Pierre HELEUX - WordPress.com
Transcription
Pierre HELEUX - WordPress.com
HELEUX Pierre ! ! Dossier E4 Conception et maintenance de solution informatique Conseil Départemental du Finistère ! ! BTS SIO! ! Spécialité : Solution d’Infrastructure Systèmes et Réseaux ! Promotion 2013-2015 ! ! ! ! ! ! ! ! ! pierreheleux.wordpress.com ! Introduction ! Je m’appelle Pierre HELEUX, j’ai 23 ans, je suis en apprentissage à la Faculté des Métiers-Chambre des Métiers et de l’Artisanat de Bruz, sur le campus de Ker Lann en BTS SIO spécialité Solutions d’Infrastructures Systèmes et Réseaux, ainsi qu’au Conseil général du Finistère. Le domaine de l’informatique, des télécommunications et réseaux m’a toujours passionné. Je n’ai cessé de m’intéresser aux nouvelles technologies et d’apprendre par moi-même tout ce qui s’y rapporte. J’ai donc décidé d’approfondir mes connaissances en en faisant mon métier. J’ai obtenu mon diplôme du baccalauréat professionnel SEN TR en apprentissage avec mention bien et j’ai décidé de continuer en BTS SIO et ainsi de poursuivre mes études dans le domaine des réseaux. Dans le cadre de ma formation on nous demande de réaliser un dossier de conception et maintenance de solution informatique qui va présenter 2 travaux pratiques que j’ai réalisé en entreprise ou en formation. J’ai choisi de vous présenter deux projets sur la partie système qui sont essentiels en entreprise et qui sont axés sur la sécurité et l’environnement utilisateur. En premier lieu je vais vous présenter une mise en place d’un réseau public avec authentification à la connexion et filtrage Web grâce à la distribution linux Untangle. Dans un second temps j’ai mis en place une Serveur Microsoft Windows Exchange qui permet d’avoir une messagerie propre à un entreprise. ! ! ! Sommaire ! Présentation du candidat! 3! Présentation de l’entreprise! 4! Fonctionnement et Missions 4 Organisation du service 4 Fonctionnement du service 5 Filtrage Web et Portail Captif ! 7! introduction 7 Etat des lieux 7 Recherche de solution 8 Solution retenue 9 Mise en place 12 Conclusion 17 Serveur de messagerie ! 18! introduction 19 Etat des lieux 19 Solution retenue 19 Mise en place 20 Conclusion 23 Conclusion 24 ANNEXE IV - 4 : modèle de fiche de contrôle de conformité pour l’épreuve E4 BTS Services informatiques aux organisations Session 2015 E4 – Conception et maintenance de solutions informatiques Coefficient 4 CONTRÔLE DE CONFORMITÉ NOM et prénom du candidat : N° Candidat : HELEUX Pierre 0318879682 Conformément à l’arrêté du 22 juillet 2008 (B0 n° 3 2 du 28 août 2008) fixant définition et conditions de délivrance de certaines spécialités de brevet de technicien supérieur dont l’annexe I définissant le contrôle de conformité du dossier support d’épreuve, une commission de contrôle a été chargée d’apprécier la conformité des dossiers des candidats. Après vérification, votre candidature ne peut être retenue pour le(s) motif(s) ci-dessous : Absence de dossier Dépôt du dossier au-delà de la date fixée par les autorités académiques Afin de pouvoir vous présenter à l’épreuve, vous êtes prié de : Sans régularisation de votre part, vous ne pourrez subir l’épreuve et le diplôme ne pourra vous être délivré. Date du contrôle : Visa : ! Page 2 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 ! Présentation du candidat ! ! ! ! ! ! ! ! 7 rue des acacias 35780 La Richardais 06.08.28.57.14 [email protected] Pierre HELEUX Compétences Windows serveur : DHCP, DNS, Active Directory, Exchange, WDS. Unix : bases Unix, bonnes notions en commandes Unix (ubuntu, débian, …). Notions en configuration CISCO (switchs, routeurs) Programmation : html, php, SQL, python, C++. Gestion d’incidents (ITIL) avec GLPI, assistance aux utilisateurs, gestion de parc. Mise en place de réseaux d’entreprise. Expériences Conseil général du finistère 2013-2015 2 années d’expérience au sein du Conseil Général du Finistère (CG29) et en contrat d’apprentissage à la chambre des métiers de Ker-Lann à Bruz. Orange 2011-2013 2 années d’expérience au sein d’Orange et en contrat d’apprentissage à la chambre des métiers de Ker-Lann à Bruz. GND telema 2010-2011 CDI : Activité salariée en tant que téléprospecteur au sein d’une entreprise de télémarketing à Cesson Sévigné. Communication Prix du Conseil Régionnal de Bretagne en tant que major de promo en Bac Pro. Loisirs • Passionné d’informatique et de mécanique automobile • Voile sur habitable en régate de 2006 à 2009 dans la baie de saint Malo et catamaran sportif • Pratique d’instruments de musique : batterie et trompette Permis Titulaire des permis A, B (+ véhicule), Titulaire du permis bateau pierre heleux ! Page 3 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 ! ! Présentation de l’entreprise ! ! Conseil Général du Finistère! 32 Boulevard Dupleix! 29000 Quimper! Téléphone : 02 98 76 20 20! Fax : 02 98 76 20 13! E-mail : [email protected]! SIRET : 222 9 000 11 000 16! Code APE : 84 11 Z! ! Fonctionnement et Missions ! Il est composé de 54 conseillers généraux qui élisent leur président, aujourd’hui Pierre Maille. Ils sont élus au suffrage universel pour un mandat de 6 ans et renouvelé par moitié tous les 3 ans. (24 à 25 conseillers généraux)! Le Conseil Général du Finistère se charge des affaires départementales, en l’occurrence dans le domaine du Social, des transports (scolaires et publics) ainsi que de la construction et l’entretien des collèges publics.! Celui-ci s’occupe en plus, pour créer une politique active pour toutes personnes habitant dans le Finistère, de l'économie, de l'enseignement supérieur et la recherche, de l'aménagement du territoire, de l'environnement, des logements sociaux ainsi que du développement culturel et du sport.! Le Conseil Général du Finistère est constitué de plusieurs Directions dans la ville de Quimper ainsi que dans tout le département.! L’avantage est d’avoir un point de rencontre proche de chez soi partout dans le département mais pour les agents de certains services, il faut se déplacer souvent et dans tout le Finistère.! ! Organisation du service ! Je travaille dans la Direction des Systèmes d’Informations dans le Service Assistance Utilisateur et Parc Micro (SAUPM) se situant à Quimper, 10 Rue Le Déan! Le service informatique doit assurer le bon fonctionnement du matériel informatique de toutes les Directions du Conseil Général mais aussi du SDIS (Service Départemental d’Incendie et Secours) et de la MDPH (Maison Départementale des Personnes Handicapées) dans tout le département ainsi que de l’assistance aux utilisateurs des agents des collèges, pour un total d’environ 160 sites.! ! Page 4 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 ! ! Fonctionnement du service ! Le SAUPM se charge de la réception du matériel informatique. Celui-ci est ensuite enregistré dans un logiciel d’inventaire appelé GLPI. ! Le service s’occupe de la création des comptes utilisateurs où une adresse e-mail sera créée automatiquement par le biais de la console Exchange Management, ainsi que d’attribuer les droits aux utilisateurs pour le serveur de fichiers (Chaque utilisateur possède des droits particuliers sur le serveur de fichiers suivant la Direction et le Service auquel il appartient). ! Le technicien assure (via un serveur MDT) la préparation, l’installation et la configuration des postes pour les utilisateurs de manière à pouvoir en remplacer ou en installer des nouveaux. ! Il fait également l’entretien et la réparation du matériel informatique. Toutes les interventions réalisées sont saisies dans le logiciel de gestion de parc GLPI (nom de l’utilisateur, localisation..).! Il s’occupe aussi l’installation de logiciels, soit directement sur le poste, soit par l’utilisation du logiciel de télédistribution SCCM sur les 3000 postes du parc. Chaque intervention fait l’objet d’un enregistrement de ticket dans GLPI.! Le technicien assure aussi une fois par semaine (en moyenne) la prise d’appels téléphonique du support informatique (02.98.76.26.00) de niveaux 1 et 2.! Le technicien assure la préparation et l’installation des serveurs d’impressions et des imprimantes réseaux qui y sont connectées. Il configure les photocopieurs (renseigner le serveur SMTP, l’enregistrement des agents pour le Scan to email, la configuration générale et réseau, …).! Lorsqu’une panne est constatée par l’utilisateur, celui-ci appelle la Hotline du Conseil général au 0298762600. ! S’il appelle pour une panne de logiciel, une installation d’imprimante, copieur ou toute autre configuration, le technicien utilise UltraVNC (Virtual Network Computing) pour prendre le poste client à distance, autrement dit de la télémaintenance.! Si au contraire il s’agit d’une panne matérielle, l’unité centrale qui ne démarre plus, un écran cassé, le technicien fait un échange du matériel.! Lors de la maintenance, si le produit est sous garantie, nous appelons la hotline du constructeur (HP, Lenovo…) pour les unités centrales, les écrans et les portables, ou la société CIS Infoservice (entreprise d’installation et de maintenance d’infrastructures informatiques) qui assure la maintenance du parc d’imprimantes réseau.! Si au contraire le matériel n’est plus sous garantie, le technicien du CD29 fait un diagnostic, et effectue la réparation. Après visa du chef de service, si le coût de réparation est trop important, le matériel est déclassé.! ! ! ! ! ! Page 5 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 ! ! BTS Services informatiques aux organisations ! Session 2015 E4 – Conception et maintenance de solutions informatiques! Coefficient 4 DESCRIPTION D’UNE SITUATION PROFESSIONNELLE Épreuve ponctuelle ☑ PARCOURS SISR ☑ Contrôle en cours de formation ☐ PARCOURS SLAM NOM et prénom du candidat : HELEUX Pierre N°candidat : ☐ 0318879682 Contexte de la situation professionnelle1! J’ai décidé pour mon projet de mettre en place mon propre réseau avec un accès par authentification et un filtrage des connexions. Cette démarche à pour but de simuler la fourniture d’un accès public à internet pour les personnes le désirant tout en garantissant une certaine sécurité pour le fournisseur de ce service. Intitulé de la situation professionnelle Filtrage Web et Portail Captif Période de réalisation : ! Modalité : ! ☑ ! 01/2015! Seul ! ! ! Lieu : ! ☐! En Formation! En équipe Principale(s) activité(s) concernée(s)2! 2.2.1 une solution garantissant des accès sécurisés à un service, internes au périmètre de sécurité de l'organisation (type intranet) ou externes (type Internet ou extranet) ;! 2.2.7 une solution permettant la supervision de la qualité, de la sécurité et de la disponibilité des services avec remontées d'alertes ;! 2.2.8 une solution permettant la détection d'intrusions ou de comportements anormaux sur le réseau ; Conditions de réalisation2 (ressources fournies, résultats attendus)! Ressources fournies : Lenovo S20 (Xéon 1,3Ghz, 4Go RAM DDR3, 250Go HDD) Hp Compaq Pro 6005 (AMD Sempron 140, 2Go RAM DDR3, 250 Go HDD) Switch 8 ports non administrable Borne Wi-Fi Résultats attendus : Proposer un accès public mais restreint à internet tout en se protégeant vis à vis de la loi, au moyen d’un portail captif et d’un filtrage Web. Productions associées Modalités d’accès aux productions3! Le serveur est accéssible avec le login : Administrateur, et le mot de passe : azerty/123. La session de test sur le poste client est : login : Client1, et le mot de passe : azerty/123 Modalités d’accès à la documentation des productions4 http://pierreheleux.wordpress.com Page 6 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 ! Filtrage Web et Portail Captif ! introduction ! Le Conseil Départemental du Finistère (CG29) a implanté un réseau wifi public pour pouvoir accéder à internet à partir de différents terminaux. Les personnes souhaitant accéder à ce service en font la demande à l’accueil de la Maison du Département.! J’ai donc décidé pour mon projet de mettre en place mon propre réseau avec un accès par authentification et un filtrage des connexions. Cette démarche à pour but de simuler la fourniture d’un accès public à internet pour les personnes le désirant tout en garantissant une certaine sécurité pour le fournisseur de ce service.! ! Etat des lieux ! Ce dont je dispose : ! ! Matériel caractéristiques commentaires Lenovo S20 - Xéon 1,3Ghz! - 4Go RAM DDR3! - 250Go HDD SATA II Serveur :! Login : Admin! Password : Azerty/1234** HP Compaq Pro 6005 - AMD Sempron 140! - 2Go RAM DDR3! - 250Go HDD SATA II Client :! Login : client1! Password : azerty/123 Switch - 8 ports! - non administrable Netgear Borne Wi-Fi Login : Admin! Paswword : azerty/123 ! Ce dont je vais avoir besoin :! ! ! ! - une carte réseau supplémentaire en PCI.! ! - une distribution serveur capable de gérer, de filtrer, de capturer et de surveiller le trafic réseau.! - un poste client pour tester la solution! - une borne Wifi pour tester la solution sur mobile! ! Pour ce faire il me faut une distribution complète, gratuite et simple à mettre en fonction et à utiliser.! ! ! ! ! Page 7 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 Recherche de solution ! plusieurs solutions gratuites existent sur le marché pour créer un portail captif avec un annuaire, un enregistreur de logs et un filtrage du web.! ! ! Contraintes et faisabilité! ! Il est évident que la sécurité est le maître mot. Il est donc impératif de suivre les contraintes légales : elles spécifient que lors d’une ouverture d’une connexion publique, l’entreprise doit garder les logs (journaux des évènements) des connexions. Doivent y être inclus : l’adresse IP, l’adresse MAC, le nom Netbios, le site visité (adresse IP). Le tout doit être gardé pendant une année :! ! l'article R.10-13 du CPCE issu du décret du 24 mars 2006 décrit les catégories de données à conserver. Il s'agit des données permettant l'identification de la personne qui s'est connectée, les données de connexion dont la date et l'heure, les données relatives aux équipements utilisés et même les données permettant d'identifier les destinataires de toute communication effectuée. Le décret du 24 mars 2006 fixe la durée de conservation des données à un an, durée au-delà de laquelle elles devront être anonymisées. http://www.journaldunet.com/ebusiness/expert/42410/quellesobligations-pour-les-fournisseurs-de-services-wi-fi.shtml ! ! ! Le solution choisie doit intégrer au minimum un portail captif, un filtrage web et un enregistrement des logs. ! Voici un tableau comparatif de 3 solutions retenues :! ! Solution portail captif annuaire interne Filtrage Web serveur dhcp enregistrement des logs Pfsense oui non oui oui oui Untangle oui oui oui oui oui Alcasar oui oui oui non oui Wangarden payant payant basique non oui ! ! ! ! ! ! Page 8 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 Solution retenue ! Il a fallu faire un choix :! • Pfsense est une distribution dont la réputation n’est plus à faire. Malheureusement, même si elle est simple à installer, elle n’est pas facile d’accès et sa configuration est assez complexe.! • Untangle est une distribution linux basée sur Debian. Elle est simple à installer, à configurer et à utiliser. Elle dispose d’un portail captif, d’un annuaire, un filtrage web, elle fait office de routeur et de serveur DHCP.! • Alcasar est très peu connue, c’est une distribution simple mais limitée dans sa configuration.! • Wangarden est une solution complète et simple mais payante.! ! J’ai choisi d’utiliser (et en même temps de tester) la distribution Untangle. C’est une distribution basée sur Debian. Elle est constituée d’une base de type Firewall sur laquelle viennent se greffer des modules directement téléchargeables. Cette distribution est disponible sur le site : http://www.untangle.com! Untangle est une solution idéale pour filtrer les entrées et sorties d’un réseau. Voici un récapitulatif des applications disponibles :! ! Thèmes / Applications Gratuites Payantes Protect Firewall! Prevention! Phish Blocker! Virus Blocker Lite Virus Blocker! Intrusion Filter Ad Blocker! Application Control Lite! Spam Blocker Lite! Web Filter Lite Application Control! HTTPS Inspector! Spam Blocker! Web Filter Perform Bandwidth Control! WAN Balancer! WAN Failover! Web Cache Connect Captive Portal! OpenVPN IPsec VPN Manage Reports Directory Connector! Policy Manager Add-Ons Branding Manager! Live Support ! De plus il s’intègre très bien en entreprise. La société Untangle propose aussi des équipement physique pour les entreprises sous forme de switchs/routeurs administrables, sur lesquels est installée la distribution Untangle. Ces équipements sont disponible sur leur site : ! ! Page 9 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 ! SMALL Base Price u10 $795 u50 $995 u50w $1195 MID-SIZED Intel Atom® single core processor Intel Atom® dual core processor Intel Atom® dual core processor Base Price u150 $1395 u500 $2995 ENTERPRIS E $6995 m3000 $8495 Intel Pentium® dual core processor Intel i7 Intel® Core™ quad core processor ! ! ! ! Hard Disk Ports Size 1G RAM 160 GB 7200 rpm Four Gigabit Ethernet w:7.1” d:5.9” h:1.65” 2G RAM 160 GB 7200 rpm Four Gigabit Ethernet w:11.8” d: 5.8” h:1.73” 2G RAM 500 GB 7200 rpm Four Gigabit Ethernet w:7.1” d:6.0” h:1.9” RAM Hard Disk Ports Size 4G RAM 500 GB 7200 rpm Six Gigabit Ethernet w:17.25” d: 11.5” h:1.73” 16G RAM 500 GB 7200 rpm Eight Gigabit Ethernet w:17.20” d: 18” h:1.73” RAM Hard Disk Ports Processor Dual Intel Xeon® quad core processors Dual Intel Xeon® six core processors ! RAM Processor Base Price m1500 Page 10 ! Processor Size 16G RAM 1 TB 7200 rpm Ten Gigabit Ethernet w:17” d:22.8” h:3.5” 16G RAM 1 TB 7200 rpm Ten Gigabit Ethernet w:17” d:22.8” h:3.5” ! ! Pierre HELEUX ! 0318879682 Avantages / Inconvénients! ! Avantages :! Cette solution présente les avantages d’être gratuite, simple à installer et à configurer et surtout extrêmement complète. ! Elle permet d’être rapidement mise en place dans une entreprise sans pour autant impacter la qualité du réseau. Elle peut être installée soit comme un routeur, soit en mode « transparent » pour ne gêner en rien le réseau.! L’autre avantage est qu’elle correspond tout à fait à mes attentes, je peux y installer les modules : ! • Captive Portal! • Reports! • Web Filter Lite! ! inconvénients :! ! Cette solution nécessite d’avoir 2 contrôleurs réseau, soit 2 cartes. Une pour l’extérieur (WAN), l’autre pour l’intérieur vers le réseau interne (LAN). Ce qui induit qu’il soit mis obligatoirement entre le modem et le reste du réseau :! ! ! Un autre inconvénient est que certaines applications (modules) sont payantes.! ! ! ! ! Page 11 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 Mise en place ! Installation de la distribution :! ! La distribution Untangle s’installe simplement car elle est basée sur un Debian. ! Il n’y a pas besoin de rentrer d’adresse IP à l’installation, on peut le faire plus tard, lors de la configuration initiale de Untangle.! Untangle est en réalité un serveur qui gère le flux de données transitant entre le modem et le réseau local. Pour ce faire il faut respecter une configuration matérielle minimum pour éviter les ralentissements au niveau du débit.! ! Voici le tableau de configuration minimum pour un serveur non fourni par Untangle :! ! Nbr d’Utilisateurs 1-50 Processeur Mémoire Disque Dur Notes Atom/P4 ou équivalent 1 Go 80 Go 51-150 Dual Core 2 Go 80 Go 151-500 2 Cores ou plus 2 Go ou plus 80 Go 501-1500 4 Cores 4 Go 80 Go 64-bit 1501-5000 4 Cores ou plus 4 Go ou plus 80 Go 64-bit ! ! ! ! Configuration d’Untangle :! ! Une fois le serveur prêt, Untangle propose une configuration simplifiée et personnalisée des options de base. Il s’agit là de rentrer les information vitales au fonctionnement de cette distribution en fonction de notre réseau :! I. Settings : Il faut choisir un mot de passe Administrateur pour le serveur. ! • Ici : azerty/123! II. Network Cards : Untangle nécessite 2 cartes réseau, une « External » pour le réseau WAN et l’autre « Internal » pour le réseau LAN.! • External en eth0! • Internal en eth1! III. Internet Connection : Oui, Untangle a besoin d’internet pour pouvoir télécharger les modules par la suite, il teste donc la connexion à internet. Pour ce faire on peut choisir le type de configuration de la carte :! A. Auto (DHCP) : par défaut Untangle se considère comme derrière un DHCP et va donc chercher à récupérer une adresse IP.! B. Static : C’est maintenant que je peux choisir l’adresse IP que je vais lui mettre.! Page 12 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 • Ici, le réseau est en 192.168.0.xxx, bien qu’il y ai un DHCP, je préfère mettre mon serveur en adressage fixe pour pouvoir prendre la main dessus plus facilement derrière. Adresse IP : 192.168.0.245! IV. Internal Network : Untangle peut être configuré de deux manières différentes ! A. En mode Router : c’est à dire qu’il active le NAT en interne et le serveur DHCP par défaut. Il sert alors de routeur et de Firewall. ! B. En mode Transparent Bridge : Untangle est alors un « pont transparent ». Il doit être positionné directement entre le Firewall et le Switch principal. Il n’est pas nécessaire de changer les tables de routages ou la passerelle par défaut des ordinateurs. Il sert de point de contrôle sans altérer quoi que ce soit.! ! V. Automatic Upgrades : Il s’agit de choisir s’il faut installer automatiquement les mises a jour ou non. Il faut savoir que les signatures pour Virus Blocker, Spam Blocker, Web Filter, etc … sont mises à jour automatiquement quel que soit le choix fait ici.! ! ! ! L’installation de Untangle est maintenant terminée. Le serveur redémarre tout seul. ! Il faut maintenant installer et configurer les différents modules nécessaires.! ! ! ! ! ! ! Installation et configuration des modules! ! Page 13 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 Les modules s’installent naturellement : il suffit de cliquer sur le bouton « Install » sur la vignette du module :! ! ! • Captive Portal : ! ! Ce module me permet d’installer un portail captif avec les pages de connexion et de blocage personnalisables ainsi qu’une gestion des utilisateurs.! Il se décompose en 7 onglets : ! • Status ! • Permet de déconnecter n’importe quelle session en cour.! • Permet de visualiser le statu du portail captif et les sessions actives.! ! • Capture Rules! • Permet de définir et de visualiser les règles de capture mises en place.! ! Ici, j’ai laissé la première règle en place qui consiste à bloquer tout le transit entre le LAN et le WAN! ! • Passed Hosts! • Permet de gérer les machines ou les serveurs qui sont autorisées à passer outre le portail captif en faisant fi des règles dans un sens ou dans l’autre.! ! Ici, Outre le serveur Untangle, aucune autre machine ne doit pouvoir passer outre.! ! ! • Captive page! • Permet de définir la page d’authentification à afficher. ! • Permet de définir l’URL à afficher après l’authentification.! ! Dans mon TP, j’ai laissé la page par défaut, assez claire pour pouvoir la comprendre, et j’ai mis comment URL de redirection : http://www.google.fr! ! ! • User Athentification! • Est la section qui permet de gérer le moyen par lequel les utilisateurs peuvent s’authentifier :! Page 14 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 ! • • • • Pas d’authentification! Annuaire Local (directement installé avec le serveur)! RADIUS! Active Directory! J’ai choisi pour mon projet d’utiliser l’annuaire interne à Untangle, c’est une des prérogatives.! ! • Login Event Log! • Block Event Log! • Ces deux onglets permettent de visualiser les logs de capture du portail captif.! ! ! ! ! ! • Reports :! ! Reports est un add-on qui permet de voir les statistiques détaillées de l’ensemble du trafic sur le réseau. Il permet aussi de journaliser les logs, de les envoyer par email de manière automatique et de les exporter au format CSV pour les archiver. Le mail est composé d’une statistique simplifiée pour l’export en PDF. ! Les rapports sont générés par défaut toutes les 24H. ! Reports gère aussi les envoies via syslog, ce qui permet d’avoir une remontée sur Nagios par exemple.! Grâce aux alertes, on peut faire envoyer un mail à tous les administrateur par exemple sur un évènement en particulier, sur un groupe d’évènements, ou sur une règle. ! ! Reports se configure tout seul avec le portail captif et s’implémente automatiquement. ! Pour mon projet j’ai juste modifié la génération de rapports à une fois par semaine.! Je peux y avoir accès de n’importe où sur le réseau avec une connexion authentifiée. ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! • Web filter lite! ! Page 15 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 Ce module supervise le trafic HTTP du réseau pour voir le comportement des utilisateurs et ainsi bloquer les pages inappropriés.! Ce module propose de bloquer les sites par catégories ou par sites :! ! ! Il propose aussi de bloquer les fichiers par extensions, les applications web par type MIME (ou encore Content-type, il s’agit d’un « Internet media type ») et aussi les applications Google.! Enfin, ce module permet de laisser passer certains sites ou clients.! ! Pour mon projet, j’ai bloqué toutes les catégories inappropriées : Hacking, Hate and Agression, Illegal Drugs, Pornography, Proxy sites, Shopping et Violence.! ! De plus j’ai bloqué les sites du type Facebook, Twitter.! ! Seulement, il y à un problème avec ces sites, ils passent par le protocole HTTPS. La version gratuite de Web Filter (Web Filter Lite) ne filtre pas le protocole HTTPS. Je n’ai donc pu bloquer Facebook qu’en tapant l’adresse web manuellement en HTTP.! L’application payante coûte 25$ par mois ou alors 270$ à l’année.! ! ! ! ! ! ! ! Mise en place de la borne Wi-Fi! ! Page 16 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 Il s’agit simplement de mettre en place le borne Wi-Fi, la brancher sur le switch et sur le port WAN de la borne. L’authentification se fait au moyen d’un SSID et d’une clé WPA/ WPA2 PSK :! ! SSID :!! ! Mot de passe :! ! ! ! Wifi-‐Gratuit azerty/123 La configuration est simple, le DHCP de la borne prends le relai de celui de Untangle et la passerelle par défaut reste l’adresse IP du serveur Untangle.! ! La solution est testée et fonctionne.! ! ! ! ! ! ! ! ! ! ! Conclusion ! ! En conclusion, Ce projet m’a permis de découvrir une nouvelle solution de filtrage web garantissant une sécurité maximale pour le fournisseur de la connexion à internet.! Grâce à ce projet, j’ai pu mieux comprendre la gestion du trafic réseau que ce soit les sessions, les connexion ou l’authentification et j’ai pu apprendre l’interconnexion entre le réseau LAN et le réseau WAN.! Ce projet m’as permis de voir clairement l’intérêt de différents protocoles comme le NAT par exemple, et surtout il m’as permis d’avoir un exemple concret d’un réseau d’une petite entreprise.! Cette distribution est vraiment complète. elle peut être mise en place dans n’importe quelle petite ou moyenne entreprise qui ont peu de ressources. Les outils développés ainsi que les matériels dédiés sont un atout majeur pour qui veut mettre en place cette solution facilement et rapidement. De plus la configuration des éléments, bien que relativement poussée, est assez aisée et accessible.! ! ! ! ! ! ! ! ! Page 17 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 BTS Services informatiques aux organisations ! Session 2015 E4 – Conception et maintenance de solutions informatiques! Coefficient 4 DESCRIPTION D’UNE SITUATION PROFESSIONNELLE Épreuve ponctuelle ☑ PARCOURS SISR ☑ Contrôle en cours de formation ☐ PARCOURS SLAM NOM et prénom du candidat : HELEUX Pierre N°candidat : ☐ 1882 Contexte de la situation professionnelle1! Dans le cadre de ma formation, j’ai choisi de mettre en place un serveur de messagerie pour entreprise. Ce projet a pour but de me familiariser avec l’installation d’un service microsoft qui est essentiel à l’environnement utilisateur. Intitulé de la situation professionnelle Mise en place d’un serveur de messagerie Période de réalisation : ! Modalité : ! ☑ ! 01/2015! Seul ! ! ! Lieu : ! ☐! En Formation! En équipe Principale(s) activité(s) concernée(s)2! 2.2.1 une solution garantissant des accès sécurisés à un service, internes au périmètre de sécurité de l'organisation (type intranet) ou externes (type Internet ou extranet) ;! 2.2.2 une solution garantissant la continuité d'un service ; ! 2.2.6 une solution gérée à l'aide de procédures automatisées écrites avec un langage de « scripting » ; Conditions de réalisation2 (ressources fournies, résultats attendus)! Ressources fournies : Lenovo M83 (Intel Pentium G3220, 4Go RAM DDR3, 250Go HDD) Hp Compaq Pro 6305 (AMD A4-5300B, 4Go RAM DDR3, 250 Go HDD) Switch 8 ports non administrable Résultats attendus : Proposer une solution de messagerie à une entreprise. Productions associées Modalités d’accès aux productions3! Tous les serveurs sont accéssibles avec le login : Administrateur, et le mot de passe : azerty/123. La session de test sur le poste client est : login : jeand, et le mot de passe : azerty/123 Modalités d’accès à la documentation des productions4 http://pierreheleux.wordpress.com ! ! Serveur de messagerie Page 18 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 ! introduction ! Dans le cadre de ma formation, j’ai choisi de mettre en place un serveur de messagerie pour entreprise. Ce projet a pour but de me familiariser avec l’installation d’un service microsoft qui est essentiel à l’environnement utilisateur.! ! Etat des lieux ! Ce dont je dispose : ! Matériel caractéristiques Utilisation Lenovo M83 - Intel Pentium G3220! - 4Go RAM DDR3! - 250Go HDD SATA II AD01.phcorp.local! Login : Pierre! Password : azerty/123 HP Compaq Pro 6305 - AMD A4-5300B! - 4Go RAM DDR3! - 250Go HDD SATA II exch01.phcorp.local! Login : Pierre! Password : azerty/123 Switch - 8 ports! - non administrable ! Ce dont je vais avoir besoin :! ! ! ! - Un OS serveur Microsoft sur lequel installer le service de messagerie.! - Un service de messagerie! - un poste client pour tester la solution! ! ! Solution retenue ! Plusieurs solution gratuites existent comme Zimbra sur distribution Linux, hMailServer sur Windows, mais il a été décidé dès le départ de créer ce projet sur un socle entièrement Microsoft.! Il est plus aisé de choisir cette solution car les postes clients en entreprise sont souvent sous Windows, et leurs suites office est souvent Microsoft Office.! L’OS utilisé est un Microsoft Windows Server 2012 R2 standard qui supporte Microsoft Office 2013. Le service de messagerie est un Microsoft Exchange Server 2013 standard SP1. ! ! ! Avantages / Inconvénients! ! Page 19 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 Le serveur Microsoft Exchange 2013 présente l’avantage d’être une solution Microsoft qui fonctionne sur un Os Microsoft en lien avec une suite Microsoft.! De plus La version 2013 du serveur Exchange 2013 est rétro-compatible avec les versions antérieurs d’Outlook (Offices 2003-2007-2010).! ! L’inconvénient de cette solution est qu’elle est payante. Il faut acheter une licence pour chaque serveur Exchange ainsi qu’un licence par utilisateur (CAL)1. ! ! ! ! ! Le prix s’élève à 600€ par licence serveur et 30€ par licence utilisateur. (On peut considérer que le tarif pour une collectivité comme le Conseil Départemental du Finistère est d’environ 600*2+30*4000= 121 200 €).! ! ! ! Mise en place ! ! ! Prérequis! ! Pour pouvoir installer Exchange 2013, il faut d’abord préparer l’installation du premier serveur (le serveur d’annuaire AD (Active Directory)) et ensuite l’installation du serveur de messagerie.! Le serveur Exchange s’installe sur une machine différente du serveur AD.! ! ! ! ! 1 CAL : Une Licence d'accès client (« Client Access License » en anglais ou « CAL ») est une licence de logiciel distribuée par des sociétés comme Microsoft pour permettre à des clients de se connecter à et de pouvoir utiliser un logiciel serveur. Page 20 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 ! ! Préparation du serveur AD :! ! • Installer Windows Server 2012 R2! • Installer .NET Framework 4.5.2! • Exécuter la commande suivante :! ! ! ! Install-WindowsFeature RSAT-ADDS! • Enfin, Installer l’AD (nom du domaine : phcorp.local)! Il faut prévoir des utilisateurs dans l’AD pour ensuite en créer les adresses mail. Pour ce faire, j’utilise un fichier excel en format .csv (nouveauxusers.csv) et un script d’ajout automatique des utilisateurs.! Le format du fichier csv doit être du type : ! « GivenName,Surname,SamAccountName »! Le mot de passe étant inclus dans le script (il est le même pour tout le monde et sera modifié plus tard.! ! Ce qui donne : ! ! Pierre,HELEUX,pierre! Jean;Dupond;jeand! Jean;Dupont;jeant! …! ! ! ! Voici le script d’ajout :! ! Import-Module ActiveDirectory $path = Split-Path -parent $MyInvocation.MyCommand.Definition $ou = "OU=users,OU=demo,DC=phcorp,DC=local" $upnsuffix = "@phcorp.local" $securepwd = ConvertTo-SecureString "azerty/123" -AsPlainText -Force Import-Csv "$path\nouveauxusers.csv" | New-ADUser ` -Name {$_.GivenName+" "+$_.Surname} -Path $ou ` -DisplayName {$_.GivenName+" "+$_.Surname} ` -UserPrincipalName {$_.SamAccountName+$upnsuffix} ` -AccountPassword $securepwd -Enabled $true ! ! ! ! Page 21 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 ! ! Préparation du serveur de messagerie :! ! ! •! Installer le pack d'administration des outils à distance.! ! •! Exécuter la commande suivante sur le serveur de messagerie pour installer les composants Windows requis :! ! ! Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSATClustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, WebAsp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, WebDir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-HttpLogging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, WebISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-MgmtConsole, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-WindowsAuth, Web-WMI, Windows-Identity-Foundation! ! !! • Installer .NET Framework 4.5.2! • Installer Microsoft Unified Communications Managed API 4.0, Core Runtime 64 bits! • Installer Filter Packs de Microsoft! ! ! https://technet.microsoft.com/fr-fr/ library/bb691354%28v=exchg.150%29.aspx! ! ! ! ! ! Installation! ! Il suffit de se laisser guider par l’assistant d’installation. L’installation du service Exchange est simple, le plus compliqué étant d’installer les prérequis.! ! ! Configuration! ! Il ne faut pas oublier que pour la envoyer et recevoir les mails, il faut ajouter le serveur de messagerie dans le DNS du serveur principal.Il s’agit d’un enregistrement MX.! ! Pour obtenir la page de configuration au serveur, il faut se connecter à l’adresse :! ! https://exch01.phcorp.local/ecp! ! ! Page 22 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 ! Il faut ensuite créer un « send connector » afin de pouvoir envoyer les mails via le serveur de messagerie. Les « receive connectors » sont créés par défaut.! ! il faut saisir un nom pour le send connector, puis sélectionner « Internet ». la case « MX record … » doit être cochée. Il faut ensuite ajouter un « Address space » : type « SMTP », mettre une étoile dans « Domain » (FQDN), et « Cost » doit être à 1. Enfin, dans « Source Server » il faut sélectionner le serveur de messagerie (exch01).! ! Ayant suivit scrupuleusement ces étapes, le serveur de messagerie fonctionne. La solution testée est opérationnelle.! ! ! ! ! ! ! ! ! ! Conclusion ! ! En conclusion, Ce projet m’a permis de manipuler une solution Microsoft complète.! Grâce à ce projet, j’ai pu mieux comprendre l’installation, la configuration et la gestion des solutions Microsoft ainsi que leurs compatibilités.! Ce projet m’as permis de voir clairement l’intérêt d’avoir un ensemble de logiciels, d’OS et de services conçus par la même entreprise pour fonctionner entre eux.! L’ensemble de cette solution est entièrement opérationnelle. Malgré quelques difficultés à configurer Exchange, cette configuration reste simple et bien accompagnée en regard à la complexité du système.! Microsoft Exchange serveur peut être complémentée avec un OWA (Outlook Web Access) qui permet d’accéder à la messagerie avec un client léger, qui ne nécessite pas d’avoir Outlook. L’accès se fait par une adresse URL du type http://exch01.phcorp.local/ owa (pour de l’interne).! ! ! Page 23 ! ! ! ! ! ! ! Pierre HELEUX ! 0318879682 ! Conclusion ! ! Ces deux dossiers m’on permis de me rendre compte de l’importance de noter ce qui a été fait. Non seulement ça permet de pouvoir reprendre son travail pour pouvoir l’améliorer, mais ça permet aussi de pouvoir expliquer ce qui a été fait.! Ca m’a aussi forcé à vulgariser mes propos de façon à rendre une explication claire et accessible à n’importe qui.! J’ai eu quelles difficultés dans mes projets, notamment lors de l’installation de Pfsense, que j’ai fini par abandonner au profit de Untangle. J’ai aussi eu du mal à configurer mes règles de filtrage web dans mon projet de portail captif et filtrage web.! Concernant le projet de messagerie, j’ai eu du mal à retrouver tous les prérequis pour pouvoir installer proprement mes serveurs.! J’ai du m’aider de tutoriels et de forums de discutions pour pouvoir mener à bien mes deux projet.! ! Mon BTS SIO m’a permis d’approfondir mes connaissances en systèmes et réseaux. Grâce à l’alternance, j’ai pu me rendre compte de ce qu’est le milieux d’entreprise, de ce qu’est le travaille en équipe. J’ai aussi pu me rendre compte que ce milieux me plait beaucoup et j’aimerais poursuivre mes étude dans ce domaine.! ! Pour l’avenir, j’aimerais faire une Licence Professionnelle Réseaux Sans-Fils et Sécurité (RSFS) à l’IUT de Saint Malo, toujours en alternance. A moyen terme, j’aimerais occuper un poste de manager d’équipe, et, plus tard, valider une formation de type bac+4 voire bac+5 en tant qu’administrateur réseau.! Page 24