Authentification centralisée

Dimension: px
Commencer à balayer dès la page:

Download "Authentification centralisée"

Transcription

1 OLIVIER RAULIN PROMOTION 2013 Authentification centralisée Simplification et centralisation de l authentification dans un Système d Information RAULIN Olivier Juin Août 2012 CWF- Children Worldwide Fashion Avenue des Sables Les Herbiers Cedex EPSI Nantes 2 rue Fénelon Nantes Ce rapport retranscrit mes recherches, principalement concernant l authentification centralisée d équipements et de machines, au sein du Système d Information de CWF.

2 REMERCIEMENTS Je tiens à remercier premièrement la société CWF (Children Worldwide Fashion) pour son accueil chaleureux. Merci à toute l équipe du service informatique ainsi qu à son DSI Bertrand BEAUFORT pour l atmosphère de travail conviviale tout au long de ces trois mois. Merci à Monsieur Julien CHARPENTIER, mon tuteur de stage, qui m a permis de réaliser ce stage au sein de CWF et qui m a suivi pendant toute la durée de ce stage. Ma gratitude va également à tous les membres de l équipe Systèmes & Réseaux et plus particulièrement Anthony LAPEYRE, Jean MONNIER, Christophe GUILLOTON pour leur aide technique et leur soutien. Je tiens à exprimer ma reconnaissance envers le corps enseignant de l EPSI de Nantes pour leurs enseignements dispensés ces deux dernières années. Merci aux membres du jury qui seront en charge d apprécier le travail effectué au cours de mon stage. Merci à mes camarades de promotion avec lesquels l entraide a pu amener des échanges bénéfiques. Je tiens également à remercier ma famille et mes amis pour leur soutien quotidien. 2 Olivier RAULIN Juin Août 2012

3 SOMMAIRE Remerciements... 2 I Introduction / Contexte du stage / Présentation de l entreprise / Le système d information / L infrastructure du Système d Information de CWF...8 II Missions / Introduction / Authentification AAA sur matériel Cisco / Authentification centralisée des serveurs Linux / Authentification des machines connectées sans fil / Proxy transparent sur firewall Cisco Autres projets effectués Conclusion Table des illustrations Table des matières Index Glossaire Bibliographie Annexes Olivier RAULIN Juin Août 2012

4 I INTRODUCTION 1/ CONTEXTE DU STAGE Le stage que j ai pu effectuer dans l entreprise CWF, basée aux Herbiers, fût mon stage de quatrième année d informatique à l EPSI de Nantes. Sa durée a été de trois mois, du premier juin au 31 août J ai principalement choisi ce stage parce qu il me permettait de me perfectionner dans le domaine de l ingénierie systèmes et réseaux, étant donné que mon avenir professionnel s oriente nettement vers ce domaine de l informatique. 2/ PRÉSENTATION DE L ENTREPRISE Née du rachat d Albert SA (spécialiste du prêt-à-porter enfant) par le groupe Artal, CWF est fort de plus de quarante ans d expérience de mode enfantine. Devenu leader Européen dans son domaine, CWF est partenaire de marques de notoriété mondiale pour leurs collections de vêtements, de 0 à 16 ans. Albert SA a été créée en 1965 aux Herbiers (Vendée). Cette petite entreprise familiale produisait et distribuait des vêtements de marques enfant développées en propre. Entre 1995 et 1997, cette société a connu un tournant stratégique suite à la signature de licence de marques haut de gamme tel que «ELLE», «Timberland» ou encore «Donna Karan New York». Forte de cette réussite, l entreprise est passée d une production intégrée à une stratégie de sourcing. Autrement dit, CWF ne produisait plus mais déléguait la production à des sous-traitants. Au début des années 2000, le fonds de commerce d Albert SA est racheté par le groupe Artal sous le pilotage de la société Invus. De ce rachat découle la création de Children Worldwide Fashion, ainsi que la signature de l accord de licence pour la marque «Burberry». En cinq ans, CWF a démarré des concessions intégrées de grands magasins en France avec les Galeries Lafayette ainsi qu en Espagne avec El Corte Inglés. En 2006, la signature de l accord des licences «Marithé+François Girbaud», «Chloé», «Escada» et «Missoni» permettent à CWF d ouvrir sa première boutique en propre, Younly, à Paris, et ainsi d externaliser sa logistique. 4 Olivier RAULIN Juin Août 2012

5 Entre 2007 et 2008, l entreprise a poursuivi le développement des concessions de grands magasins en Europe, La Rinascente en Italie, Inno en Belgique, House of Fraser au Royaume-Uni ainsi que des ouvertures de boutiques Younly à Dubaï et Saint Petersburg. Grâce à cette croissance, CWF a développé son activité mondiale sur de nouveaux territoires : Japon, Chine, Moyen Orient. Entre 2009 et 2011, les accords de licences «BOSS enfant» et «Little Marc Jacobs» ont été conclus. Un nouveau concept a été lancé avec les boutiques «ATELIER DE COURCELLES» : 5 boutiques ouvertes fin 2009, une vingtaine d ouvertures ont été réalisées en 2010 au niveau international. En 2012, CWF créé sa propre marque de luxe pour enfant, nommée «BillieBlush», et détient maintenant des licences pour les 8 marques suivantes : FIGURE 1 : MARQUES SOUS LICENCE DÉTENUES PAR CWF 5 Olivier RAULIN Juin Août 2012

6 3/ LE SYSTÈME D INFORMATION Un Système d Information (couramment appelé SI) est une structure disposant de diverses ressources, telles que matériels, logiciels, personnels, données et procédures, dont le but est de regrouper, classifier, traiter et diffuser de l information dans un environnement comme l entreprise CWF. Le SI représente donc l ensemble des éléments participant à la gestion, au traitement, au transport et à la diffusion de l information au sein de l organisation. Le système d information peut recouvrir tout ou partie des éléments suivants : bases de données de l entreprise ; progiciel de gestion intégré (ERP) ; outils de gestion (relation client, chaîne logistique, marketing) ; applications métier ; infrastructure réseau ; infrastructure système ; dispositifs de sécurité ; Le système d information de CWF est représenté par le service informatique qui est scindé en trois grandes parties : le pôle Systèmes & Réseaux o Il comprend le responsable de cette équipe, un ingénieur systèmes et réseaux, deux techniciens ayant un rôle de support (helpdesk) pour les utilisateurs et un poste de stagiaire que j ai occupé. le pôle développement le pôle Etude Un système d information a besoin d éléments essentiels pour fonctionner correctement : une infrastructure systèmes et réseaux fiable, évolutive et redondante, afin d assurer une pérennité ainsi qu un plan de reprise et de continuité d activité en cas d incident majeur. 6 Olivier RAULIN Juin Août 2012

7 4/ L INFRASTRUCTURE DU SYSTÈME D INFORMATION DE CWF D une façon générale, une architecture informatique au sein d une entreprise se présente en quatre grands points distincts : une infrastructure réseau une DMZ (DeMilitarized Zone ou Zone Démilitarisée) fiable et sécurisée une infrastructure système une solution de stockage Le service informatique dispose de deux salles serveurs afin d assurer, comme vu dans le point précédent, la redondance et la fiabilité du service. Ces salles sont situées dans deux bâtiments physiquement distincts. Afin de les relier, des connexions par fibre optique ont été installées puis connectées au cœur de réseau dans chacune des deux salles. Le cœur de réseau, comme son nom l indique, est le point névralgique où toutes les interconnexions sont effectuées. Il est composé de trois switchs, dont un switch fibre optique afin de recevoir, entre autres, les connexions des différentes baies de brassage réparties dans l entreprise. Ces baies de brassage permettent d amener le réseau au sein des différents services de la société. Chaque baie est donc constituée de plusieurs switchs montés en cascade. Le choix de la fibre optique n est pas anodin : en effet, la quantité importante de données qui transite nécessite un débit conséquent que la technologie Ethernet ne peut fournir sur de longues distances (selon les normes définies par les RFC, un câble RJ45 ne peut excéder 100 mètres, puisqu au-delà, la perte de qualité de signal est trop importante). Le réseau de CWF ne s arrête pas à des concepts de réseau local, puisqu il abrite également une zone démilitarisée. Cette dernière, plus couramment appelée DMZ, est une zone située entre le réseau local de l entreprise et l Internet, permettant de faire tampon entre le réseau à protéger et le réseau hostile (Internet), grâce à des pare-feux situés à chacune des entrées (côté Internet et réseau local). Le fonctionnement des pare-feux extérieurs est simple : ils n acceptent, globalement, que les connexions entrantes déjà existantes, c est-à-dire initiées par un ordinateur du réseau local (par exemple, un ordinateur qui va aller chercher une page web). Ce concept est utilisé lorsque certains services ont besoin d être accessibles depuis l extérieur (serveur web, etc.). Cette zone permet de protéger les données internes à l entreprise en les séparant réellement du réseau extérieur. La sécurité de la DMZ est indispensable à la sécurité des données de l entreprise, et donc à sa survie dans un contexte concurrentiel. 7 Olivier RAULIN Juin Août 2012

8 II MISSIONS 1/ INTRODUCTION J ai eu pour mission, au cours de mon stage, d étudier et de mettre à jour une partie du Système d Information, notamment la partie systèmes et réseaux, avec un questionnement qui pourrait être, pour la majeure partie de ce stage, le suivant : «Comment simplifier et uniformiser l authentification au sein d un Système d Information?» Ce rapport aura donc pour principal objectif d apporter des éléments de réponse vis-à-vis de points très spécifiques concernant l uniformisation et la simplification de l authentification au sein du Système d Information, mais n aura pas que cette vocation, puisque je traiterai également d autres sujets, que je juge importants et intéressants de par la complexité technique qu ils ont représenté pour moi durant ces trois mois. J ai eu la chance d être en autonomie sur différents sujets : à partir d un existant et d un but final, j avais pour mission de rechercher, puis d étudier les différentes technologies utilisables pour parvenir à la réalisation de chaque projet. J ai eu, à cet effet, la possibilité de mettre en place une plateforme de tests composée : d un serveur de virtualisation permettant de mettre en place plusieurs serveurs de test de machines clientes (ordinateurs de bureau, ordinateurs portables) de bornes WiFi de matériels Cisco (commutateurs, pare-feux ) J avais le contrôle total de ces équipements et ai donc pu mettre en place une architecture assez évoluée et assez représentative d un réseau local. Au contraire du développement, où il est assez simple de ne traiter qu une seule mission, le domaine des systèmes et réseaux impose bien souvent une variété de sujets, souvent plus courts : c est la raison pour laquelle ce rapport est décomposé en plusieurs parties, cependant, pour la majorité d entre elles, un point central a dominé : l authentification. 8 Olivier RAULIN Juin Août 2012

9 J ai donc décidé de résumer mes recherches sur les sujets les plus importants, des manuels d utilisation étant également disponibles en annexe pour permettre la mise en place de ces différents protocoles. Les références bibliographiques et citations seront présentées selon le standard IEEE 2006 Les noms de serveurs et adresses éventuellement mentionnés dans ce rapport sont fictifs, pour des raisons de sécurité. FIGURE 2 : TOPOLOGIE RÉSEAU DE TEST Sur cette illustration, nous pouvons voir les éléments suivants : Serveur : machine servant à rendre un service particulier à des clients Point d accès Wifi : équipement diffusant un signal WiFi permettant aux ordinateurs portables de se connecter au réseau Commutateur (anglais : switch) : Equipement réseau permettant l interconnexion de matériels (autres switchs, machines clientes ) PC portable : machine transportable facilement dotée de matériel permettant l accès à un réseau sans fil 9 Olivier RAULIN Juin Août 2012

10 PC de bureau : ordinateur moins facilement transportable, équipé de matériel réseau ne permettant l accès qu à un réseau câblé Routeur : équipement permettant d interconnecter des réseaux (réseau local, Internet, etc.) Au niveau des fonctionnalités et services rendus, on trouvera : le serveur AD, servant de contrôleur de domaine (Windows 2008 : Active Directory), de serveur DNS, et de serveur Radius ; le serveur Radius, faisant office de proxy Radius (il récupère les requêtes de points multiples et les redirige vers AD) ; le serveur proxy, utilisant la solution Trend Micro IWSVA, qui fera l intermédiaire entre les utilisateurs et le Web. l ASA 5505, qui fera office de routeur et de pare-feu entre le réseau interne à l entreprise et Internet. Les trois premiers sont des serveurs qui sont virtualisés grâce à une solution de type ESXi, solution présentée au point B ci-dessous. Le dernier est un équipement Cisco, présenté au point C ci-dessous. A) INTRODUCTION À LA VIRTUALISATION La virtualisation, technologie qui fait parler d elle depuis quelques années, est une technologie permettant, à partir d une seule machine physique, de faire fonctionner plusieurs systèmes d exploitation, tous indépendants les uns des autres, de la même manière que s ils étaient chacun sur une machine distincte. Toutes les ressources de la machine hôte (puissance de calcul, mémoire vive, disque dur, etc.) sont partagées entre les machines dites «virtuelles», selon les choix effectués par les administrateurs à l installation desdites machines. Etant donné que l hyperviseur (le système qui va permettre la répartition des ressources) partage toutes les ressources, cela permet d en optimiser la gestion. Par exemple, si l on fait un rapide comparatif entre une machine physique avec 6 Gio de RAM et utilisant une technologie de virtualisation par rapport à 3 machines disposant de 2 Gio de RAM chacune : 10 Olivier RAULIN Juin Août 2012

11 1. Sur le serveur de virtualisation, celui-ci va répartir l usage de la mémoire vive entre les 3 serveurs, dynamiquement (imaginons que l administrateur affecte par exemple 3Gio de mémoire maximum à chaque machine) : o lorsque le serveur 1 a besoin uniquement de 1 Gio de RAM, le reste sera disponible pour les autres machines o lorsque le serveur 2 aura un besoin de plus de mémoire (par exemple les 3 Gio qui lui ont été alloués), il sera possible qu il puisse les obtenir si les autres serveurs n en ont pas besoin à ce moment là 2. Sur le serveur physique, la machine n aura que 2 Gio de RAM, et même si, à un instant donné, elle a besoin de plus, elle ne pourra pas en avoir. De la même manière, si elle n a pas l utilité d autant de mémoire, elle ne pourra pas en faire profiter à d autres machines. B) PRÉSENTATION D ESXI ESXi est un hyperviseur de virtualisation, édité par la société VMware, et est une version alternative d un autre de ses produits «phare», ESX, avec quelques différences par rapport à celleci : la console de service est absente : l administration de l hyperviseur se fait obligatoirement à distance ; ESXi est doté d une interface de gestion à distance ; ESXi est beaucoup plus léger qu ESX (dû à la console de gestion qui a été retirée) ; ESXi peut être installé sur clé USB ; le pare-feu d ESXi est beaucoup plus limité en fonctionnalités. Une version d essai de 60 jours est disponible gratuitement afin d en tester les fonctionnalités. C) PRÉSENTATION DE L ASA 5505 Source : [1] Les boitiers de sécurité adaptatifs de type ASA 5505, 5510, 5520 et 5540 sont des matériels de sécurité, de type pare-feu. 11 Olivier RAULIN Juin Août 2012

12 Ce sont les remplaçants des matériels nommés PIX, ils sont plus performants, plus efficaces, plus modernes, grâce à une architecture multi-processeurs. Ces solutions permettent notamment : de mettre en place une défense proactive (devancer les attaques) de bloquer les attaques avant qu elles ne se propagent d offrir une connectivité VPN en natif (pour les collaborateurs travaillant à l extérieur du site) Des boitiers de ce type ont été choisis pour assurer la sécurité entre le réseau Internet et le réseau interne de l entreprise. Ces matériels ont cependant une configuration un peu différente par rapport aux autres équipements Cisco, qu il faut appréhender et bien étudier avant de mettre en place certaines nouvelles fonctionnalités 12 Olivier RAULIN Juin Août 2012

13 2/ AUTHENTIFICATION AAA SUR MATÉRIEL CISCO EXISTANT Tout le matériel réseau de l entreprise est de marque Cisco 1 : celui-ci est très utilisé dans le monde professionnel, car de grande qualité. Avant mon arrivée, chaque matériel était configuré pour être administré par une connexion avec un seul utilisateur et un mot de passe : ceci pose différents problèmes : de sécurité (ancien personnel connaissant les mots de passe) ; de confidentialité (il est indispensable de divulguer ces mots de passe à quelques personnes de l entreprise) ; de suivi (qui s est connecté, et quand?) BESOIN Parfois, l équipe systèmes et réseaux a besoin de se connecter aux matériels d interconnexion afin d effectuer des modifications de configuration, ou toute autre opération de maintenance. L entreprise dispose d un annuaire Active Directory : celui-ci permettrait de récupérer les comptes utilisateurs, et de vérifier quels droits a chacun sur le matériel réseau (par exemple technicien, ingénieur, etc.), et si cette personne a effectivement le droit de se connecter pour administrer le matériel. Je vais étudier les différentes solutions possibles pour mettre une authentification comme celle-ci en place : ce type d authentification porte le nom d AAA 2 Pour se faire, je vais donc orienter mes études sur trois possibilités : l authentification via Cisco Secure Access Server, via un serveur Kerberos et via un serveur Radius. Ces trois solutions sont, globalement, les seules méthodes permettant de mettre en place une politique AAA au sein d une entreprise. Le protocole Radius semble le plus utilisé, mais il est possible que d autres protocoles soient plus performants, ou offrent plus de possibilités. Je vais donc étudier ces différentes possibilités, afin de répondre au mieux au besoin. 1 Equipementier leader mondial de télécommunications 2 Authentication, Authorization and Accounting (authentification, autorisation et traçabilité) 13 Olivier RAULIN Juin Août 2012

14 J étudierai également, pour le protocole retenu, quelle solution logicielle sera la plus opportune afin de mettre en place ces authentifications, en fonction principalement de critères : de coût ; d adaptabilité (rajout de fonctionnalités dans le futur) de maintenance de configuration Cette réflexion mènera à une solution complète d authentification AAA pour les équipements Cisco, et sera, dans l idéal, adaptative à d autres besoins ultérieurs. RECHERCHE CISCO SECURE ACCESS SERVER Cisco vend une solution appelée Cisco Secure Access Server, qui est une plateforme de contrôle d accès, qui fonctionne sur plusieurs appareils : autorise la connexion des administrateurs de matériels ; permet d authentifier des utilisateurs VPN, d accès distant ; authentifie des utilisateurs au niveau des connexions sans-fil et propose des sécurités spécifiques ; communique et audite les serveurs pour renforcer le contrôle d admission. Pour faire simple, Cisco Secure ACS permet de gérer l accès aux ressources réseau pour une grande variété de types d accès, matériels, et groupes utilisateurs. Etant donné qu elle est développée par Cisco, cette solution est celle qui offrirait la plus grande flexibilité, et le plus grand nombre de possibilités pour l administration des équipements. Cependant, les prix pour une solution TACACS débutent à plus de Pour des contraintes de coût, elle sera dans un premier temps écartée, le temps que les autres solutions puissent être étudiées en profondeur. 14 Olivier RAULIN Juin Août 2012

15 KERBEROS PRÉSENTATION Kerberos est un protocole d authentification créé au MIT 3. Il utilise des clés secrètes pour fonctionner, et remplace les mots de passe par des tickets, rendant plus difficile l interception de ces mots de passe. Son nom provient du nom grec de Cerbère, gardien des Enfers. On pourrait faire une analogie de son fonctionnement avec le fonctionnement d une billetterie de cinéma, se déroulant en 3 étapes : 1. Le client paye son ticket 2. A l entrée, un employé du cinéma déchire le ticket et en garde la moitié 3. Si besoin, on peut vérifier que les deux morceaux vont ensemble et n ont pas été falsifiés Sa durée de vie est limitée (1 séance, généralement) 3 Massachussets Institute of Technology 15 Olivier RAULIN Juin Août 2012

16 FONCTIONNEMENT FIGURE 3 : PROCESSUS D'AUTHENTIFICATION KERBEROS Le serveur hébergeant l AD utilise déjà Kerberos, puisque c est le protocole utilisé nativement pour l authentification des ordinateurs clients dans un domaine Microsoft. Il devrait donc être possible d authentifier les matériels Cisco via cet AD, directement. De plus, les switchs, routeurs et firewalls Cisco sont compatibles Kerberos depuis IOS 4 version 11.2 Cependant, le protocole Kerberos ne fournit que le service d Authentification (qui permet de savoir si une personne a le droit de se connecter au matériel). Il faudra se tourner vers d autres solutions pour mettre en place l Autorisation (qui indique quels droits à la personne sur le matériel) et la Traçabilité (qui s est connecté, quand, et sur quel équipement) Pour des raisons de facilité de mise en œuvre, de limitation du nombre de protocoles utilisés et de limitations techniques et de maintenance, la mise en place de Kerberos sera malheureusement également écartée. 4 IOS : Système d exploitation des matériels CISCO 16 Olivier RAULIN Juin Août 2012

17 RADIUS PRÉSENTATION LE PROTOCOLE RADIUS (REMOTE AUTHENTICATION DIAL-IN USER SERVICE) EST UN PROTOCOLE D AUTHENTIFICATION STANDARD. LE FONCTIONNEMENT DE RADIUS EST BASÉ SUR UN SYSTÈME CLIENT/SERVEUR CHARGÉ DE DÉFINIR LES ACCÈS D UTILISATEURS DISTANTS À UN RÉSEAU. [ ]. LE PROTOCOLE RADIUS REPOSE PRINCIPALEMENT SUR UN SERVEUR, RELIÉ À UNE BASE D IDENTIFICATION COMME UNE BASE DE DONNÉES OU UN ANNUAIRE, ET UN CLIENT RADIUS, FAISANT OFFICE D INTERMÉDIAIRE ENTRE L UTILISATEUR FINAL ET LE SERVEUR. L ENSEMBLE DES TRANSACTIONS ENTRE LE CLIENT RADIUS ET LE SERVEUR EST CHIFFRÉ ET AUTHENTIFIÉ GRÂCE À UN SECRET PARTAGÉ. [1] Le protocole RADIUS est implémenté dans IOS depuis la version 11.1 FONCTIONNEMENT 17 Olivier RAULIN Juin Août 2012

18 FIGURE 4 : FONCTIONNEMENT D'UNE ARCHITECTURE RADIUS SUR CONNEXION WIFI Sur cette figure, on voit le déroulement d une authentification par Radius, qui se déroule en 5 étapes : 1. PC-portable envoie à Borne-WiFi les identifiants et mot de passe de l utilisateur qui désire se connecter au réseau ; 2. Borne-WiFi chiffre le mot de passe grâce au secret qu il partage avec Serveur Radius, et transmet ces informations à celui-ci ; 3. Serveur Radius lit le mot de passe de l utilisateur qu il a dans sa base de données (l administrateur est libre de choisir plusieurs méthodes de stockage des utilisateurs), chiffre celui-ci avec le secret partagé puis le compare avec celui envoyé par Borne- WiFi (c est le principe d irréversibilité du chiffrage, qui permet de chiffrer un mot de passe avec un secret partagé mais ne permet pas de le déchiffrer : le MD5 fonctionnera sur le même principe) ; 4. Serveur Radius renvoie sa réponse : a. Access-Accept, s il autorise la connexion b. Access-Reject, s il refuse la connexion c. il peut également renvoyer d autres attributs, en fonction de sa configuration 5. Borne-Wifi reçoit la réponse de Serveur Radius, et accepte, ou non, l utilisateur en fonction de celle-ci. Il est bien évidemment primordial que le secret partagé reste secret entre la borne et le serveur, car dans le cas contraire la sécurité des mots de passe risquerait d être compromise. PROTOCOLES ET SERVICES RENDUS 18 Olivier RAULIN Juin Août 2012

19 FIGURE 5 : TABLEAU DES MÉTHODES SUPPORTÉES PAR LES DIFFÉRENTS PROTOCOLES La figure ci-dessus indique le support de chaque protocole au niveau des 3 méthodes (Authentification, Autorisation et Traçabilité), pour les matériels de type ASA principalement (les autres équipements ne supportant pas nécessairement tous ces protocoles). Il est donc facile de remarquer que le TACACS+ (protocole de Cisco) est compatible avec tout, tandis que Kerberos est uniquement limité à l Authentification. Cependant, le protocole Radius tire son épingle du jeu avec quasiment toutes les méthodes supportées. Il ne reste que l autorisation de l administrateur, qui, via IOS, se contourne en utilisant un utilisateur fictif nommé $enabxx, où XX est remplacé par un nombre compris entre 1 et 15, et qui représente le niveau d autorisation accordé : ainsi, on peut créer 15 niveaux d autorisation différents, tous avec un mot de passe différent : malheureusement, il n est pas possible d affecter à un compte d utilisateur un niveau d autorisation, bien que le serveur Radius le permette et le prenne en charge : c est une limitation du système de Cisco, IOS. CHOIX FINAL DU PROTOCOLE Après étude des principaux protocoles permettant l authentification AAA sur un équipement Cisco, il ressort principalement 2 critères d exclusion concernant les deux premiers : 19 Olivier RAULIN Juin Août 2012

20 Cisco Secure Access Server, et son protocole TACACS+, est écarté pour son coût trop élevé ; Kerberos est écarté par sa limitation technique et sa complexité de mise en œuvre. Il reste donc le protocole Radius, qui semble, lui, n avoir aucun aspect négatif à son utilisation, notamment parce que : il est sécurisé ; il n est pas lié à l achat de serveurs spécifiques ; il est très compatible, polyvalent, et semble pouvoir s adapter à toute quantité de situations. La partie suivante va donc faire un comparatif entre deux solutions mettant en œuvre le protocole Radius : NPS, le serveur Radius intégré à Windows Server 2008, et FreeRadius, solution libre la plus utilisée au monde 5. NPS, SERVEUR RADIUS DE MICROSOFT WINDOWS SERVER Windows Server est une marque, déposée par Microsoft, pour sa gamme de systèmes d exploitation dédiée pour les serveurs. Un serveur est une machine, parfois physique, parfois virtualisée (cf p. Error: Reference source not found : Error: Reference source not founderror: Reference source not found), destinée à rendre un service à un ou des clients, comme par exemple l affichage d un site web, le partage de données, etc.) Tout serveur de type Windows Server est capable d héberger un serveur NPS, qui fait office de serveur Radius : la dernière version sur le marché est la version 2008 R2, la suivante étant la version 2012, la précédente étant la version Généralement, les sorties de nouvelles versions de Windows Server coïncident avec une sortie d un système pour le grand public : Windows server 2003 est sorti avec Windows XP ; Windows Server 2008 est sorti avec Windows Vista ; Windows Server 2012 sortira avec Windows 8, prévu pour le 26 octobre voir 20 Olivier RAULIN Juin Août 2012

21 CWF, parmi sa centaine de serveurs, migre progressivement ses anciens serveurs Windows Server 2003 vers des versions 2008, et n installe de nouveaux serveurs qu avec cette version. Cela permet à CWF d être toujours à jour au niveau de sa sécurité et des fonctionnalités rendues. Windows Server 2008 est décomposé en plusieurs versions, permettant plus ou moins de fonctionnalités, et à des tarifs différents, avec notamment, pour principales : Web Server ; Standard ; Enterprise ; Datacenter ; Foundation. CWF installe principalement des versions Standard, moins coûteuses que les versions Enterprise, mais bien moins limitées que les versions Web Server, destinées uniquement pour l hébergement de sites web. NPS NPS 6 est le remplaçant, sous Windows Server 2008, d IAS 7, présent lui sur les systèmes Windows Server Il a pour principale fonctionnalité de servir de serveur Radius, et peut servir également de proxy ou de sécurisation d accès. La version Standard de Windows Server 2008 limite à 50 le nombre de clients Radius (un client étant par exemple une borne WiFi, ou un équipement Cisco). Cependant, cette limite n est pas clairement indiquée par le système : c est en ajoutant le 51 ème client qu un message d erreur assez peu explicite fait son apparition, empêchant l ajout d un client supplémentaire. Une solution à cette limite existe, et elle consiste à passer sur une version supérieure de 2008 Server, par exemple la version Enterprise ou Datacenter, qui suppriment cette limite de clients. Cela a un coût, et s il n est pas possible de trouver une solution moins coûteuse, on la retiendra. Cependant, une alternative semble possible avec Freeradius. 6 Network Policy Server 7 Internet Authentication Service 21 Olivier RAULIN Juin Août 2012

22 FREERADIUS AVEC AUTHENTIFICATION SUR LDAP FreeRadius est une implémentation libre et gratuite du protocole RADIUS, qui permet donc d ajouter à son réseau un serveur répondant aux besoins de l AAA. Il est considéré comme étant le plus utilisé au monde des serveurs RADIUS. Il peut s authentifier auprès de fichiers texte, d une base SQL, d un annuaire LDAP, d une base SQL, et auprès de bien d autres services par le biais de modules supplémentaires. Ici, on montrera l authentification auprès d un annuaire LDAP, qui stocke déjà actuellement des utilisateurs : cette solution a été retenue pour sa simplicité d usage : en effet, il apparaîtrait trivial de récupérer la liste d utilisateurs à intervalles réguliers, afin d alimenter une seconde base, et d obtenir une architecture soumise à beaucoup de risques : de synchronisation ; d incompréhension (utilité d avoir un réplica de la première base?) ; de lourdeur (doublement des données). Le choix de Freeradius s est imposé parce que c est une référence dans le domaine de l authentification Radius, et que, de plus, il permet de conserver des coûts très limités (au vu de la licence libre et gratuite) LDAP est protocole devenu un standard permettant l interrogation et la modification des services d annuaire, reposant sur TCP/IP. On peut trouver des annuaires compatibles LDAP sur toutes les plateformes, comme par exemple OpenLDAP sur un système GNU/Linux ou Active Directory sur un système Microsoft (Microsoft ayant ajouté des couches supplémentaires à son annuaire). FONCTIONNEMENT Dans la configuration de FreeRadius, il va falloir lui spécifier plusieurs renseignements, tels que le schéma de l annuaire, son adresse, ainsi que le mot de passe de l administrateur de celui-ci (cette obligation est due à Windows Server, qui n autorise pas la connexion anonyme sur son annuaire). A chaque requête, notre serveur Radius va donc aller effectuer une requête auprès de la fonctionnalité LDAP de l Active Directory, et celui-ci répondra si l utilisateur est autorisé ou pas à se connecter. Cependant, une seule configuration est envisageable : en effet, le module est configuré de telle sorte qu il aille chercher, par exemple, les utilisateurs dans l unité Personnes de l annuaire : que se passet-il si, dans le futur, nous désirons rajouter une nouvelle fonctionnalité utilisant l authentification Radius, telle que, par exemple, une authentification des clients sans-fil au sein de l entreprise? 22 Olivier RAULIN Juin Août 2012

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur TUTORIEL RADIUS Dans ce tutoriel nous allons voir, comment mettre en place une borne wifi avec un protocole RADIUS. Pour cela, vous aurez besoin : - d un serveur Windows 2012 - d un Active Directory -

Plus en détail

WIFI sécurisé en entreprise (sur un Active Directory 2008)

WIFI sécurisé en entreprise (sur un Active Directory 2008) Cette œuvre est mise à disposition selon les termes de la Licence Creative Commons Paternité - Pas d'utilisation Commerciale 3.0 non transposé. Le document est librement diffusable dans le contexte de

Plus en détail

Installation du point d'accès Wi-Fi au réseau

Installation du point d'accès Wi-Fi au réseau Installation du point d'accès Wi-Fi au réseau Utilisez un câble Ethernet pour connecter le port Ethernet du point d'accès au port de la carte réseau situé sur le poste. Connectez l'adaptateur électrique

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

3 ème Concours de technicien de classe normale des systèmes d information et de communication. «Session 2009»

3 ème Concours de technicien de classe normale des systèmes d information et de communication. «Session 2009» 3 ème Concours de technicien de classe normale des systèmes d information et de communication «Session 2009» Meilleure copie "Etude de cas" Note : 11/20 Thème : réseaux de télécommunication et équipements

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche. Sommaire. I. Problématique du nomadisme au CNRS

Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche. Sommaire. I. Problématique du nomadisme au CNRS Université de Corse DESS ISI Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche Manuel BERTRAND Septembre 2004 Sommaire I. Problématique du nomadisme au

Plus en détail

Atelier 802.1x / RADIUS / Wi-Fi

Atelier 802.1x / RADIUS / Wi-Fi /tmp/lab Vitry sur Seine 17 juillet 2008 Sommaire I Le Wi-Fi Installation technologie normalisée IEEE sous le groupe 802.11 fonctionne en 2.4 et 5Ghz support sans-fil, donc problème d accès au média fonctionne

Plus en détail

VPN L2TP/IPsec en utilisant un certificat X.509 v3

VPN L2TP/IPsec en utilisant un certificat X.509 v3 VPN L2TP/IPsec en utilisant un certificat X.509 v3 Installer une autorité de certification d entreprise : Dans notre cas de figure nous sommes dans un domaine qui s appelle «konoha.com». Une autorité de

Plus en détail

Le protocole RADIUS Remote Authentication Dial-In User Service

Le protocole RADIUS Remote Authentication Dial-In User Service Remote Authentication Dial-In User Service CNAM SMB 214-215 Claude Duvallet Université du Havre UFR des Sciences et Techniques Courriel : Claude.Duvallet@gmail.com Claude Duvallet 1/26 Objectifs du cours

Plus en détail

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG Sommaire Critères de choix d architecture Solution adoptée Serveur radius Configurations Cas des visiteurs portail

Plus en détail

Windows Vista et Windows Server 2003... 15. Étude de cas... 41

Windows Vista et Windows Server 2003... 15. Étude de cas... 41 Windows Vista et Windows Server 2003... 15 Windows Vista... 16 Pourquoi Vista?... 16 L initiative pour l informatique de confiance... 17 Le cycle de développement des logiciels informatiques fiables...

Plus en détail

Déploiement d iphone et d ipad Réseaux privés virtuels

Déploiement d iphone et d ipad Réseaux privés virtuels Déploiement d iphone et d ipad Réseaux privés virtuels L accès sécurisé aux réseaux privés d entreprise est possible sur iphone et ipad grâce aux protocoles standard établis en matière de réseaux privés

Plus en détail

Avanquest Connection Manager vous permet de vous connecter à Internet en tous lieux, en toute simplicité.

Avanquest Connection Manager vous permet de vous connecter à Internet en tous lieux, en toute simplicité. DESCRIPTION : Avanquest Connection Manager vous permet de vous connecter à Internet en tous lieux, en toute simplicité. Lors de la première connexion à partir d un nouvel emplacement, Avanquest Connection

Plus en détail

Sécurité Informatique. WIFI sécurisé en entreprise (sur un active directory 2003) 0 - Théories et principes divers sélectionnés.

Sécurité Informatique. WIFI sécurisé en entreprise (sur un active directory 2003) 0 - Théories et principes divers sélectionnés. Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

La mise en place de la quarantaine réseau

La mise en place de la quarantaine réseau La mise en place de la quarantaine réseau La quarantaine réseau n est pas une véritable solution de sécurité, mais c est un élément dont l objectif est de maintenir en bonne santé les éléments présents

Plus en détail

Réseaux CPL par la pratique

Réseaux CPL par la pratique x CPL par la pratique X a v i e r C a r c e l l e A v e c l a c o n t r i b u t i o n d e D a v o r M a l e s e t G u y P u j o l l e, e t l a c o l l a b o r a t i o n d e O l i v i e r S a l v a t o

Plus en détail

Performance et usage. La différence NETGEAR - R7000. Streaming HD illimitée

Performance et usage. La différence NETGEAR - R7000. Streaming HD illimitée Performance et usage Wi-Fi AC1900 - Vitesse 600Mbps (2.4GHz) + 1300 Mbps (5GHz) Processeur Dual Core 1GHz Fonctionnalités avancées pour le jeu en ligne sans latence Bande passante prioritaire pour les

Plus en détail

Business Central Wireless Manager

Business Central Wireless Manager Business Central Wireless Manager Guide de présentation Sommaire CATÉGORIE DE PRODUIT... 3 PRÉSENTATION... 3 PRÉSENTATION DE BUSINESS CENTRAL... 3 FONCTIONNALITÉS ET ATOUTS... 4 POINTS D ACCÈS WIFI PRIS

Plus en détail

L iphone en entreprise Présentation de la sécurité

L iphone en entreprise Présentation de la sécurité L iphone en entreprise Présentation de la sécurité Avec iphone vous pourrez accéder de façon totalement sécurisée aux services de l entreprise tout en protégeant les données de l appareil. Vous profiterez

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Processeur Dual Core 1 GHz

Processeur Dual Core 1 GHz Performance et usage Wi-Fi AC1900 - Vitesse 600Mbps (2.4GHz) + 1300 Mbps (5GHz) Processeur Dual Core 1GHz Fonctionnalités avancées pour le jeu en ligne sans latence Bande passante prioritaire pour les

Plus en détail

7.1.2 Normes des réseaux locaux sans fil

7.1.2 Normes des réseaux locaux sans fil Chapitre 7 7.1.2 Normes des réseaux locaux sans fil Quelles sont les deux conditions qui poussent à préférer la norme 802.11g à la norme 802.11a? (Choisissez deux réponses.) La portée de la norme 802.11a

Plus en détail

LA GAMME UCOPIA VIRTUALISéE. www.ucopia.com

LA GAMME UCOPIA VIRTUALISéE. www.ucopia.com LA GAMME UCOPIA VIRTUALISéE www.ucopia.com L appliance virtuelle UCOPIA est destinée aux organisations moyennes à grandes. Cette gamme répond aux besoins des environnements multi-sites et propose toutes

Plus en détail

Charte d installation des réseaux sans-fils à l INSA de Lyon

Charte d installation des réseaux sans-fils à l INSA de Lyon Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA

Plus en détail

Bénéfices de Citrix NetScaler pour les architectures Citrix

Bénéfices de Citrix NetScaler pour les architectures Citrix Bénéfices de Citrix NetScaler pour les architectures Citrix 15 novembre 2007 Auteurs: Mahmoud EL GHOMARI E-mail: mahmoud.elghomari@eu.citrix.com Stéphane CAUNES E-mail: stephane.caunes@eu.citrix.com Riad

Plus en détail

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique Fiche Technique Cisco Secure Access Control Server Solution Engine Cisco Secure Access Control Server (ACS) est une solution réseau d identification complète qui offre à l utilisateur une expérience sécurisée

Plus en détail

Sécurité des réseaux sans fil

Sécurité des réseaux sans fil Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification

Plus en détail

Partagez plus avec Christie Brio

Partagez plus avec Christie Brio Partagez plus avec Christie Brio Plus de productivité. Plus de travail en équipe. Plus de choix Sommaire Christie Brio Enterprise Guide de déploiement Présentation..2 Où installer le boitier sur le réseau..

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Spécialiste Systèmes et Réseaux

Spécialiste Systèmes et Réseaux page 1/5 Titre professionnel : «Technicien(ne) Supérieur(e) en Réseaux Informatiques et Télécommunications» inscrit au RNCP de niveau III (Bac + 2) (J.O. du 19/02/2013) 24 semaines + 8 semaines de stage

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

1. Présentation de WPA et 802.1X

1. Présentation de WPA et 802.1X Lors de la mise en place d un réseau Wi-Fi (Wireless Fidelity), la sécurité est un élément essentiel qu il ne faut pas négliger. Effectivement, avec l émergence de l espionnage informatique et l apparition

Plus en détail

DOSSIER SPÉCIAL Accès réseau : Offrez rapidité et sécurité à vos visiteurs

DOSSIER SPÉCIAL Accès réseau : Offrez rapidité et sécurité à vos visiteurs Accès réseau : Offrez rapidité et sécurité à vos LE CLIENT REÇU en rendez-vous, le prestataire venu effectuer un travail, ou le partenaire en visite d affaires ont-ils accès au réseau lorsqu ils se présentent

Plus en détail

Licence professionnelle Réseaux et Sécurité Projets tutorés 2012-2013

Licence professionnelle Réseaux et Sécurité Projets tutorés 2012-2013 Licence professionnelle Réseaux et Sécurité Projets tutorés 2012-2013 Sujets proposés à l Université de Cergy-Pontoise 1. Déploiement d'une architecture téléphonique hybride : PC-Asterisk/PABX analogique,

Plus en détail

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée Le réseau du lycée 1. Mise en évidence de la complexité du réseau Le réseau vu par les utilisateurs Le réseau vu par le technicien 2. «Architecture matérielle» du réseau Topologie Le switch, élément central

Plus en détail

SOLUTION UCOPIA ADVANCE

SOLUTION UCOPIA ADVANCE SOLUTION UCOPIA ADVANCE ADVANCE UCOPIA ADVANCE Afin de lutter contre le terrorisme, des lois ont été votées ces dernières années, particulièrement en matière d accès Internet. Toute société accueillant

Plus en détail

Administrateur Système et Réseau

Administrateur Système et Réseau Titre professionnel : Reconnu par l Etat de niveau II (Bac), inscrit au RNCP (arrêté du 28/01/09, J.O. n 32 du 07/02/09) (53 semaines) page 1/7 Unité 1 : Gestion du poste de travail 4 semaines Module 1

Plus en détail

Serveur RADIUS Point d accès Wifi

Serveur RADIUS Point d accès Wifi Serveur RADIUS Point d accès Wifi I. Pré- requis! Serveur Windows 2008 R2 avec les rôles suivant installé : - - - Service de domaine Active directory (adresse IP fixe) Service de certification Active Directory

Plus en détail

Mettre en place un accès sécurisé à travers Internet

Mettre en place un accès sécurisé à travers Internet Mettre en place un accès sécurisé à travers Internet Dans cette partie vous verrez comment configurer votre serveur en tant que serveur d accès distant. Dans un premier temps, les méthodes pour configurer

Plus en détail

CommandCenter Secure Gateway

CommandCenter Secure Gateway CommandCenter Secure Gateway La solution de gestion Raritan, CommandCenter Secure Gateway, offre aux services informatiques l accès intégré, sécurisé et simplifié, ainsi que le contrôle pour toutes les

Plus en détail

Fiche d identité produit

Fiche d identité produit Fiche d identité produit Référence DNS-313 Désignation Boîtier de stockage réseau SATA à 1 baie Clientèle cible Particuliers Accroche marketing Proposé à un prix défiant toute concurrence, le boîtier de

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

UCOPIA EXPRESS SOLUTION

UCOPIA EXPRESS SOLUTION UCOPIA EXPRESS SOLUTION UCOPIA EXPRESS Afin de lutter contre le terrorisme, des lois ont été votées ces dernières années, particulièrement en matière d accès Internet. Toute société accueillant du public

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Compte Rendu FIRAT Ali

Compte Rendu FIRAT Ali Compte Rendu FIRAT Ali S.I.S.R. Auteur: FIRAT Ali Introduction 1. Service de domaine Active Directory 2. Création d un package MSI 3. Transfère de fichier avec un FTP (File Transfert Protocol) 4. Authentification

Plus en détail

UCOPIA ADVANCE SOLUTION

UCOPIA ADVANCE SOLUTION UCOPIA ADVANCE SOLUTION UCOPIA ADVANCE Afin de lutter contre le terrorisme, des lois ont été votées ces dernières années, particulièrement en matière d accès Internet. Toute société accueillant du public

Plus en détail

Architecture de join.me

Architecture de join.me Présentation technique de l architecture sécurisée et fiable de join.me 1 Introduction 2 Présentation de l architecture 3 Sécurité des données 4 Sécurité des sessions et du site web 5 Présentation de l

Plus en détail

UCOPIA ADVANCE SOLUTION

UCOPIA ADVANCE SOLUTION UCOPIA ADVANCE SOLUTION UCOPIA ADVANCE Afin de lutter contre le terrorisme, des lois ont été votées ces dernières années, particulièrement en matière d accès Internet. Toute société accueillant du public

Plus en détail

La solution ucopia advance La solution ucopia express www.ucopia.com

La solution ucopia advance La solution ucopia express www.ucopia.com La solution UCOPIA La solution UCOPIA Express www.ucopia.com EXPRESS Afin de lutter contre le terrorisme, des lois ont été votées ces dernières années, particulièrement en matière d accès Internet. Toute

Plus en détail

Modem Routeur Gigabit VDSL/ADSL Wifi Dual Band AC1600

Modem Routeur Gigabit VDSL/ADSL Wifi Dual Band AC1600 Performance et usage Wifi AC - Connexions Wifi ultra rapides 1600 DUAL BAND 300+1300 PORTÉE Vitesse Wifi 300 + 1300 Mbps Modem VDSL rapide pour des connexions fibres haut débit Détection automatique des

Plus en détail

Le rôle Serveur NPS et Protection d accès réseau

Le rôle Serveur NPS et Protection d accès réseau Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS

Plus en détail

Chapitre 2 Rôles et fonctionnalités

Chapitre 2 Rôles et fonctionnalités 19 Chapitre 2 Rôles et fonctionnalités 1. Introduction Rôles et fonctionnalités Les rôles et fonctionnalités ci-dessous ne sont qu'une petite liste de ceux présents dans Windows Server 2012 R2. 2. Les

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

1 LE L S S ERV R EURS Si 5

1 LE L S S ERV R EURS Si 5 1 LES SERVEURS Si 5 Introduction 2 Un serveur réseau est un ordinateur spécifique partageant ses ressources avec d'autres ordinateurs appelés clients. Il fournit un service en réponse à une demande d un

Plus en détail

Table des matières. 1 Vue d ensemble des réseaux... 5. 2 Transmission des données : comment fonctionnent les réseaux... 23. Introduction...

Table des matières. 1 Vue d ensemble des réseaux... 5. 2 Transmission des données : comment fonctionnent les réseaux... 23. Introduction... Table des matières Introduction 1 Structure du livre 2 Nouveautés par rapport à la 3 e édition 2 Conventions typographiques 3 1 Vue d ensemble des réseaux 5 Qu est-ce qu un réseau? 6 Pourquoi créer un

Plus en détail

Intégration d un poste Linux dans un domaine W2K

Intégration d un poste Linux dans un domaine W2K Intégration d un poste Linux dans un domaine W2K Pascal Gachet EIVD pascal.gachet@eivd.ch mai 2003 Intégration d un poste Linux dans un domaine W2K 2 Table des matières Introduction... 2 Terminologie...

Plus en détail

Nighthawk X4 - Routeur Wi-Fi AC2350 Double Bande & Gigabit

Nighthawk X4 - Routeur Wi-Fi AC2350 Double Bande & Gigabit Performance et usage 1.4 GHz Processeur Dual Core Network Storage Ready Twin USB 3.0 + esata Wi-Fi AC2350 - Jusqu à 2.33 Gbps (600 + 1733 Mbps ) Wifi nouvelle génération Quad stream Wave 2 Processeur le

Plus en détail

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+ Guide de formation avec exercices pratiques Configuration et dépannage de PC Préparation à la certification A+ Sophie Lange Troisième édition : couvre Windows 2000, Windows XP et Windows Vista Les Guides

Plus en détail

Windows Server 2012 R2 Administration - Préparation à la certification MCSA - Examen 70-411

Windows Server 2012 R2 Administration - Préparation à la certification MCSA - Examen 70-411 Chapitre 1 Introduction A. Organisation des certifications 12 B. Comment est organisé ce livre 12 C. Compétences testées lors de l'examen 70-411 14 1. L'examen de certification 14 2. Préparation de l'examen

Plus en détail

Wyse WSM. L informatique légère, économique, flexible et fiable. Wyse WSM. Tout ce que vous devez savoir. Cliquez ici

Wyse WSM. L informatique légère, économique, flexible et fiable. Wyse WSM. Tout ce que vous devez savoir. Cliquez ici Wyse WSM L informatique légère, économique, flexible et fiable Wyse WSM. Tout ce que vous devez savoir. Cliquez ici Présentation de Wyse WSM et des Clients Zéro Wyse La puissance d un PC. Sans sa complexité.

Plus en détail

Windows Server 2012 R2 Administration

Windows Server 2012 R2 Administration Généralités 1. Le gestionnaire de serveur 11 1.1 Création d un groupe de serveurs 19 1.2 Installation d un rôle à distance 21 1.3 Suppression d un groupe de serveurs 22 2. Serveur en mode installation

Plus en détail

Etude d architecture de consolidation et virtualisation

Etude d architecture de consolidation et virtualisation BOUILLAUD Martin Stagiaire BTS Services Informatiques aux Organisations Janvier 2015 Etude d architecture de consolidation et virtualisation Projet : DDTM Table des matières 1. Objet du projet... 3 2.

Plus en détail

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM Le WiFi sécurisé 16 Octobre 2008 PRATIC RIOM Plan Introduction Les réseaux sans fil WiFi Les risques majeurs liés à l utilisation d un réseau WiFi Comment sécuriser son réseau WiFi La cohabitation entre

Plus en détail

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l

Plus en détail

Architecture Constellio

Architecture Constellio Architecture Constellio Date : 12 novembre 2013 Version 3.0 Contact : Nicolas Bélisle nicolas.belisle@doculibre.com 5146555185 1 Table des matières Table des matières... 2 Présentation générale... 4 Couche

Plus en détail

Les nouveautés en UCOPIA Version 5.0

Les nouveautés en UCOPIA Version 5.0 Les nouveautés en UCOPIA Version 5.0 Pour mieux répondre aux besoins de nos clients, UCOPIA sort la toute dernière version de la solution, disponible dès septembre 2014. Chaque evolution dans cette version

Plus en détail

La gamme Advance UCOPIA. www.ucopia.com

La gamme Advance UCOPIA. www.ucopia.com La gamme Advance UCOPIA www.ucopia.com La gamme UCOPIA Advance est destinée aux organisations moyennes à grandes, déployant sur un ou de nombreux sites, pour l accès à des applications et services critiques,

Plus en détail

SÉCURISER EMC VSPEX END-USER COMPUTING AVEC RSA SECURID

SÉCURISER EMC VSPEX END-USER COMPUTING AVEC RSA SECURID GUIDE DE CONCEPTION SÉCURISER EMC VSPEX END-USER COMPUTING AVEC RSA SECURID VMware Horizon View 5.2 et VMware vsphere 5.1 - Jusqu à 2 000 bureaux virtuels EMC VSPEX Résumé Le présent guide décrit les composants

Plus en détail

CONNECTIVITÉ. Options de connectivité de Microsoft Dynamics AX. Microsoft Dynamics AX. Livre blanc

CONNECTIVITÉ. Options de connectivité de Microsoft Dynamics AX. Microsoft Dynamics AX. Livre blanc CONNECTIVITÉ Microsoft Dynamics AX Options de connectivité de Microsoft Dynamics AX Livre blanc Ce document décrit les possibilités offertes par Microsoft Dynamics AX en terme de connectivité et de montée

Plus en détail

Réseaux CPL par la pratique

Réseaux CPL par la pratique Réseaux CPL par la pratique X a v i e r C a r c e l l e A v e c l a c o n t r i b u t i o n d e D a v o r M a l e s e t G u y P u j o l l e, e t l a c o l l a b o r a t i o n d e O l i v i e r S a l v

Plus en détail

Routeur Gigabit WiFi AC 1200 Dual Band

Routeur Gigabit WiFi AC 1200 Dual Band Performance et usage AC1200 Vitesse WiFi AC1200-300 + 867 Mbps Couverture Wi-Fi dans toute la maison 1200 DUAL BAND 300+900 RANGE Idéal pour connecter de nombreux périphériques WiFi au réseau Application

Plus en détail

CAHIER DES CLAUSES TECHNIQUES

CAHIER DES CLAUSES TECHNIQUES CAHIER DES CLAUSES TECHNIQUES 1. Contexte Ce document décrit les différentes fournitures et prestations à mettre en œuvre dans le cadre du remplacement de la solution de proxy et firewall actuellement

Plus en détail

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. 2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation

Plus en détail

Présentation de la société. Aout 2011

Présentation de la société. Aout 2011 Présentation de la société Aout 2011 En quelques mots SonicWALL Inc, (Nasdaq SNWL), est un leader mondial de solutions intelligentes de sécurité des réseaux et de protection de données. Fournisseur de

Plus en détail

PPE 2.2 - GSB. PPE 2.2 GSB Vincent LAINE Eliott DELAUNEY. Page : 1 / 25. Date : 30/06/2014

PPE 2.2 - GSB. PPE 2.2 GSB Vincent LAINE Eliott DELAUNEY. Page : 1 / 25. Date : 30/06/2014 PPE 2.2 - GSB Page : 1 / 25 TABLE DES MATIERES SYNTHESE DES FONCTIONNALITEES D OCS ET GLPI 3 PRESENTATION OCS INVENTORY NG 3 PRESENTATION GLPI 4 DEUX OUTILS QUI SE COMPLETENT OCS ET GLPI. 5 TUTORIAL DES

Plus en détail

Le protocole RADIUS. Objectifs. Ethernet Switch RADIUS RADIUS

Le protocole RADIUS. Objectifs. Ethernet Switch RADIUS RADIUS 2ème année 2008-2009 Le protocole RADIUS Décembre 2008 Objectifs Objectifs : Le but de cette séance est de montrer comment un protocole d authentification peut être utilisé afin de permettre ou interdire

Plus en détail

Et si l'infrastructure ENT servait à gérer le nomadisme!

Et si l'infrastructure ENT servait à gérer le nomadisme! Et si l'infrastructure ENT servait à gérer le nomadisme! Patrick PETIT (DSI Grenoble-Universités) Philippe BEUTIN (DSI Grenoble-Universités) Jean-François SCARIOT (INRIA Grenoble - Rhône-Alpes) Université

Plus en détail

Projet Système & Réseau

Projet Système & Réseau Olivier Raulin CSII3 Epsi Nantes Projet Système & Réseau Mise en place d une infrastructure systèmes et réseaux Ce document a pour but d expliquer la démarche de recherche, et d expliquer les choix techniques

Plus en détail

Services de Bureau à Distance

Services de Bureau à Distance Services de Bureau à Distance 02 février 2015 TABLE DES MATIERES PRESENTATION DU SYSTEME RDS... 2 DEFINITION... 2 MODE DE FONCTIONNEMENTS... 4 AVANTAGES ET INCONVENIENTS... 4 AVANTAGES... 4 INCONVENIENTS...

Plus en détail

Nighthawk X6 - Routeur Gigabit Wifi Tri Bande AC3200

Nighthawk X6 - Routeur Gigabit Wifi Tri Bande AC3200 Performance et usage 3.2Gbps - Vitesse Wifi combinée la plus performante pour un confort accru Wifi Tri bande : Wifi plus puissant pour plus de périphériques Allocation de la bande passante Qos dynamique

Plus en détail

Aperçu technique Projet «Internet à l école» (SAI)

Aperçu technique Projet «Internet à l école» (SAI) Aperçu technique Projet «Internet à l école» (SAI) Contenu 1. Objectif 2 2. Principes 3 3. Résumé de la solution 4 4. Adressage IP 4 5. Politique de sécurité 4 6. Mise en réseau Inhouse LAN 4 7. Organisation

Plus en détail

UCOPIA EXPRESS SOLUTION

UCOPIA EXPRESS SOLUTION UCOPIA EXPRESS SOLUTION UCOPIA EXPRESS Afin de lutter contre le terrorisme, les lois ont été votées ces dernières années, particulièrement en matière d accès Internet. Toute société accueillant du public

Plus en détail

La gamme express UCOPIA. www.ucopia.com

La gamme express UCOPIA. www.ucopia.com La gamme express UCOPIA www.ucopia.com UCOPIA s adresse principalement aux petites organisations (Hôtels, PME, Cliniques, Etablissements secondaires...). Produit ayant obtenu en 2010 la Certification de

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

MISE EN ŒUVRE D UNE ARCHITECTURE RESEAU SECURISEE A HAUTE DISPONIBILITE ET MIGRATION DES DONNEES SUR MACHINES VIRTUELLES

MISE EN ŒUVRE D UNE ARCHITECTURE RESEAU SECURISEE A HAUTE DISPONIBILITE ET MIGRATION DES DONNEES SUR MACHINES VIRTUELLES OFFRE N 2013/01/03 MISE EN ŒUVRE D UNE ARCHITECTURE RESEAU SECURISEE A HAUTE DISPONIBILITE ET MIGRATION DES DONNEES SUR MACHINES VIRTUELLES OBJET DE LA CONSULTATION : Ce marché vise dans un 1 er temps,

Plus en détail

Projet Personnalisé Encadré 3.2

Projet Personnalisé Encadré 3.2 2014/2015 Projet Personnalisé Encadré 3.2 ETUDE SUR LA MISE EN PLACE DU RESEAU WIFI Arnaud Duboishamon, Anthony Dubois, Lucas Corizzi GALAXY SWISS BOURDIN Table des matières Introduction.....2 Étude sur

Plus en détail

Guide pratique spécifique pour la mise en place d un accès Wifi

Guide pratique spécifique pour la mise en place d un accès Wifi VERSION V0.3 Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Février 2014 MINISTÈRE DES AFFAIRES SOCIALES

Plus en détail

TAI049 Utiliser la virtualisation en assistance et en dépannage informatique TABLE DES MATIERES

TAI049 Utiliser la virtualisation en assistance et en dépannage informatique TABLE DES MATIERES TAI049 Utiliser la virtualisation en assistance et en dépannage informatique TABLE DES MATIERES 1 DECOUVERTE DE LA VIRTUALISATION... 2 1.1 1.2 CONCEPTS, PRINCIPES...2 UTILISATION...2 1.2.1 Formation...2

Plus en détail

BTS SIO2: module SISR5 TP VPN sous Windows server 2008 TP VPN

BTS SIO2: module SISR5 TP VPN sous Windows server 2008 TP VPN TP VPN Pré requis et Configuration initiale des machines Utilisation de quatre machines, un client (Windows 7 pour simuler le client VPN), un serveur (Windows Server 2008 => WS2008 pour le serveur VPN),

Plus en détail

Mise en place d un portail captif avec une distribution pfsense

Mise en place d un portail captif avec une distribution pfsense Mise en place d un portail captif avec une distribution pfsense Présentation : pfsense est une distribution routeur/pare-feu OpenSource basée sur FreeBSD, pouvant être installée sur un simple ordinateur

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

DES SAUVEGARDES ET DES RESTAURATIONS DE DONNEES SANS CONTRAINTES DE LIEU NI DE TEMPS

DES SAUVEGARDES ET DES RESTAURATIONS DE DONNEES SANS CONTRAINTES DE LIEU NI DE TEMPS POURQUOI CHOISIR ACRONIS BACKUP TO CLOUD? Les volumes de données que votre entreprise doit gérer et les coûts correspondants de sauvegarde et de maintenance augmentent de manière exponentielle. La virtualisation,

Plus en détail

Serveur dédié Cisco NAC

Serveur dédié Cisco NAC Serveur dédié Cisco NAC Le serveur Cisco NAC, précédemment appelé Cisco Clean Access, est un Serveur de Contrôle d Admission Réseau (Network Admission Control) facile à déployer qui permet à l administrateur

Plus en détail

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session 2003. Sécurité du réseau

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session 2003. Sécurité du réseau ACTION PROFESSIONNELLE N 4 Fabien SALAMONE BTS INFORMATIQUE DE GESTION Option Administrateur de Réseaux Session 2003 Sécurité du réseau Firewall : Mandrake MNF Compétences : C 21 C 22 C 23 C 26 C 34 Installer

Plus en détail

MISE EN PLACE D UN RESEAU STRUCTURE ET SECURISE

MISE EN PLACE D UN RESEAU STRUCTURE ET SECURISE MISE EN PLACE D UN RESEAU STRUCTURE ET SECURISE Mise en place d un serveur RADIUS 2013 / 2014 Haureils Florent BTS Sio Contexte et situation initiale Expertis est une entreprise spécialisée dans l ingénierie

Plus en détail

escan Entreprise Edititon Specialist Computer Distribution

escan Entreprise Edititon Specialist Computer Distribution escan Entreprise Edititon Specialist Computer Distribution escan Entreprise Edition escan entreprise Edition est une solution antivirale complète pour les entreprises de toutes tailles. Elle fournit une

Plus en détail