SP1 – Découverte du réseau de l’entreprise

Inventaire de la société

Présentation de la solution présente initialement

On dispose de trois accès internet. Le premier grâce à une Livebox Orange ADSL et d’une fibre optique (ces deux accès internet sont ceux du réseau formation (pour le moment seule la fibre est utilisée, le but étant par la suite de mutualiser ces deux accès pour faire une redondance en guise de sécurité)). Le troisième accès internet est le lien BVPN pour l’administratif et le commercial.

L’entreprise dispose de trois réseaux distincts qui se composent d’un premier réseau pour les formations quotidiennes, d’un second réseau pour la partie administratif et commerciaux et d’un troisième réseau concernant la téléphonie.

Salle des serveurs

La salle serveur fait environ 10m², n’est pas climatisée et ne possède aucun onduleur.

Elle comporte 7 serveurs + 1 NAS

Nom Fonctionnalité Images

Serveur basé sur WDSServeur de

déploiement, contrôleur de domaine,

DHCP, DNS.

Pc monté manuellement et personnalisé

Serveur OPTIPLEX 380Serveur TSE pour accès

réseau administratif depuis un bureau à

distance.

Serveur PowerEdge T110

Serveur de fichiers réseau administratif +

contrôleur de domaine DHCP DNS

Serveur PowerEdge 830

Serveur de fichier réseau formation

Serveur PowerEdge 830

Utilisé pour déclarer des tickets d’incidents ainsi qu’un inventaire de parc informatique

mais aussi utiliser pour un partage

d’imprimantes et messagerie instantanée

Serveur DellServeur Prometric pour

les certifications Prometric

Serveur PowerEdge 830

Serveur Mediaplus Intranet

Serveur Exchange pour formation Outlook

Baie informatiqueAu niveau de la baie informatique, on peut distinguer 2 Switchs pour la partie Formation, 2 Switchs pour la partie administrative puis 1 switch pour la téléphonie.

Elle comporte aussi une Livebox en ADSL et la fibre d’orange aussi fournis par Orange qui elle-même est relier uniquement sur la partie Formation

Le réseau Formation comporte l’IP privée 10.169.0.0 /16 10.169.255.254 (serveur DHCP+ DNS 10.169.1.3)

L’accès internet se fait par la fibre d’orange

Le réseau Administratif comporte l’IP privée 10.20.60.0 /24 10.20.60.254 (serveur DHCP 10.20.60.2 DNS 10.20.60.6)

L’accès internet se fait par le lien BVPN à 2Mbits/s (Le lien BVPN d’Orange est une connexion entre chaque agence et le Datacenter d’O2i. Cette liaison est d’autant plus performante que les informations ne passent pas par internet avec ses multiples routeurs. La connexion est directe au Datacenter ce qui permet d’avoir des performances intéressantes avec un débit stable ce qui n’est pas le cas avec l’ADSL.)

La boxe d’Orange ne fais pas office de routeur elle a été configuré en mode bridge afin de permettre à une machine tiers de faire office de routeur. Dans notre cas c’est une machine avec un PfSense installé dessus. Cette distribution Open Source va nous permettre de gérer toute la partie routage de notre réseau

Inventaires des salles

Numéro de salle Nombres de postes1 8 fixes2 8 fixes3 Salle sans poste mais si nécessiter peut

supporter 4 postes4 8 portables5 12 fixes6 12 portables7 6 iMac 8 12 fixes9 8 portables

10 Salle sans poste mais si nécessiter en rajouter

Déploiement des machines La société M2i dispose d’environ 80 postes disperser dans les salles sans compter les pc portable en plus qui servent a dépanner en cas de pc maquant pour une formation, ainsi que pour les formations extérieures requérant du matériel. En tant qu’administrateur réseau il est très difficile de pouvoir installer toute les machines manuellement sachant que pour chaque nouvelle formation il est nécessaire d’avoir un ordinateur propre sans aucune trace de passage précèdent. La solution présente initialement au sein de l’établissement est un serveur de déploiement via le service WDS installé sur une machine Windows Server 2012 R2.

Problème que connait l’entreprise sur son infrastructure réseau.Etant donné que la partie Administratif est reliée en BVPN depuis le poste de Paris il est plutôt fonctionnel mis à part une connexion internet lente, l’infrastructure à gérer est surtout la partie formation.

Un réel problème de sécurité se fait ressentir car il n’y en a aucune, les Switchs en ce moment présent sont des switch de niveau 1 donc non administrable et aucune sécurité ne peut être mise en place (aucun isolement de réseau possible). Aucun moyen de norme 802.1d ne peut être mis en place en cas de boucle de réseau. Si une boucle se déclare dans une salle ou est faite intentionnellement par un stagiaire, c’est le réseau Formation qui est mis en danger dont les certifications qui se font tout en ligne via internet et limiter dans le temps c’est donc de très gros risques qui sont pris

Actuellement dans l’entreprise il y a un réel souci au niveau du matériel. On peut donc voir un problème de goulot d’étranglement au niveau du switch où le serveur de déploiement est relié. Il n’est relié qu’avec un seul lien Gigabit a la baie de brassage, mais est par contre un passage obligé pour tout le trafic des serveurs, du NAS, des requêtes Broadcast DHCP +Netbios + requête DNS. C’est un switch qui a tendance à tomber quand il y a trop de charge sur le réseau donc obligation de les redémarrer par la suite. Un goulot d'étranglement est un point d'un système limitant les performances globales, et pouvant avoir un effet sur les temps de traitement et de réponse. Les goulots d'étranglement peuvent être matériels et/ou logiciels. Dans notre cas, c'est le sous dimensionnement d'un élément de l'architecture physique qui a un effet sur le fonctionnement des autres éléments. L'élément limitant d'une architecture est toujours l'élément le plus faible. Par exemple, un goulot d'étranglement peut être créé par un routeur fonctionnant en 100 Mb dans un réseau Gigabit. (Source Wikipédia).

Un souci au niveau filtrage Web se fait ressentir car en ce moment aucun filtrage n’a encore était mis en place, or énormément de stagiaire télécharge illégalement des contenus sur internet. Le problème est qu’il n’y a aucun moyen mis en place pour identifier clairement et rapidement qui sont les auteurs de ces téléchargements.

L’administrateur réseau actuel a pour mission aussi de pouvoir déployer des salles se trouvant à Grenoble. Aucun moyen de communiquer avec Grenoble d’un point de vue réseau n’a était mis en place ce qui empêche donc toute maintenance de sa part sur le site de Grenoble

Les solutions à mettre en place pour palier le problème Renouvellement des switch en niveau 2 afin de pouvoir isoler chaque réseau par des Vlan inutile de prendre des Switchs de niveau 3 car le routage se fera tout par une solution PfSense et de plus au niveau coût ils sont très onéreux, donc des Switch Dlink stackable de 25 ports (48 giga, 2 SFP + 10Gbps) sont idéals.

D’un point de vue filtrage la machine PfSense est idéale car elle peut se montrer multitâche. D’une part nous allons pouvoir l’utiliser comme routeur ce qui veut dire qu’un achat d’un routeur sur le marché a pris onéreux n’est plus indispensable car tout la solution Open Source de PfSense peut le faire. Ensuite nous pourrons mettre en place un service de Vlan qui pourras séparer chaque salle afin qu’elles soient indépendantes les unes des autres

De plus il sera possible d’installer un serveur proxy intégré à la machine qui pourra faire office de mur entre le réseau LAN formation et le web. Comment ça marche ? En tapant une adresse comme http://www.yahoo.com/index.html, votre ordinateur va se connecter sur le serveur www.yahoo.com et demander la page index.htmlAvec un proxy, quand vous tapez http://www.yahoo.com/index.html, votre ordinateur va se connecter au proxy et lui demande d'aller chercher la page sur www.yahoo.com.Le proxy peut vous autorisez à vous connecter à l'extérieur et interdire les ordinateurs d'Internet de venir se connecter sur le vôtre. Cette fonction de protection du proxy est souvent incluse dans les règles de pars feu.Le proxy peut aussi mémoriser les pages les plus demandées. Ainsi si vous demandez plusieurs fois la page http://www.yahoo.com/index.html, le proxy vous la donnera immédiatement sans aller la chercher sur www.yahoo.com. On parle alors de mémoire cache.L’avantage est qu’il est même possible de le configurer en mode transparent. Ce mode va nous permettre de pouvoir intercepter n’importe qu’elle requête destiner vers le Web. Étant donné qu’on passe maintenant obligatoirement par le proxy, il est donc nécessaire de mettre en place des certificats car la communication ne se fera pas du client vers l’internet mais du client vers le proxy

Un filtrage même des pages Web sera possible en installant le paquet Squidguard qui nous permettra de bloquer certains accès à certaines pages de l’internet. L’installation d’un annuaire avec répertorié dedans énormément de site web par catégorie sera nécessaire afin de pouvoir les configurés.

Afin de palier le souci de l’administrateur réseau déjà présent, une mise en place de VPN est nécessaire afin de relier les deux sites de l’entreprise entre eux (Grenoble et Lyon). Dans la solution PfSense un service pour mettre en place le VPN voulu est déjà préinstaller et s’appelle OpenVPN.Apres quelques tests et mises en place de l’architecture, nous avons décidé de mettre en place un système de Bridge entre les deux réseaux de Lyon ainsi que de Grenoble.Le bridge consiste à réunir deux cartes réseau pour n’en former qu’une seule, c’est à dire que toute les requêtes venant d’une carte réseau sera immédiatement retransmise à la carte réseau associée à cette dernière via le pont.Le VPN en mode TAP va par la suite aussi nous créer une interface virtuelle qui fera office de bout du tunnel TLS.

Pour la solution de déploiement, une nouvelle solution applicative a été proposée afin d’en tirer meilleur bénéfice.La solution proposée est le projet FOG. Fog est une solution informatique de clonage de disque dur Open Source. Le projet consiste à créer une image d’un disque dur d’un PC qu’on pourra par la suite cloner sur autant de machine que l’on souhaite. Il est également possible, une fois l’image déployée, d’installer des applications en mode silencieux de manière centralisée.

Fonctionnement de Fog : Une fois la machine brancher grâce à un câble réseau on boot la machine sur la carte réseau (configurer le BIOS pour régler les paramètres). La machine BOOT en PXE et une fois l’adresse IP obtenue grâce au DHCP elle boot un noyau Linux en iPXE qui nous permet d’avoir une page de menu. De ce menu, on peut soir booter sur le disque dur de la machine ou charger le noyau linux de Fog. Une lecture rapide de la base de données de Fog et nécessaire et s’il détecte une tache à accomplir il l’exécute.

Schéma de la maquette

Le Schéma de la maquette suivant nous montre bien l’état final de la maquette attendu :

La Livebox ADSL pour la maquette fait office d’internet entre les deux réseaux. La LiveBox donne l’accès internet aux 2 réseaux, tandis que le 10.0.0.* du coté WAN pour chaque PfSense fait office « d’internet » vis-à-vis des 2 PfSense.Du coté de Grenoble, la mise en place de la machine PfSense nous sert à créer le lien VPN entre les deux cotés qui sont donc relier directement à la LiveBox par une première carte réseau et la deuxième au switch du site.Une machine DHCP fait office de distributeur d’adresse pour les salles du site.

Du coté de Lyon on peut voir que le PfSense, la machine DHCP DNS et la machine FOG sont tous les trois branchés sur le switch par un lien de norme 802.1Q (TRUNK) afin qu’ils puissent communiquer avec toutes les machines sur chaque vlan.