Zemma Mery BTS SIO SISR. Session Projets Personnels Encadrés

Transcription

1 Zemma Mery BTS SIO SISR Session 2015 Projets Personnels Encadrés

2 Fiche de présentation d une situation professionnelle BTS Services informatiques aux organisations Session 2015 E4 Conception et maintenance de solutions informatiques Coefficient 4 DESCRIPTION D UNE SITUATION PROFESSIONNELLE Épreuve ponctuelle Contrôle en cours de formation PARCOURS SISR PARCOURS SLAM NOM et prénom du candidat 1 : Zemma Mery N candidat : M Contexte de la situation professionnelle : Le laboratoire Galaxy Swiss Bourdin (GSB) est issu de la fusion entre le géant américain Galaxy (spécialisé dans le secteur des maladies virales dont le SIDA et les hépatites) et le conglomérat européen Swiss Bourdin (travaillant sur des médicaments plus conventionnels), lui même déjà union de trois petits laboratoires. En 2009, les deux géants pharmaceutiques ont uni leurs forces pour créer un leader de ce secteur industriel. L'entité Galaxy Swiss Bourdin Europe a établi son siège administratif à Paris Intitulé de la situation professionnelle : Mise en place d un serveur proxy permettant le filtrage d accès des utilisateurs à Internet. Période de réalisation :Du 24/09/14 au 07/11/14 Lieu : Science U Lyon Modalité : Seul En équipe Principale(s) activité(s) concernée(s) 2 : A1.1.1 : Analyse du cahier des charges d'un service à produire A1.1.2 : Étude de l'impact de l'intégration d'un service sur le système informatique A1.2.2 : Rédaction des spécifications techniques de la solution retenue A1.2.4 : Détermination des tests nécessaires à la validation d'un service A1.3.1 : Test d'intégration et d'acceptation d'un service A1.3.4 : Déploiement d'un service A5.2.4 : Étude d une technologie, d'un composant, d'un outil ou d'une méthode D1.1.1 : Analyse du cahier des charges d'un service à produire A4.1.9, Rédaction d'une documentation technique A5.1.2, Recueil d'informations sur une configuration et ses éléments Conditions de réalisation 3 (ressources fournies, résultats attendus) Ressources fournies : ESXi, Fichier ISO, Baie Switch x2 + Routeur x2 ET 6 PC physiques Résultats attendus : Serveur Proxy opérationnel filtrant les accès internet des utilisateurs Internet. Productions associées : - Infrastructure réseaux fonctionnelle - Contrôleur de domaine pour la configuration des postes clients - Serveur DHCP mis en place pour la box wifi 1 En CCF, de l étudiant. 2 En référence à la description des activités des processus prévue dans le référentiel de certification. 4 Conformément au référentiel du BTS SIO «dans tous les cas les candidats doivent se munir des outils et ressources techniques nécessaires au déroulement de l épreuve. Ils sont seuls responsables de la disponibilité et de la mise en œuvre de ces outils et ressources. Les candidats qui n en sont pas munis sont pénalisés dans les limites prévues par la grille d aide à l évaluation proposée par la circulaire nationale d organisation.» Il s agit par exemple des identifiants, mot de passe, URL d un espace de stockage et de l organisation de la présentation du stockage.

3 Modalités d accès aux productions 4 Pour accéder au machine virtualisées on passe par le logiciel Vsphere (ou via le bureau à distance) avec le login : root et le mot de passe : P@ssword Le mot de passe pour les machines virtualisées : P@ssword Sauf pour la machine cliente Windows 7 test qui elle n a pas de mot de passe Au verso de cette page, le candidat présente un descriptif détaillé de la situation professionnelle et des productions réalisées sous forme d un rapport d activité permettant notamment de mettre en évidence la démarche suivie et les méthodes retenues BTS Services informatiques aux organisations Session 2014 E4 Conception et maintenance de solutions informatiques Coefficient 4 Descriptif détaillé de la situation professionnelle Mise en place d un filtre pour les visiteurs du réseau se connectant à la box en filtrage par URL + mots clés via blacklists. - La machine Admin sont présentent sur le vlan50 ( /24) et les machines virtuelles présentent sur le Vlan 300 ( /224) n ont, elles aucune restriction de filtrage. - et le vlan 150 ( /24) utilisateur qui prend en compte le point d accès WIFI est soumis à un filtrage de base pouvant évoluer (site loisirs, vidéo.. sont inaccessibles)

4

5 Réalisation d un PROXY pour l entreprise Galaxy swiss Bourdin. La solution contient un produit de filtrage de sites ; Dans l entreprise GSB, il est nécessaire de mettre en place un serveur mandataire (proxy) pour filtrer les différents flux, servant d intermédiaire entre un navigateur Web et Internet. Les serveurs proxy permettent d optimiser les performances Web en stockant la copie des pages Web. Lorsqu un navigateur requiert une page Web qui est stockée par le serveur proxy (dans le cache de celui-ci), il est servi par ce dernier, et donc plus rapidement qu en allant sur le Web. Les serveurs proxy renforcent également la sécurité en filtrant certains contenus Web. Donc fluidifier les sorties du réseau GSB et de sécuriser Internet L architecture GSB est composée de 3 VLANs : VLAN 50 pour l administration : machines des administrateurs VLAN 300 pour les serveurs : où sont hébergés nos serveurs d administrations sous forme de machine virtuels (Serveurs DHCP/DNS par exemple) VLAN 150 qui correspond au réseau utilisateurs qui inclut le point d accès WIFI. Chaque utilisateur connecté à la box obtient une adresse IP du VLAN 150. Ces adresses subiront une stratégie de sécurité Nous avons opté pour un proxy transparent facile d utilisation et d administration hébergé sur une machine physique (Système d exploitation Linux Debian) non interfacé (en ligne de commande) l administration se fait via commande et donc l utilisation du langage est préconisée. Le filtre adresse IP : on peut bannir une adresse ce connectant au proxy Le filtre url : on peut bloquer l accès d un site web viens son url ( par exemple) Le filtre mots-clés : on peut interdire l accès d un site contenant certains mots (le mot vidéo par exemple) Différentes possibilités peuvent être envisagé pour filtrer son architecture et donc sécuriser le réseau de l entreprise et gérer les connexions internet des utilisateurs Le proxy est transparent et donc invisible pour l utilisateur, il ne voit absolument pas qu il navigue sur internet en passant par un serveur mandataire

6 Cahier des charges Le but du projet est de construire une solution à base de produits open-source permettant à des utilisateurs de l entreprise de se connecter à Internet. Besoins La solution devra intégrer les contraintes suivantes : Sécurisation des accès ou sous réseau IP Filtrage de contenu Par IP ou URL de site Par contenu : mots clés ou autre Filtrage de contenus malveillants Présentation du proxy logiciel Squid Squid est un serveur proxy-cache, il stocke les données fréquemment consultées sur les pages Web sur un serveur cache du réseau local pour éviter de les télécharger à chaque connexion. Il peut aussi mettre en mémoire cache les requêtes DNS. Il permet donc de réduire et d optimiser l usage de la bande passante vers Internet et du réseau, d ouvrir Internet aux machines situées derrière un pare feu, de restreindre les ressources web utilisables, de contrôler l utilisation. En plus dans la configuration de Squid : Par les ACL, il est possible de gérer les jours et heures de connexions. Il est possible de créer des utilisateurs avec mot de passe, ce qui permet d identifier les utilisateurs et de voir dans les logs qui visite quel site et d interdire l accès à des personnes qui ne sont pas autorisées. Avec une redirection du port 80 vers le port d écoute du proxy, on oblige les utilisateurs à utiliser le proxy de manière transparante,

7 Le fichier de configuration de squid de base : acl manager proto cache_object acl localhost src / acl to_localhost dst /8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny!safe_ports http_access deny CONNECT!SSL_ports http_access allow localhost http_access deny all icp_access allow all http_port 3128 hierarchy_stoplist cgi-bin? access_log /var/log/squid3/access.log squid acl QUERY urlpath_regex cgi-bin \? cache deny QUERY refresh_pattern ^ftp: % refresh_pattern ^gopher: % 1440 refresh_pattern. 0 20% 4320 icp_port 3130 coredump_dir /var/spool/squid3