2. I. Table des matières
II. Présentation de l’infrastructure.............................................................................................. 3
III. Préparation du réseau........................................................................................................ 4
A. Créationdesinterfacesde managementsurleséquipementsd’interconnexionet
paramétrage des VLAN.............................................................................................................. 4
1. Création de l’interface VLAN sur les switches et création de la passerelle surle routeur..... 4
2. Paramétrage des VLAN................................................................................................... 5
B. Installation des différents VPN............................................................................................ 7
1. Installation du client OpenVPN........................................................................................ 7
2. Paramétrage du tunnel IPSec.......................................................................................... 9
C. Elaboration des règles des différents Firewall ...................................................................... 9
1. Règles sur le pare-feu « pfsense-INT »............................................................................. 9
2. Règles sur le pare-feu « pfsense-EXT »............................................................................12
3. Règles sur le pare-feu « pfsense-SITEB » :........................................................................14
D. Mise en place du routage ..................................................................................................15
1. Routage sur les pare-feux ..............................................................................................15
2. Routage sur les routeurs Cisco .......................................................................................17
IV. Installation des services de SYSLOG et NTP..........................................................................18
A. Mise en place du service SYSLOG sur les périphériques .......................................................18
1. Mise en place sur les machines Linux..............................................................................18
2. Mise en place sur les routeurs/commutateurs Cisco........................................................18
3. Mise en place sur les pare-feux pfSense..........................................................................18
4. Mise en place sur les machines Windows........................................................................19
V. Installation du serveur mail et du serveur de logs ...................................................................22
A. Installation du serveur mail................................................................................................22
1. Installation du serveur SMTP..........................................................................................22
2. Installation du serveur POP/IMAP ..................................................................................23
3. Installation du client mail Rainloop.................................................................................23
4. Installation du serveur Nagios Log..................................................................................25
VI. Utilisation du serveur de logs.............................................................................................26
3. A. Tableau de bord................................................................................................................26
B. Conclusion........................................................................................................................28
5. III. Préparation du réseau
A. Création des interfaces de management sur les équipements
d’interconnexion et paramétrage des VLAN
PourpouvoirenvoyerlespaquetsSyslogdepuismeséquipementsd’interconnexiontelsque les
switchesetlesrouteurs,j’ai souhaité créerdesréseauxde managementséparésauseinde VLAN
dédiésàcet usage.
Pourceci, j’ai opéré de différentesfaçons.
1. Création de l’interface VLAN sur les switches et création de la passerelle
sur le routeur
J’ai créé sur chaque switchde mon réseauune interface VLAN dédiée aumanagement :
PourlesswitchesduLAN : VLAN 26 => 172.26.1.XX/24
Pourle switchde laZONE INTERMEDIAIRE: VLAN 27 => 172.26.1.XX/24
Pourle switchde laDMZ : VLAN 28 => 172.28.1.XX/24
Pourle switchdu site B : VLAN 29 => 172.29.1.XX/24
Exemple de la configuration d’un switch du LAN :
Puis, ence qui concerne les VLAN 26 & VLAN 27 j’ai créé dessous-interfacessurle routeur
« R_LAN »,sous-interfacesétantlespasserellesdesréseaux crééspourle management.
Configuration des sous-interfaces du routeur :
6. Enfin,pourque lescommunicationspuissentêtre possibles,j’ai ajoutéauseindesswitcheslaroute
par défautpermettantaux paquetsSyslogd’être acheminés.
Résultat de la commande « show run » sur le Sw_Archi :
J’ai opté différemmentpourle Sw_SiteBetle Sw_DMZ.En effetj’ai,surcesdeux commutateurs
assignée une adresse IPduréseausurlequelilsse trouvaientàl’interface Vlan1.
Résultat de la commande « show ip int » sur le Sw_SiteB :
Puisj’ai ajouté lesroutesverslapasserelle duréseauassignéauVlan1,enl’occurrence le pfsense-
SiteBetle pfsense-INT.
En contrepartie,pourque le routage se fasse égalementdansl’autre sens,j’ai ajouté une route sur
chaque pare-feuayantpourpasserelle l’interface Vlan1.
Route ajoutée sur le pare-feu pfsense-SiteB :
N.B: Je reviendrai surlesnotionsde routage plusloindanslaprésentation.
2. Paramétrage des VLAN
Pourpermettre à mesmachinesd’envoyerdespaquetsàmonserveurde logsdansune certaine
sécurité,il m’afallumettre enplace desVLAN et n’enaccorderle transitsurlesinterfacesque
parcimonieusement.Pource faire,j’ai doncautorisé le moinsde VLAN possible surlesVLAN
utilisateursetj’ai agrégé lesflux provenantde différentsVLAN pourenautoriserl’accèsjusqu’aux
serveurs.
7. a) L’exempledu Sw_Archi
Le Sw_Archi estle cœur de mon LAN ence sensque touslesflux sortantsduLAN ouarrivant aux
serveursvontpasserdessus.Surcelui-cij’ai autorisé surchaque interface uniquementle VLAN de
managementetceux desutilisateurs,tandisque surcelui qui permetl’accèsaurouteur,je lesai tous
autorisés.
b) L’exempledu Sw_Serv
Le Sw_Servlui estaussi trèsimportantcar sanslui,aucune communicationversmesserveursn’est
envisageable. Onvoitque surcelui-ci j’accèpte lespaquetstaggés desVLAN 26et300 car lesautres
ayant été routésne sontplustaggéset n’ontpasbesoind’être marquéspourêtre autorisé à
pénétrersurle switch.Une interface typiqueconcernantunserveurn’autorise que le VLAN dudit
serveur.
8. B. Installation des différents VPN
Pourque le PC étantsur le réseauInternetetle Site Bdistantpuissentenvoyerleslogssurmon
serveurdédié se trouvantdansle réseau172.17.0.0/24, il fallaitque je créé destunnelspermettant
l’acheminementdespaquetsSyslogàtraversle réseaupublic.
1. Installation du client OpenVPN
Tout d’abordpourque le clientpuisse téléchargernotre clientOpenVPNdepuisn’importe oùsurle
webj’ai libéré le port443 qui étaitredirigé surle serveurWebext (172.20.1.100) etpassé la
configurationweben4433.
Page d’accueil du pare-feu depuis l’IP publique :
J’ai lié le pare-feuàl’ADetcréé deux groupes(adminsetusers),lesusersn’ontaucundroitd’écriture
sur le fichier« config.xml» etne peuventdoncmodifieraucunparamètre.De plus,ilsn’ontaccès
qu’àla page qui permetde téléchargerle clientOpenVPN.
9. Page de téléchargement du client OpenVPN :
Une foisle clientOpenVPN téléchargé parle client,il lui suffitde le lancerpuisd’utiliseruncompte
ayant lesdroitsassociésàune connexionVPN surle pare-feu.Une foislaphase de négociation
terminée,le clientse verraattribuéeune adresse IPdansle réseaudédié àce VPN,enl’occurrence
172.22.0.0/24.
Résultat de la commande « ipconfig » sur le PC client :
10. 2. Paramétrage du tunnel IPSec
En ce qui concerne laconnexionsite-à-site que j’aisouhaitémettre enplace entre le siteprincipalet
le Site B, j’ai opté pourun tunnel IPSecentre lesdeuxadressespubliques(50.0.0.1& 80.0.0.1).
J’ai configuré laclé partagée,ainsi que lesprotocolesde chiffrementetde hachage.
Phase 1 du tunnel IPSec du pare-feu pfsense-EXT du site principal :
Puisdansun secondtemps,j’ai ajouté explicitementtouslesréseauxlocaux amenésàcommuniquer
viace tunnel ainsi que touslesréseaux distantsqui ferontde même.
Phase 2 du tunnel IPSec du pare-feu pfsense-EXT du site principal :
C. Elaboration des règles des différents Firewall
1. Règles sur le pare-feu « pfsense-INT »
a) InterfaceLAN
Sur cette interface j’autorise :
11. TouteslescommunicationsIPv4depuislesréseaux machines,serveursetle réseau
intermédiaire versl’extérieur.
Les communicationsTCP/UDPsurle port80 (http) versle serveurWEB-INT(redirectionde
port)
Les 3 dernièresrèglesconcernentl’authentificationRADIUSetle proxy transparentSQUID.
Règles FW sur l’interface « LAN » :
b) InterfaceOPT1
Sur cette interface j’autorise :
Les communicationsSyslogversmonserveurde logs
Les ports80/443 (pourmettre à jour lespaquetsLinux etoptionnellementnaviguerenligne),
le port 21 (pouréventuellementdéposerdesfichierssurle serveurSAMBA enDMZ).
Les portsNTP etDNS versmonAD pour pouvoirrésoudre le nomdesressourcesinterneset
synchronisermonhorloge pour bénéficierd’unhorodatage plusprécisde meslogs.
Le port 3306 (MySQL) versle serveurDATABASEenDMZ pour pouvoircommuniqueravecla
base de donnéesliée auserveurWeb.
Règles FW sur l’interface « OPT1 » :
12. c) Interface WAN
L’interface WAN estcelle surlaquellej’ai le plusaffiné lesentrées,carelle estle dernierrempart
avant monLAN à proprementparler.
Sur cette interface j’autorise :
Les communicationsvers monréseauserveursdepuislesréseauxSite BetOpenVPN
Les communicationSyslogversmonserveurde logs
Les requêtesDNSdepuischaque machine (dontle pare-feuexterne) de laDMZ étendue
Les requêtesNTPdepuischaque machine (dontle pare-feuexterne) de laDMZ étendue
Le protocole LDAPpermettantde liermonpare-feuexterne àmonAD
Enfin,l’ouverturede touslesportsprovenantde l’interface LAN dupare-feuversl’AD,carla
mise enplace de la connexionOpenVPN passe parlagénérationde portsaléatoiresentre ces
deux-là
13. Règles FW sur l’interface « WAN » :
2. Règles sur le pare-feu « pfsense-EXT »
a) InterfaceLAN
Sur cette interface j’autorise simplementtoutce qui a été NATé par l’interface WAN (ce qui vientdu
LAN et de OPT1)
Règle FW sur l’interface « LAN »
b) InterfaceOPT1
Sur cette interface j’autorise :
14. Les communicationsSyslogversmonserveurde logs
Les ports80/443 (pourmettre à jour lespaquetsLinux etoptionnellementnaviguerenligne),
le port 21 (pouréventuellementdéposerdesfichierssurle serveurSAMBA enDMZ).
Les portsNTP etDNS versmonAD pour pouvoirrésoudre le nomdesressourcesinterneset
synchronisermonhorloge pourbénéficierd’unhorodatage plusprécisde meslogs.
Le port 3306 (MySQL) versle serveurDATABASEenDMZ pour pouvoircommuniqueravecla
base de donnéesliée auserveurWeb.
Règles FW sur l’interface « OPT1 » :
c) InterfaceWAN
Sur cette interface j’autorise :
Les communicationssurle port80/443 à destinationduserveurWEB-EXTdansle cadre de la
redirectionde ports.
Le port 1194 (OpenVPN) permettantaux clientsde se connecterviale VPN SSLà l’aide de l’IP
publique.
Règles FW sur l’interface « WAN » :
d) Interface IPSec
Sur cette interface j’autorise :
Les communicationsduréseau« SwitchesSiteB» verslesréseaux serveurs&DMZ
15. Les communicationsprovenantduLAN duSite B verslesréseaux serveurs& DMZ
Règles FW sur l’interface « IPSec » :
e) InterfaceOpenVPN
Sur cette interface j’autorise simplementlescommunicationsprovenantduLAN OpenVPN versles
LAN serveurs& DMZ.
Règle FW sur l’interface « OpenVPN » :
3. Règles sur le pare-feu « pfsense-SITEB » :
a) InterfaceLAN
Sur cette interface j’autorise :
Les communicationsSyslogetNTPduSwitchvers lesserveursduVLAN 300
Touteslescommunicationsprovenantdusous-réseau192.168.50.0/24
Règles FW sur l’interface « LAN » :
b) InterfaceWAN
Pourdes raisonsde sécurité,je n’autorise aucunflux àarriversurl’interface WAN.
16. c) InterfaceIPSec
Sur cette interface j’autorise :
Les flux provenantdesréseaux serveurs&DMZ à destinationduréseau192.168.50.0/24
Les flux provenantdesréseaux serveurs&DMZ à destinationduréseaude management
Règles FW sur l’interface « IPSec » :
D. Mise en place du routage
Pourque le réseaupuisse être opérationnel,il afalluque lespaquetspuissentarriveràdestination.
Pourceci, j’ai doncrenseigné desroutesstatiques. J’ai installédesroutessurtroisde mes
équipements :lesFirewalls,lesrouteursetlesswitches. J’ai parlé duroutage verslesswitchesdans
la première partie,je reviendraidoncsimplementsurlesdeux autrestypesd’équipement.
1. Routage sur les pare-feux
a) Routagesurlepare-feu « pfsense-INT»
Sur ce routeur,j’ai 3 typesde routes.Lespremièrespartentversla patte durouteur« R_LAN » se
trouvantdans monréseauintermédiaire etpermettantd’acheminerlespaquetsversles différents
VLAN du site principal.LessecondesdirigentàmonSite B,à Internetetàmon LAN VPN.La dernière
route quantà elle envoientlespaquetsdestinésàmonréseaude managementenDMZsur
l’interface VLAN1de moncommutateur. Laroute par défautmène aupare-feu« pfsense-EXT».
Table de routage sur « pfsense-INT » :
17. b) Routagesurlepare-feu « pfsense-EXT»
Sur ce routeur,je n’ai qu’unseul type de route (le tunnel IPSecfaisantune liaisondirecte entre les
deux réseaux limitrophesdesdeux pare-feux),etcesroutesmènentversmonLAN etma DMZ
interne. Laroute par défautmène versle réseaupublic.
Table de routage sur « pfsense-EXT » :
c) Routagesurlepare-feu « pfsense-SiteB»
Sur ce routeur, laseule route que je doisajouter (hormislaroute pardéfaut,menantelleauréseau
public),estlaroute menantà l’interfaceVLAN1,interface se trouvantle surle switchetme
permettantde routerversmoninterface de management.
Table de routage sur « pfsense-SiteB » :
18. 2. Routage sur les routeurs Cisco
J’ai misen place deux typesde routage surmesrouteursCisco.En effetsur« R_LAN »,j’ai ajouté des
routesstatiques,permettantde faire le lienentre mesVLAN etlesréseaux de DMZetVPN.
Résultat de « show run » sur « R_LAN » :
Tandisque pour mes2 routeursextérieurs,censésreprésenterunréseaupublic,j’ai utilisé le
protocole RIPpourfaire communiquertouscesréseaux.
Table de routage de « Routeur_Ext2_DHCP » :
19. IV. Installation des services de SYSLOG et NTP
A. Mise en place du service SYSLOG sur les périphériques
1. Mise en place sur les machines Linux
Sur lesmachinesLinux (clientsouserveurs),il fautparamétrerle fichierde configuration
« rsyslog.conf » aveccomme paramètre le faitque touslesprogrammespeuventinteragiravecle
serveurde logsmais uniquementpourlesproblèmes de niveaux0à 3.
2. Mise en place sur les routeurs/commutateurs Cisco
Sur leséquipementsd’interconnexionCiscoil faut ajouterleslignescorrespondantaux alertesque
noussouhaitonstransmettre auserveur,etce depuisquelleinterface.Biensûril fautégalement
indiquerle protocolede transportutiliséetle portde destinationàl’écoutesurle serveur.
3. Mise en place sur les pare-feux pfSense
Pourmettre enplace l’envoi de logssurlesFirewalls,il faut l’activer,choisirl’interface qui enverra
leslogs,le protocole permettantd’envoyerlespaquets,ainsi que le serveurde destination.Biensûr,
il faut égalementsélectionnerquelsévènementsserontloggésetenvoyésauserveur.
20. 4. Mise en place sur les machines Windows
PourlesmachinesWindows,latâche a été unpeudifférente.Eneffet,lesjournauxd’évènements
Windowssontcomposésde fichiersETLetnon de fichiersLOG.Il m’a doncfalluinstallerunlogiciel
permettantde convertirmesévènementsdansle bonformatpourqu’ilspuissentêtre interprétés
par le serveurde logs.
J’ai choisi d’opterpourune GPOpermettantde déployerle paquet.msi surtouteslesmachines
Windowsdudomaine.
a) Paramétragedela GPO
J’ai tout d’abordcréé un dossierpartagé permettantl’accèsàlaressource pourlesutilisateursdu
domaine :
21. Puisj’ai créé la GPOen tant que telle :
Il ne fallaitplusque redémarrerle poste desutilisateursoualorseffectuerlacommande « gpupdate
/force » pourprocéderau déploiementde l’application :
22. b) Paramétragedu logiciel
Nousdevons,auseinde ce logiciel choisirquelstypesd’événementvontgénérerl’envoi de logsau
serveur.
Puisnousdevonsrenseignerl’adresseoule nom, le protocole etle portd’écoute duserveurde logs.
Puisundernierencartnouspermetde testerlabonne connectivitéavecle serveurde logs.
23. V. Installation du serveur mail et du serveur de logs
A. Installation du serveur mail
Pourque la messagerie puisse fonctionnerj’ai ajouté dansmonDNSl’entréecorrespondantau
serveurde messagerie.
1. Installation du serveur SMTP
Pourque mon serveurde logspuisse envoyerdesreportspar mail
J’ai choisi comme serveurSMTPla solutionPostfix.
Je l’ai paramétré ensuivantuntutoriel etj’yajouté le domaine de messagerie « galaxy-swiss.local ».
J’yai ajouté lescomptesde messageriessimulésactifsauseinde mon domaine de messagerie.
24. 2. Installation du serveur POP/IMAP
J’ai choisi d’installercomme serveurIMAPlasolutionDovecot,qui aété paramétré pourfonctionner
enparallèle de Postfix.
J’ai lié ce programme à une base de donnéesMariaDB.
3. Installation du client mail Rainloop
J’ai choisi le clientmail Rainloopque j’ai installéégalementsurmonserveurde mailingenDMZ.
25. Une foisconnecté àcette interface grâce aux identifiantsde l’utilisateurs(identifiantsrenseignés
dans Postfix Admin),l’utilisateurarrive face àl’interface d’utilisationde saboîte mail, cette même
interface lui permettantde recevoiretd’envoyer descourriersélectroniques.
Cette applicationwebseraaccessible viaunraccourci placé directementviaune GPOsur le bureau
de chaque utilisateurdudomaine,etce sur n’importe quel PCdudomaine.
26. 4. Installation du serveur Nagios Log
PourinstallerNagiosLogj’ai téléchargé le fichiercompressécorrespondant aux composantsde ce
serveurvialacommande « wget» suivi de l’URL.
Puisj’ai lancé lesscriptsd’installationde ce serveurvialacommande « .fullinstall.sh»
Enfinnousterminonsl’installationde ce serveurvial’URLmenantà l’applicationWebNagiosLog
Server: https://naglogsrv/nagioslogserver
27. VI. Utilisation du serveur de logs
A. Tableau de bord
Nouspouvons,àpartir du serveurde logs,consulterlesdifférentslogsconcernantlesmachines
supervisées.
Quandle serveurestcontinuellementsoustension,nous pouvonschoisird’envoyerdesmailsaux
administrateursréseau/système.Nouspouvonsenchoisirle contenu,lesmachinesconcernéesetla
périodicité.
28. Une foisle mail envoyé,il estconsultable depuislaboîte mail de l’administrateur.
29. B. Conclusion
En somme,l’installationd’unserveurde centralisationdeslogsm’apermisde couvrirune bonne
partie duprogramme de ces deux annéesetd’yinclure biendesfacettesde ce que nousavonsappris
enréseaueten système lorsde ce BTS.
/!LA LICENCE AYANTEXPIREE PEU DE TEMPS AVANTL’ENVOIDU DOSSIER IL NE M’A PASETE
POSSIBLEDE PRESENTERLE LOGICIEL DE SUPERVISION DANSSON INTEGRALITE/!