Mathieu TEODORO Candidat n° M326080304 Mathieu TEODORO Candidat n° M326080304 BTS SIO parcours SISR session 2013 PROJET PROFESSIONNEL ENCADRE N° 3 Filtrage des accès aux ressources d'impression
Filtrage des accès aux ressources d'impression DEROULEMENT DE LA MISSION ANALYSE DU BESOIN Etude des informations clés de la lettre de mission Schématisation du besoin DETERMINATION DES PRINCIPAUX PRINCIPES CONSTITUTIFS DE LA SOLUTION Principes préconisés et adéquation aux besoins Impacts prévisionnels de la solution ELABORATION DE LA SOLUTION Les éléments du prototype Réalisation de la solution prototypée Tests de validation REDACTION DU RECUEIL DES CONFIGURATIONS Lien vers une information locale Mathieu TEODORO Candidat n° M326080304 BTS SIO parcours SISR session 2013
CONTEXTE GENERAL Maison des ligues de Lorraine Filtrage des accès aux ressources d'impression MISSION Cette mission consiste à rechercher et à prototyper une solution permettant de filtrer l'accès aux ressources d'impression. CONTEXTE GENERAL Maison des ligues de Lorraine SCHEMATISATION DE LA DEMANDE 3 DOCUMENTS ANNEXES PRODUITS Maquette filtrage impression _ M2L.pkt Présentation_filtrage impression_M2L.ppt Configuration_M2L.txt 1 DOCUMENT RECEPTIONNE Lettre de mission de M. Sapin Mathieu TEODORO Candidat n° M326080304 BTS SIO parcours SISR session 2013
Filtrage des accès aux ressources d'impression DEROULEMENT DE LA MISSION / ANALYSE DU BESOIN Etude des informations clés de la lettre de mission "S'appuyer sur l'existant de la M2L …." Solution d'évolution de l'existant. La solution devra s'appuyer préférentiellement sur les matériels réseaux existants "En évitant des investissements supplémentaires …." Privilégier la mise en œuvre de nouvelles méthodes, de nouveaux services ou de nouvelles configurations pour répondre au besoin "Chaque ligue a reçu …. un espace défini d'adresses" Cela signifie que le réseau initial de la M2L (172.16.0.0/16) a été segmenté …. "La M2L propose aux ligues …. un certain nombre de services …" Malgré la segmentation de la plage globale d'adresses IP entre les ligues, elles doivent pouvoir accéder à des ressources communes du réseau. "Ils supposent que certains …utilisent les moyens d'impression à des fins personnelles" Il s'agit du cœur du problème et donc du besoin. La solution devra permettre de séparer, pour une même ligue, les utilisateurs administratifs des simples adhérents ou visiteurs. Il faudra alors filtrer les accès aux imprimantes pour bloquer les demandes d'impression de adhérents et autoriser celles des administratifs uniquement. "Le service DHCP doit être maintenu …" : La solution devra intégrer un service DHCP comme dans l'existant. Mathieu TEODORO Candidat n° M326080304 BTS SIO parcours SISR session 2013
PROTOCOLES, METHODES, TECHNOLOGIES … Filtrage des accès aux ressources d'impression DEROULEMENT DE LA MISSION / PRINCIPES CONSTITUTIFS Adéquation besoin – principes préconisés BESOIN SPECIFIQUE PROTOCOLES, METHODES, TECHNOLOGIES … préconisés Chaque ligue reçoit une plage définie d'adresses … Segmentation du réseau initial en sous réseaux (CIDR) Le flux de chaque sous réseau sera un réseau virtuel (Vlan) Les ressources d'impression sont des ressources partagées … Les imprimantes appartiendront à un Vlan de niveau III spécifique Configuration de règles de routage ou activation du routage inter Vlan Distribution totale ou partielle des configurations IP aux utilisateurs des ligues … Installation d'un service DHCP. Ce service sera hébergé soit sur un serveur Windows 2008 (variante 1 du PPE), soit sur un matériel Cisco de niveau III (variante 2 du PPE). Séparer les utilisateurs administratifs d'une ligue des simples adhérents … Segmentation des sous réseaux des ligues en 2 autres sous réseaux- Chaque ligue aura alors 2 Vlans. Le service DHCP devra être configuré en conséquence. Simple segmentation par nomenclature interne. Le service DHCP devra être configuré en conséquence Filtrer le flux à destination des imprimantes …. Configuration et activation de règles de pare feu (ACLs) au niveau d'un matériel Cisco de niveau III (variante 1 du PPE) ou au niveau d'un matériel Cisco de niveau II (variante 2 du PPE) Mathieu TEODORO Candidat n° M326080304 BTS SIO parcours SISR session 2013
Filtrage des accès aux ressources d'impression DEROULEMENT DE LA MISSION / PRINCIPES CONSTITUTIFS Impacts de la solution POSITIFS NEGATIFS L'objectif principal sera atteint et les ligues seront assurées de mieux maîtriser leur budget de fonctionnement. Le plan d'adressage de la M2L sera plus complexe. Les utilisateurs de la M2L auront le sentiment d'être dans un environnement informatique mieux maîtrisé. Les matériels sur lesquels seront activées les règles de par feu seront plus sollicités (processeur). Le filtrage des impressions pourra encourager la M2L à imaginer de nouvelles possibilités pour augmenter le niveau de sécurité du site. La configuration des matériels Cisco nécessitera un niveau d'expertise un peu plus élevé pour maintenir la solution (par ex : accueil d'une nouvelle ligue qui souhaiterai profiter de ce filtrage des flux d'impression) Les utilisateurs indélicats devront trouver d'autres lieux pour imprimer des documents ou des posters à usage personnel. Pas d'investissement nécessaire Mathieu TEODORO Candidat n° M326080304 BTS SIO parcours SISR session 2013
Filtrage des accès aux ressources d'impression DEROULEMENT DE LA MISSION / ELABORATION DE LA SOLUTION Eléments du prototype Outils utilisés : Simulateur réseau Cisco Packet Tracer Analyseur de trames Wireshark ou analyseur de paquets sous Packet Tracer Emulateur de terminal console Matériels : 3 commutateurs d'étage de niveau II dans la gamme Cisco Catalyst 2950/ 2960 ou SG300 1 commutateur de cœur de réseau Cisco Catalyst 2950 1 routeur Cisco de la gamme 1800 6 postes utilisateurs 1 imprimante 1 serveur Windows 2003/2008 pour service DHCP (option) Mathieu TEODORO Candidat n° M326080304 BTS SIO parcours SISR session 2013
Filtrage des accès aux ressources d'impression DEROULEMENT DE LA MISSION / ELABORATION DE LA SOLUTION Configuration du Routeur de la maquette. version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname RT1841_M2L_ enable secret 5 $1$mERr$J8D4cDemiKk0HDkK6cIry. username Admin secret 5 $1$mERr$iHk/C.MA7cav8z4XtFSp.. spanning-tree mode pvst interface FastEthernet0/0 no ip address duplex auto speed auto interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address 172.16.11.254 255.255.254.0 interface FastEthernet0/0.12 encapsulation dot1Q 12 ip address 172.16.13.254 255.255.254.0 ip helper-address 172.16.4.1 ip access-group 101 in interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 172.16.21.254 255.255.254.0 interface FastEthernet0/0.22 encapsulation dot1Q 22 ip address 172.16.23.254 255.255.254.0 interface FastEthernet0/0.30 encapsulation dot1Q 30 ip address 172.16.31.254 255.255.254.0 ! interface FastEthernet0/0.32 encapsulation dot1Q 32 ip address 172.16.33.254 255.255.254.0 ip helper-address 172.16.4.1 ip access-group 101 in interface FastEthernet0/0.400 encapsulation dot1Q 400 ip address 172.16.3.254 255.255.252.0 interface FastEthernet0/1 ip address 172.16.7.254 255.255.252.0 duplex auto speed auto interface Vlan1 no ip address shutdown router rip network 172.16.0.0 ip classless access-list 101 deny ip 172.16.32.0 0.0.1.255 host 172.16.0.1 access-list 101 deny ip 172.16.22.0 0.0.1.255 host 172.16.0.1 access-list 101 deny ip 172.16.12.0 0.0.1.255 host 172.16.0.1 access-list 101 permit ip any any line con 0 line vty 0 4 login end Mathieu TEODORO Candidat n° M326080304 BTS SIO parcours SISR session 2013
Filtrage des accès aux ressources d'impression DEROULEMENT DE LA MISSION / ELABORATION DE LA SOLUTION Configuration du commutateur du 2eme étage de la maquette. interface FastEthernet0/11 ! interface FastEthernet0/12 switchport access vlan 20 switchport mode access interface FastEthernet0/13 interface FastEthernet0/14 interface FastEthernet0/15 interface FastEthernet0/16 interface FastEthernet0/17 switchport access vlan 22 interface FastEthernet0/18 interface FastEthernet0/19 interface FastEthernet0/20 interface FastEthernet0/21 interface FastEthernet0/22 interface FastEthernet0/23 interface FastEthernet0/24 switchport mode trunk interface Vlan1 no ip address shutdown line con 0 line vty 5 15 login end version 12.1 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname SW2950_M2L_B2 enable secret 5 $1$mERr$J8D4cDemiKk0HDkK6cIry. username Admin secret 5 $1$mERr$J8D4cDemiKk0HDkK6cIry. spanning-tree mode pvst interface FastEthernet0/1 interface FastEthernet0/2 switchport access vlan 10 switchport mode access interface FastEthernet0/3 interface FastEthernet0/4 interface FastEthernet0/5 interface FastEthernet0/6 interface FastEthernet0/7 switchport access vlan 12 interface FastEthernet0/8 interface FastEthernet0/9 interface FastEthernet0/10 Mathieu TEODORO Candidat n° M326080304 BTS SIO parcours SISR session 2013
Filtrage des accès aux ressources d'impression DEROULEMENT DE LA MISSION / ELABORATION DE LA SOLUTION Test de validation Test de validation de la maquette Le « PC3 » est le poste Adhèrent Il est autorisé à communiquer avec l’imprimante. Mathieu TEODORO Candidat n° M326080304 BTS SIO parcours SISR session 2013
Filtrage des accès aux ressources d'impression DEROULEMENT DE LA MISSION / ELABORATION DE LA SOLUTION Test de validation Test de validation de la maquette Le « PC2 » est le poste Invité Ce poste ne doit pas avoir accès aux imprimante. Nous pouvons observer que sa demande de communication avec « Printer0 » à échoué, elle à été bloquée par le routeur. Mathieu TEODORO Candidat n° M326080304 BTS SIO parcours SISR session 2013