420-AP1-MA

Figure 1: Topologie de la compagnie

SPÉCIFICATIONS DU PROJET

Instructions
Vous avez été embauché par une compagnie de haute technologie à la
fine pointe de la technologie nommée Les Pros des serveurs qui se
spécialise dans l'implémentation et les mises à l'essai de réseaux
complexes utilisant une vaste gamme de technologies incluant
Windows Server 2012/2016, Linux et les dispositifs de réseau Cisco
(concentrateurs, commutateurs et routeurs) et Pfsense. On vous confie
la responsabilité de concevoir un schéma d'adressage IP pour un des
réseaux qui sera mis à l'essai. Vous devez sélectionner les dispositifs
d'interconnexion, proposer une stratégie de gestion du trafic IP,
installer et configurer une partie du réseau et implémenter les services
réseau tels que DHCP, DNS, Active Directory, VPN, etc.
Les diverses tâches que vous devez réaliser impliquent une vaste
gamme de technologies donc vous devez appliquer plusieurs
connaissances, concepts et habiletés acquises au cours de votre
programme d'études.

25 mai 2018
Khalid BOURICHE 1
Conseil: complétez les étapes de ce projet dans l'ordre qu'elles sont
présentées.

Étape 1. Planification de l'adressage IP

La Figure 1 à la fin de ce document illustre la topologie du réseau sur
lequel vous allez travailler. Il s'agit d'un réseau composé de 5
segments avec une connexion Internet. L'adresse réseau interne sera
192.168.x.0 (me demander la valeur de x), et tous les nœuds doivent
avoir des adresses IP hôtes valides à l'intérieur de ce schéma
d'adressage. Vous devez planifier le sous-réseautage IP approprié pour
le réseau de façon à accommoder tous les systèmes et dispositifs
d'interconnexion. Vous devez déterminer toutes les adresses des sous-
réseaux et des hôtes disponibles pour le réseau interne et les réseaux
DMZ. Inscrivez les informations dans le tableau suivant :

Réseaux Masque Net ID 1er Adresse Dernière

utilisable adresse
utilisable

Étape 2. Configuration du routage

a. Activez le routage sur R1 et sur R2.
b. Configurez les routes statiques sur R1 et sur R2 pour permettre
la connectivité des différents hôtes de l’entreprise.
c. Partagez la connexion Internet sur l’interface du routeur R1 se
trouvant sur le segment (E).

Étape 3. Création de listes d'accès

Les hôtes dans les différentes parties du réseau auront des besoins
spécifiques nécessitant un maximum possible de bande passante. Il
est important de gérer le trafic du réseau de façon à ce que les
paquets envoyés entre les parties du réseau qui n'ont pas besoin de
communiquer entre eux soient filtrés et laissés de côté.
À l'aide d'un éditeur de texte, écrivez les commandes nécessaires pour
créer les listes d'accès1 appropriées et appliquez ces dernières aux
interfaces des routeurs pour implémenter les restrictions du trafic IP
suivantes:
 Les ordinateurs sur le segment (E) ne communiquent pas avec
les ordinateurs des segments (I) et (Z1). Ils ne communiqueront
qu’avec les ordinateurs du segment (Z2)
 Il n'y a aucun trafic Telnet entre les ordinateurs du segment (Z1)
et ceux du segment (Z2).
1
Dans le cas de routeurs Linux, utilisez les commandes iptables au lieu des ACL

25 mai 2018
Khalid BOURICHE 2
Étape 4. Administration d’Active Directory
a. Installez le rôle AD DS sur AD1 (contrôleur de domaine principal). Le
domaine de votre organisation doit s’appeler ProServer.ca.
Implémentez la résolution de noms directe et inversée.
b. Puisqu'il s'agit d'un réseau d'essai vous devez créer une série
d'utilisateurs afin d'effectuer un nombre de configurations et essais.
Créez deux (2) unités d'organisation (OU) dans le domaine racine de
la forêt Active Directory. Nommez la première unité Admins et
nommez l'autre unité Utilisateurs. Dans l’OU Admins , créez deux
comptes utilisateur portant les noms Admin1 et Admin2. Dans
l’OU Utilisateurs, créez deux comptes Utilisateur1 et
Utilisateur2 ainsi que le groupe GroupeA. Les deux Utilisateur1
et Utilisateur2 sont membres du groupe GroupeA.
c. Implémentez une stratégie de groupe nommé DSET qui désactive
le traceur d'événements d'arrêt (Shutdown Event Tracker) pour tous
les utilisateurs de l’OU Admins permettant ainsi aux utilisateurs
Admin1 et Admin2 d'arrêter leurs systèmes sans devoir
sélectionner la raison d’arrêt. Pour tous les utilisateurs à l'extérieur
de l'OU Admins, le traceur d'événements d'arrêt (Shutdown Event
Tracker) doit demeurer actif.

d. Pour tous les ordinateurs du domaine, le nom du dernier utilisateur

ne doit pas être affiché au login, les comptes seront bloqués après
trois tentatives infructueuses et le compte administrateur doit être
bloqué. Tous les navigateurs de l’entreprise pointeront vers la page
Web de l'Intranet.

e. Les mots de passe des utilisateurs de l’OU Admins doivent

comporter un minimum de 10 caractères, ils doivent satisfaire aux
exigences en matière de complexité, et stocker à l’aide de
l’encodage réversible. Ils doivent aussi être remplacés tous les 30
jours par un nouveau mot de passe unique, différent des 12
derniers mots de passe sélectionnés par l’utilisateur. Les utilisateurs
de l’OU Utilisateurs quant à eux doivent utiliser des mots de passe
qui comportent un minimum de 5 caractères. Bien qu’ils n’aient pas
à se soumettre aux exigences relatives à la complexité, leurs mots
de passe doivent néanmoins être remplacés tous les 60 jours par un
mot de passe unique, différent des 6 derniers mots de passe
sélectionnés par l’utilisateur. Quelle que soit sa situation dans
l’entreprise (Admins ou Utilisateurs), tout compte utilisateur doit
être verrouillé pour une durée de 2 heures si un mot de passe
invalide est utilisé à 3 reprises pour se connecter au compte au
cours d’une période de 30 minutes. Pour plus de sécurité, toutes les
tâches de gestion relatives aux comptes utilisateurs, tel que la

25 mai 2018
Khalid BOURICHE 3
 création réussit ou non de comptes, la modification ou la
suppression de comptes et toutes les tentatives de connexions
échouées devraient être détectées et consignées.
f. Créez un profil itinérant pour les utilisateurs de l’OU Utilisateurs.

Étape 5. Ajout d'un deuxième Contrôleur de Domaine et le

transfert des rôles FSMO
Configurez AD2 (serveur Core) en tant que contrôleur de domaine
additionnel dans le domaine racine de la forêt. Ensuite transférez tous
les rôles FSMO spécifiques au domaine à ce dernier laissant
uniquement les rôles FSMO propres à la forêt entière sur le premier
contrôleur de domaine AD1.

Étape 6. Configuration d'un serveur VPN

Configurez la machine AD1 comme serveur VPN permettant aux
autres ordinateurs d'y accéder de façon sécurisée. Appliquez la
configuration suivante au serveur
 Seulement 2 connexions vers le VPN doivent être supportées à
l'aide du protocole L2TP et aucune à l'aide du protocole PPTP.
 Le serveur VPN doit permettre les connexions les jours de
semaine seulement (lundi au vendredi) et ce uniquement entre
14h et 17h.

Étape 7. Configuration des services : Web, FTP et DHCP

Le serveur WFD est une machine Windows 2012/2016 Core jointe au
domaine ProServer.ca. Son principal rôle est d’assurer :
a. Le service DHCP pour déployer les configurations IP aux
machines clientes du réseau interne (I). (Un agent de relais doit
être configuré sur l’interface du routeur R2 se trouvant sur le
segment (I)). Effectuez le test sur la machine cliente CLI.
b. Le service Web pour abriter le site Intranet de l’entreprise
ProServer.ca. Le site ne sera consulté qu’à partir du réseau
interne en utilisant l’adresse : www.ProServer.ca.
(Personnalisez votre site en mentionnant les noms des membres
de groupes sur la page d’accueil)
c. Le service FTP pour abriter le site ftp de l’entreprise
ProServer.ca. Le site ne sera consulté qu’à partir du réseau
interne en utilisant l’adresse : ftp.ProServer.ca. Le répertoire
racine de ftp appelé RepFTP est hébergé sur la machine SRV1
(Prévoir un partage SAMBA)

25 mai 2018
Khalid BOURICHE 4
Étape 8. Configuration des services : NTP, DNS, etc.
Sur le routeur R1, Procédez à l’installation et à la configuration des services
suivants:
a. NTP : les machines des zones Interne et DMZ doivent se synchroniser
avec R1;
b. DNS : les machines Linux des réseaux Interne et DMZ utiliserons R1
comme serveur DNS pour résoudre les noms d’hôte de la zone
ProServer.ca. Prévoir deux zones inversées.
c. SSH : Les deux routeurs R1 et R2 doivent pouvoir être gérés à
distance depuis n’importe qu’elle machine Linux.
d. Proxy (Squid) : Configurez sur R1 un proxy transparent. Bloquez la
navigation des sites d’astrologie dont les occurrences figurent sur une
Blacklist.

Étape 9. Configuration des serveurs Linux

- Sur le serveur SRV1, Procédez à l’installation et à la configuration des
services suivants:
a. SSH : on doit configurer un tunnel SSH entre la machine SRV1 et
SRV3.
b. NIS : ce service doit être testé seulement avec la machine SRV2

- Sur le serveur SRV3, Procédez à l’installation et à la configuration des

services suivants:
a. SSH : on doit configurer un tunnel SSH entre la machine SRV1 et
SRV3.
b. Telnet : ce service doit être installé sur SRV3 et doit être testé depuis
les machines SRV1 et SRV2

- Sur le serveur SRV2, Procédez à l’installation et à la configuration des

services suivants:
a. NFS : Créer un répertoire /RepLVM qui sera monté sur un volume à
créer sur SRV2 Testez le partage à partir de SRV2.

25 mai 2018
Khalid BOURICHE 5
 Élément du projet Note
Étape 1. Planification de l'adressage IP 7%
Étape 2. Configuration du routage 8%
Étape 3. Création de listes d'accès 10 %
Étape 4. Administration d’Active Directory 25
Étape 5. Ajout d'un deuxième Contrôleur de Domaine et 7%
le transfert des rôles FSMO
Étape 6. Configuration d'un serveur VPN 8%
Étape 7. Configuration des services : Web, FTP et DHCP 15
Étape 8. Configuration des services : NTP, DNS, etc. 10
Étape 9. Configuration des serveurs Linux 10

BARÈME DE CORRECTION
Votre projet sera évalué sur les éléments suivants:

ÉLÉMENTS À REMETTRE Votre projet doit contenir les éléments

suivants:

 Une page titre

 Cet énoncé de projet

 Les copies imprimées et électroniques de vos listes d'accès, etc.

25 mai 2018
Khalid BOURICHE 6