Soutenance mémoire
MEMOIRE DE PROJET DE FIN D’ETUDES
Pour l’obtention du diplôme de master Systèmes Microélectroniques, de Télécommunications et de l’Informatique Industrielle
Réseaux locaux architecture et sécurité
L’architecture du réseau DEPC
Pour répondre aux différentes problématiques susmentionnées tout en gardant les acquis positifs du réseau actuel et en exploitant au mieux ces fonctionnalités avec le moindre cout.
La redondance des Switchs Fédérateurs Sur le réseau de la DEPC
les trois Switch Fédérateurs sont réparties sur trois bâtiments géographiquement éloignés, ils sont reliés entre eux par des liaisons Fibres Optique backupés par une liaison sans fil. Ces Switchs sont instantanément confronté à des problèmes d’envergure grave sur le système informatique. A titre d’exemple: Une panne matérielle des Switchs (duré de vie dépassée),
Une coupure électrique,
Une catastrophe naturelle (incendie, inondation…).
La redondance se limite au fédérateur principal CIP en mettant un second fédérateur de secours qui se réplique en permanence avec le fédérateur CIP et sont en partage de charge. En pratique, il faut installer un deuxième fédérateur principal sur un site éloigné à fin d’éviter qu’un éventuel problème sur site impacte la totalité du réseau et bloque le système informatique de Marsa Maroc. Lorsqu’un fédérateur tombe en panne, le flux réseau sera basculé sur le fédérateur de secours en attendant la réparation du matériel posant problème. Concernant les autres fédérateurs DTC et DTP, nous n’avons pas besoin d’avoir une duplication identique du matériel (en raison de coût). En revanche nous proposons de mettre en place des Switchs pour assurer la transmission de données en cas de panne de l’un de ces fédérateur, et aussi nous proposons d’installé une liaison sans fils permettant une réplication mutuelle et permanente entre les fédérateurs. Le schéma ci-dessous nous montre l’architecture susmentionnée.
Remarque: Il faut avoir 2 liaisons entre les sites CIP. L’ensemble des fédérateurs CIP (principale et de secours) forment un seul réseau et la liaison entre eux doit avoir une bande passante importante à fin d’assurer la transmission du flux sur cette liaison. Les liaisons entre les commutateurs fédérateurs et les équipements d’étage peuvent être réalisées en cuivre ou en fibre optique, le choix dépendant de la distance.
Une Architecture Modulaire Afin d’assurer une interconnexion sécurisée et évolutive entre les différents services de la DEPC,
nous avons proposé de segmenter le réseau selon chaque service, et aussi pour mieux séparer les utilisateurs étrangers à l’accès aux machines strictement à usage privé. Pour que les machines seront placées sur un segment du réseau ouvert aux accès en provenance de l’extérieur, mais relativement isolé du réseau intérieur, afin qu’un visiteur étranger à l’entreprise ne puisse pas accéder aux machines à usage strictement privé. Les DMZ (zone démilitarisée) nous permettent de réaliser la segmentation du réseau. Nous proposons l’installation d’un Firewall central redondé sur lequel sont branchées comme DMZ les zones Datacenter, téléphonie, Point d’accès Internet et Partenaires. Chacune des zones présente une utilité fonctionnelle à part qui peut évoluer et se développer indépendamment des autres blocks.Pour chaque plateforme de cette architecture nous vous proposons ce qui suit :
Le Datacenter : hébergera les serveurs DEPC, sera basée sur des Switchs Cisco Nexus(15) connectée au Firewall par des liens 10G.
Partenaires : Pour l’interconnexion avec les différents partenaires DEPC ; pour cette zone on pourra adopter pour chaque Partenaire un Firewall indépendant ou utiliser le Firewall SSG existant pour cette interconnexion.
PAI : le Point d’accès Internet, créer une sortie internet indépendante du siège pour contourner les lenteurs existants qui pousse les utilisateurs à utiliser des connexions 3G. Cette plateforme sera composer par des firewalls et outils de filtrage URL et Antivirus.
Siège : Pour la connexion avec le siège et se protéger mutuellement des propagations de virus des deux sens.
TOIP : Pour créer une plateforme sécurisée de la téléphonie IP qui doit être isolée du LAN.
Site de secours Nous vous proposons de créer un site de secoure sur le site DTC qui permettra de backuper les plateformes existants sur le site principal CIP, cette plateforme de secours sera directement liée au Firewall central pour qu’elle soit complètement indépendante du réseau des Utilisateurs
Recommandations sécurité
Pour répondre aux différentes failles de sécurité que nous avons relevée dans les paragraphes précédents nous vous recommandons ce qui suit : Administration du domaine MARSA Maroc : Installation d’un serveur 2003 ou 2008 et configurer le contrôleur de domaine Active Directory pour gérer les utilisateurs (authentification lors de la connexion d’un profil, droit utilisateurs, gestion des groupes…)
Mise en place d’une solution de contrôle d’accès au réseau DEPC (NAC).
Mettre en place une infrastructure sécurisée pour les accès des partenaires.
Activer le login sur les différents équipements et mettre en place une solution de gestion et de corrélation des logs qui permet une visualisation en temps réal des menaces.
Mettre en place les best-practices de configuration de la SNMP (2).
Mettre en place une solution firewall/IPS(16) qui permet de faire le contrôle nécessaire entre les différents VLAN.
Mettre en place une solution Datacenter pour garantir un accès sécurisé et rapide aux serveurs.
Les points cités en haut sont détaillés dans les paragraphes suivants :
L’administration du domaine Marsa
Lors de nos visites fréquentes sur le site informatique MARSA Maroc, nous avons constaté plusieurs failles au niveau de l’administration du réseau. En effet, tous les utilisateurs possèdent des droits administrateur sur leurs stations de travail et particulièrement sur les serveurs centraux. De ce fait l’administration du domaine n’est pas centralisée sur une seule personne. Pour répondre à cette problématique, nous avons proposé d’installer un serveur principal 2003/2008 et y configurer l’Active Directory (A.D) pour mieux gérer les utilisateurs, contrôler l’accès aux données informatiques de MARSA Maroc et centraliser l’administration. Dans l’Active Directory, l’administrateur du domaine peut créer des comptes utilisateurs et leurs applique des GPO (Groupe Policy Objet) permettant de restreindre les droits utilisateur, comme par exemple : Supprimer la commande exécutée du menu démarrer,
Désactiver le panneau de configuration.
(1) L’adressage IP :
Une adresse IP (avec IP pour Internet Protocol) est un numéro d’identification qui est attribué à chaque branchement d’appareil à un réseau informatique utilisant l’Internet Protocol.
Il existe des adresses IP de version 4 et de version 6. La version 4 est actuellement la plus utilisée : elle est généralement représentée en notation décimale avec quatre nombres compris entre 0 et 255, séparés par des points, ce qui donne par exemple : 212.85.150.134.
(2) SNMP :
Simple Network Management Protocol (abrégé SNMP), en français « protocole simple de gestion de réseau », est un protocole de communication qui permet aux administrateurs réseau de gérer les équipements du réseau, de superviser et de diagnostiquer des problèmes réseaux et matériels à distance.
(3) Telnet :
Telnet (TErminal NETwork ou TELecommunication NETwork, ou encore TELetype NETwork) est un protocole réseau utilisé sur tout réseau supportant le protocole TCP/IP. Il appartient à la couche session du modèle OSI et à la couche application du modèle ARPA. Il est normalisé par l’IETF (RFC 854 et RFC 855). Selon, l’IETF, le but du protocole Telnet est de fournir un moyen de communication très généraliste, bi-directionnel et orienté octet.
telnet est aussi une commande permettant de créer une session Telnet sur une machine distante.
Cette commande a d’abord été disponible sur les systèmes Unix, puis elle est apparue sur la plupart des systèmes d’exploitation. Notez que Telnet est installé mais non activé par défaut sous Microsoft Windows Vista et Microsoft Windows 7.
(4) Switch :
Un commutateur réseau (ou switch, de l’anglais) est un équipement qui relie plusieurs segments (câbles ou fibres) dans un réseau informatique. Il s’agit le plus souvent d’un boîtier disposant de plusieurs ports Ethernet (entre 4 et plusieurs centaines) . Il a donc la même apparence qu’un concentrateur (hub).
Contrairement à un concentrateur, un commutateur ne reproduit pas sur tous les ports chaque trame qu’il reçoit : il sait déterminer sur quel port il doit envoyer une trame, en fonction de l’adresse à laquelle cette trame est destinée. Les commutateurs sont souvent utilisés pour remplacer des concentrateurs.
(5) Broadcast :
Le broadcast est un terme anglais définissant une diffusion de données à un ensemble de machines connectées à un réseau. En français on utilise le terme diffusion.
(6) Serveur :
Dans un réseau informatique, un serveur est à la fois un ensemble de logiciels et l’ordinateur les hébergeant dont le rôle est de répondre de manière automatique à des demandes de services envoyées par des clients — ordinateur et logiciel — via le réseau.
(7) Liaison FO :
Les liaisons Fibres Optiques sont la solution ultime d’interconnexion multisites à grande vitesse (de 2 à 100 Mbs). C’est le produit idéal pour des applications de clients/serveurs gourmandes en volumes et transactions.
(8) Firwall :
Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est un système permettant de protéger un ordinateur ou un réseau d’ordinateurs des intrusions provenant d’un réseau tiers (notamment internet). Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s’agit ainsi d’une passerelle filtrante comportant au minimum les interfaces réseau suivante :
une interface pour le réseau à protéger (réseau interne) ;
une interface pour le réseau externe.
(9) Routeur :
Un routeur est un élément intermédiaire dans un réseau informatique assurant le routage des paquets. Son rôle est de faire transiter des paquets d’une interface réseau vers une autre, selon un ensemble de règles formant la table de routage. C’est un équipement de couche 3 du modèle OSI.
(10) Liaison FH :
Est une liaison radioélectrique point à point, bi-latérale et permanente (full duplex), à ondes directives, offrant une liaison de bonne qualité et sûre permettant la transmission d’informations en mode multiplex à plus ou moins grande capacité, de 3 à 60 voies.
(11) Fédérateur :
Est un type de switchs avec une capacité élevé en terme de nombre de ports
(12) Guest :
Utilisateur Invité
(13) SSH :
Le protocole SSH (Secure Shell) a été mis au point en 1995 par le Finlandais Tatu Ylönen.
Il s’agit d’un protocole permettant à un client (un utilisateur ou bien même une machine) d’ouvrir une session interactive sur une machine distante (serveur) afin d’envoyer des commandes ou des fichiers de manière sécurisée :
Les données circulant entre le client et le serveur sont chiffrées, ce qui garantit leur confidentialité (personne d’autre que le serveur ou le client ne peut lire les informations transitant sur le réseau). Il n’est donc pas possible d’écouter le réseau à l’aide d’un analyseur de trames.
(14) AAA :
En sécurité informatique, AAA correspond à un protocole qui réalise trois fonctions : l’authentification, l’autorisation, et la traçabilité (en Anglais : Authentication, Authorization, Accounting/Auditing).
AAA est un modèle de sécurité implémenté dans certains routeurs Cisco mais que l’on peut également utiliser sur toute machine qui peut servir de NAS (Network Authentification System).
(15) Nexus :
Nexus est un commutateur ultra-rapide développé par Cisco.
(16) TPS :
Systèmes de détection d’intrusion et systèmes de détection et de prévention de l’intrusion, fournissent un complément technologique aux firewalls en leur permettant une analyse plus intelligente du trafic
Modèle OSI : Les protocoles de réseau sont tous basés sur un ensemble standardisé de fonctionnalités. Cet ensemble a été créé par l’International Standards Organisation (ISO) et est appelé modèle OSI (Open Systems Interconnection) à sept niveaux. Tous les protocoles de réseau s’inscrivent, d’une manière ou d’une autre, dans ce cadre conceptuel. Les couches définies sont : Physique, Liaison de données, Réseau, Transport, Session, Présentation, Application.
Paquet : Groupement logique d’informations qui inclut un en-tête contenant des informations de contrôle et généralement des données utilisateur. Les paquets sont le plus souvent utilisés pour se référer aux unités de données de la couche réseau.
Port : Emplacement sur un commutateur permettant une connexion avec un câble et donc avec l’équipement se trouvant à l’autre extrémité du câble.
Qualité de service (QoS) :Mesure des performances d’un système de transmission qui reflète la qualité et le service offerts. Ensemble des mécanismes permettant de gérer les délais, la latence et la congestion.
Redondance : Duplication d’équipements, de services ou de connexions pour que, dans l’éventualité d’une panne, les dispositifs redondants puissent effectuer le travail de ceux qui sont défaillants.
Commutateur : Elément de réseau qui permet l’envoi, le filtrage et la réexpédition de paquets, en se basant sur l’adresse de destination de chaque paquet. Il opère par défaut au niveau liaison de données (niveau 2 du modèle OSI).
Concentrateur : Généralement, un terme utilisé pour décrire un équipement servant de point central d’une topologie de réseau en étoile et qui connecte des stations terminales. Il opère au niveau physique (niveau 1 du modèle OSI), également appelé « hub ».
Domaine de diffusion « (broadcast domain) » : Ensemble de tous les équipements qui reçoivent les trames diffusées en mode broadcast et émanant de n’importe quel équipement de cet ensemble. Les domaines de diffusion sont généralement limités par les routeurs (ou par des réseaux locaux virtuels sur un réseau commuté), car ceux-ci ne transmettent par les trames envoyées dans ce mode.
Ethernet : Spécification d’un réseau local à bande de base. Les réseaux Ethernet utilisent la technique d’accès au média CSMA/CD et sont exécutés sur de nombrux types de câbles à 10, 100 et 1 000 Mbit/s.
|
Guide du mémoire de fin d’études avec la catégorie architecture du réseau DEPC |
|
Étudiant en université, dans une école supérieur ou d’ingénieur, et que vous cherchez des ressources pédagogiques entièrement gratuites, il est jamais trop tard pour commencer à apprendre et consulter une liste des projets proposées cette année, vous trouverez ici des centaines de rapports pfe spécialement conçu pour vous aider à rédiger votre rapport de stage, vous prouvez les télécharger librement en divers formats (DOC, RAR, PDF).. Tout ce que vous devez faire est de télécharger le pfe et ouvrir le fichier PDF ou DOC. Ce rapport complet, pour aider les autres étudiants dans leurs propres travaux, est classé dans la catégorie politique et mécanismes de sécurité où vous pouvez trouver aussi quelques autres mémoires de fin d’études similaires.
|
Table des matières
Introduction Générale
Chapitre 1: Contexte Général du projet
I. Présentation de l’organisme d’accueil
1. Introduction
2. Fiche signalétique
3. Organigramme d’ INTELCOM
4. Services offerts
II. Objectif du stage
III. méthodologie du stage
Conclusion
Chapitre 2: Le contexte Théorique
I. Réseaux locaux : architecture et sécurité
1. Définition et architecture d’un LAN
2. Politique et mécanismes de sécurité
2.1 Les infections informatiques
2.2 Politique de sécurité
2.3 Les solutions et mécanisme de sécurité
II. L’administration des réseaux informatiques
1. Définition
2. L’organisation d’une administration
Conclusion
Chapitre 3: Etude de l’Existant
I. Architecture du réseau informatique de l’existant
1. Le réseau local
1.1. Le protocole CDP
1.2. Le schéma global
1.3. La segmentation du réseau LAN de Marsa
1.4. Les serveurs DEPC
2. Connexion avec la Douane
3. Connexion avec l’EDI
4. Connexion avec le siège
II. Analyse critique de l’existant
1. L’architecture du réseau DEPC
2. La sécurité du réseau DEPC
Chapitre 4: Les recommandations
I. L’architecture du réseau DEPC
1. La redondance des Switchs Fédérateurs
2. Une Architecture Modulaire
3. Site de secours
II. Recommandations sécurité
1. L’administration du domaine Marsa
2. Sécurisation du MAN de Marsa Maroc
2.1 définition
2.2 Les composants de technologie Cisco NAC
2.3 La mise en place de la technologie NAC au réseau de Marsa Maroc
3. La sécurisation de la connexion aux partenaires
4. Gestion des Logs
4.1 Introduction
4.2 NS LOG
5. L’amélioration de protocole de gestion SNMP
5.1 Les Faiblesses de SNMPv2
5.2 Les améliorations de SNMPv3
6. Protéger le réseau : control d’accès
6.1 Protection de réseau
6.1.2 Présentation de l’outil 5view
6.1.3 Présentation de l’outil Packetshaper
6.1.4 Observations
6.1.5 Les droits d’accès
7. La connexion à distance
8. La solution Firewall /IPS
9. La mise en place de la solution Datacenter avec la technologie Nexus
9.1 Introduction
9.2 L’avantage d’un Datacenter
9.3 Technologie Nexus
9.4 L’architecture proposée: Top-Of-the-Rack (TOR)
Conclusion
Références Bibliographiques
Annexe A : Tableaux
Annexe B : Scan des ports avec NMAP
I. Description de NMAP
II. Différents types de Scan
III. Différents états des ports
IV. Le test effectué
V. L’intervention effectuée
Lexiques
Télécharger le rapport complet
