BTS SIO option SISR

***
PPE 3-1
(Projet Professionnel Encadr)
Construit autour de La Maison Des Ligues (M2L)

DEPLOIEMENT DIMAGES SYSTEME ET DE LOGICIELS, MISE EN

PLACE DE SERVEUR DAPPLICATION
DMZ ET ADMINISTRATION RESEAU A DISTANCE SECURISEE ET
HAUTE DISPONIBILITE

***
Suivi par Mohammed KARROUM

Date de distribution : 21 septembre 2015

Date de remise : 20 novembre 2015

Important : toutes les questions doivent tre formules par crit (courriel) lattention de M KARROUM
(Systme) en mettant en copie les formateurs impliqus dans les PPE (Aicha Kannoui (EM), Didier
Pasquier (Droit) et Serge Riba (Rseau).

Ce document comporte 12 pages don la page de garde.

1/12

Rappel
La Maison des Ligues (La M2L), tablissement du Conseil Rgionalde Lorraine, est responsable de la gestion
du service des sports et en particulier des ligues sportives ainsi que dautres structures hberges. La M2L,
comme vous le constaterez dans linterview avec son responsable, doit fournir les infrastructures matrielles,
logistiques et des services lensemble des ligues sportives installes.
Pour assurer le dveloppement du systme ducatif sportif de la rgion Lorraine et des offres aux usagers, le
conseil rgional et la direction de la M2L ont dcid de dvelopper des services et des capacits dhbergement
pour les ligues sportives.
La M2L comprend plusieurs dpartements et son organisation lui permet de rpondre aux exigences de la rgion
pour assurer loffre de services et de support technique aux diffrentes ligues dj implantes (ou venir) dans
la rgion.

Se rfrer au document organisation de la M2L .

2/12

Administration systme (Mohammed Karroum)

Mission 1 : Dploiement dapplications MSI par stratgie de groupe
Cette mission consiste laborer des stratgies de groupes permettant de dployer des packages MSI sur les
ordinateurs clients dune ligue ou dun service de la M2L. Les logiciels gnralement utiliss au sein des ligues
et des services de la M2L sont : MS Outlook, MS Office, Acrobate Reader, anti-virus, Thunderbird, Open Office.
Dautres logiciels seront dploys sur le mme principe, tels que les agents OCS et NAGIOS permettant
respectivement de remonter les configurations et les alertes des ordinateurs et quipements rseau sur leurs
serveurs respectifs qui seront mis en place ultrieurement.
Les applications dployer seront centralises dans un dossier de distribution sur un serveur du
rseau.
Certains logiciels seront amens tre reconditionns (transformation de .exe en .MSI). Il vous appartient de
localiser un outil permettant dassurer cette transformation.

Mission 2 : Mise en place dun serveur de dploiement multi-images

Le parc informatique de la M2L commence se diversifier au niveau des systmes dexploitation
client. Si la plupart des machines sont quips du systme Windows 7, certaines ligues souhaitent
travailler sur Windows 8 voire Windows 10.
Confront cette htrognit des systmes et pour rpondre rapidement aux besoins de la M2L et
des ligues, ladministrateur est contraint de recourir aux systmes de dploiement adapts aux
exigences, lui permettant des images (Windows et Linux) rapidement et dassurer ainsi une meilleure
maintenance du parc informatique et une meilleure qualit du service.
Il vous demande dans un premier temps de mener une tude comparative sur les outils de
dploiement utiliss sur le march en dressant un tableau donnant leurs caractristiques
(environnement, configuration, fonctionnalits, payant/gratuit, etc.).
Cette tude lui permet de justifier ses choix de logiciels/outils de dploiement vis--vis de la direction,
mais au final il prconisera dimplmenter une solution base dune part sur la technologie Microsoft
WDS/MDT/WAIK et dautre part sur lOpen Source FOG.
La solution va permettre dune part dajouter des images, des logiciels, des pilotes et dautre part
dautomatiser au maximum les dploiements.
Les serveurs de dploiement seront hbergs dans le vlan informatique. Une VM TSE-WDS est
cre cet effet sur laquelle sera install le serveur WDS (adresse IP : 172.16.2.58/26).
Le serveur FOG sera install sur la VM Linux Debian (adresse IP : 172.16.2.60/26) et cohabitera avec
le serveur DHCP2.

3/12

 VM 2K8 TSE/WDS
- Rles :
WDS (Windows Deployment Service), serveur dimages systmes
- Configuration :
Nom de la machine : TSE-WDS
OS : Windows 2008 Server R2 64 bits
Nom domaine : m2l.fr
Adresse IP : 172.16.2.58/26
Login : Administrateur Mot de passe : Btssio2016

VM PROXY DHCP
- Nom de la machine : PROXY-DHCP
- OS : Debian 7 ou suprieure
- Rles :
DHCP 2 en redondance du 1er
Serveur dimages FOG
- Configurations :
Adresse IP : 172.16.2.60 /26
DNS : 172.16.2.61
Login : root
Mot de passe : Btssio2015

Mission 3 : Mise en place dun serveur dapplication

Certaines applications prsentent un cot exorbitant en les installant individuellement sur des postes
clients. Cest le cas par exemples des logiciels ERP. Ainsi, en les publiant sur un serveur
dapplication, ladministrateur rduit les cots de licences et dexploitation tout en assurant une
meilleure scurit du serveur.
Pour ces raisons administrateur envisage de mettre en place un serveur dapplication bas sur TSE
permettant aux utilisateurs daccder et dutiliser les applications qui y sont installes. Le serveur
dapplication, suffisamment redimensionn pour son rle, est hberg dans le VLAN informatique et
cohabitera avec le serveur WDS (172.16.2.58/26).
La solution offre plusieurs avantages : ct administration systme, cela rduit les cots
dexploitation, scurise le serveur et les applications, utiliser les PC clients en tant que clients lgers
ne ncessitant pas de performance accrue. Ct utilisateurs, ils peuvent accder partir du bureau
distance ou depuis un navigateur WEB, aux applications qui leurs ont t affectes.
En fonction des exigences, la solution peut tre enrichie par la mise en place dune ferme de
serveurs TSE pour assurer une haute disponibilit et la rpartition de charge / sessions.

VM 2K8 TSE/WDS
- Rles :
Serveurs dapplication TSE
- Configuration :
Nom de la machine : TSE-WDS
OS : Windows 2008 Server R2 64 bits
Nom domaine : m2l.fr
Adresse IP : 172.16.2.58/26
Login : Administrateur Mot de passe : Btssio2016
4/12

Administration rseau (Serge Riba)

Mission 1 : Mise en place dune DMZ

Prsentation
La Maison des Ligues (La M2L), association agre du Conseil Rgional de Lorraine, est responsable
de la gestion du service des sports et en particulier des ligues sportives ainsi que dautres structures
hberges. La M2L, comme vous le constaterez dans linterview avec son responsable, doit fournir
les infrastructures matrielles, logistiques et des services lensemble des ligues sportives installes.
Lassociation M2L possde plusieurs comptences et son organisation lui permet de rpondre aux
exigences de la rgion pour assurer loffre de services et de support technique aux diffrentes ligues
dj implantes (ou venir).

Dfinition de la prestation
La direction gnrale de la maison des ligues, se basant sur les recommandations de la commission
scurit de la rgion Lorraine en matire de scurit informatique, a dcid daligner son systme
dinformation sur ces exigences.
Pour cela, ladministrateur a dcid de refondre son rseau en introduisant tous les outils et
composants permettant dy renforcer la scurit. Ce projet concerne la scurisation de laccs au
service Internet, la scurisation de ladministration distance du rseau et la mise en place dun
service de haute disponibilit sur les nuds principaux du rseau.
Service daccs scuris Internet - DMZ :
Loffre de service permet aux utilisateurs de M2L et des ligues daccder en particulier Internet mais
permet aussi aux Internautes de consulter des informations prsentes dans les serveurs de
lassociation (site WEB, bases documentaires etc).
Il est donc ncessaire de renforcer la scurit des accs pour empcher de possibles intrusions ou
tentatives de fraude lors daccs aux serveurs des sites WEB des ligues et des tlchargements de
documents ou brochures diverses. Ces serveurs sont accessibles travers dune zone commune
scurise DMZ.
Un Pare Feu sera configur sur les interfaces connectes laccs Internet et la DMZ pour
rglementer et filtrer les communications.

Mission 2 : Service dadministration distance scurise

Pour pallier certaines failles de scurit relative ladministration distance des quipements
constituant le rseau, ladministrateur a dcid de refondre son outil dadministration distance en
utilisant un protocole scuris empchant ainsi de possibles prises de contrle sur les quipements
par des utilisateurs non autoriss. Ladministrateur dcide dutiliser lapplication SSH pour administrer
son rseau.

5/12

Mission 3 : Service de haute disponibilit

Lassociation, par lintermdiaire de son service technique, se doit dassurer une bonne qualit de
service sur son rseau vis--vis des utilisateurs. Ladministrateur demande son service technique
de dployer les solutions permettant de scuriser lcoulement du trafic mme en cas de panne
dune liaison dans la chane de communication.
Cette exigence sera ralise par limplantation de matriels et de liens redondants sur les nuds
stratgiques du rseau afin de pallier aux dfaillances possibles de ces lments.
Il vous est demand de prparer linstallation et la configuration des lments sur les nuds
suivants :
-

Le rseau de commutation des ligues comprendra les commutateurs daccs et le

commutateur de distribution qui seront relis en boucle permettant ainsi lintroduction de
chemins de secours. Les liaisons entre les commutateurs daccs et le commutateur de
distribution seront ralises en double attachement par agrgation de liens pour pallier
aux possibles ruptures de liaisons.

Laccs Internet haute disponibilit grce la redondance du routeur daccs FAI.

Deux abonnements Internet seront lous au FAI. Un abonnement qui portera tout le trafic
en fonctionnement normal, le deuxime assurera la continuit Internet en cas de panne
du premier.

Cahier des charges

Ce cahier des charges fait rfrence aux donnes du plan dadressage IP livres dans le PPE2. Pour
vos rponses vous utiliserez tous documents, ou autres sources Internet vous permettant daccder
aux informations utiles et en particulier les documents FTA 08 Commandes CLI Cisco et FT
scurit des donnes.
La scurisation des accs Internet sera rgit par un Pare Feu lintrieur duquel seront
configures des rgles de contrle daccs ACL en respectant les exigences dfinies dans le tableau
Annexe 1. Vous devez dfinir les scripts de configuration des rgles ACL implanter dans le routeur.
Le Pare Feu sera implment dans le routeur RM2L sur les interfaces appropries.
Ladministration distance sera ralise en utilisant le protocole scuris SSH qui permet, tout
comme le protocole Telnet daccder un quipement distance en utilisant le rseau.
Le rseau est intgr au domaine m2l.fr et les paramtres de connexion pour ladministration
distance Telnet et SSH sont dcris dans lannexe 2.
Les paramtres de lapplication de scurisation SSH pour ladministration distance sont dfinis dans
lAnnexe 2.
Les services de haute disponibilit sur les nuds du rseau concernent le rseau de commutation
des ligues, le service DHCP et la redondance du rseau daccs Internet. Les techniques qui seront
employes pour la ralisation de ces projets font appel aux documents de spcification technique
FTA 08 Commandes CLI Cisco et FT05 Commutation Ethernet ainsi que les documents officiels
sur le site des constructeurs.
Les liaisons en double attachement reliant les commutateurs daccs au commutateur de distribution
sont utilises pour transporter du trafic des ligues. Le spanning-tree doit tre configur pour privilgier
le trafic sur ces liaisons en phase oprationnelle (la liaison entre SW2LIG et SW3LIG est un secours
en cas de dfaillance des liaisons principales.

6/12

La continuit de service pour laccs Internet est ralise laide de 2 routeurs physiques vus
comme un seul routeur virtuel par le routeur M2L, ces 2 routeurs se relaient en cas de panne. Cette
fonction sera assure par le protocole VRRP ou HSRP chez Cisco.
HSRP permet un routeur de secours de prendre immdiatement le relais de faon transparente ds
quun problme physique apparat sur le routeur principal.
Si le routeur, que nous appellerons primaire, devient indisponible le routeur secondaire prendra sa
place automatiquement. Les paquets continueront de transiter de faon transparente car les 2
routeurs partagent une mme adresse de passerelle IP et MAC virtuelle.

Modalits de rponse
Dans cette prestation vous produirez pour les documents de dploiement des 3 missions ainsi que le
dossier de tests de validation. Les fichiers de configuration des quipements seront fournis en format
lectronique.
Vous raliserez une maquette mettant en uvre les diffrentes fonctionnalits conformment au
cahier des charges.
Les Annexes 3 et 4 prsentent le format des fiches de test intgrer au dossier.
Votre projet sera accompagn dune maquette qui permettra de prsenter et valider la faisabilit
technique de ce projet.

7/12

ANNEXE 1 Dfinition des rgles de scurit daccs Internet

Le Pare Feu doit raliser le filtrage des flux dinformation entre les divers rseaux (internes, externe et
DMZ) selon les contraintes dcrites ci-dessous :

Contrainte Interface*

Description
Les sous rseaux des ligues et M2L ont accs lInternet mais il
nest pas possible pour le public Internet daccder un des
quipements du rseau interne.
Les serveurs de tlchargement (FTP) et WEB Extranet (HTTP) de
la DMZ sont accessibles la fois par les sous rseaux des ligues et
par le public Internet.
Les sous rseaux de lassociation M2L ne doivent pas accder au
serveur de tlchargement FTP de la DMZ sauf le sous rseau
Informatique.
Seuls les 7 postes du sous rseau Informatique M2L possdant les 7
adresses les plus hautes (dont les 2 postes de ladministrateur
rseau) peuvent effectuer les commandes de test ping et tracert vers
tous les lments du rseau des ligues et vers lInternet.

* Vous dsignerez linterface sur laquelle ou lesquelles vous placerez le ou les Pare Feu en
donnant son libell. Prcisez quelle adresse IP se rfre la ou les interfaces choisies. Les
interfaces seront dsignes en suivant le schma ci-dessous :

8/12

Un routeur peut grer plusieurs Pare Feux simultanment lorsque ceux-ci sont placs sur
une ou plusieurs de ses interfaces. Un Pare Feu peut assurer le filtrage du trafic en entre
et/ou en sortie sur une interface et ceci de faon indpendante.
Le filtrage en entre (IN) permet au routeur de refuser ou daccepter des paquets ds leur
entre sur linterface du routeur. Le filtrage en sortie contrle les paquets avant leur envoi sur
linterface.
Un Pare Feu sur un quipement Cisco est aussi appel Access-List (ACL). Les ACL sont des
lignes de script qui dsignent les rgles autorisant ou non le passage des paquets.
La cration et linstallation des rgles de filtrage dans un routeur filtrant ou Pare Feu
seffectuent en deux phases :
Syntaxe dune ACL :
Rx(config)#access-list NID Action Protocole @IPsrc mask @IPdest mask paramtre
NID :
Action :
Protocole :
@IPsrc Mask:

@IPdest Mask:

Paramtre :

100 299 si ACL tendue

permit, deny ou remark
IP, ICMP, TCP ou UDP
adresse IP de poste ou liste dadresse IP do provient le paquet
Si adresse IP de poste, pas de masque et le champ est prcd du
paramtre host
Si liste dadresse IP on donne ladresse de rseau et on ajoute le
masque qui dfinit la liste des adresses IP
adresse IP de poste ou liste dadresse IP vers qui est destin le paquet
Si adresse IP de poste, pas de masque et le champ est prcd du
paramtre host
Si liste dadresse IP on donne ladresse de rseau et on ajoute le
masque qui dfinit la liste des adresses IP
Prend les valeurs suivantes :
eq (gal) + le protocole application (Ftp, http, SMTP, DHCP)
ou established si le protocole est TCP
ou echo-reply et/ou unreachable si le protocole est ICMP

On applique ensuite lACL sur une interface du routeur :

Rx(config)#int fa x/y
Rx(config-if)#ip access-group ID out ou in
A ce moment, le routeur commence le filtrage des paquets.

9/12

ANNEXE 2 Paramtres de lapplication SSH

Ladministration distance utilise lapplication SSH en lieu et place de Telnet qui prsente
des failles de scurit en particulier une transmission des paquets sans cryptage vers les
quipements.
Les paramtres permettant le fonctionnement du protocole SSH vis--vis des quipements
de rseau sont dfinis ci-dessous :
-

Application SSH

Version 2

Taille cl : 1024

Dlai de renouvellement des cls (Time out) = 60 sec

Nombre de tentatives en cas dchec = 2

Login : admin - Mot de passe : Btssio2016

10/12

ANNEXE 3 - Fiches de test

Nom du Test :
No
test

Type
scnario

Environnement

Description du test

Rsultats attendus

Description technique

Rsultats obtenus

11/12

Date

ANNEXE 4 - Exemple de fiche de test

Nom du Test : HSRP01
No
test
01

Type
scnario
HSRP

Description du
test

Environnement

Date

jj/mm/2014
Les 2 abonnements FAI sont simuls par un routeur qui
me
fournit 2 liaisons vers les 2 routeurs HSRP. Une 3
liaison
est cre sur le routeur pour simuler lInternet.

Les routeurs HSRP sont relis chacun une interface du routeur du FAI
(Fa0/1 pour la liaison principale et Eth 1/0 pour la liaison de secours).
On effectue un ping continu sur linterface du routeur FAI qui simule
lInternet (Fa0/0). Affichage du Ping sur la console CMD de Windows.
On dconnecte le cble de la liaison principale.

Rsultats attendus :
Le Ping donne une rponse correcte tant que la liaison principale est bien raccorde au
routeur FAI.
Lorsque le cble est dconnect, le Ping ne rpond plus (dlai de la demande dpass) puis
au bout dun dlai de quelques secondes, le Ping affiche lcran une rponse correcte.

Description technique :
Placez ici soit un schma de description des lments tests et/ou un commentaire de la
configuration en test. Cette description doit tre claire et prcise pour permettre une bonne
analyse et un bon diagnostic du test.

Rsultat obtenu :
Indiquez ici le rsultat et expliquez si ce rsultat est diffrent du rsultat attendu.

12/12