LOT A : Architecture réseau et services DHCP/DNS (William)

# LOT A : Architecture réseau et services DHCP/DNS (William) # Audit de l'architecture réseau existant **Schéma réseau de l'existant** ![](https://i.imgur.com/1QGlZce.jpg) ## Plan d'adressage et sécurité Lors de l'audit de l'infrastructure réseau, nous sommes rendu compte qu'il y avait trop d’adresses IP disponibles dans le plan d’adressage adopté par ECP Multiservices. Tout d’abord, c’est un gâchis car toutes les IP ne sont pas utilisées et c’est aussi une faille de sécurité car il y a plus d’adresses IP exploitable lors d’une attaque. Des tests ont été aussi effectués au niveau des différents protocoles utilisés dans les réseaux, plusieurs failles ont été relevées. Au niveau des règles de filtrage du firewall, certaines règles sont minimalistes et aucun filtrage proxy n'est configuré pour l'accès des utilisateurs à Internet. ## Matériel et câblage Au niveau du matériel réseau, les garanties et support pour les équipements ont tous expiré. **Cisco ASA 5055** ![](https://i.imgur.com/UvjPuCq.png) **Cisco Catalyst 4506-E** ![](https://i.imgur.com/okamTEB.jpg) **Cisco Catalyst 3750** ![](https://i.imgur.com/7GINzkl.png) ![](https://i.imgur.com/1XQboAB.png) Les câbles utilisés pour les connexions des utilisateurs sont des 100 Base TX et 1000 Base TX RJ45 CAT5e U/UTP. Ce sont des câbles bas de gamme (non blindés) généralement utilisés pour les habitations, ils ne sont pas adaptés aux réseaux d'entreprise. Pour le matériel réseau et les serveurs, ce sont des RJ45 CAT6 (classe E) U/FTP, adaptés aux entreprises mais pas le plus adapté pour les connexions haut-débit. ## Accès Internet Le site de Lyon dispose d'une ligne ADSL limité à 100 Mo/s chez le fournisseur d’accès Internet associatif FDN (French Data Network). Le débit des sites de Paris, Bordeaux et Lille est plus réduit (15 Mo/s), toujours chez FDN. Il y a souvent des plaintes des utilisateurs des différents sites concernant des lenteurs sur la connexio Internet. Nous avons utilisé le logiciel PingPlotter pour constater ce problème de lenteur. ## Interconnexion des sites Des accès VPN IPSec et SSL sont aussi fournis par les firewalls Cisco ASA, ce qui permet au site secondaire et aux utilisateurs nomades d'être connecté à Lyon. Une solution en plus ou une autre serait nécessaire pour garantir un bon débit entre les sites et une sécurité en plus pour la connexion des utilisateurs distants. ## Wifi **Cisco Aironet 3800i** ![](https://i.imgur.com/QYT6mrf.png) Au niveau du réseau sans fil, plusieurs bornes, dont la configuration a été faite manuellement, sont installée à chaque étage. Ce qui implique de devoir se déplacer à chaque fois qu'il y a un problème avec une borne. Les bornes sont de modèle **Cisco Aironet 3800i**. La protection utilisée est WPA2. Les utilisateurs et les visiteurs doivent demander le mot de passe au service informatique par mail pour pouvoir se connecter. Ce n’est pas adapté aux réseaux d’entreprise. ## AD/DNS/DHCP L'infrastructure Active Directory dispose d'un seul domaine. Le site de Lyon dispose déjà de deux contrôleurs de domaine sous Windows Server 2008 qui jouent aussi les rôles serveur DNS et DHCP. Les rôles FSMO sont tous présents sur un seul des serveurs. Ce qui représente un risque considérable. Si le serveur tombe tous les rôles sont perdus. Les utilisateurs des sites distants nous ont aussi fait la remarque des lenteurs de connexion sur leur session, surement dues au fait qu'il n'y ait que deux serveurs et qu'ils soient à distance. ## Objectifs Voici les différents points d'amélioration que nous avons pu relever : - Apporter des solutions adéquates pour la sécurité des différents protocoles - Changement du câblage et de l'adressage réseau - Remplacement/Mise à jour des équipements et des OS - Une meilleure débit connexion Internet et inter-sites - Une sécurité en plus du mot de passe pour la connexion VPN SSL - Sécuriser la connexion Wifi - Déployer un nombre de serveurs suffisant pour répondre à la charge de requêtes des clients et apporter une solution qui permette une réduction des coûts et de la place prise par les serveurs. - Revoir les règles de filtrage et les mettre à jour # Solution proposée **Site de LYON** ![](https://i.imgur.com/g1bkmD3.png) **Sites de Paris, Lille, Toulouse** ![](https://i.imgur.com/BjMyMNC.png) **Fortigate 600E** ![](https://i.imgur.com/npx70wf.png) **Fortigate 100E** ![](https://i.imgur.com/0Izd1FT.jpg) Le lien entre tous les réseaux et Internet se fera grâce aux 2 firewalls **Fortigate 600E** qui seront en cluster pour le site de Lyon et 2 **Fortigate 100E** pour les petits sites. Les deux Fortigates seront configuré en haute disponibilité Actif/Passif. C'est à dire qu'un seul supportera la charge jusqu'à ce qu'il tombe et l'autre prenne le relai. **Pourquoi Fortigate :** Une seule appliance, plusieurs fonction : Plusieurs fonction sont centralisées en un seul équipement. Il peut jouer plusieurs rôles et donc éviter l'achat de plusieurs autres équipement pour remplir ceux-là. Ce qui permet une réduction des coûts mais pas au détriment de la sécurité. - Fortigate 600E : 11390€ x 2 - Fortigate 100E : 2047€ x 6 - Fibre Orange 2,5 Go (Lyon) : 1150€/mois - Fibre Colt 2,5 Go (Lyon) : 1200€/mois - Fibre Orange 1 Go : 45€/mois x 3 - Fibre SFR 1 Go : 50€/mois x 3 - FortiExtender 40D : 494€ x8 - Forfait 4G (carte SIM) Coriolis Telecom : 15€/mois x 4 - Forfait 4G (carte SIM) Orange : 57€/mois x 4 ## Connexion Internet La connexion Internet sera gérée par deux lignes de **fibre optique**, une Orange et une autre SFR. ![](https://i.imgur.com/sOpgrfm.jpg) Les **FortiExtenders** serviront de connexion de secours au cas où les fibres tombent. Le FortiExtender permet d'avoir une connexion Internet via la 4G/LTE, via une carte SIM. Les modems opérateurs et les FortiExtender seront directement branchés au Fortigate. Chaque ligne aura un port dédié (les ports WAN seront occupés par les fibres et les FortiExtender auront des ports virtuels une fois configurés). Le **SDWAN** sera configuré pour la répartition de charge et la continuité de service de la connexion Internet. Si un lien fibre tombe, l'autre lien prendra le relai aussitôt. **Comment ça marche?** Les 4 interfaces de sortie vers Internet seront considérées comme une seule interface SDWAN. Sur cette interface SDWAN, sera mise en place des règles pour définir quelle sera l'interface principale pour la connexion du site à Internet, laquelle prendra le relai si un des liens tombe. Nous pouvons aussi affecté des règles de priorité sur les liens. Des **règles firewall IPv4** seront configurées sur le Fortigate pour la gestion des flux entre les différents réseaux (Internet, LAN et réseaux distants) Une solution **antivirus réseau** (qui va analyser les flux Web et de messagerie) est inclue au fortigate. Les fortigates incluent aussi un **système de détection et de prévention d'intrusions**. Une fonction **filtrage Web** pour empêcher les connexions aux sites non-autorisés. Le **SSL Deep Inspection** aussi sera là pour décapsuler les trames HTTPS et les analyser. Mais en contre partie, requiert le déploiement du certificat du fortigate sur tous les postes clients. Avec toutes ces solutions, le firewall jouera le rôle de routeur et serveur proxy aussi. ## LAN / DMZ / WAN **Principe de la DMZ** ![](https://i.imgur.com/r6An1kc.png) Des règles firewall IPv4 seront configurées sur le Fortigate pour la gestion des flux entre les différents réseaux (Internet, LAN et réseaux distants). Une **VM Fortianalyzer VM-GB100** s'occupera de la sécurité au niveau analytique. Fortianalyzer analyse tous les aspects du réseau pour déceler les failles, fait des rapports et est capable de les envoyer par mail. Le **FSSO (Fortinet Single Sign-On)** sera mis en place pour que les utilisateurs puissent se loguer sur le réseau grâce à leur credentials Active Directory. Un agent FSSO sera installé sur les serveurs AD et pourra monitorer les connexions au domaine. ### Câblage Le câblage passera par du RJ45 Catégorie 6a SF/FTP pour la connxion des utilisateurs et les lien d'interconnexion entre les équipements réseaux sera fait par des câbles fibre optique et modules SFP. ## LAN Trois ports du fortigate seront dédiés au LAN, ils seront aggrégé en un lien. ![](https://i.imgur.com/FqmTQ8r.png) Le modèle de Core Switch choisis est le **Cisco Catalyst 9600 Series**, il y en aura deux sur le site de Lyon. ![](https://i.imgur.com/jcf2z30.jpg) Pour les switchs de distribution ce sera des **Cisco Catalyst 9200 Series**. Le trafic du LAN arrivera des fortigates sur les core switchs qui redistribuera vers les switch de distribution. **PAgP (Port Aggregation Protocol)** sera mis en place entre les deux core switchs, c'est un protocole de niveau 2 qui permet la mise en place d’agrégat de liens qui permet de regrouper plusieurs liens physiques en un seul lien logique et ainsi améliorer les performances en termes de bande-passante, de haute disponibilité et de répartition de charge. Les **VLANs** seront configurables aussi sur les Fortigates et leur passerelle par défaut sera configurée comme une interface virtuelle sur les fortigates. Ils serviront de segmentation entre les différents réseaux. ### VLAN & sous-réseaux Les VLANs seront divisés par services, par sites et auront chacun leur sous-réseau. Le nombre d'adresses IP disponibles se verra réduit au nécessaire pour être conforme aux objectifs de sécurité. **LYON:** | Nom | ID | Sous-réseaux | IP Disponibles | Dédié à | Nombre | |---------------|-----|------------------|----------------|------------------------------------------------|-----------------------| | ADMIN | 110 | 172.25.10.0/24 | 254 | Administration d'équipements - Sans Internet | | | RH | 120 | 172.25.20.0/25 | 126 | Utilisateurs du pôle Ressources Humaines | 70 employés | | FINANCE | 130 | 172.25.40.0/26 | 62 | Utilisateurs du pôle Finance | 30 employés | | MARKETING | 140 | 172.25.50.0/25 | 126 | Utilisateurs du pôle Marketing | 80 employés | | LOGISTIQUE | 150 | 172.25.60.0/25 | 126 | Utilisateurs du pôle Logistique | 70 employés | | COMMERCIAUX | 160 | 172.25.70.0/25 | 126 | Utilisateurs du pôle Commercial | 100 employés | | JURIDIQUE | 170 | 172.25.80.0/26 | 62 | Utilisateurs du pôle Juridique | 30 employés | | R&D | 180 | 172.25.100.0/24 | 254 | Utilisateurs du pôle Recherche & Développement | 130 employés | | IMPRIMANTES | 10 | 172.25.110.0/27 | 30 | Imprimantes | 30 imprimantes | | VOIP | 20 | 172.25.120.0/22 | 1022 | Téléphonie | 610 téléphones | | GUEST | 30 | 172.25.150.0/25 | 126 | Réseau Invité Wifi | 100 IP prévues | | DEVS | 40 | 172.25.30.0/26 | 62 | Développeurs Informatique | 40 employés | | SERVERS | 50 | 172.25.130.0/25 | 126 | Serveurs | Environ 100 serveurs | | SECURITY | 60 | 192.168.98.0/25 | 126 | Equipements de sécurité | | | IT | 90 | 192.168.99.0/26 | 62 | Service Informatique | 50 employés | | DMZ | 500 | 10.0.50.0/27 | 30 | DMZ | 26 serveurs | NOT-USED | 70 | NA | NA | VLAN inutilisé | NA | **Petits Sites: Paris, Toulouse, Lille** | Nom | Sous-réseaux | IP Disponibles | Dédié à | Nombre | |---------------|-----|------------------|----------------|------------------------------------------------|-----------------------| | ADMIN | 172.30.10.0/27 | 30 | Administration d'équipements - Sans Internet | | | RH | 172.30.20.0/28 | 14 | Utilisateurs du pôle Ressources Humaines | 6 employés | | FINANCE | 172.30.40.0/29 | 6 | Utilisateurs du pôle Finance | 4 employés | | MARKETING | 172.30.50.0/28 | 14 | Utilisateurs du pôle Marketing | 8 employés | | LOGISTIQUE | 172.30.60.0/28 | 14 | Utilisateurs du pôle Logistique | 7 employés | | COMMERCIAUX | 172.30.70.0/28 | 14 | Utilisateurs du pôle Commercial | 13 employés | | JURIDIQUE | 172.30.80.0/29 | 6 | Utilisateurs du pôle Juridique | 3 employés | | IMPRIMANTES | 172.30.110.0/29 | 6 | Imprimantes | 5 imprimantes | | VOIP | 172.30.120.0/25 | 126 | Téléphonie | 110 téléphones | | GUEST | 172.30.150.0/26 | 62 | Réseau Invité Wifi | 50 IP prévues | | DEVS | 172.30.30.0/29 | 6 | Développeurs Informatique | 4 employés | | REP-SERVERS | 172.30.130.0/25 | 126 | Réplicas des serveurs de LYON | Environ 100 serveurs | | SECURITY | 192.168.96.0/27 | 30 | Equipements de sécurité | | | IT | 192.168.97.0/29 | 6 | Service Informatique | 5 employés | | NOT-USED | NA | NA | VLAN inutilisé | NA | Les switchs de distribution seront stackés pour qu'ils ne soient considérés que comme un seul switch et pour permettre une meilleure gestion de ceux-ci. Il y aura un stack de 4 à 5 switchs par étage. Le protocole **VTP VLAN Trunk Protocol** sera utilisé pour faciliter la propagation des VLANs. Comment ça marche? Un switch servira de serveur VTP qui crééra des annonces lorsque qu'il y a une création/modification/suppression au niveau des VLANs et l'enverra aux clients qui transferera aux autres switchs. le protocole **SNMP (Simple Network Management Protocol)** sera configuré sur les différents switch pour le monitoring. Communauté ECP en Read-Only pour que le système de monitoring puisse récupérer les infos dont il a besoin. La version utilisé sera SNMPv3. Ils utiliseront le protocole **Per VLAN Spanning Tree** qui évitera les boucles dans le réseau pour chaque VLAN. Il sera compléter par : - Le **Switchport Security** qui permet de contrôler les adresses MAC autorisées sur un port). - Le **BPDU Guard** qui permet d'ignorer les trames BPDU (trames qui annonce le switch et permet de recevoir les informations STP de ses voisins). - Le **DHCP Snooping** qui pourra lutter contre les attaques de type DHCP Spoofing (consistant à usurper l'identité du serveur DHCP et se faire passer pour la passerelle ou le serveur DNS ) ou DHCP Starvation (qui vise à épuiser le stock d'adresses IP données par le serveur DHCP en plusieurs demandes avec des adresses MAC usurpées). Avec cette fonction, certains seront indiqués comme fiables pour demander la configuration IP et d'autres non fiables pour éviter les attaques. Les ports inutilisés seront désactivés et mis dans un VLAN inutilisé. D'ailleurs le statuts des ports sera en désactivé par défaut, ils seront activés, si besoin, par l'équipe IT . Et bien sûr, le vlan 1 qui est par défaut sur tous les switchs ne sera pas utilisé. ### Convention de nommage Une convention de nommage sera mis en place pour tous les appareils, avec dedans un indicateur du type/rôle d'équipement, son site et de son numéro. Exemples : FireWall : FW-LY-01 Core Switch : CS-LY-02 Switch : SW-LY-03 Contrôleur de domaine : DC-LY-01 Le nom sur l'étiquette des équipements sera le même que leur hostname. Certaines informations pourront être ajoutées si besoin. - Cisco Catalyst 9600 Series : 10000€ x 8 - Cisco Catalyst 9200 Series : 7300 x 42 ### Wi-Fi ![](https://i.imgur.com/FVrF34B.jpg) Les bornes wifi choisis sont des FortiAP-431F car elles pourront être gérées depuis les fortigates. Les switch Catalyst 9200 Series ont des ports PoE donc pourront alimenter les AP en même temps que fournir le réseau. Le protocole utilisé pour l'authentification sur le réseau Wifi est le PEAP-MSCHAP v2. Il sera couplé avec l'AD pour que les users puissent se connecter avec leur compte AD. Deux serveurs **RADIUS** sous Windows Server 2019 (NPS) s'occuperont de l'authentification couplé aux Fortigates pour la gestion des FortiAP. Un serveur pricipal et un secondaire. Le **filtrage d'adresses MAC** sera activé sur la connexion wifi de l'entreprise pour ne permettre qu'aux appareils autorisés à se connecter et le SSID pour la connexion des collaborateurs sera caché. Le wifi pour les invités sera sur le VLAN Guest qui n'aura accès qu'à une connexion Internet. - FortiAP-431F : 589€ x 75 ## Accès distant ### VPN IPSec ![](https://i.imgur.com/M8VaTQ7.png) La connexion inter-sites d'ECP Multiservices sera assurée par le VPN IPSec des fortigates. ### VPN SSL Les utilisateurs nomades pourront se connecter à distance grâce à leur compte AD au VPN SSL qui sera mis en place. L'application Forticlient VPN devra dont être déployé sur les postes clients nomades. La connexion au VPN SSL sera protégé par leur mot de passe mais aussi par un Fortitoken qui leur sera fourni par l'application pour smartphones disponible sur Android et Apple. La gestion des tokens attribués se fera directement à partir des Fortigates. - Fortitoken : 23 332€ pour 800 tokens ## Virtualisation La virtualisation permet de simplifier votre infrastructure informatique en créant un datacenter plus dynamique et plus flexible. La virtualisation vous permet de réduire vos dépenses d’investissement par le biais de la consolidation des serveurs, et d’améliorer vos coûts d’exploitation grâce à l’automatisation, tout en limitant la perte de revenus en réduisant les interruptions de service programmées et non programmées. **Les avantages :** ▪ Utilisation optimale des ressources d'un parc de machines (répartition des machines virtuelles sur les machines physiques en fonction des charges respectives) ▪ Installation, déploiement et migration facile des machines virtuelles d'une machine physique à une autre, notamment dans le contexte d'une mise en production à partir d'un environnement de qualification ou de préproduction, livraison facilitée ; ▪ Économie sur le matériel par mutualisation (consommation électrique, entretien physique, surveillance, support, compatibilité matérielle, etc.) ▪ Installation, tests, développements, cassage et possibilité de recommencer sans casser le système d'exploitation hôte ; ▪ Sécurisation et/ou isolation d'un réseau (cassage des systèmes d'exploitation virtuels, mais pas des systèmes d'exploitation hôtes qui sont invisibles pour l'attaquant, tests d'architectures applicatives et réseau) ; ▪ Isolation des différents utilisateurs simultanés d'une même machine (utilisation de type site central) ; ▪ Allocation dynamique de la puissance de calcul en fonction des besoins de chaque application à un instant donné ; ▪ Diminution des risques liés au dimensionnement des serveurs lors de la définition de l'architecture d'une application. Un hyperviseur est un système d’exploitation léger qui permet d’installer et d’utiliser plusieurs systèmes d’exploitation sur une même machine physique. Cela donne l’impression que chaque système d’exploitation a des ressources matérielles (CPU, RAM, disques, etc.). En réalité c’est l’hyperviseur qui les contrôle et attribue à chaque machine virtuelle. Deux solutions se démarquent dans ce domaine là, VMWare vSphere et Microsoft Hyper-V. ### Comparatif VMWare vs Hyper-V Ce qui nous intéresse dans ces hyperviseurs, ce sont les options qu’ils proposent et les produits qu’ils peuvent intégrer ainsi que les OS supportés. VMware supporte nativement la plupart des OS présent sur le marché. Alors que, Hyper-V supporte majoritairement Windows et quelques distributions de Linux telle que Red Hat Enterprise, CentOS. De plus, Hyper-V est un service de Windows qui a besoin d’être mis régulièrement à jour donc ça peut poser problème au niveau de la prod, qu’il faudra couper donc possibilité d’arrêt des serveurs pour permettre ces mises à jour. Toutes fonctionnalités de base d'Hyper-V sont intégrées à la licence Windows Server. Microsoft propose très peu d’autres outils, le plus connu et utilisé est SCVMM (System Center Virtual Machine Manager). VMware, à l’inverse, propose une grande variété de produits et est capable de répondre aux attentes de leurs clients. ### Solutions Choisies Nous avons choisit de partir sur une infrastructure virtuelle pour la majorité des serveurs. VMWare est la solution qui a été choisit pour l'infrastructure virtuelle. La version choisie de VMWare : - vSphere 6.7 Les fonctions intégrées à vSphere : - Le serveur **vCenter** servira pour la centralisation de la gestion de la solution de virtualisation. - **VMotion**, il s’agit d’un module qui permet de migrer des machines virtuelles à chaud et permet ainsi la continuité du service lors de l’opération. - **Storage VMotion** permet de migrer automatiquement et à chaud une ou plusieurs machines virtuelles ainsi que leurs disques. Il permet aussi d’extraire des machines virtuelles d’une baie de stockage pour effectuer des opérations de maintenance et de mise à niveau - **DRS (Distributed Resource Scheduler)**, c’est une fonctionnalité qui permet de migrer des machines virtuelles automatiquement dans un cluster. Le but est de répartir la charge en fonction des ressources disponibles. Il est possible d’attribuer un ESXi préféré - **VMware HA (Hight Availability)**, cette fonctionnalité assure la haute disponibilité des machines virtuelles. Si un ESXi tombe en panne, VMware HA permet de basculer la totalité des machines virtuelles vers un autre ESXi de manière automatique et sans interruption de service. - **vSAN** qui vise à fournir un service de stockage et un niveau de service automatisé à travers la couche software depuis l’hôte par laquelle est intégrée et l’abstraction matérielle. ![](https://i.imgur.com/lnN20Vu.jpg) Les hyperviseurs, Les serveurs physiques qui hébergeront les machines virtuelles seront des Dell PowerEdge R740XD2. Il y en aura 4 sur le site principal de Lyon. 4 autres seront sur le site de Paris pour accueillir les réplicas. Au niveau des ressources matérielles, les ESXi disposeront chacun de 2 CPU avec 20 coeurs chacun, 200 Go de RAM utilisable (qui seront extensible par la suite si besoin) et 5 To de stockage utilisables(qui seront eux aussi extensibles au fur et à mesure que le parc de VMs grandit). Les datastores dans lesquels seront contenus les VMs seront configurés en RAID 5. | Type | Nom | Nombre CPU physiques | Nombre de coeurs CPU | RAM (en Go) | Stockage (en To) | |------|-----------|----------------------|----------------------|-------------|------------------| | ESX | ESX-LY-01 | 2 | 20 | 250 | 5 | | ESX | ESX-LY-02 | 2 | 20 | 250 | 5 | | ESX | ESX-LY-03 | 2 | 20 | 250 | 5 | | ESX | ESX-LY-04 | 2 | 20 | 250 | 5 | Le vCenter sera une appliance virtuelle sous distribution Linux et accessible via une interface Web après installation et configuration. Les serveurs physiques qui le pourront seront migré en machine virtuelle. - Dell PowerEdge R740XD2 : 8993€ x 12 - Dell PowerEdge T640 : 1 745 x 3 - Licence VMware vSphere Standard + Support : 990.50€ x 8 + 321.39€ ## Alimentation : ![](https://i.imgur.com/imsbxL6.jpg) Les appareils physiques (réseau et serveurs) le supportant seront branchés sur les onduleurs APC et sur les PDU en même temps, de sorte à ce que s'il y a une coupure de courant ou un dysfonctionnement de l'ondulateur, les équipements soient toujours alimentés en électricité. Tous les équipements physiques choisis ont une double alimentation, ce qui permettra des les brancher à deux sources d'électricité. - APC Smart-UPS SRT 5000VA 230V : 4816€ x 2 - APC Smart-UPS SRT 192V 5kVA : 1470 x 10 - Rack PDU, Basic, 1U, 16A, 208/230V, (12)C13 : 251€ x 12 https://apc.com ## DHCP : **Qu'est ce que DHCP?** Le service DHCP sera géré par les Fortigates. On pourra configuré sur chaque interface (physique ou virtuelle) une option qui activera un serveur DHCP pour le réseau en question. Celà nous évitera de devoir déployer des VMs dédiées pour ce rôle là et de plus les fortigates qui ont été choisis sont assez puissants pour assumer ce rôle en plus des autres rôles. #### Comment sécuriser le DHCP? - Le DHCP est géré par les fortigates et les switchs, des équipements déjà sécurisés. - Le DHCP snooping est configuré sur les switchs ## DNS & Active Directory **Qu'est-ce que le DNS?** Un serveur DNS (Domain Name System) traduit les noms de domaine lisibles par l'homme (par exemple, www.amazon.com) en adresses IP lisibles par une machine. C'est un service qui est indispensable pour la navigation sur Internet. ### Pourquoi sécuriser le DNS? Les requêtes DNS standards, qui sont nécessaires pour presque tout le trafic web, créent des opportunités pour les exploits DNS, comme le détournement du DNS et les attaques en chemin (on-path). Ces attaques peuvent rediriger le trafic entrant d’un site web vers une copie falsifiée du site, collectant ainsi des informations utilisateur sensibles et exposant les entreprises à une responsabilité majeure. ### Mise en place sécurisation DNS - **DNSSEC (DNS Security Extensions)** protège des attaques en signant numériquement les données pour contribuer à en assurer la validité.Le DNSSEC met en œuvre une politique de signature numérique hiérarchique sur toutes les couches DNS. Par exemple, dans le cas d'un site « google.com » un serveur DNS racine signerait une clé pour le serveur de noms .COM, et le serveur de noms .COM signerait ensuite une clé pour le site google.com serveur de noms faisant autorité. **Qu'est-ce que Active Directory?** Active Directory (AD) est la mise en œuvre par Microsoft des services d'annuaire LDAP pour les systèmes d'exploitation Windows. Active Directory répertorie les éléments d'un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes de travail, les imprimantes, etc. L'architecture Active Directory sera multi-domaines. ![](https://i.imgur.com/ZsWul6q.png) **Pourquoi?** Tout d'abord, elle permet aux différentes entités du goupe qui la constitue de fonctionner de manière différente sur certains plans tel que l'organisation. ECP-Multiservices n'est implanté qu'en Europe mais dans plusieurs pays qui peuvent fonctionner de manière différente au niveau des lois, c'est là que ce modèle de fonctionnement est intéressant. Il y aura 5 serveurs DNS/DC virtuels sur le site de Lyon sous Windows Server 2019 Standard. | Nom | vCPU | RAM (en Go) | Stockage (en Go) | |----------|------|-------------|------------------| | DC-LY-01 | 1 | 8 | 200 | | DC-LY-02 | 1 | 8 | 200 | | DC-LY-03 | 1 | 8 | 200 | | DC-LY-04 | 1 | 8 | 200 | | DC-LY-05 | 1 | 8 | 200 | Les rôles FSMO seront répartis de cette manière là : - DC-LY-01 : Contrôleur de schéma, maître d'attribution de noms de domaine et maître RID. - DC-LY-02 : Maitre d'infrastructure et Emulateur PDC Sur les autres sites des serveurs physiques sous Windows Server 2019 Standard seront déployés pour assumer le rôle de serveurs AD en Read-Only. Le serveur AD-LY-02 communiquera avec l'extérieur pour synchroniser la date et l'heure, et servira de serveur NTP de référence pour toutes les machines du réseau car c'est sur celui-là que sera installé le rôle Emulateur PDC. ### Pourquoi sécuriser l'AD? L'AD est centralise les droits, les accès à la plupart des ressources. C'est pourquoi c'est une cible de choix pour les attaques. Si une attaque touche l'AD, la plupart des ressources leur sera accessibles et il serait difficile pour les systèmes d'information de se remettre de cette attaque. ### Mise en place sécurisation AD - Nous allons revoir et mettre à jour toutes les GPO par défaut pour qu'elles priorise la sécurité. - Les droits des différents utilisateurs seront limités au nécessaire, les collaborateurs de l'équipe IT auront un compte personnel + un compte admin avec plus de droits qui leur servira pour gérer l'infrastructure. Les droits et le groupe d'utilisateurs admin devront être revus souvent pour éviter qu'un compte qui n'a rien à y faire y soit. - Les serveurs AD feront partie des serveurs sauvegardés par **Veeam**. - Un serveur **Windows Update** s'occupera de mettre à jour les contrôleurs de domaine. - Le **LDAPS** sera utilisé pour la sécurisation de ce protocole sur le réseau. C'est un protocole supporté par les fortigates aussi. Le certificat du contrôleur de domaine principal sera importé sur les fortigates.