Projets LPRS 2016 1) Sécurisation d'un CMS Joomla dans une architecture LAMP. Tuteur : Marc Lemaire Objectif : définir un guide de bonnes pratiques en terme de sécurité et d'infrastructure pour la mise en place du CMS (Content Management System) Joomla. Contexte : l'un des défaut principaux du CMS Joomla est qu'il constitue une cible de choix pour les pirates... Réalisation : le but de ce projet est de configurer le CMS Joomla en mettant l'accent sur les problématique de sécurité : l'ensemble de l'infrastructure (DNS, serveur web, serveur BD) sera à mettre en œuvre pour faire la preuve des solutions préconisées avec un ensemble de tests de type benchmark simulant des attaques ainsi que les parades mise en œuvre. Livrables : Un manuel de type "howto" orienté sur les paramètres de configuration (Apache / PHP / MySQL - Postgres) associés aux principales préconisations. Liste détaillée des précautions à prendre ainsi que l'ensemble des outils / scripts permettant le benchmark. Environnement technique : Solutions Open Source ; distribution Debian. 2) Supervision Nagios + gestion de Parc avec GLPI Tuteur : Marc Lemaire Objectif : Mettre en œuvre une solution de gestion de parc optimisée pour les salles informatiques de l'université. Contexte : Plusieurs salles informatiques de l'université sont sous Linux (distribution Ubuntu), les images sont "identiques" sur un parc hétérogène d'environ 200 machines. On s intéresse à l'optimisation de la gestion de ces salles. Réalisation : simuler un parc d'environ 10 machines en utilisant les VM de la salle projet associées à quelques switch. Mettre en place l'outil de gestion de parc GLPI et le superviseur Nagios. Identifier les problématiques de mise à jour des images, réveil des machines, synchronisation, détections d'anomalies, surveillance au quotidien et remontées d'alertes. Livrables : documentation technique complète sur la solution mise en œuvre et source de propositions pour des améliorations / optimisation de la gestion du parc. Environnement technique : GLPI - Nagios - Ubuntu. 3) Projet «Supervision» Tuteur : Tuyet-Tram Dang-Ngoc Une entreprise désire mettre en place un réseau composé des VLANs employé, DMZ et d administration. Le réseau de chaque site est composé d un routeur matériel, gérant le routage inter-vlan ainsi que les filtres d accès, et de commutateur(s) permettant de connecter les différents postes et serveurs. Ces derniers devront être placés sur le VLAN DMZ.
Les services à mettre en place sont les suivants : serveur DNS pour le domaine societe1.com. serveur Web www.societe1.com les services basés sur SSL suivants : HTTPS et adapter les ACL pour que ces services soient accessibles de l extérieur. La gestion des certificats devra être correctement réalisée. Ceci par : l installation d autorité(s) de certification la gestion de liste de révocation Listes de contrôle d accès Une politique de sécurité doit être mise en oeuvre sur le routeur gérant le routage inter-vlan. Les listes de contrôle d accès seront utilisées afin de : protéger le réseau interne des attaques venant de l extérieur tout en autorisant l accès aux services de la DMZ (DNS, Web) permettre aux utilisateurs d accéder aux services extérieurs ; permettre l accès interactif aux serveurs uniquement depuis les postes du service d administration. tracer et/ou stocker les paquets répondant à certaines des règles que vous aurez établis. Surveillance du réseau Il est nécessaire de mettre en oeuvre une station d administration du réseau (NMS : Network Management Station) qui sera placée sur le VLAN DMZ. L accès aux services offerts par cette NMS devra être restreint aux postes du service informatique et n être accessibles que par https. Les services de surveillance et de métrologie à mettre en place sont les suivants : Nagios : chargé de surveiller les équipements réseau ainsi que les services mis en oeuvre ; Cacti : chargé de tenir à jour les graphes correspondant au trafic réseau sur les différentes interfaces des équipements ; syslogd : devra être configuré pour recevoir et stocker les alertes des équipements réseau (cf. commande logging des équipements). Vous offrirez également les services suivants : surveillance de la charge CPU de chacun des serveurs (DNS, Web, mail) ; surveillance de l imprimante mise en place d un agent SNMP sur chacun des serveurs afin de maintenir les graphes de métrologie associés à ses interfaces réseau ; mise en place d un plugin Nagios permettant d interroger un agent SNMP et de détecter les dépassements de seuils liés à des OID spécifiques ; remontée des alertes par trappes SNMP vers la NMS (programme snmptrapd) qui devra être configuré pour alerter l équipe informatique en cas de panne d une interface physique sur laquelle est connectée un serveur). Cartographie du réseau Afin d avoir une vision plus globale du réseau, vous installerez et configurerez un outil de cartographie du réseau (ex : weathermap) Remontée d alerte Afin que les traces soient exploitables, facilités et priorités (et éventuellement les provenance)
devront être pris en considération. Les politiques de rotation (ou d archivage) des traces devront également être étudiées. Enfin, il sera nécessaire de bien identifier ce qui doit être tracé ou pas parmi les services, équipements et ACL que vous manipulez. Suivant les cas, les traces seront simplement stockées dans un fichier, affichées sur la console, envoyées par mail à l administrateur. Recommandations Vous prendrez soin d expliquer le contexte, le détail de l architecture, une synthèse des principes des techniques abordées ainsi que les logiciels et matériels utilisés. Une réflexion devra être menée quand au passage de votre plateforme prototype par rapport au déploiement dans un environnement réel de production : 1. en terme de passage à l échelle : avec beaucoup d utilisateurs, d équipement, de connexions, etc. 2. en terme de sécurité 3. en terme de facilité d administration 4. en terme de fonctionnalités offertes 5. en terme de confort utilisateur Vous justifierez tous vos choix. Attention, les fichiers de configuration, les lignes de commandes, etc. doivent figurer en annexe et ne pas perturber la lecture du rapport. Ils ne doivent pas apparaitre durant la présentation (sauf question du jury à ce sujet). Pour les besoins de la démonstration, vous prendrez soin de préparer des scénarios pertinents montrant toutes les fonctionnalités que vous voudrez mettre en évidence. La démonstration devra être soigneusement préparée (machines démarrées, configuration réseau déjà initialisée, etc.). 4) Projet GLPI Tuteur : Tuyet-Tram Dang-Ngoc Le contexte GLPI (gestionnaire libre de parc informatique) est une application web permettant la gestion de parc informatique et de gestion des services d'assistance. Il est utilisé par de nombreuses entreprises. OCS Inventory NG est une application permettant de réaliser un inventaire sur la configuration matérielle des machines du réseau et sur les logiciels qui y sont installés et de visualiser ces informations grâce à une interface web. Il peut être utilisé pour alimenter GLPI. Ces services web permettent d'extraire les données, offrent des services de suivi d'historique (effacement, fusion...) et donnent la possibilité de paramétrer le fonctionnement de l'application. Enfin, GLPI possède de nombreux plugins permettant de réaliser l'inventaire du matériel (par saisie manuelle, code-barre, découverte), cartographier le matériel et le réseau, de gérer les commandes et les tickets d'assistance, etc. De nombreuses entreprises utilisent GLPI/OCS afin de rationaliser leur ressources
Votre travail Vous devez réaliser une plate-forme de démonstration des possibilités de GLPI/OCS. Pour cela, vous aurez à gérer : Un exemple de stock de matériel informatique (PC, serveurs, équipement réseaux) Un exemple de stock de logiciels, licences, etc. Un exemple de stock de mobilier non connecté (voir l'utilisation de codes-barres) Du matériel connecté en réseau Dans ce cadre, vous devrez mettre en place un système d'inventaire, de gestion de ticket, de cartographie et de remontée/mise à jour automatique. Vous devrez également prévoir des scénarios de tests pertinents pour mettre en évidence les fonctionnalités que vous voulez montrer mais aussi leurs limites. Enfin, une documentation précise devra être délivrée. 5) Projet «Continuité de service» Tuteur:Nabil Ouassini Mon entreprise rencontre des problèmes de connexion, je me suis inscrit sur un forum pour demander de l aide. J ai eu beaucoup de solutions comme : Prendre deux abonnements internet Prendre un abonnement chez un fournisseur avec une garantie de stabilité de service ( qui me coutera cher).... Mon cahier des charges est d avoir un serveur DHCP, DNS, et avoir une assurance de continuité de service avec 2 abonnement internet chez deux fournisseurs d accès différents avec la mise en place d une redondance au niveau des routeurs avec des protocoles suivants HSRP, GLBP ou VRRP avec une surveillance de l adresse IP des deux fournisseurs d accès pour éviter toute déconnection ou latence du réseau. Votre mission est de mettre en place cette architecture, faire une comparaison entre les 3 protocoles et donner des explications sur votre choix. Pour les clients wifi mettre en place des certificats pour sécuriser le réseau. Si vous avez des suggestions ou un plus pour améliorer il ne faut pas hésiter. Matériel mise à disposition 1) 2 router cisco 2) 2 switch cisco 3) 2 borne WIFI 4) 4 UC 5) 1 router DLINK. 6) Projet «portail captif» Une entreprise accueille des partenaires extérieurs pour une formation ou autre et les administrateurs de cette même entreprise ont des ordinateurs portables et peuvent avoir besoin d'une connexion internet pour chercher des documents etc.... car ils n'ont pas tout le temps de prise réseau à portée ou de câble.
Création d'un portail captif (2SSID) inscription et authentification sur la page web du portail. Celle-ci se fera par le protocole RADIUS et le serveur RADIUS linux (PFsens). L'authentification sera faite avec soit TKIP ou AES avec TLS. Sur différents VLAN, 1 pour les personnes extérieures, un autre pour le personnel de l'entreprise. Les intervenants extérieurs ne doivent pas avoir accès aux ressources locales alors que le personnel oui. Grâce au protocole RADIUS implémenté le personnel de l'entreprise peut gérer leur commutateur aux autres à distance avec le mot de passe et login et non plus avec un login mot de passe pour chaque équipement. Matériels mis à votre disposition : - 2 Bornes WIFI - 2 unités centrales (claviers, écrans, souris..) - 2 cartes réseaux. - connexion internet - Un routeur Cisco - Un switch Cisco 7) Projet «sécurisation architecture réseau» Description Une entreprise souhaite sécuriser son réseau dont l architecture est décrite comme suit : - Un réseau local avec l adressage 1972.168.1.0/24 - Un accès WAN avec l @ IP de sortie 78.95.66.1 - Deux serveurs FTP et HTTP publics ayant des @ dans le réseau 10.1.1.0/24 (à placer dans une zone DMZ). Les clients dans le réseau local sont autorisés à naviguer sur le web (le protocole http est autorisé dans le sens LAN_ WAN) Parfois des clients distants doivent se connecter sur le réseau local pour faire des transactions sécurisées et ceci en utilisant une connexion à travers un VPN. L administrateur réseau doit accéder depuis la machine LAN vers la zone DMZ moyennant le protocole SSH. L authentification entre le serveur SSH et son client doit se faire avec des clés pas avec des mots de passe. Travail demandé 1. Reproduire l architecture de réseau en utilisant des machines virtuelles sous Linux. On vous demande de faire la connectique physique nécessaire ainsi que la configuration du routage pour tester la connectivité entre les trois zones (LAN, WAN et DMZ). Vérifier la création d un segment LAN différent pour chaque zone de la maquette. 2. Etablir la politique de filtrage à adopter pour contrôler l accès vers les différentes zones de cette maquette. 3. Rendre le serveur http en HTTPS. 4. Installer et configurer Pfsense comme firewall pour sécuriser l accès à travers les différentes zones. 5. Installer et configurer snort comme sonde IDS sur la machine LAN avec l interface graphique BASE. 6. Installer et configurer openvpn sur les deux machines LAN et WAN. Type du tunnel Ethernet tunnel Sous réseau du tunnel VPN 172.16.10.0/24 7. Installer et configurer openssh sur la machine DMZ et un client SSH sur la machine LAN et
configurer une authentification par clé. Matériels mis à disposition Un serveur Dell power edge 411 3 UC 1 switch Des cartes réseau Une borne wifi 8) Projet «automatisation de gestion de parc» Gérer l ensemble des matériels d une entreprise est une tâche nécessaire et indispensable à une entreprise puisqu une mauvaise gestion du parc peut entraîner une mauvaise maîtrise des coûts et un parc informatique mal dimensionné. Le service informatique est souvent confronté à plusieurs problèmes qui requièrent une vue globale et précise de leur parc informatique. Notamment l'installation de nouveaux logiciels ou simplement la mise a jour de ceux-ci nécessite de connaître la configuration matérielle de chaque ordinateur afin de savoir quel ordinateur est susceptible de recevoir la mise a jour ou l'installation. Le cahier des charges précis, nous impose qu on met en place un serveur répondant aux critères techniques suivant : Gestion de parc : Le serveur devra avoir la capacité de gérer le parc informatique dans son ensemble. En effet il devra avoir la possibilité d'effectuer la gestion du parc informatique au niveau machine serveur et clients (processeur, mémoire, disque dur, lecteur cd...), mais aussi au niveau des imprimantes, des switchs, des routeurs et des écrans. La gestion des logiciels et des licences devra aussi être prise en charge par le serveur. Automatisable : Le serveur devra être capable d'automatiser la récupération des informations nécessaires à la gestion du parc informatique. Helpdesk : Le serveur devra intégrer un module d'assistance utilisateur. Ce module devra permettre aux utilisateurs de poser leurs problèmes ou leurs demandes et de pouvoir effectuer un suivi par e-mails de la maintenance. Connexion avec serveur smtp* : Le suivi par e-mails étant une condition indispensable pour un bon suivi des interventions, l'utilisation d'une connexion avec un serveur mail devra être indispensable. Authentification : Le serveur devra permettre l'authentification des utilisateurs par le ldap (Active Directory* déjà implanté dans l entreprise)( vous avez le choix d utiliser celui de vos collègues) afin de simplifier l'utilisation du support helpdesk. Inventaire : Dans une optique d'évolution l'inventaire automatique devra pouvoir être effectué aussi bien sur des systèmes d'exploitation Windows que Linux. Matériels mis à disposition
un serveur Dell power edge 411 3 UC 1 switch Des cartes réseau 1routeur, Une borne wifi 9) Projet «authentification LDAP» Une nouvelle entreprise vient de voir le jour mais rencontre beaucoup de problèmes (question de moyen) L administrateur réseau a la charge de connecter le personnel de l entreprise pour qu ils aient accès à leurs données sur des espaces de stockage communs, personnels et un espace pour les profils itinérants utilisateurs. Le projet consiste à créer une architecture réseau avec authentification LDAP. Mise en place d un serveur de déploiement (vous avez le choix sur le serveur mis en place), un serveur DNS, un serveur DHCP sur les routeurs Cisco 2800 avec création de vlan et des sous interfaces pour chaque service, mise en place d un serveur NFS, Sachant que les employés de l entreprise une fois par semaine sont en déplacement, l idée est de mettre à leurs disposition un VPN sécurisé pour qu ils puissent se connecter sur leurs lecteurs respectifs. Le matériel mis à votre disposition est : - Un routeur Cisco 2800. - Un switch Cisco 2960. - Une borne wifi. - Un serveur dell 410. - Logiciel Proxmox. - Logiciel 2008 R2. 10) Projet «Infrastructure messagerie instantanée» Notre école a décidé de mettre en place un serveur de communication en temps réel qui fournit l'infrastructure nécessaire à l'utilisation de la messagerie instantanée, la présence, de la voix et de la visio-conférence sous le systéme d exploitation microsoft lync server 2013. Votre mission est de réaliser cette installation.