SlideShare une entreprise Scribd logo

BTS E4 SYSLOG

Télécharger en tant que DOCX, PDF
S
SbastienGuritey

Mon projet E4 SYSLOG

Carrière
1  sur  29
SEBASTIEN GUERITEY LYCEE CONDORCET PEUGEOT MOTOCYCLES INSTALLATION D’UN SERVEUR DE LOGS
I. Table des matières II. Présentation de l’infrastructure.............................................................................................. 3 III. Préparation du réseau........................................................................................................ 4 A. Créationdesinterfacesde managementsurleséquipementsd’interconnexionet paramétrage des VLAN.............................................................................................................. 4 1. Création de l’interface VLAN sur les switches et création de la passerelle surle routeur..... 4 2. Paramétrage des VLAN................................................................................................... 5 B. Installation des différents VPN............................................................................................ 7 1. Installation du client OpenVPN........................................................................................ 7 2. Paramétrage du tunnel IPSec.......................................................................................... 9 C. Elaboration des règles des différents Firewall ...................................................................... 9 1. Règles sur le pare-feu « pfsense-INT »............................................................................. 9 2. Règles sur le pare-feu « pfsense-EXT »............................................................................12 3. Règles sur le pare-feu « pfsense-SITEB » :........................................................................14 D. Mise en place du routage ..................................................................................................15 1. Routage sur les pare-feux ..............................................................................................15 2. Routage sur les routeurs Cisco .......................................................................................17 IV. Installation des services de SYSLOG et NTP..........................................................................18 A. Mise en place du service SYSLOG sur les périphériques .......................................................18 1. Mise en place sur les machines Linux..............................................................................18 2. Mise en place sur les routeurs/commutateurs Cisco........................................................18 3. Mise en place sur les pare-feux pfSense..........................................................................18 4. Mise en place sur les machines Windows........................................................................19 V. Installation du serveur mail et du serveur de logs ...................................................................22 A. Installation du serveur mail................................................................................................22 1. Installation du serveur SMTP..........................................................................................22 2. Installation du serveur POP/IMAP ..................................................................................23 3. Installation du client mail Rainloop.................................................................................23 4. Installation du serveur Nagios Log..................................................................................25 VI. Utilisation du serveur de logs.............................................................................................26
A. Tableau de bord................................................................................................................26 B. Conclusion........................................................................................................................28
II. Présentation de l’infrastructure
III. Préparation du réseau A. Création des interfaces de management sur les équipements d’interconnexion et paramétrage des VLAN PourpouvoirenvoyerlespaquetsSyslogdepuismeséquipementsd’interconnexiontelsque les switchesetlesrouteurs,j’ai souhaité créerdesréseauxde managementséparésauseinde VLAN dédiésàcet usage. Pourceci, j’ai opéré de différentesfaçons. 1. Création de l’interface VLAN sur les switches et création de la passerelle sur le routeur J’ai créé sur chaque switchde mon réseauune interface VLAN dédiée aumanagement : PourlesswitchesduLAN : VLAN 26 => 172.26.1.XX/24 Pourle switchde laZONE INTERMEDIAIRE: VLAN 27 => 172.26.1.XX/24 Pourle switchde laDMZ : VLAN 28 => 172.28.1.XX/24 Pourle switchdu site B : VLAN 29 => 172.29.1.XX/24 Exemple de la configuration d’un switch du LAN : Puis, ence qui concerne les VLAN 26 & VLAN 27 j’ai créé dessous-interfacessurle routeur « R_LAN »,sous-interfacesétantlespasserellesdesréseaux crééspourle management. Configuration des sous-interfaces du routeur :
Enfin,pourque lescommunicationspuissentêtre possibles,j’ai ajoutéauseindesswitcheslaroute par défautpermettantaux paquetsSyslogd’être acheminés. Résultat de la commande « show run » sur le Sw_Archi : J’ai opté différemmentpourle Sw_SiteBetle Sw_DMZ.En effetj’ai,surcesdeux commutateurs assignée une adresse IPduréseausurlequelilsse trouvaientàl’interface Vlan1. Résultat de la commande « show ip int » sur le Sw_SiteB : Puisj’ai ajouté lesroutesverslapasserelle duréseauassignéauVlan1,enl’occurrence le pfsense- SiteBetle pfsense-INT. En contrepartie,pourque le routage se fasse égalementdansl’autre sens,j’ai ajouté une route sur chaque pare-feuayantpourpasserelle l’interface Vlan1. Route ajoutée sur le pare-feu pfsense-SiteB : N.B: Je reviendrai surlesnotionsde routage plusloindanslaprésentation. 2. Paramétrage des VLAN Pourpermettre à mesmachinesd’envoyerdespaquetsàmonserveurde logsdansune certaine sécurité,il m’afallumettre enplace desVLAN et n’enaccorderle transitsurlesinterfacesque parcimonieusement.Pource faire,j’ai doncautorisé le moinsde VLAN possible surlesVLAN utilisateursetj’ai agrégé lesflux provenantde différentsVLAN pourenautoriserl’accèsjusqu’aux serveurs.
a) L’exempledu Sw_Archi Le Sw_Archi estle cœur de mon LAN ence sensque touslesflux sortantsduLAN ouarrivant aux serveursvontpasserdessus.Surcelui-cij’ai autorisé surchaque interface uniquementle VLAN de managementetceux desutilisateurs,tandisque surcelui qui permetl’accèsaurouteur,je lesai tous autorisés. b) L’exempledu Sw_Serv Le Sw_Servlui estaussi trèsimportantcar sanslui,aucune communicationversmesserveursn’est envisageable. Onvoitque surcelui-ci j’accèpte lespaquetstaggés desVLAN 26et300 car lesautres ayant été routésne sontplustaggéset n’ontpasbesoind’être marquéspourêtre autorisé à pénétrersurle switch.Une interface typiqueconcernantunserveurn’autorise que le VLAN dudit serveur.
B. Installation des différents VPN Pourque le PC étantsur le réseauInternetetle Site Bdistantpuissentenvoyerleslogssurmon serveurdédié se trouvantdansle réseau172.17.0.0/24, il fallaitque je créé destunnelspermettant l’acheminementdespaquetsSyslogàtraversle réseaupublic. 1. Installation du client OpenVPN Tout d’abordpourque le clientpuisse téléchargernotre clientOpenVPNdepuisn’importe oùsurle webj’ai libéré le port443 qui étaitredirigé surle serveurWebext (172.20.1.100) etpassé la configurationweben4433. Page d’accueil du pare-feu depuis l’IP publique : J’ai lié le pare-feuàl’ADetcréé deux groupes(adminsetusers),lesusersn’ontaucundroitd’écriture sur le fichier« config.xml» etne peuventdoncmodifieraucunparamètre.De plus,ilsn’ontaccès qu’àla page qui permetde téléchargerle clientOpenVPN.
Page de téléchargement du client OpenVPN : Une foisle clientOpenVPN téléchargé parle client,il lui suffitde le lancerpuisd’utiliseruncompte ayant lesdroitsassociésàune connexionVPN surle pare-feu.Une foislaphase de négociation terminée,le clientse verraattribuéeune adresse IPdansle réseaudédié àce VPN,enl’occurrence 172.22.0.0/24. Résultat de la commande « ipconfig » sur le PC client :
2. Paramétrage du tunnel IPSec En ce qui concerne laconnexionsite-à-site que j’aisouhaitémettre enplace entre le siteprincipalet le Site B, j’ai opté pourun tunnel IPSecentre lesdeuxadressespubliques(50.0.0.1& 80.0.0.1). J’ai configuré laclé partagée,ainsi que lesprotocolesde chiffrementetde hachage. Phase 1 du tunnel IPSec du pare-feu pfsense-EXT du site principal : Puisdansun secondtemps,j’ai ajouté explicitementtouslesréseauxlocaux amenésàcommuniquer viace tunnel ainsi que touslesréseaux distantsqui ferontde même. Phase 2 du tunnel IPSec du pare-feu pfsense-EXT du site principal : C. Elaboration des règles des différents Firewall 1. Règles sur le pare-feu « pfsense-INT » a) InterfaceLAN Sur cette interface j’autorise :
 TouteslescommunicationsIPv4depuislesréseaux machines,serveursetle réseau intermédiaire versl’extérieur.  Les communicationsTCP/UDPsurle port80 (http) versle serveurWEB-INT(redirectionde port)  Les 3 dernièresrèglesconcernentl’authentificationRADIUSetle proxy transparentSQUID. Règles FW sur l’interface « LAN » : b) InterfaceOPT1 Sur cette interface j’autorise :  Les communicationsSyslogversmonserveurde logs  Les ports80/443 (pourmettre à jour lespaquetsLinux etoptionnellementnaviguerenligne), le port 21 (pouréventuellementdéposerdesfichierssurle serveurSAMBA enDMZ).  Les portsNTP etDNS versmonAD pour pouvoirrésoudre le nomdesressourcesinterneset synchronisermonhorloge pour bénéficierd’unhorodatage plusprécisde meslogs.  Le port 3306 (MySQL) versle serveurDATABASEenDMZ pour pouvoircommuniqueravecla base de donnéesliée auserveurWeb. Règles FW sur l’interface « OPT1 » :
c) Interface WAN L’interface WAN estcelle surlaquellej’ai le plusaffiné lesentrées,carelle estle dernierrempart avant monLAN à proprementparler. Sur cette interface j’autorise :  Les communicationsvers monréseauserveursdepuislesréseauxSite BetOpenVPN  Les communicationSyslogversmonserveurde logs  Les requêtesDNSdepuischaque machine (dontle pare-feuexterne) de laDMZ étendue  Les requêtesNTPdepuischaque machine (dontle pare-feuexterne) de laDMZ étendue  Le protocole LDAPpermettantde liermonpare-feuexterne àmonAD  Enfin,l’ouverturede touslesportsprovenantde l’interface LAN dupare-feuversl’AD,carla mise enplace de la connexionOpenVPN passe parlagénérationde portsaléatoiresentre ces deux-là
Règles FW sur l’interface « WAN » : 2. Règles sur le pare-feu « pfsense-EXT » a) InterfaceLAN Sur cette interface j’autorise simplementtoutce qui a été NATé par l’interface WAN (ce qui vientdu LAN et de OPT1) Règle FW sur l’interface « LAN » b) InterfaceOPT1 Sur cette interface j’autorise :
 Les communicationsSyslogversmonserveurde logs  Les ports80/443 (pourmettre à jour lespaquetsLinux etoptionnellementnaviguerenligne), le port 21 (pouréventuellementdéposerdesfichierssurle serveurSAMBA enDMZ).  Les portsNTP etDNS versmonAD pour pouvoirrésoudre le nomdesressourcesinterneset synchronisermonhorloge pourbénéficierd’unhorodatage plusprécisde meslogs.  Le port 3306 (MySQL) versle serveurDATABASEenDMZ pour pouvoircommuniqueravecla base de donnéesliée auserveurWeb. Règles FW sur l’interface « OPT1 » : c) InterfaceWAN Sur cette interface j’autorise :  Les communicationssurle port80/443 à destinationduserveurWEB-EXTdansle cadre de la redirectionde ports.  Le port 1194 (OpenVPN) permettantaux clientsde se connecterviale VPN SSLà l’aide de l’IP publique. Règles FW sur l’interface « WAN » : d) Interface IPSec Sur cette interface j’autorise :  Les communicationsduréseau« SwitchesSiteB» verslesréseaux serveurs&DMZ
 Les communicationsprovenantduLAN duSite B verslesréseaux serveurs& DMZ Règles FW sur l’interface « IPSec » : e) InterfaceOpenVPN Sur cette interface j’autorise simplementlescommunicationsprovenantduLAN OpenVPN versles LAN serveurs& DMZ. Règle FW sur l’interface « OpenVPN » : 3. Règles sur le pare-feu « pfsense-SITEB » : a) InterfaceLAN Sur cette interface j’autorise :  Les communicationsSyslogetNTPduSwitchvers lesserveursduVLAN 300  Touteslescommunicationsprovenantdusous-réseau192.168.50.0/24 Règles FW sur l’interface « LAN » : b) InterfaceWAN Pourdes raisonsde sécurité,je n’autorise aucunflux àarriversurl’interface WAN.
c) InterfaceIPSec Sur cette interface j’autorise :  Les flux provenantdesréseaux serveurs&DMZ à destinationduréseau192.168.50.0/24  Les flux provenantdesréseaux serveurs&DMZ à destinationduréseaude management Règles FW sur l’interface « IPSec » : D. Mise en place du routage Pourque le réseaupuisse être opérationnel,il afalluque lespaquetspuissentarriveràdestination. Pourceci, j’ai doncrenseigné desroutesstatiques. J’ai installédesroutessurtroisde mes équipements :lesFirewalls,lesrouteursetlesswitches. J’ai parlé duroutage verslesswitchesdans la première partie,je reviendraidoncsimplementsurlesdeux autrestypesd’équipement. 1. Routage sur les pare-feux a) Routagesurlepare-feu « pfsense-INT» Sur ce routeur,j’ai 3 typesde routes.Lespremièrespartentversla patte durouteur« R_LAN » se trouvantdans monréseauintermédiaire etpermettantd’acheminerlespaquetsversles différents VLAN du site principal.LessecondesdirigentàmonSite B,à Internetetàmon LAN VPN.La dernière route quantà elle envoientlespaquetsdestinésàmonréseaude managementenDMZsur l’interface VLAN1de moncommutateur. Laroute par défautmène aupare-feu« pfsense-EXT». Table de routage sur « pfsense-INT » :
b) Routagesurlepare-feu « pfsense-EXT» Sur ce routeur,je n’ai qu’unseul type de route (le tunnel IPSecfaisantune liaisondirecte entre les deux réseaux limitrophesdesdeux pare-feux),etcesroutesmènentversmonLAN etma DMZ interne. Laroute par défautmène versle réseaupublic. Table de routage sur « pfsense-EXT » : c) Routagesurlepare-feu « pfsense-SiteB» Sur ce routeur, laseule route que je doisajouter (hormislaroute pardéfaut,menantelleauréseau public),estlaroute menantà l’interfaceVLAN1,interface se trouvantle surle switchetme permettantde routerversmoninterface de management. Table de routage sur « pfsense-SiteB » :
2. Routage sur les routeurs Cisco J’ai misen place deux typesde routage surmesrouteursCisco.En effetsur« R_LAN »,j’ai ajouté des routesstatiques,permettantde faire le lienentre mesVLAN etlesréseaux de DMZetVPN. Résultat de « show run » sur « R_LAN » : Tandisque pour mes2 routeursextérieurs,censésreprésenterunréseaupublic,j’ai utilisé le protocole RIPpourfaire communiquertouscesréseaux. Table de routage de « Routeur_Ext2_DHCP » :
IV. Installation des services de SYSLOG et NTP A. Mise en place du service SYSLOG sur les périphériques 1. Mise en place sur les machines Linux Sur lesmachinesLinux (clientsouserveurs),il fautparamétrerle fichierde configuration « rsyslog.conf » aveccomme paramètre le faitque touslesprogrammespeuventinteragiravecle serveurde logsmais uniquementpourlesproblèmes de niveaux0à 3. 2. Mise en place sur les routeurs/commutateurs Cisco Sur leséquipementsd’interconnexionCiscoil faut ajouterleslignescorrespondantaux alertesque noussouhaitonstransmettre auserveur,etce depuisquelleinterface.Biensûril fautégalement indiquerle protocolede transportutiliséetle portde destinationàl’écoutesurle serveur. 3. Mise en place sur les pare-feux pfSense Pourmettre enplace l’envoi de logssurlesFirewalls,il faut l’activer,choisirl’interface qui enverra leslogs,le protocole permettantd’envoyerlespaquets,ainsi que le serveurde destination.Biensûr, il faut égalementsélectionnerquelsévènementsserontloggésetenvoyésauserveur.
4. Mise en place sur les machines Windows PourlesmachinesWindows,latâche a été unpeudifférente.Eneffet,lesjournauxd’évènements Windowssontcomposésde fichiersETLetnon de fichiersLOG.Il m’a doncfalluinstallerunlogiciel permettantde convertirmesévènementsdansle bonformatpourqu’ilspuissentêtre interprétés par le serveurde logs. J’ai choisi d’opterpourune GPOpermettantde déployerle paquet.msi surtouteslesmachines Windowsdudomaine. a) Paramétragedela GPO J’ai tout d’abordcréé un dossierpartagé permettantl’accèsàlaressource pourlesutilisateursdu domaine :
Puisj’ai créé la GPOen tant que telle : Il ne fallaitplusque redémarrerle poste desutilisateursoualorseffectuerlacommande « gpupdate /force » pourprocéderau déploiementde l’application :
b) Paramétragedu logiciel Nousdevons,auseinde ce logiciel choisirquelstypesd’événementvontgénérerl’envoi de logsau serveur. Puisnousdevonsrenseignerl’adresseoule nom, le protocole etle portd’écoute duserveurde logs. Puisundernierencartnouspermetde testerlabonne connectivitéavecle serveurde logs.
V. Installation du serveur mail et du serveur de logs A. Installation du serveur mail Pourque la messagerie puisse fonctionnerj’ai ajouté dansmonDNSl’entréecorrespondantau serveurde messagerie. 1. Installation du serveur SMTP Pourque mon serveurde logspuisse envoyerdesreportspar mail J’ai choisi comme serveurSMTPla solutionPostfix. Je l’ai paramétré ensuivantuntutoriel etj’yajouté le domaine de messagerie « galaxy-swiss.local ». J’yai ajouté lescomptesde messageriessimulésactifsauseinde mon domaine de messagerie.
2. Installation du serveur POP/IMAP J’ai choisi d’installercomme serveurIMAPlasolutionDovecot,qui aété paramétré pourfonctionner enparallèle de Postfix. J’ai lié ce programme à une base de donnéesMariaDB. 3. Installation du client mail Rainloop J’ai choisi le clientmail Rainloopque j’ai installéégalementsurmonserveurde mailingenDMZ.
Une foisconnecté àcette interface grâce aux identifiantsde l’utilisateurs(identifiantsrenseignés dans Postfix Admin),l’utilisateurarrive face àl’interface d’utilisationde saboîte mail, cette même interface lui permettantde recevoiretd’envoyer descourriersélectroniques. Cette applicationwebseraaccessible viaunraccourci placé directementviaune GPOsur le bureau de chaque utilisateurdudomaine,etce sur n’importe quel PCdudomaine.
4. Installation du serveur Nagios Log PourinstallerNagiosLogj’ai téléchargé le fichiercompressécorrespondant aux composantsde ce serveurvialacommande « wget» suivi de l’URL. Puisj’ai lancé lesscriptsd’installationde ce serveurvialacommande « .fullinstall.sh» Enfinnousterminonsl’installationde ce serveurvial’URLmenantà l’applicationWebNagiosLog Server: https://naglogsrv/nagioslogserver
VI. Utilisation du serveur de logs A. Tableau de bord Nouspouvons,àpartir du serveurde logs,consulterlesdifférentslogsconcernantlesmachines supervisées. Quandle serveurestcontinuellementsoustension,nous pouvonschoisird’envoyerdesmailsaux administrateursréseau/système.Nouspouvonsenchoisirle contenu,lesmachinesconcernéesetla périodicité.
Une foisle mail envoyé,il estconsultable depuislaboîte mail de l’administrateur.
B. Conclusion En somme,l’installationd’unserveurde centralisationdeslogsm’apermisde couvrirune bonne partie duprogramme de ces deux annéesetd’yinclure biendesfacettesde ce que nousavonsappris enréseaueten système lorsde ce BTS. /!LA LICENCE AYANTEXPIREE PEU DE TEMPS AVANTL’ENVOIDU DOSSIER IL NE M’A PASETE POSSIBLEDE PRESENTERLE LOGICIEL DE SUPERVISION DANSSON INTEGRALITE/!

Recommandé

Redondance
RedondanceRedondance
RedondanceJeanFrancoisMARTIN5
 
Weos création d'une dmz
Weos création d'une dmzWeos création d'une dmz
Weos création d'une dmzFabian Vandendyck
 
SNMP
SNMPSNMP
SNMPBouras Mohamed
 
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detailléeTout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detailléeyassine87
 
Tp
TpTp
TpAbderrahmane Benyoub
 
Administration reseau web debian & ubuntu
Administration reseau web debian & ubuntuAdministration reseau web debian & ubuntu
Administration reseau web debian & ubuntuulratique
 
Rapport des travaux
Rapport des travauxRapport des travaux
Rapport des travauxBouras Mohamed
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsenseservinfo
 

Recommandé

Redondance
RedondanceRedondance
RedondanceJeanFrancoisMARTIN5
 
Weos création d'une dmz
Weos création d'une dmzWeos création d'une dmz
Weos création d'une dmzFabian Vandendyck
 
SNMP
SNMPSNMP
SNMPBouras Mohamed
 
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detailléeTout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detailléeyassine87
 
Tp
TpTp
TpAbderrahmane Benyoub
 
Administration reseau web debian & ubuntu
Administration reseau web debian & ubuntuAdministration reseau web debian & ubuntu
Administration reseau web debian & ubuntuulratique
 
Rapport des travaux
Rapport des travauxRapport des travaux
Rapport des travauxBouras Mohamed
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsenseservinfo
 
1 lexique de-commandes-cisco
1 lexique de-commandes-cisco1 lexique de-commandes-cisco
1 lexique de-commandes-ciscoMoctarThiongane
 
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustré
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustréPrésentation du portail captif Alcasar PPT avec tutoriel pratique illustré
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustréyassine87
 
Lire les tables de routage
Lire les tables de routageLire les tables de routage
Lire les tables de routagebelhadj_rached
 
Svn git-gestion-de-version
Svn git-gestion-de-versionSvn git-gestion-de-version
Svn git-gestion-de-versionzaghir
 
Redondance
RedondanceRedondance
RedondanceJeanFrancoisMARTIN5
 
Tp snmp
Tp snmpTp snmp
Tp snmpChris Dogny
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCopMohammed Zaoui
 
Lexique de-commandes-cisco
Lexique de-commandes-ciscoLexique de-commandes-cisco
Lexique de-commandes-ciscoTouré Kunda
 
Ciscomadesimple.be vrrp virtual router redundancy protocol
Ciscomadesimple.be vrrp virtual router redundancy protocolCiscomadesimple.be vrrp virtual router redundancy protocol
Ciscomadesimple.be vrrp virtual router redundancy protocolbasschuck2411
 
Corrigé cisco wissamben
Corrigé cisco wissambenCorrigé cisco wissamben
Corrigé cisco wissambenWissam Bencold
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerMed Ali Bhs
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseauxRabeb Boumaiza
 
E4 pt act_7_5_1
E4 pt act_7_5_1E4 pt act_7_5_1
E4 pt act_7_5_1Simo Alaoui
 
Creation de cluster (Master et deux slave ) nfs, htcondor, mpi
Creation de cluster (Master et deux slave ) nfs, htcondor, mpiCreation de cluster (Master et deux slave ) nfs, htcondor, mpi
Creation de cluster (Master et deux slave ) nfs, htcondor, mpiKhalid EDAIG
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-ciscoCamara Assane
 
Bah mamadou hady
Bah mamadou hadyBah mamadou hady
Bah mamadou hadyMamadouHadyBah
 
Travaux pratiques configuration du routage entre réseaux locaux virtuels
Travaux pratiques configuration du routage entre réseaux locaux virtuelsTravaux pratiques configuration du routage entre réseaux locaux virtuels
Travaux pratiques configuration du routage entre réseaux locaux virtuelsMohamed Keita
 
Hady bah l3
Hady bah l3Hady bah l3
Hady bah l3MamadouHadyBah
 
VTP(Virtual Trunking Protocol)
VTP(Virtual Trunking Protocol)VTP(Virtual Trunking Protocol)
VTP(Virtual Trunking Protocol)Sirine Ibrahim
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteDimitri LEMBOKOLO
 
Redondance
RedondanceRedondance
RedondanceJeanFrancoisMARTIN5
 
Projet 1
Projet 1Projet 1
Projet 1BenoitLescure
 

Contenu connexe

Tendances

1 lexique de-commandes-cisco
1 lexique de-commandes-cisco1 lexique de-commandes-cisco
1 lexique de-commandes-ciscoMoctarThiongane
 
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustré
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustréPrésentation du portail captif Alcasar PPT avec tutoriel pratique illustré
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustréyassine87
 
Lire les tables de routage
Lire les tables de routageLire les tables de routage
Lire les tables de routagebelhadj_rached
 
Svn git-gestion-de-version
Svn git-gestion-de-versionSvn git-gestion-de-version
Svn git-gestion-de-versionzaghir
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCopMohammed Zaoui
 
Lexique de-commandes-cisco
Lexique de-commandes-ciscoLexique de-commandes-cisco
Lexique de-commandes-ciscoTouré Kunda
 
Ciscomadesimple.be vrrp virtual router redundancy protocol
Ciscomadesimple.be vrrp virtual router redundancy protocolCiscomadesimple.be vrrp virtual router redundancy protocol
Ciscomadesimple.be vrrp virtual router redundancy protocolbasschuck2411
 
Corrigé cisco wissamben
Corrigé cisco wissambenCorrigé cisco wissamben
Corrigé cisco wissambenWissam Bencold
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerMed Ali Bhs
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseauxRabeb Boumaiza
 
Creation de cluster (Master et deux slave ) nfs, htcondor, mpi
Creation de cluster (Master et deux slave ) nfs, htcondor, mpiCreation de cluster (Master et deux slave ) nfs, htcondor, mpi
Creation de cluster (Master et deux slave ) nfs, htcondor, mpiKhalid EDAIG
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-ciscoCamara Assane
 
Travaux pratiques configuration du routage entre réseaux locaux virtuels
Travaux pratiques configuration du routage entre réseaux locaux virtuelsTravaux pratiques configuration du routage entre réseaux locaux virtuels
Travaux pratiques configuration du routage entre réseaux locaux virtuelsMohamed Keita
 
VTP(Virtual Trunking Protocol)
VTP(Virtual Trunking Protocol)VTP(Virtual Trunking Protocol)
VTP(Virtual Trunking Protocol)Sirine Ibrahim
 

Tendances (20)

1 lexique de-commandes-cisco
1 lexique de-commandes-cisco1 lexique de-commandes-cisco
1 lexique de-commandes-cisco
 
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustré
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustréPrésentation du portail captif Alcasar PPT avec tutoriel pratique illustré
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustré
 
Lire les tables de routage
Lire les tables de routageLire les tables de routage
Lire les tables de routage
 
Svn git-gestion-de-version
Svn git-gestion-de-versionSvn git-gestion-de-version
Svn git-gestion-de-version
 
Redondance
RedondanceRedondance
Redondance
 
Tp snmp
Tp snmpTp snmp
Tp snmp
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
 
Lexique de-commandes-cisco
Lexique de-commandes-ciscoLexique de-commandes-cisco
Lexique de-commandes-cisco
 
Ciscomadesimple.be vrrp virtual router redundancy protocol
Ciscomadesimple.be vrrp virtual router redundancy protocolCiscomadesimple.be vrrp virtual router redundancy protocol
Ciscomadesimple.be vrrp virtual router redundancy protocol
 
Corrigé cisco wissamben
Corrigé cisco wissambenCorrigé cisco wissamben
Corrigé cisco wissamben
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseaux
 
E4 pt act_7_5_1
E4 pt act_7_5_1E4 pt act_7_5_1
E4 pt act_7_5_1
 
Creation de cluster (Master et deux slave ) nfs, htcondor, mpi
Creation de cluster (Master et deux slave ) nfs, htcondor, mpiCreation de cluster (Master et deux slave ) nfs, htcondor, mpi
Creation de cluster (Master et deux slave ) nfs, htcondor, mpi
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco
 
Bah mamadou hady
Bah mamadou hadyBah mamadou hady
Bah mamadou hady
 
Travaux pratiques configuration du routage entre réseaux locaux virtuels
Travaux pratiques configuration du routage entre réseaux locaux virtuelsTravaux pratiques configuration du routage entre réseaux locaux virtuels
Travaux pratiques configuration du routage entre réseaux locaux virtuels
 
Hady bah l3
Hady bah l3Hady bah l3
Hady bah l3
 
VTP(Virtual Trunking Protocol)
VTP(Virtual Trunking Protocol)VTP(Virtual Trunking Protocol)
VTP(Virtual Trunking Protocol)
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 

Similaire à BTS E4 SYSLOG

Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteFabian Vandendyck
 
Presentation DMZ - GUERITEY
Presentation DMZ - GUERITEYPresentation DMZ - GUERITEY
Presentation DMZ - GUERITEYSbastienGuritey
 
Mini projet bureau à distance sécurisé
Mini projet bureau à distance sécuriséMini projet bureau à distance sécurisé
Mini projet bureau à distance sécuriséSamiMessaoudi4
 
Case Cloud-Windows -ver 41a
Case Cloud-Windows -ver 41aCase Cloud-Windows -ver 41a
Case Cloud-Windows -ver 41aJulien Genon
 
Deep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudDeep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudJulien SIMON
 
Cours reseau ouya
Cours reseau ouyaCours reseau ouya
Cours reseau ouyaYaya Diako
 
Ms es 70-291_1.0_fr
Ms es 70-291_1.0_frMs es 70-291_1.0_fr
Ms es 70-291_1.0_frjmydsa
 
vpn-user-guide vpn-user-guide vpn-user-guide
vpn-user-guide vpn-user-guide vpn-user-guidevpn-user-guide vpn-user-guide vpn-user-guide
vpn-user-guide vpn-user-guide vpn-user-guidemia884611
 
Tutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme WindowsTutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme Windowsemmanuel minjoe
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfmia884611
 
Virtual Private Network Virtual Private Network
Virtual Private Network Virtual Private NetworkVirtual Private Network Virtual Private Network
Virtual Private Network Virtual Private Networkmia884611
 

Similaire à BTS E4 SYSLOG (20)

Redondance
RedondanceRedondance
Redondance
 
Projet 1
Projet 1Projet 1
Projet 1
 
Mini projet nextcloud
Mini projet nextcloudMini projet nextcloud
Mini projet nextcloud
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
Mise en place nagios
Mise en place nagiosMise en place nagios
Mise en place nagios
 
Presentation DMZ - GUERITEY
Presentation DMZ - GUERITEYPresentation DMZ - GUERITEY
Presentation DMZ - GUERITEY
 
Mini projet bureau à distance sécurisé
Mini projet bureau à distance sécuriséMini projet bureau à distance sécurisé
Mini projet bureau à distance sécurisé
 
Case Cloud-Windows -ver 41a
Case Cloud-Windows -ver 41aCase Cloud-Windows -ver 41a
Case Cloud-Windows -ver 41a
 
Deep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudDeep Dive: Virtual Private Cloud
Deep Dive: Virtual Private Cloud
 
Vpn
VpnVpn
Vpn
 
Cours reseau ouya
Cours reseau ouyaCours reseau ouya
Cours reseau ouya
 
Ms es 70-291_1.0_fr
Ms es 70-291_1.0_frMs es 70-291_1.0_fr
Ms es 70-291_1.0_fr
 
vpn-user-guide vpn-user-guide vpn-user-guide
vpn-user-guide vpn-user-guide vpn-user-guidevpn-user-guide vpn-user-guide vpn-user-guide
vpn-user-guide vpn-user-guide vpn-user-guide
 
Configuration Nimbus
Configuration NimbusConfiguration Nimbus
Configuration Nimbus
 
Tutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme WindowsTutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme Windows
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
 
Preparation tpcisco reseaux
Preparation tpcisco reseauxPreparation tpcisco reseaux
Preparation tpcisco reseaux
 
Nagios doc
Nagios docNagios doc
Nagios doc
 
Mise en place nagios
Mise en place nagiosMise en place nagios
Mise en place nagios
 
Virtual Private Network Virtual Private Network
Virtual Private Network Virtual Private NetworkVirtual Private Network Virtual Private Network
Virtual Private Network Virtual Private Network
 

BTS E4 SYSLOG

  • 1. SEBASTIEN GUERITEY LYCEE CONDORCET PEUGEOT MOTOCYCLES INSTALLATION D’UN SERVEUR DE LOGS
  • 2. I. Table des matières II. Présentation de l’infrastructure.............................................................................................. 3 III. Préparation du réseau........................................................................................................ 4 A. Créationdesinterfacesde managementsurleséquipementsd’interconnexionet paramétrage des VLAN.............................................................................................................. 4 1. Création de l’interface VLAN sur les switches et création de la passerelle surle routeur..... 4 2. Paramétrage des VLAN................................................................................................... 5 B. Installation des différents VPN............................................................................................ 7 1. Installation du client OpenVPN........................................................................................ 7 2. Paramétrage du tunnel IPSec.......................................................................................... 9 C. Elaboration des règles des différents Firewall ...................................................................... 9 1. Règles sur le pare-feu « pfsense-INT »............................................................................. 9 2. Règles sur le pare-feu « pfsense-EXT »............................................................................12 3. Règles sur le pare-feu « pfsense-SITEB » :........................................................................14 D. Mise en place du routage ..................................................................................................15 1. Routage sur les pare-feux ..............................................................................................15 2. Routage sur les routeurs Cisco .......................................................................................17 IV. Installation des services de SYSLOG et NTP..........................................................................18 A. Mise en place du service SYSLOG sur les périphériques .......................................................18 1. Mise en place sur les machines Linux..............................................................................18 2. Mise en place sur les routeurs/commutateurs Cisco........................................................18 3. Mise en place sur les pare-feux pfSense..........................................................................18 4. Mise en place sur les machines Windows........................................................................19 V. Installation du serveur mail et du serveur de logs ...................................................................22 A. Installation du serveur mail................................................................................................22 1. Installation du serveur SMTP..........................................................................................22 2. Installation du serveur POP/IMAP ..................................................................................23 3. Installation du client mail Rainloop.................................................................................23 4. Installation du serveur Nagios Log..................................................................................25 VI. Utilisation du serveur de logs.............................................................................................26
  • 3. A. Tableau de bord................................................................................................................26 B. Conclusion........................................................................................................................28
  • 4. II. Présentation de l’infrastructure
  • 5. III. Préparation du réseau A. Création des interfaces de management sur les équipements d’interconnexion et paramétrage des VLAN PourpouvoirenvoyerlespaquetsSyslogdepuismeséquipementsd’interconnexiontelsque les switchesetlesrouteurs,j’ai souhaité créerdesréseauxde managementséparésauseinde VLAN dédiésàcet usage. Pourceci, j’ai opéré de différentesfaçons. 1. Création de l’interface VLAN sur les switches et création de la passerelle sur le routeur J’ai créé sur chaque switchde mon réseauune interface VLAN dédiée aumanagement : PourlesswitchesduLAN : VLAN 26 => 172.26.1.XX/24 Pourle switchde laZONE INTERMEDIAIRE: VLAN 27 => 172.26.1.XX/24 Pourle switchde laDMZ : VLAN 28 => 172.28.1.XX/24 Pourle switchdu site B : VLAN 29 => 172.29.1.XX/24 Exemple de la configuration d’un switch du LAN : Puis, ence qui concerne les VLAN 26 & VLAN 27 j’ai créé dessous-interfacessurle routeur « R_LAN »,sous-interfacesétantlespasserellesdesréseaux crééspourle management. Configuration des sous-interfaces du routeur :
  • 6. Enfin,pourque lescommunicationspuissentêtre possibles,j’ai ajoutéauseindesswitcheslaroute par défautpermettantaux paquetsSyslogd’être acheminés. Résultat de la commande « show run » sur le Sw_Archi : J’ai opté différemmentpourle Sw_SiteBetle Sw_DMZ.En effetj’ai,surcesdeux commutateurs assignée une adresse IPduréseausurlequelilsse trouvaientàl’interface Vlan1. Résultat de la commande « show ip int » sur le Sw_SiteB : Puisj’ai ajouté lesroutesverslapasserelle duréseauassignéauVlan1,enl’occurrence le pfsense- SiteBetle pfsense-INT. En contrepartie,pourque le routage se fasse égalementdansl’autre sens,j’ai ajouté une route sur chaque pare-feuayantpourpasserelle l’interface Vlan1. Route ajoutée sur le pare-feu pfsense-SiteB : N.B: Je reviendrai surlesnotionsde routage plusloindanslaprésentation. 2. Paramétrage des VLAN Pourpermettre à mesmachinesd’envoyerdespaquetsàmonserveurde logsdansune certaine sécurité,il m’afallumettre enplace desVLAN et n’enaccorderle transitsurlesinterfacesque parcimonieusement.Pource faire,j’ai doncautorisé le moinsde VLAN possible surlesVLAN utilisateursetj’ai agrégé lesflux provenantde différentsVLAN pourenautoriserl’accèsjusqu’aux serveurs.
  • 7. a) L’exempledu Sw_Archi Le Sw_Archi estle cœur de mon LAN ence sensque touslesflux sortantsduLAN ouarrivant aux serveursvontpasserdessus.Surcelui-cij’ai autorisé surchaque interface uniquementle VLAN de managementetceux desutilisateurs,tandisque surcelui qui permetl’accèsaurouteur,je lesai tous autorisés. b) L’exempledu Sw_Serv Le Sw_Servlui estaussi trèsimportantcar sanslui,aucune communicationversmesserveursn’est envisageable. Onvoitque surcelui-ci j’accèpte lespaquetstaggés desVLAN 26et300 car lesautres ayant été routésne sontplustaggéset n’ontpasbesoind’être marquéspourêtre autorisé à pénétrersurle switch.Une interface typiqueconcernantunserveurn’autorise que le VLAN dudit serveur.
  • 8. B. Installation des différents VPN Pourque le PC étantsur le réseauInternetetle Site Bdistantpuissentenvoyerleslogssurmon serveurdédié se trouvantdansle réseau172.17.0.0/24, il fallaitque je créé destunnelspermettant l’acheminementdespaquetsSyslogàtraversle réseaupublic. 1. Installation du client OpenVPN Tout d’abordpourque le clientpuisse téléchargernotre clientOpenVPNdepuisn’importe oùsurle webj’ai libéré le port443 qui étaitredirigé surle serveurWebext (172.20.1.100) etpassé la configurationweben4433. Page d’accueil du pare-feu depuis l’IP publique : J’ai lié le pare-feuàl’ADetcréé deux groupes(adminsetusers),lesusersn’ontaucundroitd’écriture sur le fichier« config.xml» etne peuventdoncmodifieraucunparamètre.De plus,ilsn’ontaccès qu’àla page qui permetde téléchargerle clientOpenVPN.
  • 9. Page de téléchargement du client OpenVPN : Une foisle clientOpenVPN téléchargé parle client,il lui suffitde le lancerpuisd’utiliseruncompte ayant lesdroitsassociésàune connexionVPN surle pare-feu.Une foislaphase de négociation terminée,le clientse verraattribuéeune adresse IPdansle réseaudédié àce VPN,enl’occurrence 172.22.0.0/24. Résultat de la commande « ipconfig » sur le PC client :
  • 10. 2. Paramétrage du tunnel IPSec En ce qui concerne laconnexionsite-à-site que j’aisouhaitémettre enplace entre le siteprincipalet le Site B, j’ai opté pourun tunnel IPSecentre lesdeuxadressespubliques(50.0.0.1& 80.0.0.1). J’ai configuré laclé partagée,ainsi que lesprotocolesde chiffrementetde hachage. Phase 1 du tunnel IPSec du pare-feu pfsense-EXT du site principal : Puisdansun secondtemps,j’ai ajouté explicitementtouslesréseauxlocaux amenésàcommuniquer viace tunnel ainsi que touslesréseaux distantsqui ferontde même. Phase 2 du tunnel IPSec du pare-feu pfsense-EXT du site principal : C. Elaboration des règles des différents Firewall 1. Règles sur le pare-feu « pfsense-INT » a) InterfaceLAN Sur cette interface j’autorise :
  • 11.  TouteslescommunicationsIPv4depuislesréseaux machines,serveursetle réseau intermédiaire versl’extérieur.  Les communicationsTCP/UDPsurle port80 (http) versle serveurWEB-INT(redirectionde port)  Les 3 dernièresrèglesconcernentl’authentificationRADIUSetle proxy transparentSQUID. Règles FW sur l’interface « LAN » : b) InterfaceOPT1 Sur cette interface j’autorise :  Les communicationsSyslogversmonserveurde logs  Les ports80/443 (pourmettre à jour lespaquetsLinux etoptionnellementnaviguerenligne), le port 21 (pouréventuellementdéposerdesfichierssurle serveurSAMBA enDMZ).  Les portsNTP etDNS versmonAD pour pouvoirrésoudre le nomdesressourcesinterneset synchronisermonhorloge pour bénéficierd’unhorodatage plusprécisde meslogs.  Le port 3306 (MySQL) versle serveurDATABASEenDMZ pour pouvoircommuniqueravecla base de donnéesliée auserveurWeb. Règles FW sur l’interface « OPT1 » :
  • 12. c) Interface WAN L’interface WAN estcelle surlaquellej’ai le plusaffiné lesentrées,carelle estle dernierrempart avant monLAN à proprementparler. Sur cette interface j’autorise :  Les communicationsvers monréseauserveursdepuislesréseauxSite BetOpenVPN  Les communicationSyslogversmonserveurde logs  Les requêtesDNSdepuischaque machine (dontle pare-feuexterne) de laDMZ étendue  Les requêtesNTPdepuischaque machine (dontle pare-feuexterne) de laDMZ étendue  Le protocole LDAPpermettantde liermonpare-feuexterne àmonAD  Enfin,l’ouverturede touslesportsprovenantde l’interface LAN dupare-feuversl’AD,carla mise enplace de la connexionOpenVPN passe parlagénérationde portsaléatoiresentre ces deux-là
  • 13. Règles FW sur l’interface « WAN » : 2. Règles sur le pare-feu « pfsense-EXT » a) InterfaceLAN Sur cette interface j’autorise simplementtoutce qui a été NATé par l’interface WAN (ce qui vientdu LAN et de OPT1) Règle FW sur l’interface « LAN » b) InterfaceOPT1 Sur cette interface j’autorise :
  • 14.  Les communicationsSyslogversmonserveurde logs  Les ports80/443 (pourmettre à jour lespaquetsLinux etoptionnellementnaviguerenligne), le port 21 (pouréventuellementdéposerdesfichierssurle serveurSAMBA enDMZ).  Les portsNTP etDNS versmonAD pour pouvoirrésoudre le nomdesressourcesinterneset synchronisermonhorloge pourbénéficierd’unhorodatage plusprécisde meslogs.  Le port 3306 (MySQL) versle serveurDATABASEenDMZ pour pouvoircommuniqueravecla base de donnéesliée auserveurWeb. Règles FW sur l’interface « OPT1 » : c) InterfaceWAN Sur cette interface j’autorise :  Les communicationssurle port80/443 à destinationduserveurWEB-EXTdansle cadre de la redirectionde ports.  Le port 1194 (OpenVPN) permettantaux clientsde se connecterviale VPN SSLà l’aide de l’IP publique. Règles FW sur l’interface « WAN » : d) Interface IPSec Sur cette interface j’autorise :  Les communicationsduréseau« SwitchesSiteB» verslesréseaux serveurs&DMZ
  • 15.  Les communicationsprovenantduLAN duSite B verslesréseaux serveurs& DMZ Règles FW sur l’interface « IPSec » : e) InterfaceOpenVPN Sur cette interface j’autorise simplementlescommunicationsprovenantduLAN OpenVPN versles LAN serveurs& DMZ. Règle FW sur l’interface « OpenVPN » : 3. Règles sur le pare-feu « pfsense-SITEB » : a) InterfaceLAN Sur cette interface j’autorise :  Les communicationsSyslogetNTPduSwitchvers lesserveursduVLAN 300  Touteslescommunicationsprovenantdusous-réseau192.168.50.0/24 Règles FW sur l’interface « LAN » : b) InterfaceWAN Pourdes raisonsde sécurité,je n’autorise aucunflux àarriversurl’interface WAN.
  • 16. c) InterfaceIPSec Sur cette interface j’autorise :  Les flux provenantdesréseaux serveurs&DMZ à destinationduréseau192.168.50.0/24  Les flux provenantdesréseaux serveurs&DMZ à destinationduréseaude management Règles FW sur l’interface « IPSec » : D. Mise en place du routage Pourque le réseaupuisse être opérationnel,il afalluque lespaquetspuissentarriveràdestination. Pourceci, j’ai doncrenseigné desroutesstatiques. J’ai installédesroutessurtroisde mes équipements :lesFirewalls,lesrouteursetlesswitches. J’ai parlé duroutage verslesswitchesdans la première partie,je reviendraidoncsimplementsurlesdeux autrestypesd’équipement. 1. Routage sur les pare-feux a) Routagesurlepare-feu « pfsense-INT» Sur ce routeur,j’ai 3 typesde routes.Lespremièrespartentversla patte durouteur« R_LAN » se trouvantdans monréseauintermédiaire etpermettantd’acheminerlespaquetsversles différents VLAN du site principal.LessecondesdirigentàmonSite B,à Internetetàmon LAN VPN.La dernière route quantà elle envoientlespaquetsdestinésàmonréseaude managementenDMZsur l’interface VLAN1de moncommutateur. Laroute par défautmène aupare-feu« pfsense-EXT». Table de routage sur « pfsense-INT » :
  • 17. b) Routagesurlepare-feu « pfsense-EXT» Sur ce routeur,je n’ai qu’unseul type de route (le tunnel IPSecfaisantune liaisondirecte entre les deux réseaux limitrophesdesdeux pare-feux),etcesroutesmènentversmonLAN etma DMZ interne. Laroute par défautmène versle réseaupublic. Table de routage sur « pfsense-EXT » : c) Routagesurlepare-feu « pfsense-SiteB» Sur ce routeur, laseule route que je doisajouter (hormislaroute pardéfaut,menantelleauréseau public),estlaroute menantà l’interfaceVLAN1,interface se trouvantle surle switchetme permettantde routerversmoninterface de management. Table de routage sur « pfsense-SiteB » :
  • 18. 2. Routage sur les routeurs Cisco J’ai misen place deux typesde routage surmesrouteursCisco.En effetsur« R_LAN »,j’ai ajouté des routesstatiques,permettantde faire le lienentre mesVLAN etlesréseaux de DMZetVPN. Résultat de « show run » sur « R_LAN » : Tandisque pour mes2 routeursextérieurs,censésreprésenterunréseaupublic,j’ai utilisé le protocole RIPpourfaire communiquertouscesréseaux. Table de routage de « Routeur_Ext2_DHCP » :
  • 19. IV. Installation des services de SYSLOG et NTP A. Mise en place du service SYSLOG sur les périphériques 1. Mise en place sur les machines Linux Sur lesmachinesLinux (clientsouserveurs),il fautparamétrerle fichierde configuration « rsyslog.conf » aveccomme paramètre le faitque touslesprogrammespeuventinteragiravecle serveurde logsmais uniquementpourlesproblèmes de niveaux0à 3. 2. Mise en place sur les routeurs/commutateurs Cisco Sur leséquipementsd’interconnexionCiscoil faut ajouterleslignescorrespondantaux alertesque noussouhaitonstransmettre auserveur,etce depuisquelleinterface.Biensûril fautégalement indiquerle protocolede transportutiliséetle portde destinationàl’écoutesurle serveur. 3. Mise en place sur les pare-feux pfSense Pourmettre enplace l’envoi de logssurlesFirewalls,il faut l’activer,choisirl’interface qui enverra leslogs,le protocole permettantd’envoyerlespaquets,ainsi que le serveurde destination.Biensûr, il faut égalementsélectionnerquelsévènementsserontloggésetenvoyésauserveur.
  • 20. 4. Mise en place sur les machines Windows PourlesmachinesWindows,latâche a été unpeudifférente.Eneffet,lesjournauxd’évènements Windowssontcomposésde fichiersETLetnon de fichiersLOG.Il m’a doncfalluinstallerunlogiciel permettantde convertirmesévènementsdansle bonformatpourqu’ilspuissentêtre interprétés par le serveurde logs. J’ai choisi d’opterpourune GPOpermettantde déployerle paquet.msi surtouteslesmachines Windowsdudomaine. a) Paramétragedela GPO J’ai tout d’abordcréé un dossierpartagé permettantl’accèsàlaressource pourlesutilisateursdu domaine :
  • 21. Puisj’ai créé la GPOen tant que telle : Il ne fallaitplusque redémarrerle poste desutilisateursoualorseffectuerlacommande « gpupdate /force » pourprocéderau déploiementde l’application :
  • 22. b) Paramétragedu logiciel Nousdevons,auseinde ce logiciel choisirquelstypesd’événementvontgénérerl’envoi de logsau serveur. Puisnousdevonsrenseignerl’adresseoule nom, le protocole etle portd’écoute duserveurde logs. Puisundernierencartnouspermetde testerlabonne connectivitéavecle serveurde logs.
  • 23. V. Installation du serveur mail et du serveur de logs A. Installation du serveur mail Pourque la messagerie puisse fonctionnerj’ai ajouté dansmonDNSl’entréecorrespondantau serveurde messagerie. 1. Installation du serveur SMTP Pourque mon serveurde logspuisse envoyerdesreportspar mail J’ai choisi comme serveurSMTPla solutionPostfix. Je l’ai paramétré ensuivantuntutoriel etj’yajouté le domaine de messagerie « galaxy-swiss.local ». J’yai ajouté lescomptesde messageriessimulésactifsauseinde mon domaine de messagerie.
  • 24. 2. Installation du serveur POP/IMAP J’ai choisi d’installercomme serveurIMAPlasolutionDovecot,qui aété paramétré pourfonctionner enparallèle de Postfix. J’ai lié ce programme à une base de donnéesMariaDB. 3. Installation du client mail Rainloop J’ai choisi le clientmail Rainloopque j’ai installéégalementsurmonserveurde mailingenDMZ.
  • 25. Une foisconnecté àcette interface grâce aux identifiantsde l’utilisateurs(identifiantsrenseignés dans Postfix Admin),l’utilisateurarrive face àl’interface d’utilisationde saboîte mail, cette même interface lui permettantde recevoiretd’envoyer descourriersélectroniques. Cette applicationwebseraaccessible viaunraccourci placé directementviaune GPOsur le bureau de chaque utilisateurdudomaine,etce sur n’importe quel PCdudomaine.
  • 26. 4. Installation du serveur Nagios Log PourinstallerNagiosLogj’ai téléchargé le fichiercompressécorrespondant aux composantsde ce serveurvialacommande « wget» suivi de l’URL. Puisj’ai lancé lesscriptsd’installationde ce serveurvialacommande « .fullinstall.sh» Enfinnousterminonsl’installationde ce serveurvial’URLmenantà l’applicationWebNagiosLog Server: https://naglogsrv/nagioslogserver
  • 27. VI. Utilisation du serveur de logs A. Tableau de bord Nouspouvons,àpartir du serveurde logs,consulterlesdifférentslogsconcernantlesmachines supervisées. Quandle serveurestcontinuellementsoustension,nous pouvonschoisird’envoyerdesmailsaux administrateursréseau/système.Nouspouvonsenchoisirle contenu,lesmachinesconcernéesetla périodicité.
  • 28. Une foisle mail envoyé,il estconsultable depuislaboîte mail de l’administrateur.
  • 29. B. Conclusion En somme,l’installationd’unserveurde centralisationdeslogsm’apermisde couvrirune bonne partie duprogramme de ces deux annéesetd’yinclure biendesfacettesde ce que nousavonsappris enréseaueten système lorsde ce BTS. /!LA LICENCE AYANTEXPIREE PEU DE TEMPS AVANTL’ENVOIDU DOSSIER IL NE M’A PASETE POSSIBLEDE PRESENTERLE LOGICIEL DE SUPERVISION DANSSON INTEGRALITE/!