MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l’UNIVERSITE DE YAOUNDE I

:
République du Cameroun
Paix-Travail-Patrie
INSTITUT AFRICAIN
D’INFORMATIQUE
CENTRE D’EXCELLENCE TECHNOLOGIQUE
PAUL BIYA
BP: 13719 Yaoundé-Cameroun
Tel: (+237) 242-72-99-57/242-72-99-58
Site web: www.iaicameroun.com
Email : contact@iaicameroun.com
République du Cameroun
Paix-Travail-Patrie
UNIVERSITE DE YAOUNDE I
BP : 337 Yaoundé
Tél. 222 22 13 20
Site Web: www.webuy1.uninet.cm
Email rect_cab@uy1.uninet.cm
RAPPORT DE STAGE
THEME :
MISE EN PLACE DE SERVICES RESEAUX ET
OPTIMISATION DE LA SECURITE AU SEIN DE
l’UNIVERSITE DE YAOUNDE I
Stage effectué du 01 Juillet au 30 Septembre 2019
en vue de l’obtention du Diplôme d’Ingénieur de Travaux option Systèmes et Réseaus
Rédigé par : MOULIOM MATAPIT Hermann Cédric étudiant en 3ème
année à l’IAI-
CAMEROUN
Sous la supervision :
Académique de :
M MBALLA Anicet
Enseignant IAI-Cameroun
Professionnelle de :
M. ETOUNDI ABOAH Tite Emmanuel
Chef du Centre Universitaire des
Technologies de l’Information, Université
de Yaoundé I
et
Année Académique:
2018/2019

1
MOULIOM MATAPIT HERMANN CEDRIC
IAI-Cameroun, Centre d’Excellence Technologique Paul Biya
Année académique 2018/2020
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA
SECURITE AU SEIN DE L’UNIVERSITE DE YAOUNDE I
DEDICACE
A mes parents M et Mme MATAPIT

2
REMERCIEMENTS
En préambule à ce rapport de stage, nous souhaitons adresser nos remerciements les
plus sincères aux personnes qui nous ont apporté leur aide et ont contribué à l’élaboration de ce
rapport ainsi qu’à la réussite de cette formidable année académique. Nous tenons à remercier
tout particulièrement :
 Mr Armand Claude ABANDA, Représentant résident de l’Institut Africain
d’Informatique représentation du Cameroun, sans qui notre prestigieuse institution
n’aurait pas vu le jour ;
 Mr MBALLA Anicet, notre encadreur académique pour l’orientation, la confiance et
la patience qu’il nous a accordées afin que ce rapport soit ;
 Mr ETOUNDI ABOAH Tite Emmanuel, notre encadreur professionnel pour son
dynamisme, son attention et ses prestigieux conseils ;
 Mr FOSSA pour son encadrement et ses Conseil
 Mr KEULIEU Germain l’Administrateur réseau du CUTI pour son expertise
 Tous nos enseignants de l’IAI-Cameroun ;
 Mon papa Othon MATAPIT, pour son soutien inconditionnel ;
 Ma maman Blandine MATAPIT, pour m’avoir mis au monde et s’être occupée de
moi ;
 Mes camarades pour leurs soutiens et encouragements ;
Aussi nous tenons à remercier tous nos frères et sœurs qui nous ont toujours soutenu et
encouragé au cours de la rédaction de ce rapport de stage, ainsi que tous ceux qui, de près ou
de loin ont contribué à l’élaboration de ce travail.

3
RESUME
L’essor des technologies de l’information et de la communication (TIC) est le premier
acteur du développement fiable, stable et durable d’une nation ; tant que les porteurs de ce
développement seront innovants et par-dessus tout compétents, ce développement se fera. Ceci
montre l’intérêt et l’importance des technologies de l’information et de la communication dans
ce développement qui nous concerne. Le contexte actuel de l’évolution de la technologie est tel
que tout système qui se veut évolutif et efficace ne peut se passer du concept des technologies
de l’information et de la communication (TIC). C’est l’une des raisons fondamentales pour
laquelle l’informatique devient un pilier indispensable et incontournable pour les entreprises et
les administrations désireuses de rester en contact avec leur environnement. C’est ainsi que
l’Université de Yaoundé I nous a accueilli au sein de ses services, ou le thème « MISE EN
PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEINS DE
l’UNIVERSITE DE YAOUNDE I » nous a été confié. Pour mieux aborder ce thème, nous
avons analysé le système d’informations de l’Université de Yaoundé I, ce qui nous a permis de
relever ses insuffisances et de proposer des services permettant de l’améliorer. Pour mettre au
point ces solutions, nous avons tout d’abord fait présentation notre projet, ensuite nous avons
procédé la planification des activités nécessaires pour en place nos différentes solutions, et enfin
nous avons fait une évaluation financière du projet envisagé.

4
ABSTRACT
The development of information and communications technology (ICT) is the first
factor in developing a reliable, stable and long lasting nation; as the bearers of this development
will be innovative and above all competent, the development will be made possible. This shows
the interest and importance of information and communications technology (ICT) in this
development that concerns us. The current context of the evolution of technology is such that
the system that wants to be evolutionary and efficient cannot do without the concept of
information and communication technologies (ICT). It’s a fundamental reason to which the
computer becomes an indispensable and essential pillar for companies and governments
wishing to stay in touch with their environment. This is how the University of Yaoundé I
welcomed us within its services, or the theme " SETTING UP NETWORK SERVICES AND
Optimization SECURITY IN THE UNIVERSITY OF YAOUNDE I » has been entrusted to us.
. To better address this theme, we analyzed the information system of the University of Yaoundé
I, which allowed us to identify its shortcomings and to offer services to improve it. To develop
these solutions, we first presented our project, then we proceeded to the planning of the
necessary activities to set up our different solutions, and finally we made a financial evaluation
of the proposed project.

5
SOMMAIRE
DEDICACE................................................................................................................................ 1
RESUME.................................................................................................................................... 3
ABSTRAC ................................................................................................................................. 4
SOMMAIRE .............................................................................................................................. 5
LISTE DES TABLEAUX.......................................................................................................... 6
LISTE DES FIGURES............................................................................................................... 7
LISTE DES ABREVIATION .................................................................................................... 8
INTRODUCTION GENERALE................................................................................................ 9
INTRODUCTION.................................................................................................................... 11
I. PRESENTATION DE LA STRUCTURE ....................................................................... 12
II. ACCUEIL AU SEIN DU CENTRE UNIVERSITAIRE DES TECHNOLOGIES DE
L'INFORMATIONS................................................................................................................. 16
CONCLUSION ........................................................................................................................ 17
INTRODUCTION.................................................................................................................... 19
I. CONTEXTE RET JUSTIFICATION .............................................................................. 20
II. CAHIER DES CHARGES............................................................................................... 28
CONCLUSION ........................................................................................................................ 33
INTRODUCTION.................................................................................................................... 35
I. GENERALITES SUR LES RESEAUX ET LA SECURITE INFORMATIQUE........... 36
II. PRESENTATION DE WINDOWS SERVEUR ET DU SERVICE ACTIVE
DIRECTORY........................................................................................................................... 55
III. Principe de la supervision et présentation du SMNP .................................................... 65
IV. PRESENTATION DES SOLUTIONS ......................................................................... 72
INTRODUCTION.................................................................................................................... 76

6
LISTE DES TABLEAUX
Tableau 1: Etat des périphériques intermédiaires du réseau de l'UYI source: autheur............ 20
Tableau 2: Etat des périphériques finaux de l'UYI. Source: auteur ......................................... 21
Tableau 3:presentation des services installés de l'UYI. Source: auteur ................................... 23
Tableau 4: critique de l'existant. Source:autheur ..................................................................... 25
Tableau 5: acteurs du projet ..................................................................................................... 29
Tableau 6 : ressources humaines nécessaires. Source : Mercuriale 2019 ................................ 29
Tableau 7:ressources matérielles nécessaires. Source : Mercuriale 2019................................ 29
Tableau 8: :ressources logicielles nécessaires. Source : Mercuriale 2019............................... 30
Tableau 9:structure du lab........................................................................................................ 77

7
LISTE DES FIGURES
Figure 1 plan de localisation de l’UYI source : Word ........................................................... 13
Figure 2 : topologie réseau de l'UYI Conception: Mr Germain, responsable réseau CUTI ... 23
Figure 3: Plan de masse conception: Mr Germain, responsable reseau CUTI......................... 24
Figure 4: diagramme de Gantt du projet. Conception: auteur(Gantt Projet)............................ 32
Figure 5: couches du modele OSI. Source: https://www.supinfo.com/articles/single/4472-
modele-osi ................................................................................................................................ 37
Figure 6: découpage modele TCP-IP. Source: https://fr.wikipedia.org/wiki/Couche_reseau . 39
Figure 7: représentation d'un pare-feu. Source: ....................................................................... 45
Figure 8: schéma d'une DMZ. Source:..................................................................................... 49
Figure 9: reprenstation d'un shema d'Active directory. Source................................................ 61
Figure 10 : architecture SNMP Source: https:netacad.com ................................................... 69
Figure 11 : requête SNMP. Source:https://ram-0000.developpez.com/tutoriels/reseau/Net-
SNMP-1/................................................................................................................................... 72

8
LISTE DES ABREVIATIONS
DMZ : demilitarized zone
UYI : Université de Yaoundé I
OSI (Open Systems Interconnection)
DNS Transmission Control Protocol
TCP/IP Transmission Control Protocol
UDP : User Datagram Protocol
SNMP : Simple Network Management Protocol
SSL : SECURE SOCKET LAYER
VPN VIRTUAL PRIVATE NETWORK

9
INTRODUCTION GENERALE
L’informatique se définit comme la science du traitement automatique et rationnel
de l’information par les ordinateurs. Les technologies de l’information et de la communication
sont aujourd’hui pour les pays du tiers monde un outil de développement. Dans cette optique la
politique camerounaise de développement met un accent particulier sur la formation
d’ingénieurs et techniciens compétents capables d’apporter les solutions qu’il faut pour le
développement de notre pays.
A cet effet, l’Institut Africain d’Informatique (IAI), Centre d’Excellence Technologique
Paul BIYA, établissement d’enseignement supérieur en informatique, intègre dans le cursus de
formation, un stage académique d’une durée de trois mois, à la fin de la troisième année
d’études dans le but de l’obtention du Diplôme de d’Ingénieur De Travaux en Systèmes et
Réseaux. Ce stage doit permettre à l’étudiant de s’imprégner des réalités du monde
professionnel, concilier la théorie à la pratique et faciliter son intégration dans le monde de
l’emploi. L’institution qui accueille l’étudiant participe ainsi à la formation de ce dernier, tout
en respectant les spécifications du stage énoncées dans le « Cahier de Charges de l’étudiant ».
C’est dans ce cadre que nous avons été retenu pour un stage académique de trois mois
allant du 01 Juillet au 30 Septembre 2019 à l’Université de Yaoundé I (UYI), ou nous avons
été affecté au « Centre Universitaire des Technologies de l'Informations (CUTI) ». Au cours de
ce stage il nous a été attribué comme thème de travail « LA MISE EN PLACE DE SERVICES
RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE L’UNIVERSITE DE
YAOUNDE I».
Dans la suite de notre document il sera question de présenter la mise en place de services
tel que le Contrôleur de domaine, le serveur web et serveur de fichier ; ainsi que
l’optimisation de la sécurité avec des outils tel que PFSENSE ,SNORT ET NAGIOS

10
PHASE D’INSERTION
RESUME :
C’est dans le but d’acquérir des connaissances dans le monde professionnel, que nous
effectuons des stages académiques. Ces stages permettent de s’exercer de manière pratique
dans divers domaines informatiques. Ce qui implique une profonde connaissance de
l’entreprise. Ainsi, la première partie de notre stage est la phase d’insertion et le présent chapitre
est un compte-rendu détaillé des présentations de l’entreprise qui nous ont été faites au cours
de cette phase.
APERCU :
Introduction
I. Présentation de la structure
II. Accueil au sein du Centre Universitaire des Technologies de l'Informations
Conclusion

11
INTRODUCTION
L’insertion professionnelle est un processus permettant aux étudiants de lier les outils
et préceptes théoriques apprises, aux aspects et réalités pratiques. A cet effet l’Institut Africain
d’informatique « Centre d’Excellence Technologique Paul BIYA » confronte ses étudiants de
troisième année à un stage académique sollicité par ceux-ci auprès des entreprises de la place.
C’est à cette occasion que l’Université de Yaoundé 1 nous a ouvert ses portes pour une durée
de trois mois, pendant la période du 01 juillet 2019 au 30 septembre 2019. Nous allons tout au
long de cette partie procéder à une présentation de notre hôte, de l’accueil qui nous a été réservé,
et du thème sur lequel nous nous sommes consacrés tout au long de notre stage.

12
I. PRESENTATION DE LA STRUCTURE
A. Présentation Générale De l’Université De Yaoundé 1
1. Historique
Créée par décret N° 93/036 du 29 janvier 1993, l’Université de Yaoundé I est un
établissement public, scientifique et culturel doté de la personnalité morale et de l’autonomie
financière. Elle est placée sous la tutelle du Ministre de l’Enseignement Supérieur.
C’est en octobre 1961 qu’un établissement d’enseignement supérieur voit le jour au Cameroun
sous la dénomination de l’Institut d’Etudes Universitaires. Par la suite, le 26 juillet 1962, est
créée l’Université Fédérale du Cameroun, qui devient en 1973 l’Université de Yaoundé. La
réforme universitaire de 1993 institue la création de six universités d’Etat dont l’Université de
Yaoundé I. Suivant les dispositions de l’article 2 du décret n° 93/036 du 29 janvier 1993 portant
organisation administrative et académique de l’Université de Yaoundé I,
L'Université de Yaoundé I s'étend sur un vaste territoire composé de cinq campus :
 Le campus principal de Ngoa-Ekelle qui abrite le Rectorat et services centraux, la
Faculté des Arts, Lettres et Sciences Humaines (FALSH), la Faculté des Sciences (FS),
la Bibliothèque Centrale (BC), le Centre Universitaire des Technologies de
l’Information (CUTI), le Centre Médico-social (CMS), la Cité Universitaire,
 Le campus excentré de Ngoa-Ekelle qui abrite l’Ecole Nationale Supérieure
Polytechnique (ENSP) et la Faculté de Médecine et des Sciences Biomédicales (FMSB)
 Le campus de l'Ecole Normale Supérieure (ENS),
 Le campus de Nkolbisson où se trouve le Centre de Biotechnologie (CBT),
 Le campus de Bambili qui abrite l’annexe de l’Ecole Normale (ENSAB).

13
2. Missions de l’université de Yaoundé 1
L’Université de Yaoundé a pour missions :
 d’élaborer et de transmettre les connaissances,
 de développer la recherche et la formation des hommes et des femmes,
 de porter au plus haut niveau et au meilleur rythme de progrès les formes
supérieures de la culture et de la recherche,
 de procurer l’accès à la formation supérieure à tous ceux qui en ont la vocation,
 de concourir à l’appui au développement et à la promotion sociale et culturelle,
 de développer la pratique du bilinguisme.
3. Situation géographique
L’Université de Yaoundé I est située au quartier Ngoa-Ekelle, entre le Lycée Général
Leclerc et l’Ecole Nationale des Postes et Télécommunication. Sa localisation est pesenté par
le schéma de la figure 1 .
Figure 1 plan de localisation de l’UYI source : Word

14
4. Organisation
L’université de Yaoundé 1 est sous la direction du Professeur Maurice Aurélien Osso recteur
de cet établissement. Cependant l’université de Yaoundé 1 est composée de quatre facultés et
trois grandes écoles à savoir :
 Facultés des Arts, Lettre et Sciences Humaines (FALSH)
 Facultés des Sciences (FS)
 Facultés de Médecine et de Sciences Biomédicales (FMSB)
 Facultés des Sciences de l’Education
 Ecole nationale supérieure polytechnique
 Ecole normale supérieure
 Institut Universitaire des Technologies du Bois
5. Organigramme

15
B. Présentation Du Centre Universitaire Des
Technologies De l’Information De l’Université De
Yaoundé I
Le Centre Universitaire des Technologies de l’Information (CUTI) est la direction dans
laquelle nous avons été affectés dans le cadre notre stage.
Crée en 1984 sous l’appellation de Centre de Calcul de l’Université de Yaoundé I, le CUTI
ci est dirigée par monsieur ETOUNDI ABOAH Tite Emmanuel. Il a pour missions :
 . d’administrer le réseau de campus ;
 d’organiser la mise en œuvre de la politique de l’université en matière de technologie
de l’information et de la communication ;
 d’assurer une fonction continue dans les principaux domaines des technologies de
l’information et de la communication ;
 développer une ingénierie de la réseautique et des systèmes d’information

16
II. ACCUEIL AU SEIN DU CENTRE
UNIVERSITAIRE DES TECHNOLOGIES DE
L'INFORMATIONS
A. Accueil
Nous sommes le 01 juillet 2019 lorsque nous nous présentons dans les locaux de l’Université
de Yaoundé 1 pour le début de notre stage. Nous sommes reçus chacun par notre encadreur
notamment monsieur ETOUNDI Chef du Centre Universitaire des Technologies de
l’Information (CUTI). Après quelques questions liées à nos connaissances, ce dernier nous a
confirmé sa disponibilité en faveur de nos préoccupations. Par la suite il nous a conduits vers
notre futur espace de travail.
B. Intégration
Tout au long de notre phase d’insertion qui a duré deux semaines, il a été
question de nous familiariser et de nous adapter avec notre structure d’accueil. Pendant ces
deux semaines nous avons progressivement découvert l’ensemble de la structure ; il a été
question d’autre part de discuter sur les sujets préoccupant l’Université de Yaoundé I et
cadrant avec notre formation académique : sujets dont l’un fera l’objet de notre thème de
stage.

17
CONCLUSION
Durant ces deux semaines de stage dite période d’insertion, nous pouvons dire avec
beaucoup d’assurance que l’accueil qui nous a été réservé à facilitera le bon déroulement de
notre stage dans la structure tant sur le plan social que matériel. L’ensemble du personnel et
plus particulièrement notre encadreur fait preuve d’une très grande disponibilité à notre égard;
le stage se déroule dans un climat convivial caractérisé par une bonne collaboration entre les
stagiaires et notre encadreur professionnel. Cette institution a mis à notre disposition toutes
les ressources nécessaires pour pouvoir mener à bien notre projet. Il sera question pour nous
au cours des prochains jours de mobiliser nos efforts physiques, matériels et intellectuels pour
mener à terme ce projet.

18
CONTEXTE ET
PROBLEMATIQUE
RESUME :
Dans cette partie, il sera question de prime abord, d’étudier l’existant de l’environnement
dans lequel nous nous trouvons afin de le critiquer, d’y dégager la problématique et de proposer
d’éventuelles solutions. Par la suite, il nous sera soumis un cahier de charges qui sera suivi de
l’évaluation des coûts et de la planification des tâches.
APERCU :
Introduction
I. Contexte Et Justification
II. Cahier De Charges
Conclusion

19
INTRODUCTION
Après avoir pris connaissance de l’entreprise, nous procèderons à une analyse de
l’existant afin d’appréhender les limites de son système d’information. Après quoi nous le
critiquerons et proposerons des éléments de solutions par la suite.

20
I. CONTEXTE ET JUSTIFICATION
A. Etude De L’existant
L’Université de Yaoundé I est une structure ayant pour champ d’activité principale
l’éducation. Pour l’accompagner, le Centre Universitaire des Technologies de l’Information
(CUTI) s’acquitte des taches suivantes :
 Administrer le réseau de campus ;
 Organiser la mise en œuvre de la politique de l’université en matière de technologies de
 Assurer une fonction continue dans les principaux domaines des technologies de
 Développer une ingénierie de la réseautique et des systèmes d’information.
Le CUTI est donc responsable de la mise en place et la gestion du système d’information.
Il doit fournir à l’université un ensemble de services afin d’améliorer ses performances.
Toute action visant à apporter des modifications à un système d’information dans le but de
l’améliorer, doit d’abord passer par une connaissance de l’ensemble des différents éléments
constituant l’architecture de son système d’information.
1. Evaluation du réseau de l’UYI
a) Périphériques intermédiaires
Les périphériques intermédiaires ont pour rôles de relier les périphériques finaux. Ceux
de l’université sont résumés dans le tableau suivant :
Tableau 1: Etat des périphériques intermédiaires du réseau de l'UYI source: autheur
Type
d’équipements
Marques Caractéristiques Nom
bre
Etat
Switch Cisco 3560 48 ports PoE, 2 ports Uplink
10 Gigabit Ethernet,
Routage IPv6, routage
Multicast, et filtrage par
liste de contrôle d’accès
(ACL) en hardware
… En fonction
Routeur MICROTIK
750G
Atheros AR7161 680MHZ
CPU, 32MB SDRAM, No
serial port
01 Fonctionnel

21
Routeur Cisco Catalyst
2960- -24TT
24 ports Ethernet 10/100 et
2 ports Gigabit Ethernet
10/100/1000
… En fonction
Point d’accès
PoE
FIBRE
CAMTEL
Débit 150 mbpx max
Wifi 802.11 bgn sur
2.4GHZ.
Puissance Max 6000mw
Alimentation PoE Chipset
Ahteros et MIPS 24kc, 400
MPZ, 32MB SDRAM 8 MB
flash, firmware AirOS v5
01 Fonctionnel
Pare-feu CISCO ASA
5500
Débit du firewall Jusqu’à
450 Mbits/s
Débit de protection
simultanée contre les
menaces (firewall + services
IPS) Jusqu’à 225 Mbits/s
avec l’AIP-SSM-10 Jusqu’à
375 Mbits/s avec l’AIP-
SSM-20 Débit du VPN
Jusqu’à 225 Mbits/s
Interfaces 4 ports Gigabit
Ethernet et 1 port Fast
Haute disponibilité
Actif/actif, actif/veille
01 Fonctionnel
b) Périphériques finaux
Le réseau de l’université comporte plusieurs périphériques finaux présentés dans le tableau ci-
dessous.
Tableau 2: Etat des périphériques finaux de l'UYI. Source: auteur
Types Marques Caractéristiques
Matérielles
Nombre Etat
Laptop Bureau DELL Latitude
D520
HDD : 56,8 GB
RAM : 2GB
CPU : Intel Core
Duo CPU
2.8GHz*2
ECRAN: 15
05 En
fonction
Smart-phone … … 01 En
fonction
Serveurs HP Elite 8300 DD:500Go 01 En Fonction

22
RAM: 4Go,
CPU: 2.5
GHz,Intel Xeon
Quad-Core
Imprimante HP Deskjet 2540
multifonction
Imprimante,
Scanner,
Copieuse, Wifi,
taille des gouttes
: NC,
Recto/Verso :
oui, Vitesse
N&B / couleur
8.8 ppm / 5.2
ppmv
Nombre de
cartouche : 2
Nombre de
couleurs de base
: 4
01 En fonction
Téléphone IP Panasonic –KX-
T2375 MXW
Power source:
30v Dial
Speed:
Tone(DTMF)Pul
se(10pps)
Speaker Unit:
5.7cm (2.5”) PM
dynamic type,
150 Ω (ohm).
01 En fonction
c) Topologie réseau
La topologie réseau implémenté au sein de l’université est la suivante :

23
Figure 2 : topologie réseau de l'UYI Conception: Mr Germain, responsable réseau CUTI
d) Services réseaux installés
Plusieurs services réseaux ont déjà été implémentés au sein de l’Université de Yaoundé
I. Ils sont présentés dans le tableau suivant :
Tableau 3:presentation des services installés de l'UYI. Source: auteur
Services Description
Serveur messagerie C’est un logiciel serveur de courrier
électronique. Il a pour vocation de transférer
les messages électroniques d'un serveur à un
autre.
Serveur de base de données Un serveur de base de données est un serveur
qui utilise une application de base de
données qui fournit des services de base de
données à d'autres programmes
informatiques ou à des ordinateurs, comme
défini par le modèle client–serveur

24
Serveur web Un serveur web est spécifiquement un
serveur multi-services utilisé pour publier
des sites web sur Internet ou un Intranet.
L'expression « serveur Web » désigne
également le logiciel utilisé sur le serveur
pour exécuter les requêtes HTTP, le
protocole de communication employé sur le
World Wide Web
Serveur RADIUS RADIUS est un protocole client-serveur
permettant de centraliser des données
d'authentification.
e) Plan de masse
Figure 3: Plan de masse conception: Mr Germain, responsable reseau CUTI

25
f) Observations
De l’analyse du système existant, l’on relève ce qui suit :
 Le CUTI est le service informatique de l’université. L’université quant à elle est
composée de plusieurs Facultés et Services comme représenté dans le plan de masse.
Ainsi, un réseau a été développée au seins de l’université, qui permet à un utilisateur
d'accéder à des applications ou à des données stockées sur un ordinateur distant au
moyen d'une connexion réseau.
 La plupart des changements et mises à jour se font directement sur les machines
utilisatrices, ce qui ne permet pas une maintenance et une administration plus
centralisée.
 Les vulnérabilités et les failles des systèmes informatiques sont continuellement
découvertes, et les risques d’attaques à distance ne font également qu’augmenter.
Actuellement, les pare-feu permettent de réduire partiellement ces risques. Cependant
un réseau protégé par un pare-feu demeure tout de même pénétrable étant donné
qu’une menace peut accéder tout de même au réseau à travers ce dernier, ce qui est
un problème important à gérer.
 La DMZ est composée de plusieurs serveurs physiques et virtuels et distribue des
services dans tout le campus.
 La connexion CAMTEL arrivant au CUTI est distribuée dans tout le campus aux
étudiants comme aux personnels et enseignants de l’université via connexion filaire
et sans fils
 Le CUTI envisage une alternative à leur routeur MIKROTIK.
 Un projet de conception et de déploiement d’une application pour la grande campagne
de recensement des procès-verbaux du matériel de l’université est en cour.
B. Critique De L’existant
Les limites de l’existant et les solutions proposées sont résumées dans le tableau ci-
dessous :
Tableau 4: critique de l'existant. Source:autheur
Critiques Conséquences Solutions proposées

26
Les ressources ou données de
l’entreprise sont décentralisées
et non organisées en fonction
des divisions de l’entreprise,
de leurs priorités et celles des
utilisateurs.
Absence de services de
transfert, de partage de fichier
et d’imprimante.
-Le partage ou transfert de
documents est non sécurisé et
fastidieux ;
- Inefficacité dans le travail, ce
qui peut influencer le
rendement ;
-Aucune traçabilité des
activités
Installer un contrôleur de
domaine Windows SERVER
Appliquer une politique
sécurité et une stratégie de
groupe au sein du campus
Les serveurs web présents sont
accessibles depuis internet
uniquement.
Même les applications
destinées uniquement au
personnel de l’université les
applications sont accessibles
uniquement via internet
La campagne de récolte des
procès-verbaux du matériel
informatiques se fait
manuellement au sein du
campus
-Ralentissement des activités ;
-Baisse de la productivité ;
-Indisponibilité des services en
cas de ralentissement ou de
coupure de la connexion
internet ;
-La récolte est lente et les
données ne peuvent pas
facilement traitées
-Mise en place d’un serveur
Web sécurisé sur Debian
-Conception d’ une
application de récolte des
procès-verbaux adaptée à
l’entreprise
-L’alternative au ROUTER
pare-feu MIKROTIK n’est pas
encore trouvée
-Redondance de la connexion
Internet par utilisateur ;
-Chute du débit de la
connexion Internet ;
-Ralentissement voire même
paralysie des activités ;
-Retard probable sur les
échéances ;
-Mettre en place le pare-feu
open source Pfsense
Les performances , l’état ,
l’intégrité n’est pas centralisé
et aucun IDS n’est implémenté
-Les serveurs peuvent être
attaqués depuis l’intérieur
comme depuis l’extérieur sans
que l’administrateur ne soit au
courant
-La défaillance d’un composant
du système est difficilement
remarquée et prévisible
-Mettre est place un IDS
(SNORT).
-Implémenter une solution
de monitoring.

27
C. Problématique
Les limites du système observées précédemment suscitent des interrogations quant à leurs
résolutions. Celles de savoir :
 Comment centraliser et sécuriser les ressources de l’entreprise ?
 Comment contribuer à booster d’avantage les activités et augmenter considérablement
la productivité de l’entreprise ?
La solution proposée pour résoudre cette problématique, est la mise en œuvre de plusieurs
services qui permettront la centralisation de l’administration des ressources du réseau, la
sécurisation du réseau et l’automatisation des taches. D’où le thème choisi dans le cadre des
travaux de notre stage.

28
II. CAHIER DES CHARGES
Le cahier des charges peut être défini comme étant un document contractuel décrivant
ce qui est attendu du maître d’œuvre par le maître d’ouvrage. Il s’agit d’un document décrivant
de la façon la plus précise possible, avec un vocabulaire simple, les besoins et exigences
auxquels le maître d’œuvre doit répondre.
L’université éprouve des besoins et des exigences relatives à la sécurité et l’efficacité
du système d’information son entreprise.
A. Exigences Fonctionnelles
Il s’agit principalement d’installer et de configurer les services suivants :
 Un serveur DNS : pour la résolution du nom de domaine en adresse IP correspondante;
 Un serveur Active Directories (LDAP): pour l’organisation et la gestion de l’annuaire
de l’entreprise
 Un serveur FTP : pour le transfert et le partage de fichier au sein du réseau local ou à
travers Internet;
 Un serveur PROXY : pour pouvoir filtrer le trafic réseau grâce aux ACL ;
 Un cluster Web : pour assurer la tolérance de panne et la continuité du service Web ;
 Un PORTAIL CAPTIF : pour palier à la redondance de connexion ;
 Gestion de la Bande passante : pour la répartition équitable de la bande passante.
 Un pare-feu : pour sécuriser les trafics entrants et sortants du réseau ;
 Un serveur de monitoring : pour la surveillance des serveurs de la DMZ
 Un serveur de sauvegarde (serveur Backup)
B. Contraintes
Les contraintes suivantes devrons être respectées
 Le système devra être opérationnel 24/7 ;
 Le système devra pouvoir supporter un trafic dense ;
 Le système devra être évolutif.
C. Les Acteurs Du Projet
Les différents acteurs intervenant dans la réalisation de ce projet sont presenté dans le tableau
suivant

29
Tableau 5: acteurs du projet
Acteur Titre Fonction
M. ETOUNDI ABOAH Tite
Emmanuel
Chef du Centre
Universitaire des
Technologies de
l’Information (CUTI)
Maitre d’ouvrage
M BALLA Anicet Enseignante à l’IAI-
Cameroun
Encadreur académique
M. MOULIOM MATAPIT
HERMANN CEDRIC
Etudiant en troisième
année système et réseau à
l’IAI-Cameroun
Maître d’oeuvre
A. Ressources Nécessaires
1. Ressources humaines
Tableau 6 : ressources humaines nécessaires. Source : Mercuriale 2019
Rôle Quantité Durée
(mois)
Honoraires
(FCFA)
Montant
Total (FCFA)
Chef de projet
1
3 250 000 3 750 000
Technicien 1 3 150 000 2 250 000
Documentaliste 1 3 100 000 300 000
Imprév
us
100 000
COUT TOTAL (FCFA) 6 400 000
2. Ressources matérielles
Tableau 7:ressources matérielles nécessaires. Source : Mercuriale 2019
Nom Quanti
té
Caractéristiq
ues
Rôle Prix
unitaire
(FCFA)
Prix
Total
(FCFA)

30
Ordinat
eur
2 Desktop HP
Core i3
2.5GHZ,
RAM 4G,
HDD 500G.
-Machine
serveur
Windows
serveur et
Machine serveur
web Debian
950 000 1 900 000
Mini
PC
1 Mini PC
QOTOM
Q190G
6S02+DISQU
E SSD
KIGSTON
SSDNow
MS200
MSATA(120g
o)+memoire
RAM DDR3L
Pare-feu
Pfsense
176 850 176850
Ordinate
ur 1 Desktop HP
Core i2
2.5GHZ,
RAM 3G,
HDD 500G.
Machine serveur
de
monitoring
et backup
400 000 400 000
Câble
réseau
5
mètr
es
Ethernet à
paire torsadé
catégorie 6E
Interconnexio
n des
équipement
s
5 500 5 500
Connecte
urs RJ45
2
paqu
ets de
10
blindé Relier les
extrémités des
câbles après
sertissage
2 200 4 400
COUT TOTAL
(FCFA)
586 750
3. Les ressources logicielles
Tableau 8: :ressources logicielles nécessaires. Source : Mercuriale 2019
Noms Quantité
s
Rôles Prix
(FCFA)
Ubuntu server
17.04 LTS
1 Héberger le serveur backup
Et le serveur de monitoring
Gratuit

31
Debian 9 1
Héberger le serveur Web
Gratu
it
Hyper V 1 Simuler notre réseau
et Virtualiser nos
machines
Inclus dans
Windows
Windows serveur
2012 R2
1 Héberger le serveur
DNS et le
contrôleur de
domaine
550000
Putty 1 Emuler nos
différents
terminaux à
distance
Gratuit
Gantt Project 1 Planifier le projet Gratuit
MS Office 2016 1 Rédiger le présent
rapport
350000
PFsense 1 Pare-feu+proxy+Portail
Captif
Gratuit
Edraw Max 7.9 1 Dessiner les
différentes
topologies du réseau
Gratuit
COUT TOTAL (FCFA) 900000
Ainsi le cout total de mise en oeuvre de ce projet, compte tenu de sa durée, la main d’oeuvre et
le matériel nécessaire à sa réalisation est estimé à 7 886 750 FCFA
B. Planification Des Taches
Tous projet sérieux se doit d’être limité dans le temps. C’est pour cette raison que nous avons
planifié notre travail afin de mieux nous organiser. Ceci grâce au diagramme de Gantt ci-
dessous :

32
Figure 4: diagramme de Gantt du projet. Conception: auteur(Gantt Projet)

33
CONCLUSION
Nous avons dans ce chapitre de fait l’étude de l’existant de l’entreprise et la critiquer ce
qui nous a permis de proposer des solutions pour y remédier. Le chapitre suivant porte sur
l’étude des différentes solutions proposées qui aboutiront au choix des solutions qui
correspondent aux attentes de l’entreprise.

34
METHODOLOGIE
RESUME :
Ce chapitre présente la démarche scientifique que nous suivrons afin de résoudre le
problème posé. Ceci passera par une étude préalable qui découlera sur le choix des différentes
solutions utilisées.
APERCU :
Introduction
I. Généralités sur les réseaux et la sécurité informatique
II. Présentation de Windows serveur et du service active directory
III. Principe de la supervision et présentation du SNMP
IV. Présentation des solutions
Conclusion

35
INTRODUCTION
Comme mesures envisagées pour pallier aux différents problèmes rencontrés au sein de
l’Université de Yaoundé I, nous avons choisi de mettre sur pied un ensemble de services
sécurisés au sein du réseau existant. Cet ensemble contiendra plusieurs services qui auront pour
rôle de résoudre chaque problème de l’entreprise. Quels sont ces services? Pourquoi et comment
allons-nous implémenter ces solutions ? La suite de ce document présentera les différentes
technologies et principes utilisés, les raisons pour lesquelles nous avons choisi de mettre sur
pied ces solutions et la méthode que nous allons utiliser pour parvenir à leurs installations.

36
I. GENERALITES SUR LES RESEAUX ET LA
SECURITE INFORMATIQUE
A. Les Réseaux
1. La norme OSI:
a) Définition
Le modèle OSI (Open Systems Interconnection) est un modèle générique et standard
d’architecture d’un réseau en 7 couches, élaboré par l’organisme ISO (Organisation
Internationale de normalisation) en 1984. La mise en évidence de ces différentes couches se
base sur les caractéristiques suivantes qui étaient recherchées par l’ISO :
• Création d’une couche lorsqu’un niveau d’abstraction est nécessaire.
• Définition précise des services et opérations de chaque couche.
• Définition des opérations de chaque couche en s’appuyant sur des protocoles
normalisés.
• Choix des frontières entre couches de manière à minimiser le flux d’information aux
interfaces.
• Définition d’une couche supplémentaire lorsque des opérations d’ordre différent
doivent être réalisées.
b) Les différentes couches du modèle OSI:
Dans le découpage en 7 couches, on distingue :
 Les couches basses (1-4) : transfert de l’information par les différents services
de transport.
 Les couches hautes (5-7) : traitement de l’information par les différents services
applicatifs.

37
Figure 5: couches du modele OSI. Source: https://www.supinfo.com/articles/single/4472-modele-osi
 Couche physique : La couche physique gère la communication avec l’interface physique
afin de faire transiter ou de récupérer les données sur le support de transmission, qui
peut être électrique, mécanique. Ce sont les contraintes matérielles du support utilisé
qui décident des objectifs à atteindre pour cette couche : conversion en signaux
électriques, taille et forme des connecteurs, dimensions et position des antennes,...etc.
 Couche liaison : La couche liaison (liaison de données : datalink (eng)) s’occupe de la
bonne transmission de l’information entre les noeuds via le support, en assurant la

38
gestion des erreurs de transmission et la synchronisation des données. Là aussi, le
support de transmission conditionne les protocoles à mettre en oeuvre.
 Couche réseau : La couche réseau (network (eng)) a en charge de déterminer le choix
de la route entre les noeuds afin de transmettre de manière indépendante l’information
ou les différents paquets la constituant en prenant en compte en temps réel le trafic.
Cette couche assure aussi un certain nombre de contrôles de congestion qui ne sont pas
gérés par la couche liaison.
 Couche transport : La couche transport supervise le découpage et le réassemblage de
l’information en paquets, contrôlant ainsi la cohérence de la transmission de
l’information de l’émetteur vers le destinataire.
 Couche session : La couche session gère une communication complète entre plusieurs
noeuds, permettant, ainsi d’établir et de maintenir un réel dialogue suivi (une session),
pouvant être constitué de temps morts pendant lesquels aucune donnée n’est
physiquement transmise.
 Couche présentation : La couche présentation a en charge la représentation des données,
c’est-à-dire de structurer et convertir les données échangées ainsi que leur syntaxe afin
d’assurer la communication entre des nœuds disparates (différences hardware et/ou
software).
 Couche application : La couche application (application (eng)) est le point d’accès des
applications aux services réseaux. On y retrouve toutes les applications de
communication via le réseau communément utilisé sur un LAN ou sur Internet :
applications de transfert de fichier, courrier électronique,...etc.
2. Le TCP/IP
a) Définition :
Le protocole TCP/IP, développé originellement par le ministère de la défense américain
en 1981, propose l’évolution des concepts déjà utilisés en partie pour le réseau historique
ARPAnet (1972), et est employé en très forte proportion sur le réseau Internet. Au-delà de son
aspect historique, TCP/IP doit aussi son succès à son indépendance vis-à-vis de tout
constructeur informatique. En réalité, TCP/IP définit une suite de divers protocoles
probabilistes, appelé aussi modèle DOD (Department of Defense), pour la communication sur

39
un réseau informatique, notamment le protocole TCP et le protocole IP qui sont parmi les
principaux protocoles de ce modèle.
b) Découpage en couches:
Figure 6: découpage modele TCP-IP. Source: https://fr.wikipedia.org/wiki/Couche_reseau
Le protocole TCP/IP étant antérieur au modèle OSI, il ne respecte pas réellement celui-ci.
Cependant, on peut faire grossièrement correspondre les différents services utilisés et proposés
par TCP/IP avec le modèle OSI, et obtenir ainsi un modèle en 4 couches.
Les services des couches 1 et 2 (physique et liaison) du modèle OSI sont intégrés dans une seule
couche (hôte-réseau), les couches 5 et 6 (session et présentation) n’existent pas réellement dans
le modèle TCP/IP et leurs services sont réalisés par la couche application si besoin est :
 Hôte-réseau : La couche hôte-réseau, intégrant les services des couches physique et
liaison du modèle OSI, a en charge la communication avec l’interface physique afin de
transmettre ou de récupérer les paquets de données qui lui sont transmis de la couche
supérieure. Le protocole utilisé pour assurer cet interfaçage n’est pas explicitement

40
défini puisqu’il dépend du réseau utilisé ainsi que du noeud (Ethernet en LAN, X25 en
WAN, ...etc.).
 Internet : La couche Internet, correspondant à la couche réseau du modèle OSI, s’occupe
de l’acheminement, à bonne destination, des paquets de données indépendamment les
uns des autres, soit donc de leur routage à travers les différents noeuds par rapport au
trafic et à la congestion du réseau. Il n’est en revanche pas du ressort de cette couche de
vérifier le bon acheminement.
 Le protocole IP (Internet Protocol) assure intégralement les services de cette couche, et
constitue donc l’un des points-clefs du modèle TCP/IP. Le format et la structure des
paquets IP sont précisément définis.
 Transport : La couche transport, pendant de la couche homonyme du modèle OSI, gère
le fractionnement et le réassemblage en paquets du flux de données à transmettre. Le
routage ayant pour conséquence un arrivage des paquets dans un ordre incertain, cette
couche s’occupe aussi du réagencement ordonné de tous les paquets d’un même
message. Les deux principaux protocoles pouvant assurer les services de cette couche
sont les suivants :
• TCP (Transmission Control Protocol) : protocole fiable, assurantune
communication sans erreur par un mécanisme
question/réponse/confirmation/synchronisation (orienté connexion).
• UDP (User Datagram Protocol) : protocole non-fiable, assurant une
communication rapide mais pouvant contenir des erreurs en utilisant un
mécanisme question/réponse (sans connexion).
 Application : La couche application, similaire à la couche homonyme du modèle OSI,
correspond aux différentes applications utilisant les services réseaux pour communiquer
à travers un réseau. Un grand nombre de protocole divers de haut niveau permettent
d’assurer les services de cette couche :
 Telnet : ouverture de session à distance.
 FTP (File Transfer Protocol) : protocole de transfert de fichiers.
 HTTP (HyperText Transfer Protocol) : protocole de transfert de l’hypertexte.
 SMTP (Simple Mail Transfer Protocol) : protocole simple de transfert de
courrier.
 DNS (Domain Name System) : système de nom de domaine.

41
B. Le Système D’information Et La Sécurité
1. Présentation
Le système d’information représente l’ensemble des données de l’entreprise ainsi que
ses infrastructures matérielles et logicielles. Le système d’information représente un patrimoine
essentiel de l’entreprise, qu’il convient de protéger. La sécurité informatique, d’une manière
générale, consiste à s’assurer que les ressources matérielles et logicielles d’une organisation
sont uniquement utilisées dans le cadre prévu.
La sécurité informatique vise généralement cinq principaux objectifs :
 L’intégrité qui garantit que les données sont bien celles que l’on croit être, qu’elles non
pas été altérées durant la communication (de manière fortuite ou intentionnelle),
 La confidentialité qui consiste à rendre l’information inintelligible à d’autres personnes,
autres que les seuls acteurs de la transaction,
 La disponibilité qui permet de garantir l’accès à un service ou à des ressources,
 La non-répudiation de l’information qui est la garantie qu’aucun des correspondants ne
pourra nier la transaction,
 L’authentification qui consiste à assurer l’identité d’un utilisateur, c'est-à-dire a garantir
à chacun des correspondants que son partenaire est bien celui qu’il croit être.
2. Nécessité d’une approche globale
La sécurité d’un système informatique fait souvent l’objet de métaphores. En effet, on
la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d’un système est
caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile
dans un bâtiment si les fenêtres sont ouvertes sur la rue. Cela signifie que la sécurité doit être
abordée dans un contexte global et notamment prendre en compte les aspects suivant:
 La sensibilisation des utilisateurs aux problèmes de sécurité,
 La sécurité logique : c'est-à-dire la sécurité au niveau des données, notamment les
données de l’entreprise, les applications ou encore les systèmes d’exploitation,
 La sécurité des télécommunications : technologies réseau, serveurs de l’entreprise,
réseaux d’accès, etc.,
 La sécurité physique : soit la sécurité au niveau des infrastructures matérielles.

42
3. Mise en place d’une politique de sécurité
La sécurité des systèmes informatiques se cantonne généralement à garantir les droit d’accès
aux données et ressources d’un système en mettant en place des mécanismes d’authentification
et de contrôle permettant d’assurer que les utilisateurs des ressources possèdent uniquement les
droits qui leur ont été octroyés. La sécurité informatique doit toutefois être étudiée de telle
manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires,
et de faire en sorte qu’ils puissent utiliser le système d’information en toute confiance. C’est la
raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité,
dont la mise en œuvre se fait selon les quatre étapes suivantes :
 Identifier les besoins en termes de sécurité, les risques informatiques pesant sur
l’entreprise et leurs éventuelles conséquences,
 Elaborer des règles et des procédures à mettre en ouvre dans les différents services de
l’organisation pour les risques identifiés,
 Surveiller et détecter les vulnérabilités du système d’information et se tenir informé des
failles sur les applications et matériels utilisés,
 Définir les actions à entreprendre et les personnes à contacter en cas de détection d’une
menace.
La politique de sécurité est donc l’ensemble des orientations suivies par une organisation en
matière de sécurité.
C. Les Attaques Informatiques
1. Présentation
Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une
attaque. Une attaque est l’exploitation d’une faille (vulnérabilité ou brèche) d’un système
informatique (système d’exploitation, logiciel ou bien même de l’utilisateur) à des fins non
connues par l’exploitant du système et généralement préjudiciables.
Sur Internet des attaques ont lieu en permanence, à raison de plusieurs attaques par
minute sur chaque machine connectée. Ces attaques sont pour la plupart lancées
automatiquement à partir de machines infectées (par des virus, chevaux de Troie, etc.), à l’insu
de leur propriétaire. Plus rarement il s’agit de l’action de pirates informatiques.

43
Afin de contrer ces attaques, il est indispensable de connaître les principaux types d’attaques
afin de mieux s’y préparer. Les motivations des attaques peuvent être de différentes sortes :
 Obtenir un accès au système,
 Voler des informations, tels que des secrets industriels ou des propriétés intellectuelles,
 Glaner des informations personnelles sur un utilisateur,
 Récupérer des données bancaires,
 S’informer sur l’organisation (entreprise de l’utilisateur, etc.),
 Troubler le bon fonctionnement d’un service,
 Utiliser les ressources du système de l’utilisateur, notamment lorsque le réseau sur
lequel il est situé possède une bande passante élevée, etc.
2. Types d’attaques
Il est ainsi possible de catégoriser les risques de la manière suivante :
 Accès physique : il s’agit d’un cas où l’attaquant a accès aux locaux, éventuellement
même aux machines :
 Coupure de l’électricité,
 Extinction manuelle de l’ordinateur,
 Vandalisme,
 Ouverture du boîtier de l’ordinateur et vol de disque dur,
 Ecoute du trafic sur le réseau,
 Ajout d’éléments (clé USB, point d’accès Wifi……).
 Interception de communications :
 Vol de session,
 Usurpation d’identité,
 Détournement ou altération de messages.
 Dénis de service : il s’agit d’attaques visant à perturber le bon fonctionnement d’un
service. On distingue habituellement les types de déni de service suivant :
 Exploitation de faiblesses des protocoles TCP/IP,
 Exploitation de vulnérabilité des logiciels serveurs.
 Intrusions :
 Balayage de ports,

44
 Elévation de privilèges : ce type d’attaque consiste à exploiter une vulnérabilité
d’une application,
 Maliciesdls : (virus, vers, et chevaux de Troie).
 Ingénierie sociale : dans la majeure partie des cas le maillon faible est l’utilisateur
lui-même! en effet, c’est souvent lui qui, par méconnaissance ou par duperie, va ouvrir
une brèche dans le système, en donnant des informations (mot de passe par exemple)
au pirate informatique.
 Trappes : il s’agit d’une porte dérobée dissimulée dans un logiciel, permettant un
accès ultérieur à son concepteur.
D. Les Dispositifs De Protection
Il est nécessaire, autant pour les réseaux d’entreprises que pour les internautes possédant
une connexion de type câble ou ADSL, de se protéger des attaques réseaux en installant un
dispositif de protection (Pare-feu, antivirus, réseaux privés virtuels, systèmes de Détection
d’intrusions, Proxys, etc.) permettant d’ajouter un niveau de sécurisation supplémentaire.
1. Pare-feu
a) Présentation
Un Pare-feu [appelé aussi Coupe-feu, Garde-barrière ou Firewall], est un système
permettant de protéger un ordinateur, ou un réseau d’ordinateurs, des intrusions provenant d’un
réseau tiers [notamment Internet]. Le Pare-feu est un système permettant de filtrer les paquets
de données échangés avec le réseau, il s’agit ainsi d’une passerelle filtrante comportant au
minimum les interfaces réseau (cartes réseau) suivantes :
 Une interface pour le réseau à protéger (réseau interne),
 Une interface pour le réseau externe.

45
Figure 7: représentation d'un pare-feu. Source:
La configuration du Firewall est telle que les données arrivant sur l’une des cartes ne
soient pas transmises directement sur l’autre mais de manière sélective, selon des critères de
filtrage déterminés lors de sa configuration. Le filtrage réalisé par le Pare-feu constitue le
premier rempart de la protection du système d’information.
Le système Pare-feu est un système logiciel, reposant parfois sur un matériel réseau
Dédié, constituant un intermédiaire entre le réseau local [ou la machine locale] et un ou
plusieurs réseaux externes. Il est possible de mettre un système Pare-feu sur n’importe qu’elle
machine et avec n’importe quel système pourvu que :
 La machine soit suffisamment puissante pour traiter le trafic,
 Le système soit sécurisé,
 Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.
Dans le cas où le système Pare-feu est fourni dans une boîte noire « clé en main », on
utilise le terme d’Appliance.
Selon la nature de l’analyse et de traitements effectués par un Firewall, différents types
de Firewalls existent. Ils se distinguent le plus souvent en fonction du niveau de filtrage des
données auquel ils opèrent : niveau 3 (IP), niveau 4 (TCP, UDP) ou niveau 7 (FTP, HTTP, etc.)
du modèle OSI. Dans le cas de la fonction du routeur (Firewall routeur), il analyse chaque
paquet de données selon les informations contenant dans le paquet (adresses IP, numéro de port,
type de paquet). Les Pare-feu de base opèrent sur un faible nombre de couches du modèle
TCP/IP, tandis que les plus sophistiqués en couvrent un plus grand nombre et sont ainsi plus

46
efficaces Indépendamment ou en complément d’une architecture utilisant ces dispositifs, il
existe des services additionnels tels : la traduction d’adresse réseau (NAT) et les réseaux privés
virtuels (VPN) [3].
b) Principe de fonctionnement
Un système Pare-feu contient un ensemble de règles prédéfinies permettant :
 D’autoriser la connexion [allow],
 De bloquer la connexion [deny],
 De rejeter la demande de connexion sans avertir l’émetteur [drop].
L’ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant
de la politique de sécurité adoptée par l’entité. On distingue habituellement deux types de
politiques de sécurité permettant :
 Soit d’autoriser uniquement les communications ayant été explicitement autorisées : «
tout ce qui n’est pas explicitement autorisé est interdit »,
 Soit d’empêcher les échanges qui ont été explicitement interdites.
La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une
définition précise et contraignante des besoins en communication.
c) Les différents types de filtrage
(1) Filtrage simple de paquets
Un système Pare-feu fonctionne sur le principe du filtrage simple de paquets (stateless
packet filtring). Il analyse les en-têtes de chaque paquet de données (datagramme) échangé
entre une machine du réseau interne et une machine extérieure. Ainsi, les paquets de données
échangés entre une machine du réseau extérieur et une machine du réseau interne transitent par
le Pare-feu et possèdent les en-têtes suivants, systématiquement analysés par le Firewall :
 Adresse IP de la machine émettrice,
 Adresse IP de la machine réceptrice,
 Type de paquet (TCP, UDP, etc.),
 Numéro de port (rappel : un port est un numéro associé à un service ou une application
réseau).
 Les adresses IP contenues dans les paquets permettent d’identifier la machine émettrice
et la machine cible, tandis que le type de paquet et le numéro de port donnent une
indication sur le type de service utilisé.

47
(2) Filtrage dynamique
Le filtrage simple de paquets ne s’attache qu’à examiner les paquets IP indépendamment
les uns des autres, ce qui correspond au niveau 3 du modèle OSI. Or, la plupart des connexions
reposent sur le protocole TCP, qui gère la notion de session, afin d’assurer le bon déroulement
des échanges. D’autre part, de nombreux services initient une connexion sur un port statique,
mais ouvrent dynamiquement (c'est-à-dire de manière aléatoire) un port afin d’établir une
session entre la machine faisant office de serveur et la machine client. Ainsi, il est impossible
avec un filtrage simple de paquets de prévoir des ports à laisser passer ou à interdire. Pour y
remédier, le système de filtrage dynamique de paquets est basé sur l’inspection des couches
3 et 4 du modèle OSI, permettant d’effectuer un suivi des transactions entre le client et le
serveur. Le terme anglo-saxon est stateful inspection ou stateful paket filtring, se traduit en
français par « filtrage de paquets avec état ».
Un dispositif Pare-feu de type « stateful inspection » est ainsi capable d’assurer un suivi
des échanges, c'est-à-dire de tenir compte de l’état des anciens paquets pour appliquer les règles
de filtrage. De cette manière, à partir du moment où une machine autorisée initie une connexion
à une machine située de l’autre côté du Pare-feu. L’ensemble des paquets transitant dans le
cadre de cette connexion sont implicitement acceptés par le Pare-feu.
(3) Filtrage applicatif
Le filtrage applicatif permet comme son nom l’indique de filtrer les communications
application par application. Ce filtrage opère donc au niveau 7 (couche application) du modèle
OSI. Le filtrage applicatif suppose donc, une connaissance des applications présentes sur le
réseau, et notamment de la manière dont les données sont échangées (ports, etc.). Un Firewall
effectuant un filtrage applicatif est appelé généralement passerelle applicative (ou Proxy), car
il sert de relais entre deux réseaux en s’interposant et en effectuant une validation fine du
contenu des paquets échangés. Le Proxy représente donc un intermédiaire entre les machines
du réseau interne et le réseau externe, subissant les attaques à leur place. De plus, le filtrage
applicatif permet la destruction des en-têtes, précédant le message applicatif, ce qui permet de
fournir un niveau de sécurité supplémentaire.
Il s’agit d’un dispositif performant, assurant une bonne protection du réseau, pour peu
qu’il soit correctement administré. En contrepartie, une analyse fine des données applicatives

48
requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des
communications, chaque paquet devant être finement analysé.
Par ailleurs, le Proxy doit nécessairement être en mesure d’interpréter une vaste gamme
de protocoles et connaître les failles afférentes pour être efficace.
Enfin, un tel système peut potentiellement comporter une vulnérabilité dans la mesure
où il interprète les requêtes qui transitent par son biais. Ainsi, il est recommandé de dissocier le
pare-feu (dynamique ou non) du proxy, afin de limiter les risques de compromission.
2. Pare-feu personnel
Dans le cas où la zone protégée se limite à l’ordinateur sur lequel le firewall est installé
on parle de Firewall personnel (pare-feu personnel). Ainsi, un Firewall personnel permet de
contrôler l’accès au réseau des applications installées sur la machine, et notamment empêcher
les attaques du type cheval de Troie, c'est-à-dire des programmes nuisibles ouvrant une brèche
dans le système afin de permettre une prise en main à distance de la machine par un pirate
informatique. Le Firewall personnel permet en effet de repérer et d’empêcher l’ouverture non
Sollicitée de la part d’applications non autorisées à se connecter .
3. Zone démilitarisée (DMZ)
Les systèmes Pare-feu (Firewall) permettent de définir des règles d’accès entre deux
réseaux. Néanmoins, dans la pratique, les entreprises ont généralement plusieurs sous-réseaux
avec des politiques de sécurité différentes.
C’est la raison pour laquelle il est nécessaire de mettre en place des architectures de systèmes
pare-feu permettant d’isoler les différents réseaux de l’entreprise : on parle ainsi de
cloisonnement des réseaux (le terme isolation est parfois également utilisé).
Lorsque certaines machines du réseau interne ont besoin d’être accessibles de l’extérieur
(serveur web, serveur de messagerie, serveur FTP public, etc.), il est souvent nécessaire de créer
une nouvelle interface vers un réseau à part, accessible aussi bien du réseau interne que de
l’extérieur, sans pour autant risquer de compromettre la sécurité de l’entreprise.
On parle ainsi de Zone démilitarisée (notée DMZ, Demilitarised Zone) pour désigner
cette zone isolée hébergeant des applications mises à disposition du public. La DMZ fait ainsi
office de « zone tampon » entre le réseau à protéger et le réseau hostile.

49
Figure 8: schéma d'une DMZ. Source:
La politique de sécurité mise en œuvre sur la DMZ est généralement la suivante :
 Trafic du réseau externe vers la DMZ autorisé,
 Trafic du réseau externe vers le réseau interne interdit,
 Trafic du réseau interne vers la DMZ autorisé,
 Trafic du réseau interne vers le réseau externe autorisé,
 Trafic de la DMZ vers le réseau interne autorisé,
 Trafic de la DMZ vers le réseau externe autorisé.
La DMZ possède donc un niveau de sécurité intermédiaire, mais son niveau de sécurisation
n’est pas suffisant pour y stocker des données critiques de l’entreprise.
4. Les limites de système Pare-feu
Un système Pare-feu n’offre bien évidemment pas une sécurité absolue, bien au contraire. Les
firewalls n’offrent une protection que dans la mesure où l’ensemble des communications vers
l’extérieur passe systématiquement par leur intermédiaire et qu’ils sont correctement
configurés. Ainsi, les accès au réseau extérieur par contournement du firewall sont autant de

50
failles de sécurité. C’est notamment le cas des connexions effectuées à partir du réseau interne
à l’aide d’un modem ou de tout moyen de connexion échappant au contrôle du
Pare-feu. De la même manière, l’introduction de supports de stockage provenant de
l’extérieur sur des machines internes au réseau ou bien d’ordinateurs portables peut porter
fortement préjudice à la politique de sécurité globale.
Enfin, afin de garantir un niveau de protection maximal, il est nécessaire d’administrer
le Pare-feu et notamment de surveiller son journal d’activité afin d’être en mesure de détecter
les tentatives d’intrusion et les anomalies. Par ailleurs, il est recommandé d’effectuer une
veille de sécurité (en s’abonnant aux alertes de sécurité) afin de modifier le paramétrage de
son dispositif en fonction de la publication des alertes.
La mise en place d’un Firewall doit donc se faire en accord avec une véritable politique de
sécurité [1].
5. Le choix d’un Firewall pour l’entreprise
La façon de configurer un Firewall et de le gérer est tout aussi importante que les
capacités intrinsèques qu’il possède.
Toutefois, lorsque le choix s’impose, on prendra en considération les critères suivants :
 La nature, le nombre des applications appréhendées (FTP, messagerie, HTTP, SNMP,
vidéoconférence, etc.),
 Type de filtres, niveau de filtrage (niveau applicatif, niveau TCP, niveau IP, possibilité
de combiner ces niveaux),
 Facilités d’enregistrement des actions et des événements pour audits future,
 Les outils et facilités d’administration (interface graphique ou lignes de commandes,
administration distante après authentification de gestionnaire, etc.),
 Simplicité de configuration et de mise en oeuvre,
 Sa capacité à supporter un tunnel chiffré permettant éventuellement de réaliser un
réseau privé virtuel (VPN pour Virtuel Private Network),
 La disponibilité d’outils de surveillance, d’alarmes, d’audit actif,
 Possibilité d’équilibrage de charges et de gestion de la bande passante de réseau,
 L’existence dans l’entreprise de compétences en matière d’administration du système
d’exploitation du firewall,
 Son prix.

51
E. de détection d’intrusion (IDS)
En 1980, James Anderson introduit un nouveau concept de système de détection
d’intrusion qui ne connaîtrait un réel départ du domaine qu’en 1987 avec la publication d’un
modèle de détection d’intrusion.
Par la suite, la recherche s’est développée et la détection d’intrusion est devenue une
industrie mature et une technologie éprouvée, pratiquement tous les problèmes simples ont été
résolus et aucune grande avancée n’a été effectuée dans ce domaine ces dernières années et les
éditeurs de logiciels se concentrent plus sur la perfection des techniques de détection existantes.
1. Principes de fonctionnement des IDS
Un IDS est un équipement permettant de surveiller l’activité d’un réseau ou d’un hôte
donné. Composé généralement de logiciel et éventuellement de matériel, ce système
informatique a le rôle de détecter toute tentative d’intrusion. Par définition, un IDS n’a pas de
signal antiseptique ou réactive dans la mesure où il n’empêche pas une intrusion de ce
produire. Il se contente juste de faire une analyse de certaines informations en vue de détecter
des activités malveillantes qui seront notifiées aux responsables de la sécurité du système dans
le plus bref délai possible. Cette raison fait de la majorité des IDS des systémes qui opèrent en
temps réel pourtant, il y’a des IDS qui réagissent en mettant fin a une connexion suspecte par
exemple suite a la détection d’une intrusion.
2. Principes de détection d’intrusion
Généralement, dans les systèmes informatiques, il existe deux types d’approches
pour la détection d’intrusion : l’approche par scénario ou bien dite par signature
basé sur un modèle constitué des actions interdites contrairement a l’approche
comportementale qui est basé sur un modèle constitué des actions autorisées.
a) Approche par scénario ou signature
Dans cette approche, les détecteurs d’intrusion reposent sur la création d’une
base de motifs qui représente des scénarios d’attaque connus au préalable et qui
sera utilisé par la suite, le plus souvent en temps réel, sur les informations
fournies par les sondes de détection.

52
C’est donc un système de reconnaissance de motifs qui permet de mettre en
évidence dans ces informations la présence d’une intrusion connue par la base
de signature. Les IDS à signature utilisent trois famille de méthodes qui se basent
toutes sur la recherche d’un profil connu d’attaque.
(1) Reconnaissance de forme (pattern matching)
Cette méthode consiste à identifier une suite d’événements ou des marques
d’une attaque connue dans les paquets analysés. En fait, le trafic réseau peut être
vu comme une chaîne de caractères principale et les scénarios d’attaque comme
des sous-suites qu’on veut identifier.
(2) Système expert
L’idée consiste à coder les attaques sous forme de règles condition-action où les
conditions portent sur l’état du système surveillé ainsi que la nature des
événements analysés, tandis que les actions permettent, soit de mémoriser le
nouvel état du système, soit de conclure à la présence d’une attaque.
(3) Algorithme génétique
Les algorithmes génétiques utilisent la notion de sélection naturelle et
l’appliquent a une population de solutions potentielles à un problème difficile,
pour trouver une solution approchée dans un temps raisonnable.
b) Approche comportementale (Anomaly detection)
Les détecteurs d’intrusion comportementaux reposent sur la création d’un
modèle de référence qui représente le comportement de l’entité surveillé en
situation de fonctionnement normale. Ce modèle est ensuite utilisé durant la
phase de détection afin de pouvoir mettre en évidence d’éventuelles déviations
comportementales. Pour cela, le comportement de l’entité surveillée est comparé
à son modèle de référence. Le principe de cette approche est de considérer tout
comportement n’appartenant pas au modèle de comportement normale comme
une anomalie symptomatique d’une intrusion ou d’une tentative d’intrusion. [9]

53
c) a) Approche probabiliste
Des probabilités sont établies permettant de représenter une utilisation courante
d’une application ou d’un protocole. Toute activité qui ne respecte pas le modèle
probabiliste provoquera la génération d’une alerte. [15]
d) b) Approche statistique
Cette méthode consiste en un calcul de la variation (en fonction du temps) de
l’utilisation d’un certain nombre de ressources. La constatation d’un
changement dans la variation conduit au déclenchement d’une alerte. [14]
e) Immunologie
L’objet de cette méthode consiste à observer les services pendant un temps
suffisamment représentatif de manière à établir une base des séquences d’appel
normales.
3. Différents types d’IDS
Les attaques utilisées par les pirates sont très variées, puisque certaines utilisent
des failles réseaux et d’autres des failles de programmation. C’est la raison pour
laquelle la détection d’intrusion doit se faire à plusieurs niveaux.
Donc, on distingue deux d’IDS que nous détaillerons ci-dessous les
caractéristiques principales.
a) Systèmes de détection d’intrusion réseau (NIDS)
Les IDS réseaux analysent en temps réel le trafic qu’ils aspirent à l’aide d’une
sonde (carte réseau en mode promiscuous². Ensuite, les paquets sont décortiqués
puis analysés. Il est fréquent de trouver plusieurs IDS sur les différentes parties du
réseau. On trouve souvent une architecture composée d’une sonde placée à
l’extérieure du réseau afin d’étudier les tentatives d’attaques et d’une sonde en
interne pour analyser les requêtes ayant traversé le pare-feu.
b) Systèmes de détection d’intrusion de type hôte (HIDS)
Les IDS systèmes analysent le fonctionnement de l’état des machines sur les
quelles ils sont installés afin de détecter les attaques en se basant sur des démons

54
(tels que syslogd par exemple). L’intégrité des systèmes est alors vérifiée
périodiquement et des alertes peuvent
être levées.
c) Systèmes de détection d’intrusion Hybrides
Les IDS hybrides rassemblent les caractéristiques des NIDS et HIDS. Ils
permettent, en un seul outil, de surveiller le réseau et les terminaux. Les sondes
sont placées en des points stratégiques, et agissent comme NIDS et/ou HIDS
suivant leurs emplacements. Toutes ces sondes remontent alors les alertes à une
machine qui va centraliser le tout, et lier les informations d’origine multiple.
Ainsi, on comprend que les IDS hybrides sont basés sur une architecture
distribuée, ou chaque composant unifie son format d’envoi. Cela permet de
communiquer et d’extraire des alertes plus pertinentes

55
II. PRESENTATION DE WINDOWS SERVEUR
ET DU SERVICE ACTIVE DIRECTORY.
Microsoft Windows Server 2012, anciennement connu sous le nom de code Windows Server
8, est la seconde avant dernière version du système d'exploitation réseau Windows Server Page
d'aide sur l'homonymie. La version suivante est Windows Server 2012 R2. Windows Server
2016 est sorti le 1er octobre 2014 en phase de développement et est prévu pour le 3e trimestre
2016 en version finale.
Il s'agit de la version serveur de Windows 8 et du successeur de Windows Server 2008
R2. Windows Server 2012 est la première version de Windows Server à ne pas supporter les
systèmes Itanium depuis Windows NT 4.0.
A. Les Differents Roles Et Fonctionanites
L’administration des serveurs Windows est facilitée par la présence d’un gestionnaire
de serveur, le gestionnaire de serveurs permet l’administration, la sécurisation, l’accès à toutes
les informations serveurs (états, alertes) et systèmes de celui-ci et permet la gestion et la
configuration de tous les rôles installés sur le serveur.
Active Directory Certificate Services : Les services de certificats Active Directory
(AD CS, Active Directory Certificate Services) fournissent des services personnalisables dédiés
à l’émission et à la gestion de certificats dans des systèmes de sécurité logicielle employant des
technologies de clé publique. Vous pouvez utiliser les services AD CS pour créer une ou
plusieurs autorités de certification dont les tâches consistent à recevoir les demandes de
certificat, vérifier les informations contenues dans les demandes, contrôler les identités des
demandeurs, émettre des certificats ou en révoquer, et publier des données de révocation de
certificat.
Exemple de cas d’utilisation : Répondeur en ligne : Le répondeur en ligne effectue la
révocation de certificats, contrôlant les données accessibles aux clients dans des
environnements réseau complexes Service de description de périphérique réseau : Le Service
d’inscription de périphériques réseau permet d’émettre et de gérer les certificats des routeurs et
autres périphériques réseau dépourvus de compte réseau, point important en terme de sécurité
du réseau.

56
Active Directory Domain Services : Les Services de domaine Active Directory (AD
DS) stockent des informations sur les utilisateurs, les ordinateurs et d’autres périphériques sur
le réseau. Les services AD DS permettent aux administrateurs de gérer en toute sécurité ces
informations et facilitent le partage des ressources et la collaboration entre les utilisateurs. Les
services AD DS doivent aussi être installés sur le réseau afin d’installer des applications
compatibles avec l’annuaire, telles que Microsoft Exchange Server, et d’autres technologies
Windows Server, telles que la stratégie de groupe. Lors de l’installation du rôle sur un serveur
primaire nous devons y créer une forêt, cette forêt est la base de ce service en étant l’hôte du
domaine et regroupant toute les informations de celui-ci.
Active Directory Federation Services : Le service ADFS permet l’authentification
d’un utilisateur par l’intermédiaire d’un compte utilisateur unique. Son rôle après
l’authentification de l’utilisateur est d’évaluer les droits de celui-ci, lui permettant d’avoir accès
ou non à certaines ressources ou autorisations (droits).
Exemple : le service ADFS fourni à vos employés ou clients une expérience
d’authentification unique web (SSO) lors de l’accès aux applications basées sur les
revendications au sein de votre entreprise ou encore l’accès à distance à des services ou sites
web hébergé en interne.
Active Directory Lightweight Directory Services : Ce service sert de base de stockage
pour les données des applications dans une entreprise. On peut en créer plusieurs instance grâce
à son mode d’exécution (étant que service) de façon à regrouper des données d’applications en
fonction de la nature des applications, ce mode de déploiement évite ainsi une surcharge au
niveau d’un seul et même service.
Active Directory Rights Management Services : ADRMS est défini comme une
technologie de protection des informations, un gestionnaire de droits, il fonctionne avec les
applications compatible ADRMS et permet aux propriétaires d’informations de gérer
l’accessibilité, la modification, l’impression, le transfert de leurs informations par un utilisateur
tiers.
Exemple : ADRMS empêche de copier le contenu à accès restreint en utilisant la
fonctionnalité Impression écran de Microsoft Windows.

57
Application Server : Application Server permet la gestion centralisée et l’hébergement
d’applications métier distribuées de haute performance. Les services intégrés, tels que .NET
Framework, la prise en charge du serveur Web, Message Queuing, COM+, Windows
Communication Foundation et la prise en charge du Clustering avec basculement améliorent la
productivité tout au long du cycle de vie de l’application, depuis sa conception jusqu’à son
développement, en passant par le déploiement et l’exploitation.
DHCP Server : Le protocole DHCP (Dynamic Host Configuration Protocol) permet
aux serveurs d’allouer des adresses IP aux ordinateurs et à d’autres périphériques reconnus
comme clients DHCP, l’adressage IP étant effectuer en DHCP Les équipements peuvent
communiquer entre eux (comme ils sont reconnus sur le réseau équipement tel que le serveur
DNS, les routeurs…).
DNS Server : Le système DNS (Domain Name System) fournit une méthode standard
d’association de noms à des adresses Internet numériques. Ceci permet aux utilisateurs de faire
référence aux ordinateurs du réseau en utilisant des noms faciles à retenir au lieu d’utiliser une
longue série de chiffres. Les services DNS Windows peuvent être intégrés aux services DHCP
(Dynamic Host Configuration Protocol), il n’est ainsi plus nécessaire d’ajouter des
enregistrements DNS à mesure que les ordinateurs sont ajoutés au réseau.
Exemple : Lord du renouvèlement du bail d’adresse IP tous les équipements continus à
communiquer.
File and Storage Services : Le Services de fichiers fournit des technologies pour la
gestion du stockage, la réplication des fichiers, la gestion des espaces de noms distribués, la
recherche rapide de fichiers et l’accès simplifié des clients aux fichiers, comme les ordinateurs
clients UNIX.
Exemple : Les dossiers de travail Permettent aux utilisateurs de stocker les fichiers de
travail et d’y accéder sur les PC et appareils personnels en plus des PC d’entreprise. Les
utilisateurs ont ainsi un emplacement pratique pour stocker les fichiers de travail et y accéder
depuis n’importe où. Les organisations gardent le contrôle sur les données d’entreprise en
stockant les fichiers sur des serveurs de fichiers gérés de manière centralisée et en spécifiant
éventuellement des stratégies de périphérique d’utilisateur. Le service intègre un gestionnaire
de serveur qui permet de gérer à distance plusieurs serveurs de fichiers à partir d’une seule et

58
même fenêtre. La déduplication des données permet d’économiser de l’espace disque en
stockant une seule copie de données identiques sur le volume.
Hyper-V : Hyper-V fournit les services que vous pouvez utiliser pour créer et gérer des
environnements informatiques virtuels ainsi que leurs ressources. Les ordinateurs virtuels
fonctionnent dans un environnement d’exécution isolé. Ceci vous permet de faire fonctionner
plusieurs systèmes d’exploitation simultanément. Vous pouvez utiliser un environnement
informatique virtualisé afin d’améliorer l’efficacité de vos ressources informatiques en utilisant
une plus grande partie de vos ressources matérielles.
Exemple : Établir ou développer un environnement de nuage privé. Hyper-V peut vous
aider à adopter ou à développer l’utilisation de ressources partagées et à ajuster l’utilisation
selon l’évolution de la demande pour fournir des services informatiques plus flexibles et à la
demande. Augmenter l’utilisation du matériel. En consolidant les serveurs et les charges de
travail sur des ordinateurs physiques plus puissants en plus petit nombre, vous pouvez réduire
la consommation des ressources, notamment au niveau de l’alimentation et de l’espace
physique. Améliorer la continuité des activités. Hyper-V peut vous aider à minimiser l’impact
des temps morts planifiés et non planifiés au niveau de vos charges de travail.
Network Policy and Access Services : Les Services de stratégie et d’accès réseau
offrent de nombreuses méthodes pour fournir aux utilisateurs une connectivité réseau locale et
distante, pour connecter des segments réseau et pour permettre aux administrateurs réseau de
gérer de façon centralisée les accès au réseau et les stratégies de contrôle d’intégrité des clients.
Avec les services d’accès réseau, vous pouvez déployer des serveurs VPN, des serveurs d’accès
à distance, des routeurs et des accès sans fil.
Print and Document Services : Ce service d’impression et de numérisation permet de
centraliser les tâches de gestion des serveurs d’impression et des imprimantes réseaux, il est
possible à ce moment de rediriger une numérisation vers une ressource partagée. Le serveur de
numérisation prend en charge le service chargé de recevoir les documents numérisés en
provenance de scanneurs réseau et de les acheminer vers les destinations appropriées. Il inclut
également le composant logiciel enfichable Gestion de la numérisation auquel vous pouvez
recourir pour gérer les scanneurs réseau et configurer les numérisations.

59
Exemple de services pouvant être installés (Serveur d’impression, Serveur de
numérisation distribuée, Impression Internet).
Remote Desktop Services : Le rôle des services Bureau à distance fournit des
technologies qui permettent aux utilisateurs de se connecter à des bureaux virtuels, à des
programmes RemoteApp et à des bureaux basés sur des sessions. Avec les services Bureau à
distance, les utilisateurs peuvent accéder à des connexions à distance à partir d’un réseau
d’entreprise ou d’Internet. Les utilisateurs peuvent se connecter à un serveur Bureau à distance
pour exécuter des programmes et utiliser des ressources réseau sur ce serveur.
Personnalisation utilisateur : les disques de profils utilisateur vous permettent de
préserver les paramètres de personnalisation utilisateur entre les collections de sessions et les
collections de bureaux virtuels mis en pool.
Gestion automatisée de bureaux virtuels mis en pool : déployez et gérez de manière
centralisée des bureaux virtuels mis en pool à l’aide d’un modèle de bureau virtuel. Toute
modification, telle que l’installation d’une application ou des mises à jour de sécurité, est
installée sur le modèle de bureau virtuel. Les bureaux virtuels mis en pool sont ensuite recréés
à partir de ce modèle.
Volume Activation Services : Service visant a facilité le déploiement de licence
logiciel.
Web Server (IIS) : Le rôle Serveur Web (IIS) permet de partager des informations avec
les utilisateurs sur Internet, un intranet ou un extranet. Ce service offre une plateforme à la fois
extensible, modulaire, sécurisée et simple d’emploi pour héberger de manière fiable des sites
Web, des services et des applications.
Exemple : Prise en charge centralisée des certificats SSL vous permet de gérer les
certificats des serveurs SSL de manière centralisée à l’aide d’un fichier de partage. Le fait de
maintenir les certificats des serveurs SSL sur un partage de fichiers simplifie la gestion en les
plaçant dans un seul emplacement.
Services WSUS (Windows Server Update Services) : Les services WSUS permettent
aux administrateurs des technologies de l'information de déployer les dernières mises à jour des
produits Microsoft. Avec WSUS, les administrateurs peuvent administrer entièrement la

60
distribution des mises à jour, publiées par le biais de Microsoft Update, sur les ordinateurs de
leur réseau. Dans Windows Server 2012, cette fonctionnalité est intégrée au système
d'exploitation en tant que rôle serveur. Cette rubrique fournit une vue d’ensemble de ce rôle de
serveur et des informations supplémentaires sur la façon de déployer et d’assurer la
maintenance des services WSUS. Avec ce service la gestion des mises à jour est centralisée et
automatisée.
B. Service Active Directory
Active Directory est un annuaire implémenté sur les systèmes d’exploitation depuis
Windows 2000 Server. Depuis cette première version de l’annuaire, de nombreuses
améliorations ont été apportées.
1. La forêt Active Directory
Une forêt est une collection d’un ou plusieurs domaines Active Directory, le premier
installé étant appelé domaine racine. Son nom DNS (exemple : Formation.local) sera également
donné à la forêt. Dans notre exemple, la forêt aura le nom Formation.local.
Dans une forêt, l’ensemble des domaines utilise la même partition configuration et
schéma. Le système de partition est détaillé à la section Les partitions d’Active Directory.
Aucune donnée (compte utilisateur, ordinateur…) n’est répliquée en dehors de la forêt,
cette dernière sert donc de frontière de sécurité.
2. Le domaine et l’arborescence de domaines
Une arborescence de domaines est une suite de domaines qui partagent un espace de
noms contigu. Ainsi dans l’exemple ci après nous pouvons voir l’arborescence de domaines
Formation.local. Cette dernière contient un domaine enfant nommé Microsoft.Formation.local.
Le nom Formation.local est bien identique aux deux domaines.
La relation d’approbation entre les domaines d’une même arborescence est de type
parent/enfant. Lors de l’ajout d’un domaine enfant, une relation d’approbation de type
bidirectionnelle et transitive est créée automatiquement.
Si l’espace de noms est différent, nous parlerons dans ce cas d’une nouvelle
arborescence. Les domaines Formation.local et Prod.local sont deux arborescences différentes
dans la même forêt.

MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l’UNIVERSITE DE YAOUNDE I

MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l’UNIVERSITE DE YAOUNDE I

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l’UNIVERSITE DE YAOUNDE I

Similar to MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l’UNIVERSITE DE YAOUNDE I (20)

Recently uploaded

Recently uploaded (15)

MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l’UNIVERSITE DE YAOUNDE I