Projet Evolution Evolution.pdfPFSENSE (basé sur lOS FreeBSD) : Celui-ci permet entre autres la gestion du DHCP, DNS, des VLAN et du NAT permettant de connecter plusieurs réseaux

PROJET EVOLUTION

CLEMENT GAGNEPAIN – KEVIN MARQUAND -QUENTIN ARRACHART. GMSI B5 - CESI DIJON

LICENCE CREATIVE COMMONS

Table des matières

Contexte ....................................................................................................... 2

Cahier des Charges ........................................................................................ 2

Etude détaillé de l’existant ............................................................................ 2

Gantt et répartition des taches ...................................................................... 3

Choix des FAI (Fournisseur d’Accès Internet) .................................................. 6

Routeur et Pare-Feu ...................................................................................... 7

Topologie réseau, adressage IP et plan d’adressage ....................................... 8

Configuration Commutateurs et Routeurs .....................................................11

Besoin en Hyperviseur et comparatif.............................................................13

Présentation de l’Hyperviseur choisi – PROXMOX .........................................15

Stockage redondant CEPH ............................................................................17

Besoin en serveur Virtuels.............................................................................18

Choix du matériel .........................................................................................19

Active Directory et Gestion des Utilisateurs ...................................................20

DNS ..............................................................................................................21

DHCP ............................................................................................................21

Système de supervision.................................................................................22

Système de sauvegarde des données ............................................................24

Système de protection et antivirus ................................................................25

Choix des OS Client .......................................................................................27

Partage de bureau et bureau à distance .......................................................28

Solution de Tchat Vidéo ................................................................................28

Gestion de l’impression ................................................................................29

Wifi et Gestion des invités et visiteurs ...........................................................29

Politique de gestion des mots de passe .........................................................30

Suivi du SAV des serveurs, des postes, FAI et du matériel ..............................32

Synthèse sur les coûts du projet ....................................................................33


Contexte

CYC Auto, entreprise de vente et de personnalisation de Véhicule.

L’infrastructure déjà en place est vieillissante, il faut donc là remplacer. Le fait que le Parc soit non homogène et sans serveur a diverse conséquence :

• Problèmes d’administration et de sécurité.

• La sécurité et l’intégrité des données n’est pas assurée.

• Nous ne disposons pas de plan de reprise en cas d’incident inexistant, la pérennité de l’entreprise n’est donc pas garantie.

Cahier des Charges

La maquette physique pour présentation à la direction simulant :

- Routeur PFSENSE et Switch Cisco simulant le processus de routage interne.

- 3 Serveurs de virtualisation PROXMOX en Cluster, simulant les trois futurs serveurs, virtualisant la totalité des serveurs prévus.

Les points suivants sont à respecter :

- Faire cohabiter un serveur DHCP Windows et Linux

- Mettre en place un serveur DNS Windows et Linux en failover

- Mettre en place la sauvegarde des serveurs

- Installer une solution de supervision

- Installer un serveur de fichier, un espace de stockage personnel pour chaque collaborateur

- Mettre à disposition un dossier commun avec archivage tous les jours à 19h et suppression des dossiers d’archivage de plus de 3 semaines.

- Gestion d’une solution de serveur d’impression (serveur web, serveur antivirus)

- Budgétiser et présenter les avantages de chaque choix

Etude détaillé de l’existant

Le parc informatique de CYC Automobile est actuellement composé de manière hétérogène, repartis de la façon suivante :

• 70 postes fixes Linux (Service OLD et CUSTOM)

• 10 postes fixes Windows 7 (Service Administratif)

• 6 postes portables Windows 10 (Direction et Responsables de Service)

• 1 tablette Apple iPad

Il n’existe aucun système de gestion des postes, aucun système de gestion de fichier.

La Livebox Orange ADSL, déjà en place, montre ses limites, les débits sont limités.


Plan des locaux

Gantt et répartition des taches

À la suite de l’expansion de l’entreprise et au nombre de salarié en constante augmentation, le besoin d’un système d’information sécurisé et architecturé en fonction des besoins de l’entreprise se fait ressentir.

Le service informatique a donc en charge la mise en place d’un réseau informatique complet avec toutes les solutions pour réaliser au mieux les missions des différents services. Cette mise en place devra être transparente pour les utilisateurs et devra provoquer une interruption de service des plus courte.

La particularité du projet sera de prendre en compte le parc spécifique et la bonne ‘entente’ des différentes machines Windows, Linux et Apple.

Le projet Evolution aura pour but de faciliter l’utilisation des outils informatique au sein de l’entreprise, et de s’ouvrir à de future méthode de travail, il se déroulera de la manière suivante :


Diagramme de Gantt prévisionnel :


Diagramme de Gantt réel :


Choix des FAI (Fournisseur d’Accès Internet)

L’offre Orange ADSL montre actuellement ses limites, les débits sont faibles par rapport au nombre de collaborateurs, aucune ligne de secours n’est en place.

La mise en place de notre solution nécessitera des débits plus importants, notamment pour le système de sauvegarde et de partage de fichier.

1 - Il a été choisi une souscription à une offre Fibre FTTH Orange avec des débits descendants de 1Gb/s et montant de 200Mb/s.

Orange est actuellement leader du marché en fibre optique et offre un support de qualité avec un temps de rétablissement en cas de panne de 4h maximum.

2 - Pour notre deuxième connexion, notre choix s’est porté sur une offre fibre optique OVH FTTH, avec un débit 1Gb/s descendants et 250Mb/s montant.

SFR, Bouygues Telecom ainsi que les autres opérateurs ne proposaient pas d’offres répondant à nos critères de sélection :

• Tarifs moins intéressants

• Performances de connexion moindre

Les Fibres internet arriveront dans la salle serveur de la baie N°1, les deux box opérateur seront relié à nos deux routeurs PFSENSE en VRRP. Le changement d’offre, de l’actuel ADSL à la Fibre sera réalisé par un technicien de l’opérateur Orange. Une coupure de service d’une à deux heures sera observé.


Routeur et Pare-Feu

Notre choix s’est orienté sur un Routeur / Pare-Feu NETGATE fournissant une Appliance PFSENSE (basé sur l’OS FreeBSD) :

Celui-ci permet entre autres la gestion du DHCP, DNS, des VLAN et du NAT permettant de connecter plusieurs réseaux informatiques. Il utilise notamment un pare-feu de type ‘Packet Filter’, et permet un routage complexe.

PFSENSE propose une interface basique en ligne de commande ainsi qu’une Interface WEB très complète. Sa force réside également dans son support en ligne ainsi que ses modules additionnels (monitoring précis, gestion de VPN simplifiés...).

Ce système nous permettra la configuration d’un failover entre nos deux connexions Fibre, Il sera également évolutif pour les prochaines années de l’entreprise, une agrégation de liens fibré sera envisageable également pour de meilleures performances.


Une option PFSENSE nous permet de visualiser l’état S.M.A.R.T. des disques. Celui-ci devra être réalisé chaque semaine en prévention d’éventuelles pannes.

Topologie réseau, adressage IP et plan d’adressage

Nous avons opté pour une topologie mixte, situé entre une topologie en étoile et en maillage.

Les postes utilisateurs seront reliés selon un réseau en étoile, facile à mettre en œuvre et à gérer. Les baies de serveur quant à elles seront reliée selon une topologie en maillage qui permet une meilleure stabilité du réseau en cas de panne d’un des équipements.

Le cœur de réseau sera composé de plusieurs Switch, deux switch “stacké” par baie de serveurs. Chaque lien entre les baies sera doublé (un lien fibre et un lien cuivre).

Les serveur principaux, Contrôleur de Domaine Active Directory, DNS, DHCP auront leurs double en attente sur le réseau pour prendre le relai en cas de panne.

Le routeur principal qui gèrera les baux DHCP, pourra également être remplacé en quelques minutes en cas de panne grâce au “spare” qui sera stocké dans les locaux.

Pour le plan d’adressage IP, nous avons opté pour un ensemble de sous-réseaux VLAN, chacun d’eux aura son utilité en fonction des besoins. Chaque service aura son propre réseau, ce qui aura pour but d’assouplir et de simplifier la gestion des accès aux ressources. Le but sera également de sécuriser l’accès aux données sensibles présentes sur un sous-réseau (service Direction, documents confidentiel ou critique).


Synoptique du réseau


Plan d’adressage IP et VLAN :

Plan des baies :

Baie Bâtiment principal


Configuration Commutateurs et Routeurs

Simulation CISCO Packet Tracer :

Protocole VTP : dela

Le protocole VTP (VLAN Trunking Protocol) est un Protocol fonctionnant au niveau de la couche 2 du modèles OSI. Il permet de simplifier la gestion des Vlan sur les différents commutateurs en répliquant la configuration initiale sur le switch ‘server’.

Baie Bâtiment Nord et Sud


Nous avons fait le choix de définir deux stacks de Switchs (baie principale et n°2) en mode serveur VTP et le dernier en mode Client VTP. Cela nous permettra en cas de problème sur un des commutateurs serveur VTP de pouvoir effectuer les configurations Vlan sur le deuxième commutateur Serveur VTP.

Protocole STP :

Le Protocole STP (Spanning Tree Protocol) créé en 1985 est un protocole réseau de la couche 2 permettant de mettre en place des redondances entre les différents commutateurs. Et ce sans faire de bouclage dans le réseau, ce qui permettra d’éviter que des tempêtes de broadcaste vienne perturber le fonctionnement du LAN. Pour éviter les bouclages le protocole STP va fermer certain port et définir un port en standby afin de pouvoir réactiver un lien si le lien principal à un défaut.

Protocole PVRST+ :

Le protocole PVRST (Per-VLAN Rapid Spanning Tree) créé en 2001 est un protocole Cisco qui est l’évolution du protocole STP. Comme son nom l’indique, il est beaucoup plus rapide que le STP. Lors de l’ajout ou de la perte d’un lien Le protocole STP peut mettre jusqu’as 30 à 50 secondes pour s’adapter à la nouvelle topologie. Avec le protocole PVRST+ cette durée est réduite à l’envoi de trois trames hello sans réponse soit environ 6 secondes. De plus le protocole PVRST+ est capable d’envoyer et de recevoir des trames BPDU (Bridge Protocol Data Unit) qui sont échangées toutes les deux secondes. Cela permet au commutateur de garder une trace des changements sur le réseau afin d’activer ou de désactiver les ports requis.

Spanning Tree Portfast :

L’activation du Portfast va permettre de limiter la consommation de ressource réseau du protocole PVRST+ au niveau des postes de travail. Le protocole Portfast sera activé sur les ports en access afin de s’affranchir des trames liées au Spanning Tree sur le réseau coté “ user”. De plus cela permettra de s’affranchir des étapes “listening” et “ learning” lors de la connexion d’un nouveau poste client et donc de le connecter au réseau plus rapidement.

Spanning Tree BPDU Guard :

Ce protocole a pour but de sécuriser notre réseau contre les attaques de type Spanning Tree. Le protocole Spanning Tree comme vu précédemment nous permet d’avoir une redondance de nos liens cependant. Le protocole Spanning Tree va ouvrir une brèche de sécurité qui permettra en connectant un switch sur nos switch access, de recevoir des trames BPDU. En modifiant le Bridge ID de ce nouveau switch, il deviendra root bridge et l’ensemble des données du réseaux transiterons par ce switch. Le Protocole BPDU Guard permettra donc de bloquer le port dès que trame BPDU sera détecté et permettra donc de prévenir contre une éventuelle tentative d’attaque.


Liaison EtherChannel :

L’EtherChannel est une technologie d’agrégation de lien qui permet d’assembler plusieurs liens physiques en un seul et même lien logique. Le but est d’augmenter la bande passante et la tolérance aux pannes entre les différents commutateurs, les routeurs, les serveurs…

Dans notre cas nous mettrons en place des liens EtherChannel entre les différents commutateurs et les routeurs afin de ne pas créer de goulot d’étranglement sur notre réseau. Les commutateurs seront interconnectés via deux fibres en EtherChannel et les router via 4 liens Ethernet en EtherChannel

De plus L’EtherChannel sera couplé au protocole PVRST+ afin d’optimiser le trafic en répartissant la charge réseaux en fonction des différents VLAN

HSRP/VRRP :

Le protocole propriétaire Cisco HSRP (Hot Standby Router Protocol), a pour but de mettre en place une redondance au niveau de nos routeurs en créant un router virtuel qui servira de passerelle par défaut à l'ensemble du parc.

De plus ce protocole nous permet de définir des priorités pour nos différents Vlan afin de diviser les flux de données sur les deux routeurs.

Le protocole VRRP (Virtual Router Redundancy Protocol) à un fonctionnement similaire au HSRP à la différence que le router virtuel créé n’auras pas une nouvelle adresse IP mais l’adresse IP d’un des deux routeurs physiques.

INFORMATIONS : Nous présentons les deux protocoles HSRP et VRRP :

• HSRP sera utilisé sur notre maquette Packet Tracer, c’est un protocole propriétaire Cisco.

• VRRP sera utilisé sur nos router PFsense, il est l’équivalent de HSRP et utilise les mêmes méthodes (Active/Standby).

Besoin en Hyperviseur et comparatif

Les serveurs de type Hyperviseur de nouvelle génération disposent d’importante ressources (CPU, RAM), chaque serveur nous permet donc d’accueillir plusieurs machines virtualisées. Cette solution, qui devient omniprésente en entreprise, présente plusieurs avantages :

• Économie matérielle : trois serveurs permettront d’exécuter l’ensemble de nos machines et pourra en accueillir de nouvelles à l’avenir.

• Économie d’énergie : moins de serveur nécessitent moins d’énergie pour fonctionner

• Optimisation des ressources : utilisation matérielle optimisé, l’hyperviseur permet une allocation de ressources CPU, RAM et espace disque simple et rapide.

• Fiabilité accrue : Un stockage redondant de type CEPH permettra une redondance entre les stockages. Si un serveur physique ne fonctionne plus, les serveurs membre du Cluster pour redémarrer les VM impactées


PROXMOX Virtual Environnent :

Nous nous sommes orientés directement vers la solution PVE de par sa gratuité, un comparatif a néanmoins été réalisé avec la solution HYPER-V, et VMWare, solutions largement implantées dans le monde de l’informatique en entreprise.

La diversité de notre parc nous oriente vers cette solution multi plateforme.

Comparaison des fonctionnalités :

HYPER-V - PROXMOX

Notes basées sur les évaluations utilisateur (source trust radius)

Points forts de la solution PROXMOX Virtual Environment :

✓ Interface claire, Management et Supervision rapide

✓ Mise en place Machine virtuelle et Container multi OS (Linux, Windows, BSD...)

✓ Migration et déplacement à chaud des machines

✓ Stockage répliqué type ZFS, RAID

✓ Stockage distribué CEPH hautement tolérant aux pannes

✓ Outil de réplication et backup intégré

✓ Création de Cluster, Superviseur Haute Disponibilité

Hyper-V (Microsoft) : Solution gratuite « Hyper-V Core » sans interface graphique.

Avantages :

✓ Développé par Microsoft donc idéal pour un parc informatique déjà équipé de Windows, pas de problème de compactibilité.

✓ Console d’administration disponible sur un poste Windows 10 Pro (uniquement)

Inconvénients majeurs relevés :


Domaine Windows recommandé, impossibilité de faire un cluster de serveur avec un domaine autre que Windows

Interface moins complète que celle de PROXMOX

ESXi (VMWare) : Solution gratuite

Avantages :

✓ Console d'administration V-Sphère complète

Inconvénients majeurs relevés :

Version gratuite avec peu d'options

Solution couteuse si passage à la version complète

Présentation de l’Hyperviseur choisi – PROXMOX

PVE, Proxmox Virtual Environment est un hyperviseur libre, sous licence AGP, permettant la gestion de machines virtuelles (KVM) et conteneurs Linux (LXC) sur une seule machine physique. Les ressources (CPU, mémoire, disques, etc.) sont alors partagées/mutualisées entre les différentes VM ou CT.

La gestion des VM s'effectue simplement à travers une interface web, permettant l'accès console ou graphique à chaque VM, le contrôle de ses ressources, etc.

Le système est basé sur une distribution Debian GNU/Linux. Les machines virtuelles peuvent être en 32 ou 64 bits, sous la majorité des systèmes (Windows, GN/Linux, BSD et autres).

Plusieurs serveurs de virtualisation seront mutualisés en Cluster pour offrir une haute disponibilité, au niveau des ressources, ce qui permettra :

• Le déplacement à chaud des VM ou Container d'un serveur physique à un autre

• La gestion de la sauvegarde ou de la réplication des VM et CT

• La gestion du clonage ou de la restauration des VM et CT

Le stockage CEPH nous permettra également une haute disponibilité sur le stockage.


Stockage redondant CEPH

La mise en place du nouveau système informatique implique l’acquisition de plusieurs serveurs Hyperviseur pour accueillir nos machines virtualisées.

Dans un souci de coût de fonctionnement, l’achat de trois serveurs de virtualisation sera donc tout ce dont nous auront besoin.

La solution de cluster PROXMOX VIRTUAL ENVIRONNEMENT répondra au mieux à nos attentes. Celui-ci nous fournira également un mode de sauvegarde et de backup non négligeable, il sera également équipé d’un stockage CEPH, ce qui nous garantit un fonctionnement avec un risque d’interruption de service très faible.

Présentation du stockage distribuée et redondant CEPH

Créer les OSD (Object Storage Daemon) avec chacun des disques disponibles :


Créer un POOL de stockage comprenant tous les OSD créés :

Ici, la taille correspond au nombre de réplication, qui sera de 3 au totale, une par serveur. Le stockage total sera donc divisé par 3, soit 4To (12To/3).

Il conviendra également de calculer le nombre exact de PG_NUM (Placement Groups) dont le système aura besoin pour fonctionner.

Formule : (OSDx100)/taille

Calcul : (12x100)/3 = 400

Choisir la puissance de 2 supérieurs au résultat de l’opération, c’est à dire 512 PG_NUM.

Les données, VM et Containers seront maintenant stockées sur le POOL CEPH, la réplication et la redondance sera complètement transparente pour les utilisateurs.

Lorsqu'un disque sera défectueux, cela n’affectera pas le fonctionnement machines, l’administrateur devra seulement remplacer le disque et CEPH se chargera de le réintégrer dans le POOL. Dans notre configuration, le stockage CEPH accepte une tolérance de panne sur 2 disques simultanément.

Besoin en serveur Virtuels

Nos serveurs virtuels seront utiles pour toutes les tâches d’administration du système, notamment pour la gestion du Contrôleur de Domaine, du DHCP et DNS. Des serveurs de stockage de fichier, de supervision et d’antivirus seront également mis en place.

Nous avons également pensé au futur de l’entreprise et prévu de l’espace de stockage supplémentaire pour les futurs besoins de l’entreprise en serveur ou machine virtualisé.

Nos besoins sont donc les suivant :

Serveur Virtualisé Système Nom actif

GUI Interface Windows + Serveur Impression Windows Server 2016 SV-GUI-01

Contrôleur de domaine n°1 AD/DNS Windows Server 2016 SV-AD-01

Contrôleur de domaine n°2 AD/DHCP Windows Server 2016 SV-AD-02

Serveur de déploiement PXE Linux Server Debian SV-PXE-01

NAS partage de fichier Synology DSM SVNAS-01

Serveur Administration Antivirus Windows Server 2016 SV-ANTVR-01


Choix du matériel

Tous les serveurs seront installés virtuellement dans un cluster Proxmox, le routeur sera également virtualisé et une série de test sera mis en place afin d’éprouver le système et étudier sa fiabilité.

Panneau de brassage déjà en place*

Matériel nécessaire Quantité Caractéristique

Switch 7 Switch Small Business Stackable Gigabit 24 ports 10/100/1000 PoE+ avec 4 x 10 Gigabit Ethernet

Serveur 3 Serveur Performance HPE ProLiant DL325 Gen10 7401P, monoprocesseur, 32 Go de RAM, P408i-a, 8 lecteurs SFF, alimentation redondante 1x800W

Onduleurs 3 Onduleur line-interactive monophasé 230V (USB / Série / SmartSlot / RJ-45) - Rack 2U

Routeur 2 XG-7100 PFSENSE SECURITY GATEWAY WITH INTEL C3558 CPU AND 16GB RAM

Baie de brassage 3 Armoire réseau 19" 42U 600 x 1000

Module SFP 8

Borne Wifi 7 Point d'accès PoE Small Business Wi-Fi AC 1750 Mbps (AC1300 + N450) Dual-Band

Câble RJ45 1 m 150 Catégorie 6

NAS SYNOLOGY RACKSTATION RS818RP+

1 Serveur NAS 4 baies hautes performances évolutif avec processeur Intel Atom C2538 Quad-Core 2.4 GHz et alimentation redondante (2 x 150W)

SEAGATE IRONWOLF 3 TO

4 Disque dur 3.5" 3 To 5900 RPM 64 Mo Serial ATA 6 Gb/s pour NAS (bulk)

Cable fibre 8 Model OM3

Pc portable DELL VOSTRO 3580

10 Intel Core i5-8265U, 8 Go SSD, 256 Go, 15.6" LED Full HD Webcam, Windows 10 Professionnel 64 bits

Imprimante 3


Active Directory et Gestion des Utilisateurs

L'objectif principal d'Active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows.

Il permet également l'attribution et l'application de stratégies, de distribution de logiciels, et d'installation de mises à jour par les administrateurs.

Nous désactiverons l’ipv6 sur tous les serveurs, elle ne sera pas nécessaire et pourrait laisser des failles de sécurité ouverte en cas de mauvaise configuration du pare-feu.

Dans l’Active Directory, nous classerons les Utilisateurs et les Ordinateurs du Parc dans des Unités d’Organisations pour une gestion simplifié des droits d’accès aux ressources et aux fichiers et également pour la mise en place de GPO.

Dans le même temps, ces identifications d’accès seront récupérées par notre serveur de partage NAS Synology (compatible avec les informations LDAP Windows Active Directory) et seront utilisées pour gérer les droits d’accès aux différents fichiers.

Deux contrôleurs de domaine Active Directory seront en place sur le réseau.

Les utilisateurs linux seront également intégrée à l’active directory.


Création de GPO

Une GPO permet d’automatiser une tache : En l’occurrence, notre première GPO aura pour fonction de déployer et mapper notre système de fichier sur les postes Client.

DNS

Le serveur DNS (Domain Name System, ou Système de noms de domaine en français) est un service dont la principale fonction est de traduire un nom de domaine en adresse IP.

Windows Principale

Dans notre cas, le DNS principal sera installé sous Windows sur le même serveur que l’active directory (Installation en mode Core pour plus de sécurité). L’installation de l’active Directory inclus l’installation du DNS par default.

LINUX/PFSENSE secondaire

Le DNS secondaire sera installé sur notre routeur PFsense. Il sera couplé avec le DNS principal Windows. (Voir Script en annexe)

DHCP

Un serveur DHCP (Dynamic Host Configuration Protocol) a pour rôle de distribuer des adresses IP à des clients automatiquement pour une durée déterminée, la configuration du masque et la passerelle se fait donc automatiquement. Il permet également d’affecter un bail fixe à un client.

Les points névralgiques du réseau tel que les serveurs DNS principal et secondaire, passerelle par défaut, les serveurs DHCP..., devront avoir des adresses IP fixe afin d’assurer le bon fonctionnement du service.

Il faudra ensuite définir les étendues ou ‘range’ pour chaque sous réseau à créer, Une plage d’adresse IP, à allouer aux postes connectés sur les différents sous réseau.

Pour faire fonctionner simultanément les deux DHCP Windows et Linux sans problème, ils devront chacun distribuer une plage d’adresse IP différentes se trouvant sur le même sous-réseau. De plus chacune de nos étendues devront être capable de distribuer suffisamment


d’adresse pour le nombre de poste de l’entreprise, afin de pouvoir subvenir aux différentes demandes d’adresse IP en cas de panne d’un DHCP.

Nous utiliserons donc les étendues ci-dessous pour paramétrer nos DHCP :

Windows secondaire

Le serveur DHCP sera installé sous Windows Server 2016 en mode Core, il sera administrable depuis le server d’administration Windows Server avec interface graphique SV-GUI-01.

L’ensemble de l’installation et du paramétrage sera effectué en PowerShell. Un Script d’installation et de paramétrage a été créé afin de pouvoir réinstaller facilement et rapidement le server. (Cf. Annexes).

Son utilisation sera couplée avec le DHCP Linux, les deux serveurs attribueront des adresses IP dans leurs plages respective.

LINUX/PFSENSE principale

Le DHCP Linux sera installé sur le routeur NETGATE PFSENSE. Il fonctionnera de pair avec le DHCP Windows, mais attribuera donc sur une plage d’adresse IP différente pour éviter les conflits.

Système de supervision

Chaque jour, l’administrateur du système informatique devra scrupuleusement surveiller les points suivants :

Supervision Type de Vérification Fréquence

Réplication NAS -> CLOUD SYNOLOGY DSM Journalier

S.M.A.R.T. NAS SYNOLOGY DSM / Mail Journalier


SCRIPT Archivage et Nettoyage Commun

Mail Journalier

VZDUMP PROXMOX Mail Hebdomadaire

S.M.A.R.T. PROXMOX Manuel Serveur Hebdomadaire

S.M.A.R.T. PFSENSE Manuel Routeur Hebdomadaire

ESET Administrator Panel Manuel Hebdomadaire

INFORMATION : La mise en place d’une solution de supervision automatisée nécessite un certain temps de configuration, cette solution pourra être envisagée à l’avenir pour réduire la charge de travail du SI.

Archivages et Nettoyage des anciennes archives

Un script PowerShell sera programmé et exécuté sur le serveur Windows chaque jour pour archiver le dossier « Tous-Le-Monde » se trouvant sur le NAS au format .ZIP.

Ce script se chargera aussi de supprimer quotidiennement toute les archives de plus de 21 jours afin de ne pas surcharger inutilement le serveur. Ces archives seront consignées dans deux fichier de log. Ce script automatisera un envoi de mail pour informer le service informatique de la réussite ou de l’échec de la tâche.

Ce mail contiendra donc les dix dernières lignes du fichier de log ‘’createdBackup’’ ainsi que les trois dernières du fichier de log ‘’deletedBackup’’.

Sauvegarde de la configuration PFsense

La récupération des fichiers de config .XML propre à chaque Routeur PFSENSE, devra être effectué à chaque modification du routeur et sera ensuite sauvegardé dans le dossier dédié.

/NAS/BACKUP-PFSENSE-01 ou /NAS/BACKUP-PFSENSE-02

Sauvegarde des machines virtuelles proxmox

Un script sera mis en place dans le système PROXMOX (CRON) pour effectuer un backup de chaque machine, toutes les semaines, avec la fonction VZDUMP :

>VZDUMP 101 102 103 104 105 –DUMPDIR /NAS-02/BACKUP-PROXMOX –MAILTO ROOT

Changer la destination des backups sur notre NAS avec l’option DUMPDIR


Pour restaurer un backup sur une nouvelle VM en cas de problème :

>QMRESTORE /NAS-02/BACKUP-PROXMOX/VZDUMP-QEMU-101.VMA 201

Emplacement du backup -> Identifiant de la nouvelle VM restaurée.

Système de sauvegarde des données

Notre NAS SYNOLOGY, composé de 4 disques en RAID5 pour un stockage totale disponible, sera lié à au contrôleur de domaine pour récupérer le répertoire LDAP du domaine. Ainsi le paramétrage des droits d’accès aux fichiers sera simplifié.

De plus, notre Fibre OVH nous donne accès à un Stockage Cloud de 10To. Notre NAS répliquera donc ses données chaque jour, à minuit, dans le Cloud.


• Le système de fichier COMMUN sera stocké sur le NAS Synology et monté via GPO sur les machines Windows, et via un script sur les postes Linux.

• Le système de fichier de chaque service aura un quota de stockage maximum comme définit dans le cahier des charges.

• Les espaces utilisateur de 20go seront configurés à l’aide de quota de stockage pour ne pas dépasser la limite fixée dans le cahier des charges.

Système de protection et antivirus

Serveurs Windows :

Nos serveurs Windows seront protégés par la solution native Microsoft Windows Defender, une des plus performant du marché. Le pare feu Windows nous permet également de gérer les connexions entrante et sortante facilement. Note pare-feu PFSENSE nous apportera une protection supplémentaire contre les éventuelles attaques provenant de l’extérieur.

Poste Client Linux et Windows :

La solution Windows ne permettant pas d’aministrer facilement les taches liées à la protection antivirus, notre choix s’est porté sur ESET Endpoint Antivirus avec une administration de toute les machines client via ESET Remote Administrator.

Présentation ESET REMOTE ADMINISTRATOR

ESET a été pionnier dans la protection antivirus, en créant un logiciel de détection et de protection contre les menaces. Aujourd’hui, la solution de sécurité permet aux entreprises et aux particuliers de plus de 200 pays d'être en sécurité.

Les principaux points forts de la solution :

• Fiabilité et support réactif

• Protection Fishing et Malware

• Protection de la boite mail

• Protection RansomWare

• Protection attaques réseau

• Protection anti-botnet


Panneau administrateur de la solution :

Gestion des postes, mise à jour, failles de sécurités :


Choix des OS Client

Windows

La fin du support de Windows 7 prenant fin le 14 janvier 2020 il sera donc nécessaire de migrer l’intégralité des postes vers la dernière version de Windows. La mise à jour étant gratuite il ne sera pas nécessaire de prévoir l’achat des licences.

La migration conservera toutes les données ainsi que les logiciels installés. (Voir procédure en annexe). Les Postes Windows seront ensuite intégrés au domaine.

Linux

Les Postes Linux seront réinstallés sous la dernière distribution de Mint, en version 19.2 (Fork de Ubuntu). Cette distribution possède une interface graphique simple et pratique, qui sera accessible à tous. Les logiciels demandés seront déployés par l’administrateur (Blender et Gimp). Procédure de déploiement à l’aide d’un serveur dédié en annexe.

Apple

La tablette iPad du directeur sera mise à jour sur la nouvelle version d’iPad OS sortie fin septembre 2019. Cette version lui permettra maintenant de gérer des périphériques externes.

Le directeur disposera également des applications Synology pour accéder au lecteur dédié à la Direction et à son espace de stockage personnel, ainsi qu’une suite de logiciel mail et lecture de document. Il sera ainsi libre d’utiliser le matériel de son choix et tout en accédant aux documents dont il a besoin.

Les iPhones seront également migrés sous IOS13 pour éviter toute faille de sécurité.


Partage de bureau et bureau à distance

Protocole MSRA sous Windows :

L’assistance à distance Windows permettra aux administrateurs de prendre le contrôle des postes nécessitant une assistance à distance. Les utilisateurs seront à l’origine de ces demandes, seul un mot de passe devra être échangé pour autoriser une connexion entre les deux ordinateurs concernés pour établir une connexion peer-to-peer sur le réseau local.

Cette fonctionnalité ne fonctionne qu’entre deux postes Windows.

Remmina display sous Linux :

Le visionneur de bureaux distants “Remmina” est un logiciel permettant de se connecter à distance, à travers une interface graphique, à un ordinateur distant. Nous utiliserons ce logiciel pour la prise en main et l’assistance à distance entre les postes Linux.

Remmina prend en charge les protocoles VNC, SSH et SFTP dont nous auront besoin

Cette solution est Open Source et gratuite.

Solution de Tchat Vidéo

Nous avons fait le choix de mettre en place une solution de Tchat vidéo ZOOM, il sera possible de mettre en place des salles de réunion par service. Le choix c’est porter sur Zoom car il dispose d’une solution de salle de réunion, de conférence sécurisée et de partage d’écran. Il est utilisable depuis un navigateur web ou via l’application et compatible sur toute les plateformes (Windows, Linux, iOS).

Présentation de ZOOM

Cours, conférences, réunions, l’application dispose de plusieurs fonctionnalités et se substitue aisément à Skype. Zoom peut réunir jusqu’à 50 personnes pour une même session. Les particularités de cet outil en font une application intéressante avec :

• Un système intelligent

• Avec un écran divisible, les membres de la conférence en ligne peuvent insérer et commenter des graphismes, ou bien intégrer un chat. Si un participant souhaite prendre la parole, une option le lui permettra en un clin d’œil.

• Au lancement de l’application, l’utilisateur choisira la salle de réunion à rejoindre, nous avons prévu 4 salles de réunions dédiées aux différents services, les utilisateurs pourront également


Gestion de l’impression

Un serveur d’impression sera mis en place sous Windows, sur le serveur GUI, il gèrera l'installation des imprimantes et des pilotes lors du déploiement sur les clients.

Les imprimantes seront raccordées sur le réseau et ajoutées au répertoire AD. Elles seront ensuite configurées sur le serveur d’impression.

Cette solution aura pour but de simplifier la gestion des impressions des postes utilisant Windows, à savoir le service Direction, Administratif et Après-Vente.

Wifi et Gestion des invités et visiteurs

Les bornes wifi seront configurées de manière à diffuser 2 SSID :

• Le premier pour le personnel, avec une clef sécurité en wpa2. Une seule borne sera administrée et la configuration sera retransmise sur les autres bornes wifi. Chaque bâtiment disposera de 2 borne Wifi et 1 également pour le gardien.

• Le deuxième SSID sera dédié aux invités via un portail captif. L’utilisation de ce portail sera nécessaire pour restreindre les accès aux données sensibles mais également pour tracer les utilisateurs de ce service. Les utilisateurs devront accepter les Conditions d’utilisation pouvoir accéder au réseau et disposer d’une connexion pendant 4h.


Politique de gestion des mots de passe

Mots de passe utilisateur

Chaque utilisateur aura l’obligation de changer son mot de passe tous les six mois, cela sera automatiser grâce à une GPO appliquer à tous les comptes. Les mots de passe devront respecteront ces règles-là :

• Comporte au moins huit caractères ;

• Ne comporte pas votre nom d’utilisateur, votre vrai nom ou le nom de votre entreprise ;

• Ne contient pas de mot complet ;

• Est radicalement différent des mots de passe précédents ;

• Contient des lettres majuscules, minuscules, des chiffres et des symboles.

Mots de passe du service informatique

Pour l’ensembles des mots de passes liés à l’administration du parc informatique, nous allons installer sur les postes du service informatique un logiciel de gestion de mots de passe.

Pour faire notre choix nous avons comparé trois des gestionnaires de mots de passes les plus répandus. Notre comparatif se porte donc sur les logiciels Keepass, LastPass et Dashlane.

LastPass :

Il y a plusieurs offres de proposées, pour une solution en entreprise nous regarderons les offres Teams (48 $ /utilisateur/ an) et Entreprise (72$ /utilisateurs/an). Ces offres proposent


la gestion des mots de passes par utilisateurs dans un coffre-fort cryptés. La deuxième offre va permettre en plus l’authentification automatique sur plus de 1200 applications pré intégrées.

Dashlane :

Dashlane propose une offre premium à 3.33 € /mois, elle propose un nombre de stockage illimité de mots de passe, une synchronisation sur tous nos appareils, la saisie automatique des données personnelles et des informations de paiement, un générateur de mots de passe, un VPN, un espace de stockage de fichier et une assistance.

KeePass :

La solution KeePass est celle que nous avons retenue. Tout d’abord le logiciel est un logiciel libre sous licence GNU GPLv2 et donc totalement gratuit. Il est compatible sur l’ensemble des plateformes Windows, Linux, Mac, Android, IOS. Il a été certifié par l’ANSSI (Agence nationale de la sécurité des systèmes d'information) et utilise un system de chiffrement AES (clé de 256 bits) et un système de chiffrement TwoFish (clé de 256 bits + blocs de 128 bits) qui sont les deux meilleures méthodes de chiffrement à l’heure actuelle.

La bases de données contenant l’ensembles des mots de passes sera stocké dans le dossier « Service informatique » sur le serveur NAS de la société. De plus, le logiciel nous donne accès à un générateur de passe totalement paramétrable. Il permet également de créer un algorithme nous permettant de générer nos propres mots de passe en fonction de notre politique de sécurité.


Générateur de mot de passe :

Suivi du SAV des serveurs, des postes, FAI et du matériel

Serveur de supervision et NAS :

• Tous nos équipements NAS et Postes utilisateurs sont garantis 2 ans

• Nos serveurs de supervisions disposent d’une garantie de 3 ans.

FAI Fibre Optique :

Nous disposons d’un support technique 24h/24 et 7J/7 et d’un délai d’intervention et de rétablissement inférieur à 4h.

Support PROXMOX :

Il propose plusieurs services selon les forfaits, le forfait de base comprendra :

• Un accès au référentiel d’entreprise

• Assistance via le portail client

• 3 tickets de support par ans

• Réponse aux demandes en 24h maximum


Synthèse sur les coûts du projet

Tableau récapitulatif des couts et investissements nécessaires à la réalisation du projet :

Matériel nécessaire Description Quantité Prix Unité Prix Total

Matériel

Switch CISCO SG350X-24MP

2Switch par baie 7 970€ 6790€

Routeur XG-7100 1U 2 1250€ 2500€

Serveur HPE ProLiant DL325 Gen10 7401P

24 cœurs 32 Go double alimentation 2 carte réseaux 10Gb/s

3 4410€ 13230€

Disque dur HPE 600GO 10k Tr/min

15 260€ 3900€

Onduleur 2 U 2200VA 3 1200€ 3600€

Baie de brassage DIGITUS DN-19 20U-6/6

1 aile Nord 1 Sud 2 233€ 466€

Baie de brassage DIGITUS DN-19 42U-6/10-1

1 Bâtiment principal 1 670€ 670€

Borne Wifi WAP 371 2 par Bat 1 Gardien 7 150€ 1050€

Câble RJ45 1 m Brassage 150 5€ 750€

NAS SYNOLOGY RACKSTATION RS818RP+

Sauvegarde/Ceph 1 1100€ 1100€

SEAGATE IRONWOLF 3 TO Stockage Nas 4 100€ 400€

Module SFP Raccord fibre 8 120€ 960€

Fibre oem3 8 30€ 240€

Box internet Orange 1 80€ Mois 960€

Box internet OVH 1 60€ Mois 720€

Pc portable DELL VOSTRO 3580

Renouvellement des postes obsolètes

10 650€ 6500€


Sous total 43836,00 €

Licences

Location imprimante Bureautique / 458€/Mois 5500€

Support proxmox Hyperviseur 3 259.90€ Annuel

780€

Zoom Visio 4 13.99€/Mois 672€

Licence Windows 2016 standard

Serveur 4 600€ 2400€

Antivirus ESET 80 80€/Mois 960€

OVH Nom de domaine 1 10€/ans 10€

Sous total 10322,00 €

Total 54 158€

Budget annuel Année suivante

Location imprimante - 5500€

Zoom 13.99€/Mois 672€

Antivirus 80€/Mois 960€

Hyperviseur - 780€

OVH - 10€

Box internet Orange 80€ Mois 960€

Box internet OVH 60€ Mois 720€

Total 9602,00 €

Documents

Projet Evolution Evolution.pdfPFSENSE (basé sur lOS FreeBSD) : Celui-ci permet entre autres la gestion du DHCP, DNS, des VLAN et du NAT permettant de connecter plusieurs réseaux