Portfolio Rayane Oueslati

BTS SIO option SISR

Bienvenue sur la page consacré à l'épreuve E5 du BTS SIO. Celle-ci présente les 2 réalisations personnelles et profesionnelles apporté à notre ilot informatique fourni par l'école.

En enfet, l'école nous met à disposition, par groupe de 3, des laboratoires informatiques de test avec divers équipements physiques afin de pouvoir monter une infrastructure réseau et système.

Vous pouvez consulter les différents éléments relatifs à l'infrastructure général de l'ilot, ainsi que le détail des 2 réalisations présentées à l'épreuve.


Présentation de l'ilot informatique

Notre îlot se compose d'une série de serveurs et de dispositifs réseaux configurés pour imiter un environnement professionnel. Les adresses IP sont structurées en plusieurs sous-réseaux, permettant une segmentation claire et une gestion sécurisée. Des serveurs dédiés aux domaines tels que DHCP, DNS, et NAS fournissent les services essentiels, tandis que l'infrastructure virtuelle repose sur des hyperviseurs ESXi et Proxmox. Un pare-feu et des systèmes de DMZ sont en place pour assurer la sécurité du réseau. En outre, des VLANs sont configurés pour séparer les différents départements tels que la direction, les finances, et l'assurance. L'accès Wi-Fi est également géré au sein de cet îlot.

Dans le cadre de nos réalisations, nous avons intégré des solutions d'administration réseau et développé des politiques de sécurité pour renforcer l'infrastructure existante. Nous avons également mis en œuvre des systèmes de supervision pour surveiller l'état et les performances de l'ensemble du réseau.

Topologie de l'îlot informatique

Table de filtrage Pfsense

Table d'adressage IP

Me contacter Pour obtenir le mot de passe d'accès aux PDF, veuillez me contacter. logo-assurmer

Réalisation 1 : Windows LAPS

Fiche E5

La DSI d’Assurmer nous missionne de mettre en place la solution Windows LAPS (Windows Local Administrator Password Solution) pour renforcer la sécurité des comptes Administrateur locaux des postes de travail et des serveurs.

Windows LAPS va générer un mot de passe robuste et unique pour le compte administrateur local de chaque machine qu'il gère, tout en effectuant une rotation automatique de ces mots de passe. Ils chiffrés et stockés dans l'Active Directory.

Pour pouvoir accéder à ces mots de passes, il faudra avoir les droits pour accéder à la console Windows LAPS installé sur le DC ou via une requête powershell.

Attention, Windows LAPS, est le nom du nouveau produit de Microsoft qui prend la suite de LAPS (legacy) et qui apporte un certain nombre de nouveautés. À commencer par le fait que Windows LAPS est intégré à Windows dans ses dernières versions, contrairement à LAPS (legacy) qui est un agent à déployer.

Windows LAPS fournit une liste d'objet GPO pré-configuré qu'il suffit d'activer et régler selon nos besoins via une stratégie de groupe.

Cette GPO va permettre de définir la politique de mots de passe à appliquer sur le compte administrateur géré, l'emplacement de sauvegarde du mot de passe (Active Directory / Azure Active Directory), mais aussi le nom du compte administrateur à gérer avec Windows LAPS.

Les différentes étapes de configuration de la GPO Windows LAPS se trouvent dans l'annexe :

Topologie LAPS

Nous avons rédigé un guide d'utilisation de Windows LAPS pour les administrateurs système, qui explique comment accéder aux mots de passe générés par Windows LAPS, comment les utiliser pour se connecter aux machines gérées, et comment effectuer une rotation manuelle des mots de passe si nécessaire.

Ce guide est destiné à faciliter l'utilisation de Windows LAPS et à garantir que les administrateurs système disposent des informations nécessaires pour gérer efficacement les mots de passe des comptes administrateurs locaux.

Réalisations 2 : Solution Wi-Fi sécurisé

Fiche E5

Il existe plusieurs protocoles de sécurité WiFi qui sont utilisés pour protéger les réseaux sans fil contre les accès non autorisés.

Voici quelques-uns des principaux protocoles de sécurité WiFi :

  • WEP (Wired Equivalent Privacy) :> C'était l'un des premiers protocoles de sécurité WiFi, mais il est maintenant largement obsolète en raison de ses vulnérabilités. Il est fortement déconseillé de l'utiliser.
  • WPA (Wi-Fi Protected Access) : WPA est une amélioration de WEP et propose des mécanismes de chiffrement plus robustes. Cependant, il existe différentes versions de WPA, telles que WPA, WPA2 et WPA3, chacune améliorant la sécurité par rapport à la précédente.
  • WPA2 (Wi-Fi Protected Access 2) : WPA2 est actuellement le protocole de sécurité le plus largement utilisé pour les réseaux WiFi. Il utilise le chiffrement AES (Advanced Encryption Standard) pour assurer une sécurité plus forte par rapport à WPA.
  • WPA3 (Wi-Fi Protected Access 3) : WPA3 est la dernière norme de sécurité WiFi, introduite pour améliorer encore la sécurité. Il offre des fonctionnalités telles que le chiffrement individuel des données, la protection contre les attaques par force brute, et d'autres améliorations par rapport à WPA2.

Vous trouverez dans l'annexe le détail des protocoles de sécurité WiFi, ainsi qu'une comparaison de leurs avantages et inconvénients.

Topologie Wi-Fi

La société Assurmer nous a mis à disposition une borne Wi-Fi de marque Cisco et de modèle WAP371. Les points d'accès bibandes sans fil AC/N Cisco WAP371 permet de donner de manière simple et économique un accès sécurisé et performant au réseau mobile et à ses fonctionnalités aux employés et aux invités, où qu'ils se trouvent dans vos locaux. Les points d'accès bibandes sans fil AC/N Cisco WAP371 exploite une technologie radio bibande simultanée pour améliorer la couverture du réseau et la capacité de connexions utilisateur.

Pour offrir un accès invité sécuriser aux visiteurs et aux autres utilisateurs, les points d'accès Cisco WAP371 prennent en charge un portail captif et de nombreuses options d'authentification, et permettent de configurer les autorisations, les rôles et les paramètres de bande passante.

Dans notre cas, afin de déployer cette borne dans notre infrastructure, nous avons suivi la démarche suivante :
  • Provisionnement d’un port du switch pour l’accueil de la borne
  • Installation initiale de la borne
  • Création des différents SSID
  • Configuration approfondie de la borne
Pour des informations exhaustives sur chaque étape de l'installation et de la configuration de la borne, veuillez-vous référer à la procédure d’installation et de configuration de la borne Wi-Fi en annexe

Un serveur RADIUS, qui signifie Remote Authentication Dial-In User Service, est utilisé principalement pour l'authentification, l'autorisation et la gestion des comptes d'utilisateurs qui se connectent à un réseau. Cela peut inclure l'accès à Internet, un réseau d'entreprise ou d'autres services réseau comme notre solution Wi-Fi.

Schéma de fonctionnement d'un serveur RADIUS

Notre stratégie radius

Nous avons mis en œuvre la solution Microsoft NPS (Network Policy Server) qui exploite la puissance et la flexibilité de l'Active Directory (AD) pour gérer l'accès Wi-Fi de manière sécurisée et structurée. Cette stratégie repose sur l'utilisation de groupes de sécurité AD et de SSID distincts pour chaque service de l'entreprise, garantissant ainsi une correspondance directe entre les utilisateurs, leur rôle organisationnel et leur accès réseau.

Le but de cette configuration est de permettre à chaque utilisateur de se connecter au réseau sans fil de son service en utilisant ses identifiants AD, tout en s'assurant que l'accès est accordé uniquement au SSID approprié, lié à son groupe de sécurité. En d'autres termes, un utilisateur du service RH ne pourra accéder qu'au SSID RH. Cette approche renforce la sécurité en limitant les possibilités d'accès non autorisé et en simplifiant la gestion des droits d'accès.

La démarche adoptée pour atteindre cet objectif a été de configurer le serveur RADIUS avec des politiques réseaux spécifiques qui prennent en condition non seulement le groupe de sécurité AD, mais également le SSID demandé. Ainsi, lorsqu'un utilisateur autorisé s'authentifie sur un SSID, le serveur DHCP attribue une adresse IP dans le VLAN correspondant, ce qui permet une segmentation réseau efficace et renforce la sécurité globale du système informatique d’Assurmer.

Pour des informations exhaustives sur chaque étape de l'installation et de la configuration de la solution RADIUS, veuillez-vous référer à la procédure d’installation et de configuration de la solution RADIUS en annexe

Nous avons rédigé une procédure de connexion au réseau Wi-Fi pour les utilisateurs que nous communiquons par voie de mail, mais également via le dossier procédure présent dans le dossier Commun du NAS.

Ainsi, tous les utilisateurs peuvent facilement se connecter à la solution Wi-Fi sécurisé mise en place en seulement quelques étapes.

Cette procédure utilisateur explique étape par étape la démarche de connexion au réseau Wi-Fi.