TP LAN-WAN 2007/2008

Dimension: px
Commencer à balayer dès la page:

Download "TP LAN-WAN 2007/2008"

Transcription

1 TP LAN-WAN 2007/2008 Firewall (Pare-Feu) I - Objectifs Dans ce TP vous allez utiliser un firewall pour connecter un réseau d entreprise à Internet. Plusieurs aspects vont être abordés : - La définition des différents réseaux de l entreprise - Le routage et l interconnexion - La mise en place des règles de translation - La définition des règles de sécurité - La supervision du firewall et la remontée des logs - La connexion par Réseau privé virtuel (VPN) de clients distants II - Mise en place de la plate-forme 1 - Description générale Pour ces travaux pratiques, vous disposerez de : 2 postes sur un réseau local 1 poste serveur Web de l entreprise 1 poste utilisateur extérieur 1 firewall F50 Netasq. Vous serez amenés à utiliser les logiciels suivant à télécharger directement sur Internet : Wireshark/ethereal : Logiciel d analyse de trames Kiwi_syslog : Serveur de logs Putty : Console en mode texte pour accès Telnet et SSH Le firewall que nous allons utiliser est un F50 de la société Netasq. Cette société propose des solutions de sécurité basée sur FreeBSD, une distribution Unix connue pour son haut niveau de sécurité. Le firewall que nous allons utiliser dispose de trois interfaces : - L interface IN est connectée au réseau interne. Le réseau interne utilise un adressage privé. - L interface OUT est connectée à Internet - L interface DMZ est reliée au réseau des serveurs. Cette zone présente un niveau de sécurité intermédiaire entre IN et OUT. La DMZ renferme le serveur WEB de l entreprise, le serveur DNS et la messagerie. REMARQUE IMPORTANTE : Nous choisissons ici une DMZ avec une plage d adresse privée. Ce choix est très pédagogique mais pas forcément le plus intéressant dans une installation réelle. Firewall et administration de réseau 1/15

2 Nom et adresse IP Groupe 1 (X=1) Groupe2 (X=2) Groupe2 (X=3) maboite alpha beta delta IN / / /16 OUT / / /24 DMZ / / /24 clientx Poste extérieur client /24 client /24 client /24 PosteX.intra.maboite.tp Poste1.intra.alpha.tp Poste2.intra.beta.tp Poste3.intra.delta.tp servinx.intra.maboite.tp servin1.intra.alpha.tp servin2.intra.beta.tp Servin3.intra.delta.tp ServeurX.maboite.tp Serveur1.alpha.tp Serveur2.beta.tp Serveur3.delta.tp Poste externe clientx INTERNET OUT ServeurX.maboite.tp PC2A Win2003 DNS WEB DMZ IN DMZ (zone démilitarisée ) privée Réseau local d entreprise ServinX.intra.maboite.tp PC1A PosteX.intra.maboite.tp PC1B 2 - Mise en place du réseau Câbler le réseau conformément aux indications du professeur. Le plan de salle est le suivant : IN OUT DMZ F50 Réseau Interne DMZ PC1A PC1B PC2A PC2B Les postes PC1A : servinx (Serveur DNS Interne et Active Directory ) et PC2A : serveurx (Serveur Web et DNS) sont des serveurs Win2003. Les images vous seront fournies par le professeur. Le poste PC1B sera utilisé comme client. Utiliser un CD poste gauche XPpro dans les boites et installer le poste. Après redémarrage, réinstaller la carte réseau si nécessaire (CD SMC 1255TX) Le poste PC2B sera installé de la même manière que PC1B. Il sera connecté sur le réseau extérieur. Firewall et administration de réseau 2/15

3 3 - Configuration des machines a. Configurer le serveur 2003 Interne. - Configurer le réseau : o Adresse IP : 10.X.0.1 /16, Gateway 10.X.0.254, DNS : , o Nom de machine servinx.intra.maboite.tp - Nous allons ajouter les rôles serveur DHCP, serveur DNS et active Directory à votre serveur : (programmes/outils d administration/gérer votre serveur) o Ajouter d abord le rôle Serveur DHCP Etendue : etenduex Plage d adresses 10.X à 10.X /16 Routeur 10.X Domaine parent : intra.maboite.tp Dns : dns.intra.maboite.tp (IP : 10.X.0.1) dns sera un alias pour serv_in.intra.maboite.tp Gérer le serveur DHCP et (dans le menu action) l autoriser à délivrer des adresses. o o o Ajouter le rôle serveur DNS. (CDROM 2003 serveur nécessaire) Créer une zone directe et une zone inverse (zone principale) : intra.maboite.tp Autoriser les mises à jour dynamiques Créer la zone inverse X.10.in-addr.arpa Rediriger les requêtes vers le serveur (de la DMZ) X.1 Le serveur ne pourra trouver les indications de racine pour le moment, ce n est pas grave, noter cependant le message d erreur. Dans la zone directe donner un alias à la machine servinx (alias : dns.intra.maboite.tp) Ajouter le rôle contrôleur de domaine Active Directory. C est un nouveau domaine dans une nouvelle forêt. Le domaine s appellera intra.maboite.tp Choisir des autorisations conformes au modèle 2000/2003 Valider les propositions suivantes. Donner un mot de passe pour le mode restauration (choisir toto) Dans la base de données des utilisateurs Active Directory Créer un compte Albert Legrand, login alegrand, mot de passe Toto123 (un mot de passe trop simple est refusé par le système) b. Configurer le serveur Serveur.maboite.tp. Sur le serveur Win2003 de la DMZ, nous allons mettre en place partiellement un DNS. - Configurer le réseau : o Adresse IP : X.1 /24, Gateway X.254, DNS : , o Nom de machine serveurx.maboite.tp - Ajouter le rôle serveur DNS (CDROM 2003 serveur nécessaire). Créer une zone directe et une zone inverse (zone principale) : maboite Ne pas autoriser les mises à jour dynamiques (on utilisera ici ni DHCP ni Active Directory) Créer la zone inverse X in-addr.arpa Rediriger les requêtes vers le serveur extérieur de l université : Le serveur ne pourra trouver les indications de racine pour le moment, ce n est pas grave, noter cependant le message d erreur. - Configurer le serveur WEB. o Activer sur le serveur de la DMZ les services WEB. (Gérer votre serveur/installation des services IIS). o Dans la page de gestion du site, repérer l emplacement de la page par défaut. Avec un éditeur de texte changer le titre en «page d accueil du site de la société maboite». o Notre serveur est maintenant prêt à accueillir des connexions. - Tester l accès en local. 4 - Configuration de la machine PosteX a. Configurer la machine XP PosteX. - Configurer PosteX en DHCP et lui faire récupérer sa configuration par ipconfig /renew. - Insérer le poste dans le domaine Windows 2003 (quel est le nom de ce domaine? ). Puis, après redémarrage, se loguer sous le compte alegrand. Firewall et administration de réseau 3/15

4 b. Configurer les outils d administration du Firewall Netasq. - A l aide du CD fourni : o Installer Netasq Administration Suite. (Faire une installation complète). Ne pas s enregistrer (La procédure d enregistrement permet de récupérer un code pour activer le firewall, ce qui a déjà été fait) o Recopier également les documents pdf fournis dans le répertoire doc et doc/fr du CD Netasq. Ces documents vous serviront de référence pour la suite. o Installer Acrobat Reader qui sera nécessaire pour lire ces documents. 5 - Première connexion au firewall : o Réinitialiser le F50 à l aide du bouton reset situé sous le boîtier. Appuyer pendant au moins 20 s puis relâcher. o Attendre environ 5 minutes. o Lancer le Firewall Manager. Cet outil permet de dialoguer avec le firewall de manière sécurisée. L interface graphique est en outre très conviviale. Se connecter à l adresse (Cette adresse est définie par défaut dans la configuration usine). Accepter le numéro de série du Firewall et donner un nouveau mot de passe (toto2007) VOILA!! A partir de maintenant, nous allons pouvoir configurer notre Firewall pour établir la connectivité au réseau et obtenir un bon niveau de sécurité. Faire un tour rapide des différents onglets et menu et au passage régler l heure et le fuseau horaire sur France. III - Configuration élémentaire du Firewall 1 - Configuration de base a. Onglet Configuration - Réseau Initialement les trois interfaces sont bridgées (elles sont toutes connectées sur un switch virtuel), elles ont toutes l adresse , avant de passer à la suite, il est nécessaire de supprimer ce bridge. On peut alors configurer les différentes interfaces : o Interface Out Onglet paramètres L interface doit être externe Onglet adresse Donner une adresse IP et un masque Onglet Routage Donner l adresse du routeur de l université : /24 o Interface DMZ Configurer l adresse réseau Cette interface est privée. o Interface IN Configurer l adresse réseau Cette interface est privée. Valider la configuration par le bouton envoyer. Un redémarrage du Firewall est nécessaire. Comme l IP a changé, il est nécessaire de reconfigurer postex. - Objets : Examiner les différents onglets proposés et les valeurs préconfigurées. o Onglet machines Ajouter un item pour chacun des serveurs. On pourra définir un item pour chaque serveur et non pas Firewall et administration de réseau 4/15

5 seulement pour chaque machine serveur. (On peut par exemple définir l objet Serv_www et l objet Serv_ftp qui désignent pourtant la même machine! ) Définir les objets Serv_web, Serv_ftp, Serv_dns_dmz et Serv_dns_intra. Définir la machine Serv_syslog comme étant le poste 10.X.0.1 Définition d utilisateurs : Il est possible de définir une base d utilisateur notamment pour la mise en oeuvre des VPN. Cette base peut être externe (Active Directory serveur LDAP externe) ou interne. Pour des raisons de simplicité, nous allons utiliser l annuaire LDAP interne du F50. Menu Authentification. Choisir de créer une base LDAP interne - Société : maboite - Pays : France - Mot de passe Admin : toto2007 On peut maintenant créer un utilisateur, par exemple alegrand, mot de passe toto, laisser toutes les autres options par défaut pour le moment. b. Onglet Slots : Les slots sont des fichiers de configuration utilisés pour mettre en place la politique de sécurité et de routage. Nous allons commencer par configurer les slots de translation. On peut paramétrer plusieurs slots qui seront actifs à tour de rôle en fonction des heures définies dans «programmation des slots». Ici, pour faire simple nous n utiliserons qu un seul slot qui sera actif en permanence, mais on pourrait imaginer des règles différentes pendant les heures de fermeture par exemple. Nous utiliserons exclusivement le slot 1. - Configuration des translations sortantes : o Créer une règle pour autoriser tous les utilisateurs du réseau interne à avoir accès à Internet, renommer le slot en config puis envoyer au Firewall, activer le slot. o Activer le slot de manière qu il soit valide en permanence. (Programmation des slots) - Configuration des règles de filtrage : o La sécurité se configure en paramétrant des slots de filtrage. Il existe des slots déjà préconfigurés (Block all et Pass all). Que font-ils? Nous les laisserons en place. Ils peuvent servir lors des opérations de test ou pour verrouiller temporairement l installation. o Activer le slot Pass all Dans cet état de fonctionnement, les machines du réseau interne doivent communiquer librement avec les machines de la DMZ et avoir accès à l extérieur. Voir en annexe les différentes possibilités de translation d adresse : Voir également le document d administration du Netasq «EDITION D un SLOT de TRANSLATION» p Configuration de la sécurité (Etape 1 : pings et web) Remarque : Vous devrez toujours utiliser les adresses réelles des machines même si de la translation d adresse est mise en oeuvre. Voir également le document d administration du Netasq «CREATION DE REGLES DE FILTRAGE» p144. Editer des règles pour chaque service peut conduire à créer des slots de filtrage de plusieurs dizaines de ligne ou centaines de lignes. Pour réduire la complexité de la configuration il est possible de créer des groupes d objets. Les groupes de services vont s avérer très utiles. On pourra par exemple utiliser des groupes pour les fonctions Web, pour le mail etc. - Dans Configuration/objets/groupes d objets/groupes de services, o Examiner les groupes prédéfinis. o Retirer Imap du groupe de services Mail o Créer un groupe services_intra qui sera utilisé par les clients du réseau interne et inscrire les services http et https, les accès FTP vers l extérieur. o Créer un groupe services_dmz avec les mêmes propriétés. - Ouvrir un nouveau slot et le nommer filtrage. o Quelle règle est-elle déjà présente par défaut? Cette règle sera bien entendu laissée en état et activée. - Ouvrir les accès depuis le réseau interne vers l extérieur. Firewall et administration de réseau 5/15

6 Pour les service du groupe services_intra Les requêtes ping sortantes. - Ouvrir les accès depuis la DMZ vers l extérieur. Les requêtes ping sortantes vers l extérieur (mais pas vers le réseau interne) Pour les service du groupe services_dmz. QUESTION : A ce stade, en toute logique, avec les règles de sécurité imposée, on ne devrait même plus pouvoir se connecter au Firewall avec l outil d administration. Pourtant cela marche quand même. Qu en pensez-vous (cherchez les règles implicites.) NE PAS MODIFIER LES REGLES IMPLICITES. 3 - Configuration de la sécurité (Etape 2 : DNS) Faire en sorte que les machines du réseau intra puisse effectuer une résolution de nom. Attention! Ces machines doivent utiliser servinx.intra.maboite.tp comme serveur DNS. ServinX.intra.maboite.tp doit rediriger les requêtes sur dns.maboite.tp Il pourra être nécessaire de mettre en oeuvre quelques outils de déboguage, par exemple : Sur les serveurs DNS, activer les logs (on écrira les logs dans c:\logs\dns) On peut également télécharger et installer Ethereal. (Il est alors nécessaire de télécharger également et d installer une libraire Winpcap) ICI, tous les postes doivent accéder au WEB - Faire vérifier les règles de filtrage!!!! IV - Mise en œuvre des logs du Firewall - Surveillance 1 - Utilisation de syslog Il est particulièrement utile sur un Firewall de pouvoir surveiller son activité pour détecter des attaques ou pour des raisons de maintenance et de déboguage. La solution la plus classique consiste à utiliser un serveur de logs. Le Firewall enverra les logs sur le serveur serv_syslog.intra.maboite.tp a. Configuration du serveur Syslog (Chargé de recevoir les messages) - Installer à l aide du CD Netasq sur cette machine le programme «FW Syslog» puis vérifier que ce programme démarre automatiquement (outils d administration/services). Vérifier également que le processus correspondant (FwSyslog.exe est bien démarré). - Utiliser l outils d administration «configure syslog» pour changer le chemin de stockage des logs en c:\logs b. Configuration du client Syslog (sur le Firewall) - Sur le Firewall (Onglet Configuration/Traces), demander l envoi des logs au serveur de logs externes. Loguer toutes les informations possibles pour le moment. Noter le port utilisé. - Revenir au slot de filtrage et demander à tracer tous les échanges. Vérifier que les logs sont bien reçus et enregistré dans les fichiers (On peut générer de l activité en naviguant sur le WEB par exemple). c. Utilisation d un serveur de log tiers. Tout cela est intéressant mais un vrai serveur de logs affichant les logs en temps réel, serait beaucoup plus intéressant. Installer sur servinx.intra.maboite.tp le serveur de logs «KIWI Syslog Daemon» (à télécharger sur le web). Installer et configurer (menu setup). Vérifier que les logs s affichent en temps réel sur la console du serveur. 2 - Utilisation du reporter Firewall et administration de réseau 6/15

7 Le reporter ne permet pas exactement la lecture en temps réel. Il permet en réalité de lire les fichiers de logs générés par FW_syslog. Arrêter Kiwi Syslog et redémarrer FW_syslog. Lancer l application REPORTER. o Dans la colonne de gauche, choisir voir sur Syslog puis choisir fichiers. o Le reporter va alors nous afficher le contenu des différents fichiers de logs. Examiner par exemple quels sont les paquets refusés par le Firewall (Quelle règle en est responsable?). Cet outil sera très pratique pour déboguer et surveiller le Firewall. A titre de vérification, prouver le fonctionnement d une règle à l aide du Reporter. V - Un peu plus loin avec le Firewall 1 - Mise en oeuvre du filtrage d URL : (Slots /WEB) Les précédentes règles de sécurité ont été configurées au niveau des couches 3 et 4 du modèle OSI. Les Firewall spécialisés comme le F50 offrent également des possibilités de filtrage au niveau applicatif, par analyse des messages échangés par les couches hautes. Nous allons maintenant procéder à du filtrage sur les URL (Uniform Ressource Locator), donc au filtrage sur les sites WEB accessibles. - Editer un slot de filtrage d URL. L interface se compose de deux fenêtres : o A droite un éditeur de groupes d URLs. o A gauche une liste de règles à appliquer. - Créer d abord dans la fenêtre groupe d URL, les groupes et URLs conformes au schéma suivant : - Puis appliquer les règles suivantes : Le réseau network_in peut se connecter aux URLS du groupe utils et du groupe professionnel. Tous les autres sites sont interdits. En cas d interdiction, une page d information devra informer l utilisateur. Le réseau Network_DMZ ne peut se connecter aux URLS du groupe distractions, mais tous les autres sites sont autorisés. En cas d interdiction, une page d information devra informer l utilisateur. Comme vous le voyez la démarche est extrêmement simple, dans la pratique cependant, maintenir à jour des listes d URLS pertinentes peut être relativement fastidieux. 2 - Configuration de l ASQ L ASQ est un moteur d analyse qui étudie le contenu des transactions d un certain nombre de protocoles et permet de rejeter certains types d attaques. Il permet également à certains logiciels de fonctionner correctement (FTP par exemple) Firewall et administration de réseau 7/15

8 a. Etude du cas de FTP. En utilisant un poste client de votre réseau, vérifier dans Internet explorer que le client est configuré en mode passif. Sur le Firewall, désactiver le plug-in FTP de l ASQ. Essayez de vous connecter au site ftp://ftp.gtrgrenoble.fr Que se passe-t-il? Réactiver le plug-in FTP. Vérifier que FTP fonctionne à nouveau. Expliquer b. Etude du cas de http. De très nombreuses attaques ont lieu par buffer overflow sur les serveurs Web. Une chaîne de caractères imprévue, souvent longue est passée à un formulaire et déclenche un fonctionnement non conforme du serveur. Pour éviter ceci, il est possible de configurer le Firewall pour limiter la taille d une Url qui passe sur le réseau - Démarrer le serveur web sur le poste Linux. Vérifier que ce serveur est accessible depuis le réseau interne. - Configurer le plugin http pour limiter la taille d URL à 128 octets. - Puis consulter l URL suivante : (séquence à répéter une quinzaine de fois) - Consulter les logs et constater la remontée d une alarme. D autres Plug-in permettent des actions spécifiques, en particuliers la vérification de la conformité des messages avec les RFCs. Fournir au professeur un schéma explicatif convaincant du fonctionnement du plug-in FTP 3 - Translations d adresse destination Nous avons déjà vu comment permettre aux utilisateurs des réseaux internes d avoir accès à Internet. Nous allons maintenant voir comment permettre au monde extérieur l accès à notre serveur WEB. L accès se fera pour les utilisateurs extérieurs en se connectant au site ou Le routeur sera alors chargé de rediriger la connexion sur le serveur interne. - A l aide de la documentation du Firewall, ajouter la règle pertinente dans le slot de translation - L adresse publique du site Web est , ou , on aimerait pouvoir donner cette adresse aux utilisateurs internes, notamment à travers le système DNS. Mais un problème se pose : Un utilisateur interne peut-il accéder au site à travers cette adresse? Pourquoi? Nous allons pour palier ce défaut, rerouter les requêtes internes à destination du serveur web vers le serveur web de la DMZ. - Utiliser une redirection pour effectuer cela. (Attention au choix de l interface sur laquelle s effectue la redirection). VI - - Mettre à jour le serveur dns de la DMZ pour que le serveur soit accessible de l intérieur par Est-il possible de faire fonctionner la résolution DNS pour les utilisateurs extérieurs? Pourquoi? Mise en oeuvre d un tunnel VPN (pptp.) Ce type de VPN simple à mettre en œuvre est utilisé lorsqu un employé se trouve à l extérieur de son entreprise et désire être intégré au réseau local Le poste client doit pour cela Disposer d une connexion à Internet Créer un tunnel crypté au travers de l Internet Le Firewall doit : Authentifier le client Créer l autre extrémité du tunnel. A partir de là, le client accède au réseau interne comme s il était en local dans l entreprise. Firewall et administration de réseau 8/15

9 INTERNET OUT Tunnel crypté Client itinérant IN Réseau local d entreprise Adresse obtenue Par le client 1 - Configuration du Firewall Vérifier l existence sur le firewall d un objet utilisateur albert legrand, mot de passe toto autorisé à se connecter par vpn PPTP. Il faut créer un pool d adresses qui sera attribué par le firewall aux utilisateurs entrants. Créer trois objets poste_pptp1, poste_pptp2, poste_pptp3 d adresses IP respectives appartenant au réseau interne (mais hors de l étendue DHCP!). Puis créer un groupe de machine pool_pptp contenant les trois machines en question. Dans le menu configuration/vpn/pptp, activer le serveur pptp, préciser le pool d adresses. Nous requerrons en outre un chiffrement MPPE 128 bits (voir Annexe). Ne pas configurer de serveur DNS ou WINS pour le moment. C est tout pour le serveur. 2 - Configuration du client Côté client, utiliser le poste externe pour se connecter à notre réseau interne. Créer une nouvelle connexion à distance en utilisant l assistant - Connexion à un réseau d entreprise - Connexion au réseau privé virtuel - Nom de la société MABOITE - Ne pas établir de connexion initiale (dans quel cas devrions nous choisir cette option?) - Adresse IP de l hôte distant :adresse IP de l interface externe du Firewall Cliquer sur l icône ainsi créée, entrer le login et mot de passe de albert legrand et vérifier que la connectivité est obtenue. A l aide de la documentation, expliquer quels sont les ports à ouvrir sur le firewall pour autoriser une telle connexion depuis l extérieur et expliquer pourquoi nous n avons pas eu à le faire. A partir d ici, les choses se compliquent un peu car deux options sont possibles, a. Option 1 : Le tunnel n est utilisé que pour se connecter au réseau local. La passerelle doit rester le FAI habituel. Dans ce cas, le tunnel n est utilisé que pour se connecter au réseau local. La passerelle doit rester le FAI habituel. Si c est le cas, on doit toujours avoir accès à Internet depuis le poste client. o Vérifier la table de routage. o En cas d échec se déconnecter du tunnel pptp, puis modifier les propriétés de la connexion à distance : Dans l onglet Gestion du réseau/protocole/internet/propriétés/avancé. Décocher l option [utiliser la passerelle par défaut pour le réseau distant]. Se reconnecter au tunnel, voir les changements dans la table de routage. On doit maintenant avoir accès à Internet Firewall et administration de réseau 9/15

10 b. Option 2 L utilisateur est considéré comme un utilisateur interne au réseau local et il peut alors rebondir du réseau interne vers la DMZ ou Internet. Avantage : Permet d avoir accès depuis l intérieur aux autres brins présents sur le firewall, comme si on était à l intérieur du réseau, Inconvénient : Plus lourd, moins performant et plus compliqué. Mise en situation : Option 1 Option 2 INTERNET INTERNET Tunnel crypté Client itinérant Tunnel crypté Client itinérant Accès Réseau Interne out pptp out pptp in in Il faut résoudre les problèmes suivants : Le DNS devient serv_dns_intra, donc il faut reconfigurer le tunnel VPN/PPTP sur le firewall en serv_dns_intra. Ensuite, sa passerelle par défaut doit être le tunnel pptp, donc il faut réactiver l option [utiliser la passerelle par défaut pour le réseau distant] sur le client. - Faire les tests et examiner la nouvelle table de routage. Y a t il encore des problèmes? En fait l interface PPTP, n a pas accès à notre DNS car le Firewall l en empêche. - Ajouter la règle suivante : A partir d ici un ping devrait fonctionner. - Testons maintenant le WEB Le site fonctionne, effectuer une recherche, par exemple sur le mot clé TRUC. Essayer de joindre les sites ainsi trouvés. Tout va mal. Une étude plus approfondie va être nécessaire. Installer Ethereal et se mettre en écoute sur la carte réseau du client avant de procéder au test suivant : Essayer depuis une console du poste client les commandes suivantes : Ping l Ping l Ping l Ping l A l aide de la trace obtenue par l analyseur, fournir une explication. La raison du problème est subtile, comme les paquets à destination d Internet sont transmis à travers le tunnel, les paquets subissent une encapsulation supplémentaire qui occasionne des entêtes supplémentaires. Certains paquets, trop longs, sont fragmentés et perdus. Une solution consiste à demander au Firewall de négocier des connexions TCP avec des longueurs de paquets plus faibles. Dans configuration/asq/routage, tester une valeur de Vérifier alors que le WEB fonctionne correctement sur le client. Firewall et administration de réseau 10/15

11 VII - Interconnexion de sites par un tunnel VPN IPsec L objectif est maintenant d interconnecter les deux réseaux locaux privés des deux sites à travers un tunnel sécurisé. A travers ce tunnel, toutes les communications seront autorisées. Le mécanisme de sécurité mis en oeuvre s appelle IPsec. Le principe consiste comme pour PPTP à négocier des paramètres de sécurité, puis à construire un tunnel crypté. Cependant, IPsec possède beaucoup plus de possibilités et est par conséquent plus complexe. (Voir cours sécurité). Nous allons mettre en place l architecture suivante dans laquelle les deux réseaux conservent leur accès habituel à Internet mais devront passer par le tunnel pour communiquer ensemble directement : Nous construirons d abord un lien IPsec à clé prépartagées. Dans ce mode, un mot de passe secret connu des deux extrémités sera utilisé pour l authentification mutuelle / / /16 WAN / / / / /16 Plusieurs étapes sont nécessaires : Définir la clé prépartagée : IPsec se déroulant en deux phases, définir les paramètres de négociation de la phase 1 puis ceux de la phase 2 Modifier les règles de routage et de filtrage pour autoriser la circulation du flux IPsec. Créer préalablement les objets : Firewall_distant (adresse publique de l autre firewall) Réseau _distant (réseau interne distant) Puis configurer le VPN 1. Dans Configuration/VPN/clés prépartagées, Créer un clé de nom cleipsec de type adresse IP et d identité l adresse publique de l autre Firewall 2. Dans Slots/tunnelVPN, Créer un nouveau tunnel de nom TUNNEL de type dynamique à clés prépartagées. Le tunnel sera construit entre les deux interfaces externes du Firewall. Par conséquent : - Interface locale=firewall_out - Correspondant : Firewall_distant 3. Il faut maintenant définir les extrémités du trafic (les machines qui converseront à travers le tunnel) - Machine locale : Ici tout le réseau local Network_in - Machines distantes : Réseau_distant 4. Il faut ensuite définir les protocoles cryptographiques utilisés en phase 1 et 2. Cf. le cours pour plus d informations. 5. Dans Configuration/réseau/routage, ajouter une route statique redirigeant les flux vers le réseau distant via le Firewall distant à travers l interface IPsec. 6. Au niveau des règles de filtrage, il n y a rien à faire car le Firewall gère les règles de manière implicite. Vérifier cependant et noter les règles implicites nécessaires. Effectuer un ping vers le réseau distant. Normalement tout devrait fonctionner. Compte tenu du temps d établissement du tunnel, il est possible que le premier paquet soit perdu. Vérification de la SPD et des SA créées : Dans Firewall/Configuration de la sécurité, autoriser sles connexions en SSH avec accès par mot de passe. Puis à l aide du logiciel Putty (à télécharger sur Internet), se connecter au firewall en SSH en admin. Firewall et administration de réseau 11/15

12 Tester les commandes suivantes : Ifconfig Ifinfo ShowSAD ShowSPD Commenter les résultats obtenus. VIII - Messagerie Interne (Optionnel) Nous allons mettre en place une messagerie simplifiée au niveau de notre DMZ. Elle ne permettra pas de recevoir des mails depuis l extérieur car notre DNS ne le permet pas mais elle permettra l échange de messages sur l Intranet. Mise en place du serveur de mail sur serveurx.maboite.tp Gérer le rôle serveur de messagerie o Pour la méthode d authentification, on choisira «comptes Windows locaux, exiger l authentification par mot de passe sécurisé» («SPA» et toujours créer un utilisateur associé» ) o Le domaine géré sera maboite.tp Créer deux boîtes mails (alegrand, mot de passe monmail) et bdupond, mot de passe monmail. Configuration du client sur le poste postex. Configurer Outlook express avec deux identités distinctes (alegrand et bdupond). Mettre en place la sécurisation. Tester l envoi d un mail de bdupond à abeta. Firewall et administration de réseau 12/15

13 IX - Annexe : 1 - Les translations d adresse. L utilisation de plages d adresses privées est un élément de souplesse et de sécurité dans la conception du réseau d entreprise. Mais il est nécessaire de convertir les adresses privées en adresses publiques ou réciproquement pour permettre aux machines des réseaux privés de communiquer avec l extérieur. On parle alors de translation d adresse. Suivant le contexte, différents type de translation d adresse devront être utilisés. Notons que même si les fonctions proposées sont sensiblement les mêmes chez les différents constructeurs, la terminologie utilisée peut varier. Nous utilisons ici la terminologie Netasq. Translation d adresse unidirectionnelle. Ce type de translation est utilisé pour permettre à l ensemble des machines d un réseau d avoir accès à INTERNET IP Publique L ensemble des machines du réseau local utilise l adresse IP publique comme adresse virtuelle. Les connections se font sur l initiative d une machine interne. Aucune machine du LAN ne peut être contactée depuis l extérieur. Original Adresse IP sur le Réseau interne Translaté Adresse IP publique Translation d adresse bidirectionnelle : La translation d adresse bidirectionnelle permet de convertir une adresse en une autre lors du passage par le Firewall quelle que soit la provenance de la connexion. La translation bidirectionnelle est généralement utilisée pour donner accès depuis l extérieur à un serveur situé sur le réseau privé de l entreprise. IP Publique IP serveur (privée) Original Adresse IP publique Translaté Adresse IP réelle du serveur Redirection de port La redirection de port permet de rediriger un couple (IP, port) vers un autre couple (IP, port). Ainsi différents types de requêtes arrivant vers une adresse publique (WEB, Mail etc.) pourront être redirigées vers des serveurs distincts et des ports librement choisis par l administrateur. IP Publique Port a,b,c IP 1 Port a IP 2 Port b IP 3 Port C Firewall et administration de réseau 13/15

14 2 - Commentaires sur PPTP : Generic Routing Encapsulation GRE (Rfc 2784) Le tunnel GRE permet d encapsuler n importe quel protocole réseau (de type couche 3) sur de l IP. En pratique, il est souvent utilisé pour fabriquer des tunnels sur des réseaux IP. N Drapeaux Protocole Encapsulé 0x800 :IP 0x880B : PPP Longueur DATA N Session Numéro de séquence Numéro Acquittement... Entête IP Entête GRE Protocole encapsulé Il peut être utilisé pour mettre en relation des réseaux munis de protocoles non routables (Netbeui), des réseaux privés, des réseaux autres qu Ipv4 (on peut relier par exemple deux réseaux IPV6 à travers un tunnel GRE). Utilisé tel quel, GRE ne permet ni authentification des extrémités ni cryptage des données. Dans l exemple du TP, le protocole porteur est IP, mais d autres protocoles peuvent se rencontrer, en particulier PPP dans le cas d une liaison par modem. Il ne faut pas confondre cette liaison avec le transport PPP utilisé à l intérieur du tunnel. X - Tunnel PPTP (Point to Point Tunnel Protocol) RFC 2637 PPTP est un protocole qui permet de construire des tunnels à l aide de sessions PPP au-dessus d un tunnel GRE. Le tunnel GRE étendu pour le transport des datagrammes PPP Une session TCP permet de contrôler le tunnel La connexion TCP n'est pas sécurisée, le tunnel GRE non plus. Deux protocoles gèrent respectivement l authentification et le cryptage : MS/CHAP et MPPE. Le premier est une extension du protocole CHAP (Challenge/Handshake Authentication Protocol) déjà largement utilisé pour authentifier les connexions PPP entre les clients et leur ISP. Ce protocole permet de ne pas envoyer de noms d'utilisateurs et mots de passe en clair sur la liaison PPP. Microsoft a décidé d'ajouter sa propre extension. On différenciera donc le protocole CHAP classique du protocole MS/CHAP. En ce qui concerne le chiffrement de la connexion, le protocole PPP n'offrait aucune facilité de ce type. MPPE ou Microsoft Point-to-Point Encryption a donc vu le jour. Celui-ci utilise un algorithme de chiffrement RC4 en 40 ou 128 bits. Firewall et administration de réseau 14/15

15 Réseau de transport Ouverture d une session TCP sur le serveur PPTP 1723 Négociation des paramètres du tunnel PPTP Ce liaison de contrôle sera maintenue durant toute l existence du tunnel PPP Link Control : Négociation de la liaison PPP, méthode d authentification et de compression Ex MsCHAP V2 Tunnel en mode datagramme challenge Reponse=F(challenge, passwd) OK Authentification CHAP (envoi d un challenge=nombre aléatoire) Réponse (challenge condensé par le mot de passe) Acceptation du serveur Négociation des paramètres IP Négociation du mode de compression et ou cryptage DATA PPP Link Control : Fin de session PPP 1723 Fermeture du tunnel PPTP Firewall et administration de réseau 15/15

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Installation VPN Windows 2003 serveur

Installation VPN Windows 2003 serveur Installation VPN Windows 2003 serveur 1. Utilité d'un VPN au sein de Tissea SARL 1.1. Présentation Un réseau privé virtuel (VPN) est un moyen pour se connecter à un réseau privé par le biais d'un réseau

Plus en détail

ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D.

ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D. 2013 ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D. Table des matières 1 Rôles... 3 2 Organisation... 3 3 TP1 : Configurer les règles de pare-feu... 6 4 Le proxy cache... 7 5 Demander

Plus en détail

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications Tunnels et VPN 20/02/2008 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence : 9016809-01

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence : 9016809-01 Logiciel de connexion sécurisée M2Me_Secure NOTICE D'UTILISATION Document référence : 9016809-01 Le logiciel M2Me_Secure est édité par ETIC TELECOMMUNICATIONS 13 Chemin du vieux chêne 38240 MEYLAN FRANCE

Plus en détail

PROCEDURE DE MISE EN SERVICE D UN SERVEUR RAS-E OU IPL-E ET D UN PC DE TELEMAINTENANCE POUR LA CONNEXION AU SERVICE M2ME_CONNECT

PROCEDURE DE MISE EN SERVICE D UN SERVEUR RAS-E OU IPL-E ET D UN PC DE TELEMAINTENANCE POUR LA CONNEXION AU SERVICE M2ME_CONNECT PROCEDURE DE MISE EN SERVICE D UN SERVEUR RAS-E OU IPL-E ET D UN PC DE TELEMAINTENANCE POUR LA CONNEXION AU SERVICE M2ME_CONNECT Document référence : 9018209-02 Version 2 Le service M2Me_Connect est fourni

Plus en détail

On peut implémenter IPSec sur des liaisons VPN Internet ou Intranet.

On peut implémenter IPSec sur des liaisons VPN Internet ou Intranet. IPSEC Le protocole est utilisé pour sécuriser et fiabiliser les liaisons des entreprises utilisant des protocoles Internet. On peut implémenter IPSec sur des liaisons VPN Internet ou Intranet. L objectif

Plus en détail

LE RPV DE NIVEAU RÉSEAU AVEC TINC

LE RPV DE NIVEAU RÉSEAU AVEC TINC LE RPV DE NIVEAU RÉSEAU AVEC TINC L entreprise Ilog est une petite entreprise de services informatiques située à La Défense. Les chefs de projet de l entreprise sont souvent en déplacement à travers toute

Plus en détail

Serveur AD, DNS et DHCP sous Windows Serveur 2008 R2 et VMWare Workstation 10

Serveur AD, DNS et DHCP sous Windows Serveur 2008 R2 et VMWare Workstation 10 Serveur AD, DNS et DHCP sous Windows Serveur 2008 R2 et VMWare Workstation 10 Sommaire 1. Contexte... 2 2. Prérequis... 2 3. Configuration du réseau dans VMWare Workstation 10... 2 4. Windows Server 2008

Plus en détail

Table des matières 1 Accès distant sur Windows 2008 Server...2 1.1 Introduction...2

Table des matières 1 Accès distant sur Windows 2008 Server...2 1.1 Introduction...2 Table des matières 1 Accès distant sur Windows 2008 Server...2 1.1 Introduction...2 1.2 Accès distant (dial-in)...2 1.3 VPN...3 1.4 Authentification...4 1.5 Configuration d un réseau privé virtuel (vpn)...6

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

Installation de serveurs DNS, WINS et DHCP sous Windows Server 2003

Installation de serveurs DNS, WINS et DHCP sous Windows Server 2003 Installation de serveurs DNS, WINS et DHCP sous Windows Server 2003 Contexte : Dans le cadre de l optimisation de l administration du réseau, il est demandé de simplifier et d optimiser celle-ci. Objectifs

Plus en détail

FICHE n 1 : Configuration des paramètres IP sous Linux SUSE 11.2

FICHE n 1 : Configuration des paramètres IP sous Linux SUSE 11.2 FICHE n 1 : Configuration des paramètres IP sous Linux SUSE 11.2 Cliquer sur «Ordinateur» puis «Yast», pour ouvrir le centre de contrôle YaST du serveur. Cliquer sur «Périphérique réseau» puis «Paramètres

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Windows 2000 Server. TheGreenBow IPSec VPN Client Guide de Configuration. http://www.thegreenbow.com support@thegreenbow.com

Windows 2000 Server. TheGreenBow IPSec VPN Client Guide de Configuration. http://www.thegreenbow.com support@thegreenbow.com TheGreenBow IPSec VPN Client Guide de Configuration Windows 2000 Server WebSite : Contact : http://www.thegreenbow.com support@thegreenbow.com IPSec VPN Router Configuration Property of TheGreenBow Sistech

Plus en détail

Travaux pratiques - Utilisation de Wireshark pour voir le trafic réseau

Travaux pratiques - Utilisation de Wireshark pour voir le trafic réseau Travaux pratiques - Utilisation de Wireshark pour voir le trafic réseau Topologie Objectifs 1ère partie : Télécharger et installer Wireshark (facultatif) 2e partie : Capturer et analyser les données ICMP

Plus en détail

TCP/IP, NAT/PAT et Firewall

TCP/IP, NAT/PAT et Firewall Année 2011-2012 Réseaux 2 TCP/IP, NAT/PAT et Firewall Nicolas Baudru & Nicolas Durand 2e année IRM ESIL Attention! Vous devez rendre pour chaque exercice un fichier.xml correspondant à votre simulation.

Plus en détail

Configuration de la liaison VPN

Configuration de la liaison VPN Configuration de la liaison VPN Sommaire 1. Présentation du besoin...2 2. Présentation du VPN...2 3. Interconnexion des réseaux d Armentières et Béthune : «Mode Tunnel»...3 3.1. Méthode et matériels utilisés...3

Plus en détail

Guide Utilisateur Rapide

Guide Utilisateur Rapide Guide Utilisateur Rapide Interface Graphique Opios (Version 1) Auteurs : Hozzy TCHIBINDA 11 Avril 2013 Version 1.0 www.openip.fr Table des matières 1 Présentation 2 1.1 Présentation de l Opios....................................

Plus en détail

MISE EN PLACE DU FIREWALL SHOREWALL

MISE EN PLACE DU FIREWALL SHOREWALL MISE EN PLACE DU FIREWALL SHOREWALL I INTRODUCTION Administrateur réseau dans une petite entreprise, vous devez, suite à la mise en place d une ligne ADSL, offrir l accès à l internet à tous les utilisateurs

Plus en détail

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand Active Directory sous Windows Server SAHIN Ibrahim BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand Sommaire I - Introduction... 3 1) Systèmes d exploitation utilisés... 3 2) Objectifs...

Plus en détail

Personnaliser le serveur WHS 2011

Personnaliser le serveur WHS 2011 Chapitre 17 Personnaliser le serveur WHS 2011 Windows Home Server 2011 peut être personnalisé en ajoutant différentes fonctionnalités au logiciel. Comme pour Windows Server 2008 R2 dont Windows Home Server

Plus en détail

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+ Guide de formation avec exercices pratiques Configuration et dépannage de PC Préparation à la certification A+ Sophie Lange Troisième édition : couvre Windows 2000, Windows XP et Windows Vista Les Guides

Plus en détail

IIS (Internet Information Services) est le serveur Web de Microsoft. Il assure les mêmes fonctions qu'un serveur Web tel qu Apache.

IIS (Internet Information Services) est le serveur Web de Microsoft. Il assure les mêmes fonctions qu'un serveur Web tel qu Apache. Projet Serveur Web I. Contexte II. Définitions On appelle serveur Web aussi bien le matériel informatique que le logiciel, qui joue le rôle de serveur informatique sur un réseau local ou sur le World Wide

Plus en détail

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau : DHCP TP Le protocole DHCP (Dynamic Host Configuration Protocol) est un standard TCP/IP conçu pour simplifier la gestion de la configuration d'ip hôte. DHCP permet d'utiliser des serveurs pour affecter

Plus en détail

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt Procédure pas à pas de découverte de l offre Service Cloud Cloudwatt Manuel Utilisateur 03/07/2014 Cloudwatt - Reproduction et communication sont interdites sans autorisation 1/45 Contenu 1. Introduction...

Plus en détail

IHM OpIOS. Auteur : Hozzy TCHIBINDA. 08 Mars 2014 Version 1.2. Quelques fonctionnalités utiles. www.openip.fr

IHM OpIOS. Auteur : Hozzy TCHIBINDA. 08 Mars 2014 Version 1.2. Quelques fonctionnalités utiles. www.openip.fr IHM OpIOS Quelques fonctionnalités utiles Auteur : Hozzy TCHIBINDA 08 Mars 2014 Version 1.2 www.openip.fr Table des matières 1 Présentation 2 2 Personnalisation de l OpIOS 3 2.1 Configuration des utilisateurs.................................

Plus en détail

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq Configuration d un Client Mobile IPSec «TheGreenBow» avec un Firewall Netasq Le but de ce document est de proposer un mode opératoire pour permettre à un utilisateur nomade de se connecter à son réseau

Plus en détail

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ LAB : Schéma Avertissement : l exemple de configuration ne constitue pas un cas réel et ne représente pas une architecture la plus sécurisée. Certains choix ne sont pas à prescrire dans un cas réel mais

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

ETUDE DU PROTOCOLE TCP

ETUDE DU PROTOCOLE TCP TP Analyse de protocole ETUDE DU PROTOCOLE TCP Equipe Réseaux - 1 - 1. Travail préparatoire. Ouvrez une fenetre DOS et récupérer les informations suivantes : l adresse ip de votre machine? le masque de

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

Routeur à large bande sans fil Sweex + commutateur 4 ports

Routeur à large bande sans fil Sweex + commutateur 4 ports Routeur à large bande sans fil Sweex + commutateur 4 ports Gestion Gestion basée sur le Web Gestion à distance Possibilités d application Créez un réseau pour plusieurs utilisateurs et partagez l accès

Plus en détail

Déploiement d IPSec à l aide de stratégies et de règles de sécurité de connexion

Déploiement d IPSec à l aide de stratégies et de règles de sécurité de connexion Déploiement d IPSec à l aide de stratégies et de règles de sécurité de connexion Sommaire IPSec sous les réseaux Windows 2008... 2 Exercice 1 : Installation des services Telnet... 4 Exercice 2 : Création

Plus en détail

Guide d Utilisation Box Ultra Haut Débit

Guide d Utilisation Box Ultra Haut Débit Guide d Utilisation Box Ultra Haut Débit www.monaco-telecom.mc Sommaire 1. Accès à l interface de gestion de la box UHD 3 2. L interface de la box UHD 3 2.1. Onglet Etat 4 Partie Logiciel 4 Partie Connexion

Plus en détail

Installation d'ipcop

Installation d'ipcop Installation d'ipcop 1. Présentation d IPCOP : Qu'est ce que IPCOP? IPCop est un projet Open Source basé sur une distribution Linux optimisée destinée à assurer la sécurité d un réseau (local ou internet)

Plus en détail

LE RPV DE NIVEAU RÉSEAU AVEC TINC

LE RPV DE NIVEAU RÉSEAU AVEC TINC LE RPV DE NIVEAU RÉSEAU AVEC TINC L entreprise Ilog est une petite entreprise de services informatiques située à La Défense. Les chefs de projet de l entreprise sont souvent en déplacement à travers toute

Plus en détail

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Fiche technique AppliDis Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Fiche IS00198 Version document : 4.01 Diffusion limitée : Systancia, membres du programme Partenaires

Plus en détail

Préparation à l installation d Active Directory

Préparation à l installation d Active Directory Laboratoire 03 Étape 1 : Installation d Active Directory et du service DNS Noter que vous ne pourrez pas réaliser ce laboratoire sans avoir fait le précédent laboratoire. Avant de commencer, le professeur

Plus en détail

Ch4 Interconnexion des postes dans un Lan Ethernet : protocoles des couches 3 à 7 du modèle OSI Dernière maj : lundi 2 avril 2007

Ch4 Interconnexion des postes dans un Lan Ethernet : protocoles des couches 3 à 7 du modèle OSI Dernière maj : lundi 2 avril 2007 Ch4 Interconnexion des postes dans un Lan Ethernet : protocoles des couches 3 à 7 du modèle OSI Dernière maj : lundi 2 avril 2007 I. RAPPEL : ADRESSAGE PHYSIQUE : (OSI 2)... 1 A. L ADRESSAGE DANS UN RESEAU

Plus en détail

Configuration d un serveur VPN sous Windows Server 2008 avec un client Windows 7

Configuration d un serveur VPN sous Windows Server 2008 avec un client Windows 7 Configuration d un serveur VPN sous Windows Server 2008 avec un client Windows 7 Installation et configuration du serveur VPN 1. Dans le gestionnaire de serveur, ajouter le rôle : Service de Stratégie

Plus en détail

Les Réseaux Informatiques Réseau Poste à Poste sous XP

Les Réseaux Informatiques Réseau Poste à Poste sous XP Les Réseaux Informatiques Réseau Poste à Poste sous XP Objectifs : Réaliser le câblage de deux postes sous windows XP afin de les mettre en réseau. Configurer chacun des postes (Groupe de travail et @IP).

Plus en détail

SMC Barricade Routers

SMC Barricade Routers SMC Barricade Routers Guide utilisateur SMC7004BR V1.0 Félicitations pour votre achat du Barricade TM de SMC. Le Barricade de SMC est un routeur à large bande conçu pour le partage en toute sécurité de

Plus en détail

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

SUJET DES FINALES NATIONALES Sujet jour 1 version 1 METIER 39 Administrateur Systèmes et Réseaux Informatiques SUJET DES FINALES NATIONALES Sujet jour 1 version 1 Planning de la journée : 8h00 8h15 : Lecture du sujet 8h15 8h30 : Questions / Réponses 8h30

Plus en détail

TP01: Installation de Windows Server 2012

TP01: Installation de Windows Server 2012 TP0: Installation de Windows Server 202 Rappel : nous utiliserons le terme «WS202» pour désigner Windows Server 202et le terme «VM» pour Machine Virtuelle. - Installation d une VM Windows Server 202 de

Plus en détail

Réseaux CPL par la pratique

Réseaux CPL par la pratique Réseaux CPL par la pratique X a v i e r C a r c e l l e A v e c l a c o n t r i b u t i o n d e D a v o r M a l e s e t G u y P u j o l l e, e t l a c o l l a b o r a t i o n d e O l i v i e r S a l v

Plus en détail

SÉCURITÉ ET ACCÈS DISTANT UTILISATION DU SIMULATEUR RÉSEAU

SÉCURITÉ ET ACCÈS DISTANT UTILISATION DU SIMULATEUR RÉSEAU SÉCURITÉ ET ACCÈS DISTANT UTILISATION DU SIMULATEUR RÉSEAU I LES OUTILS NÉCESSAIRES Pour réaliser ce TP, vous devez installer le simulateur réseau de Pierre Loisel (version transmise). II LE CONTEXTE D

Plus en détail

N 39 Administration des Systèmes et des Réseaux Informatiques SUJET

N 39 Administration des Systèmes et des Réseaux Informatiques SUJET Administration des Systèmes et des Réseaux Informatiques SUJET Sélections régionales 2012 SOMMAIRE A. Explication du sujet... 3 B. Matériaux et consommables... 9 D. Barème de correction... 10 E. Annexes...

Plus en détail

Eye-box 4.0 : Guide d installation rapide

Eye-box 4.0 : Guide d installation rapide Eye-box 4.0 : Guide d installation rapide INTRODUCTION... 2 CONSEILS ET PRINCIPES GENERAUX... 2 INSTALLATION D UNE EYE-BOX EN 8 ETAPES... 2 ETAPE 1 : MISE EN ROUTE ET CONNEXION AU RESEAU LAN... 2 ETAPE

Plus en détail

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N 2011 SOMMAIRE Introduction aux Routeurs de Services Unifiés Technologie D-Link Green USB Share Center Balance de charge et tolérance de panne Interface

Plus en détail

Configuration de Windows Server 2012

Configuration de Windows Server 2012 Configuration de Windows Server 2012 Active Directory DNS NPS Réalisé par M.AUDOUY Gauthier M2L SOMMAIRE 1. Active Directory 1 I. Installation 1 2. Serveur DNS 5 II. Installation 5 I. Configuration 8 3.

Plus en détail

Utilisation des ressources informatiques de l N7 à distance

Utilisation des ressources informatiques de l N7 à distance Utilisation des ressources informatiques de l N7 à distance Romain Pignard - Net7/INP-Net 27 mars 2010 Résumé Ce document non officiel explique comment utiliser les ressources informatiques de l école

Plus en détail

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE SIN STI2D - Système d'information et Numérique TD TP Cours Synthèse Devoir Evaluation Projet Document ressource TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE 1 MISE EN SITUATION Le plan réseau

Plus en détail

Chapitre 1 Comment se connecter à Internet... 13

Chapitre 1 Comment se connecter à Internet... 13 Chapitre 1 Comment se connecter à Internet... 13 1.1 Adresse IP permanente ou temporaire... 16 1.2 Débit d une connexion... 16 1.3 Utilisation occasionnelle (RTC, Numéris)... 20 RTC... 20 RNIS... 24 1.4

Plus en détail

Configurer ma Livebox Pro pour utiliser un serveur VPN

Configurer ma Livebox Pro pour utiliser un serveur VPN Solution à la mise en place d un vpn Configurer ma Livebox Pro pour utiliser un serveur VPN Introduction : Le VPN, de l'anglais Virtual Private Network, est une technologie de Réseau Privé Virtuel. Elle

Plus en détail

1. Mise en œuvre du Cegid Web Access Server en https

1. Mise en œuvre du Cegid Web Access Server en https 1. Mise en œuvre du Cegid Web Access Server en https Principe d usage La mise en œuvre du mode https sur un serveur Web Access implique : De disposer d un certificat pour le nom d hôte configuré sur le

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Licence MIASS. TP sur IP

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Licence MIASS. TP sur IP Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Licence MIASS TP sur IP L objectif de ce second TP est de vous faire comprendre : l adressage IP, la fragmentation IP le fonctionnement

Plus en détail

Le serveur SLIS - Utilisation de base

Le serveur SLIS - Utilisation de base Le serveur SLIS - Utilisation de base Le SLIS est un serveur de communication permettant entre autres de : Créer des adresses électroniques (des comptes de messageries)

Plus en détail

Documentations Support Technique

Documentations Support Technique F1UP0001 Configuration du Serveur d impression avec une borne wifi non-belkin sans utiliser le logiciel de configuration automatique. L adresse par défaut du serveur d impression est 192.168.2.253 La liste

Plus en détail

Base de connaissances

Base de connaissances Base de connaissances 1/11 Sommaire Sommaire... 2 Principe de fonctionnement... 3 Configurer Serv-U avec un routeur/pare-feu... 4 Le client FTP ne voit pas les listes de répertoires ou n arrive pas à se

Plus en détail

Administration réseau Introduction

Administration réseau Introduction Administration réseau Introduction A. Guermouche A. Guermouche Cours 1 : Introduction 1 Plan 1. Introduction Organisation Contenu 2. Quelques Rappels : Internet et le modèle TCP/ Visage de l Internet Le

Plus en détail

Mise en route d'un Routeur/Pare-Feu

Mise en route d'un Routeur/Pare-Feu Mise en route d'un Routeur/Pare-Feu Auteur : Mohamed DAOUES Classification : T.P Numéro de Version : 1.0 Date de la création : 30.05.2011 2 Suivi des Versions Version : Date : Nature des modifications

Plus en détail

Mise en place Active Directory / DHCP / DNS

Mise en place Active Directory / DHCP / DNS Mise en place Active Directory / DHCP / DNS Guillaume Genteuil Période : 2014 Contexte : L entreprise Diamond Info localisé en Martinique possède une cinquantaine de salariés. Basé sur une infrastructure

Plus en détail

A5.2.3, Repérage des compléments de formation ou d'autoformation

A5.2.3, Repérage des compléments de formation ou d'autoformation A5.2.3, Repérage des compléments de formation ou d'autoformation... Vincent LAINE Eliott DELAUNEY 26/11/2014 TABLE DES MATIERES ETUDE PREALABLE 3 L'AVANT-PROPOS : 3 ETUDE DES BESOINS DE GSB 3 SOUTION PF

Plus en détail

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public.

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. TP 8.1 ÉTUDE D UN FIREWALL OBJECTIFS Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. PRÉ-REQUIS Système d exploitation

Plus en détail

Guide de transfert. Courriel Affaires

Guide de transfert. Courriel Affaires Guide de transfert Courriel Affaires Juin 2013 Table des matières Introduction 3 Transfert par un administrateur Voici ce que vous devez fournir avant de commencer 1. Importation de Fichiers PST 2. Exportation

Plus en détail

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. 2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation

Plus en détail

SOMMAIRE IMAP. Chapitre 1 IMAP 2. Chapitre 2 IMAP/SSL 12

SOMMAIRE IMAP. Chapitre 1 IMAP 2. Chapitre 2 IMAP/SSL 12 Exchange 2003 / SSL Page 1 sur 30 SOMMAIRE Chapitre 1 2 1.1 Mise en place sur le serveur 2 1.2 Test pour un poste en interne 6 1.3 Test pour un poste nomade 8 Chapitre 2 /SSL 12 2.1 Mise en place sur le

Plus en détail

TP 6 : Wifi Sécurité

TP 6 : Wifi Sécurité TP 6 : Wifi Sécurité Ce TP fait appel à plusieurs outils logiciels et documents, la plupart d'entre eux sont déjà installés avec l'icône sur le bureau. Dans le cas contraire, vérifiez que le programme

Plus en détail

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : 172.16.0.253 et un masque 255.255.0.0

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : 172.16.0.253 et un masque 255.255.0.0 RES_TP3 Objectifs : Les réseaux informatiques : Client - Serveur Utilisation de serveurs DHCP HTTP DNS FTP Configuration basique d un routeur Utilisation du simulateur CISCO PACKET TRACER G.COLIN Architecture

Plus en détail

Manuel d administration

Manuel d administration Gestion et sécurité de l accueil visiteurs Manuel d administration Version 1.35 Sommaire 1- Introduction... 3 2- L outil d administration WiSecure... 4 2.1 Lancement de l interface d administration...

Plus en détail

Internet. PC / Réseau

Internet. PC / Réseau Internet PC / Réseau Objectif Cette présentation reprend les notions de base : Objectif, environnement de l Internet Connexion, fournisseurs d accès Services Web, consultation, protocoles Modèle en couches,

Plus en détail

TP 9.3.5 Configuration des clients DHCP

TP 9.3.5 Configuration des clients DHCP TP 9.3.5 Configuration des clients DHCP Objectif L'objectif de ce TP est de présenter le protocole DHCP (Dynamic Host Configuration Protocol) et le processus de configuration d'un ordinateur d'un réseau

Plus en détail

Guide de configuration. Logiciel de courriel

Guide de configuration. Logiciel de courriel Guide de configuration Logiciel de courriel Août 2013 Table des matières 1. Logiciels de courriel Mac 1.1 Télécharger, installer et mettre à niveau Microsoft Outlook (Utilisateurs du Courriel Affaires

Plus en détail

TP sur l adressage dynamique

TP sur l adressage dynamique TP sur l adressage dynamique 1) Préparation du matériel Ce TP nécessite l utilisation de routeurs. Ne disposant pas de ce type de matériel spécifique, nous allons donc utiliser des machines virtuelles

Plus en détail

Windows Serveur 2012 : DHCP. Installation et mise en place

Windows Serveur 2012 : DHCP. Installation et mise en place Windows Serveur 2012 : DHCP Installation et mise en place Joryck LEYES 2014 DHCP : Installation et mise en place sur Windows Server 2012 Le rôle, les avantages, les desavantages et les contraintes du DHCP

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Travaux pratiques Utilisation de Wireshark pour examiner une capture DNS UDP

Travaux pratiques Utilisation de Wireshark pour examiner une capture DNS UDP Travaux pratiques Utilisation de Wireshark pour examiner une capture DNS UDP Topologie Objectifs 1re partie : Enregistrer les informations de configuration IP d un ordinateur 2e partie : Utiliser Wireshark

Plus en détail

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson TER Réseau : Routeur Linux 2 Responsable : Anthony Busson Exercice 1 : Une entreprise veut installer un petit réseau. Elle dispose d un routeur sur Linux. Il doit servir à interconnecter deux réseaux locaux

Plus en détail

Manuel du logiciel PrestaTest.

Manuel du logiciel PrestaTest. Manuel du logiciel. Ce document décrit les différents tests que permet le logiciel, il liste également les informations nécessaires à chacun d entre eux. Table des matières Prérequis de PrestaConnect :...2

Plus en détail

Mise en place de la G4100 pack avec Livebox

Mise en place de la G4100 pack avec Livebox Mise en place de la G4100 pack avec Livebox Par défaut la Livebox a une adresse LAN 192.168.1.1 comme la G4100. Afin de pouvoir sortir sur internet vous devez obligatoirement changer un des deux sous-réseaux.

Plus en détail

Travaux Pratiques. Octobre 2015 CESI

Travaux Pratiques. Octobre 2015 CESI Travaux Pratiques Octobre 2015 CESI 1. Adressage dans Internet 1.1 Identification d une machine Une machine (appelée aussi hôte ou host) est identifiée dans l Internet par son adresse. L adresse Internet

Plus en détail

Utiliser le portail d accès distant Pour les personnels de l université LYON1

Utiliser le portail d accès distant Pour les personnels de l université LYON1 Utiliser le portail d accès distant Pour les personnels de l université LYON1 Sommaire 0- authentification sur le portail d accès distant -------------------------------------------- page-2 1-page d accueil

Plus en détail

Configurer l adressage des serveurs et des clients

Configurer l adressage des serveurs et des clients Configurer l adressage des serveurs et des clients Adresses IP statiques et dynamiques... 156 L adressage manuel... 157 L adressage automatique... 159 Renouvellement d une adresse IP... 161 Configuration

Plus en détail

1. Installation modem routeur sans fil... 2. 1.1 Équipements... 2. sans fil Gigaset... 2. 1.3 Configuration du protocole TCP/IP...

1. Installation modem routeur sans fil... 2. 1.1 Équipements... 2. sans fil Gigaset... 2. 1.3 Configuration du protocole TCP/IP... Table des matières 1. Installation modem routeur sans fil... 2 1.1 Équipements... 2 1.2 Connexion du modem routeur sans fil Gigaset... 2 1.3 Configuration du protocole TCP/IP... 3 1.4 Configuration de

Plus en détail

Serveurs DHCP et DNS

Serveurs DHCP et DNS T.P. n 2 Windows Server 2008 R2 Etudiant Serveurs DHCP et DNS Passerelle et routage Groupe Introduction Vous aller au cours de ce TP configurer un domaine (réseau local) «agence-i.c309.local» sous le simulateur

Plus en détail

Atelier 2. Étape 1 : Installation de Active Directory, installation du service DNS et installation du service WINS Durée approximative : 40 minutes

Atelier 2. Étape 1 : Installation de Active Directory, installation du service DNS et installation du service WINS Durée approximative : 40 minutes Atelier 2 Installation d Active Directory Installation du service DNS Installation du Service WINS Création d'un compte d'ordinateur Jonction d'un ordinateur à un domaine Création d usagers. Étape 1 :

Plus en détail

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+ Guide de formation avec exercices pratiques Configuration et dépannage de PC Préparation à la certification A+ Sophie Lange Troisième édition : couvre Windows 2000, Windows XP et Windows Vista Les Guides

Plus en détail

ROUTEUR HAUT DEBIT SANS FIL 11N 300MBPS

ROUTEUR HAUT DEBIT SANS FIL 11N 300MBPS ROUTEUR HAUT DEBIT SANS FIL 11N 300MBPS Guide d installation rapide DN-70591 INTRODUCTION DN-70591 est un dispositif combiné filaire/sans fil de connexion réseau conçu spécifiquement pour les petites entreprises,

Plus en détail

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ 68503 GUEBWILLER Cedex. Fax.: 03 89 62 13 31 Tel.: 08.92.56.68.69 support@telmatweb.

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ 68503 GUEBWILLER Cedex. Fax.: 03 89 62 13 31 Tel.: 08.92.56.68.69 support@telmatweb. Educ@Box Configuration de base 6, Rue de l'industrie BP130 SOULTZ 68503 GUEBWILLER Cedex Fax.: 03 89 62 13 31 Tel.: 08.92.56.68.69 support@telmatweb.com Page: 1 Sommaire 1 CONTENU DE VOTRE PACKAGE EDUC@BOX...

Plus en détail

Guide d installation TEW-435BRM

Guide d installation TEW-435BRM 1- Contenu de la boite Guide d installation TEW-435BRM Modem/Routeur adsl/câble TEW-435BRM (a) Câble Ethernet RJ45 (relie votre ordinateur au modem/routeur) (b) Câble RJ11 (relie votre modem/routeur à

Plus en détail

C. Configuration des services de transport

C. Configuration des services de transport Page 282 Chapitre 8 Dans la version 2013 d'exchange, les dossiers publics sont devenus un type de boîtes aux lettres et utilisent les mêmes mécanismes de routage que les e-mails. - Le message est destiné

Plus en détail

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5 L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5. Préparation à l installation de MS Proxy server Ce logiciel

Plus en détail

Installation Windows 2000 Server

Installation Windows 2000 Server Installation Windows 2000 Server 1. Objectif Ce document donne une démarche pour l installation d un serveur Windows 2000, d un serveur DNS et d un contrôleur de domaine (DC), en regard de certains éléments

Plus en détail

3.5. Choisir la connexion Wi-Fi

3.5. Choisir la connexion Wi-Fi Choisir la connexion Wi-Fi Chapitre 3 Configurer la connexion Internet Si vous êtes passé par le kit d installation de Wanadoo, votre connexion à Internet devrait être active. Néanmoins, quelques réglages

Plus en détail

Travaux pratiques 9.1.1 Organisation des objectifs CCENT par couche du modèle OSI

Travaux pratiques 9.1.1 Organisation des objectifs CCENT par couche du modèle OSI Travaux pratiques 9.1.1 Organisation des objectifs CCENT par couche du modèle OSI Objectifs Organiser les objectifs CCENT en fonction de la ou des couches auxquelles ils s adressent Contexte / Préparation

Plus en détail

TP RPV de niveau application EXTRANET

TP RPV de niveau application EXTRANET TP RPV de niveau application EXTRANET L entreprise MAROQ a décidé d ouvrir une partie de son SI (Système d information) à ses partenaires. Cette ouverture s effectue par la création d un site web privé

Plus en détail

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière

Plus en détail