Projet 5 : Infrastructure Sécurisée multi-site Innovatech Solutions

Introduction

Vous allez concevoir, déployer et sécuriser une infrastructure multisite pour l'entreprise fictive Innovatech Solutions.
Ce projet vous permettra de mobiliser vos compétences en administration de systèmes et réseaux, tout en approfondissant vos connaissances en sécurisation des échanges et en automatisation de déploiements.
Vous travaillerez sur une infrastructure répartie sur deux sites (Pau et Bordeaux) avec une attention particulière portée à la documentation et à la validation de vos configurations.

---

1. Contexte du Projet

Innovatech Solutions est implantée sur deux sites :

• Siège (Pau)
  • Héberge le contrôleur de domaine principal (DC_PAU) et le serveur de gestion IT.
• Bordeaux
  • Accueille un contrôleur de domaine en lecture seule (RODC_BDX) et des postes clients dédiés.

Votre mission est de recréer cette architecture dans un laboratoire virtuel, en veillant à la sécurité et à la bonne communication entre les sites.

---

2. Objectifs du Projet

1. Mise en place de l'infrastructure Active Directory multisite

• Créer et configurer un environnement virtuel comprenant des serveurs Windows Server 2025 pour Active Directory.
• Intégrer des postes clients Windows 11 Pro au domaine sur les deux sites.

2. Configuration d'un VPN de Site-à-Site Sécurisé

• Établir une liaison VPN entre le pare-feu de Pau (PF_PAU) et celui de Bordeaux (PF_BDX).
• Vous choisirez entre IPsec/IKEv2, OpenVPN ou WireGuard.
• Votre analyse devra inclure :
  • Un historique et un fonctionnement succinct de chaque technologie VPN proposée.
  • Les avantages et inconvénients de chacune dans un contexte de sécurité renforcée.
  • Une recommandation argumentée sur la solution à adopter.

3. Sécurisation des Communications LDAPS

• Configurer la connexion entre le serveur ITSM (GLPI) et l'Active Directory pour qu'elle s'effectue via LDAPS.
• Générer et installer les certificats SSL/TLS nécessaires pour assurer un chiffrement fiable.
  Vous intégrerez ces certificats sur les postes clients afin de ne pas avoir de message d'erreur HTTPS lorsqu'ils se connecteront à l'ITSM.

4. Déploiement Automatisé d'un Logiciel

• Installer le logiciel f.lux sur le poste client CLIENT_BDX via une GPO ou un script.
• Cette opération devra être ciblée sur le compte utilisateur alice.petit.

5. Documentation et Validation

• Rédiger une documentation technique détaillée de l'ensemble des configurations et des règles appliquées.
• Réaliser et documenter une série de tests (captures d'écran, logs, commandes de diagnostic) pour valider le bon fonctionnement et la sécurité des composants déployés.

---

3. Architecture et Composants à Déployer

A. Active Directory et Services Associés

• DC_PAU (Pau) :
  • Serveur Windows Server 2025 déployé en tant que contrôleur de domaine principal.
  • Montage d'un volume additionnel sur le lecteur D:.
• CLIENT_PAU (Pau) :
  • Poste client Windows 11 Pro intégré au domaine.
• RODC_BDX (Bordeaux) :
  • Serveur Windows Server 2025 déployé en lecture seule (RODC).
• CLIENT_BDX (Bordeaux) :
  • Poste client Windows 11 Pro intégré au domaine.
• Communication LDAPS :
  • Assurez-vous que la communication entre GLPI et AD utilise LDAPS avec des certificats SSL/TLS correctement configurés.

Composition de l'entreprise

Pau (Siège) - DIRECTION :

• damien.leroux - Directeur Général

Pau (Siège) - Administration - Gestion_IT :

• pierre.lambert - Administrateur Systèmes
• emilie.roger - Administratrice Réseau

Pau (Siège) - Administration - Support_Technique :

• claire.bernard - Technicienne Support
• lucas.martin - Technicien Support

Pau (Siège) - Utilisateurs - Développement :

• jean.dupont - Développeur
• marie.curie - Développeuse

Pau (Siège) - Utilisateurs - Finance :

• robert.durand - Comptable

Pau (Siège) - Utilisateurs - Ressources_Humaines :

• isabelle.lefevre - Responsable RH

Bordeaux - Administration - Support_Technique :

• olivier.dupuis - Technicien Support

Bordeaux - Utilisateurs - Développement :

• paul.martin - Développeur

Bordeaux - Utilisateurs - Marketing :

• alice.petit - Chargée de Marketing
• sophie.martin - Responsable Marketing

B. Pare-feux et DMZ

• PF_PAU (Pau) :
  • Pare-feu situé sur le site de Pau (choix entre DynFi, OPNsense, Netgate/Pfsense ou IPFire).
  • Héberge en DMZ le serveur ITSM.
• PF_BDX (Bordeaux) :
  • Pare-feu situé à Bordeaux, configuré de façon similaire à PF_PAU.

C. ITSM -- Serveur GLPI

• ASSISTANCE_PAU :
  • Serveur Linux dédié à GLPI, déployé dans la DMZ du site de Pau (via PF_PAU).

D. VPN de Site-à-Site

Mise en place et Configuration du VPN

• Établir une liaison VPN entre PF_PAU et PF_BDX.
• Flux à autoriser :
  • Flux Active Directory :
    • Réplication, authentification et autres communications essentielles (par exemple, ports 389 pour LDAP, 636 pour LDAPS, 3268/3269 pour le Global Catalog, ports RPC, etc.).
  • Flux ITSM :
    • Trafic HTTP/HTTPS pour permettre aux utilisateurs de Bordeaux d'accéder au serveur GLPI.
• Attentes en matière de documentation :
  • Détaillez les ports, protocoles et adresses IP autorisés dans les règles de pare-feu.
  • Justifiez chacune des règles appliquées.

E. Déploiement Logiciel via GPO / Script

Logiciel f.lux

• Déployer f.lux sur CLIENT_BDX en ciblant spécifiquement l'utilisateur alice.petit.
• Documentez précisément la méthode choisie (GPO ou script) avec :
  • Les étapes de configuration.
  • Des captures d'écran et/ou des logs prouvant la réussite de l'installation.

---

4. Validation et Tests

Pour chaque composant, vous devez réaliser des tests pratiques et documenter les résultats :

• Réplication Active Directory :
  • Vérifiez la réplication entre DC_PAU et RODC_BDX (ex. via les outils repadmin ou dcdiag).
• Connectivité VPN :
  • Testez la liaison VPN en vérifiant la communication sur les ports autorisés (ping, tests de connexion telnet, etc.).
• Communication LDAPS :
  • Assurez-vous que la connexion sécurisée entre GLPI et l'Active Directory est établie correctement (vérifiez le certificat et la négociation TLS).
• Déploiement de f.lux :
  • Confirmez que f.lux est bien installé et opérationnel sur CLIENT_BDX pour l'utilisateur alice.petit.

Consignes pour la phase de validation

• Prenez des captures d'écran des tests effectués.
• Recueillez des logs ou des extraits de commandes de diagnostic.
• Rédigez un rapport détaillant la méthodologie de test, les résultats obtenus et les éventuelles corrections apportées.

---

5. Livrables Attendus

1. Schéma d'Architecture

• Un diagramme détaillé montrant la répartition des sites (Pau et Bordeaux), les zones (LAN, DMZ) et la liaison VPN.

2. Fichiers de Configuration

• Configurations complètes des pare-feux (incluant les règles et les flux autorisés).
• Paramétrages du VPN et des serveurs Active Directory et GLPI.

3. Documentation Technique

• Rapport détaillé décrivant l'ensemble de l'architecture, les configurations réalisées, les choix techniques (y compris l'analyse comparative des solutions VPN) et la justification des règles de pare-feu appliquées.

4. Preuves de Validation

• Captures d'écran et logs démontrant :
  • La réplication entre DC_PAU et RODC_BDX.
  • La connectivité VPN entre les deux sites.
  • La sécurisation LDAPS entre GLPI et AD.
  • Le déploiement réussi de f.lux sur CLIENT_BDX.
• Un rapport de tests expliquant la démarche de validation et les résultats obtenus.

---

6. Remarques et Consignes Finales

• Règles de Pare-feu :
  Soyez précis dans la définition et la justification des règles appliquées. Vous devez indiquer clairement les ports, protocoles et adresses IP utilisés.
• Phase de Tests :
  La validation pratique de chaque composant est obligatoire. Documentez minutieusement les tests et conservez toutes les preuves (captures d'écran, logs, etc.) dans votre rapport.
• Exclusion du Monitoring :
  La supervision et le monitoring ne font pas partie de ce projet. Ils seront abordés dans le Projet 6.
• Qualité de la Documentation :
  Votre rapport final doit être clair, détaillé et refléter l'ensemble des configurations réalisées et des tests effectués. La qualité de la documentation sera un critère d'évaluation important.
• Toutes vos machines Windows devront être sous licence grâce aux numéros de licences obtenues sur votre compte Azure.

---