Page 1 sur 19

BTS Services informatiques aux organisations Session 2020

E4 - Conception et maintenance de solutions informatiques Coefficient 4

DESCRIPTION D'UNE SITUATION PROFESSIONNELLE

Épreuve ponctuelle Contrôle en cours de formation

OPTION SISR OPTION SLAM

NOM et prénom du candidat : N° candidat : CASALTA Jean-Christophe

Contexte de la situation professionnelle La société Aéroport de Paris souhaite, dans un premier temps, sécuriser son réseau Intranet local entre ses trois sites à l’aide de tunnels chiffrés IPsec site-à-site puis, dans un second temps, donner le moyen à ses salariés de se connecter à distance afin d’accéder au réseau de l’entreprise dans le cadre du télétravail en mettant en place une authentification par certificats. Le réseau d’infrastructure ADP se compose de trois routeurs internes, trois serveurs DNS/DHCP sur chaque site, d’un routeur NAT en frontal avec l’extérieur (WAN), d’un serveur web et un serveur VPN tous deux situés dans une DMZ. L’ensemble de l’infrastructure sera virtualisé avec l’hyperviseur VirtualBox pourra faire tourner 12 VM montées sur Windows 2012R2. Intitulé de la situation professionnelle : mise en place d’une autorité de certification gérant l’authentification RADIUS et d’un système de connexions sécurisées inter-routeurs via la tunnelisation VPN IPsec site-à-site pour le chiffrement des transmissions intranets du réseau local d’ADP.

Période de réalisation : 1er semestre 2020 Lieu : A domicile

Modalité : Individuelle En équipe

Principale(s) activité(s) concernée (s)

Conditions de réalisation (ressources fournies, résultats attendus)

L’autorité de certification est installée sur le serveur du siège : serveur ADP. L’AC a la clef privée qui va auto-signer le certificat de l’AC. Le tunnel VPN se fait grâce au protocole SSTP plus sécurisé que PPTP. Les connexions sécurisées entre les routeurs des trois sites se font à l’aide de tunnels IPsec/L2TP et de la clef pré-partagée que chaque routeur doit avoir afin d’authentifier le routeur distant. Productions associées Élaboration d’un système de connexions à distance chiffrées avec des tunnels IPsec et des certificats d’authentifications.

Modalités d'accès aux productions

Modalités d'accès à la documentation des productions

Au verso de cette page, le candidat présente un descriptif détaillé de la situation professionnelle et des productions réalisées sous forme d'un rapport d'activité permettant notamment de mettre en évidence la démarche suivie et les méthodes retenues.

Page 2 sur 19

Description de la situation professionnelle

Nous utiliserons le système d’exploitation de type Windows 2012R2 pour le

routage, pour les serveurs DNS/DHCP et l’autorité de certification. La

commutation est gérée par VirtualBox en réseau interne. La sécurité IPsec, la

translation NAT et le serveur VPN seront configurer sur les machines

ROUTERNAT et SERVERVPN.

Sommaire

I. Le cahier des charges ......................................................................................................... 2

1.1 Expression des besoins ................................................................................................. 3

1.2 Analyse des choix ......................................................................................................... 4

II. Connexions VPN SSTP ....................................................................................................... 6

2.1 L’autorité de certification (AC) ...................................................................................... 7

2.1.1 Création de la clef privée ................................................................................... 8

2.1.2 Création du modèle de certificat ....................................................................... 9

2.1.3 Génération de la demande de certificat .......................................................... 10

2.1.4 Délivrance & exportation du certificat ............................................................. 11

2.2 Configuration du serveur VPN ..................................................................................... 12

III. Connexions chiffrées inter-routeurs .............................................................................. 13

3. Paramétrage des commutateurs ................................................................................... 14

3.1 Commutateur du site Orly ....................................................................................... 15

3.2 Commutateur du site CDG ....................................................................................... 16

3.3 Commutateur du site siège ...................................................................................... 17

IV. Conclusion ..................................................................................................................... 18

Page 3 sur 19

I. Cahier des charges

Programme de préparation de la situation professionnelle Et du parcours de professionnalisation

Etape Détail Echéance Etape Détail Echéance

1 Choix du thème de la situation professionnelle

21/4 1

Documents de stage

28/4

2

Identifier les compétences de base attendues pour le premier niveau de maîtrise Fixer les objectifs opérationnels du niveau de maîtrise de base

23/4

3 Recherche de ressource

23/4

4 Mise en œuvre de la situation professionnelle

4/5 2

Tableau des compétences par

activité

5/5 5 Bilan de cette première phase 7/5

6 Rédaction de la documentation 7/5

7

Identifier des pistes d’approfondissement de la situation professionnelle

7/5

8

Identifier les compétences attendues pour un niveau d’expert Fixer les objectifs opérationnels du niveau expert

7/5 3

Portefeuille de compétences

7/5

9 Mise en œuvre de la situation professionnelle

14/5 MATIN

10

Bilan de cette deuxième phase 14/5 MATIN

11 Rédaction de la documentation Remise du compte-rendu de la situation professionnelle

14/5 MATIN

12 Evaluation finale 14/5 18/5

4 Evaluation finale 11/5

Page 4 sur 19

1.1 Expression des besoins

Sécurité des échanges inter-routeurs (entre les intranets d’une organisation) à l’aide de

stratégie ipsec.

- Les échanges passent par le tunnel ipsec (stratégies ipsec) sans rupture de routage ;

- Visualiser les échanges ipsec ;

- Utiliser le moniteur IPSEC : ipsecmon ;

1.2 Analyses des choix Le but est de sécuriser les flux réseau entre les routeurs et de disposer des

avantages suivants :

• Avoir des échanges intranet sécurisés

• En cas d’interception des échanges intranet, les données sont chiffrées dans

le tunnel vpn ipsec

• Grace à la mise en d’une autorité de certification, la demande d’accès au

réseau de l’entreprise, depuis l’extérieur via le vpn, passe par une

authentification avec certificat.

Page 5 sur 19

Mise en œuvre Réalisation d’un projet IPsec et VPN SSTP

Topologie de l’infrastructure ADP :

Page 6 sur 19

II. Connexions VPN SSTP

Une autorité de certification permet de délivrer des certificats d’authentifications pour les

exporter sur des ordinateurs et/ou des utilisateurs appartenant au même domaine que l’AC

pour, par exemple, sécuriser un accès VPN, un accès FTP ou une connexion RDP avec un

serveur NPS.

Prérequis : dans le cadre d’une situation professionnelle, l’AC sera installé au niveau du

contrôleur de domaine (serveur du siège). L’autorité de certification d’entreprise sera liée à

l’Active Directory contrairement à une autorité de certification autonome.

1. Installation du rôle AD CS

Page 7 sur 19

2. Configuration de l’AC

Sélectionner Créer une clé privée et cliquer sur Suivant

Configurer le chiffrement de la clé puis cliquer sur Suivant

Configurer la période de validité et cliquer sur Suivant

Valider les informations et cliquer sur Configurer

Une fois la configuration terminée, cliquer sur Fermer pour quitter l’assistant

Page 8 sur 19

3. Création d’un modèle de certificat IPsec

Page 9 sur 19

Page 10 sur 19

4. Demande de certificat du serveur VPN

Page 11 sur 19

Page 12 sur 19

5. Configuration du routeur NAT (port 443 HTTPS pour SSTP)

Page 13 sur 19

III. Connexions chiffrées inter-routeurs

Page 14 sur 19

I. Configuration du routeur Orly

1. Après avoir cliqué sur « Ajouter des rôles et des fonctionnalités », une fenêtre d’assistance s’affiche.

Cliquons sur « Suivant ».

2. Pour créer un VPN, il faut sélectionner « Installation basée sur un rôle ou une fonctionnalité ». Cliquons

ensuite sur « Suivant ».

3. Sélectionner le serveur sur lequel on souhaite mettre en place le VPN.

4. Dans le cas d’un VPN, nous devons sélectionner Accès à Distance. Une fois coché, cliquer sur « Suivant

».

5. Sur cette page, nous n’avons rien à cocher. Cliquer sur « Suivant ».

6. Ici, l’assistant nous décrit à quoi sert un VPN et que faire pour le configurer. Cliquons sur « Suivant ».

7. Sélectionner ensuite les services du VPN. Cocher « DirectAccess et VPN ». Dans mon cas, la case «

Routage » était cochée car ce serveur fait aussi office de routeur.

8. Une fois cochée, l’assistant nous demande de valider notre choix. Cliquons simplement sur « Ajouter des

fonctionnalités » puis sur « Suivant » pour continuer l’installation.

9. Nous avons désormais inclus tous les services et toutes les options nécessaires à la création du VPN.

Cliquer à présent sur « Installer » pour créer le VPN dans le serveur.

10. Une fois l’installation terminée, cliquer sur « Fermer ».

Page 15 sur 19

11. Aller dans « Outils » et ouvrir la console « Routage et accès distant ».

12. Faire un clic-droit sur le serveur local puis sélectionner « Configurer et activer le routage et l’accès à

distance ».

13. Un assistant d’installation se met en marche. Nous allons donc suivre ses instructions et cliquer sur «

Suivant ».

14. Sélectionner « Configuration personnalisée » et cliquer sur « Suivant ».

15. Cocher « Accès VPN » puis « Connexions à la demande » et cliquer sur « Suivant » et cliquer sur «

Terminer ».

16. Faire un clic-droit sur le nom du serveur « ROUTERORLY » puis « Propriétés » et aller dans l’onglet «

Sécurité ».

Partie 1 : configuration de l’interface côté CdG

Page 16 sur 19

Page 17 sur 19

Page 18 sur 19

Page 19 sur 19

IV. Conclusion de l’infrastructure ADP

Il existe une multitude de solutions de sécurisation d’échanges de flux et de

connexion afin de protéger la confidentialité et l’intégrité des données. Il faut

savoir qu’en matière d’outils de protections de connexions à distances nous avons

fait appel à un réseau virtuel privé (VPN) qui consiste à créer un tunnel privé

sécurisé entre deux sites distants. Deux types de VPN se dispute le marché des

connexions sécurisées :

1. VPN IPSEC : réseau public (via Internet)

Le VPN (Virtual Private Network) IPSec (IP Security) est un réseau public

transitant par Internet. Il permet de communiquer entre plusieurs sites et

individus de manière cryptée et sécurisée et recommandé pour des flux

d’information peu sensible comme la messagerie.

2. VPN MPLS : Une infrastructure MPLS (MultiProtocol Label Switching) est un

réseau privé de bout en bout, qui ne transite pas sur Internet. Les risques

d’intrusions ou de failles de sécurité sont moins importants qu’avec un réseau

VPN IPSec. D’autre part, il n’y a pas de ralentissement lié à Internet.

Le choix de l'une ou l'autre solution s’est faite par rapport aux attentes du

référentiel du BTS SIO SISR, c’est la raison pour laquelle nous avons pris la

technologie VPN IPSEC afin de sécuriser les échanges inter-sites du réseau ADP.

Dans la topologie de notre réseau d’infrastructure Aéroport de Paris nous avons

configuré différents protocoles de sécurisation et de chiffrement.

Voici les possibilités de sécurités qu’offrent notre réseau ADP :

- Une solution d’accès distant sécurisée par VPN IPSEC entre chaque sites internes

(Siège, Orly et Charles De Gaulles)

- La possibilité d’un client nomade d’accéder au réseau ADP via SSTP (accès VPN

client avec un certificat d’authentification)

- NAT sur le routeur frontal afin de bloquer l’accès non autorisé au réseau interne

ADP depuis l’extérieur