[Rapport de Stage au CIRISI Clermont-Ferrand]

2011-2012

TBPSEN

JEANPIERRE Nicolas

Sommaire

I. Présentation générale de stage:- 1.1 lieu- 1.2 composition de l’équipe, rôle de chacun

- 1.3 organigrammeII. Mon rôle au sein de l’entreprise.

III. Activités et travail effectué durant mon stage : - 3.1 au DETSIC- 3.2 au CIRISI :

- 3.2.1 premier projet- 3.2.2 deuxième projet

IV. Conclusion, remerciement.

1

I. Présentation du lieu de stage1.1 Lieu du stage

J'ai effectué mon stage au CIRISI (Centre Interarmées des Réseaux d’Infrastructure et des Systèmes d’Information) de Clermont-Ferrand qui est sous la responsabilité de la DIRISI (Direction Interarmées des Réseaux d’Infrastructures et des Systèmes d'Information) de Lyon. La DIRISI gère la région sud-est de la France en système d'information et de télécommunication militaire.

Le CIRISI de Clermont-Ferrand se trouve au quartier Desaix (92e régiment d'infanterie) et s'occupe du système informatique de toute la région Auvergne avec le DETSIC qui lui est présent dans chaque base militaire alors que le CIRISI est juste à Clermont-Ferrand au quartier Desaix mais peut être appelé en intervention dans les bases qu'il soutien.

Les bases militaires dans lesquels se trouvent les DETSIC en Auvergne sont:- Moulins- Issoire- Gravanche Clermont-Ferrand- quartier Desaix Clermont-Ferrand - Varennes/Allier- le Puy-en-Velais- Bourg-Lastic (Cantal)

1.2 Rôles de chacun

Le DETSIC (détachement système d'information et communication) s'occupe de la maintenance et l’installation des postes de travail informatique. Le DETSIC est composé de civils et de militaires. Les techniciens interviennent sur tous les problèmes liés aux postes informatiques.

Le CIRISI est responsable de la maintenance du réseau informatique comme le brassage des prises Ethernet et fibre optique, l'installation et la configuration de switch dans les baies de brassages. Le CIRISI s'occupe aussi de la téléphonie en mettant en fonction les lignes téléphonique au niveau de leur centrale téléphonique. Le CIRISI est composé de techniciens civils.

Il y a des intermédiaires entre les techniciens et les utilisateurs: ce sont les correspondants SIC (système d'information et communication) chargés de transmettre et de filtrer leurs les demandes d'interventions vers les techniciens.

2

1.3 Organigramme

3

Chef CIRISI Clermont Capitaine MILBERG

Antenne Varennes/Allier

Division exploitation

PSHChef Division installation

TSEF CARRETERO

SEC

CIRISI SSI

Contrôle de gestion

Coordinateur/ conduite

SCH SILVERIO

Atelier réseau Mr. Sauvant

Atelier TPH MagasinAntenne Varenne/Allier

DETSIC Clermont

DETSIC Gravanche

Antenne Moulins

DETSIC Issoire

II. Mon rôle au sein de l'entreprise

Durant mon stage j’ai été considéré comme un technicien.

Au début j’ai travaillé au DETSIC. J’étais en charge de configurer des ordinateurs. En fin de stage j’ai travaillé au CIRISI pour la configuration des sous réseaux internet et station antivirus. Entre temps j’ai assisté le technicien téléphonie à la mise en service de lignes pour le quartier Desaix.

Je me suis assez vite intégré au sein des différentes équipes de techniciens.

4

III. Activités effectuée durant mon stage

3.1 DETSIC

Durant ma présence au DETSIC j’ai configuré des postes de travail grâce au logiciel « Acronis 12 ». Ce logiciel permet, à partir d’un ordinateur correctement configuré de créer une image.Cette image est ensuite utilisée pour paramétrer rapidement les autres machines.

Je ne vais pas parler de l’utilisation d’Acronis car je l’ai déjà fait dans mon rapport de stage de 1 SEN.

5

3.2 CIRISI

Lors de ma présence au CIRISI, Mr CARRETERO m’a confié le projet suivant :

Optimisation du réseau du quartier DESAIX.

Avec 2 objectifs particuliers:- Optimisation du réseau existant en libérant des liaisons optiques entre

les bâtiments- Mise en réseau des stations blanches (poste antivirus) en utilisant le réseau

internet.

6

3.2.1 Objectif numéro 1 : Optimisation du réseau en libérant des liaisons optique inter bâtiments

J’ai défini les étapes suivantes :

- analyser le plan du réseau internet dans le quartier Desaix (position des switchs et des liaisons optiques)

- optimisation du réseau (déplacement éventuel d’éléments actifs pour libérer des liaisons inter-bâtiments)

- étude de faisabilité de mouvement du switch AT8516F (switch fibre optique) internet du bâtiment A vers bâtiment B

- élaboration d’un nouveau plan de réseau

- déplacer le switch AT8516F du bâtiment A vers le bâtiment B ce qui libérera 4 liaisons FO (fibre optique) entre ces 2 bâtiments

- vérifier le bon fonctionnement du switch après son déplacement.

Switch AT8516F : switch fibre optique (appelé aussi étoile optique) 16 ports fibres (2 supplémentaires possible)

7

Plan du réseau internet avant modification

Bat A

j

Bat B

8

Box internet Serveur Alcazar SWITCH internet 1

SWITCH FIBRE OPTIQUE

Switch internet 2

Convertisseur FO/ADSL 2 BAT H

SWITCH INTERNET 5

BAT C

CONVERTISSEUR FO/ADSL 3 BAT E

SWITCH INTERNET 6

BAT D

SWITCH INTERNET 4 BAT G OUEST

CONVERTISSEUR FO/ADSL 1 BAT F

BAT G EST

PAS D’ACCES INTERNET

SWITCH FIBRE OPTIQUE 2BAT C

Plan du réseau après modifications

Le switch internet 7 du bâtiment G EST a été rajouté pour le deuxième objectif

9

BAT A

BOX INTERNET ALCAZAR SWITCH INTERNET 1

BAT B

SWITCH INTERNET 2 SWITCH FIBRE OPTIQUE

CONVERTISSEUR FO/ADSL 2 BAT H

CONVERTISSEUR FO/ADSL 1 BAT F

BAT G EST

SWITCH INTERNET 7

BAT G OUEST

SWITCH INTERNET 4

SWITCH INTERNET 6

BAT D

SWITCH FIBRE OPTIIQUE 2BAT C

CONVERTISSEUR FO/ADSL 3 BAT E

SWITCH INTERNET 5 BAT C

3.2.2Deuxième objectif : Mise en réseau des stations blanches ( poste antivirus ) en utilisant le réseau internet

Station blanche (SB) : poste antivirus, mis à jour manuellement permettant de scanner les périphériques venant de réseaux extérieur et vérifier la présence ou non de virus.

But de la mise en réseau des SB : création d’un serveur antivirus McAfee permettant la mise à jour des stations blanches à distance et au même moment en utilisant un Vlan.

Opérations effectuées avant la mise en place des stations blanches sur le Vlan SB :

- Recenser les Stations Blanches, leurs positions géographiques dans le quartier Desaix.

- étudier la possibilité de raccorder les SB au réseau en limitant les éventuels déplacements

- S’il y a une prise libre pour installer la station blanche en réseau demander le brassage de la prise en question (brassage : mise en fonction d’une prise Ethernet dans

l’armoire réseau du bâtiment en la reliant à un switch soit internet/SB soit intranet)

- Configuration des Vlans internet et station blanche sur les Switch déjà utilisés pour les postes « internet »

- Configurer le serveur Station Blanche (lui permettre d’attribuer des adresses IP aux stations blanches à leur connexion et nommer les stations blanches dans la base de registre du serveur en fonction de leur position dans le quartier Desaix.)

- installer les SB en réseaux, vérifier le bon fonctionnement des Vlans et les mettre à jour.

10

Pour trouver la configuration exact des vlans SB et internet j’ai fait une maquette en utilisant :

- 2 switch Allied Telesis 8000S 16 port plus un port combo RJ45/SFP Gigabit (qui est un port ou Ethernet ou fibre optique)

- 2 module SFP fibre optique 100FX (correspondant à une vitesse de transfert de 100mo/s maximum, la box internet ne peut pas faire du 1go/s coté LAN).

- 1 switch AT 8516F équipé de 16ports fibre et qui sert à relier les switch entre eux via leur port FO

Chaque switch possède une liaison HyperTerminal afin de les configurer avec un ordinateur.

- jarretière fibre optique et câbles Ethernets pour la liaison fibre

- un point d’accès internet

11

Jarretière FO

Etoile optique (AT8516F)

AT 8000S/16ports, 1giga combo

Liaison HyperTerminal

La configuration des 2 switchs AT 8000S 16 ou 24 ports devait être celle-ci :

- les ports fibre devaient appartenir au vlan 1(vlan par défaut) et avoir accès au 2 autre Vlans (vlan 2= internet et vlan 3= SB) en les taguant sur ces 2 vlan

-tous les autres ports sauf les 4 derniers des switchs sont intégrer au Vlan internet (vlan2)

- les 4 dernier ports au vlan SB (vlan 3)

Les configurations sont effectuées avec la liaison HyperTerminal :

Pour se connecter par HyperTerminal il faut configurer la session :

Vitesse: 115200Bit de données: 8Parité : AucuneBit de stop : 1Contrôle de flux: Aucun

12

Création et configuration des 2 Vlans :

13

Création des Vlans : internet (vlan2) et Stationblanche (vlan3)

Assignation des ports à leur Vlan

Le nom des VLAN doit être configurer sans espaces entre les caractères

Commandes pour donner accès au vlan 2 et 3 au(x) port(s) fibre(s) :

ConfInterface ethernet g(numéro du ou des port(s )fibre) Switchport mode trunk active le mode trunk des ports choisisSwitchport trunk allowed Vlan add 2,3 Donne accès au vlan choisitEnd Après validation de la configuration des SW en atelier j’ai appliqué celle-ci au réseau réel.Tous les switchs ont dû être configurés le plus rapidement possible pour éviter une coupure trop longue, le réseau étant utilisé en permanence. Les ports des switchs fibre optique ont été tagués sur les 2 Vlans sauf ceux qui étaient reliés à un convertisseur FO/ADSL car les convertisseurs ne lisent pas les « tag »

Après la configuration des Switchs il a fallu récupérer les Stations Blanches afin de les rentrer dans la base de registre du serveur antivirus, les renommer, les mettre à jour et les installer à leur place définitive.

14

Armoire de brassage (bat A avant déplacement de l’étoile optique)

15

Prises Ethernets du bâtiment

Liaison fibre optique entre les bâtiments

Switch internet AT8000S 24 ports +2 ports FO étoile optique AT8516F

Switch intranet AT8000S 48ports+ 2ports FO

Convertisseur FO/ADSL

Liaison fibre d’une armoire de brassage

16

Liaison fibre

Configuration du serveur station blancheInstallation d'un serveur DHCP Win2008 (Assistant + Powershell) Introduction : Cet article détaille l'installation d'un serveur DHCP sous Windows Server 2008 à l'aide de l'assistant mais également en ligne de commande avec le Shell de Powershell V2.0. Fonctionnement du DHCP : DHCP pour Dynamic Host configuration Protocol permet la configuration réseau automatique d'une machine. Le serveur fournit donc la configuration TCP/IP tel que : - Adresse IP - Masque de sous-réseau - Passerelle - Le nom du domaine - Le type de nœud NetBIOS - Et bien d'autres... Ces adresses sont allouées suivants des baux. Le bail est à réglé suivant le type de machine dans votre réseau ainsi que le nombre d'adresses disponibles. Si vous possédez une plage d'adresses réduites il faudra utiliser des baux courts (1 à 2 jours). De même pour l'utilisation de stations de type nomades (WIFI) les baux ne devront pas dépasser 1 jour. Dans le cas de stations fixes Microsoft recommande des baux de 8 jours. Suivant la topologie de votre réseau cette valeur peut être modifiée. Le serveur DHCP garde les Logs des adresses allouées sur le réseau aux clients. Il est ainsi facile de retrouver une machine source d'ennuis (Scan du réseau, accès non autorisé sur l'internet...) Par défaut la base de données et les Logs sous Windows Server 2008 sont stockées dans C:\Windows\System32\dhcp

17

Les sauvegardes des Logs se trouvent quant à eux dans C:\Windows\System32\dhcp\backup

Installation du service avec l'assistant : Pour nos tests le serveur DHCP aura l'adresse 172.16.1.40 et un masque 255.255.255.0 Avant d'installer le serveur DHCP assurez-vous que votre serveur possède une adresse IP fixe. Ajouter ensuite le rôle serveur DHCP depuis la mmc gestionnaire de serveur

18

Puis il faut indiquer sur quelle carte réseau le serveur écoute les demandes des clients DHCP (plusieurs cartes peuvent être indiquées) Il convient ensuite d'indiquer le domaine DNS (laisser vide si inexistant) ainsi que le serveur DNS primaire et éventuellement secondaire. A noter que par défaut le serveur DNS principal est l'adresse locahost du serveur (127.0.0.1).

19

Puis si WINS est utilisé sur votre réseau indiquer l'adresse IP du serveur WINS

20

Il faut ensuite configurer l'étendue DHCP. C'est à dire la plage d'adresse IP et les options DHCP données aux clients.

21

Ensuite on indique si on active la distribution d'adresse IPV6. Ici nous ne détaillerons pas cette partie. Si le serveur DHCP n'a pas les autorisations pour servir les clients DHCP il faut l'indiquer sur le serveur Contrôleur de Domaine. Sinon on laisse les informations d'identification par défaut. Il convient d'activer l'étendue si cela n'est pas déjà fait.

22

Enfin si vous avez ou vous prévoyez d'installer un serveur WDS je vous conseille d'activer Bootp. Clique droit et propriété étendue puis onglet Avancé.

23

Si vous souhaitez changer l'emplacement de la base DHCP des baux il faut aller dans les propriétés du serveur DHCP puis indiquer le nouvel emplacement. Il faudra redémarrer les services pour que les changements soient pris en compte. Installation et configuration du serveur DHCP en ligne de commande avec Powershell : Dans cette partie je vais vous expliquez comment réaliser les étapes précedentes en ligne de commande avec Powershell Pour installer le rôle nous allons utiliser un module introduit avec Powershell V2. Ce module est présent nativement sous Windows Server 2008 R2 mais pas sous 2008. Il faut installer Powershell V2 pour pouvoir l'utiliser.

24

Vous obtiendrez la liste des services installés et disponibles en tapant Get-WindowsFeature. On installe donc le service DHCP.

Pour configurer le serveur il faut automatiser le lancement du service au démarrage de la machine et activer le service :

Set-Service -name DHCPServer -StartupType automaticSet-Service -name DHCPServer -status running Pour configurer le serveur nous utiliserons la commande Netsh qui se situe dans le dossier system32. On ajoute notre serveur dans la liste des serveurs autorisés. Il faut utiliser le nom FQDN du serveur du type TST-SRV-01.corp.test.local ainsi que son adresse IP. netsh dhcp add server TST-SRV-01.corp.test.local 172.16.1.40 On ajoute ensuite une étendue 172.16.1.0 avec le masque 255.255.255.0 du nom Monetendue et de description DescriptionEtendue. netsh dhcp server 172.16.1.40 add scope 172.16.1.0 255.255.255.0 Monetendue DescriptionEtendue

25

On ajoute la plage d'adresse 172.16.1.100 à 172.16.1.199 à notre étendue précédemment créée netsh dhcp server 172.16.1.40 scope 172.16.1.0 add iprange 172.16.1.100 172.16.1.199 On ajoute une plage d'exclusion 172.16.1.110 à 172.16.1.120 à notre étendue. netsh dhcp server 172.16.1.40 scope 172.16.1.0 add excluderange 172.16.1.110 172.16.1.120 On ajoute à l'étendue 172.16.1.0 la passerelle par défaut du sous-réseau 172.16.1.254 netsh dhcp server 172.16.1.40 scope 172.16.1.0 set optionvalue 003 IPADDRESS 172.16.1.254

On ajoute deux serveurs DNS à notre étendue 172.16.1.40 et 172.16.1.254

netsh dhcp server 172.16.1.40 scope 172.16.1.0 set optionvalue 006 IPADDRESS 172.16.1.40 172.16.1.254 On ajoute l'option correspondant aux paramètres de nœuds WINS de type 0x8 netsh dhcp server 172.16.1.40 scope 172.16.1.0 set optionvalue 046 BYTE 0x8 On ajoute les options WINS à notre étendue

26

netsh dhcp server 172.16.1.40 scope 172.16.1.0 set optionvalue 044 IPADDRESS 172.16.1.40 Enfin nous ajoutons le domaine par défaut de notre étendue distribuée aux clients netsh dhcp server 172.16.1.40 scope 172.16.1.0 set optionvalue 015 STRING corp.test.local Conclusion : Nous venons de voir l'installation d'un serveur DHCP sous Windows Server 2008 et plus intéressant son installation et sa configuration via le Shell de Powershell. Il est possible via un script d'automatiser ce processus. Un serveur DHCP reste un élément intéressant pour la configuration automatique des postes de travail et pour faciliter le plan d'adressage IP de l'administrateur réseau. En revanche un problème de sécurité se pose notamment à cause des branchements parasites. Pour répondre à ce besoin Microsoft a mis en place NPS (Network Policy Server) afin de sécuriser les accès réseau. Nous verrons sa configuration dans un prochain article.

Intégration des stations blanches sur le nouveau Réseau :

Le but de ce document est de guider l’administrateur afin d’intégrer les stations blanches existantes dans les différents bâtiments et services au sein du Quartier Desaix.

27

Ouvrir la session Administrateur local en vérifiant que le mot de passe en vigueur est le bon (si besoin, le changer).

Renommer la station (UC+@MAC UCXXXXXXXXXXXX ). Ajouter la description : Station Blanche, BAT « XXX », « SERVICE ».

Il se peut que certaines stations nécessitent un démarrage en mode sans échec afin de les renommer.

Si la SB n’est pas renommée, activer la carte Réseau, et laisser la configuration en DHCP.

Idem que pour le renommage, certaines stations possèdent des @IP fixes, il faut redémarrer en mode sans échec, les passer en DHCP , puis désactiver / Activer la carte réseau.

Sur le serveur CIRXX-SRV-XX, il faut sur l’AD, créer le compte d’ordinateur :

28

Chaque Station blanche est créée distinctement dans une UO identifiée par le bâtiment concerné (ex : BATG). Evidemment, si il y a plusieurs stations blanches dans un même bâtiment, la description permettra de savoir où elles sont placées (ex : Station Blanche BATG Etage3 ).

Redémarrer la station blanche pour prendre en compte le nouveau nom de la machine.

Ouvrir une session en tant qu’administrateur local.

Brancher la Station Blanche au réseau, et attendre l’affectation d’une adresse IP par le DHCP monté sur CIRISI63-SRV-AV (192.XXX.XXX.XXX / plage définie entre 192.XXX.XXX.XXX et 192.XXX.XXX.XYY).

Une fois que la Station Blanche a obtenu son adresse, et que celle-ci est dans la plage donnée, il faut aller sur le serveur afin de créer une réservation sur cette IP.

Nota : On peut aussi décider d’affecter telle ou telle adresse IP aux Stations Blanches en créant une réservation manuellement. Auquel cas, il faudra valider la réservation une fois l’adresse attribuée à la machine.

Dans les deux cas, le Bail d’adresse doit être infini (cela permet de gérer plus facilement les stations clientes, et enlève la contrainte d’un plan d’adressage papier).

Une fois l’adresse en place et le réseau connecté, désinstaller l’antivirus de la station, car celui-ci tourne en mode « autonome ».

Redémarrer la Station Blanche.

Ouvrir une session en administrateur Local.

Intégrer la Station Blanche sur son nouveau Domaine avec le compte admin du domaine + mot de passe.

Une fois la station redémarrée, il faut vérifier l’application de la stratégie (ouvrir la session utilisateur « station-blanche », et vérifier la suppression des droits (cf stratégie serveur)).

Ensuite, aller sur le serveur et Ouvrir E-policy Orchestrator (plateforme de gestion client/serveur de Mc-Afee).

De là, il faut déployer les agents Mc-Afee sur les stations Blanches qui sont en réseau :

Aller sur « Arborescence des systèmes », Sélectionner NOMDEDOMAINE.

Menu « Actions sur les systèmes » / « nouveaux Systèmes ».

29

Entrer le nom du nouveau système. Entrer les informations de connexion.

Cliquer sur OK en bas à droite.

Le nouveau Système doit apparaître dans la fenêtre suivante :

Attendre que la station passe de l’état « Non géré » à l’état « Géré »

30

Il faut ensuite sélectionner la machine et cliquer sur « réactiver les agents » comme pour la mise à jour du package DAT au moment de la mise à jour.

Sélectionner « Forcer la mise à jour… ».

Contrôler ensuite l’avancement du déploiement sur la console.

31

Il ne reste plus qu’à tester en session Utilisateur, sur la station blanche, que le programme fonctionne avant de la remettre en place et connectée au réseau.

(Documentations fournit par un technicien du DETSIC avec lequel j’ai installé les stations blanches)

32

Conclusion, bilan

J’ai dans un premier temps parfait mes connaissances en informatique en ghostant des machines.

J’ai ensuite acquis des compétences en téléphonie en assistant un technicien lors de mise en place de moyens d’extrémités.

J’ai enfin grandement amélioré mes connaissances dans le domaine des réseaux au travers de l’étude, la conception, de la réalisation et du déploiement d’une architecture réseaux.

Toutes ces phases se sont déroulées avec des contraintes de sécurité très fortes car elles concernaient des personnes et des matériels du ministère de la défense.

Tout ceci a pu se dérouler dans les meilleures conditions grâce aux connaissances, aux compétences et à l’excellent accueil et état d’esprit des équipes du DETSIC et du CIRISI.

Je tiens donc à remercier toutes les personnes, aussi bien civiles que militaires pour la patiente dont ils ont fait preuve, leur disponibilité et leur aide technique pendant toute la durée de mon stage.

33