Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
Rapport de Projet de Fin d'Etudes.
Pour l’obtention du diplôme de Licence appliquée en Réseaux de l’Informatique Spécialité : Technologies de l’Informatique et de Télécommunication
Intitulé : Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Système et Réseau
Réalisé par : Alaadine Tlich & Nabil Kherfani
Au sein de : Hexabyte
Présenté en vue de l’obtention du
Diplôme : Mastère Professionnel en Ingénierie des Logiciels et des Connaissance
Conception et Développement d’une Application web Pour le Service De Remorquage
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
Rapport de Projet de Fin d'Etudes.
Pour l’obtention du diplôme de Licence appliquée en Réseaux de l’Informatique Spécialité : Technologies de l’Informatique et de Télécommunication
Intitulé : Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Système et Réseau
Réalisé par : Alaadine Tlich & Nabil Kherfani
Au sein de : Hexabyte
Présenté en vue de l’obtention du
Diplôme : Mastère Professionnel en Ingénierie des Logiciels et des Connaissance
Conception et Développement d’une Application web Pour le Service De Remorquage
Rapport Projet de fin d'etude sur le parc informatiqueHicham Ben
C'est mon rapport du mon projet de fin d’études qu'il s’agit du développement d'une application de gestion du parc informatique
autant qu'un étudiant 5 eme année du l’école nationale des sciences appliquées de tetouan (ENSAT) au maroc
Rapport PFE: Gestion de Parc InformatiqueEric Maxime
Toute société qui a de nombreux équipements informatiques est confrontée à des problématiques liées à leur gestion : maintenance des ordinateurs, ajout de matériel, obsolescence de certains équipements, traitement des problèmes utilisateurs, acquisition de licences logicielles... Si ces éléments sont faciles à gérer avec deux ou trois ordinateurs, cela commence à devenir un problème lorsque l'on prend en charge plusieurs dizaines d'équipements (ordinateurs, imprimantes, switchs, routeurs, etc).
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...Arnold Stellio
Les données informatiques nécessaires au fonctionnement de l’activité de l’entreprise sont d’une importance capitale pour l’entreprise. La perte de ces données pourrait la gêner, la paralyser et même dans les cas extrêmes, lui être fatale. Il faut donc être capable d’anticiper la perte inattendue des données et être en mesure de proposer un plan de récupération de ces données si précieuses. C’est pourquoi, il est nécessaire de les sauvegarder régulièrement. Vous conviendrez avec moi qu’une entreprise telle que LDL TECHNOLGY possède déjà un système de sauvegarde de ses données informatiques. Cependant, dans un souci d’amélioration et d’optimisation de sa stratégie de sauvegarde des données, l’entreprise, par le biais du responsable du système d’information, a posé la problématique suivante : comment peut-on automatiser les sauvegardes internes et externes, qui dans la majorité des cas se font manuellement ?
Durant ces six mois passés en entreprise, mon travail était de répondre à cette problématique.
Ce document comporte quatre grandes parties :
la première partie n’est autre que la présentation de l’entreprise d’accueil. La deuxième partie est celle liée à la gestion de projet, on y retrouve le cahier des charges, une étude de l’existant (moyens et des procédés mis en place pour sauvegarder les données en interne et en externe), ce sera l’occasion de faire l’état des lieux et d’avoir une idée de comment les données sont sauvegardées.
La phase suivante consiste à l’étude d’un panel des solutions répondant aux critères définis dans le cahier des charges.
Cette partie sera bouclée par une synthèse des résultats des tests qui ont été élaborés.
La dernière partie, c’est l’étude scientifique.
Mémoire en anglais et français.
Le présent projet consiste à implémenter, superviser et surveiller un réseau local au sein du Ministère de l’Enseignement Supérieur et de la Recherche Scientifique qui fait le sujet de mon diplôme de mastère.
Cette occasion m’a permis de comprendre l'administration système et réseau, aussi à élargir mes connaissances sur les concepts de la supervision d'un système d'information et d’acquérir des compétences dans ce domaine en en gérant les pannes surgies suite aux notifications instantané envoyé à l’administrateur par mail.
Mots clés :GNS3, NAGIOS, Centos, NRPE, NSClient++,SNMP,NDOutils,Centreon,APACHE
Rapport Projet de fin d'etude sur le parc informatiqueHicham Ben
C'est mon rapport du mon projet de fin d’études qu'il s’agit du développement d'une application de gestion du parc informatique
autant qu'un étudiant 5 eme année du l’école nationale des sciences appliquées de tetouan (ENSAT) au maroc
Rapport PFE: Gestion de Parc InformatiqueEric Maxime
Toute société qui a de nombreux équipements informatiques est confrontée à des problématiques liées à leur gestion : maintenance des ordinateurs, ajout de matériel, obsolescence de certains équipements, traitement des problèmes utilisateurs, acquisition de licences logicielles... Si ces éléments sont faciles à gérer avec deux ou trois ordinateurs, cela commence à devenir un problème lorsque l'on prend en charge plusieurs dizaines d'équipements (ordinateurs, imprimantes, switchs, routeurs, etc).
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...Arnold Stellio
Les données informatiques nécessaires au fonctionnement de l’activité de l’entreprise sont d’une importance capitale pour l’entreprise. La perte de ces données pourrait la gêner, la paralyser et même dans les cas extrêmes, lui être fatale. Il faut donc être capable d’anticiper la perte inattendue des données et être en mesure de proposer un plan de récupération de ces données si précieuses. C’est pourquoi, il est nécessaire de les sauvegarder régulièrement. Vous conviendrez avec moi qu’une entreprise telle que LDL TECHNOLGY possède déjà un système de sauvegarde de ses données informatiques. Cependant, dans un souci d’amélioration et d’optimisation de sa stratégie de sauvegarde des données, l’entreprise, par le biais du responsable du système d’information, a posé la problématique suivante : comment peut-on automatiser les sauvegardes internes et externes, qui dans la majorité des cas se font manuellement ?
Durant ces six mois passés en entreprise, mon travail était de répondre à cette problématique.
Ce document comporte quatre grandes parties :
la première partie n’est autre que la présentation de l’entreprise d’accueil. La deuxième partie est celle liée à la gestion de projet, on y retrouve le cahier des charges, une étude de l’existant (moyens et des procédés mis en place pour sauvegarder les données en interne et en externe), ce sera l’occasion de faire l’état des lieux et d’avoir une idée de comment les données sont sauvegardées.
La phase suivante consiste à l’étude d’un panel des solutions répondant aux critères définis dans le cahier des charges.
Cette partie sera bouclée par une synthèse des résultats des tests qui ont été élaborés.
La dernière partie, c’est l’étude scientifique.
Mémoire en anglais et français.
Le présent projet consiste à implémenter, superviser et surveiller un réseau local au sein du Ministère de l’Enseignement Supérieur et de la Recherche Scientifique qui fait le sujet de mon diplôme de mastère.
Cette occasion m’a permis de comprendre l'administration système et réseau, aussi à élargir mes connaissances sur les concepts de la supervision d'un système d'information et d’acquérir des compétences dans ce domaine en en gérant les pannes surgies suite aux notifications instantané envoyé à l’administrateur par mail.
Mots clés :GNS3, NAGIOS, Centos, NRPE, NSClient++,SNMP,NDOutils,Centreon,APACHE
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...ImnaTech
Ce projet de mémoire de fin de cycle universitaire consiste à étudier la sécurité des
systèmes d‟informations et prendre tout son sens dans un contexte tel que celui dans lequel
nous avons travaillé. c‟est dans cette optique ce présent mémoire a été conçu dont le thème
intitule « Etude de la mise en place d’un système de communication VoIP sécurisé
sur une liaison à longue distance dans une entreprise »
Afin d'améliorer la gestion du cycle de vie de l'application depuis la soumission du code source aux serveurs de gestion de versions jusqu'à la livraison de la release, Ciam Solution a choisi de construire un pipeline d'intégration et de déploiement continu pour automatiser le processus ci-dessus avec l’utilisation de différents Framework et modèle du cloud computing. Tout ceci doit être surveillé et affiché dans le tableau de bord de surveillance. Dans ce contexte, en tant que projet de mastère, nous avons implémenté la solution en utilisant plusieurs technologies telles que Portainer, Kubernetes, Docker, Terraform, Gitlab, Sonarqube et Kaniko.
Mots clés : cloud computing, haute disponibilité, service managé, intégration continue, déploiement continue.
Plateforme d'enseignement à distance : efrontKhaled Fayala
Ce rapport présente un projet qui consiste à créer deux espaces de cours sur deux plateformes d’enseignement à distance différentes. L’objectif de notre travail est de comparer ces deux plateformes (Moodle et eFront) après avoir effectué une étude théorique et pratique. La comparaison se faite en se basant sur un ensemble de critères mis en évidence dans chaque plateforme.
rapport final Conception d’un système d’aide à la décision aux compagne ma...HICHAMLATRECHE1
La thématique principale de ce travail se fait dans le cadre du
mémoire de stage de fin d’étude afin d’obtenir notre diplôme de licence
professionnelle en informatique décisionnelle qui concerne la
conception d’un système d’aide à la prise des décisions aux campagnes
marketing et commerciales dans les entreprises.
Afin de bien comprendre les concepts, nous avons effectués un
état des lieux qui nous a permis de comprendre le système décisionnel
de de déceler ces limites. Pour pallier à ces limites, nous avons fixé
comme objectif : la réalisation d'un système qui aidera à obtenir les
résultats finaux voulus, et par la suite nous avons implémenté un cahier
de charge qui passe par une analyse du système existant, une conception
de la zone d’entreposage, par une implémentation et un déploiement de
l’entrepôt des données.
Pour éviter l’effet tunnel, nous nous sommes appuyés sur l’une des
méthodes de gestion des projets les plus utilisés du moment qui est la
méthode agile tout en découpant les sprints selon le principe SMART.
Tout ceci va se faire en suivant les règles éditées par les deux pères
fondateurs de l’entrepôt de données : William H. Inmon l’inventeur du
concept et Ralph Kimball. Une fois l’entrepôt de données construites,
nous avons fait une analyse de données en utilisant Python pour tirer les
indicateurs de performance KPI des compagnes marketing et
commerciales à partir des données précédentes ; afin de présenter ces
KPIs dans la partie d’usage des outils de Reporting comme PowerBI.
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
Dans ce projet, on s’intéresse à la mise en place d’une solution de gestion de la sécurité du
réseau d’Afribone Mali. Une telle solution est composée d’un tableau de bord de sécurité du réseau,
d’une solution de gestion de logs centralisées et d’une équipe CIRT pour le pilotage de la solution.
Memoire ecrire par Fallou Mbengue qui porte sur Sujet : Etude et mise en place d’une infrastructure Datacenter privé avec OpenStack : Automatisation des déploiements et tests
Torkhani karima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitori...karimatorkhani
Le présent projet consiste à implémenter, superviser et surveiller un réseau local au sein du Ministère de l’Enseignement Supérieur et de la Recherche Scientifique qui fait le sujet de mon diplôme de mastère.
Cette occasion m’a permis de comprendre l'administration système et réseau, aussi à élargir mes connaissances sur les concepts de la supervision d'un système d'information et d’acquérir des compétences dans ce domaine en en gérant les pannes surgies suite aux notifications instantané envoyé à l’administrateur par mail.
Mots clés :GNS3, NAGIOS, Centos, NRPE, NSClient++,SNMP,NDOutils,Centreon,APACHE
Similaire à mémoire de projet de fin d'études (20)
Torkhani karima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitori...
mémoire de projet de fin d'études
1. MEMOIRE DE PROJET DE FIN D’ETUDES
Pour l’obtention du :
Diplôme de licence appliquée en réseaux informatiques
Sujet :
Réalisation de haute disponibilité de l’infrastructure réseau WAN et
supervision du réseau globale de la société Prologic
Réalisé par :
BOUALLAGUI Mortadha
Soutenu le 20 Juin 2019 devant le Jury d’examen :
MR. KAANICHE Heni Président
Mme. CHARFI Emna Rapporteur
Mme. ZOUARI Sonia Encadrant académique
Année Universitaire 2018/2019
UNIVERSITE DE SFAX
FACULTE DES SCIENCES DE SFAX
*******
DEPARTEMENT INFORMATIQUE
REPUBLIQUE TUNISIENNE
*******
MINISTERE DE L’ENSEIGNEMENT
SUPERIEUR ET DE LA
RECHERCHE SCIENTIFIQUE
2. <<Les batailles de la vie ne sont pas gagnées
par les plus forts, ni par les plus rapides,
mais par ceux qui n’abandonnent jamais>>
3. Dédicaces
A ma chère mère, tu m’as donné la vie, la tendresse et le
courage pour réussir. Rien au monde n’égale les efforts
consentis jour et nuit pour mon éducation et mon bien être.
Que dieu te préserve et teprocuresanté et longue vie
A mon père l’épaule solide, l’œil attentif et la personne digne
de mon estime et de mon respect. Ton affection et ton soutien
m’ont été d’un grand secoursau long de ma vie
A mes frères et mon adorable sœur je ne pourrais jamais
exprimer l’attachement et l’affection que j’ai pour vous. Aucun
mot ne pourrait exprimer la gratitude et l'amour que je vous
porte
A ma tante Narjes tu présentes pour moi le symbole de la
bonté par excellence et l’exemple du dévouement qui n’a pas
cessé de m’encourager
A mes chers amis, je vous remercie pour les moments
inoubliables que nous avons partagés ensemble. Votre
précieuse collaboration et votre soutien amical m’ont été
source d’inspiration et d’encouragement
A tous mes enseignants pour la qualité de l’enseignement
qu’ils ont bien voulu me prodiguer durant mes études afin de
me donner une formationefficace
Remerciements
4. Je tiens à exprimer mes vifs remerciements et ma profonde
reconnaissance aux acteurs qui ont contribué à l’aboutissement de ce
projet. Mes remerciements s’adressent particulièrement
A Madame Zouari Sonia, maitresse assistante au département
informatique et communication de la faculté des sciences Sfax.
C’est un témoignage de votre bienveillance d’avoir accepté de
m’encadrer, ce fut un immense privilège et un grand honneur
d’avoir pu bénéficier de votre expérience et tirer profit de vos
précieux conseils. Je vous prie de trouver ici, l’expression de ma
reconnaissance et mes respects les plus dévoués
A mon encadreur au sein de la société Prologic Madame
BOUDHINA Yasmine consultante en solutions qui n’a épargné ni
temps ni énergie afin de me familiariser avec ce secteur si
particulier. Ses remarques et ses commentaires me poussèrent
d’ailleurs à me dépasser afin de faire de ce présent mémoire un
travail de qualité
A tous les membres de jury
Enfin, je remercie tous ceux qui ont contribué de près ou de loin, pour la
réalisation du présent travail.
Table des matières
Introduction Générale......................................................................................................1
Chapitre I : Présentation de l’organisme d’accueil et le cadre du projet.......................3
5. I. Introduction :.........................................................................................................3
II. Présentation de l’entreprise d’accueil :.................................................................3
II.1 Prologic :............................................................................................................3
II.2 Les Atouts de la société Prologic : ....................................................................4
II.3 Organigramme de la société Prologic Tunisie : ................................................5
II.4 Les offres de lasociété Prologic :......................................................................6
III. Présentation du sujet : ..........................................................................................7
IV. Etude de l’existant :...............................................................................................7
IV.1 Architecture existante :.................................................................................7
IV.2 Les éléments d’interconnexion réseau :.......................................................8
IV.3 Les éléments de sécurité :.............................................................................9
V. Critique de l’existant : .........................................................................................10
VI. Solution envisageable : .......................................................................................10
VII. Conclusion :.........................................................................................................12
Chapitre II : Etat de l’art.................................................................................................13
I. Introduction :.......................................................................................................13
II. La sécurité informatique :...................................................................................13
II.1 Définition de la sécurité informatique :..........................................................13
II.2 Objectifs de la sécurité :..................................................................................13
II.3 Présentation de la solution PFsense :.............................................................14
III. Le réseau virtuel privé (VPN) :.............................................................................15
III.1 Définition :...................................................................................................15
III.2 Le role de VPN :...........................................................................................15
III.3 Les types de VPN :.......................................................................................15
III.4 Les fonctionnalités de VPN : .......................................................................17
III.5 Les Principaux protocoles de VPN : ............................................................18
IV. La supervision de réseau :...................................................................................18
IV.1 Définition :...................................................................................................18
6. IV.2 Les éléments supervisés .............................................................................19
IV.3 Le protocole de supervision SNMP :...........................................................20
IV.4 Les logiciels de supervision :.......................................................................20
IV.5 L’outil de supervision retenu : Zabbix.........................................................21
V. Conclusion : .........................................................................................................22
Chapitre III : Réalisation de haute disponibilité WAN et création de VPN avec PFsense
.........................................................................................................................................23
I. Introduction :.......................................................................................................23
II. Présentation de l’environnement de travail : .....................................................23
II.1 Présentation de VMWare Workstation : ........................................................23
II.2 Préparation de réseau et Plan d’adressage :..................................................24
III. Mise en place de pare-feu PFsense :...................................................................25
III.1 Création des machines virtuelles :..............................................................25
III.2 La connexion entre PFsense et les machines de LAN et WAN : .................25
III.3 Accès à PFsense :.........................................................................................25
IV. Configuration de pfsense : ..................................................................................26
IV.1 Configuration des interfaces :.....................................................................26
IV.2 Configuration de L’équilibrage de charge :.................................................29
IV.3 Test de fonctionnement :............................................................................30
V. Implémentation des services dans PFsense ........................................................33
V.1 Mise en place du serveur Proxy cache (squid) :..........................................33
V.2 Mise en place du serveur log (LightSquid) :................................................35
V.3 Configuration de filtrage URL (squidGuard) : .............................................37
V.4 Mise en place de Snort :..............................................................................40
V.5 Sauvegarde de la configuration du serveur Pfsense :.................................42
VI. Mise en place de VPN :........................................................................................43
VI.1 Création des machines virtuelles :..............................................................43
VI.2 La connexion entre PFsense et les machines de LAN et WAN : .................43
VI.3 Paramétrage du VPN :.................................................................................44
7. VI.4 Test de fonctionnement :............................................................................48
VII. Conclusion : .....................................................................................................49
Chapitre IV : Configuration et administration de l'outil de supervision Zabbix .........50
I. Introduction :.......................................................................................................50
II. Simulation de réseau test :..................................................................................50
II.1 Présentation de GNS3 :...................................................................................50
II.2 Configuration de GNS3 :..................................................................................51
II.3 Réseau test :....................................................................................................53
III. Installation et mise à niveau de Zabbix :.............................................................54
III.1 Installation du serveur Zabbix :...................................................................54
III.2 Configuration du serveur Zabbix :...............................................................55
III.3 Configuration de base de données de Zabbix : ..........................................55
III.4 Configuration du serveur Apache 2 : ..........................................................56
IV. Résultat de test du réseau avec Zabbix...............................................................58
IV.1 Authentification : ........................................................................................58
IV.2 Menu générale :..........................................................................................59
IV.3 Ajouter un périphérique : ...........................................................................59
IV.4 Graphes et représentation :........................................................................62
V. Conclusion : .........................................................................................................63
Conclusion générale.......................................................................................................64
Bibliographie...................................................................................................................65
Liste des figures
Figure 1:Organigramme de la société Prologic.............................................................5
Figure 2:Les offres de la société Prologic......................................................................7
8. Figure 3:Architecture existante de la société Prologic.................................................8
Figure 4:Topologie logique du réseau de la société Prologic ....................................10
Figure 5:Nouvelle architecture proposée pour la société Prologic...........................12
Figure 6:Le fonctionnement d'un VPN poste à site ....................................................16
Figure 7:Architecture VPN site à site...........................................................................16
Figure 8:L'extranet VPN................................................................................................17
Figure 9:Architecture d'un hyperviseur......................................................................24
Figure 10:Plan d'adressage...........................................................................................24
Figure 11:Authentification de PFsense .......................................................................25
Figure 12: Configuration de l'interface WAN..............................................................26
Figure 13:Configuration de l'interface WAN2 ............................................................27
Figure 14:Configuration de l'interface LAN................................................................28
Figure 15:Statuts des passerelles.................................................................................29
Figure 16:Configuration de groupe de passerelles.....................................................29
Figure 17:Configuration des règles de LAN de firewall .............................................30
Figure 18:Résultat de test <Ping>................................................................................30
Figure 19:Résultat de test <Traceroute> ....................................................................31
Figure 20:Statuts des passerelles.................................................................................31
Figure 21:Résultat du test Ping....................................................................................32
Figure 22:Résultat du test <Traceroute>....................................................................32
Figure 23:Paramétrage du serveur Proxy...................................................................34
Figure 24:Test d'utilisation de Proxy ..........................................................................34
Figure 25:Table de Squid cache ...................................................................................35
Figure 26:Paramétrage de serveur Light Squid..........................................................36
Figure 27:Interface de visualisation des rapports......................................................36
Figure 28:Interface de visualisation des détails des rapports...................................36
Figure 29:Journal de l'utilisateur 192.168.2.12..........................................................37
Figure 30:Activation de SquidGuard pour filtrage URL .............................................38
Figure 31:Téléchargement de la blacklist ...................................................................38
Figure 32:Liste de catégories .......................................................................................39
Figure 33:Résultat de rejet de la demande d'accès ....................................................39
Figure 34:Ajout de la clé <oinkmaster> ......................................................................40
Figure 35:Téléchargement des règles de Snort ..........................................................41
9. Figure 36:Affichage des interfaces Snort actives........................................................41
Figure 37:Historique des alarmes de Snort ................................................................42
Figure 38:Historique des étapes de configuration .....................................................42
Figure 39:Interface d'enregistrement du fichier de configuration ...........................43
Figure 40:Interface de Tunnel VPN..............................................................................44
Figure 41:Paramétrage des informations générales de Phase1 du tunnel ..............44
Figure 42:Paramétrage de Phase1 du tunnel VPN .....................................................45
Figure 43:Ajout de Phase 2...........................................................................................45
Figure 44:Paramétrage des informations générales de Phase2 du VPN..................46
Figure 45:Paramétrage de Phase2 du tunnel VPN .....................................................46
Figure 46:Les deux phases de tunnel IPSec du premier Pfsense ..............................47
Figure 47:Les deux phases de tunnel VPN du deuxième Pfsense .............................47
Figure 48:Configuration des règles..............................................................................47
Figure 49:Demarrage de la connexion VPN ................................................................48
Figure 50:Etablissement de la connexion VPN dans le premier PFsense.................48
Figure 51:Etablissement de la connexion dans le deuxième Pfsense.......................48
Figure 52:Interface exécution de GNS3.......................................................................51
Figure 53:L'ajout des composants ...............................................................................51
Figure 54:Console de configuration de routeur..........................................................52
Figure 55:Architecture réseau dans GNS3..................................................................53
Figure 56:Authentification de Zabbix..........................................................................58
Figure 57:Page d'accueil de Zabbix..............................................................................59
Figure 58: création d'un hôte.......................................................................................61
Figure 59:Liste des hôtes supervisés...........................................................................62
Figure 60:utilisation de la mémoire de la machine Windows server .......................62
Figure 61:charge de processeur de la machine Windows server .............................63
Figure 62:utilisation de l'espace disque de la machine Windows server.................63
Liste des abréviations
10. ACL : Access-Control List
ADSL: Asymmetric digital subscriber line
AES: Advanced Encryption Standard
BSD: Berkeley Software Distribution
CARP: Common Address Redundancy Protocol
CPU: Central Processing Unit
DB: Data Base
DHCP: Dynamic Host Configuration Protocol
DMZ: Demilitarized Zone
DNS: Domain Name System
IDS: Intrusion Detection System
IETF: Internet Engineering Task Force
IPBX: Private Branch Exchange
IPSEC: IP Security
ISP: Internet Service Provider
LAN: Local Area Network
L2F: Layer Two Forwarding
L2TP: Layer Two Tunneling Protocol
MIB: Management Information Base
NAT: Network Address Translation
NVR: Network Video Recorder
OS: Operating System
11. PHP: Hypertext Preprocessor
PPP: Point to Point Protocol
PPTP: Point to Point Tunneling Protocol
PSK: Phase-Shift Keying
RAM: Random-Access Memory
RFC: Request for Comment
RRDTOOL: Round-Robin Database Tool
SHA: Secure Hash Algorithm
SNMP: Simple Network Management Protocol
SQL: Structured Query Language
URL: Uniform Resource Locater
VM: Virtual Machine
VOIP: Voice Over IP
VPN: Virtual Private Network
WAN: Wide Area Network
12. 1
Introduction Générale
Les avancées remarquables de la technologie ont favorisé le développement des
réseaux informatiques de façon prodigieuse. En effet ils prennent de plus en plus une
place stratégique au sein des entreprises notamment la haute disponibilité de
nombreuses ressources et la sécurité des données
Il est primordial d’implémenter des mécanismes et des solutions sures assurant la
confidentialité, la disponibilité et la sécurité du transfert entre deux ou plusieurs entités
d’un réseau public et pour cela ils existent plusieurs outils et moyens, tels que les
programmes d’antivirus les systèmes de détection d’intrusion (IDS),les solutions
matérielles ,logiciels d’audits ,les réseaux privés VPN et les pare-feu (firewalls)qui sont
des éléments pouvant être matérielles ou logiciels .Ainsi la migration vers les réseaux
de la dernière génération implique une évolution de la topologie et sans doute plusieurs
changements d’ordre structurel. Les services sans fil (4G, WiMax, FH), connait une
croissance rapide. Les principales solutions concurrentes pour l’évolution des réseaux
d’accès sont les réseaux mobiles 4G.
Aussi en informatique, la vérification de l’état d’un tel système tout en analysant les
équipements réseaux existants et les sévices software permet d’anticiper les plantages et
diagnostiquer les pannes qui peuvent intervenir ce qui garantit la disponibilité du réseau.
L’objectif de mon projet consiste donc à implémenter une solution permettant la
répartition de charge de réseau sur plusieurs serveurs et une solution de sécurité
garantissant l’interconnexion de deux réseaux locaux et la mise en place d’un outil de
supervision du réseau.
Ce présent rapport de stage est organisé conformément au plan suivant :
Le premier chapitre présente l’organisme d’accueil, sa problématique et une brève
description de travail demandé ainsi qu’une étude sur le système d’information existant
dans la société Prologic et les solutions proposées pour résoudre les anomalies trouvées
Le deuxième chapitre englobe une étude de l’état de l’art.
13. 2
Le troisième chapitre est consacré à la mise en place de la solution de répartition de
charge en utilisant le pare-feu et les services implémentés dans ce dernier. Ainsi la
deuxième partie de ce chapitre sera sur la réalisation de VPN entre les sites de la société
Prologic
Le quatrième chapitre comporte la phase de réalisation de la supervision du réseau.
Enfin, mon mémoire s’achève avec une conclusion générale résumant les connaissances
acquises durant la réalisation du projet.
14. 3
Chapitre I : Présentation de
l’organisme d’accueil et le cadre du
projet
Introduction :
Dans le cadre de la formation de la licence appliquée en réseaux informatiques au sein
du département informatique et communication de la faculté des sciences de Sfax, j’ai
effectué mon stage de projet de fin d’études au sein de la société Prologic, ce stage m’a
permis de mettre en pratique les connaissances théoriques dans un projet réel. Je vais
commencer, dans ce premier chapitre par une présentation de l'entreprise d'accueil
Prologic. J’expose ensuite une description du travail demandé dans le cadre de mon
projet, je présente également dans ce chapitre une étude et une critique de
l’infrastructure réseau existant et je décris la solution envisageable.
Présentation de l’entreprise d’accueil :
II.1 Prologic :
Fruit de 34 ans d’expérience dans le conseil, la vente et le service, Prologic Tunisie est
aujourd’hui un des leaders incontestés du marché des équipements & des services
informatiques.
Créée en 1985 par des experts et des passionnés de nouvelles technologies, Prologic
Tunisie est une société anonyme de service à haute valeur ajoutée dotée d’un capital de
5.105.000 DT.
Prologic Tunisie appartient à « Prologic Holding », un groupe dynamique et
performant.
15. 4
Les activités de la société sont complémentaires et organisées en trois pôles de
compétences :
Vente, intégration, conseil et service ‘Prologic’
Grossiste en équipements informatique et téléphonie ’Smart ‘
Service de maintenance et d’après-vente ‘Simop’
II.2 Les Atouts de la société Prologic :
Afin de satisfaire au mieux les besoins d’une clientèle de plus en plus exigeante et de
répondre aux impératifs du marché, chez Prologic
Prologic Tunisie, nous œuvrons dans le respect de 3 valeurs fondamentales :
Professionnalisme : parce que la qualité des solutions requiert de la rigueur, de
l’organisation, de la méthode, un respect des normes et des délais…
Performance : parce qu’elle fournit à ses clients des services à haute valeur
ajoutée.
Partenariat : parce que le lien qui l’unit à ses clients et à ses fournisseurs est une
relation gagnante / gagnant
Ainsi cette entreprise est présente depuis + 30 ans dont elle a :
Une Base clients active de 2000 + dont 35 % PME PMI.
Une Maitrise des offres IT pour les entreprises.
Une Forte Image de qualité / fiabilité.
16. 5
Prologic Tunisie accompagne ainsi les grandes, les petites et les moyennes entreprises
dans la conception, le développement, l’exploitation et la maintenance de solutions,
nécessitant la mise en œuvre des nouvelles technologies de l’information.
II.3 Organigramme de la société Prologic Tunisie :
Le schéma de la figure 1 présente l’organigramme de la société Prologic
Figure 1:Organigramme de la société Prologic
17. 6
II.4 Les offres de la société Prologic :
La société Prologic offre plusieurs services afin de satisfaire ses clients. La figure ci-
dessous montre les principales offres de la société :
CLOUD
Storage
Networking
Laptop &
Desktop
Cash registrs
HW & SW
Servers
Printing
solutions
and MDS
Virtualisation
Outsourcing
Operating
System
18. 7
Figure 2:Les offres de la société Prologic
Présentation du sujet :
Mon projet intitulé « solution de haute disponibilité de l’infrastructure réseau WAN et
supervision du réseau globale de la société Prologic » consiste à proposer une nouvelle
architecture permettant d’améliorer la supervision et l’administration du réseau tout en
assurant sa disponibilité d’une façon continue.
La réalisation de mon projet s’articule autour de trois étapes principales qui sont
détaillés par les points suivants :
Utilisation d’une solution pour le basculement du réseau ADSL vers un autre
réseau avec PFsense
Etablissement d’une politique de sécurité au niveau d’une architecture distribuée
(Réalisation VPN Siège – Agence, règle de filtrage...)
Mise en place d’un outil web de supervision du réseau globale
Etude de l’existant :
IV.1 Architectureexistante :
L’architecture réseau de la société Prologic est démontrée dans la figure suivante :
19. 8
Figure 3:Architecture existante de la société Prologic
Cette architecture est composée de plusieurs équipements que je vais définir et décrire
leurs fonctions dans les paragraphes suivantes.
IV.2 Les éléments d’interconnexionréseau :
Des points d’accès Wifi : qui sont des équipements qui permettent aux
utilisateurs de se connecter au réseau Internet sans fil.
Le commutateur (switch) : sert à introduire une architecture réunie
d’interconnexion d’autres LAN. Il représente un moyen privilégié de suivre
l’utilisation du réseau comme étant au cœur de la topologie. Sa seule différence
avec le Hub c’est qu’il est capable de savoir l’adresse physique des machines qui
lui sont connectées tout en analysant les trames reçues pour les diriger vers la
machine destination.
Le routeur : représente un matériel de la couche réseau permettant de choisir le
chemin qu’un message va suivre, il est utilisé pour relier les LAN de
technologies différentes et il ne laisse pas passer les adresses de destination
inconnues ni les diffusions.
Un système téléphonique IP/PBX : qui est constitué de plusieurs téléphones
VoIP, d’un serveur IPBX. L'un des principaux avantages d'un autocommutateur
privé IP est le fait qu'il utilise des réseaux de données et vocaux convergents.
Cela signifie que l'accès à Internet, ainsi que les communications VoIP et les
communications téléphoniques traditionnelles, sont tous possibles en utilisant
une seule ligne pour chaque utilisateur. Cela offre de la flexibilité à mesure que
l'entreprise grandit et peut également réduire les coûts d'exploitation et de
maintenance à long terme. [1]
20. 9
IV.3 Les éléments de sécurité :
Pare-feu (firewall) : il s’agit d’une structure (logicielle ou matérielle) située entre
l’utilisateur et le monde extérieur afin de protéger les données d’un réseau interne
des intrus [2]
Les principaux rôles d’un pare-feu sont :
Déterminer le type de trafic qui sera acheminé ou bloqué.
Contrôler le flux de trafic.
Fournir un niveau de sécurité d’accès réseau de base.
Autoriser un administrateur à contrôler les zones auxquelles un client peut
accéder sur un réseau.
NVR : Un NVR ou un enregistreur vidéo réseau peut enregistrer un flux vidéo
transmis via un câble réseau. Les caméras IP peuvent se connecter à un NVR via
Internet ou un réseau local. Dans certains cas, sans utiliser de NVR, les utilisateurs
finaux peuvent toujours utiliser des caméras IP et un logiciel de gestion vidéo ou
VMS installé pour configurer leurs systèmes de surveillance IP [3].
La zone DMZ est un sous-réseau séparé du réseau local de l’entreprise et du réseau
public extérieur par le Firewall Cisco, qui permet d’empêcher les utilisateurs
d’avoir accès directement au serveur Web de Prologic qui contient des données de
l’entreprise. La figure 4 montre la zone DMZ existante dans la société Prologic.
21. 10
Figure 4:Topologie logique du réseau de la société Prologic
Critique de l’existant :
Le réseau WAN permet d’interconnecter les différentes agences de SMART (filiale de
Prologic) sur le territoire tunisien (Tunis, Sfax) suivant une organisation administrative
centralisée en Tunis :
Les liaisons WAN entre le site central de Tunis et l’agence sont de type ADSL
Ainsi, cette architecture possède les inconvénients suivants :
La technologie utilisée actuellement est caractérisée par une instabilité
fréquente, et par conséquent une déconnexion probable entre les différentes
agences du réseau, sachant que la stratégie de Prologic ne tolère pas une
interruption d’activité.
Aucune structure de backup n’existe sur le réseau, ce qui augmente le risque
d’indisponibilité totale en cas d’arrêt principalement entre le site central et
l’agence.
Solution envisageable :
Afin de résoudre les problèmes cités précédemment je propose de :
Créer une architecture sécurisée. Pour cela, je propose une architecture qui se base
sur un pare-feu(firewall). En effet cet outil a pour but de sécuriser au maximum le
réseau local de la société, de détecter les tentatives d’intrusion et d’y parer au
mieux possible. Cela représente une sécurité supplémentaire rendant le réseau
ouvert sur Internet beaucoup plus sûr. De plus, il peut permettre de restreindre
l’accès interne vers l’extérieur.
Placer un firewall limitant ou interdisant l’accès à des services et des activités que
la société ne cautionne pas comme par exemple le jeu en ligne. D’où la société peut
donc avoir un contrôle sur les activités se déroulant dans son enceinte et d’analyser
22. 11
et gérer le Traffic réseau et d’empêcher une personne sans autorisation d’accéder à
ce réseau de données.
Mettre en place des liaisons virtuelles privées (VPN) site à site basée sur le
protocole Ipsec afin de connecter les deux sites de la société Prologic en toute
sécurité par le biais d’un accès Internet tiers et peu couteux.
Placer un outil de supervision qui permet de vérifier et de contrôler le bon
fonctionnement du réseau informatique afin qu’il soit fonctionnel correctement et
en permanence pour réduire les problèmes liés à l’informatique le plus que
possible.
Pour cela, j’étais chargé durant ce projet de fin d’étude d’intégrer le service de
basculement d’une liaison à une autre, dans le réseau de la société Prologic, afin de
garantir sa totale disponibilité Ainsi le basculement des connexions peut être effectué
d’une façon matérielle ou logiciel.
Si je choisi la solution hardware, il faut alors penser à acheter des routeurs faisant partie
des gammes spécifiques permettant ces fonctionnalités, ce qui n’est pas optimale vue le
coût élevé de ces routeurs.
Pour cela, j’ai pensé à utiliser une solution software gratuite telle que le pare-feu Open
source PFsense permettant de faciliter le basculement du réseau LS/ ADSL vers le
réseau 4G de Ooredoo. D’où l’architecture réseau proposée pour la mise en œuvre de
solution est illustrée par la figure5
23. 12
Figure 5:Nouvelle architecture proposée pour la société Prologic
Conclusion :
Au cours de ce chapitre, j’ai présenté la société d’accueil Prologic Tunisie qui a adopté
ce projet. Puis j’ai décrit le cahier des charges de mon projet et ses objectifs. J’ai
également mis dans ce chapitre une étude du réseau existant de la société Prologic tout
en dégageant les anomalies trouvées et citant les solutions proposées.
24. 13
Chapitre II : Etat de l’art
Introduction :
Après avoir donné un aperçu sur le contexte de mon projet je vais effectuer dans ce
deuxième chapitre un balayage sur les principales notions théoriques que j’ai utilisé
durant la réalisation de ce présent travail. Tout d’abord je vais commencer par une
présentation détaillée de la solution pare-feu PFsense utilisée, par la suite l’exposition
du réseau virtuel VPN avant de finir par proposer la solution de supervision du réseau
La sécurité informatique :
II.1 Définition de la sécuritéinformatique :
La notion de sécurité informatique c’est l’ensemble des moyens outils, techniques et
méthodes mis en œuvre pour minimiser la vulnérabilité d’un système contre des
menaces accidentelles ou intentionnelles [4].
II.2 Objectifs de la sécurité:
La sécurité informatique met en jeu généralement cinq principaux objectifs : [5]
L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit
être.
La confidentialité, consistant à assurer que seules les personnes autorisées aient
accès aux ressources échangées.
La disponibilité, permettant de maintenir le bon fonctionnement du système
d’information.
La non répudiation, permettant de garantir qu'une transaction ne peut être niée.
25. 14
L'authentification, consistant à assurer que seules les personnes autorisées aient
accès aux ressources.
II.3 Présentationde la solution PFsense :
PFsense a été créé en 2004 et réalisée à partir d’une distribution BSD lui garantissant un
niveau élevé de sécurité et de fiabilité, la distribution PFsense permet la mise en place
d’un pare-feu, routeur, portail captif complet et adapté aux professionnels [6].
Les principaux services réseaux que PFsense peut fournir sont :
Les services DHCP, DNS et DNS dynamiques
Le Système de basculement (Failover) :en utilisant le protocole CARP qui est
un protocole permettant à un groupe d'hôtes sur un même segment réseau de
partager une adresse IP.
Le filtrage et l’inspection des paquets : en utilisant le service PacketFilter.
L’affichage de la table d'état qui sert à obtenir un aperçu sur l’état des
connexions tout en créant des règles de gestion, comme par exemple spécifier le
nombre maximal de connexions par hôte.
La Traduction d'adresses réseaux (NAT) : qui permet d’assurer à une machine se
trouvant sur le réseau LAN privé, la connexion vers le réseau Internet. La
création et gestion des VPNs : à partir des technologies Ipsec, OpenVPN ou
PPTP.
La redondance et l’équilibrage de charge.
26. 15
Le réseau virtuel privé (VPN) :
III.1 Définition :
Le VPN représente un réseau privé virtuel qui est un réseau crypté dans le réseau
Internet permettant à une société dont ses locaux sont géographiquement dispersés de
communiquer et partager des documents d’une façon complètement sécurisée, comme
s'il n'y avait qu'un local avec un réseau interne.
Les VPNs sont très utilisés par les multinationales et grandes sociétés. Le VPN peut
garantir la sécurité et la confidentialité des données, qui circulent de manière cryptée par
Internet, afin que personne de malintentionné ne puisse intercepter les informations. [7]
III.2 Le fonctionnementde VPN :
Un VPN est basé sur des protocoles de tunnelisation (ou tunneling). Ce sont des
protocoles permettant de sécuriser les données passant entre deux réseaux physiques en
utilisant des algorithmes de chiffrage. On utilise d’ailleurs le terme de « tunnel » pour
mettre l’accent sur le fait que les données sont chiffrées et protégés entre l’entrée et la
sortie d’un VPN. Lorsqu’un VPN est établi entre deux réseaux physiques ; « le client
VPN » permet de chiffrer et de déchiffrer les données du coté client (ou utilisateur) et le
« Serveur VPN » est l’élément qui chiffre et déchiffre les données du côté de
l’organisation. [8]
III.3 Les typesde VPN :
Il existe trois types standards d’utilisation des VPN ; chacun d’eux caractérise une
utilisation bien particulière de cette technologie.
III.3.a. Le VPN d’accès (poste à site) :
La figure 6 montre ce type nomade qui est également appelé ‘’Road Warrior’’ et qui
permet à un utilisateur distant de son entreprise de se connecter à celle-ci pour pouvoir
profiter de ses services [9].
27. 16
Figure 6:Le fonctionnement d'un VPN poste à site
III.3.b. Site à site (LAN to LAN) :
La figure 7 montre le VPN site à site permettant de relier deux réseaux d’entreprises
entre eux d’une façon transparente [9].
Figure 7:Architecture VPN site à site
28. 17
III.3.c. Poste à poste (Host to Host) :
La figure 8 illustre ce type de VPN qui est utilisé par les entreprises afin de
communiquer avec ses clients en ouvrant son réseau local à ses clients ou partenaires
[9].
Figure 8:L'extranet VPN
III.4 Le rôle de VPN :
Le VPN doit pouvoir mettre en œuvre les obligations suivantes :
Authentification des utilisateurs : les bonnes personnes uniquement doivent
pouvoir se connecter au réseau virtuel privé. On doit aussi pouvoir garder les
logs de connexions.
Authentification des entités communicantes : le serveur VPN doit pouvoir être
sûr de parler au vrai client VPN et vice-versa.
Gestion des adresses : tous les utilisateurs doivent avoir une adresse privée et les
nouveaux clients en obtenir une facilement.
29. 18
Cryptage du tunnel : les données échangées sur Internet doivent être dument
cryptées entre le client VPN et le serveur VPN et vice-versa.
Les clés de cryptage doivent être régénérées souvent (automatiquement).
Le VPN doit supporter tous les protocoles afin de réaliser un vrai tunnel comme
s’il y avait réellement un câble entre les deux réseaux.
III.5 Les Principaux protocolesde VPN :
Les principaux protocoles de Tunneling VPN sont les suivants :
PPTP est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US
Robotics et ECI Telematics.
L2F est un protocole de niveau 2 développé par Cisco, Northern Telecom et
Shiva. Il est désormais quasi-obsolète
L2TP est l’aboutissement des travaux de l’IETF (RFC 2661) pour faire
converger les fonctionnalités de PPTP et L2F. Il s’agit ainsi d’un protocole de
niveau 2 s’appuyant sur PPP.
IPSec est un protocole de niveau 3, issu des travaux de l’IETF, permettant de
transporter des données chiffrées pour les réseaux IP.
La supervision du réseau :
IV.1 Définition :
La supervision aide à la surveillance du bon fonctionnement des systèmes
d'informations. Elle permet généralement aux administrateurs réseau de bien contrôler
visualiser, et analyser les différentes données fournies par les différents composants
matériels et logiciels du réseau.
30. 19
Ainsi l'administrateur peut poursuivre le fonctionnement normal ou anormal du système
informatique et intervenir pour résoudre les problèmes trouvés.
Le but de la supervision est donc la visibilité de toutes les composantes du réseau pour
l’administrateur, pour lui permettre de contrôler l’infrastructure informatique et de la
gérer plus facilement surtout avec l’évolution du réseau. Cela garantit la fiabilité des
différents services des entreprises.
La supervision nous permet de fournir des rapports sur le fonctionnement du système
comme l’utilisation du CPU, l’occupation de la mémoire physique, l’espace libre des
disques dure, la fluctuation de la température, etc. Ces rapports permettront à
l’administrateur d'anticiper les incidents sur le parc informatique, de piloter son réseau
et de réaliser des actions en fonction des alertes déclenchées. La supervision facilite la
tâche de l’administrateur et garantit le bon fonctionnement des serveurs.
IV.2 Les éléments supervisés
La supervision est un domaine qui représente une grande importance dans le domaine
d’informatique et qui reprend plusieurs activités dont les principales sont :
Surveiller
Visualiser
Analyser
Piloter
Alerter
Pratiquement afin de maintenir un fonctionnement optimal du système, tous les
équipements doivent être supervisés tels que :
Le Réseau
Les Serveurs
Les Périphériques
Les Postes client
Les Applications...
31. 20
L'administrateur réseau ainsi peut placer des niveaux de priorités entre les différents
éléments afin de définir ce qui doit ou ce qui ne doit pas être supervisé selon différents
critères (charge du réseau, manque de moyens...).
IV.3 Le protocole de supervision SNMP :
SNMP est un protocole principalement utilisé pour superviser des équipements réseaux
(routeurs, switchs…), des serveurs ou même des périphériques tels que baies de disques,
sondes météorologique, onduleurs... C’est le protocole de supervision le plus simple et
le plus utilisé pour la gestion des réseaux. Il permet aux administrateurs réseau de gérer,
à distance, les équipements du réseau et de diagnostiquer les problèmes survenant sur
un réseau.
L'environnement de gestion SNMP est constitué de plusieurs composantes :
Le Manager (station de supervision) exécute les applications de gestion qui
contrôlent les éléments réseaux, la plupart du temps le manager est un simple poste
de travail
Les éléments actifs du réseau, sont les équipements que l'on cherche à gérer
(switchs, serveurs...)
La MIB est une collection d'objets résidant dans une base d'informations virtuelles
Le Protocole, qui effectue la relation entre le Manager et les éléments actifs
Chaque élément actif dispose d'une entité que l'on appelle un "agent", qui répond aux
requêtes du Manager.
IV.4 Les logiciels de supervision :
Il faut savoir qu'il existe des dizaines de solutions Open Source dédiées au Monitoring,
le principal critère de choix réside dans les différents cas d'utilisation.
32. 21
Un logiciel de supervision est un dispositif permettant de faciliter la gestion et la
maintenance préventive des services informatiques. Grâce à cet outil, nous pourrons
mesurer la disponibilité et la performance des services afin d’anticiper les
dysfonctionnements et les pannes liés à nos systèmes d’information.
Ce logiciel nous permettra d’être alerté en temps réel sur les incidents touchant nos
serveurs ainsi que les postes de travail constituant notre parc informatique. Grâce au
reporting automatique des défaillances, les agents réseau peuvent donc répondre plus
rapidement aux risques de sécurité clés, notamment ceux liés au transfert de fichiers,
aux échanges de données sur le serveur ou aux mises à jour.
Mon choix s'est porté sur le logiciel Zabbix, afin de bénéficier d'une supervision
complète, les générations de configurations automatiques, et son interface intuitive en
font un outil de choix à mettre en place.
IV.5 L’outil de supervision retenu: Zabbix
Zabbix est un outil de supervision, ambitionnant de concurrencer Nagios et PRTG. Il est
utilisé pour superviser le réseau et les systèmes (processeur, disque, mémoire,
processus,). Zabbix offre des vues graphiques (générés par RRDtool) et des alertes sur
seuil. Le « serveur Zabbix » peut être décomposé en 3 parties séparées : Le serveur de
données, l'interface de gestion et le serveur de traitement. En effet chacune d'elles peut
être disposée sur une machine différente pour répartir la charge et optimiser les
performances. Un agent Zabbix peut aussi être installé sur les hôtes Linux, UNIX et
Windows afin d'obtenir des statistiques comme la charge CPU, l'utilisation du réseau,
l'espace disque... Le logiciel peut réaliser le monitoring via SNMP. En utilisant l’outil
Zabbix il est possible de configurer des "proxy Zabbix" afin de répartir la charge ou
d'assurer une meilleure disponibilité de service [10].
33. 22
Conclusion :
Dans ce chapitre j’ai donné une présentation de la solution de répartition de charge
adoptée, à savoir le « PFsense », et justifier son choix. Ensuite la mise en œuvre des
VPNs. J’ai également détaillé la notion de supervision du réseau, ainsi que la solution
« Zabbix » de supervision que j’ai utilisé durant l’avancement de mon projet de fin
d’étude.
34. 23
Chapitre III : Réalisation de haute
disponibilité WAN et création de VPN
avec PFsense
Introduction :
Dans ce chapitre je vais mettre en place la solution proposée de basculement afin de
garantir la haute disponibilité du réseau WAN de la société Prologic et la mise en place
d’un VPN site à site avec PFsense. Je vais commencer tout d’abord par préciser les
étapes de configuration de pare-feu « PFsense » puis je vais citer les différents services
qu’on peut implémenter dans ce dernier. Enfin je décris la phase de réalisation d’un
tunnel VPN site à site.
Présentation de l’environnement de
travail :
II.1 Présentationde VMWareWorkstation :
VMware Workstation est un hyperviseur de VMware qui permet d’installer et exécuter
une ou plusieurs machines virtuelles au sein d’un même système d’exploitation, ces
systèmes d’exploitation et applications sont isolés dans des machines virtuelles
sécurisées qui coexistent sur le même matériel. La couche de virtualisation permet
d’allouer les ressources matérielles aux ressources de la machine virtuelle. Ainsi,
chaque machine virtuelle a ses propres ressources CPU, mémoire, disques, unités d’E/S,
etc. Les machines virtuelles représentent l’équivalent intégral d’un ordinateur x86
standard. La figure 9 illustre l’architecture d’un hyperviseur.
35. 24
Figure 9:Architecture d'un hyperviseur
II.2 Préparationdu réseau et Plan d’adressage:
Dans la solution proposée, un serveur PFsense sera lié, d’une part à un routeur télécom
et d’autre part à un autre routeur 4G. Celui-ci gère automatiquement le basculement des
données dont en cas de panne sur les lignes LS/ADSL, c’est le support sans fil 4G, que
j’ai installé, qui prendra la relève. La solution proposée ainsi que le plan d’adressage
que j’ai utilisé est montré dans la figure 10
Figure 10:Plan d'adressage
36. 25
Mise en place de pare-feu PFsense :
III.1 Création des machines virtuelles:
Dans VMware Workstation j’ai créé une machine virtuelle PFsense et une autre Linux
Ubuntu pour que je puisse accéder à l’interface LAN de PFsense.
PFsense possède trois cartes réseaux (VMnet0 : interface WAN1, VMnet3 : interface
LAN, VMnet4 : interface WAN 2).
III.2 La connexion entre PFsense et les machines de
LAN et WAN :
Après la configuration des cartes réseaux virtuelles en modifiant les mode (bridged,
NAT, Host Only) et les adresses IP.
J’ai connecté les deux machines virtuelles PFsense et Linux Ubuntu à travers la carte
VMnet3 en mode Host Only. VMnet0 en mode bridged sur la carte réseau locale et
VMnet4 en mode Bridged sur le réseau 4G de Ooredoo.
III.3 Accès à PFsense :
Via un navigateur (Firefox dans mon cas) je peux accéder à la page web en tapant
https://192.168.2.1
Dans l’interface présenté par la figure 11 on peut saisir le user Name (admin) et le
password (pfsense) afin d’accéder au menu principal de PFsense
Figure 11:Authentification de PFsense
37. 26
Configuration de pfsense :
IV.1 Configurationdes interfaces :
Pour ajouter une interface on accéde à l’onglet ‘interface’ à partir du menu principal et
en cliquant sur le bouton ’ajouter’ on peut ajouter une nouvelle interface
Interface WAN
La configuration de l’interface WAN est établie comme suit :
Activer l’interface WAN.
Ajouter une description de cette interface.
Choisir le type de configuration d’adresse (Statique dans notre cas).
Assigner une adresse IP (192.168.1.7) et une passerelle (192.168.1.1)
La figure 12 montre la configuration de l’interface WAN :
Figure 12: Configuration de l'interface WAN
38. 27
Interface WAN2 (opt1)
Ensuite j’ai fait la configuration de l’interface WAN2 comme suit :
Activer l’interface opt1.
Ajouter une description de l’interface.
Choisir le type de configuration d’adresse (Statique).
Assigner une adresse IP (172.16.1.250) et une passerelle (172.16.1.254)
La figure 13 présente la configuration de l’interface WAN2
Figure 13:Configuration de l'interface WAN2
39. 28
Interface LAN
L’interface LAN est paramétrée de la façon suivante :
Activer l’interface LAN
Ajouter une description de l’interface
Choisir le type de configuration d’adresse (Statique)
Assigner une adresse IP (192.168.2.1)
La figure 14 montre la configuration de l’interface LAN
Figure 14:Configuration de l'interface LAN
40. 29
IV.2 Configurationde L’équilibrage de charge :
L’équilibrage de charge est une technique permettant de répartir la charge entre
plusieurs serveurs appartenant au même groupe afin d’optimiser la qualité de services et
assurer la haute disponibilité du réseau.
Afin de configurer l’équilibrage de charge sous PFsense j’ai tout d’abord deux
passerelles configurés et opérationnelles comme le montre la figure 15
Figure 15:Statuts des passerelles
Ensuite j’ai ajouté un groupe de passerelle en accédant à l’onglet « Système> Routing>
Gateway Groups » depuis le menu principale et j’ai ajouté mes deux routeurs (ADSL et
4G ) à un nouveau groupe appelé « Loadbalance-WAN». toute en donnant à l’ Interface
WAN « Tier 1» et l’ Interface WAN2 « Tier 2», ce qui permet d’affecter le plus de
priorité à l’interface WAN et de mettre l’interface « WAN2 » comme une interface de
backup. La figure 16 montre la configuration de groupe de passerelles
Figure 16:Configuration de groupe de passerelles
41. 30
Par suite et comme le montre la figure 17 J’ai changé la deuxième règle de l’interface
LAN afin de forcer les paquets de sortir à travers l’interface WAN en utilisant la groupe
de passerelles « Loadbalance-WAN », configurée précédemment
Figure 17:Configuration des règles de LAN de firewall
IV.3 Test de fonctionnement :
Tout d’abord j’ai commencé par faire un test sur la liaison WAN1, en utilisant la
commande « ping 8.8.8.8» à partir du serveur « PFsense », qui est l’adresse de Google
public DNS (sont des serveurs qui permettent de convertir des noms de domaine en
adresse IP). Comme la montre la figure 18, le résultat de ce test est positif :
Figure 18:Résultat de test <Ping>
42. 31
Aussi et afin d’afficher le chemin que la requête va suivre j’ai testé la commande
Traceroute vers 8.8.8.8 et comme l’indique la figure 19 la requête sort bien de
l’interface WAN (192.168.1.1).
Figure 19:Résultat de test <Traceroute>
Ensuite pour faire tester l’interface WAN2 et le basculement du serveur « PFsense »,
j’ai débranché l’interface primaire WAN1 ce qui cause la déconnexion de la passerelle
de cette dernière
La figure 20 illustre le résultat obtenu de la déconnexion de l’interface WAN1
Figure 20:Statuts des passerelles
43. 32
Après, j’ai fait le test « ping » vers 8.8.8.8 et j’ai remarqué que la connexion Internet est
disponible toujours comme le montre la figure 21
Figure 21:Résultat du test Ping
La figure 22 illustre le deuxième test avec la commande « Traceroute » pour voir le
basculement de serveur et j’observe que ce dernier s’est bien branché sur la deuxième
interface WAN2 d’adresse IP 172.16.1.254
Figure 22:Résultat du test <Traceroute>
44. 33
Implémentation des services dans
PFsense
V.1 Mise en place du serveurProxy cache (squid) :
V.1.a. Intérêt :
Squid est un serveur qui posséde un cache réalisé pour les clients web. Ainsi un cache
est une espace dans le disque ou dans le RAM où squid va stocker les informations les
plus utilisés . Ce serveur joue le role d’un agent intermediaire qui reçoit les requêtes
envoyés par les clients et les transmet au serveur Internet demandé et fait
stimultanéement le stockage de l'information retournée par ce dernier. Ensuite et afin de
réduire la bande passante utilisée et accélérer le débit et les opérations si l'information
est demandée plusieurs fois, alors le contenu stocké sera retourné directement aux
clients .
V.1.b. Paramétrage :
En premier lieu j’ai installé le serveur squid et ses paquets à partir de « system>
package manager> available packages »
Ensuite à partir de menu principal j’ai accédé à l’onglet ‘sevice’ puis « proxy server »
alors l’interface de la figure 23 s’affiche ce qui me permet de configurer le serveur
45. 34
Figure 23:Paramétrage du serveur Proxy
Sur cette interface, j’ai éffectué les opérations suivantes :
Cocher l’onglet « allow users on interface » afin que les utilisateurs connectés à
l'interface sélectionnée seront autorisé à utiliser le proxy.
Spécifier le port 3128 comme « Proxy port » permettant l’accès sécurisé.
Cocher l’onglet « Enabled loginng » pour activer la journalisation du trafic qui
se trouve sur le réseau
Ajouter le repertoire de stockage de la journalisation dans « Log store
directory », à savoir le repertoire par défaut « /var/squid/log » pour spécifier
Ajouter «visible hostname» qui sera affiché dans le serveur proxy dans notre cas
j’ai utulisé le nom d’hote mortadha.bou.com
V.1.c. Test de fonctionnement de proxy :
Afin de vérifier si on accède au réseau avec le proxy ou non j’ai connecté au réseau et
j’ai accédé au site proxytest.ifl.net qui permet de tester l’utilisation de serveur proxy.
La figure 24 montre le test positif et que je suis en train d’utiliser le proxy
Figure 24:Test d'utilisation de Proxy
46. 35
On peut ensuite consulter la table de squid cache en cliquant sur l’onglet ‘Real Time’
comme l’indique la figure 25
Figure 25:Table de Squid cache
V.2 Mise en place du serveurlog (LightSquid):
V.1.a. Intérêt :
LightSquid est un outil de calcul de statistiques qui vient se greffer à Squid. Il s’agit
d’un générateur de statistiques pour le proxy Squid. Il a pour but de contrôler le taux
d’utilisation de la bande passante en de déterminer les sites consultés par les utilisateurs
V.1.b. Paramétrage :
Après l’installation du package « LightSquid » j’ai modifié les paramètres en cliquant
sur « status », « proxy report » puis j’ai choisi le port par défaut 7445 sur lequel light
squid va faire l’écoute et j’ai choisi la langue française pour le rapport de journalisation,
après j’ai fixé la période de rafraîchissement des données à 15 minutes comme le
montre la figure ci-dessous
47. 36
Figure 26:Paramétrage de serveur Light Squid
V.1.c. Test de fonctionnement :
Afin de visualiser les rapports,j’ai cliqué sur le bouton «open Lightsquid ». la figure ci-
dessous montre le résultat obtenu dans le quel s’affiche la date système de la journée à
visualiser dont on veut afficher le récapitulatif correspondant.
Figure 27:Interface de visualisation des rapports
En cliquant sur le lien correspond à la date de la journée on peut visulaiser la liste des
utilisateurs actifs sur le réseau pendant cette journée comme le montre la figure 28,ces
utilisateurs sont identifiés par leurs adresses IP.
Figure 28:Interface de visualisation des détails des rapports
48. 37
La figure 29 montre bien q’on peut consulter les sites q’un utulisateur a visité en
cliquant sur son adresse IP
Figure 29:Journal de l'utilisateur 192.168.2.12
V.3 Configurationde filtrage URL (squidGuard):
V.1.a. Intérêt :
Squid-guard est un plugin de Squid. Il offre les possibilités suivantes :
Le Filtrage
Redirection
Authentification
Dans mon cas, la configuration de squidGuard servira à limiter l'accès web pour
quelques utilisateurs à quelques sites et à bloquer l’accès à cetaines URL.
49. 38
V.1.b. Paramétrage :
Pour configurer le filtrage URL, j’ai accédé au menu « service >squidguard proxy
filter » à partir du menu principal. L’interface de la figure 30 s’est alors affichée .
Figure 30:Activation de SquidGuard pour filtrage URL
D’abord , en cochant le champ « Enable » j’ai activé le filtrage. Ensuite et comme
l’indique la figure 31 , j’ai accédé à l’onglet «Blacklist» dont j’ai choisi le site que je
vais l’utiliser pour télécharger la liste des catégories d’URL interdites.
Figure 31:Téléchargement de la blacklist
50. 39
Une fois le téléchargement est terminé j’ai accédé à l’onglet «Common ACL» où j’ai
trouvé la liste de catégories des sites q’on peut interdir alors j’ai sélectionné la catégorie
«Socialnet» qui contient tous les sites des réseaux sociaux et j’ai bloqué l’acées à cette
catégorie.
La figure 32 montre la liste de catégories
Figure 32:Liste de catégories
V.1.c. Test de filtrage URL(SquidGuard) :
Afin de tester le fonctionnement de filtrage ,j’ai cherché sur Internet le site facebook qui
est l’un des sites sociaux , et j’ai essayé d’y accéder à partir de ma machine d’adresse IP
192.168.2.12. Le résultat de rejet de la requête est illustré par la figure 33, ce qui prouve
la réussite de ma configuration.
Figure 33:Résultat de rejet de la demande d'accès
51. 40
V.4 Mise en place de Snort :
V.1.a. Intérêt :
Snort est un système de détection d’intrusion qui permet de protéger un système
d’information en analysant les paquets circulant sur une ou plusieurs interfaces de
firewall en temps réel ce qui aide à détecter les anamolies au sein des paquets. C’est
pourquoi j’ai décidé de l’utiliser pour assurer plus de sécurité au système d’informations
de la société Prologic.
V.1.b. Paramétrage
Tout d’abord j’ai créé un compte sur le site « www.snort.org » afin d’obtenir la clé
« Oinkmaster » pour pouvoir télécharger toutes les règles du Snort comme l’indique la
figure 34 et par suite configurer le service correspondant.
Figure 34:Ajout de la clé <oinkmaster>
Les règles Snort sont des fichiers contenant des règles pour un usage bien particulier. Je
les ai téléchargé en cliquent sur l’onglet « updates » et puis le bouton «update rules»
52. 41
La figure 35 montre le succées de téléchargement des régles
Figure 35:Téléchargement des règles de Snort
après avoir téléchargé les régles Snort, j’ai vérifié que l’interface a bien été ajouté
comme illustré dans la figure 36.
Figure 36:Affichage des interfaces Snort actives
Enfin on peut voir la liste des alarmes gérées par le service Snort via l’interface de la
figure 37
53. 42
Figure 37:Historique des alarmes de Snort
V.5 Sauvegarde de la configuration du serveur
Pfsense :
En cas de panne du serveur PFsense et afin d’avoir une solution de secours j’ai choisi
d’enregistrer la configuration de tous les services mentionnés ci-dessus. Pour cela, j’ai
sélectionné a partir du menu principal l’onglet « Diagnostics >backup/restore »
la figure 38 présente l’interface qui énumère l’historique des opérations de
configuration effectuées, avec la date de chaque modification.
Figure 38:Historique des étapes de configuration
54. 43
La figure 39 illustre l’interface correspondante à l’onglet « Diagnostics
>backup/restore », dans laquelle j’ai cliqué sur « Download configuration » pour
télécharger le fichier qui contient les paramètres et les détails de la configuration des
services PFsense, DHCP, SNORT, et services de filtrage.
Figure 39:Interface d'enregistrement du fichier de configuration
Mise en place de VPN :
VI.1 Création des machines virtuelles :
Dans VMware Workstation j’ai une machine virtuelle PFsense et j’ai créé une deuxième
machine Pfsense qui possède deux cartes réseaux (VMnet0 : interface WAN, VMnet5 :
interface LAN).
VI.2 La connexion entre PFsense et les machines de
LAN et WAN :
J’ai connecté la machine virtuelle PFsense avec ma machine physique à travers la carte
VMnet5 en mode NAT et VMnet0 en mode bridged sur la carte réseau locale
55. 44
VI.3 Paramétrage du VPN :
Sur le premier routeur PFsense, j’ai accédé à l’onglet VPN à partir du menu principal
et j’ai choisi le protocole Ipsec,l’interface de la figure 40 s’affiche
Figure 40:Interface de Tunnel VPN
En cliquant sur le bouton «Add», un nouvel onglet , donnée par la figure 41 , s’affiche
et permet d’ajouter les paramétres nécessaires de Tunnel dont je dois ajouter au
niveau de la ligne Remote Gateway l’adresse IP de WAN du deuxième pare-feu
PFsense
Figure 41:Paramétrage des informations générales de Phase1 du
tunnel
56. 45
Ensuite et dans la partie suivante les opérations suivantes ont été effectuées :
Authentication Method : Mutual PSK
My identifier : My IP address
Pre-Shared Key : Clé d’authentification pour nos 2 routeurs Pfsense
Encryption Algorithm : AES
Hash : SHA256
Figure 42:Paramétrage de Phase1 du tunnel VPN
Après l’enregistrement de la configuration et en cliquant sur Show Phase 2 Entries
l’interface de la figure 43 s’affiche
Figure 43:Ajout de Phase 2
57. 46
La figure 44 illustre les informations générales de la deuxième phase de tunnel dont je
vais choisir les options suivantes :
Mode : Tunnel IPv4
Local Network : LAN subnet
Remote network : l’adresse IP du LAN distant (10.200.0.254)
Figure 44:Paramétrage des informations générales de Phase2 du VPN
Concernant la phase 2 du tunnel comme le montre la figure 45 j’ai effectué les
opérations suivantes :
Encryption Algorithm : AES-256GCM
Hash algorithme : SHA256
PFS key group :14(2048 bit)
Figure 45:Paramétrage de Phase2 du tunnel VPN
58. 47
La configuration est maintenant achevée sur le premier routeur PFsense comme la
montre la figure ci -dessous.
Figure 46:Les deux phases de tunnel IPSec du premier Pfsense
Afin que la connexion soit établie les mêmes étapes doivent être refaites sur le
deuxième routeur en faisant correspondre les adresses IP comme la montre la figure 47
Figure 47:Les deux phases de tunnel VPN du deuxième Pfsense
Enfin on doit activer les règles permettant les communications site à site sur les deux
routeurs comme le montre la figure 48.
Figure 48:Configuration des règles
59. 48
VI.4 Test de fonctionnement :
Pour terminer et tester le bon fonctionnement de VPN je vais activer sur les deux
PFsense le tunnel dans Status > IPSec en cliquant sur ‘’Connect VPN’’ pour démarrer la
connexion VPN site à site comme illustre la figure 49
Figure 49:Demarrage de la connexion VPN
La figure 50 montre que la connexion VPN est bien établie sur le premier PFsense
Figure 50:Etablissement de la connexion VPN dans le premier PFsense
Afin de vérifier la connexion dans le deuxième PFsense, je clique aussi sur ‘’Connect
VPN’’ et la figure ci-dessous montre l’établissement de la connexion
Figure 51:Etablissement de la connexion dans le deuxième Pfsense
60. 49
Conclusion :
Au cours de ce chapitre, j’ai pu décrire la procédure de configuration de la solution
proposée pour garantir la haute disponibilité du réseau de la société Prologic.
En commençant par justifier le choix de la solution de basculement « PFSence »,j’ai
détaillé les étapes de sa configuration, et j’ai testé son fonctionnement, j’ai décrit
également dans ce contexte les étapes de la mise en place des services de proxy,
journalisation, filtrage de sites web et l’utilisation du systéme snort pour la détection
d’intrusion qui sert à augmenter la sécurité du réseau .Par la suite j’ai donné la méthode
de sauegarde du fichier de configuration du PFsense.
Enfin j’ai exposé les détails de configuration concernant des VPNs sous le pare-feu
PFsense entre les deux sites de la société ainsi que les résultats de ces
configurations.Mon objectif était d’interconnecter les deux sites de la société Prologic
via un tunnel sécurisé en utilisant le protocole IPsec et j’ai atteint mon objectif comme
indique les captures ci-haut.
61. 50
Chapitre IV : Configuration et
administration de l'outil de supervision
Zabbix
Introduction :
Dans ce chapitre je vais mettre en œuvre une topologie de réseau en utilisant l’outil de
simulation de réseau GNS3, par la suite installer et configurer l’outil de supervision
« Zabbix » avant de finir par la configuration des hôtes de cette topologie et le
démarrage de la supervision.
Simulation de réseau test :
II.1 Présentationde GNS3 :
GNS3 est un simulateur graphique de réseau qui permet la simulation d’un réseau
compliqué avec ses differents périphérique et hotes.
Pour une virtualisation compléte et pour la simulation des IOS ainsi que les différents
systéme d’exploitation GNS3 est potentiellement lié a :
Dynamips: Emulateur des IOS cisco
Dynagen : text front end pour Dynamips
Vmware workstation : un logiciel gratuit et tout puissant pour la virtualisation
62. 51
II.2 Configurationde GNS3 :
Après l’installation on obtient l’interface graphique ci-dessous
Figure 52:Interface exécution de GNS3
je définis le nom de mon projet puis et à partir du menu « Editer » ensuite « Images IOS
et hyperviseurs », je peux ajouter les images des IOS des routeurs Cisco et maintenant
on je peux utiliser ce simulateur afin d’ajouter les périphériques et les machines je les
glisse vers le milieu et en ajoutant la liaison et le type à partir du bouton ajout de liaison
comme la montre la figure 53.
Figure 53:L'ajout des composants
63. 52
Pour la configuration des Routeurs, une clique droite sur le routeur à configurer et en
choisissant console une interface comme la montre la figure 54 se lance et à partir de
laquelle on peut executer les commandes necessaires pour la configuration de notre
routeur.
Figure 54:Console de configuration de routeur
Après avoir terminé la configuration de notre réseau ; on peut executer la simulation en
appuyant sur la fléche verte dans la bare en haut donc tous les périphériques seront
demarrer ou on peut demarrer un seul périphérique par simple clique droit sur le
périphérique et en choisissant démarrer .
64. 53
II.3 Réseau test :
Mon architecture GNS3 utulisé pour faire tester l’outil de supervision du réseau sera
comme suit (figure 55).
Figure 55:Architecture réseau dans GNS3
Cette topologie est composée de :
une machine virtuelle nomé « Zabbix server» embarquant ubuntu 14.04 dont
Zabbix est installé et configuré.
une machine virtuelle embarquant PFsense.
Une machine virtuelle Windows server.
R1 et R2 deux routeurs Cisco c7200.
SW1 est un commutateur ethernet.
J’ai activé et bien configuré Les serveurs SNMP sur les deux routeurs
65. 54
Installation et mise à niveau de Zabbix :
III.1 Installation du serveurZabbix :
Pour installer « Zabbix-server » (version 2.4) il faut ajouter les dépôts de Zabbix dans la
liste des dépôts de Ubuntu en utilisant cette commande
En exécutant cette commande l’outil apt-get peut accepter ces nouveaux dépôts
Ensuite je dois mettre à jour la liste des dépôts de Ubuntu en exécutant la commande
suivante
En suivant les commandes ci-dessous Zabbix-server, le serveur apache2 et l’interface
web de Zabbix seront installés
Au cours de l’installation Un nouveau mot de passe de l’utilisateur « root » de MySQL
est demandé. Il faut mémoriser ce mot de passe.
#sudo nano /etc/apt/sources.list
#sudo apt-key adv –keyserver keyserver.ubuntu.com –recv-keys
c407E1D5F76A32B
#sudo apt-get update
#sudo apt-get install Zabbix server-mysql php5-mysql Zabbix-
frontend-php
66. 55
III.2 Configurationdu serveurZabbix :
Après l’installation du serveur Zabbix je vais commencer la configuration des outils
installés afin que le serveur soit prêt à l’utilisation. Tout d’abord, il faut ouvrir le fichier
de configuration principale de Zabbix avec les privilèges ‘’root’’
On doit chercher les lignes suivants et les modifier comme ci-dessous :
– DB Name=Zabbix // Nom de la base de données que Zabbix va utiliser
– DB User=Zabbix // Nom de l’utilisateur MySQL.
– DB Password=MOT_DE_PASSE //Mot de passe de l’utilisateur MySQL
Après la modification il faut sauvegarder et fermer le fichier
III.3 Configurationde base de données de Zabbix :
Les fichiers SQL sont disponibles et compressés dans ce chemin"/usr/share/Zabbix
server-mysql/’’. Il faut les importer dans la base de données et les décompresser avec la
commande suivante :
Puis avec cette commande je peux connecter à MySQL en tant que " root ".
#sudo nano /etc/Zabbix/Zabbix_server.conf
# cd /usr/share/Zabbix-server-mysql/
#Sudo gunzip *.gz
# mysql -u root -p
67. 56
Il faut ensuite créer un utilisateur de nom de "Zabbix" qui correspond à la configuration
que j’ai mis dans le fichier Zabbix_server.conf. Pour cela je dois exécuter les requêtes
SQL ci-dessous
Ensuite la création de base de données « Zabbix » est fait en exécutant cette requête
Ensuite en exécutant ces requêtes l’utilisateur "Zabbix" va avoir le contrôle sur la base
de données "Zabbix",
Après la création de l’utilisateur et de la base de données, il faut importer les fichier
SQL que Zabbix a besoin pour son fonctionnement en utilisant les commandes ci-
dessous
Enfin la base de données de Zabbix est prête à être utilisé.
III.4 Configurationdu serveurApache 2 :
En exécutant la commande ci-dessous je peux accéder au fichier de configuration de
php afin d’ajuster quelques valeurs pour que php gère les données de supervision
parfaitement
Mysql > CREATE USER ’Zabbix ’@’localhost’ IDENTIFIED BY
’MOT_DE_PASS’ ;
Mysql > CREATE DATABASE Zabbix ;
Mysql > GRANT ALL PRIVILEGES ON Zabbix. * TO
’Zabbix’@’localhost mysql > FLUSH PRIVILEGES;
# mysql -u Zabbix -p Zabbix < schema.sql
# mysql -u Zabbix -p Zabbix < images.sql
# mysql -u Zabbix -p Zabbix < data.sql
68. 57
Puis je dois changer les valeurs suivantes et enregistrer le fichier
Ensuite je dois copier le fichier de la configuration php de Zabbix dans le répertoire de
configuration de Zabbix avec la commande suivante
J’ouvre le fichier Zabbix.conf.php comme suivant
Ensuite Il faut configurer ce fichier avec les paramètres de connexion mysql que j’ai fait
récemment.
Puis pour qu’apache et Zabbix fonctionnent ensembles, on doit copier l’exemple de
configuration d’apache dans " /etc/apache2/conf-available/" avec cette commande
#sudo cp /usr/share/doc/zabbix-frontend-php/examples/apache.conf
/etc/apache2/conf- available/zabbix.conf
# sudo nano /etc/php5/apache2/php.ini
Max_execution_time = 300
Max_input_time = 300
Date. Timezone = Africa/Tunis
#sudo cp/usr/share/doc/zabbix-frontend-php/examples/zabbix.conf.php.
example/etc/zabbix/zabbix.conf.php
# sudo nano /etc/zabbix/zabbix.conf.php
$DB[’DATABASE’] = ’zabbix’ ;
$DB[’USER’] = ’zabbix’ ;
$DB[’PASSWORD’] = ’MOT_DE_PASSE’ ;
69. 58
Pour activer la nouvelle configuration de Zabbix sur apache, on exécute la commande
suivante
La configuration d’apache est terminée, alors je redémarre le service.
Je peux maintenant lancer le service " Zabbix-server ".
Résultat de test du réseau avec Zabbix
IV.1 Authentification :
Comme le montre la figure 56 l’interface de Zabbix avec l’adresse ci-dessous
(192.168.1.200) permet à l’utilisateur de s’authentifier en saisissant un login et un mot
de passe, après il sera donc redirigé vers l’interface du menu général.
Figure 56:Authentification de Zabbix
# sudo a2enconf Zabbix.conf
# sudo a2enmod alias
# sudo service apache2 restart
# sudo service Zabbix-server start
70. 59
IV.2 Menu générale :
Une fois logée, je suis sur la page d'accueil comme l’indique la figure 57, avec un
Dashboard (tableau de bord) récapitulatif de l'état de serveur Zabbix. Il contient aussi
des informations essentielles sur les machines supervisées comme leur nombre, le
nombre d’utilisateurs et les alarmes …etc
Figure 57:Page d'accueil de Zabbix
IV.3 Ajouter un périphérique:
V.1.a. Installation d’un agent Zabbix :
Sous Windows :
Tout d’abord il faut télécharger l’agent Windows de Zabbix qui peut être obtenu à partir
du site officiel. Par la suite j’extrait l’archive zip dans un dossier, soit
C:Downloadszabbix_agent maintenant j’exécute la commande ci-dessous dans
l’invite de commande.
C:Userstlich1337>c:Downloadszabbix_agentbinwin32zabbix_agentd.exe –
config
C:Downloadszabbix_agentsconfzabbix_agentd.win.conf --install
71. 60
Après que j’ai installé le service dans la machine Windows, j’ouvre le fichier
Zabbix_agentd.win.conf et je modifie les valeurs suivantes :
– Server = l’adresse IP du serveur Zabbix
– Server Active = l’adresse IP du serveur Zabbix
– Host Name = le « FQDN » de la machine Windows
Je sauvegarde la modification et je démarre le service.
Le service est maintenant disponible, il ne reste plus que de donner au service Zabbix
agent le droit de passer le « firewall » s’il y en a un.
Sous Linux :
L’installation des agents se fait par l’outil apt-get
Maintenant je vais commencer à configurer l’agent.
Il faut changer 127.0.0.1 par l’adresse du serveur
Après, j’ai besoin d’exécuter des commandes sur les machines agents, c’est pourquoi
j’ai activé l’option "Remote command ". L’agent maintenant est bien installé sur la
machine linux. Il faut redémarrer le service avec la commande suivante
# sudo apt-get update
# sudo apt-get install Zabbix-agent
# nano /etc/zabbix/zabbix_agentd.conf
# sudo service Zabbix-agent restart
D:Userstlich1337>D:Downloadszabbix_agentsbinwin32zabbix_
agentd.exe --start
72. 61
V.1.b. Ajout du nouvel hôte dans le serveur :
Afin d’ajouter un nouvel hôte dans le serveur je clique sur l’onglet ‘configuration’,
‘hosts’ puis sur ‘create host’
L’interface de la figure 58 s’affiche dont je dois remplir le formulaire d’ajout d’hôte
comme suit :
Host Name : Nom de la machine
Visible Name : Nom Affiche ajouter la machine dans "Linux Servers"
Ajouter l’adresse IP de la machine
Cocher l’option « enabled » pour activer la supervision sur cette nouvelle
machine
Figure 58: création d'un hôte
73. 62
La figure 59 montre les différentes machines (hôtes) supervisées avec Zabbix et on peut
voir celles qui sont surveillées et celles qui ne le sont pas.
Figure 59:Liste des hôtes supervisés
IV.4 Grapheset représentation :
Zabbix nous offre la possibilité de créer des graphes selon les services choisis par
l’utilisateur. Dans mon cas j’ai pris comme exemple de consulter les graphes de la
machine Windows server.
Ci-dessous un exemple de graphe. Ce dernier affiche le taux d’utilisation de la mémoire
de la machine Windows server.
Figure 60:utilisation de la mémoire de la machine Windows server
74. 63
Dans ce qui suit un graphe qui représente la charge de processeur de la machine comme
le montre la figure 61
Figure 61:charge de processeur de la machine Windows server
La figure 62 montre un graphe qui présente l’utilisation de l’espace disque de la
machine Windows server
Figure 62:utilisation de l'espace disque de la machine Windows server
Conclusion :
Au cours de ce chapitre, nous avons vu une introduction au domaine de supervision
réseau, suivi par les étapes de l’installation, configuration et optimisation de la
supervision en utilisant l’outil de supervision Zabbix.
75. 64
Conclusion générale
Le travail que j’ai réalisé s’inscrit dans le cadre de mon projet de fin d’études et a été
le fruit d’une expérience de trois mois au sein de la société Prologic.
Mon travail a consisté à proposer une nouvelle architecture permettant d’assurer la
disponibilité permanente du réseau, mettre en place d’un VPN site à site et la mise à
niveau de l’outil de supervision du réseau.
Ce stage m’a permis de pratiquer mes connaissances en administration des réseaux.
Je suis arrivé à construire et superviser un réseau virtuel à l’aide de l’outil de simulation
des réseaux GNS3 et l’outil de supervision « Zabbix ».
Je tiens à préciser que ce projet m’a été bénéfique puisqu’il m’a permis de découvrir
un champ d’application pratique, vaste et riche en procédures.
Ce travail a été fructueux pour ma formation. Il m’a servi comme initiation à la vie
professionnelle et m’a offert l’opportunité de mettre en pratique mes connaissances dans
le domaine de l’informatique. Il a été une bonne occasion pour approfondir les
connaissances théoriques et pratiques acquises tout au long de mes études.
Le stage quotidien au sein de la société a aussi été pour moi une occasion unique pour
épanouir mes capacités de communication dans un environnement professionnel. C’est
une expérience très enrichissante dans tous les domaines.
76. 65
Bibliographie
[1] : https://www.3cx.fr/voip-sip/telephones-voip/
[2]: http ://romain.raveaux.free.fr/teaching/coursR4RT1parefeuRR.pdf
[3] : http://www.cutlarevue.fr/
[4] : Yves LESCOP, ”sécurité informatique”, 2002
[5] :https://www.commentcamarche.net/contents/1033-introduction-a-la-securite-
informatique
[6] : https://antonin.io/pfsense-cest-quoi-decouverte-et-presentation/
[7] : https://cours-informatique-gratuit.fr/dictionnaire/vpn/
[8] : https://www.frameip.com/vpn/
[9] : J. ARCHIER, LES VPN fonctionnement, mise en œuvre et maintenance des VPNs,
Edition ENI, juin 2010
[10] : http://www-igm.univ-mlv.fr/~dr/XPOSE2010/supervision/zabbix.html
77. 66
Le secteur des technologies de l’information ́etant en constante mutation, le pr ́esent
travail fait ́etat des r ́esultats obtenus lors de la mise place d’un VPN site-`a-site sous
pare-feu, reliant la direction g ́en ́erale de Tchin-Lait `a Bejaia avec le site de Oued
Ghir. Il en ressort que la tech- nologie VPN bas ́ee sur le protocole IPsec est l’un des
facteurs cl ́es de succ`es qui ́evolue et ne doit pas aller en marge des infrastructures
r ́eseaux s ́ecuris ́es et du syst`eme d’information qui progressent de fa ̧con
exponentielle. Nous avons en effet grˆace `a ces nouvelles technologies permis au
r ́eseau de Tchin-Lait de s’ ́etendre en reliant d’une fa ̧con s ́ecuris ́ee le site de Oued
Ghir avec le si`ege de la direction g ́en ́erale `a B ́eja ̈ıa via le protocole IPSec qui est le
principal outils per- mettant d’impl ́ementer les VPNs,ainsi que d’offrir un acc`es aux
ressources de l’entreprise pour les utilisateurs situ ́es en dehors de l’infrastructure de
Tchin-Lait grˆace au protocole SSL.
Ce PFE traite la mise en place d’une solution de voix sur IP dans une infrastructure
téléphonique
existe via la solution VoIP open source « Asterisk » au sein de l’entreprise « MAGMA
». Nous
exposons en premier lieu les notions de base essentielles pour la compréhension du
déroulement
de cette technologie ainsi que sa sécurisation. Nous installons ensuite notre solution
dans un
environnement de test avec le serveur Asterisk, deux clients Softphone.
Nous avons installé la suite de logiciel d’audit et d’attaque linux Khali pour l’écoute du
traffic via la
78. 67
voix IP et pour réaliser une série d’attaque visant les vulnérabilité d’une communication
via la voix
sur IP, suite à ses attaques, nous venons de proposer les mesures de sécurité à
implémenter dans
l’infrastructure existante.