BTS SIO / SISR PPE2 – RDPL-GPI – ETAPE 3 – PROTOTYPAGE DD/RS/PC LMD - LYON

CONTEXTE PPE2 SISR RDPL-GPI

MISSION 8

Infrastructure réseau – Prototypage

Phase 8 – Prototypage d’une infrastructure inter-sites sécurisée pour des lycées

La direction de RDPL GPI veut maintenant travailler sur la 3ème étape : Etude et prototypage d’une infrastructure réseau sécurisée et modulaire.

Elle veut mettre en place pour tous ses clients la même infrastructure-type. Parmi ces clients, il y a de nombreux lycées. Vous êtes chargés de prototyper l’installation et la configuration d’une infrastructure réseau chez un client de type lycée, par équipe de 4 ou 5 étudiants.

Présentation du contexte

Le schéma ci-dessous détaille l’infrastructure d’un client et de RDLP-GPI. Le LAN « CLASSIC » joue le rôle de réseau d’accès Internet.

Pla

tefo

rme

Eq

uip

e 1

Réseau SIO LA MARTINIERE

Plateforme simulant RDPL-GPI

INTERNETINTERNET

IPFIREIPFIRE

LAN groupe 1LAN groupe 1

DMZ groupe 1DMZ groupe 1

ServeurHTTP

ServeurHTTP

FreeBoxFreeBox

PFSENSEPFSENSE82.233.39.155

Réseau pédagogique 192.168.224.0 /21

192.168.224.253LAN CLASSICLAN CLASSIC

172.30.11.0/24

172.30.12.0/24

.1

.1.80

.200

IPFIREIPFIRE

LAN RDPLGPILAN RDPLGPI

DMZ RDPL-GPIDMZ RDPL-GPI

ServeurHTTP

ServeurHTTP

172.30.101.0/24

.1

.1.80

.200

192.168.228.10 /21

192.168.228.1

Redirections ports :

21080 => 192.168.228.1:21080

21180 => 192.168.228.1:21180

21389 => 192.168.228.1:21389

22080 => 192.168.228.2:22080

22180 => 192.168.228.2:22180

22389 => 192.168.228.2:22339

23080 => 192.168.228.3:23080

23180 => 192.168.228.3:22180

23389 => 192.168.228.3:23389

20080 => 192.168.228.10:20080

Redirections :

Port 21080 => 172.30.12.80:80 (XAMPP)

Port 21180 => 172.30.12.180:80 (OCS)

Port 21389 => 172.30.11.10:3389 (Bureau Dist)

J’ai omis l’utilisation de proxy labo qui

est transparente.

L’adresse que l’on donne aux

étudiants et 224.253 (activée ou pas)

mais l’adresse réelle est 224.3.

.180

Redirections :

Port 20080 => 172.30.102.80:80

.10

.10

Côté LAMARTINavec

Plateforme RDPL-GPI

.11 .12

.13 .15

172.30.102.0/24

Une plateforme simulant RDGPL-GPO pourrait permettre aux étudiants de tester :- « en interne » l’accès à l’interface pseudo-publique de leur pare-feu.Exemple : http://192.168.228:21080

ou bureau distant sur 192.168.228.1:21389

- « en externe » l’accès aux maquettes de l’autre site en sortant réellement sur internet.Exemple : http://80.15.82.28:31080ou bureau distant sur 80.15.82.28:31389

Une machine par groupe pourrait être disponible sur cette plateforme pour tester le bureau distant et l’accès HTTP.

.14

Cette mission se déroulera en 3 étapes :

1. Mise en place et validation d’un prototype d’architecture client par chaque équipe localement

2. Validation de la maquette avec d’autres sites clients, situés en dehors de Lyon (étudiants de BOURG en

BRESSE)

3. Utilisation de la maquette pour simuler des interventions à distance chez les clients.

BTS SIO / SISR PPE2 – RDPL-GPI – ETAPE 3 – PROTOTYPAGE DD/RS/PC LMD - LYON

Première étape – Cahier des charges

Présentation de l’architecture générale

Comme on peut le constater dans le schéma ci-dessous, l’infrastructure de chaque client est architecturée autour

d’un routeur-Firewall qui sépare les 3 parties réseau : le LAN, la DMZ, et l’INTERNET.

Chaque partie correspond à un niveau de sécurité différent.

P

late

form

e E

qu

ipe

1

IPFIREIPFIRE

LAN groupe 1LAN groupe 1

DMZ groupe 1DMZ groupe 1

ServeurHTTP

ServeurHTTP

172.30.11.0/24

172.30.12.0/24

.1

.1.80

.200

192.168.228.1.180

.10

Le choix de RDPL-GPI s’est porté sur le firewall IPFIRE, installé sur une machine dotée de 3 cartes.

Les principales règles sont les suivantes :

Le LAN a accès à Internet, mais aucune communication ne peut être initiée depuis l’internet sur le LAN.

Le LAN a accès aux services présents dans la DMZ

Certains services présents dans la DMZ doivent être accessibles depuis Internet. C’est le cas notamment :

o Du serveur HTTP du client

o Du serveur OCS du client

RDPL-GPI envisage d’avoir également des accès privilégiés au réseau du client.

Plan d’adressage

Vous devez respecter le plan d’adressage figurant sur le schéma, en fonction de groupe. L’annexe A montre le

plan d’adressage pour les 3 premiers groupes

Chaque groupe disposera de deux machines virtuelles sur le LAN et de deux serveurs dans la DMZ : un serveur

HTTP standard (type XAMP) et un serveur OCS (sous Windows ou Linux).

Remarque : Les adresses sont toutes des adresses privées. Mais sur la « patte » internet la raison de cet adressage

privé est uniquement le partage de la connexion réelle par toutes les équipes.

Redirection

Pour que les serveurs soient accessibles depuis l’internet (réel ou fictif) il faut mettre en place des règles de

redirection sur le pare-feu. Pour des raisons organisationnelles/techniques, ces ports sont différents d’une équipe

à l’autre.

BTS SIO / SISR PPE2 – RDPL-GPI – ETAPE 3 – PROTOTYPAGE DD/RS/PC LMD - LYON

Mise en œuvre pratique

Chaque groupe dispose d’un switch CISCO et d’une machine physique, comportant 3 cartes réseau, et dotée du

système d’exploitation Windows Seven et VMWARE workstation.

IPFIRE sera installé sur une machine virtuelle, dont les cartes (virtuelles) seront bridgées sur les cartes réelles. Une

documentation vous est fournie pour configurer VMWARE de manière à permettre l’utilisation de plusieurs cartes

physique en « bridgé ».

Physiquement les 3 cartes physiques seront connectées de la manière suivante :

La « patte » LAN sera connectée sur la 1ère carte de la machine (carte réseau interne)

La « patte » Internet sera bridgée sur la 2ème carte de la machine physique (carte Intel)

La « patte » DMZ sera connectée sur la 3ème carte de la machine physique (carte D-LINK)

Pour des raisons pratiques, nous utiliserons un seul SWITCH par groupe, avec 6 ports dans un VLAN « LAN » et 6

ports dans le « DMZ ». Le Routeur IpFire sera donc branché en « vert » sur le 1er VLAN et en « Orange » sur le 2ème

VLAN.

Les ports 1 à 6 du commutateur seront affectés au VLAN 10X et les ports 7 à 12 seront affectés au VLAN 20X. Les

autres ports éventuels resteront dans le VLAN par défaut.

Résultats attendus

Par équipe, un compte-rendu de l’installation est attendu par équipe, dans lequel figurera notamment :

- Un schéma réseau spécifique à l’équipe (Les adresses IP y figureront)

- Un compte-rendu d’installation (simplement les étapes personnalisées) et de configuration d’IPFIRE

- La configuration du commutateur.

- Un rapport de test démontrant qu’on peut accéder à Internet depuis le LAN et qu’on peut accéder au

service présent dans la DMZ à partir d’Internet.

Des postes simulant un accès depuis le réseau RDPL-GPI seront mis à votre disposition par les professeurs et vous

permettront de simuler l’accès depuis l’Internet (fictif).

BTS SIO / SISR PPE2 – RDPL-GPI – ETAPE 3 – PROTOTYPAGE DD/RS/PC LMD - LYON

ANNEXE A – SCHEMA INTER-SITES GLOBAL (Principe pour 3 groupes)

ANNEXE B – SCHEMA « côté » BOURG (Principe pour 3 groupes)

BTS SIO / SISR PPE2 – RDPL-GPI – ETAPE 3 – PROTOTYPAGE DD/RS/PC LMD - LYON

ANNEXE C – PLAN D’ADRESSAGE PAR GROUPE

Pla

tefo

rme

Eq

uip

e 1

Réseau SIO LA MARTINIERE

Pla

tefo

rme

Eq

uip

e 2

Pla

tefo

rme

Eq

uip

e 3

INTERNET

IPFIRE

LAN groupe 1

DMZ groupe 1

ServeurHTTP

FreeBox

PFSENSE82.233.39.155

Réseau pédagogique 192.168.224.0 /21

192.168.224.253LAN CLASSIC

172.30.11.0/24

172.30.12.0/24

.1

.1.80

.200

IPFIRE

LAN groupe 2

DMZ groupe 2

ServeurHTTP

172.30.21.0/24

172.30.22.0/24

.1

.1.80

.200

IPFIRE

LAN groupe3

DMZ groupe 3

ServeurHTTP

172.30.31.0/24

.1

.1.80

.200

192.168.228.2

192.168.228.3

192.168.228.1

Redirections ports :

21080 => 192.168.228.1:21080

21180 => 192.168.228.1:21180

21389 => 192.168.228.1:21389

22080 => 192.168.228.2:22080

22180 => 192.168.228.2:22180

22389 => 192.168.228.2:22339

23080 => 192.168.228.3:23080

23180 => 192.168.228.3:22180

23389 => 192.168.228.3:23389

Redirections :

Port 21080 => 172.30.12.80:80 (XAMPP)

Port 21180 => 172.30.12.180:80 (OCS)

Port 21389 => 172.30.11.10:3389 (Bureau Dist)

Redirections :

Port 22080 => 172.30.22.80:80

Port 22180 => 172.30.22.180:80

Port 22389 => 172.30.21.10:3389 J’ai omis l’utilisation de proxy labo qui

est transparente.

L’adresse que l’on donne aux

étudiants et 224.253 (activée ou pas)

mais l’adresse réelle est 224.3.

.180

Redirections :

Port 23080 => 172.30.32.80:80

Port 23180 => 172.30.32.180:80

Port 23389 => 172.30.31.10:3389

.180

172.30.32.0/24

.180

.10

.10

.10

Côté LAMARTIN

ANNEXE C – CONSTITUTION DES EQUIPES

Equipe 1 Equipe 2 Equipe 3 Equipe 4 Equipe 5 Equipe 6

- ABDALLAH - MARTIN - PAGANO - RUIZ

- ANDRIAMANONGA - MAHIEU - NGUYEN - ZAKKOUR

- BAUDIN - MADRU - MEMIC - YAHI

- BEJOINT - MAMBOU - PICAZO - ZAOUGUI

- CHABBIA - GROTZINGER - ROCHE

- TORGUE

- COURY - FRANCON - ROSETTI - TASER