Upload
vuongkhanh
View
223
Download
1
Embed Size (px)
Citation preview
1
PICHARD Pierre-Yves Stage CPAM 1ère année
Mise en place du DHCP a la CPAM du VAR
Introduction
Le projet qui m’a été confié lors de mon stage 2014 est d’étudier la possibilité d’installer des serveurs
DHCP sur les sites la CPAM du Var.
Plus finement, mon objectif sera de proposer une solution pour les PC qui prendra en compte les
fonctionnalités nécessaires, l’aspect sécurité et le serveur DHCP du site central (le siège) déjà en
place pour la téléphonie IP.
Voir Listes des compétences liés à ce projet en cliquant ici
Introduction ............................................................................................................................................. 1
1. Le Besoin : ........................................................................................................................................ 3
Arguments pour la mise en place d’un serveur DHCP par site dans une entreprise .......................... 3
Avantages ........................................................................................................................................ 3
Inconvénients .................................................................................................................................. 3
Téléphonie IP ....................................................................................................................................... 4
Option 43 et 60 ................................................................................................................................ 4
Audit des adresses IP fixes .................................................................................................................. 4
Définir les configurations nécessaires ................................................................................................. 6
Options de serveur .......................................................................................................................... 6
Le DHCP-Relay : ............................................................................................................................... 6
2. Mise en place : Les tests sur maquette : ......................................................................................... 7
Configuration du serveur DHCP sous Windows 2008 Server R2 ......................................................... 8
Exemple de Configuration de base .................................................................................................. 8
Configuration des options ............................................................................................................. 10
Configuration réelle de test ........................................................................................................... 10
Ci-dessous un imprime écran de la Configuration du serveur DHCP ............................................ 11
Configuration du routeur Cisco (switch) via HyperTerminal ............................................................ 11
Sécurisation du serveur DHCP ........................................................................................................... 13
Tests finals ......................................................................................................................................... 14
Configuration tests finals ............................................................................................................... 14
Configuration des Vlan 4 et 6 sur le switch de niveau 3 : ............................................................. 15
2
PICHARD Pierre-Yves Stage CPAM 1ère année
ANNEXES ................................................................................................................................................ 21
Installer Windows serveur 2008 ........................................................................................................ 21
Faire démarrer le pc sur le cd d’installation .................................................................................. 21
Assistant d’installation ................................................................................................................. 21
Sélectionner la bonne partition du disque .................................................................................... 22
Configuration de base ................................................................................................................... 24
Ajouter des fonctionnalités à Windows serveur ........................................................................... 25
Photos créer nouvelle étendue DHCP ............................................................................................... 27
Configuration manuelle d’une option sur un serveur DHCP (exemple de l’option 43) .................... 33
........................................................................................................................................................... 33
Configuration switch via HyperTerminal ......................................................................................... 38
Exemple d’un switch sisco 3560 (de niveau 3)....................................................................................... 38
Configuration du terminal ............................................................................................................. 38
Commandes de bases .................................................................................................................... 38
DHCP Sécurité ................................................................................................................................... 41
Le DHCP Spoofing .......................................................................................................................... 41
Résumé sur le fonctionnement du DHCP ...................................................................................... 41
Le Principe du DHCP Snooping ...................................................................................................... 42
Mise en place sur des équipements CISCO ................................................................................... 42
Quelques conseils en sécurité ....................................................................................................... 43
En pratique à la CPAM ................................................................................................................... 43
Listes des compétences liés à ce projet ............................................................................................ 46
3
PICHARD Pierre-Yves Stage CPAM 1ère année
1. Le Besoin :
Arguments pour la mise en place d’un serveur DHCP par site dans une
entreprise
Avantages
Simplification de la gestion des VLAN. L’attribution de l’adresse est automatisée en fonction
du VLAN.
Meilleure maitrise des configurations : Permet d’éviter les erreurs de configurations sur
l’adressage ou le doublons d’IP
Simplification de la gestion des IP. En particulier lors des PEI (Plan d’Equipement
Informatique), c’est-à-dire lorsque de nouveau PMF doivent être installés en grand nombre.
Contrôle l'utilisation des adresses IP centralisée.
Économie d’adresses. L'adresse IP est libérée automatiquement, à l'expiration du bail.
Simplification de l’utilisation des portables nomades.
Plus le réseau est grand et complexe, plus le DHCP facilite sa gestion (ici on est dans un
réseau de l’ordre de plus d’un millier de postes, d’où la nécessité d’un serveur DHCP).
Inconvénients
Une machine branchée sur une prise brassée sera connectée au réseau, cela peut engendrer
des problèmes de sécurité.
La gestion des IP sera simplifié, cependant certaines adresses IP devront rester fixe, outre
diminuer un peu l’intérêt du DHCP, cela implique de devoir changer des configurations de
certains serveurs ou réseau pour coller à la norme que nous mettrons en place, c’est-à-dire
réunir les adresses IP fixes dans une certaine tranche d’adresse. Cette opération demande à
être bien organisée et est source de problèmes (si des applications sont développées pour
attaquer le serveur directement par IP par exemple, nécessité de redévelopper l’application).
L’utilisation d’un serveur centralisé sur Toulon peut-être une cause d’erreur sur les postes en
particulier sur le WAN (coupure, surcharge…).
Le dysfonctionnement du serveur ou de l’équipement réseau rattaché peut engendrer une
coupure totale du fonctionnement (une solution de secours est à envisager)
L’utilisation de la prise de contrôle à distance nécessite que la personne puisse se connecter
sur le poste : utilisation d’un programme pour donner l’adresse du poste, cette dernière
changeant régulièrement (comme on est sur du DHCP).
4
PICHARD Pierre-Yves Stage CPAM 1ère année
Téléphonie IP
Non géré par le service informatique de la CPAM du Var mais par le service Gestion Achat et
Patrimoine (logistique).
Caractéristique de la configuration DHSP du serveur IPBX
Option 43 et 60
Il existe actuellement un serveur DHCP dédié à la téléphonie :
Grace à l’option 60 ce serveur va reconnaître qu’une demande émane d’un téléphone Alcatel (ou
autre suivant la marque du téléphone). Il répondra uniquement s’il s’agit d’un téléphone de cette
marque : un PC ne prendra donc pas de configuration DHCP liée à la VoIP car le serveur DHCP VoIP ne
lui enverra pas de proposition (DHCP Offer).
De même l’option 43, informations spécifique au fournisseur, va faire que le téléphone vas choisir en
priorité une réponse DHCP émanant de l’autocom.
Il est donc important de ne pas casser le fonctionnement du serveur DHCP existant avec le nouveau
serveur à mettre en place.
Audit des adresses IP fixes
Pour l’instant seule la téléphonie fonctionne en DHCP, leurs adresses IP sont donc allouées
automatiquement via un serveur dédié.
On veut donc mettre toutes les autres machines en DHCP, via un 2nd serveur.
Le réseau de la CPAM est configuré pour avoir jusqu’à 1022 machines par sous réseau (masque en
/.22), la configuration de la téléphonie IP est à l’identique du réseau PC.
Les adresses des machines sont toutes en IP fixe (sauf la téléphonie), un premier travail consiste à
référencer toutes les adresses IP ainsi que la machines correspondantes.
Certaines machines, comme les serveurs ou les imprimantes, devront rester en IP fixe.
En effet, il existe encore de nombreuses applications qui attaquent les serveurs ou imprimantes par
IP, d’où l’intérêt qu’elles restent fixe. Il faudra donc, dans la mesure du possible, modifier leur IP fixe
afin de réunir les IP fixes sur une certaine plage IP, afin de laisser le reste du champ d’adresses
disponibles pour le serveur DHCP.
5
PICHARD Pierre-Yves Stage CPAM 1ère année
Le nombre d’adresses étant très important, je décide d’utiliser un document Excel afin de me servir
ultérieurement des filtres disponible dans ce logiciel.
Apres discussion avec les équipes informatiques locales, nous convenons que, dans un premier
temps, les différentes machines fonctionnant avec une adresse IP fixe sont :
Les commutateurs
des serveurs
des imprimantes
des badgeuses
des sondes,
des onduleurs,
des routeurs,
des bornes
des panneaux lumineux.
Un problème se pose : il faut réfléchir également à savoir comment changer l’adresse IP de certaines
machines, comme les imprimantes : il faut d’une part changer l’adresse IP de chaque imprimantes,
d’autre part configurer chaque ordinateur avec la bonne adresse IP d’impression, sachant que
chaque PMF dispose de spécificités d’impressions (en-tête au nom de l’agent qui imprime,
groupement d’impressions en fonction du PMF, droits pour les copies couleurs ou non, …). Et tout
cela se doit d’être automatisé, pour éviter de faire la manipulation manuellement plusieurs centaines
de fois pour chaque poste de l’entreprise…
Pour ce qui est de mettre tous les PMF en IP dynamique, comme ils fonctionnent tous dans un
environnement Active Directory, ces configurations se feront avec GPO (stratégie de groupe),
permettant une gestion centralisée des postes.
6
PICHARD Pierre-Yves Stage CPAM 1ère année
Définir les configurations nécessaires
Options de serveur
Les options à intégrer au serveur DHCP sont les suivantes :
• Option 3 : Routeur, car on a un switch de niveau 3
• Option 6 : DNS, permet de spécifier les adresses des serveurs DNS dont on se servira
Le DHCP-Relay :
Le DHCP est un protocole local, son fonctionnement est basé sur des trames de type Broadcast qui
ne peuvent sortir du réseau local. Le DHCP-Relay transformera ces trames en unicast et les routera
vers le serveur DHCP défini. L’utilisation d’un seul serveur pour plusieurs LAN impose de faire du DHCP-Relay sur les
commutateurs niveau 3. Cette fonction va essentiellement faire 2 choses : transformer le type de
trame afin qu’elle puisse être routée au travers du réseau et va rajouter un champ (giaddr) afin de
permettre au serveur de reconnaître son adresse source et ainsi d’y allouer une adresse
correspondant à son sous réseau. Cette fonction est déjà active pour la téléphonie et sera activé sur
les commutateurs du siège afin de gérer les VLAN.
7
PICHARD Pierre-Yves Stage CPAM 1ère année
2. Mise en place : Les tests sur maquette :
Il s’agit de vérifier :
si les postes et téléphones récupèrent la bonne adresse IP correspondant à la plage d’adresse
de leur VLAN respectifs
que les postes récupèrent l’adresse du bon vlan
que les configurations soient les prises en compte
Ma maquette est composée
- d’un serveur DHCP (sous Windows 2008 R2) réservé à la livraison d’adresse IP pour
les téléphones
- d’un autre serveur DHCP (Windows 2008 R2) pour livrer les adresses IP à toutes les
autres machines (PMF, serveur, imprimantes…),
- d’un switch Cisco 3560 Catalyst de niveau 3,
- d’un téléphone Alcatel A4400 (fait partie du VLAN30),
- d’un PMF du VLAN 4 (prod),
- d’un autre PMF du VLAN 6 (LAD).
Photo de la maquette : (voir schéma en cliquant ici)
8
PICHARD Pierre-Yves Stage CPAM 1ère année
Configuration du serveur DHCP sous Windows 2008 Server R2
Exemple de Configuration de base
(Voir mon article détaillé Installer Windows serveur 2008 en cliquant ici)
← Il faut tout d’abord installer le rôle
serveur DHCP :
Dans gestion de l’ordinateur, cliquer sur
ajouter des rôles, puis serveur DHCP.
← Un assistant vous demande de choisir
une connexion réseau disponible, j’ai
choisi la seule adresse IP affichée, c’est-
à-dire celle du serveur (définie dans les
connexions réseau)
← Il faut choisir un
nom de domaine, puis
définir un éventuel
serveur DNS : s’il est
sur le même serveur,
tapez 127.0.0.1
Sur l’écran suivant,
cochez WINS n’est pas
requis pour les
applications sur ce
réseau (Active
Directory est plus
adapté)
9
PICHARD Pierre-Yves Stage CPAM 1ère année
↑↑ Ensuite on peut ajouter des étendues DHCP, c’est-à-dire les plages d’adresses IP qui seront
distribuées par le serveur DHCP : IP de début puis de fin, durée du bail, masque, et la passerelle (la
même que l’adresse réseau de l’étendue (VLAN) mais en .1, par exemple ici il faut mettre
192.168.2.1, l’adresse réseau étant 192.168.2.0).
↑ Puis on peut choisir d’activer l’IPv6 ou non (pas nécessaire car réseau local)
↑ Dans autorisation le serveur DHCP, il faut mettre utiliser les informations d’identifications
actuelles.
Enfin il faut cliquer sur installer.
10
PICHARD Pierre-Yves Stage CPAM 1ère année
Configuration des options
Pour configurer les options DHCP, un clic droit sur options de serveur > configurer les options
permet d’appliquer ces options à toutes les étendues ; si l’on veut appliquer une option dans une
seule étendue, il faut aller dans l’étendue et cliquer droit sur options d’étendue > configurer les
options.
Les 3 options nécessaires ici sont l’option 3 (routeur) et l’option 6 et 15 (DNS), si les étendues (§
précédent) ont été correctement configurés, ces options sont déjà intégrées
Pour configurer les options pour un développement DHCP dans la téléphonie voir info ici, ou voir
configuration manuelle option DHCP ici.
Configuration réelle de test
On peut rajouter d’autres étendues par la suite en cliquant sur IPv4 > Nouvelle étendue, on peut de
la même façon alors définir dans l’ordre
Pour les photos, voir photos créer nouvelle étendue DHCP en cliquant ici
Le nom de l’étendue et si nécessaire sa description : Production, LAD, …
L’adresse IP de début et de fin : l’adresse de début étant la première adresse allouée par le
serveur. (Ces adresses sont ensuite distribuées dans l’ordre).
Le masque de sous réseau
Les plages d’exclusions : elles permettent d’exclure des groupes d’adresses IP, on peut en
mettre autant que nécessaire, les adresses inscrites en début et fin seront elles aussi
exclues.
Le retard avec lequel le serveur répond, c’est utile que dans certains cas, par exemple avec
un serveur DHCP de secours où l’on désire retarder sa réponse par rapport au principal.
La durée du bail
Cliquer sur oui, je veux configurer ces options maintenant
Le routeur du LAN
Les adresses IP des serveurs DNS du LAN
Le serveur WINS (que nous ne configurerons pas).
Activation de l’étendue. Ces options sont modifiables à postériori en allant sur propriété de l’étendue.
Voici la configuration de test
11
PICHARD Pierre-Yves Stage CPAM 1ère année
Ci-dessous un imprime écran de la Configuration du serveur DHCP
Pour ajouter une étendue, dans la fenêtre DHCP, clic droit sur IPv4 > ajouter nouvelle étendue.
Dans pool d’adresses, on peut définir les différentes plages d’adresse de cette étendue.
- 1er serveur DHCP (téléphonie) :
• Etendue 58.15.4.0 : téléphonie (VLAN 30)
Adresses IP de 58.15.4.50 à 58.15.4.60
- 2nd serveur DHCP (autres machines) :
• Etendue 55.15.4.0 : PROD (VLAN4)
Adresses IP de 55.15.4.105 à 55.15.4.200
• Etendue 55.15.226.0 : LAD (VLAN6)
Adresses IP de 55.15.226.50 à 55.15.226.100
Configuration du routeur Cisco (switch) via HyperTerminal
Voir mon article configuration switch HyperTerminal.docx
On doit configurer le routeur Cisco pour faire correspondre chaque port du routeur à un certain
VLAN.
Il faut d’abord connecter le routeur Cisco en port série avec un PC, puis lancer HyperTerminal.
12
PICHARD Pierre-Yves Stage CPAM 1ère année
Voici ce qui doit s’afficher : Switch>
Pour avoir les droits « root », taper enable : Switch>enable
Switch#
Pour passer en mode configuration : Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
Mode configuration d’une interface (ici ‘0’signifie la 1ère « ligne » de ports (physiques), et ‘1’ le 1er
port de cette ligne) : Switch(config)#interface fastEthernet 0/1
Switch(config-if)#
Pour créer un VLAN (ex. vlan 2) : 2960-RG(config)#vlan 2
2960-RG(config-vlan)#exit
Pour définir une adresse IP pour un VLAN et une passerelle par défaut :
2960-RG(config)#interface vlan 2
2960-RG(config-if)#ip address 192.168.100.25 255.255.255.0
2960-RG(config-if)#ex
2960-RG(config)#ip default-gateway 192.168.100.1
Pour vérifier la configuration du vlan : 2960-RG#sh run int vlan 2
Building configuration...
Current configuration : 64 bytes
!
interface Vlan2
ip address 192.168.100.25 255.255.255.0
end
Pour supprimer une adresse IP et une passerelle par défaut : 2960-RG(config)#interface vlan 2
2960-RG(config-if)#no ip address
2960-RG(config-if)#ex
2960-RG(config)#no ip default-gateway
Pour affecter un port à un VLAN (mode access si qu’un seul vlan sur ce port, mode trunk si plusieurs): 2960-RG(config)#interface fastEthernet 0/1
2960-RG(config-if)#switchport mode access
2960-RG(config-if)#switchport access vlan 3
2960-RG(config-if)#ex
2960-RG(config)#
L'exemple suivant présente la configuration des ports 5 à 8 en mode access, puis configurés avec le
vlan 4 : 2960-RG(config)#interface range fastEthernet 0/5-8
2960-RG(config-if-range)#switchport mode access
2960-RG(config-if-range)#switchport access vlan 4
2960-RG(config-if-range)#end
2960-RG#
Il faut également configurer un relai DHCP (car le serveur DHCP et les postes/téléphones ne sont pas
dans les mêmes domaines de diffusion) dans chaque VLAN ne disposant pas de serveur DHCP.
Pour cela, il faut le configurer sur chaque VLAN avec un ip helper address suivi de l’adresse IP du
serveur DHCP (par ex. en dessous le serveur est 192.168.100.2) . Router#conf t
13
PICHARD Pierre-Yves Stage CPAM 1ère année
Router(config)#interface vlan 2
Router(config-if)#ip address 192.168.100.25 255.255.255.0
Router(config-if)#ip helper-address 192.168.100.2
Comme toutes les trames broadcast sont routées vers le port du serveur cela risque de le saturer
d’informations inutiles. On limitera donc certaines de ces informations avec ces commandes: Configuration (generale)#no ip forward-protocol udp 37
Configuration (generale)#no ip forward-protocol udp 42
Configuration (generale)#no ip forward-protocol udp 49
Configuration (generale)#no ip forward-protocol udp 53
Configuration (generale)#no ip forward-protocol udp 69
Pour sauvegarder la configuration (pour que ça soit la même configuration au prochain démarrage) : Switch#copy run start
Pour voir la configuration des différents ports/différentes interfaces : Switch#show run
Sur la maquette, on va configure les différents VLAN comme suit : interface Vlan 30
description voIP
ip address 58.15.4.1 255.255.252.0
ip helper-address 58.15.4.2
!
interface Vlan 4
description PRODUCTION
ip address 55.15.4.1 255.255.252.0
ip helper-address 55.15.4.11
!
interface Vlan 6
description LAD
ip address 55.15.226.1 255.255.252.0
ip helper-address 55.15.4.11
Sécurisation du serveur DHCP
Pour plus de détail, voir mon article détaillé DHCP Sécurité
Pour sécuriser l’allocation dynamique des adresses IP à la CPAM, un référencement de tous les ports
Ethernet utilisé ou non va être nécessaire. Ainsi, tous les ports n’ayant aucun branchement seront
bloqués pour éviter que n’importe qui puisse s’allouer une adresse IP.
Certains équipement spécifiques comme les onduleurs ou les serveurs vont continuer à avoir une
adresse IP fixe pour des questions de sécurité, mais ces adresses vont être regroupées sur une
certaine plage d’adresse IP afin d’éviter de faire un trop grand nombre de plage d’exclusion sur le
serveur DHCP.
L’option DHCP snooping va être activé, ainsi sur les switch, seul les ports branchés à un
serveur DHCP seront marqués « trusted », afin que les requêtes DHCP ne passent pas par un
éventuel serveur DHCP pirate.
L’option DHCP snooping limit rate sera aussi activé, permettant de limiter le nombre de
requête DHCP par seconde, afin d’éviter à tout pirate de pouvoir saturer le réseau
rapidement. Cette option sera configurée à 20 requêtes max par seconde.
14
PICHARD Pierre-Yves Stage CPAM 1ère année
switchport port-security permettra de limiter le nombre d’adresse MAC branchées en même
temps sur le même port, pour éviter qu’un pirate puisse remplir entièrement la table de
routage (MAC flooding) et ainsi pouvoir écouter potentiellement tous les ports.
Au niveau des commandes, pour activer le DHCP snooping et déclarer les VLAN impactés : Configuration (generale)#ip dhcp snooping
Configuration (generale)#ip dhcp snooping vlan 4, 5, 6, 8, 9,30
Limitation du nombre de requêtes possible sur le port du serveur (ici 20 par secondes) : Configuration (interface)#ip dhcp snooping limit rate 20
Configuration (générale)#no ip dhcp snooping information option
Configuration sur les ports ayant la permission d’envoyer des configurations DHCP (ports des
serveurs DHCP et ports Trunk inter-commutateur) : Configuration (interface)#ip dhcp snooping trust
Configuration d’un nombre maximum d’adresse Mac par ports (ici 2) blocage du port si la règle est
transgressée, cette configuration permet aussi d’éviter des problèmes de boucles réseau, et
d’installation de smartphone en tant que modem (non testé pour les smartphones) : Configuration (interface)#switchport port-security
Configuration (interface)#switchport port-security maximum 2
Configuration (interface)#switchport port-security violation shtudown
Le port remonte automatiquement après 30 secondes (configurable) : Configuration (generale)#errdisable recovery cause psecure-violation
Configuration (generale)#errdisable recovery interval 30
Tests finals
N’ayant pas fait toutes les captures d’écran à temps, j’ai recommencé les tests avec des
configurations d’étendues et d’adresses IP différentes, voici donc la nouvelle configuration :
Configuration tests finals
Serveur DHCP :
• Etendue 55.15.4.0 : test vlan 4
Adresses IP de 55.15.4.2 à 55.15.4.100
• Etendue 55.15.5.0 : test vlan 6
Adresses IP de 55.15.5.2 à 55.15.5.100
15
PICHARD Pierre-Yves Stage CPAM 1ère année
Configuration des Vlan 4 et 6 sur le switch de niveau 3 :
On va créer les vlan 4 et 6, définir leur adresse (éventuellement un dhcp relay), puis définir à quelle
interface (port physique) on va attribuer chaque vlan.
Vlan 4 :
On crée le vlan 4 et on définit l’adresse IP du Vlan 4 (55.15.4.1). Switch>
Switch>enable
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int
Switch(config)#interface vlan 4
Switch(config-if)#ip address 55.15.4.1 255.255.255.0
Switch(config-if)#ex
Switch(config)#int
Switch(config)#ex
Switch#sh run
Vlan 6 :
On crée et on définit l’adresse IP du Vlan 6 (55.15.5.1) ainsi qu’un ip helper address 55.15.4.2 qui
permet de rediriger la trame vers le serveur DHCP (dhcp relay), car ce vlan n’est pas dans le même
sous réseau que le serveur DHCP. Switch#int
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int
Switch(config)#interface vlan 6
Switch(config-if)#ip address 55.15.5.1 255.255.255.0
Switch(config-if)#ex
Switch(config)#int vlan 6
Switch(config-if)#ip helper-address 55.15.4.2
Switch(config-if)#ex
Switch(config)#ex
16
PICHARD Pierre-Yves Stage CPAM 1ère année
Interfaces:
Pour mettre le port 2 du switch dans le vlan 6 (idem pour mettre dans vlan 4) Switch(config)#int
Switch(config)#interface fast
Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport acces vlan 6
Switch(config-if)#ex
Un PC est connecté au port console pour pouvoir configurer le switch avec HyperTerminal (et pouvoir
créer les vlan, les allouer sur certains ports…), le serveur DHCP est connecté sur le port 1 Ethernet, et
le PC de test avec lequel on va essayer d’allouer une adresse IP dynamique est branché sur le port 2
Ethernet, comme on peut voir sur la photo ci-dessous ↓
1er test
On souhaite mettre le poste client dans le vlan 4, puis observer si le serveur DHCP lui alloue bien une
adresse dans la bonne plage d’adresse (normalement on devrait avoir la 1ère adresse disponible :
55.15.4.2).
On active le vlan 4 sur le port 2 : Switch(config)#interface fast
Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport acces vlan 4
Dans le serveur DHCP, le vlan 4 est représenté par l’étendue « test vlan 4 » en 55.15.4.0, avec des
adresses IP disponibles de 55.15.4.2 à 55.15.4.100 :
Les options 3, 6 et 15 (nom de domaine DNS) sont activées
17
PICHARD Pierre-Yves Stage CPAM 1ère année
↑Le bail est configuré sur 8 jours, on peut voir qu’il expire le 04/07/2014 sachant que le test a été
effectué le 26/06/2014.
On branche alors le PC au switch (port 2 donc), dans un cmd on tape ipconfig /release pour
supprimer la configuration IPv4, puis ipconfig /renew (pour renouveler la configuration IP, pour voir
si le DHCP alloue bien une adresse IP).
← On voit alors que le
serveur DHCP alloue
bien une adresse dans la
plage d’adresse du vlan
4, c’est-à-dire 55.15.4.3
Au niveau du serveur DHCP, on voit également l’adresse 55.15.4.3 alloué, avec un bail de 8 jours.
On comprend alors pourquoi c’est seulement la 2nde adresse IP de la plage qui a été alloué, la
première adresse 55.15.4.2 a été donné juste au moment de ipconfig /release (suppression de la
configuration IP), ce qui a eu pour effet de la nommer BAD_ADDRESS (on remarque que le bail a été
raccourci à une heure), elle n’a donc pas été donné au poste puisque sa configuration IP était en train
de se réinitialiser…
18
PICHARD Pierre-Yves Stage CPAM 1ère année
↑ Au niveau de la capture Wireshark, on retrouve bien une trame REQUEST du poste client (en
55.15.4.3) vers le serveur DHCP (en 5.15.4.2), ainsi que la trame ACK du serveur vers le client pour
finaliser l’attribution d’adresse IP sur ce poste client.
19
PICHARD Pierre-Yves Stage CPAM 1ère année
2nd test
On souhaite mettre le poste client dans le vlan 6, puis observer si le serveur DHCP lui alloue bien une
adresse dans la bonne plage d’adresse (normalement on devrait avoir la 1ère adresse disponible :
55.15.5.2). On teste donc ici en plus, le fonctionnement du dhcp relay, comme le vlan 6 n’est pas
dans le même sous réseau que le serveur DHCP
On active le vlan 6 sur le port 2 : Switch(config)#interface fast
Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport acces vlan 6
Le vlan 6 est représenté par l’étendue « test vlan 6 » en 55.15.5.0, avec des adresses IP disponibles
de 55.15.5.2 à 55.15.5.100, les mêmes options sont activées (3,6,15) :
↑C’est bien la première adresse IP 55.15.5.2 du pool d’adresse qui a été prise, et il s’agit bien du vlan
6.
20
PICHARD Pierre-Yves Stage CPAM 1ère année
↑ De même qu’avec le vlan 4, pour le vlan 6 un release puis renew montre qu’on reçoit bien une
adresse IP dans le pool défini pour le vlan correspondant. Ici on évite même l’erreur « anodine » du
BAD_ADDRESS
21
PICHARD Pierre-Yves Stage CPAM 1ère année
ANNEXES
Installer Windows serveur 2008
Faire démarrer le pc sur le cd d’installation
Si nécessaire, modifier paramètres bios ou utiliser les touches de raccourcis pour bien démarrer le
système sur le CD.
Assistant d’installation
Choisir français> installer maintenant puis sélectionner la version désiré :
Dans mon cas, à la CPAM, j’ai sélectionné Windows Server 2008 R2 STANDARD (installation
complète), cela a servi de serveur de test.
Il faut ensuite accepter le contrat de licence >suivant puis installation personnalisée :
22
PICHARD Pierre-Yves Stage CPAM 1ère année
Sélectionner la bonne partition du disque
Si l’on veut un PC avec un seul serveur, il convient de supprimer toutes les partitions (qui sont
inutiles), et de sélectionner le disque entier pour installer Windows server :
Sinon, pour plusieurs systèmes sur le même PC, sélectionner la bonne partition.
L’installation se déroule alors, il y en a pour 20 min environ …
23
PICHARD Pierre-Yves Stage CPAM 1ère année
Une fois l’installation terminée, on vous demandera de changer de mot de passe. Cliquez sur Ok :
Saisir ensuite 2 fois un mot de passe, attention, dans Windows Server 2008 R2, votre mot de passe
doit comporter certaines choses :
-Il doit faire au minimum 8 caractères.
-Il doit comporter au moins 3 types de caractères différents (majuscules, minuscules, symboles,
chiffres), le mot de passe type pour des tests (si on a pas besoin de sécurité) est « P@ssword »
Appuyez ensuite sur OK.
24
PICHARD Pierre-Yves Stage CPAM 1ère année
Configuration de base
Pour un server de test sans accès réseau, il faut quand même connecter un câble à un switch pour
que la configuration marche.
Cette page de configuration devrait s’afficher au démarrage :
Appuyez sur configurer le réseau, puis clic sur la carte réseau>propriétés :
Puis protocole IpV4 > Propriétés, puis dans IP fixe, choisissez votre propre adresse IP (de préférence
en .2), le masque en /24 est plus simple, enfin la passerelle par défaut (de préférence en .1), laisser le
server DNS vide pour l’instant :
25
PICHARD Pierre-Yves Stage CPAM 1ère année
Puis dans indiquer un nom d’ordinateur et un domaine, choisissez un nom de domaine comme
« labo.net » par exemple, laisser le reste par défaut
Ajouter des fonctionnalités à Windows serveur
Revenez dans ce menu, et cliquez sur ajouter des fonctionnalités :
26
PICHARD Pierre-Yves Stage CPAM 1ère année
Sélectionnez ce que vous souhaitez ajouter, comme du powershell par exemple :
27
PICHARD Pierre-Yves Stage CPAM 1ère année
Photos créer nouvelle étendue DHCP
↑ Le nom de l’étendue et si nécessaire sa description : Production, LAD, …
28
PICHARD Pierre-Yves Stage CPAM 1ère année
↑ L’adresse IP de début et de fin : l’adresse de début étant la première adresse allouée par le
serveur. (Ces adresses sont ensuite distribuées dans l’ordre).
Le masque de sous réseau
↑ Les plages d’exclusions : elles permettent d’exclure des groupes d’adresses IP, on peut en mettre
autant que nécessaire, les adresses inscrites en début et fin seront elles aussi exclues.
Le retard avec lequel le serveur répond, c’est utile que dans certains cas, par exemple avec un
serveur DHCP de secours où l’on désire retarder sa réponse par rapport au principal.
29
PICHARD Pierre-Yves Stage CPAM 1ère année
↑ La durée du bail (1 jour pour du wifi et 8 jour pour de l’Ethernet)
↑ Cliquer sur oui, je veux configurer ces options maintenant
30
PICHARD Pierre-Yves Stage CPAM 1ère année
↑ Le routeur du LAN
↑ Les adresses IP des serveurs DNS du LAN
31
PICHARD Pierre-Yves Stage CPAM 1ère année
↑ Le serveur WINS (que nous ne configurerons pas)
↑ Activation de l’étendue
32
PICHARD Pierre-Yves Stage CPAM 1ère année
33
PICHARD Pierre-Yves Stage CPAM 1ère année
Configuration manuelle d’une option sur un serveur DHCP (exemple
de l’option 43)
Pour que le serveur DHCP génère bien des adresses IP pour le vlan 30 de téléphonie et que les
téléphones Alcatel réussissent à interpréter cette configuration, l’activation de l’option 43 sur le
serveur DHCP est obligatoire (d’après le référentiel de la CPAM). Voici donc la démarche détaillé en
photo pour activer et configurer cette option :
34
PICHARD Pierre-Yves Stage CPAM 1ère année
35
PICHARD Pierre-Yves Stage CPAM 1ère année
↑ La chaine alcatel.a4400.0 correspond au code permettant aux téléphones Alcatel de la CPAM de
fonctionner avec un serveur DHCP.
36
PICHARD Pierre-Yves Stage CPAM 1ère année
37
PICHARD Pierre-Yves Stage CPAM 1ère année
L’option 43 est ainsi bien activée sur le serveur DHCP.
38
PICHARD Pierre-Yves Stage CPAM 1ère année
Configuration switch via HyperTerminal
Exemple d’un switch sisco 3560 (de niveau 3)
Configuration du terminal
On doit configurer le routeur Cisco pour faire correspondre chaque port du routeur à un certain
VLAN.
Il faut d’abord connecter le routeur Cisco en port série avec un PC, puis lancer HyperTerminal.
La configuration du terminal doit être la suivante:
Commandes de bases
Voici ce qui doit s’afficher : Switch>
Pour avoir les droits « root », taper enable : Switch>enable
Switch#
Pour passer en mode configuration : Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
Mode configuration d’une interface (ici ‘0’signifie la 1ère « ligne » de ports (physiques), et ‘1’ le 1er
port de cette ligne) : Switch(config)#interface fastEthernet 0/1
Switch(config-if)#
Pour créer un VLAN (ex. vlan 2) : 2960-RG(config)#vlan 2
2960-RG(config-vlan)#exit
Pour définir une adresse IP pour un VLAN et une passerelle par défaut :
39
PICHARD Pierre-Yves Stage CPAM 1ère année
2960-RG(config)#interface vlan 2
2960-RG(config-if)#ip address 192.168.100.25 255.255.255.0
2960-RG(config-if)#ex
2960-RG(config)#ip default-gateway 192.168.100.1
Pour vérifier la configuration du vlan : 2960-RG#sh run int vlan 2
Building configuration...
Current configuration : 64 bytes
!
interface Vlan2
ip address 192.168.100.25 255.255.255.0
end
Pour supprimer une adresse IP et une passerelle par défaut : 2960-RG(config)#interface vlan 2
2960-RG(config-if)#no ip address
2960-RG(config-if)#ex
2960-RG(config)#no ip default-gateway
Pour affecter un port à un VLAN (mode access si qu’un seul vlan sur ce port, mode trunk si plusieurs): 2960-RG(config)#interface fastEthernet 0/1
2960-RG(config-if)#switchport mode access
2960-RG(config-if)#switchport access vlan 3
2960-RG(config-if)#ex
2960-RG(config)#
L'exemple suivant présente la configuration des ports 5 à 8 en mode access, puis configurés avec le
vlan 4 : 2960-RG(config)#interface range fastEthernet 0/5-8
2960-RG(config-if-range)#switchport mode access
2960-RG(config-if-range)#switchport access vlan 4
2960-RG(config-if-range)#end
2960-RG#
Il faut également configurer un relai DHCP (car le serveur DHCP et les postes/téléphones ne sont pas
dans les mêmes domaines de diffusion) dans chaque VLAN ne disposant pas de serveur DHCP.
Pour cela, il faut le configurer sur chaque VLAN avec un ip helper address suivi de l’adresse IP du
serveur DHCP (par ex. en dessous le serveur est 192.168.100.2) . Router#conf t
Router(config)#interface vlan 2
Router(config-if)#ip address 192.168.100.25 255.255.255.0
Router(config-if)#ip helper-address 192.168.100.2
Comme toutes les trames broadcast sont routées vers le port du serveur cela risque de le saturer
d’informations inutiles. On limitera donc certaines de ces informations avec ces commandes: Configuration (generale)#no ip forward-protocol udp 37
Configuration (generale)#no ip forward-protocol udp 42
Configuration (generale)#no ip forward-protocol udp 49
Configuration (generale)#no ip forward-protocol udp 53
Configuration (generale)#no ip forward-protocol udp 69
Pour sauvegarder la configuration (pour que ça soit la même configuration au prochain démarrage) : Switch#copy run start
Pour voir la configuration des différents ports/différentes interfaces : Switch#show run
40
PICHARD Pierre-Yves Stage CPAM 1ère année
Sur la maquette, on va configure les différents VLAN comme suit : interface Vlan 30
description voIP
ip address 58.15.4.1 255.255.252.0
ip helper-address 58.15.4.2
!
interface Vlan 4
description PRODUCTION
ip address 55.15.4.1 255.255.252.0
ip helper-address 55.15.4.11
!
interface Vlan 6
description LAD
ip address 55.15.226.1 255.255.252.0
ip helper-address 55.15.4.11
41
PICHARD Pierre-Yves Stage CPAM 1ère année
DHCP Sécurité
Le DHCP Spoofing
Il s'agit d'usurpation DHCP. Le pirate informatique va tout simplement, au cours de la récupération
d'une adresse IP, vous donner de mauvaises informations. Ceci va lui permettre, par exemple, de
rediriger tout votre trafic vers sa machine (afin de récupérer des informations sur vous comme vos
coordonnées bancaires ou autre) ou encore de rediriger le trafic de centaines de machines sur une
seule et même cible (dans le but de rendre non-fonctionnelle cette dernière).
Résumé sur le fonctionnement du DHCP
Il s'agit d'un protocole réseau qui permet d'assigner une adresse IP, un masque de sous-réseau ou
encore une passerelle par défaut à des équipements informatiques (ordinateurs, imprimantes,
télécopieurs...).
Voici le détail du processus de récupération d'une adresse IP via un service DHCP :
Votre ordinateur envoi un DHCP Discover. Comme ce dernier n'a pas encore d'adresse IP, il envoie
une trame de type broadcast (= diffusion) avec comme adresse MAC de destination FF:FF:FF:FF:FF:FF
afin d'obtenir la liste des serveurs DHCP disponibles
Les serveurs DHCP présent sur le réseau répondent avec un DHCP Offer, offrant ainsi une
configuration IP à votre ordinateur.
Votre ordinateur précisera à tous les serveurs DHCP celui qu'il aura choisi et enverra un DHCP
Request.
Le serveur DHCP choisi confirme à votre ordinateur que sa requête est bien prise en compte via un
DHCP Ack.
Ci-dessous, exemple de l'ajout d'un serveur DHCP Pirate. Lors du DHCP Discover de l’ordinateur
celui-ci répond également ce qui le rend éligible en tant que serveur, il pourrait donc fournir des
données faussées à la machine hôte.
42
PICHARD Pierre-Yves Stage CPAM 1ère année
Le Principe du DHCP Snooping
Afin d'empêcher le DHCP Spoofing (= usurpation d’adresse IP), l'idée est de préciser où trouver les
bons serveurs DHCP. Pour cela, nous allons travailler sur le switch et préciser sur quelles interfaces
trouver les serveurs DHCP authentiques. Sur l'exemple vu un peu plus haut on peut voir que le
serveur DHCP est raccordé au port fa 0/24 du switch. L'idée est de spécifier que cette interface est un
port dit "trusted" (= port de confiance). Ainsi nous aurons une listes des ports “trusted” et
“untrusted”, les ports "trusted" pourront emmètre des requêtes DHCP Offer et DHCP Ack alors que
l'équipement du pirate informatique ne sera pas sur une interface de confiance (= unstrusted). Ses
requêtes seront alors ignorées.
Ce procédé est appelé DHCP Snooping (= surveillance DHCP).
Mise en place sur des équipements CISCO
Le DHCP Snooping peut fonctionner de manière globale sur l'ensemble du switch (et donc sur
l'ensemble de ses ports) mais aussi dans un VLAN particulier.
Voici la marche à suivre pour la mise en place sur des équipements de type CISCO :
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 5 12
Switch(config)# ip dhcp snooping information option
Switch(config)# interface fastethernet0/24
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate 50
1. Mise en place du DHCP Snooping sur le switch (de façon globale)
2. Mise en place du DHCP Snooping sur un ou plusieurs VLAN en particulier (par exemple ici le vlan 5
et le vlan 12)
3. Activation de l'option 82 du protocole DHCP (car le DHCP snooping en a besoin)
43
PICHARD Pierre-Yves Stage CPAM 1ère année
4. On sélectionne l'interface fa 0/24 pour la configurer
5. On déclare le port en tant qu'interface de confiance (en mode « trust »)
6. Permet de définir le maximum de requêtes que l'interface traitera (par seconde) (ici, 50 requête
par seconde maximum)
Quelques conseils en sécurité
Afin de garantir la sécurité sur votre réseau et éviter ce genre d'attaques voici quelques conseils :
- Restreindre le nombre d'adresses MAC autorisées par interface sur vos switch
- Désactiver les interfaces non utilisées sur vos équipements (afin d'éviter que n'importe qui
puisse se raccorder sur votre réseau)
- Assigner des adresses IP fixes sur vos serveurs
- Si vous êtes sur un réseau à petite échelle, mettre l'ensemble du parc en IP fixe
- Différencier les services DHCP (un dédié pour les clients Wifi, un pour le réseau classique...)
En pratique à la CPAM
Pour sécuriser l’allocation dynamique des adresses IP à la CPAM, un référencement de tous les ports
Ethernet utilisé ou non va être nécessaire. Ainsi, tous les ports n’ayant aucun branchement seront
bloqués pour éviter que n’importe qui puisse s’allouer une adresse IP.
Certains équipement spécifiques comme les onduleurs ou les serveurs vont continuer à avoir une
adresse IP fixe pour des questions de sécurité, mais ces adresses vont être regroupées sur une
certaine plage d’adresse IP afin d’éviter de faire un trop grand nombre de plage d’exclusion sur le
serveur DHCP.
L’option DHCP snooping va être activé, ainsi sur les switch, seul les ports branchés à un
serveur DHCP seront marqués « trusted », afin que les requêtes DHCP ne passent pas par un
éventuel serveur DHCP pirate.
L’option DHCP snooping limit rate sera aussi activé, permettant de limiter le nombre de
requête DHCP par seconde, afin d’éviter à tout pirate de pouvoir saturer le réseau
rapidement. Cette option sera configurée à 20 requêtes max par seconde.
switchport port-security permettra de limiter le nombre d’adresse MAC branchées en même
temps sur le même port, pour éviter qu’un pirate puisse remplir entièrement la table de
routage (MAC flooding) et ainsi pouvoir écouter potentiellement tous les ports.
Au niveau des commandes
Les commandes suivantes sont pour un switch cisco 3560 via HyperTerminal :
Pour activer le DHCP snooping et déclarer les VLAN impactés : Configuration (generale)#ip dhcp snooping
Configuration (generale)#ip dhcp snooping vlan 4, 5, 6, 8, 9,30
Limitation du nombre de requêtes possible sur le port du serveur (ici 20 par secondes) : Configuration (interface)#ip dhcp snooping limit rate 20
44
PICHARD Pierre-Yves Stage CPAM 1ère année
Configuration (générale)#no ip dhcp snooping information option
Configuration sur les ports ayant la permission d’envoyer des configurations DHCP (ports des
serveurs DHCP et ports Trunk inter-commutateur) : Configuration (interface)#ip dhcp snooping trust
Configuration d’un nombre maximum d’adresse Mac par ports (ici 2) blocage du port si la règle est
transgressée, cette configuration permet aussi d’éviter des problèmes de boucles réseau, et
d’installation de smartphone en tant que modem (non testé pour les smartphones) : Configuration (interface)#switchport port-security
Configuration (interface)#switchport port-security maximum 2
Configuration (interface)#switchport port-security violation shtudown
Le port remonte automatiquement après 30 secondes (configurable) : Configuration (generale)#errdisable recovery cause psecure-violation
Configuration (generale)#errdisable recovery interval 30
Test sur maquette des éléments de sécurité
On va tester les différents éléments de sécurité sur la maquette du serveur DHCP, cette dernière est
composée de :
PC sous Windows 7
PC portable de test sous Windows XP
2 PC sous Windows server 2008 R2
switch cisco 3560 catalyst de niveau 3
téléphone Alcatel a4400
DHCP snooping
On met en marche un serveur DHCP (correctement configuré) qu’on branche sur le port 1 du switch
cisco, puis on définit ce port en mode trusted (tous les autres ports restent en mode untrusted).
On branche un PC (en mode IP dynamique) sur un autre port : le PC se voit attribuer une adresse IP.
En revanche, après avoir débranché le PC et le serveur, puis en branchant le serveur sur un autre
port (untrusted), puis en rebranchant le PC, dans un cmd on tape ipconfig /release (supprimer
configuration d’adresse IP), puis ipconfig /renew (renouveler configuration DHCP) : le PC n’a alors
aucune adresse IP fournie par le serveur DHCP, le port sur le switch n’étant pas de confiance
(untrusted).
switchport port-security
On va limiter chaque port à 2 adresses MAC. Pour pouvoir mettre plusieurs adresses MAC sur un seul
port sans passer par un logiciel de pirate, on va connecter un 2nd switch sur un port du switch de
base, et connecter 3 appareils (un téléphone et 2 PC).
Le port va alors se bloquer (plus de lumière sur le switch), puis se rallumera 1/2sec toutes les 30
secondes, cela correspondant au errdisable recovery interval.
On remarque aussi que si l’on connecte 2 appareils, puis qu’on en débranche un et que l’on connecte
un autre appareil, le port ne se bloquera pas (on a toujours que 2 adresses MAC branchés), ce qui
signifie qu’en branchant un appareil l’option détecte instantanément si un appareil a été débranché
et met à jour sa table MAC.
45
PICHARD Pierre-Yves Stage CPAM 1ère année
Attention : Ne pas utiliser sur des postes avec des machines virtuelles en fonctionnements (qui
demandent plusieurs adresses MAC), cela risque de bloquer la connexion du poste.
46
PICHARD Pierre-Yves Stage CPAM 1ère année
Listes des compétences liés à ce projet
A1.1.1 Analyse du cahier des charges d'un service à produire C1.1.1.1 Recenser et caractériser les contextes d'utilisation, les processus et les acteurs sur lesquels le service à produire aura un impact C1.1.1.2 Identifier les fonctionnalités attendues du service à produire C1.1.1.3 Préparer sa participation à une réunion C1.1.1.4 Rédiger un compte-rendu d'entretien, de réunion Votre reformulation de cette activité :
-
Recenser et caractériser les contextes d'utilisation, les processus et
les acteurs sur lesquels le service à produire aura un impact
A1.1.2 Étude de l'impact de l'intégration d'un service sur le système informatique C1.1.2.1 Analyser les interactions entre services C1.1.2.2 Recenser les composants de l'architecture technique sur lesquels le service à produire aura un impact Votre reformulation de cette activité :
- Recenser les composants de l'architecture technique sur lesquels le se
A1.1.3 Étude des exigences liées à la qualité attendue d'un service C1.1.3.1 Recenser et caractériser les exigences liées à la qualité attendue du service à produire C1.1.3.2 Recenser et caractériser les exigences de sécurité pour le service à produire Votre reformulation de cette activité :
- Recenser et caractériser les exigences liées à la qualité attendue du se
A1.2.1 Élaboration et présentation d'un dossier de choix de solution technique C1.2.1.1 Recenser et caractériser des solutions répondant au cahier des charges (adaptation d'une solution existante ou réalisation d'une nouvelle) C1.2.1.2 Estimer le coût d'une solution C1.2.1.3 Rédiger un dossier de choix et un argumentaire technique Votre reformulation de cette activité :
- solutions répondant au cahier des charges
A1.2.2 Rédaction des spécifications techniques de la solution retenue (adaptation d'une solution existante ou réalisation d'une nouvelle solution) C1.2.2.1 Recenser les composants nécessaires à la réalisation de la solution retenue C1.2.2.2 Décrire l'implantation des différents composants de la solution et les échanges entre eux C1.2.2.3 Rédiger les spécifications fonctionnelles et techniques de la solution retenue dans le formalisme exigé par l'organisation Votre reformulation de cette activité :
A1.2.4 Détermination des tests nécessaires à la validation d'un service C1.2.4.1 Recenser les tests d'acceptation nécessaires à la validation du service et les résultats attendus C1.2.4.2 Préparer les jeux d'essai et les procédures pour la réalisation des tests Votre reformulation de cette activité :
47
PICHARD Pierre-Yves Stage CPAM 1ère année
A1.3.1 Test d'intégration et d'acceptation d'un service C1.3.1.1 Mettre en place l'environnement de test du service C1.3.1.2 Tester le service C1.3.1.3 Rédiger le rapport de test Votre reformulation de cette activité :
A1.4.1 Participation à un projet C1.4.1.1 Établir son planning personnel en fonction des exigences et du déroulement du projet C1.4.1.2 Rendre compte de son activité Votre reformulation de cette activité :
A1.4.2 Évaluation des indicateurs de suivi d'un projet et justification des écarts C1.4.2.1 Suivre l'exécution du projet C1.4.2.2 Analyser les écarts entre temps prévu et temps consommé C1.4.2.3 Contribuer à l'évaluation du projet Votre reformulation de cette activité :
A1.4.3 Gestion des ressources C1.4.3.1 Recenser les ressources humaines, matérielles, logicielles et budgétaires nécessaires à l'exécution du projet et de ses tâches personnelles C1.4.3.2 Adapter son planning personnel en fonction des ressources disponibles Votre reformulation de cette activité :
A3.1.1 Proposition d'une solution d'infrastructure C3.1.1.1 Lister les composants matériels et logiciels nécessaires à la prise en charge des processus, des flux d'information et de leur rôle C3.1.1.2 Caractériser les éléments d'interconnexion, les services, les serveurs et les équipements terminaux nécessaires C3.1.1.3 Caractériser les éléments permettant d'assurer la qualité et la sécurité des services C3.1.1.4 Recenser les modifications et/ou les acquisitions nécessaires à la mise en place d'une solution d'infrastructure compatible avec le budget et le planning prévisionnels C3.1.1.5 Caractériser les solutions d'interconnexion utilisées entre un réseau et d'autres réseaux internes ou externes à l'organisation Votre reformulation de cette activité :
A3.1.2 Maquettage et prototypage d'une solution d'infrastructure C3.1.2.1 Concevoir une maquette de la solution C3.1.2.2 Construire un prototype de la solution
48
PICHARD Pierre-Yves Stage CPAM 1ère année
C3.1.2.3 Préparer l'intégration d'un composant d'infrastructure Votre reformulation de cette activité :
A3.2.1 Installation et configuration d'éléments d'infrastructure C3.2.1.1 Installer et configurer un élément d'interconnexion, un service, un serveur, un équipement terminal utilisateur C3.2.1.2 Installer et configurer un élément d'infrastructure permettant d'assurer la continuité de service, un système de régulation des éléments d'infrastructure, un outil de métrologie, un dispositif d'alerte C3.2.1.3 Installer et configurer des éléments de sécurité permettant d'assurer la protection du système informatique Votre reformulation de cette activité :
A3.2.2 Remplacement ou mise à jour d'éléments défectueux ou obsolètes C3.2.2.1 Élaborer une procédure de remplacement ou de migration respectant la continuité d'un service C3.2.2.2 Mettre en œuvre une procédure de remplacement ou de migration Votre reformulation de cette activité :
A4.1.5 Prototypage de composants logiciels C4.1.5.1 Choisir les éléments de la solution à prototyper C4.1.5.2 Développer un prototype C4.1.5.3 Valider un prototype Votre reformulation de cette activité :
A4.1.8 Réalisation des tests nécessaires à la validation d'éléments adaptés ou développés C4.1.8.1 Élaborer et réaliser des tests unitaires C4.1.8.2 Mettre en évidence et corriger les écarts Votre reformulation de cette activité :
A4.2.1 Analyse et correction d'un dysfonctionnement, d'un problème de qualité de service ou de sécurité C4.2.1.1 Élaborer un jeu d'essai permettant de reproduire le dysfonctionnement C4.2.1.2 Repérer les composants à l'origine du dysfonctionnement C4.2.1.3 Concevoir les mises à jour à effectuer C4.2.1.4 Réaliser les mises à jour Votre reformulation de cette activité :
A4.2.3 Réalisation des tests nécessaires à la mise en production d'éléments mis à jour C4.2.3.1 Élaborer et réaliser des tests d'intégration et de non régression de la solution mise à jour C4.2.3.2 Concevoir une procédure de migration et l'appliquer dans le respect de la continuité de service Votre reformulation de cette activité :
49
PICHARD Pierre-Yves Stage CPAM 1ère année
A5.2.2 Veille technologique C5.2.2.1 Définir une stratégie de recherche d'informations C5.2.2.2 Tenir à jour une liste de sources d'information C5.2.2.3 Évaluer la qualité d'une source d'information en fonction d'un besoin C5.2.2.4 Synthétiser et diffuser les résultats d'une veille Votre reformulation de cette activité :
A5.2.4 Étude d‘une technologie, d'un composant, d'un outil ou d'une méthode C5.2.4.1 Se documenter à propos d‘une technologie, d'un composant, d'un outil ou d'une méthode C5.2.4.2 Identifier le potentiel et les limites d'une technologie, d'un composant, d'un outil ou d'une méthode par rapport à un service à produire