bts services informatiques aux organisations session 2020
TRANSCRIPT
Page 1 sur 19
BTS Services informatiques aux organisations Session 2020
E4 - Conception et maintenance de solutions informatiques Coefficient 4
DESCRIPTION D'UNE SITUATION PROFESSIONNELLE
Épreuve ponctuelle Contrôle en cours de formation
OPTION SISR OPTION SLAM
NOM et prénom du candidat : N° candidat : CASALTA Jean-Christophe
Contexte de la situation professionnelle La société Aéroport de Paris souhaite, dans un premier temps, sécuriser son réseau Intranet local entre ses trois sites à l’aide de tunnels chiffrés IPsec site-à-site puis, dans un second temps, donner le moyen à ses salariés de se connecter à distance afin d’accéder au réseau de l’entreprise dans le cadre du télétravail en mettant en place une authentification par certificats. Le réseau d’infrastructure ADP se compose de trois routeurs internes, trois serveurs DNS/DHCP sur chaque site, d’un routeur NAT en frontal avec l’extérieur (WAN), d’un serveur web et un serveur VPN tous deux situés dans une DMZ. L’ensemble de l’infrastructure sera virtualisé avec l’hyperviseur VirtualBox pourra faire tourner 12 VM montées sur Windows 2012R2. Intitulé de la situation professionnelle : mise en place d’une autorité de certification gérant l’authentification RADIUS et d’un système de connexions sécurisées inter-routeurs via la tunnelisation VPN IPsec site-à-site pour le chiffrement des transmissions intranets du réseau local d’ADP.
Période de réalisation : 1er semestre 2020 Lieu : A domicile
Modalité : Individuelle En équipe
Principale(s) activité(s) concernée (s)
Conditions de réalisation (ressources fournies, résultats attendus)
L’autorité de certification est installée sur le serveur du siège : serveur ADP. L’AC a la clef privée qui va auto-signer le certificat de l’AC. Le tunnel VPN se fait grâce au protocole SSTP plus sécurisé que PPTP. Les connexions sécurisées entre les routeurs des trois sites se font à l’aide de tunnels IPsec/L2TP et de la clef pré-partagée que chaque routeur doit avoir afin d’authentifier le routeur distant. Productions associées Élaboration d’un système de connexions à distance chiffrées avec des tunnels IPsec et des certificats d’authentifications.
Modalités d'accès aux productions
Modalités d'accès à la documentation des productions
Au verso de cette page, le candidat présente un descriptif détaillé de la situation professionnelle et des productions réalisées sous forme d'un rapport d'activité permettant notamment de mettre en évidence la démarche suivie et les méthodes retenues.
Page 2 sur 19
Description de la situation professionnelle
Nous utiliserons le système d’exploitation de type Windows 2012R2 pour le
routage, pour les serveurs DNS/DHCP et l’autorité de certification. La
commutation est gérée par VirtualBox en réseau interne. La sécurité IPsec, la
translation NAT et le serveur VPN seront configurer sur les machines
ROUTERNAT et SERVERVPN.
Sommaire
I. Le cahier des charges ......................................................................................................... 2
1.1 Expression des besoins ................................................................................................. 3
1.2 Analyse des choix ......................................................................................................... 4
II. Connexions VPN SSTP ....................................................................................................... 6
2.1 L’autorité de certification (AC) ...................................................................................... 7
2.1.1 Création de la clef privée ................................................................................... 8
2.1.2 Création du modèle de certificat ....................................................................... 9
2.1.3 Génération de la demande de certificat .......................................................... 10
2.1.4 Délivrance & exportation du certificat ............................................................. 11
2.2 Configuration du serveur VPN ..................................................................................... 12
III. Connexions chiffrées inter-routeurs .............................................................................. 13
3. Paramétrage des commutateurs ................................................................................... 14
3.1 Commutateur du site Orly ....................................................................................... 15
3.2 Commutateur du site CDG ....................................................................................... 16
3.3 Commutateur du site siège ...................................................................................... 17
IV. Conclusion ..................................................................................................................... 18
Page 3 sur 19
I. Cahier des charges
Programme de préparation de la situation professionnelle Et du parcours de professionnalisation
Etape Détail Echéance Etape Détail Echéance
1 Choix du thème de la situation professionnelle
21/4 1
Documents de stage
28/4
2
Identifier les compétences de base attendues pour le premier niveau de maîtrise Fixer les objectifs opérationnels du niveau de maîtrise de base
23/4
3 Recherche de ressource
23/4
4 Mise en œuvre de la situation professionnelle
4/5 2
Tableau des compétences par
activité
5/5 5 Bilan de cette première phase 7/5
6 Rédaction de la documentation 7/5
7
Identifier des pistes d’approfondissement de la situation professionnelle
7/5
8
Identifier les compétences attendues pour un niveau d’expert Fixer les objectifs opérationnels du niveau expert
7/5 3
Portefeuille de compétences
7/5
9 Mise en œuvre de la situation professionnelle
14/5 MATIN
10
Bilan de cette deuxième phase 14/5 MATIN
11 Rédaction de la documentation Remise du compte-rendu de la situation professionnelle
14/5 MATIN
12 Evaluation finale 14/5 18/5
4 Evaluation finale 11/5
Page 4 sur 19
1.1 Expression des besoins
Sécurité des échanges inter-routeurs (entre les intranets d’une organisation) à l’aide de
stratégie ipsec.
- Les échanges passent par le tunnel ipsec (stratégies ipsec) sans rupture de routage ;
- Visualiser les échanges ipsec ;
- Utiliser le moniteur IPSEC : ipsecmon ;
1.2 Analyses des choix Le but est de sécuriser les flux réseau entre les routeurs et de disposer des
avantages suivants :
• Avoir des échanges intranet sécurisés
• En cas d’interception des échanges intranet, les données sont chiffrées dans
le tunnel vpn ipsec
• Grace à la mise en d’une autorité de certification, la demande d’accès au
réseau de l’entreprise, depuis l’extérieur via le vpn, passe par une
authentification avec certificat.
Page 5 sur 19
Mise en œuvre Réalisation d’un projet IPsec et VPN SSTP
Topologie de l’infrastructure ADP :
Page 6 sur 19
II. Connexions VPN SSTP
Une autorité de certification permet de délivrer des certificats d’authentifications pour les
exporter sur des ordinateurs et/ou des utilisateurs appartenant au même domaine que l’AC
pour, par exemple, sécuriser un accès VPN, un accès FTP ou une connexion RDP avec un
serveur NPS.
Prérequis : dans le cadre d’une situation professionnelle, l’AC sera installé au niveau du
contrôleur de domaine (serveur du siège). L’autorité de certification d’entreprise sera liée à
l’Active Directory contrairement à une autorité de certification autonome.
1. Installation du rôle AD CS
Page 7 sur 19
2. Configuration de l’AC
Sélectionner Créer une clé privée et cliquer sur Suivant
Configurer le chiffrement de la clé puis cliquer sur Suivant
Configurer la période de validité et cliquer sur Suivant
Valider les informations et cliquer sur Configurer
Une fois la configuration terminée, cliquer sur Fermer pour quitter l’assistant
Page 8 sur 19
3. Création d’un modèle de certificat IPsec
Page 9 sur 19
Page 10 sur 19
4. Demande de certificat du serveur VPN
Page 11 sur 19
Page 12 sur 19
5. Configuration du routeur NAT (port 443 HTTPS pour SSTP)
Page 13 sur 19
III. Connexions chiffrées inter-routeurs
Page 14 sur 19
I. Configuration du routeur Orly
1. Après avoir cliqué sur « Ajouter des rôles et des fonctionnalités », une fenêtre d’assistance s’affiche.
Cliquons sur « Suivant ».
2. Pour créer un VPN, il faut sélectionner « Installation basée sur un rôle ou une fonctionnalité ». Cliquons
ensuite sur « Suivant ».
3. Sélectionner le serveur sur lequel on souhaite mettre en place le VPN.
4. Dans le cas d’un VPN, nous devons sélectionner Accès à Distance. Une fois coché, cliquer sur « Suivant
».
5. Sur cette page, nous n’avons rien à cocher. Cliquer sur « Suivant ».
6. Ici, l’assistant nous décrit à quoi sert un VPN et que faire pour le configurer. Cliquons sur « Suivant ».
7. Sélectionner ensuite les services du VPN. Cocher « DirectAccess et VPN ». Dans mon cas, la case «
Routage » était cochée car ce serveur fait aussi office de routeur.
8. Une fois cochée, l’assistant nous demande de valider notre choix. Cliquons simplement sur « Ajouter des
fonctionnalités » puis sur « Suivant » pour continuer l’installation.
9. Nous avons désormais inclus tous les services et toutes les options nécessaires à la création du VPN.
Cliquer à présent sur « Installer » pour créer le VPN dans le serveur.
10. Une fois l’installation terminée, cliquer sur « Fermer ».
Page 15 sur 19
11. Aller dans « Outils » et ouvrir la console « Routage et accès distant ».
12. Faire un clic-droit sur le serveur local puis sélectionner « Configurer et activer le routage et l’accès à
distance ».
13. Un assistant d’installation se met en marche. Nous allons donc suivre ses instructions et cliquer sur «
Suivant ».
14. Sélectionner « Configuration personnalisée » et cliquer sur « Suivant ».
15. Cocher « Accès VPN » puis « Connexions à la demande » et cliquer sur « Suivant » et cliquer sur «
Terminer ».
16. Faire un clic-droit sur le nom du serveur « ROUTERORLY » puis « Propriétés » et aller dans l’onglet «
Sécurité ».
Partie 1 : configuration de l’interface côté CdG
Page 16 sur 19
Page 17 sur 19
Page 18 sur 19
Page 19 sur 19
IV. Conclusion de l’infrastructure ADP
Il existe une multitude de solutions de sécurisation d’échanges de flux et de
connexion afin de protéger la confidentialité et l’intégrité des données. Il faut
savoir qu’en matière d’outils de protections de connexions à distances nous avons
fait appel à un réseau virtuel privé (VPN) qui consiste à créer un tunnel privé
sécurisé entre deux sites distants. Deux types de VPN se dispute le marché des
connexions sécurisées :
1. VPN IPSEC : réseau public (via Internet)
Le VPN (Virtual Private Network) IPSec (IP Security) est un réseau public
transitant par Internet. Il permet de communiquer entre plusieurs sites et
individus de manière cryptée et sécurisée et recommandé pour des flux
d’information peu sensible comme la messagerie.
2. VPN MPLS : Une infrastructure MPLS (MultiProtocol Label Switching) est un
réseau privé de bout en bout, qui ne transite pas sur Internet. Les risques
d’intrusions ou de failles de sécurité sont moins importants qu’avec un réseau
VPN IPSec. D’autre part, il n’y a pas de ralentissement lié à Internet.
Le choix de l'une ou l'autre solution s’est faite par rapport aux attentes du
référentiel du BTS SIO SISR, c’est la raison pour laquelle nous avons pris la
technologie VPN IPSEC afin de sécuriser les échanges inter-sites du réseau ADP.
Dans la topologie de notre réseau d’infrastructure Aéroport de Paris nous avons
configuré différents protocoles de sécurisation et de chiffrement.
Voici les possibilités de sécurités qu’offrent notre réseau ADP :
- Une solution d’accès distant sécurisée par VPN IPSEC entre chaque sites internes
(Siège, Orly et Charles De Gaulles)
- La possibilité d’un client nomade d’accéder au réseau ADP via SSTP (accès VPN
client avec un certificat d’authentification)
- NAT sur le routeur frontal afin de bloquer l’accès non autorisé au réseau interne
ADP depuis l’extérieur