Upload
others
View
11
Download
0
Embed Size (px)
Citation preview
BTS SIO / SISR PPE2 – RDPL-GPI – ETAPE 3 – PROTOTYPAGE DD/RS/PC LMD - LYON
CONTEXTE PPE2 SISR RDPL-GPI
MISSION 8
Infrastructure réseau – Prototypage
Phase 8 – Prototypage d’une infrastructure inter-sites sécurisée pour des lycées
La direction de RDPL GPI veut maintenant travailler sur la 3ème étape : Etude et prototypage d’une infrastructure réseau sécurisée et modulaire.
Elle veut mettre en place pour tous ses clients la même infrastructure-type. Parmi ces clients, il y a de nombreux lycées. Vous êtes chargés de prototyper l’installation et la configuration d’une infrastructure réseau chez un client de type lycée, par équipe de 4 ou 5 étudiants.
Présentation du contexte
Le schéma ci-dessous détaille l’infrastructure d’un client et de RDLP-GPI. Le LAN « CLASSIC » joue le rôle de réseau d’accès Internet.
Pla
tefo
rme
Eq
uip
e 1
Réseau SIO LA MARTINIERE
Plateforme simulant RDPL-GPI
INTERNETINTERNET
IPFIREIPFIRE
LAN groupe 1LAN groupe 1
DMZ groupe 1DMZ groupe 1
ServeurHTTP
ServeurHTTP
FreeBoxFreeBox
PFSENSEPFSENSE82.233.39.155
Réseau pédagogique 192.168.224.0 /21
192.168.224.253LAN CLASSICLAN CLASSIC
172.30.11.0/24
172.30.12.0/24
.1
.1.80
.200
IPFIREIPFIRE
LAN RDPLGPILAN RDPLGPI
DMZ RDPL-GPIDMZ RDPL-GPI
ServeurHTTP
ServeurHTTP
172.30.101.0/24
.1
.1.80
.200
192.168.228.10 /21
192.168.228.1
Redirections ports :
21080 => 192.168.228.1:21080
21180 => 192.168.228.1:21180
21389 => 192.168.228.1:21389
22080 => 192.168.228.2:22080
22180 => 192.168.228.2:22180
22389 => 192.168.228.2:22339
23080 => 192.168.228.3:23080
23180 => 192.168.228.3:22180
23389 => 192.168.228.3:23389
20080 => 192.168.228.10:20080
Redirections :
Port 21080 => 172.30.12.80:80 (XAMPP)
Port 21180 => 172.30.12.180:80 (OCS)
Port 21389 => 172.30.11.10:3389 (Bureau Dist)
J’ai omis l’utilisation de proxy labo qui
est transparente.
L’adresse que l’on donne aux
étudiants et 224.253 (activée ou pas)
mais l’adresse réelle est 224.3.
.180
Redirections :
Port 20080 => 172.30.102.80:80
.10
.10
Côté LAMARTINavec
Plateforme RDPL-GPI
.11 .12
.13 .15
172.30.102.0/24
Une plateforme simulant RDGPL-GPO pourrait permettre aux étudiants de tester :- « en interne » l’accès à l’interface pseudo-publique de leur pare-feu.Exemple : http://192.168.228:21080
ou bureau distant sur 192.168.228.1:21389
- « en externe » l’accès aux maquettes de l’autre site en sortant réellement sur internet.Exemple : http://80.15.82.28:31080ou bureau distant sur 80.15.82.28:31389
Une machine par groupe pourrait être disponible sur cette plateforme pour tester le bureau distant et l’accès HTTP.
.14
Cette mission se déroulera en 3 étapes :
1. Mise en place et validation d’un prototype d’architecture client par chaque équipe localement
2. Validation de la maquette avec d’autres sites clients, situés en dehors de Lyon (étudiants de BOURG en
BRESSE)
3. Utilisation de la maquette pour simuler des interventions à distance chez les clients.
BTS SIO / SISR PPE2 – RDPL-GPI – ETAPE 3 – PROTOTYPAGE DD/RS/PC LMD - LYON
Première étape – Cahier des charges
Présentation de l’architecture générale
Comme on peut le constater dans le schéma ci-dessous, l’infrastructure de chaque client est architecturée autour
d’un routeur-Firewall qui sépare les 3 parties réseau : le LAN, la DMZ, et l’INTERNET.
Chaque partie correspond à un niveau de sécurité différent.
P
late
form
e E
qu
ipe
1
IPFIREIPFIRE
LAN groupe 1LAN groupe 1
DMZ groupe 1DMZ groupe 1
ServeurHTTP
ServeurHTTP
172.30.11.0/24
172.30.12.0/24
.1
.1.80
.200
192.168.228.1.180
.10
Le choix de RDPL-GPI s’est porté sur le firewall IPFIRE, installé sur une machine dotée de 3 cartes.
Les principales règles sont les suivantes :
Le LAN a accès à Internet, mais aucune communication ne peut être initiée depuis l’internet sur le LAN.
Le LAN a accès aux services présents dans la DMZ
Certains services présents dans la DMZ doivent être accessibles depuis Internet. C’est le cas notamment :
o Du serveur HTTP du client
o Du serveur OCS du client
RDPL-GPI envisage d’avoir également des accès privilégiés au réseau du client.
Plan d’adressage
Vous devez respecter le plan d’adressage figurant sur le schéma, en fonction de groupe. L’annexe A montre le
plan d’adressage pour les 3 premiers groupes
Chaque groupe disposera de deux machines virtuelles sur le LAN et de deux serveurs dans la DMZ : un serveur
HTTP standard (type XAMP) et un serveur OCS (sous Windows ou Linux).
Remarque : Les adresses sont toutes des adresses privées. Mais sur la « patte » internet la raison de cet adressage
privé est uniquement le partage de la connexion réelle par toutes les équipes.
Redirection
Pour que les serveurs soient accessibles depuis l’internet (réel ou fictif) il faut mettre en place des règles de
redirection sur le pare-feu. Pour des raisons organisationnelles/techniques, ces ports sont différents d’une équipe
à l’autre.
BTS SIO / SISR PPE2 – RDPL-GPI – ETAPE 3 – PROTOTYPAGE DD/RS/PC LMD - LYON
Mise en œuvre pratique
Chaque groupe dispose d’un switch CISCO et d’une machine physique, comportant 3 cartes réseau, et dotée du
système d’exploitation Windows Seven et VMWARE workstation.
IPFIRE sera installé sur une machine virtuelle, dont les cartes (virtuelles) seront bridgées sur les cartes réelles. Une
documentation vous est fournie pour configurer VMWARE de manière à permettre l’utilisation de plusieurs cartes
physique en « bridgé ».
Physiquement les 3 cartes physiques seront connectées de la manière suivante :
La « patte » LAN sera connectée sur la 1ère carte de la machine (carte réseau interne)
La « patte » Internet sera bridgée sur la 2ème carte de la machine physique (carte Intel)
La « patte » DMZ sera connectée sur la 3ème carte de la machine physique (carte D-LINK)
Pour des raisons pratiques, nous utiliserons un seul SWITCH par groupe, avec 6 ports dans un VLAN « LAN » et 6
ports dans le « DMZ ». Le Routeur IpFire sera donc branché en « vert » sur le 1er VLAN et en « Orange » sur le 2ème
VLAN.
Les ports 1 à 6 du commutateur seront affectés au VLAN 10X et les ports 7 à 12 seront affectés au VLAN 20X. Les
autres ports éventuels resteront dans le VLAN par défaut.
Résultats attendus
Par équipe, un compte-rendu de l’installation est attendu par équipe, dans lequel figurera notamment :
- Un schéma réseau spécifique à l’équipe (Les adresses IP y figureront)
- Un compte-rendu d’installation (simplement les étapes personnalisées) et de configuration d’IPFIRE
- La configuration du commutateur.
- Un rapport de test démontrant qu’on peut accéder à Internet depuis le LAN et qu’on peut accéder au
service présent dans la DMZ à partir d’Internet.
Des postes simulant un accès depuis le réseau RDPL-GPI seront mis à votre disposition par les professeurs et vous
permettront de simuler l’accès depuis l’Internet (fictif).
BTS SIO / SISR PPE2 – RDPL-GPI – ETAPE 3 – PROTOTYPAGE DD/RS/PC LMD - LYON
ANNEXE A – SCHEMA INTER-SITES GLOBAL (Principe pour 3 groupes)
ANNEXE B – SCHEMA « côté » BOURG (Principe pour 3 groupes)
BTS SIO / SISR PPE2 – RDPL-GPI – ETAPE 3 – PROTOTYPAGE DD/RS/PC LMD - LYON
ANNEXE C – PLAN D’ADRESSAGE PAR GROUPE
Pla
tefo
rme
Eq
uip
e 1
Réseau SIO LA MARTINIERE
Pla
tefo
rme
Eq
uip
e 2
Pla
tefo
rme
Eq
uip
e 3
INTERNET
IPFIRE
LAN groupe 1
DMZ groupe 1
ServeurHTTP
FreeBox
PFSENSE82.233.39.155
Réseau pédagogique 192.168.224.0 /21
192.168.224.253LAN CLASSIC
172.30.11.0/24
172.30.12.0/24
.1
.1.80
.200
IPFIRE
LAN groupe 2
DMZ groupe 2
ServeurHTTP
172.30.21.0/24
172.30.22.0/24
.1
.1.80
.200
IPFIRE
LAN groupe3
DMZ groupe 3
ServeurHTTP
172.30.31.0/24
.1
.1.80
.200
192.168.228.2
192.168.228.3
192.168.228.1
Redirections ports :
21080 => 192.168.228.1:21080
21180 => 192.168.228.1:21180
21389 => 192.168.228.1:21389
22080 => 192.168.228.2:22080
22180 => 192.168.228.2:22180
22389 => 192.168.228.2:22339
23080 => 192.168.228.3:23080
23180 => 192.168.228.3:22180
23389 => 192.168.228.3:23389
Redirections :
Port 21080 => 172.30.12.80:80 (XAMPP)
Port 21180 => 172.30.12.180:80 (OCS)
Port 21389 => 172.30.11.10:3389 (Bureau Dist)
Redirections :
Port 22080 => 172.30.22.80:80
Port 22180 => 172.30.22.180:80
Port 22389 => 172.30.21.10:3389 J’ai omis l’utilisation de proxy labo qui
est transparente.
L’adresse que l’on donne aux
étudiants et 224.253 (activée ou pas)
mais l’adresse réelle est 224.3.
.180
Redirections :
Port 23080 => 172.30.32.80:80
Port 23180 => 172.30.32.180:80
Port 23389 => 172.30.31.10:3389
.180
172.30.32.0/24
.180
.10
.10
.10
Côté LAMARTIN
ANNEXE C – CONSTITUTION DES EQUIPES
Equipe 1 Equipe 2 Equipe 3 Equipe 4 Equipe 5 Equipe 6
- ABDALLAH - MARTIN - PAGANO - RUIZ
- ANDRIAMANONGA - MAHIEU - NGUYEN - ZAKKOUR
- BAUDIN - MADRU - MEMIC - YAHI
- BEJOINT - MAMBOU - PICAZO - ZAOUGUI
- CHABBIA - GROTZINGER - ROCHE
- TORGUE
- COURY - FRANCON - ROSETTI - TASER