Projet-securite-réseaux

CCNA Security 2012/2013 Intégration de Compétence

1

CCNA SECURITY

GROUPE 8303

Présenté

Par : A Mr. :

Les étudiants de GRI2 NAMALKA Oumarou

04/02/2013

ECOLE POLYTECHNIQUE DE NIAMEY

INTEGRATION DE COMPETENCE


2


3

Introduction Générale

De nos jours, la plupart des réseaux informatiques sont multiplateformes.

L’objectif de ce projet est de mettre en place des serveurs sous Windows

(ADDS ; DNS ; Antivirus ; Mail) et Linux (DNS ; Web ; Voip ; Nagios ;

Prelude ; Snort ; OSSEC et PFSense) , de les administrer et de les surveiller.


4

Présentation de la topologie

Réseau Interne

Parefeu

DMZ

Internet

Supervision

PDC SDC Antivirus MAil DNS Web VOIP

Réseau Externe172.16.1.0/24

192.168.1.0/24

192.168.1.1 192.168.1.2 192.168.1.4192.168.1.3

192.168.1.10

172.16.1.1 172.16.1.2 172.16.1.3

Projet

172.16.1.10

AsteriskApacheBind9Exchange2010DNS

ADDSDNS

ADDS

Nagios

Backup

Raid Tolérance de panne des disques

172.16.1.5

Raid

Ossec Prelude Snort

172.16.1.4 172.16.1.6 172.16.1.7 172.16.1.8

Cette topologie est constituée de 3 zones qui sont :

La zone INTERNE qui comprend la supervision (Nagios, Ossec, Prélude,

Snort) et les serveurs internes (PDC, SDC, Antivirus, Backup)

La zone EXTERNE

La zone DMZ qui comprend (Pare-feu,Mail, Dns, Web, Voip)


5

Mise en place de la zone Interne


6

I. Mise en place du PDC


7

Introduction

Un serveur informatique hébergeant l'annuaire Active Directory est appelé «

contrôleur de domaine>>Le premier contrôleur de domaine d’une forêt doit être

un serveur de catalogue global et ne peut pas être un contrôleur de domaine en

lecture seule (RODC). L'objectif principal d'Active Directory est de fournir des

services centralisés d'identification et d'authentification à un réseau d'ordinateurs

utilisant le système Windows. Il permet également l'attribution et l'application

de stratégies, la distribution de logiciels, et l'installation de mises à jour critiques

par les administrateurs. Active Directory répertorie les éléments d'un réseau

administré tels que les comptes des utilisateurs, les serveurs, les postes de

travail, les dossiers partagés, les imprimantes.

http://fr.wikipedia.org/wiki/Windows

http://fr.wikipedia.org/wiki/R%C3%A9seau_informatique


8

Procédure d’installation

Pour faire de notre Windows Server 2008 R2 un contrôleur de domaine, il suffit

de lancer la commande dcpromo

Créons notre nouveau Domain d’un une nouvelle forêt


9

Tapons le nom du Domain


10

Nous allons choisir le niveau fonctionnel


11


12


13

Tapons un mot de passe pour le Domain


14

Vérification


15

Ici prend fin l’installation de notre Domain : security.com

Vérification des entités de sécurité :

La console Utilisateurs et ordinateurs Active Directory est probablement la plus

utile : c'est celle qui vous permettra de gérer les comptes des utilisateurs et des

ordinateurs.

Dans notre exemple nous avons les utilisateurs lala toto et toto.c

Nous avons aussi un groupe de sécurité global nommé gri2 et une unité

‘organisation nommée epn


16


17

Configuration de la zone inverse

Passons maintenant à la configuration da la zone inverse du DNS car la zone

direct est configurée par défaut

On fait Outils d’administration DNS puis double click sur DNS

Click droit sur zone inverse


18

Suivre l’assistant


19


20

Tapons notre adresse réseau


21

Terminé

Ici prend fin la configuration de la zone inverse


22

Conclusion

Active Directory est un service d'annuaire utilisé pour stocker des informations

relatives aux ressources réseau sur un domaine.

Une structure Active Directory (AD) est une organisation hiérarchisée d'objets.

Les objets sont classés en trois grandes catégories : les ressources (par exemple

les imprimantes), les services (par exemple le courrier électronique) et les

utilisateurs (comptes utilisateurs et groupes). L'AD fournit des informations sur

les objets, il les organise et contrôle les accès et la sécurité

Ici prend fin l’installation et la configuration de notre contrôleur de Domain.

http://fr.wikipedia.org/wiki/Annuaire

http://fr.wikipedia.org/wiki/Domaine_%28Microsoft%29

http://fr.wikipedia.org/wiki/Imprimante

http://fr.wikipedia.org/wiki/Courrier_%C3%A9lectronique


23

II. Mise en place du SDC


24

Introduction

Nous allons voir à travers cet article l’intégration d’un contrôleur

supplémentaire au sein d’un domaine Active Directory. On parle en général d’un

contrôleur secondaire cependant ceci est une fausse appellation car une

architecture Active Directory est multi-maître.

La réalisation est rapide et simple avec une implication limitée dans un milieu

de productif. Il faut toutefois veiller à disposer de sauvegardes fiables et en

particulier concernant votre Active Directory.


25

Configuration

Tout d’abord on tape dcpromo en ligne de commande ou dans « rechercher » du

menu démarrer.

L’assistant suivant s’affichera et on coche utiliser l’installation en mode avancé

Ensuite on clique sur suivant

Puisqu’il s’agit d’un DC secondaire dans notre cas, on clique sur foret existante

On spécifie ajouter un DC à un domaine existant comme illustré dans la figure

ci-dessous. Ensuite on clique sur suivant


26

On spécifie le nom du domaine qui est security.com.

Ensuite on clique sur définir


27

La console suivante s’affiche, on met le login et le mot de passe de l’utilisateur

créé sur le DC primaire et on clique sur OK


28

L’assistant nous signale que n’ayant pas préparé l’annuaire avec l’option

« /rodcprep », il ne sera pas possible d’intégrer un contrôleur en lecture seule.

On spécifie le site sur lequel sera hébergé le contrôleur de domaine.

On sélectionne ensuite les options « Serveur DNS » et « Catalogue global ».


29

Un autre avertissement apparaît concernant un problème de délégation avec la

zone parente (.local).


30

L’assistant vous laisse la possibilité de choisir la provenance des données Active

Directory existantes à répliquer. Soit directement par le biais du réseau en

contactant le contrôleur de domaine existant, soit à partir d’une sauvegarde.

Suite à la sélection précédente, nous devons choisir le contrôleur à contacter.

Dans notre cas il s’agit de security.com.

Ensuite on définit la location des fichiers liés à l’annuaire.


31

Enfin on va devoir rentrer un mot de passe de restauration.


32


33

Conclusion

Une fois redémarré, le serveur est désormais promu en tant que contrôleur de

domaine secondaire.


34

III. Mise en place du serveur d’Antivirus


35

Presention

Symantec Endpoint Protection offre une protection simple, rapide et

efficace contre les virus et les programmes malveillants. Il s'installe en

quelques minutes sans matériel supplémentaire. La protection de votre

entreprise devient simple et rapide. Grâce aux mises à jour automatiques,

vous bénéficiez des toutes dernières fonctions de sécurité disponibles.

Avantages clés

Des analyses rapides et efficaces offrent une protection contre les virus,

les vers, les chevaux de Troie et les logiciels espions. Elles ne ralentissent

pas vos systèmes et vous pouvez donc vous concentrer totalement sur

votre activité.

Profitez de cette flexibilité et bénéficiez de la puissance et de la

commodité d'un service géré via le Cloud avec une protection

permanente, ou d'un service géré sur site sur un serveur local.

L'installation se fait en quelques minutes, sans matériel supplémentaire, ce

qui vous permet de gagner du temps et de l'énergie. Pas besoin de

personnel ou de formation spécifique.

Les technologies Insight et SONAR détectent et bloquent les programmes

malveillants nouveaux et en mutation, même s'il s'agit de nouvelles

menaces ou de menaces inconnues

Abonnement simple, qui couvre les coûts d'exploitation et de

maintenance, les mises à niveau et le support 24h/24 et 7j/7, que vous

choisissiez la gestion via le cloud ou la gestion sur site.


36

Installation et Configuration

Vous pouvez telecharger la version d essai sur :

https://www4.symantec.com/Vrt/offer?a_id=117140&inid=fr_bt_flyout_trialwar

e_endpt_prot

Installation

Executons le steup puis cliquons sur executer

Choisissons le point d’extraction puis cliquons sur extract

Attendons la fin d’extraction

https://www4.symantec.com/Vrt/offer?a_id=117140&inid=fr_bt_flyout_trialware_endpt_prot

https://www4.symantec.com/Vrt/offer?a_id=117140&inid=fr_bt_flyout_trialware_endpt_prot


37

Ouvrons le ficher puis executons


38

Choisissons le deuxième point (Install Symentec Endpoint Protection)

Choisissons le premier point(Install Symentec Endpoint Protection Manager)


39

Cliquons sur Next

Acceptons le contrat de licence puis cliquons sur Next


40

Cliquons sur Next

Cliquons sur Install


41

Attendons la fin

Cliquons sur Next


42

Attendons la fin


43

Cliquons sur Next

Renseignons les différents champs puis cliquons sur NEXT


44

cliquons sur NEXT


45

Attendons la fin

Cette étape met fin au processus d’installation


46

Configuration

Nous allons configurer le déploiement sur les machines clientes

Cliquons sur Client Deployment


47

Cliquons sur Next


48

Cliquons sur NEXT sur Next

Cliquons sur Next


49

Cliquons sur Next


50

Attendons la fin de la recherche des réseaux .Dans le cas où il en trouve pas

faisons une recherche en cliquant sur Search Network et en définissant la plage

d’adresse


51

Renseignons les champs puis cliquons sur ok

Attendons la fin


52

Cliquons sur Next


53

Cliquons sur Send


54

Attendons la fin


55

Cliquons sur Next


56


57

Cliquons sur Finish

Cette étape mais fin au déploiement. Rendons nous sur le client pour suivre

l’installation

Laissons le client allume jusqu’à l’affichage de ce assistant puis cliquons sur

Restart Now


58

Exécutons l’application

Attendons


59

Ci fin

Ceci met fin au déploiement


60

Conclusion

Nous vous recommandons Symantec Endpoint Protection pour les raisons

suivantes :

Protection simple, rapide et efficace contre les virus et les programmes

malveillants

Disponible sous la forme d'un service géré via le cloud ou comme

application de gestion sur site

Installation facile et gestion via le Web

Technologies de sécurité puissantes développées par le leader mondial des

technologies de sécurité

Tarification simple par abonnement qui couvre les deux choix de gestion


61

IV. Mise en place du serveur de Backup


62

Présentation

Bacula est un jeu de programmes qui permet à l'administrateur système de

faire des sauvegardes, restaurations, et vérifications des données d'un

ordinateur sur un réseau hétérogène. Bacula peut fonctionner

complètement sur un seul ordinateur. Il est capable de sauvegarder sur des

supports variés, y compris disques et cartouches. Il s'agit d'un programme

de sauvegarde Client/serveur. Bacula est relativement facile d'utilisation

et efficace, tout en offrant de nombreuses fonctions avancées de gestion

de stockage qui facilitent la recherche et la restauration de fichiers perdus

ou endommagés. Grâce à sa conception modulaire, Bacula est

échelonnable depuis le simple système constitué d'un ordinateur, jusqu'au

système de plusieurs centaines d'ordinateurs disséminés sur un vaste

réseau.


63

Mise en place du Raid5

Le RAID désigne les techniques permettant de répartir des données sur

plusieurs disques durs afin d'améliorer soit la tolérance aux pannes, soit la

sécurité, soit les performances de l'ensemble, ou une répartition de tout

cela.

Le RAID 5 écrit donc simultanément les données sur plusieurs disques ce

qui améliore les performances en lecture et en écriture et la tolérance aux

pannes.

Installations le paquet mdadm

Commençons par installer les paquets suivant :

Apt-get install debconf-utils dpkg-dev debhelper build-essential

kernel-package libncurses5-dev

et

Chargeons le module dans le noyau

Make menuconfig

http://fr.wikipedia.org/wiki/Donn%C3%A9e

http://fr.wikipedia.org/wiki/Disque_dur

http://fr.wikipedia.org/wiki/Tol%C3%A9rance_aux_pannes

apt://debconf-utils,dpkg-dev,debhelper,build-essential,kernel-package,libncurses5-dev/

apt://debconf-utils,dpkg-dev,debhelper,build-essential,kernel-package,libncurses5-dev/


64

Choisissons Device Drivers

Choisissons, puis espace et enter


65

Choisissons YES

Listons les disques


66

On retrouve les 3disques.Creons les partitions

Entrons n (pour créer une nouvelle partition)

Entrons p (pour partition primaire)


67

Entrons 1(pour partition1)

Entrons t (pour modifier l’ID du système de fichier) puis fd

Entrons w (pour enregistrer et quitter)

Répéter la même action pour les deux autres disques (sdc et sdd)

Créons le volume raid à partir de la commande suivante :

mdadm --create --verbose /dev/md0 --level=5 --raid-devices=3 /dev/sdb1

/dev/sdc1 /dev/sdd1

Enregistrons ce volume :

echo "DEVICE partitions" > /etc/mdadm/mdadm.conf

Ensuite on appelle mdadm une nouvelle fois pour scanner les volumes RAID

existants et les inscrire dans ce fichier :

mdadm --detail --scan >> /etc/mdadm/mdadm.conf

Créon le système de fichiers


68

Nous allons monter le volume dans /opt/SAUVEGARDE

mount /dev/md0 /opt/SAUVEGARDE

Editons le fichier /etc/fstab et inserons la ligne suivante :

/dev/md0 /opt/SAUVEGARDE auto defaults 0 3

Enregistrons et quittons

Ceci mais fin à la mise en place du raid5


69

Installation et configuration

Installation

Commençons par installer mysql et les dépendances qui vont nous

permettre de compiler bacula

apt-get install mysql-server-5.0 gcc libmysqlclient15-dev g++ make libncurses5-

dev php-pear

Décompressons la dernière version de bacula récupérer sur le site officiel

tar –xvzf bacula-5.0.2.tar.gz

On se place dans le dossier et on check les dépendances et la vérification de la

configuration prés installation

cd bacula-5.0.2

./configure --with-mysql

On lance la compilation

make && make install

Lancement des scripts de création de la bases le mot de passe de la base mysql

sera demandé

cd src/cats

./create_mysql_database -p

./make_mysql_tables -p

./grant_mysql_privileges -p

Création et installation des services

cp /etc/bacula/bacula-ctl-fd /etc/init.d/bacula-fd

cp /etc/bacula/bacula-ctl-dir /etc/init.d/bacula-director

cp /etc/bacula/bacula-ctl-sd /etc/init.d/bacula-sd

cp /etc/bacula/bacula /etc/init.d/bacula

chmod 755 /etc/init.d/bacula-sd

chmod 755 /etc/init.d/bacula-fd


70

chmod 755 /etc/init.d/bacula-director

chmod 755 /etc/init.d/bacula-sd

update-rc.d bacula-sd defaults 90

update-rc.d bacula-fd defaults 91

update-rc.d bacula-director defaults 92

On redémarre tous les services

/etc/init.d/bacula start

Ceci mais fin à l’installation


71

Configuration

Editons le fichier bacula-dir.conf

Éditons-le comme suit :


72


73


74


75


76

Enregistrons et redémarrons le service


77

Editons le fichier bacula-sd.conf

Modifions-le comme suit :

Ceci mais fin à la configuration de bacula


78


79

Enregistrons et redémarrons le service

Redémarrons bacula

Ceci met fin à la configuration

Nous allons nous connecter à la console et faire uns sauvegarde


80

Sélectionnons 1


81

Conclusion

Bacula dispose de très nombreuses fonctionnalités. Utilisé correctement vous

serez toujours certain de pouvoir restaurer n'importe quel fichier, à n'importe

quelle date (retrouver un texte par exemple tel qu'il était rédigé il y a deux mois,

sachant que vous l'avez modifié 10 fois depuis, etc.)

MAIS SA CONFIGURATION FINE NÉCESSITE DE NOMBREUSES

CONNAISSANCES PROPRES AU MONDE DE LA SAUVEGARDE.


82

V. Mise en place du serveur Nagios


83

Introduction

Présentation du serveur NAGIOS

NAGIOS est un outil open source qui nous permet de superviser des machines

(Windows, linux, BSD, MAC os) compatible SNMP (simple network

management Protocol) sur un réseau TCP/IP, On peut toutefois surveiller des

machines incompatible SNMP a l’aide des scripts qui nous permettrons de faire

des Ping ou simuler des requête http etc.…


84

Installation

Prérequis

-Une machine Linux sous UBUNTU 10.04 LTS

-Internet

-Apache version2


85

Configuration

-Avant de commencer l’installation de NAGIOS CORE nous allons effectuer la

mise à jour à l’aide de la commande

# SUDO : super-utilisateur

# aptitude update

# aptitude safe-update

-Télécharger le BUILD-ESSENTIAL

-Installation du serveur WEB APACHE2

NB : les paramétrages du serveur NAGIOS se font via une interface web d’où la

nécessité d’installer APACHE

-Installer les librairies suivantes :

# apt-get install bind9-host dnsutils libbind9-60 libisc60 libisccc60 libisccfg60

libradius qstat radiusclient1 snmp snmpd

# apt-get install libd2-noxpm-dev libpng12-dev libjpeg62 libjpeg62-dev

-Puis lancer le serveur APACHE2 à l’aide de la commande :

# apache2ctl start

-Vérifier le bon fonctionnement du server WEB en tapant l’adresse de la

machine dans un navigateur WEB


86

- Pour des raisons évidentes de sécurité, le processus Nagios ne sera pas lancé en

root (droit administrateur). Nous allons créer un utilisateur système nommé

nagios et un groupe associé également nommé nagios. Le groupe nagios

comprendra les utilisateurs nagios et www-data (utilisateur avec lequel le

serveur Apache est lancé par défaut).

-Création de l’utilisateur NAGIOS

# useradd nagios

-Création du group NAGIOS

# groupadd nagios

-Ajout de l’utilisateur NAGIOS dans le group NAGIOS

# usermod –G nagios nagios

-Ajout de l’utilisateur www-data dans le group NAGIOS

# usermod –G www-data nagios

-Téléchargement de NAGIOS depuis les sources dans le répertoire /usr/src

# cd /usr/src

# wget http://prdownloads.sourceforge.net/sourceforge/nagios/nagios-

3.2.3.tar.gz

-Par défaut NAGIOS vient sans plugins ( extension) pour les télécharger tapez la

commande :

# wget http://prdownloads.sourceforge.net/sourceforge/nagiosplug/nagios-

plugins-1.4.15.tar.gz

Compilation de NAGIOS depuis les sources :

-Décompresser le fichier à l’aide la commande :

http://prdownloads.sourceforge.net/sourceforge/nagios/nagios-3.2.3.tar.gz

http://prdownloads.sourceforge.net/sourceforge/nagios/nagios-3.2.3.tar.gz

http://prdownloads.sourceforge.net/sourceforge/nagiosplug/nagios-plugins-1.4.15.tar.gz

http://prdownloads.sourceforge.net/sourceforge/nagiosplug/nagios-plugins-1.4.15.tar.gz


87

# tar –xzf nagios-3.2.3.tar.gz

# cd nagios-3.2.3

-Ensuite lance le processus d’installation

# ./configure

# make all

# make install

# make install-commandmode

# make install-config

# make install-init


88

# make install-webconf

-Création d’un lien symbolique

# ln –s /etc/init.d/nagios /etc/rcS.d/S99nagios

-activé le mot de passe pour l’interface de gestion web de nagios

# htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin

-Puis saisir le mot de passe

-Redémarrer le service APACHE à l’aide de la commande

# apache2ctl restart

Compilation des plugins NAGIOS depuis les sources : De base, NAGIOS est livré sans aucune extension (plugin). Il faut donc installer les plugins standards permettant de surveiller les machines de son réseau. #aptitude install fping libnet-snmp-perl libldap-devlibmysqlclient-dev libgnutls-dev libradiusclient-ng-dev php5 -Puis décompresser les les plugins NAGIOS # cd /usr/src # tar –xzf nagios-plugins-1.4.15.tar.gz # cd nagios-plugins-1.4.15 -Puis tapez la suite commande pour les compiler avec NAGIOS

# make


89

# make install -Nous allons effectuer un teste

-Ensuite nous allons lancer le serveur NAGIOS # /etc/init.d/nagios start


90

Test du serveur NAGIOS

-Tapez dans un navigateur WEB l’adresse suivante :

Surveillance à distance

Surveillance de machine Windows

-Dans un premier temps nous allons éditez le fichier de configuration des machines Windows

qui se localiser dans /usr/local/nagios/etc/objects/windows.cfg

# gedit /usr/local/nagios/etc/objects/windows.cfg

-Ensuite renseigner le champ hostname par le nom de votre machine Windows et adresse par

l’adresse IP dans notre le nom est WIN-SERVER et 172.16.1.3 comme IP


91

-Saisir le même nom au niveau de la section services define

-Enregistré puis quitter

Faite un test de configuration avec la commande de vérification

# /usr/local/nagios/bin/nagios –v /usr/local/nagios/etc/nagios.cfg


92

-Avant de redémarrer le service NAGIOS nous allons installer NSClient++ qui est le plugin

charge de renseigne notre serveur de supervision

-Pour télécharger NSClient++ tapez le lien suivant dans un navigateur Web

http://sourceforge.net/projects/nscplus/files/nscplus/NSClient%2B%2B%200.3.8/

Télécharger la dernière version disponible en format .MSI

-Puis installer sur la machine Windows à surveiller

-Cliquez sur typical puis sur NEXT

http://sourceforge.net/projects/nscplus/files/nscplus/NSClient%2B%2B%200.3.8/


93

-renseigner l’adresse IP du serveur NAGIOS et cocher les deux cases

Check_nt et check_nrpe puis NEXT

-Ensuite cliquez sur install

-Allez dans le menu démarrer dans exécuter tapez services.msc puis OK


94

-Localiser NSClient++

-Faite un cliquez droit et allez dans propriétés dans l’onglet connexion cochez la case

Autoriser le service à interagir avec le bureau

-Appliquer et OK

-Retourner sur le serveur NAGIOS puis recharge le deamon du serveur

#/etc/init.d/nagios restart

-Tapez l’adresse du serveur NAGIOS dans un navigateur suivi du /nagios


95

Renseigner le login et le mot de passe pour accéder à l’interface de gestion

-Cliquez sur hosts group

-Le tableau encadré en rouge représenter notre serveur Windows

-Cliquez sur WIN-SERVER pour voir les vérification de notre serveur


96

Webographie :

www.nicolargo.com

www.developez.com

http://www.nicolargo.com/

http://www.developez.com/


97

VI. Mise en place Ossec


98

Introduction

OSSEC est un HIDS (Host-based Intrusion Detection System). Il s’agit en quelque sorte

d’une sonde qui travaille sur une machine en particulier et analyse les éléments propres à cette

machine. OSSEC dispose de fonctionnalités adaptées à son utilisation, comme l’analyse de

logs, la détection de rootkit, les alertes en temps réel et les réponses actives.

OSSEC fonctionne sur la plupart des OS communément rencontrés : Windows, Linux, Mac

OS, HP-UX, solaris, … Il s’appuie sur un schéma client / Serveur :

d’une part le Manager, qui met à disposition les éléments permettant d’évaluer les clients et

stocke les informations renvoyées par ces clients

d’autre part un agent, qui se charge de récupérer les éléments nécessaires aux analyses et

pousse le tout au Manager


99

Installation et configuration d'Ossec sur Ubuntu

Ossec est un détecteur d'intrusion du type HIDS (Host-based Intrusion Détection System). Il

est l'un des HIDS des plus utilisés, très facile d'accès tant pour l'installation que pour

l'utilisation.

Mais que fait Ossec exactement :

Vérification de l'intégrité des fichiers systèmes.

Analyse des logs et remontée

Détection des rootkits

Mécanisme de prévention actif (lancement de règle iptables par exemple)

Sévérité des alertes classés de 0 à 15

Prérequis

Avant de passer à l’installation d’Ossec, il faut au préalable installer certains paquets, à

adapter selon vos besoins.

$ sudo apt-get update

$ sudo apt-get upgrade

$ sudo apt-get install wget man ssh build-essential libgnutls-dev check install

Téléchargement

Pour installer Ossec, il faut tout d’abord télécharger et décompresser la dernière version

wget http://www.ossec.net/files/ossec-hids-2.7.tar.gz

tar xzvf ossec-hids-2.7.tar.gz

cd ossec-hids-2.7.


100

Installation d’ossec avec la commande

./install.sh

Choix du role: serveur


101

Pour démarrer ossec on utilisera la commande :

# /var/ossec/bin/ossec-control start et pour stopper #/var/ossec/bin/ossec-control stop


102

Installation de l’interface web d’ossec

cd /var/www

wget http://www.ossec.net/files/ui/ossec-wui-0.3.tar.gz

tar xvzf ossec-wui-0.3.tar.gz

mv ossec-wui-0.3 ossec

chown -R user-apache: ossec

cd ossec

./setup

Ajouter un agent de surveillance sur un autre serveur :

Lancez cette commande sur le serveur ossec et suivez les instructions :

/opt/ossec-server/bin/manage_agents

Ensuite utilisez la commande suivante pour importer la clef que vous aurez copier, sur le

client, ce qui lui permettra de faire ces remontées au serveur ossec.

/opt/ossec-agent/bin/manage_agents

Ces commandes sont à adapter selon votre installation.

Maintenant rendez-vous à l'url qu’on a choisi pour l'interface :

Elle doit être de la forme : http://ossec.domain.fr ou http://ip-serveur/ossec

Si au lancement de l'interface web vous obtenez une erreur de type opendir failed

(/var/ossec) dans vos logs ou Unable to access ossec directory et que vous avez modifié le

répertoire d'ossec à l'installation (/opt/ossec... par exemple, il faut éditer le fichier

/var/www/ossec/ossec_conf.php et faire le changement adéquate :

/* Ossec directory */

$ossec_dir="/home/ossec";

Parfois il faut attendre quelques minutes avant d'avoir les premières remontées.

Administration et commandes:

Pour afficher la liste des agents actifs on tape :

/opt/ossec-server/bin/agent_control -lc

Enlevez le c pour avoir la liste de tous les agents meme ceux qui ne sont pas encore actif.

Pour interroger le status d'un agent le 002 par exemple on tape :

/opt/ossec-server/bin/agent_control -i 002


103

Screenshots :

Voici un petit aperçu de l'interface :


104

Conclusion

Il est indéniable qu’OSSEC dispose de fonctionnalités clé qui permettent d’avoir un état en

temps réel de votre infrastructure. En cela, il devient un des outils nécessaires à tout

administrateur voulant contrôler un peu plus ce qui se passe sur son parc.

Cependant, comme pour tous les outils puissants, il reste maintenant à faire un peu de tri dans

les informations renvoyées, afin de distinguer celles qui sont vraiment importantes de celles

qui relèvent plus de l’anecdote. Car c’est un risque identifié : plus il y a de bruit, et moins on

voit le problème…


105

VII. Mise en place Prelude


106

Introduction

Prelude-IDS est un système de détection d'intrusions et d'anomalies distribué sous licence

GPL, il est composé des types de détecteurs hétérogènes :

un NIDS : Network Intrusion Detection System : Snort

un HIDS : Host based Intrusion Detection System : OSSEC

un LML : Log Monitoring Lackey. Module de prelude : prelude-lml

Un tel système vient compléter la panoplie des équipements et logiciels de sécurité (routeurs

filtrants, serveurs proxy, pare-feu...) et offre à l’exploitant Sécurité et/ou l’analyste un outil de

contrôle des activités suspectes ou illicites (internes comme externes). L’intérêt de Prelude est

de pouvoir centraliser les alertes dans sa base de données et de les normaliser au format

IDMEF (Intrusion Detection Message Exchange Format), puis visualisable dans une interface

web

Pré-requis

Une bonne connexion Internet

Une machine Ubuntu version 8.04

Apt-get update

Apt-get upgrade

Puis ces paquets afin d’éviter certains problèmes lors de la configuration :

Apt-get install man wget ssh build-essential checkinstall libpcap-dev flex byacc gtk-doc-tools

libssl-dev libxml-dev libpcre3-dev libfam-dev gnutls-bin libgcrypt11-dev libgnutls-dev

libgpg-error-dev libopencdk10-dev libxmlsec1 libxmlsec1-gnutls


107

Installation et Configuration

Prelude fonctionne avec plusieurs modules qui sont:

Libprelude

LibpreludeDB

Pelude-Manager

Prelude-correlator

Prelude-LML

Prewikka

Libprelude

Libprelude est une bibliothèque permettant une communication sécurisée entre différentes

sondes et un serveur Prelude (Prelude-Manager). Pour l’installer il faut télécharger ce paquet :

Wget http://www.prelude-ids.com/download/releases/libprelude/libprelude-0.9.24.1.tar.gz

Apres on décompresse le paquet avec tar zxf libprelude-0.9.24.1 puis ./configure ; make et

make install. Puis ajouter la ligne /usr/local/lib tout en éditant le fichier /etc/ld.so.conf. Voir

figure1

figure1

Cette partie correspond à la configuration de Prelude en général, c’est-à-dire à Libprelude

installé sur un poste client ou serveur. En effet, quel que soit l’usage, et l’installation étant la

même sur les deux types de postes, la configuration de base de Prelude se trouve par défaut

dans le répertoire /usr/local/etc/prelude/default.

Ce dossier contient plusieurs fichiers de configuration tels que:

client.conf : il permet de configurer l’agent ou la sonde (prelude-correlator) mais aussi

d’indiquer l’adresse du serveur prelude-manager

global.conf : il est permet de paramétrer certaines options pour gérer des champs à remplir

lors de l’envoi d’alerte, ou encore pour préciser les informations sur le poste serveur ou client

(multiples adresses ip, nom du vlan, …etc).

idmef-client.conf : Quant à ce fichier, idmef-client.conf, il contient les liens vers les deux

fichiers précédents, à savoir client.conf et global.conf.

tls.conf : Afin de paramétrer la génération des certificats, comme la durée de vie ou la valeur

de la clé de cryptage (par défaut 1024), il faut éditer le fichier tls.conf

LibpreludeDB


108

La librairie LibpreludeDB permet la gestion du type et du format de la base de données

utilisée pour stocker les alertes au format IDMEF. Elle offre aussi la possibilité de gérer la

base de données sans utiliser du SQL, grâce à l’usage de commandes, spécialement

développées pour interagir depuis un terminal Linux.

Installer d’abord le paquet avec Apt-get install mysql-server puis télécharger la librairie dans :

Wget http://www.prelude-ids.com/download/releases/libpreludedb/libpreludedb-0.9.15.3.tar.g

On décompresse avec tar zxf, ./configure, make et make install puis éditer /etc/ld.so/conf le

fichier pour inclure les lignes suivantes. Voir figure2

figure2

Pour la configuration, il faut créer une base de données qui nous permettra de stocker les

alertes : il faut d’abord se connecter en tant root avec un mot de passe ici passe= pass=2. La

commande est :

mysql -u root –p. voir figure3

figure3 : connexion au server SQL

Puis créer la base et l’utilisateur qui va se connecter dans mysql-server. Voir figure4


109

figure4 : création d’une base de données

La connexion d’utilisateur au serveur mysql. Voir figure5

figure5 : connexion d’un user de la base

Prelude-Manager

Prelude-Manager est le composant principal de Prelude, il joue le rôle de serveur. En effet, il

réceptionne les alertes IDMEF provenant de ses sondes ou de ses composants (Prelude-

Correlator).

Pour l’installation on télécharge le paquet avec :

Wget http://www.prelude-ids.com/download/releases/prelude-manager/prelude-manager-

0.9.15.tar.gz puis on décompresse avec tar zxf, ./configure, make et make install

Apres éditer le fichier /etc/ld.so.conf pour inclure les lignes suivantes. Voir figure6

figure6

Pour la configuration de base il faut éditer le fichier suivant : prelude-manager.conf qui se

trouve dans /usr/local/etc/prelude-manager/prelude-manager.conf

Puis spécifier l’adresse sur laquelle prelude-manager doit écouter. Ici elle est globale

donc 0.0.0.0. Voir figure


110

Puis indiquer les paramètres de la base de données, ce qui permettra à prelude-manager d’être

prêt à démarrer et à fonctionner. Voir figure7

figure7 : paramètres de DB dans prelude-manager

Prelude-Correlator

C’est un outil de corrélation multiflux, utilisant des règles écrites en Python pour corréler les

alertes IDMEF reçues par Prelude-Manager. Pour l’installation d’abord préparer

l’environnement Python avec Apt-get install python puis télécharger le paquet de corrélation

avec : wget http://www.prelude-ids.com/download/releases/prelude-correlator/prelude-

correlator-0.9.0-beta6.tar.gz. Décompressez avec le tar zxf, ./configure, make et make install.

Puis inclure la ligne « include /usr/local/lib/prelude-correlator » dans le fichier /etc/ld.so.conf

Pour la configuration c’est simple car y a pas grande chose à faire, il suffit d’éditer le fichier

client.conf qui se trouve dans /usr/local/etc/prelude/default, pour inclure l’adresse du server

(ici 172.16.1.2). On peut implémenter des règles mais ce n’est pas le cas ici.

Prelude-LML

Prelude-LML est un analyseur de fichiers de logs. En agissant comme sonde auprès de

Prelude-Manager, il collecte et analyse les informations issues de tous types d’applications

émettant des évènements sous forme de journaux systèmes, de massages syslog, …etc. Il

détecte des activités suspectes lors de ses analyses, puis génère des alertes au format IDMEF

et les transmet au serveur Prelude.

Télécharger le paquet sur wget http://www.prelude-ids.com/download/releases/prelude-

lml/prelude-lml-0.9.15.tar.gz puis installer et inclure la ligne suivante :

Include /usr/local/lib/prelude-lml dans /etc/ld.so.conf

Pour configurer éditer le fichier /usr/local/etc/prelude-lml/prelude-lml.conf

Prelude-Prewikka

Interface web de Prelude. Prewikka permet de visualiser les alertes reçues par Prelude-

Manager. La mise en place de l’interface web nécessite d’installer quelques paquets

supplémentaires :

Apt-get install apache2 libapache2-mod-python mysql-server python python-dev python-

setuptools. Puis on télécharge le paquet avec wget http://www.prelude-

ids.com/download/releases/prewikka/prewikka-0.9.17.tar.gz. Apres on décompresse avec tar

zxf, ./configure, make et make install. Il y a des paquets pour l’interface qu’il faut installer :

Apt-get install cheetah


111

Python setup.py build

Python setup.py install

Pour la configuration, il faut d’abord, pour l’interface Prewikka, il faut créer une base de

données. Voir figure

figure8 : création d’une base de données prewikka

Pour la configuration de base il faut éditer le fichier prewikka.conf qui se trouve dans le

répertoire prewikka pour ajouter la base de Manager et celle de prewikka. Voir figure9

figure9 : fichier prewikka.conf


112

Pour la configuration de apache2 on crée d’abord un site pour notre prewikka ici

/etc/apache2/sites-available/prewikka puis on édite ce dernier pour le configurer. Voir

figure10

figure10 : fichier apache2 de prewikka

Il faut inclure le fichier prewikka dans /etc/apache2/apache2.conf

Puis redémarrer apache2 pour que la configuration faite soit prise en compte avec

/etc/init.d/apache2 restart

NB : N’oubliez pas d’inclure l’adresse du serveur prelude-manager dans le fichier client.conf

qui se trouve dans /usr/local/etc/prelude/default

Test

Apres l’installation et configuration de ces services, Prelude doit marcher mais ce qui n’est

pas le cas ici car il y a certains paquets qui ne s’installent pas donc aucun résultat.


113

Conclusion

L’application Prelude est disponible uniquement sous Linux, bien qu’il ait une offre payante

(support, fonctionnalités supplémentaires, …), le logiciel est gratuit.

Prelude est un SIM Universel. Prelude collecte, normalise, catégorise, agrège, corrèle et

présente tous les événements sécurité.

Visualisez en temps réel l'ensemble de vos données sécurité, exporter des rapports :

transformer vos données brutes en information utile


114

VIII. Mise en place Snort


115

Introduction

En anglais, Snort signifie «renifler ». Snort est un système de détection d'intrusion libre (ou

NIDS) publié sous licence GNU GPL (Licence définissant le mode d’utilisation et de

distribution des logiciels libres). À l'origine écrit par Martin Roesch, il appartient actuellement

à Sourcefire. Des versions commerciales intégrant du matériel et des services de supports sont

vendues par Sourcefire. Snort est un des NIDS les plus performants. Il est soutenu par une

importante communauté qui contribue à son succès.

Modes d’utilisation de Snort

Il existe 4 modes d’exécutions de Snort :

Mode sniffer

C’est un snif de réseau classique. Inutile de s’y attarder, d’autres logiciels comme wireshark

le font très bien, et la valeur réelle de Snort n’est pas là.

Mode Packet logger

De même que le mode sniffer, sauf qu’il écrit le résultat de son observation dans un fichier

log. Je ne m’y attarderai pas plus.

Mode NIDS (Network Intrusion Detection System)

Cela devient plus intéressant. Ce mode fait l’objet de mon stage. Il s’agit de l’utilisation de

Snort avec analyse du trafic aux vues de règles de sécurités actualisées. Snort en NIDS a une

valeur d’observation.

Mode IPS (IPS= Intrusion Prevention System) ou Snort inline

Le mode IPS n’est plus Snort à proprement parler. Il s’agit d’une autre version basée sur Snort

2.6 appelée Snort inline. Cette version permet de modifier ou de rejeter des paquets. Je

décrirai rapidement sa mise en place en fin de rapport.

w


116

Installation

L’installation se fera une station Ubuntu 10.4 avec les fonctionnalités indispensables à la

bonne réalisation de Snort. Pour installer ces paquets nous allons utiliser ces commandes

suivantes :

sudo apt-get install nmap

sudo apt-get install nbtscan

sudo apt-get install apache2

sudo apt-get install php5

sudo apt-get install php5-mysql

sudo apt-get install php5-gd

sudo apt-get install libpcap0.8-dev

sudo apt-get install libpcre3-dev

sudo apt-get install g++

sudo apt-get install bison

sudo apt-get install flex

sudo apt-get install libpcap-ruby

sudo apt-get install mysql-server

sudo apt-get install libmysqlclient16-dev

Data acquisition API Indispensable pour les versions de Snort après la 2.9.0. Ce composant

permet d’acquérir des paquets sur le réseau.

Sudo tar zxvf daq-0.6.2.tar.gz

Cd daq-0.6.2

Sudo. /configure

Sudo make

Sudo make install

Libnet


117

Libnet, est une bibliothèque opensource. Elle permet de fabriquer et d'injecter facilement des

paquets sur un réseau.

sudo tar zxvf libnet-1.12

cd libnet-1.12/

sudo make

sudo make install sudo ln –s /usr/local/lib/libnet.1.0.1 /usr/lib/ libnet.1

Installation de Snort NIDS

Une fois le fichier téléchargé, ouvrir un terminal et exécuter les commandes suivantes :

Sudo tar zxvf snort-2.9.2.tar.gz

cd snort-2.9.2

sudo ./configure --prefix=/usr/local/snort --enable-sourcefire

sudo make

sudo make install

sudo mkdir /var/log/snort

sudo mkdir /var/snort

sudo groupadd snort

sudo useradd -g snort snort

sudo chown snort:snort /var/log/snort


118

A cause d’un problème de connexion on du télécharger les paquets via navigateur, et donc

avec les commandes notées ci-dessus.

Les paquets étant téléchargées nous passons à la configuration de snort avec le fichier

snort.conf qui le grand problème de ce rapport parce de dernier est sensé se trouvé dans

etc/snort/snort.conf ce qui n’est pas le cas car quand on debute les configurations


119

On ne peut enregistrer la config vu que le fichier n’existe pas

Et donc nous avons vérifié dans etc et là nous ne trouvons pas le dossier snort


120

Ce fichier étant indispensable au fonctionnement de snort notre installation s’arrêtera ici.

Toutefois nous allons expliquer comment se fais une bonne config snort.

On comment par notre fichier snort.conf dans lequel nous feront les modifications suivantes

Interfaces réseau

Afin d’utiliser Snort, il nous faut donc 2 interfaces réseau. La première reliée à la console de

management, et la seconde au réseau à sniffer. Modification du fichier « interfaces »:

Sudo gedit /etc/network/interfaces

Et on remplace les lignes :

auto eth1 iface eth1 inet dhcp

Par :

auto eth1

iface eth1 inet static

address 172.16.1.3


121

Netmask 255.255.255.0

Network 172.16.1.0

Broadcast xxx.xxx.xxx.xxx

Gateway 172.16.1.10

On ajoute maintenant ces lignes qui permettront de démarrer l’interface avec son IP :

auto eth1

iface eth1 inet manual

ifconfig eth1 up

On enregistre et on relance :

sudo /etc/init.d/networking restart

Afin de lancer Snort automatiquement sur notre machine, on peut éditer le fichier rc.local :

sudo vi /etc/rc.local

On colle les lignes suivantes après « exit 0 » :

ifconfig eth1 up

/usr/local/snort/bin/snort -D -u snort -g snort \

-c /usr/local/snort/etc/snort.conf -i eth1

/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \

-G /usr/local/snort/etc/gen-msg.map \

-S /usr/local/snort/etc/sid-msg.map \

-d /var/log/snort \

-f snort.u2 \ -w /var/log/snort/barnyard2.waldo \ -D

On enregistre et on quitte le fichier. Désormais, en redémarrant ou en utilisant la commande

ci-dessous, on lance Snort :

sudo /etc/init.d/rc.local start

Test de la configuration de Snort

Création d’une règle locale de test

Editer le fichier local.rules, ou bien le créer s’il n’existe pas.


122

$ sudo gedit /etc/snort/rules/local.rules

Puis y ajouter cette ligne de test, qui sert à envoyer des alertes lorsque Snort sniffe et détecte

des pings sur le réseau :

alert icmp any any -> any any (msg:"test ICMP";sid:10000001;)

Lancement de Snort

Démarrage de Snort:

$ sudo /usr/local/snort/bin/snort -c /etc/snort/snort.conf

Test

Lancement du test de la règle local.rules :

$ sudo ping x.x.x.x

Vérification

Puis vérification de la présence des alertes générées, normalement, après le test, dans la base

de données, et dans le fichier de logs :

$ sudo gedit /var/log/snort/alert

Et/ou

$ sudo mysql –u snort –p –D snort –e “select count(*) from event”

Administration de Snort

Snort ne possède qu’une seule commande, snort, cette dernière regroupe toutes les options

nécessaires pour le fonctionnement de l’application.

Usage :

/usr/local/snort/bin/snort [-options] <filter options>

Pour plus d’informations sur les options de la commande :

/usr/local/snort/bin/snort --h

Démarrage de Snort

Pour démarrer Snort, il faut entrer cette commande :

$ sudo /usr/local/snort/bin/snort -c /etc/snort/snort.conf

La visualisation des alertes se fait dans le fichier alert :

$ sudo gedit /var/log/snort/alert


123

Conclusion

Snort est outil puissant de sécurité réseau qui a pour rôle d’écouter sur le réseau

à la recherche d’attaques de pirates, qu’il détecte grâce à de nombreuses règles.

Dans notre projet snort n’a pas marché en virtuel mais dans une implémentation

parallèle sur machine physiquement ce dernier est fonctionnel à 100 % et ça sera

cette machine qu’on utilisera dans la mise en place du projet.


124

Mise en place zone DMZ


125

A. Mise en place Pare-feu


126

Introduction

Pfsense, ou ≪ Packet Filter Sense ≫ est un Firewall / routeur propose en Live CD d’environ

50Mo (installable a la manière d’Ubuntu par exemple). Pfsense est base sur un système

d’exploitation BSD, réputé pour sa stabilité et sur m0n0wall qui est aussi un Firewall /

Routeur Open

Source mais conduit par un autre projet.


127

Installation

D’abord l’installation s’est effectuée sur Virtual Box avant d’être implémenté physiquement

L’installation se fait comme suite :

Premièrement insérer le CD dans le lecteur ou le monter dans lecteur virtuel

Choix du lecteur sur lequel vous voulez qui boot dans mon cas j’ai choisi le <<H :>> ensuite

de ça appuyer sur démarrer


128


129

Entre temps à vous de faire votre choix ; pour cette installation j’ai choisi l’option 1 qui est

l’option par défaut

Pour installer appuyer sur (I)

Pour installer en live CD appuyer sur (C)

Dans ce cas on choisit I et attendez une interface bleu

Appuyez sur Accept these settings


130

De mon coter j’ai choisi la première option qui est Quick/Easy Install c’est plus flexible et

facile et appuyer sur OK


131

Vous avez un message affiché qui vous de dit redémarrer et après redémarrage retirer le CD

Et voilà votre système qui redémarre


132

Configuration

La configuration du pare-feu comprend trois cartes réseaux d’où la :

Première est externe

Deuxième est interne

Troisième est le Dmz

Vous êtes invités à entrer le nom de chaque cartes réseaux

La question vous ait posée, voulez-vous procéder oui ou non ? Vous devez dire oui si vous

voulez que le changement de nom de vos trois interfaces puisse prendre effet.

Pour attribuer d’adresse ip à différentes interfaces, appuyez sur (2)


133

Suivez les instructions et faites de même pour tous les autres

Nous allons essayer de configurer les règles mais bien avant, nous prendrons une machine

avec laquelle nous tenterons d’accéder à l’interface graphique du serveur pare-feu pfsense.

Vous verrez une interface graphique après avoir mis l’adresse ip de votre choix dans l’URL

ensuite un login et un mot de passe par défaut vous ait demandé qui est :

Login : admin

Password : pfsense


134

Pour configurer tous ce qu’il nous faut pour le pare-feu appuyer sur settings-setup wizard

Ici vous observerez les différents champs à remplir

-INTERNE


135

Voici la configuration de l’interne

Pour configurer les règles il faut cliquer sur firewall-rules


136

Ensuite vous faites Save et apply changes


137

La première règle permet à ceux de l’interne d’atteindre l’externe.

La deuxième permet à ceux de l’interne d’échanger entre eux.

-DMZ

Remarquez comme je vous l’avais dit précédemment qu’il faut sauvegarder et appliquer les

changements

Vous faites les mêmes choses que celui de l’interne


138

C’est aussi la même règle appliquée pour le DMZ

-EXTERNE


139

Conclusion

Une conclusion voudrait que le travail soit achevé, or nous venons d’initier un document

Poussé à évoluer. En effet vous avez surement remarqué que certains services proposés par

Pfsense ne sont pas traités. Or pour ainsi dire que le travail à fonctionner il faudrait y arriver

au test, d’où l’application pfsense est un logiciel linux permettant d’administrer un réseau

entier comme par exemple configurer un proxy, vpn, etc… Elle permet d’accomplir plein de

taches.


140

B. Mise en place DNS


141

Introduction

Un serveur de nom fait la résolution des noms en adresses IP. Il est l’un des composantes les

plus critiques dans un réseau. La nécessité de mettre en place un serveur de nom dans un

réseau vient du fait que le serveur principal pourrai être non disponible.cette installation de

DNS sera suivit de l’installation d’un raid5 sur le serveur dans le but d’améliorer les

performances et augmenter la fiabilité en apportant la tolérance de panne. (Redundant Array

of Independant Disks )


142

I. etape1 : configuration du DNS

Afin d’installer un D N S sous linux nous avons besoin d’insttaller bind9,pour cela ouvrons

le terminal et tapons :

#apt-get install Bind9

Apres l’installation des paquets position nous sous /etc /bind et faisons cp –r bind bindold

Editons le fichier name.conf.local en ajoutant les parametres ZONE pour cela taponst #gedit

name.conf .local

Copions ensuite notre fichier db.local dans security.zone qui est un répertoire qu’ on crée

(mkdir

#cp db.local security.zone et éditons security.zone


143

#gedit security.zone

Puis copions security.zone dans security.local

#cp security.zone security.local

Editons aussi security.local

#gedit security.local


144

Editons le fichier rsolv.conf après nous être positionné sur le répertoire /etc

#gedit resolv.conf

Inserer le parameter :nameserver 192.168.1.1(adrresse de votre serveur DNS)

Et enfin editer le dernier fichier qui est HOSTS

#gedit hosts


145

ajoutons ce parametre dans le fichier hosts :192.168.1.1 DNS security.com

DNS.security.com

Redemarons le service avec /etc/init.d/bind9 restart

Verifons si notre DNS marche avec la commande dig security.com


146


147

I. etape2 : configuration d’un raid5

Configuration d’un raid 5

Installons d’abord le paquet mdadm#apt-get install mdadm

Puis installons le paquet ncurses #apt-get install libncurses5-dev

et installons :

Positionons nous sur /usr/src/linux-headers-2.6.32-21

Et faisons #make menuconfig et choisissons Device drivers(entrer pour selectionner)


148

Selectionner la ligne multiple driver support


149

Chageons l’etat modulaire des raids en static(M en etoile)

Sortons du noyau et entre YES pour valider nos changements


150

Creons nos partitions de nos trois disque

Commençons par le disque sdb qui est le premier disque qui ne possede pas encore de

partition

Commande(m pour l’aide) : n (tapons n)

Commande d’action : tapons P pour une partion primaire

Numero de partition (1-4) : 1 (tapons 1)

Laissons le premier cylindre et le der nier cylindre sur la valeur par defaut qui est 1 , qu’ on

vient de choisir precedement

Pour le code hexa :tapons la valeur Fd

Commande(m pour l’aide) : W (tapons W pour finaliser la partition du disque notre )


151

Ces etapes de partition doivent etre repeter pour les deux autres disque sdc et sdd

Tapons la commande suivante pour créer un volime raid5 : mdadm --create /dev/md0 --

level=5 --raid-devices=3 /dev/sdb1 /dev/sdc1 /dev/sdd1

Enregistrons le volume raid 5

Scannons ensuite le volume raid et inscrivons le dans fichier mdadm.conf

Creation d’un system de fichier


152

Montons ensuite le volume dans un fichier raid5 que nous créons .

Editons le fichier /etc/fstab et inserons la ligne suivante :

/dev/md0 /mnt/raid5 auto defaults 0 3

Enfin enre

Enfin enregistrons et quittons ce fichier.

Lancer un redémarrage de votre machine et lister vos disque vous verrez qu’ils sont

partitionner.


153

Conclusion

grâce au système (Domain Name System) il est possible d'associer des noms en langage

courant aux adresses numériques. Le système DNS nous propose donc :

un espace de noms hiérarchique permettant de garantir l'unicité d'un nom dans une

structure arborescente, à la manière des systèmes de fichier Unix.

un système de serveurs distribués permettant de rendre disponible l'espace de noms.

un système de clients permettant de « résoudre » les noms de domaines, c'est-à-dire

interroger les serveurs afin de connaître l'adresse IP correspondant à un nom.


154

C. Mise en place serveur Mail


155

Introduction

Exchange est un produit qui a commencé sa carrière en 1996. À l'époque, Active Directory

n'existait pas. Depuis l'apparition d'Active Directory en 1999, Exchange se base dessus. Les

versions avant Exchange 2000 embarquaient donc leur propre annuaire pour gérer les

utilisateurs. Aujourd'hui, nous sommes à la version 2010. Cette version apporte de nombreux

changements par rapport à la version 2007, notamment sur la partie haute disponibilité et les

besoins matériels (revus à la "baisse). Je ne vais pas présenter ces nouveautés en tant que

telles. De nombreux webcasts sont disponibles sur le site de Microsoft pour découvrir les

nouveautés entre Exchange 2007 et 2010. Dans ce tutoriel, je vais présenter les différents

composants et technologies d'Exchange puis je commencerai par créer une architecture

simple. Ensuite, nous verrons comment implémenter cette architecture. Nous n'allons pas voir

les services de messagerie unifiée qui feront l'objet d'un autre article ni la mise en place d'une

architecture en haute disponibilité.


156

Installation

Exchange Server à besoin d'Active Directory (au minimum sur Windows Server 2003) pour

fonctionner. Active Directory va servir à stocker différentes données et également les comptes

utilisateurs activés pour la messagerie.

Plusieurs rôles et fonctionnalités sont requis pour l'installation d'Exchange. Exchange est

fourni avec plusieurs fichiers de configuration selon les rôles à installer. Ces fichiers, au

format XML, se trouvent dans le répertoire Scripts du DVD. Pour installer les prérequis d'une

installation typique d'Exchange, lancez :

POWER SHELL

ServerManagerCmd -ip E:\Scripts\Exchange-Typical.xml

Import-Module ServerManager

Add-WindowsFeature NET-Framework,NET-HTTP-Activation,Web-Server,Web-ISAPI-

Ext,Web-Basic-Auth,Web-Digest-Auth,Web-Windows-Auth,Web-Dyn-Compression,Web-

Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-

ADDS,RSAT-Clustering,RSAT-Web-Server,RPC-Over-HTTP-proxy

Set-Service NetTcpPortSharing -StartupType Automatic

NET-Framework : Fonctionnalités du .NET Framework 3.5.1 ;

NET-HTTP-Activation : Activation HTTP ;

Web-Server : Serveur Web (IIS) ;

Web-ISAPI-Ext : Extensions ISAPI ;

Web-Basic-Auth : Authentification de base ;

Web-Digest-Auth : Authentification Digest ;

Web-Windows-Auth : Authentification Windows ;

Web-Dyn-Compression : Compression de contenu dynamique ;

Web-Metabase : Compatibilité avec la métabase de données ;

Web-Net-Ext : Extensibilité .NET ;

Web-Lgcy-Mgmt-Console : Outils de gestion IIS 6 ;

WAS-Process-Model : Modèle de processus ;

RSAT-ADDS : Outils AD DS ;

RSAT-Clustering : Outils de clustering avec basculement ;

RSAT-Web-Server : Outils du serveur Web (IIS) ;

RPC-Over-HTTP-proxy : Proxy RPC sur HTTP.

Enfin, il vous faudra installer le Filter Pack d'Office 2010 64 bits (FilterPackx64.exe). Ce

pack est utilisé pour l'indexation et le scan des fichiers Office.


157

Déploiement

L’installation débute donc avec l’option de langue (français), vu qu’on a NET

FRAMEWORK 3.5 sp1 et power Shell v2 installés

L’option de langue étant sélectionnée ainsi que ceux du contrat Microsoft, on passe aux rôles

exchange


158

Dans la partie des rôles exchange 2010 nous choisirons l’installation personnalisée vu qu’on

n’aura pas à utiliser le rôle transport EDGE, lui seulement.


159

Ici on a sélectionné tous les autres rôles et on passe au prochain stade ou on s’assurera prendre

l’option «NON» vu qu’on pas Outlook 2003 dans notre infrastructure.

Ensuite nous le test de préparation ou nos configurations antérieures seront examinées, après

quoi si le test est concluant ce qui notre cas on débutera l’installation proprement dite


160

Nous venons d’installer avec succès exchange 2010 avec tous ses rôles.


161

L’installation étant terminée, nous allons lancer exchange afin de créer les nos boites aux

lettres


162

Configuration

Dans la création des boites aux lettres, nous allons utiliser la console Shell Exchange pour sa

rapidité avec la syntaxe suivante :

New-Mailbox -Name 'testmail' -Alias 'mail' -OrganizationalUnit 'UO' -

UserPrincipalName'mail' -SamAccountName 'test' -MAIL '' -Initials '' -test''

Ainsi nous créeront toutes nos boites


163

Conclusion

Avec Microsoft Exchange Server 2010, nous atteignons vos objectifs tout en maîtrisant les

coûts de déploiement, d’administration et de conformité. Exchange propose un vaste éventail

d’options de déploiement, nous protège contre les pertes d’informations et vous aide à

respecter les contraintes réglementaires. C’est sans conteste la solution de messagerie et de

collaboration la plus efficace du moment.


164

D. Mise en place Apache


165

Introduction

Apache est le serveur web le plus répandu sur Internet permettant à des clients

d'accéder à des pages web, c'est-à-dire en réalité des fichiers au format HTML à partir

d'un navigateur installé sur leur ordinateur distant.

Il s'agit d'une application fonctionnant à la base sur les systèmes d'exploitation de type

Unix, mais il a désormais été porté sur de nombreux systèmes, dont Microsoft

Windows.


166

I. Création de la page web avec apache2

Tout d’abord installons le Packet apache2 avec la commande apt-get install apache2

Ensuite créons un fichier vhost.conf dans /etc/apache2 grâce à la commande : touch

vhost.conf

Copions le fichier default se trouvant dans /etc/apche2/sites-availlable dans

/etc/vhost.conf puis éditons comme suit :

Une fois cette étape passée, créons un dossier site, puis un fichier index.html dans le

dossier site. Donc tapons mkdir site puis touch index.html.

Ensuite éditons notre fichier index.html


167

Enfin nous devrons inclure notre fichier vhost.conf en faisant gedit

/etc/apache2/apache2.conf


168

II. Sécurisation de la page web

Pour que le protocole SSL puisse fonctionner avec le Serveur HTTP

Apache2, il faut activer le module ssl avec la commande : a2enmod ssl

Ensuite Activons la configuration du site ssl avec la commande a2ensite

default-ssl

Enfin redémarrons le service apache2

Dans le navigateur, vérifions si notre page web est bien sécurisée en tapant

l’adresse de notre site qui est de 192.168.1.2 .une page apparait nous indiquant

que cette connexion n’est pas certifiée.

Cliquons ensuite sur je comprends les risques

puis sur ajouter une exception


169

Enfin confirmons l’exception de sécurité

Ici s’affiche notre page web sécurisée.


170

Cliquons sur l’adresse pour voir les détails de la connexion sécurisée https


171


172

III. Mise en place du raid 5

Le R.A.I.D 5 aussi appelé agrégat par bandes avec parité, est un système permettant de mettre

en place une tolérance de panne au niveau des disques.

Un R.A.I.D 5 se constitue au minimum avec 3 disques avec un système de parité permettant

de récupérer les données même dans le cas d'une panne d'un des disques.

Pour commencer installons les paquets suivant :

apt-get install mdadm.

apt-get install debconf-utils build-essential kernel-package libncurses5-dev.

Ensuite on fait cd /usr/src/linux-headers-2.6.32-21.

Tapons make menuconfig pour rentrer dans le noyau.

Une fois dans le noyau, choisissons Device Drivers

Dans Device Drivers sélectionnons Multiple Devices Driver support (RAID and LVM)


173

Sélectionnons les éléments comme suit :

Enregistrons et quittons


174

Listons les disques avec fdisk -l

Créons les partitions pour les trois disques.

Pour /dev/sdb tapons fdisk /dev/sdb

Tapons n pour créer une nouvelle partition


175

P pour la partition primaire

1 pour le numéro de la partition

t pour modifier l’ID du système de fichier ensuite fd

W pour enregistrer et quitter

Pour les deux autres disques (sdc et sdd) faire la même chose que le premier disque.

Création du volume raid 5 grâce a la commande mdadm --create --verbose /dev/md0 --level=5

--raid-devices=3 /dev/sdb1 /dev/sdc1 /dev/sdd1


176

Enregistrons le volume en tapant la commande ci-dessous :

Créons le système de fichiers

Mottons le volume dans /opt/SAUVEGARDE.SAUVEGARDE étant un dossier

préalablement crée

Dans le fichier fstab insérons la ligne suivante mount /dev/md0 /opt/SAUVEGARDE 0 3


177

Conclusion

Ici mais fin à la configuration de notre serveur web apache2. Pour accéder

au site web il faut utiliser un client web.

Notre raid5 quand à lui nous permettra de prévenir en cas de panne d’un

disque.


178

E. Mise en place Asterisk


179

Introduction

L’administrateur de réseaux doit comprendre différentes technologies liées de près à son

champ d’expertise. Dans ce contexte, la téléphonie IP devient un incontournable. Cette

technologie, relativement nouvelle, est de plus en plus présente dans nos organisations.


180

I) Configuration d’Asterisk

Configuration de notre fichier sip.conf pour l’enregistrement de nos utilisateurs

Configuration de notre fichier extensions.conf


181

Configuration de nos téléphones Xlite pour passer les appels

Entrons les paramètres de configurations des utilisateurs


182


183


184


185

II) Mise en place du RAID

Mise en place du Raide 5 : Créons tout d’abord trois disk qui prendront en charge notre RAID

Pour la création du Raid, il faut tout d’abord :

Se placer dans le fichier

Après tapez la commande make menuconfig pour se positionner dans le noyau afin

d’activez le paramètre du RAID choisit


186

Voyons no différents disk

Sur chaque disque entrons la commande suivante :

Fdisk /dev/sdb

N pour crée une table de partition

P pour choisir le type de partition (primaire(1))

T pour changer ID du disk

Fd pour changer en hexadécimal


187

Création du RAID de niveau 5 (RAID5)

Il faut ensuite enregistrer ce nouveau volume auprès de mdadm et le déclarer actif. Si le

fichier mdadm.conf n’existe pas, on le crée puis on y écrit la ligne :

Ensuite on appelle mdadm une nouvelle fois pour scanner les volumes RAID existants et les

inscrire dans ce fichier :

Création du système de fichiers du volume RAID

Puis pour monter le volume dans, par exemple, le dossier /mnt/mount


188

Il peut être pratique de toujours monter le volume RAID5 au démarrage du système, pour cela

ajoutons dans le fichier /etc/fstab la ligne :


189

Conclusion

Le RAID5 permet de sécuriser ses données, certes, cependant il est faux de croire qu’il est

infaillible. Ce système permet de récupérer les données si un disque est défaillant, mais dans

le cas où les deux disques lâchent en même temps alors toutes les données sont perdues. En

résumé le RAID5 permet de sécuriser ses données dans une certaine mesure ; mais il ne

dispense pas de faire des sauvegardes sur d’autres supports : CD/DVD, disques externes,

voire si les données sont vraiment sensibles (en entreprise par exemple), redondance sur un

autre serveur placé sur un site différent et/ ou archivage sur bandes magnétiques.


190

Mise en place zone EXTERNE


191

Pour cette zone il nous suffit de configurer le carte du réseau EXTERNE pour qu’elle reçoit les

adresses dynamiquement


192

Conclusion Générale

Dans ce projet, nous avons mis nos compétences techniques en œuvre malgré que la réussite a

été partielle. Mais avec le temps nous y remédions à ces problèmes dans la mesure du

possible.

Documents

Projet-securite-réseaux