RAPPORT DE STAGE :

Initiation à l’administration
systèmes et réseaux

RANDRIAMBOLOLONA Mamindraibe Floret Josilde,

28 novembre 2022 au 28 février 2023

1
 Chapitre 3 : ANALYSE ET CONCEPTION

3.1. Le réseau actuel

L’ADES dispose actuellement d’un complexe réseau qui se propage dans tous
Madagascar. En générale chaque site de direction, de production ou de vente dispose
d’un réseau local composé de serveur de données (NAS), d’un routeur firewall (Kerio
Control) et des appareil locaux (laptop , desktop , imprimante, point d’accès… )
Chaque site est relié aux serveurs principaux qui se trouvent à la direction
nationale par VPN.
En ce qui concerne l’arborescence réseau du DN, voici un schéma qui illustre la
situation actuelle d’une façon générale, plus de détail seront fournie dans l’annexe.

2
 Figure 1 : Architecture réseau de la direction nationale de l’ADES
3.2. Description de la solution proposée
L’idée est d’ajouter un niveau de sécurité supplémentaire. Kerio Control
prévient déjà les dégâts venant de l’extérieur. On va donc mettre en place pfSense
comme étant une passerelle sur laquelle les visiteurs seront trier et rediriger
directement vers internet. En gros tous les appareils de l’ADES seront logiquement
placées dans une sorte de DMZ entre les visiteurs et internet.

Pour une brève présentation du firewall, voici un petit tableau qui résume les
avantages et les inconvénients de pfSense.

Points forts Point faibles

 Gratuit et open source - Stabilité
 Facile à prendre en main - Details sur le Traffic
 Portail captif
- Rétention à long terme des données.
 Documentation complète
 Grande communauté
 Possibilité d’ajouter des extensions
personnalisées coder en PHP, Lua ou
Python

Tableau 1 : Tableau récapitulatif des points forts et des faiblesses de pfSense

3
 Ce schéma résume généralement l’arborescence du réseau DN après la mise en
place de pfSense.

4
Figure 2 : Schéma explicatif de l’intégration de pfSense au réseau DN

PARTIE III : REALISATION DU PROJET

5
 Chapitre 4 : Mise en œuvre et implantation

4.1. Installation et configuration de pfSense

1. Faite le téléchargement sur le site officiel : https://www.pfsense.org/download/
2. Une fois télécharger, installer le fichier source sur une clé bootable.
3. Booter la clé et lancer l’installation.

Acceptez les conditions d’utilisation puis choisissez l’option installer

6
 Ensuite, il faut choisir la disposition de votre clavier, chercher-le dans la liste et
cliquer sur <select> pour le sélectionner

Si vous hésitez, choisir la deuxième option et tester que vous avez choisi la
bonne disposition de clavier ; sinon choisir l’option continuer

7
 Si l’on veut vérifier la
disposition du clavier

On nous propose ensuite des options de partitionnement de disque dur , laisser

par défaut et continuer.

Ici aussi laissez par défaut et continuez

8
La aussi c’est pareil , choisissez la premiere option.

Ici choisissez la partition sur laquelle installer pfSense.

9
Une dernière avertissement et confirmation que la partition sera formatée

Attendez la fin de l’installation puis redémarrer pour terminer

10
 Après le redémarrage pfSense demande d’identifier quelle interface accède au
LAN et laquelle accède au WAN ; c’est une étape obligatoire, je recommande
d’utiliser l’auto-détections pour éviter toutes erreur. Une fois assigner elles sont
identifiées par les IDs encadrer en jaune sur la figure
Ensuite choisissez l’option 2 (encadrer en rouge) pour configurer les interfaces.
Le WAN sera adressé statiquement sur 10.85.1.89 afin d’avoir accès au réseau de
l’entreprise (cadre bleu)

11
 Par défaut pfSense établie le réseau 192.168.1.0/24 sur le LAN. Changer
cela et établissez le réseau 10.85.222.0/24 sur notre LAN et activer le DHCP sur
ce dernier.

12
 Maintenant connecter un client sur l’interface LAN du pare-feu, puis accéder à
l’adresse 10.85.222.1 via un navigateur pour afficher la page d’authentification de
l’interface web de pfSense

https://10.85.222.1/index.php

Par défaut : pfSense Par défaut : admin

Apres l’authentification suivez les consignes à propos des configurations de

base. Puis accéder à l’onglet système/configuration générale pour adapter ces derniers
selon les besoins.

13
 Choisissez le fuseau horaire qui correspond à l’emplacement de votre pfSense,
la langue avec laquelle vous voulez l’utiliser, les serveurs de temps et laisser les autres
paramètres avec leurs valeurs par défaut.

Enregistrer et passons à l’etape suivant.

Pour que pfSense puisse communiquer avec les serveurs de temps qu’on lui
indiquer , Activer et configurer le service NTP. Pour ce faire aller dans l’onglet
Services/NTP/Paramètres et configurer comme suit puis enregistrer.

14
 A présent, passons à la configuration du service DHCP qui vas distribuer les
adresses IP des visiteurs. Pour ce faire accéder à l’onglet Service/Serveur DHCP/LAN
et configurer comme suit.

N’oublier pas d’enregistrer est c’est bon.

Ensuit il faut activer et configurer le services DNS Résolveur pour que pfSense
puisse résoudre les requêtes de ce type. Pour ce faire accéder à l’onglet
Services/Résolveur DNS/Paramètres généraux.
15
 Un peu plus bas on retrouve la partie qui relie le DNS au DHCP qui est
essentiel pour que pfSense puisse résoudre les requêtes envoyées depuis le LAN.

Enregistrer et passons à la configuration du DNS Forwarder.

Le DNS Forwarder permet à pfSense de demander à d’autre serveur DNS de
fournir la réponse s’il est dans l’incapacité de le faire. Pour le configurer accéder à
l’onglet Services/DNS Forwarder.
16
 Enregistrer et c’est tout pour les configurations des bases essentiels au bon
fonctionnement du portail captif. Alors passons sans plus attendre à la mise en place
de ce dernier.

17
 4.2. Le portail captif

4.2.1. Rôles
Ce service :
1. S’occupe de la génération des codes coupons d’authentification.
2. Force la redirection de tous les appareils qui tentent de se connecter au réseau sur
une page qui leur demande d’entrer un code coupon valide.
3. Vérifie la validité du code saisie en analysant les paramètres suivants :
 L’existence : l’utilisateur n’a-t-il pas renvoyer un formulaire vide ;
 L’authenticité : le code saisi a-t-il été générer par pfSense ;
 Le statu : le code est-t-il utilisé pour la première fois ; les codes coupon sont
à usage unique.
4. Dans le cas où l’utilisateur a saisie un code coupon valide, le portail le redirigera
vers http://www.google.com; sinon il renvoie un message d’erreur.

4.2.2. Configuration
Dans l’onglet services, choisissez portail captif. Puis ajouter une nouvelle zone
en cliquant sur le bouton vert en bas à droite.

18
 Une fois que c’est fait, veuillez nommer la zone et on peut aussi ajouter une
description détaillée de celle-ci. Nous avons nommé notre zone : Visiteurs_ADES

Enregistrer puis accéder à l’onglet coupons pour configurer la génération des

code ‘voucher’ que nous allons utiliser pour authentifier nos visiteurs.

Cocher sur la case activer et mettez en place les configurations suivantes.

On peut générer automatiquement les clés de chiffrement et de déchiffrement
des coupons en cliquant sur le bouton jaune à droite, mais pfSense vas générer des
codes utilisant toutes les lettres de l’alphabet et les dix chiffes, ce qui retourne des
code long et assez complexe. Pour éviter des stresses inutile à nos visiteurs, utilisons
des clés spécialiser qui vont générer des codes de sept à neuf caractères en utilisant 1,
2, 3, 4, 5, a, z, e, r, x, c et v.

19
 Pour les répartitions des bits, mettez 5 bits pour le rouleau, 16 bits pour le
ticket, 5 bits pour le control.

Laisser les autres paramètres garder leur valeur par défaut et enregistrer.
Une fois que c’est fait, on n’a plus qu’a générer les coupons selon les besoins.
Pour ce faire revenez en haut de la page et ajouter les différents coupons.

Maintenant que les coupons sont prêts, configurons notre portail captif.
Revenez dans l’onglet configuration et spécifié ces valeurs à ces paramètres.

20
 On remarque qu’il y a plusieurs options que l’on peut paramétrer selon les
besoins.

Un peu plus bas on retrouve ces paramètres, la période d’attente est cochée par
défaut mais il ne faut pas oublier de cocher la case préserver les utilisateurs connecter
après un redémarrage.

Ensuite, paramétrer la page du portail captif. Ici on a choisi d’utiliser une page
personnalisée. C’est juste une page html, il faut juste s’assurer qu’elle contient un

21
formulaire avec lequel les utilisateurs vont s’authentifié, suivez l’exemple que pfSense
propose et ça ira.
Une fois qu’elle est créée ajouter la page en cliquant sur le bouton parcourir. Il
est aussi possible de personnaliser la page d’erreur comme c’est le cas ici, on procède
de la même façon que précédemment

Enfin il reste à choisir le type et le serveur d’authentification.

N’oublier pas d’enregistrer est passons à l’étape suivant.

22
 4.3. L’extension NtopNG

4.3.1. Rôles
NtopNG est un outil de supervision réseaux qui permet d’avoir plus de détail
sur les échanges qui transitent par la passerelle. Il est essentiel si l’on veut :
 Connaitre les sites les plus visités par chaque client ;
 Savoir la consommation de données de chaque client pendant un intervalle
de temps donné ;
 Observer le Traffic en temps réels…

4.3.2. Configuration
On retrouve les extensions de pfSense dans l’onglet Système/Gestionnaire de
paquets/Paquets disponibles. Il suffit de rechercher le nom du plugin ou de taper sa
description pour trouver celui que l’on veut installer.

23
 Une fois trouver, cliquer sur le bouton Install à droite et attendez la fin de
l’installation.

Une fois installer on retrouve NtopNG dans l’onglet Diagnostics/ntopng

settings. Configurer comme sur la capture suivante, enregistrer puis cliquer sur Access
ntopng pour ouvrir l’extension.

24
 On arrive ensuite sur la page d’authentification de NtopNG

Après l’authentification, Personnaliser les configurations de NtopNG selon les

besoins, accéder à l’onglet Setting/préférences.

25
1. Entrer dans Cache setting puis sur la partie Idle Timeout Setting, préciser
qu’après combien de temps de silence un visiteur est considéré comme
inactif et ne sera plus répertorier.

2. Dans applications activer l’option Top visited Sites pour que NtopNG
fournissent des informations sur les sites sur lesquelles les visiteurs ont
consommé le plus de données.

26
 3. Dans Data Rétention Préciser combien de jour vont persister les données

Ensuite, Activer la fonctionnalité GeoLite2 DB qui va faciliter l’identification

des utilisateurs connecter, cet outil permet même de géolocaliser les adresses IP sur
l’Edition entreprise de NtopNG.

Pour ce faire il suffit d’entrer une clé de licence que l’on peut obtenir
gratuitement sur MaxMind dans la partie Utilities de ntopng Setting.

Une fois que la clé est entré, enregistrer puis faites une mise à jour en cliquant
sur le boutons vert attendez et c’est bon, NtopNG devrais fonctionner sans problème.

NB : N’oubliez pas de faire manuellement la mise à jour de GeoLite2 DB de temps en

temps.

27
4.4. Configuration des règles de pare-feu
Pour mettre en place une règle de filtrage, il faut commencer par créer la liste
noire des sites ou des machines que l’on veut rendre inaccessible. Pour faire cela,
aller dans l’onglet Pare-feu/Alias/IP

Cliquer sur le bouton vert en bas à droite pour ajouter une liste de site à
interdire, vous pouvez aussi importer une liste créer préalablement ou téléchargé.

Ensuite accéder à l’onglet Pare-feu/règles et ajouter une nouvelle règle, voici un

exemple d’une règle de blocage.

28
 CONCLUSION ET PERCPECTIVE

Ce stage m’a permis de débuter dans le domaine de l’administration système et

réseau et de développer des compétences sur le support utilisateur, l’installation
réseau, le dépannage matériel, la maintenance… Mais aussi de me familiariser avec les
outils d’administration tel que : pfSense, GLPI, TeamViewer, MobaXterm…
Sur le plan relationnel, ces moments passe à l’ADES fut l’occasion de côtoyer
un grand nombre de collaborateur, pas seulement des informaticiens mais aussi des
financiers, des logisticiens, des administrateurs… bref ce fut un moment plein de
partage enrichissant.
En ce qui concerne pfSense en particulier, je trouve que le fais qu’il soit libre et
open source et à double tranchant. Il est très facile à prendre en main, livrés avec
plusieurs extensions très intéressants et on peut aussi y ajouter des modules
personnalisés, le seul problème c’est sur le plan de la stabilité, c’est pourquoi il est
important de bien choisir la version à utiliser.

29
 Après avoir vécus toutes ses expériences, je compte continuer à aiguiser mes
compétences aussi bien sur le plan de l’administration système et réseau que sur le
plan du développement d’application afin de devenir un technicien polyvalent et faire
honneur au formation hybride que j’ai reçue.

WEBOGRAPHIE

 Sites web qui propose des formations gratuites :

https://openclassrooms.com/fr/courses/
https://www.it-connect.fr/cours-tutoriels/administration-systemes/

 Sites de documentation officiel :

https://docs.netgate.com/pfsense/index.html
https://www.pfsense.org/getting-started/
https://www.maxmind.com/en/geolite2/
https://www.ntop.org/

 Sites de forum :

30
https://forum.netgate.com/topic/20338/changer-page-portail-captif/4
https://alternativeto.net/software/ntop/?license=free
https://forum.tech2tech.fr/

 Chaines YouTube
https://fr.slideshare.net/kenpashymarushy/implementation-dun-portail-captif-cas-de-
pfsense-produit-par-bamba-bamoussa
https://www.youtube.com/watch?
v=R0BT38ZCY88&list=PL1aYsXmhJ1Wc0cTtvo4b-
L9cx4c9NCMo3&ab_channel=Alphorm
https://www.youtube.com/watch?v=fsdm5uc_LsU&ab_channel=LawrenceSystems

ANNEXES

Annexe 1 : Rôles détaillés de chaque serveur du DN

Serveurs Rôles
Windows Server 2008  DNS local : mada.adesolaire.org
 Active directory
 Partage de données pour les employés de la direction
nationale
 GPO
PROXMOX  Virtualisation des serveurs d’application GPRH,
GLPI et GPV
NAS  Sauvegarde finale de tous les serveurs de l’ADES
 Sauvegarde de données importantes

31
Annexe 2 : Tableau comparatif de Kerio control et de pfSense

Kerio control pfSense

Installation et prise en main

Interface web

Console

Filtrage

Suivie des consommations

Statistique des sites les plus visités

Stabilité

Rétention à long terme des données

Annexe 3 : Clés de chiffrement et de déchiffrement de code voucher personnalisé

Pour le déchiffrement :
-----BEGIN PUBLIC KEY-----
MCAwDQYJKoZIhvcNAQEBBQADDwAwDAIFAIU9B3kCAwEAAQ==
-----END PUBLIC KEY-----

Pour le chiffrement :
-----BEGIN RSA PRIVATE KEY-----
MCwCAQACBQCFPQd5AgMBAAECBHA0tMkCAwDzXwIDAIwnAgMAu
TcCAkxrAgJWpA==
-----END RSA PRIVATE KEY-----

32
 RESUME

Ce stage qui s’est dérouler du 28 novembre 2022 au 28 février 2023 au sein du

service informatique de la direction national de l’ADES fut pour moi l’occasion de
faire mes premiers pas dans le monde professionnel d’un administrateur systèmes et
réseaux. Mais grâce à l’accueil et au soutien de toute l’équipe IT, j’ai pu acquérir de
nouvelle compétence sur le support utilisateur, la maintenance, le dépannage,
l’installation réseau et l’utilisation d’outils technologique tel que pfSense et GLP pour
administrer un parc informatique. Ce fut une période très riche en enseignement et en
nouvel expérience stimulante, pas seulement sur le plan technique mais aussi sur le
plan relationnel et professionnel en générale.

33
 ABSTRACT

This internship, which took place from November 28, 2022, to February 28,
2023, within the IT department of the national management of ADES, was for me the
opportunity to take my first steps in the professional world of a systems and network
administrator. But thanks to the welcome and support of the entire IT team, I was able
to acquire new skills in user support, maintenance, troubleshooting, network
installation and the use of technological tools such as pfSense and GLP to administer a
computer park. It was a period very rich in education and new stimulating experience,
not only on the technical level but also on the relational and professional level in
general.

34