NON CLASSIFIÉ. Isolement d un serveur d entreprise BlackBerry dans un environnement Microsoft Exchange (ITSG-23)

Dimension: px
Commencer à balayer dès la page:

Download "NON CLASSIFIÉ. Isolement d un serveur d entreprise BlackBerry dans un environnement Microsoft Exchange (ITSG-23)"

Transcription

1 dans un environnement Microsoft Exchange (ITSG-23) Mars 2007

2 Page intentionnellement laissée en blanc. Mars 2007

3 Avant-propos Le document dans un environnement Microsoft Exchange (ITSG-23) est NON CLASSIFIÉ et il est publié sous l autorité du chef du Centre de la sécurité des télécommunications (CST). Les propositions de modification doivent être envoyées au représentant des Services à la clientèle du CST par l intermédiaire des services de sécurité des télécommunications du ministère. Les demandes d exemplaires supplémentaires ou de modification de la diffusion doivent être faites auprès du représentant des Services à la clientèle du CST affecté au ministère. Pour de plus amples renseignements, prière de communiquer avec les Services à la clientèle de la Sécurité des TI du CST, par courriel à l adresse client.svcs@cse-cst.gc.ca, ou par téléphone au Date d entrée en vigueur La présente publication entre en vigueur le 1 er mars Gwen Beauchemin Directrice, Gestion de l information de la Sécurité des TI 2007 Gouvernement du Canada, Centre de la sécurité des télécommunications Il est interdit de faire des copies de cette publication ou d extraits de cette publication sans la permission écrite du CST. Avant-propos Mars 2007 i

4 Page intentionnellement laissée en blanc. ii Mars 2007

5 Résumé Le présent document d orientation explique comment configurer un réseau de manière à ce que le serveur d entreprise BlackBerry soit isolé du réseau interne au moyen d un coupe-feu. Il décrit les modifications à apporter au serveur Microsoft Exchange et au contrôleur de domaine pour assurer le passage du courrier électronique et les interactions avec le domaine à travers le coupe-feu. Résumé Mars 2007 iii

6 Page intentionnellement laissée en blanc. iv Mars 2007

7 Historique des révisions N du document Titre Date de publication Historique des révisions Mars 2007 v

8 Page intentionnellement laissée en blanc. vi Mars 2007

9 Table des matières Avant-propos... i Date d entrée en vigueur... i Résumé... iii Historique des révisions... v Table des matières... vii Liste des tableaux... ix Liste des figures... ix Liste des abréviations et des acronymes... xi 1 Introduction Objectif Portée Intervenants Hypothèses Description du système Avantages Inconvénients Ports nécessaires Ports sortants Ports entrants Restrictions Configuration du système Configuration des ports MAPI statiques Procédure de mappage de ports MAPI statiques Configuration de l Active Directory Procédure de mappage des ports Active Directory Configuration du coupe-feu Adresses IP utilisées sur le réseau de test Spécification des adresses IP Configuration du routage Création de la liste d accès Création du groupe d accès Table des matières Mars 2007 vii

10 3.3.6 Enregistrement de la configuration Conclusions et recommandations Références A. Annexe Script de configuration du coupe-feu A.1. Script de configuration du coupe-feu B. Annexe Base de connaissances Microsoft, article , Mappages de ports statiques Exchange viii Mars 2007 Table des matières

11 Liste des tableaux Tableau 1 : Ports sortants... 4 Tableau 2 : Adresses IP mentionnées dans le script de coupe-feu Liste des figures Figure 1 : Configuration du réseau... 5 Liste des tableaux Mars 2007 ix

12 Page intentionnellement laissée en blanc. x Mars 2007

13 Liste des abréviations et des acronymes ACL Liste de contrôle d accès BES Serveur d entreprise BlackBerry CST Centre de la sécurité des télécommunications DNS Système de noms de domaine GC Gouvernement du Canada ICMP Protocole ICMP (Internet Control Message Protocol) ICP Infrastructure à clé publique IP Protocole Internet, aussi abréviation de «adresse IP» LDAP Protocole LDAP (Lightweight Directory Access Protocol) MAPI Interface de programmation d applications de messagerie NAT Traduction d adresses de réseau NTP Protocole NTP (Network Time Protocol) PAT Traduction d adresses de port PC Ordinateur personnel RIM Research In Motion (fabricant de l appareil portatif BlackBerry) SMB Protocole SMB (Server Message Block) TCP Protocole de contrôle de transmission TCP/IP Protocole de contrôle de transmission/protocole Internet UDP Protocole de datagramme utilisateur ZD Zone démilitarisée Liste des abréviations et des acronymes Mars 2007 xi

14 Page intentionnellement laissée en blanc. xii Mars 2007

15 1 Introduction De nombreux ministères utilisent des appareils portatifs BlackBerry fabriqués par l entreprise Research in Motion (RIM) et un serveur d entreprise BlackBerry (BES) pour répondre à leurs besoins en matière de communications sans fil. Toutefois, comme pour tout autre service similaire, l ouverture de ports vers Internet peut donner lieu à des risques de sécurité. Lorsqu un service BES est lancé, il crée une session TCP authentifiée avec le relais RIM par l intermédiaire du port Tout le trafic entre le BES et un appareil portatif est acheminé sur cette liaison et est chiffré pendant le transit. Toutefois, comme ce trafic est chiffré, il est impossible d inspecter les paquets échangés entre le BES et les appareils portatifs. Pour cette raison, tout réseau sur lequel un BES est installé présente un risque de sécurité potentiel, puisque les paquets entrants ne peuvent pas être inspectés. S il est possible de compromettre le BES, alors l ensemble du réseau peut théoriquement être compromis. À première vue, pour résoudre ce problème, il suffirait de placer le BES dans la zone démilitarisée (ZD) d un réseau et de filtrer le trafic vers le réseau interne. Malheureusement, une telle configuration n est pas aussi simple qu elle ne le paraît. Le BES doit également être connecté aux serveurs Microsoft Exchange, qui utilisent une connexion MAPI pour envoyer et recevoir les courriels. Au démarrage du service Microsoft Exchange, les ports MAPI sont choisis de façon aléatoire. Lorsqu un client tel que le BES établit une connexion, les numéros des ports MAPI utilisés sont communiqués au moyen du service EndPointMapper, qui est statique sur le port 135. Le recours à des numéros de port aléatoires fait qu il est extrêmement difficile de placer un coupe-feu de manière à intercepter une connexion MAPI, puisqu il est impossible de déterminer à l avance quel port sera sélectionné. 1.1 Objectif Le présent document d orientation explique comment surmonter le problème posé par la sélection aléatoire des ports MAPI et comment isoler un BES dans son propre sous-réseau filtré. 1.2 Portée Le présent document explique comment placer un coupe-feu entre un BES et un serveur Microsoft Exchange. Il n explique pas comment configurer le serveur MS Exchange et le BES, ni comment les administrer. Puisque les modifications sont seulement apportées au serveur Exchange, l approche devrait fonctionner avec toutes les versions du logiciel BES, antérieures et à venir. Néanmoins, on notera que seule la version a été testée. Enfin, ce document n aborde pas les questions de connectivité avec les clients ou Internet en général. Introduction Mars

16 1.3 Intervenants - CST - Ministères et organismes du GC 1.4 Hypothèses Le présent document d orientation suppose qu un réseau BlackBerry fonctionnel interne est déjà installé, incluant un ou plusieurs serveurs Microsoft Exchange et un BES configuré correctement. Le document suppose de plus que le lecteur a des connaissances de base en matière de protocole TCP/IP, d administration de l environnement Windows et d administration des coupe-feu Cisco. 2 Mars 2007 Introduction

17 2 Description du système La solution au problème énoncé précédemment consiste à mapper statiquement les ports MAPI en modifiant le registre des serveurs Microsoft Exchange et en configurant le coupe-feu de manière à permettre les connexions sortantes par l intermédiaire de ces ports. La configuration réseau générale décrite dans le présent document est illustrée à la fin de cette section à la figure 1, page 5. Les serveurs installés sur le réseau comprennent un contrôleur de domaine, un serveur Microsoft Exchange unique et (comme le BES prend en charge les extensions de courrier S/MIME), un serveur d annuaire responsable de la gestion de l infrastructure à clé publique (ICP) sur le réseau. Si les extensions S/MIME ne sont pas déployées sur le réseau, les ports associés au serveur d annuaire peuvent demeurer fermés. Le coupe-feu isole le BES du reste du réseau et permet seulement au trafic empruntant des ports spécifiques de sortir. Les flèches indiquent la direction du flux de trafic réseau permis par le coupe-feu. Le coupe-feu décrit dans ce document est dynamique : seules les connexions sortantes sont explicitement permises, toutefois les paquets correspondant aux connexions existantes sont permis implicitement. 2.1 Avantages Cette configuration permet d isoler le BES du reste du réseau interne. On obtient ainsi un degré plus élevé de sécurité puisque le BES ne dispose pas dans ce cas d un accès complet au réseau interne. Ainsi, si le BES est compromis, le risque de voir le reste du réseau également compromis est beaucoup plus faible. Seuls les ports nécessaires, tels que DNS, LDAP et Kerberos, sont autorisés à se reconnecter au réseau interne. De plus, le trafic à destination du réseau interne, par exemple les courriels, peut être inspecté à la recherche de paquets malveillants puisque les paquets, qui ont traversé le BES et sont maintenant en route vers le réseau interne, ne sont plus chiffrés Inconvénients Puisqu une connexion MAPI utilise des numéros de port aléatoires, il est nécessaire de modifier le registre du ou des serveurs Microsoft Exchange (et, dans certaines situations, du contrôleur de domaine) afin de mapper statiquement les ports requis. Cette opération nécessitera le redémarrage du serveur (et donnera donc lieu à un temps d arrêt). 1 Les paquets ne sont plus chiffrés par le BES; toutefois, s ils ont été chiffrés par une application tierce avant leur transmission (p. ex., au format S/MIME), ils ne seront toujours pas lisibles. Description du système Mars

18 Dans un réseau de grande taille comportant de multiples serveurs Microsoft Exchange, tous les serveurs qui hébergent des boîtes aux lettres BlackBerry doivent être modifiés, puisque le BES se connecte à chacun d eux. On notera toutefois que cette affirmation est fondée sur le comportement documenté des BES et n a pas été testée. Les tests ont été exécutés sur un réseau qui comportait un seul serveur Microsoft Exchange. 2.3 Ports nécessaires On trouvera à la présente section la liste de tous les ports nécessaires pour permettre de communiquer pleinement avec le domaine et les relais RIM. La configuration des ports est décrite plus en détail à la section Ports sortants Ces ports doivent être ouverts pour permettre les connexions sortantes. Le port MAPI statique sera unique pour chaque configuration. Tableau 1 : Ports sortants Numéro de port Type de protocole Nom / objet 53 TCP/UDP DNS 80 TCP HTTP 88 TCP/UDP Kerberos 123 UDP NTP 135 TCP EndPointMapper 389 TCP/UDP LDAP 445 TCP SMB 1026 TCP Ouverture de session Active Directory Variable TCP Port MAPI statique 3101 TCP Relais RIM 4 Mars 2007

19 2.3.2 Ports entrants La plupart des coupe-feu modernes permettent l inspection dynamique des paquets. Ils tiennent un registre des connexions sortantes et permettent au trafic de retour de traverser le coupe-feu. Si ce n est pas le cas pour le coupe-feu utilisé pour créer le sous-réseau, alors les ports indiqués au tableau 1 doivent également être ouverts pour les connexions entrantes. 2.4 Restrictions Il n est pas possible d utiliser le Gestionnaire de système Exchange de Microsoft depuis le BES lorsqu un coupe-feu est installé entre le BES et le(s) serveur(s) Microsoft Exchange. Le guide d installation du BES propose d installer les outils d administration Microsoft Exchange sur le BES avant l installation du logiciel BlackBerry Enterprise Server lui-même. Or, le Gestionnaire de système Exchange (le programme utilisé pour administrer un serveur Microsoft Exchange) utilise des ports aléatoires différents. Il se peut qu il soit impossible de faire le mappage statique de ces ports, et donc d utiliser le Gestionnaire de système Exchange derrière un coupe-feu. Bien qu il s agisse là d une restriction, l impossibilité d installer le Gestionnaire de système Exchange sur le serveur BES constitue en fait un avantage en matière de sécurité. En effet, si le BES administre des serveurs Microsoft Exchange multiples, et si le BES était compromis, alors tous les serveurs Microsoft Exchange sur le réseau pourraient théoriquement être également compromis. Figure 1 : Diagramme du réseau Description du système Mars

20 Page intentionnellement laissée en blanc. 6 Mars 2007

21 3 Configuration du système La présente section explique en détail comment mapper statiquement les ports MAPI et comment configurer le coupe-feu. 3.1 Configuration des ports MAPI statiques Les instructions présentées ici sont extraites de l article (Mappages de ports statiques Exchange) de la Base de connaissances de Microsoft, qui est résumé à l annexe B. Comme l article visait initialement à expliquer comment installer un serveur Microsoft Exchange dans une ZD, certaines modifications ont été apportées. Néanmoins, la procédure demeure essentiellement identique. Il est recommandé d affecter un port compris dans la plage Exécutez la commande netstat a sur le serveur Microsoft Exchange pour obtenir la liste de toutes les connexions courantes. Assurez-vous que le port choisi n entrera pas en conflit avec les ports déjà en court d utilisation Procédure de mappage de ports MAPI statiques 1. Lancez l Éditeur du Registre sur le serveur Microsoft Exchange. 2. Recherchez la clé suivante correspondant à l interface Exchange IS : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ ParametersSystem 3. Ajoutez l entrée suivante pour l interface Exchange IS : Nom de la valeur : Type de la valeur : Données de la valeur : TCP/IP Port 4. Redémarrez le serveur Microsoft Exchange. REG_DWORD Numéro de port à affecter au format décimal 5. Répétez cette opération pour chacun des serveurs Microsoft Exchange qui hébergent des boîtes aux lettres BlackBerry. Remarque : le port choisi peut être identique sur chaque serveur. Configuration du système Mars

22 3.2 Configuration de l Active Directory En règle générale, l interface d ouverture de session et de réplication d annuaire Active Directory est attribuée au port 1025 ou 1026 au démarrage du serveur. Il est également possible de les mapper statiquement, de sorte qu un seul port soit ouvert. Cette étape est facultative. Si le contrôleur de domaine n est pas modifié, vous pouvez simplement ouvrir le port 1025 également (voir la section 3.3.4) Procédure de mappage des ports Active Directory 1. Lancez l Éditeur du Registre sur le contrôleur de domaine. 2. Recherchez la clé suivante : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters 3. Ajoutez l entrée suivante : Nom de la valeur : Type de la valeur : Base : Valeur : TPC/IP Port Décimale 4. Redémarrez le contrôleur de domaine. REG_DWORD Numéro de port à affecter Il est possible d utiliser le port 1025 ou le port 1026 en tant que port statique. 3.3 Configuration du coupe-feu La présente section explique comment configurer un coupe-feu Cisco PIX 515e de manière à utiliser la traduction d adresses de réseau (NAT) et comment permettre des connexions sortantes par l intermédiaire des ports spécifiés. Bien que les instructions visent spécifiquement les coupe-feu PIX de Cisco, elles peuvent en fait s appliquer à n importe quel coupe-feu. Dans cette section, l expression «outside» (externe) désigne l interface menant au reste du réseau et au monde extérieur, soit normalement Ethernet 0. De même, l expression «inside» (interne) désigne l interface à laquelle le BES est connecté. Dans le cas des coupe-feu qui prennent en charge l attribution de noms aux interfaces, il est recommandé d attribuer des noms spécifiques aux interfaces pour éviter toute confusion. 8 Mars 2007 Configuration du système

23 3.3.1 Adresses IP utilisées sur le réseau de test Dans cette section, plusieurs adresses IP différentes sont utilisées. Il est probable qu un réseau opérationnel sera différent du réseau utilisé pour tester la configuration. Pour cette raison, on trouvera dans les paragraphes qui suivent une brève description de chaque adresse et la marche à suivre pour l adapter à un réseau spécifique. Les serveurs du réseau de test utilisaient la plage d adresses de sous-réseau à Lorsque le BES était exploité sans coupe-feu, il était également installé dans cette plage. La passerelle connectée au réseau externe utilisait l adresse , tandis que le contrôleur de domaine utilisait Dans la procédure décrite dans les pages qui suivent, ces adresses peuvent être remplacées par celles utilisées réellement par la passerelle et le contrôleur de domaine sur votre serveur. Par exemple, à la section décrivant la commande route, si votre passerelle utilise l adresse , la commande à entrer sera : route outside Le réseau de test comportait un seul serveur Microsoft Exchange, dont l adresse IP était Le serveur d annuaire utilisait l adresse IP Le coupe-feu utilisait l adresse IP externe , de manière à utiliser le même sous-réseau que les autres serveurs. Une plage IP interne de à était définie, étant l adresse IP de l interface interne, et donc de la passerelle. Ainsi, le BES pouvait être placé n importe où sur le sous-réseau , et utilisait en fait l adresse Tous les clients du réseau de test résidaient sur un sous-réseau distinct. Les règles de routage relatives à ces clients sont décrites ailleurs et ne relèvent pas du présent document Spécification des adresses IP Les adresses IP des deux interfaces doivent résider sur des réseaux distincts. Dans ce guide, l adresse externe du coupe-feu est et son masque est L adresse interne est , L adresse externe pourra varier selon le réseau, par contre l adresse interne peut demeurer fixe (à moins que le réseau externe ne soit du type 10.x.x.x). 1. Accédez à la console du coupe-feu. 2. Tapez en pour activer le mode Enable. 3. Tapez conf t pour accéder au terminal de configuration. 4. Entrez la commande ip address outside Répétez l étape 4 pour l interface interne, en remplaçant «outside» par «inside» et en modifiant l adresse IP en conséquence. Configuration du système Mars

24 3.3.3 Configuration du routage Pour assurer le bon fonctionnement de la fonction de routage, il faut spécifier une route par défaut. Il faut également spécifier les routes NAT, y compris les adresses NAT. Dans le terminal de configuration, entrez les commandes suivantes : 1. route outside nat (inside) global (outside) La première commande spécifie une route par défaut pour le trafic. Tout le trafic destiné à l interface externe sera acheminé vers l adresse , avec une valeur de bond de 1. Dans le cas présent, «0 0» est l abréviation de « netmask », qui correspond à tous les types de trafic. La commande nat est similaire. Elle permet à l ensemble du trafic à destination de l interface interne d accéder à cette règle NAT spécifique. Le «1» est le numéro de règle; il est donc possible de spécifier des numéros de règle multiples et de les associer à une règle global correspondante. La commande global spécifie les plages d adresses pouvant être utilisées par les règles NAT correspondantes. Dans l exemple, une plage de cinq adresses IP a été spécifiée pour la règle NAT n 1. En utilisant ces deux commandes conjointement, il est théoriquement possible de configurer le réseau de manière à ce que des sous-réseaux différents à l intérieur du coupe-feu aient accès à des plages d adresses IP externes différentes. Dans le présent document, une seule plage d adresses est nécessaire, et seules des routes par défaut simples sont spécifiées, puisqu il existe un seul hôte sur le réseau interne. On notera que si seulement une adresse est spécifiée dans la règle global, alors la traduction d adresses de port (PAT) sera utilisée. Dans cette configuration, une adresse IP unique est utilisée et des numéros de port choisis de façon aléatoire sont employés pour assurer le suivi des différentes connexions. Pour éviter de compliquer inutilement la gestion des numéros de port, une plage d adresses est spécifiée même si une seule adresse est en fait utilisée. 10 Mars 2007 Configuration du système

25 3.3.4 Création de la liste d accès La liste d accès détermine quelles connexions sont autorisées à traverser le coupe-feu et lesquelles sont bloquées. Tous les ports figurant au tableau 1 à la page 4 doivent être ouverts afin de permettre aux connexions sortantes de communiquer avec différents hôtes et d assurer la connectivité. La syntaxe générale d une règle de coupe-feu se lit ainsi : access-list <nom de l ACL> <permit deny> <protocole> <source> [options] <destination> [options] On peut utiliser plusieurs raccourcis pour rédiger ces règles. Ainsi, le mot clé «any» permet de spécifier n importe quel hôte sur le réseau, en remplacement de la notation « ». Le mot clé «host» permet de spécifier un hôte sur le réseau au moyen de son adresse IP, au lieu de devoir spécifier à la fois l adresse IP et le masque de réseau. La variable «protocole» peut être «tcp», «udp», «icmp» ou «ip» pour désigner n importe quel protocole. Les options sont utilisées ici pour spécifier un numéro de port pour les connexions TCP et UDP. Seuls les ports de destination sont utilisés, puisque les ports sources sont attribués de façon aléatoire et ne peuvent pas être déterminés à l avance. Par exemple, la règle : access-list acl_out permit tcp any host eq 53 permet le passage de tout le trafic TCP depuis n importe quelle source vers l hôte à l adresse par l intermédiaire du port 53. Pour spécifier un réseau entier, utilisez la syntaxe suivante : access-list acl_out permit tcp eq 389 Cette règle permet le passage du trafic TCP uniquement depuis le sous-réseau x vers le sous-réseau x par l intermédiaire du port 389. Si le coupe-feu reçoit un paquet pour lequel il n existe aucune règle (les règles sont vérifiées une par une pour déterminer si l une d elles correspond au paquet), l action par défaut consiste normalement à le rejeter 2. Si ce n est pas le cas, ajoutez simplement la règle : access-list acl_out deny ip any any 2 Bien que la majorité des coupe-feu rejettent les paquets qui ne sont pas explicitement permis par défaut, certains ne le font pas. Consultez la documentation de votre coupe-feu pour de plus amples informations. Configuration du système Mars

26 à la fin du jeu de règles. Avec cette règle, le coupe-feu rejettera tous les paquets qui ne correspondent à aucune règle précédente. La façon la plus facile, mais aussi la moins sécurisée, de configurer le coupe-feu consiste à ouvrir chaque port pour l ensemble du sous-réseau du serveur. Cette approche assure une connectivité totale, mais permet aussi à des paquets d atteindre des serveurs dont l accès devrait access-list être interdit. acl_out permit udp any eq 53 Si un attaquant venait à obtenir une adresse IP du réseau visé par cette règle (voir la section 3.3.5), n importe quel trafic UDP passant par le port 53 aurait alors accès au réseau, y compris à des hôtes qui n hébergent aucun service DNS. Cette faiblesse pourrait être utilisée pour lancer une attaque contre le système d exploitation de l hôte cible. Un moyen modérément sécurisé pour configurer le coupe-feu consiste à restreindre le trafic aux seuls hôtes qui s attendent à recevoir ce trafic, ou aux seuls hôtes qui assurent des services nécessaires : access-list acl_out permit tcp any host eq 389 Cette approche laisse également le réseau vulnérable à un attaquant qui parviendrait à obtenir une adresse IP du réseau, toutefois les conséquences sont moins graves puisque le trafic pourra atteindre un seul hôte qui peut par ailleurs être renforcé contre les attaques. De plus, avec ce type de règle, les adresses IP spécifiées dans la règle devront être modifiées si l adresse IP d un serveur est changée (par exemple, lorsque l ancien serveur DNS est remplacé par un nouveau serveur ayant une adresse IP différente). Si le coupe-feu prend en charge l attribution de noms, il sera possible de contourner le problème, à la condition que les noms demeurent inchangés. La règle la plus rigoureuse consiste à restreindre le trafic à un hôte source unique et à un seul hôte de destination : access-list acl_out permit tcp host host eq 88 Cette méthode présente le même problème que la solution précédente, en ce qui concerne les adresses IP changeantes. De plus, un attaquant pourrait simplement utiliser l adresse IP du BES pour accéder au réseau. Il incombe au lecteur de choisir le type de règle qui convient le mieux à chaque installation. L exemple de script présenté à l annexe A permet de configurer de manière modérément sécurisée une liste d accès sur un coupe-feu. 12 Mars 2007 Configuration du système

27 3.3.5 Création du groupe d accès Alors qu une liste d accès stipule quels paquets sont autorisés à passer, un groupe d accès les lie à des interfaces spécifiques. Par exemple, si une liste d accès permettant uniquement le passage de paquets en provenance d un sous-réseau x est placée sur une interface comportant uniquement des adresses x, l ensemble du trafic serait à toutes fins pratiques bloqué. Au moment de rédiger la liste d accès, il importe donc de tenir compte de l interface sur laquelle elle doit être utilisée. Dans la configuration présentée dans ce document, la liste d accès a été placée sur l interface interne, puisque c est le trafic en provenance du BES qui pose problème (on notera que toutes les connexions aux serveurs internes et aux relais RIM sont établies par le BES). Si aucune liste d accès n est attribuée à une interface, normalement, 3 l action par défaut consiste à bloquer tous les paquets qui ne correspondent pas à une connexion déjà établie. L affectation d un groupe d accès nécessite une simple commande d une ligne : access-group <nom de la liste d accès> in interface <nom de l interface> Cette commande lie la liste d accès indiquée au trafic entrant sur l interface spécifiée. Par exemple, la commande : access-group acl_out in interface inside associe la liste d accès créée à la section précédente à l interface interne. Le coupe-feu inspectera alors tout le trafic entrant sur l interface (à l externe et à l interne) en fonction de la liste d accès, et décidera si le trafic est valide ou non. Puisque le coupe-feu utilisé aux fins du présent document est un coupe-feu dynamique, tous les paquets retournés par des connexions déjà établies sont immédiatement autorisés Enregistrement de la configuration En cas de panne, la configuration courante pourrait être perdue si l administrateur ne sauvegarde pas manuellement la configuration. Le coupe-feu sera réinitialisé au moyen de la dernière configuration enregistrée (c.-à-d. la configuration par défaut du fabricant si aucune autre 3 Il s agit du comportement normal d un coupe-feu; toutefois il est possible que certains coupe-feu ne bloquent pas tout le trafic par défaut. Veuillez consulter la documentation de votre coupe-feu pour de plus amples informations. Configuration du système Mars

28 configuration n a été enregistrée). Pour prévenir cette situation, il faut enregistrer en mémoire la configuration finale au moyen de la commande : write memory Cette commande enregistrera la configuration courante en mémoire. Dans l éventualité d une défaillance catastrophique, ou s il est nécessaire de remplacer le coupe-feu, il est également possible d enregistrer la configuration sur un serveur TFTP, au moyen de la commande : write net :config.txt Cet exemple permet d enregistrer la configuration courante sur le serveur TFPT installé à l adresse , sous le nom «config.txt»; le fichier sera enregistré dans le dossier racine du serveur TFTP. Pour restaurer une configuration depuis un serveur TFTP (la restauration se fait automatiquement lorsque la configuration a été enregistrée en mémoire interne), assurez-vous d abord que la configuration préalablement enregistrée est bien présente dans le dossier racine du serveur TFTP (ou dans un dossier connu de vous), puis entrez la commande : configure net :config.txt Cette commande a une syntaxe identique à la commande write, mais débute par configure. 14 Mars 2007 Configuration du système

29 4 Conclusions et recommandations Le script de coupe-feu présenté à l annexe A a été testé sous la version du logiciel BES et sur un serveur Microsoft Exchange 2003 SP2 (version 6.5, révision ). Puisqu il n est pas nécessaire de modifier le BES lui-même, la procédure décrite dans le présent document devrait fonctionner avec n importe quelle version du BES qui respecte la norme MAPI. De plus, n importe quel coupe-feu standard devrait être en mesure de mapper les connexions requises par le BES. Pour des raisons de sécurité, il est recommandé d appliquer régulièrement les correctifs de sécurité les plus récents sur les serveurs Microsoft Exchange. De même, la procédure de mappage des ports MAPI statiques devrait fonctionner sur les versions futures de Microsoft Exchange, à la condition que l architecture de l application ne soit pas modifiée radicalement. Il est donc recommandé de consulter la Base de connaissances de Microsoft avant de mettre en œuvre les procédures décrites dans le présent document, afin de vérifier si des articles relatifs aux connexions MAPI ont été ajoutés ou actualisés. Pour obtenir de l information additionnelle sur l isolement des différents composants BES en sous-réseaux distincts, veuillez consulter le document technique de RIM intitulé Placing the BlackBerry Enterprise Solution in a Segmented Network ( 44/ /Placement_of_the_BlackBerry_Enterprise_Solution_in_a_Segmented_Network.pdf?nodeid= &vernum=0). Conclusions et recommandations Mars

30 Page intentionnellement laissée en blanc. 16 Mars 2007

31 5 Références a. b. Base de connaissances Microsoft, article , Mappages de ports statiques Exchange, juillet (Placing the BlackBerry Enterprise Solution in a Segmented Network, juillet the_blackberry_enterprise_solution_in_a_segmented_network?func=doc.fetch&nodei d= ) Références Mars

32 Page intentionnellement laissée en blanc. 18 Mars 2007

33 A. Annexe Script de configuration du coupe-feu Le script présenté ci-dessous peut être utilisé pour configurer automatiquement les interfaces du coupe-feu, définir les routes par défaut, créer le NAT, stipuler une liste d accès et la lier à une interface. Vous pouvez l exécuter en le copiant et en le collant dans un client telnet connecté au terminal de configuration du coupe-feu. La seule modification à apporter au script consistera à remplacer toutes les adresses IP par celles de votre réseau. Les adresses IP utilisées dans le script et les applications auxquelles elles correspondent sont présentées au tableau 2 à la page 20. La troisième colonne vous permettra de noter les adresses IP de votre réseau. Si le réseau ne comporte pas de serveur d annuaire ou de fonction de consultation de certificat, alors les ports listés pour le serveur d annuaire peuvent demeurer fermés. Le port MAPI statique utilisé dans le script est Remplacez-le par le port choisi à l étape 3 de la section Dans un environnement comportant des serveurs Microsoft Exchange multiples, la ligne : access-list acl_out permit tcp any host eq 8194 doit être présente pour chaque serveur, l adresse étant remplacée par celle de chaque serveur. Enfin, on notera que le script utilise les adresses des deux relais RIM nord-américains. Dans le cas d un réseau installé en Europe, en Australie ou en Nouvelle-Zélande, il faudra utiliser les adresses de relais RIM appropriées. Reproduisez la ligne : access-list acl_out permit tcp any host <Relais RIM> eq 3101 aussi souvent que nécessaire, en remplaçant <Relais RIM> par l une des adresses IP de relais RIM. Annexe Mars

34 Tableau 2 : Adresses IP mentionnées dans le script de coupe-feu Adresses dans le script Description Adresses de mon réseau Passerelle vers Internet Port 53 Serveur DNS Autres ports Contrôleur de domaine Serveur MS Exchange Serveur d annuaire (ICP) Adresse externe du coupe-feu Plage d adresses externes du coupe-feu Adresse interne du coupe-feu Relais RIM Relais RIM A.1. Script de configuration du coupe-feu Pour chaque section du script, suivez les instructions présentées dans les sections précédentes du document afin de remplacer les adresses IP par les adresses propres à votre réseau. Les deux premières lignes du script spécifient les adresses IP de l interface externe et de l interface interne. Si les interfaces ne sont pas nommées ainsi (ou si le coupe-feu ne prend pas en charge l attribution de noms), ces règles ne fonctionneront pas. Néanmoins, le reste du script fonctionnera. Consultez le guide de l utilisateur du coupe-feu pour apprendre comment configurer les adresses IP des interfaces pour ce dernier. Les trois lignes suivantes définissent les règles de routage, les règles NAT et les règles globales. Dans ce cas également, si les interfaces ne sont pas (ou ne peuvent pas) être nommées «outside» et «inside», ces règles ne fonctionneront pas. Consultez le guide de l utilisateur pour apprendre comment configurer les règles de routage et les règles NAT pour votre coupe-feu. 20 Mars 2007 Annexe

35 La ligne suivante permet de s assurer qu il n existe pas déjà une liste d accès nommée «acl_out», de manière à ce que seules les règles voulues soient interprétées. La section suivante stipule toutes les règles de coupe-feu individuelles. La dernière ligne associe la liste d accès nouvellement créée à l interface «inside». Si un nom différent a été attribué logiquement à l interface interne du coupe-feu, remplacez le mot «inside» par le nom de l interface, ou encore, consultez le guide de l utilisateur de votre coupe-feu pour apprendre comment associer une liste d accès à une interface. ip address outside ip address inside route outside nat (inside) global (outside) no access-list acl_out access-list acl_out permit udp any host eq 53 access-list acl_out permit tcp any host eq 53 access-list acl_out permit tcp any host eq 80 access-list acl_out permit udp any host eq 88 access-list acl_out permit tcp any host eq 88 access-list acl_out permit udp any host eq 123 access-list acl_out permit tcp any host eq 135 access-list acl_out permit tcp any host eq 135 access-list acl_out permit udp any host eq 389 access-list acl_out permit tcp any host eq 389 access-list acl_out permit tcp any host eq 389 access-list acl_out permit tcp any host eq 445 access-list acl_out permit tcp any host eq 1026 access-list acl_out permit tcp any host eq 8194 access-list acl_out permit tcp any host eq 3101 access-list acl_out permit tcp any host eq 3101 access-group acl_out in interface inside Annexe Mars

36 Page intentionnellement laissée en blanc. 22 Mars 2007

37 B. Annexe Base de connaissances Microsoft, article , Mappages de ports statiques Exchange L article ci-dessous décrit le processus permettant de placer un serveur Microsoft Exchange derrière un coupe-feu, et non pas un BES; il ne faut donc pas le suivre à la lettre. Néanmoins, il offre des renseignements utiles sur le mappage des ports MAPI statiques. La section la plus intéressante décrit le mappage de ports statiques pour permettre à un client MAPI de se connecter à Exchange Server 2000 ou Exchange Server 2003 à travers un coupe-feu. Comme un BES est à toutes fins pratiques un autre client MAPI, seul le port Microsoft Exchange Information Store (MSExchangeIS) doit être mappé statiquement. Les autres ports sont utilisés pour la synchronisation des fichiers Exchange et ne sont pas utilisés par le BES. On trouvera une version actualisée de cet article à l adresse Annexe Mars

38 Page intentionnellement laissée en blanc. 24 Mars 2007

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page

Plus en détail

Mise en service d un routeur cisco

Mise en service d un routeur cisco Mise en service d un routeur cisco Table des matières Mise en service d un routeur cisco...1 I. Connexion du PC au routeur pour en faire la configuration...2 II. Configuration du routeur...2 III. Voir

Plus en détail

Windows Internet Name Service (WINS)

Windows Internet Name Service (WINS) Windows Internet Name Service (WINS) WINDOWS INTERNET NAME SERVICE (WINS)...2 1.) Introduction au Service de nom Internet Windows (WINS)...2 1.1) Les Noms NetBIOS...2 1.2) Le processus de résolution WINS...2

Plus en détail

L3 informatique Réseaux : Configuration d une interface réseau

L3 informatique Réseaux : Configuration d une interface réseau L3 informatique Réseaux : Configuration d une interface réseau Sovanna Tan Septembre 2009 Révision septembre 2012 1/23 Sovanna Tan Configuration d une interface réseau Plan 1 Introduction aux réseaux 2

Plus en détail

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7) Protocole DHCP (S4/C7) Le protocole DHCP (Dynamic Host Configuration Protocol) Le service DHCP permet à un hôte d obtenir automatiquement une adresse IP lorsqu il se connecte au réseau. Le serveur DHCP

Plus en détail

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1 Les ACL Cisco Master 2 Professionnel STIC-Informatique 1 Les ACL Cisco Présentation Master 2 Professionnel STIC-Informatique 2 Les ACL Cisco? Les ACL (Access Control Lists) permettent de filtrer des packets

Plus en détail

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014 École Supérieure d Économie Électronique Chap 9: Composants et systèmes de sécurité 1 Rhouma Rhouma 21 Juillet 2014 2 tagging et port trunk Création des via les commandes sur switch cisco 1 / 48 2 / 48

Plus en détail

DHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013

DHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013 DHCP et NAT Cyril Rabat cyril.rabat@univ-reims.fr Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 22-23 Cours n 9 Présentation des protocoles BOOTP et DHCP Présentation du NAT Version

Plus en détail

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP Vue d ensemble du basculement DHCP Dans Windows Server 2008 R2, il existe deux options à haute disponibilité dans le cadre du déploiement du serveur DHCP. Chacune de ces options est liée à certains défis.

Plus en détail

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction

Plus en détail

MISE EN PLACE DU FIREWALL SHOREWALL

MISE EN PLACE DU FIREWALL SHOREWALL MISE EN PLACE DU FIREWALL SHOREWALL I. LA MISSION Dans le TP précédent vous avez testé deux solutions de partage d une ligne ADSL de façon à offrir un accès internet à tous vos utilisateurs. Vous connaissez

Plus en détail

Services Réseaux - Couche Application. TODARO Cédric

Services Réseaux - Couche Application. TODARO Cédric Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Allocation de l adressage IP à l aide du protocole DHCP.doc

Allocation de l adressage IP à l aide du protocole DHCP.doc Allocation de l adressage IP à l aide du protocole DHCP.doc Sommaire 1. Ajout et autorisation d un service Serveur DHCP...2 1.1. Comment le protocole DHCP alloue des adresses IP...2 1.2. Processus de

Plus en détail

Table des matières Nouveau Plan d adressage... 3

Table des matières Nouveau Plan d adressage... 3 Table des matières Nouveau Plan d adressage... 3 Phase 1 : CONFIGURATION DES MATERIELS ACTIFS D INTERCONNEXION... 5 ROUTAGE INTER-VLAN... 5 MISE EN PLACE DU VTP... 6 CONFIGURATION DES PROTOCOLES SSH/TELNET...

Plus en détail

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1 Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1 Topologie Table d'adressage Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par défaut R1 Objectifs

Plus en détail

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

Travaux pratiques : configuration de la traduction d adresses de port (PAT) Travaux pratiques : configuration de la traduction d adresses de port (PAT) Topologie Table d adressage Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par défaut Objectifs Gateway G0/1

Plus en détail

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs. PRODUCTION ASSOCIEE Contexte : Le contexte de la Maison des Ligues de Lorraine (La M2L) a été retenu au sein de notre centre de formation dans le cadre des PPE. La M2L, établissement du Conseil Régional

Plus en détail

Installation Windows 2000 Server

Installation Windows 2000 Server Installation Windows 2000 Server 1. Objectif Ce document donne une démarche pour l installation d un serveur Windows 2000, d un serveur DNS et d un contrôleur de domaine (DC), en regard de certains éléments

Plus en détail

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ TR2 : Technologies de l'internet Chapitre VI NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ 1 NAT : Network Address Translation Le NAT a été proposé en 1994

Plus en détail

Configurer l adressage des serveurs et des clients

Configurer l adressage des serveurs et des clients Configurer l adressage des serveurs et des clients Adresses IP statiques et dynamiques... 156 L adressage manuel... 157 L adressage automatique... 159 Renouvellement d une adresse IP... 161 Configuration

Plus en détail

TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé)

TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé) TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé) Nom du routeur Type de routeur Adresse FA0 Adresse FA1 Adresse S0 Adresse S1 Masque de sousréseau Routage Mot de passe enable Mot

Plus en détail

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs. PRODUCTION ASSOCIEE Contexte : Le contexte de la Maison des Ligues de Lorraine (La M2L) a été retenu au sein de notre centre de formation dans le cadre des PPE. La M2L, établissement du Conseil Régional

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

Installation de GFI MailEssentials

Installation de GFI MailEssentials Installation de GFI MailEssentials Introduction à l installation de GFI MailEssentials Ce chapitre explique la procédure à suivre pour installer et configurer GFI MailEssentials. Il y a deux façons de

Plus en détail

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt Client sur un domaine stage personnes ressources réseau en établissement janvier 2004 Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt Lycée de Villaroy 2 rue Eugène Viollet Le Duc BP31 78041

Plus en détail

Les clés d un réseau privé virtuel (VPN) fonctionnel

Les clés d un réseau privé virtuel (VPN) fonctionnel Les clés d un réseau privé virtuel (VPN) fonctionnel À quoi sert un «VPN»? Un «VPN» est, par définition, un réseau privé et sécurisé qui évolue dans un milieu incertain. Ce réseau permet de relier des

Plus en détail

Contrôleur de communications réseau. Guide de configuration rapide DN1657-0606

Contrôleur de communications réseau. Guide de configuration rapide DN1657-0606 K T - N C C Contrôleur de communications réseau Guide de configuration rapide DN1657-0606 Objectif de ce document Ce Guide de configuration rapide s adresse aux installateurs qui sont déjà familiers avec

Plus en détail

Mettre en place un accès sécurisé à travers Internet

Mettre en place un accès sécurisé à travers Internet Mettre en place un accès sécurisé à travers Internet Dans cette partie vous verrez comment configurer votre serveur en tant que serveur d accès distant. Dans un premier temps, les méthodes pour configurer

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

TARMAC.BE TECHNOTE #1

TARMAC.BE TECHNOTE #1 TARMAC.BE C O N S U L T I N G M A I N T E N A N C E S U P P O R T TECHNOTE #1 Firewall, routeurs, routage et ouverture de ports, raison d être d un routeur comme protection, connexions wi-fi & airport,

Plus en détail

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ LAB : Schéma Avertissement : l exemple de configuration ne constitue pas un cas réel et ne représente pas une architecture la plus sécurisée. Certains choix ne sont pas à prescrire dans un cas réel mais

Plus en détail

Installation et configuration d un serveur DHCP (Windows server 2008 R2)

Installation et configuration d un serveur DHCP (Windows server 2008 R2) Installation et configuration d un serveur DHCP (Windows server 2008 R2) Contenu 1. Introduction au service DHCP... 2 2. Fonctionnement du protocole DHCP... 2 3. Les baux d adresse... 3 4. Etendues DHCP...

Plus en détail

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 1 / 10 Table

Plus en détail

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet Curriculum Name Guide du participant CCENT 3 Section 9.3 Dépannage de l adressage IP de la couche 3 Cette section consacrée au dépannage vous permettra d étudier les conditions nécessaires à l obtention

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

L annuaire et le Service DNS

L annuaire et le Service DNS L annuaire et le Service DNS Rappel concernant la solution des noms Un nom d hôte est un alias assigné à un ordinateur. Pour l identifier dans un réseau TCP/IP, ce nom peut être différent du nom NETBIOS.

Plus en détail

Service d'annuaire Active Directory

Service d'annuaire Active Directory ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Service d'annuaire Active Directory DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Description

Plus en détail

Les réseaux 10.0.0.0/24 et 172.16.x0.0/29 sont considérés comme publics

Les réseaux 10.0.0.0/24 et 172.16.x0.0/29 sont considérés comme publics Objectif Mise en route d un Firewall dans une configuration standard, c est à dire : o à l interface entre les domaines privé et public, o avec des clients internes qui veulent utiliser l Internet, o avec

Plus en détail

Exercice 7.4.1 : configuration de base de DHCP et NAT

Exercice 7.4.1 : configuration de base de DHCP et NAT Exercice 7.4.1 : configuration de base de DHCP et NAT Diagramme de topologie Table d adressage Périphérique Interface Adresse IP Masque de sous-réseau S0/0/0 10.1.1.1 255.255.255.252 R1 Fa0/0 192.168.10.1

Plus en détail

Configuration Routeur DSL pour Xbox LIVE ou PlayStation-Network

Configuration Routeur DSL pour Xbox LIVE ou PlayStation-Network Veuillez noter que les instructions suivantes ont été traduites de l'allemand. Certaines expressions peuvent différer légèrement des expressions utilisées par votre assistant de configuration. Configuration

Plus en détail

FAQ sur le Service courriel d affaires TELUS

FAQ sur le Service courriel d affaires TELUS FAQ sur le Service courriel d affaires TELUS Questions d ordre général 1. En quoi consiste le service Courriel Affaires de TELUS? 2. J utilise actuellement le logiciel Outlook avec un compte de courriel

Plus en détail

COMMENT AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L ANTIVIRUS FIREWALL V3

COMMENT AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L ANTIVIRUS FIREWALL V3 COMMENT AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L ANTIVIRUS FIREWALL V3 La fiche pratique suivante est composée de 3 parties : A - Configurer le firewall de l AntiVirus Firewall B - Changer la

Plus en détail

CAMERA DOME AMELIORÉE DE SURVEILLANCE EN RÉSEAU GUIDE D INSTALLATION

CAMERA DOME AMELIORÉE DE SURVEILLANCE EN RÉSEAU GUIDE D INSTALLATION CAMERA DOME AMELIORÉE DE SURVEILLANCE EN RÉSEAU GUIDE D INSTALLATION Veuillez lire les instructions minutieusement avant l utilisation et les conserver pour leur consultation future. 1. VUE D ENSEMBLE

Plus en détail

Principes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2.

Principes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2. DHCP ET TOPOLOGIES Principes de DHCP Présentation du protocole Sur un réseau TCP/IP, DHCP (Dynamic Host Configuration Protocol) permet d'attribuer automatiquement une adresse IP aux éléments qui en font

Plus en détail

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H. Conceptronic C100BRS4H Guide d installation rapide Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H. Ce guide d installation vous permettra d installer pas à pas votre

Plus en détail

Introduction. Instructions relatives à la création d ateliers de test. Préparer l ordinateur Windows Server 2003

Introduction. Instructions relatives à la création d ateliers de test. Préparer l ordinateur Windows Server 2003 Introduction Ce kit de formation est conçu pour les professionnels des technologies de l information (TI) qui prennent en charge Windows Vista dans de nombreux environnements et qui envisagent de passer

Plus en détail

Sauvegarde des données d affaires de Bell Guide de démarrage. Vous effectuez le travail Nous le sauvegarderons. Automatiquement

Sauvegarde des données d affaires de Bell Guide de démarrage. Vous effectuez le travail Nous le sauvegarderons. Automatiquement Sauvegarde des données d affaires de Bell Guide de démarrage Vous effectuez le travail Nous le sauvegarderons. Automatiquement Guide De Démarrage Introduction...2 Configuration Minimale Requise...3 Étape

Plus en détail

Configurer Squid comme serveur proxy

Configurer Squid comme serveur proxy LinuxFocus article number 235 http://linuxfocus.org Configurer Squid comme serveur proxy Résumé: par D.S. Oberoi L auteur: D.S. Oberoi vit à Jammu, aux Indes et rencontre des problèmes

Plus en détail

Guide d administration de Microsoft Exchange ActiveSync

Guide d administration de Microsoft Exchange ActiveSync Guide d administration de Microsoft Exchange ActiveSync Copyright 2005 palmone, Inc. Tous droits réservés. palmone, HotSync, Treo, VersaMail et Palm OS sont des marques commerciales ou déposées dont palmone,

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

DESCRIPTION DU CONCOURS QUÉBÉCOIS 2014 39 INFORMATIQUE (GESTION DE RÉSEAUX)

DESCRIPTION DU CONCOURS QUÉBÉCOIS 2014 39 INFORMATIQUE (GESTION DE RÉSEAUX) DESCRIPTION DU CONCOURS QUÉBÉCOIS 2014 39 INFORMATIQUE (GESTION DE RÉSEAUX) 1. DESCRIPTION DU CONCOURS 1.1. But de l épreuve La compétition permet aux étudiants 1 de mettre à l épreuve leurs connaissances

Plus en détail

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection) II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection) II.2/ Description des couches 1&2 La couche physique s'occupe de la transmission des bits de façon brute sur un canal de

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Préparé par : le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification selon les Critères

Plus en détail

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Memory Arrays avec Memory Gateways Version 5.5.2 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien

Plus en détail

Plan. Programmation Internet Cours 3. Organismes de standardisation

Plan. Programmation Internet Cours 3. Organismes de standardisation Plan Programmation Internet Cours 3 Kim Nguy ên http://www.lri.fr/~kn 1. Système d exploitation 2. Réseau et Internet 2.1 Principes des réseaux 2.2 TCP/IP 2.3 Adresses, routage, DNS 30 septembre 2013 1

Plus en détail

TR2 : Technologies de l'internet. Chapitre VII. Serveur DHCP Bootp Protocole, Bail Relais DHCP

TR2 : Technologies de l'internet. Chapitre VII. Serveur DHCP Bootp Protocole, Bail Relais DHCP TR2 : Technologies de l'internet Chapitre VII Serveur DHCP Bootp Protocole, Bail Relais DHCP 1 Serveur DHCP Dynamic Host Configuration Protocol La configuration d un serveur DHCP permet : d assurer la

Plus en détail

Rappels réseaux TCP/IP

Rappels réseaux TCP/IP Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle

Plus en détail

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité SECURITE Ce cours est très inspiré des textes diffusés par l unité réseau du CNRS (www.urec.fr). La sécurité est une chose essentielle sur le réseau Internet. Elle est associée très étroitement aux lois

Plus en détail

Présentation du modèle OSI(Open Systems Interconnection)

Présentation du modèle OSI(Open Systems Interconnection) Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:

Plus en détail

Back up Server DOC-OEMSPP-S/6-BUS-FR-17/05/11

Back up Server DOC-OEMSPP-S/6-BUS-FR-17/05/11 Back up Server DOC-OEMSPP-S/6-BUS-FR-17/05/11 Les informations contenues dans le présent manuel de documentation ne sont pas contractuelles et peuvent faire l objet de modifications sans préavis. La fourniture

Plus en détail

Guide d installation

Guide d installation Guide d installation Introduction... 3 1. Appuyer sur Enter... 4 2. Choisir le type de serveur à installer... 5 3. Formatage et installation sur le disque... 6 4. Confirmation du formatage du disque...

Plus en détail

Le rôle Serveur NPS et Protection d accès réseau

Le rôle Serveur NPS et Protection d accès réseau Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS

Plus en détail

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Fiche technique AppliDis Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Fiche IS00198 Version document : 4.01 Diffusion limitée : Systancia, membres du programme Partenaires

Plus en détail

Les Audits. 3kernels.free.fr 1 / 10

Les Audits. 3kernels.free.fr 1 / 10 Les Audits 3kernels.free.fr 1 / 10 Introduction 3 3kernels.free.fr 2 / 10 Introduction Pour une observation des événements les Audits sont utiles. Il fait l historique, des faits que l on a décidé de surveiller.

Plus en détail

Utilisation de KoXo Computers V2.1

Utilisation de KoXo Computers V2.1 Version 2.1.0.0 / Mai 2013 Page 2/45 Sommaire 1 Présentation... 4 2 Configuration des stations... 4 2. 1 Démarche manuelle (non conseillée)... 4 2. 2 Démarche automatique par les stratégies de groupe (conseillée)...

Plus en détail

Administration d un client Windows XP professionnel

Administration d un client Windows XP professionnel Windows Server 2003 Administration d un client Windows XP professionnel Auteur : Frédéric DIAZ Introduction : Un ordinateur fonctionnant sous Windows XP professionnel possède, contrairement à la version

Plus en détail

1 DHCP sur Windows 2008 Server... 2 1.1 Introduction... 2. 1.2 Installation du composant DHCP... 3. 1.3 Autorisation d'un serveur DHCP...

1 DHCP sur Windows 2008 Server... 2 1.1 Introduction... 2. 1.2 Installation du composant DHCP... 3. 1.3 Autorisation d'un serveur DHCP... Table des matières 1 DHCP sur Windows 2008 Server... 2 1.1 Introduction... 2 1.2 Installation du composant DHCP... 3 1.3 Autorisation d'un serveur DHCP... 11 1.4 Visualiser les serveurs autorisés... 12

Plus en détail

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping) Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2013-2014 13 et 14 mai 2014 IBM Client Center Paris, Bois-Colombes S28 - La mise en œuvre de SSO (Single

Plus en détail

NOTIONS DE RESEAUX INFORMATIQUES

NOTIONS DE RESEAUX INFORMATIQUES NOTIONS DE RESEAUX INFORMATIQUES GENERALITES Définition d'un réseau Un réseau informatique est un ensemble d'équipements reliés entre eux afin de partager des données, des ressources et d'échanger des

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetApp Data ONTAP v8.1.1 7-Mode Préparé par : le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

TP01: Installation de Windows Server 2012

TP01: Installation de Windows Server 2012 TP0: Installation de Windows Server 202 Rappel : nous utiliserons le terme «WS202» pour désigner Windows Server 202et le terme «VM» pour Machine Virtuelle. - Installation d une VM Windows Server 202 de

Plus en détail

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE Comment déployer l'active Directory sur Windows Server 2008 R2 Microsoft France Division DPE 1 Table des matières Présentation... 3 Objectifs... 3 Pré requis... 3 Introduction à l Active Directory... 4

Plus en détail

Déploiement d iphone et d ipad Gestion des appareils mobiles (MDM)

Déploiement d iphone et d ipad Gestion des appareils mobiles (MDM) Déploiement d iphone et d ipad Gestion des appareils mobiles (MDM) ios prend en charge la gestion des appareils mobiles (MDM), donnant aux entreprises la possibilité de gérer le déploiement d iphone et

Plus en détail

Installation de GFI MailSecurity en mode passerelle

Installation de GFI MailSecurity en mode passerelle Installation de GFI MailSecurity en mode passerelle Introduction à l installation en mode passerelle SMTP Ce chapitre traite de la procédure d installation et de configuration de GFI MailSecurity en mode

Plus en détail

Windows 2000 Server Active Directory

Windows 2000 Server Active Directory ACTION PROFESIONNELLE N 2 Fabien SALAMONE BTS INFORMATIQUE DE GESTION Option Administrateur de Réseaux Session 2003 Windows 2000 Server Active Directory Compétences : C 21 C 23 C 27 C 31 C 33 C 36 Installer

Plus en détail

Firewall Net Integrator Vue d ensemble

Firewall Net Integrator Vue d ensemble Net Integration Technologies, Inc. http://www.net-itech.com Julius Network Solutions http://www.julius.fr Firewall Net Integrator Vue d ensemble Version 1.00 TABLE DES MATIERES 1 INTRODUCTION... 3 2 ARCHITECTURE

Plus en détail

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson TER Réseau : Routeur Linux 2 Responsable : Anthony Busson Exercice 1 : Une entreprise veut installer un petit réseau. Elle dispose d un routeur sur Linux. Il doit servir à interconnecter deux réseaux locaux

Plus en détail

Cours 420-123-LG : Administration de réseaux et sécurité informatique. Dans les Paramètres Système onglet Processeur, le bouton "Activer PAE/NX"

Cours 420-123-LG : Administration de réseaux et sécurité informatique. Dans les Paramètres Système onglet Processeur, le bouton Activer PAE/NX Laboratoire 02 Installation de Windows Server 2008 R2 Standard Edition Précision concernant les équipes de travail Afin de rationaliser les équipements disponibles au niveau du laboratoire, les équipes

Plus en détail

Network Scanner Tool R2.7. Guide de l'utilisateur

Network Scanner Tool R2.7. Guide de l'utilisateur Network Scanner Tool R2.7 Guide de l'utilisateur Copyright 2000-2003 par Sharp Corporation. Tous droits réservés. Toute reproduction, adaptation ou traduction sans autorisation écrite préalable est interdite,

Plus en détail

Cisco Certified Network Associate

Cisco Certified Network Associate Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 3 01 Quel protocole de la couche application sert couramment à prendre en charge les transferts de fichiers entre un

Plus en détail

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

VoIP et NAT VoIP et NAT 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau VoIP et "NAT" VoIP et "NAT" Traduction d'adresse dans un contexte de Voix sur IP 1/ La Traduction d'adresse réseau("nat") 3/ Problèmes dus à la présence de "NAT" 1/ La Traduction d'adresse réseau encore

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit Data Loss Prevention Version 11.1.1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans

Plus en détail

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition) Introduction 1. Introduction 13 2. Le choix de l'ouvrage : Open Source et Linux Ubuntu 13 2.1 Structure du livre 13 2.2 Pré-requis ou niveau de connaissances préalables 13 3. L'objectif : la constitution

Plus en détail

1. Présentation du TP

1. Présentation du TP LP CHATEAU BLANC 45 CHALETTE/LOING BAC PRO SEN TR THÈME : CONTROLEUR PRINCIPAL DE TP N 1 DOMAINE ACADÉMIE D ORLÉANS-TOURS OBJECTIFS : INSTALLER ACTIVE DIRECTORY CONFIGURER ACTIVE DIRECTORY : - CREER DES

Plus en détail

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau : DHCP TP Le protocole DHCP (Dynamic Host Configuration Protocol) est un standard TCP/IP conçu pour simplifier la gestion de la configuration d'ip hôte. DHCP permet d'utiliser des serveurs pour affecter

Plus en détail

comment paramétrer une connexion ADSL sur un modemrouteur

comment paramétrer une connexion ADSL sur un modemrouteur comment paramétrer une connexion ADSL sur un modemrouteur CISCO 837 Sommaire Introduction 1 Connexion au routeur Cisco 1.1 Attribution d'un mot de passe par CRWS 1.2 Connexion avec Teraterm pro web 1.3

Plus en détail

Configurer le pare-feu de Windows XP SP2 pour WinReporter

Configurer le pare-feu de Windows XP SP2 pour WinReporter Configurer le pare-feu de Windows XP SP2 pour WinReporter Après l installation du service pack 2 sur une machine Windows XP toute requête réseau entrante est bloquée par le pare-feu. Il n y a en conséquence

Plus en détail

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET LINUX REDHAT, SERVICES RÉSEAUX/INTERNET Réf: LIH Durée : 4 jours (7 heures) OBJECTIFS DE LA FORMATION Ce cours pratique vous permettra de maîtriser le fonctionnement des services réseaux sous Linux RedHat.

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

Administration Réseau sous Ubuntu SERVER 12.10 Serveur DHCP

Administration Réseau sous Ubuntu SERVER 12.10 Serveur DHCP Installation d un serveur DHCP (Dynamic Host Configuration Protocol) sous Ubuntu Server 12.10 1 BERNIER François http://astronomie-astrophotographie.fr Table des matières 1. Comment le protocole DHCP alloue

Plus en détail

CONFIGURATION DE L'ACCÈS À DISTANCE POUR LE SYSTÈME D'ENREGISTREMENT VIDÉO NUMÉRIQUE QT17D324SC

CONFIGURATION DE L'ACCÈS À DISTANCE POUR LE SYSTÈME D'ENREGISTREMENT VIDÉO NUMÉRIQUE QT17D324SC CONFIGURATION DE L'ACCÈS À DISTANCE POUR LE SYSTÈME D'ENREGISTREMENT VIDÉO NUMÉRIQUE QT17D324SC Accès à l'enregistreur vidéo numérique par le biais d un ordinateur branché au même routeur : Si vous n accédez

Plus en détail

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand Active Directory sous Windows Server SAHIN Ibrahim BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand Sommaire I - Introduction... 3 1) Systèmes d exploitation utilisés... 3 2) Objectifs...

Plus en détail

Serveur FTP. 20 décembre. Windows Server 2008R2

Serveur FTP. 20 décembre. Windows Server 2008R2 Serveur FTP 20 décembre 2012 Dans ce document vous trouverez une explication détaillé étapes par étapes de l installation du serveur FTP sous Windows Server 2008R2, cette présentation peut être utilisée

Plus en détail

Setting Up PC MACLAN File Server

Setting Up PC MACLAN File Server Setting Up PC MACLAN File Server Setting Up PC MACLAN File Server Ce chapitre explique comment paramètrer le Serveur de fichiers PC MACLAN, une fois la procédure d installation terminée. Les sujets sont

Plus en détail