1.
Rapport du projet
Réseau d’une entreprise
REALISE PAR :
BATAH SALWA
MOUNIR KHADIJA
RAIS SAID
RHOUNIMI AISSAM

2.
PAGE 1
Scénario :
Un ordinateur client va se connecter au réseau local à travers le
point d’accès qui va lui offrir une adresse IP dynamiquement à
travers le DHCP. Le FireWall ne lui autorisera d’accéder qu’aux
services de web, messagerie, partage de fichiers. Ce DHCP va lui
offrir aussi l’adresse du serveur DNS afin qu’il puisse y accéder pour
avoir l’adresse IP du serveur Web et du serveur de partage de
fichier. Le serveur Web hébergera une plateforme (siteweb interne)
qu’on peut y accéder du pc client à travers un nom domaine (exp : «
genieinfo.ehtp »). Le serveur ftp sera lié à ce nom de domaine (exp
: « ftp.genieinfo.ehtp »), ainsi le service de messagerie local (exp :
« mail.genieinfo.ehtp »).
Chaque client doit avoir une adresse mail (exp : «
client1@genieinfo.ehtp »), une adresse sécurisé par un mot de passe
de son choix. Il peut échanger des mails avec ces collègues du même
réseau, ainsi de partager des documents à travers NFS. Pour plus de
sécurité, le serveur FTP n’autorisera l’accès aux fichiers qu’aux
clients. L’administrateur réseau surveille le réseau et ses machines
avec l’outil de NAGIOS. On peut accéder à distance par l’ordinateur
de l’administrateur réseau aux serveurs à travers SSH/Telnet pour
des raisons de maintenance ou de configuration. Les
communications web à travers l’extérieur passent par un serveur de
cache Proxy pour économiser les délais d’attente et la bande
passante.

3.
PAGE 2
Schéma global du projet :
Avant de commencer il faut préparer une architecture de reseau,
autrement dit : il faut indiquer les zone principales, et l’image
suivante montre notre architecture globale :
L’environement du notre projet contient principalement trois zone :
LAN : où les machines administarteurs et clients seront installées.
DMZ : (Demilitarized Zone) où les serveurs seront installés.
WAN : c’est le reste du monde (Internet).
L’image suivante montre les niveaux de confiance entre les
différentes zones :

4.
PAGE 3
Serveur Web
Commencez par installer Apache par la commande :
$ sudo apt-get install apache2
Sous Ubuntu, vous trouverez la configuration d’Apache dans le
répertoire /etc/apache2/ . La configuration est ensuite découpée
en un grand nombre de fichiers. Le fichier principal se nomme
apache2.conf . Comme c’est souvent le cas pour les fichiers de
configuration, les lignes commençant par un # sont des
commentaires et ce fichier est abondamment commenté.
Configuration de le fichier index.html
Address ip de serveur web
il faut relancer le service apache2 pour que les nouveautés de
configuration soient prises en compte :

5.
PAGE 4
Ceci nous donne :
Serveur de fichiers
NFS :
Dans cette étape, on va installer et configure NFS dans notre
serveur :
Step 1: Update repositories
Step 2: Installer NFS
Step 3: Configurer NFS
raiddisksera le dossier partagé dans notre cas.
Ajouter dans ce fichier:
~$ sudo apt-get update
~$ sudo apt-get install nfs-kernel-server
~$ nano /etc/exports

6.
PAGE 5
/mnt/raiddisk
192.168.43.0/255.255.255.0(rw,sync,root_squash,subtree_check
)
Après enregister et quitter
Step 4: Redemarrer le service NFS
Step 5: Configurer la machine client
~$ sudo service nfs-kernel-server restart

7.
PAGE 6
Step 6: Créer mount point
Step 7: Editer fstab
Ajouter:
ServerIP:/ServerFolder ClientFolder nfs Options dump pass
Par example:
192.168.43.178:/mnt/raiddisk /mnt/nfsmount nfs
rw,soft,intr,noatime,timeo=100,rsize=32768,wsize=32768 0 2
~$ sudo apt-get install nfs-common
~$ sudo mkdir /mnt/nfsmount
~$ sudo nano /etc/fstab

8.
PAGE 7
Step 8: Essayer le
Aprés, il suffit de créer des dossier ou fichier dans “mnt/raiddisk”
dans la machine serveur, ou dans “mnt/nfmount” dans la machine
client pour les échanger entre les deux machines.
~$ mount -a

9.
PAGE 8
FTP :
Dans cette étape, on va installer et configure FTP dans notre
serveur:
Step 1: Update repositories
Step 2: Installer vsftpd
Step 3: Configurer vsftpd
Assuez-vous que:
o anonymous_enable=YES
o local_enable=YES
o write_enable=YES
Aprés enregister et quitter.
~$ sudo apt-get update
~$ sudo apt-get install vsftpd
~$ nano /etc/vsftpd.conf

10.
PAGE 9
Step 4: Redemarrer le service vsftpd
Aprés on crée un fichier dans la machine serveur “ftp2_share” et la
machine client “ftp2”.
~$ sudo service vsftpd restart

11.
PAGE 10
SAMBA :
Dans cette étape, on va installer et configure SAMBA dans notre
serveur:
Step 1: Update repositories
Step 2: Installer samba
~$ sudo apt-get update

12.
PAGE 11
Step 3: Configurer samba
Assuez-vous que:
o workgroup = WORKGROUP
A la fin, il faut ajouter le path du fichier qui sera partagé.
Aprés enregister et quitter.
~$ sudo apt-get install samba
~$ nano /etc/samba/smb.conf

13.
PAGE 12
Step 4: Créer le document partagé, on l’appelera “share”.
Step 5: Changer le propriétaire du document partagé.
Step 6: Commenter les deux lignes comme il est montré ci-
dessous.
~$ sudo mkdir -p /srv/samba/share
~$ sudo chown nobody.nogroup /srv/samba/share
~$ nano /etc/init/nmbd.conf

14.
PAGE 13
Step 6: Redemarrer le service
Après, il suffit de créer un fichier dans le dossier share.
On ouvre Network dans notre pc.
On trouve notre serveur mail, quand on y accède, on trouve les
fichiers qu’on a créé dans le dossier samba.
~$ sudo restart smbd
~$ sudo restart nmbd

15.
PAGE 14
Serveur d’annuaire
Présentation du protocole LDAP:
Le protocole LDAP (Lightweight Directory Access Protocol) permet
d'interroger et de modifier un service d'annuaire. En d'autres
termes, LDAP est utilisé sur un réseau local (LAN) pour gérer et
accéder à un service d'annuaire distribué. Le but principal de LDAP
est de fournir un ensemble d'enregistrements dans une structure
hiérarchique. Que pouvons-nous faire avec ces enregistrements ? Le
meilleur cas d'utilisation est pour la validation et/ou

16.
PAGE 15
l'authentification des utilisateurs sur les bureaux. Si le serveur et le
client sont correctement configurés, tous les bureaux Linux peuvent
s'authentifier sur le serveur LDAP. Cela constitue un excellent point
d'entrée unique afin qu’on puisse mieux gérer (et contrôler) les
comptes d'utilisateurs.
L'application la plus populaire de LDAP pour Linux est OpenLdap.
OpenLDAP est une implémentation gratuite et open-source du
Lightweight Directory Access Protocol, et il est incroyablement
facile de faire fonctionner le serveur LDAP.
Dans la première étape, on va faire la démonstration de l'installation
et de la configuration d'OpenLDAP sur Ubuntu Server 16.04. Tout
ce dont nous aurons besoin pour que cela fonctionne est une
instance en cours d'exécution d'Ubuntu Server 16.04 et un compte
d'utilisateur avec des privilèges sudo.
La première chose que nous allons faire est de mettre à jour et de
mettre à niveau le serveur. Notez que si le noyau est mis à jour, le
serveur devra être redémarré. Pour cette raison, exécutons la mise à
jour / mise à niveau à un moment où le serveur peut être redémarré.
Pour mettre à jour et mettre à niveau Ubuntu, on doit se connecter
au serveur et exécuter les commandes suivantes:
sudo apt-get update
sudo apt-get upgrade -y
Installation d’OpenLDAP
Puisque nous utiliserons OpenLDAP comme logiciel de serveur
LDAP, il peut être installé à partir du référentiel standard. Pour
installer les pièces nécessaires, connectons-vous à notre serveur
Ubuntu et exécutons la commande suivante :
sudo apt-get install slapd ldap-utils –y
Pendant l'installation, on doit créer un mot de passe administrateur
pour l'annuaire LDAP. On doit taper le mot de passe et le confirmer

17.
PAGE 16

18.
PAGE 17
Configuration de LDAP
Une fois l'installation des composants terminée, il est temps de
configurer LDAP. Il existe un outil pratique que nous pouvons
utiliser pour y arriver. Dans la fenêtre du terminal, exécutez la
commande :
sudo dpkg-reconfigure slapd
Dans la première fenêtre, appuyez sur Entrée pour sélectionner Non
et continuer.

19.
PAGE 18
Dans la deuxième fenêtre de l'outil de configuration, vous devez
saisir le nom de domaine DNS du serveur. Cela servira de DN de
base (le point à partir duquel un serveur recherchera des
utilisateurs) pour l’annuaire LDAP.

20.
PAGE 19
Dans la fenêtre suivante, tapez votre nom d'organisation.

21.
PAGE 20
Vous serez ensuite invité à créer un mot de passe administrateur
(vous pouvez utiliser le même que celui que vous avez utilisé lors de
l'installation)

22.
PAGE 21
Confirmation du mot de passe :

23.
PAGE 22
Pour la question Backend de base de données à utiliser
sélectionnez MDB.
Choisir « Non » pour l’écran suivant :

24.
PAGE 23
Choisir «Oui» pour l’écran suivant aussi :

25.
PAGE 24
Choisir « Non » pour l’écran suivant également :

26.
PAGE 25
Si tous est bien passé, vous allez avoir les lignes suivantes :
Accéder à l’interface web phpldapadmin :
Maintenant, ouvrons un navigateur Web et saisissons
l'URL http://Adresse-IP/phpldapadmin. Où Adresse-IP est l’adresse
du serveur LDAP.
Maintenant, connectons-nous en utilisant le nom d'utilisateur "cn =
admin, dc = genieinfo, dc = com" et le mot de passe administrateur
que nous avons créé lors de la configuration. Cliquons ensuite sur le

27.
PAGE 26
bouton Authentifier. On va avoir le tableau de bord par défaut
phpLDAPadmin dans la page suivante :
Ensuite, nous allons créer une structure de base pour les
informations comme les unités organisationnelles, les groupes et les
utilisateurs. Pour ce faire, on clique sur le "plus" à côté des
composants du domaine (dc = genieinfo, dc = com). On doit avoir la
page suivante :
Créer une unité d’organisation :
Maintenant, on clique sur le lien "Créer une nouvelle entrée ici" sur
le côté gauche. Nous devrions voir les différents types d'entrées
dans la page suivante :

28.
PAGE 27
Maintenant, cliquez sur "Generic: Organizational Unit". Il vous sera
demandé de fournir le nom de l’unité organisationnelle. Tapez des
groupes et cliquez sur le bouton Créer un objet. Vous devriez voir la
page suivante :
Maintenant, cliquez sur le bouton Valider. Vous pouvez voir une
nouvelle entrée sur le côté gauche :

29.
PAGE 28
Ensuite, créez une autre unité d'organisation "Utilisateurs" avec la
même procédure. Vous devriez voir la page suivante :
Créer des groupes :
Ensuite, vous devrez créer les groupes au sein de l'unité
d'organisation "groupes". Pour ce faire, on clique sur la catégorie
"groupes" que nous avons créés. Dans le volet principal, cliquons sur
"Créer une entrée enfant". Nous devrions voir la page suivante :
Finalement, Nous avons installé et configuré avec succès
OpenLDAP et phpLDAPadmin sur notre serveur Ubuntu
16.04. Nous devrions maintenant avoir un serveur LDAP de base
configuré avec quelques utilisateurs et groupes.

30.
PAGE 29
Serveur de surveillance
Présentation du protocole SNMP :
SNMP signifie protocole de gestion de réseau simple. C'est un
moyen pour les serveurs de partager des informations sur leur état
actuel, ainsi qu'un canal par lequel un administrateur peut modifier
des valeurs prédéfinies. Bien que le protocole lui-même soit très
simple, la structure des programmes qui implémentent SNMP peut
être très complexe.
Présentation de l’application Nagios :
Nagios est le leader et la norme de l'industrie en matière de
solutions de surveillance de classe entreprise. Nagios fournit deux
outils de surveillance Nagios Core et Nagios XI. Nagios Core est un
outil gratuit et open source qui vous permettent de surveiller
l'ensemble de votre infrastructure informatique pour vous assurer
que les hôtes, les services et les applications fonctionnent
correctement. Pour plus d'informations, vous pouvez visiter le site
Web de Nagios.
Installation :
Voici la liste des commandes à taper pour installer et configurer le
protocole SNMP et Nagios :
Installation des prérequis :
$ sudo apt install wget build-essential apache2 php
libapache2-mod-php7.2 php-gd libgd-dev unzip postfix
Configuration des utilisateurs et des groupes :
$ useradd nagios
$ groupadd nagcmd
$ usermod -a -G nagcmd nagios

31.
PAGE 30
$ usermod -a -G nagios,nagcmd www-data
Téléchargez et extrayez le noyau Nagios :
$ wget https://assets.nagios.com/downloads/n...
$ tar -xzf nagios*.tar.gz
Nous devrons le configurer avec l'utilisateur et le groupe
que nous avons créé précédemment :
$ ./configure --with-nagios-group=nagios --with-command-
group=nagcmd
$ make all
$ make install
$ make install-commandmode
$ make install-init
$ make install-config
$ /usr/bin/install -c -m 644 sample-config/httpd.conf
/etc/apache2/sites-available/nagios.conf
Copiez le répertoire evenhandler dans le répertoire nagios :
$ cp -R contrib/eventhandlers/ /usr/local/nagios/libexec/
$ chown -R nagios:nagios
/usr/local/nagios/libexec/eventhandlers
Installer les plugins Nagios :
$ wget https://nagios-plugins.org/download/n...
$ tar -xzf nagios-plugins*.tar.gz

32.
PAGE 31
Installez le plugin Nagios avec les commandes ci-dessous :
$ ./configure --with-nagios-user=nagios --with-nagios-
group=nagios --with-openssl
$ make
$ make install
Vous pouvez trouver la configuration par défaut de Nagios
dans / usr / local / nagios /. Nous allons configurer Nagios
et Nagios contact. On Modifie la configuration par défaut
des nagios avec nano :
$ nano -c /usr/local/nagios/etc/nagios.cfg uncomment line 51
for the host monitor configuration. Save and exit.
Ajoutez un nouveau dossier nommé servers :
$ mkdir -p /usr/local/nagios/etc/servers
Modifiez l'utilisateur et le groupe du nouveau dossier en
nagios :
$ chown nagios:nagios /usr/local/nagios/etc/servers
Activer les modules Apache :
$ sudo a2enmod rewrite
$ sudo a2enmod cgi

33.
PAGE 32
Vous pouvez utiliser la commande htpasswd pour
configurer un utilisateur nagiosadmin pour l'interface Web
nagios :
$ sudo htpasswd -c /usr/local/nagios/etc/htpasswd.users
nagiosadmin
Activer l'hôte virtuel Nagios :
$ sudo ln -s /etc/apache2/sites-available/nagios.conf
/etc/apache2/sites-enabled/
Démarrez Apache :
$ service apache2 restart
Lorsque Nagios démarre, vous pouvez voir l'erreur suivante
Démarrage de nagios (via systemctl): nagios.serviceFailed
Suivez les commandes :
$ cd /etc/init.d/
Si vous pouviez trouver le fichier nagios dans le dossier
$ cp /etc/init.d/skeleton /etc/init.d/nagios
$ nano /etc/init.d/nagios
Collez ce code à la fin du fichier
DESC="Nagios" NAME=nagios DAEMON=/usr/local/nagios/bin/$NAME
DAEMON_ARGS="-d /usr/local/nagios/etc/nagios.cfg"
PIDFILE=/usr/local/nagios/var/$NAME.lock

34.
PAGE 33
Rendez-le exécutable et démarrez Nagios
$ chmod +x /etc/init.d/nagios
$ service apache2 restart
Nous allons d'abord créer / modifier le nagios.service:
$ nano /etc/systemd/system/nagios.service
Collez le code suivant du fichier :
[Unit]
Description=Nagios
BindTo=network.target
[Install]
WantedBy=multi-user.target
[Service]
User=nagios
Group=nagios
Type=simple
ExecStart=/usr/local/nagios/bin/nagios
/usr/local/nagios/etc/nagios.cfg
Nous devons activer la configuration nagios.service créée :
$ systemctl enable /etc/systemd/system/nagios.service

35.
PAGE 34
$ service nagios start
Pour vérifier que le service fonctionne :
$ service nagios status
Et finalement, on va installer htop pour surveiller la
mémoire :
$ apt install htop
Accéder à l’interface web Nagios :
Maintenant, ouvrons un navigateur Web et saisissons
l'URL http://Adresse-IP/nagios. Où Adresse-IP est l’adresse
du serveur SNMP.

36.
PAGE 35
Serveur de distribution des adresses IP
Routage:
Configuration des interfaces réseaux :
Tout d'abord, nous devons configurer les interfaces réseau que nous
utiliserons. Dans mon cas, eth0 sera le WAN et eth1 LAN
WAN (eth0) - cette interface obtiendra une adresse IP du FAI, nous
la laissons donc en utilisant DHCP.
LAN (eth1) - nous configurons l'interface avec une adresse IP
statique dans le sous-réseau que nous allons utiliser pour le réseau
local.
Juste une petite note, Ubuntu 18.04 n'utilise pas le fichier de
configuration réseau traditionnel /etc/network/interfaces. Il
utilise NETPLAN. Dans notre cas, il y a un fichier de configuration,
appelé 50-cloud-init.yaml dans le dossier /etc/netplan/. Dans votre
cas, le fichier peut avoir un nom différent, recherchez simplement le
fichier avec l'extension .yaml dans le dossier netplan.
Ouvrons-le avec nano:
Modifiez-le en fonction de vos besoins réseau, dans mon exemple,
j'ai configuré comme ceci:

37.
PAGE 36
Pour résumer: eth0 qui est le WAN, obtient l'IP du modem du
fournisseur d'accès Internet. Eth1 est une partie LAN du routeur.
Nous en avons besoin pour avoir une IP statique et des serveurs
DNS (dans mon exemple, j'ai utilisé Google). De plus, nous n'avons
configuré aucune passerelle sur eth1.
Enregistrez la configuration avec les commandes suivantes :
DHCP :
Serveur de distribution des adresses IP :
 Protocole concerné : DHCP
 Application : DHCP-Server
Ensuite, nous voulons configurer un serveur DHCP. Nous ne
voulons vraiment pas configurer chaque client avec une adresse IP

38.
PAGE 37
statique dans le réseau LAN. Pour cette tâche, nous devons installer
le package suivant.
Ensuite, nous devons modifier le fichier /etc/default/isc-dhcp-
server. Cela indique au serveur DHCP quelle interface réseau il doit
écouter. Dans mon cas, bien sûr, eth1, l'interface LAN.
On entre dans la commande :
Et sous «INTERFACESv4», insérez votre interface réseau LAN. Dans
mon cas, c'est eth1:
La prochaine étape serait de configurer le serveur DHCP. Cela se fait
en éditant le fichier /etc/dhcp/dhcpd.conf
Voici un tas de paramètres différents, la plupart d'entre eux sont
commentés avec # avant chaque ligne. Pour le raccourcir, je ne
l'écrirai que les paramètres que j'ai utilisés et / ou les éditer en
fonction de mes besoins. Si vous le souhaitez, vous pouvez
supprimer tout le contenu de ce fichier et simplement copier /
coller le code ci-dessous. Bien sûr, vous modifiez les IP, les

39.
PAGE 38
PASSERELLES, etc. en fonction de votre propre configuration
réseau.
Appliquons maintenant les paramètres et activons le serveur DHCP
au démarrage avec les commandes suivantes:
Avec la commande suivante, nous vérifions l'état.
Serveur de cache
- Un proxy-cache fait l’intermédiaire entre des utilisateurs et
Internet.
- Squid est un des proxy-cache les plus répandus et les plus
puissants.

40.
PAGE 39
- si tous les utilisateurs d’un même réseau local passent par un
proxy-cache, lorsque le premier utilisateur va télécharger des
fichiers sur Internet, ils seront stockés sur le proxy-cache. Si un
deuxième utilisateur demande les mêmes fichiers, ils seront pris
dans le proxy-cache sauf si entre-temps ils ont été modifiés sur le
site distant. L’utilisation d’un proxy-cache peut donc permettre
un accès plus rapide aux utilisateurs et un gain de bande
passante au niveau de la connexion Internet.
- Un autre intérêt d’un cache local est qu’il peut autoriser ou
d’interdire l’accès à certains ressources en ligne : sites web,
ports/services, etc. Il est alors possible de mettre en place une
politique de sécurité globale pour tout un réseau local.
Installez le proxy-cache Squid :
sudo apt-get install squid
Toute la configuration se fait ensuite dans le
fichier /etc/squid/squid.conf . Dans ce fichier, toutes les lignes
commençant par # sont des commentaires.
ACL signifie Access Control List. Les ACL sont donc des critères de
contrôle d’accès qui seront ensuite utilisés par la
directive http_access pour autoriser ou interdire les connexions
HTTP en fonction de ces critères.
Concernant la directive acl :
 le 2e champ représente le nom de l’acl. Plusieurs directives acl
avec le même nom vont cumuler les critères de chaque
directive.
 le 3e champ indique le type d’acl. Il existe de nombreux types
mais les plus importants
sont src (source), dst (destination), port et time (temps).

41.
PAGE 40
 le 4e champ indique la valeur. En fonction du type, cette
valeur pourra être l’adresse d’un réseau, un port, etc.
Dans la configuration par défaut, vous pouvez voir qu’une
ACL Safe_ports est définie. Elle regroupe un ensemble de ports
TCP courants et considérés comme sûrs auxquels vous pourrez
donner accès à vos utilisateurs.
La directive http_access est suivie de allow ou deny pour
autoriser ou interdire l’accès au proxy-cache. Le dernier champ est
le nom de l’ACL qui va être évaluée pour autoriser ou interdire
l’accès. Le nom de l’ACL peut être précédé d’un ! pour indiquer “le
contraire” de l’ACL. Par exemple, par défaut, la première
directive http_access est :

42.
PAGE 41
La directive http_port indique l’adresse et le port sur lesquels
écoute Squid. Par défaut, Squid écoute sur toutes les interfaces
réseau sur le port 3128.
Les directives refresh_pattern précisent les règles qui établissent si
un fichier est “frais” ou “périmé”. Un fichier “périmé” est supprimé
du cache. Vous pouvez laisser les règles par défaut.

43.
PAGE 42
Configurez un navigateur client pour utiliser votre
proxy-cache :
Dans les paramètres, cliquez sur “Configuration manuelle du Proxy”,
rentrez l’adresse IP du serveur proxy-cache dans “HTTP Proxy” et le
port sur lequel écoute Squid. Enfin, cochez la case “Utilisez ce proxy
pour tous les protocoles”.

44.
PAGE 43

45.
PAGE 44
Serveur de sécurité
Pare-feu / Farwall :
 Service : Pare-feu
 Application : Netfilter (iptables)
Nous n’avons pas atteind à assurer la sécurité en utilisant
l’application iptables à cause des contrientes technique (problème
de version de ubuntu) c’est pour cela on a utilisé l’outil UFW.
Afin d'avoir un routeur fonctionnel, nous devons configurer
correctement le pare-feu. Cela se fait en écrivant quelques règles
iptables. Afin de conserver les règles en cas de redémarrage du
serveur, j'ai créé un script à exécuter au démarrage.
Permet d'abord d'activer UFW avec…

46.
PAGE 45
Ensuite, nous devons activer le transfert des packages du WAN vers
le LAN. Nous avons le paramètre suivant dans le fichier
/etc/ufw/sysctl.conf:
Nous ouvrons le dossier…
… et nous supprimons simplement le # devant la ligne suivante:
Dans Ubuntu 18.04, le fichier /etc/rc.local n'existe plus. Mais nous
pouvons toujours le créer avec:
Ensuite, copiez / collez le script suivant. Il y a des commentaires
expliquant chaque règle iptables. Vous pouvez les supprimer si vous
le souhaitez, mais vous ne devez PAS supprimer #! / Bin / bash.
Modifiez également eth0 et eth1 si vos interfaces réseau ont des
noms différents.

47.
PAGE 46
Ce script doit être exécuté au démarrage, nous devons donc rendre
le fichier exécutable avec la commande suivante:
Nous redémarrons le routeur avec la commande sudo reboot