Mise en place du H P a la PAM du VAR · Configuration du routeur Cisco (switch) ... Arguments pour la mise en place d’un ... Non géré par le service informatique de la CPAM du

1

PICHARD Pierre-Yves Stage CPAM 1ère année

Mise en place du DHCP a la CPAM du VAR

Introduction

Le projet qui m’a été confié lors de mon stage 2014 est d’étudier la possibilité d’installer des serveurs

DHCP sur les sites la CPAM du Var.

Plus finement, mon objectif sera de proposer une solution pour les PC qui prendra en compte les

fonctionnalités nécessaires, l’aspect sécurité et le serveur DHCP du site central (le siège) déjà en

place pour la téléphonie IP.

Voir Listes des compétences liés à ce projet en cliquant ici

Introduction ............................................................................................................................................. 1

1. Le Besoin : ........................................................................................................................................ 3

Arguments pour la mise en place d’un serveur DHCP par site dans une entreprise .......................... 3

Avantages ........................................................................................................................................ 3

Inconvénients .................................................................................................................................. 3

Téléphonie IP ....................................................................................................................................... 4

Option 43 et 60 ................................................................................................................................ 4

Audit des adresses IP fixes .................................................................................................................. 4

Définir les configurations nécessaires ................................................................................................. 6

Options de serveur .......................................................................................................................... 6

Le DHCP-Relay : ............................................................................................................................... 6

2. Mise en place : Les tests sur maquette : ......................................................................................... 7

Configuration du serveur DHCP sous Windows 2008 Server R2 ......................................................... 8

Exemple de Configuration de base .................................................................................................. 8

Configuration des options ............................................................................................................. 10

Configuration réelle de test ........................................................................................................... 10

Ci-dessous un imprime écran de la Configuration du serveur DHCP ............................................ 11

Configuration du routeur Cisco (switch) via HyperTerminal ............................................................ 11

Sécurisation du serveur DHCP ........................................................................................................... 13

Tests finals ......................................................................................................................................... 14

Configuration tests finals ............................................................................................................... 14

Configuration des Vlan 4 et 6 sur le switch de niveau 3 : ............................................................. 15

2


ANNEXES ................................................................................................................................................ 21

Installer Windows serveur 2008 ........................................................................................................ 21

Faire démarrer le pc sur le cd d’installation .................................................................................. 21

Assistant d’installation ................................................................................................................. 21

Sélectionner la bonne partition du disque .................................................................................... 22

Configuration de base ................................................................................................................... 24

Ajouter des fonctionnalités à Windows serveur ........................................................................... 25

Photos créer nouvelle étendue DHCP ............................................................................................... 27

Configuration manuelle d’une option sur un serveur DHCP (exemple de l’option 43) .................... 33

........................................................................................................................................................... 33

Configuration switch via HyperTerminal ......................................................................................... 38

Exemple d’un switch sisco 3560 (de niveau 3)....................................................................................... 38

Configuration du terminal ............................................................................................................. 38

Commandes de bases .................................................................................................................... 38

DHCP Sécurité ................................................................................................................................... 41

Le DHCP Spoofing .......................................................................................................................... 41

Résumé sur le fonctionnement du DHCP ...................................................................................... 41

Le Principe du DHCP Snooping ...................................................................................................... 42

Mise en place sur des équipements CISCO ................................................................................... 42

Quelques conseils en sécurité ....................................................................................................... 43

En pratique à la CPAM ................................................................................................................... 43

Listes des compétences liés à ce projet ............................................................................................ 46

3


1. Le Besoin :

Arguments pour la mise en place d’un serveur DHCP par site dans une

entreprise

Avantages

Simplification de la gestion des VLAN. L’attribution de l’adresse est automatisée en fonction

du VLAN.

Meilleure maitrise des configurations : Permet d’éviter les erreurs de configurations sur

l’adressage ou le doublons d’IP

Simplification de la gestion des IP. En particulier lors des PEI (Plan d’Equipement

Informatique), c’est-à-dire lorsque de nouveau PMF doivent être installés en grand nombre.

Contrôle l'utilisation des adresses IP centralisée.

Économie d’adresses. L'adresse IP est libérée automatiquement, à l'expiration du bail.

Simplification de l’utilisation des portables nomades.

Plus le réseau est grand et complexe, plus le DHCP facilite sa gestion (ici on est dans un

réseau de l’ordre de plus d’un millier de postes, d’où la nécessité d’un serveur DHCP).

Inconvénients

Une machine branchée sur une prise brassée sera connectée au réseau, cela peut engendrer

des problèmes de sécurité.

La gestion des IP sera simplifié, cependant certaines adresses IP devront rester fixe, outre

diminuer un peu l’intérêt du DHCP, cela implique de devoir changer des configurations de

certains serveurs ou réseau pour coller à la norme que nous mettrons en place, c’est-à-dire

réunir les adresses IP fixes dans une certaine tranche d’adresse. Cette opération demande à

être bien organisée et est source de problèmes (si des applications sont développées pour

attaquer le serveur directement par IP par exemple, nécessité de redévelopper l’application).

L’utilisation d’un serveur centralisé sur Toulon peut-être une cause d’erreur sur les postes en

particulier sur le WAN (coupure, surcharge…).

Le dysfonctionnement du serveur ou de l’équipement réseau rattaché peut engendrer une

coupure totale du fonctionnement (une solution de secours est à envisager)

L’utilisation de la prise de contrôle à distance nécessite que la personne puisse se connecter

sur le poste : utilisation d’un programme pour donner l’adresse du poste, cette dernière

changeant régulièrement (comme on est sur du DHCP).

4


Téléphonie IP

Non géré par le service informatique de la CPAM du Var mais par le service Gestion Achat et

Patrimoine (logistique).

Caractéristique de la configuration DHSP du serveur IPBX

Option 43 et 60

Il existe actuellement un serveur DHCP dédié à la téléphonie :

Grace à l’option 60 ce serveur va reconnaître qu’une demande émane d’un téléphone Alcatel (ou

autre suivant la marque du téléphone). Il répondra uniquement s’il s’agit d’un téléphone de cette

marque : un PC ne prendra donc pas de configuration DHCP liée à la VoIP car le serveur DHCP VoIP ne

lui enverra pas de proposition (DHCP Offer).

De même l’option 43, informations spécifique au fournisseur, va faire que le téléphone vas choisir en

priorité une réponse DHCP émanant de l’autocom.

Il est donc important de ne pas casser le fonctionnement du serveur DHCP existant avec le nouveau

serveur à mettre en place.

Audit des adresses IP fixes

Pour l’instant seule la téléphonie fonctionne en DHCP, leurs adresses IP sont donc allouées

automatiquement via un serveur dédié.

On veut donc mettre toutes les autres machines en DHCP, via un 2nd serveur.

Le réseau de la CPAM est configuré pour avoir jusqu’à 1022 machines par sous réseau (masque en

/.22), la configuration de la téléphonie IP est à l’identique du réseau PC.

Les adresses des machines sont toutes en IP fixe (sauf la téléphonie), un premier travail consiste à

référencer toutes les adresses IP ainsi que la machines correspondantes.

Certaines machines, comme les serveurs ou les imprimantes, devront rester en IP fixe.

En effet, il existe encore de nombreuses applications qui attaquent les serveurs ou imprimantes par

IP, d’où l’intérêt qu’elles restent fixe. Il faudra donc, dans la mesure du possible, modifier leur IP fixe

afin de réunir les IP fixes sur une certaine plage IP, afin de laisser le reste du champ d’adresses

disponibles pour le serveur DHCP.

5


Le nombre d’adresses étant très important, je décide d’utiliser un document Excel afin de me servir

ultérieurement des filtres disponible dans ce logiciel.

Apres discussion avec les équipes informatiques locales, nous convenons que, dans un premier

temps, les différentes machines fonctionnant avec une adresse IP fixe sont :

Les commutateurs

des serveurs

des imprimantes

des badgeuses

des sondes,

des onduleurs,

des routeurs,

des bornes

des panneaux lumineux.

Un problème se pose : il faut réfléchir également à savoir comment changer l’adresse IP de certaines

machines, comme les imprimantes : il faut d’une part changer l’adresse IP de chaque imprimantes,

d’autre part configurer chaque ordinateur avec la bonne adresse IP d’impression, sachant que

chaque PMF dispose de spécificités d’impressions (en-tête au nom de l’agent qui imprime,

groupement d’impressions en fonction du PMF, droits pour les copies couleurs ou non, …). Et tout

cela se doit d’être automatisé, pour éviter de faire la manipulation manuellement plusieurs centaines

de fois pour chaque poste de l’entreprise…

Pour ce qui est de mettre tous les PMF en IP dynamique, comme ils fonctionnent tous dans un

environnement Active Directory, ces configurations se feront avec GPO (stratégie de groupe),

permettant une gestion centralisée des postes.

6


Définir les configurations nécessaires

Options de serveur

Les options à intégrer au serveur DHCP sont les suivantes :

• Option 3 : Routeur, car on a un switch de niveau 3

• Option 6 : DNS, permet de spécifier les adresses des serveurs DNS dont on se servira

Le DHCP-Relay :

Le DHCP est un protocole local, son fonctionnement est basé sur des trames de type Broadcast qui

ne peuvent sortir du réseau local. Le DHCP-Relay transformera ces trames en unicast et les routera

vers le serveur DHCP défini. L’utilisation d’un seul serveur pour plusieurs LAN impose de faire du DHCP-Relay sur les

commutateurs niveau 3. Cette fonction va essentiellement faire 2 choses : transformer le type de

trame afin qu’elle puisse être routée au travers du réseau et va rajouter un champ (giaddr) afin de

permettre au serveur de reconnaître son adresse source et ainsi d’y allouer une adresse

correspondant à son sous réseau. Cette fonction est déjà active pour la téléphonie et sera activé sur

les commutateurs du siège afin de gérer les VLAN.

7


2. Mise en place : Les tests sur maquette :

Il s’agit de vérifier :

si les postes et téléphones récupèrent la bonne adresse IP correspondant à la plage d’adresse

de leur VLAN respectifs

que les postes récupèrent l’adresse du bon vlan

que les configurations soient les prises en compte

Ma maquette est composée

- d’un serveur DHCP (sous Windows 2008 R2) réservé à la livraison d’adresse IP pour

les téléphones

- d’un autre serveur DHCP (Windows 2008 R2) pour livrer les adresses IP à toutes les

autres machines (PMF, serveur, imprimantes…),

- d’un switch Cisco 3560 Catalyst de niveau 3,

- d’un téléphone Alcatel A4400 (fait partie du VLAN30),

- d’un PMF du VLAN 4 (prod),

- d’un autre PMF du VLAN 6 (LAD).

Photo de la maquette : (voir schéma en cliquant ici)

8


Configuration du serveur DHCP sous Windows 2008 Server R2

Exemple de Configuration de base

(Voir mon article détaillé Installer Windows serveur 2008 en cliquant ici)

← Il faut tout d’abord installer le rôle

serveur DHCP :

Dans gestion de l’ordinateur, cliquer sur

ajouter des rôles, puis serveur DHCP.

← Un assistant vous demande de choisir

une connexion réseau disponible, j’ai

choisi la seule adresse IP affichée, c’est-

à-dire celle du serveur (définie dans les

connexions réseau)

← Il faut choisir un

nom de domaine, puis

définir un éventuel

serveur DNS : s’il est

sur le même serveur,

tapez 127.0.0.1

Sur l’écran suivant,

cochez WINS n’est pas

requis pour les

applications sur ce

réseau (Active

Directory est plus

adapté)

9


↑↑ Ensuite on peut ajouter des étendues DHCP, c’est-à-dire les plages d’adresses IP qui seront

distribuées par le serveur DHCP : IP de début puis de fin, durée du bail, masque, et la passerelle (la

même que l’adresse réseau de l’étendue (VLAN) mais en .1, par exemple ici il faut mettre

192.168.2.1, l’adresse réseau étant 192.168.2.0).

↑ Puis on peut choisir d’activer l’IPv6 ou non (pas nécessaire car réseau local)

↑ Dans autorisation le serveur DHCP, il faut mettre utiliser les informations d’identifications

actuelles.

Enfin il faut cliquer sur installer.

10


Configuration des options

Pour configurer les options DHCP, un clic droit sur options de serveur > configurer les options

permet d’appliquer ces options à toutes les étendues ; si l’on veut appliquer une option dans une

seule étendue, il faut aller dans l’étendue et cliquer droit sur options d’étendue > configurer les

options.

Les 3 options nécessaires ici sont l’option 3 (routeur) et l’option 6 et 15 (DNS), si les étendues (§

précédent) ont été correctement configurés, ces options sont déjà intégrées

Pour configurer les options pour un développement DHCP dans la téléphonie voir info ici, ou voir

configuration manuelle option DHCP ici.

Configuration réelle de test

On peut rajouter d’autres étendues par la suite en cliquant sur IPv4 > Nouvelle étendue, on peut de

la même façon alors définir dans l’ordre

Pour les photos, voir photos créer nouvelle étendue DHCP en cliquant ici

Le nom de l’étendue et si nécessaire sa description : Production, LAD, …

L’adresse IP de début et de fin : l’adresse de début étant la première adresse allouée par le

serveur. (Ces adresses sont ensuite distribuées dans l’ordre).

Le masque de sous réseau

Les plages d’exclusions : elles permettent d’exclure des groupes d’adresses IP, on peut en

mettre autant que nécessaire, les adresses inscrites en début et fin seront elles aussi

exclues.

Le retard avec lequel le serveur répond, c’est utile que dans certains cas, par exemple avec

un serveur DHCP de secours où l’on désire retarder sa réponse par rapport au principal.

La durée du bail

Cliquer sur oui, je veux configurer ces options maintenant

Le routeur du LAN

Les adresses IP des serveurs DNS du LAN

Le serveur WINS (que nous ne configurerons pas).

Activation de l’étendue. Ces options sont modifiables à postériori en allant sur propriété de l’étendue.

Voici la configuration de test

11


Ci-dessous un imprime écran de la Configuration du serveur DHCP

Pour ajouter une étendue, dans la fenêtre DHCP, clic droit sur IPv4 > ajouter nouvelle étendue.

Dans pool d’adresses, on peut définir les différentes plages d’adresse de cette étendue.

- 1er serveur DHCP (téléphonie) :

• Etendue 58.15.4.0 : téléphonie (VLAN 30)

Adresses IP de 58.15.4.50 à 58.15.4.60

- 2nd serveur DHCP (autres machines) :

• Etendue 55.15.4.0 : PROD (VLAN4)

Adresses IP de 55.15.4.105 à 55.15.4.200

• Etendue 55.15.226.0 : LAD (VLAN6)

Adresses IP de 55.15.226.50 à 55.15.226.100

Configuration du routeur Cisco (switch) via HyperTerminal

Voir mon article configuration switch HyperTerminal.docx

On doit configurer le routeur Cisco pour faire correspondre chaque port du routeur à un certain

VLAN.

Il faut d’abord connecter le routeur Cisco en port série avec un PC, puis lancer HyperTerminal.

12


Voici ce qui doit s’afficher : Switch>

Pour avoir les droits « root », taper enable : Switch>enable

Switch#

Pour passer en mode configuration : Switch#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#

Mode configuration d’une interface (ici ‘0’signifie la 1ère « ligne » de ports (physiques), et ‘1’ le 1er

port de cette ligne) : Switch(config)#interface fastEthernet 0/1

Switch(config-if)#

Pour créer un VLAN (ex. vlan 2) : 2960-RG(config)#vlan 2

2960-RG(config-vlan)#exit

Pour définir une adresse IP pour un VLAN et une passerelle par défaut :

2960-RG(config)#interface vlan 2

2960-RG(config-if)#ip address 192.168.100.25 255.255.255.0

2960-RG(config-if)#ex

2960-RG(config)#ip default-gateway 192.168.100.1

Pour vérifier la configuration du vlan : 2960-RG#sh run int vlan 2

Building configuration...

Current configuration : 64 bytes

!

interface Vlan2

ip address 192.168.100.25 255.255.255.0

end

Pour supprimer une adresse IP et une passerelle par défaut : 2960-RG(config)#interface vlan 2

2960-RG(config-if)#no ip address


2960-RG(config)#no ip default-gateway

Pour affecter un port à un VLAN (mode access si qu’un seul vlan sur ce port, mode trunk si plusieurs): 2960-RG(config)#interface fastEthernet 0/1

2960-RG(config-if)#switchport mode access

2960-RG(config-if)#switchport access vlan 3


2960-RG(config)#

L'exemple suivant présente la configuration des ports 5 à 8 en mode access, puis configurés avec le

vlan 4 : 2960-RG(config)#interface range fastEthernet 0/5-8

2960-RG(config-if-range)#switchport mode access

2960-RG(config-if-range)#switchport access vlan 4

2960-RG(config-if-range)#end

2960-RG#

Il faut également configurer un relai DHCP (car le serveur DHCP et les postes/téléphones ne sont pas

dans les mêmes domaines de diffusion) dans chaque VLAN ne disposant pas de serveur DHCP.

Pour cela, il faut le configurer sur chaque VLAN avec un ip helper address suivi de l’adresse IP du

serveur DHCP (par ex. en dessous le serveur est 192.168.100.2) . Router#conf t

13


Router(config)#interface vlan 2

Router(config-if)#ip address 192.168.100.25 255.255.255.0

Router(config-if)#ip helper-address 192.168.100.2

Comme toutes les trames broadcast sont routées vers le port du serveur cela risque de le saturer

d’informations inutiles. On limitera donc certaines de ces informations avec ces commandes: Configuration (generale)#no ip forward-protocol udp 37

Configuration (generale)#no ip forward-protocol udp 42




Pour sauvegarder la configuration (pour que ça soit la même configuration au prochain démarrage) : Switch#copy run start

Pour voir la configuration des différents ports/différentes interfaces : Switch#show run

Sur la maquette, on va configure les différents VLAN comme suit : interface Vlan 30

description voIP

ip address 58.15.4.1 255.255.252.0

ip helper-address 58.15.4.2

!

interface Vlan 4

description PRODUCTION

ip address 55.15.4.1 255.255.252.0


!

interface Vlan 6

description LAD

ip address 55.15.226.1 255.255.252.0


Sécurisation du serveur DHCP

Pour plus de détail, voir mon article détaillé DHCP Sécurité

Pour sécuriser l’allocation dynamique des adresses IP à la CPAM, un référencement de tous les ports

Ethernet utilisé ou non va être nécessaire. Ainsi, tous les ports n’ayant aucun branchement seront

bloqués pour éviter que n’importe qui puisse s’allouer une adresse IP.

Certains équipement spécifiques comme les onduleurs ou les serveurs vont continuer à avoir une

adresse IP fixe pour des questions de sécurité, mais ces adresses vont être regroupées sur une

certaine plage d’adresse IP afin d’éviter de faire un trop grand nombre de plage d’exclusion sur le

serveur DHCP.

L’option DHCP snooping va être activé, ainsi sur les switch, seul les ports branchés à un

serveur DHCP seront marqués « trusted », afin que les requêtes DHCP ne passent pas par un

éventuel serveur DHCP pirate.

L’option DHCP snooping limit rate sera aussi activé, permettant de limiter le nombre de

requête DHCP par seconde, afin d’éviter à tout pirate de pouvoir saturer le réseau

rapidement. Cette option sera configurée à 20 requêtes max par seconde.

14


switchport port-security permettra de limiter le nombre d’adresse MAC branchées en même

temps sur le même port, pour éviter qu’un pirate puisse remplir entièrement la table de

routage (MAC flooding) et ainsi pouvoir écouter potentiellement tous les ports.

Au niveau des commandes, pour activer le DHCP snooping et déclarer les VLAN impactés : Configuration (generale)#ip dhcp snooping

Configuration (generale)#ip dhcp snooping vlan 4, 5, 6, 8, 9,30

Limitation du nombre de requêtes possible sur le port du serveur (ici 20 par secondes) : Configuration (interface)#ip dhcp snooping limit rate 20

Configuration (générale)#no ip dhcp snooping information option

Configuration sur les ports ayant la permission d’envoyer des configurations DHCP (ports des

serveurs DHCP et ports Trunk inter-commutateur) : Configuration (interface)#ip dhcp snooping trust

Configuration d’un nombre maximum d’adresse Mac par ports (ici 2) blocage du port si la règle est

transgressée, cette configuration permet aussi d’éviter des problèmes de boucles réseau, et

d’installation de smartphone en tant que modem (non testé pour les smartphones) : Configuration (interface)#switchport port-security

Configuration (interface)#switchport port-security maximum 2

Configuration (interface)#switchport port-security violation shtudown

Le port remonte automatiquement après 30 secondes (configurable) : Configuration (generale)#errdisable recovery cause psecure-violation

Configuration (generale)#errdisable recovery interval 30

Tests finals

N’ayant pas fait toutes les captures d’écran à temps, j’ai recommencé les tests avec des

configurations d’étendues et d’adresses IP différentes, voici donc la nouvelle configuration :

Configuration tests finals

Serveur DHCP :

• Etendue 55.15.4.0 : test vlan 4

Adresses IP de 55.15.4.2 à 55.15.4.100

• Etendue 55.15.5.0 : test vlan 6

Adresses IP de 55.15.5.2 à 55.15.5.100

15


Configuration des Vlan 4 et 6 sur le switch de niveau 3 :

On va créer les vlan 4 et 6, définir leur adresse (éventuellement un dhcp relay), puis définir à quelle

interface (port physique) on va attribuer chaque vlan.

Vlan 4 :

On crée le vlan 4 et on définit l’adresse IP du Vlan 4 (55.15.4.1). Switch>

Switch>enable

Switch#conf t


Switch(config)#int

Switch(config)#interface vlan 4

Switch(config-if)#ip address 55.15.4.1 255.255.255.0

Switch(config-if)#ex

Switch(config)#int

Switch(config)#ex

Switch#sh run

Vlan 6 :

On crée et on définit l’adresse IP du Vlan 6 (55.15.5.1) ainsi qu’un ip helper address 55.15.4.2 qui

permet de rediriger la trame vers le serveur DHCP (dhcp relay), car ce vlan n’est pas dans le même

sous réseau que le serveur DHCP. Switch#int

Switch#conf t


Switch(config)#int

Switch(config)#interface vlan 6

Switch(config-if)#ip address 55.15.5.1 255.255.255.0


Switch(config)#int vlan 6

Switch(config-if)#ip helper-address 55.15.4.2


Switch(config)#ex

16


Interfaces:

Pour mettre le port 2 du switch dans le vlan 6 (idem pour mettre dans vlan 4) Switch(config)#int

Switch(config)#interface fast

Switch(config)#interface fastEthernet 0/2

Switch(config-if)#switchport acces vlan 6


Un PC est connecté au port console pour pouvoir configurer le switch avec HyperTerminal (et pouvoir

créer les vlan, les allouer sur certains ports…), le serveur DHCP est connecté sur le port 1 Ethernet, et

le PC de test avec lequel on va essayer d’allouer une adresse IP dynamique est branché sur le port 2

Ethernet, comme on peut voir sur la photo ci-dessous ↓

1er test

On souhaite mettre le poste client dans le vlan 4, puis observer si le serveur DHCP lui alloue bien une

adresse dans la bonne plage d’adresse (normalement on devrait avoir la 1ère adresse disponible :

55.15.4.2).

On active le vlan 4 sur le port 2 : Switch(config)#interface fast



Dans le serveur DHCP, le vlan 4 est représenté par l’étendue « test vlan 4 » en 55.15.4.0, avec des

adresses IP disponibles de 55.15.4.2 à 55.15.4.100 :

Les options 3, 6 et 15 (nom de domaine DNS) sont activées

17


↑Le bail est configuré sur 8 jours, on peut voir qu’il expire le 04/07/2014 sachant que le test a été

effectué le 26/06/2014.

On branche alors le PC au switch (port 2 donc), dans un cmd on tape ipconfig /release pour

supprimer la configuration IPv4, puis ipconfig /renew (pour renouveler la configuration IP, pour voir

si le DHCP alloue bien une adresse IP).

← On voit alors que le

serveur DHCP alloue

bien une adresse dans la

plage d’adresse du vlan

4, c’est-à-dire 55.15.4.3

Au niveau du serveur DHCP, on voit également l’adresse 55.15.4.3 alloué, avec un bail de 8 jours.

On comprend alors pourquoi c’est seulement la 2nde adresse IP de la plage qui a été alloué, la

première adresse 55.15.4.2 a été donné juste au moment de ipconfig /release (suppression de la

configuration IP), ce qui a eu pour effet de la nommer BAD_ADDRESS (on remarque que le bail a été

raccourci à une heure), elle n’a donc pas été donné au poste puisque sa configuration IP était en train

de se réinitialiser…

18


↑ Au niveau de la capture Wireshark, on retrouve bien une trame REQUEST du poste client (en

55.15.4.3) vers le serveur DHCP (en 5.15.4.2), ainsi que la trame ACK du serveur vers le client pour

finaliser l’attribution d’adresse IP sur ce poste client.

19


2nd test

On souhaite mettre le poste client dans le vlan 6, puis observer si le serveur DHCP lui alloue bien une

adresse dans la bonne plage d’adresse (normalement on devrait avoir la 1ère adresse disponible :

55.15.5.2). On teste donc ici en plus, le fonctionnement du dhcp relay, comme le vlan 6 n’est pas

dans le même sous réseau que le serveur DHCP

On active le vlan 6 sur le port 2 : Switch(config)#interface fast



Le vlan 6 est représenté par l’étendue « test vlan 6 » en 55.15.5.0, avec des adresses IP disponibles

de 55.15.5.2 à 55.15.5.100, les mêmes options sont activées (3,6,15) :

↑C’est bien la première adresse IP 55.15.5.2 du pool d’adresse qui a été prise, et il s’agit bien du vlan

6.

20


↑ De même qu’avec le vlan 4, pour le vlan 6 un release puis renew montre qu’on reçoit bien une

adresse IP dans le pool défini pour le vlan correspondant. Ici on évite même l’erreur « anodine » du

BAD_ADDRESS

21


ANNEXES

Installer Windows serveur 2008

Faire démarrer le pc sur le cd d’installation

Si nécessaire, modifier paramètres bios ou utiliser les touches de raccourcis pour bien démarrer le

système sur le CD.

Assistant d’installation

Choisir français> installer maintenant puis sélectionner la version désiré :

Dans mon cas, à la CPAM, j’ai sélectionné Windows Server 2008 R2 STANDARD (installation

complète), cela a servi de serveur de test.

Il faut ensuite accepter le contrat de licence >suivant puis installation personnalisée :

22


Sélectionner la bonne partition du disque

Si l’on veut un PC avec un seul serveur, il convient de supprimer toutes les partitions (qui sont

inutiles), et de sélectionner le disque entier pour installer Windows server :

Sinon, pour plusieurs systèmes sur le même PC, sélectionner la bonne partition.

L’installation se déroule alors, il y en a pour 20 min environ …

23


Une fois l’installation terminée, on vous demandera de changer de mot de passe. Cliquez sur Ok :

Saisir ensuite 2 fois un mot de passe, attention, dans Windows Server 2008 R2, votre mot de passe

doit comporter certaines choses :

-Il doit faire au minimum 8 caractères.

-Il doit comporter au moins 3 types de caractères différents (majuscules, minuscules, symboles,

chiffres), le mot de passe type pour des tests (si on a pas besoin de sécurité) est « P@ssword »

Appuyez ensuite sur OK.

24


Configuration de base

Pour un server de test sans accès réseau, il faut quand même connecter un câble à un switch pour

que la configuration marche.

Cette page de configuration devrait s’afficher au démarrage :

Appuyez sur configurer le réseau, puis clic sur la carte réseau>propriétés :

Puis protocole IpV4 > Propriétés, puis dans IP fixe, choisissez votre propre adresse IP (de préférence

en .2), le masque en /24 est plus simple, enfin la passerelle par défaut (de préférence en .1), laisser le

server DNS vide pour l’instant :

25


Puis dans indiquer un nom d’ordinateur et un domaine, choisissez un nom de domaine comme

« labo.net » par exemple, laisser le reste par défaut

Ajouter des fonctionnalités à Windows serveur

Revenez dans ce menu, et cliquez sur ajouter des fonctionnalités :

26


Sélectionnez ce que vous souhaitez ajouter, comme du powershell par exemple :

27


Photos créer nouvelle étendue DHCP

↑ Le nom de l’étendue et si nécessaire sa description : Production, LAD, …

28


↑ L’adresse IP de début et de fin : l’adresse de début étant la première adresse allouée par le

serveur. (Ces adresses sont ensuite distribuées dans l’ordre).

Le masque de sous réseau

↑ Les plages d’exclusions : elles permettent d’exclure des groupes d’adresses IP, on peut en mettre

autant que nécessaire, les adresses inscrites en début et fin seront elles aussi exclues.

Le retard avec lequel le serveur répond, c’est utile que dans certains cas, par exemple avec un

serveur DHCP de secours où l’on désire retarder sa réponse par rapport au principal.

29


↑ La durée du bail (1 jour pour du wifi et 8 jour pour de l’Ethernet)

↑ Cliquer sur oui, je veux configurer ces options maintenant

30


↑ Le routeur du LAN

↑ Les adresses IP des serveurs DNS du LAN

31


↑ Le serveur WINS (que nous ne configurerons pas)

↑ Activation de l’étendue

32


33


Configuration manuelle d’une option sur un serveur DHCP (exemple

de l’option 43)

Pour que le serveur DHCP génère bien des adresses IP pour le vlan 30 de téléphonie et que les

téléphones Alcatel réussissent à interpréter cette configuration, l’activation de l’option 43 sur le

serveur DHCP est obligatoire (d’après le référentiel de la CPAM). Voici donc la démarche détaillé en

photo pour activer et configurer cette option :

34


35


↑ La chaine alcatel.a4400.0 correspond au code permettant aux téléphones Alcatel de la CPAM de

fonctionner avec un serveur DHCP.

36


37


L’option 43 est ainsi bien activée sur le serveur DHCP.

38


Configuration switch via HyperTerminal

Exemple d’un switch sisco 3560 (de niveau 3)

Configuration du terminal

On doit configurer le routeur Cisco pour faire correspondre chaque port du routeur à un certain

VLAN.

Il faut d’abord connecter le routeur Cisco en port série avec un PC, puis lancer HyperTerminal.

La configuration du terminal doit être la suivante:

Commandes de bases

Voici ce qui doit s’afficher : Switch>

Pour avoir les droits « root », taper enable : Switch>enable

Switch#

Pour passer en mode configuration : Switch#configure terminal


Switch(config)#

Mode configuration d’une interface (ici ‘0’signifie la 1ère « ligne » de ports (physiques), et ‘1’ le 1er

port de cette ligne) : Switch(config)#interface fastEthernet 0/1

Switch(config-if)#

Pour créer un VLAN (ex. vlan 2) : 2960-RG(config)#vlan 2

2960-RG(config-vlan)#exit

Pour définir une adresse IP pour un VLAN et une passerelle par défaut :

39


2960-RG(config)#interface vlan 2

2960-RG(config-if)#ip address 192.168.100.25 255.255.255.0


2960-RG(config)#ip default-gateway 192.168.100.1

Pour vérifier la configuration du vlan : 2960-RG#sh run int vlan 2

Building configuration...

Current configuration : 64 bytes

!

interface Vlan2

ip address 192.168.100.25 255.255.255.0

end

Pour supprimer une adresse IP et une passerelle par défaut : 2960-RG(config)#interface vlan 2

2960-RG(config-if)#no ip address


2960-RG(config)#no ip default-gateway

Pour affecter un port à un VLAN (mode access si qu’un seul vlan sur ce port, mode trunk si plusieurs): 2960-RG(config)#interface fastEthernet 0/1

2960-RG(config-if)#switchport mode access

2960-RG(config-if)#switchport access vlan 3


2960-RG(config)#

L'exemple suivant présente la configuration des ports 5 à 8 en mode access, puis configurés avec le

vlan 4 : 2960-RG(config)#interface range fastEthernet 0/5-8

2960-RG(config-if-range)#switchport mode access

2960-RG(config-if-range)#switchport access vlan 4

2960-RG(config-if-range)#end

2960-RG#

Il faut également configurer un relai DHCP (car le serveur DHCP et les postes/téléphones ne sont pas

dans les mêmes domaines de diffusion) dans chaque VLAN ne disposant pas de serveur DHCP.

Pour cela, il faut le configurer sur chaque VLAN avec un ip helper address suivi de l’adresse IP du

serveur DHCP (par ex. en dessous le serveur est 192.168.100.2) . Router#conf t

Router(config)#interface vlan 2

Router(config-if)#ip address 192.168.100.25 255.255.255.0

Router(config-if)#ip helper-address 192.168.100.2

Comme toutes les trames broadcast sont routées vers le port du serveur cela risque de le saturer

d’informations inutiles. On limitera donc certaines de ces informations avec ces commandes: Configuration (generale)#no ip forward-protocol udp 37





Pour sauvegarder la configuration (pour que ça soit la même configuration au prochain démarrage) : Switch#copy run start

Pour voir la configuration des différents ports/différentes interfaces : Switch#show run

40


Sur la maquette, on va configure les différents VLAN comme suit : interface Vlan 30

description voIP

ip address 58.15.4.1 255.255.252.0


!

interface Vlan 4

description PRODUCTION

ip address 55.15.4.1 255.255.252.0


!

interface Vlan 6

description LAD

ip address 55.15.226.1 255.255.252.0


41


DHCP Sécurité

Le DHCP Spoofing

Il s'agit d'usurpation DHCP. Le pirate informatique va tout simplement, au cours de la récupération

d'une adresse IP, vous donner de mauvaises informations. Ceci va lui permettre, par exemple, de

rediriger tout votre trafic vers sa machine (afin de récupérer des informations sur vous comme vos

coordonnées bancaires ou autre) ou encore de rediriger le trafic de centaines de machines sur une

seule et même cible (dans le but de rendre non-fonctionnelle cette dernière).

Résumé sur le fonctionnement du DHCP

Il s'agit d'un protocole réseau qui permet d'assigner une adresse IP, un masque de sous-réseau ou

encore une passerelle par défaut à des équipements informatiques (ordinateurs, imprimantes,

télécopieurs...).

Voici le détail du processus de récupération d'une adresse IP via un service DHCP :

Votre ordinateur envoi un DHCP Discover. Comme ce dernier n'a pas encore d'adresse IP, il envoie

une trame de type broadcast (= diffusion) avec comme adresse MAC de destination FF:FF:FF:FF:FF:FF

afin d'obtenir la liste des serveurs DHCP disponibles

Les serveurs DHCP présent sur le réseau répondent avec un DHCP Offer, offrant ainsi une

configuration IP à votre ordinateur.

Votre ordinateur précisera à tous les serveurs DHCP celui qu'il aura choisi et enverra un DHCP

Request.

Le serveur DHCP choisi confirme à votre ordinateur que sa requête est bien prise en compte via un

DHCP Ack.

Ci-dessous, exemple de l'ajout d'un serveur DHCP Pirate. Lors du DHCP Discover de l’ordinateur

celui-ci répond également ce qui le rend éligible en tant que serveur, il pourrait donc fournir des

données faussées à la machine hôte.

42


Le Principe du DHCP Snooping

Afin d'empêcher le DHCP Spoofing (= usurpation d’adresse IP), l'idée est de préciser où trouver les

bons serveurs DHCP. Pour cela, nous allons travailler sur le switch et préciser sur quelles interfaces

trouver les serveurs DHCP authentiques. Sur l'exemple vu un peu plus haut on peut voir que le

serveur DHCP est raccordé au port fa 0/24 du switch. L'idée est de spécifier que cette interface est un

port dit "trusted" (= port de confiance). Ainsi nous aurons une listes des ports “trusted” et

“untrusted”, les ports "trusted" pourront emmètre des requêtes DHCP Offer et DHCP Ack alors que

l'équipement du pirate informatique ne sera pas sur une interface de confiance (= unstrusted). Ses

requêtes seront alors ignorées.

Ce procédé est appelé DHCP Snooping (= surveillance DHCP).

Mise en place sur des équipements CISCO

Le DHCP Snooping peut fonctionner de manière globale sur l'ensemble du switch (et donc sur

l'ensemble de ses ports) mais aussi dans un VLAN particulier.

Voici la marche à suivre pour la mise en place sur des équipements de type CISCO :

Switch(config)# ip dhcp snooping

Switch(config)# ip dhcp snooping vlan 5 12

Switch(config)# ip dhcp snooping information option

Switch(config)# interface fastethernet0/24

Switch(config-if)# ip dhcp snooping trust

Switch(config-if)# ip dhcp snooping limit rate 50

1. Mise en place du DHCP Snooping sur le switch (de façon globale)

2. Mise en place du DHCP Snooping sur un ou plusieurs VLAN en particulier (par exemple ici le vlan 5

et le vlan 12)

3. Activation de l'option 82 du protocole DHCP (car le DHCP snooping en a besoin)

43


4. On sélectionne l'interface fa 0/24 pour la configurer

5. On déclare le port en tant qu'interface de confiance (en mode « trust »)

6. Permet de définir le maximum de requêtes que l'interface traitera (par seconde) (ici, 50 requête

par seconde maximum)

Quelques conseils en sécurité

Afin de garantir la sécurité sur votre réseau et éviter ce genre d'attaques voici quelques conseils :

- Restreindre le nombre d'adresses MAC autorisées par interface sur vos switch

- Désactiver les interfaces non utilisées sur vos équipements (afin d'éviter que n'importe qui

puisse se raccorder sur votre réseau)

- Assigner des adresses IP fixes sur vos serveurs

- Si vous êtes sur un réseau à petite échelle, mettre l'ensemble du parc en IP fixe

- Différencier les services DHCP (un dédié pour les clients Wifi, un pour le réseau classique...)

En pratique à la CPAM

Pour sécuriser l’allocation dynamique des adresses IP à la CPAM, un référencement de tous les ports

Ethernet utilisé ou non va être nécessaire. Ainsi, tous les ports n’ayant aucun branchement seront

bloqués pour éviter que n’importe qui puisse s’allouer une adresse IP.

Certains équipement spécifiques comme les onduleurs ou les serveurs vont continuer à avoir une

adresse IP fixe pour des questions de sécurité, mais ces adresses vont être regroupées sur une

certaine plage d’adresse IP afin d’éviter de faire un trop grand nombre de plage d’exclusion sur le

serveur DHCP.

L’option DHCP snooping va être activé, ainsi sur les switch, seul les ports branchés à un

serveur DHCP seront marqués « trusted », afin que les requêtes DHCP ne passent pas par un

éventuel serveur DHCP pirate.

L’option DHCP snooping limit rate sera aussi activé, permettant de limiter le nombre de

requête DHCP par seconde, afin d’éviter à tout pirate de pouvoir saturer le réseau

rapidement. Cette option sera configurée à 20 requêtes max par seconde.

switchport port-security permettra de limiter le nombre d’adresse MAC branchées en même

temps sur le même port, pour éviter qu’un pirate puisse remplir entièrement la table de

routage (MAC flooding) et ainsi pouvoir écouter potentiellement tous les ports.

Au niveau des commandes

Les commandes suivantes sont pour un switch cisco 3560 via HyperTerminal :

Pour activer le DHCP snooping et déclarer les VLAN impactés : Configuration (generale)#ip dhcp snooping

Configuration (generale)#ip dhcp snooping vlan 4, 5, 6, 8, 9,30

Limitation du nombre de requêtes possible sur le port du serveur (ici 20 par secondes) : Configuration (interface)#ip dhcp snooping limit rate 20

44


Configuration (générale)#no ip dhcp snooping information option

Configuration sur les ports ayant la permission d’envoyer des configurations DHCP (ports des

serveurs DHCP et ports Trunk inter-commutateur) : Configuration (interface)#ip dhcp snooping trust

Configuration d’un nombre maximum d’adresse Mac par ports (ici 2) blocage du port si la règle est

transgressée, cette configuration permet aussi d’éviter des problèmes de boucles réseau, et

d’installation de smartphone en tant que modem (non testé pour les smartphones) : Configuration (interface)#switchport port-security

Configuration (interface)#switchport port-security maximum 2

Configuration (interface)#switchport port-security violation shtudown

Le port remonte automatiquement après 30 secondes (configurable) : Configuration (generale)#errdisable recovery cause psecure-violation

Configuration (generale)#errdisable recovery interval 30

Test sur maquette des éléments de sécurité

On va tester les différents éléments de sécurité sur la maquette du serveur DHCP, cette dernière est

composée de :

PC sous Windows 7

PC portable de test sous Windows XP

2 PC sous Windows server 2008 R2

switch cisco 3560 catalyst de niveau 3

téléphone Alcatel a4400

DHCP snooping

On met en marche un serveur DHCP (correctement configuré) qu’on branche sur le port 1 du switch

cisco, puis on définit ce port en mode trusted (tous les autres ports restent en mode untrusted).

On branche un PC (en mode IP dynamique) sur un autre port : le PC se voit attribuer une adresse IP.

En revanche, après avoir débranché le PC et le serveur, puis en branchant le serveur sur un autre

port (untrusted), puis en rebranchant le PC, dans un cmd on tape ipconfig /release (supprimer

configuration d’adresse IP), puis ipconfig /renew (renouveler configuration DHCP) : le PC n’a alors

aucune adresse IP fournie par le serveur DHCP, le port sur le switch n’étant pas de confiance

(untrusted).

switchport port-security

On va limiter chaque port à 2 adresses MAC. Pour pouvoir mettre plusieurs adresses MAC sur un seul

port sans passer par un logiciel de pirate, on va connecter un 2nd switch sur un port du switch de

base, et connecter 3 appareils (un téléphone et 2 PC).

Le port va alors se bloquer (plus de lumière sur le switch), puis se rallumera 1/2sec toutes les 30

secondes, cela correspondant au errdisable recovery interval.

On remarque aussi que si l’on connecte 2 appareils, puis qu’on en débranche un et que l’on connecte

un autre appareil, le port ne se bloquera pas (on a toujours que 2 adresses MAC branchés), ce qui

signifie qu’en branchant un appareil l’option détecte instantanément si un appareil a été débranché

et met à jour sa table MAC.

45


Attention : Ne pas utiliser sur des postes avec des machines virtuelles en fonctionnements (qui

demandent plusieurs adresses MAC), cela risque de bloquer la connexion du poste.

46


Listes des compétences liés à ce projet

A1.1.1 Analyse du cahier des charges d'un service à produire C1.1.1.1 Recenser et caractériser les contextes d'utilisation, les processus et les acteurs sur lesquels le service à produire aura un impact C1.1.1.2 Identifier les fonctionnalités attendues du service à produire C1.1.1.3 Préparer sa participation à une réunion C1.1.1.4 Rédiger un compte-rendu d'entretien, de réunion Votre reformulation de cette activité :

-

Recenser et caractériser les contextes d'utilisation, les processus et

les acteurs sur lesquels le service à produire aura un impact

A1.1.2 Étude de l'impact de l'intégration d'un service sur le système informatique C1.1.2.1 Analyser les interactions entre services C1.1.2.2 Recenser les composants de l'architecture technique sur lesquels le service à produire aura un impact Votre reformulation de cette activité :

- Recenser les composants de l'architecture technique sur lesquels le se

A1.1.3 Étude des exigences liées à la qualité attendue d'un service C1.1.3.1 Recenser et caractériser les exigences liées à la qualité attendue du service à produire C1.1.3.2 Recenser et caractériser les exigences de sécurité pour le service à produire Votre reformulation de cette activité :

- Recenser et caractériser les exigences liées à la qualité attendue du se

A1.2.1 Élaboration et présentation d'un dossier de choix de solution technique C1.2.1.1 Recenser et caractériser des solutions répondant au cahier des charges (adaptation d'une solution existante ou réalisation d'une nouvelle) C1.2.1.2 Estimer le coût d'une solution C1.2.1.3 Rédiger un dossier de choix et un argumentaire technique Votre reformulation de cette activité :

- solutions répondant au cahier des charges

A1.2.2 Rédaction des spécifications techniques de la solution retenue (adaptation d'une solution existante ou réalisation d'une nouvelle solution) C1.2.2.1 Recenser les composants nécessaires à la réalisation de la solution retenue C1.2.2.2 Décrire l'implantation des différents composants de la solution et les échanges entre eux C1.2.2.3 Rédiger les spécifications fonctionnelles et techniques de la solution retenue dans le formalisme exigé par l'organisation Votre reformulation de cette activité :

A1.2.4 Détermination des tests nécessaires à la validation d'un service C1.2.4.1 Recenser les tests d'acceptation nécessaires à la validation du service et les résultats attendus C1.2.4.2 Préparer les jeux d'essai et les procédures pour la réalisation des tests Votre reformulation de cette activité :

47


A1.3.1 Test d'intégration et d'acceptation d'un service C1.3.1.1 Mettre en place l'environnement de test du service C1.3.1.2 Tester le service C1.3.1.3 Rédiger le rapport de test Votre reformulation de cette activité :

A1.4.1 Participation à un projet C1.4.1.1 Établir son planning personnel en fonction des exigences et du déroulement du projet C1.4.1.2 Rendre compte de son activité Votre reformulation de cette activité :

A1.4.2 Évaluation des indicateurs de suivi d'un projet et justification des écarts C1.4.2.1 Suivre l'exécution du projet C1.4.2.2 Analyser les écarts entre temps prévu et temps consommé C1.4.2.3 Contribuer à l'évaluation du projet Votre reformulation de cette activité :

A1.4.3 Gestion des ressources C1.4.3.1 Recenser les ressources humaines, matérielles, logicielles et budgétaires nécessaires à l'exécution du projet et de ses tâches personnelles C1.4.3.2 Adapter son planning personnel en fonction des ressources disponibles Votre reformulation de cette activité :

A3.1.1 Proposition d'une solution d'infrastructure C3.1.1.1 Lister les composants matériels et logiciels nécessaires à la prise en charge des processus, des flux d'information et de leur rôle C3.1.1.2 Caractériser les éléments d'interconnexion, les services, les serveurs et les équipements terminaux nécessaires C3.1.1.3 Caractériser les éléments permettant d'assurer la qualité et la sécurité des services C3.1.1.4 Recenser les modifications et/ou les acquisitions nécessaires à la mise en place d'une solution d'infrastructure compatible avec le budget et le planning prévisionnels C3.1.1.5 Caractériser les solutions d'interconnexion utilisées entre un réseau et d'autres réseaux internes ou externes à l'organisation Votre reformulation de cette activité :

A3.1.2 Maquettage et prototypage d'une solution d'infrastructure C3.1.2.1 Concevoir une maquette de la solution C3.1.2.2 Construire un prototype de la solution

48


C3.1.2.3 Préparer l'intégration d'un composant d'infrastructure Votre reformulation de cette activité :

A3.2.1 Installation et configuration d'éléments d'infrastructure C3.2.1.1 Installer et configurer un élément d'interconnexion, un service, un serveur, un équipement terminal utilisateur C3.2.1.2 Installer et configurer un élément d'infrastructure permettant d'assurer la continuité de service, un système de régulation des éléments d'infrastructure, un outil de métrologie, un dispositif d'alerte C3.2.1.3 Installer et configurer des éléments de sécurité permettant d'assurer la protection du système informatique Votre reformulation de cette activité :

A3.2.2 Remplacement ou mise à jour d'éléments défectueux ou obsolètes C3.2.2.1 Élaborer une procédure de remplacement ou de migration respectant la continuité d'un service C3.2.2.2 Mettre en œuvre une procédure de remplacement ou de migration Votre reformulation de cette activité :

A4.1.5 Prototypage de composants logiciels C4.1.5.1 Choisir les éléments de la solution à prototyper C4.1.5.2 Développer un prototype C4.1.5.3 Valider un prototype Votre reformulation de cette activité :

A4.1.8 Réalisation des tests nécessaires à la validation d'éléments adaptés ou développés C4.1.8.1 Élaborer et réaliser des tests unitaires C4.1.8.2 Mettre en évidence et corriger les écarts Votre reformulation de cette activité :

A4.2.1 Analyse et correction d'un dysfonctionnement, d'un problème de qualité de service ou de sécurité C4.2.1.1 Élaborer un jeu d'essai permettant de reproduire le dysfonctionnement C4.2.1.2 Repérer les composants à l'origine du dysfonctionnement C4.2.1.3 Concevoir les mises à jour à effectuer C4.2.1.4 Réaliser les mises à jour Votre reformulation de cette activité :

A4.2.3 Réalisation des tests nécessaires à la mise en production d'éléments mis à jour C4.2.3.1 Élaborer et réaliser des tests d'intégration et de non régression de la solution mise à jour C4.2.3.2 Concevoir une procédure de migration et l'appliquer dans le respect de la continuité de service Votre reformulation de cette activité :

49


A5.2.2 Veille technologique C5.2.2.1 Définir une stratégie de recherche d'informations C5.2.2.2 Tenir à jour une liste de sources d'information C5.2.2.3 Évaluer la qualité d'une source d'information en fonction d'un besoin C5.2.2.4 Synthétiser et diffuser les résultats d'une veille Votre reformulation de cette activité :

A5.2.4 Étude d‘une technologie, d'un composant, d'un outil ou d'une méthode C5.2.4.1 Se documenter à propos d‘une technologie, d'un composant, d'un outil ou d'une méthode C5.2.4.2 Identifier le potentiel et les limites d'une technologie, d'un composant, d'un outil ou d'une méthode par rapport à un service à produire

Documents

Mise en place du H P a la PAM du VAR · Configuration du routeur Cisco (switch) ... Arguments pour la mise en place d’un ... Non géré par le service informatique de la CPAM du