MIR Intégration. Réponse à appel d offre Intégration Systèmes et Réseaux

Transcription

1 Groupe CFG MIR Intégration Réponse à appel d offre Intégration Systèmes et Réseaux Dans le cadre de l appel d offre émit par la société Aristote pour le renouvellement complet de son système d information, nous vous proposons au travers de ce rapport d étude, une analyse complète visant à répondre à tous les besoins décris. Mais nous tâcherons également à faire valoir notre expertise en apportant une réelle plu value visant à accroitre toujours plus votre productivité et votre compétitivité. Teneur Jérôme - Gayral Bastien - Promé Rudy - Desseaux Vincent - Hamon Arnaud - Delahaie Jérôme Introduction (Jérôme TENEUR) 1

2 PERSONNES MORALES Elèves Apprentis : [Promotion ERE P43] Ecole d accueil : Jérôme TENEUR (Gérant de la filiale MediaNetwork) Delahaie Jérôme (Chef de Projet Intégration) Gayral Bastien Promé Rudy Desseaux Vincent Hamon Arnaud mir_g2@googlegroups.com CFA AFTI Domaine de Corbeville RD BP ORSAY Cedex PERSONNES FICTIVES Maison mère Filiale du groupe : Groupe CFG Domaine de Corbeville RD BP ORSAY Cedex MediaNetwork Domaine de Corbeville RD BP ORSAY Cedex Client final : Aristote Domaine de Corbeville RD BP ORSAY Cedex NOTE DE CONFIDENTIALITE Certaines données et informations de ce rapport d étude, qu elles soient explicites, sous-entendus ou masques, sont strictement confidentielles. Dès lors, toute reproduction, sous quelque forme que ce soit, est formellement interdite ; sauf accord préalable de l une des personnes morales précédemment citées. Introduction (Jérôme TENEUR) 2

3 VERSIONS DU DOCUMENT Version Modifications apportées Date 1.0 Première version du document 04/04/ Correction de syntaxe et d orthographe 07/04/ Refonte de la mise en page 09/04/2011 Introduction (Jérôme TENEUR) 3

4 SOMMAIRE Chapitre I. Introduction (Jérôme TENEUR)... 7 Chapitre II. Architecture réseau... 8 II.1 Portrait de la solution réseau (Jérôme TENEUR)... 9 II.2 Etudes des flux (Jérôme TENEUR) II.3 Interconnexion des bâtiments (Jérôme TENEUR) II.4 Infrastructure de câblage (Vincent DESSEAUX) II.5 Architecture physique du LAN (Jérôme TENEUR) II.6 Architecture Logique du LAN (Jérôme TENEUR) II.6.1 Plan d adressage II.6.2 VLANs II.6.3 Spanning Tree II.6.4 Routage II.6.5 Plan de nommage II.7 Architecture WAN (Vincent DESSEAUX) II.8 Intégration de la VOIP (Vincent DESSEAUX) Chapitre III. Energies Informatiques III.1 Architecture Active Directory (Jérôme TENEUR) III.2 Architecture DHCP (Vincent DESSEAUX) III.3 Architecture DNS (Rudy PROME) III.4 Architecture de Messagerie Collaborative (Rudy PROME) III.5 Architecture de Messagerie Instantanée (Rudy PROME) III.6 Messagerie unifiée (Vincent DESSEAUX) III.7 Partages de fichiers (Bastien GAYRAL) III.8 Gestion de contenu (Bastien GAYRAL) III.9 Site Web de l entreprise (Bastien GAYRAL) III.10 Accès aux outils de bureautique Office (Arnaud HAMON) III.11 Accès à des systèmes d impression partagés pour tous les utilisateurs (Arnaud HAMON) III.12 Reverse Proxy (Bastien GAYRAL) III.13 Gestion des Machines Utilisateurs (Rudy PROME) Introduction (Jérôme TENEUR) 4

5 Chapitre IV. Sécurité du système d information IV.1 Choix des équipements Firewall (Jérôme TENEUR) IV.2 Sécurisation de l'accès Internet (Arnaud HAMON) IV.3 Relai de messagerie SMTP (Jérôme TENEUR) IV.4 Accès VPN (Bastien GAYRAL) IV.5 Architecture à clés publiques (Jérôme DELAHAIE) IV.6 Politique de mise à jour des correctifs de sécurité (Vincent DESSEAUX) IV.7 Politique Antivirale (Rudy PROME) IV.8 Sécurité des postes nomades (Vincent DESSEAUX) IV.9 Sécurisation Physique du Système d Informations (Rudy PROME) IV.10 Prévention du vol de matériel (Jérôme DELAHAIE) Chapitre V. Administration et surveillance du système V.1 Surveillance du système et gestion des alertes (Arnaud HAMON) V.2 Gestion du parc informatique (Bastien GAYRAL) V.3 Aide au déploiement de masse (Vincent DESSEAUX) V.4 Administration et prise en main à distance (Vincent DESSEAUX) Chapitre VI. Méthodologie de déploiement VI.1 Formation des utilisateurs (Arnaud HAMON) VI.2 Planification du déploiement (Jérôme DELAHAIE) Chapitre VII. Exploitation des infrastructures VII.1 Gestion des mises en production (Bastien GAYRAL) VII.2 Service Level Agreement (Jérôme DELAHAIE) Chapitre VIII. Bilan financier VIII.1 Intérêts de la Virtualisation (Rudy PROME) VIII.2 Identification du Matériel et des Licences Nécessaires (Rudy PROME) VIII.3 Matériel et Licences à Acheter (Rudy PROME) VIII.4 Total Cost of Ownership (Rudy PROME, Jérôme TENEUR, Jérôme DELAHAIE) VIII.4.1 Principe VIII.4.2 E.C.U VIII.4.3 S.C.U VIII.4.4 O.C.U VIII.4.5 T.C.U VIII.4.6 A.C.U VIII.4.7 Conclusion Introduction (Jérôme TENEUR) 5

6 Chapitre IX. Chapitre X. Conclusion (Jérôme TENEUR) Schéma d architecture générale (Jérôme TENEUR) Chapitre XI. Annexes XI.1 Lexique XI.2 Schéma de l architecture réseau de chaque site (Jérôme TENEUR) Orsay XI.3 Représentation physique de l architecture réseau (Jérôme TENEUR) XI.4 Infrastructure de câblage (Vincent DESSEAUX) XI.5 Architecture WAN (Vincent DESSEAUX) XI.6 Plan d adressage (Jérôme TENEUR) XI.7 Règles de nommage du matériel (Jérôme TENEUR) XI.8 Topologie Spanning Tree (Jérôme TENEUR) XI.9 Redondance de routeur MPLS : HSRP (Jérôme TENEUR) XI.10 La qualité de service (Vincent DESSEAUX) XI.11 Annuaire Active Directory (Jérôme TENEUR) XI.12 Architecture DNS (Rudy PROME) XI.13 Architecture DHCP (Vincent DESSEAUX) XI.14 Firewall (Jérôme TENEUR) XI.15 Sécurisation des accès Internet (Arnaud HAMON) XI.16 Reverse Proxy (Bastien GAYRAL) XI.17 Architecture de Messagerie Collaborative (Rudy PROME) XI.18 Architecture de Messagerie Instantanée (Rudy PROME) XI.19 Partage de fichiers (Bastien GAYRAL) XI.20 Gestion de contenu (Bastien GAYRAL) XI.21 Relai SMTP (Jérôme TENEUR) XI.22 Virtualisation (Arnaud HAMON) XI.23 Système d impression (Arnaud HAMON) XI.24 Accès outil de bureautique office Applications métiers (Arnaud HAMON) XI.25 Accès VPN (Bastien GAYRAL) XI.26 Politique de mise à jour (Vincent DESSEAUX) XI.27 Politique Antivirale (Rudy PROME) XI.28 Politique de sauvegarde (Arnaud HAMON) XI.29 Aide au déploiement de masse (Vincent DESSEAUX) XI.30 Outil de monitoring système et réseau (Arnaud HAMON) XI.31 Planification du déploiement (Jérôme DELAHAIE) XI.32 Charte informatique (Jérôme TENEUR) XI.33 Table des figures XI.34 Bibliographie Introduction (Jérôme TENEUR) 6

7 Chapitre I. Introduction (Jérôme TENEUR) Dans le cadre de l appel d offre émit par la société Aristote, nous vous proposons au travers de ce document une analyse visant à répondre à chacun des besoins exprimer. Mais nous tâcherons également de faire valoir notre expertise et notre savoir-faire en vous proposant des solutions innovantes, technologiquement pérennes, et qui vous garantirons un cout d exploitation le plus faible possible pour une rentabilité toujours plus importante. Comme le met en avant le cahier des charges, nous comptons exploiter au maximum les contraintes liées à la structure de la société Aristote. Par exemple, chaque site distant pourra fonctionner de manière autonome, et nous permettra de garantir la sécurité des données (au sens pérennité) grâce à des réplications inter-sites. Mais nous prévoyons également de gérer au plus près de vos besoins l utilisation de la bande passante inter-site (c'est-à-dire les liaisons opérateur) en vous garantissant une disponibilité maximale vous offrant ainsi une expérience en environnement de production, la plus fluide possible. A noter également que les aspects sécurités, que ce soit des données, du système d information vis-à-vis de l internet, ou encore la segmentation des flux en interne, sont des composantes largement pris en compte tout au long de notre rapport d analyse. Ainsi nos experts sécurités font valoir toute leur expertise et leur expérience au travers de ce rapport, et ce afin de vous garantir une sécurité la plus proche de la perfection et la plus évolutive possible. Nous allons donc dans un premier temps vous présenter l architecture réseau de la solution. Cela va du câblage des bâtiments, jusqu aux liaisons inter-site, en passant par tous les besoins en matière de matériel, et la définition des protocoles mis en place, mais également en vous proposant les évolutions possible pour l intégration de la VOIP. Dans un second temps, nous vous présenterons les énergies informatiques, c'est-à-dire la mise en place des services actifs participant au fonctionnement de l architecture système de l infrastructure. Au travers de ces énergies informatiques, nous retrouverons les informations liées à la mise en place et au fonctionnement de l annuaire d entreprise, mais également de tous les services rendus aux utilisateurs tel que la messagerie ou la publication de documents Dans un troisième temps, comme stipulé plus haut, nous nous attarderons sur l aspect sécurité de l infrastructure, et sécurité des données. Cela se fera au travers de la présentation de l implémentation de firewall, des VPN, ou encore de la politique antivirale. Tous ces éléments nous permettrons de définir une politique de sécurité du système d information. Ensuite, nous tâcherons de répondre à une problématique que vous avez introduite dans le cahier des charges, mais qui doit être sérieusement pris en considération : l'administration et de surveillance du système d exploitation. C est en effet au travers de la mise en place de ces moyens que vous serez en mesure de contrôler votre architecture et assurerez la continuité de service pour vos utilisateurs. Enfin, dans une dernière partie, nous vous proposerons une méthodologie de déploiement et un bilan financier de la mise en place d un tel système d information. Ces deux éléments seront une estimation la plus réaliste possible basée sur notre expérience et nos partenariats avec des constructeurs Introduction (Jérôme TENEUR) 7

8 Chapitre II. Architecture réseau Le premier point à considérer concerne la qualité de service. Le réseau d entreprise devant faire transiter à la fois le téléphone, la vidéo et les données. Il faut calculer le débit maximal de la classe la plus prioritaire, c est-à-dire les paquets de flux téléphonique et l ensemble des paquets des applications qui auront été mis dans cette classe, et s assurer que le débit Ethernet est largement supérieur à ces valeurs. C est là un aspect permettant de garantir la disponibilité et la pérennité de l infrastructure. Nous devrons également isoler des sous-réseaux à l intérieur du réseau d entreprise, l utilisation de VLAN est particulièrement appréciée. Ces derniers permettent de mettre en œuvre des isolations entre sous-réseaux et de mettre en relation simplement des équipements qui doivent se parler. Les schémas que vous rencontrerez ci-dessous mettent en avant des firewalls. L objectif des pare-feu est de stopper les flux menaçants pour l entreprise et d empêcher que certains flux ne sortent de l entreprise. Les pare-feu jouent sur le port qui porte le numéro indiquant l application transportée. Cette information pouvant être modifiée, nous nous appuierons sur des pare-feu introduisant des filtres applicatifs permettant de déterminer précisément les applications qui peuvent passer. Pour compléter ce panorama nous traiterons de l aspect opérateur, tant pour l interconnexion des sites distants que pour l accès à Internet des quatre sites. Architecture réseau 8

9 II.1 Portrait de la solution réseau (Jérôme TENEUR) II.1.1 Rappel des besoins et contraintes Dans le cadre de l intégration du nouveau système d information, une liste des contraintes a été dressée dans le cahier des charges. Pour résumer, nous avons donc quatre sites distants (Orsay Bayonne Sophia Antipolis Bruxelles) devant être interconnecter au moyen d une solution opérateur. L infrastructure devra être opérationnelle 24h/24 et 7 jours sur 7, et la tolérance de pannes est de quelques minutes. De telles contraintes impliquent la mise en place d une forte redondance pour tous les équipements réseau et système. Il est également demandé, la possibilité que des utilisateurs puissent travailler à distance (de chez eux, hôtel, ) et ce, dans un environnement fortement sécurisé. La sécurité est un point très sensible et fortement mis en avant dans le cahier des charges. Nous nous attacherons donc à mettre en place des solutions en couvrant tous les aspects, et ce directement depuis l architecture réseau. Notons également qu Aristote souhaite que l infrastructure fasse l objet d une étude concernant l hypothétique mise en place d une solution de VoIP (une solution de voix sur IP vous est également proposée dans cette étude). Enfin, les informations du CDC nous permettent d établir un listing des utilisateurs en fonction de leur répartition géographique et de leur direction d appartenance : Orsay Bayonne Sophia Antipolis Bruxelles Total Direction Générale Direction Administrative et Financière Direction Commerciale et Marketing Direction Etudes Direction Production Total II.1.2 Portrait de la solution réseau Tout d abord nous devons interconnecter les quatre sites distants ; pour cela plusieurs technologies opérateurs sont envisageables. Cette interconnexion devra supporter vos besoins en termes de bande passante, notamment pour le site d Orsay, siège d Aristote et cœur du système d information. Ensuite, la nécessité d une infrastructure hautement sécurisé impliquera l implémentation d un système de chiffrement pour les communications inter-sites. Le paysage des solutions envisageable sera et leurs applications sera développé dans le chapitre sécurité VPN. Toujours dans un principe de sécurité, et de par notre expérience, nous préconisons la mise en place d un seul point d entré Internet pour les quatre sites. Il s agira en réalité d une double entrée car deux liens opérateur nous raccorderont à Internet, pour garantir une continuité de service et un partage de charge. Cet accès sera ensuite «partagé» aux trois sites distants via les liaisons inter-sites. Du point de vu réseau interne d Aristote, nous distinguerons trois types de réseau : - Réseau serveurs internes - Réseau DMZ - Réseaux utilisateurs La distinction de ces réseaux représente un aspect de la sécurité, notamment grâce aux VLAN et aux règles d accès qui s appuieront sur cette segmentation. Enfin, notons que la distinction des utilisateurs et leur direction d appartenance se fera également d un point de vu réseau, et ce toujours dans une optique de sécurité (avec une séparation des flux). Architecture réseau 9

10 II.2 Etudes des flux (Jérôme TENEUR) L étude des flux réseaux répond à deux objectifs. Dans un premier temps cela nous permettra d évaluer la charger réseau totale que devra supporter l infrastructure. Dans un second temps cette étude sera un moyen d identifier précisément les flux transitant par les firewalls et ainsi de lister les autorisations qui devront être misent en place. Types de flux Protocoles utilisés Volumes Fréquence Communication Communication en temps réelle Messagerie SIP pour la messagerie instantanée SIP pour la vidéoconférence SIP pour la voix IMAP4/MAPI/SMTP pour les mails ActiveSync pour la synchronisation Smartphone/ PocketPC Moyen Elevés Elevés Basse Moyenne Basse Très élevée Très élevée Basse HTTP/HTTPS pour l OWA Moyen Moyenne RPC sur HTTP pour Outlook Anywhere Elevés Elevés Inter Site Inter Site Orsay Internet Inter Site Orsay Internet Internet Orsay Réplication AD RPC Basse Quotidienne Inter Site Résolution de noms DNS Faibles Très élevée Navigation Internet HTTP HTTPS FTP Elevés Elevée Inter Site Orsay Internet Inter Site Orsay Internet Supervision SNMP/Netflow Moyenne Très élevée Orsay Autres sites Administration VPN SSH RDP IPsec SSL Moyenne Moyenne Très élevée Orsay Autres sites Moyenne Basse Internet Orsay Echange Fichier DFS Très élevés Quotidienne Inter Site Application Métier HTTPS Elevés Très élevée Inter Site Serveurs Publiés HTTP HTTPS Moyenne Moyenne Internet Orsay Mise à Jour WSUS Basse Quotidienne Inter Site Anti-virus Protocole Propriétaire Basse Quotidienne Inter Site Terminal Server RDP TS Web/Gateway Elevés Elevée Moyenne Inter Site Internet Orsay Orsay Autres sites Architecture réseau 10

11 II.3 Interconnexion des bâtiments (Jérôme TENEUR) II.3.1 Rappel du besoin Comme stipulé dans le cahier des charges, les sites d Orsay, de Bayonne et de Bruxelles sont composés de plusieurs bâtiments. Nous allons donc, ci-dessous, proposer plusieurs solutions visant à interconnecter ces bâtiments, en prenant soin d offrir le meilleur compromis entre performances et coûts. II.3.2 Solutions proposées Aux vus des plans fournis dans le cahier des charges, et le fait que le point d entrée opérateur se trouve toujours dans le bâtiment principal de chaque site, nous pouvons en tirer 2 scénarios possibles. En effet, ces trois sites, étant composés de 3 bâtiments chacun, nous pouvons : - Relier les deux bâtiments secondaires directement au site principal via une double fibre optique - Créer une boucle réseau entre les 3 bâtiments Avantage(s) Inconvénient(s) Avantage(s) Inconvénient(s) - agrégat des liens - couteux en fibre - si rupture d une tranché : perte d un bâtiment - deux routes de sortie pour les bâtiments secondaires - boucle gérée par STP - une tranché supplémentaire II.3.3 Préconisations Ces deux scénarios offrent une redondance des liens et donc garantissent une continuité de service en cas de rupture de l un d entre eux. Cependant, nous préconisons une architecture maillée telle que dans le second scénario. En effet, les coûts étant similaires, nous distinguerons la meilleure garantie de continuité de service dans le second. Architecture réseau 11

12 II.4 Infrastructure de câblage (Vincent DESSEAUX) II.4.1 Rappel des besoins L infrastructure de câblage mise en place devra pouvoir être en mesure de supporter des débits de 1 Gbit/s. Il est également demandé de prendre en compte les perspectives de croissance prévue de 20% de ses effectifs en 5 ans tout en garantissant une solution pérenne, évolutive et répondant aux demandes de performance et de disponibilité des utilisateurs. II.4.2 Câblage inter-bâtiments Afin de relier les bâtiments entre eux, nous avons choisi de mettre en place des liaisons en fibre optique multi mode 62.5/125 µm de classe OM2 avec connecteurs SC. Cette fibre est idéale pour les liaisons de courtes distances et permet ainsi d atteindre des débits de 10 Gb/s sur une distance de 300m. Afin de garantir une tolérance aux pannes, l architecture réseau proposée repose sur des cœurs de distribution redondés. Il est donc nécessaire de disposer de 4 brins par liaison inter-bâtiments (deux pour la réception et deux pour la transmission). II.4.3 Câblage inter-étages Un coffret de brassage sera installé à chaque étage des bâtiments, à l emplacement du passage de câbles excepté le rezde-chaussée qui lui sera équipé d un local technique. Afin d assurer la liaison entre les équipements réseaux de chaque étage, tout en garantissant qu aucun bruit électromagnétique ne viendra les perturber, nous vous préconisons également l utilisation de liaisons fibres optiques multi mode 62.5/125 µm de classe OM2 avec connecteurs SC. II.4.4 Câblage des étages Le câblage des différents étages sera élaboré selon les effectifs ainsi que sa croissance de 20 % prévu sur 5 ans. De plus, nous préconisons l ajout de 6 prises supplémentaires par étage, qui seront installées pour l interconnexion de bornes WIFI ou de photocopieurs. Les étages seront donc équipés de prises RJ45 avec des câbles réseau FTP à 4 paires torsadées de catégorie 6 permettant un débit de 1 Gb/s. II.4.5 Proposition d architecture Le premier cas d architecture met en avant une tranchée commune pour relier les bâtiments. Cette solution à comme avantage d être la moins coûteuse, mais cela implique que si pour quelconque raison, la liaison physique vient un jour à se détériorer, un ou plusieurs bâtiments seront impactés. Le second cas d architecture, que nous vous préconisons, met en avant plusieurs tranchées ainsi qu une topologie en anneau, ce qui permet de prévoir systématiquement deux points de pénétration pour le passage des câbles. Cette solution est certes plus coûteuse, mais permet de contrecarrer le risque d isolation d un bâtiment annexe. Architecture de câblage préconisé pour le site d Orsay Note : De plus amples informations en annexe Figure 1 - Schéma de l infrastructure de câblage proposé pour le site d Orsay Architecture réseau 12

13 II.5 Architecture physique du LAN (Jérôme TENEUR) Le rappel des besoins et contraintes ayant été traité dans la partie «Portrait de la solution réseau», nous ne reviendrons pas dessus ici. II.5.1 Architecture générale retenue La solution que nous avons retenue est une architecture dite en triangle sur trois niveaux. Cette architecture présente le meilleur compromis entre la redondance et la facilité d administration. Les différents niveaux du réseau sont nommés comme suit : 1. Accès : Les équipements d extrémité se trouvant dans les différents étages et permettant de donner l accès au réseau aux utilisateurs sont appelés les équipements d accès ou Edge. (Le site de Sophia sera dépourvu d équipement de cœur de réseau.) 2. Distribution : Les équipements réalisant le lien entre les équipements d accès et les cœurs de réseau sont appelés les équipements de distribution. Ils sont situés dans le local technique du rez-de-chaussée de chaque bâtiment. Cet équipement est nécessaire sinon nous aurions autant de fibre optique entre les bâtiments qu il y a de switch d étage, ce qui n est pas envisageable. 3. Les équipements réalisant le cœur du réseau en interconnectant tous les équipements de distribution sont appelés équipements de cœur ou de Backbone. Ils seront installés dans le bâtiment qui recevra la liaison avec l opérateur. Les commutateurs hébergeant les serveurs seront connectés directement sur les cœurs. Les cœurs s occuperont du routage, du lien avec le réseau MPLS de l opérateur et du lien avec le pare-feu Internet. Figure 2 - Modèle infrastructure réseau Note : Les schémas des réseaux physiques sont disponibles en annexes ainsi que la liste des équipements actifs. Architecture réseau 13

14 II.5.2 Exemple avec l architecture d Orsay Nous avons donc ici une architecture pyramidale composée de matériel Cisco, dans un ensemble garantissant un routage et une commutation hiérarchique. On remarquera que tous les liens sont redondés, créant ainsi des boucles réseaux. La haut disponibilité et la gestion des boucles réseaux sera expliqué dans la partie suivante. note : Un schéma des réseaux physiques de chaque site, dans un plus grand format, est disponible en annexe Architecture réseau 14

15 II.5.3 Choix des équipements réseaux II Cœur de réseau Pour le site d Orsay, nous préconisons de mettre en place deux châssis Cisco 6506 pour le Backbone. Cet équipement convient à l architecture mis en place. En effet, le Backbone d Orsay sera grandement sollicité étant donné qu il fera le lien entre les accès à l Internet, le réseau MPLS, les serveurs hébergés pour tous les sites, la DMZ, et tous les utilisateurs. Le choix de l équipement de cœur c est fait d abord en fonction des besoins et contraintes décrites dans le CDC. Nous avons naturellement orienté notre choix vers des produits Cisco pour la qualité de ses produits et pour l expérience Cisco. Nous préconisons ensuite un produit de la gamme de catalyst 6500 car ce dernier couvre l ensemble des attentes exprimées pour un dimensionnement cohérant. Enfin, le modèle catalyst 6506 a été sélectionné sur la base de notre expérience et d une étude réalisé par Cisco sur la gamme des Pour plus d informations, retrouvez le comparatif des Catalyst 6500 à l adresse suivante : Ces commutateurs possèdent 6 slots qui peuvent accueillir des modules de différents types. Ils seront équipés des cartes suivantes : Slot 1: un module 24 ports SFP pour la connexion des commutateurs d extrémité hébergeant les commutateurs de distribution et la connexion avec le pare-feu et le routeur MPLS. Slot 2 : Un module Cisco 4402 pour la gestion du réseau sans fil. Slot 3 : Une carte de supervision sup720-3c avec 3 ports gigabit (2 SFP et un 10/100/1000) pour le lien d agrégat avec l autre cœur ainsi que 2 ports X2 10GbE qui ne seront pas utilisés pour le moment. Pour les cœurs de réseau des autres sites, comme pour les équipements de distribution, nous avons choisi de mettre en place des Cisco 3750 avec 12 ports SFP (1Gbits/s). II Cœur de distribution Le cœur de distribution devant gérer une charge également très importante, nous préconisons les catalyst Ces derniers disposent de deux ports «stackwise» en face arrière pour les connecter les uns aux autres en formant un seul et unique équipement (une seule configuration, un nom unique, une adresse IP unique ). Un des équipements du stack est élu master du stack. Il gère l ensemble du stack (on peut le comparer à une carte de supervision d un châssis mais pour le stack). En cas de défaillance de ce Switch master, un autre Switch du stack est élu master. Dans les ports SFP, il faut rajouter un connecteur appelé SFP (Small Form-Factor Pluggable). Sur le réseau d Aristote, ce sera des SFP SX. Ceci permettra de réaliser la connexion uplink entre un stack et les deux Switch de distribution et ceci permettra de faire le lien entre les Switch de distribution avec les cœurs. II Accès réseau Pour les commutateurs d accès de tous les sites, nous avons choisi de mettre en place des Cisco 2960 avec 24/48 ports cuivre POE avec 2/4 ports SFP (1Gbits/s). Architecture réseau 15

16 II.5.4 Haute disponibilité et continuité de service Au travers de l infrastructure, nous garantissons la haute disponibilité et une continuité de service en cas de rupture d un lien ou de perte d un équipement réseau. Pour cela nous mettons en place de la redondance à deux niveaux : physique et logique. La redondance physique est assurée de plusieurs manières : - Cœur de réseau o Double alimentation (type hot-swappable : retirable à chaud) o Le Backbone est constitué de deux équipements. o Un lien d agrégation (2fibres optiques) 802.3ad entre ces deux équipements. o Pour le site d Orsay, les cœurs sont connectés chacun à un pare-feu afin de maintenir l accès au WAN en cas de défaillance d un cœur, d un routeur WAN ou d un pare-feu. - Cœur de distribution o Constituer de deux équipements o Présence d un double lien d agrégat entre les deux équipements o Ces équipements sont directement liés au deux backbones - Accès réseau o Les équipements d accès sont regroupés en stack grâce à la technologie stackwise. o Les piles d accès sont connectées par leur premier équipement au premier Switch de distribution et par leur dernier équipement au deuxième Switch de distribution. La redondance logique se fera au travers de deux protocoles : - Spanning-Tree : Tous les équipements ont la fonctionnalité Spanning-tree activée pour gérer la redondance de lien afin de permettre la redondance physique sans avoir de boucle de niveau 2. - HSRP : Les deux cœurs ont la fonctionnalité HSRP d implémentée afin de gérer la redondance de passerelle par défaut pour chacun des VLANs. II.5.5 Réseau Sans Fil Concernant le réseau sans fil, nous mettrons en place sur chaque site un contrôleur WIFI Cisco Le site d Orsay sera pourvu de deux contrôleurs WIFI qui seront mis en place dans les slots des Châssis Cisco Afin de sécuriser les flux WIFI, il y aura un réseau privé avec authentification forte de type EAP-PEAP avec un chiffrement AES. Les collaborateurs pourront s authentifier à l aide de leur compte du domaine et ils auront accès à tout le réseau d Aristote. Les invités auront uniquement accès à Internet et pourront s authentifier à l aide d un portail captif. Il n y aura aucun chiffrement sur ce réseau. Une étude d emplacement des bornes WIFI sera planifiée afin d optimiser la couverture WIFI au niveau des bâtiments mais nous prévoyons pour chaque bâtiment 3 bornes Wifi Cisco Aironet Architecture réseau 16

17 II.6 Architecture Logique du LAN (Jérôme TENEUR) II.6.1 Plan d adressage Le plan d adressage que nous allons mettre en place s organisera autour de trois réseaux IP : /8 pour la DMZ /11 pour les serveurs et utilisateurs /24 pour les interconnexions des routeurs Ensuite nous devons distinguer différents éléments, afin d avoir un adressage cohérent et faciliter la caractérisation d un utilisateur en fonction de son adresse IP. Nous prendrons en compte : - Le site géographique - La direction d appartenance Le plan d adressage devra prendre en considération l augmentation prévisionnelle du nombre d employé, à savoir 20% d utilisateurs supplémentaire dans les 5 prochaines années. De plus, le nombre de périphériques utilisateurs s appuyant sur IP étant en constante augmentation ces dernières années, il nous parait judicieux de prévoir plusieurs IP par utilisateurs (par exemple pour des Smartphone en WiFi). Ainsi en plaçant le masque réseau à 20, nous avons 4094 IP disponibles pour 16 sous-réseaux, ce qui est largement suffisant pour l infrastructure à mettre en place. Ainsi nous aurons un plan d adressage comme ci-dessous : Figure 3 - Plan d'adressage Architecture réseau 17

18 II.6.2 VLANs Les VLANs permettent de segmenter les réseaux comportant un nombre de stations important de façon à : - Diminuer les domaines de broadcast - Identifier les flux pour gérer des droits d accès Afin de rendre plus souple la diffusion des Vlans dans chaque équipement, nous allons mettre en place le protocole VTP. Ce protocole permet une diffusion dynamique des Vlans. Sur les cœurs de chaque site, nous mettrons le VTP en mode serveur et sur les équipements de distribution et d accès, nous mettrons le VTP en mode client. Cependant, il faudra inscrire manuellement les Vlans sur les cœurs. Concernant la configuration des Vlans sur les ports d accès clients des commutateurs, nous allons mettre en place des VLANs statiques. En effet, même si la gestion statique des Vlans sur les switchs d accès est compliquée à maintenir sur un grand réseau, nous garantissons ainsi un niveau de sécurité supplémentaire en rendant encore plus compliqué une tentative d usurpation d identité. Néanmoins, les ports interconnectant les commutateurs seront fixés en mode Trunk Cisco et les ports interconnectant le pare-feu et le routeur MPLS seront fixés en port Access Cisco. Nous aurons donc finalement des VLAN organisé ainsi : Type de flux VLAN ID Orsay Bayonne Sophia Antipolis Bruxelles Direction Informatique Direction Générale Direction Administrative et Financière Direction Commerciale et Marketing Direction Etude Direction Production Réseau VPN Téléphonie Serveurs Internes Réseau DMZ Architecture réseau 18

19 II.6.3 Spanning Tree Le protocole Rapid Spanning Tree (RSTP) sera mis en place sur chaque site, ceci dans le but d avoir de la redondance physique des liens sans à avoir de boucle de niveau 2. En effet, sur un réseau Ethernet, le fait d avoir des boucles provoque des tempêtes de Broadcast. Le mode RSTP sera positionné car il permet une convergence plus rapide que le protocole standard STP. Sur chaque site, nous positionnerons le cœur master en Root RSTP avec une priorité de 4096 et le cœur secondaire avec une priorité de Les autres équipements auront leurs priorités par défaut. Nous mettrons en place de la sécurité pour ce protocole afin d éviter qu une personne provoque des dénis de service ou qu une personne mette en place un équipement avec une priorité plus basse que le Root. Note : Les topologies STP de chaque site sont disponibles en annexe. II.6.4 Routage Le routage sera assuré par chaque cœur de chaque site. D un point de vue local, les cœurs assureront le routage intervlan. Des ACL seront mises en place afin d éviter que certains Vlan communique avec d autre Vlan. Cette spécification sera détaillée dans la partie sécurité. Sur tous les sites, nous mettrons en place le protocole HSRP qui permet de bénéficier d un routeur virtuel «partagé» entre les 2 routeurs MPLS, ce qui permet de réaliser une redondance de passerelle par défaut. Le routeur actif (d un point de vue HSRP) est celui qui possède la plus grande priorité HSRP. Le routeur maitre HSRP sera calqué avec le Root du protocole Spanning Tree. Note : Le principe du protocole HSRP est disponible en annexe. Concernant le routage inter-site, nous avons décidé de mettre en place le routage OSPF pour sa performance. Il nous permettra d établir des routes primaires pour la liaison VPN MPLS et des routes secondaires pour la liaison VPN IPSEC en jouant au niveau des coûts des liens d interconnexion avec ces différents réseaux. La liaison avec la métrique la plus faible sera la route primaire. Nous fixerons la liaison VPN avec un coût de Le pare-feu central d Orsay distribuera sa route par défaut au travers d OSPF. II.6.5 Plan de nommage Afin de faciliter l administration des équipements réseau et système, une politique de nommage doit être préalablement définie. Le but étant de caractériser un élément en fonction de son rôle ou de sa position géographique. Ainsi, nous préconisons un nommage sur plusieurs champs : - Site géographique sur 3 caractères (ORS BAY SOP BRU) - Le bâtiment ou la fonction concernée - Le type d équipement - Le service rendu Note : le nommage est un choix de politique interne à l entreprise, cependant un exemple vous est proposé en annexe. Architecture réseau 19

20 II.7 Architecture WAN (Vincent DESSEAUX) II.7.1 Rappel des besoins Il nous est demandé de retenir une solution de services opérateurs parmi les offres de l opérateur Orange. De plus, il nous est également demandé d implémenter de la qualité de service pour les flux inter-sites des applications métiers. L hypothèse admise est de prévoir une ressource disponible de 256Kbps tout en offrant une Qualité de service équivalente à celle proposée par les circuits de données. II.7.2 Préconisations Afin de vous conseiller au mieux sur le choix de l offre opérateur, il convient de prendre en considération votre infrastructure globale, les flux générés par les infrastructures techniques, le nombre de personne par site, ainsi que les besoins en termes de disponibilité demandés, le tout en apportant une notion de sécurité et de confidentialité. Parmi l éventail de solutions proposées par Orange, il parait indispensable de retenir plusieurs solutions, une pour l accès au réseau Internet, une seconde pour l accès inter-sites et enfin une dernière pour l accès des nomades. Les solutions WAN que nous vous préconisons sont les suivantes : Réseau Internet : l offre Business Internet est la solution la mieux adaptée à vos besoins actuels et futurs en proposant des débits symétriques compris entre 500 Kbits/s et 80 Mbits/s. L offre comprend une garantie de la bande passante allouée ainsi qu une Garantie de Temps de Rétablissement (GTR) de moins de 4h ouvrable avec un taux d interruption maximum de 17h par an. Accès nomade : la solution Business Everywhere Pro, permettant l utilisation du réseau 3G+ est actuellement la meilleure solution pour répondre aux besoins exprimés et réduire les coûts d abonnement Accès inter sites : l offre Equant IP VPN, est la solution WAN répondant à l ensemble de vos contraintes. S architecturant sur un réseau privé MPLS, les débits proposés sont symétriques, compris entre 64 Kbits/s à 1 Gbits/s et garantis. Ayant pour champ d action l international, cette solution peut être mise en place sur le site de Bruxelles. De plus, une option de qualité de service, que nous utiliserons pour vos applications métiers, mais aussi pour votre future architecture VOIP, est proposée. II.7.3 Garantie de service Toujours dans un souci de haute disponibilité, Orange propose deux options de Garantie de Temps de Rétablissement (GTR) afin de s engager à régler les problèmes en moins de 4h sur les lignes: Option GTR S1 : rétablissement du service en moins de 4 heures, 7 jours sur 7 et 24 heures sur 24, dès que le client signale l incident. Option GTR S2 : rétablissement du service en moins de 4 heures pour tout incident signalé du lundi au samedi, de 8h à 18h à l exception des jours fériés. En plus de cet engagement de réactivité (GTR), OBS prend en charge l installation, l administration, la supervision et la maintenance de tous équipements et liaisons WAN grâce à une équipe d expert dédiée. Les résultats de cette prestation sont disponibles via l espace client et présente : Une cartographie prédéfinie permettant de suivre en temps réel l évolution de l état des éléments Des statistiques en temps réel vous permettant de disposer de données de volumétrie et de charge sur les accès et matériels de votre réseau. Une gestion des liens logiques pour chacune des routes de votre réseau que vous choisirez. Cette prestation regroupe trois engagements mensuels de performance de bout en bout : délai de transit, taux de perte de paquets et la gigue. Architecture réseau 20

21 Afin d intensifier l accompagnement dans le déploiement et la vie de votre solution dans la durée, une équipe commerciale et technique est disponible au travers d un service client qui fournit : Un guichet unique SAV 24h/24 et 7j/7 en Centre Support Client Un responsable service client : il sera l interlocuteur privilégié pour la gestion opérationnelle de votre réseau Un tableau de bord mensuel analysé par le responsable du service client Un bilan annuel accompagné d une restitution pour faire un point exhaustif sur votre solution Un espace client dédié pour le suivi en temps réel du fonctionnement de votre réseau : suivi des commandes et des incidents, inventaire de parc Un engagement contractuel de disponibilité globale mensuelle pour l ensemble de vos sites II.7.4 La qualité de service La qualité de service (QoS) est la capacité à véhiculer dans de bonnes conditions un type de trafic donné, en termes de disponibilité, débit, délais de transmission, gigue, taux de perte de paquets etc. Pour répondre aux attentes exprimées en matière de disponibilité et de sécurité, nous sommes dans l obligation d implémenter la qualité de service sur l architecture WAN proposée. En premier lieu, il convient de rappeler que l offre Equant IP VPN précédemment préconisée est une solution proposant en option un système de priorisation des flux s appuyant sur DiffServ. Cette offre propose pour ce point précis 5 classes de service (CoS) pour assurer le transport priorisé des flux selon leur nature. Ainsi, la voix et la visioconférence bénéficient chacune d'une CoS, et les données bénéficient de 3 CoS pour les données très prioritaires, prioritaires ou sans exigence particulière, il sera donc possible de part cette fonctionnalité de prioriser le flux des applications métiers, mais aussi la voix. II.7.5 Présentation de l architecture Figure 4 - Schéma de l architecture WAN proposée Note : De plus amples informations en annexe Architecture réseau 21

22 II.8 Intégration de la VOIP (Vincent DESSEAUX) II.8.1 Rappel des besoins Il nous est demandé qu une étude de faisabilité soit amenée quant à l intégration de la VOIP dans l architecture proposée, notamment en spécifiant les impacts de l intégration dans votre système, notamment sur les modifications à apporter par rapport à l infrastructure réseaux. II.8.2 Préconisations La VoIP permet la convergence des flux de données, voix ou encore vidéo sur un même support de transmission et permet ainsi de contribuer à la réduction de coûts pour l entreprise. Néanmoins, afin de mettre en œuvre de la VoIP au sein d un réseau, il est nécessaire de s assurer que le réseau remplisse tous les prérequis nécessaires au bon fonctionnement de la VoIP. La qualité de la téléphonie s'évalue selon trois critères: les délais de transit au travers du réseau (inférieur à 150 ms) les variations des délais (la gigue) (inférieur à 10 ms) le taux de perte de paquets (inférieur à 5%) Il est donc nécessaire d implémenter au sein du réseau LAN une qualité de service, qui consiste à prioriser le trafic voix parmi tous les types de flux circulant sur le réseau afin de disposer d une qualité de téléphonie optimale. Tous les équipements réseau précédemment proposés sont capables de traiter cette qualité de service, cependant afin de celle-ci se révèle bénéfique il faudra s assurer que la charge des équipements réseaux ne dépasse pas 60 % de leur charge maximale. La qualité de service basée DiffServ spécifique aux flux voix sera implémentée sur le réseau de l entreprise avec un profil TollQuality. Les liens WAN ne sont pas en reste puisqu il est également nécessaire d implémenter cette qualité de service, celle-ci est définie par l opérateur dans l offre souscrite. Un VLAN dédié à l utilisation de la VOIP sera également déployé, son but est d isoler le trafic voix pour un souci de confidentialité, mais aussi d homogénéité. De plus, le POE (Power Over Ethernet) est proposé sur l ensemble des équipements réseau, ce qui vous permettra d opter pour l utilisation de téléphone IP prenant en charge cette technologie et vous affranchir ainsi de l utilisation de prise électrique pour celui-ci. Afin de s assurer de l intégration de la VoIP sur le réseau, un audit sera nécessaire afin d évaluer et de valider votre infrastructure réseau. Architecture réseau 22

23 Chapitre III. Energies Informatiques L'énergie informatique représente l'ensemble des ressources et services mis à disposition des utilisateurs. Nous verrons dans un premier temps l annuaire de gestion des utilisateurs qui permettent la base nécessaire aux restes des fonctionnalités. L'utilisateur disposant d'un poste sous Windows ou Linux doit pouvoir accéder aux ressources et services suivants : - Un partage de fichiers distribués, permettant à chaque utilisateur d'un site de trouver les documents désirés sans utilisation des liens WAN. - Un accès aux outils bureautiques Office. - Une gestion des contenus en complément au partage de fichiers. - Un accès au portail d'entreprise. - Un accès à des services d'impressions partagés. - Une messagerie collaborative, complété d'un système de messagerie instantanée et de vidéoconférence. - Un accès à Internet pour la navigation. Enfin ces accès doivent être disponibles pour des postes fixes en interne, ainsi que pour des ordinateurs portables sédentaires mais aussi nomades. Energies Informatiques 23

24 III.1 Architecture Active Directory (Jérôme TENEUR) III.1.1 Rappel du contexte et des besoins Il nous est important de savoir où et comment Aristote est géographiquement implantée, pour répondre aux questions concernant l implantation de la structure Active Directory. En effet, nous nous baserons sur cette répartition pour optimiser la gestion du service d annuaire au travers des liaisons inter-sites. Nous avons donc quatre sites distants : Orsay Bayonne Sophia Antipolis Bruxelles A noter que le nombre d utilisateur est un facteur très important pour le dimensionnement. Ainsi le cœur du système d information se trouvant à Orsay, nous y trouverons une architecture en mesure de gérer une charge très importante, et de garantir une forte tolérance de pannes. Active directory permettra de gérer l ensemble des utilisateurs, postes informatiques, et équipements de l architecture. Aussi nous nous appuierons sur Windows Serveur 2008 R2 et sa nouvelle version d Active Directory (et donc nous nous baserons sur le niveau fonctionnel 2008 R2). III.1.2 Organisation de l annuaire Nous proposons une architecture qui ne se basera que sur un seul domaine dans une unique forêt. La gestion des sites distants se fera en deux points : - Au travers d OU nommées pour chaque site permettant d y classer les utilisateurs et stations - Au travers des sites et services Active Directory. Grâce à une organisation de ce type nous garantissons: - Une optimisation des réplications inter-sites - Une meilleure gestion des flux grâce à l association des sites à un sous-réseau IP - Une meilleure gestion du mode dégradé si l un des DC était inaccessible - Une plus grande flexibilité pour la délégation des droits administratifs III Organisation des serveurs physiques Nous devons ensuite prendre en considération le nombre d utilisateurs, ainsi que leur répartition géographique : Orsay Bayonne Sophia Antipolis Bruxelles 2 Serveurs haute disponibilité 1 serveur 1 serveur autonome 1 serveur 1 serveur autonome en DMZ Grâce aux nouvelles fonctionnalités offertes par Windows server 2008 R2, nous allons pouvoir envisager de mettre en place un RODC (Read Only Domain Controler) c est-à-dire un système autonome en lecture seule, dans la DMZ d Orsay (pour la sécurité) et à Sophia Antipolis (pour des facilités d administration). Ces serveurs n autorisent pas l ajout de nouveaux utilisateurs et les modifications d OU ou de schéma. Note : Une description de la mise en place des RODC est disponible en annexe Energies Informatiques 24

25 III Organisation fonctionnelle Tout d abord nous devons définir le catalogue global, nécessaire pour la recherche d objets au sein d une forêt. Nous le placerons sur chaque site pour une meilleure gestion des services liés à Exchange Ensuite, nous devons répartir les rôles FSMO de la forêt et du domaine. Ces derniers vous sont présentés dans le tableau ci-après. Enfin, les services de domaine Active Directory emploient une méthode de réplication différée multimaître. Un contrôleur de domaine communique les modifications apportées à l annuaire à un deuxième contrôleur de domaine qui les communique ensuite à un troisième, et ainsi de suite, jusqu à ce que tous les contrôleurs de domaine aient reçu les modifications. FSMO Maître d'attribution des noms de domaine Contrôleur de schéma Maître RID Maître d'infrastructure Emulateur CPD DC désigné ORS-SRV-AD1 ORS-SRV-AD1 ORS-SRV-AD2 ORS-SRV-AD2 ORS-SRV-AD2 Figure 5 - Rôles FSMO Figure 6 - Schéma organisationnel du domaine vsn-aristote.lan Note : La gestion des sites et service au travers de l annuaire (comme le suggère le schéma ci-dessus) et la présentation des rôles FSMO est détaillé en annexe III.1.3 Organisation des ressources dans l annuaire III OU et Groupes d'utilisateurs Afin de rendre l administration et l utilisateur de l annuaire la plus intuitive possible, nous utiliserons deux paramètres : - Le site géographique - La direction d appartenance Ainsi visuellement les utilisateurs seront classés par OU représentant les sites géographiques, mais ils pourront être définis par un groupe AD représentant leur direction d appartenance. Note : La représentation des OU et groupe utilisateurs est disponible en annexe III Stratégie de groupe (GPO) Les stratégies de groupe nous permettrons de répondre à un grand nombre de prérogatives de sécurités, mais faciliterons également la gestion du parc en y appliquant des règles prédéfinies tels que : - Installation automatique d application en fonction des directions - Configuration de l environnement utilisateur - Configuration du proxy - Déploiement des imprimantes - Mappage des lecteurs réseaux - Etc Note : La liste des GPO et leurs OU sont détaillées en annexe ainsi qu un schéma de l organisation fonctionnel des OU Energies Informatiques 25

26 III.1.4 Gestion avancée de l annuaire Active Directory III Processus d administration - La direction informatique disposera en cas d urgence des accès utilisateurs compris dans ces groupes - Les équipes informatiques d administration seront situées sur chaque site avec une compétence limitée au site et auront le moins de privilèges possible - Les équipes informatiques de chaque site distant ne pourront ajouter/supprimer/modifier des objets stratégies de groupes, mais ont la possibilité d une part d attribuer des stratégies de groupes existantes sur une unité d organisation pouvant être administrée par eux, et d autre part d effectuer l analyse des jeux de stratégies résultants - Les équipes informatiques pourront utiliser les services de bureau à distance pour se connecter sur les contrôleurs de domaines et les serveurs membres de leur site respectif - Les équipes informatiques pourront effectuer n importe quelle opération sur les ressources partagées III Sauvegarde Bien que nous prévoyons la mise en place un cluster de contrôleurs de domaine sur le siège d Aristote, il est fortement recommandé de planifier régulièrement des sauvegardes de ces contrôleurs de domaine complets avec tous leurs services liés à Active Directory qu il s agisse : - De l annuaire d Active Directory - Des rôles clés de l Active Directory (notamment le rôle PDC) - Des GPO - Du rôle DHCP - Du rôle DNS Ainsi nous proposons la mise en place d une sauvegarde incrémentielle, située à Bayonne. Le but recherché ici étant de décentraliser de cœur du système de sauvegarde Figure 7 - Schéma de la mise en place du serveur de sauvegardes III.1.5 Conclusion La majorité des services s appuie sur Active Directory, la communication unifiée, le travail collaboratif, des services de sécurité... C est donc une référence pour gérer efficacement les utilisateurs, les ordinateurs, les groupes, les imprimantes, les applications et d autres objets de l annuaire, à partir d un emplacement centralisé. Notre choix s est tourné vers une restructuration de votre architecture existante vers un domaine unique. Cette solution vous permettra d atteindre une architecture évolutive, simple d administration et d exploitation mais également sécurisée et s intégrant parfaitement avec l ensemble de votre structure. Enfin, dans le cadre de l augmentation de ses activités, Aristote prévoit une hausse de ses effectifs de l ordre de 20% dans les 5 ans. Dans ce cadre, l infrastructure que nous vous avons proposée permettra de gérer une charge allant jusqu à 1000 utilisateurs. Energies Informatiques 26

27 III.2 Architecture DHCP (Vincent DESSEAUX) III.2.1 Rappel des besoins Il nous est demandé de mettre en place une solution permettant aux stations du site d obtenir, via un serveur DHCP, leur configuration IP. III.2.2 Présentation de la solution DHCP est un service intégré au serveur Windows Server 2008 R2 en tant que rôle. Ce rôle ne nécessite aucun coût supplémentaire à la licence Windows Server et est peu gourmand en ressources. Cette fonction pourra donc être intégrée sur les contrôleurs de domaine. III.2.3 Proposition d architecture DHCP est un service dit sensible car s il n est plus disponible sur le réseau, les stations ne pourrons plus acquérir de baux IP, et donc par conséquent n auront plus accès aux ressources du réseau. Il est donc primordial que cette solution prenne en charge la haute disponibilité afin de pouvoir assurer la distribution des configurations IP de façon redondée. Sachant que l architecture réseau que nous vous proposons comprend l utilisation de VLAN, et que cette fonctionnalité a pour but de segmenter un domaine de diffusion, il nous faudra impérativement mettre en place sur chaque site le service de relai DHCP qui est de nos jours, pris en charge par les routeurs. Le service DHCP sera déployé sur les serveurs d infrastructures comprenant Active Directory et DNS. Le scénario que nous vous proposons est de mettre en place comprendra un serveur DHCP par site, complété par un serveur DHCP supplémentaire sur le site d Orsay. Le service relai DHCP sera mis en place sur les routeurs afin de pouvoir desservir l ensemble des VLAN d un site, mais aussi pour que les serveurs DHCP d un site adjacent puissent prendre le relai en cas de défaillance du serveur DHCP du site local. Solution Préconisée Figure 8 - Schéma de l architecture DHCP proposée Note : De plus amples informations en annexe Energies Informatiques 27

28 III.3 Architecture DNS (Rudy PROME) III.3.1 Rappel des besoins Il est indispensable de pouvoir localiser facilement les différentes ressources de votre système d information. Il s agit du rôle primaire des serveurs DNS. De plus, ils permettent aux utilisateurs d ouvrir une session sur le réseau. III.3.2 Infrastructure proposée Dans la solution que nous vous proposons, nous prévoyons l utilisation du rôle DNS présent dans le système d exploitation Windows Server 2008 R2, qui sera pour rappel, le système d exploitation présent sur vos contrôleurs de domaine. Pour faciliter l administration et d accroître la sécurité lors des mises à jour entre serveurs DNS primaire et secondaires, ils seront directement intégrés à chaque Active Directory qui leur est propre. Compte tenu de votre nombre d utilisateurs, nous vous proposons une forêt composée d un seul et unique domaine dans l intérêt d éviter des complications d administration. Nous préconisons l utilisation de deux suffixes au nom de domaine, pour distinguer le réseau interne de ce qui est visible depuis l extérieur. Ainsi, vous aurez le nom «vsn-aristote.eu» pour l extérieur et «vsn-aristote.lan» pour l interne. Enfin, la haute disponibilité DNS sera bien sûr assurée par le cluster de contrôleurs de domaine sur le site d Orsay et les serveurs DNS secondaires des sites distants du siège d Aristote. III.3.3 Schéma de l infrastructure proposée Pour éclaircir notre point de vue sur l infrastructure proposée, voici un schéma synthétisant tous les points abordés : Figure 9 Schéma de l architecture DNS III.3.4 Conclusion L architecture DNS proposée se présente comme étant à la fois la plus adapté à votre parc informatique et la moins coûteuse possible car le rôle DNS utilisé est natif à Windows Server 2008 R2 qui équipe tous vos contrôleurs de domaine. Vous trouverez une documentation plus complète en annexe. Energies Informatiques 28

29 III.4 Architecture de Messagerie Collaborative (Rudy PROME) III.4.1 Rappel des besoins La messagerie collaborative consistera à mettre à disposition des employés un système intégrant un agenda avec la gestion des tâches, des demandes de réunion, la possibilité d enregistrer des contacts personnels, ainsi qu une boîte de messagerie. Le tout sera possible de l intérieur comme de l extérieur et disposera de toute la sécurité nécessaire. III.4.2 Infrastructure proposée L architecture de notre client étant en grande partie basée dans un environnement Microsoft, l infrastructure Exchange 2010 que nous proposons s intègrera sans difficultés dans celle-ci. Elle dispose de toutes les fonctionnalités attendues par notre client. Son administration se veut simple et centralisée, la console d administration (EMC : Exchange Management Console) est accessible depuis n importe quel serveur Exchange (par exemple, la migration de boîtes mails et la création de nouveaux comptes sont extrêmement simples).nous assurons la haute disponibilité des serveurs d accès clients et de transport sur le site d Orsay par l intermédiaire d un cluster. Nous assurons également la haute disponibilité et restauration des MailBox grâce à la fonction DAG (Data Availability Group) propre au produit Exchange Nous préconisons le déploiement du client Microsoft Outlook 2010 sur les postes utilisateurs. Outlook et Exchange communiquent par le protocole natif d Exchange : MAPI. Tout échange est donc chiffré. Enfin, pour les nomades, Outlook Web Access offrira un accès à toutes les fonctionnalités d Outlook 2010 dans une interface similaire à partir de n importe quel navigateur Internet depuis un ordinateur de l entreprise ou public, Smartphones compris. III.4.3 Schéma de l infrastructure proposée Voici tous les serveurs Exchange nécessaires ainsi que leurs rôles. L explication en détails des différents rôles est disponible en annexe. La messagerie unifiée est traitée plus en détails dans la suite du rapport mais nous l avons intégrée au schéma de façon simplifiée afin d avoir une vision de l emplacement des serveurs nécessaires. Figure 10 - Schéma de l'architecture de messagerie collaborative III.4.4 Conclusion Puisque chaque site disposera de ses propres serveurs, vous possèderez l architecture à la fois la plus performante et la plus sûre. En effet, le temps d accès aux données par le client sera non seulement très rapide mais sera également assuré en cas de rupture d un lien WAN ou d incident sur un des serveurs Exchange. Aucun serveur ne sera virtualisé. Vous trouverez une documentation plus complète en annexe. Energies Informatiques 29

30 III.5 Architecture de Messagerie Instantanée (Rudy PROME) III.5.1 Rappel des besoins Liée à la messagerie collaborative, la messagerie instantanée permettra aux utilisateurs d établir des communications en temps réel entre eux. Elle pourra être textuelle, vocale ou même visuelle. L organisation de vidéo conférence à plusieurs sera également disponible comme le demande notre client. III.5.2 Infrastructure proposée La parfaite corrélation entre Exchange 2010 et Lync Server 2010 n est plus à démontrer. Bien qu il s agisse d un produit relativement récent, celui-ci a auparavant fait ses preuves en répondant au nom d Office Communication Server. Côté serveur, son administration est centralisée et sa console de gestion est accessible depuis un navigateur Internet. Lync dispose de nombreux rôles comme c est le cas d Exchange mais tous ne sont pas indispensables. Afin de ne pas arriver à de coûts excessifs et comme nous ne considérons pas ces fonctionnalités comme cruciales par rapport à l activité d Aristote, nous ne déploierons seulement ceux que nous jugeons nécessaires. Nous allons également centraliser les rôles retenus sur un serveur par site. Les postes des collaborateurs d Aristote seront équipés du client lourd Lync 2010 permettant la communication instantanée sous toutes les formes demandées (texte, voix, vidéo). L état de présence des utilisateurs sera même synchronisé sur les clients Outlook Lync 2010 Mobile est disponible pour les Smartphones afin de disposer des mêmes fonctionnalités. Par ailleurs, les nomades auront aussi accès à la messagerie instantanée par le biais de Lync Web Access depuis un navigateur Web. III.5.3 Schéma de l infrastructure proposée L architecture de Lync est assez ressemblante à celle d Exchange par son système de rôle et son serveur Edge dans la DMZ. Cependant, nous avons dispensé l infrastructure de certains rôles que nous n avons pas jugés indispensable pour notre client. Nous préconisons la mise en place d un serveur Lync comprenant sa propre base SQL par site afin que chacun d eux soient optimisés pour accueillir plusieurs flux voix/audio avec une qualité optimale simultanément. Figure 11 - Schéma de l'architecture de messagerie instantanée III.5.4 Conclusion Ce produit répond donc aux besoins du client. Couplé à Exchange 2010, les utilisateurs auront tout le panel de fonctionnalités nécessaires pour travailler dans les meilleures conditions en optimisant les coûts de déploiement et d administration de l infrastructure. Aucun serveur ne sera virtualisé. Lync comprend des fonctionnalités le rendant prêt à accueillir de la voix sur IP. Vous trouverez une documentation plus complète en annexe. Energies Informatiques 30

31 III.6 Messagerie unifiée (Vincent DESSEAUX) III.6.1 Rappel des besoins Aristote souhaite à terme intégrer la téléphonie au sein de son système de messagerie afin de diminuer les coûts de gestion liés à la messagerie et à la téléphonie, deux services dont le fonctionnement est devenu indispensable. Ce service permettra aux utilisateurs de recevoir des fax et messages vocaux dans leur BAL. III.6.2 Présentation de la solution Exchange 2010 permet de mettre en place cette notion de messagerie unifiée. Un serveur intermédiaire entre l'infrastructure téléphonique de l'entreprise et l'organisation Exchange permet aux utilisateurs d accéder aux messages vocaux, aux courriers électroniques et aux informations de calendrier situés dans leur boîte aux lettres Exchange 2010 à partir d un client de messagerie (Microsoft Outlook ou Outlook Web Access) ou d un périphérique mobile sur lequel ActiveSync Exchange est activé (Smartphone Windows Mobile, assistant numérique personnel (PDA) ou téléphone). La messagerie unifiée d'exchange Server 2010 permet : - De gérer vos systèmes de messagerie vocale et électronique à partir d'une seule plateforme - D offrir aux utilisateurs la possibilité de créer des messages d'accueil personnalisés et des options de transfert d'appel individuel - De gérer la messagerie unifiée à l'aide d'un menu personnalisable de routage d'appel - D activer l'indicateur de message en attente sur votre téléphone pour annoncer l'arrivée d'un nouveau message vocal III.6.3 Proposition d architecture Pour mettre en œuvre cette infrastructure, il convient de disposer d une passerelle multimédia pour l'interconnexion de votre réseau téléphonique existant avec la messagerie unifiée. Celle-ci fera office d intermédiaire et redirigera les messages vocaux et fax, vers le serveur ayant le rôle de messagerie unifiée, qui se chargera ensuite de le transmettre, via l envoi d un courriel, à l utilisateur concerné. Figure 12 - Schéma explicatif de la solution préconisée Sachant que la VOIP sera à terme intégrée sur l ensemble de vos sites, nous vous préconisons de disposer de ce rôle sur chacun d eux. Energies Informatiques 31

32 III.7 Partages de fichiers (Bastien GAYRAL) III.7.1 Besoins du client Le client souhaite que ses utilisateurs puissent accéder au partage de fichiers distribués (modèles documents qualité, processus de ventes, etc ). Il est demandé que cette solution permette à chaque utilisateur d un site de trouver sur ce dernier les documents désirés sans l utilisation des liaisons WAN. III.7.2 Présentation de la solution De par notre expertise, nous avons établi une volumétrie évolutive correspondante à chacun de vos sites. Site Orsay Bayonne Bruxelles Sophia Antipolis Capacité estimée 3 To 2 To 2 To 1 To Capacité conseillée 6 To 4 To 4 To 2 To Tableau 1 : Volumétrie de vos sites Ensuite, nous préconisons comme solution de partage de fichiers Windows serveur Il va permettre une meilleure gestion de votre réseau en allégeant la charge de vos liaisons WAN grâce à ses fonctionnalités DFS et Branche cache. Il s intègrera facilement à l annuaire Active Directory pour la gestion des droits de vos utilisateurs. Il est également possible de gérer les quotas des répertoires ainsi que certaines extensions pour éviter l encombrement de votre système de stockage et de votre réseau. III.7.3 Infrastructure proposée Compte tenu de vos besoins, nous proposons de mettre en place un serveur de fichiers Windows Serveur 2008 sur chaque site avec un répliqua des données. Comme le site d Orsay concentre plus de la moitié des utilisateurs, nous placerons un cluster sur ce site afin de permettre une haute disponibilité et une redondance des liens. Figure 13 - Architecture de la solution partage de fichiers Cette architecture a plusieurs avantages. Nous avons opté pour un bon compromis entre la qualité et le coût pour vous offrir une solution économique avec de bonnes performances pour le confort de vos utilisateurs. De plus, elle est évolutive et permettre d ajouter de l espace dans les systèmes de stockage à moindre coût grâce à la technologie iscsi. Energies Informatiques 32

33 III.8 Gestion de contenu (Bastien GAYRAL) III.8.1 Besoins du client Pour compléter le partage de fichiers, vous désirez une solution de collaboration entre vos utilisateurs utilisant un poste Linux et Windows. III.8.2 Solution proposée Microsoft Office SharePoint Server (MOSS) permet la génération de sites Web pour Internet ou l'intranet d'une entreprise. Il va donner la possibilité à vos utilisateurs : - De travailler ensemble sur des documents, - De partager, rechercher et stocker leurs données Très efficace en matière de travail collaboratif SharePoint inclut des fonctions simples en matière de workflow (processus de travail), documentaire, de gestion des enregistrements et de business intelligence. Il se présentera comme un outil indispensable à votre entreprise. III.8.3 Architecture proposée La recommandation est un serveur par type (Web, application et base de données) pour une mise en production. Ces serveurs seront installés en mode ferme, afin de pouvoir ajouter facilement de nouveaux serveurs pour faire évoluer la solution en fonction des besoins futurs. Dans ce contexte, nous vous proposons d utiliser le modèle géo-localisé afin de permettre une utilisation réduite de la bande passante des liens WAN. Nous aurons donc des fermes sur le site d Orsay et les clients utiliseront le lien WAN, ou un VPN pour les nomades, pour accéder au service. La bande passante sera réduite par rapport à une architecture répartie sur tous les sites, car les flux de synchronisation/réplication entre les serveurs MOSS sont plus importants que les requêtes des clients. Figure 14 - Implémentation de la solution proposée (MOSS 2010) Energies Informatiques 33

34 III.9 Site Web de l entreprise (Bastien GAYRAL) III.9.1 Rappel des besoins Il nous a été demandé de proposer au public un site Web dont l architecture doit être facilement administrable. III.9.2 Solution proposée Nous recommandons l utilisation des logiciels SharePoint 2010 et IIS7. IIS (abréviation d Internet Information Services) est un ensemble d'outils de communication qui regroupe un ensemble de serveurs : Un serveur Web : HTTP Un serveur de news : NNTP Un serveur d'envoi de mails (ou de routage de mails) : SMTP Un langage de programmation pour le serveur Web : ASP (Active Server Page). Un générateur de certificats SSL (sites Web sécurisés) Un serveur FTP. Contrairement à IIS6, IIS7 s adaptera mieux aux différents scénarios d implémentation et sera plus facile à administrer et plus performant. Comme nous l avons expliqué précédemment, SharePoint 2010 va donner à vos utilisateurs la possibilité de modifier et d améliorer votre site Internet quotidiennement en fonction de l actualité et des besoins demandés. Nous proposons d utiliser la solution mise en place pour la gestion des contenus. L un des atouts majeurs est que vous pouvez disposer d un ou de plusieurs sites Web, Internet ou extranet en utilisant la même interface d administration. Toutes les applications de service seront gérées de façon centralisée. A l aide du reverse proxy, nous vous proposons de rediriger vos flux pour une meilleure sécurité et un gain en rapidité en toute transparence pour vos utilisateurs. Cette partie sera détaillée dans un autre chapitre. III.9.3 Conclusion Intuitive, cette solution apportera une facilité d administration pour la création de sites Web. Simple dans l implémentation de nouvelles pages, elle vous permettra une mise à jour quotidienne en fonction de vos besoins. Energies Informatiques 34

35 III.10 Accès aux outils de bureautique Office (Arnaud HAMON) III.10.1 Rappel des besoins Aristote a besoin de mettre en place les outils bureautiques Office sur son infrastructure. Quel que soit le poste dont dispose l un de ses collaborateurs, il doit pouvoir y accéder quel que soit l'endroit. III.10.2 Présentation de la solution Ces outils de bureautique Office peuvent être mis à la disposition des collaborateurs de deux manières. La première étant l'installation de ces outils directement sur le poste de chaque utilisateur ou bien, la seconde étant de mettre en place une solution RDP afin de partager les outils sur un serveur dédié. Seulement, dans l'objectif de répondre à l'intégralité des besoins du client, les deux solutions seront adoptées. Les outils office seront déployés sur les postes fixes Windows. De cette manière, nous aurons une plus faible utilisation de bande passante et de bonnes performances d'utilisation des outils. Concernant les postes fixes Linux et les postes nomades, nous proposons d'implémenter une solution Remote Desktop Web Access. Elle permet de mettre un accès WEB sur lequel les utilisateurs vont pouvoir s authentifier et lancer des applications sans qu il soit installé ou qu ils aient à installer les applications sur leur machine local, ou bien d ouvrir un bureau à distance. On la complètera d'une solution Remote Desktop Gateway, permettant de sécuriser les flux et différents échanges. III.10.3 Implémentation de la solution Figure 15 - Schéma d'implémentation de la solution RDP III.10.4 Conclusion Centralisée sur le site Orsay, la solution répond aux besoins du client. De plus, cette architecture optimise l'utilisation des infrastructures réseaux et privilégie le confort des utilisateurs en optimisant les performances et l'accessibilité. Vous trouverez une documentation plus complète en annexe. Energies Informatiques 35

36 III.11 Accès à des systèmes d impression partagés pour tous les utilisateurs (Arnaud HAMON) III.11.1 Rappel des besoins Notre client a exprimé le besoin d un accès à un système d impression partagé pour tous les utilisateurs. III.11.2 Présentation de la solution Tout d'abord, il faut que l'utilisateur puisse repérer facilement l'imprimante sur laquelle il souhaite imprimer ses documents. Un plan de nommage est disponible en annexe afin de résoudre cette problématique. Ensuite nous proposons d'utiliser un rôle de Windows Server 2008 R2. Nous pouvons partager des imprimantes sur un réseau et centraliser les tâches de gestion des serveurs grâce au rôle de Gestion de l impression. Tout système d'exploitation a accès aux imprimantes partagées. La console d administration permet la gestion de plusieurs imprimantes et/ou serveurs d impression. Elle va permettre : De migrer des imprimantes vers d autres serveurs d impression De surveiller les files d attente à l impression et de recevoir des notifications lorsque ces files d attente arrêtent de traiter les travaux d impression De déployer des connexions à des imprimantes à l aide d une stratégie de groupe (GPO) III.11.3 Implémentation de la gestion de la localisation des imprimantes Figure 16 - Schéma de l'infrastructure de gestion d'imprimantes III.11.4 Conclusion La mise en place d un serveur d impression sur chaque site va optimiser les temps de réponse. Le rôle de gestion d impression permet la haute disponibilité du service d impression car chaque serveur peut gérer l'ensemble du parc d'imprimantes. Energies Informatiques 36

37 III.12 Reverse Proxy (Bastien GAYRAL) III.12.1 Objectif L objectif de cette partie est de proposer une solution pour sécuriser les serveurs internes de votre entreprise et réduire la charge de l accès Internet. III.12.2 Présentation Un reverse proxy permet aux utilisateurs extérieurs d'accéder indirectement à vos serveurs internes. Son objectif est de sécuriser vos serveurs grâce à l établissement d une connexion chiffrée (SSL) et de rediriger les flux entrants de manière transparente vers les serveurs appropriés. Rappelons que le reverse proxy permettra également de réduire la charge du réseau grâce à sa fonction cache. III.12.3 Infrastructure proposée L accès à votre réseau depuis l extérieur sera disponible uniquement sur le site d Orsay. Par conséquent, nous vous proposons d installer un serveur reverse proxy dans la DMZ d Orsay. Pour assurer la haute disponibilité, nous préconisons une solution de cluster. Cela permettra également à vos équipements d être toujours disponibles depuis l extérieur et de répartir la charge. Nous vous recommandons le logiciel Apache, numéro 1 sur le marché, et de l installer sur un serveur Debian. Ses faibles demandes en ressources s avèreront un atout indispensable lors de fortes charges sur votre réseau. Vous pouvez voir sur la figure suivante l architecture qui sera mise en place sur le réseau d Orsay. Figure 17 - Implémentation des reverse proxy dans votre entreprise Pour toutes informations complémentaires sur le sujet, vous trouverez une documentation complète en annexe. Energies Informatiques 37

38 III.13 Gestion des Machines Utilisateurs (Rudy PROME) III.13.1 Introduction Nous allons vous présenter dans cette partie ce qui va composer l interface des machines utilisateurs. III.13.2 Applications à disposition de tous Tous les postes des collaborateurs auront la même architecture de base. Afin d assurer une compatibilité optimale avec tous les outils et applications métiers internes, nous déploierons le navigateur Internet Explorer 9.Il disposera de tous les plugins nécessaires pour assurer le meilleur confort d utilisation et de navigation (des plugins tels que Flash, Java, Silverlight). Les utilisateurs Linux seront quant à eux équipés du navigateur Mozilla Firefox 4 avec les mêmes plugins. Les outils de bureautique intégrés seront Microsoft Office Les collaborateurs sous Linux pourront utiliser les outils Office via des applications Web hébergées par les serveurs SharePoint. Ils disposeront des clients Outlook 2010 (messagerie), Lync (messagerie instantanée) et Kaspersky (antivirus). Les utilisateurs Linux consulteront leur boîte de messagerie via Outlook Web Access, utiliseront la messagerie instantanée grâce à Lync Web Access et seront également équipés d un client Kaspersky. Des outils d assistance technique seront disponibles sur les serveurs SharePoint. III.13.3 Applications à disposition en fonction des services Les stations utilisateurs vont toutefois être quelques peu différentes selon leurs directions. Elles se verront équipées d applications métiers propres à leur direction. De plus, des lecteurs réseaux différents et communs entre les directions seront automatiquement montés au démarrage des postes pour accéder aux diverses ressources de l entreprise. III.13.4 Conclusion La sécurité du système d exploitation et tous ces outils mis à la disposition de vos collaborateurs se verront mis à jour automatiquement. Pour rappel, nous recommandons à vos utilisateurs de verrouiller leur poste avant de s absenter pour des raisons de sécurité. Energies Informatiques 38

39 Chapitre IV. Sécurité du système d information «La sécurité des systèmes d information (SSI) est l ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d'information.» Source : Wikipédia Comme le fait ressortir le cahier des charges, mais également parce qu Aristote tient une place majeure dans l innovation technologique, il est indispensable que vous soyez doté d une politique de sécurité efficace. Dans cette partie, nous allons aborder tous les éléments importants concernant la sécurité du système d information, nous allons notamment nous intéresser aux mécanismes suivants : Protection de l accès Internet VPN pour les accès nomades et les lignes WAN de secours Mise en place d un accès Internet fluide et contrôlé Publication des serveurs internes Sécurité de la Messagerie Renforcement des accès aux données de l entreprise Méthodologie liée à l utilisation du poste informatique Disponibilité d un système de sauvegarde des données Implémentation d une solution de mise à jour automatique de correctifs de sécurité Mise en place d une solution antivirale Sécurité du système d information 39

40 IV.1 Choix des équipements Firewall (Jérôme TENEUR) Le pare-feu de l entreprise étant un élément central du système d information, nous devons y attacher une importance toute particulière. Cet élément aura pour rôles principaux de : Sécuriser les flux transitant entre le réseau interne, la DMZ et Internet Etablir des connexions VPN SSL pour les nomades Etablir des connexions VPN IPSec site à site Etablir des règles NAT pour la publication des serveurs de la DMZ L une des premières décisions à prendre est le choix des modèles de firewall. Le choix se fera autour des modèles de deux constructeurs, à savoir Cisco et Fortinet. Tous deux proposent des produits pouvant s adapter à toute dimension d infrastructure, et répondent à toutes les attentes que vous avez pu émettre dans le cahier des charges. Cependant nous pouvons les distinguer en fonction de leur qualité, de leurs performances, de leur prix, et de leur facilité d administration. Au regard de la tendance du marché actuel, de la valeur ajoutée des produits de sa gamme FortiGate, et de notre expertise, nous préconisons des équipements Fortinet. Notons que le reste du présent document s articulera autour des produits Fortinet mais tout ou presque peut être appliqué à des produits Cisco. La seconde décision à prendre est l implantation des firewalls, leur nombre, et leurs modèles précis. Tout d abord, nous avons des serveurs sur chaque site, ce qui implique que des règles d accès doivent permettre la gestion des flux entre les utilisateurs d un site et les serveurs d un même site. Pour cela nous n allons évidemment pas saturer les liens MPLS, et donc devoir implémenter des firewalls sur chaque site. Enfin, au regard du nombre d utilisateurs, nous avons prévu deux firewalls en cluster à Orsay (qui devront de surcroit gérer les accès à Internet), et un firewall à Bayonne, à Sophia Antipolis, et à Bruxelles. Voici les firewalls que nous préconisons : Modèle Utilisateurs Nombre préconisé Max Orsay FortiGate 1000A Bayonne FortiGate Sophia Antipolis FortiGate 200A Bruxelles FortiGate Figure 18 - Schéma d architecture des firewalls Sécurité du système d information 40

41 IV.2 Sécurisation de l'accès Internet (Arnaud HAMON) IV.2.1 Rappel des besoins Aristote a besoin de la mise en place d'une sécurisation de son accès Internet. IV.2.2 Présentation de la solution Afin de sécuriser l accès Internet, nous préconisons l utilisation d un proxy. Le serveur proxy va nous permettre: de filtrer les sites consultables, grâce à des whitelists ou blacklists de ne pas donner un accès direct avec l'extérieur aux utilisateurs restreindre les plages d'utilisation d'internet La solution logicielle que nous proposons est Squid, entièrement libre et très performant. Ce logiciel permet une sécurisation des accès Internet. Proposant une solution d Active Directory, on donnera la possibilité à Squid de l'interroger afin de réaliser l authentification des utilisateurs. Squid est muni d'un cache, permettant de stocker les pages demandées et ainsi limiter l'utilisation de la bande passante pour des demandes identiques. IV.2.3 Implémentation de la solution Figure 19 - Schéma de l'implémentation de la solution de sécurisation de l accès Internet IV.2.4 Conclusion L'infrastructure que nous proposons possède un accès Internet seulement sur son site central. Cependant, cela est transparent pour les utilisateurs. Tous les utilisateurs auront accès à Internet quel que leur localisation. Un tel dispositif tend à minimiser les possibilités d'intrusions. On peut donc concentrer notre sécurité sur un seul accès. Vous trouverez une documentation plus complète en annexe. Sécurité du système d information 41

42 IV.3 Relai de messagerie SMTP (Jérôme TENEUR) Le relai SMTP est le rempart de filtrage des mails entrants. Toute entreprise utilisant un système de messagerie est la cible de spammeurs et d attaques par courriel vérolé, nous devons donc nous en prémunir efficacement. Le relai SMTP sera placé dans la DMZ, et aura pour rôle de : - Contrôler la présence de virus dans les pièces jointes - De déterminer si un courrier est légitime ou s il s agit d un spam Ce sera une zone tampon où toutes les données de messagerie entrantes seront analysées à la recherche de virus, de spam et d usurpation d identité. En effet, une solution complémentaire consistera à s appuyer sur une infrastructure à clés publiques (PKI) qui permettra de gérer des certificats pour l intégrité, la confidentialité et la signature des messages dans une organisation de confiance. Etant données la teneur du cahier des charges et la configuration de votre système de messagerie, nous vous préconisons la solution à base de Linux Debian embarquant PostFix MTA (Mail Transfert Agent) et SpamAssassin pour le traitement des spams, ainsi qu un agent Kaspersky en charge de l analyse antivirale. Figure 20 Schéma de délivrance de mails Préconisation MédiaNetworks Nous préconisons de l implémenter avec un second serveur en cluster. En effet, tous les flux SMTP y étant traités, il serait préjudiciable pour l entreprise qu il soit hors service. Pour pallier à cela, la solution la plus simple consiste à mettre en place un cluster Actif/Passif du type round robin DNS (cette technique permet à un DNS de donner deux IP pour joindre une même machine). Ainsi, si l un des membres du cluster venait à être hors service, le second prendrait le relais. Les détails de fonctionnement de PostFix, de l agent Kaspersky, et de SpamAssassin sont présentés en annexes. Sécurité du système d information 42

43 IV.4 Accès VPN (Bastien GAYRAL) IV.4.1 Rappel des besoins Dans cette partie, il nous est demandé de proposer une solution d accès à distance pour les utilisateurs itinérants. IV.4.2 Présentation de la solution Dans ce contexte, nous avons choisi la technologie VPN SSL. C est la solution la plus adéquate et la plus transparente avec votre architecture. Elle va offrir un accès sécurisé à vos utilisateurs distants à l aide d un navigateur Web uniquement. Il n est par conséquent plus nécessaire d installer de logiciels sur les postes clients. En plus, les pare-feu Fortinet offrent un niveau de protection supplémentaire grâce à une inspection du contenu. Cela permettra d assurer l intégrité des flux VPN et ainsi de protéger votre réseau de tout contenu malicieux ou néfaste. Figure 21 - Extrait d'une authentification pour le VPN SSL de Fortinet Figure 22 - Extrait d'une page d'accueil après authentification au VPN La figure ci-dessus représente la page d accueil après une authentification réussie. Comme vous pouvez le remarquer, il est possible d avoir accès à des fonctionnalités supplémentaires. Nous vous proposons la création d une page d accueil personnalisée par direction. Sécurité du système d information 43

44 IV.5 Architecture à clés publiques (Jérôme DELAHAIE) IV.5.1 Le besoin de sécurité La sécurité est au cœur du besoin d'aristote. Une infrastructure à clés publiques va nous permettre d'assurer plusieurs exigences en matière de sécurité : - La signature des courriers - Le chiffrement des courriers - L'authentification - L'usage de protocoles sécurisés tels que HTTPS IV.5.2 Bonnes pratiques et architecture proposée Pour mettre en place une PKI, il est recommandé d'avoir au minimum deux niveaux. Le premier niveau est une autorité de certification racine qui émet des certificats à la demande pour le deuxième niveau qui est l'autorité de certification intermédiaire. C'est ce deuxième niveau qui délivre les certificats aux machines et aux utilisateurs. Préconisation MédiaNetworks Pour renforcer la sécurité, l'autorité de certification racine doit être éteinte et sous clé dans un local sécurisé. Elle ne doit pas non plus faire partie du domaine. Il faut également un serveur disposant de la liste de révocation afin que l'on puisse vérifier de la validité des certificats. Nous vous proposons un serveur racine à Orsay et le rôle autorité de certification intermédiaire sur les serveurs Active Directory des différents sites (dont Orsay). Il faudra également un serveur hébergeant la liste de révocation sur le site d'orsay. Figure 23 - Schéma d'infrastructure de PKI Sécurité du système d information 44

45 IV.6 Politique de mise à jour des correctifs de sécurité (Vincent DESSEAUX) IV.6.1 Rappel des besoins Dans le but de renforcer la sécurité du système d information, il est demandé que l équipe chargé de l exploitation des infrastructures puisse assurer une politique de mise à jour des correctifs de sécurité pour les environnements présents, à savoir Windows et Linux. IV.6.2 Présentation des solutions Afin de répondre au besoin précédemment énoncé, nous vous proposons l utilisation du service WSUS (Windows Server Update Services) pour déployer les mises à jour en environnement Windows, ainsi qu un serveur de dépôt local pour le déploiement des paquets pour les postes en environnement Linux. IV.6.3 Proposition d architecture Le premier cas d architecture possible serait de mettre en place un serveur WSUS et un serveur de dépôt à Orsay. Pour ne pas perturber le trafic Internet, la synchronisation avec les serveurs publics se fera exclusivement de nuit. Cette solution à l avantage d être la moins coûteuse, mais risque de congestionner le réseau WAN car tous les postes se verront distribuer les mises à jour par les serveurs d Orsay. Le second cas d architecture possible, reprend l ensemble des caractéristiques de la précédente. En sus, nous proposons de mettre en place un serveur WSUS et un serveur de dépôt sur chaque site annexe, ceci afin de pallier à l inconvénient du premier cas d architecture. Les serveurs principaux se situeront à Orsay et se synchroniseront avec les serveurs publics. Les serveurs secondaires des autres sites se synchroniseront avec le primaire au minimum 1 heure après le lancement sur les serveurs primaires (de nuit également). Nous vous préconisons la seconde architecture car malgré un coût à l achat plus important, elle évite la saturation du réseau WAN privé et par conséquent améliore la gestion des flux inter-sites. Premier cas d architecture Second cas d architecture (Solution Préconisée) Figure 24 - Schémas des solutions de politique de mises à jour proposées Note : De plus amples informations en annexe Sécurité du système d information 45

46 IV.7 Politique Antivirale (Rudy PROME) IV.7.1 Rappel des besoins Pour notre client comme dans tout autre système d information, nous devons mettre en place une architecture antivirus simple à administrer et à déployer sur le parc informatique par les équipes techniques, en prenant compte des moteurs et des signatures antivirus. Il s agit de protéger en temps réel l ensemble du système d information : les postes utilisateurs, les serveurs, les systèmes de stockage, de messagerie et l accès Internet. IV.7.2 Infrastructure proposée Kaspersky Total Space Security est une solution «tout-en-un» qui regroupe tous les packs Kaspersky de niveau inférieur. Autrement dit, c est la solution qui va permettre à Aristote de protéger les stations de travail (sous système d exploitation Windows ou Linux et les Smartphones), les serveurs de stockage, les serveurs de messagerie et la passerelle Internet. La console de gestion permet une administration centralisée de la solution avec des possibilités de mettre en place plusieurs stratégies de sécurités différentes (par exemple une stratégie différente pour les postes nomades). Il offre le meilleur taux de menaces détectées grâce à ses mises à jour régulières et automatiques. Celles-ci se téléchargent une seule fois depuis les serveurs de Kaspersky Labs et sont ensuite dispatchées vers tous les agents de mise à jour en interne. Ces agents les appliquent ensuite eux-mêmes aux postes clients. Nous conseillons que la diffusion des mises à jour entre sites s effectue la nuit. IV.7.3 Schéma de l infrastructure proposée Etant donné que le seul accès Internet se situe à Orsay, il est indispensable d y installer un serveur Kaspersky complet avec un kit d administration. Celui-ci permettra d analyser notamment le trafic HTTP, HTTPS et les trafics mail en temps réel. Il se chargera bien sûr également d assurer la protection, les mises à jour de l antivirus des postes clients d Orsay, des serveurs de fichiers et de messagerie. Nous recommandons également un autre serveur Antivirus complet sur le site de Bayonne, d une part parce que son nombre d utilisateurs est élevé et d autre part pour avoir une redondance de serveur antivirus dans le cas où celui d Orsay tomberait en panne. Pour ce qui est des deux derniers sites distants, nous proposons la mise en place d un agent de mise à jour chacun afin de réduire les coûts. Donc il y aura une base antivirale sur chaque site afin de ne pas saturer le réseau WAN d Aristote. Ces agents comme les serveurs Kaspersky installeront les mises à jour aux clients en multidiffusion. Figure 25 - Schéma de l architecture antivirus IV.7.4 Conclusion Avec des coûts relativement bien optimisés, votre architecture se verra protégée de tout type d attaques ou intrusions sur vos serveurs et postes clients en environnement Microsoft ou Unix. La haute disponibilité est assurée grâce aux deux serveurs entre Orsay et Bayonne. Tous les sites seront mis à jour régulièrement la nuit en optimisant au maximum la bande passante des liens WAN. Nous préconisons pour des questions de budget de virtualiser tous les serveurs. Vous trouverez une documentation plus complète en annexe. Sécurité du système d information 46

47 IV.8 Sécurité des postes nomades (Vincent DESSEAUX) IV.8.1 Introduction Network Access Protection (NAP) est une technique de Microsoft, en partenariat avec Cisco, pour contrôler l'accès au réseau d'un ordinateur en se basant sur la santé et la conformité de son système. Elle est utilisée par les systèmes d'exploitation Windows Vista, Seven et Windows Server 2008 qui dispose nativement du client NAP Microsoft. IV.8.2 Description de la solution La gestion de la conformité et des politiques de sécurité s établit grâce à la fonction NAP qui est une technologie proposée par Windows Server 2008 visant à protéger l accès réseau d un poste n étant pas conforme avec les règles de sécurité de l entreprise, telles que : La présence d un antivirus à jour La présence de certains patchs de sécurité Le fonctionnement du pare-feu du poste Le compte d utilisateur employé Le domaine auquel le poste est rattaché Des routeurs capables de gérer la technique NAP L existence de serveurs de réseaux privés virtuels (VPN) La présence de serveurs mandataires (proxy) Lorsqu un client pénètre sur le réseau de l entreprise (via un serveur VPN) ou qu il tente d accéder à des ressources, il doit fournir son état de santé. Si le client est conforme aux politiques de sécurité, il aura accès aux ressources de l entreprise. S il est non-conforme, il sera mis dans une zone de quarantaine et ne pourra accéder aux ressources que s il devient de nouveau conforme aux politiques de sécurité. Cette mise en conformité sera assurée par les serveurs de remédiation. Figure 26 - Schéma explication du fonctionnement de la solution NAP IV.8.3 Proposition d architecture Cette solution, complémentaire à la solution VPN, sera déployée sur le site d Orsay afin de mettre en place une sécurisation supplémentaire du réseau de l entreprise par l isolement des postes pouvant représenter un risque. Cette sécurisation a pour effet de diminuer significativement le risque d une infection venant de l extérieur par un utilisateur nomade de par sa mise en quarantaine avant toute connexion au LAN. Sécurité du système d information 47

48 IV.9 Sécurisation Physique du Système d Informations (Rudy PROME) IV.9.1 Rappel des besoins Après avoir traité toute la sécurité de votre système d informations du point de vue logique, il faut également attacher une haute importance au niveau physique. Il s agit d une faille pouvant être exploitée par n importe quel type de personne, qu elle est des compétences en informatique ou non. En effet, le matériel se voit exposer à des risques de dégradation, de vol et d intrusion. IV.9.2 Sécurisation des postes utilisateurs Afin d éviter tout vol du matériel mis à disposition des utilisateurs, nous vous recommandons l utilisation d antivols spécifiques fournis par la constructeur Kensington. Vous pourrez ainsi protéger vos postes de bureau, vos ordinateurs portables et vos écrans de tout vol. Nous vous préconisons l achat de antivols CLickSafe de Kensington à 40 HT l unité, soit un total de 80 k. De plus, une GPO sera mise en place sur les contrôleurs de domaine afin de verrouiller automatiquement tous les postes des collaborateurs au bout de 10 minutes d inactivité. Toutefois, nous recommandons à vos utilisateurs de verrouiller euxmêmes leur poste avant de s absenter. IV.9.3 Sécurisation des locaux Les différents bâtiments de l entreprise doivent posséder un moyen de contrôle d accès des personnes. Pour cela, les entrées des bâtiments doivent être des portes blindées, équipées d un système d accès par badge et nous recommandons l utilisation de la vidéo-surveillance. Les bureaux des collaborateurs doivent pouvoir être verrouillés à clef. Les salles contenant les baies de brassage des différents sites d Aristote se doivent également d être sécurisée par des moyens de vidéo-surveillance. Nous préconisons également l installation de portes blindées avec accès par codes que seule la direction informatique doit connaître. IV.9.4 Sécurisation du réseau Enfin, afin d éviter toute intrusion sur le système d informations, il doit y avoir un contrôle des prises réseaux murales de toute l entreprise. Il faut désactiver toutes les prises qui ne sont pas utilisées pour être en mesure d empêcher toute station extérieure à l entreprise de se connecter physiquement au réseau interne. IV.9.5 Conclusion L achat d antivol, la mise en place de système de vidéo-surveillance et le verrouillage des locaux par code d accès, badges et portes blindées permettent d assurer la sécurisation physique de votre système d informations. Sécurité du système d information 48

49 IV.10 Prévention du vol de matériel (Jérôme DELAHAIE) IV.10.1 Besoin de confidentialité : Aristote nous a exprimé un fort besoin de confidentialité de ses données. Ce besoin doit être couvert par le SLA. Afin de répondre à ce besoin, nous nous sommes tournés vers la solution CompuTrace. Cette solution permet la localisation des machines et la destruction des données à distance. IV.10.2 Solution proposée La solution CompuTrace se présente sous la forme d'un logiciel intégré au bios de la machine. Ce logiciel interroge un serveur tous les jours. Si le vol est déclaré, le serveur va demander au logiciel de le contacter toutes les 20 minutes ce qui permet de localiser la machine par son adresse IP. Le serveur peut également envoyer un message pour la destruction ciblée de données sur la machine. IV.10.3 Coûts de la solution Cette solution est proposée à 50 par an et par machine. Solution 1 : juste les portables Solution 2 : tous les postes Nombre de postes Coût par an Nombre de postes Coût par an k k Coût sur 5 ans 40 k Coût sur 5 ans 245 k Préconisation MédiaNetworks Nous vous préconisons de ne l'installer que sur les postes portables, car ce sont les postes qui sont les plus exposés au vol. Sécurité du système d information 49

50 Chapitre V. Administration et surveillance du système La surveillance des réseaux et systèmes est un point non négligeable afin de pouvoir prévenir, mais aussi de dépanner toute défaillance possible en optimisant les ressources humaines et ainsi en réduisant les coûts. Dans cette partie, nous vous présenterons l ensemble des outils nécessaires permettant d administrer et de surveiller vos infrastructures réseaux et systèmes, et de faciliter l administration de celles-ci. Il sera question de vous mettre à disposition des solutions vous permettant : L aide au déploiement de masse D assurer une surveillance du réseau en incluant une notion de reporting, mais aussi d alarme via l envoi d alerte par SMS ou courriel De faciliter l administration localement et à distance De gérer votre parc informatique Il convient de noter que les solutions citées devront satisfaire l ensemble des exigences des contrats de service, qui seront détaillées dans la partie exploitation des infrastructures. Administration et surveillance du système 50

51 V.1 Surveillance du système et gestion des alertes (Arnaud HAMON) V.1.1 Rappel des besoins Une bonne gestion de l administration du système d information ne peut se passer de surveillance. Une surveillance permet ainsi une pro-activité sur les actions à mettre en place pour le SI ainsi qu une aide à la résolution d incidents. Le système de surveillance de Système devra permettre une gestion complète des événements, un suivi des accès vers et depuis l Internet, un état des liens et/ou services operateurs utilisés, une surveillance des différents logs des serveurs, une cartographie de l ensemble du système et une surveillance des différents équipements actif du réseau. V.1.2 Présentation de la solution Nagios et pnp4nagios permet de répondre aux besoins de notre client. La solution Nagios permet la surveillance du parc informatique complet, équipements réseaux comme systèmes, s appuyant sur certains protocoles tels que ICMP, SSH, SNMP, ainsi que des plugins afin de remonter les différentes métriques des équipements supervisés. Des agents sont installés sur chaque équipement système à superviser. Couplé avec Pnp4nagios, les métriques de performances collectées seront analysées pour générer des graphes de performances intégrés directement à la console de supervision. Cette console est une interface WEB sur laquelle l'ensemble des éléments prérequis client seront implémentés. V.1.3 Implémentation de la solution Figure 27 - Schéma de l'infrastructure de supervision V.1.4 Conclusion Au vue du système d'information d'aristote, l'implémentation de la solution de supervision sur le site d'orsay est conseillée. Cette solution va permettre la centralisation de la supervision à travers une unique interface Web. Facilitant ainsi la gestion des alertes, des procédures pourront être mises en place afin de permettre une meilleure gestion de l'incident en donnant les actions à réaliser ou les interlocuteurs à contacter pour le résoudre. Un cluster actif/passif sera mis en place pour assurer la continuité de service. Vous trouverez une documentation plus complète en annexe. Administration et surveillance du système 51

52 V.2 Gestion du parc informatique (Bastien GAYRAL) V.2.1 Rappel des besoins Il nous est demandé de proposer une solution d administration et de surveillance de votre infrastructure réseau et système. Cela dotera votre équipe informatique des outils nécessaires pour leur permettre de gérer le parc informatique, de satisfaire les exigences du contrat de service et de faire des tableaux de bord. V.2.2 Présentation L objectif est de mettre à votre disposition des outils permettant de gérer l ensemble de vos problématiques de gestion de parc informatique en prenant en compte la sécurité et la simplicité. Notre équipe d experts en solution Unix a choisi les logiciels GLPI et OCS Inventory car ils conviendront parfaitement à votre infrastructure et sont conformes à vos besoins. Cette solution apporte de nombreux avantages essentiels pour votre infrastructure : Une réduction des coûts en contrôlant les surconsommations, en évitant les achats inutiles et le renouvellement des contrats de maintenance sur des ressources inutilisées ou trop anciennes Une amélioration de la performance de vos équipes informatiques grâce à l automatisation de la collecte des informations, un suivi en temps réel des incidents et au télédéploiement V.2.3 Implémentation de la solution Nous préconisons l installation d un serveur de gestion de parc informatique GLPI avec OCS sur le site d Orsay pour centraliser les informations de l ensemble du parc informatique. Pour s assurer de la continuité de ce service, nous conseillons l installation d un deuxième serveur de gestion de parc sur le site de Bayonne avec une mise à jour quotidienne de la base de données. Nous vous proposons la solution d implémentation suivante : Figure 28 - Architecture de la solution d administration et de la surveillance du système Pour toutes informations complémentaires sur le sujet, vous trouverez une documentation complète en annexe Administration et surveillance du système 52

53 V.3 Aide au déploiement de masse (Vincent DESSEAUX) V.3.1 Rappel des besoins Il est demandé d intégrer des outils permettant de faciliter le déploiement de masse d images système par l équipe chargée de l exploitation du système d information. V.3.2 Présentation de la solution Afin de répondre pleinement à vos exigences, nous vous préconisons l utilisation du service WDS (Windows Deployment Service), qui permet le déploiement d images sur les postes de travail par l intermédiaire du réseau via le PXE (Preboot execution Environment), qui permet de charger au démarrage de la machine l environnement d installation. Cette solution sera complétée par MDT (Microsoft Deployment Tools) afin de disposer d une installation automatisée et personnalisée. V.3.3 Proposition d architecture Le premier cas d architecture possible serait de mettre en place un serveur WDS à Orsay qui gèrera le déploiement d images sur l ensemble du parc. Cette solution est la moins coûteuse, mais a un impact très négatif sur la bande passante des liens WAN, mais également sur les performances lors d un déploiement sur un site distant. Le second cas d architecture possible serait d installer un serveur WDS sur chacun des sites, ce qui procure comme principal avantage de limiter l utilisation de la bande passante, mais offre également l avantage de pouvoir mettre à disposition des configurations personnalisées à l image d un site. Nous préconisons donc ce choix qui apporte de meilleures performances ainsi qu une plus grande souplesse quant aux configurations à déployer. Second cas d architecture (Solution Préconisée) Figure 29 - Schéma de la solution de déploiement d image proposée Note : De plus amples informations en annexe Administration et surveillance du système 53

54 V.4 Administration et prise en main à distance (Vincent DESSEAUX) V.4.1 Rappel des besoins Il est demandé de doter l équipe chargée de l exploitation du système, d outils permettant de faciliter l administration localement et à distance. V.4.2 Présentation des solutions V Administration des serveurs Microsoft Plusieurs solutions existent afin de faciliter l administration des serveurs étant sous un système Microsoft. Pour l administration des solutions Microsoft Windows Server, nous vous conseillons dans un premier temps les outils d administration de serveur distant qui se présentent sous la forme d un package nommé RSAT (pour «Remote Server Administration Tools»). Ces outils d administration de serveurs distants permettent aux administrateurs informatique de gérer des rôles et des fonctionnalités installés sur des ordinateurs Windows Server 2008 R2 à partir d'un ordinateur distant fonctionnant sous Windows. Cette solution est comparable à celle du pack d outils d administration de Windows Server 2003 et est gratuite. Il est également possible d utiliser la connexion au bureau à distance qui permet d accéder directement au serveur et ce, de façon graphique. Cependant, le nombre de sessions que l on peut ouvrir est limité à 2, ce qui peut compliquer l administration à l avenir. Il existe une console MMC qui inclut le bureau à distance. Cette console a l avantage de pouvoir regrouper tous les serveurs accessibles par le bureau à distance sur une même interface. Elle simplifie la visualisation des serveurs et la rapidité d intervention et donc l administration. On préconisera de l installer sur les postes clients des administrateurs système. V Pour les distributions Linux L administration des serveurs sous Linux sera faite via une session SSH (Secure Shell). Cette solution nous permettra d administrer les serveurs Linux à distance en disposant d une interface en ligne de commandes, qui est réputée être la meilleure solution d administration des serveurs Unix. Nous conseillons de mettre en place sur les postes des administrateurs, l outil «Putty», qui est un émulateur de terminal doublé d'un client pour les protocoles SSH. Nous conseillons également l installation de l outil «Putty Connection Manager», qui est un logiciel permettant de gérer vos différentes connexions sous une seule fenêtre avec l utilisation d onglets. V Prise en main à distance Il existe des logiciels de connexion à distance tels que Real VNC qui offre un haut niveau de sécurité supplémentaire de connexion et communication. Cette solution se présente sous la forme d une version entreprise payante et une version personnelle gratuite, qui offre l avantage par rapport au bureau à distance de ne pas être limitée en nombre de sessions ouvertes. De plus, cette solution est compatible avec bon nombre de systèmes d exploitation, notamment disponible pour la plupart des distributions Linux. Nous vous préconisons l utilisation de la version personnelle de VNC sur les postes clients. Pour ce qui concerne les serveurs, les solutions précédemment énoncées sont amplement suffisantes à l heure actuelle. Cependant, l utilisation de la version entreprise de VNC pour les serveurs Microsoft peut être préconisée si plus de deux connections simultanées sont envisagées. V.4.3 Conclusion L équipe d administration installera sur leurs postes clients l outil RSAT, le client Putty avec l utilitaire Putty Connection Manager, la console MMC incluant le bureau à distance. De plus, ils utiliseront également Real VNC personnel pour se connecter à distance sur les postes clients dans le cas d une télémaintenance.

55 Chapitre VI. Méthodologie de déploiement Concernant le déploiement, celui-ci devra être effectif dans un délai de cinq mois maximum. Dans ce délai imparti, il convient de réaliser les tâches liées à: L approvisionnement des composants nécessaires à votre infrastructure La mise en place des services opérateurs devant être souscrit La planification des tâches à réaliser La définition de l organisation, des ressources humaines et la méthodologie mise en place L estimation des coûts de déploiement en termes d approvisionnement et de frais de mise en service Dans cette partie, il vous sera présenté les intérêts financiers que peux apporter la virtualisation dans votre infrastructure. Méthodologie de déploiement 55

56 VI.1 Formation des utilisateurs (Arnaud HAMON) VI.1.1 Rappel des besoins Aujourd'hui, on ne peut ignorer que les différents collaborateurs ne sont pas des utilisateurs quotidiens des applications métiers et ne sont pas toujours conscientes des risques que certaines manipulations peuvent avoir. Il parait évident qu'une méthode pour former les différents collaborateurs doit être instaurée. VI.1.2 Méthode de formation étudiée Afin de former les différents collaborateurs, un système complet va être mis en place. Pour commencer, nous proposons de faire venir un formateur au sein de l'entreprise pour deux aspects : - Formation des responsables : sécurité des postes de travail, droits liés à l'information - Formation des employés : Sécurité des postes de travail, applications métiers Ensuite, pour les aspects de sécurité et dans le long terme, des mails d'information de sécurité seront envoyés régulièrement. Les informations devront être transmises par les différents responsables aux nouveaux collaborateurs. Pour finir, pour toutes manipulations liées aux applications métiers, un site Web sera mis en place. Il contiendra des procédures et des manipulations pouvant être nécessaires aux différents collaborateurs. VI.1.3 Implémentation de la solution Figure 30 - Schéma de la solution d'accès WEB de formation VI.1.4 Conclusion Cette méthode s'inscrit dans la durée. Ainsi, même après implémentation et mise en place de l'infrastructure, des mises à jour et des optimisations pourront être apportées au fur et à mesure. L'objectif est de donner un maximum d'informations aux différents utilisateurs, pour les bonnes pratiques liées à la sécurité, et l'utilisation de leurs applications métier. Méthodologie de déploiement 56

57 VI.2 Planification du déploiement (Jérôme DELAHAIE) VI.2.1 Déploiement par lot Nous vous proposons de déployer notre solution par lots. Les lots seront organisés de la manière suivante : Lot 1 : Orsay Lot 2 : Bayonne Lot 3 : Sophia Antipolis Lot 4 : Bruxelles Un délai de 2 mois a été prévu pour la livraison du matériel. La réalisation du câblage a été prévue pour une durée de 10 à 15 jours selon les sites. Ces délais sont dépendants d'autres sociétés et peuvent introduire des décalages dans la durée du planning. VI.2.2 Aperçu de l'ensemble des jalons VI.2.3 Description des commandes à passer Vous trouverez l'intégralité du planning en annexe. Méthodologie de déploiement 57

58 Chapitre VII. Exploitation des infrastructures Au travers de ce chapitre, nous vous présenterons la méthodologie de mise en production consistant à faire évoluer votre système d information de façon structurée sans commettre d erreurs. On va ainsi chercher à réduire l impact négatif des changements, améliorer la gestion des dysfonctionnements en connaissant les modifications apportées et donc, à terme, améliorer l efficacité des services rendus. Nous vous présenterons également le SLA (Service Level Agreement) c'est-à-dire le contrat défini le service à fournir à la société Aristote, les responsabilités de chacun ainsi que les limites du présent contrat. Exploitation des infrastructures 58

59 VII.1 Gestion des mises en production (Bastien GAYRAL) VII.1.1 Besoins du client Il est demandé de réaliser une procédure de gestion des incidents dans la méthodologie. Toute autre méthode sera appréciée. VII.1.2 Présentation L objectif de la gestion des changements et de la mise en production est de réduire les conséquences des incidents liés à des changements sur votre système. A cet effet, toute modification, qu elles soient matérielles (changement de disque, ajout de mémoire ) ou logicielles (mises à jour des systèmes, installations de logiciel ) devra être notifiée de façon à en garder une trace et éventuellement pouvoir revenir en arrière. Lorsqu'un changement est nécessaire, il faut évaluer les risques de sa mise en œuvre et son impact sur la continuité de l activité métier pendant et après cette mise en œuvre. Lors de la mise en production, il va s'agir de protéger l environnement de production et les services associés par l utilisation de procédures et par des vérifications lors de l implémentation des changements. Tout changement sera accompagné de tests permettant de valider les modifications apportées. Une solution de repli de type «retour arrière» sera également étudiée. Il est préférable, d une manière générale, de planifier les changements en fonction de la disponibilité des ressources tout en cherchant à éviter les changements faits dans l urgence suite à un dysfonctionnement du système. Nous vous proposons une répartition de vos serveurs en deux catégories : - Pré-production - Production La partie pré-production désignera l'étape précédant la mise en production d'un service ou d'une mise à jour. Ainsi votre équipe informatique aura l'opportunité de tester l'application ou la mise à jour dans un environnement de simulation. Nous recommandons également la mise en place des méthodes suivantes : - Mettre en place un planning prévisionnel des changements - Planifier les mises à jour système et les installations de nouvelles applications sur les serveurs pré-production - Avertir et informer les utilisateurs de l'interruption de service suite au changement de configuration - Vérifier si l implémentation s est bien réalisée ou si la solution de retour arrière a fonctionnée VII.1.3 Conclusion Ces méthodes consistent à faire évoluer votre SI de façon structurée sans commettre d erreurs. On va ainsi chercher à réduire l impact négatif des changements, améliorer la gestion des dysfonctionnements en connaissant les modifications apportées et donc, à terme, améliorer l efficacité des services rendus. Exploitation des infrastructures 59

60 VII.2 Service Level Agreement (Jérôme DELAHAIE) VII.2.1 Objet Ce contrat défini le service à fournir à la société Aristote, les responsabilités de chacun ainsi que les limites du présent contrat. VII.2.2 Participants Ce contrat lie la société MediaNetwork et la société Aristote pour la fourniture des services décrits dans le présent document ainsi que ses avenants. VISA Media Network VISA ARISTOTE VII.2.3 Destination du service Ce contrat décrit les services que la société Media Network met en œuvre pour la société Aristote. VII.2.4 Durée du service Le présent contrat est établi pour une durée de 5 ans. Les horaires d'ouverture du service de support sont les suivants : Lundi Mardi Mercredi Jeudi Vendredi Samedi Dimanche et jours fériés 7h à 22h 7h à 22h 7h à 22h 7h à 22h 7h à 22h Astreinte Astreinte VII.2.5 Liste des services Les services suivants sont garantis par le présent contrat : - Disponibilité des Infrastructure techniques 7/7 - Sécurisation des données en cas d'incident majeur - Confidentialité et intégrité des données - Traitement des incidents utilisateurs en GTR 4 en suivant la procédure prévue VII.2.6 Ce qui ne fait pas partie du SLA Les serveurs et applications métier ne sont pas pris en compte dans le présent contrat. Leur support pourra néanmoins faire l'objet d'un avenant à ce contrat. Exploitation des infrastructures 60

61 VII.2.7 Matrice de responsabilités Service Responsabilité de MédiaNetwork Responsabilité d'aristote DNS X DHCP X Annuaire X Messagerie X Partage de fichiers X Monitoring X Impression partagée X Pare-feu X Antivirus X Proxy X Accès réseau LAN X Accès réseau Inter-sites X Accès Internet X Infrastructure à clés publiques X Backup X Mise à jour X Portail Intranet et Internet X Incidents utilisateurs hors applications métier X Incidents utilisateurs applications métier X Incidents serveurs métiers X Destruction des locaux X VII.2.8 Plage de service Le service d'infrastructure sera disponible 24/24h et 7/7. En jours et heures ouvrés le service sera garanti par le biais d'astreinte. Le service de résolution d incidents utilisateurs sera disponible en jours ouvrés de 7h à 22h. VII.2.9 Volumétrie Le présent contrat couvre l'ensemble des serveurs d'infrastructure, un volume de 822 postes utilisateurs de type postes de travail fixe et un volume de 152 postes utilisateurs de type poste utilisateurs mobiles. La volumétrie d'incidents de type utilisateur traitables par mois est de 900 incidents. Ce calcul correspond à la capacité de traitement d'une équipe de 5 personnes (une par site et deux sur Orsay) qui traite 9 incidents par jour. Le temps de résolution des incidents matériels de type utilisateur nécessitant un remplacement du poste est garanti dans les limites suivantes : Site Orsay Bayonne Bruxelles Sophia Antipolis Nombre d'incidents par mois 14 postes fixes et 5 postes mobiles 8 postes fixes et 2 postes mobiles 8 postes fixes et 4 postes mobiles 4 postes fixes et 1 postes mobiles Les incidents matériels des utilisateurs nomades ne pourront être résolus que lors de leur retour sur un des sites d'aristote. Exploitation des infrastructures 61

62 VII.2.10 Procédure de résolution des incidents Figure 31 - Procédure de traitement des incidents En vert sont indiquées toutes les étapes nécessitant l'intervention du client. VII.2.11 Conditions financières L'ensemble de la prestation est facturée 300 k par an. VII.2.12 Définition des indicateurs Les différents indicateurs sont : - Le pourcentage de disponibilité de l'infrastructure - Le pourcentage de disponibilité des postes utilisateurs - Le volume d'incidents traités Ces indicateurs seront communiqués dans un rapport livré dans les cinq premiers jours de chaque mois et indiqueront les compteurs du mois précédent. Un rapport annuel sera également livré dans la première semaine de chaque anniversaire du présent contrat. Les indicateurs de disponibilité seront calculés de la manière suivante : Les temps seront donnés en minutes et la disponibilité en pourcentage. La disponibilité des services d'infrastructure sera garantie à hauteur de 98% avec un seuil de rupture des dispositions du contrat à 94% La disponibilité des postes utilisateurs sera garantie à hauteur de 96% avec un seuil de rupture des dispositions du contrat à 92%. Le dépassement de la limite d'incidents matériels ou du volume d'incidents entraine la perte des garanties de temps de résolution. Exploitation des infrastructures 62

63 Chapitre VIII. Bilan financier Vous retrouverez au travers de ce bilan, l ensemble des équipements actifs de votre système d information, et les coûts à l achat, mais aussi la répartition des services sur les machines, et la mise en avant des services virtualisés ainsi que les avantages que vous en tirerez. Nous prendrons également en considération les coûts de déploiement, les coûts des licences nécessaires, et les frais opérateurs. L ensemble de ces tarifications seront exposées en k uro à l achat, et en k uro annuel. Bilan financier 63

64 VIII.1 Intérêts de la Virtualisation (Rudy PROME) VIII.1.1 Présentation La virtualisation va permettre à notre client de faire fonctionner sur une seule et même machine, plusieurs systèmes d exploitation comme s ils étaient sur des ordinateurs distincts. L outil que nous allons utiliser se nomme un hyperviseur. Il possède un noyau très léger afin d optimiser les performances des systèmes d exploitation invités. Figure 32 - Schéma principe de la virtualisation VIII.1.2 Avantages VIII Réduction des dépenses Dès l achat, vous allez faire de grandes économies (près de 50 %). Au lieu d investir dans plusieurs matériels différents pour installer vos serveurs, vous n achèterez qu une seule machine d une puissance beaucoup plus élevée. Sans virtualisation Avec virtualisation Bénéfice 20 serveurs HP ProLiant DL360 G6 à HT l unité 11 serveurs HP ProLiant DL320 G6 à 1300 HT l unité 8 serveurs HP ProLiant DL380 G6 à HT l unité (dans le cas d un cluster par site) 31 serveurs = HT 8 serveurs = HT HT soit 49 % environ Enfin, il n est pas négligeable de vous parler de consommation électrique. En effet, la centralisation de vos serveurs va vous permettre de faire environ 63% d économie d énergie chaque année. Nous estimons une moyenne de 8000 kwh de consommation électrique pour serveur sur une année et kwh pour un hyperviseur.et 1 kwh = 0,1 HT. Consommation électrique annuelle (kwh) Facture de la consommation électrique (HT) Sans virtualisation Avec virtualisation Bénéfice 8000 x 31 (nombre de serveurs) = x 8 (dans le cas d un cluster par site) = soit 63 % environ soit 63 % environ VIII Optimisation de l administration D une part, l installation de vos serveurs se fera en quelques clics seulement puisque vous n aurez pas besoin de les mettre en place physiquement. Nous vous recommandons l utilisation des templates et des snapshots. Les templates vous permettront de déployer en quelques minutes un nouveau serveur depuis une image virtuelle. Les snapshots vous permettront de sauvegarder et restaurer à un instant T vos serveurs. Ceci est très efficace en cas d incident. D autre part, vous pourrez depuis n importe quel poste le permettant, vous connecter à distance sur la plateforme de virtualisation. Ceci vous permettra d administrer tous les serveurs présents sur l hyperviseur depuis une seule et unique console de gestion. Si vous constatez que des serveurs fonctionnent en mode dégradé, vous pourrez également modifier leurs ressources matérielles en temps réel depuis cette console. VIII.1.3 Conclusion Les avantages financiers et de productivité que présente la virtualisation prouvent qu il s agira d un investissement très rapidement amorti puis rentable. Nous prévoyons la présence d hyperviseur sur tous vos sites. Cependant pour assurer une haute disponibilité de tous vos serveurs virtuels, nous vous préconisons fortement l installation d un cluster de plateforme de virtualisation par site. Bilan financier 64

65 VIII.2 Identification du Matériel et des Licences Nécessaires (Rudy PROME) VIII.2.1 Architecture Réseau Un certain nombre d équipements réseaux vous sont nécessaires pour connecter votre infrastructure. Tout le matériel permettant la connexion inter-sites et Internet est pris en charge par l opérateur Orange. Nous avons donc à traiter les équipements réseaux permettant d interconnecter tous vos LAN de chaque site. Commutateurs Orsay Bayonne Sophia Antipolis Bruxelles Total Switch Cisco Catalyst Switch Cisco Catalyst Switch Cisco Catalyst VIII.2.2 Architecture Système Ce tableau synthétise tous les serveurs nécessaires, leur emplacement, et les licences nécessaires : Service Nombre Emplacement Serveurs Licences Contrôleurs de domaine 6 3 à Orsay (1 en DMZ) 1 par site distant 3 sur HP DL360 6 Windows Server 2008 R2 1 sur HP DL320 2 sur HP DL380 5 sur HP DL380 5 Windows Server 2008 R2 Partage de fichiers 5 2 à Orsay 1 par site distant Accès aux outils Office 2 2 à Orsay (1 en DMZ) 2 sur HP DL360 (1 2 Windows Server 2008 R2 avec 76 Go RAM) Gestion des ressources 4 3 SharePoint à Orsay 3 sur HP DL380 4 Windows Server 2008 R2 1 SQL Server à Orsay 1 sur HP DL360 1 SQL Server ; 3 SharePoint Système d impression 4 1 par site 4 sur HP DL380 4 Windows Server 2008 R2 Site Web Aristote 1 1 à Orsay (en DMZ) 1 sur HP DL380 1 Windows Server 2008 R2 Backup 1 1 à Orsay 1 sur HP DL380 1 NAS 16 To Messagerie 6 3 à Orsay (1 en DMZ) 4 sur HP DL360 collaborative 1 par site distant 2 sur HP DL320 Messagerie instantanée 5 2 à Orsay (1 en DMZ) 1 par site distant 3 sur HP DL360 2 sur HP DL320 Messagerie unifiée 4 1 par site 2 sur HP DL360 2 sur HP DL320 Pare-feu 5 2 à Orsay 2 FortiGate 1000A 1 par site distant 2 FortiGate FortiGate 200A 1 Windows Server 2008 R2 6 Windows Server 2008 R2 6 Exchange Server Windows Server 2008 R2 5 Lync Server 2010 ; 1000 Clients 4 Windows Server 2008 R2 4 Exchange Server 2010 Aucune Antivirus 4 1 par site 4 sur HP DL380 4 Windows Server 2008 R2 4 Kaspersky Admin Kit ; 1000 Clients Mise à jour 8 1 WSUS par site 8 sur HP DL380 4 Windows Server 2008 R2 1 dépôt Linux par site Infrastructure PKI 1 1 à Orsay 1 sur HP DL360 1 Windows Server 2008 R2 Sécurité messagerie 1 1 à Orsay (en DMZ) 1 sur HP DL360 Aucune Accès Internet et proxy 4 1 par site (en DMZ) 4 sur HP DL380 Aucune Reverse proxy 2 2 à Orsay (en DMZ) 2 sur HP DL380 Aucune Supervision 2 2 à Orsay 2 sur HP DL380 Aucune Déploiement de stations 4 1 par site 4 sur HP DL380 4 Windows Server 2008 R2 Gestion de parc 2 2 à Orsay 2 sur HP DL380 Aucune Formation utilisateur 1 1 à Orsay 1 sur HP DL380 Aucune Bilan financier 65

66 VIII.2.3 Détails sur les différents types de serveurs Voici précisément le rôle des 3 types de serveurs provenant du constructeur HP que nous allons utiliser, ainsi que leur configuration en détails : HP ProLiant DL320 G6 Pour les serveurs physiques Sur les sites de Sophia Antipolis et Bruxelles HP ProLiant DL360 G6 Pour les serveurs physiques Sur les sites d Orsay et de Bayonne HP ProLiant DL380 G6 Pour les serveurs virtuels Sur tous les sites HP ProLiant DL320 G6 HP ProLiant DL360 G6 HP ProLiant DL380 G6 Processeur 1 Intel Xeon Intel Xeon Intel Xeon 5600 Mémoire RAM 8 Go 12 Go 128 Go Disque dur 500 Go 500 Go 10 To VIII.2.4 Architecture utilisateurs Nous préconisons trois types de configurations utilisateurs. La configuration dite élevée est destinée aux collaborateurs des directions Etude et Production. Configuration Windows 7 Professionnel de base et Linux Dell Optiplex Ecran 17 Configuration Windows 7 Professionnel élevée Dell Optiplex Ecran 23 PC Portable Windows ou Linux Dell Latitude E6410 Processeur Intel Core i3 Intel Core i7 Intel Core i5 Mémoire RAM 3 Go 6 Go 3 Go Disque dur 250 Go 500 Go 250 Go VIII.2.5 Scénarios sur la virtualisation Nous proposons deux scénarios possibles concernant les plateformes de virtualisation. VIII Scénario le moins cher Vos serveurs virtualisés seront installés en cluster uniquement sur Orsay. Les sites distants ne disposeront pas de haute disponibilité. Ceci divise vos coûts de serveurs virtuels approximativement par 2. Mais si un hyperviseur vient à tomber en panne sur un site distant, les services fonctionneront toujours via le cluster d hyperviseurs d Orsay, mais en mode dégradé. VIII Scénario préconisé Nous vous recommandons fortement la mise en place d un cluster d hyperviseurs sur tous vos sites. Ceci permettra d assurer une haute disponibilité partout. Bilan financier 66

67 VIII.3 Matériel et Licences à Acheter (Rudy PROME) VIII.3.1 Architecture Réseau Matériel nécessaire Total Prix unitaire Prix total Switch Cisco Catalyst Switch Cisco Catalyst Switch Cisco Catalyst Câblage des infrastructures Soit un total de 496,7 k Hors Taxes VIII.3.2 Architecture Système Scénario cluster d hyperviseurs uniquement à Orsay Scénario préconisé avec clusters d hyperviseurs sur tous les sites Matériel nécessaire Nombre Prix unitaire Prix total Nombre Prix unitaire Prix total Serveur HP ProLiant DL320 G6 Serveur HP ProLiant DL360 G6 Serveur HP ProLiant DL380 G Sous-total scénarios : 391 k 451 k Matériel nécessaire Nombre Prix unitaire Prix total FortiGate 1000A FortiGate FortiGate 200A HP X9000 NAS 16 To Soit un total de 457 k Hors Taxes Soit un total de 517 k Hors Taxes VIII.3.3 Architecture utilisateurs Matériel nécessaire Nombre Prix unitaire Prix total Dell Optiplex Dell Optiplex Dell Latitude E Ecrans Ecrans Combo souris claviers Station d accueil PC portables Soit un total de 686,6 k Hors Taxes Bilan financier 67

68 VIII.3.4 Licences Logiciels nécessaires Nombre Prix unitaire Prix total Windows Server 2008 R SQL Server SharePoint pour 400 utilisateurs Exchange Server Lync Server Lync Client Kaspersky Admin Kit Kaspersky Client Microsoft Office Soit un total de 688,5 k Hors Taxes Le client Outlook 2010 est compris dans Microsoft Office La licence Windows 7 Professionnel des postes des collaborateurs est comprise dans le prix des ordinateurs. VIII.3.5 Aménagement des locaux Matériel nécessaire Nombre Prix unitaire Prix total Locaux techniques Coffrets de brassage Onduleur HP R Soit un total de 76 k Hors Taxes VIII.3.6 Coûts opérateur Fonctionnalités nécessaires Prix mensuel Prix annuel Accès Internet Interconnexion WAN Accès Internet nomades Soit un total de 144,5 k Hors Taxes annuel VIII.3.7 Conclusion Nous estimons vos coûts totaux de matériels et de licences à l achat d environ 2 489,3 k pour le scénario préconisé qui assure une haute disponibilité optimale et 2 549,3 k pour le scénario le moins cher malgré les risques de fonctionnement en mode dégradé. Bilan financier 68

69 VIII.4 Total Cost of Ownership (Rudy PROME, Jérôme TENEUR, Jérôme DELAHAIE) VIII.4.1 Principe Selon la méthodologie ITIL, nous pouvons définir 6 types de coûts : - Equipment Cost Units (ECU) représente les coûts matériels - Software Cost Units (SCU) représente les coûts logiciels - Organisation Cost Units (OCU) représente les coûts de personnels - Transfer Cost Units (TCU) représente les coûts des prestations - Accomodation Cost Units (ACU) représente les coûts des locaux informatiques Ceci nous permettra de définir le Total Cost Ownership (TCO) représentant le coût d un poste informatique. Nous établirons celui-ci sur 5 ans pour une vision à moyen terme. VIII.4.2 E.C.U. Suite à l étude précédente des besoins et coûts du matériel, nous obtenons un E.C.U. de 1700,3 k. VIII.4.3 S.C.U. Suite à l étude précédente des besoins et coûts des licences, nous obtenons un S.C.U. de 688,5 k. VIII.4.4 O.C.U. Suite à l étude précédente des coûts de personnel (dans le chapitre SLA), nous obtenons un O.C.U. de 300 k. VIII.4.5 T.C.U. Suite à l étude précédente des besoins et coûts de l opérateur, nous obtenons un T.C.U. de 144,5 k. VIII.4.6 A.C.U. Suite à l étude précédente des besoins et coûts des locaux, nous obtenons un A.C.U. de 76 k. VIII.4.7 Conclusion Etude Déploiement Exploitation N N+1 N+2 N+3 N+4 Total E.C.U , ,3 k S.C.U. 688, ,5 k O.C.U k T.C.U. 144,5 144,5 144,5 144,5 578 k A.C.U k Soit 4 437,8 + coût de la prestation = k Ainsi, nous avons au travers de ce calcul un prix de revient par utilisateur sur 5 années de 5,45 k. Bilan financier 69

70 Chapitre IX. Conclusion (Jérôme TENEUR) La solution ainsi présentée répond à chaque demande du cahier des charges, tant d'un point de vue des demandes de fonctionnalités pour les utilisateurs que du point de vue de la sécurité ou du déploiement. Cette architecture de système d'information reste totalement ouverte et évolutive tout en étant très performante. Dès validation, elle pourra faire l'objet d'un déploiement et d'une mise en production chez le client. Les utilisateurs pourront alors utiliser toutes les technologies mises en place afin d'améliorer et d'optimiser leur productivité au sein d Aristote. Chapitre X. Schéma d architecture générale (Jérôme TENEUR) Cf : page suivante Conclusion (Jérôme TENEUR) 70

71 Chapitre XI. Annexes Chapitre XI. Annexes XI.1 Lexique XI.2 Schéma de l architecture réseau de chaque site (Jérôme TENEUR) Orsay XI.3 Représentation physique de l architecture réseau (Jérôme TENEUR) XI.4 Infrastructure de câblage (Vincent DESSEAUX) XI.5 Architecture WAN (Vincent DESSEAUX) XI.6 Plan d adressage (Jérôme TENEUR) XI.7 Règles de nommage du matériel (Jérôme TENEUR) XI.8 Topologie Spanning Tree (Jérôme TENEUR) XI.9 Redondance de routeur MPLS : HSRP (Jérôme TENEUR) XI.10 La qualité de service (Vincent DESSEAUX) XI.11 Annuaire Active Directory (Jérôme TENEUR) XI.12 Architecture DNS (Rudy PROME) XI.13 Architecture DHCP (Vincent DESSEAUX) XI.14 Firewall (Jérôme TENEUR) XI.15 Sécurisation des accès Internet (Arnaud HAMON) XI.16 Reverse Proxy (Bastien GAYRAL) XI.17 Architecture de Messagerie Collaborative (Rudy PROME) XI.18 Architecture de Messagerie Instantanée (Rudy PROME) XI.19 Partage de fichiers (Bastien GAYRAL) XI.20 Gestion de contenu (Bastien GAYRAL) XI.21 Relai SMTP (Jérôme TENEUR) XI.22 Virtualisation (Arnaud HAMON) XI.23 Système d impression (Arnaud HAMON) XI.24 Accès outil de bureautique office Applications métiers (Arnaud HAMON) XI.25 Accès VPN (Bastien GAYRAL) XI.26 Politique de mise à jour (Vincent DESSEAUX) XI.27 Politique Antivirale (Rudy PROME) XI.28 Politique de sauvegarde (Arnaud HAMON) XI.29 Aide au déploiement de masse (Vincent DESSEAUX) XI.30 Outil de monitoring système et réseau (Arnaud HAMON) XI.31 Planification du déploiement (Jérôme DELAHAIE) XI.32 Charte informatique (Jérôme TENEUR) XI.33 Table des figures XI.34 Bibliographie Annexes 71

72 XI.1 Lexique ActiveSync : Logiciel de Microsoft permettant la synchronisation d appareils mobiles vers des serveurs ou PC. Cluster : Grappe de serveurs sur une baie commune. DAG (Data Availability Group) : Système de réplication de bases de données. DMZ (Demilitarized Zone) : En français, zone démilitarisée. C est un sous-réseau isolé contenant des machines se situant entre le réseau interne et externe. GPO (Group Policy Object) : Stratégie de groupe permettant la gestion des ressources d un environnement Active Directory. IMAP (Internet Message Access Protocol) : Protocole en mode connecté pour rapatrier les courriels depuis un serveur de messagerie. MAPI (Messaging Application Programming Interface) : Interface de programmation de Microsoft permettant de créer, transférer, modifier et stocker des courriers électroniques. PABX (Private Automatic Branch exchange) ou PBX : Un système PABX est un réseau téléphonique privé utilisé dans une entreprise. Sur un système de ce type, chaque utilisateur dispose généralement un téléphone de bureau connecté au PABX, qui lui permet de passer des appels aux autres utilisateurs internes en composant une extension (généralement à quatre ou cinq chiffres) et aux téléphones externes. PDA (Personal Digital Assistant) : C est un ordinateur de poche composé d'un processeur, de mémoire vive, d'un écran tactile et de fonctionnalités réseau dans un boîtier compact d'extrêmement petite taille. POP (Post Office Protocol) : Protocole en mode non connecté pour rapatrier les courriels depuis un serveur de messagerie. PowerShell : Langage script propriétaire à Microsoft. RTC : Le Réseau Téléphonique Commuté (ou RTC) est le réseau du téléphone (fixe et mobile), dans lequel un poste d'abonné est relié à un central téléphonique par une paire de fils alimentée en batterie centrale (la boucle locale). SIP (Session Initiation Protocol) : C est un protocole standard ouvert de télécommunications multimédia (son, image...). Il est actuellement le protocole le plus utilisé pour la téléphonie par Internet ou Voix sur IP (VoIP). Le SIP a été développé par le groupe IETF et publié sous RFC SMTP (Simple Mail transfert Protocol) : Protocole pour transfert les courriels vers un serveur de messagerie. SSL (Secure Socket Layer) ou TLS (Transport Layer Security) : Protocole de sécurisation des échanges. TLS est le nouveau nom de SSL. Active Directory : Mise en œuvre par Microsoft de l annuaire LDAP, il permet de centraliser, de structurer, d organiser et de contrôler les ressources réseau dans les environnements Windows. La structure Active Directory permet une délégation de l administration très fine pouvant être définie par types d objets. MPLS : Mécanisme de transport de données, opérant sur la couche de liaison de données du modèle OSI, donc en dessous des protocoles comme IP. Il peut être utilisé pour transporter pratiquement tout type de trafic. Open LDAP : La suite Openldap est dérivée du logiciel "University of Michigan LDAP version 3.3", c'est à dire du premier serveur LDAP indépendant. La suite Openldap a dorénavant totalement remplacé le logiciel de l'université du Michigan qui n'est plus supporté mais qui continue d'être distribué pour des raisons historiques seulement. Samba : Désigne l'implémentation de SMB sous Unix. C'est une application grâce à laquelle n'importe quelle machine peut controler un domaine NT. SSL : (Secure Socket Layer), c'est un protocole de sécurisation conçu par Netscape qui se situe entre la couche transport (TCP) et les protocoles de la couche application. Il assure les services de sécurité suivante : confidentialité, intégrité et authentification du serveur et du client. Annexes 72

73 TLS : (Transport Layer Security) tunnel sécurisé. T30 : Protocole permettant l envoi et la réception de fax sur un réseau de type analogique (RTC) T37/T38 : Protocole permettant l envoi et la réception de fax sur un réseau de type numérique (RNIS) XMPP: (Extensible Messaging and Presence Protocol) ensemble de protocoles standards ouverts de l Internet Engineering Task Force (IETF) pour la messagerie instantanée, et plus généralement une architecture décentralisée d échange de données RTC : Réseau téléphonique commuté RNIS : Réseau numérique à intégration de service Java : langage de programmation informatique offrant une portabilité sur plusieurs systèmes d exploitation tels que UNIX, Windows, Mac OS ou GNU/Linux PABX : (Private Automatic Branch exchange) autocommutateur téléphonique privé IPBX : évolution du PABX vers IP QoS: La qualité de service (QdS) ou Quality of service (QoS) est la capacité à véhiculer dans de bonnes conditions un type de trafic donné, en termes de disponibilité, débit, délais de transmission, gigue, taux de perte de paquets Ethernet: protocole de réseau local à commutation de paquets Wi-Fi: ensemble de protocoles de communication sans fil régis par les normes du groupe IEEE POP : POP (Post Office Protocol littéralement le protocole du bureau de poste), est un protocole qui permet de récupérer les courriers électroniques situés sur un serveur de messagerie électronique IMAP : Internet Message Access Protocol (IMAP) est un protocole utilisé par les serveurs de messagerie électronique, fonctionnant pour la réception. INTRANET : Réseau informatique utilisé à l'intérieur d'une entreprise. HTTPS : protocole de communication client-serveur développé pour le World Wide Web. HTTPS (avec S pour secured, soit «sécurisé») est la variante du HTTP sécurisée par l'usage des protocoles SSL ou TLS. Annexes 73

74 XI.2 Schéma de l architecture réseau de chaque site (Jérôme TENEUR) Orsay

75 XI.2.1 Schéma de l architecture de Bayonne

76 XI.2.2 Schéma de l architecture de Sophia Antipolis

77 XI.2.3 Schéma de l architecture de Bruxelles

78 XI.3 Représentation physique de l architecture réseau (Jérôme TENEUR) XI.3.1 Orsay XI.3.2 Bayonne

79 XI.3.3 Sophia Antipolis XI.3.4 Bruxelles Annexes 79

80 XI.4 Infrastructure de câblage (Vincent DESSEAUX) XI.4.1 Tableau comparatif des différentes catégories de fibres optiques Protocole Ethernet Débit Longueur d onde OM1 62,5/125 OM2 50/125 Bande passante OM3 50/125 OS1 9/ Mhz 500Mhz Mhz >10Ghz Distance Maximale 10BaseFL 10 Mbit/s 850nm 3000m 3000m 3000m - 100BaseFX 100 Mbit/s 1300nm 5000m 5000m 5000m BaseSX 1 Gbit/s 850nm 275m 550m 550m 5000m 1000BaseLX 1 Gbit/s 1300nm 550m 550m 550m - 10GBasesS 10 Gbit/s 850nm 33m 82m 300m - 10GBaseL 10 Gbit/s 1310nm km 10GBaseLX4 10 Gbit/s 1310nm 300m 300m 300m 10km 10GBaseE 10 Gbit/s 1550nm km Figure 33 - Tableau comparatif des différentes catégories de fibres optiques XI.4.2 Tableau comparatif des différents types et catégories de câbles Type UTP FTP STP SSTP SFTP Composition Câble à 4 paires torsadées sans écran Câble à 4 paires torsadées avec écran global (feuille d aluminium) Câble à 4 paires torsadées avec écran global (tresse en cuivre étamé) Câble à 4 paires torsadées avec écran par paire (feuille d aluminium) et écran global (tresse en cuivre étamé) Câble à 4 paires torsadées avec écran global (feuille d aluminium et tresse en cuivre étamé) Figure 34 - Tableau des différents types de câbles ISO Fréquence utile Impédance & Utilisation en entreprise Blindage Catégorie 3 ou Classe C Jusqu'à 16 Mhz 100 ohms UTP Réseaux 10BaseT, 3X, AS/400, téléphonie analogique, RNIS. Cat. 5 ou Classe D 1995 (D2000) Jusqu'à 100 Mhz 100 ohms UTP, FTP Réseaux 10BaseT, 100BaseT, 155 Mbbps ATM Cat. 5e (cat. 5 enhanced.) Jusqu'à 100 Mhz 100 ohms UTP, FTP Réseaux 10,100 & 1000BaseT Cat. 6 ou Classe E Jusqu'à 200 Mhz 100 ohms UTP, FTP Réseau 1000BaseTX Cat. 7 ou Classe F Jusqu'à 6100 Mhz 100 ohms SFTP Réseau 10 Giga hertz 150 ohm ou STP type 1A Jusqu'à 300 Mhz 150 ohms STP Réseaux 16 Mpbstoken- Ring et 100BaseT Figure 35 - Tableau des différentes catégories de câbles Annexes 80

81 XI.4.3 Descriptif du câblage Produit Quantité Orsay Local Technique 3 Coffret de brassage 5 Câble RJ45 pour les postes de travail - 3m - catégorie Câble RJ45 de brassage catégorie Prises RJ45 jusqu'à 90m catégorie 6 - Poste de travail vers les commutateurs 528 Liens FO Multi-mode entre le cœur de réseau et les routeurs 12 Liens FO Multi-mode entre le cœur de distribution et le cœur de réseau 8 Liens FO Multi-mode entre les commutateurs et le cœur de distribution 20 Bayonne Local Technique 3 Coffret de brassage 6 Câble RJ45 pour les postes de travail - 3m - catégorie Câble RJ45 de brassage catégorie Prises RJ45 jusqu'à 90m catégorie 6 - Poste de travail vers les commutateurs 270 Liens FO Multi-mode entre le cœur de réseau et les routeurs 12 Liens FO Multi-mode entre le cœur de distribution et le cœur de réseau 8 Liens FO Multi-mode entre les commutateurs et le cœur de distribution 22 Sophia Antipolis Local Technique 1 Coffret de brassage 3 Câble RJ45 pour les postes de travail - 3m - catégorie Câble RJ45 de brassage catégorie Prises RJ45 jusqu'à 90m catégorie 6 - Poste de travail vers les commutateurs 120 Liens FO Multi-mode entre le cœur de réseau et les routeurs 12 Liens FO Multi-mode entre le cœur de distribution et le cœur de réseau 4 Liens FO Multi-mode entre les commutateurs et le cœur de distribution 12 Bruxelles Local Technique 3 Coffret de brassage 5 Câble RJ45 pour les postes de travail - 3m - catégorie Câble RJ45 de brassage catégorie Prises RJ45 jusqu'à 90m catégorie 6 - Poste de travail vers les commutateurs 240 Liens FO Multi-mode entre le cœur de réseau et les routeurs 12 Liens FO Multi-mode entre le cœur de distribution et le cœur de réseau 8 Liens FO Multi-mode entre les commutateurs et le cœur de distribution 20 Figure 36 - Tableau descriptif du câblage Annexes 81

82 XI.4.4 Evaluation des coûts relatifs au câblage Prise RJ45 (200 tout compris) Distance de FO multimode en mètre (20 /m) ORSAY BAYONNE SOPHIA ANTIPOLIS BRUXELLES TOTAL Figure 37 - Tableau récapitulatif des coûts de câblage Nous devons prévoir un total de 1158 prises Ethernet à 200 l unité et 945 mètres de fibre optique multi-mode à 20 /mètre ce qui nous donne un total de Nous allons également avoir besoin de coffret de brassage (1000 l unité) et de locaux informatiques (3000 l unité) pour fixer le matériel. Ainsi, 19 coffrets de brassages et de 10 locaux informatiques seront nécessaires, soit un coût respectif de euros et euros. Annexes 82

83 XI.4.5 Architecture de câblage inter-bâtiments Premier cas d architecture de câblage inter-bâtiments proposé pour le site d Orsay Figure 38 - Premier cas d architecture de câblage inter-bâtiments proposé pour le site d Orsay Second cas d architecture de câblage inter-bâtiments proposé pour le site d Orsay Figure 39 - Schéma de l infrastructure de câblage préconisé pour le site d Orsay Annexes 83

84 Premier cas d architecture de câblage inter-bâtiments proposé pour le site de Bayonne Figure 40 - Premier cas d architecture de câblage inter-bâtiments proposé pour le site de Bayonne Second cas d architecture de câblage inter-bâtiments proposé pour le site de Bayonne Figure 41 - Schéma de l infrastructure de câblage préconisé pour le site de Bayonne Annexes 84

85 Premier cas d architecture de câblage inter-bâtiments proposé pour le site de Bruxelles Figure 42 - Premier cas d architecture de câblage inter-bâtiments proposé pour le site de Bruxelles Second cas d architecture de câblage inter-bâtiments proposé pour le site Bruxelles Figure 43 - Schéma de l infrastructure de câblage préconisé pour le site de Bruxelles Annexes 85

86 XI.5 Architecture WAN (Vincent DESSEAUX) XI.5.1 Débits nécessaires Suite à la précédente étude théorique des flux, nous pouvons apporter quelques hypothèses au sujet des débits nécessaires pour l interconnexion de chaque site. Plusieurs points sont à prendre en compte : Le point névralgique du réseau se situe à Orsay, se sera donc le site le plus sollicité par tous les collaborateurs. Par conséquent, il convient qu une connexion Internet soit située sur ce site. Il convient de déterminer le débit moyen et utile par utilisateur afin de déterminer le débit des liens pour chaque site. La croissance prévisionnelle du nombre de collaborateurs, de l ordre de 20% pour les cinq prochaines années, est à prendre en considération Aristote compte aujourd hui 820 salariés et devrait en compter environ 1000 dans cinq ans compte tenu des prévisions d augmentation de 20%. L étude de flux nous amène à estimer qu un débit de 4 Mbit/s pour 100 collaborateurs suffit aux besoins énoncés. La centralisation du trafic sur le site d Orsay en fait un point sensible en termes de disponibilité pour les autres sites. Par conséquent, nous apporterons une attention particulière à ce site quant au choix des débits et des types de liens utilisés. Si dessous un tableau recensant les débits nécessaires pour chaque lien WAN : Sites Nombre de collaborateurs Débit théorique nécessaire (avant + 20 %) + 20 % de collaborateurs dans cinq ans Débit théorique nécessaire (après + 20 %) Orsay x 15 = 30 Mbits/s x 20 = 40 Mbits/s Bayonne Mbits/s Mbits/s Bruxelles Mbits/s Mbits/s Sophia Antipolis 80 4 Mbit/s 96 4 Mbit/s Figure 44 - Tableau des débits retenus par site Nous pouvons d ores et déjà annoncer que les liens devront supporter des débits symétriques pouvant atteindre au moins 30 Mbits/s. Il s agira de liens fibre optique et SDSL car les flux transiteront entre les sites, autant en sortie qu en entrée. En supplément de ces liens, à débits garantis par l opérateur, les sites de Bayonne, Bruxelles et Sophia Antipolis comprendront également un lien ADSL de secours. Les liens ADSL seront des liens de 8 Mbits/s théorique maximum, donc à débits non garantis. Dans cinq ans, lorsque le nombre de collaborateurs aura augmenté de 20 %, il sera nécessaire de revoir à la hausse les débits de certains sites, et plus particulièrement sur le site d Orsay qui est le point névralgique de l infrastructure. Pour des raisons économiques, il est plus judicieux d attendre l augmentation de 20 % pour revoir le débit des offres souscrites en demandant au fournisseur une incrémentation du débit plutôt que de payer tout de suite. Annexes 86

87 XI.5.2 Comparaison des services opérateur Orange pour l accès WAN intersites OBS (Orange Business Services) propose plusieurs offres de services opérateurs dont une liste non exhaustive sera présentée : Abonnement Business Ethernet Technologie réseau Etendue des débits possibles VPLS 2 Mbits/s à 1 Gbit/s (en zone à fortes activités économiques) Equant IP VPN MPLS 64 Kbits/s à 1 Gbit/s (en zone à fortes activités économiques) Ethernet Link VPLS 256 Kbits/s à 100 Mbits/s International Ethernet Link VPLS 2 Mbits/s à 1 Gbit/s Oléane VPN MPLS 4 Mbits/s symétriques maximum ou 8 Mbits/s asymétriques maximum Transfix LL/LS 64 Kbits/s à 2 Mbits/s Garantie de rétablissement du lien En 4h ou 2h selon l engagement souscrit En 4h ouvrables ou 24/24h en option En 4h ou 2h selon l engagement souscrit En 4h ou 2h selon l engagement souscrit Connexion avec Bruxelles Impossible Possible Impossible Possible Inclus dans les tarifs Equipement Supervision Maintenance Conception Equipement Exploitation Maintenance Equipement Maintenance Equipement Maintenance En moins de 4h Possible Equipement En 10h ou 4h ouvrables selon l engagement souscrit Impossible Figure 45 - Descriptif des offres Orange Business Services, réseau entreprise Supervision Internet Maintenance Equipement Exploitation Maintenance Nous pouvons dans un premier temps écarter les solutions ne pouvant pas être mis en place sur le site de Bruxelles. L offre «Oléane VPN» ne permet pas de débits supérieurs à 4 Mbits/s en symétrique, ce qui rend cette solution non pérenne et non évolutive pour les cinq ans à venir. A contrario, l offre«international Ethernet Link» ne couvre qu un nombre limité de ville dans le monde (principalement les grandes métropoles). Nous retenons donc l offre Equant IP VPN qui répond aux besoins exprimés. De plus, cette solution est prête pour accueillir la voix sur IP et la visioconférence à l avenir, en mettant en avant un fonctionnement par priorisation de flux. Annexes 87

88 XI.5.3 Informations Concernant l offre Equant IP VPN Equant IP VPN est basé sur un réseau IP MPLS à très haut débit, fortement maillé qui lui garanti performance et fiabilité. De plus, l utilisation de la technologie VPN ajoute l aspect sécurité et confidentialité attendu. Une notion de qualité de service est disponible via un système de priorisation des flux (DiffServ). Celle-ci est gérée selon 5 classes de service(un pour la voix sur IP, un pour la visioconférence et trois autres pour les données) sur lesquels il nous sera possible de définir leur niveau de priorité. Le taux de disponibilité de l offre est de 99,9955 % minimum. Enfin, avec l engagement «disponibilité accrue», un lien ADSL de secours est mis en place en sus du lien SDSL pour un taux de disponibilité renforcé. XI.5.4 Comparaison des services d accès Internet d Orange On distingue trois offres d accès à Internet. Nous allons donc les analyser et les comparer dans le tableau suivant : Abonnement Débits possibles Type de connexion Business Internet Business Internet Ambition Business Internet Office 500 Kbits/s à 8OMbits/s 30 Mbits/s à 400 Mbits/s minimum avec respectivement des débits «crêtes» de 80 Mbits/s à 1 Gbit/s 18 Mbits/s maximum (en ADSL) 512 Kbits/s à 4 Mbits/s (en SDSL) SDSL jusqu à 6 Mbits/s puis fibre optique Débits symétriques Fibre optique Débits symétriques ADSL (asymétrique) ou SDSL (symétrique) Interruption et rétablissement de la ligne 17h maximum par an. Rétablissement en moins de 4h ouvrables Rétablissement en 4h à n importe quel moment Rétablissement en moins de 4h pour le SDSL Figure 46 - Descriptif des offres Orange Business Services, accès Internet Services inclus dans l offre 2 noms de domaines, 1 adresse IP publique, routeur, bande passante garantie, accès ADSL de secours en option Supervision, routeur, maintenance, bande passante garantie Supervision, bande passante garantie pour le SDSL, 1 ou 2 noms de domaines, routeur Au niveau des débits, nous allons partir sur un taux de 3,5 Mbit/s pour 100 collaborateurs au niveau de l accès Internet. Nous avons donc besoin d un débit de 30 Mbits/s pour l instant pour nos 820 utilisateurs, mais qui augmentera à 35 Mbits/s d ici 5 ans avec les perspectives d évolution du nombre de collaborateurs. De plus, nous allons utiliser un lien symétrique afin qu il soit possible d héberger et publier des sites Internet et qu ils soient donc accessibles depuis l extérieur avec une qualité de connexion optimale. Nous retenons la solution Business Internet Ambition car c est car cette offre propose une connexion symétrique avec des débits possibles de 30 et 35Mbit/s. De plus, cette solution propose de la supervision, ainsi que la capacité de s adapter aux montées en charge en proposant des débits crêtes. En plus de la connexion Internet symétrique retenue, nous vous conseillons de mettre en place une connexion asymétrique de secours qui sera active en cas de panne de la principale afin de pouvoir assurer la continuité d accès au réseau Internet pour tous les collaborateurs et également l accès à l Intranet depuis l extérieur pour les collaborateurs nomades et aux sites marchands de l entreprise depuis Internet. Annexes 88

89 XI.5.5 Accès nomade Notre client Aristote a besoin de pouvoir accéder à ses données, son Intranet depuis l extérieur de l entreprise. Les collaborateurs nomades équipés d ordinateur portable, seront donc amenés à utiliser des clés 3G+. Les directions commerciales et marketing seraient certainement les groupes les plus amenés à utiliser ce genre de solution. Orange Business Services propose une offre pour répondre à ce type de besoins, il s agit de l offre Business Everywhere Pro. Celle-ci fournis pour chaque abonnement souscrit, une clé 3G+ pouvant se connecter de n importe où sur Internet via les réseaux GPRS, EDGE, 3G et 3G+. Deux types d abonnement existent, un limité à 3 heures de connexion par mois, et un second complètement illimité. C est ensuite depuis l accès à Internet que les nomades pourront accéder aux ressources de l entreprise, via l aide d un tunnel VPN entre leur poste nomade et l entreprise. XI.5.6 Estimation des coûts récurrents liés aux services WAN XI Frais d installation des liaisons Il faut compter 3000 euros pour l installation d un lien quel que soit le type et le débit souhaité, soit un coût total de 18K de frais pour les liaisons de cette solution, tout en sachant que les liaisons ADSL en secours sur les sites de Bayonne, Sophia Antipolis et Bruxelles, sont compris dans l accès et les frais. XI Coût de l abonnement mensuel Liaison au réseau MPLS Le coût mensuel des liaisons donnant accès au réseau MPLS en France ou à l international est identique. Tableau des coûts mensuels des différentes liaisons : Types liaisons Tarifs par liaison Coût global par types de liaison Liaisons FO15Mbit/s Liaisons FO10 Mbit/s Liaisons SDSL 8Mbit/s Liaisons SDSL 4Mbit/s Figure 47 - Tableau des coûts mensuels de l offre Equant IP VPN Le coût total des abonnements liés aux accès au réseau MPLS s élève à 4549 par mois. Business Internet Ambition Le coût d une liaison FO 15Mbit/s vers le réseau Internet s élève à 4800 par mois. Etant donné que nous vous préconisons l utilisation de deux liens FO 15Mbit/s vers l Internet, le coût total des abonnements liés à l accès Internet s élève à par mois. Annexes 89

90 Business Everywhere Pro Forfait Durée d'engagement Prix mensuel (Hors taxes) Dépassement (Hors Taxes) Option Zone «Europe + Etats-Unis + Canada» "Illimité en temps" Forfait 10h 24 mois 45 7,50 /heure 7,50 /Mo Forfait 3h 24 mois 13,50 7,50 /heure 7,50 /Mo "Illimité en temps" Forfait 10h 12 mois 50 7,50 /heure 7,50 /Mo Forfait 3h 12 mois 15 7,50 /heure 7,50 /Mo Figure 48 - Tableau des coûts mensuels Business Everywhere Pro L opérateur Orange nous propose les tarifs ci-dessus avec des réductions mensuelles si la durée d engagement est de 24 mois. L option Zone Europe pourra servir aux utilisateurs du site de Bruxelles. Nous conseillons donc le forfait illimité en temps sur une durée de 24 mois aux directions suivantes : Générale, administrative et financière, Commerciale et Marketing. Pour le site d Orsay, nous obtenons 50 utilisateurs potentiels, 14 pour le site de Bayonne, 3 pour le site de Sophia Antipolis et 25 pour le site de Bruxelles. Nous évaluons le coût total des abonnements mensuel à Annexes 90

91 XI.6 Plan d adressage (Jérôme TENEUR) type Site direction IP interconnexions des routeurs /24 Réseaux DMZ Réseaux serveur Réseaux Utilisateurs Orsay /16 Bayonne /16 Sophia Antipolis /16 Bruxelles /16 Orsay /20 Bayonne /20 Sophia Antipolis /20 Bruxelles /20 Orsay Bayonne Sophia Antipolis Bruxelles Direction informatique /20 Direction générale /20 Direction Administrative et financière /20 Direction Commerciale et Marketing /20 Direction Etudes /20 Direction Production /20 Utilisateurs nomades /20 Ressources informatiques /20 Direction informatique /20 Direction générale /20 Direction Administrative et financière /20 Direction Comerciale et Marketing /20 Direction Etudes /20 Direction Production /20 Utilisateurs nomades /20 Ressources informatiques /20 Direction informatique /20 Direction générale /20 Direction Administrative et financière /20 Direction Comerciale et Marketing /20 Direction Etudes /20 Direction Production /20 Utilisateurs nomades /20 Ressources informatiques /20 Direction informatique /20 Direction générale /20 Direction Administrative et financière /20 Direction Comerciale et Marketing /20 Direction Etudes /20 Direction Production /20 Utilisateurs nomades /20 Ressources informatiques /20 Annexes 91

92 XI.7 Règles de nommage du matériel (Jérôme TENEUR) Chaque équipement participant au système d information sera nommé selon des règles prédéfinies. Aussi, un nommage cohérent permettra la caractérisation des éléments, facilitant ainsi leur administration. XI.7.1 Serveurs {3 premières lettres du site} {3 premières lettres de la zone LAN} {premières lettres de la fonction} ORS / BAY / SOP / BRU LAN / DMZ / CLT EXC / AD / FTP / WEB / BDD / ORS : Orsay LAN : Réseau serveur AD : Active Directory BAY : Bayonne DMZ : Zone Démilitarisé EXC : Exchange SOP : Sophia Antipolis CLT : Réseau client WEB : Serveur Web BRU : Bruxelles Exemple : ORS-SRV-AD1 : Serveur Active Directory primaire d Orsay ORS-DMZ-PRX : Serveur Proxy AVR : Antivirus XI.7.2 Postes clients {3 premières lettres du site} - CLT - {Numérotation incrémentiel sur 3 chiffres} ORS / BAY / SOP / BRU 001 > 999 Exemple: BAY-CLT-248 : Poste client 248 du site de Bayonne XI.7.3 Equipements réseau {3 premières lettres du site} {type d équipement concerné} {fonction de l équipement} ORS / BAY / SOP / BRU RTR / SW / FW / WAN1 / ET1 / MASTER / ORS : Orsay RTR : Router WAN1 : lien opérateur 1 BAY : Bayonne SW : Switch ET1 : Etage 1 (ex : Swith) SOP : Sophia Antipolis FW : Firewall MASTER : membre d un cluster BRU : Bruxelles Exemple : ORS-FW-SLAVE : Firewall secondaire du site d Orsay XI.7.4 Prises réseaux murales {3 premières lettres du bâtiment} - ET + n d étage - {Numérotation incrémentiel sur 4 chiffres} PRU / FIC / FUS ET[1-2-3] 0001 > 9999 Exemple : FIC-ET1-162 : Prise 161 située au rez-de-chaussée du bâtiment Ficus (Orsay) Annexes 92

93 XI.8 Topologie Spanning Tree (Jérôme TENEUR) Comme dit dans le chapitre précédent du même nom, le protocole SpanningTree sera là pour assurer la gestion des liens physiques redondants. Pour cela certains liens seront désactivés (en fonction de leur niveau de priorité), ainsi que le montre ce schéma : Figure 49 - Topologie Spanning Tree L architecture réseau des quatre sites distants étant très proche, tous auront la même topologie Spanning Tree à l image du schéma ci-dessus. Annexes 93

94 XI.9 Redondance de routeur MPLS : HSRP (Jérôme TENEUR) Pour joindre des équipements distants au travers du réseau MPLS, deux routes sont possible car nous avons deux routeurs MPLS. Le protocole HSRP est un protocole qui permet d'établir une redondance sur les routeurs Cisco. Chaque routeur utilisant le protocole HSRP appartient à un groupe. Dans ce groupe, un routeur sera élu : celui qui aura la priorité la plus élevée. Ce routeur sera le routeur actif du groupe. Périodiquement, les routeurs échangent des messages Hello pour s'assurer que les routeurs du groupe sont encore joignables. Si le routeur nominal devient inaccessible, ou si le lien tombe, un autre routeur sera élu : celui qui a la deuxième priorité la plus élevée. Source : Wikipédia Tous les messages entre les routeurs sont échangés en utilisant l'adresse multicast (qui correspond à tous les routeurs du lien local) via UDP sur le port Le routeur ayant la priorité la plus élevée comportera une adresse IP virtuelle ainsi qu'une adresse MAC virtuelle (0000.0c07.ac0A). Ces deux paramètres s'ajoutant à la configuration classique du routeur. Lorsque le routeur actif du groupe devient injoignable, un autre routeur prend le relais et récupère ainsi l'adresse IP virtuelle et l'adresse MAC virtuelle. Figure 50 - Protocole HSRP Annexes 94

95 XI.10 La qualité de service (Vincent DESSEAUX) La QOS dans un LAN peut servir à implémenter une politique de QOS de bout en bout, pour cela il existe deux solutions principales : IEEE 802.1q (qualification) : Séparation de trafic IEEE 802.1p (priorisation) : Priorisation du trafic Pour qu Aristote puisse disposer d un réseau performant et fiable, afin de respecter les différentes SLA, il est important d assurer un certain niveau de qualité du réseau, afin qu il soit le plus performant quant aux besoins réel des utilisateurs. Il existe différents modèles de QOS, à savoir IntServ et DiffServ. XI.10.1 IntServ (Integrated Services) Le modèle IntServ (Integrated Services) définit une architecture capable de prendre en charge la QoS sans toucher au protocole IP. IntServ utilise pour cela un protocole spécifique de signalisation appelé RSVP (Resource ReSerVation Protocol) Caractéristiques du protocole RSVP : RSVP est un protocole de signalisation qui permet de réserver dynamiquement de la bande passante, tout en garantissant un délai. Ce protocole est efficace pour des applications spécifiques telles que de la VoIP. RSVP rend obligatoire la demande de QoS par le récepteur plutôt que par l'émetteur, ce qui permet d'éviter que certaines applications émettrices monopolisent des ressources inutilement, au détriment de la performance globale du réseau. Les équipements d'interconnexions (routeurs), sur le chemin du flux des données, répondent aux requêtes RSVP, établissent et maintiennent les connexions. Les routeurs communiquent via RSVP pour initialiser et gérer la QoS réservée aux sessions. Les routeurs réservent les ressources en mémorisant des informations d'état. Quand un chemin n'est plus utilisé, il est nécessaire de libérer ces ressources. De même si le chemin est modifié, les tables d'états doivent pouvoir être tenues à jour, ce qui engendre des échanges périodiques entre routeurs. IntServ définit deux types de services: Guaranted Service (GS) : garantie de bande passante et un délai d'acheminement limité ControlledLoad : équivaut à un service Best Effort dans un environnement non surchargé XI.10.2 DiffServ (Differentiated Services) Le modèle DiffServ propose de séparer le trafic par classes, contrairement à IntServ qui procédait à une séparation par flux. La conséquence directe est que les routeurs DiffServ traitent tous les paquets d'une classe donnée de la même manière, sans distinction d'émetteur ni de récepteur. Chaque classe de service est identifiée par une valeur codée dans l'en-tête IP. DiffServ propose une redéfinition d'un champ existant de l'en-tête IP pour pouvoir coder les différentes classes de service, ce qui évite l'usage d'un protocole de signalisation supplémentaire. Il s'agit du champ TOS (Type Of Service), et notamment de ses 3 bits de poids fort qui suffisent actuellement à coder les différentes classes de service existantes. Le nouveau champ est renommé DSCP et permet donc de marquer les paquets. Annexes 95

96 L'architecture de DiffServ contient deux types d'éléments fonctionnels : Les éléments de bordures (edgefunctions) : ce sont les routeurs d'accès aux réseaux des ISP. Ils sont responsables de la classification des paquets et du conditionnement du trafic. La marque qu'un paquet reçoit identifie la classe de trafic auquel il appartient. Après son marquage, le paquet est envoyé dans le réseau ou jeté. Les éléments du cœur du réseau (corefunctions) : ils sont responsables de l'envoi uniquement. Quand un paquet, marqué de son champ DS, arrive sur un routeur DS-capable, celui-ci est envoyé au prochain nœud selon ce que l'on appelle son Per Hop Behaviour (PHB) associé à la classe du paquet. L'avantage de DiffServ est qu'il n'y a plus nécessité de maintenir un état des sources et des destinations dans les corerouters, d'où une meilleure montée en charge en nombre d'utilisateurs (scalability). La RFC2475 donne pour définition du PHB : " la description d'un comportement de transfert d'un nœud DiffServ (DScapable) observable extérieurement appliqué à un flux DiffServ particulier ''. Un PHB est donc le comportement d'un routeur du cœur de réseau appliqué à un flux d'une certaine classe. Deux types de PHB ont été définis : ExpeditedForwarding (EF) ou premium service: Délai très court, gigue faible, bande passante assurée AssuredForwarding (AF) Divisé en 4 classes AF, il assure la bande passante totale et un délai minimum Ci-dessous un tableau récapitulant les avantages et inconvénients de chaque solution : IntServ DiffServ Avantages Adapté aux réseaux locaux Adapté aux réseaux étendus comme ISP car pas d'info d'état à maintenir au niveau des routeurs. Pas de protocole lourd de signalisation à implémenter comme RSVP. Inconvénients Pas plus de 300 ou 400 postes maximum. Nécessite la prise en charge du protocole RSVP par les routeurs. Figure 51 - Tableau comparatif des solutions de Qualité de services Annexes 96

97 XI.11 Annuaire Active Directory (Jérôme TENEUR) XI.11.1 Répartition des rôles Active Directory (FSMO) (Jérôme TENEUR) Il existe 5 rôles FSMO. Ces 5 rôles sont nécessaires au bon fonctionnement de nos domaines/forêts. Chacun de ces rôles ne peut être hébergés que par des contrôleurs de domaine et non par des serveurs membres. Ils ont également des étendues différentes et des domaines de réplication différents. On distingue parmi les 5 rôles : FSMO Emplacement Rôle DC désigné Maître d'attribution des noms de domaine Contrôleur de schéma Maître RID Maître d'infrastructure Emulateur CPD Unique au sein d'une forêt Unique au sein d'une forêt Unique au sein d'un domaine Unique au sein d'un domaine Unique au sein d'un domaine Inscription de domaines dans la forêt Gère la modification du schéma Active Directory Distribue des plages RID pour les SIDs Gère le déplacement des objets Synchroniser l heure, modifier les mots de passe, verrouiller les comptes ORS-SRV-AD1 ORS-SRV-AD1 ORS-SRV-AD2 ORS-SRV-AD2 ORS-SRV-AD2 Ces rôles ne peuvent être assurés en haute disponibilité car ils sont uniques soit au sein de la forêtsoit au sein du domaine. En cas de crash d un contrôleur assurant un ou plusieurs rôles, ce ou ces plusieurs rôles doivent être transférés manuellement à un autre contrôleur de domaine disponible. XI.11.2 Gestion des sites et services Vous pouvez utiliser le composant logiciel enfichable Sites et services Active Directory pour gérer les objets spécifiques aux sites qui implémentent la topologie de réplication inter-site. Ces objets sont stockés dans le conteneur Sites dans les services de domaine Active Directory (AD DS, Active Directory Domain Services). Nous pouvons donc distinguer les sites Active Directory et y associé les contrôleurs de domaine correspondant. Ces associations auront un rôle primordial dans la gestion des réplications. En effet nous allons optimiser les réplications en fonction de l état des liens entre des contrôleurs de domaine. Enfin, l association d un sous-réseau IP à un site Active Directory sera très importante pour l optimisation des flux inter-site. En effet, si un utilisateur vient interroger un contrôleur, ce dernier vérifiera l adresse réseau source afin de rediriger l utilisateur vers le contrôleur le plus proche de lui. Figure 52 - Sites et services Annexes 97

98 XI.11.3 Mise en place de RODC (Jérôme TENEUR) La notion de RODC, est à dire de «Read Only Domain Controller» est apparu avec Windows server 2008r2. Il s agit donc, comme son nom l indique d une base de données Active Directory en lecture seule. Exceptés les mots de passe utilisateurs, un RODC a une copie de l'intégralité des objets, attributs, classes... d'un AD normal. Evidemment, un poste ne peut en revanche pas modifier celui-ci. Les demandes en lectures sont honorées, tandis que les demandes d'écriture sont transférées à un «vrai» DC, comme par exemple ceux d Orsay. Cette nouvelle technologie offre de nombreux avantage. Dans notre cas, cela nous permettra de : - Filtrer les attributs : Parce que certains attributs sont critiques bien que n'étant pas des mots de passe, il est préférable de ne pas les héberger sur un RODS, au cas où celui-ci serait volé ou compromis. Pour celà vous pouvez ajouter cet attribut à la liste des attributs filtrés, afin de ne pas le répliquer sur les RODC de la forêt. - Réplication unidirectionnelle : Puisqu'aucun changement ne peut être fait sur un RODC, les DC standards partenaires de réplication ne rapatrient pas de changements (PULL) depuis ceux-ci. Autrement dit, aucune modification d'un utilisateur malicieux ne peut être répliquée vers le reste de la forêt (Ce qui permet également de réduire la consommation de bande passante). - Séparation des rôles d'administration : Cette séparation permet de déléguer les droits locaux d'administration d'un RODC, sans octroyer au compte concerné de droits sur le domaine en entier. On parle bien sûr d'administration basique, comme le changement d'un driver, ou l'authentification locale sur la machine, pas de création d'utilisateurs. - DNS en lecture seule : Il est possible d'installer DNS sur un RODC, et celui-ci sera capable de répliquer toutes les partitions applicatives. Nous Pourrons donc implémenter des RODC à deux niveaux : DMZ d'orsay Tout d abord dans la DMZ où il permettra de maîtriser les flux AD en direction du LAN. Ainsi des services tel que l Exchange Edge pourrons interroger l AD sans avoir à emmètre de requête vers le LAN. Nous renforçons donc la notion de DMZ et minimisant sans dépendance au LAN et en renforçant son autonomie. Sophia Antipolis Sophia Antipolis est un site à part entière car il est dédier à la production et il ne compte que 80 employés. En partant de ce postulat, nous avons émis l hypothèse qu un seul administrateur informatique sera en charge de ce site. Ses besoins administratifs sont ainsi (grâce à RODC) réduits au maintien fonctionnel de l infrastructure, facilitant ainsi son rôle. Cette proposition n est qu optionnel. Le site de Sophia Antipolis pouvant tout à fait se voir implémenté un AD comme les autres sites. Annexes 98

99 XI.11.4 OU et Groupes d'utilisateurs (Jérôme TENEUR) Les utilisateurs peuvent être distingués par leur site géographique de travail et leur direction d appartenance. Visuellement ils seront classés par site géographique, logiquement nous pourrons les administrer en fonctions de leur site géographique mais également en fonction de leur direction. Ainsi les différentes OU permettrons de classer les utilisateurs : Figure 53 - OU sites Ensuite, chaque utilisateur se verra placé dans un groupe permettant de définir sa direction d appartenance. Ces groupes permettrons de distinguer les utilisateurs, de leurs attribuer des configurations dédiées à leurs activités, ou encore de leurs données des droits d accès spécifiques aux ressources de l entreprise (accès en lecture/écriture/exécution sur des partages de fichiers). Figure 54 - Groupes L avantage premier de ces groupes est de simplifier considérablement la maintenance et l'administration du réseau. Enfin on notera qu Active Directory met en œuvre deux types de groupes : groupes de distribution et groupes de sécurité. Vous pouvez utiliser les groupes de distribution pour créer des listes de distribution de courrier électronique et les groupes de sécurité pour affecter des autorisations à des ressources partagées. XI.11.5 Stratégie de groupe (GPO) et OU (Jérôme TENEUR) Les stratégies de groupe peuvent être considérées en trois phases distinctes - Création de la stratégie de groupe, Liaison des stratégies de groupe et Application des stratégies de groupe. Dans un premier temps, nous attirons votre attention sur le fait que Windows server 2008 r2 introduit une nouvelle manière de gérer les stratégies de groupe. En effet, celle-ci se fait maintenant au travers d une console spécifiquement dédié à la gestion des GPO et qui s'appelle GPMC (Group Policy Management Console). Voici la majeure partie des GPO que nous allons ainsi déployer (les OU des sites distants auront la même arborescence qu Orsay) : Figure 55 - Stratégie de groupe Annexes 99

100 XI.11.6 Organisation Fonctionnelle des OU (Jérôme TENEUR) Figure 56 - OrganisationFonctionnelle des OU Annexes 100

101 XI.11.7 Processus d administration (Vincent DESSEAUX) XI Rappel des besoins Notre client Aristote souhaite limiter l utilisation du groupe «Administrateur du domaine», «Administrateur du schéma» et «Administrateur de l entreprise» en mettant en place une stratégie de délégation de l administration Active Directory et prenant en compte les éléments suivant : - La direction informatique disposera en cas d urgence des accès utilisateurs compris dans ces groupes - Les équipes informatiques d administration seront situées sur chaque site avec une compétence limitée au site et auront le moins de privilèges possible - Il sera impossible d installer des logiciels sur les contrôleurs de domaine du site mais pourront le faire sur les serveurs membres et ordinateurs du site - Les équipes informatiques de chaque site ne pourront ajouter/supprimer/modifier des objets stratégies de groupes, mais ont la possibilité d une part d attribuer des stratégies de groupes existantes sur une unité d organisation pouvant être administré par eux, et d autre part d effectuer l analyse des jeux de stratégies résultants - Les équipes informatiques pourront utiliser les services de bureau à distance pour se connecter sur les contrôleurs de domaines et les serveurs membres de leur site respectif - Les équipes informatiques pourront effectuer n importe quelle opération sur les ressources partagées Dans cette partie d étude, nous vous présenterons la déclaration des équipes informatiques dans Active Directory ainsi que leurs privilèges et leurs droits qui sont fonction des besoins exprimés. XI Déclaration des équipes informatiques et affectations des groupes Afin de dissocier l administration informatique par site, en sachant que tout les sites son membres du même domaine, il convient de mettre en place des groupes pour les équipes informatiques de chaque site, ainsi qu un groupe destiné à la direction informatique. Ces groupes seront présent dans la OU «Groupes» contenu elle-même dans la OU «Administrateur». Nous pouvons donc énumérer les groupes suivants ainsi que le type d utilisateur adéquat devant y être rattaché: Nom du groupe direction_informatique administrateur_orsay administrateur_bayonne administrateur_sophiaantipolis administrateur_bruxelles Membres Utilisateurs de la direction informatique Utilisateurs de l équipe informatique d Orsay Utilisateurs de l équipe informatique de Bayonne Utilisateurs de l équipe informatique de Sophia Antipolis Utilisateurs de l équipe informatique de Bruxelles Afin de faciliter l octroi de certains droits commun aux groupes destinés aux équipes informatiques, nous proposons de mettre en place un groupe supplémentaire qui contiendra comme membre les quatre groupes informatiques. Nom du groupe equipes_informatiques Membre de administrateur_orsay administrateur_bayonne administrateur_sophiaantipolis administrateur_bruxelles Annexes 101

102 XI Connexion des comptes utilisateurs membre des groupes «Equipes Informatiques» et «Direction Informatique» Afin que les comptes utilisateurs puissent se connecter depuis le contrôleur de domaine, il convient de déclarer dans les stratégies de sécurité locale (gpedit.msc) du contrôleur de domaine, les groupes autorisés à établir une ouverture de session de manière locale. Cependant et aux vu des attentes d Aristote, nous proposons de déclarer les groupes «Equipes Informatiques» et «Direction Informatique» membre du groupe «Opérateurs de serveur». En effet, ce groupe qui est intégré par défaut dans Windows Server dispose de privilèges très limité tel que la non installation de logiciels/rôles sur le domaine, l impossibilité de modifier des paramètres de configuration sur les postes du domaine, ou bien encore la lecture seule sur les consoles de management. Nom du groupe equipes_informatiques direction_informatique Membre de Opérateurs de serveur Annexes 102

103 XI Déclaration des droits à attribuer dans Active Directory pour chaque groupe Pour autoriser les groupes précédemment créés à effectuer toutes les opérations Active Directory dans leur site, nous devons créer des règles de sécurité sur les OU correspondant à chaque site et définir les droits qu on leur octrois dans la OU. Ces droits s appliquent à des utilisateurs ou groupes du domaine et sont principalement des droits : - de lecture/écriture, de création/suppression sur les objets pouvant être contenu dans l OU - de création/suppression de lien d un objet stratégie de groupe - d effectuer des analyses des jeux de stratégies résultants au niveau de l OU Deux méthodes permettent d attribuer ces ACL s dans les OU : - L assistant de délégation de contrôle - Dans les paramètres de sécurité de l OU (Nécessite d afficher les fonctionnalités avancées d Active Directory) Les deux méthodes permettent une configuration aussi complète l une que l autre, cependant nous pouvons conseiller l utilisation de l assistant de délégation de contrôle lors d une création de délégation, et la méthode manuelle lors de modifications et suppressions. Les équipes informatiques se verront octroyer un contrôle total sur l OU de leur site ainsi qu un droit de lecture/écriture sur l OU «groupes» afin qu ils puissent ajouter les utilisateurs de leur site comme membre d un des groupes y étant contenu, et auront implicitement qu un droit de lecture sur les autres objets et conteneur du domaine. Ils devront également pouvoir créer des utilisateurs membre de l équipe informatique de leur site, pour cela il convient de leur donner le droit de lecture/écriture sur leur groupe respectif. La direction informatique aura quant à elle un contrôle total depuis la racine du domaine et pourra donc en conséquence, administrer à n importe quel niveau le domaine «vsnaristote.lan». L ensemble des droits précédemment cités devront pouvoir s étendre aux conteneurs et objets sous-jacent de l OU qui se voit les droits appliqués. Ci-dessous le tableau permettant de reprendre l ensemble des OU à appliquer et à qui elles doivent être octroyés : Type d objet Domaine OU OU OU OU OU Groupe Groupe Groupe Groupe Nom canonique de l objet vsn-aristote.lan vsn-aristote.lan/orsay vsn-aristote.lan/bayonne vsn-aristote.lan/sophia vsn-aristote.lan/bruxelles vsn-aristote.lan/groupes vsn-aristote.lan/administrateurs/ administrateurs_orsay vsn-aristote.lan/administrateurs/ administrateurs_bayonne vsn-aristote.lan/administrateurs/ administrateurs_sophia vsn-aristote.lan/administrateurs/ administrateurs_bruxelles Membres direction_informatique administrateurs_orsay administrateurs_bayonne administrateurs_sophiaantipolis administrateurs_bruxelles equipes_informatiques administrateurs_orsay administrateurs_bayonne administrateurs_sophiaantipolis administrateurs_bruxelles Droit Contrôle total Contrôle total Contrôle total Contrôle total Contrôle total Lecture/ écriture Lecture/ écriture Lecture/ écriture Lecture/ écriture Lecture/ écriture Annexes 103

104 XI La gestion de la création de stratégies de groupe Pour qu un utilisateur puisse créer, modifier ou supprimer des objets de stratégie de groupe, il faut que celui-ci soit membre du groupe «Propriétaires créateurs de la stratégie de groupe», qui est présent dans le conteneur «Builtin». Dans notre cas, seul le groupe «direction_informatique» y sera membre et sera donc à même de mettre à disposition aux équipes informatiques des stratégies de groupes. Nom du groupe Direction_informatique Membre de Propriétaires créateurs de la stratégie de groupe XI L octroi du droit Administrateur Local pour les équipes informatiques Il est demandé que les équipes informatiques puissent installer des logiciels sur les serveurs membres et ordinateurs de leur site. Pour permettre ce genre d opération, il faut que les groupes des équipes informatiques soient membre d un groupe «Administrateur». Le groupe «Opérateurs de serveur» n étant pas membre du groupe «Administrateur» et devant limiter l utilisation des groupes «Administrateur du domaine», «Administrateur du schéma» et «Administrateur du domaine», nous proposons que les groupes correspondant aux équipes informatiques ne soit pas membre d un groupe Administrateur présent sur les contrôleurs de domaine, mais membre du groupe «Administrateur» de chaque machine locale du site qu ils gèrent. Pour ce faire, il convient de mettre en place une stratégie de groupe pour chaque site, qui ajoutera sur chaque poste étant intégré dans l OU correspondant au site, le groupe de l équipe du site comme étant membre du groupe «Administrateur» de la machine se voyant appliqué la règle. Le groupe «direction_informatique» devra de même disposer d une stratégie identique, mais celle-ci s étendra sur tous les sites. Ci-joint en annexe un modèles de stratégies de groupe à mettre en place pour la direction informatique et l équipe informatique d Orsay, le résultat attendu sur un ordinateur client d Orsay, ainsi qu un schéma permettant de définir les stratégies de groupe à appliquer et à quel niveau du domaine. XI.11.8 L utilisation du bureau à distance Il est demandé que les équipes informatiques puissent utiliser les services de bureau à distance pour se connecter sur les contrôleurs de domaines et les serveurs membres de leur site respectif. Pour cela, il convient que - sur chaque contrôleur de domaine et serveur membre, le service de bureau à distance soit activé - les groupes d utilisateurs autorisés à établir une ouverture de session sur le serveur soit déclaré - que les groupes d utilisateurs concernés soient membre du groupe «Utilisateurs du Bureau à distance» L activation du service et la déclaration des groupes autorisés à ouvrir une session se feront par le biais de stratégies de groupe déployés sur les OU contenant l ensemble des serveurs d un site. La déclaration des groupes d utilisateurs membre du groupe «Utilisateurs du Bureau à distance» se fera quant à elle de manière manuelle dans Active Directory. Ci-joint en annexe les modèles de stratégies de groupe à mettre en place ainsi qu un schéma permettant de définir les stratégies de groupe à appliquer et à quel niveau du domaine. Annexes 104

105 XI.11.9 Sauvegarde et récupération d urgence Active Directory (Jérôme TENEUR) XI Rappel des besoins Bien que nous prévoyons la mise en place un cluster de contrôleurs de domaine sur le siège d Aristote, il est fortement recommandé de planifier régulièrement des sauvegardes de ces contrôleurs de domaine complets avec tous leurs services liés à Active Directory qu il s agisse : De l annuaire d Active Directory Des rôles clés de l Active Directory (notamment le rôle PDC) Des GPO Du rôle DHCP Du rôle DNS XI Sauvegarde des contrôleurs de domaine Sachant que l infrastructure Active Directory de notre client sera basée sous Windows Server 2008 R2, nous allons utiliser la fonctionnalité de sauvegardes présente au sein du système d exploitation lui-même. Il s agit de Windows Server Backup qui depuis Windows Server 2008 vient complètement remplacer NTBackup et propose donc une toute nouvelle technologie de sauvegarde. XI Présentation de l utilitaire de sauvegarde Windows Server Backup Windows Server Backup se base sur la sauvegarde de volumes complets ou de blocs à contrario de NTBackup qui lui, était basé sur les fichiers. Nous allons utiliser la méthode de sauvegarde de volumes (grâce au service VSS : Volume Shadow Copy Service) car celle-ci permettra une restauration plus facile et rapide en cas de problèmes techniques et de besoin de récupération d urgence. Un autre avantage est que, comme il s agit d un logiciel enfichable dans une console MMC, il dispose de fonctions de prise en main complète à distance. Le volume sauvegardé sera bien sûr celui qui contient l annuaire Active Directory (donc le fichier NTDS.dit) et les GPO (dans le dossier SYSVOL) ainsi que la configuration de tous les autres rôles installés sur le contrôleur de domaine. XI Quel serveur sauvegarder? Dans un premier temps, il est nécessaire de préciser que suite aux paramètres de réplications multi-maître définis précédemment, nous allons sauvegarder un seul serveur parmi les deux d Orsay étant donné qu ils sont parfaitement identiques, en dehors de leurs rôles qui, pour rappel, sont définis comme suit 1 : Figure 57 - Rappel des rôles FSMO sur Orsay Annexes 105

106 Plus précisément, nous sauvegarderons celui qui dispose du rôle FSMO émulateur PDC donc l AD2 car c est un rôle indispensable au bon fonctionnement de l architecture Active Directory, notamment par exemple au niveau de l authentification des utilisateurs. De plus, sachant qu il n y a qu un seul domaine dans la forêt de notre client, il n y a donc qu un seul émulateur PDC. Si ce rôle tombe, alors ça met notre client hors activité car aucun collaborateur ne pourra s authentifier sur le réseau. XI Précisions sur la méthode de sauvegarde dite «incrémentielle» La sauvegarde sera incrémentielle, c est à dire qu il y aura une toute première sauvegarde complète du volume et que les suivantes seront seulement les différences entre la précédente sauvegarde complète du volume et le volume tel qu il est au moment de cette sauvegarde. Ceci permet d économiser énormément de bande passante sur le réseau car il y aura peu de données en transit une fois la sauvegarde primaire effectuée et d économiser de la place sur le disque dur du serveur de fichiers stockant les sauvegardes. Enfin, si l espace disque du serveur de fichiers est saturé, Windows Server Backup se chargera de supprimer les plus anciennes sauvegardes afin de libérer de l espace de disque pour permettre une nouvelle sauvegarde. Il y a donc une rotation automatique des sauvegardes du contrôleur de domaine. Nous paramètrerons la sauvegarde incrémentielle afin qu elle s enclenche toutes les nuits à 1 heure du matin en semaine. Et nous planifions également une sauvegarde complète cette fois-ci le weekend. Cette planification s effectue dans la console MMC via un logiciel enfichable. XI Emplacement des sauvegardes Nous allons également programmer les sauvegardes sur partage réseau. Un serveur de fichiers sera donc nécessaire pour les accueillir. Celui-ci sera situé à Bayonne, le second plus gros site d Aristote pour des raisons de précaution. En effet, l intérêt d avoir des sauvegardes sur le même emplacement que le serveur sauvegardé est moindre puisqu en cas de gros incident imprévisible (incident météorologique très important comme des inondations par exemple), le serveur de sauvegarde serait alors dans le même état que le serveur sauvegardé, c'est-à-dire complètement inutilisable et donc il n y aurait aucun moyen de récupérer une quelconque information ou configuration du serveur en question. Voici un schéma représentant alors la mise en place du serveur de sauvegardes : Figure 58 - Schéma de la mise en place du serveur de sauvegardes XI Conclusion Notre solution de sauvegarde se révèle alors à la fois efficace car elle est économique en bande passante grâce à sa fonction incrémentielle et pérenne avec la rotation des sauvegardes automatique. Annexes 106

107 XI Plan de récupération d urgence (Jérôme TENEUR) XI Rappel Lors de l étude de l architecture réseau de notre client en MIR 1, nous avions abordé le sujet de l interconnexion des sites distants via un réseau MPLS. Pour assurer une continuité de service même en cas de rupture d un lien, nous avions doublé les liens des sites distants du cœur de réseau (Orsay) avec un lien WAN de secours. Le site d Orsay lui possède deux liens WAN vers le réseau MPLS pour la redondance 2. De ce fait, les chances qu il n y ait aucune connexion entre les sites distants sont quasiment nulles. De plus, le site d Orsay est équipé d un cluster de contrôleurs de domaine. De ce fait si l un des deux tombe, l autre prend immédiatement l intégralité de la charge de travail ce qui assure une continuité d activité, bien que moins efficace sans le partage de charge. XI Intérêt de la récupération d urgence Tout ce système de sauvegarde lié à une méthode de récupération d urgence va permettre d effectuer des opérations de maintenance très rapidement car reconfigurer de A à Z un contrôleur de domaine est une tâche très lourde et minutieuse. Une mauvaise manipulation de la part de l administrateur sur le contrôleur de domaine 2 engendrerait donc l émulateur PDC inactif, donc une entreprise complètement hors service. Ce problème peut être rapidement résolu en activant le rôle émulateur PDC sur le contrôleur de domaine 1 bien heureusement. Bien entendu, la sauvegarde ici va permettre de restaurer rapidement le DC2 (Domain Controller 2) et donc de réactiver la haute disponibilité en peu de temps. Tout ceci sera quasiment transparent pour les utilisateurs (ils percevront au pire quelques latences lors de leur authentification au réseau par exemple). Mais dans le cas où le cluster complet se verrait hors d usage, un administrateur activera alors le rôle PDC et tous les autres si nécessaire sur le contrôleur de domaine 3 (à Bayonne), afin d assurer une continuité d activité de notre client. La sauvegarde va, ici encore, permettre la restauration complète du cluster plus rapidement qu en procédant à une reconfiguration manuelle intégrale. La procédure de récupération est décrite en annexe 3. XI Estimation des coûts Matériellement parlant, la solution se révèle au final relativement peu coûteux puisque les seuls investissements seront un serveur de fichiers avec un espace de stockage suffisamment conséquent. La technologie de Windows Server Backup en elle-même est comprise dans Windows Server 2008, il n y a donc aucun coût supplémentaire pour celle-ci. Nous préconisons donc un serveur HP ProLiant DL120 à hors taxes. Sur le plan humain, les deux administrateurs que nous préconisons chargés de la sauvegarde et récupération d urgence devront accepter les astreintes pour assurer une reprise d activité à n importe quel moment de la semaine. L investissement à prévoir est donc de l ordre de 50 K hors taxes l année. 2 Vous pouvez vous référer à l annexe «Interconnexion des sites distants» dans sauvegarde et récupération d urgence Active Directory (Rudy Promé) en fin de rapport 3 Vous pouvez vous référer à l annexe «Processus de récupération» dans sauvegarde et récupération d urgence Active Directory (Rudy Promé) en fin de rapport Annexes 107

108 XI Haute disponibilité (Jérôme TENEUR) XI Active Directory et Hyper-V La configuration et le dimensionnement des serveurs Hyper-V pour des performances optimales est facteurs de nombreux paramètres. On retiendra dans un premier temps que le service Active Directory ne sera pas virtualisé du fait de son rôle centrale dans l architecture. En effet le service Active Directory fonctionnera en trio avec DNS et DHCP sur un même système hôte. Tous les trois constituent le cœur du système d information, et sont de ce fait placer en redondance pour garantir la haute disponibilité. De plus la virtualisation complexifie l infrastructure ce qui de facto engendre un coût administratif plus important mais aussi et surtout cela amoindri les performances du système d information, notamment lors des piques I/O (généralement le matin, à la pause déjeuné et le soir) XI Répartition DNS Le tourniquet DNS (Round robin) : Permet d inscrire dans le DNS plusieurs adresses IP pour un même nom d hôte. Une fois cette fonction activée, le serveur DNS va séquentiellement renvoyer aux clients faisant une demande de résolution de nom sur cet hôte une adresse réseau différente. Ainsi lorsqu un client demandera l IP du DC associé au domaine vsn-aristote.lan, il se verra renvoyer soit l adresse de ORS- SRV-AD1 ou celle de ORS-SRV-AD2. La répartition peut se faire de plusieurs manières. Dans notre cas, nous opterons pour la technique la plus simple, à savoir la répartition cyclique, distribuant les IP à tour de rôle. Attention également, tous les contrôleurs de domaine étant inscrit en tant que tel dans les enregistrements DNS, nous pouvons nous retrouvé avec des scénarios contre-productifs. En effet, si les utilisateurs venaient à emprunter le lien WAN pour joindre le DC qui leur a été retourné, nous aurions une charge inutile de la bande passante inter-site. Pour cela, une autre technologie intervient : la gestion des sites et services Active Directory. Cette dernière permet en effet d associé un sous-réseau IP à un site Active Directory. Or chaque contrôleur de domaine étant placé dans un site Active Directory, nous avons donc implicitement une association entre sous-réseau IP et contrôleur de domaine. C est grâce à cette association qu un contrôleur de domaine peut indiquer à un utilisateur établissant une connexion, qu il peut avoir un accès plus rapide et performant via un autre contrôleur de domaine situé sur son propre site. Annexes 108

109 XI Dimensionnement hardware (Jérôme TENEUR) Le dimensionnement de l espace disque se fait par le biais de nombreux facteurs : - Il nécessite une taille importante pour le dossier SYSVOL : La mise en place de 1000 utilisateurs prend 1 Giga-octets. - Il est aussi nécessaire de laisser 500 Mo d espace disque pour les fichiers log de transaction - Il est conseillé de mettre en place un RAID 1 (miroir) afin de prévenir à un éventuel crash d un disque dur. - Si le contrôleur de domaine a la fonction de catalogue global, il sera nécessaire de prévoir l espace disque supplémentaire. Sachant que les contrôleurs de domaines auront les rôles FSMO, dont la fonction de catalogue global ou tête de pont, il sera nécessaire de dimensionner les serveurs avec une configuration plus importante. A noter, nous pouvons envisager la virtualisation du RODC situé dans la DMZ d Orsay. Annexes 109

110 XI.12 Architecture DNS (Rudy PROME) XI.12.1 Serveurs primaires et secondaires Il ne doit y avoir qu un et un seul serveur DNS primaire sur Aristote puisqu il n y a qu un seul domaine. Ce serveur primaire sera le serveur ORS-SRV-AD1 du cluster de contrôleurs de domaine d Orsay. Les cinq autres contrôleurs de domaine auront eux des services DNS dits secondaires (y compris celui de la DMZ, car les serveurs de la DMZ en ont besoin pourra localiser leur contrôleur de domaine). Ceci dans le but d optimiser la bande passante des liens WAN et d assurer la continuité des résolutions de requêtes DNS même en cas de rupture d un de ces liens sur un site quelconque. XI.12.2 Configuration des clients Les clients se verront attribués les adresses IP des serveurs DNS grâce au serveur DHCP comme suit : Site DNS primaire DNS secondaire DNS alternatifs restants Orsay ; ; Bayonne ; ; Sophia Antipolis ; ; Bruxelles ; ; Grâce à cette configuration, si l un des serveurs DNS tombe hors service ou même si deux serveurs s arrêtent, la résolution des requêtes est prise en charge par le DNS secondaire ou un des DNS alternatif si le secondaire non plus ne répond pas. Les clients sont assurés d avoir une réponse à toutes leurs requêtes. De plus, les requêtes à destination d Internet seront retransmises aux serveurs DNS publics par l intermédiaire du cluster DNS d Orsay. Annexes 110

111 XI.13 Architecture DHCP (Vincent DESSEAUX) Le protocole IP suppose la pré-configuration de chaque ordinateur connecté au réseau avec les paramètres TCP/IP adéquats, ce qu on appelle plus communément l adressage statique. Sur des réseaux de grandes dimensions ou étendues, où les modifications du plan d adressage interviennent souvent, l adressage statique engendre une lourde charge de maintenance et de nombreux risques d erreurs, notamment des conflits d adressage. DHCP (Dynamic Host Configuration Protocol) est un protocole réseau dont le rôle est d assurer la configuration automatique des paramètres IP d une station, notamment en lui affectant automatiquement une adresse IP et un masque de sous-réseau, il est l extension même du protocole BOOTP. Mais DHCP ne s arrête pas là, il peut aussi configurer bon nombre d option tel que l adresse de la passerelle par défaut, ou bien encore des serveurs de noms DNS. Les spécifications de ce protocole sont définies par les RFC 2131 (Dynamic Host Configuration Protocol) et RFC 2132 (DHCP Options and BOOTP Vendor Extensions). Dès lors qu on met en place une infrastructure réseau de moyenne ou grande taille tel qu un réseau local d entreprise, il est indispensable de s appuyer sur DHCP pour attribuer les configurations IP des stations. Elle permet une plus grande souplesse lors de la modification d un paramètre commun à toute les stations tel que l adresse IP de la passerelle ou bien encore l adresse IP d un serveur de nom DNS. XI.13.1 Présentation du service DHCP DHCP fonctionne sur le modèle client-serveur : un serveur, qui détient la politique d'attribution des configurations IP, envoie une configuration donnée pour une durée donnée, à un client donné. Lorsqu'un client initialise un accès à un réseau TCP/IP, le processus d'obtention du bail IP se déroule en 4 requêtes, à savoir les requêtes DHCP Discover, DHCP Offer, DHCP Request et DHCP ACK. DHCP utilise le port udp N 67 coté serveur, et le port udp N 68 coté client. Figure 59 - Schéma représentatif du déroulement d obtention d une configuration IP Annexes 111

112 XI.13.2 Les fonctionnalités liés à DHCP XI Le relai DHCP Les clients contactent les serveurs DHCP à l'aide d'une diffusion pour obtenir une configuration IP. Or dans une architecture inter-réseau, nous devrions théoriquement installer un serveur DHCP par domaine de diffusion, ce qui induit la multiplication d un même service et par la même, du risque d erreurs liés aux configurations à mettre en place. La RFC 3046 (DHCP Relay Agent Information Option) pallie à ce problème en intégrant une spécification concernant la redirection des paquets DHCP vers un serveur se situant sur un réseau logique distant. XI La haute disponibilité et la répartition de charge Depuis la version du système 2008 serveur, le service DHCP supporte le partage de charge conformément à la RFC 3074 (DHC LoadBalancingAlgorithm). Cet algorithme permet : à plusieurs serveurs DHCP de répartir les adresses IP en fonction d'une stratégie de distribution de mettre en place une stratégie de haute disponibilité Par défaut, la technique pour assurer un partage de charge équitable repose sur un algorithme permettant aux serveurs DHCP d'allouer une adresse en fonction de la parité de l'adresse MAC du client. En effet, le premier serveur allouera une adresse IP si le résultat de l'adresse MAC est pair, l'autre serveur le fera si le résultat est impair. Les deux services communiquent également entre pour : informer des octrois de bail s assurer du bon fonctionnement de chaque serveur se répartir les plages d adresses pouvant être alloués Si un serveur DHCP est en panne, le serveur qui reste opérationnel est averti de la défection de son pair et stoppe le partage de charge, il répondra donc à toutes les requêtes clientes. Une fois le serveur DHCP de nouveau disponible, l algorithme de répartition et le partage de charge des adresses reprennent leur court. Annexes 112

113 XI.14 Firewall (Jérôme TENEUR) Figure 60 - Implémentation des Firewall Annexes 113

114 XI.15 Sécurisation des accès Internet (Arnaud HAMON) L accès Internet est l une des causes principales d une intrusion informatique. L une des solutions mises en place consiste alors à ne pas connecter les ordinateurs à Internet. A l heure actuelle, son utilisation est indispensable dans les entreprises. Cette solution n en est pas une. Ces problèmes se traduisent sous différentes formes : virus, spyware, tentative de phishing, chevaux de Troie, intrusions Surtout que la propagation de ces malwares peut être apporté par les utilisateurs par clé USB par exemple ou bien l entreprise utilise des logiciels piratés (à son insu). A vrai dire, l utilisateur est responsable d un grand nombre des problèmes rencontrés dû aux installations de logiciels piratés, l ouverture de pièces jointes d s parfois suspect (nom de pièce jointe, expéditeur ), les téléchargements sur des sites inconnus, le surf sur certains sites Web L éducation des utilisateurs est donc nécessaire mais cependant très difficile à mettre en place. Or, différents moyens nous permettent d empêcher les utilisateurs d utiliser leur accès Internet de manière dangereuse. L objectif est de limiter un maximum les risques d intrusion et de contaminations des systèmes informatiques de l entreprise. Des solutions ont été étudiées, dites de filtrage, afin d autoriser et/ou interdire aux utilisateurs l accès à Internet. On peut réaliser un filtrage par adresse IP, c'est-à-dire que l on peut autoriser ou non les différentes machines à communiquer avec l extérieur ainsi que leur permettre de communiquer qu avec certains ports. Cela revient à faire du filtrage par protocole. Une autre méthode de filtrage est possible. Celle-ci s appuie sur les profils utilisateurs. Comme dans une grande majorité d entreprise, chaque employé à un compte utilisateur unique afin d utiliser les machines au sein de l entreprise. La machine sur laquelle l utilisateur se connecte n a plus d importance, les règles de filtrage sont appliquées au profil des utilisateurs. Cette dernière solution est ainsi plus souple du fait d un filtrage sur l identité de l utilisateur et non pas par adresse IP, donc par poste. L utilisateur se verra affecté de la même règle de filtrage sur n importe quel poste qu il utilisera, ce qui n est pas le cas dans un filtrage par IP. Cependant un utilisateur ayant tous les droits de navigations sur Internet pourra connaitre quelques refus de connexion pour certains sites. Les sites sensibles ou jugés interdit par la société pourront être ainsi renseignés dans une blacklist ou liste noire. Cette liste sera alors assignée à tous les utilisateurs quel que soit leur profil. XI.15.1 La solution proxy Afin de répondre au cahier des charges, notre choix s est porté sur l utilisation d un serveur proxy. Un serveur proxy est mandaté par une application pour effectuer une requête sur Internet à sa place. Le rôle premier d un serveur proxy est de servir de relais entre deux réseaux. Dans certain cas, les proxys peuvent être "anonymisant" c'est-à-dire qu'il ne reste pas de traces de l'émetteur de la requête lorsque le service distant est contacté. Il peut également être utilisé pour de filtrage les données, c'est-à-dire assurer un suivi des requêtes vers Internet effectuées par les utilisateurs et filtrer les sites de destination par URL ou par contenu Un serveur proxy assure les fonctions suivantes : La plupart des proxys sont munis d une fonction de mémoire cache permettant de garder en mémoire les pages les plus souvent visitées par les utilisateurs d un même réseau. De plus, cette fonctionnalité permet de réduire l utilisation de la bande passante ainsi que de donner des temps de «meilleurs temps de réponse» lorsqu ils veulent les afficher Le proxy étant l intermédiaire avec les ressources extérieures. Il permet entre autre de sécuriser les réseaux locaux. Une phase d authentification, réutilisant les comptes utilisateurs, peut être mise en place afin de communiquer avec l extérieur On peut également planifier à partir du proxy des tranches horaires d utilisation des accès Internet. Pour finir, celui-ci nous donne les possibilités de listes blanches et de listes noires car il analyse les requêtes clientes et peut alors les comparer aux liste blanches et listes noires qui ont été créées. Le proxy tient des journaux d activités (les logs) Internet. L administrateur peut si référencer afin de compléter les différentes listes. Annexes 114

115 Figure 61 - Schéma de fonctionnement d'un proxy XI.15.2 Spécificités de la solution proposée XI Fonctionnalités Un proxy Squid possède un grand nombre de fonctionnalités. Il est capable de gérer les protocoles FTP, HTTP, HTTPS et Gopher. Comme vu précédemment, seuls les protocoles HTTP et HTTPS seront utilisés. Celui est aussi capable de faire des requêtes LDAP afin d interroger une base de données SQL ou bien un Active Directory, fournissant alors une demande d authentification aux utilisateurs afin de communiquer vers l extérieur. Il sert de "cache" (proxy-cache). C'est-à-dire de stocker localement les contenus ou les URL les plus souvent demandés pour les restituer quasi immédiatement. Pour optimiser le gain de temps et de bande passante, nous vous conseillons de mettre un serveur Proxy Squid sur chaque site. Pour finir, un logiciel complémentaire à Squid, appelé Squidguard, apporte des fonctions de filtrage à Squid dans le but de réaliser des blacklist ainsi que des whitelist. Annexes 115

116 XI Administration L administration des solutions Linux est assez complexe ainsi que leur configuration. Afin, d optimiser les ressources systèmes, et éviter les problèmes de plantage, le système d exploitation sera installé en mode lignes de commande afin d éviter les problèmes liés à l interface graphique. Or, une interface Web est disponible afin d administrer plus facilement le proxy. Ce n est pas une interface dédiée à Squid, mais une interface d administration globale du serveur, mais très utile dans notre cas. Celle-ci sera mise en place suite à l installation de Squid. L avantage de l utilisation d un proxy est que celui-ci ne devient pas obsolète avec le temps. Le complément nommé Squidguard est indispensable afin de répondre au cahier des charges. C est grâce à lui que l on peut administrer une bonne partie des besoins clients tels que : - Les plages horaires (exemples) : time afterwork { weekly * 17:00-24:00 # After work weekly fridays 16:00-17:00 # On friday we close earlier date * # New Year's Day date * :00-24:00 # Christmas Eve date # Easter 2006 date # Maifeiertag } - Les blacklist (exemples) : acl { default { pass!dnsbl:your.preferred.blacklist.domain.com all redirect } } La tâche principale suite à l installation est la configuration de celui-ci. Il sera toutefois possible, si besoin est, d ouvrir des accès directs à Internet en modifiant le filtrage au niveau parefeu et autorisant à certaines IP à sortir vers l extérieur (ceci est vrai quel que soit le protocole demandé). Modification du port proxy (par défaut 3128). Annexes 116

117 XI.16 Reverse Proxy (Bastien GAYRAL) XI.16.1 But Le proxy inversé remplit le rôle de passerelle entre Internet et le réseau local d'entreprise. Il donne accès depuis l'extérieur et via Internet aux serveurs internes de l'entreprise en transmettant indirectement les requêtes qui lui sont adressées. Cela évite à l'entreprise d exposer ses serveurs Web frontaux, en les plaçant derrière un serveur sécurisé et prévu pour encaisser des grosses charges de trafic. Les clients ne voient qu'une adresse IP et n'ont pas connaissance du système mis en place. Le reverse proxy devient alors le point d'entrée unique aux serveurs Web d'un site. Ce point d'entrée unique proxy permet un contrôle des accès aux applications Web et de simplifier l'établissement de règle sur le firewall du site. Ainsi, l'utilisation d'un reverse proxy permet d'envisager une répartition des applications Web par serveur en fonction des besoins. Redirection des URL externes (https) DMZ Client externe Accès mappé (https) Serveur interne Internet Routeur Pare-feu Accès serveur interne Poste de travail LAN Figure 62 - Fonctionnement d'un reverse proxy XI.16.2 Avantage Le premier avantage est qu il ne possède qu'une seule adresse visible : celle du reverse proxy. Les serveurs Web frontaux placés derrière dispose d'une adresse locale, ce qui a pour avantage de ne pas multiplier la réservation de plages d'adresses et donc les coûts. Le reverse proxy va se charger seul d'attribuer pour une requête Web, une adresse locale d'un serveur interne, puis en sens inverse de transférer la réponse à l'internaute en mémorisant son adresse Web par le biais du protocole NAT. De plus, cela consiste à pouvoir changer de manière transparente son architecture serveurs en interne sans impact sur l'adressage IP Internet. Grâce au reverse-proxy, le serveur Web est protégé des attaques directes de l'extérieur, ce qui renforce la sécurité du réseau interne. D'autre part, la fonction de cache du reverse-proxy peut permettre de soulager la charge du serveur pour lequel il est prévu Annexes 117

118 XI.16.3 Le protocole Https Le protocole HTTPS c'est une version sûre du protocole HTTP qui met en œuvre un canal de communication sûr et basé en SSL (Secure Socket Layers). Le protocole SSL/TLS fait usage de méthodes cryptographiques et apporte plusieurs caractéristiques supplémentaires au protocole HTTP original : Authentification de l'une ou des deux parties communicantes ; soit le serveur seul est authentifié auprès du client, soit client et serveur sont authentifiés l'un auprès de l'autre. Confidentialité des échanges ; dans le cas où la communication serait interceptée par un attaquant, celui-ci n'a pas la possibilité d en déchiffrer le contenu. Garantie d'intégrité des échanges ; client et serveur ont la garantie que les données échangées au cours de leurs communications n'ont pas été altérées par un tiers. À la différence de HTTP qui utilise le port 80, HTTPS travaille par défaut sur le port 443. XI.16.4 Comparatif de solution XI Apache Apache est un logiciel de serveur HTTP produit par l'apache Software Foundation. Il se construit à partir de modules gérant chaque fonctionnalité. Cela a pour but de mieux contrôler la sécurité de votre réseau. Ainsi vous gagnerez en ressource matérielle pour un accès sans faille et fluide. Le module Mod proxy implémente un proxy/ passerelle ainsi que des fonctionnalités de relais HTTP, FTP et CONNECT pour un serveur Apache. Il peut être configuré pour œuvrer au choix comme un direct proxy ou comme un reverse proxy. Comme reverse proxy, il permet de protéger des sites Web en mettant en place un système de relais entre le client et le serveur Web qui se comportera comme un serveur HTTP côté client et comme un client HTTP côté serveur : Il permet aussi de faire de la répartition de charge. Il peut être couplé aux modules apache : mod_rewrite : qui permet la réécriture à la volée des URL's mod_security : qui permet de filtrer les requêtes mod_proxy_balancer : qui permet de faire de la répartition de charge XI Microsoft Forefront UAG Forefront Unified Access Gateway (UAG), est le reverse proxy de Windows. C est une solution d accès à distance sécurisée et centralisée. Elle permet de fournir un contrôle des stratégies pour tous les utilisateurs, périphériques et ressources réseau. Forefront UAG prévoit : Configuration requise Une autorisation et un contrôle d'accès aux ressources internes et applications. Un soutien applicatif pour les produits Microsoft et pour les applications tierces. Un contrôle d'accès, afin d'assurer que les paramètres du client respectent les politiques de sécurité de l'entreprise et peuvent accéder aux applications internes et des ressources. Une interface et des mécanismes d'authentification, appelé Frontend, permettant aux utilisateurs une authentification, de sorte que seul le trafic authentifié puisse atteindre les serveurs d'applications. Windows Server 2008 ou Windows Server 2008 R2 (Edition Standard et Enterprise) Architecture 64-bits Un minimum de 4 GB de mémoire (8 GB recommandé) 2,5 GB d espace disque disponible Cartes réseau. Annexes 118

119 XI.16.5 Conclusion Microsoft a mis en œuvre une application pour sécuriser les accès distants complète qui fournit aux entreprises une facilité d administration ainsi qu une interopérabilité avec plusieurs applications non-microsoft. Cependant, cette solution est très coûteuse et nécessite une grande infrastructure réseau pour réduire les coûts d installation. De plus, Microsoft Forefront UAG s installe que sur Windows 2008 server et est donc très gourmand en ressource matérielle ce qui engendre des soucis de performances lors de fortes charges. Apache est une application complète et gratuite. C est la solution la moins coûteuse et une des plus performantes du marché. Ses aptitudes de reverse proxy sont suffisamment au point pour une mise en production sans difficulté. Grâce à sa réputation, il existe une grande quantité de documentations et de mise à jour sur Internet pour pallier à d éventuelles failles de sécurité. Exemple de configuration du fichier Vhost.conf d Apache : Annexes 119

120 XI.17 Architecture de Messagerie Collaborative (Rudy PROME) XI.17.1 Implémentation des rôles Exchange Le produit de Microsoft a une méthode de fonctionnement bien spécifique. Le tableau ci-dessous va décrire de façon synthétique ces différents rôles ainsi que leur emplacement au sein de l architecture d Aristote : Rôles Explications Emplacement Mailbox Transporteur EDGE (ne doit pas être membre du domaine) Transporteur HUB Accès Client (CAS) Messagerie Unifiée (UM) Héberge toutes les boîtes aux lettres et dossiers publics. Mais ne gère pas le transport des messages, elle a besoin d un serveur de transport HUB Assure tous les échanges de mails sortants ou entrants du/dans le réseau interne, c est une passerelle SMTP Inclut un anti-spam, gère les règles de répudiations et le filtrage de contenu Tous les courriers électroniques doivent passés par ce serveur afin d être délivrés (y compris les courriers locaux), car ce rôle permet le routage des messages, la conversion des formats si nécessaire et la journalisation Les flux internes sont chiffrés par TLS Il intègre également un anti-spam Sert de passerelle à tous les clients non MAPI (qui proviennent d Outlook Web Access (dorénavant Outlook Web App), d ActiveSync, d Outlook Anywhere, des protocoles POP3 et IMAP4) Stocke au même emplacement les s, fax et les messages vocaux de façon unifiée depuis un client Outlook ou un mobile Offre des fonctions de répondeur téléphonique, de réception des fax et l utilisation d Outlook Voice Access Présente sur les quatre sites Cependant la Mailbox d Orsay sera installée en cluster pour assurer une haute disponibilité Présent uniquement dans la DMZ d Orsay Seront installés sur les quatre sites afin qu il n y ait pas de surcharges de flux sur les réseaux WAN pour les messages intersites. Plus exactement ils seront implantés sur les mêmes serveurs que les Mailbox et ainsi en cluster sur le site d Orsay Présents sur tous les sites également, sur le même serveur que les Mailbox et transporteurs HUB. Donc en cluster sur le site d Orsay Nécessitant une forte bande passante, les serveurs UM seront eux aussi présents sur tous les sites d Aristote Tous les Exchange 2010 nécessaires seront installés physiquement sur des serveurs HP ProLiant DL360 G6 à Orsay et Bayonne et HP ProLiant 320 G6 à Sophia Antipolis et Bruxelles. XI.17.2 Plan de nommage des comptes utilisateurs Afin de créer un annuaire Exchange le plus clair et le plus simple possible, il faut définir une règle de nommage pour les comptes des utilisateurs de notre client. De plus, nous allons utiliser le suffixe public de l entreprise pour permettre l envoi et réception de mail depuis l extérieur.nous proposons donc de définir les comptes de la manière suivante : Nom.prénom@domaine-de-l entreprise.suffixe Par exemple, l utilisateur Jean Dupont aura une adresse de messagerie comme suit : jean.dupont@vsn-aristote.eu Annexes 120

121 XI.17.3 Capacités de stockage et d envoi des utilisateurs Nous devons également planifier un espace de stockage nécessaire pour stocker toutes les boîtes aux lettres des utilisateurs et mettre en place des limites d envoi afin de ne pas saturer la bande passante. Voici un tableau présentant ces espaces et les limites : Directions Espace de stockage par utilisateur (en Go) Limite de la taille des messages en envoi (en Mo) Générale 5 20 Administrative et Financière 5 20 Commerciale et Marketing 5 20 Etude 8 50 Production 8 50 Limite du nombre d envoi de message par jour et par utilisateur Illimité Comme vous pouvez le constater, les directions Etude et Production bénéficient d une plus grande souplesse car nous prévoyons que ces ressources seront amenées à partager entre elles des fichiers beaucoup plus volumineux (comme par exemple des schémas ou des plans) que les autres directions (qui échangent principalement des documents textuels ou tableaux). XI.17.4 Capacités de stockage nécessaire des MailBox Par conséquent, voici une estimation des capacités de stockage à prévoir pour les serveurs MailBox de chaque site : Directions Utilisateurs Stockage prévu Orsay Bayonne Sophia Antipolis Bruxelles Utilisateurs Stockage prévu Utilisateurs Stockage prévu Utilisateurs Stockage prévu Générale Administrative et Financière Commerciale et Marketing Etude Production Stockage total (en Go) XI.17.5 Détails sur la fonction de haute disponibilité DAG XI Introduction Exchange 2010 va nous permettre d assurer une sécurité au niveau des Mailbox grâce à sa fonction DAG (Database Availability Group) sans avoir à utiliser à proprement dit un cluster Microsoft. Etant liée aux Mailbox, elle se met en place sur toutes les machines qui en contiennent le rôle (donc sur tous nos serveurs Exchange à l exception de celui dans la DMZ).Nous devons donc garantir notamment les points suivants : Chaque utilisateur de chaque site doit accéder à ses s même en cas de rupture du lien MPLS avec le siège Limiter la consommation en termes de bande passante Un système fonctionnel même en cas de crash d un serveur Annexes 121

122 XI Gestion des bases de données d Exchange XI Combien de bases de données? Afin de défragmenter les bases de données de mails plus rapidement et de regrouper ensemble les bases des utilisateurs ayant des quotas de mails journaliers identiques et des boîtes mails de même taille, nous allons créer cinq bases de données. Soit, une par direction d Aristote : Direction Générale (DB-1) Direction Administrative et Financière (DB-2) Direction Commerciale et Marketing (DB-3) Direction Etude (DB-4) Direction Production (DB-5) XI Répartition des bases de données suivant les MailBox d Aristote Dernier point, la répartition et le nombre de serveurs dans l architecture logique globale a été déterminé de la manière suivante : Figure 63 - Architecture logique Exchange CAS/DAG Attention, il s agit ici d une représentation logique, en réalité, les services CAS et DAG d un site seront sur une même machine physique Annexes 122

123 En ayant choisi de créer une base de données par direction, chaque serveur aura une base active (représentée en vert sur le schéma ci-dessus). Ce qui nous permettra d associer une base active à la direction la plus représentée (en nombre d utilisateurs) pour un site. Par conséquent : les deux serveurs d Orsay auront pour bases actives la direction Commerciale et Marketing et la direction Etude le serveur de Sophia Antipolis aura la base de la direction Administrative et Financière le serveur de Bayonne aura la base active de la direction Générale le serveur de Bruxelles aura la base active de la direction Production Nous avons donc au travers de cette architecture, garantie la pérennité de l information mail ainsi que la haute disponibilité pour les utilisateurs. XI.17.6 Partage de charge Concernant l utilisation des CAS, nous envisageons une répartition de charge matérielle. Celle-ci fonctionnant sur une base de NAT inversée, le principe est d envoyer tous les flux réseaux vers une IP virtuelle qui va se charger via une translation d adresse de rediriger les données vers un membre du cluster. Ainsi nous aurions des utilisateurs qui iraient récupérer leurs s à l adresse , cette demande serait ensuite redirigée dynamiquement vers soit le serveur1 ( ) soit le serveur2 ( ). Annexes 123

124 XI.18 Architecture de Messagerie Instantanée (Rudy PROME) XI.18.1 Les rôles de Lync Server Lync Server possède comme Exchange différents rôles avec des fonctionnalités bien précises : Serveur Frontal : ce serveur gère la connexion des utilisateurs, l initialisation des communications et le suivi des états de présence SQL : le serveur SQL stocke l état des utilisateurs, les planifications et la configuration de Lync Directeur : permet l authentification des utilisateurs externes Serveur Edge d accès : ce rôle, placé dans la DMZ, permet de donner accès à l infrastructure aux utilisateurs ne figurant pas à l intérieur de la société. Grâce à ce rôle, il n est plus nécessaire de monter un réseau VPN pour se connecter Serveur Edge de conférence Web : ce rôle s installe également dans la DMZ de l entreprise. Il permet de faire transiter le trafic des conférences Web Serveur Edge de conférence A/V : ce rôle est identique au précédent, mais gère les informations vidéo et audio Serveur Lync Web Access : ce rôle permet aux utilisateurs de Lync de se connecter à partir d un navigateur Web et ainsi de disposer des fonctions de messagerie instantanée, comme si la personne disposait du programme Lync Client. Ceci peut être utile notamment pour les collaborateurs ayant besoin de la messagerie instantanée alors qu ils sont à l extérieur de l entreprise sur un PC public XI.18.2 Fonctionnalités XI Détection de présence La présence est un rôle important en entreprise. Elle permet à un utilisateur de savoir à l avance si l utilisateur distant est prêt à communiquer. Ces informations de présence sont définies automatiquement en fonction de votre calendrier Outlook, de vos activités sur votre ordinateur ou de vos appels en cours. XI Conférence Web Ce terme recouvre des applications de travail collaboratif en temps réel accessibles au travers du navigateur. L'organisateur a besoin d'un logiciel client spécifique. Il peut préparer une réunion virtuelle, ce qui consiste à lancer des invitations et envoyer des documents et questionnaires (afin de réaliser des sondages). Il pourra modérer la réunion en contrôlant les interventions ou l'affichage des documents présentés. Les principales fonctionnalités sont : le partage de documents, de tableaux blancs, de tableurs ou de présentations la prise de contrôle à distance la messagerie instantanée la réalisation de sondages l enregistrement des réunions (envoyé à chaque participant) XI Messagerie instantanée et conférence Audio/Vidéo/Data Avec le client Lync, vos utilisateurs ont la possibilité de communiquer en temps réel entre eux. Vos collaborateurs peuvent avoir une conversation textuelle, auditive, et y ajouter la vidéo. Annexes 124

125 XI.19 Partage de fichiers (Bastien GAYRAL) Le serveur et le partage de fichier sont des éléments essentiels dans une entreprise. Il est nécessaire que ces ressources soit disponible à tout moment et depuis n importe quel endroit. De plus, avec l arrivée de services de collaboration, le travail en équipe devient plus convivial et permet un gain de temps considérable car il n y a plus la question de distance. XI.19.1 DFS (Distributed File System) DFS (Distributed File System) est un système de fichiers logique. Il utilise des liens, appelés «espaces de noms», qui servent à pointer sur des répertoires partagés disposés sur différents serveurs pour permettre une meilleure gestion des partages. Ainsi les utilisateurs ne voient pas les répertoires auquels ils n ont pas accès. Les partages DFS peuvent être publiés en tant qu objet volume dans Active Directory et on peut en déléguer l administration en utilisant le service Active Directoy. Les Réplicas permettent de diminuer la charge réseau ainsi un utilisateur qui souhaite se connecter à un partage, est automatiquement redirigé vers un des serveurs disponibles. Ceci permet en cas de panne de disposer d un serveur de secours. Figure 64 - Fonctionnement DFS Contrairement à Active Directory 2003 qui utilisait le service de réplication de fichiers FRS, le nouveau moteur de réplication DFS multimaître prend en charge la planification de la réplication et la gestion de la bande passante. La réplication DFS utilise un nouvel algorithme de compression nommé Remote Differential Compression (RDC). Cette technologie met à jour les fichiers sur les réseaux longue distance à bande passante limitée en répliquant uniquement les modifications nécessaires. XI.19.2 File Server Resource Manager (FSRM) La console File Server Ressource Manager est un composant logiciel configurable à partir d'une MMC (Microsoft Management Console). Elle permet de s informer sur la gestion du stockage des serveurs, de gérer les emplacements de stockage à l aide de rapports, d'appliquer des quotas sur des volumes et des dossiers et de faire de la restriction de fichiers en fonction de son extension. XI.19.3 Windows Sharepoint Services (WSS) L'application WSS 3.0 (Windows Sharepoint Services) de Microsoft est une extension gratuite de Windows Storage Server. Elle permet le partage d'informations et le travail d équipe à travers une interface simple. Elle permet aux utilisateurs de déposer des articles, des liens ou tout autre document et de collaborer ensemble sur leurs documents et les gérer euxmêmes. Nous en parlerons de façon plus approfondie dans le prochain chapitre «gestion du contenu de l entreprise». Annexes 125

126 XI.19.4 Branchcache Branchcache permet aux clients d une filiale ou d un site distant de récupérer les fichiers du cache local d une machine au lieu de récupérer ces mêmes fichiers à partir du serveur distant. A partir du moment où un des clients du site distant a téléchargé le fichier du serveur sur le site principal, ce même client est en capacité de fournir ce fichier aux autres clients de son site distant. Une économie concrète sur la bande passante, car souvent les WAN séparant le site principal des sites distants sont souvent munis d une connexion bas débit. Ce système limite donc l utilisation de la bande passante et peut permettre d éviter la saturation du réseau WAN. XI.19.5 Interopérabilité Windows Server 2008 R2 est doté d une interopérabilité UNIX/Windows. Cette solution prend en charge, en mode natif, les clients Linux et UNIX, authentifie les utilisateurs sur différentes plateformes et partage les fichiers et les données sur plusieurs systèmes d'exploitation. XI.19.6 Choix du Stockage (NAS ou SAN) Le NAS (network attached storage) est un élément de stockage attaché directement au réseau local d'une entreprise ou d'un particulier. Il se configure par le biais d'une application Web. Le NAS est spécialisé dans la gestion des fichiers et offre donc d'excellentes performances. Pour une entreprise, il est donc préférable à un simple serveur de fichier et permet d'accéder aux fichiers stockés dessus à partir de n'importe quel point du réseau local. En revanche, comme il est rattaché au réseau, il risque de le surcharger. Le SAN (storage area network) quand à lui est un réseau à part entière, composé de switchs, des baies de disques durs et d'un câblage ultra-rapide. Ce câblage, en fibre de verre, permet des débits jusqu'à 10 Gbits/s: c'est ce qu'on appelle le Fibre Channel (FC). Il y a en général beaucoup plus de switchs que nécessaire: cela permet donc de multiplier les chemins d'accès possibles vers les baies de stockage. Le SAN est donc très orienté sur la sécurité : le Fibre Channel assure une transmission rapide et sécurisée, la multiplicité des switchs et le maillage en FC permet de contourner la défaillance d'un switch, les disques durs sont souvent intégrés à des montages RAID (RAID 1, RAID 5 ou, plus généralement, RAID 51), une possibilité de LANfree backup peut être mise en place, sans que cela ne pénalise les performances globales. XI.19.7 Conclusion Il existe trois technologies pour créer un réseau dédié au stockage : Fiber Channel est réputé performant mais cher. Elle est la plus mature et la plus ancienne des technologies SAN et offre un débit de 4 Gbits/s. Mais elle est complexe à mettre en œuvre iscsi est plus économique et offre de bonnes performances mais n'excède pas 1 Gbit/s puisque qu'il repose sur du Gigabit Ethernet SAS (Serial Attached SCSI), créé il y a trois ans, il reste peu connu. Elle offre des débits de 3 à 12 Gbits/s mais il existe peu de commutateur D après ce comparatif, nous avons opté pour la technologie iscsi qui est une technologie peu chère, performante, évolutive et correspond parfaitement à vos besoins. XI.19.8 Volumétrie Sur les serveurs de fichiers, nous ciblons principalement deux usages : Espaces partagés par direction Stockage des répertoires personnels des utilisateurs Annexes 126

127 Le premier est un usage régulier sur toute la journée, les utilisateurs consultant et utilisant les documents de manière aléatoire. Quand au deuxième usage, il est un peu plus complexe. En effet, on peut distinguer deux grosses périodes de très forte charge, qui sont le matin à la connexion des utilisateurs et le soir à la déconnexion. Pour prévoir ces montées en charge dans notre solution, nous recommandons un serveur de fichiers Windows Server 2008 sur chacun des sites pour permettre la réplication de fichiers DFS et une rapidité d accès aux données de l entreprise. Ces réplications seront faites le soir entre 20h et 7h00 du matin pour optimiser la bande passante. Nous avons défini des quotas de partages par service comme vous pouvez le voir dans le tableau ci-dessous. Quantité Espace alloué / répertoire Espace Total Service 5 10 Go 50Go Utilisateurs Go avec 50Mo de rappel 500Go Note : Cette définition des quotas par répertoire est réalisée par notre expérience. Néanmoins elle peut à tout moment être modifiée suivant les besoins des utilisateurs et des directions. Avant toute chose, rappelons que les performances d un serveur de fichiers sont principalement impactées par le réseau et les disques. Le tableau ci-dessous montre le pourcentage d utilisateurs par site et par direction. Il nous permet de déduire la volumétrie. Nous conseillons de doubler la capacité estimée pour permettre une grande souplesse de la gestion des fichiers et ainsi permettre à vos utilisateurs une capacité idéale pour travailler. Pour éviter la perte de données, nous recommandons la technologie RAID 5 avec l usage de cinq disques pour avoir 3 disques de spare permettant la défaillance de 2 disques simultanément. Annexes 127

128 XI.19.9 Comparatif des tailles des fichiers (extensions) Le poids d un fichier numérique est la place qu il occupe sur les éléments de stockage, et son unité est l octet. Pour avoir un ordre d idée des échelles de poids de fichiers, voici une liste : D après ce tableau, nous vous recommandons d interdire à vos utilisateurs la possibilité de sauvegarder des vidéos de type DVD et Dv ainsi que des musique de type wave. L utilisation de ces types de données vont saturées votre système de stockage et ne sont pas nécessaire au bon fonctionnement de votre entreprise. Annexes 128

129 XI.20 Gestion de contenu (Bastien GAYRAL) XI.20.1 Microsoft Office Sharepoint Server (MOSS) Microsoft Office Sharepoint Server 2010 est une solution qui permet la gestion de contenu de l entreprise. Il permet la gestion du contenu Web, la gestion des documents, la gestion des formulaires et la gestion des sites personnels. Ce service s articule autour de trois types de serveurs : Le serveur Web Le serveur d applications Le serveur de base de données Cette solution a une très forte scalabilité. En effet, si le besoin évolue sur un certain type de serveur, Office Sharepoint Server nous offre la possibilité d ajouter des serveurs de ce type et ainsi constituer une ferme de serveurs pour répondre à ce nouveau besoin. Un autre point fort de cette solution réside dans le fait que le support Microsoft est très performant et sur le marché de l emploi il est plus simple de trouver quelqu un ayant des compétences sur Office Sharepoint Server et.net. Cette facilité à trouver des ressources nous permettra de réduire les coûts de maintenance en ayant la possibilité de faire jouer la concurrence. Le point faible de cette solution est le coût matériel important. En effet, il est préconisé d utiliser au minimum trois machines physiques différentes pour chacun des services (Web, applications et base de données). XI.20.2 Open Text ECM Suite Open Text ECM Suite est un outil de travail collaboratif historique sur le marché des ECM. Tout comme MOSS, cet outil permet de prendre en charge tous les besoins de notre client Aristote. Le schéma suivant permet de voir le principe de fonctionnement de cette solution : Cette solution s articule autour de différents services : - Open Text Enterprise Process Services : c est la brique de gestion de flux de travail et de gestion des processus métier - Open Text Enterprise Library : c est le référentiel qui permet la gouvernance et la gestion de conformité de tous les types de contenus à l échelle de l entreprise. - Open Text User Experience Services : permet de fournir un service homogène quel que soit le moyen d accès et d utilisation du contenu (des portails, des interfaces Web, des applications bureautiques ou des appareils mobiles). Cette solution peut s adapter à un large contexte d entreprise en termes d architectures de messagerie, de bases de données et d applications métier. XI.20.3 IBM Enterprise Content Management IBM Enterprise Content Management est l outil de gestion de contenu d entreprise d IBM. Il permet la gestion du contenu, des processus et de la conformité. Combiné à la solution FileNet, cet outil permet la gestion de flux de travail. Malheureusement le besoin d Aristote en matière de gestion du contenu Web n est pas assuré par ce produit IBM. Cette solution est très fortement liée à Lotus Notes qui n est pas le système de messagerie que nous avons retenu. Annexes 129

130 XI.20.4 EMC Documentum EMC Documentum est la solution proposée par EMC (leader mondial du stockage) à la problématique de gestion de contenu de l entreprise. Cet outil permet de satisfaire tous les besoins d Aristote néanmoins, il nécessite la mise en place de serveurs n étant pas sous environnement Windows et il ne peut donc pas être retenu. XI.20.5 Oracle Content Management Oracle Content Management est la solution proposée par Oracle pour la gestion de contenu de l entreprise. Ce produit répond parfaitement aux besoins d Aristote mais il n est pas disponible pour des serveurs sous environnement Windows. XI.20.6 Solution retenue Comme on a pu le constater le marché de la gestion de contenu est un marché très important, où de nombreux acteurs se livrent une bataille sans merci. La solution que nous retenons dans le contexte de cette MIR Windows est la solution proposée par Microsoft, Office Sharepoint Server Elle nous permet de respecter les besoins d Aristote tout en permettant une grande scalabilité et un coût de maintenance moins élevé. La solution Open Text ECM Suite a été écartée car elle nécessite une étude plus approfondie, irréalisable dans le temps imparti. XI Pré-requis matériel Microsoft Office Sharepoint Server 2010 nécessite une machine dotée de la configuration matérielle suivante : Composant Processeur Mémoire RAM Espace disque Minimum requis 4 cœurs en 64bits 8 Go 80 Go XI Pré-requis Logiciels L installation d Office Sharepoint Server 2010 nécessite d avoir installé la mise à jour KB : QFE for Sharepoint Issue. Ensuite, en exécutant l outil de préparation, les éléments suivants seront installés : Web Server (IIS) rôle Application Server rôle Microsoft.NET Framework version 3.5 SP1 SQL Server 2008 Express with SP1 Microsoft Sync Framework Runtime v1.0 (x64) Microsoft Filter Pack 2.0 Microsoft Chart Controls for the Microsoft.NET Framework 3.5 Windows PowerShell 2.0 SQL Server 2008 Native Client Microsoft SQL Server 2008 Analysis Services ADOMD.NET ADO.NET Data Services Update for.net Framework 3.5 SP1 A hotfix for the.net Framework 3.5 SP1 that provides a method to support token authentication without transport security or message encryption in WCF. Windows Identity Foundation (WIF) Le module Active Directory Rights Management Services (AD RMS) permet la gestion des droits numériques par MOSS. Il est disponible sans coûts supplémentaires sur Windows Server 2008 R2. Windows Sharepoint Foundation permet la mise en place de flux de travail mais nécessite une connaissance approfondie en développement.net. Annexes 130

131 Il fonctionne exclusivement sur Windows Server et est disponible en version intégrée au système (Windows SharePoint Services) ou comme produit commercial additionnel Microsoft Office SharePoint Server). Il permet de créer rapidement des sites collaboratifs, de gestion de contenu ou encore de gestion documentaire. Les fonctionnalités supplémentaires alors apportées par Microsoft Office SharePoint Server sont par exemple : Création de sites personnels Agrégation de contenu de sites différents au format RSS Annuaire de sites Moteur de recherche indexant l'ensemble des sites de l'entreprise XI Configuration En version standard, MOSS gère les fonctionnalités suivantes : Gestion des signatures Validation de documents Dématérialisation de documents Création/Gestion de contenu Web Création/gestion du portail d entreprise Moteur de recherches Pour bénéficier de la gestion de formulaires, il faut installer InfoPath. InfoPath permet à MOSS de générer les formulaires dans le format XML pour les flux de travail lors de la gestion des signatures et la validation des documents. L Alternate Accès Mapping (AAM) permettra les redirections sur le pare-feu. Le rôle AD RMS doit être installé sur le serveur. Cela permettra d activer les droits RMS dans le centre de documents de Sharepoint. L installation de MOSS nécessite également une mise à jour du schéma Active Directory. Annexes 131

132 XI.21 Relai SMTP (Jérôme TENEUR) Le relai SMTP reçoit les mail via le protocole SMTP avant de les router vers le serveur de messagerie exchange. Comme mentionné dans le rapport, ce relais SMTP inclut les services suivants : Postfix MTA, pour le routage des mails et le contrôle des pièces jointes Kaspersky Anti-Virus, pour scanner les mails et les pièces jointes de tout virus SpamAssassin et DSPAM, pour l identification des courriers indésirables et le filtrage des mails Amavisd-New, composent Postfix permettant de faire l interface entre Postfix / Kaspersky / SpamAssassin XI.21.1 Postfix MTA Utilisé avec les expressions rationnelles dans un fichier junk et une liste publique anti-spam, il permet d'éviter bon nombre de spams sans même devoir scanner les contenus des messages. Principaux fichiers de configuration : main.cf virtual aliases access master.cf Fichier junk XI.21.2 Kaspersky Anti-Virus L'application s'intègre au système de messagerie déjà en place sous la forme d'un module supplémentaire et recherche, en temps réel, la présence d'éventuels virus dans les messages électroniques transmis via le protocole SMTP. Elle peut également analyser à la demande le système de fichiers du serveur. Le produit nous permet d implémenter plusieurs fonctions : - Analyse antivirus avancée : recherche la présence d'éventuels virus dans tous les composants du message électronique. - Notifications : En cas de découverte d'un objet suspect ou infecté, l'administrateur système, l'expéditeur et le destinataire du message reçoivent un avertissement dont le contenu et le format sont définis par l'administrateur. - Analyse du système de fichiers du serveur. En plus du trafic de messagerie, Kaspersky Anti-Virus for Linux Mail Servers peut réaliser l'analyse à la demande du système de fichiers du serveur. - Selon les groupes d'utilisateurs. L administrateur peut créer des groupes d utilisateurs du système de messagerie et définir pour chacun d entre eux des règles individuelles de traitement des messages ainsi que différentes restrictions. - Administration à distance. La configuration de Kaspersky Anti-Virus for Linux Mail Servers peut s'opérer de manière traditionnelle via le fichier de configuration ou via l'interface Web du logiciel Webmin. XI.21.3 SpamAssassin SpamAssassin est un programme (en Perl) qui fait passer un certain nombre de tests au message. En fonction du résultat de ces tests, il attribue un score au message. Si le score dépasse un certain seuil, le courriel est alors considéré comme du Spam. SpamAssassin modifie alors le titre du message (il l'encadre par ***** SPAM *****). De plus, il positionne deux nouveaux en-têtes au message : X-Spam-Status et X-Spam-Level. Ces deux en-têtes permettent alors de créer des filtres dans Postfix pour orienter le message (par exemple la corbeille). Tous les messages doivent donc passer par SpamAssassin pour être traités, avant d arriver dans leur dossier définitif. Annexes 132

133 XI.22 Virtualisation (Arnaud HAMON) XI.22.1 Comparatif ESX Server Hyper-V Xen Gestion cluster Oui Oui Oui Console unique Oui Oui Oui Génération de rapports Oui Non Tableau comparatif des solutions de virtualisation XI.22.2 Xen Xen permet d'exécuter plusieurs systèmes d'exploitation (et leurs applications) de manière isolée sur une même machine physique sur plate-forme 32 bits ou 64 Bits. Les systèmes d'exploitation invités partagent ainsi les ressources de la machine hôte. invités ont «conscience» du Xen sous-jacent, ils ont besoin d'être «portés» (adaptés) pour fonctionner sur Xen. Xen 3 peut également exécuter des systèmes non modifiés comme Windows sur des processeurs supportant les technologies VT d'intel ou AMD-V. XI.22.3 Hyper-V L'architecture Hyper-V, d un point de vue technique, héberge des machines virtuelles multiprocesseurs 32 ou 64 bits et supporte leur mise en grappe (clustering) jusqu à 16 noeuds maximum. Hyper-V peut désormais détecter les défaillances de serveurs de façon proactive (failover cluster) et lancer les procédures adéquates de reprise sur incidents. Cette correction de problèmes est rendue possible grâce aux fonctions intégrées de Windows Server Enfin, Hyper-V exploite les nouveaux jeux d instructions dédiés à la virtualisation des processeurs estampillés AMD Virtualization (AMD- V) et Intel Virtualization Technology (VT). XI.22.4 ESX VMWare ESX Server robuste directement sur le matériel du serveur pour des niveaux de performance, de fiabilité et d évolutivité des machines virtuelles pratiquement natifs. Schéma de la structure du VMWare ESX Server Il permet d'augmenter le taux d utilisation des serveurs sans courir le risque de priver les applications critiques des ressources du processeur. VMware ESX planifie intelligemment les tâches et la répartition des charges entre les processeurs disponibles pour gérer le bon fonctionnement des machines virtuelles. Il nous permet de mettre en place des fermes ESX et de construisez des réseaux complexes au sein d un système VMware ESX unique ou sur plusieurs VMware ESX pour des projets de déploiement en production, de test et de développement. Annexes 133

134 XI.23 Système d impression (Arnaud HAMON) Tout d abord, un haut niveau de confidentialité est demandé pour les données de la Direction Générale et de la direction Marketing et Commerciale. Puis, pour le système d impression, il est demandé : De s appuyer sur les nouvelles technologies disponibles avec Windows Server pour la gestion des imprimantes et des serveurs d impression Il est demandé d implémenter la gestion de la localisation des imprimantes Tout en sachant que la société cliente prévoit d installer une imprimante laser réseau débit rapide format A3, A4 par étage de bâtiment ainsi qu une imprimante couleur format A3, A4, recto verso, avec agrafage des documents, par bâtiment. XI.23.1 Comparatif Rôle de Gestion d'impression de Windows 2008 Serveur CUPS Utilisation multi OS Oui Oui avec utilisation de Samba Gestion simple et centralisée Oui Configuration longue et moins intuitive A l'heure actuelle, CUPS ne peut répondre aux réels attentes de notre client. Celui-ci n'est pas de toute simplicité. Or le produit Windows Server 2008 R2, on peut partager des imprimantes sur un réseau et centraliser les tâches de gestion des serveurs grâce au rôle de Gestion de l impression. XI.23.2 Implémentation de la gestion de la localisation des imprimantes Afin de gérer la localisation des imprimantes, on va mettre en place une règle de nommage de celle-ci : Exemple : BAY-IMP-2-COULEUR Site géographique (avec le type d objet : donc IMP pour imprimante) BAY-IMP BRU-IMP ORS-IMP SOP-IMP Le numéro de l étage (Précédé d un tiret) Grâce à cela, les utilisateurs comme les administrateurs localiseront les imprimantes Le modèle de l imprimante (Précédé d un tiret) LASER COULEUR (On les nommera ainsi vu que les modèle ne nous on pas encore été communiqué) Ensuite, le gestionnaire d impression va permettre suite à l installation d une imprimante de la répertorier dans l active Directory. Ceci va permet aux utilisateurs de les localiser et les installer plus facilement grâce à la mise en place de droits sur les différents imprimantes avec de gérer les affichages pour les utilisateurs. Pour finir, à partir de l AD, on pourra installer les imprimantes à partir de stratégies de groupe. C est pourquoi, au cours de l installation des imprimantes sur le serveur d impression, il est conseillé d installer les pilotes 32 bits et 64 bits des imprimantes. De plus, si besoin est, il sera utile de mettre en place le service Line Printer Daemon (installe et démarre le serveur d impression TCP/IP, LPDSVC), permettant aux ordinateurs UNIX ou à d autres ordinateurs qui utilisent le service LPR (Line Printer Remote) d imprimer sur des imprimantes partagées sur ce serveur. L infrastructure aura un serveur d impression sur chaque site afin de limiter l utilisation de bande passante entre les sites distant. Or, certains sites s entendent sur 2, voir 3 bâtiments, mais la bande passante étudiée durant la MIR Réseaux est amplement suffisante afin d avoir un bon fonctionnement au sein de chaque site du service d impression. Annexes 134

135 XI.24 Accès outil de bureautique office Applications métiers (Arnaud HAMON) Sachant que ces applications pourront être à la fois utilisées à l intérieur comme à l extérieur de l entreprise (et cela en toute sécurité), le client souhaite que les applications métiers ne soient pas déployées localement sur les postes client. Il attend qu on lui propose une architecture permettant de répondre à ses besoins. Etant donné les attentes du client, une solution centralisée des applications métiers avec des accès pour chaque utilisateur correspond à ce qu il recherche. Pour cela, on utilisera le rôle Remote Desktop Services sur Windows Server 2008 R2 permettant le partage et la gestion d applications et de bureaux à distance. XI.24.1 Fonctionnement de la solution - Dans la solution Remote Desktop Services, 3 rôles vont être utilisés :Remote Desktop Session Host permet aux utilisateurs d ouvrir des bureaux à distance afin de lancer des applications, sauvegarder des fichiers et avoir accès aux ressources du réseau - Remote Desktop Web Access permet de mettre un accès WEB sur lequel les utilisateurs vont pouvoir s authentifier et lancer des applications sans qu il soit installé ou qu ils aient à installer les applications sur leur machine local, ou bien d ouvrir un bureau à distance - Remote Desktop Gateway : Permet d encapsuler Remote Desktop Protocol (RDP) dans RPC, HTTP dans plus d'une Secure Sockets Layer (SSL). De cette façon, la passerelle TS permet d'améliorer la sécurité en établissant une connexion chiffrée entre les utilisateurs distants sur Internet et les ressources réseau internes sur lesquelles leurs applications de productivité de l'exécution. Tout d abord, il faut indiquer que : chaque utilisateur aura un partage réseau individuel et un partage réseau pour sa direction Grâce à ces 2 rôles, on va pouvoir mettre en place un portail WEB ( ) basé sur IIS. Celui-ci sera accessible en interne et par le VPN qui pourra être mis en place par les utilisateurs nomades. Le rôle Remote Desktop Web Access va permettre de publier les applications métiers tel que la chaîne Office (Word, Excel, PowerPoint, Visio, Project) tout en gardant l avantage de ne pas à installer le logiciel sur les machines clientes ou bien donner la possibilité d ouvrir une session de Bureau à distance. L autre le rôle (Remote Desktop Session Host) est indispensable, car c est lui qui va gérer les ouvertures Remote Desktop pour les applications et les bureaux à distance ainsi que les droits RemoteApp afin que les utilisateurs puissent utiliser et voir sur le portail WEB leurs applications métiers en fonction de leur direction ou spécificité métier. A ce moment là, ce sera au choix de l utilisateur d utiliser simplement l application métier dont il a besoin ou d ouvrir une session Remote Desktop Protocol (RDP). Etant dans les 2 cas une session RDP, l utilisateur aura donc accès à ses partages de fichiers : - Pour le bureau à distance, il aura directement accès aux partages - Lorsqu il utilisera simplement une application, pour ouvrir ou sauvegarder un fichier, il aura accès à ces partages et dossiers distants et non aux documents de la machine locale - L utilisation du RD Gateway, par les utilisateurs nomades, rendra sécurisé l utilisation des applications. Annexes 135

136 XI.24.2 Etude L objectif ici, est d évaluer la mémoire physique nécessaire à chaque serveur afin d assurer un service correcte. Prenons en compte que les utilisateurs des postes Windows ont déjà l'application en local. dans les calculs les 20% d augmentation d effectif et que les utilisateurs n'utilisent pas leurs applications métiers en même temps. Nous nous baserons sur une moyenne de 240 utilisateurs des outils Office. De plus, une session RDP nécessite environ 300 Mo de mémoire sur le serveur. Eléments consommateurs de Mémoire de RAM Orsay Système d exploitation (Windows Server 2008 R2) 1Go Applications métier (Suite Office) 3Go RDP 240*300Mo = 72Go Total de mémoire nécessaire 76Go Tableau des besoins mémoires du serveur Annexes 136

137 XI.25 Accès VPN (Bastien GAYRAL) Étant une nouvelle technique de VPN, VPN SSL a gagné la popularité très rapidement. Par rapport au traditionnel VPN IPSec, VPN SSL est une meilleure solution pour l'accès à distance des utilisateurs mobiles. Le VPN IPSec est plus adaptée pour la connexion entre les réseaux (passerelles). Concrètement, il existe plusieurs différences entre eux: 1. IPSec est plus utilisé dans la connexion entre les réseaux d'entreprise, tandis que le protocole SSL est plus fréquemment déployé afin de fournir un accès distant pour les utilisateurs mobiles. Maintenant les navigateurs les plus populaires ont le VPN SSL intégré. Cela permet d accéder au réseau interne sans avoir à installer un logiciel sur le site client. Contrairement, quand le VPN IPSec est mis en œuvre, un logiciel client IPSec doit être installé et configuré sur le poste de travail concerné. 2. VPN IPSec sécurise toutes les applications basées sur IP, alors que les VPN SSL est plus avantagé sur la sécurité des applications Web (même si certains produits de pointe en charge TCP / UDP C / S des applications telles que FTP, Telnet, le service d'impression, etc ). 3. Le tunnel SSL VPN peut passer à travers tous les pare-feux. Pour le VPN IPSec, les clients IPSec doit avoir la fonction "NAT Penetration" et le port 500 (UDP) ouvert. 4. VPN SSL offre un contrôle de l'accès des utilisateurs, en ajoutant un contrôle plus souple sur les privilèges d'utilisateur, des ressources et des fichiers, et d'être plus faciles à intégrer avec les autorités des tiers tels que RADIUS et AD. Pour le VPN IPSec, le contrôle d'accès utilisateur est réalisé en fonction de cinq paramètres réseau (adresse IP source, port source, le protocole IP de destination, port destination). 5. En raison de ces avantages évidents mentionnés ci-dessus, nous avons opté pour la technologie VPN SSL. Il est plus simple à mettre en œuvre et apporte de réelles facilités d utilisation à vos utilisateurs. Annexes 137

138 XI.26 Politique de mise à jour (Vincent DESSEAUX) Les mises à jour des systèmes d exploitation sont un élément essentiel à la sécurité et à la pérennité d un système d information. Elle permet de limiter l exploitation de failles, mais aussi de bugs présents sur les systèmes d exploitation et logiciels. Il convient donc d apporter une attention particulière à la tâche de gestion des mises à jour de sécurité, notamment en faisant preuve de réactivité, mais aussi de rigueur. Afin d être le plus efficace possible, il convient d exploiter certains outils de gestion de mise à jour dont une présentation vous est faite. XI.26.1 Solution Windows: Windows Server Update Services WSUS (anciennement appelé SUS)est un service permettant de distribuer les mises à jour pour les systèmes Windows et autres applications Microsoft. WSUS est un serveur local qui se synchronise avec le site public Microsoft Update et permet de distribuer, mais aussi contrôler la diffusion des mises à jour dans un parc informatique. Le serveur WSUS permet aux administrateurs de gérer et de distribuer de façon simple et efficace l ensemble des mises à jour qu ils auront sélectionnées depuis la console d'administration WSUS 3.0, mais a comme principal avantage d optimiser l utilisation de la bande passante vers Internet. En outre, un serveur WSUS peut servir de source de mise à jour pour d'autres serveurs WSUS au sein de l'entreprise. Une notion de reporting est intégrée au service, permettant ainsi à l administrateur de suivre le déploiement des mises à jour sur l ensemble des postes. Les administrateurs peuvent choisir quelles mises à jour seront téléchargées sur un serveur WSUS pendant la synchronisation, sur la base des critères suivants : Famille de produits ou produit (par exemple, Microsoft Windows Server 2003/2008, SQL Serveur ou Microsoft XP/Vista/Seven) Classification des mises à jour (par exemple, les mises à jour critiques et les pilotes) Langue Ces mises à jour doivent ensuite être approuvées afin qu elles soient installées sur le parc informatique, mais peuvent aussi être refusées, voir supprimées suite à une approbation (cette action est possible uniquement si la mise à jour prend en charge la désinstallation) Le ciblage permet aux administrateurs de déployer des mises à jour sur des ordinateurs et des groupes d'ordinateurs spécifiques. Elle est mise en place via la configuration de stratégie de groupe dans un environnement de réseau Active Directory. Il est également possible de spécifier une planification pour que la synchronisation des mises à jour se lance automatiquement. XI.26.2 Solution Linux : Serveur de dépôt Le serveur de dépôt local sera mis en place pour votre environnement Linux. Son principe et ses objectifs restent similaires au serveur WSUS. Il convient de rappeler que les systèmes d exploitation Linux retenus sont Ubuntu pour les postes de travail et Debian pour les serveurs. Le gestionnaire de paquet propre à ces deux distributions est APT (Advanced Packaging Tool) qui gère l installation de logiciels, mais aussi de mise à jour (correctif de sécurité ou amélioration). Un des services permettant le dépôt de ses packages est apt-cacher qui est un service gratuit et nécessitant peu de ressources et permet, comme WSUS, de limiter la bande passante. De plus, il est nécessaire de mettre en place un script programmé qui effectue les mises à jour de manière régulière sur l ensemble des machines Linux, mais aussi de configurer les sources de mise à jour (fichier sources.list). Annexes 138

139 XI.26.3 Informations complémentaires d intégration dans le système d information XI Tableaux des différentes sources de synchronisation à configurer pour chaque site Site Orsay Bayonne Sophia Antipolis Bruxelles Serveur de dépôt Serveur de dépôt par défaut (Internet) Serveur de dépôt primaire d Orsay Postes Clients et Serveurs Linux Serveur de dépôt primaire d Orsay Serveur de dépôt secondaire de Bayonne Serveur de dépôt secondaire de Sophia Antipolis Serveur de dépôt secondaire de Bruxelles Serveur WSUS Serveur Microsoft Update (Internet) Serveur WSUS primaire d Orsay Figure 65 - Tableau des sources de synchronisation pour les systèmes de mise à jour Postes Clients et Serveurs Windows Serveur WSUS primaire d Orsay Serveur WSUS secondaire de Bayonne Serveur WSUS secondaire de Sophia Antipolis Serveur WSUS secondaire de Bruxelles XI Script Linux #!\bin\bash # Script de mise à jour des clients Linux (pour une distribution Debian) : maj.sh #Le script se situe dans /root #Mise à jour des sources apt-get update #Mise à jour des paquets apt-get upgrade } Rendre le fichier exécutable : chmod 750 /root/maj.sh Déclarer ensuite le script dans le cron des systèmes clients et de définir une date et heure de mise à jour : crontab e 0 5 * * 0 /root/maj.sh Dans l exemple, le script se lancera tous les dimanches à 5h00. Le script se lancera tous les dimanches à 5h00. Annexes 139

140 XI Les Pré-Requis Windows Système d exploitation Windows Server 2003/2008 IIS 6.0 ou versions ultérieures Microsoft.NET Framework 2.0 ou versions ultérieures Une des bases de données suivantes : Microsoft SQL Server 2008 Express, Standard ou Enterprise Edition SQL Server 2005 SP2 Base de données interne de Windows Microsoft Management Console 3.0 La partition système et la partition sur laquelle WSUS sera installé doivent être formatées avec le système de fichiers NTFS Minimum 1 Go d'espace libre sur la partition système Minimum 2 Go d'espace libre sur le volume où les fichiers de base de données seront stockés Au moins 20 Go d'espace libre sont nécessaires sur le volume où le contenu sera stocké et 30 Go sont recommandés XI Les Pré-Requis Linux Apt-cacher ne requiert comme pré-requis que l utilisation d une distribution de type Debian afin que le service soit opérationnel Il faudra, tout comme pour WSUS, prévoir une quantité d espace disque disponible relativement suffisante. De ce fait, il sera conseillé de disposer d une quantité de 30 Go pour stocker les mises à jour XI.26.4 Flux générés par la solution proposée Figure 66 - Schéma des flux générés par la solution proposée Annexes 140

141 XI.27 Politique Antivirale (Rudy PROME) XI.27.1 Des virus de plus en plus menaçants Le nombre de virus, logiciels malveillants, chevaux de Troie et autres vers ne cessent de progresser chaque jour. Internet est la première source de diffusion de ceux-ci. Mais même sans connexion Internet, il est tout autant facile de se faire infecter malencontreusement par une autre machine du réseau interne ou tout simplement par le branchement d un support amovible ayant été lui-même infecté par un autre poste. Il y a quelques années, les virus permettaient principalement de détruire simplement une machine ou ses données, ce qui risquait de nuire à la productivité de l entreprise. Mais la cybercriminalité a évolué. Aujourd hui, ils permettent de voler les informations personnelles des utilisateurs, ou confidentielles des entreprises, d usurper des identités, ce qui est bien plus dangereux. Tous ces logiciels malveillants se prolifèrent de plus en plus discrètement, à travers des pièces jointes de mails, des fichiers exécutables, ou parfois même grâce à quelques lignes de code cachées dans un simple document PDF, fichier musique ou image. C est pourquoi, pour se protéger efficacement des virus, il faut bien prendre en compte toutes les possibilités d infection, installer un antivirus efficace et mis à jour constamment, ainsi que faire de la prévention aux utilisateurs. XI.27.2 Un bundle «Total» qui regroupe toutes les fonctionnalités On préfèrera la version «Total Space» du produit car c est la seule parmi toutes celles proposées qui comprend la protection de la passerelle Internet. Celle-ci comprend dans le pack les trois autres niveaux de versions inférieures de Kaspersky qui sont Work Space, Business Space et Enterprise Space qui comprennent respectivement la protection des stations de travail, des serveurs de stockage et des serveurs de messagerie. Voici parmi les nombreuses fonctions qu il possède, une sélection de celles qui vont principalement nous intéresser : Protection contre les programmes malveillants, les logiciels espions Utilisation optimale des ressources de l'ordinateur Protection proactive élargie des postes de travail et des serveurs de fichiers contre les nouveaux programmes malveillants Analyse du trafic Internet «à la volée» Protection contre l'hameçonnage Protection des serveurs de fichiers sous Windows, Linux Protection complète des serveurs de terminaux et des grappes de serveurs Répartition de la charge entre les processeurs du serveur Prévention des épidémies de virus et des diffusions massives de messages Analyse centralisée du trafic Internet (HTTP/FTP) en temps réel Compatibilité avec les serveurs proxy matériels Prise en charge complète des plateformes 64 bits Annexes 141

142 XI.27.3 Une prévention des utilisateurs Il est important afin d améliorer la protection de son système d information de mettre en garde les utilisateurs. Il y a plusieurs façons de procéder : En organisant des séances d informations sur les virus par l intermédiaire de mails envoyés à tous les collaborateurs ou de projection de diaporama En informant tout simplement les utilisateurs lorsqu il y a contact avec eux En inscrivant une page d informations sur le site Intranet de l entreprise Mais surtout, en leur faisant signer une chartre informatique (ce qui permettra par la même occasion de déresponsabiliser les administrateurs) Sachant que le moyen le plus probable d infecter le réseau interne est l action de l utilisateur lui-même, il est fortement recommandé de : Interdire l utilisation des clés USB personnelles ou disques durs externes personnels (Kaspersky permet tout de même de scanner les périphériques amovibles) Interdire l utilisation de CD ou DVD personnels Interdire la consultation des boîtes mails privées dans l enceinte du réseau d Aristote (Kaspersky analyse toutefois les messages consultés, reçus et envoyés) Interdire l accès à des sites n ayant pas d intérêt professionnel (ils peuvent être filtrés grâce au Proxy et pare-feu de l entreprise) Annexes 142

143 XI.28 Politique de sauvegarde (Arnaud HAMON) XI.28.1 Comparatif L objectif est de déterminer la solution qui répond le mieux aux besoins du client. Le choix de cette solution est basé sur des solutions reconnus par leur utilisation. Les solutions proposées : Rsync Backup-manager Backuppc Un tableau comparatif a été mis en place pour recouper les besoins client avec les fonctionnalités des solutions. XI Tableau comparatif Besoins du client Rdiff-backup Backup-manager Backuppc Sauvegardes répertoires de OUI OUI OUI Sauvegardes multi-sites OUI OUI OUI Sauvegardes automatisées Différents types de sauvegardes NON OUI OUI NON OUI OUI Restauration OUI OUI OUI Multiples OS NON NON OUI Tableau comparatif des solutions de sauvegarde XI.28.2 Solution retenue Dans l étude du système de sauvegarde, Backuppc est la solution qui a été conseillée. Cette solution est la plus complète et ouvre des possibilités sur la mise en place de sauvegardes des configurations de chaque serveur, de données. XI Architecture de fonctionnement Rappelons que l objectif est de sauvegarder des répertoires /home des utilisateurs. Tout d abord, le serveur de sauvegarde n a aucun impact sur le bon fonctionnement de la production du client, c est pourquoi un cluster de serveur de sauvegarde ne sera pas utile dans cette optique de sauvegarde de données en cas de pertes de celles-ci. En cas de perte du serveur de sauvegarde, il n y aura aucun impact sur la production du client Aristote. Un seul serveur sera mis en place afin de gérer les sauvegardes qui sera situé sur le site de Orsay. Ensuite, afin d assurer la remise en fonctionnement en cas de crash du serveur, un ghost sera réalisé afin de rétablir la machine. Seulement, il faut penser aux différentes mises à jour des configurations de sauvegarde, d où l importance de mettre en place une sauvegarde de celle-ci. Finissons avec l élément important de cette infrastructure, le NAS. Le choix de stockage sur un NAS est stratégique. Premièrement, une amélioration à la tolérance de panne grâce à 4 disques utilisés en RAID5 et donc un intégrité des données en cas de perte d un des disques. Deuxièmement, les performances d un NAS en RAID5 sont bien adaptées aux besoins en termes de vitesse d écriture/lecture par la répartition de charges. (Voir le chapitre Espace de stockage pour les informations concernant l espace disque du NAS). Grâce à l outil de supervision qui sera mis en place (Voir partie 8 option 1), une supervision de services de sauvegarde et de l état des disques du NAS pourra être mis en place. Annexes 143

144 XI Backuppc Backuppc est un logiciel permettant de sauvegarder un parc de serveurs ou de postes client. Il est muni d une interface Web afin de faciliter son utilisation et de paramétrer les différents sauvegardes et faire des restaurations en cas de besoin. Il permet principalement de mettre en place des sauvegardes automatisées de répertoires de serveurs ou poste client de manière régulière. Backuppc peut utiliser différents protocole: Samba rsync rsyncd Tar Les répertoires étant centralisés sur un serveur Linux, on utilisera rsync afin de les sauvegarder. XI Gestion de la taille du lieu de sauvegarde XI Type de sauvegarde La taille des sauvegardes varie en fonction du type de sauvegarde réalisé. Backuppc utilise 2 types de sauvegardes : Les sauvegardes complètes : Elle permet de sauvegarder l intégralité des données. C est la sauvegarde la plus simple et la plus rapide à restaurer. Seulement, elle est très gourmande en ressource (réseaux), et demande énormément d espace de stockage. Les sauvegardes incrémentielles : Elle permet de sauvegarder uniquement les données modifiées depuis la dernière sauvegarde incrémentielle ou complète. Moins gourmande en ressources et espace disque, il est par contre moins facile de réaliser une restauration d un sauvegarde incrémentielle car il faut pour cela, restaurer la dernière sauvegarde complète et toute les incrémentielle depuis celle que l on veut restaurer. Pour répondre aux besoins de sauvegarde journalière, nous allons utiliser les 2 types de sauvegardes afin de réaliser toutes les sauvegardes en réduisant au maximum l utilisation d espace disque. De plus, Backuppc gère très bien la restauration des sauvegardes incrémentielles et cela est totalement transparent. XI Espace de stockage On aura donc besoin de mettre en place un serveur NAS de 16 To afin de réaliser les sauvegardes. On utilisera le modèle suivant : Netgear ReadyNas TB Network Storage System. Il peut lui mettre jusqu à 16TB d espace disques. Pour des questions technologique, on mettra en place 16TB d espace de disques. Cela permettra de mettre en place d autres sauvegardes mais aussi que l utilisation du RAID5 réduit de manière assez significative l espace disque utilisable. Backuppc ne sauvegarde qu à un seul endroit /var/lib/backuppc. C est pourquoi le NAS sera monté sur la Debian et un lien symbolique sera mis en place pour rediriger les sauvegardes directement sur le NAS. Annexes 144

145 XI Méthode de sauvegarde Comme vu précédemment, Backuppc utilise 2 méthodes de sauvegarde. L objectif va être ainsi d optimiser l efficacité des sauvegardes tout en réduisant au maximum l espace utilisé pour les sauvegardes. Figure 67 - Schéma de fonctionnement des sauvegardes Rappelons que dans le cahier des charges, il est précisé que la sauvegarde doit être automatisée pour chaque soir à partir de 1H du matin. Nous allons ainsi voir les variables à implémenter dans Backuppc afin d y répondre. Tout d abord, nous allons réaliser une sauvegarde complète hebdomadaire durant le weekend. Techniquement, cette sauvegarde peut être réalisé à n importe quel moment de la semaine, or les ressources en bande passante sont limités et la volumétrie à sauvegarde peut varier de quelques giga-octets de données à à des centaines de giga-octets de données ce que pourrait provoquer des saturations sur le réseau et ainsi des latences sur le réseau. Durant le weekend, il y aura beaucoup moins de personnes qui risquent d être perturbés par les sauvegardes et vers 1H du matin. $Conf{FullPeriod} = 6.97; Variable configurée afin de réaliser un backup toute les semaines Ensuite, il faut trouver un compromis entre le temps d archivage des données et l espace nécessaire pour stocker les informations. C est pourquoi nous recommandons de conserver les sauvegardes que sur une durée hebdomadaire. Ainsi, l espace disque nécessaire sera réduit et la sauvegarde sur une semaine semble correcte face aux besoins des sauvegardes. $Conf{FullAgeMax} = 9; // Age maxi d une sauvegarde complète, supprimé au-delà de 9 jours. $Conf{FullKeepCntMin} = 1; // Garder au minimum une sauvegarde complète, même si elle a plus de 9 jours. En cas de problème et de non sauvegarde du serveur, il n y aurait plus de sauvegardes car elles auraient toutes passées le cap des 9 jours, donc le serveur n aurait plus du tout de sauvegarde. Ce qui aurait un impact critique. Maintenant, nous allons mettre en avant l efficacité des sauvegardes à partir des sauvegardes incrémentielles. Pour cela, une sauvegarde incrémentielle journalière sera mise en place. Cependant, il faut aussi prendre en compte l archivage des sauvegardes incrémentielles. Vu que l archivage se fera sur une semaine, il faut prendre en compte le nombre de sauvegardes incrémentielles entre chaque sauvegarde complète, qui est de 6 sauvegardes incrémentielles. Pour garder une marge de manœuvre pour les sauvegardes manuelles, on gardera en archivage les 8 dernières sauvegardes incrémentielles. $Conf{IncrKeepCnt} = 8; // Garder au minimum 8 sauvegardes incrémentielles $Conf{IncrKeepCntMin} = 3; // Garder au minimum 8 sauvegardes incrémentielles quelques soit la date d archivage pour les mêmes raisons que le paramètre $Conf{FullKeepCntMin}..Pour finir, on va programmer le serveur afin qu il démarre ses actions de sauvegardes à partir de 1H, grâce au paramètre $Conf{WakeupSchedule}. Ce paramètre permet de renseigner à quel moment le serveur doit faire ses vérifications pour savoir si il a une action à réaliser ou non. $Conf{WakeupSchedule} = [1]; Annexes 145

146 XI Politique de sauvegarde Suite à ceci, on va établir un tableau correspondant aux l'évolution des sauvegardes sur une période d'un an. L'objectif est de garder des sauvegarde sur une période d'un an tout en limitant l'utilisation d'espace disque. Figure 68 - Schéma politique de sauvegarde sur 1 an Ainsi, on garde bien nos données sur 1 an en espaçant l'intervalle des sauvegardes que l'on va stocker. XI Gestion du temps de restauration des fichiers Il est vrai que sauvegarder ses données être très important. Seulement sans restauration les sauvegardes sont inutiles. Backuppc proposer 2 méthodes de restauration : la restauration directe: à partir de l interface WEB, on peut directement sélectionner les données à restaurer et le serveur se charger de les pousser la machine sur lequel il faut restaurer les données. La restauration manuelle : à partir de l interface WEB, il est possible de télécharger les données que l on veut restaurer. Annexes 146

147 XI.29 Aide au déploiement de masse (Vincent DESSEAUX) XI.29.1 Windows Deployment Services WDS (Windows Deployment Services) est successeur du service RIS (Remote Installation Services), qui permet le déploiement d images sur les postes de travail par l intermédiaire du réseau via le PXE, qui lui même permet de charger au démarrage de la machine une image depuis le réseau. PXE nécessite un serveur DHCP capable de fournir les informations permettant de le contacter, ainsi qu un serveur TFTP. En conséquence, il est indispensable que les postes clients disposent d une carte réseau prenant en charge le boot PXE, ce qui de nos jours, est le cas en règle générale. Le déploiement des systèmes Windows 7, Windows Vista et Windows Server 2008 peut être totalement automatisé et personnalisé en utilisant des fichiers personnalisés unattend.xml. L automatisation peut comprendre le nommage de la machine, la jonction de la machine dans un domaine, l installation des rôles de server ou de paramètres ou de composants du bureau. De plus, WDS supporte les déploiements en multicast et apporte une fonctionnalité innovante appelée autocast, fonction qui permet à aux clients de rejoindre une session multicast qui a déjà démarré, tout en récupérant les données manquantes. XI.29.2 Les Pré-Requis Système d exploitation Windows Server 2003/2008 DHCP pour permettre le boot PXE WAIK (Windows Automated Installation Kit) MDT (Microsoft Deployment Tools) Annexes 147

148 XI.30 Outil de monitoring système et réseau (Arnaud HAMON) XI.30.1 Comparatif Notre client vaut que la solution soit à la fois complète et que cela ne soit pas une solution Microsoft. Dans cette optique, c'est dans le monde open source qu'on retrouve une multitude de solutions de monitoring systèmes et/ou réseaux tel que : - Cacti : repose principalement sur le protocole SNMP. C est principalement utilisé pour la métrologie réseau. - OpenNMS : Outil de supervision SNMP mais limité dans ses fonctionnalités. - Nagios : Outil de supervision (Ordonnanceur). Afin de répondre aux besoins, une solution Nagios et pnp4nagios est la solution la plus adaptée. Nagios peut superviser les équipements réseaux ainsi que les équipements système tel que Linux ou bien encore Windows. La grande force de Nagios est une supervision basée sur des plugins. Ses plugins permettent de superviser la grande majorité des métriques nécessaires et la grande facilité de conception et/ou optimisation de ses plugins en fond l outil de supervision open source le plus utilisé. XI.30.2 Les agents Dans notre stratégie d'optimisation de l'utilisation de bande passante et pour envisager la remontée de métriques plus spécifiques, des agents de supervision seront installés sur les différents serveurs. Deux modèles d'agent sont utilisés: - Agent nrpe : utilisé principalement pour les machines Unix. - Agent NSClient : utilisé pour les machines sous Windows. L'agent va permettre tout d'abord de décharger la charge de travail du serveur de supervision, et de la répartir la charge sur les différents serveurs supervisés. Ensuite, le fonctionnement par agent va réduire le trafic sur les liens MPLS car il va limiter les échanges entre le serveur de supervision et le serveur supervisé. XI.30.3 Nagios Nagios est un ordonnanceur, gérant l'ordre des vérification, et gère l'action liée comme des alertes, envoi de mail, ou actions correctives. Il se compose de trois briques fonctionnelles: - le scheduler : autrement dit l'ordonnanceur - l'interface WEB : permettant de traduire à l'utilisateur les métriques collectées, de visualiser les métriques remontées. Grâce à la mise en place de seuil sur les métriques remontées, on peut générer des alertes sur l interface afin de prévenir de possibles latences, saturation de disques ou la perte de services comme messagerie ou bien antivirus. - les plugins : scripts qui défini les vérifications Nagios ne gère pas les données métrologiques, un outil supplémentaire va être ajouté. Annexes 148

149 XI.30.4 Les graphes de performance Au-delà de la supervision de base, qui est la remontée d'une alerte à cas de problème, des outils, pouvant analyser et retranscrire les métriques de performance récoltées, ont été développés. L'objectif d'utiliser un tel outil, Pnp4Nagios sur l'architecture d'aristote, va permettre de traduire les métriques de performance collectés sous forme de graphes. Cela va apporter une aide dans la visualisation de l'évolution des différentes métriques et donc de l'évolution des différents équipements réseau, serveurs et charges des liens MPLS. Annexes 149

150 XI.31 Planification du déploiement (Jérôme DELAHAIE) XI.31.1 Vue globale XI.31.2 Planification des commandes XI.31.3 Planification des livraisons Annexes 150

151 XI.31.4 Planification du câblage XI.31.5 Planification des installations physiques XI.31.6 Planification des installations logicielles XI.31.7 Planification des configurations Annexes 151

152 XI.31.8 Planification des recettes Annexes 152