. La fréquence des processeurs est comprise entre 730 MHz et 2GHZ. Le nombre d'ordinateur connecté au réseau local est de quatorze (14) de marque HP, Packard Bell, Dell.Notons que RL utilise les logiciels d'exploitation comme : Windows 10, Windows 7 Professionnel, Windows XP Professionnel (SP2, SP3) et Windows vista. Elle utilise des logiciels d'applications comme :Microsoft office 2007, Cool Edit Pro 2.1 et Mp3 Tune.

I.4.1.2 - Les Switch

Un switch(commutateur) permet de relier plusieurs segments du réseau et d'acheminer les trames sur le bon segment de destination grâce aux adresses contenues dans les trames. Contrairement au hub qui envoie l'information sur tous les ports le switch l'envoie uniquement à l'adresse du destinataire. Il a donc un analyseur lui permettant d'analyser et de déterminer le bon chemin que doit prendre la trame.Radio Lomédispose de 14 switch de marque TP-LINK de 16 et 8 ports et D-LINK de 24 ports.

I.4.1.3- Les Routeurs

Le routeur autorise l'utilisation de plusieurs classes d'adresses IP au sein d'un même réseau. Il permet ainsi la création de sous-réseaux. Il est utilisé dans les plus grandes installations, où il est nécessaire (notamment pour des raisons de sécurité et de simplicité) de constituer plusieurs sous-réseaux. Lorsque le réseau Internet arrive par câble RJ45, il est nécessaire d'utiliser un routeur pour connecter un sous-réseau (réseau local, LAN) à Internet, car ces deux connexions utilisent des classes. Radio Lomé dispose de 02 routeurs de marque Cisco, ADSL de 04 ports, TP-LINK de 04 ports.

I.4.1.4- La téléphonie

La téléphonie fait partie des outils indispensables dans une entreprise. La ligne téléphonique de Radio Lomé fonctionne en analogique. Il existe un réseau de téléphonie géré par un autocom de marque Panasonic de 32 lignes avec 32 téléphones de marque Panasonic.

I.4.1.5- Système de protection

Radio Lomé, pour lutter contre les virus sur les PC a installé des antivirus tels qu'Avast Internet Security sur chaque poste de travail. Elle dispose aussi pour sa sécurité physique des militaires contre toute menace terroriste ou vol.

I.4.2 - Critique de l'existant

Malgré les mesures de sécurisation prises sur le réseau local de Radio Lomé, il demeure toujours confronté à certains problèmes comme :

I.4.2.1 - Problèmes liés à l'infrastructure

L'infrastructure de Radio Lomé est quasiment vieille, avec une sécurité du câblage inexistant, le service de stockage non protégé.Les applications et les équipements physiques existants sontinappropriés pour une chaine de radiodiffusionnumérique surtout pour éviter les menaces et garantir la continuité du service. Le manque d'un service de stockage, le serveur d'application et le manque d'un service de messagerie professionnelle entrainent des dysfonctionnements, la corruption et traitement illégal de donnéeset une absence de copie de sauvegarde automatique. La disponibilité des moyens de traitement de l'information n'existe pas, fautes de moyens financiers.Notons que nous avons l'absence totale des contrôles d'accès, d'une salle serveur, des caméras de surveillance, d'extincteurs pour une gestion efficace du système d'information. Nous remarquons aussi une absence d'un système d'authentification centralisé afin de protéger les ressources comme les postes de travail et les imprimantes.

I.4.2.2 - Problèmes de sécurité administrative

La politique d'accès aux ressources partagées sur le réseau n'est pas définie. Ainsi, nous remarquons que certaines ressources sont partagées avec un accès de lecture et d'écriture accordé à tout le monde ce qui augmente les risques et pourrait entraver le bon fonctionnement de l'entreprisedans son système d'information pour cause de manque d'une Politique de Sécurité du Système d'Information (PSSI). En effet la direction de la radio ne dispose pas d'un document sur le Plan de Continuité d'Activité (PCA) et d'un Plan de Reprise d'Activité (PRA)qui lui permettent d'anticiper et de reconstruire en cas de sinistre son système d'information. La planification de politique de sauvegarde des données se fait manuellement et parfois même non évolutifs à cause du manque de centralisation des données.

I.4.2.3 - Problèmes liés à la sécurité du périmètre

La mise en place d'un système de Détection et Prévention d'Intrusions entre les deux réseaux (E-Gouv et Réseau local de Radio Lomé) se font désirer afin de détecter et de prévenir des actes malveillants ou anormaux et l'accès facile des informations sur les principaux liens du réseau surtout avec le réseau de E-Gouv.Il n'existe aucune règle de sécurité configurée sur le firewall déjà inexistant, la protection contre les codes malveillants utilisée est périmée d'où toutes les machines connectées sont exposées à toute attaque informatique.

I.4.2.4 - Problèmes liés au SOC (Security Operations Center) et SMSI (Système de Gestion de la Sécurité de l'Information)

La gestion des incidents, des menaces, des vulnérabilités, du réseauest absente d'où le manque de disponibilité du système. La radio ne dispose pas d'un système de suivi de fonctionnement (monitoring) des ressources pour le scan et les correctifs à appliquer au réseau qui devrait être gérer par le service SOC de l'entreprise.

I.4.3- Recommandation

Après ces quelques critiques nous pouvons conclure que nous sommes en face d'un réseau classique qui manque d'administration. Nous devons remédier au :

I.4.3.1 - Propositions pour l'infrastructure

Aujourd'hui, les environnements informatiques sont de plus en plus complexes. Cependant, la fiabilité de votre infrastructure est essentielle afin d'offrir le meilleur niveau de service. Ainsi, nous mettons en place un câblage réseau sécurisé, une salle serveur avec un contrôle d'accès, un système automatisé de protection de cette salle serveur contre les incendies ainsi que des caméras de surveillance. Ensuite mettre en place une protection antivirale centralisée, un serveur d'authentification, de partage de fichier, de stockage, web et d'application pour assurer la disponibilité des informations. Il est vivement conseillé d'avoir un système centralise des mises à jour, de renouveler la licence pour Avast Security pour assurer une protection de toutes les machines.

I.4.3.2 - Propositions pour la sécurité administrative

Pour garantir la disponibilité des ressources nous devons réorganiser notre réseau.Nous proposons les mesures ci-dessous :l'établissement d'une politique de sécurité, l'établissement d'une charte de sécurité, la classification des données, sensibilisation des utilisateurs, définir une politique de sauvegarde.

Etablirun document de politique de sécurité, il s'agit de la sécurité physique qui définit des procédures et des moyens pour protéger les ressources des risques (électriques, incendies. . .) et des accès physiques aux matériels (postes de contrôle, barrières, blindages. . .) ; sécurité administrative qui régit la sécurité organisationnelle et les procédures en vigueur dans l'entreprise ; les politiques de sécurité logique qui font référence aux aspects informatiques et techniques des systèmes et définissent les actions légitimes qu'un utilisateur peut effectuer.

Etablir une charte utilisateurs pour l'exploitation des ressources du système d'informations.

Laclassification des données ;qui dit sécurité des données, dit par le fait même que les données sont classifiables et classifiées en fonction de leur sensibilité et de leur criticité : La sensibilité fait référence au degré de confidentialité des données et au risque de divulgation. Les données sont classées comme publiques, internes, confidentielles ou secrètes.

Mettre en place les contrôles nécessaires pour gérer les identités et les accès aux différents ressources et systèmes.

Enfin aucune sécurité n'est fiable lorsqu'on n'implique pas les utilisateurs dans la politique de sécurité et la formation ou la mise à niveau des responsables techniques sur les différentes technologies implémentées dans la structure.

I.4.3.3 - Propositions pour la sécurité du périmètre

Le développement exponentiel des systèmes d'information, la multiplication des interconnexions, l'évolution des menaces ainsi que l'augmentation des outils et applications utilisées font que la sécurité est un enjeu majeur pour les entreprises. La sécurité doit se faire par application et par utilisateur. En complément, la détection d'intrusion, l'analyse antivirale, le filtrage d'URL ainsi que le filtrage du contenu sont des éléments à ne pas négliger pour maintenir un niveau de sécurité optimal. Pour lutter contre les attaques qui ciblent de plus en plus la sécurité du périmètre informatique des entreprises, nous proposons des solutions de protection de notre réseau :le pare-feu, les IPS et IDS.

Un pare-feu afin de bloquer les accès non autorisés et surveiller tout le trafic et se positionner à l'emplacement le plus efficace pour renforcer la politique de sécurité ;

Un système de prévention des intrusions (IPS) de nouvelle génération qui identifie et bloque les logiciels malveillants sophistiqués sur le réseau et qui intègre en couches plusieurs moteurs de détection, avec ou sans signatures, pour empêcher les logiciels malveillants de mettre à mal le réseau ;

Un système de détection des intrusions (IDS) un mécanisme écoutant le trafic réseau de manière furtive afin de repérer des activités anormales ou suspectes et permettant ainsi d'avoir une action de prévention sur les risques d'intrusion.

I.4.3.4 - Propositions pour le SOC et le SMSI

Surveillez, scannez et monitorez en temps réel votre infrastructure informatique (serveurs, routeur, switch, PC...), notamment en utilisant les journaux d'événements, pour réagir aux événements suspects (connexion d'un utilisateur hors de ses horaires habituels, transfert massif de données vers l'extérieur de l'entreprise, tentatives de connexion sur un compte non actif...).Nous recommandons également la mise en place d'un SOC, le SOC désigne l'équipe en charge d'assurer la sécurité de l'information au travers des outils de supervision réseaux SIEM (Security Information Event Mangement) tel que : SolarWinds, IBM Security QRadar, Fortinet. Les outils SIEM permettront d'anticiper les menaces les résoudre en temps réel, contrôler des accès et identifier ces menaces.Ensuite mettre en place une protection antivirale centralisée, un serveur d'authentification, de partage de fichier, de stockage, web et d'application pour assurer la disponibilité des informations.

I.4.4 - Identification du sujet de l'étude

Radio Lomé est confrontée a beaucoup de problème comme nous l'avons énuméré ci-dessus, mais dans notre travail nous sommes attelés sur le problème de centralisation des données, de l'authentification sur le réseau, la gestion des droits et la continuité de service. Dans le chapitre suivant nous y proposerons des solutions afin de remédier à ces problèmes.

Conclusion

Cette étude du réseau local de Radio Lomé nous a permis de comprendre l'architecture de notre réseau et de matérialiser tout ce qu'on a eu à étudier jusque-là. Grâce à cette étude nous avons pu critiquer cette architecture, et de faire quelques recommandations.

CHAPITRE II : RECHERCHE ET CHOIX D'UNE SOLUTION

Introduction

« Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu^3(*) ». La gestion des authentifications et du stockage sur le réseau est un enjeu à grand échelle pour les entreprises. Notre projet vise à non seulement montrer à toutes les entreprises qu'il existe des services d'authentification et de stockage mais également de leur montrer comment très facilement, les administrateurs peuvent les déployer. Dans ce chapitre nous ferions des recherches sur ces questions suivantes :

§ Comment rendre le service disponible même en cas de défaillance d'un des serveurs principaux ?

II.1 - Etat de l'art sur les solutions d'authentificationet de stockages de données

II.1.1 - Etat de l'art sur les solutions d'authentification

L'authentification pour un système informatique est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité à des ressources du système ( systèmes, réseaux, applications...) conformément au paramétrage du contrôle d'accès . L'authentification permet donc, pour le système, de valider la légitimité de l'accès de l'entité, ensuite le système attribue à cette entité les données d'identité pour cette session (ces attributs sont détenus par le système ou peuvent être fournis par l'entité lors du processus d'authentification). C'est à partir des éléments issus de ces deux processus que l'accès aux ressources du système pourra être paramétré (contrôle d'accès)^4(*).C'est l'administrateur du système d'information qui octroie les droits et paramètresd'accès. L'utilisateur possédant un compte d'accès (identifiant + mot de passe) n'aura accès qu'aux ressources dont il est autorisé à voir.

II.1.1.1 - Méthode d'authentification

Les protocoles d'authentification décrivent les interactions entre la personne qui prouve et la personne qui vérifie les messages permettant de prouver l'identité d'une entité. Il existe plusieurs méthodes d'authentification disponibles aujourd'hui telles que : l'authentification simple, forte et unique.

II.1.1.1.1 - L'authentification simple

L'authentification simple ne repose que sur un seul élément ou « facteur » (en général un facteur mémoriel tel qu'un mot de passe). Une authentification à facteur unique s'appuie sur une seule catégorie d'informations d'identification. La méthode la plus courante consiste à saisir un nom d'utilisateur et un mot de passe (quelque chose que vous connaissez)^5(*).

II.1.1.1.2- L'authentification forte

L'authentification forte se démocratise et se répand dans le monde professionnel comme chez les particuliers. En effet, l'authentification forte est, en sécurité des systèmes d'information, une procédure d'identification qui requiert la concaténation d'au moins deux facteurs d'authentification^6(*). Aussi appelée authentification à deux facteurs, l'authentification forte est une procédure d'identification permettant à un utilisateur d'accéder à ses données personnelles sur un espace en ligne ou encore de confirmer une opération bancaire en ligne. Pour cela, il lui suffit de prouver que vous êtes bien la personne que vous prétendez être. C'est le niveau de sécurité optimal pour les organisations. Le principe d'authentification forte est d'utiliser plusieurs facteurs de nature distincte afin de rendre la tâche plus compliquée à un éventuel attaquant^7(*). Pour être authentifié l'utilisateur doit à la fois faire preuve d'une connaissance comme un mot de passe et d'une possession comme une carte d'accès.

On dénombre trois (03) familles technologiques pour l'authentification forte à savoir :l'OTP, le certificat numérique et la biométrie.

II.1.1.1.2.1 - One Time Password (OTP) / mot de passe à usage unique (exemple : RSA SecurID)8(*)

De nombreux systèmes informatiques se basent sur une authentification faible de type login/mot de passe. Ce type d'authentification a de nombreuses contraintes tel, un mot de passe choisi par l'utilisateur qui est souvent simple à retenir. Il peut donc être attaqué par un dictionnaire.

Cette technologie permet de s'authentifier avec un mot de passe à usage unique. Les mots de passe à usage unique (One Time Password en anglais) sont un système d'authentification forte basé sur le principe de challenge/réponse. Le concept est simple, utiliser un mot de passe pour une et une seule session. De plus, le mot de passe n'est plus choisi par l'utilisateur mais généré automatiquement par une méthode de pré calculé (c'est à dire que l'on pré calcule un certain nombre de mot de passe qui seront utilisés ultérieurement).

II.1.1.1.2.2. - Certificat numérique9(*)

L'authentification est le processus de confirmation d'une identité. Dans le contexte d'interaction entre les réseaux, l'authentification comporte l'identification confiante d'une partie par une autre. L'authentification sur les réseaux peut avoir plusieurs formes.

Il est utilisé principalement pour identifier et authentifier une personne physique ou morale, mais aussi pour chiffrer des échanges^10(*). Un certificat numérique pourrait se définir comme étant un document électronique utilisé pour identifier un individu, un serveur, une entreprise ou toute autre entité pouvant associer une clef publique à cette identité.

II.1.1.1.2.3. - Biométrie11(*)

La biométrie est fondée sur la reconnaissance d'une caractéristique ou d'un comportement unique. Elle désigne l'ensemble des procédés de reconnaissance, d'authentification et d'identification d'une personne par certaines de ses caractéristiques physiques ou comportementales.

L'authentification biométrique fait appel aux caractéristiques biologiques uniques d'un individu pour vérifier son identité et garantir son accès sécurisé à un système électronique.Elle permet de vérifier que l'usager est bien la personne qu'il prétend être.

L'authentification forte consiste à mixer différentes stratégies d'authentification. Son utilisation garantit une protection accrue contre les risques d'usurpation d'identité. L'authentification à deux facteurs est un élément incontournable des programmes de sécurité informatique de toute entreprise moderne, même si elle reste encore complexe et difficile à comprendre et à mettre en oeuvre pour gérer.

II.1.1.1.3 - L'authentification unique ou identification unique

En anglais Single Sign-On ou SSO, l'authentification unique est une méthode permettant à un utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieurs applications informatiques (ou sites internet sécurisés). L'objectifest multiple^12(*)et permet de simplifier pour l'utilisateur la gestion de ses mots de passe ; plus l'utilisateur doit gérer de mots de passe, plus il aura tendance à utiliser des mots de passe similaires ou simples à mémoriser, abaissant par la même occasion le niveau de sécurité que ces mots de passe offrent face aux risques de piratage.

II.1.1.2 - Les protocoles d'authentification

De nombreux protocoles d'authentification requièrent une identification de l'équipement avant d'accorder des droits d'accès. De façon appliquée, voici quelques exemples de protocoles d'authentification tels que : SSL, TLS, NTLM, KERBEROS, CAS, RADUIS, CHAP, PAP, SECURID, TACACS.

II.1.1.2.1 - SSL (Secure Socket Layer)

Développé par Netscape Communications Corporation, SSL (Secure Socket Layer) est le protocole de sécurité le plus répandu qui créé un canal sécurisé entre deux machines communiquant sur Internet ou un réseau interne. Dans notre société centrée sur un Internet vulnérable, le SSL est généralement utilisé lorsqu'un navigateur doit se connecter de manière sécurisée à un serveur web. C'est le cas des navigateurs ou par exemple les utilisateurs sont avertis de la présence de la sécurité SSL grâce à l'affichage d'un cadenas et du protocole « https » dans l'url, et, aussi le cas du SSL à validation étendue, par la barre d'adresse verte. La clé du succès du SSL est donc son incroyable simplicité pour l'utilisateur final^13(*).

II.1.1.2.2 - TLS (Transport Layer Security)

Le TLS^14(*), est un protocole de sécurité largement adopté conçu pour faciliter la confidentialité et la sécurité des données pour les communications via Internet. Un cas d'utilisation principal de TLS est le cryptage de la communication entre les applications Web et les serveurs, tels que les navigateurs Web chargeant un site Web. TLS peut également être utilisé pour chiffrer d'autres communications telles que les courriers électroniques, la messagerie et la voix sur IP (VOIP).

II.1.1.2.3 - NTLM (NT Lan Manager) 15(*)

Le NTLM est une méthode d'authentification utilisée dans un réseau Microsoft Active Directory propriétaire Microsoft. Le NT Lan Manager est un protocole d'identification utilisé dans diverses implémentations des protocoles réseau Microsoft et pris en charge par le « NTLMSSP » (Fournisseur de support de sécurité NT LM). À l'origine utilisé pour une authentification et une négociation sécurisée, NTLM est aussi utilisé partout dans les systèmes de Microsoft comme un mécanisme d'authentification unique (single sign-on).

II.1.1.2.4 - Kerberos (standard utilisé par Windows et bien d'autres systèmes)

Mis au point dans les années 1990, Kerberos a été créé par Massachusetts Institute of Technology (MIT) pour résoudre ces problèmes de sécurité réseau. Il s'agit d'un protocole d'authentification AAA (Authentication Authorization Accounting) issu du projet « Athena ». Le protocole Kerberos a été normalisé dans sa version 5 par l'IETF dans les RFC 1510 (en septembre 1993) et RFC 1964 (juin 1996)^16(*) . Il est maintenant très largement déployé et est disponible dans tous les environnements (Linux, Windows, Mac OS...).Kerberos utilise un système de chiffrement symétrique pour assurer un dialogue sécurisé entre deux protagonistes. Les dialogues s'opèrent en utilisant une clé secrète et partagée. Les algorithmes de chiffrement sont publics (AES, DES, 3DES...), toute la sécurité du système repose sur la confidentialité de la clef de chiffrement.

Il est conçu pour fournir une authentification forte aux applications client / serveur en utilisant une cryptographie à clé secrète.

II.1.1.2.5 -Le Central Authentication Service (CAS) : Mécanisme d'authentification et de SSO17(*)

Le Central Authentication Service (CAS) est un système d'authentification unique (SSO) pour le web développé par Shawn Bayern de l'Université Yale. CAS est essentiellement un protocole basé sur des requêtes HTTP pures. Certains messages sont cependant formatés en XML.Ce protocole est basé sur une notion d'échange de tickets, un peu à la manière de Kerberos.

II.1.1.2.6 - RADIUS

Le protocole RADIUS (Remote Authentication Dial-In User Service) a été développé à l'origine par Steve Willens pour la société Livingston Enterprises comme un serveur d'authentification et d'accounting. Bien qu'il soit un protocole d'authentification, d'accounting mais pas d'autorisation, le protocole RADIUS fait pourtant parti de la famille des protocoles AAA. Devenu depuis la propriété de Lucent Technologie, il appartient maintenant au domaine public et a été amendé par plusieurs RFC^18(*) consécutives. La première normalisation a été celle énoncée par la RFC 2058 en 1997, elle fut modifiée dans la RFC 2138 et la version actuelle est la RFC 2868.

II.1.1.2.7 - CHAP (Challenge Handshake Authentication Protocol)19(*)

Il s'agit d'une procédure qui est plus sécurisée puisqu'elle permet de se connecter à un système. La particularité de ce protocole c'est qu'il fonctionne en mode défi-réponse, en d'autres termes, après que le lien ait été fait, le serveur transmet un message à celui qui tente de se connecter. Le demandeur répond par la suite en utilisant une valeur obtenue à l'aide d'une fonction à sens unique de données parasites. Le serveur gère la réponse et la compare en calculant la valeur prévue des mêmes informations. Dans le cas où les valeurs sont compatibles, l'authentification sera reconnue et la connexion est autorisée. Les identificateurs de CHAP sont régulièrement modifiés et l'authentification peut être demandée par le serveur plusieurs fois.

II.1.1.2.8 - PAP (Password Authentication Protocol)

PAP est un protocole bidirectionnel simultané pour les paquets de transfert entre les parties dans un réseau. Le protocole PAP^20(*) comprend l'ordonnançant de données, le contrôle d'écoulement, la responsabilité, la détection et la reprise d'erreur.

Il est un procédé employé par des serveurs de PPP (Point à Point) pour valider une demande de connexion. Le PAP fonctionne comme suit :

Après que le lien soit établi, le demandeur envoie un mot de passe et une identification au serveur. Le serveur valide la demande et renvoie un accusé de réception, termine la connexion, ou offre au demandeur une autre chance. Des mots de passe sont envoyés sans sécurité et le créateur peut faire des tentatives répétées d'accès. Pour ces raisons, un serveur qui comprend le CHAP offrira d'utiliser ce protocole avant d'utiliser le PAP.

II.1.1.2.9 - SecurID21(*)

SecurID permet, en une seule étape, d'identifier avec certitude les utilisateurs du système et du réseau afin d'interdire tout accès illicite. Utilisé avec des modules de contrôle d'accès (ACM) logiciels ou matériels dédiés, SecurID génère un nouveau code d'accès imprévisible toutes les soixante secondes.

· Procédure aisée en une seule étape, garantissant l'authentification certaine des utilisateurs ;

· Génération de codes d'accès à usage unique, imprévisibles et renouvelés automatiquement toutes les soixante secondes.

II.1.1.2.10 - TACACS

Le Terminal Access Controller Access-Control System (TACACS) est un protocole d'authentification distant créé en 1984 est utilisé pour communiquer avec un serveur d'authentification, généralement exploité dans des réseaux UNIX. TACACS permet à un serveur d'accès distant de communiquer avec un serveur d'authentification dans l'objectif de déterminer si l'utilisateur a le droit d'accéder au réseau.

II.1.2 - Etat de l'art sur les solutions de stockages de données

Le stockage d'information n'a cessé d'évoluer dans le temps et de l'histoire des innovations technologiques. Au niveau des entreprises on constate un accroissement toujours plus important de la densité d'information. Aussi les Directions des Systèmes d'Informations doivent-elles faire face à de nouvelles problématiques et repenser leur stockage en intégrant des impératifs de sécurité et de disponibilité des données.

II.1.2.1- Les différents supports de données informatiques22(*)

Les supports numériques destinés à enregistrer vos données sont multiples et la technologie évolue rapidement et tous dépend des besoins de l'entreprise. Nous distinguons une première, deuxième, troisième, quatrième et une cinquième génération.

II.1.2.1.1- La première génération

II.1.2.1.2 -La deuxième génération

Elle comprend les supports magnétiques, comme la bande magnétique, sa petite soeur la cassette, le disque dur et la disquette. Les bandes magnétiques ne sont plus utilisées que pour la sauvegarde ou l'archivage des données. Elles restent néanmoins un support privilégié de sauvegarde et d'archivage des données en raison de leur très grande capacité, de leur faible coût et de leur facilité de transport. Ainsi, en 2008, les bandes ou cartouches accueillent plus de 200 giga-octets et plusieurs téraoctets en 2016. Avec l'arrivée des clés USB, entre autre, les disquettes voient leur production s'arrêter en 2010 après presque un demi-siècle d'exploitation.

II.1.2.1.3 - La troisième génération

Ce sont les DVD (DVD-Rom et DVD-RW) ou les Blu-ray. Certains parlent de la mémoire du réseau Internet, car une information publiée sur Internet y reste sans qu'il soit aisé de la contrôler (la modifier, la supprimer, restreindre ou publier son accès).

II.1.2.1.4 - La quatrième génération

Il s'agit de : Clé USB, carte SD et Carte microSD.Mis à part le disque dur et la bande magnétique, les supports de première et deuxième génération ne sont pratiquement plus utilisés aujourd'hui.

II.1.2.1.5 - La cinquième génération

Le stockage en ligne s'est développé depuis de nombreuses années. Désormais, une multitude de solutions existent afin de libérer son espace sur son disque dur à des prix très compétitifs mais à condition de disposer d'une connexion à internet rapide et fiable. Il existe une multitude de solutions dont les différentes variantes peuvent parfois porter à confusion. On retrouve notamment le stockage sur le « Cloud », la sauvegarde en ligne, le Cold Storage ou encore le stockage dans ce qu'on appelle le Vault (coffre-fort).

II.1.2.2 -Les types et performances de disque23(*)

Il existe différents types de disque que vous pouvez utiliser pour fournir un espace de stockage aux systèmes serveur et client. La vitesse des disques est mesurée en entrées/sorties par seconde. Les types de disque les plus courants sont les suivants : IDE, SATA, SCSI, SAS, SSD.

II.1.2.2.1 -Les disques IDE (IntegratedDrive Electronics)

Le IDE est une interface très rependue dans le domaine de stockage informatique. Les lecteurs IDE améliorés ne sont presque plus utilisés sur des serveurs.

II.1.2.2.2 - Disques SATA(Serial Advanced Technology Attachment)

Le SATA est une interface de bus d'ordinateur, ou un canal, permettant de connecter les cartes de carte mère ou de périphérique à des périphériques de stockage de masse tels que les lecteurs de disque dur et les lecteurs de disque optique. La norme SATA a été conçue pour remplacer la norme IDE amélioré. La norme SATA a été introduite en 2003. Les disques SATA sont généralement des disques peu coûteux qui permettent un stockage de masse.

II.1.2.2.3 - Le SCSI (Small Computer System Interface)

Le SCSI est un ensemble de normes permettant de connecter et de transférer physiquement des données entre des ordinateurs et des périphériques. Les disques SCSI offrent des performances plus élevées que celles des disques SATA, mais ils sont également plus chers.

II.1.2.2.4 -Le SAS (Serila Attached SCSI)

Il offre une compatibilité descendante avec les lecteurs SATA de seconde génération. Les lecteurs SAS sont fiables et conçus pour fonctionner 24 heures sur 24, 7 jours sur 7 dans des centres de données. Avec jusqu'à 15 000 tours/minute, ces disques sont également les disques durs classiques les plus rapides.

II.1.2.2.5 -Les disques SSD (Solid State Drives)

Les disques SSD sont des dispositifs de stockage de données qui utilisent une mémoire à semi-conducteurs pour enregistrer les données plutôt que d'utiliser les disques à rotation et à têtes de lecture-écriture mobiles sont utilisés dans d'autres unités mémoires. Les disques SSD utilisent des microprocesseurs pour stocker les données et ils ne contiennent aucune pièce mobile. Ils permettent un accès disque rapide, consomment moins d'énergie et sont moins susceptibles d'avoir des défaillances lorsqu'ils tombent contrairement aux disques durs traditionnels (tels que les lecteurs SAS). Ils sont également beaucoup plus coûteux par Go de stockage.

II.1.2.3 - Les différents types de stockages

II.1.2.3.1 - Le stockage DAS

Presque tous les serveurs comportent un système de stockage intégré. Ce type de stockage est appelé stockage à connexion directe (DAS, Direct Attached Storage). Les systèmes de stockage DAS peuvent comprendre des disques qui se trouvent physiquement à l'intérieur du serveur ou qui se connectent directement à un tableau externe, ou encore des disques qui se connectent au serveur à l'aide d'un câble USB ou d'une autre méthodologie de communication. Le stockage DAS est principalement connecté physiquement au serveur. Pour cette raison, si le serveur subit une panne d'alimentation, le stockage n'est pas disponible. Le stockage DAS se présentent sous différents types de disque tels que les disques SATA, SAS ou SSD, qui affectent la vitesse et les performances du stockage, et présente à la fois des avantages et des inconvénients.

II.1.2.3.1.1 - Avantages de l'utilisation d'un stockage DAS

Un type de système DAS se compose d'un dispositif de stockage de données comprenant plusieurs lecteurs de disque dur qui se connectent directement à un ordinateur par le biais d'un adaptateur de bus hôte. Entre le système DAS et l'ordinateur, il n'y a aucun périphérique réseau tel qu'un concentrateur, un commutateur ou un routeur. À la place, le stockage est connecté directement au serveur qui l'utilise.Ceci fait de DAS le système de stockage le plus facile à déployer et à gérer.

De plus, à l'heure actuelle, le système DAS constitue généralement le stockage le moins coûteux et il est largement disponible en différentes vitesses et tailles de manière à s'adapter à diverses installations. Outre son coût peu élevé, il est très facile à configurer.

II.1.2.3.1.2 - Inconvénients de l'utilisation d'un stockage DAS

L'enregistrement de données en local sur un système DAS rend la centralisation des données plus difficile, car celle-ci se trouvent sur plusieurs serveurs. Cela peut rendre plus complexe la sauvegarde des données et, pour les utilisateurs, la localisation des données qu'ils recherchent. En outre, si l'un des périphériques auxquels le système DAS est connecté subit une panne de courant, le stockage sur cet ordinateur n'est plus disponible.

Le système DAS présente également des inconvénients en matière de méthodologie d'accès. En raison de la façon dont le système d'exploitation du serveur gère les accès en lecture et en écriture, le système DAS peut être plus lent que d'autres technologies de stockage. Un autre inconvénient réside dans le fait que le système DAS partage la puissance de traitement et la mémoire du serveur auquel il est connecté. Ceci signifie que sur les serveurs très occupés, l'accès disque peut être plus lent lorsque le système d'exploitation est surchargé.

II.1.2.3.2 - Le stockage NAS (Network Attached Storage)

Un stockage NAS est un stockage connecté à un périphérique de stockage dédié et accessible par le biais du réseau. Un stockage NAS diffère d'un stockage DAS dans la mesure où le stockage n'est pas directement connecté à chaque serveur individuel mais qu'il est accessible à de nombreux serveurs par le biais du réseau. Le système NAS comporte deux solutions distinctes : un dispositif bas de gamme (NAS uniquement) et un système NAS d'entreprise qui s'intègre à SAN.

Chaque périphérique NAS dispose d'un système d'exploitation dédié qui contrôle uniquement l'accès aux données sur ce périphérique, ce qui réduit la charge système associée au partage du périphérique de stockage avec d'autres services de serveur. Un exemple de logiciel NAS est Windows Storage Server, une fonctionnalité de Windows Server 2012.

II.1.2.3.2.1 - Avantages de l'utilisation d'un stockage NAS

Le stockage NAS est le choix idéal pour les organisations qui recherchent une manière simple et rentable de permettre à plusieurs clients d'accéder rapidement à des données au niveau des fichiers. Les utilisateurs du stockage NAS obtiennent des gains en matière de performance et de productivité, car la puissance de traitement du périphérique NAS est uniquement dédiée à la distribution des fichiers.

Les systèmes de stockage NAS, en tant que solutions de moyenne de gamme, sont également bien positionnés sur le marché. Ils ne sont pas coûteux et répondent à davantage de besoins que les systèmes de stockage DAS de différentes façons : le stockage NAS est habituellement beaucoup plusexploité que le stockage DAS.Le stockage NAS fournit un emplacement unique pour tous les fichiers critiques, contrairement au stockage DAS qui les disperse sur différents serveurs ou périphériques.

II.1.2.3.2.2 - Inconvénients de l'utilisation d'un stockage NAS

Le stockage NAS est plus lent que les technologies SAN. Il est fréquemment accessible par le biais de protocole Ethernet. Pour cette raison, il repose principalement sur le réseau prenant en charge la solution NAS. Il est donc généralement utilisé comme solution de partage/stockage de fichiers et ne doit pas être utilisé avec des applications nécessitant de nombreuses données telles que Microsoft Exchange Server et Microsoft SQL Server.

II.1.2.3.3 - Le stockage SAN(Storage Area Network)

Les réseaux SAN constituent le troisième type de stockage. Un réseau SAN est un réseau à haut débit qui connecte des systèmes informatiques ou des serveurs hôtes à des sous-systèmes de stockage hautes performances. Un réseau SAN comprend habituellement divers composants tels que des adaptateurs de bus hôte, des commutateurs spéciaux pour aider à router le trafic, et des baies de disques de stockage avec des numéros d'unité logique pour le stockage.

Un réseau SAN permet à plusieurs serveurs d'accéder à un pool du stockage dans lequel n'importe quel serveur peut potentiellement accéder à n'importe quelle unité de stockage. Un réseau SAN utilise un réseau comme n'importe quel autre réseau, tel qu'un réseau local (LAN). Vous pouvez donc utiliser un réseau SAN pour connecter de nombreux périphériques et hôtes différents et avoir accès à n'importe quel périphérique de n'importe où.

II.1.2.3.3.1 - Avantages de l'utilisation d'un stockage SAN

Centralisation du stockage dans un pool unique, qui permet à des ressources de stockage et à des ressources de serveur de se développer de manière indépendante. Ils permettent également au stockage d'être affecté dynamiquement à partir du pool lorsque cela est nécessaire.

Infrastructure courante pour connecter le stockage, laquelle active un modèle de gestion courant unique pour la configuration et le déploiement.

Dispositifs de stockage partagé de manière inhérente par plusieurs systèmes, transfert de données directement de périphérique à périphérique sans intervention de serveur.

La plupart des solutions SAN sont déployées avec plusieurs périphériques et chemins d'accès réseau via le réseau. Le dispositif de stockage contient également des composants redondants tels que des sources d'alimentation et des disques durs.

II.1.2.3.3.2 - Inconvénients de l'utilisation d'un stockage SAN

L'inconvénient majeur de la technologie SAN réside dans la complexité de la configuration.Les réseaux SAN nécessitant souvent des outils de gestion et un bon niveau d'expertise. En outre, cette solution est considérablement plus coûteuse que les solutions DAS ou NAS. Une solution SAN peut souvent coûter aussi cher qu'un serveur entièrement chargé avec un périphérique DAS ou NAS, et cela sans aucune configuration ou aucun disque SAN.

Pour gérer un réseau SAN, il faut souvent des outils de ligne de commande. Il faut avoir une solide compréhension de la technologie sous-jacente, y compris la configuration du numéro d'unité logique, du réseau Fibre Channel, du dimensionnement des blocs et d'autres facteurs. En outre, chaque fournisseur de stockage implémente souvent les solutions SAN en utilisant des fonctionnalités et des outils différents. Pour cette raison, les organisations disposent fréquemment d'un personnel entièrement dédié à la gestion du déploiement SAN.

II.2 - Les solutions ou technologies possiblesde contrôle des droits d'accès

Elles aident les entreprises à mettre en oeuvre les politiques de contrôle des périphériques et de l'accès des utilisateurs à leurs réseaux. Le contrôle d'accès peut définir des stratégies pour un accès basé sur des ressources, des rôles, des périphériques et des emplacements, et imposer la conformité de la sécurité avec des stratégies de sécurité et de gestion des correctifs, parmi d'autres contrôles. Il existe diverses applications pour la gestion des droits d'accès dans le monde. Bon nombre d'entre elles sont assignées à un environnement spécifique, et n'ont pas toujours les mêmes niveaux de tâche dépendamment de la fonction majeure que ces outils sont appelés à exercer.

Ci-dessous, une étude des solutions NAC, les plus présentes sur le marché^24(*).

II.2.1-La solution Impulse SafeConnect

Impulse a été fondée en 2004 pour s'adresser au secteur de l'enseignement supérieur. Depuis lors, il s'est étendu à d'autres domaines, en se concentrant sur l'identification et la sécurité des périphériques fonctionnant sur des réseaux. Impulse à son siège à Tampa, en Floride, et est une société privée.Impulse SafeConnect identifie automatiquement tous les périphériques cherchant à accéder au réseau. Il accorde automatiquement l'accès à ces périphériques en fonction de stratégies créées autour d'attributs tels que le type de périphérique, l'utilisateur / le rôle, l'emplacement, l'heure, la propriété et la conformité à la sécurité. Il évalue et applique les périphériques en temps réel pour s'assurer qu'ils respectent les règles d'utilisation acceptables (définies par le client) en matière de conformité de sécurité. Si un périphérique s'avère en infraction, les options incluent un rapport d'audit qui est envoyé au service informatique et un avertissement ou la mise en quarantaine du périphérique s'en suit avec des étapes d'auto-correction. La société a de nombreux partenaires d'intégration réseau, ce qui permet de déployer SafeConnect de manière centralisée dans des environnements de couche 2 ou 3.

II.2.2 - La solution Extreme Networks ExtremeControl

Extreme Networks ExtremeControl Connect est une solution de contrôle d'accès complète, pré-connectée et post-connectée, inter-opérable et inter-exploitable, multi-fournisseurs, destinée aux utilisateurs de réseaux filaires et sans fil et de réseaux privés virtuels. Extreme Networks a été fondée en 1996. Basée à San Jose, en Californie, elle conçoit, construit et installe des solutions de réseaux pilotés par logiciel. Il sert aux clients dans plus de 80 pays. Au cours des dernières années, il a acquis d'autres sociétés de sécurité et de mise en réseau, parmi lesquelles Enterasys Networks^25(*).ExtremeControl unifie la sécurité des réseaux filaires et sans fil, offrant visibilité et contrôle sur les utilisateurs, les périphériques et les applications. Il permet des contrôles de stratégie granulaires pour aider les utilisateurs à se conformer aux stratégies et aux obligations de conformité dans des environnements de points de terminaisons hétérogènes.

II.2.3 - La solution Auconet BICS

Auconet a été fondée en 1998 en tant qu'intégrateur de systèmes, aidant les entreprises à surveiller, gérer et entretenir de grands réseaux informatiques. L'entreprise a lancé sa plateforme BICS (Business Infrastructure Control Solution) en 2005, ciblant des réseaux informatiques hétérogènes et à grande échelle. En 2008, Auconet a étendu BICS pour surveiller et gérer les réseaux SCADA (supervision et contrôle d'acquisition de données). Auconet BICS fournit le NAC ainsi que des fonctions de surveillance du réseau, de gestion des actifs.

II.2.4 - La solution ForeScout CounterACT

Forescout CounterACT est une solution de sécurité physique ou virtuelle qui identifie et évalue de manière dynamique les appareils et les applications dès leur connexion à votre réseau^26(*). En 2000, ForeScout est entré sur le marché de la sécurité en tant que lecteur NAC. Depuis lors, il a élargi son offre afin de protéger les organisations contre les menaces liées à l'Internet des objets. C'est une société privée avec des investissements de plusieurs sociétés de capital-risque. Elle emploie plus de 700 personnes et est basé à San Jose, en Californie.ForeScout permet aux organisations de limiter l'accès au besoin, d'automatiser l'intégration des invités, de rechercher et de corriger les failles de sécurité des points finaux et de maintenir et d'améliorer la conformité. La technologie s'intègre à toutes les infrastructures de réseaux majeures et peut s'adapter aux besoins de ses clients.

II.2.5 - La solution FortiNAC

Le siège social de Fortinet est situé à Sunnyvale, en Californie, et compte des bureaux dans le monde entier. Fondé en 2000, le produit phare de Fortinet est le pare-feu d'entreprise FortiGate. La société a acquis Bradford Networks et son produit Network Sentry NAC en 2018.FortiNAC fournit la visibilité réseau pour voir tout ce qui est connecté au réseau, ainsi que la possibilité de contrôler ces appareils et ces utilisateurs, y compris les réponses dynamiques et automatisées. Il fournit également une segmentation du réseau et des réponses automatisées pour la sécurité IoT. FortiNAC fournit le profilage de chaque périphérique sur le réseau et permet une segmentation réseau granulaire et des réponses automatisées aux modifications de l'état ou du comportement du périphérique. De plus, FortiNAC peut appliquer les règles de l'entreprise concernant la correction du périphérique et la version du micrologiciel. FortiNAC est intégré à FortiGate et à d'autres produits de la société.FortiNAC offre une visibilité sur le réseau pour identifier tout ce qui y est connecté, avec notamment la possibilité de contrôler ces dispositifs et les utilisateurs, et d'intervenir de manière automatisée en temps-réel.

II.2.6 - La solution Cisco Identity Services Engine

Cisco a commencé comme géant des réseaux il y a plusieurs décennies, puis est devenu un acteur majeur du stockage avant de se lancer dans d'autres domaines de l'informatique, y compris la sécurité. Le moteur Cisco Identity Services Engine (ISE) aide le service informatique à prendre conscience de tout ce qui encombre votre réseau, offre une visibilité détaillée de chaque point d'accès, contrôle l'accès à partir d'un emplacement (connexions filaires, sans fil et VPN) et définit les règles.Il est particulièrement fort dans le secteur bancaire, financier, gouvernemental, de la santé, de l'éducation, de la vente au détail et de la fabrication.

II.2.7 -La solution Microsoft Active Directory27(*)

Active Directory fut présentée en 1996, elle a été utilisée par Windows 2000 server en 1999. Elle fut mise à jour dans Windows 2003 server pour augmenter ses fonctionnalités et améliorer son administration. Il est fonctionnel sous Windows 2008 server avec des fonctionnalités améliorées que les versions précédentes. Active Directory est un outil destiné aux utilisateurs mais dans la mesure où il permet une représentation de l'ensemble des ressources et des droits associés. Il constitue également un outil d'administration et de gestion du réseau et de fournir à ce titre des outils permettant de gérer la répartition de l'annuaire sur le réseau, la duplication, la sécurisation et le partitionnement de l'annuaire de l'entreprise. Il permet de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows. Il gère lesaccès pour les utilisateurs et les applications aux informations concernant des objets. Ces dernières sont stockées sous forme de valeurs d'attributs. On peut rechercher des objets selon leur classe d'objet, leurs attributs, leurs valeurs d'attributs et leurs emplacements au sein de la structure Active directory ou selon toutes combinaisons de ces valeurs.

II.2.8 - La solution Samba AD DC

Samba est un logiciel libre qui permet de connecter à un Serveur Linux, des machines fonctionnant sous différents systèmes tels que Windows, OS/2, Mac, ... La version 4 de Samba apporte des nouveautés majeures parmi lesquelles, le support des protocoles d'authentification, un environnement Active Directory, un serveur LDAP, et un centre de distribution de clés Kerberos. Le serveur Linux sera en mesure de répondre entant qu'un serveur de fichiers capables d'offrir les services habituels sur un réseau. Samba fonctionne sur les plates-formes Unix, mais parle à des clients Windows comme un indigène. Il permet à un système Unix de se déplacer dans un voisinage réseau de Windows sans causer des difficultés. Les utilisateurs Windows peuvent joyeusement accéder aux fichiers et services d'impression sans connaître ou prendre soin que ces un hôte Unix.Samba est un ensemble d'outils qui permet l'interconnexion de systèmes hétérogènes en implémentant des protocoles réseaux issus du monde propriétaire tels que NETBIOS et SMB/CIFS. La majeure partie, des utilisateurs exploitent Samba pour interconnecter une machine Unix à une machine Windows ou contrôler un domaine.Samba peut implémenter la sécurité au niveau de chaque utilisateur et même avoir un rôle AD DC (Active Directory Domain Controller).

Ci-dessous un tableau récapitulatif des caractéristiques de toutes les solutions que nous avons étudiées dans notre document.

II.3 - Les solutions ou technologies possiblesde stockagecentralisé et sécurisé

Les entreprises produisent et consomment toujours plus de données. De fait, si la gestion de ces données est devenue hautement stratégique, elle n'en demeure pas moins de plus en plus complexe. Aussi les Directions des Systèmes d'Information doivent-elles faire face à de nouvelles problématiques et repenser leur stockage en intégrant notamment des impératifs de sécurité et de disponibilité des données.

Il est important d'adapter les solutions de sauvegarde aux besoins de votre entreprise. Le choix est souvent lié au volume d'informations à sauvegarder, et donc à la taille du réseau d'entreprise.

II.3.1- La solution de sauvegardes

Nous avions plusieurs possibilités selon les systèmes utilisés : backup complet (ensemble des fichiers d'un disque dur sauvegardé), incrémentaux (sauvegarde des fichiers modifiés depuis le dernier backup) et différentiels (copie tous les fichiers depuis le dernier backup complet ou incrémental)

II.3.1.1 -Les supports locaux de sauvegarde

Si cette solution de backup est la moins onéreuse, elle n'est cependant vraiment efficace qu'en cas de panne du disque dur source ou de suppression accidentelle. La sauvegarde en local peut se faire sur les supports suivants :

· Le disque interne : dossier local, un autre disque dur du même ordinateur,

· Les périphériques de stockages : clé USB, disque dur externe, CD, DVD,

· Le serveur dédié : sauvegarde sur un serveur dédié, connecté au réseau de l'entreprise,

· Le NAS : disque dur ou ensemble de disques durs accessible via le réseau de l'entreprise,

· Le SAN : qui regroupe un réseau très haut débit en Fibre Channel, des switch et des disques durs,

· Les bandes magnétiques : très peu onéreuses, très résistantes et consomment très peu d'électricité lors du stockage.

II.3.1.2 - Supports de sauvegarde externes

L'externalisation de la sauvegarde permet de conserver vos données à l'extérieur de votre entreprise. Cela permet d'éviter, en cas de sinistre, une destruction totale de vos données et sauvegardes. La reprise de votre activité est alors facilitée. La sauvegarde externalisée peut se faire sur les supports suivants :

· Le NAS hébergé : dans un Datacenter répondant à des normes de sécurité élevées.

La meilleure façon de faire de la sauvegarde informatique est d'utiliser un logiciel ou des outils de sauvegarde gratuit ou payant. Ils permettent de sauvegarder vos fichiers de manière régulière et automatique dans un endroit sûr afin de garantir la disponibilité des données lorsqu'une catastrophe se produit.

II.3.2 - Les solutions de backup

II.3.2.1 - Le Microsoft Azure Backup28(*)

Il s'agit d'une solution de sauvegarde payant de Microsoft disponible immédiatement dans le Cloud public grâce à une carte de crédit, installable sur son Cloud privé, ou de manière hybride. Dans ce dernier cas Microsoft synchronisera vos serveurs avec un data center.Microsoft Azure permet de profiter de ressources de Cloud Computing à la demande. Il permet aux entreprises de faire d'importantes économies en leur évitant d'avoir à ériger un centre de données sur site, de le maintenir, de le mettre à jour, de le refroidir et de payer l'électricité.

II.3.2.2 - Le Cobian Backup

Le Cobian Backup est un logiciel de sauvegarde gratuit pour Microsoft Windows. Il propose plusieurs types de sauvegarde:la sauvegarde complète, incrémentielle, différentielle.

II.3.2.3 - LeBackupPC

Le BackupPC^29(*) est un logiciel libre de sauvegarde de système de fichier publié sous licence GPL. Il est utilisé pour sauvegarder sur disque un ensemble de postes clients et de serveurs, sous Unix, Linux, Windows ou Mac OS X. Les protocoles utilisables pour les transferts sont : SMB, SSH/ RSH/ NFS, ET RSYNC. Il ne nécessite l'installation d'aucun logiciel client sur les machines à sauvegarder. Il possède une interface web pour lancer des sauvegardes ou restaurer des fichiers. Il est également possible de sauvegarder des bases de données via un script Shell lancé avant la sauvegarde.

Ci-dessous un tableau récapitulatif des caractéristiques des logiciels que nous avons étudié dans notre document.

Tableau 2: Récapitulatif des caractéristiques de quelquessolutions de backup

	Microsoft Azure Backup	Cobian Backup	BackupPC
Licence	payant	gratuit	gratuit
Sauvegarde automatique	oui	oui	oui
Sauvegarde différentielle	oui	oui	oui
Sauvegarde incrémentale	oui	oui	oui
Sauvegarde vers un Nas	oui	oui	oui
Sauvegarde locale	oui	oui	oui
Secure Sockets Layer (SSH)	oui	oui	oui
Interface graphique	oui	oui	oui

II.4 - Etude comparative et choix d'une solution

A la suite de notre étude des différentes solutions de contrôle de gestion d'accès et de stockage de données existantes,trois solutions restent en course à savoir : contrôle d'accès via Active Directory de Microsoft,la solution Samba et la solution Identity Services Engine (ISE) de CISCO.

II.4.1 -Active Directory

Active Directory est un outil destiné aux utilisateurs dans la mesure où il permet une représentation globale de l'ensemble des ressources et des droits associés. Il constitue également un outil d'administration et de gestion du réseau et de fournir à ce titre des outils permettant de gérer la répartition de l'annuaire sur le réseau, la duplication, la sécurisation et le partitionnement de l'annuaire de l'entreprise.Il^30(*) permet de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows Server. Active Directory fournit des informations sur les objets, il les organise et contrôle les accès et la sécurité. Avec mécanisme de relations d'approbation, Active directory permet aux utilisateurs d'un domaine d'accéder aux ressources d'un autre domaine. Il fournit des services de gestion des droits pour protéger les fichiers et autres ressources des accès non autorisés. Il s'agit d'une caractéristique essentielle pour les organisations qui exigent des niveaux élevés de sécurité.Cependant, la qualité de ce système se paie. Windows Server est un produit commercial, vous devez acheter des licences d'utilisation pour chaque plate-forme sur laquelle il s'exécute. Le coût de ces licences peut varier de quelques centaines de francs à plusieurs milliers.

II.4.2 -Cisco

Cisco est le principal fournisseur selon les critiques et les classements d'IT Central Station. Cisco fournit une bonne stabilité qui permet d'identifier et d'isoler une machine infectée ou sur le point d'être infectée. Même si le coût semble excessif, il est aussi adaptable en fonction de l'usage du client. Bien que le degré de configuration de ISE puisse varier en fonction de vos besoins spécifiques, les choses sont relativement simples pour l'utilisateur. ISE est une solution qui reste meilleur en terme de sécurité. Dans une enquête menée par le Magic Quadrant de Gartner^31(*), Cisco avec sa solution est reconnu comme l'un des leaders du contrôle d'accès au réseau. Il est compatible avec les produits de Microsoft. Ce qui correspond exactement aux configurations dont notre,entreprise Radio Lomé a besoin.

II.4.3 -Samba

Samba est un logiciel libre qui permet de connecter à un Serveur Linux, des machines fonctionnant sous différents systèmes tels que Windows, OS/2, Mac, ... Samba est une suite d'applications libres et gratuites qui est né du contexte qu'une machine fonctionnant sous Microsoft Windows est incapable de se connecter à un système de fichier Linux afin de, par exemple, lire les fichiers qui s'y trouvent où en écrire. Il permet à un système Unix de se déplacer dans un voisinage réseau de Windows sans causer des difficultés. Les utilisateurs Windows peuvent joyeusement accéder aux fichiers et services d'impression sans connaître ou prendre soin que ces services sont offerts par un hôte Unix.Techniquement, Samba est l'implémentation du protocole SMB (Server Message Block) de Microsoft qui permet le partage de ressources telles que l'espace disque, des imprimantes... SMB fonctionne sur le principe d'échange client-serveur, c'est à dire que le client fait des demandes et le serveur envoie des réponses à ces demandes. Le rôle du client et du serveur n'étant pas mutuellement exclusifs, une machine peut être à la fois client et serveur. SMB étant une extension de l'API NetBIOS, il intègre les mêmes fonctionnalités qu'Active Directory Domain Controller.

Actuellement, UNIX est utilisé dans les stations de travail à hautes performances, ainsi que dans les gros serveurs car il est considéré comme le système le plus stable (c'est-à- dire que le système tombe très rarement, presque jamais, en panne) et le plus adapté à l'utilisation en réseau. De plus, UNIX est devenu multi-utilisateur (plusieurs utilisateurs peuvent travailler en même temps sur une même machine), multi-tâches (plusieurs applications peuvent fonctionner en même temps sans qu'aucune n'affecte les autres), multi plate-forme (serveurs à base de processeurs Intel, Cyrix, AMD, Alpha, PowerPC, peuvent disposer d'UNIX). Ce qui correspond exactement aux configurations dont notre entreprise a besoin en terme de coût.

De manière générale, Samba permet de contrôler étroitement les ressources grâce à son fonctionnement et ses protocoles. Afin de palier le problème de centralisation des données, nous avions opté pour l'installation d'un serveur NAS que nous pourrions monter en RAID. Le RAID^32(*) (Case for Redundant Arrays of Inexpensive Disks)est un ensemble de techniques de virtualisation du stockage permettant de répartir des données sur plusieurs disques durs afin d'améliorer soit les performances, soit la sécurité ou la tolérance aux pannes de l'ensemble du ou des systèmes.Ce qui correspond exactement aux configurations dont notre entreprise a besoin. Ceci étant nous choisissons d'installer le logiciel BackupPC pour assurer la sauvegarde de nos données.

II.4.4- Motivation du choix de Samba

Les solutions que nous avons proposéespermettront de résoudre le problème, mais dans toutes ces solutions, seules la solution samba a été retenue car en termes de coût, elle est moins chère, en terme de technologie, elle est gratuite ; en terme de performance, le code source étant ouvert nous pouvons l'adapter à notre environnement et en terme efficacité, elle est une solution complète pour un réseau local de toute taille.

Conclusion

En cas de sinistre (problème matériel, vol ou destruction des données etc...), il est important de pouvoir restaurer les données et de se protéger contre une utilisation frauduleuse de données ou contre des accès non autorisés dans les systèmes informatiques de l'entreprise au plus vite afin de pouvoir redémarrer son activité. Plus vite les données seront récupérées, plus vite les collaborateurs de l'entreprise pourront reprendre leur travail et l'activité commerciale sera rétablie. Plus la reprise d'activités après sinistre tarde, plus la perte financière sera importante, menaçant des emplois et la santé financière de l'entreprise.

CHAPITRE III : PRESENTATION DE LA SOLUTION SAMBA ET SA MISE EN OEUVRE

Introduction

Dans ce chapitre nous abordons l'historique et le fonctionnement de notre solution Samba. Egalement nous présentons l'étude du projet, de l'idée à la réalisation. Nous allons mettre en place des mécanismes de contrôle d'accès et des protocoles sécurisés qui apportent plusieurs services tels que l'authentification. La solution Samba reste aujourd'hui une des meilleures options pour la centralisation et la sécurisation des ressources de Radio Lomé.

III.1 - Historique et fonctionnement

Dans cette section, nous parlons de la genèse de la solution Samba ainsi que de son évolution mais également de comment elle fonctionne.

III.1.1 - Présentation de la licence GPL33(*)

La licence publique GNU, ou GNU General Public License (son seul nom officiel en anglais, communément abrégé GNU GPL, voire simplement « GPL »), est une licence qui fixe les conditions légales de distribution d'un logiciel libre du projet GNU. M. Richard Stallman, président et fondateur de la Free Software Foundation en est l'auteur. Sa dernière version est la « GNU GPL version 3 » publiée le 29 juin 2007 avec le concours juridique d' Eben Moglen^34(*).

Cette licence a depuis été adoptée, en tant que document définissant le mode d'utilisation, donc l'usage et la diffusion, par de nombreux auteurs de logiciels libres, en dehors des projets GNU. Un logiciel libre^35(*) est un logiciel dont l'utilisation, l'étude, la modification et la duplication par autrui en vue de sa diffusion sont permises, techniquement et légalement, ceci afin de garantir certaines libertés induites, dont le contrôle du programme par l'utilisateur et la possibilité de partage entre individus.

III.1.2 - Historique de la solution Samba36(*)

C'est Monsieur Andrew Tridgell qui a développé la première version de Samba Unix, en 1992, à l' Australian National University, en utilisant un analyseur de paquets pour réaliser une analyse réseau du protocole utilisé par le logiciel de DEC PATHWORKS, nbserver 1.5, publié en décembre 1993. Monsieur Tridgell a découvert plus tard que le protocole était en grande partie identique à celui utilisé par d'autres systèmes de partage de fichiers, y compris celui de Microsoft. Il a ensuite décidé de se concentrer sur une compatibilité du réseau Microsoft. Samba reçoit aujourd'hui les contributions d'une vingtaine de développeurs originaires du monde entier sous sa coordination.

Auparavant, les PC équipés de DOS et des premières versions de Windows, devaient parfois installer une pile TCP/IP, et un ensemble de logiciels d'origine Unix. Cela était lourd et pénalisant pour les compatibles PC de l'époque, et il obligeait par ailleurs leurs utilisateurs à contracter un double jeu d'habitudes, ajoutant celles d'UNIX à celles de Windows. Samba adopte donc la démarche inverse.

À l'origine, Samba était appelé SMBServer. Le nom a dû être changé en raison de l'opposition de la société "Syntaxe", qui vendait un produit nommé TotalNet Advanced Server et propriétaire de la marque "SMBServer".

III.1.3 - Présentation de la solution Samba

La solution Sambatravaille en étroite collaboration avec trois démons dont nous allons parler ci-dessous : le smbd, nmbd, windinb.

smbd : il permet le partage de ressources fichiers et d'imprimantes et gère
l'authentification et les droits de partage des utilisateurs qui accèdent aux ressources.

nmbd : Le démon serveur nmbd comprend et répond à toutes les requêtes de service de nom NetBIOS telles que celles produites par SMB/CIFS dans des systèmes basés sur Windows.

windinb : winbind effectue la résolution entre les informations relatives aux utilisateurs et aux groupes sur un serveur Windows NT et les rend utilisables par des plates-formes UNIX.

III.1.4 - Authentification

Samba, à travers la directive security, reconnaît cinq configurations possibles (voir le tableau3)pour l'authentification : share, user, server, domain, ADS.

Par ailleurs, la directive encrypt passwordscontrôle si les mots de passe doivent être cryptés par les clients. Elle doit avoir la valeur yes obligatoirement pour les authentifications server ou Domain. Si l'authentification est share ou user, alors la directive smb passwd file doit être utilisée pour donner le nom du fichier qui stocke les mots de passe cryptés.Quel que soit la méthode d'authentification utilisée, au final, un utilisateur (UID) et un groupe (GID) Unix doivent être associés au client qui se connecte à un partage. Ce qui veut dire :

Ces UID et GID effectifs associés à la connexion permettent de contrôler les droits d'accès Unix aux répertoires et aux fichiers.

III.1.4.1 - Authentification share

Cette méthode est plutôt désuète. Elle fait référence à la méthode d'authentification qui était utilisée par les clients « Windows for Workgroups ».Chaque partage avec l'authentification shareest associé à un ou plusieurs mots de passe. Toute personne connaissant un mot de passe valide pour le partage peut y accéder.

Pour utiliser cette méthode, nous allons éditer le fichier /etc/samba/smb.conf, aller dans la section principale [global]et y ajouter la ligne qui suit :

III.1.4.2 - Authentification user

Cette authentification est utilisée lorsque le serveur Samba est exploité seul dans le domaine. Les mots de passe des utilisateurs sont vérifiés dans de la base des mots de passe Unix ou du fichier smbpasswd s'ils sont cryptés (ce qui est désormais généralement le cas).À chaque connexion initiale à l'arborescence, le serveur Samba vérifie les utilisateurs et leurs mots de passe pour leur permettre d'accéder au partage.

Pour procéder par cette méthode, nous allons éditer le fichier /etc/samba/smb.conf, aller dans la section principale [global] et y ajouter la ligne qui suit :

III.1.4.3 - Authentification server

Lorsque cette méthode d'authentification est utilisée, Samba authentifie les utilisateurs auprès d'un serveur NT. Il est recommandé que les mots de passe soient cryptés. Les utilisateurs et les groupes doivent exister dans la base des utilisateurs et groupes d'Unix.

Cette procédure est identique à la sécurité au niveau utilisateur, à la différence que le serveur Samba utilise un autre serveur pour valider les utilisateurs et leurs mots de passe avant d'autoriser l'accès au partage.

Pour utiliser cette méthode, nous allons éditer le fichier /etc/samba/smb.conf, aller dans la section principale [global] et y ajouter la ligne qui suit :

III.1.4.4 - Authentification domain

Cette configuration d'authentification nécessite au préalable que le serveur Samba soit enregistré comme membre du domaine auprès du PDC. Les mots de passe doivent être cryptés. Les utilisateurs et les groupes doivent exister dans la base des utilisateurs et groupes d'Unix.

Pour utiliser cette méthode, nous allons éditer le fichier /etc/samba/smb.conf, aller dans la section principale [global] et ajouter la ligne qui suit :

III.1.4.5 - Authentification ADS

La version 4 de ce logiciel apporte la fonctionnalité supplémentaire d'un contrôleur de domaine Active Directory (Active Directory Domain Controller - AD DC). Cette fonctionnalité inclue en natif les services DNS, LDAP, Kerberos, RPC et SMB 3.0 ainsi que la distribution, la gestion des GPOet l'administration via RSAT.

III.1.5 - Outils

Samba est installée avec un ensemble d'outils illustrés dans le tableau ci-dessous :

III.1.6 - Fonctionnement de la solution Samba

La solution Samba est un ensemble d'outils qui permet l'interconnexion de systèmes hétérogènes en implémentant des protocoles réseaux issus du monde propriétaire tels que NETBIOS et SMB/CIFS. La majeure partie, utilise Samba pour interconnecter une machine Unix à une machine Windows ou contrôler un domaine. Cette interconnexion peut se faire à de nombreux niveaux, puisque Samba offre les fonctionnalités suivantes :

§ Le logiciel Samba permet de partager des dossiers et des imprimantes à travers un réseau local. D'où n'importe quelle machine sous linux ou Windows peut partager et d'accéder les ressources ;

§ Un serveur Linux équipé de samba peut être configuré comme une machine partageant des données dans un groupe de travail Windows, Comme serveur membre d'un domaine Windows ou comme un contrôleur de domaine principal d'un domaine Windows ;

§ Samba peut implémenter la sécurité au niveau de chaque utilisateur et non au niveau des ressources comme c'est le cas dans les réseaux de type WorkGroup ;

§ Samba fournit donc à la fois des fonctionnalités serveur et des fonctionnalités client. La richesse des outils fournis rendent l'interconnexion bidirectionnelle comme une machine Windows peutse connecter à une machine Unix et vice-versa ;

§ L'administration du domaine en ligne de commande se fait grâce à l'utilitaire samba-tool.

III.2 - Etude du projet

III.2.1 - Préambule

Aujourd'hui le nombre d'équipements interconnectés (PC-Switch-PC) ne cesse de s'accroitre. Ainsiavec le développement des nouvelles technologies et l'omniprésence du numérique dans le milieu professionnel, le volume de données professionnelles a explosé et la dépendance à ces données est très forte. La perte de données en entreprise n'est pas vraiment envisageable. Surtout quand les données perdues sont stratégiques et irremplaçables.Pourtant les risques de perte de données sont nombreuses : défaillances matérielles (crash de disque dur notamment), incendie, dégâts des eaux, vol du matériel informatique, virus etc...

Notre projet se propose donc de répondre à la question de sécurité et du stockage des données dans les entreprises qui, s'exposent de plus en plus à la recherche de performance et d'efficacité. Pour cela nous mettrons en place une solution de gestion de l'authentification dans le réseau. Ainsi nous répondons à la triade C.I.A (Confidentiality, Integrity and Availability)à laquelle s'articule la sécurité. Notre solution proposée, permet de rétablir la confiance dans le réseau, car les interlocuteurs se connaissent et peuvent s'identifier. Elle a été proposée pour la sécurité, afin que seules les personnes concernées puissent consulter, modifier ou supprimer les informations confidentielles auxquelles ils ont droit. Samba propose une solution qui permet de centraliser et unifier la gestion de la politique d'accès au réseau pour fournir un accès cohérent et sécurisé à chaque utilisateur et appareil, et ainsi réduire les risques.

III.2.2 - Objectifs du projet

La sécurité informatique a énormément évolué ces dernières années, en raison de changements fondamentaux, tant du point de vue des menaces, que de l'usage du système d'information dans les entreprises. Or, les systèmes de sécurisation connus jusqu'alors ne sont plus suffisamment pertinents pour assurer une protection efficace. L'authentification s'avère être une des meilleures solutions pour la protection efficace des utilisateurs et des équipements au sein de Radio Lomé.

En effet, à la fin de ce projet, les utilisateurs du Réseaux de la Radio seront capables de :

III.2.3 - Contraintes

Nous avons fait face à plusieurs contraintes. Radio Lomé ne dispose d'aucun service d'annuaire Active Directory et de stockage central de donnée.Nous devrons alors créer un serveur de stockage monté en RAID inexistante et gérer au passage son système de gestion del'authentification. Nous avons entièrement notre environnement de mise en oeuvre dans un monde virtuel. Radio Lomé ne dispose pas d'un ordinateur à grande capacité pour faire le test, nous avons fait recours à un outil de virtualisation VMware Workstation 15.0.4 pour la simulation du test.

III.2.4 - Environnement de déploiement

Pour l'exécution de ce projet, nous avons travaillé avec VMware Workstation Pro 15.0.4 qui remplit et prend en charge toutes les spécifications et conditions requises pour le bon déroulement du projet.

III.2.4.1 - Nouvelle architecture

Afin de garantir la sécurité de la Radio Lomé, nous avons mis en place une nouvelle architecture (figure 3).

Cette nouvelle architecture permettra de faire respecter la politique de sécurité du réseau et la haute disponibilité de données. Le Firewall définira le type de communication autorisé sur le réseau, il surveillera et contrôlera les applications et les flux de données. rl1 et rl2 seront les serveurs de fichiers mis en cluster pour faire de la haute disponibilité et une baie de stockage pour centraliser les données. Un serveur Web qui permettra d'héberger le site internet de Radio Lomé.

III.2.4.1 -Architecture de l'environnement de mise en oeuvre

Voici l'environnement de mise en oeuvre de notre solution à la figure suivante :

III.2.5 - Equipements clés

Notre architecture se base sur les éléments essentiels que nous allons utiliser tout au long de l'implémentation de notre travail :

Ci-dessous les caractéristiques des VMs utilisées pour l'exécution de notre projet :

Pour notre environnement, nous avons utilisé le réseau 192.168.1.0/24. Ci-dessous l'adresse de chaque machine virtuelle utilisée :

III.2.6- Chronogramme

Notre document a été réalisé pendant environ une période de cinq mois soit du 20 Mai 2019 au 30 Septembre 2019. Nous avons, pour illustrer l'état d'avancement des différentes activités ou tâches menées pour la réalisation de notre document, utilisé le diagramme de Gantt. La colonne de gauche du diagramme énumère toutes les tâches à effectuer, tandis que la ligne d'en-tête représente les unités de temps en jours. Chaque tâche est matérialisée par une barre horizontale, dont la position et la longueur représentent la date de début, la durée et la date de fin. Ce diagramme ci-dessouspermet donc de visualiser d'un seul coup d'oeil :

III.3 - Installation des packages requis et configuration de notre solution

Samba se présente sous forme de paquet qui s'installe au-dessus d'une distribution Linux.Cependant, nous allons procéder à l'installation de lasolution Samba sous la distribution Ubuntu16.04LTS. La mise en oeuvre se fait selon les phases suivantes :

III.3.1 - Configuration de base

Les configurations de base comportent les étapes suivantes (résumées dans le tableau ci-dessous) : la mise à jour du système, l'adressage, le nom du serveur, le domaine, le DNS local.

III.3.1.1 - La mise à jour du système

Tout d'abord, assurons-nous que le système est à jour des dernières fonctionnalités de sécurité, des noyaux et des packages en lançant la commande ci-dessous :

# apt-get update : permet de mettre à jour la liste des fichiers disponible dans les dépôts apt present dans le fichier de configuration.

# apt-get upgrade : permet de mettre à jour tous les paquets installes sur le système vers les dernières versions.

III.3.1.2 -Adressage du serveur

Nous devons configurer notre interface réseau en IP statique avant tout installation de Samba. Nous allons utiliser respectivement 192.168.1.101 et 192.168.1.102 comme IP, et rl1 et rl2 pour le nom de la machine et RADIO.LAN comme nom de domaine. Notons que les configurations se feront sur les deux serveurs. Cas du serveur rl1

Dans ce fichier texte, changeons iface ens33 inet dhcppar iface ens33 inet static. L'option static permet de fixer l'adresse IP du serveur.

Et ensuite, Il faut enregistrer le fichier (CTRL+O et Entrée) et fermer le fichier (CTRL+X). Après cela, nous allons redémarrer du service réseau (/etc/init.d/networking restart).

III.3.1.3 - Nom du serveur

Le service hostname permet de définir le nom du serveur Active Directory. Nous allons remplacer le contenu de ce fichier texte le nom FQDN (nom + suffixe DNS du réseau local) de notre serveur AD. Configurons le fichier /etc/hostname en y ajoutant la ligne suivante :

Après cela, il est nécessaire de redémarrer le service hostname (/etc/init.d/hostnamerestart) et network(/etc/init.d/networking restart) ou redémarrer votre serveur (reboot).

III.3.1.4-Le domaine

Le service hosts permet d'affecter le nom du serveur à l'adresse IP statique, ainsi pour le faire nous éditons le fichier /etc/hosts. Dans ce fichier nous mettons les lignes suivantes :

III.3.1.5 - le DNS local

Le service DNS traduira les noms de domaines des machines en adresse IP. La configuration du DNS local se fait dans le fichier resolv.confavec la commande :

III.3.2- Le cluster

III.3.2.1 - Présentation des clusters

III.3.2.1.1 - Qu'est qu'un cluster ?

En informatique, un cluster est une grappe de serveurs sur un réseau, appelé ferme ou grille de calcul rendant le même service d'une manière transparente pour les clients. Il existe deux types d'utilisations pour les clusters:

§ Le calcul distribué, ici le système utilise la puissance de calcul de toutes les machines du cluster afin de réaliser de grandes opérations arithmétiques. Les clusters de ce type sont souvent utilisés dans les laboratoires de recherches ou les calculs météorologiques ;

§ La haute disponibilité des infrastructures notamment dans l'utilisation du load-balancing (répartition de charge entre serveurs). Cela a pour but de favoriser la continuité de service. Dans ce cadre-là toutes les machines physiques ne forment qu'une machine logique et le gestionnaire de cluster gère le failover (basculement) en cas de panne d'un noeud.

III.3.2.1.1.1 - Haute disponibilité

La haute disponibilité se définit comme un système permettant d'assurer une continuité opérationnelle d'un service sur une période donnée. Ainsi, un cluster de haute disponibilité en anglais « High Availbility », est un assemblage de serveurs physiques, au nombre minimum de deux, afin d'obtenir une activité de services en temps réel, en toutes conditions. La haute disponibilité possède deux grands axes : la disponibilité des services et la disponibilité des données.

III.3.2.1.1.1 - La disponibilité des services

Le fait qu'un service soit fonctionnel en temps réel sans aucune interruption traduit sa disponibilité. Son principe est simple : un service, quelle que soit sa machine de référence ou les données dont il dispose, doit toujours répondre aux clients qui en font la demande. Pour de la haute disponibilité des services, deux types de techniques existent : le FailOver Services et le Linux Virtual Server.

III.3.2.1.1.1.1 - Le FailOver Services (FOS)

Le failover services est un processus de monitoring et de reprise de services pour seulement deux machines : Le serveur maître et le serveur esclave, chacun surveillant l'autre sur deux canaux et types de connectiques différents. Dans la plupart des cas, les deux types de liaisons sont de l'ordre du réseau RJ45 en utilisant le protocole TCP/IP et du câble série branché directement sur les deux machines. Pour que ce type de haute disponibilité fonctionne, il faut bien sûr que la machine esclave possède les mêmes services que son homologue maitre.

III.3.2.1.1.1.2 - Linux Virtual Server (LVS)

Linux Virtual Server effectue le même travail que son homologue FOS mais avec un procédé légèrement différent. En effet, LVS s'appuie sur une architecture de Load Balancer et d'un ensemble de serveurs.

III.3.2.1.1.2 - La disponibilité de données

A ce niveau, il existe deux types de haute disponibilité de données : les données partagées et les données répliquées. Les données partagées le sont dans le domaine du réseau. Les données répliquées appartiennent à deux domaines : celui du réseau (réplication serveur à serveur) ou local (réplication disque à disque). Cependant, dans tous ces domaines, un domaine est prédominant.

III.3.2.1.2 - Fonctionnement du cluster

Une disponibilité de l'ordre de 100% n'est que théorique. Aucun service ne peut être disponible à 100%. Cependant lorsque l'on parle de haute disponibilité, les services s'approchent de ce chiffre, mais une panne exceptionnelle de tout ordre peut intervenir (Foudre, Feu, etc.). Ainsi, nous allons mettre en place un cluster actif/passif hautement disponible avec DRBD et Heartbeat(voir tableau 9).

III.3.2.1.2.1- Le DRBD

Distributed Replicated Block Device est comparable à un RAID 1 mais en réseau, c'est à dire que deux disques, partitions ou même un LVM peuvent être répliqué d'un disque à un autre via un réseau Ethernet ou fibre optique. Cela permet donc d'assurer la disponibilité des données en cas de crash complet d'une machine. Ce que ne permet pas de faire un RAID classique.

III.3.2.1.2.2 - Le Heartbeat

Heartbeat est un logiciel de surveillance de la disponibilité des programmes, pour les systèmes d'exploitation Linux, FreeBSD, OpenBSD, Solaris et MacOS X. Il est distribué sous licence GPL. Heartbeat écoute les battements de coeur, des signaux émis par les services d'une grappe de serveurs lorsqu'ils sont opérationnels. Lorsque qu'un serveur devient défaillant, Heartbeat le détecte (puisqu'il n'entend plus ses battements de coeurs) et bascule les services surveillés sur un autre serveur. Pour que cela soit transparent pour les utilisateurs, Heartbeat met en place une IP virtuelle unique qui est balancée entre les deux serveurs.

III.3.2.2 -Mise en place du cluster

Nous venons de voir l'importance de la mise en oeuvre du cluster, pour mettre en place le cluster nous allons procéder par les étapes suivantes : l'installation et la configuration du DRBD ; et l'installation et la configuration du heartbeat.

Toutes les manipulations seront faites sous le super-utilisateur(root). Pour se connecter en root taper sudo -i puis le mot de passe.

III.3.2.2.1 - Installation et configuration du DRBD

Nous allons commencer par créer une partition sur les seconds disques que nous avons rajoutés à chaque serveur. Sur les deux nodes (rl1 et rl2) tapez les commandes suivantes:

IMPORTANT : les commandes indiquées devront toujours être exécutées sur nos 2 serveurs (sauf mention contraire), et ce, simultanément (sinon, nous risquons d'obtenir des messages d'erreur).

Maintenant que nous avons partitionnés les deux disques nous allons installer les paquets nécessaires à l'utilisation de DRBD.

III.3.2.2.1.1 - Installation de DRBD

Puis une fois le paquet installé, le module s'active avec la commande suivante :

III.3.2.2.1.2- Configuration des ressources

Maintenant que nos disques et DRBD sont mis en place nous allons configurer la réplication des données entre les deux disques. Pour ce faire nous allons créer et éditer un fichier que nous allons appeler drbd.res dans le dossier /etc/drbd.d/

Tout d'abord, nous donnerons un nom à notre ressource DRBD dans notre cas nous allons l'appeler r0. Dans cette ressource nous allons renseigner nos deux nodes, cela commence donc par on rl1 (rl1 doit être le hostname de la machine) avec les valeurs suivantes :

r0 #le nom de la ressource dont on aura besoin plus tard pour gérer cette ressource

syncer # permet de limiter la vitesse de synchronisation entre les 2 serveurs.

Une fois ce fichier écrit sur les deux nodes nous allons enfin pouvoir mettre en place la réplication :

Le DRBD est pratiquement mis en place nous pouvons vérifier que les nodes se contactent en tapant la commande suivante :

Cela veut dire que les nodes se connectent mais que la réplication n'est pas encore possible étant donné qu'aucun des deux n'est en mode Primary.Pour y remédier nous allons mettre rl1 en primary avec la commande suivante :

Quand cela est fait, il est possible de suivre la synchronisation avec un rafraîchissement toutes les 2 secondes avec la commande suivante :

III.3.2.2.1.3- Création du système de fichier sur le disque de DRBD

Maintenant que notre raid réseau est fonctionnel nous allons créer un système de fichier ext4 pour pouvoir écrire dessus. Tapons la commande suivante sur le node primaire (rl1) :

Si nous tapons la commande df -h nous pouvons voir que le disque n'est pas monté puisque c'est le service heartbeat qui gère le disque par rapport au serveur.

Maintenant, nos données seront toujours disponibles depuis 2 serveurs.
Il ne reste qu'à créer un cluster avec ces 2 serveurs pour que nos services soient accessibles via une IP unique et que les services soient toujours disponibles, même si un des 2 serveurs tombe en panne.

III.3.2.2.2 - Installation et configuration de Heartbeat

Il est à rappeler que toutes les prochaines étapes sont à refaire sur les deux serveurs. Pour installer Heartbeat, il suffit d'installer le paquet "heartbeat".

IMPORTANT : Comme pour DRBD, les commandes proposées et les fichiers à créer devront être exécutées et créés sur les 2 serveurs (sauf mention contraire).

Une fois heartbeat installé nous allons devoir créer trois fichiers dans le dossier « /etc/ha.d/ » :

Pour commencer, nous allons créer le fichier "ha.cf" avec la commande et nano /etc/ha.d/ha.cf et coller le texte ci-après dans le fichier généré.

Attention : Pour que tout fonctionne bien il faut s'assurer que la connectivité entre les nodes rl1etrl2 soit effective(ping).

Ensuite, nous créons le fichier "haresources" avec nano /etc/ha.d/haresources et nous lui ajoutons ce qui suit :

IPaddr::192.168.1.100/24/ens33 = IP virtuelle à laquelle nos utilisateurs accéderont pour se connecter au serveur actif (le serveur 1 ou le serveur 2 si le serveur 1 est défaillant)
drbddisk::r0 = nom de la ressource drbd (spécifié dans /etc/drbd.d/drbd.res) Filesystem::/dev/drbd0::/mnt/DATA::ext4 = Nom de la partition drbd, point de montage et type de système de fichier.

Et pour finir nous allons créer le fichier « authkeys ». Ce fichier contient une clé partagée entre les deux serveurs. Cela peut être un mot de passe, ou un simple mot.

Il faut ensuite changer les permissions sur ce fichier contenant la clé qui permettra aux serveurs de s'identifier l'un l'autre:

Patientons quelques seconde et tapons sur rl1 la commande « drbd-overview » et vérifions si la partition (figure 9)/dev/drbd0 est bien montée dans /mnt/ avec la df -h.

Nous pouvons aussi vérifier avec la commande ifconfig (figure 10), nous verrons qu'une nouvelle interface « ens33:0 » a été créée avec l'adresse IP configurée dans le fichier haresources.

III.3.3-AD DC

Pour transformer le serveur linux en contrôleur de domaine Active Directory, nous effectuerons les étapes suivant : installation de Samba et tous les packages, promotion de Samba comme DC, configurationde Kerberos, gestion des objets, administration de l'Active directory.Les étapesà réaliser se résument dans ce tableau ci-dessous :

III.3.3.1-Installation de Samba AD DC

Nousdisposonsplusieursméthodes pour installer la technologie Samba comme contrôleur de domaine AD DC : Winbind et SSSD.

III.3.3.1.1- Méthode Winbind

Winbind est un programme qui permet aux utilisateurs d'un réseau hétérogène de seconnecter à l'aide de postes de travail dotés de systèmes d'exploitation Unix ou Windows NT. Le programme rend fonctionnels les postes de travail utilisant Unix dans les domaines NT, en donnant à NT l'apparence d'Unix sur chaque poste de travail Unix. La commande suivante permet d'utiliser cette méthode :

# apt-get install samba utilisateur krb5 krb5-config libbam libpam-winbind libnss-winbind

III.3.3.1.2- Méthode SSSD (System Security Services Daemon)

SSSD permet de faire communiquer une machine linux et un Windows Active Directory. L'AD s'assure de la gestion des identités dans de nombreux parcs informatiques. SSSD permet d'authentifier les utilisateurs de linux sur l'Active Directory. Il offre également l'authentification hors-ligne et évite le doublement de compte en cas de non connexion avec le réseau de l'entreprise. La commande suivante permet d'utiliser cette méthode :

# apt-get install samba-common-bin sssd-tools sssd libnss-sss libpam-sss realmd adcli

III.3.3.1.3- Choix de la méthode

Il existe de nombreusesméthodes d'intégrations d'un système linux directement à Active directory. Le tableau comparatif suivant permettra de comparer les deux solutions présentées ci-dessous.

Fonctionnalité	Winbind	SSSD
Authentifier à l'aide de Kerberos	Oui	Oui
Authentifier en utilisant LDAP	Oui	Oui
Prise en charge de plusieurs domaines AD	Oui	Oui
Facile à configurer en toute sécurité	Non	Oui
Support NTLM	Oui	Non
AD DNS Vieillissement et Nettoyage	Non	Oui
Intégration de Samba Partage de Fichier	Oui	Oui
Installation simple	Non	Oui
Gestion centralisée du contrôle d'accès basé sur l'hôte via un objet de stratégie de groupe	Non	Oui
Coût	Libre	Libre

En résumé, notre choix se repose sur la méthode winbind (figure 11) à cause de notre expérience et des documents dont nous disposons. Nous ferons simultanément l'installation et la configuration sur nos deux serveurs (rl1 et rl2).

Pendant l'installation, le programme posera une série de questions afin de configurer le contrôleur de domaine.

Sur le premier écran, nous devrons ajouter un nom pour Kerberos default REALMen majuscule dans notre cas RADIO.LAN.

Ensuite, nous entrons le nom d'hôte du serveur Kerberos pour notre domaine dans notre cas rl1 et nous appuyons sur Entrée pour terminer l'installation.

Une fois terminée vérifions qu'aucun processus Samba n'est en cours d'exécution :

Ensuite la commandekill va nous permettre de supprimer les processus si jamais ils sont actifs.

Nousdevonsrenommer ou supprimer la configuration originale de samba. Cette étape est absolument nécessaire avant de provisionner Samba AD car au moment de la provision, Samba créera un nouveau fichier de configuration et générera des erreurs s'il trouve un ancien fichiersmb.conf.

Pour avoir la bonne configuration il est bon de supprimer le fichier un /etc/krb5.conffichier existant :rm /etc/krb5.conf

III.3.3.2 - Création du Domain

Samba AD DC est prêt, maintenant nous allons le promouvoir, comme Microsoft le fait avec Windows Server.

Pour provisionner un Samba AD de manière interactive, exécutons la commande (figure 12):

III.3.3.3 - Configurationdu protocole d'authentification Kerberos

Le protocole d'authentification Kerberos est utilisé dans l'AD. Cette authentification est sécurisée (le mot de passe ne circule jamais sur le réseau).

Editons le fichier krb5.conf en changeant le [realm]en nom de Domain en majuscule

renew until 06/09/2019 15:19:18, Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96

Les deux résultats ci-dessus nous montrent réellement que notre les services DNS et Kerberos fonctionnent bien.

III.3.3.4 - Gestion des objets

III.3.3.4.1 - Gestion des objets sur Samba

Samba AD DC peut être géré à l'aide de l'utilitaire de ligne de commande samba-tool, qui constitue une excellente interface pour l'administration du domaine. Avec l'aide de l'interface de samba-tool, nous pouvons gérer directement les utilisateurs et les groupes du domaine, la stratégie de groupe du domaine, les sites de domaine, les services DNS, la réplication de domaine et d'autres fonctions critiques du domaine.

Pour créer un utilisateur sur AD, utilisons la commande suivante sur les deux serveurs :

Pour supprimer un utilisateur du domaine samba AD, utilisez la syntaxe suivante :

De même, les groupes samba peuvent être gérés avec la syntaxe de commande suivante:

Une fois les objets créés, nous pouvons vérifier sur sambaavec les commandes :

III.3.3.4.2- Gestion des objets sur RSAT

En effet une fois que le système Windows 7 a été associé à Samba4 AD DC, nous pouvons créer, supprimer ou désactiver des utilisateurs et des groupes du domaine. Nous pouvons créer de nouvelles unités d'organisation, créer, éditer et gérer des règles du domaine ou gérer le service DNS du domaine Samba4 avec le compte administrateur.

III.3.3.4.2.1 - Administration de l'Active directory

Notre contrôleur de domaine est désormais prêt à être administré, via le client Windows 7. Les étapes ci-dessous sont à prendre en compte :

III.3.3.4.2.1.1 - Adressage du PC Windows 7

Jusqu'alors, l'interface réseau de ce client était gérée par le DHCP de notre serveur/passerelle.

Pour être intégré au domaine, le client doit ''pointer'' vers le serveur DNS de notre contrôleur de domaine AD. Il est donc nécessaire de modifier la façon d'obtenir le serveur DNS préféré :

· Menu démarrer > Panneau de configuration > Centre Réseau et partage > Modifier les paramètres de la carte ;

· Dans la fenêtre Connexions réseau, clic droit sur la carte réseau > Propriétés ;

· Dans la fenêtre Propriétés de Connexions..., double clic Protocole... TCP/IPv4 ;

· Dans la fenêtre Propriétés de : Protocole ...TCP/IPv4, cocher Utiliser l'adresse de serveur DNS suivante > dans la rubrique Serveur DNS préféré, entrer l'adresse virtuel de notre contrôleur de domaine 192.168.1.100> valider.

III.3.3.4.2.1.2 - Intégration du Windows 7 au domaine

Allons dans le Menu démarrer > clic droit sur Ordinateur >Propriétés, dans la fenêtre Système (sur la droite), choisir modifier les paramètres, dans la fenêtre Propriétés système, choisir Modifier, ensuite dans la fenêtre Modification du nom..., cocher Membre d'un Domaine et entrer le nom du domaine préalablement créé (RADIO.LAN)

Si tout fonctionne correctement comme l'indique la figure ci-dessous, la fenêtre Sécurité de Windows s'ouvre pour demander l'identifiant de l'administrateur du contrôleur de domaine, le mot de passe correspondant et redémarrer la machine.

III.3.3.4.2.1.3 - Installation de RSAT

Seul le compte administrator peut actuellement administrer le contrôleur de domaine.Nous allons télécharger la version de l'outil d'administration RSAT correspondant à la version de Windows 7sur le site de Microsoft. Après l'installation, il faut activer les fonctionnalités souhaitées? Menu Démarrer > Panneau de configuration > Programmes et fonctionnalités > Activer ou désactiver des fonctionnalités Windows.Dans la rubrique Outils d'administration de serveur distant, cocher les options suivantes :

Les outils sont maintenant installés. Nous pouvons les retrouver dans Outils d'administration du menu Démarrer ou duPanneau de configuration.

III.3.4 - Le Partage

Le système de redondance des données étant en place nous allons procéder par les étapes suivantes : la création de dossiers de partage, la gestion des droits sur les dossiers.

III.3.4.1 - La création de dossiers de partage

Nous avons besoins de deux dossiers DATA et ROSE. DATA aura pour rôle de stocker toutes les musiques et ROSE stocker les fichiers sonores des reportages.

Nous allonscréer nos dossiers sur le chemin /mnt/ fournit par notre DRBD (sur nos disques répliqués), nous allons créer nos dossiers sur le serveur avec la commande :

Nous pouvons vérifierque le partage Samba a été bien configuré avec la commande :

Nos dossiers ont été créés d'après la figure 18, maintenant nous allons gérer les droits sur chaque partage avec le RSAT

III.3.4.2 - La gestion des droits sur les dossiers

A cette étape, nous allons utiliser notre outil RSAT pour faire l'attribution des droits sur nos groupes créée (gr-technique et gr_journalist). Le tableau ci-dessous montre la répartition des droits sur nos disques de partage.

Grace à l'outil RSAT, nous allons attribuer les droits sur les groupes, pour ce faire, avec le compte administrateur nous allons ouvrir une session sur Windows et dans la Gestion de l'ordinateur, nous allons nous connecter sur notre Serveur (192.168.1.100) pour accéder au partage (figure ci-dessous) :

Ensuite sur chaque dossier nous allons attribuer les droits à chaque groupe, en faisant un clic droit option Propriétés,illustré dans les figures suivantes :

III.4 - Résultats

Nous allons présenter les résultats suivants : l'authentification sur le réseau, le partage, le cluster, le backup.

III.4.1 - L'authentification sur le réseau

Maintenant les utilisateurs peuvent se connecter pour travailler sur la plateforme en entrant leur login et mots de passe comme l'indique la figure suivante :

III.4.2 - Le partage

Une fois connecté, l'utilisateur TOTO, étant donné qu'il appartient au groupe grp_journalist,aura droit au dossier partage grâce au GPO.Notons que grâce à l'installation de Samba comme un AD DC nous pouvons déployer des ACLs sur des dossiers partagées dans /etc/samba/smb.conf.

L'utilisateur TOTO peut lire, parcourir dans tous les dossiers (DATA, ROSE,) mais lorsqu'il tentera de créer un dossier ou supprimer un fichier ou dossier dans MUSIC, il n'aura pas l'accès.

III.4.3- Le cluster

Plusieurs risques (panne matérielle, incendie...)peuvent être à l'origine du dysfonctionnement du système d'information, c'est dans cette optique que nous avons configuré notre stockage en RAID1 réseau (disque en miroir) avec l'outil DRBD, dans la figure 24, nous allons simuler un crash du disque du serveur principal. La commande fdisk -l permet de lister l'ensemble des disques présent sur notre serveur.

Sur le serveur principal rl1 tapons drbd-overview, pour vérifier l'état de notre RAID, d'après la figure 25, le serveur rl1 est toujours en attente d'un remplacement du disque. L'option Diskless/DUnknown et /mnt/DATA permet d'affirmer que les données existantes avant le crash sont toujours disponibles.

Le DRBD est maintenant en attente de connexion.Maintenant toujours sans éteindre le rl2, rajoutons de nouveau un disque de 50Go.Refaites un fdisk -l et vous voyez maintenant qu'un nouveau /dev/sdb est apparus mais celui-ci est non partitionné.

Créons maintenant une partition comme nous l'avons fait tout au début et réactivons le DRBD.

La haute disponibilité de notre plateforme est gérée par le heartbeat. En cas de défaillance de < rl1 > il basculera le partage Samba sur < rl2 >grâceàl'IP virtuelle du cluster. La figure suivante nous montre que suite à une interruption momentanée du serveur principal le serveur secondaire prend la relève avec l'attribution d'IP virtuelle 192.168.1.100 dans son réseau.

Le cluster de la haute disponibilité fonctionne correctement, nous avons vu précédemment que même en cas de crash d'un disque dur sur l'un des serveurs, l'autre disque prend la relève. La disponibilité de nos services est gérée par le logiciel heartbeat grâce à l'IP virtuelle du cluster. C'est avec cet IP virtuelle que les machines (figure 27) intégreront le domaine RADIO.LAN.

III.4.4- Le backup

Afin de garantir la disponibilité des ressources nous avons installé un outil de backup en cluster pour la sauvegarde automatique ou manuelle des données (voir annexe 1 pour la configuration).Il s'agit du logiciel Backuppc voir la figure ci-dessus.

En somme, pour garantir la disponibilité du SI(Système d'Information) nous avons proposé un certain nombre d'équipements pour la redondance physique voir annexe 2.

III.4.5- Synthèse des résultats

En fin de compte, l'installation de ces technologies (Ubuntu server 16.04, le cluster (DRBD, Heartbeat), le Samba4 AD DC, le Backuppc) nous ont permis de trouver une solution à la problématique dont souffre Radio Lomé.En effet, ces résultats illustrés dans le tableau 14 vont changer le fonctionnement du réseau.

III.5 - Les limites de l'étude

La solution Samba est connue pour le partage de fichiers selon le protocole SMB développé par Microsoft. La version 4 de ce logiciel apporte la fonctionnalité supplémentaire d'un contrôleur de domaine Active Directory (Active Directory Domain Controller - AD DC). Cette fonctionnalité inclue en natif les services DNS, LDAP, Kerberos, RPC et SMB 3.0 ainsi que la distribution et la gestion des GPO.Elle fonctionne en mode graphique (GUI) ou ligne de commande (CLI). Cependant, vu que c'est une solution open source, il est quelque fois difficile de trouver la bonne documentation pour une configuration précise. Le fait qu'elle ne s'installe pas sur un système Windows et, le fait d'apprendre un nouveau langage décourage les administrateurs systèmes qui sont plus orientés vers Windows Server. Les étapes de configuration de la solutionSamba sont un peu compliquées et demandent une bonne connaissance en linux. La solution Samba^37(*)est vulnérable à une faille permettant l'exécution de code à distance. Le protocole SMB présente des failles lorsqu'elle connecter à l'internet, Samba ne valide pas correctement les permissions concernant le changement de mot de passe.Ce qui permet à un client malveillant de télécharger les dossiers partagés.

Conclusion

Dans ce chapitre nous avons déployé un environnement virtuel pour notre projet. Nous avons mis en place un cluster de haute disponibilité ainsi qu'un serveur d'authentification et de stockage, qui ici est notre solution Samba et serveur NAS.

CONCLUSION GENERALE

De nos jours, la sécurité informatique est indispensable pour le bon fonctionnement d'un réseau filaire ou non filaire. Aucune entreprise ne peut prétendre mettre en place une infrastructure réseau, quelque soit sa taille, sans envisager une politique de sécurité. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue.

La sécurité permet de lier la stratégie de sécurité de l'entreprise à sa réalisation opérationnelle. Elle doit être dynamique et remise en question de manière permanente afin de suivre l'évolution des systèmes, de l'environnement et des risques.

Un proverbe dit : « Mieux vaut prévenir que guérir. » Au terme du parcours des divers aspects de sécurité des systèmes d'information, nous pouvons dire qu'en ce domaine, prévenir est impératif, parce que guérir est impossible et de toute façon ne sert à rien.

La sécurité des systèmes informatiques se veut garantir les droits d'accès aux données et ressources d'un système en mettant en place des outils d'authentification et de contrôle tel que notre solution Samba et notre serveur NAS.

Le processus d'authentification compare les informations d'identification fournies à celles des utilisateurs autorisés, enregistrés dans une base de données stockée dans un serveur d'authentification. Si les informations sont identiques, le processus aboutit et l'utilisateur se voit autoriser l'accès.

Nous avons tout au long de notre travail mis en place une plateforme sécurisée avecune authentification tout en restant compatible avec les différentes technologies existantes.

Nous avons présenté Radio Lomé, notre structure d'accueil. Nous ne saurions débuter ce travail sans avoir une idée claire et précise sur l'existant quel qu'il soit. Pour cela nous avons présenté une architecture réseau de la Radio.

En effet la bonne compréhension de notre environnement de travail nous a aidés et permis de déterminer la portée du projet d'implémentation d'une solution de gestion des authentifications. Il est essentiel de disposer d'informations précises sur l'infrastructure réseau physique et les problèmes qui ont une incidence sur son fonctionnement.

Nous avons fait la recherche et le choix d'une solution d'authentification sur le réseau, de centralisation de données et de sauvegardes. Les informations confidentielles circulent dans les réseaux et la sécurité des accès est devenue une préoccupation importante des utilisateurs et des entreprises. Tous cherchent à se protéger contre une utilisation frauduleuse de leurs données ou contre des accès non autorisés dans les systèmes informatiques. Ce qui impose donc aux responsables de garantir un contrôle de leur réseau et la disponibilité des données. Afin d'assurer la disponibilité du stockage et des données, nous avons proposé, la mise en place d'un serveur de stockage de données de types NAS.Nous avions de nombreux outils et dispositifs à mettre en place pour assurer la sécurité du réseau. Ils tendent d'une part à prévenir et préserver le réseau et d'autre part, à permettre une meilleure protection des ressources qu'il contient.

La sécurisation du réseau d'entreprise passe également par le choix de bonnes solutions et technologie.

Nous avons présentéla solution Samba afin de comprendre l'historique et le fonctionnement de notre solution.L'enjeu est de trouver une solution pouvant totalement répondre à la problématique sur le plan de la sécurité. Ainsi, pour notre projet celle qui se dégage est le Samba AD DC et le stockage NAS.

Dans la mise en oeuvre nous avons déployé un environnement de simulation pour le projet. Nous devions mettre en place notre système de sécurité, qui ici est la solution Samba. Cependant notons qu'il ne nous a pas été possible de nous procurer tout le matériel physique pour implémenter le système comme il faut. Sur ce, nous avons dû étaler notre architecture dans un environnement virtuel avec VMware Pro 15.

Nous avons installé un cluster, un système de sauvegarde (Backuppc) afin de garantir la disponibilité des services du serveur ; un serveur Samba 4 que nous avons promu comme Domain Controller (DC). Toutes ces technologies, nous ont permis d'avoir un résultat répondant au besoin de Radio Lomé.

Toutefois, notre recherche n'a porté que sur la sécurité au niveau de la couche 7 (application) du modèle OSI, notre projet futur sera l'installation de RADUIS afin de sécuriser l'accès aux couches 2 et 3 du modèle OSI sur le SI. Nous envisageons aussi la segmentation du réseau en Vlan et l'affectation automatiques des Vlan en fonctions des identifiants des utilisateurs en vue d'intégrer de la mobilité et de la flexibilité dans le SI.

BIBLIOGRAPHIE

1. Maëlys De Santis, « Tout, tout, tout, vous saurez tout sur le certificat électronique », sur appvizer Magazine, 14 janvier 2019 (consulté le 7 Juillet 2019)

2. Emsisoft- Security Blog, « Qu'est-ce qu'un certificat numérique ? », 22 juillet 2014 (consulté le 7 Juillet 2019)

3. Nicolas BONNET, 2014. Installation et configuration de Microsoft Windows Server 2012. Edition Eni, 274p

4. MEMEL EMMANUEL LATHE, 2016, «Gestion de droits d'accès dans des réseaux informatiques», mémoire en Maîtrise en informatique, Université LAVAL,101p

5. DORDOIGNE.J, Réseaux informatiques »Notions fondamentales et administrations souswindows server ou linux», Edition ENI, France, Novembre 2014.

7. https://www.memoireonline.com/11/11/4927/m_Etude-et-mise-en-place-dun-serveur-contrleur-de-domaine-Samba-sur-administration-reseaux-sous-3.html#toc8, Mahamat Adam Abdou, Etude et mise en place d'un serveur contrôleur de domaine Samba sur administration réseaux sous Linux, Consulté le 23 juillet 2019.

8. https://www.lemagit.fr/definition/Authentification, Margaret Rouse, Authentification, 21 Juillet 2019

9. https://fr.wikipedia.org/wiki/Authentification_forte, WIKIPEDIA, Authentification forte, Consulté le 21 Juillet 2019

10. https://www.securiteinfo.com/cryptographie/otp.shtml, Arnaud Jacques, Les mots de passe à usage unique : One Time Password, 21 Juillet 2019

12. https://www.securiteinfo.com/conseils/biometrie.shtml, SoGoodToBe, La Biométrie, 22 Juillet 2019

13. https://fr.wikipedia.org/wiki/Authentification_unique, WIKIPEDIA, Authentification unique, 22 Juillet 2019

14. https://downloads.globalsign.com/acton/attachment/2674/f-03c1/1/-/-/-/-/fiche-technique-gestion-complete-certificats.pdf, GlobalSign, Gestion complète des certificats SSL/TLS, Consulté le 21 Juillet 2019

15. https://fr.wikipedia.org/wiki/Transport_Layer_Security, WIKIPEDIA, Transport Layer Security, Consulté le 22 Juillet 2019

16. https://fr.wikipedia.org/wiki/NT_Lan_Manager, WIKIPEDIA, NT Lan Manager, Consulté le 22 Juillet 2019

17. https://blog.devensys.com/kerberos-principe-de-fonctionnement, Léo GONZALES, Kerberos : Principe de fonctionnement, Consulté le 23 Juillet 2019

18. https://fr.wikipedia.org/wiki/Central_Authentication_Service, Wikipedia, Central Authentication Service, Consulté le 23 Juillet 2019

19. https://fr.wikipedia.org/wiki/Request_for_comments, Wikipedia, Request for comments, Consulté le 22 Juillet 2019

20. https://www.guill.net/view.php?cat=4&sec=2&cqr=4, S.Coze et S.Heldebaume de l'IUP du Littoral, Les protocoles d'authentification, Consulté le 22 Juillet 2019

21. https://fr.wikipedia.org/wiki/Point-to-Point_Protocol, Wikipedia, Point-to-Point Protocol, 22 Juillet 2019

22. https://www.guill.net/view.php?cat=4&sec=2&cqr=4, S.Coze et S.Heldebaume de l'IUP du Littoral, Les protocoles d'authentification, 23 Juillet 2019

24. https://www.esecurityplanet.com/products/top-network-access-control-solutions.html, Drew Robb, 9 Top Network Access Control (NAC) Solutions, 08 Juillet 2019

1. 25. https://www.esecurityplanet.com/products/extreme-networks-extremecontrol.html, Drew Robb, Extreme Networks ExtremeControl: NAC Product Overview and Insight, 08 Juillet 2019

26. https://forescout.fr/produits/counteract/, FORESCOUT, Forescout CounterACT, 08 Juillet 2019

30. https://gblogs.cisco.com/fr/securite/forte-acceleration-avec-cisco-ise-leader-du-magic-quadrant-gartner/?dtid=osscdc000328, Irene Golbery, Forte accélération avec Cisco ISE, leader du Magic Quadrant, Consulté le 03 Août2019

TABLE DES MATIERES

ANNEXES

Annexes 3 : Tutoriel pour réaliser l'installation de SAMBA en tant que Active Directory sous Ubuntu server 16.04

#sudo ln -s /etc/backuppc/apache.conf /etc/apache2/sites-enabled/backuppc.conf

Initialisation du mot de passe pour l'accès à l'interface web, définir le mot de passe que vous désirez.#sudo htpasswd /etc/backuppc/htpasswd backuppc

Conf{TarClientCmd} = '/usr/bin/env LC_ALL=C sudo $tarPath -c -v -f - -C$shareName --totals';

Démarrage des services, nous avons 2 services requis backuppc et apache pour l'interface web.

Désignations	Quantité	Prix Unitaire	Montant(CFA)
Serveur HPE ProLiant DL380 G10 Processeur Intel Xeon Scalable, 10-core Processor, 600GB Mémoire RAM 32Go DDR4	02	2682 €	3 513 420
Switch CISCO SG250-26P 24 ports Mémoire RAM 512Mo	01	399 €	261345
Onduleur APC Back-UPS Pro Puissance de 1,5kVA, mangeable, 8prises	02	385 €	504 350?
Baie de stockage HP MSA 2040 7,2TB (12Disques SAS de 600GB)	01	2951 €	1 932 905
Câblage, installation et configuration des serveurs	5 jours	forfait	1 700 000
Transfert de compétence	3 jours	forfait	215 000
Frais de maintenance de service	6 mois	forfait	300 000
Coût de la mise en oeuvre	5 jours	forfait	1 685 404?
Coût Total			10 112 424?

Annexes 3 : Tutoriel pour réaliser l'installation de SAMBA en tant que Active Directory sous Ubuntu server 16.04

J'ai installé Ubuntu server. Sur laquelle j'ai ensuite installé le serveur SAMBA 4.

Maintenant que l'ensemble de nos machines est prêt, nous allons paramétrer notre
serveur Ubuntu 16.04 LTS pour lui donner le rôle de contrôleur de domaine AD.
Pour ce faire, 2 solutions :

Ø Saisir directement les commandes dans le terminal de notre machine virtuelle ;

Ø Utiliser un utilitaire tel Putty (application Windows) pour accéder via SSH le serveur. Depuis notre serveur Ubuntu, il sera alors possible de copier/coller les commandes qui suivent dans ce document, directement dans la console SSH de Putty. A partir de maintenant, la plupart des commandes à exécuter seront précédées de ''sudo''

Pour commencer, on a configuré interface réseau de notre serveur Ubuntu en IP statique. (Nous allons utiliser 192.168.1.100 comme IP pour ce contrôleur de domaine, « rl » pour le nom de la machine et « RADIO.LAN » comme nom de domaine). Ensuite :

Dans ce fichier texte, j'ai changé iface ens33 inet dhcp pariface ens33 inet statique. Ajouter les lignes suivantes (en adaptant les adresses à notre configuration) :

Puis redémarrer le service hostname et network ou redémarrer le serveur avec les commandes :

Ø Mise à jour de la liste des fichiers disponibles dans les dépôts et installation des paquets nécessaires : avec les commandes

sudo apt-get install build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr acl krb5-user docbook-xsl libcups2-dev libpam0g-dev ntpdate ntp -y

(On accepter la demande de confirmation...et on patienter pendant le téléchargement et l'installation)

Vérifier que le nom de domaine (RADIO.LAN) proposé est correct puis on valide.

Dans les fenêtres suivantes, On entre le nom du serveur (rl) pour les serveurs
Kerberos et administratif

On repère la version de Samba téléchargée (visible dans le rapport d'actions
précédent....ici la version 4.10.7) et on passer dans le répertoire correspondant avec la commande :

4.1. Promouvoir le serveur comme contrôleur de domaine (équivalent du 'dcpromo'' de Windows server)

Avant de lancer la création du contrôleur de domaine, supprimer le fichier smb.conf qui a été créée par défaut l'hors de l'installation de samba.

L'option -use-rfc2307active les attributs Posix et crée les informations NIS dans l'AD. Ceci permet d'administrer les UIDs/GIDs et autres paramètres UNIX. Il est plus simple de l'activer durant l'initialisation plutôt que par la suite.

On répond aux questions en validant avec enterla proposition par défaut ou en
modifiant la réponse :

DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: (press Enter)

DNS forwarder IP address (write 'none' to disable forwarding) [192.168.1.100]: (press Enter)

administrator est le compte d'administration du contrôleur de domaine, par défaut. C'est avec cet identifiant que l'on pourra se connecter, via le client Windows 7, pour administrer notre AD. Le mot de passe correspondant comportera au moins 8 caractères dont 1 majuscule et 1 caractère spécial.

Les versions de smbclient et samba doivent être identiques pour fonctionner
ensemble. Pour visualiser la version installée de chacun, taper les commandes suivantes:

Ø Maintenant testons l'authentification de l'administrateur du contrôleur de domaine

Kerberos est le protocole d'authentification utilisé dans l'AD. Cette authentification est sécurisée (le mot de passe ne circule jamais sur le réseau)

On remplace {$REALM} par RADIO.LAN (dans Kerberos le domaine
s'écrit toujours en majuscules)

* ²MEMEL EMMANUEL LATHE, 2016, « Gestion de droits d'accès dans des réseaux informatiques», mémoire en Maîtrise en informatique, Université LAVAL,101p, consulté le 22 Juillet 2019.

* ³JF Pillou, Tout sur les systèmes d'information, Paris Dunod 2006, Collect° Commentcamarche.net

* ⁵https://www.lemagit.fr/definition/Authentification, Margaret Rouse, Authentification, Consulté le 21 Juillet 2019

* ⁶https://fr.wikipedia.org/wiki/Authentification_forte, WIKIPEDIA, Authentification forte, Consulté le 21 Juillet 2019

* ⁸https://www.securiteinfo.com/cryptographie/otp.shtml, Arnaud Jacques, Les mots de passe à usage unique : One Time Password,Consulté le 21 Juillet 2019

* ⁹http://www.chambersign.fr, ChamberSign, Se connecter, Consulté le 21 Juillet 2019

* ¹⁰Maëlys De Santis, « Tout, tout, tout, vous saurez tout sur le certificat électronique », sur appvizer Magazine, 14 janvier 2019 (consulté le 22 juillet 2019)

* ¹¹https://www.securiteinfo.com/conseils/biometrie.shtml, SoGoodToBe, La Biométrie, 22 Juillet 2019

* ¹²https://fr.wikipedia.org/wiki/Authentification_unique, WIKIPEDIA, Authentification unique, 22 Juillet 2019

* ¹³https://downloads.globalsign.com/acton/attachment/2674/f-03c1/1/-/-/-/-/fiche-technique-gestion-complete-certificats.pdf, GlobalSign, Gestion complète des certificats SSL/TLS, Consulté le 21 Juillet 2019

* ¹⁴https://fr.wikipedia.org/wiki/Transport_Layer_Security, WIKIPEDIA, Transport Layer Security, Consulté le 22 Juillet 2019

* ¹⁵https://fr.wikipedia.org/wiki/NT_Lan_Manager, WIKIPEDIA, NT Lan Manager, Consulté le 22 Juillet 2019

* ¹⁶https://blog.devensys.com/kerberos-principe-de-fonctionnement, Léo GONZALES, Kerberos : Principe de fonctionnement, Consulté le 23 Juillet 2019

* ¹⁷https://fr.wikipedia.org/wiki/Central_Authentication_Service, Wikipedia, Central Authentication Service, Consulté le 23 Juillet 2019

* ¹⁸https://fr.wikipedia.org/wiki/Request_for_comments, Wikipedia, Request for comments,Consulté le 22 Juillet 2019

* ¹⁹https://www.guill.net/view.php?cat=4&sec=2&cqr=4, S.Coze et S.Heldebaume de l'IUP du Littoral, Les protocoles d'authentification,Consulté le 22 Juillet 2019

* ²⁰https://fr.wikipedia.org/wiki/Point-to-Point_Protocol, Wikipedia, Point-to-Point Protocol, 22 Juillet 2019

* ²¹https://www.guill.net/view.php?cat=4&sec=2&cqr=4, S.Coze et S.Heldebaume de l'IUP du Littoral, Les protocoles d'authentification, Consulté le 23 Juillet 2019

* ²³ Nicolas BONNET, 2014. Installation et configuration de Microsoft Windows Server 2012. Edition Eni, 274p

* ²⁴ https://www.esecurityplanet.com/products/top-network-access-control-solutions.html, Drew Robb, 9 Top Network Access Control (NAC) Solutions, 08 Juillet 2019

* ²⁵ https://www.esecurityplanet.com/products/extreme-networks-extremecontrol.html, Drew Robb, Extreme Networks ExtremeControl: NAC Product Overview and Insight, 08 Juillet 2019

* ²⁶ https://forescout.fr/produits/counteract/, FORESCOUT, Forescout CounterACT,Consulté le 08 Juillet 2019

* ³¹https://gblogs.cisco.com/fr/securite/forte-acceleration-avec-cisco-ise-leader-du-magic-quadrant-gartner/?dtid=osscdc000328, Irene Golbery, Forte accélération avec Cisco ISE, leader du Magic Quadrant, Consulté le 03Aout 2019