# SAE 3.03 CONCEVOIR UN RESEAU INFORMATIQUE ADAPTE AU MULTIMEDIA Le reseau de notre projet est repartit sur 3 sites. Le principal est le site A. Les sites B et C sont des sites secondaires. Les site sont relies par un VPN IPSec en etoile dont le noeud central est le Site A. Ces VPN relient. - Vlan ressourceA du site au vlan ressourceB du site B - Vlan ressourceA du site au vlan ressourceC du site C ## Topologie  ## Plan d'adressage | SITE | Adresse reseau | masque | passerelle | Nom | | ----:|:-------------- |:------ |:------------ |:----------- | | A | 10.0.8.0 | /24 | 10.0.8.254 | DMZ | | A | 10.1.8.0 | /24 | 10.1.8.254 | Ressource | | A | 10.2.8.0 | /24 | 10.2.8.254 | ClientA | | A | 192.168.1.0 | /24 | 192.168.1.80 | reseau Home | | SITE | Adresse reseau | masque | passerelle | Nom | | ----:| -------------- |:------ |:------------ |:----------- | | B | 10.4.8.0 | /24 | 10.4.8.254 | dmzB | | B | 10.5.8.0 | /24 | 10.5.8.254 | ressourceB | | B | 10.6.8.0 | /24 | 10.6.8.254 | clientB | | B | 192.168.1.0 | /24 | 192.168.1.81 | reseau Home | | SITE | Addresse réseau | Masque | Passerelle | Nom | |:---- |:--------------- |:------ |:------------ |:----------- | | C | 10.7.8.0 | /24 | 10.7.8.254 | DMZ | | C | 10.8.8.0 | /24 | 10.8.8.254 | Ressource | | C | 10.9.8.0 | /24 | 10.9.8.254 | Client | | C | 192.168.1.0 | /24 | 192.168.1.82 | Réseau Home | ## Configuration des interfaces du Pare-feu - **Site A** Après avoir déployer le réseau et configurer les différents machines On a configure les interfaces reseau du Pare-feu  ## Configuration des acces Internet - **Site A** Pour la configuration des acces internet on a configure dabord le Filtrage en utilisant la regle Pass all qu' on a copier en mes_services en ensuite on a mis en place une regle NAT   ## Configuration des tunnels IPSec - **Site A** Dans cette patie on a configuré des tunnels IPSEC de ressourceA vers ressourceB et de ressourceA vers ressourceC. Pour permettre aux vlan ressources des 3 sites de communiquer entre eux avec sécurité. Pour ce faire on a créer des objets réseau représentant ressourceA, ressourceB et ressourceC. Puis on déclare les correspondances pour les VPN IPSec site à site.  Ensuite on a configurer les regles de filtrage Propres a IPSec  ## Installation et Configuration AD DS, DNS, DHCP sur PDCA Nous avons d'abord Changer le nom le Nom de la machine Ressource (PDCA) avans d'installer les services AD DS  Ensuite on a configuré l’AD, le DHCP et le DNS. Le pdca.principal8.rt est SOA pour la zone principal8.rt. Il est joignable à partir des DNS des deux sites B et C.  Puis on a creer deux plage d'addressage pour le dhcp le 10.1.8.50-100 et le 10.2.8.50-100  Enfin le dns une fois installer il se configure automatiquement grace a l'AD DS  Mise en place une regle NAT sur le pare-feu pour les flux dns  Configuration du dhcp relay sur le pare-feu pour requete dhcp de passer et atteidre le serveur ressource  - **Test** **dhcp**  **dns**    ## Documentation et Configuration Split brain On a utilisé une stratégie DNS pour la gestion du trafic basée sur la géolocalisation. - Premièrement, on crée un sous réseau 10.0.0.0/8 qui englobe les sous réseaux des 3 sites: **PS C:\Users\Administrateur> Add-DnsServerClientSubnet -Name "interne" -IPv4Subnet "10.0.0.0/8"** - Deuxièmement, on crée une étendue de zone: **PS C:\Users\Administrateur> Add-DnsServerZoneScope -ZoneName "principal8.rt" -Name "interneScope"** - Troisièmement, on ajoute l’enregistrement pdca à l’étendue de zone: **DnsServerResourceRecord -ZoneName "principal8.rt" -A -Name "pdca" -IPv4Address "10.1.8.128" -ZoneScope "interneScope"** - Quatrièmement, on ajoute l’enregistrement dans l’étendue de zone par défaut afin que le reste du monde puisse toujours accéder au serveur via l’adresse publique : **PS C:\Users\Administrateur> Add-DnsServerResourceRecord -ZoneName "principal8.rt" -A -Name "pdca" -IPv4Address "192.168.1.80"** - Cinquièmement, on crée une stratégie qui connectent le sous-réseaux et les partitions, de sorte que lorsqu’une requête provient d’une source interne, la réponse à la requête est 10.1.8.128 et si c’est d’une source externe, la réponse est 192.168.1.80 : **PS C:\Users\Administrateur> Add-DnsServerQueryResolutionPolicy - Name "internePolicy" -Action ALLOW -ClientSubnet "eq,interne" - ZoneScope "interneScope,1" -ZoneName "principal8.rt"** ## Installation et Configuration RDS sur PDCA - Installation rds  - Choisir installation bureau a distant  - Trois rôles seront installés sur le serveur : Le broker RDS, l'accès RDS via un portail web et le rôle RDS en lui-même. Le Broker sert notamment à répartir les utilisateurs entre plusieurs serveurs (lorsque c'est le cas) mais aussi à gérer les sessions (qu'il stocke en base de données) pour permettre la reconnexion sur le bon environnement en cas de coupure. Le portail web RDS va permettre d'accéder aux applications publiées (RemoteApp) en les exécutant directement à partir du navigateur.  - Apres l'intallation on a une une interface sous cette forme (voir image en dessous)  ### Configuration RDS - Nous allons déclarer notre serveur comme étant un serveur de licence RDS, via le rôle "RDS-LICENSING"  - Afin de configurer un mode de configuration "Par utilisateur" pour l'attribution des licences, il faut que l'on modifie la configuration du rôle RDS Licensing  - Afficher la configuration du licensing  - Mettre fin à une session déconnectée  - création d'une collection nommée "RemoteApp" et qui va utiliser notre serveur SRV-RDS-01 dans le but de publier l'application Wordpad en RemoteApp.  - Vérifier que la collection apparaît bien.  - Désactiver les options "Utiliser des dossiers temporaires par session" et "Supprimer les dossiers temporaires en quittant", on va utiliser cette commande :  - Afficher_la_configuration_d'une_collection_par_catégorie_de_paramètres  - Mettre_fin_a_une_session_deconnecté  - Nous allons déployer l'application native Wordpad afin qu'elle soit accessible en RemoteApp directement à partir du portail RDP Web.  - On peut se connecter avec le compte Administrateur pour tester...  - Notre fameux Wordpad est bien là, prêt à être utilisé en tant que RemoteApp  ## Installation et Configuration WSUS - Ouvrez le « Gestionnaire de serveur », cliquez sur « Gérer » puis « Ajouter des rôles et fonctionnalités ». - Passez le premier écran, et comme « Type d’installation », prenez la première option. Poursuivez. - choisissez « Windows Server Update Services » tout en bas de la liste. L’assistant vous demande si vous souhaitez installer les dépendances, notamment les outils d’administration afin d’avoir la console de gestion, ainsi que le serveur web IIS qui est indispensable au bon fonctionnement de WSUS. Cliquez sur « Ajouter des fonctionnalités » pour valider.  - Cochez les cases « WID Connectivity » et « WSUS Services », tout en sachant qu’il y a deux possibilités pour la base de données WSUS.  - Indiquez l’emplacement des données WSUS, notamment les fichiers de mises à jour.  - Cliquer sur suivant  - Enfin puis Installer  ### Configuration WSUS WSUS est installé sur notre serveur et la base de données est créée. Désormais, nous pouvons lancer la console « Services WSUS » afin d’effectuer la configuration de base.  - Cliquez sur « Suivant » pour commencer. - Nous allons choisir Microsoft Update.  - Cliquez sur « Démarrer la connexion » pour que notre serveur WSUS se connecte sur les serveurs Microsoft Update. Cela va lui permettre de récupérer la liste des systèmes d’exploitation et logiciels pris en charge, les types de mises à jour, et les langages disponibles. Cette opération est assez longue… Je dirais même que vous avez le temps de prendre un café.  - La prochaine étape consiste à choisir les langues de mises à jour. Si vous utilisez seulement des systèmes d’exploitation en français pour vos postes de travail et vos serveurs, vous pouvez choisir « Français » (ou « French »). - Nous devons sélectionner les produits pour lesquels nous souhaitons synchroniser les mises à jour. La liste est très longue et très complète (Exchange, Office, Edge, SQL Server, etc…), vous devez cocher les produits correspondants à ceux que vous utilisez !   - L’étape suivante concerne la classification des mises à jour, c’est-à-dire les types de mises à jour qu’il faut synchroniser sur le serveur WSUS. Les catégories « Mises à jour critique », « Mise à jour de la sécurité » et « Mise à jour » permettent d’obtenir les mises à jour mensuelles publiées par Microsoft, tandis que la catégorie « Mises à jour de définitions » correspond aux mises à jour Windows Defender.  - La synchronisation des mises à jour avec les serveurs Microsoft Update doit être planifiée afin d’être sûr de recevoir les dernières mises à jour.  - Commence la synchronisation  - Dans la console WSUS, si l’on clique sur la section « Synchronisations » à gauche, nous pouvons voir que la synchronisation est en cours puisqu’elle est sur l’état « En cours » / « Running ».  ### Modifier la methode d'affectetion WSUS  - Pour indiquer aux machines qu’elles doivent se connecter à un serveur WSUS (plutôt qu’au serveur de Microsoft), nous devons créer une nouvelle stratégie de groupe. - Avant d’entamer la création de nos stratégies de groupe, nous allons créer nos deux groupes sur le serveur WSUS : « PC » et « Serveurs ». En production, vous pouvez créer également un groupe nommé « Tests » pour tester les mises à jour avant le déploiement à grande échelle. - Ouvrez la console « WSUS », effectuez un clic droit sur « Tous les ordinateurs » puis cliquez sur « Add Computer Group ». Nommez ce premier groupe « PC » puis recommencez pour le second groupe.  - Au final, on obtient l’arborescence suivante :  ### Lier les PC et les serveurs à WSUS par GPO Commençons par créer la stratégie de groupe qui va contenir les paramètres communs à toutes les machines, peu importe leur type (postes de travail et serveurs) - l faut commencer par activer ce paramètre (1), puis définir l’adresse du serveur WSUS comme emplacement pour la détection des mises à jour (2), mais aussi pour les statistiques (3).  - Le second paramètre à configurer se nomme « Configuration du service Mises à jour automatique » (sous « Gérer l’expérience utilisateur final »). Il sert à agir sur le comportement des machines notamment pour télécharger et installer les mises à jour.  - Un troisième paramètre est à configurer afin d’empêcher les machines de se connecter sur les serveurs Microsoft Update pour appliquer des mises à jour.  - **Créez une nouvelle stratégie de groupe nommée « WSUS – PC »** et liez cette GPO à l’unité d’organisation qui contient vos postes de travail. Au sein de mon annuaire, il s’agit de l’OU « PC ».  - Commencez par configurer le paramètre « Autoriser le ciblage côté client » (sous « Gérer les mises à jour proposées de Windows Server Update Service »). Pour cela, activez le paramètre et pour l’option « Nom du groupe cible de cet ordinateur », indiquez « PC », car je vous rappelle que c’est le nom du groupe créé sur le serveur WSUS.  - Dans cette GPO, nous allons configurer un deuxième paramètre nommé « Désactiver le redémarrage automatique pour les mises à jour pendant les heures d’activité  - **GPO WSUS spécifique aux serveurs** Créez une nouvelle stratégie de groupe nommée « WSUS – Serveurs » et liez cette GPO à l’unité d’organisation qui contient vos serveurs, ainsi qu’à l’OU « Domain Controllers » pour cibler les contrôleurs de domaine. Au sein de mon annuaire, il s’agit de l’OU « Serveurs ». **Verification des mise a jour**  # Site B ## 1 - Accès Internet ### Règles de filtrage pass all + règles IPSec Les règles de filtrage nous permettent d'autoriser les flux en provenance du VLAN ressource du site A vers le site B et inversement, ainsi que les flux en provenance d'Internet.  ### Règle NAT pour autoriser les flux à sortir du site B Le NAT permet aux hôtes du réseau local d'accéder à Internet, par le biais de la passerelle et de l'interface WAN du pare-feu, en partageant l'adresse source.  ### Création d'un tunnel IPsec entre le Site B et A Enfin, le tunnel IPsec permet de chiffrer et d'authentifier les flux, ainsi que d'accéder au VLAN ressource du site A et d'y récupérer la forêt plus tard via le RODC.  ## 2 - RODC : Read-Only Domain Server L'ajout d'un RODC dans une infrastructure réseau permet la redondance et l'équilibrage de charge. Il va récupérer la forêt du site A afin de faire une backup. ### Ajout d'un RODC au site B: On récupère donc la forêt du site A avec le compte administrateur, après avoir renseigné la VM dans le domaine.  ### Définit le RODC: On coche ensuite la cache 'RODC', pour le définir en tant que Read Only.  ## 3 - DHCP ### Installation du service  ### Autorise le serveur à utiliser les services AD DS  ### Configuration du serveur: Pool  ### Vérifications: On vérifie le fonctionnement du DHCP avec la commande ci-dessous qui permet de lâcher la précédente adresse IP récupérée avec DHCP.  ### Options avancées: Logs Il est possible de consulter les logs du serveur DHCP, option avancée qui peut être utilisée pour le déboguage, ou la sécurité. ## 4 - WAC Le Windows Admin Center permet notamment la supervision, la gestion des mises à jour, ou encore d'ouvrir des sessions RDP sur les serveurs renseignés. ### Installation du service  ### Interface Graphique: ajout des serveurs  ### Connexion grâce aux identifiants Pour autoriser WAC à se connecter aux serveurs, il faut lui spécifier un compte utilisateur avec des droits valides. Ici, nous utilisons le compte administrateur.  ### Vue d'ensemble Lorsque le serveur est renseigné, il est alors possible d'effectuer de nombreuses actions sur le serveur, ainsi qu'une vue d'ensemble permettant d'obtenir des informations sur la configuration du serveur.  Session RDP :Bureau a distance # Site C ## 1 - Plan d'adressage & Matériel L'architecture cible est celle présentée ci-dessous. Pour y parvenir, il nous a été demandé de suivre un plan d'adressage spécifique.  * **Adressage** | Site C |Addresse réseau | Masque | Passerelle | Nom | | :-- | :------- | :-- | :--------- | :-- | | C | 10.7.8.0 | /24 | 10.7.8.254 | DMZ | | C | 10.8.8.0 | /24 | 10.8.8.254 | Ressource | | C | 10.9.8.0 | /24 | 10.9.8.254 | Client | | C | 192.168.1.0 | /24 | 192.168.1.82 | Réseau Home | * **Matériel** Pour parvenir au travail demandé, nous avons eu comme matériel le matériel qui suit: **1.** 1 PC Windows 10 avec VirtualBox installé **2.** 3 VM Windows 10 dont une est serveur Windows Server 2019 **3.** 1 VM STORMSHIELD **4.** Le réseau de l'IUT pour l'interconnexion des différentes machines du réseau ## 2 - Récupération des VMs et configuration des interfaces de la VM STORMSHIELD * **Vérification des VMs**  * **Configuration des interfaces de la VM STORMSHIELD** Afin que le pare-feu joue le rôle que l'on attend de lui (rôle central) il faudrai bien assigner les interfaces. Interface en Bridge qui sera connecté au réseau de l'IUT  Interface en Réseau interne qui connectera les vlan Ressource et Client  Interface en Réseau interne qui connectera le vlan DMZ  Interface en Réseau privé hôte qui permettra la connection au par-feu depui la machine physique  Vérification de la prise en compte des configurations  ## 3 - Configuration du pare-feu Je me connecte sur le pare-feu en utilisant l'adresse fournie au démarrage de la VM (interface Réseau privé hôte) * Connexion au pare-feu  * Création des interfaces en suivant le plan d'adressage  * Création d'un objet passerelle dans Routage pour diriger les paquets possédant une adresse de destination différente des réseaux qui lui sont directement reliés  * Mise en place des politiques de filtrages et de NAT   * Mise en place du VPN IPSec IPsec permet de sécuriser les données privées lorsqu'elles sont transmises sur un réseau public Ajout d'un correspondant (Passerelle distante int_out SITE A)  Mise en place du tunnel Ipsec  Ajout des règles de sécurité liées au tunel  ## 4 - Installation des services sur le serveur Windows Intégration de la machine au vlan Ressource, attribution d'adresse IP et test de connectivité    Changement de nom et intégration du domaine principal8.rt  Une fois le non changé il a fallu intégrer le domaine principal8.rt avant d'installer les services (1er DNS choisi DNS Site A)  Installation du domaine tertiaire.principal8.rt enfant du domain principal8.rt  L'intégration de la machine SDCC au domaine tertaire s'est faite de mainère automatiquement de même que le DNS qui se réplique sur le dns du site A.  Le DNS du site C a été assigné à la machine SDCC La résolution directe est fonctionnel  Il a fallu configuré la zone inverse et la testé   Il a été demandé d'ajout le DNS du site A comme redirecteur  Installation, configuration du DHCP et création des étendues pour chaque vlan  Mise en place du DHCP Relai sur le pare-feu  Il faut prendre soin de créer un objet serveur avec l'adresse IP du serveur Ressource.