2016 / 2017 DELAVIE SA · Projet Delavie SA 1 Suivi Documentaire : Date Version Modifications...
Transcript of 2016 / 2017 DELAVIE SA · Projet Delavie SA 1 Suivi Documentaire : Date Version Modifications...
2016 / 2017
PROJET DELAVIE SA
REPONSE A L’APPEL D'OFFRE DU 15/10/2016
GESTION DE PROJET – SYSTACK IT
Projet Delavie SA
1
Suivi Documentaire :
Date Version Modifications Auteurs
15/10/2016
V1.0 Version Initiale L1
30/10/2016 V1.1 Version initiale corrigée + complément
2/12/2016
V1.2
Ajout de l’étape 2
10/12/2016 V1.3 Corrections + Rendu Livrable L2
11/12/2016
V1.4
Corrections – Changement logo
11/12/2016 V1.5 Ajout paragraphe
13/12/2016 V1.6 Corrections
13/12/2016 V1.7 Ajout des ressources financières
09/02/2017 V1.8 Ajout de la partie réseau
16/04/2017 V1.9 Ajout de la partie sauvegarde, virtualisation
23/05/2017 V2.0 Ajout de la partie Systèmes & Sécurités +
Volet Financiers
28/06/2017 V2.1 Finalisation du rapport
Projet Delavie SA
2
Table des matières
Contexte .................................................................................................................................................. 5
I. Organisation du projet .................................................................................................................... 6
1. Maitrise d’ouvrage : « Delavie SA » ............................................................................................ 6
1.1. L’existant ............................................................................................................................. 6
1.2. Les besoins........................................................................................................................... 6
1.2. Données financières ............................................................................................................ 7
1.3. Date de livraison .................................................................................................................. 7
2. Maitrise d’œuvre : « Systack IT » ................................................................................................ 7
2.1. L’équipe réalisatrice du projet ............................................................................................ 7
2.2. Solutions proposées ............................................................................................................ 7
3. Les étapes du projet .................................................................................................................. 10
3.1. Répartition des tâches ....................................................................................................... 11
3.2. Cartographie heuristique du projet ................................................................................... 13
4. Analyse des risques ................................................................................................................... 14
4.1. Phase Préparatoire ............................................................................................................ 14
4.2. Phase d’analyse des risques .............................................................................................. 15
4.3. Phase du traitement des risques ....................................................................................... 15
4.4. Solution des risques étudiés dans la phase préparatoire ................................................. 15
II. Pilotage du projet .......................................................................................................................... 17
1. Suivi des ressources humaines .................................................................................................. 17
2. Suivi des ressources financières ................................................................................................ 17
3. Suivi des ressources matérielles ................................................................................................ 17
4. Diagramme de Gantt ................................................................................................................. 18
III. Plan de communication ............................................................................................................. 19
Volet technique ..................................................................................................................................... 20
IV. Infrastructure réseau : ............................................................................................................... 20
1. Présentation globale du réseau................................................................................................. 20
1.1 Gestion des adresses IP ......................................................................................................... 21
1.2 Redondance des passerelles (VIP) ......................................................................................... 22
2. Synchronisation des firewalls .................................................................................................... 23
3. Sécurisation du réseau .............................................................................................................. 24
V. Infrastructure sécurité ................................................................................................................... 26
1. Système de détection d’intrusions NIDS ................................................................................... 27
2. VPN remote access .................................................................................................................... 29
Projet Delavie SA
3
3. Proxy (serveur mandataire) ....................................................................................................... 30
VI. Infrastructure système .............................................................................................................. 31
1. Annuaire LDAP ........................................................................................................................... 31
2. Le serveur de messagerie .......................................................................................................... 33
3. Le serveur DNS interne .............................................................................................................. 34
4. Téléphonie IP avec FreePBX ...................................................................................................... 35
4.1 Introduction ....................................................................................................................... 35
4.2 Utilisation .......................................................................................................................... 36
4.3 Configuration ..................................................................................................................... 37
3.4 Phases de tests .................................................................................................................. 42
4.4 Choix du téléphone IP ....................................................................................................... 43
5. Gestionnaire de logs .................................................................................................................. 45
5.1 Ajouter des Inputs ............................................................................................................. 47
5.2 Gestion des Utilisateurs, Droits, Flux, Alertes ....................................................................... 48
5.3 Présentation des dashboards ................................................................................................ 49
6. Supervision avec centreon .................................................................................................... 50
6.1 Introduction ....................................................................................................................... 50
6.2 Choix de la solution ........................................................................................................... 50
6.3 Centreon ............................................................................................................................ 52
6.4 Utilisation .......................................................................................................................... 52
6.5 Configuration ..................................................................................................................... 53
VII. Infrastructure de stockage ........................................................................................................ 59
1. Stockage SAN ............................................................................................................................. 59
2. Partages de fichiers ................................................................................................................... 60
3. Sauvegardes de VM sous « Veeam » ......................................................................................... 62
3.1 Introduction ....................................................................................................................... 62
3.2 Utilisations ......................................................................................................................... 63
3.3 Equipements ...................................................................................................................... 67
4. PCA/PRA .................................................................................................................................... 68
VIII. Infrastructure virtualisation ...................................................................................................... 69
1. Hyperviseur ............................................................................................................................... 69
2. Schéma des machines virtuelles ................................................................................................ 69
3. Fonctionnalités de l’hyperviseur VMware ................................................................................ 70
IX. Infrastructure cloud ................................................................................................................... 71
Openstack .......................................................................................................................................... 71
Volet Financier ....................................................................................................................................... 72
Projet Delavie SA
4
X. Rappel du projet ............................................................................................................................ 72
1. Choix du matériel ...................................................................................................................... 72
2. Prix des matériels ...................................................................................................................... 74
3. Logiciels ..................................................................................................................................... 74
4. Fournisseur d’accès ................................................................................................................... 74
5. La Mise en place ........................................................................................................................ 75
6. La maintenance ......................................................................................................................... 76
7. Devis général ............................................................................................................................. 76
Projet Delavie SA
5
Contexte La société « Delavie SA » est spécialisée dans l’analyse et la recherche médicale basée à Lyon, elle
possède déjà une structure informatique en réseau local sur son site principal.
Afin d’élargir la présence sur le terrain et d’augmenter les contrats avec les autres acteurs de la santé
(Hôpitaux et des cabinets médicaux), deux nouvelles agences (Paris, Toulouse) vont ouvrir cette année.
« Delavie SA » créée en 2001 par des biologistes résolument tournés vers l’avenir qui partageaient
déjà la même vision de la biologie : mise en commun des compétences et des moyens au service des
patients et des médecins. En 2010, « Cerba European Lab », leader européen de la Biologie Spécialisée,
devient partenaire de « Delavie SA ».
« Delavie SA » rejoint le réseau international de laboratoires de biologie médical « Healthcare Lab »
qui propose une solution complète en termes de diagnostic biologique allant du centre de
prélèvements au laboratoire de spécialités.
Données financières en euros :
Années 2014 2015
Chiffre d’affaires 530 000€ 572 000€
Les différents collaborateurs présents sur le siège et sur les futurs laboratoires sont des laborantins,
des responsables de laboratoire, des techniciens biochimiste, techniciens de métrologie ...
Les effectifs sont de vingt à quarante personnes par agences et plus de cent personnes au siège, ce
dernier regroupe aussi un laboratoire.
L’objectif est d’interconnecter les 2 sites de Paris et Toulouse au siège situé à Lyon.
Futur Infrastructure globale de la société « Delavie SA » :
Projet Delavie SA
6
I. Organisation du projet
1. Maitrise d’ouvrage : « Delavie SA »
1.1. L’existant
« Delavie SA » possède une infrastructure informatique vieillissante et souhaite renouveler ce
dernier.
Conscient du virage numérique et du nombre de clients que celui-ci pourrait lui apporter, la société
demande donc la mise en place d’une infrastructure informatique totalement renouvelée. Cela
concerne le siège et la connexion entre les futurs nouveaux sites distants qui vont être mis en place
cette année à Paris et à Toulouse.
1.2. Les besoins
Les besoins exprimés par la société « Delavie SA » sont les suivants :
- Mise en place de l’infrastructure informatique sur les deux sites distants
- L’interconnexion des sites distants au siège situé à Lyon
- La sécurisation des infrastructures (zones de confiances)
- La surveillance en temps réel de l’état de l’infrastructure
- Création de machines virtuelles pour les partenaires
- La mise en place d’une solution de messagerie interne
- L’optimisation des flux réseaux
- Mise en recette et tests de l’infrastructure
- Mise en place d’un système de secours matériels et logiciels au siège et sur les sites distants
- Une possibilité de filtrage des sites web intranet et extranet
- Une liaison rapide entre les deux sites
- Un système de détection et de prévention des intrusions informatique
- Un service de partages de fichiers
- Dématérialisation des serveurs
- La définition d’un plan de reprise et de continuité des activités
Projet Delavie SA
7
1.2. Données financières
Le budget prévisionnel pour le projet (coûts matériels et humains) sera compris entre 500 000€ et
700 000€.
1.3. Date de livraison
Le projet commencera le 20 Octobre 2016 et se terminera Mi-Juillet 2016.
2. Maitrise d’œuvre : « Systack IT »
2.1. L’équipe réalisatrice du projet
La société « Systack IT » a élaboré une réponse à l'appel d'offre. Cette société
dispose de différents prestataires travaillant régulièrement avec des sociétés
de renommé dans le secteur informatique. L’équipe réalisatrice est composée
de 4 ingénieurs systèmes et réseaux spécialisés dans différents domaines :
Chacun des 4 membres de l’équipe a des tâches qui leurs sont attribuées.
- Ingénieur 1 – Chef de projet et Ingénieur Systèmes & Réseaux
- Ingénieur 2 – Ingénieur Systèmes / Réseaux / Téléphonie
- Ingénieur 3 – Ingénieur Systèmes / Sécurité
- Alexis LI – Ingénieur Réseau / Virtualisation
2.2. Solutions proposées
Les différents ingénieurs vont s’occuper des différentes parties qui lui sont propres, les solutions qui
sont proposés ici sont sujettes à modification.
Ingénieur 1 Ingénieur 2 Ingénieur 3 Alexis LI
Projet Delavie SA
8
Infrastructure réseau – Ingénieur 1 et 3
- Utilisation de tunnels pour interconnecter les différents sites (IP Sec.)
- Les différents tests au niveau réseaux seront réalisés sous GNS3.
- Déploiement de la fibre optique entre les sites distants et le siège afin de faciliter l’échange
réseaux.
Infrastructure sécurité – Ingénieur 1
Les connexions internes et externes sont multiples. La sécurité, que ce soit au niveau intégrité
ou fiabilité est une des étapes les plus importantes lors de la mise en place d’une infrastructure
informatique. Un pare-feu fait office de portail de sécurité ou de poste frontière et ne laissera passer
que les données autorisées par les administrateurs.
Un système de pare-feu (firewall) redondé à deux niveaux sera mis en place. Le routage sera
également possible avec firewalls.
- Antivirus pour les postes utilisateurs, Pare-feu et NIDS (Pfsense, Snort…)
- Mise en place d’un NIDS - Système de détection d'intrusion (Snort)
- Filtrage des sites web via un proxy (Squid)
Infrastructure virtualisation – Alexis Li
- Pour l’infrastructure du siège, afin de faciliter les sauvegardes et les reprises d’activités des
serveurs, deux hyperviseurs ESXI seront mis en place.
- Les technologies suivantes seront utilisées (vCenter, Update Manager, vSphere, HA,
Migration à chaud des VM)
Infrastructure sauvegarde – Ingénieur 2
- Mise en place d’un Plan de reprise d’activité (PRA) et d’un Plan de continuité d’activité (PCA)
- Pour la sauvegarde de VM et de machine sur le réseau, on utilisera la solution de sauvegarde
VEEAM
Infrastructure stockage – Ingénieur 1
- Mise en place d’un SAN sur un SAN Virtuel FreeNAS
- La mise en place d’un serveur de fichier Nextcloud
Projet Delavie SA
9
Infrastructure cloud – Ingénieur 1 et 2
- Pour nos partenaires, nous utiliserons une solution Cloud « Openstack » pour leur fournir les
machines virtuelles adaptées à leurs besoins.
Infrastructure système et supervision – Ingénieur 1 et 3
- Mise en place de la solution Centreon pour la supervision des équipements réseaux et
serveurs.
- Pour la messagerie, nous mettrons en place un Exchange en interne.
- Un serveur de téléphonie sera installé en interne avec la solution « FreePBX »
- Un Active Directory sous Windows Server 2016 sera mis en place
- Un serveur syslog afin de regrouper les logs avec la solution « Graylog »
La supervision permet aux administrateurs de connaitre l’état du réseau, des périphériques
rapidement. Ainsi la supervision englobe deux types de surveillance dans ce projet :
Tout d’abord la supervision de panne : grâce à cela, les administrateurs du réseau peuvent
connaitre les pannes matérielles ou logicielles qui surviennent sur les périphériques du
réseau.
Puis la métrologie du réseau : la surveillance des performances du réseau permet de
détecter des anomalies de bande passante qui pourrait être la cause de programme
malveillant, intrusions sur le réseau non souhaitées, failles de sécurités multiples...
Mais aussi de dysfonctionnement d’un périphérique du réseau, ou d’une erreur liée à un
utilisateur.
Projet Delavie SA
10
3. Les étapes du projet
Le planning de répartition des tâches permet une organisation et une répartition des taches
propre et efficace. Ainsi, sont présents les 4 collaborateurs de l’équipe projet et l’ensemble des taches
à effectuer pour mener à bien ce dernier.
Chacun des 4 membres de l’équipe à une couleur qui lui est propre. Chaque membre s’occupe
de la réalisation de 2 ou 3 infrastructures. Chaque tache a un des trois états possibles :
- « À faire »
- « En cours »
- « Fait »
Chacune des parties Avant-Projet, Clarification, Organisation, Réalisation, Clôture et Après-Projet est
placée dans le planning de répartitions des taches, pour chaque protagoniste.
Nous mettons aussi à disposition une carte heuristique du projet afin d’avoir un visuel clair et précis
de nos idées et tâches à accomplir, il permet de structurer et d’organiser visuellement un projet, ce
qui facilite la gestion de l’information, des ressources et des tâches pour les deux parties.
Ce dernier sera fait sous le logiciel « Freemind ».
Projet Delavie SA
11
3.1. Répartition des tâches
Projet Delavie SA
12
Projet Delavie SA
13
3.2. Cartographie heuristique du projet
Projet Delavie SA
14
4. Analyse des risques
Pour l’analyse des risques de ce projet, la société « Systack IT » adopte la méthode MEHARI « méthode
harmonisée d’analyse des risques ».
Cette méthode permet l’évaluation des risques, mais aussi le contrôle et la gestion de la sécurité des
systèmes d’information. Elle se compose de trois grandes phases :
Phase Préparatoire,
Phase d’analyse des risques,
Phase du traitement des risques.
4.1. Phase Préparatoire
Cette phase consiste à généraliser un audit d’un plan stratégique qui analyse tous les enjeux de
sécurité possibles.
- L’identification des risques,
- Le scénario de sinistre : cause et conséquence des risques identifiés,
- Le potentiel du risque : La capacité de destruction,
- La gravité,
Probabilité
Type description Cause conséquence Gravité
Le projet contient des technologies
ou matériels dont aucun
dans l'entreprise n'est compétent.
FAIBLEl'entreprise n'est pas spécialisé
dans ce domaine.
Mauvaise configuration
d'un matériel.MOYENNE
Des employés non compétents.
Le non maitrise de la technologie.
Reception d'un matériel ou
d'un équipement défectueux.MOYENNE
Une commande d'un mauvais équipement.
Erreur de la part du fournisseur.
Manque de cablage. FAIBLE Nombre des cables insufisant.
Vol du matériel informatique. FAIBLE Locaux non sécurisé.
Attaque des programmes malveillants FORTFaible confidentialié.
Manque de technoligé de sécurité.
Attaque sur le réseau FORT Infrastructure faible.
Risques temporels Non respect du délai FAIBLE
Sous estime du temp de réalisation
du projet.
Retard du livraison.
*Retard du livraison.
* le projet prend plus de temps que prévu.
Risque de contrepartie MOYENNEUn contrat conclu ne tient pas
ses engagements.
Risque opérationnel MOYENNE Une défaillance des procédures.
Risques humains Manque du personnel MOYENNE
Congé maternité , maladies,
accidents, démission
et abondan de poste.
*manque d'employés.
Risques naturelscatastrophe naturelle
( inondation , séisme..)MOYENNE
Le mauvais positionnement
des locaux informatiques.
Le manque des solutions en cas
d'une coupure.
*Risque technique.
Risque juridiquesplainte déposé contre nous
ou plainte déposé contre le client.FAIBLE
Le non-respect de la législation
relative à la signature numérique.
Le non respect du contrat.*Liquidation judiciaire.
Risque de sécurité
Risques finaciers
* Mauvaise réputation dans le marché.
* Perte des cients.
* Données perdus.
* L'arret du production ou d'un service.
* Divulgation d’informations confidentielles
ou erronées pouvant profiter à des sociétés
concurrentes ou nuireà l’image de
l’entreprise ou du client.
*Grande perte d'argent.
*Projet non rentable.
Risque Evaluation de la gravité
Risques techniques
Projet Delavie SA
15
4.2. Phase d’analyse des risques
Cette phase permet d’identifier les situations susceptibles de remettre en cause un des objectifs de
l’entreprise.
D’après le tableau du plan opératoire, on déduit que les risques techniques, les risques de la sécurité
et les risques judiciaires ont les plus graves conséquences sur l’entreprise.
Pour cela, il est important de prendre les mesures possibles pour éviter les situations qui peuvent
causer les conséquences indiquées. Cela ne veut pas dire qu’il faut négliger les autres risques. En effet,
chaque risque joue un rôle important dans l’équilibre de la production.
4.3. Phase du traitement des risques
Cette phase permet de générer le Plan Opérationnel d’Entreprise (POE) qui assure :
- Un audit de suivi d’analyse des risques.
- Les solutions et les règles de des risques contre lesquels il faut se prémunir.
« Systack IT » envisage de mettre en place un audit sous forme d’un « Reporting mensuel ». Ce dernier
permettra de générer un suivi de l’état des failles de sécurité les plus significatives et leurs localisations.
4.4. Solution des risques étudiés dans la phase préparatoire
Risques techniques :
Nous évaluons les besoins de formation de notre équipe avant le démarrage des tâches que
nos employés ne maitrisent pas, afin qu’ils disposent des compétences nécessaires.
Nous appelons une entreprise de prestation afin de réaliser une mission comportant une
technologie que nous ne maitrisons pas.
Pour éviter la mauvaise configuration d’un équipement nous réalisons une étude minutieuse
et des tests systématiques.
Dans le cas où nous recevons un produit défectueux, nous prévenons le client pour le
sensibiliser que le temps nécessaire à la finalisation du projet va être rallongé.
Pour le manque de câblage, nous prévoyons toujours plus de câbles.
Nous prévoyons aussi du matériel de rechange (spare) au cas où une panne arriverait.
Projet Delavie SA
16
Risque de Sécurité :
Afin de renforcer la sécurité des infrastructures nous disposons de :
o Systèmes de sauvegardes.
o Dispositifs de sécurité réseau (Firewalls, NIDS, proxy...).
o Serveurs et liens redondants.
o Locaux sécurisés.
Risques temporels :
Nous prévoyons toujours des délais élargis par rapport aux délais habituels de livraison
d’installation et de test au cas de contretemps.
Risques financiers :
Nous étudions et nous calculons au préalable le budget pour chaque projet en prenant une
marge de manœuvre pour éviter les dépassements très importants.
Nous proposons des contrats clairs à nos clients et nous nous rassurons sur leurs
engagements.
Risques humains :
Nous disposons d’un personnel de compétences équivalentes à la personne qui assure le
suivi du projet.
Risques Naturels :
En cas d’impact sur le fournisseur d’électricité, l’onduleur gère les pannes de durée
inférieure à 1h.
Le local technique qui héberge les équipements sera installé dans un endroit isolé qui peut
résister à des catastrophes naturelles (inondations, tremblement de terre,…)
Risques juridiques :
Nous disposons d’un service juridique qui fait en sorte que les contrats nous liant à nos
fournisseurs, clients ou autres… nous protègent au maximum.
Il est possible d’éviter les risques mais pour bien sécuriser l’entreprise et réduire les impacts, nous
allons définir la responsabilité de chaque employé envers les services impactés.
Projet Delavie SA
17
II. Pilotage du projet
1. Suivi des ressources humaines
Le suivi des ressources humaines est représenté dans le diagramme de Gantt à l’aide du logiciel MS
Project, cela nous permet d’avoir une vision en interne sur la charge de chaque personne.
Le diagramme de Gantt permet de visualiser simplement toutes les tâches planifiées d'un projet et
leurs échéances.
Les différentes tâches et jalons sont représentés dans le diagramme de Gantt, visibles dans la page
suivante. Ces tâches sont également visibles et organisées sur le planning de répartition des tâches.
2. Suivi des ressources financières
Les ressources financières sont suivies pour chaque tâche dans le fichier MS Project. Les coûts sont
indicatifs et sont calculés en fonction des participants à la tâche additionnée au coût par personne
ainsi que la durée de cette dernière. Les coûts de prestation par personne sont fixées à 500€/journée
(Voir 4. Diagramme de Gantt)
3. Suivi des ressources matérielles
Au cours du projet, les besoins en ressources matérielles peuvent évoluer et il faut pouvoir répondre
rapidement à de nouveaux besoins et gérer les risques liés à d’éventuelles indisponibilités.
C’est pour cela que nous avons listé le matériel prévisionnel de l’infrastructure du client
Suivie des ressources matérielles Infra réseau Produit Quantité Spare
Routeur Cisco 2941 3 1
Routeur Cisco 1941 3 1
Switch Catalyst 3650-48TS 8 1
Switch Catalyst 2960X-48LPD-L 2 1
Firewalls 4 1
Infra système Produit Quantité Spare
Serveurs hôtes physiques 4
Baie de stockage type NAS 1 *Ce tableau est donné à titre indicatif, il est susceptible d'être modifié car nous avons encore certaines zones
ombres sur l’infrastructure du client
Projet Delavie SA
18
4.
5. Diagramme de Gantt
Projet Delavie SA
19
III. Plan de communication
Pour la communication autour du projet, nous avons utilisé plusieurs outils sécurisés afin de mettre
en œuvre les réunions en ligne et le partage de documents :
o Les réunions hebdomadaires sont mises en place sur le logiciel « Mumble » ou sont
communiquées les idées principales, les points sur la réalisation de chacun ainsi que
les différentes méthodes de réalisation.
o Les documents et fichiers techniques sont transférés et échangés sur un « Owncloud »
géré par Aimery Dupré.
o Nous utilisons « Ryver » pour la communication écrite. De plus cela nous permet de
créer des « salons » pour séparer nos sujets de discussion permettant ainsi de
cloisonner chaque problématique. Il est possible de recevoir des notifications et
l’application est disponible sur tous les supports (PC/MAC, mobile, tablettes,..).
- Mumble est une solution open-source de VoIP destinée aux chats vocaux.
o Site web: https://wiki.mumble.info/wiki/Main_Page
- Ryver est une solution gratuite, qui peut être comparée à Slack destinée aux discussions de
groupe.
o Site web : https://ryver.com
- Owncloud, logiciel libre permettant le stockage et partage de fichiers en ligne.
o Site web: https://www.owncloud.org/
Projet Delavie SA
20
Volet technique
IV. Infrastructure réseau :
1. Présentation globale du réseau
L’infrastructure réseau du client cible Delavie SA se découpe en plusieurs régions raccordées entres-elles par internet à travers des VPN IPSEC.
1) Le siège de l’entreprise (en haut du schéma)
2) L’agence de Toulouse (en bas à gauche)
3) L’agence de Paris (en bas à droite)
Projet Delavie SA
21
- Concernant le siège de l’entreprise nous avons mis l’accent sur la résilience et de la disponibilité de
l’infrastructure au niveau des équipements de routage et de sécurité afin de garantir la continuité de
service en cas de panne d’un équipement survenant sur le réseau
- Les agences sont elles aussi équipées de deux routeurs afin de palier à une éventuelle panne de
l’accès primaire.
- L’infrastructure réseau est constituée de switchs L2&L3 de nouvelle génération de marque « Cisco »
- Les Firewalls sont des boitiers hardware et logiciel Pfsense, ils jouent le rôle de NGFW.
1.1 Gestion des adresses IP
Projet Delavie SA
22
Afin d’organiser au mieux l’adressage de l’entreprise nous avons mis en place un IPAM nous
permettant de créer les sous-réseaux et d’affecter nos adresses IP de façon claire et ordonné.
La solution choisie est « phpIPAM » c’est une application open-source fonctionnant en php et
commandée par une interface graphique :
1.2 Redondance des passerelles (VIP)
Les réseaux LAN du siège possèdent une VIP dédiée afin d’augmenter la disponibilité de service. Dans
le cadre de notre maquette, la VIP du réseau LAN serveur est tenue par nos deux firewalls internes :
Projet Delavie SA
23
Ainsi en cas de coupure sur le firewall primaire interne le second prendra le relai sur le routage des
paquets.
2. Synchronisation des firewalls
Nous utilisons la technologie Pfsync afin de synchroniser nos créations de règles firewall.
Pfsync est un protocole utilisé pour synchroniser plusieurs machines exécutants le pare-feu logiciel
Packet Filter. Cette synchronisation permet d'assurer la haute-disponibilité du cluster en diffusant les
"états" des connexions actives entre le pare-feu maître et les pare-feu de secours.
Le protocole fonctionne par défaut en multicast sur l'interface réseau auquel il est lié. Nous pouvons
aussi synchroniser bien plus que les règles firewalls :
Projet Delavie SA
24
3. Sécurisation du réseau
Dans le cadre de la sécurisation du réseau, il est important de placer les serveurs accessibles depuis
internet dans la zone DMZ du réseau afin d’éviter la propagation d’une éventuelle attaque vers les
réseaux LAN de l’entreprise. Pour cela nous avons mis en place sur le firewall externe primaire, une
zone d’accès en DMZ avec des règles spécifiques de filtrage :
Ce sous-réseau contient les machines étant susceptibles d'être accédées depuis Internet.
Projet Delavie SA
25
Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité. En cas de compromission
d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non au réseau local.
Politique de sécurité concernant la DMZ :
- Traffic du réseau externe vers la DMZ autorisé ;
- Traffic du réseau externe vers le réseau interne interdit ;
- Traffic du réseau interne vers la DMZ autorisé ;
- Traffic du réseau interne vers le réseau externe autorisé ;
- Traffic de la DMZ vers le réseau interne interdit ;
Projet Delavie SA
26
V. Infrastructure sécurité
L’ensemble des dispositifs de sécurités réseau se situe sur les firewalls interne et externe, le NIDS
« Snort » sur le firewall externe primaire ainsi que le filtrage d’accès sur le proxy « Squid » ainsi d’un
accès VPN sécurisé. Voici un schéma de l’architecture cible :
Descriptif du schéma :
Trois zones de confiances sont présentes sur le siège :
- En bleu la zone des firewalls externes en cluster HA
- En vert la zone des firewalls internes en cluster HA
- En gris la zone DMZ
Un serveur VPN remote-access
En bas du schéma, le LAN serveur et utilisateur
Projet Delavie SA
27
Voici quelques mises en situation sur le réseau sécurité :
- Le serveur Web public de l’entreprise se situe dans la DMZ, il est donc accessible depuis les réseaux
internet et les réseaux LAN de l’entreprise. Les flux sont renseignés sur le firewall externe primaire et
les attaques sont surveillées grâce à l’applicatif Snort.
- Les utilisateurs de l’entreprise venant d’internet doivent se connecter sur le serveur OpenVPN à l’aide
d’un certificat personnel. Une fois connectés, ils seront en mesure d’accéder aux ressources internes.
- Les utilisateurs internes pour accéder aux sites web externes doivent passer par le proxy de
l’entreprise et cela afin de protéger les utilisateurs et faire du filtrage d’accès sur les sites interdit ainsi
que journaliser la navigation.
1. Système de détection d’intrusions NIDS
En ce qui concerne les sondes de détection et de prévention (NIDS), nous proposons la solution
applicative « Snort », elle s’installe sur nos NGFW et permet de détecter et de bloquer des
comportements selon diverses catégories d’attaques (DDOS, trojan, virus, ver…).
Dans le cadre de notre maquette, nous avons placé en écoute « Snort » sur le port DMZ du firewall
primaire :
Projet Delavie SA
28
Voici quelques catégories de d’inspection de paquets activées :
Dans ces groupes nous trouvons des règles fines (scénarios) pour matcher un motif d’une attaque
potentielle :
En cas d’attaque on peut très vite savoir la source de l’attaquant et son contenu s’il n’est pas chiffré :
Projet Delavie SA
29
De plus « Snort » pourra bloquer l’IP de l’attaquant en activant une règle sur les firewalls si trop de
« patterns » d’attaque sont repérés.
Son avantage est qu’il est gratuit, s’installe sur tous les équipements linux, est open-source et sous
licence GNU GPL. De plus une communauté active contribue aux mises à jour de « Snort » permettant
de renforcer sa fiabilité.
2. VPN remote access
La solution VPN choisie est le logiciel OpenVPN, c’est un outil open-source et gratuit, il convient
parfaitement dans le cadre de l’entreprise cliente afin d’établir un tunnel sécurisé vers l’entreprise
quand l’utilisateur se situe en déplacement hors site au que ce soit dans le monde entier.
OpenVPN dispose d’un très haut niveau de protection des données qui transitent dans le tunnel :
« Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA”
« Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key »
« Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key »
Le service fonctionne sur une machine virtuelle basée sur CentOS 7 permettant d’avoir une très bonne
stabilité de l’application.
Une fois identifié sur le réseau, grâce à un certificat unique, l’utilisateur à accès au réseau interne dans
la limite des flux autorisés par le firewall.
Projet Delavie SA
30
3. Proxy (serveur mandataire)
Comme proxy, nous proposons au client la solution « Squid », elle est gratuite et open-source, c’est
une solution reconnue et utilisée mondialement dans le domaine de la sécurité.
Dans le cadre de notre maquette, elle se situe sur une machine virtuelle Centos 7 dans le LAN serveur.
L’ensemble des postes clients seront configurées pour pointer vers l’adresse du proxy afin d’effectuer
le filtrage de sécurité et la journalisation. Il sera refusé au niveau des firewalls internes de faire une
connexion en direct sur le web sans passer par le proxy d’entreprise.
Avantages du proxy d’entreprise :
- il permettra d’optimiser la navigation des pages les plus consultés en les plaçant dans un cache et
cela afin d’optimiser la bande passante vers internet.
- il permettra d’interdire certaines catégories de site (réseaux sociaux, hacking, jeux, contenus pour
adultes…) aux utilisateurs.
- il permettra de cacher l’IP source les requêtes internes vers internet.
- il permettra d’éviter à l’utilisateur d’une éventuelle infection par malware.
Projet Delavie SA
31
VI. Infrastructure système
1. Annuaire LDAP
L'objectif principal d'Active Directory est de fournir des services centralisés d'identification et
d'authentification à un réseau d'ordinateurs utilisant le système Windows. Concernant l’arborescence
de notre Active Directory, il s’agit d’une arborescence classique.
Nous avons 3 Unités d’organisations pour Paris, Lyon et Toulouse.
Dans chaque unité d’organisation nous avons 3 classes d’utilisateurs.
Nous avons les Administrateurs, les Utilisateurs et les VIP.
Projet Delavie SA
32
Le nom d’utilisateur d’un admin se compose de la première lettre de son prénom et de son nom suivi
d’un point et admin.
Projet Delavie SA
33
2. Le serveur de messagerie
Nous proposons au client la messagerie d’entreprise Microsoft Exchange 2016, gérée en interne.
Ce serveur permettra l’envoi et la réception de mails en interne et en externe. Les clients disposeront
d’une interface « web » de gestion des e-mails (via OWA). Ils disposeront également de la fonction
calendrier et contacts. Il sera possible d’avoir des clients lourds d’installés sur les postes de l’entreprise
tel que Microsoft Outlook.
Ce serveur aura pour fonction de relai SMTP interne pour les alertes de notifications de supervision.
Ce serveur se base sur un une machine Windows serveur 2016 et est relié à l’Active Directory de
l’entreprise.
Le domaine local sera « @delavie.local » et le domaine public sera « @delavie.ovh »
Chaque boite mail disposera d’un espace de 1Go de départ, modifiable en ajoutant des disques au
serveur.
La maintenance des bases de données est automatique et sera effectuée la nuit entre 3h00 du et 5h00
du matin.
L’enregistrement MX « delavie.ovh » est géré au niveau du registar OVH et la délégation de la
résolution du nom de domaine se fait sur leurs serveurs DNS.
Projet Delavie SA
34
3. Le serveur DNS interne
Afin de résoudre les noms DNS internes et externes, nous proposons au client l’outil « Unbound », il
fonctionne sur une machine virtuelle Linux. L’avantage est qu’il est gratuit open-source et est sous
licence BSD. C’est une bonne alternative comparée à BIND. L’administration est simple elle se fait par
un accès SSH, toute la configuration du DNS sur trouve dans un fichier texte.
Afin d’éviter tout espionnage ou falsification des requêtes de la part des « forwaders » de certains
fournisseurs DNS, nous redirigeons toutes les requêtes vers les « TLD de premier niveau » d’internet,
ils sont répartis dans le monde entier.
Afin de garantir une sécurité optimale des requêtes DNS, Unbound assure une protection DNSSEC avec
les serveurs DNS compatibles.
Unbound permettra aussi de faire du cache sur les requêtes DNS. Nous avons paramétré le cache sur
une durée d’une heure par enregistrement afin de réduire le nombre de requête sortante. Par défaut
certains fournisseurs DNS activent une durée de 5 minutes (TTL-DNS) par enregistrement ce qui est
très court. Dans le cadre de notre maquette nous avons une rétention des requêtes DNS configurée
pour expirer chaque 3600 secondes.
Unbound gère aussi les logs des requêtes sur la durée du cache de l’enregistrement, ce qui correspond
dans notre maquette à une heure de rétention.
Unbound peut gérer le filtrage et le blocage des entrées DNS par types domaines (malwares, jeux…)
Projet Delavie SA
35
4. Téléphonie IP avec FreePBX
5.1 Introduction
Toute entreprise aujourd’hui se doit d’avoir un centre d’appel au sein de l’entreprise afin d’appeler ou
de recevoir des appels extérieur ou intérieur, dans le cadre d’une solution de téléphonie IP nous avions
le choix de l’externalisé et de recourir à un prestataire ou de mettre en place une solution open-source
avec un abonnement SIP auprès d’un opérateur et de gérer nous même le parc téléphonique. Nous
avons donc opté pour cette solution.
Nous avons choisi la solution « FreePBX » qui convient à nos attentes, « FreePBX » qui a été
téléchargée plus de 5 millions de fois et utilisé sur plus de 500 000 systèmes téléphoniques dans le
monde. C’est une interface graphique qui se couple avec un serveur (PBX) « Asterix », une solution
VoIP très utilisée dans le monde, sur FreePBX, seul le support ainsi que certains modules sont payants.
L’avantage c’est qu’il est open source et utilisable sur les postes IP compatibles avec la norme SIP, IAX
et SCCP. Doté d’une interface agréable à l’utilisation et de fonctions diverses et variés qu’elle propose,
ce choix nous semble donc logique.
Pour ce qui est des appels vers l’extérieur, nous avons choisi une solution SIP TRUNK avec une
connexion dédiée chez le fournisseur OVH, permettant d’attribuer des numéros publics et
d’effectuer/recevoir des appels de bonne qualité.
Les modules que propose « FreePBX » sont :
- Haute disponibilité (Payant) – 3000€ => 1500€ par machine / 25 ans
- "Outbound Routes" est un module permettant de déterminer la ligne à utiliser en fonction du
numéro appelé.
- Le module "Follow Me" vous permet de faire suivre les appels vers un autre poste, ou vers le
portable de la personne concernée, si celle-ci n'est pas disponible dans son bureau.
- Un module vous permet de configurer des fonctions en numérotation rapide
(Activation/Désactivation du DND, Renvoi d'appel etc…).
Projet Delavie SA
36
Les pages qui vont suivre vont traiter sur l’utilisation, la configuration du serveur, de la ligne SIP externe
et des téléphones IP (Soft phone) ou mobiles et pour finir le choix du téléphone IP.
5.2 Utilisation
Nous avons donc une interface FreePBX avec ses options, du monitoring aux niveaux de l’utilisation
du serveur et des appels passés, l’état des services que ce dernier a besoin pour fonctionner
correctement et les news du site web pour se tenir au courant des mises à jour.
Cette VM est donc installé sur un ESXI afin de pouvoir profiter de la fonction vMotion pour un
redémarrage en cas de panne d’un des deux ESXI.
Voici l’interface sur le serveur :
Et l’interface Web :
Projet Delavie SA
37
Tout d’abord, nous allons de suite changer le mot de passe par défaut de l’administrateur, ensuite on
va augmenter le niveau du détecteur d’intrusion au niveau de la page de configuration.
Nous avons une configuration de base mais nous allons l’augmenter un peu :
- Ban Time : 3600
- Max Retry : 3
- Find Time : 300
- Whitelist : 127.0.0.1 – 192.168.0.40/24
Maintenant que nous en avons terminé avec les prérequis, on va passer à la création de compte SIP et
à la configuration des téléphones IP.
5.3 Configuration
Nous allons donc modifier un fichier de configuration qui se trouve sur :
/etc/asterisk/extensions_custom.conf
Et mettre dans ce fichier les lignes suivantes :
[custom-get-did-ovh]
exten => s,1,Goto(from-trunk,${CUT(CUT(SIP_HEADER(To),@,1),:,2)},1)
Cette ligne nous servira pour enregistrer le trunk ovh que nous allons mettre en place.
Autre point important, effectuer les mises à jour, nous avons rencontrés beaucoup de problème aux
niveaux de la configuration de la ligne SIP à cause de ça.
Projet Delavie SA
38
Ensuite, il faut aller dans Application => Extension => PjSIP
Entrer les informations demandées :
- Display Name : Nom de l’utilisateur
- Outbound CID : Si cette ligne a besoin d’appeler à l’extérieur, il faudra rajouter le numéro de
la ligne SIP au format international. Ex => 33972621793
- Secret : Mot de passe pour l’utilisation du compte
On peut activer sur cette même page grâce aux autres onglets, la redirection d’appel et la messagerie
vocale.
Pour ce qui est des appels en dehors du réseau interne, nous avons pris une ligne SIP chez OVH, celle-
ci nous permettra d’émettre et recevoir des appels depuis l’extérieur. Pour cela, il va falloir configurer
un Trunk entre le serveur et le prestataire téléphonique.
On lui donne un nom et on renseigne ce que l’opérateur nous a donné comme information :
Projet Delavie SA
39
- Trunk Name : Le nom du trunk => ovhout
- Outbound CallerID : Le numéro du trunk => 0033972621793
- Maximum channels : Le nombre d’appels simultanés au sein du trunk
S’ensuit une configuration plus complexe pour les appels sortant et entrant du Trunk :
Appels sortants
Appels entrants