Administration et sécurité du réseau de l’ISIMa sous Linux

(1)

MEMOIRE

DE STAGE DE FIN D’ETUDE

Pour l’obtention du

MASTERE PROFESSIONNEL

« Nouvelles Technologies des Télécommunications et Réseaux »

Présenté par :

Hadj Ahmed Hilali Kawther

Titre

Administration et sécurité du réseau de l’Institut Supérieur

d’Informatique de Mahdia (ISIMa) sous Linux

Soutenu le : 31/01/2015

Devant le jury :

Mme Idoudi Hanen Président Mr Ghorbel Khaled Rapporteur Mme Ben Hassine Ahlem Encadreur (UVT) Mme Ghannay Sana Encadreur (ISIMa)

Administration et sécurité du réseau de l’Institut Supérieur d’Informatique de Mahdia (ISIMa) sous Linux

(2)

Table des matières

Introduction générale ...1

Chapitre I : Présentation générale ...3

Introduction ...4

I. Présentation de l’organisme d’accueil (ISIMa) ...4

II. Contexte du projet ...4

III. Problématique ...5

IV. Travail à réaliser ...5

V. Méthodologie adoptée ...6

V.1. Modèle en cascade ...6

V.2. Modèle en V ...7

V.3. Synthèse ...8

Conclusion ...8

Chapitre II :Etude Préalable ...9

Introduction ... 10

I. Etude de l’existant ... 10

I.1. Architecture du réseau existant ... 10

I.2. Gestion des authentifications ... 11

I.3. Politique d’accès aux ressources partagées ... 11

II. Critique de L’existant ... 12

III. Solution proposée ... 12

III.1. Réseau d’égal à égal : P2P... 12

III.2. Réseau Client /serveur ... 13

III.3. Synthèse... 14

Conclusion ... 15

Chapitre III : Installation de la plateforme et des prérequis ... 16

Introduction ... 17

I. Choix de la plateforme ... 17

I.1. Comparaison Windows /Linux ... 17

I.2. Les distributions Linux ... 18

I.3. Comparaison Ubuntu /Fedora ... 19

II. Le service DNS (Domain Name System) ... 20

II.1. Présentation du service DNS ... 20

II.2. Installation du serveur DNS ... 20

(3)

II.3. Configuration du serveur DNS ... 21

II.4. Test de fonctionnement ... 24

III. Le service DHCP (Dynamic Host Configuration Protocol) ... 25

III.1. Rôle du serveur DHCP ... 25

III.2. Fonctionnement du serveur DHCP ... 25

III.3. Configuration du serveur DHCP ... 26

Conclusion ... 28

Chapitre VI : Configuration du contrôleur de domaine ... 29

Introduction ... 30

I. Etude théorique... 30

I.1. L’annuaire OpenLDAP ... 30

I.2. Le Contrôleur de domaine Samba ... 32

II. Mise en œuvre des services ... 34

II.1. Service OpenLDAP ... 34

II.2. Service Samba ... 37

II.3. Gestion des dossiers et des comptes ... 40

III. Intégration et test des services ... 42

III.1. Cas d’un client Windows ... 42

III.2. Cas d’un client Linux ... 44

IV. Gestion des quotas ... 45

IV.1. Quotas des comptes utilisateurs ... 45

IV.2. Serveur d’impression : CUPS ... 46

Conclusion ... 50

Chapitre V : Mise en place de la sécurité du réseau ... 51

Introduction ... 52

I. Concepts de la sécurité ... 52

I.1. Firewall (pare-feu) ... 52

I.2. Les VLANs ... 53

II. Mise en place de l’architecture sécurisée ... 54

II.1. Configuration du firewall ... 54

II.2. Configuration du Switch ... 57

Conclusion ... 60

Conclusion générale ... 61

(4)

Liste des figures

Figure 1 : Modèle du cycle de vie en cascade ... 7

Figure 2 : Modèle du cycle de vie en V ... 8

Figure 3 : Architecture existante du réseau de l’ISIMa ... 11

Figure 4 : Architecture P2P ... 13

Figure 5 : Architecture Client /serveur ... 14

Figure 6 : Architecture DNS ... 20

Figure 7 : Recherche des paquets de bind9 ... 20

Figure 8 : Installation de bind9 ... 21

Figure 9 : Configuration de l’interface eth0 ... 21

Figure 10 : Configuration du fichier « resolv.conf » ... 22

Figure 11 : Déclaration des zones de serveur ... 22

Figure 12 : Création du fichier de la zone directe ... 23

Figure 13 : Création du fichier de la zone inverse ... 24

Figure 14 : Configuration des adresses IP des serveurs DNS externes ... 24

Figure 15 : Redémarrage du service DNS ... 24

Figure 16 : Test du fonctionnement du serveur DNS ... 25

Figure 17 : Les étapes du fonctionnement du serveur DHCP ... 26

Figure 18 : Configuration de l’interface « inadmin » du serveur DHCP ... 27

Figure 19 : Fixation de la plage d’adresses dynamiques ... 27

Figure 20 : Test du fonctionnement du serveur DHCP ... 28

Figure 21 : Exemple de la Structure d’annuaire LDAP ... 31

Figure 22 : Installation des paquets slapd et ldap-utils ... 34

Figure 23 : Ajout d’un super administrateur ... 35

Figure 24 : Cryptage du mot de passe du super utilisateur ... 35

Figure 25 : Remplissage de l’annuaire LDAP ... 36

Figure 26 : Redémarrage du service Slapd ... 36

Figure 27 : Installation des packages d’authentification ... 36

Figure 28 : Ajout de LDAP comme méthode d’authentification ... 37

Figure 29 : Installation de Samba, samba-doc et smbldap-tools ... 38

Figure 30 : Ajout du schéma dans l’arborescence OpenLDAP ... 39

Figure 31 : Initialisation du mot de passe de l’administrateur samba ... 39

Figure 32 : Création de l’arbre de base de l’annuaire LDAP ... 40

Figure 33 : Fixation des droits d’accès au dossier partager ... 41

Figure 34 : Ajout d’un utilisateur ... 41

Figure 35 : Fichier texte d’utilisateurs ... 42

Figure 36 : Exécution du script shell ... 42

Figure 37 : Intégration au domaine ... 43

Figure 38 : Test de Validation pour un client Windows ... 44

Figure 39 : Test de Validation pour un client linux ... 44

Figure 40 : Edition de la partition /home ... 45

Figure 41 : Quota des utilisateurs ... 46

Figure 42 : Ajout d’une Interface réseau ... 46

(5)

Figure 43 : Page Web du service CUPS ... 47

Figure 44 : Page de configuration des imprimantes réseau ... 47

Figure 45 : Exemple d’ajout d’une imprimante ... 48

Figure 46 : Fixation des utilisateurs de l’imprimante ... 48

Figure 47 : Fixation des quotas d’impression ... 48

Figure 48 : Imprimantes partagées dans le domaine ... 49

Figure 49 : Surveillance des travaux d’impression ... 49

Figure 50 : Emplacement du Firewall dans le réseau ... 52

Figure 51 : Exemple de création de VLAN « Etudiant » ... 55

Figure 52 : Architecture du réseau interne de l’ISIMa ... 55

Figure 53 : Règles de sécurité du VLAN Enseignant ... 56

Figure 54 : Règles de sécurité du VLAN étudiant ... 56

Figure 55 : Ajout de la plage de temps pour une règle d’accès ... 57

Figure 56 : Architecture du réseau ... 58

Figure 57 : Test de validation du fonctionnement des VLANs ... 60

(6)

Liste des tableaux

Tableau 1 : Comparaison Linux/Windows ... 17 Tableau 2 : Adressage des VLANs ... 54 Tableau 3 : Configuration Port/PC ... 59

(7)

Dédicaces

Du profond de mon cœur, je dédie ce travail à tous ceux qui me sont chers,

A MES CHERS PARENTS

Que ce travail soit l’expression de ma reconnaissance pour vos sacrifices

Consentis, votre soutien moral et matériel que vous n’avez cessé de prodiguer.

Vous avez tout fait pour mon bonheur et ma réussite.

Que Dieu vous préserve en bonne santé et vous accorde une longue vie

A MES FRERES, SOEURS, LEURS EPOUX ET LEURS ENFANTS

Vous étiez toujours présents pour m’aider et m’encourager.

Sachiez que vous serez toujours dans mon cœur.

A tous mes amis qui n’ont cessé de m’encourager et de me soutenir

A Toutes MES AMIES…

(8)

Remerciement

Nous tenons à exprimer notre gratitude et nos remerciements aux membres de jury, veuillez accepter dans ce travail notre sincère respect et notre profonde reconnaissance.

Nous tenons d’abord à exprimer notre sincère gratitude à notre encadreur de stage Mme Gannay Sana qui n’a pas hésité un jour à nous suivre tout au long de notre projet, et à nous fournir toutes

les informations nécessaires à la réalisation de notre travail.

Nous tenons également à remercier infiniment Mme Ben Hassine Ahlem pour nous avoir offert les conditions nécessaires et nous avoir guidées dans l’élaboration de ce travail et contribuer

largement à sa réalisation avec la patience, aussi son soutien tout au long de notre projet

Nous profitons aussi de ce mémoire pour exprimer nos plus vifs remerciements envers tous les professeurs qui nous ont apportés du soutien durant nos études et envers tous nos amis qui ont

été toujours près de nous avec leurs encouragements, critiques et conseils

Que le corps professoral et administratif et surtout le Secrétaire général de l’institut Supérieur d’Informatique de Mahdia trouvent ici nos vifs remerciements.

(9)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 1

Introduction générale

Les réseaux informatiques sont devenus, depuis une dizaine d’années, un élément très important dans toute institution: commerciale, industrielle, gouvernementale, éducative, etc. Ceci est dû notamment à la vulgarisation de l’outil informatique et l’apport extraordinaire qu’apportent les réseaux informatiques dans la circulation rapide de l’information.

Pour répondre au besoin de l’entreprise, l’administration de réseau ne cesse d’évoluer pour chercher des outils d’échanges des données et de partage des informations en temps réel, en tenant compte des mesures de sécurité et de confidentialité.

Cette technique est mise en place pour la résolution des problèmes d’anarchisme dans les réseaux et le mal échange des données et des ressources, ainsi que le manque de la sécurité qui présentent les principaux problèmes dans notre établissement lieu de stage.

C’est dans ce contexte que se situe notre projet intitulé «Administration et sécurité du réseau de l'Institut Supérieur l'Informatique de Mahdia (ISIMa) sous Linux ».

L’idée de ce projet consiste à organiser le réseau informatique de l’établissement, à la mise en place d’un contrôleur de domaine et à sécuriser la connexion Internet contre les pirates et les attaques.

Les étapes d’élaboration de ce projet sont présentées d’une manière détaillée dans ce rapport, dans lequel nous allons organiser notre travail sur cinq chapitres.

Dans le premier chapitre, nous allons présenter l’organisme d’accueil, ainsi que le contexte général du projet. Ensuite, nous passons à la présentation de la problématique, le travail à réaliser et le choix de la méthodologie de travail.

Le deuxième chapitre s’intéresse à l’étude de l’existant, la critique de l’existant et la solution adoptée.

Le troisième chapitre explore une étude du système d’exploitation à utiliser et les prérequis nécessaires pour assurer notre administration.

(10)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 2 Dans le quatrième chapitre, nous allons présenter l’installation, la configuration et l’implémentation du contrôleur de domaine, ainsi que le gestionnaire d’impression.

Le cinquième chapitre présente une solution de sécurité du réseau de l’entreprise basé sur la configuration des VLANs d’une coté et la mise en place et la configuration d’un firewall matériel d’une autre coté.

Finalement, nous terminons par une conclusion qui résume nos travaux déjà réalisé et qui présente les perspectives à l'ensemble de travaux menés au cours de ce projet.

(11)

Chapitre I :

Présentation générale

(12)

Introduction

Dans ce premier chapitre nous mettrons le sujet dans son cadre général, en présentant l’organisme d’accueil. Par la suite, nous allons introduire notre sujet « Administration et sécurité du réseau de l’ISIMa sous Linux » ainsi que sa problématique. Au niveau de la troisième partie de ce premier chapitre, nous allons expliquer le travail à réaliser. Enfin nous allons décrire la méthodologie utilisée et nous terminerons par une conclusion.

I. Présentation de l’organisme d’accueil (ISIMa)

Notre organisme d’accueil, qui est l'Institut Supérieur d'Informatique de Mahdia - ISIMa -, est un établissement relevant de l'Université de Monastir.

Il est dirigé par un directeur et assisté par un secrétaire général, des chefs de département, un directeur des études et stages et de 21 cadres administratifs.

La mission d’enseignement est assurée par soixante-trois enseignants de plusieurs spécialités (informatique, Télécommunication, physique, Math, etc.)

L’établissement accueille plus que sept cent étudiants chaque année répartie sur trois branches :

 Licence Fondamentale en informatique (LFI)

 Licence Appliquée en informatique (LAI)

 Licence Appliquée en Réseaux Informatique (LARI)

Il est doté d’une infrastructure composée des salles de cours, salles de travaux dirigés, des laboratoires informatiques, d’une bibliothèque et des bureaux pour les services administratifs et les enseignants répartis sur quatre étages.

II. Contexte du projet

Un réseau n’est rien de plus qu’un ensemble de machines, appelées des hôtes, reliées les unes aux autres dans le but d’échanger des données d’une manière sûre, rapide et sécurisée. Pour assurer cet échange dans une entreprise, nous devons avoir un système d’administration qui assure le partage et le transfert des données d’une manière automatique et sécurisée.

Dans ce cadre se situe notre projet intitulé « Administration et sécurité du réseau de l’Institut Supérieur d’Informatique de Mahdia sous Linux ». Dans ce projet, nous allons s’intéresser dans une première partie, à l’organisation du réseau de l’ISIMa par la mise en place et la configuration des différents services sous un système open source pour assurer le contrôle des

(13)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 5 utilisateurs et le partage des ressources d’une façon hiérarchique. Ainsi, dans la deuxième partie, nous allons s’intéresser à la sécurité des données contre les intrusions internes et externes qui peuvent attaquer nos ressources.

III. Problématique

Après une analyse détaillée du réseau local de l’institut supérieur d’informatique de Mahdia, nous dégageons les problématiques suivantes :

 Sécurité faible du réseau et surtout un manque de séparation entre le réseau d’étudiants, de personnels, administratifs et d’enseignants.

 Manque de sécurité contre les intrusions externes

 Absence d'une gestion de comptes et d’utilisateurs. En effet, les étudiants travaillent et enregistrent leurs travaux sur la machine locale, ce qui présente une perte des données en cas d'un accès malveillant aux machines.

 Absence d’un contrôleur d’imprimante

 Sécurité faible du réseau: nous remarquons une absence de gestion des droits d'accès aux machines et aux fichiers ainsi une absence d’authentification pour contrôler les utilisateurs du réseau, etc.

 Absence d'utilisation d'un serveur Windows ou Linux pour gérer le réseau. Ceci complique le travail des enseignants et des techniciens côté installation des logiciels et gestion d'accès des étudiants

La prise en compte des problèmes évoqués précédemment a abouti à l'élaboration d'une solution d’administration que nous allons présenter ses buts dans la partie suivante.

IV. Travail à réaliser

Le réseau d’ISIMa présente beaucoup des problèmes d’organisation et manque des serveurs et des services d’administration. Ainsi, afin de résoudre ces problèmes, il est primordial de munir ce réseau d’un serveur Linux pour profiter des services open source, et pour éviter les problèmes d’authentification des systèmes d’exploitation Windows.

Ensuite, nous allons passer à la mise en place et la configuration de l’ensemble de services pour assurer :

 le contrôle du domaine

 le contrôle des utilisateurs

 le partage des dossiers

(14)

 le partage des imprimantes

Finalement, nous passons à la sécurisation du réseau de notre institut contre les intrusions internes par la mise en place d’une solution pour la séparation de flux des données circulant dans le réseau. Ainsi, nous allons adopter à une solution pour la sécurité contre les attaques prévenant du réseau externe.

Afin d’organiser les étapes de la réalisation de notre projet, il est primordial de choisir une méthodologie de travail que nous allons la décrire dans la section suivante.

V. Méthodologie adoptée

Le cycle de développement d’un projet passe par un certain nombre de phases. Les différents modèles de développement ont plus ou moins les mêmes phases, mais c'est l'enchaînement de ces phases, ce qui rend ses différents modèles se distingue les uns des autres. Les deux modèles les plus couramment utilisés sont le développement de logiciels cascade et le modèle V.

Dans cette partie, nous allons décrire ces deux modèles en choisissant le plus adopté à notre projet.

V.1. Modèle en cascade

Le modèle de cycle de vie en cascade a été mis au point dès 1966, puis formalisé aux alentours de 1970 [1]. Dans ce modèle le principe est très simple : chaque phase se termine à une date précise par la production de certains documents ou logiciels. Les résultats sont définis sur la base des interactions entre étapes, ils sont soumis à une revue approfondie et on ne passe à la phase suivante que s'ils sont jugés satisfaisants. Le modèle original ne comportait pas de possibilité de retour en arrière. Celle-ci a été rajoutée ultérieurement sur la base qu'une étape ne remet en cause que l'étape précédente, ce qui est dans la pratique s'avère insuffisant. (Figure 1)

(15)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 7 Figure 1 : Modèle du cycle de vie en cascade

V.2. Modèle en V

Le modèle en V demeure actuellement le cycle de vie le plus connu et certainement le plus utilisé [1]. Le principe de ce modèle est qu'avec toute décomposition doit être décrite la recomposition, et que toute description d'un composant doit être accompagnée de tests qui permettront de s'assurer qu'il correspond à sa description.

Ceci rend explicite la préparation des dernières phases (validation-vérification) par les premières (construction du logiciel), et permet ainsi d'éviter un écueil bien connu de la spécification du logiciel : énoncer une propriété qu'il est impossible de vérifier objectivement après la réalisation.

(Figure 2).

(16)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 8 Figure 2 : Modèle du cycle de vie en V

V.3. Synthèse

Après la description des deux modèles, nous avons constaté que le modèles-en V, est le modèle le plus convenable pour la réalisation de notre projet. En effet, ce modèle nous permet de faire des tests unitaires après chaque étape de réalisation. Cet avantage, diminue le nombre des défauts dans notre application par rapport au modèle en cascade.

Conclusion

Dans ce chapitre, nous avons fait une présentation générale du cadre de projet en décrivant les problématiques, le travail à réaliser et en choisissant la méthodologie adoptée.

Le chapitre suivant, sera consacré à l’étude de l’existant, la critique de l’existant, ainsi que la présentation de la solution proposée.

(17)

Chapitre II :

Etude Préalable

(18)

Introduction

L’étude préalable constitue une étape préliminaire pour la réalisation d’une application. En effet, elle permet d’analyser, d’évaluer et de critiquer le fonctionnement habituel, tout en élaborant la liste de solutions possibles.

Ce chapitre sera réservé pour présenter l’étude préalable de notre projet. Nous commençons par une description détaillée du réseau mis en place. Cette description nous mène à une analyse et une critique de l’existant. Enfin, nous proposons les différentes solutions aux problèmes soulevés.

I. Etude de l’existant

L'étude de l'existant est une phase importante pour bien comprendre le réseau déjà mis en place dans notre établissement. C’est pour cela que dans cette phase, nous allons effectuer une description précise de l'existant en énumérant les principaux composants et l’architecture actuelle du réseau de l’ISIMa.

I.1. Architecture du réseau existant

Le réseau de l’ISIMa est composé de sept laboratoires informatiques équipés des machines, des postes de travail des administratifs, des ordinateurs portables des étudiants et des enseignants et un serveur d’antivirus Kaspersky. Toutes ces machines sont interconnectées au réseau local mit en place (filaire ou WI-FI) à travers des Switch de type : Dell, HP, D-Link, etc. Ce réseau est subdivisé en deux réseaux séparé : 192.168.1.0/22 192.168.100.0/24. Leur adressage est fait de manière dynamique à partir de deux serveurs DHCP intégrés respectivement dans un routeur du type Hwawi et un firewall du type Cisco ASA 5510 placé dans une salle serveur.

Les systèmes d’exploitation installés dans les postes de travails de l’institut sont soit Windows 7 soit Ubuntu 12.04, donc nous parlons d’un réseau hétérogène.

Pour mieux comprendre l’architecture du réseau existant dans l’institut, nous avons résumé tout ce que nous avons décrit dans le schéma de la figure 3.

(19)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 11 Figure 3 : Architecture existante du réseau de l’ISIMa

I.2. Gestion des authentifications

Pour accéder au poste de travail de l’institut, les utilisateurs (administratifs, étudiants, enseignants) utilisent des comptes locaux avec des droits administrateurs. Nous remarquons aussi une absence d’un système d’authentification centralisé afin de protéger les ressources de l’établissement comme les postes de travail, les imprimantes, etc.

I.3. Politique d’accès aux ressources partagées

La politique d’accès aux ressources partagées sur le réseau de l’ISIMa n’est pas bien définie. En effet, les ordinateurs sont déclarés dans un seul groupe de travail et tous les utilisateurs ont la main de partager dans le réseau. Ainsi, nous remarquons que certaines ressources sont partagées avec un accès de lecture et écriture accordée à tout le monde.

(20)

II. Critique de L’existant

A partir de notre étude détaillée du réseau existant dans notre établissement, nous avons remarqué l’existence de plusieurs failles dans différents niveaux. Premièrement, nous avons constaté l’absence totale d’un contrôleur de domaine qui gère l’administration du réseau avec une politique d’authentification et de partage claire. En effet, n’importe quelle personne peut utiliser les ressources de l’établissement sans aucune authentification, comme il peut modifier leurs configurations, ce qui présente un grand problème surtout que nous parlons d’un établissement d’enseignement supérieur et la plupart des utilisateurs sont les étudiants.

Deuxièmement, tous les utilisateurs peuvent partager des documents dans le réseau de l’institut avec une absence d’administration et de centralisation de ces ressources partagées. Ces ressources sont partagées sans aucun droit d’accès et tout le monde peut y faire des modifications.

Troisièmement, dans notre établissement, tous les ordinateurs que ce soit personnel, enseignant ou étudiant sont interconnectés sous le même réseau ce qui présente une faille de sécurité et une source d’intrusions, surtout que nous avons des services très sensibles dans l’institut comme le service examen. En plus, nous avons constaté qu’il n’y a aucune règle de sécurité configurée sur le firewall déjà existant.

Nous pouvons conclure de tout ce que nous avons cité que nous sommes en face d’un réseau anarchique qui manque d’administration. Cette mauvaise organisation a engendré plusieurs problèmes liés à la communication entre les utilisateurs du réseau et à la manière de diffusion des informations.

III. Solution proposée

Le but de notre projet est la mise en place d’une solution fiable pour l’administration du réseau de l’établissement et la résolution des problèmes déjà décrits dans la partie précédente.

Notre solution va être basée sur le choix de l’architecture du réseau. En effet, dans cette partie nous allons présenter les différentes solutions déjà présentées dans la littérature. Nous focalisons en particulier sur l’architecture égale à égale et l’architecture client/serveur.

III.1. Réseau d’égal à égal : P2P

Le réseau égal à égal ou poste à poste ou encore Peer to Peer « P2P » [2], ne comporte en général que peu de postes, moins d’une dizaine de postes, parce que chaque utilisateur est un

(21)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 13 administrateur de sa propre machine, il n’y a pas d’administrateur central, ni de super utilisateur.

Par ailleurs, cette architecture ne comprend pas une hiérarchie entre les postes ou bien entre les utilisateurs. Chaque ordinateur dans un tel réseau est à la fois serveur et client comme l’indique la figure 4. Cela signifie que nous avons la possibilité de partager les ressources de n’importe quel ordinateur, ainsi, les imprimantes reliées à ces dernières afin d’être utilisés dans le réseau.

Figure 4 : Architecture P2P

III.2. Réseau Client /serveur

Le modèle client-serveur constitue une étape importante dans l'évolution des systèmes d'information [3]. En effet, le principe de cette architecture est le suivant : des machines clientes (des machines faisant partie du réseau) contactent un serveur, une machine généralement très puissante en termes de capacités d'entrées-sorties, qui leur fournit des services (figure 5).

L’architecture client/serveur est une architecture centralisée, étant donné que le serveur est au centre du réseau, et il peut gérer les ressources communes à tous les utilisateurs afin d’éviter les redondances et les contradictions.

Cette architecture est particulièrement recommandée pour les réseaux étendus et qui nécessitent un grand niveau de fiabilité vu le grand nombre d’avantages qui fournissent. Nous citons par exemple :

(22)

 La sécurité : vu que le nombre des points d’entrée permettant l’accès aux données est moins important

 La centralisation : l’administration du réseau se fait essentiellement au niveau du serveur, d’où les clients ont moins d’importance et nécessitent moins d’administration.

 Un réseau évolutif : grâce à cette architecture nous pouvons supprimer ou rajouter des clients sans perturber le fonctionnement du réseau et sans modification majeurs.

Figure 5 : Architecture Client /serveur

III.3. Synthèse

Après la présentation des deux architectures, nous synthétisons que même si un réseau peer-to - peer est facile à installer et peu coûteuse, les systèmes client-serveur sont plus sûrs et offrent plus de place pour l'expansion et l’évolution. Par ailleurs, l’architecture client/serveur est la seule qui peut gérer le réseau de l’établissement constitué de plus qu’une centaine de machines. Ainsi, nous pouvons envisager une machine serveur responsable de l’administration, la supervision et la sécurité du réseau (machine, imprimante, équipement d’interconnexion, etc.).

(23)

Conclusion

Dans ce chapitre nous avons présenté l’architecture existante dans notre établissement. Par la suite, nous avons passé à une critique de l’existant. Finalement, nous avons proposé un ensemble de solutions pour la résolution de ces problèmes.

Nous passons dans le chapitre suivant à l’installation de notre plateforme de travail ainsi que les services de base.

(24)

Chapitre III :

Installation de la plateforme et des

prérequis

(25)

Introduction

De nos jours, il existe plusieurs systèmes d’exploitation qui jouent le rôle de gestionnaire du réseaux. Nous citons par exemple Windows Server, Unix, Linux, etc.

De ce fait, dans la première partie de ce chapitre, nous allons détailler une comparaison entre les différents systèmes d’exploitation existants et choisir le meilleur entre eux. Par la suite, nous allons faire une présentation détaillée deux services réseaux à savoir : DNS (Domain Name System) qui assure la correspondance entre l’adresse IP et le nom de la machine et DHCP (Dynamic Host Configuration Protocol) qui permet la configuration dynamique des adresses IP.

Nous exposons principalement leurs installations, leurs configurations et leurs tests de fonctionnement.

I. Choix de la plateforme

Le choix du système d’exploitation et la mise en place de la plateforme du travail sur laquelle nous allons travailler est une phase très importante. De ce fait dans cette partie, nous allons procéder à une comparaison entre les différents systèmes d’exploitation existant afin de justifier le choix du gestionnaire de notre réseau.

I.1. Comparaison Windows /Linux

Le Tableau 1 présente une comparaison entre le système d’exploitation Windows et le système Linux dans le domaine d’administration réseau.

Critère Linux Windows

Propriété Free Propriétaire (Microsoft)

Code source Accessible Non accessible

Logiciel et mise à jour Non payant Payant

Sécurité Forte Faible

Administration Compliquée mais sécurisée, robuste et évolutive

Simple mais facile à attaquer, difficile à

maintenir Tableau 1 : Comparaison Linux/Windows

En la comparant avec l’administration sous le système d’exploitation Windows, l’administration réseau sous Linux et comme toute administration sous n’importe quel système d’exploitation mais Linux offre plus de sécurité de données au sein du réseau. Par ailleurs, Linux est un

(26)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 18 système d’exploitation libre qui permet de profiter des avantages de logiciels open source (accès libre au code source). Aujourd’hui, les entreprises sont attirées à Linux non seulement pour son coût de licence nul, mais aussi pour le surcoût de maintenance très bas, sa stabilité, et sa sécurité.

Nous remarquons ainsi que le système Linux répond à tous nos besoins en termes d’accès au code source, de gratuité de licence, et de disponibilité de la documentation. Toutefois, il nous reste à choisir une parmi ses distributions.

I.2. Les distributions Linux

Une distribution Linux, appelée aussi distribution GNU/Linux pour faire référence aux logiciels du projet GNU [4], est un ensemble cohérent de logiciels. La plupart étant logiciels libres, assemblés autour du noyau Linux. Il existe une très grande variété de distributions, ayant chacune des objectifs et des caractéristiques particulières.

Dans le domaine de l’administration du réseau, il existe deux principales distributions: Debian et Redheat. De la première distribution, nous avons choisi Ubuntu Server et de la deuxième nous avons sélectionné Fedora Server.

I.2.1. Serveur Ubuntu

Ubuntu [5] est une distribution qui propose un système libre, gratuit, sécurisé et convivial. Ce système est utilisable aussi bien sur des serveurs que des postes de travail. Il est toutefois orienté grand public notamment grâce à sa simplicité d’utilisation qui favorise la prise en main. C’est une distribution compacte (fréquemment distribué sur CD) qui assure une grande compatibilité matérielle et dispose de nombreux logiciels, de base ou à installer.

Dans un jargon plus technique, Ubuntu est une "distribution GNU/Linux très globalement libre basée sur Debian". Depuis la première version stable d'Ubuntu, sortie en 2004, la popularité de cette distribution ne cesse de croître; elle continue de s'améliorer en terme de fonctionnalités et de stabilité, et séduit chaque jour de nombreux utilisateurs, tant parmi les débutants que parmi les plus chevronnes et occupe actuellement la première place à l'échelle mondiale.

I.2.2. Serveur Fedora

Fedora,[6] anciennement Fedora Core, est une distribution GNU/Linux bâtie sur le système RPM, développée par le projet Fedora et soutenue par la société Red Hat. Cette distribution se veut être un système d'exploitation complet, composé uniquement de logiciels libres. Fedora dérive donc de la distribution Red Hat Linux, et est destinée à l’expert plus tôt que

(27)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 19 les débutants ou les généralistes. Le maintien de Fedora est en grande partie redevable à sa communauté d'utilisateurs.

Cette distribution se distingue par le très grand nombre d'architectures supportées, son importante logithèque et par son cycle de développement relativement long, ce qui lui confère un gage d'une certaine stabilité. Sa qualité et son sérieux sont unanimement reconnus, mais elle garde l'image d'une distribution réservée aux experts, malgré que son ergonomie a beaucoup évolué.

I.3. Comparaison Ubuntu /Fedora

Ubuntu et Fedora sont deux des plus grands noms quand il s'agit de distributions Linux. Les deux distributions sont parrainées par des grandes entreprises - Canonical avec Ubuntu et Red Hat avec Fedora - et fournissent des mises à jour régulières pour assurer la sécurité et la stabilité.

Ubuntu est souvent considérée comme la version la plus conviviale de Linux pour les nouveaux utilisateurs, ce qui explique sans doute à ce qu'elle soit la version la plus populaire de Linux cependant occupe Fedora la quatrième place à l’échelle mondiale. D’autre part, nous constatons qu’avec l’utilisation du système Ubuntu, nous ne trouvons plus des problèmes de compatibilités matériels vue que cette distribution utilise des logiciels propriétaires cependant nous ne trouvons pas cet avantage avec la distribution Fedora et qui nous cause des problèmes de compatibilité et par la suite l’utilisation des matérielles comme les cartes Wi-Fi ou les cartes graphiques.

Nous constatons, d’après cette comparaison, que le meilleur système qui nous aide à mettre en place notre projet et à faire l’administration réseaux est linux et plus particulièrement la distribution Ubuntu. En effet, ce système possède plusieurs avantages par rapport à Windows et à d’autres systèmes et surtout au niveau de sécurité, simplicité et compatibilité. Plus particulièrement, nous avons opté pour la version 10.04 d’Ubuntu server qui contient la plupart des services réseau de façon stable.

Afin d’assurer le fonctionnement de notre réseau, il est nécessaire d’installer le service DNS (Domain Name System) que nous allons présenter dans la partie suivante.

(28)

II. Le service DNS (Domain Name System) II.1. Présentation du service DNS

DNS (Domain Name System) [7] est un système d’appellation d’ordinateurs et de services réseau organisé selon une hiérarchie de domaines comme c’est présenté dans la figure 6.

L’attribution de noms DNS est utilisée sur les réseaux TCP/IP tel qu’Internet afin de localiser les ordinateurs et les services au moyen de noms conviviaux. Lorsqu’un utilisateur entre un nom DNS dans une application, les services DNS peuvent résoudre ce nom en une autre information qui lui est associée, par exemple une adresse IP.

Figure 6 : Architecture DNS

II.2. Installation du serveur DNS

Tout d’abord, nous devons vérifier l’existence des paquetages nécessaires à l’aide de la commande suivante : « aptitude search bind9 » (figure 7)

Figure 7 : Recherche des paquets de bind9

(29)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 21 Dans le cas où le paquet bind9 n’est pas installé, il faut l’installer avec (figure 8):

apt-get install bind9

Figure 8 : Installation de bind9

II.3. Configuration du serveur DNS

Apres avoir installé le paquetage bind9, il faut tout d’abord commencer par la configuration de l’interface réseau de notre serveur.

Le serveur DNS doit avoir une adresse IP statique, donc nous devons éditer le fichier

« /etc/network/interfaces » avec la commande shell : « nano » et nous ajoutons les lignes indiquées dans la figure 9 :

Figure 9 : Configuration de l’interface eth0

Chaque élément de la configuration de l’interface eth0 (iface, address, netmask, etc) est nécessaire pour pouvoir utiliser normalement le réseau et l’Internet.

Apres avoir fixé l’adresse IP de notre serveur, nous allons passer à la configuration des fichiers spécifiques du serveur DNS.

La première étape consiste à la modification du fichier « /etc/resolv.conf » en déclarant le non du domaine « isima.rnu.tn » et l’adresse IP du serveur DNS 192.168.3.100 comme l’indique la figure 10.

(30)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 22 Figure 10 : Configuration du fichier « resolv.conf »

La deuxième étape consiste à déclarer les différentes zones du serveur DNS dans le fichier de configuration « /etc/bind/named.conf.local ». Nous allons ainsi remplir notre fichier avec les lignes suivantes (figure 11):

Zone "isima.rnu.tn " IN { // Le nom de la zone directe

Type master; // Master désigne que le type qu’on va déclarer est serveur

File "/etc/bind/db.isima.rnu.tn"; // Indique le chemin où on va enregistrer la zone principale };

Zone "168.192.in-addr.arpa" { // le nom de la zone inverse

type master; // master désigne que le type est serveur

file "/etc/bind/db.isima.rnu.tn.rev"; // indique l’emplacement du fichier de la zone inverse };

Figure 11 : Déclaration des zones de serveur

(31)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 23 La troisième étape est la création et le remplissage du fichier de la zone directe déclaré antérieurement et présenté dans la figure 12 :

Figure 12 : Création du fichier de la zone directe

 $TTL permet de définir en secondes et dans un intervalle qui va de 0 à 2147483647 le délai maximum pendant lequel un enregistrement pourra être gardé en cache. Avec 86400, le cache sera vidé, et les fichiers relus, toutes les 24 heures.

 Refresh, Retry, et Expire sont des délais, exprimés en secondes, qui vont piloter le comportement des serveurs esclaves. A l'expiration du délai refresh, l'esclave va entrer en contact avec le maître ; s'il ne le trouve pas, il essaiera de nouveau à la fin du délai Retry. Et si, au bout du délai expire, il n'est pas parvenu à ses fins, il considérera que le serveur maître a été retiré du service. Nous remarquons aussi la disposition des parenthèses, obligatoire pour disposer les informations sur plusieurs lignes.

Pour la quatrième étape, nous répétons le même processus pour la zone-inverse avec la création du fichier spécifique « /etc/bind/db.isima.rnu.tn.rev » (figure 13)

(32)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 24 Figure 13 : Création du fichier de la zone inverse

Pour la cinquième étape, il est conseillé (mais pas obligatoire) d’indiquer les adresses IP des serveurs DNS externe s’il existe dans le fichier « etc/bind/named.conf.options » (figure 14)

Figure 14 : Configuration des adresses IP des serveurs DNS externes

Après avoir terminé l’installation du service DNS et la configuration de ses fichiers, il faut redémarrer notre service.

Figure 15 : Redémarrage du service DNS Nous passons ensuite, au test du fonctionnement de notre serveur DNS

II.4. Test de fonctionnement

Pour tester le bon fonctionnement du notre serveur, nous devons taper la commande administrateur « nslookup ». [8]

(33)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 25 Figure 16 : Test du fonctionnement du serveur DNS

Dans la figure 16, la commande « nslookup » permet de donner l’adresse IP en fonction du nom de la machine et inversement après avoir interrogé le serveur DNS déjà installé.

III. Le service DHCP (Dynamic Host Configuration Protocol) III.1. Rôle du serveur DHCP

Le protocole DHCP, (Dynamic Host Configuration Protocol) ou (Protocole de la configuration dynamique des hôtes), est un service réseau TCP/IP [9]. Il permet aux ordinateurs clients l'obtention automatique d'une configuration réseau. Il évite la configuration de chaque ordinateur manuellement. Les ordinateurs configurés pour utiliser DHCP n'ont pas le contrôle de leur configuration réseau qu'ils reçoivent du serveur DHCP.

III.2. Fonctionnement du serveur DHCP

D’une manière générale, le fonctionnement d'un client DHCP passe par les étapes déjà présentées dans la figure 17 et qui sont les suivantes:

 Localisation de bail IP : le client émet une diffusion générale afin de trouver l’IP d’un serveur DHCP

 Offre de bail : Tous les serveurs DHCP disponibles envoient une offre d’adressage IP au client.

 Demande de bail : le client sélectionne la première proposition d’adressage IP qu’il reçoit, puis émet à nouveau une diffusion générale afin de demander un bail.

 Confirmation de bail : le serveur DHCP retenu répond alors au client, et les autres serveurs retirent leurs offres.

(34)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 26 Le client reçoit son adresse IP ainsi que ses paramètres optionnels (passerelle, adresse serveur DNS).

Figure 17 : Les étapes du fonctionnement du serveur DHCP

III.3. Configuration du serveur DHCP

Dans le but de la bonne exploitation du matériel existant dans l’institut, nous avons choisi de configurer notre Firewall Cisco ASA 5510, pour qu’il soit notre serveur DHCP.

En effet, le firewall Cisco est un équipement performant, et permet de nous donner des services très importants pour la sécurité de notre réseau dont nous allons les présenter dans le chapitre 5

« sécurité du réseau ».

Dans cette phase, nous allons nous intéresser à la configuration du serveur DHCP. En effet, nous allons faire la création et la configuration de l’interface « inadmin » dans notre firewall, fixer son adresse IP à 192.168.1.1 et son masque est de 255.255.252.0 comme indique la figure 18 :

(35)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 27 Figure 18 : Configuration de l’interface « inadmin » du serveur DHCP

Par la suite, nous allons activer le DHCP et fixer la plage d’adresses dynamiques de l’interface (figure 19).

Figure 19 : Fixation de la plage d’adresses dynamiques

Le reste de la plage d’adresses de l’interface « inadmin », du 192 .168.1.255 jusqu’au 192.168.3.255, est réservé pour l’adressage statique.

La figure 20, présente le bon fonctionnement de notre serveur DHCP sur une machine cliente connecté dans le réseau :

(36)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 28 Figure 20 : Test du fonctionnement du serveur DHCP

En effet, dans cette figure nous remarquons que la machine a bien acquis une adresse IP dynamiquement de la part de notre serveur DHCP déjà configuré.

Conclusion

Dans ce chapitre, nous avons choisi notre système d’exploitation et nous l’avons installé sur notre serveur. Ensuite, nous avons présenté la configuration des services réseaux DHCP et DNS et nous avons détaillé leurs tests de fonctionnement. Nous possédons ainsi un serveur qui permet de reconnaitre et configurer dynamiquement les machines du réseau.

Le chapitre suivant, sera consacré à la présentation et la mise en place du contrôleur de domaine.

Nous allons en particulier gérer le partage de dossiers et d’imprimantes et manipuler les comptes et les groupes des utilisateurs dans notre réseau.

(37)

Chapitre VI :

Configuration du contrôleur de

domaine

(38)

Introduction

Un domaine est une entité logique vue comme une enveloppe étiquetée. Il désigne l’ensemble de machines réseau (stations, imprimantes,…) et les comptes utilisateurs qui sont autorisés à se connecter.

Le domaine permet à l’administrateur réseau de gérer plus efficacement les utilisateurs des stations installées au sein de l’entreprise car toutes ces informations sont centralisées dans une même base de données et stockées sur un serveur particulier appelé contrôleur de domaine.

Dans ce contexte, nous pouvons citer plusieurs familles des contrôleurs des domaines existants sur le marché comme Active Directory pour les systèmes Windows (Windows XP, Windows 7, etc.), NIS pour les systèmes Open Source (Ubuntu, Debian, etc.) et Samba pour les réseaux hétérogènes et ce qui est le cas dans notre projet. Toutefois, Samba doit être couplé avec l’annuaire LDAP afin d’organiser les données et les centraliser dans un annuaire séparé.

Ainsi, dans ce chapitre, nous allons nous intéresser à la présentation du contrôleur de domaine Samba et l’annuaire OpenLDAP dans un premier lieu. Dans un second lieu, nous détaillerons les étapes d’installation et de configuration de ces deux services. Nous terminerons enfin par l’explication de la gestion de quotas d’espace disque et d’ impressions.

I. Etude théorique

L’étude et la mise en place d'un serveur contrôleur de domaine centralisé comme Samba sont indispensables pour gérer les comptes utilisateurs, les authentifications et les partages des répertoires. Néanmoins, un annuaire open source comme LDAP permettant d’enregistrer nos données s’avère nécessaire pour avoir un contrôleur de domaine. Dans ce qui suit, nous allons présenter ces deux services avec leurs principales fonctionnalités.

I.1. L’annuaire OpenLDAP

I.1.1. Définition D’un annuaire

OpenLDAP [10] est un projet libre diffusé sous licence OpenLDAP Public License. Il est supporté par la fondation OpenLDAP, créée en 1998 par une société appelée Net Boolean, fournisseur de services professionnels liés à la messagerie.

OpenLDAP est une implémentation libre de LDAP [Lightweight Directory Access Protocol], fonctionnant en mode Client/serveur et qui permet d'offrir des fonctionnalités variées dont une

(39)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 31 gestion des authentifications dans un environnement réseau. Il peut également gérer les comptes utilisateurs pour Linux et celles de Windows via un contrôleur de domaine principal.

Ce service est utilisé pour enregistrer une grande quantité d’informations dans un réseau informatique.

I.1.2. Caractéristiques et fonctionnement

Le serveur LDAP présente l’intermédiaire entre le client et la source de données. Il définit alors l’organisation des données qu’il présente de manière hiérarchique à travers un format de fichier standard LDIF (LDAP Data Interchange Format).

Le modèle LDAP normalise un grand nombre d’informations :

 Le protocole : permettant d’accéder à l’information contenue dans l’annuaire

 Le modèle de nommage : définit la manière de stockage et d’organisation des données (attributs des objets)

 Le modèle fonctionnel : définit les différents services fournis par l’annuaire

 Le modèle d’information : définit le type d’informations stockées

 Le modèle de sécurité : définit les droits d’accès aux ressources (authentifications des accès)

 Le modèle de duplication : définit comment la base est répartie entre serveurs

 Des APIs : pour développer des applications clientes

La figure 21 présente un exemple d’un annauire LDAP .

dc=isima,dc=rnu,dc=tn

ou= groupe ou=machine

ou=utilisateur

cn= etudiant cn =enseignant

cn = kawther cn = pc

Figure 21 : Exemple de la Structure d’annuaire LDAP

(40)

 DC [Domain Components] : C’est une partie du nom de domaine. Dans notre cas, le domaine que nous obtenons à partir des différentes DC est « isima.rnu.tn ».

 OU [Organizational Units] : Unité d’organisation qui présente les nœuds principaux dans une entreprise qui sont dans notre cas: utilisateur, machine et groupe

 Cn [Commun Name] : ce sont les données spécifiques des unités d’organisations par exemple « enseignant » pour l’unité d’organisation « groupe ».

L’annuaire LDAP doit être interconnecté à un contrôleur de domaine Samba que nous allons présenter dans la suite.

I.2. Le Contrôleur de domaine Samba

I.2.1. Définition

Samba [11] est une suite de logiciels qui nous permettra d’interconnecter des systèmes hétérogènes, afin d’en partager les ressources. Ces ressources sont composées d’utilisateurs, de groupes, de machines et d’imprimantes. Ainsi toutes les machines Unix peuvent accéder à une machine ou domaine Windows et inversement.

Cependant, Samba nous fournit les fonctionnalités d’un contrôleur de domaine ainsi qu’un gestionnaire de fichiers.

I.2.2. Structure de Samba

Le serveur Samba est constitué de deux applications principales qui sont :

 Nmbd : qui permet de gérer la résolution de noms NetBIOS et toutes les connexions UDP. Il est le premier serveur démarré dans le processus de démarrage de Samba. Il fonctionne sur le port 137.

 Smbd : qui permet de gérer toutes les connexions SMB/CIFS ainsi que le partage de fichiers et d’imprimantes. Il gère également les authentifications locales. Il est démarré juste après Nmbd et il fonctionne sur le port 139.

Ce service fonctionne en mode client/serveur via le service SMB (Server Message Block) qui permet la communication entre les machines sous linux et Windows.

I.2.3. Fonctionnalités de Samba

Le service Samba fournit des différentes fonctionnalités serveurs telles que serveur de fichiers, serveur d’imprimantes et contrôleur de domaine ainsi que des fonctionnalités clientes comme la connexion à un partage distant et le transfert des fichiers.

(41)

Administration et sécurité du réseau de l’ISIMa sous Linux Page 33 Ce service nous fournit encore une fonctionnalité très importante dans notre réseau hétérogène qui est l’interconnexion bidirectionnelle entre les systèmes d’exploitation Unix et Windows.

a. Gestion des comptes

Samba permet à des comptes du type Windows de se connecter à une machine UNIX. Il fait le lien entre les deux types de comptes pour gérer les droits d’accès aux fichiers pendant la connexion et après la connexion. Samba fait donc une correspondance entre les utilisateurs UNIX et les utilisateurs Windows : à chaque utilisateur Samba correspond un utilisateur UNIX.

La création d’un compte pour Samba se fait en deux étapes :

 ajout du compte utilisateur sur la machine UNIX

 ajout du compte à la base Samba

Dans notre projet, nous avons l’avantage de faire la création en une seule étape grâce à la synchronisation avec l’annuaire LDAP.

b. Gestion des droits

Il existe deux types de droits sous Samba : les droits de connexion qui nous permettrons de définir les utilisateurs ou groupes pouvant se connecter à un partage et les droits du système de fichiers qui nous permettrons de définir les droits qu’aura un utilisateur ou un groupe sur les fichiers. Il s’agit des droits de lecture, d’écriture (w) et d’exécution (x) qu’ont un utilisateur (u), un groupe (g) ou tout autre personne (o) sur les fichiers, les répertoires et les autres ressources partagées (imprimantes,…).

c. Gestion des imprimantes : Le serveur d’impression CUPS

Comme nous avons mentionné dans le paragraphe précédent, le service Samba nous permet le partage et l’administration des imprimantes, mais pour un fonctionnement meilleur, nous devons le coupler avec le serveur d’impression CUPS [Common UNIX Printing System].

Ce serveur nous permet d’organiser les tâches d’impression, les met en file d’attente, et rend possible l’impression en réseau en utilisant le standard d’impression Internet Printing Protocol [IPP]. Il offre un large support pour un très grand nombre d’imprimantes (imprimantes matricielles aux imprimantes laser, etc.). CUPS offre également le support PostScript Printer Description PPD et l’auto-détection des imprimantes réseaux, avec une interface de configuration Web simple et accessible depuis n’importe quel ordinateur [12].