J’ai eu pour mission, au cours de mon stage, d’étudier et de mettre à jour une partie du Système d’Information, notamment la partie systèmes et réseaux, avec un questionnement qui pourrait être, pour la majeure partie de ce stage, le suivant :
« Comment simplifier et uniformiser l’authentification au sein d’un Système d’Information ? »
Ce rapport aura donc pour principal objectif d’apporter des éléments de réponse vis-à-vis de points très spécifiques concernant l’uniformisation et la simplification de l’authentification au sein du Système d’Information, mais n’aura pas que cette vocation, puisque je traiterai également d’autres sujets, que je juge importants et intéressants de par la complexité technique qu’ils ont représenté pour moi durant ces trois mois.
J’ai eu la chance d’être en autonomie sur différents sujets : à partir d’un existant et d’un but final, j’avais pour mission de rechercher, puis d’étudier les différentes technologies utilisables pour parvenir à la réalisation de chaque projet. J’ai eu, à cet effet, la possibilité de mettre en place une plateforme de tests composée :
d’un serveur de virtualisation permettant de mettre en place plusieurs serveurs de test
de machines clientes (ordinateurs de bureau, ordinateurs portables)
de bornes WiFi
de matériels Cisco (commutateurs, pare-feux …)
J’avais le contrôle total de ces équipements et ai donc pu mettre en place une architecture assez évoluée et assez représentative d’un réseau local.
Au contraire du développement, où il est assez simple de ne traiter qu’une seule mission, le domaine des systèmes et réseaux impose bien souvent une variété de sujets, souvent plus courts : c’est la raison pour laquelle ce rapport est décomposé en plusieurs parties, cependant, pour la majorité d’entre elles, un point central a dominé : l’authentification.
J’ai donc décidé de résumer mes recherches sur les sujets les plus importants, des manuels d’utilisation étant également disponibles en annexe pour permettre la mise en place de ces différents protocoles.
Les références bibliographiques et citations seront présentées selon le standard IEEE 2006
Les noms de serveurs et adresses éventuellement mentionnés dans ce rapport sont fictifs, pour des raisons de sécurité.
FIGURE 2 : TOPOLOGIE RÉSEAU DE TEST
Sur cette illustration, nous pouvons voir les éléments suivants :
Serveur : machine servant à rendre un service particulier à des clients
Point d’accès Wifi : équipement diffusant un signal WiFi permettant aux ordinateurs portables de se connecter au réseau
Commutateur (anglais : switch) : Equipement réseau permettant l’interconnexion de matériels (autres switchs, machines clientes …)
PC portable : machine transportable facilement dotée de matériel permettant l’accès à un réseau sans fil
PC de bureau : ordinateur moins facilement transportable, équipé de matériel réseau ne permettant l’accès qu’à un réseau câblé
Routeur : équipement permettant d’interconnecter des réseaux (réseau local, Internet, etc.)
Au niveau des fonctionnalités et services rendus, on trouvera :
le serveur AD, servant de contrôleur de domaine (Windows 2008 : Active Directory), de serveur DNS, et de serveur Radius ;
le serveur Radius, faisant office de proxy Radius (il récupère les requêtes de points multiples et les redirige vers AD) ;
le serveur proxy, utilisant la solution Trend Micro IWSVA, qui fera l’intermédiaire entre les utilisateurs et le Web.
l’ASA 5505, qui fera office de routeur et de pare-feu entre le réseau interne à l’entreprise et Internet.
Les trois premiers sont des serveurs qui sont virtualisés grâce à une solution de type ESXi, solution présentée au point B ci-dessous.
Le dernier est un équipement Cisco, présenté au point C ci-dessous.
A) INTRODUCTION À LA VIRTUALISATION
La virtualisation, technologie qui fait parler d’elle depuis quelques années, est une technologie permettant, à partir d’une seule machine physique, de faire fonctionner plusieurs systèmes d’exploitation, tous indépendants les uns des autres, de la même manière que s’ils étaient chacun sur une machine distincte. Toutes les ressources de la machine hôte (puissance de calcul, mémoire vive, disque dur, etc.) sont partagées entre les machines dites « virtuelles », selon les choix effectués par les administrateurs à l’installation desdites machines.
Etant donné que l’hyperviseur (le système qui va permettre la répartition des ressources) partage toutes les ressources, cela permet d’en optimiser la gestion. Par exemple, si l’on fait un rapide comparatif entre une machine physique avec 6 Gio de RAM et utilisant une technologie de virtualisation par rapport à 3 machines disposant de 2 Gio de RAM chacune :
1. Sur le serveur de virtualisation, celui-ci va répartir l’usage de la mémoire vive entre les 3 serveurs, dynamiquement (imaginons que l’administrateur affecte par exemple 3Gio de mémoire maximum à chaque machine) :
o lorsque le serveur 1 a besoin uniquement de 1 Gio de RAM, le reste sera disponible pour les autres machines
o lorsque le serveur 2 aura un besoin de plus de mémoire (par exemple les 3 Gio qui lui ont été alloués), il sera possible qu’il puisse les obtenir si les autres serveurs n’en ont pas besoin à ce moment là
2. Sur le serveur physique, la machine n’aura que 2 Gio de RAM, et même si, à un instant donné, elle a besoin de plus, elle ne pourra pas en avoir. De la même manière, si elle n’a pas l’utilité d’autant de mémoire, elle ne pourra pas en faire profiter à d’autres machines.
B) PRÉSENTATION D’ESXI
ESXi est un hyperviseur de virtualisation, édité par la société VMware, et est une version alternative d’un autre de ses produits « phare », ESX, avec quelques différences par rapport à celle-ci :
la console de service est absente : l’administration de l’hyperviseur se fait obligatoirement à distance ;
ESXi est doté d’une interface de gestion à distance ;
ESXi est beaucoup plus léger qu’ESX (dû à la console de gestion qui a été retirée) ;
ESXi peut être installé sur clé USB ;
le pare-feu d’ESXi est beaucoup plus limité en fonctionnalités.
Une version d’essai de 60 jours est disponible gratuitement afin d’en tester les fonctionnalités.
C) PRÉSENTATION DE L’ASA 5505 Source : [1]
Les boitiers de sécurité adaptatifs de type ASA 5505, 5510, 5520 et 5540 sont des matériels de sécurité, de type pare-feu.
Ce sont les remplaçants des matériels nommés PIX, ils sont plus performants, plus efficaces, plus modernes, grâce à une architecture multi-processeurs.
Ces solutions permettent notamment :
de mettre en place une défense proactive (devancer les attaques)
de bloquer les attaques avant qu’elles ne se propagent
d’offrir une connectivité VPN en natif (pour les collaborateurs travaillant à l’extérieur du site)
Des boitiers de ce type ont été choisis pour assurer la sécurité entre le réseau Internet et le réseau interne de l’entreprise. Ces matériels ont cependant une configuration un peu différente par rapport aux autres équipements Cisco, qu’il faut appréhender et bien étudier avant de mettre en place certaines nouvelles fonctionnalités