Page 1

Audit du rĂŠseau Prospectiv

FREYBURGER Fabien


Audit du réseau Prospectiv

16/04/2010

Sommaire Analyse de l’existant : ..........................................................................4 Topologie globale.............................................................................................. 4 Réseau entrant ................................................................................................... 5 Réseau interne ................................................................................................... 6 Réseau externe................................................................................................... 7

Critique de l’existant ............................................................................8 Réseau entrant ................................................................................................... 8 Réseau interne ................................................................................................... 8 Réseau externe................................................................................................... 9

Projets induits.......................................................................................9 Réseau entrant ................................................................................................... 9 Réseau interne ................................................................................................... 9 Serveur de fichier ............................................................................................ 10 Réseau externe................................................................................................. 10

Topologie souhaitée............................................................................11 Budgétisation et solutions...................................................................13 Rappel ............................................................................................................. 13 Switch ............................................................................................................. 13 1.

Solutions............................................................................................... 13

2.

Comparaison......................................................................................... 14

Serveurs........................................................................................................... 15 1.

Serveur DHCP ...................................................................................... 15

2.

Serveur DNS......................................................................................... 18

3.

Solution VPN........................................................................................ 20

4.

Serveur de polices ................................................................................. 20

Annuaire d’authentification ............................................................................. 21 Solution de stockage, de partage de fichiers et serveurs d’applications............. 21 1.

Topologie.............................................................................................. 21

2.

Quel Raid ? ........................................................................................... 23

3.

NAS...................................................................................................... 23

4.

Serveur de fichiers ................................................................................ 25

FREYBURGER Fabien

2


Audit du réseau Prospectiv

16/04/2010

Par-feu............................................................................................................. 25 1.

Topologie.............................................................................................. 26

2.

Pare feu hardware ou software .............................................................. 27

Fournitures et évolutions.................................................................................. 27 3.

Réaménagement et fournitures .............................................................. 27

4.

Serveur ................................................................................................. 28

5.

Autres Évolutions.................................................................................. 28

Planning .............................................................................................29 1.

Tests de connexion................................................................................ 30

2.

Établissement des solutions................................................................... 30

3.

Budgétisation des solutions ................................................................... 30

4.

Représentation du réaménagement de la salle réseau ............................. 30

5.

Réaménagement de la salle réseau......................................................... 30

6.

Tests switch .......................................................................................... 30

7.

Mise en place du ou des switch(s) ......................................................... 30

8.

Configuration et tests du serveur DHCP................................................ 31

9.

Mise en place du serveur DHCP............................................................ 31

10.

Configuration et tests du serveur de fichiers ou NAS........................... 31

11.

Transfert des données.......................................................................... 31

12.

Mise en place du serveur de fichier ou NAS........................................ 31

FREYBURGER Fabien

3


Audit du réseau Prospectiv

16/04/2010

Analyse de l’existant : Topologie globale Actuellement le réseau Prospectiv et de taille modeste l’adressage des machines est fixe et se fait sur chaque poste clients. Le réseau se présente comme suit :

Le parc informatique se compose d’une douzaine de machines sous MAC OS de 2 machines Windows et d’environ 6 téléphones. Prospectiv héberge les sites Internet sur trois serveurs OVH. Le groupe Get possède une agence à Metz ; des données doivent être souvent transférées entre ces 2 agences.

FREYBURGER Fabien

4


Audit du réseau Prospectiv

16/04/2010

Réseau entrant L’agence est reliée par Internet par une connexion ADSL 2 fournie par Orange et une connexion câble fournie par Vialis.

Le Qbalancer et le pare feu Cisco ont été installés par la société SRP réseaux et communications, qui assure le support et le fonctionnement de ces éléments. Le Qbalancer permet de partager les connexions sortantes. L’inconvénient est que pour certains sites qui se servent de l’adresse IP, celle-ci peut différer en fonction de

FREYBURGER Fabien

5


Audit du réseau Prospectiv

16/04/2010

l’envoi des données par l’une ou l’autre connexion, ainsi des problèmes d’authentification peuvent survenir. Le pare feu autorise les connexions SSL pour l’accès de l’extérieur et possède une méthode de VPN hardawre ; mais cette méthode n’existe pas à Metz. L’accès à ces deux éléments n’est normalement pas autorisé, mais il est possible de demander l’accès, mais cela entraîne que la société SRP ne prend plus en charge leur bon fonctionnement. Il faut donc contacter la société pour chaque changement qu’il faut effectuer. Cela peut freiner la souplesse du réseau. (Ajout de nouvelles tables de routages…)

Réseau interne L’adressage du réseau interne est fixe. Les téléphones sont sur le réseau via l’Autocom relié au réseau Numeris, ainsi la qualité des appels est garantie.

Le manque de serveur DHCP empêche une certaine souplesse du réseau ; si une machine s’installe sur le réseau, il faut vérifier les adresses IP libres et lui en attribué une. Un adressage statique requiert une certaine charge de maintenance. Pour un réseau de cette dimension, la plage IP est suffisante, mais un adressage statique demande une certaine connaissance du réseau pour chacun des utilisateurs. Le serveur de fichiers possède un raid 1 (mirroring), ou toutes les données y sont stockées. Le serveur tourne sous MAC OS X Server. Un backup de ces données est fait quotidiennement sur un autre raid 1 branché en USB sur ce serveur. Ce stockage

FREYBURGER Fabien

6


Audit du réseau Prospectiv

16/04/2010

est encore une fois sauvegardé sur un disque externe emporté chaque soir et week-end en cas d’incident. Il y a un autre serveur de fichiers qui est accessible depuis l’extérieur pour permettre aux autres agences du groupe d’y accéder et d’y déposer des données. Le serveur de développement n’est actuellement pas utilisé, mais il le sera très prochainement pour avoir un aperçu des sites réalisés ; autant pour le développeur du site que pour le client. Ce serveur tourne sous CentOS et possède apache. Le par feu redirige les requêtes entrantes sur le port 80 sur ce serveur. Tous les téléphones sont alimentés via leurs câbles réseaux. (PoE) Les 24 ports du switch sont utilisés, s’il y a besoin de nouvelles connexions les ports du par feu (8) sont actuellement utilisés.

Réseau externe Prospectiv sous-traite l’hébergement des sites clients à la société OVH ; elle y possède 3 serveurs. Le groupe dont fait partie l’agence possède une autre agence à Metz. Cette agence de taille plus réduite ne possède qu’une connexion et un serveur FTP pour les transferts de données entre les deux agences.

Le dernier serveur de production en date est virtualisé. Ainsi, les sites sont mieux protégés. En effet, un accès FTP est parfois donné au client pour qu’il mette en place des CMS ; ce genre de manipulation affaiblit la sécurité du serveur. Une sauvegarde de chaque site de chacun des serveurs est effectuée sur le serveur de développement local toutes les semaines. Un roulement de ces sauvegardes est fait, FREYBURGER Fabien

7


Audit du réseau Prospectiv

16/04/2010

ainsi il est possible de récupérer toutes les données (pages HTML, base de données…) des sites jusqu’à 3-4 semaines antérieur.

Critique de l’existant Réseau entrant L’interface entre le réseau interne de l’entreprise et Internet est fiable, mais manque de souplesse. En effet, la double connexion WAN, couplée au Qbalancer, permet une haute performance et assure un lien vers l’extérieur si une connexion venait à se couper. Mais le Qbalancer pose problème dans le cas des connexions sécurisées. En effet, la connexion pourrait se perdre si le Qbalancer change l’envoi des paquets vers une autre ligne, la session sécurisée qu’utilise l’Internaute pourrait se couper.

Réseau interne Le nombre de ports sur le switch est inadapté à un réseau de cette taille. L’absence d’un serveur DHCP rend le réseau compliqué à maintenir et peut apporter des conflits. Le fait qu’il n’y a pas de sous réseaux peut rendre le réseau flou où toutes les machines sont sur un même niveau. Le réseau n’est pas sous un domaine d’authentification, n’importe qui peut se brancher et accéder aux serveurs et autres éléments du réseau. De plus, les logins d’accès aux serveurs et aux éléments configurables du réseau sont triviaux, (admin/admin). C’est une énorme faille de sécurité qu’il faut combler au plus vite ! Une intrusion pourrait nuire gravement aux fichiers importants de l’entreprise (contrats, factures) et aux fichiers de travaux. Les fichiers importants doivent rester secrets même pour les simples employés de l’agence. La sécurité des données « internes » est par contre assurée. Le serveur de fichiers en RAID 1 puis sa sauvegarde sur deux autres espaces de stockage (un en RAID 1 et un transporté les soirs et week-ends) évite pratiquement toute, perte de données. D’un autre côté, le serveur de fichier ne possède sûrement plus assez d’espace de stockage pour les futurs travaux, et celui-ci devient vieux. Aucun serveur DNS n’est mis en place, l’accès aux machines se fait par adresse IP. Les sauvegardes des sites sur un serveur sans raid (serveur de développement interne) nuit à la fiabilité de ses sauvegardes. L’établissement d’un serveur de police est demandé par les graphistes de l’agence. Actuellement les polices utilisées sont placées dans un répertoire sur le serveur de fichier, un utilisateur en ayant besoin copie le fichier de police sur sa machine, mais, avec le temps, le répertoire de police s’alourdit et devient confus. De plus, l’homogénéité des polices sur les postes n’est pas garantie. Le serveur de développement pouvant être accessible aux clients de l’extérieur n’est pas sécurisé. Une faille sur ce serveur donnerait accès au réseau à un pirate. L’absence de serveur Proxy ne permet pas d’avoir une visualisation précise des connexions entrantes et sortantes et empêche la mise en cache de certaine pages Web.

FREYBURGER Fabien

8


Audit du réseau Prospectiv

16/04/2010

Chacun de ses points peut êtres amélioré pour augmenter la souplesse, la fiabilité, les performances et la sécurité du réseau.

Réseau externe Le serveur virtualisé permet une bonne sécurité pour l’intégrité et la disponibilité de chaque site, mais seulement pour ce serveur. Les deux autres serveurs non virtualisés sont moins sécurisés dans une certaine mesure. L’échange de fichier entre les deux agences n’est pas fiable ni sécurisé. Il peut être « sniffé » par une personne malveillante. Ainsi, ce réseau possède quelques points forts comme la sauvegarde des fichiers, mais l’amélioration de la sécurité, des performances, la fiabilité et la souplesse du réseau sont à améliorer. La sécurité évite les éventuelles attaques ou perte de fichier qui nuirait gravement à la production de l’entreprise. Les performances rendraient les employés plus productifs en diminuant les temps « d’inactivité ».(perte de connexion, recherches de fichiers…) La fiabilité et la souplesse permettraient de modifier facilement le réseau si le besoin se présentait et aussi, d’augmenter la productivité.

Projets induits Pour permettre d’améliorer la fiabilité, les performances, la sécurité et la souplesse du réseau existant, il faut mettre en place un certain nombre de projets.

Réseau entrant Il faut demander de voir la configuration du Qbalancer pour permettre d’analyser le problème de perte de session. Des tests de download et d’upload sont à opérer sur les deux connexions pour permettre de mieux visualiser les performances de chaque connexion, pour par exemple donner un poids a une connexion sur le Qbalancer. (Ex : le poids de l’ADSL plus fort que celui du câble)

Réseau interne La mise en place d’un serveur DHCP (DHCPd) et d’un domaine d’authentification est primordiale pour assurer la souplesse la fiabilité et la sécurité du réseau. L’installation d’un serveur DHCP implique le changement de configuration de chaque machine sur le réseau et l’accompagnement de ses utilisateurs. L’achat d’un switch ayant plus de ports ou le rachat de deux nouveaux switchs est nécessaire pour permettre à l’agence de ne pas être bloquée si elle est amenée à s’agrandir. Nous pouvons aussi nous poser la question de la mise en place d’un sous réseau, en divisant le réseau actuel en deux, cela demanderait des relais DHCP, mais donnerait, dans une certaine mesure, de meilleurs temps de réponses aux requêtes. Le choix de deux switchs au lieu d’un grand serait judicieux dans ce cas-là. La mise en place d’un serveur VPN pour interconnecter l’agence de Metz à celle de Colmar permettrait de protéger les échanges de données et en assurerait la fiabilité. Il FREYBURGER Fabien

9


Audit du réseau Prospectiv

16/04/2010

faut donc configurer un serveur VPN comme OpenVPN et configurer un client à l’agence de Metz, ainsi les deux réseaux seront en LAN par Internet. Les données transitées seront sécurisées et échangées de manière fiable. L’installation d’un serveur DNS (Bind9) pour faciliter les connexions entre les machines rendrait le réseau plus souple, cela implique que ce serveur référence les serveurs DNS d’Orange et Vialis et que celui-ci soit indiqué sur le serveur DHCP. Un domaine d’authentification qui demande un login à chaque démarrage d’une machine sur le réseau permettrait de sécuriser le réseau face à d’éventuelles attaques internes. En effet à ce jour, n’importe qui peut se connecter au réseau de l’intérieur et avoir accès aux serveurs et éléments du réseau. L’implantation d’un serveur d’authentification, avec un annuaire tel que LDAP, implique l’accompagnement des utilisateurs à ce changement. Le réseau doit être séparé (« sécuritairement parlant ») du serveur de développement qui lui est accessible depuis l’extérieur. La création d’une DMZ (DeMilitarized Zone) est nécessaire pour sécuriser le réseau de ce serveur potentiellement faillible. Pour cela il faut ajouter un pare feu logiciel ou matériel entre le serveur et le reste du réseau.

Serveur de fichier Le serveur de fichiers a beaucoup de lacunes. Tout d’abord, il faut changer le login d’accès aux fichiers en tant que root, puis partitionner les droits sur certains répertoires, pour ainsi protéger les données confidentielles. Il faut ensuite réfléchir à l’augmentation de l’espace de stockage qui pourrait se combiner avec le changement de serveur. Une solution NAS (Network Attached Storage) ? Un serveur de fichier sous Linux ? Une solution logicielle ? Un serveur sous Linux gagnerait en souplesse et ne demanderait plus le coût de la licence. Tandis qu’une solution NAS (avec raid intégré) gagnerait en facilité de maintenance et d’exploitation. Si le budget est suffisant, un RAID permettrait de sécuriser les données contre la panne d’un disque dur et rendrait les temps de lectures de données plus courts. Le serveur de fichier doit être souple et simple pour l’utilisateur.

Réseau externe La mise en place d’un client VPN dans l’agence de Metz est nécessaire pour communiquer avec le serveur de Colmar. D’autre part, l’accompagnement au changement auprès des employés des agences est primordial. La virtualisation des deux autres serveurs de production leur donnerait une sécurité accrue. Pour permettre de sécuriser les données face à d’éventuelles incidents, l’externalisation géographique est un bon moyen. Une sauvegarde quotidienne à l’agence de Metz est une solution à analyser.

FREYBURGER Fabien

10


Audit du réseau Prospectiv

16/04/2010

Topologie souhaitée

FREYBURGER Fabien

11


Audit du réseau Prospectiv

16/04/2010

Ces changements sont indicatifs, les différents serveurs devront probavlement êtres hébergés sur plusieurs machines distinctes, les sous réseaux sont optionnels, néanmoins la topologie ici présente devrait convenir au mieux à l’entreprise. Tous ces changements accompagnés par des tests amélioreraient les performances, la stabilité, la fiabilité, la souplesse et la sécurité du réseau. L’installation d’un serveur proxy, bien que non indiqué dans le schéma, peut-être envisagée.

FREYBURGER Fabien

12


Audit du réseau Prospectiv

16/04/2010

Budgétisation et solutions Maintenant, que les projets pour améliorer le réseau sont mis en avant, il faut entreprendre des solutions concrètes et les budgétiser. Les matériels et les logiciels présenté ci-dessous sont des exemples, ils sont adaptés à l’agence et pertinent, mais ne représentent pas toute l’offre disponible.

Rappel Nous proposons pour chaque élément différentes solutions pour améliorer le réseau et ainsi augmenter la productivité. Tout d’abord, les solutions de commutation (switch) seront établies ; puis les solutions serveurs pour augmenter la souplesse, les performances et la sécurité du réseau (DHCP, DNS, VPN, Serveur de polices). De plus, des solutions pour l’établissement d’un domaine d’authentification seront présentées. Enfin, les moyens pour augmenter la sécurité et la fiabilité des données, et les performances de leurs transferts seront étudiées. Dans un dernier temps, les systèmes sécurisés pour mettre en place la DMZ seront examinés, puis une liste des différentes fournitures à acquérir et des évolutions possibles du réseau sera présentée.

Switch 1. Solutions

FREYBURGER Fabien

13


Audit du réseau Prospectiv

16/04/2010

Ici, deux solutions sont possibles, deux switch de 24 ports ou alors un switch de 48 ports. Deux switchs de 24 ports permettraient de bien séparer les deux sous réseaux et donc améliorer la maintenance du réseau. Ainsi si une panne survient, elle pourra être ciblée plus rapidement. (Distinction des machines connectées à l’un ou l’autre switch) De plus l’utilisation de deux switchs améliore la vitesse d’accès à un élément du même switch ; par contre cette topologie diminue la rapidité de l’accès à un élément de l’autre switch. Un seul switch de 48 ports diminue le coût global de la commutation, mais diminue la vitesse d’accès aux éléments par rapport à un petit switch. De plus un seul switch ne sépare pas le réseau topologiquement parlant.

Solutions

Ports

Maintenance

Vitesse d’accès (même switch)

Vitesse d’accès (autre switch)

Coût

Solution1

2 switchs

24 ports/switch

+

+

-

+

Solution2

1 switch

48 ports

-

-

Na

-

2. Comparaison Le switch doit supporter les débits gigabit, étant donné que de gros fichiers peuvent transiter sur le réseau. Un switch manageable n’est pas nécessaire pour un réseau de cette taille par contre le switch doit pouvoir se monter en rack. Switch 24 ports

Nom

Bande passante

Éco d’énergie

Fonctions

Coût*

Netgear JGS524

48 Gbps

Oui

_

180-210  185-220 

210-250 

Dlink DGS1024D

48 Gbps

Oui

Contrôle des flux, gestion des priorités

TRENDnet TEG-S240TX

48 Gbps

Non

Contrôle de flux, garanti 5 ans

FREYBURGER Fabien

14


Audit du réseau Prospectiv

16/04/2010

Switch 48 ports

Nom

Bande passante

Éco d’énergie

Fonctions

Coût*

TP-Link TLSG1048

96 Gbps

Non

Contrôle des flux

540-560 

Oui

Contrôle des flux, gestion des priorités, Vlan, SNMP…

490-650 

Oui

Contrôle de flux, accès sécurisés, Vlan, manageable

590-620 

D-Link DGS1248T

D-Link DGS1210-48

96 Gbps

96 Gbps

*Les prix sont indiqués TTC et hors frais de port.

Serveurs En fonction des projets retenus il faut au maximum héberger un serveur DHCP, un serveur DNS, un serveur de polices, un serveur VPN et un annuaire.

1. Serveur DHCP Pour mettre en place l’adressage dynamique des machines sur le réseau, il faut établir un serveur DHCP. Plusieurs solutions sont possibles pour l’adressage. 1.1. Adressage

FREYBURGER Fabien

15


Audit du réseau Prospectiv

16/04/2010

Les différentes machines peuvent être séparées en deux sous réseaux. Un sous réseau pour les machines des bureaux (administration, commercial…) et un autre pour les machines du studio de création. La division en sous réseaux permet de limiter la bande passante utilisée par les broadcast et de sécuriser les sous réseaux en les isolant. Mais une division comme ceci demande un plus gros coût matériel et une moins grande facilité de mise en place.

Solutions

Sécurité

Mise en place

Bande passante

Coût

Solution 1

2 sous réseaux

+

-

+

-

Solution 2

1 réseau

-

+

-

+

1.2. Solutions pour deux sous réseaux Une division en sous réseaux demande une solution pour que les requêtes DHCP soient bien transmises et reconnues entre l’un et l’autre réseau. Il faut soit deux serveurs DHCP (un dans chaque réseau), un relais DHCP permettant de transmettre les requêtes d’un réseau à l’autre, soit un seul serveur DHCP sans relais mais ayant au minimum trois interfaces réseau (cette dernière solution n’est possible qu’avec une solution de deux switchs).

FREYBURGER Fabien

16


Audit du réseau Prospectiv

16/04/2010

Solutions

Souplesse

Mise en place

Bande passante (interne aux sous réseaux)

Solution 1

2 serveurs

+

-

-

+

--

Solution 2

1 serveur / 1 relais

+

-

-

-

-

Solution 3

1 serveur à trois interfaces

-

+

+

-

+

Bande passante (globale)

Coût

Si la solution d’un seul sous-réseau est choisie le serveur DHCP peut se trouver n’importe où, et il n’y aura pas besoin de relais.

FREYBURGER Fabien

17


Audit du réseau Prospectiv

16/04/2010

1.3. Système d’exploitation du serveur DHCP

Solutions Souplesse Fiabilité

Adaptation au parc

Performances Sécurité Coût

Solution 1

Mac OS X Server

-

+

+

-

+

-

Solution 2

Windows server

-

-

-

-

-

-

Solution 3

Linux

+

+

+

+

++

+

2. Serveur DNS 2.1. Dynamique ou statique Si les machines doivent directement se contacter les unes des autres un serveur DNS dynamique permet de faciliter ce contact. Il faut aussi choisir un adressage statique ou dynamique des différents serveurs. L’adressage dynamique des serveurs ne sert que lors de l’établissement d’un nouveau serveur, mais cette solution demande la mise en place d’un serveur DNS dynamique et implique donc des communications entre le DHCP et ce serveur. Un adressage statique des serveurs offre moins de souplesse, mais ne demande qu’un DNS traditionnel.

Solutions

Souplesse

Mise en place

Performances

Coût

Solution1

Adressage statique des serveurs

+

+

+

=

Solution2

Adressage dynamique des serveurs

+

-

-

=

FREYBURGER Fabien

18


Audit du réseau Prospectiv

16/04/2010

Voici un schéma facilitant le choix du type de DNS.

2.2. Solutions DNS Il existe différentes solutions pour créer un serveur DNS : Bind, DjbDNS (TinyDNS), Microsoft DNS, Simple DNS… Nous allons comparer les solutions DNS les plus répandues. Performances Mise Performances Dynamique ? Sécurité en (mode (mode cache) classique) place

Solutions

OS

Bind

Unix/Linux

-

+

Oui

=

+

DjbDNS

Unix/Linux

+

-

Oui

=

-

FREYBURGER Fabien

19


Audit du réseau Prospectiv

16/04/2010

3. Solution VPN La mise en place d’une solution VPN peut-être faite par deux moyens : une solution matérielle ou une solution logicielle. Voici un tableau récapitulatif de différentes solutions possibles.

Solutions

Type

Performances

Sécurité

Mise en place

Souplesse

Coût

Par-feu Cisco ASA

Matériel

+

IPSec/SSL

-

-

-

Serveur OpenVPN

Logiciel

+

SSL

+

+

+

Hamachi

Logiciel

-

-

+

-

+

Un par-feu Cisco est déjà présent sur le réseau de l’agence, mais si cette solution est choisie, il faut installer le même type d’équipement à l’agence de Metz. De plus, l’accès à la configuration de ce pare-feu ne nous est pas autorisé. Une solution Logiciel demanderait donc un coût bien moindre et serait plus souple pour répondre aux besoins d’interconnexion des deux agences. En effet, pour se connecter à une des solutions software, l’agence de Metz n’aura qu’à configurer le logiciel sur les machines le nécessitant.

4. Serveur de polices Il existe différents logiciels basés sur le système client serveur permettant au client de charger les polices depuis un serveur sur sa machine. Ainsi tous les utilisateurs ont accès au mêmes polices simplement et efficacement. Logiciels

Compatibilité

Fonctions

Coût*

Font Agent Pro Server

Mac Os X / Windows

Connexion sécurisée

Na

Universal Type Server

Mac Os X / Windows

Interface Web, connexion sécurisée et authentifiée

1700 pour le serveur + 10 licences

Font Explorer X Server

Mac Os X / Windows

Connexion authentifiée

1400  pour le serveur + 10 licences

*Les prix sont indiqués TTC et hors frais de port.

FREYBURGER Fabien

20


Audit du réseau Prospectiv

16/04/2010

Annuaire d’authentification Pour permettre d’authentifier les utilisateurs et éviter l’accès libre à toutes les machines de l’agence, la mise en place d’un annuaire est nécessaire. L’annuaire LDAP est le plus répandu avec Active Directory de Microsoft. Annuaire

Compatibilité

Mise en place

Souplesse

Coût

OpenLDAP

++

+

+

+

OpenDirectory

+

+

+

+

Active Directory

-

-

-

-

Un annuaires LDAP assure la compatibilité avec tous les systèmes d’exploitation et peut être utilisable pour plusieurs applications différentes.

Solution de stockage, de partage de fichiers et serveurs d’applications Le serveur de fichiers actuel a de moins en moins d’espace libre et est de plus en plus lent. Le changement du serveur de fichier se fait ressentir. Actuellement le serveur de fichiers héberge aussi des applications internes telles que Logipub. C’est pour cela que la mise en place d’un serveur d’application est aussi présentée dans cette partie.

1. Topologie Deux grandes possibilités sont offertes : un serveur de fichier classique ou alors un système NAS (Network Attached Storage). Un NAS est exclusivement conçu pour partager des fichiers tandis que le serveur de fichiers actuel pourrait permettre la mise en place d’autres applications.

FREYBURGER Fabien

21


Audit du réseau Prospectiv

16/04/2010

Les solutions 1 et 3 permettent de séparer le serveur de fichiers des applications utilisées. Ainsi, la solution de fichiers (Serveur ou NAS) est réservée pour le partage et est donc plus performante.

Solution

Performances

Mise en place

Souplesse

Sécurité

Eco d’énergie

Coût

Solution 1

+

-

+

+

+

+

Solution 2

-

+/-

-

-

+

-

Solution 3

=

--

+

+

-

--

FREYBURGER Fabien

22


Audit du réseau Prospectiv

16/04/2010

Il est possible de convertir le serveur de fichier actuel en serveur d’application (pour les solutions 1 et 3) ainsi seul le serveur de fichier ou le NAS est à budgétiser. Pour toutes les solutions, sauf la solution 2 si le serveur n’est pas changé, un transfert des données existantes doit être opéré, ainsi la mise en place d’une nouvelle solution de stockage et de partage de fichiers n’est pas simple. Il faudra donc bien organiser l’établissement d’une de ces solutions.

2. Quel Raid ? Actuellement le serveur de fichier possède un raid 1 ainsi les données transférées sur un disque seront automatiquement copiées sur l’autre pour assurer leurs sécurités. Plusieurs types de raids sont possibles :

Raids

Performances en écriture

Performances en lecture

Nombre de disques

Sécurité des données

Espace global

Raid 0

+

+

2

-

Somme de l’espace des disques

-

-

2

+

Espace du plus petit disque

-

+

3

+

(X – 1) x C*

Raid 1 (actuel) Raid 5 •

Ou X est le nombre de disques et C la capacité de stockage du plus petit de ces disques.

Le raid 5 est plus performant que le raid 1 et assure la sécurité des données mais il demande un coût plus élevé.

3. NAS Voici une comparaison des différentes solutions NAS existantes : Raid 0 ou 1 (2 emplacements disques) : NAS D-Link 323

DNS

Synology DS210j

Hardware

Fonction*

Taille maximale

Coût**

Na

FTP, Interface Web, Samba

Na

150 – 170 

FTP, SSL, Rsync, Serveur Web, iSCSI, AFP, Samba, NTP, Interface Web, Serveur d’impression, de mail, Apple talk...

2To Max

180 – 210 

Cpu : 800 Mhz Ram : 128Mo

FREYBURGER Fabien

23


Audit du réseau Prospectiv

16/04/2010

Synology DS209+II

Cpu :1,06 GHz Ram : 512 Mo

FTP, SSL, Rsync, Serveur Web, iSCSI, AFP, Samba, NTP, Interface Web, Serveur d’impression, de mail, Apple talk...

Western Digital My Book World Edition II

Na

AFP, FTP, NFS

4To Max

590 – 620 

Cisco Small Business NSS2000-G5

Na

FTP, NFS, CIFS

Na

400 – 500 

4To Max

390 – 410 

* Tous les NAS présents possèdent une gestion des utilisateurs, des droits ainsi qu’une connexion Gigabit. ** Les prix sont indiqués TTC, hors frais de port et hors coût des disques durs.

Raid 5 ( 3 ou 4 emplacement disques ) :

NAS

Synology DS-410j

Hardware

Cpu : 800 Mhz Ram : 128Mo

Fonction*

Rackable

Taille maximale

Coût**

FTP, SSL, Rsync, Serveur Web, iSCSI, AFP, Samba, NTP, Interface Web, Serveur d’impression, de mail, Apple talk...

Non

8To Max

320 - 345 

Non

Na

440 - 460 

D-Link DNS-343

Na

FTP, SSL, Samba, Serveur d’impression, Logiciel de sauvgarde

HP MediaSmart Server EX490

Cpu : 2.2 GHz Ram : 2 Go

Na

Non

Na

480 – 500 

FTP, SSL, Rsync, Serveur Web, iSCSI, AFP, Samba, NTP, Interface Web, serveur d’impression, de mail, DHCP, AT...

Non

8To Max

590 – 610 

Synology DS-410+

Cpu : 1.67 Ghz Ram : 1 Go

FREYBURGER Fabien

24


Audit du réseau Prospectiv

Synology Rack Station RS409RP+

Cpu : 1.06Ghz Ram : 1 Go

16/04/2010 FTP, SSL, Rsync, Serveur Web, iSCSI, AFP, Samba, NTP, Interface Web, serveur d’impression, de mail, DHCP, AT...

Oui

8To Max

1500 1600

* Tous les NAS présents possèdent une gestion des utilisateurs, des droits ainsi qu’une connexion Gigabit. ** Les prix sont indiqués TTC, hors frais de port et hors coût des disques durs.

De plus les solutions ReadyNas (Netgear) possèdent aussi des NAS rackables avec de bonnes caractéristiques mais ceux-ci sont donc plus cher. (>2000) http://www.readynas.com/wp-content/uploads/2008/09/readynas_comparison.swf

4. Serveur de fichiers Actuellement le serveur de fichiers tourne sous Mac OS X Server. Le changement vers un autre système d’exploitation est peut-être utile. Solutions Souplesse Fiabilité

Adaptation au parc

Performances Sécurité Coût

Solution 1

Mac OS X Server

-

+

+

-

+

+*

Solution 2

Windows server

-

-

-

-

-

-

Solution 3

Linux

+

+

+

+

++

+

*L’agence possédant déjà une licence Mac OS X Server, le coût est donc moindre.

Si la solution du serveur de fichiers est retenue son passage vers un système d’exploitation linux est préférable.

Pare feu L’ajout d’un pare feu pour former la DMZ est nécessaire. Plusieurs solutions topologiques sont envisageables sachant que l’entreprise possède déjà un pare feu hardware Cisco. Un choix est possible : soit le pare feu existant se place comme pare feu externe soit comme pare feu interne.

FREYBURGER Fabien

25


Audit du rĂŠseau Prospectiv

16/04/2010

1. Topologie

FREYBURGER Fabien

26


Audit du réseau Prospectiv

16/04/2010

Topologie

Mise en place

Sécurité*

Coût

Solution 1

Cisco en externe

+

-

=

Solution 2

Cisco en interne

-

+

=

*La sécurité dépend de la confiance attribuée aux sociétés Cisco et SRP R&T.

2. Pare feu hardware ou software Le par-feu à ajouter peut être hardware (Cisco, ZyWall…) ou software (Iptables , Firestarter…). Un pare feu différent de l’existant est conseillé pour une plus grande sécurité. En effet, si une faille était exploitée par un pirate un pare feu différent après le premier ne permettrait pas d’utiliser cette même faille.

Par-feu

Type

Sécurité

Fonction

Mise en place

Coût

Cisco

Hardware

-

VPN

+

-

Zywall

Hardware

=

VPN

+

-

Iptables

Software

+

Routeur

-*

+

NuFw

Software

+

Authentification

-

+

*Des outils tels que Shorwall ou GuFW permettent de faciliter la mise en place.

Fournitures et évolutions 3. Réaménagement et fournitures La baie de brassage actuelle est de format 19“ et a une hauteur de 16U (Environ 80cm). Les écrans des serveurs sont posés sur cette armoire. L’armoire est surélevée de manière peu conventionnelle. De plus, les câbles ne sont pas rangés dans leurs emplacements prévus. Par ailleurs, aucune ventilation n’est assurée et un chauffe-eau est présent dans cette pièce. Tout cela est très dangereux pour le système électrique et informatique. Le réaménagement de la salle réseau est nécessaire. Pour cela l’achat d’une baie de brassage et de quelques éléments est indispensable.

FREYBURGER Fabien

27


Audit du réseau Prospectiv

16/04/2010

Un switch écrans – claviers - souris pour s’interfacer avec les serveurs est idéal pour ne plus avoir besoin d’avoir tous ces éléments en double ou triple. Des câbles de couleurs pour permettre de séparer visuellement les ports sur lesquels sont connectées les machines – téléphones – serveurs seraient appréciables. Un testeur de câbles pour permettre de vérifier rapidement les câbles défectueux permettrait de gagner un temps précieux.

Elements

Besoin

Mise en place

Coût*

Baie de brassage

Optionnel

Délicate

200 - 1000 **

Switch écrans – claviers - souris

Requis

Aisée

40 – 60 

Câbles couleurs

Optionnel

_

2 – 20 

Testeur de câbles

Optionnel

_

20 – 80 

Ventilation pour baie

Requis

Aisée

100 – 250 

* Les prix sont indiqués TTC, hors frais de port et hors coup des disques durs. ** Le prix dépend de la taille de la baie.

4. Serveur Il est préférable de regrouper certain serveur sur la même machine. Cela demanderait un moindre coût matériel et permettrait de mieux rentabiliser les ressources d’une machine. Pour cela il faut analyser le besoin des différents services et en fonction de ça répartir les serveurs sur les machines. Exemple de répartition : -

Nouvelle machine (Skywalker) : Serveur DHCP, DNS, VPN

-

Serveur de fichier actuel : Serveur d’application, serveur de polices

-

NAS ou nouvelle machine : Serveur de fichiers

En fonction de cette répartition une configuration hardware de(s) nouvelle(s) machine(s) sera proposée.

5. Autres Évolutions D’autres évolutions sont possibles pour le réseau et le parc informatique en général. L’implémentation d’une solution de supervision, l’installation d’un proxy et la mise en place d’un gestionnaire de parc informatique (OCS Inventory) sont des éléments à considérer.

FREYBURGER Fabien

28


Audit du réseau Prospectiv

16/04/2010

Planning Il est maintenant nécessaire de mettre en place un planning pour établir les différentes solutions, sachant que l’accès à Internet et au serveur de fichiers ne doit pas être interrompu pendant les heures de travail des employés. La mise en place de chaque solution devra suivre cet ordre : Tests de connexion (HTT)1 Etablissement de solutions Budgétisation des solutions Représenter le réaménagement de la salle réseau Réaménagement de la salle réseau (HTT) Tests switch(s) Mise en place du ou des switch(s) (HTT) Configuration et tests du serveur DHCP Mise en place du serveur DHCP Configuration et tests du serveur de fichiers ou NAS Transferts des données entre l'ancien et le nouveau stockage (HTT) Mise en place du serveur de fichiers ou NAS Tests du serveur de polices Mise en place du serveur de polices Configuration et tests du serveur d'applications Mise en place du serveur d'applications Configuration et tests du serveur DNS Mise en place du serveur DNS Configuration et tests des pare feu Mise en place des pare feu => DMZ (HTT) Configuration et tests de la solution VPN Mise en place de la solution VPN Configuration et tests du domaine d'authentification Mise en place du domaine d'authentification (HTT) 1

Travaux à effectuer hors des horaires de travails

Entre la plupart des installations, l’accompagnement des utilisateurs aux nouveaux équipements est nécessaire. Ex : Utilisation du serveur de police, Pour réduire le temps de la mise en place des solutions il est possible d’effectuer certaines de ces tâches simultanément. Ainsi, on utilise un diagramme PERT pour ajuster la mise en place des solutions. (Voir Diagramme PERT)

FREYBURGER Fabien

29


Audit du réseau Prospectiv

16/04/2010

La planification doit être précise : les installations à effectuer hors des heures de travails doivent tout de même être signalé aux employés. Certaines installations pourront être fait entre midi et 14 heures mais les plus lourdes comme le réaménagement de la salle réseau devront être fait un week-end. L’objectif principal est l’évolution du réseau par étapes sans jamais couper le service. Ainsi, l’amélioration se fera à tous les niveaux, en douceur sans ralentir la productivité de l’agence. Nous allons maintenant analyser les différentes phases pour réaliser cet objectif.

1. Tests de connexion Il est préférable que ces tests soient effectués en dehors des heures de travails. En effet, la connexion à Internet pourrait être perturbée. Ces tests permettront d’analyser quels liens vers Internet et mauvais et prendre des mesures en conséquences.

2. Établissement des solutions Avec toutes les solutions et le matériel proposés, il faut maintenant choisir celles à adopter. Il faut communiquer sur les choix à adopter avec les personnes concernées. Voici un schéma rappelant toutes les propositions soutenues dans le chapitre précédent. (Voir schéma)

3. Budgétisation des solutions Il faut ensuite budgétiser précisément les besoins pour mettre en place les projets puis, commandé le matériel, les logiciels, les fournitures... Tous ces éléments doivent êtres compatibles entre eux il faut donc bien vérifiées leurs caractéristiques.

4. Représentation du réaménagement de la salle réseau Pour pouvoir réaménager la salle réseau il faut représenter son organisation et son agencement. Il est donc conseiller de faire un plan voir de représenter la salle réseau et son réaménagement avec un logiciel 3D.

5. Réaménagement de la salle réseau Cette tâche doit ce faire en dehors des heures de travails. Ça durée implique son exécution un week-end. Cette étape implique l’extinction de tous les serveurs et des équipements réseaux. Le changement de l’armoire à brassage demande le débranchement puis le branchement de tous les câbles réseau ainsi que leurs rebrassages.

6. Tests switch Avant l’implantation du ou des switch(s) dans le réseau, il est nécessaire de faire un certain nombre de tests : analyse des possibilités du ou des switch(s), tests de transfert de données à travers le ou les switch(s) et configuration.

7. Mise en place du ou des switch(s) Après la batterie de tests effectués la mise en place du ou des switch(s) est a opérée. Elle doit être fait en dehors des heures de travails des employées. Il faut racké le ou les switchs puis « switcher » les câbles de l’ancien vers le ou les nouveau(x). Un plan de câblages (couleurs des câbles, séparation des machines) doit être prévu auparavant.

FREYBURGER Fabien

30


Audit du réseau Prospectiv

16/04/2010

8. Configuration et tests du serveur DHCP Comme pour le switch le serveur DHCP doit être testé avant d’être mis sur le réseau. Tout d’abord il faut configurer le serveur, puis le tester avec une et plusieurs machines en dehors du réseau exsistant.

9. Mise en place du serveur DHCP Si les tests se sont bien déroulés le serveur DHCP pour être implanté dans le réseau facilement, sans le couper. Il faudra accompagner les utilisateurs au changement dynamique de l’adressage.

10.

Configuration et tests du serveur de fichiers ou NAS

Il est indispensable de tester et configurer le serveur de fichier ou le NAS. Suivant la solution choisie il est possible de devoir mettre en place le RAID matériel, installé les logiciels, les protocoles réseau... Vérifier les transferts de fichiers et les possibilités de la solution.

11.

Transfert des données

Il est obligatoire d’opérer un transfert des données entre l’ancien et le nouveau stockage de fichiers. Cela doit être fait en dehors de heures de travails des employées de l’agence en effet, un tel transfert prendrait du temps, de la bande passante et ralentirait le stockage existant. Après ce transfert la mise en place des droits des différents répertoires et de nouveaux tests doivent êtres effectués.

12.

Mise en place du serveur de fichier ou NAS

Le transfert des données doit être une copie ; ainsi il faut mettre en place un protocole pour permettre de ne pas perdre les données sauvegardées entre le transfert et la mise en place du nouveau système de stockage. Il est nécessaire par exemple de sauvegarder les données sur un autre disque temporairement. Avec ces protocoles, le passage vers le nouveau système de fichiers se fera naturellement sans coupure du réseau ou du système de fichiers. Les utilisateurs auront juste à connecter ce nouveau stockage.

13.

Tests du serveur de polices

Des tests sur le serveur de polices avant son installation sur le réseau sont nécessaires. Vérifier les connexions, mettre en place les polices, configurer les droits sont des opérations à effectuer.

14.

Mise en place du serveur de polices

Après ces révisons la mise en place du serveur est simple, par contre, il est obligatoire d’installer le logiciel client sur les machines des utilisateurs et leur montré le fonctionnement du serveur. Certaines machines utilisant déjà Font Agent Pro, si ce logiciel (Version serveur) est retenu le logiciel client n’aura pas besoin d’être installé sur ces machines.

15.

Configuration et tests du serveur d’applications

Le serveur

FREYBURGER Fabien

31


auudittttttttt  

sfsfsfdsfdfgdfgdfgdfgdfgdfgdfgdfgfdgdfgfdgdfgdgdfgdfgdgf

Advertisement
Read more
Read more
Similar to
Popular now
Just for you