Réseau Informatique pour TPE

Mise en œuvre d'un réseau d'entreprise

"Vite,Simple et Bien"


Auteur : Joseph BERAUD (jibe, jibe74)
Sources et sites de référence :

CONTRIBS : le site officiel de SME-Server, qui comporte un forum francophone.
SMEserver.fr : Le site de Grand-Pa, LA référence francophone de SME-server.
FreeEOS : Une distribution made in France issue de SME-server, comportant entre autres de nombreuses applications web pré-installées.
IpCop : Un routeur-firewall configurable assez simple d'emploi. Demande quand même de solides notions d'architecture réseau et de firewalling pour être bien utilisé.
L'Internet rapide et permanent : Pour ceux qui veulent approfondir : un site très complet et approfondi sur les réseaux qui sait rester accessible aux débutants.
Ixus : Un excellent forum dédié à la sécurité informatique, dont une large section est consacrée à SME-server et à Ipcop.

Mise a jour : 10 Septembre 2012
Licence : GPL/GFDL


Permission est donnée de copier, diffuser et/ou modifier le présent document en vertu des conditions de la licence GPL, Version 2 ou toute autre version plus récente publiée par la fondation pour le logiciel ouvert « Free Software Foundation ». Permission accordée pour la production de copies mot à mot sans les textes de couverture et avec maintien des mentions de copyright et des auteurs. Une copie de la licence GFDL est disponible sur le site de la Free Software Foundation à l'adresse http://www.fsf.org/copyleft/fdl.html .

Tous les noms et marques de commerce sont la propriété de leurs titulaires respectifs.

"Vite, Simple et Bien" est la devise de FreeEOS.


Table des matières

1. But de ce document
1.1. À propos de ce guide
1.1.1. À propos de sécurité
1.2. Les solutions proposées
1.3. Les produits
1.4. Présentation
2. A savoir...
2.1. Pré-requis
2.2. Terminologie et abréviations
3. Architecture réseau
3.1. Généralités
3.2. Architecture de base pour TPE
3.3. Sécurité Informatique
3.3.1. Sauvegardes
3.3.2. Protection physique
3.3.3. Règles d'utilisation et d'administration
3.3.4. Lutte contre les virus
3.3.5. Protection des émissions radio et autres rayonnements
3.3.6. Maintenance du matériel
3.3.7. Architecture adaptée
3.4. La Wifi
3.4.1. Rappels de base
3.4.2. La sécurité
3.4.3. Solutions alternatives
3.4.4. Anecdote
3.4.5. Ne devenez pas FAI
3.4.6. Si vous ne pouvez vraiment pas faire sans
4. Un réseau simple avec SME-server
4.1. Ce qu'est SME-server
4.2. Notre réseau avec SME-Server
4.3. SME-Server ou FreeEOS ?
4.4. Matériel nécessaire
4.5. Installation de SME-Server
4.6. Le courrier
4.6.1. Configuration du serveur
4.6.2. Envoi des mails
      Le cas Orange/Wanadoo
4.6.3. Configuration des clients
4.6.4. Utilisation et fonctionnement
4.6.5. Accès depuis l'extérieur
5. Combinaison IpCop+SME (ou autre routeur/firewall+SME)
5.1. Avertissement important
5.1.1. Pourquoi SME-Server ?
5.2. L'architecture correcte
5.3. Une variante possible
5.3.1. Le cas des *box (livebox, freebox etc.)
5.4. Une erreur à ne pas commettre
5.5. Un mauvais montage
6. Le cas des *box (FreeBox, Livebox etc.)
6.1. Mode bridge
6.1.1. Passer la livebox en bridge
6.2. DMZ
6.3. Simple modem
6.4. Garder le mode routeur
A. Annexes
A.1. En cas de difficultés
A.1.1. Conseils d'ordre général
A.1.1.1. Demander de l'aide sur un forum
A.1.2. Définir vos besoins et les moyens à mettre en œuvre
A.1.3. Définir votre plan d'adressage
A.1.3.1. Adressage fixe ou dynamique
A.1.3.2. Rappel sur les *box
A.1.4. Vérifier la communication entre machines
A.2. Les classes d'adressage
A.2.1. Avertissement
A.2.2. Les classes d'adressage
A.3. Changelog

1. But de ce document

1.1. A Propos de ce guide

De plus en plus, le besoin se fait sentir dans les petites entreprises (SOHO, Professions libérales, artisans, TPE, PME/PMI) de réaliser un réseau informatique destiné à mettre des ressources en commun (dont la première est souvent la connexion internet), permettre une communication et des échanges entre postes de travail, et éventuellement d'avoir un serveur pour héberger certains services (site internet de l'entreprise, intra/extranet, serveur de courriers électroniques, serveur FTP et beaucoup d'autres choses encore.

Le problème des TPE (je regroupe sous ce sigle toutes les entreprises ne nécessitant pas un système informatique "lourd") est qu'elles n'ont pas les moyens de se payer un service informatique privé, et que faire venir une SSII ou une SSLL pour tout finit d'une part par coûter très cher et d'autre part, ce qui est probablement encore plus grave, de perdre la connaissance et la maitrise de son système informatique.

Je propose ici quelques solutions, basées sur des systèmes libres et open source, permettant avec pas ou peu de connaissances sur l'informatique et ses réseaux, d'installer et d'administrer soi-même ses serveurs. L'utilisation de produits libres et open source permet d'avoir des serveurs très fiables (l'intérêt de l'open source est que n'importe qui peut corriger un bug ou une faille de sécurité ou encore apporter des améliorations, ce qui permet une qualité sans cesse perfectionnée) et des coûts de mise en œuvre et d'utilisation très bas.

1.1.1. A Propos de sécurité

Pour répondre à quelques reproches qui m'ont été faits par certains experts en sécurité informatique, je tiens à préciser que ce document, même s'il consacre le paragraphe 3.3 à ce sujet, n'a aucune prétention en ce domaine. Mon but n'est que de permettre aux TPE d'avoir une idée suffisante en la matière pour éviter les pièges et obtenir un niveau de sécurité vraiment correct pour les besoins de la très grande majorité. Il est bien évident que dans certains cas sensibles, assez exceptionnels dans les TPE, ce qui est conseillé ici pourrait s'avérer insuffisant. Dans ce cas, une analyse poussée des besoins devra être réalisée par un spécialiste qui proposera des moyens adaptés.

Mes propos ici sont surtout basés sur mon expérience en matière d'aide et de conseil tant dans le cadre de mon activité professionnelle que dans celui de l'aide sur certains forums, et qui démontre que très souvent, hélas, des solutions inadaptées sont choisies et entrainent des problèmes ardus ou même graves. J'essaie donc simplement de démontrer qu'il n'est peut-être pas vraiment judicieux de placer une porte blindée sur une cloison de briques : une porte normale avec un verrou suffit dans la majorité des cas. Si le besoin de protection est plus important, il faut d'abord construire un mur solide plutot que bricoler une adaptation pour mettre une porte blindée !

Bref, je ne fais donc qu'essayer ici de proposer un juste milieu entre la négligence complète de toute règle de sécurité et les théories élaborées pour parer à toute éventualité dans un environnement sensible. Une TPE est en effet attaquée régulièrement, mais généralement uniquement par des robots ou des curieux qui abandonnent à la première difficulté. Une protection est donc indispensable, mais elle n'a pas forcément besoin de résister à des techniques sophistiquées, difficiles à mettre en œuvre ou simplement présentant une faible probabilité d'utilisation. Il est clair qu'on peut (peut-être devrait) faire mieux, mais dans ce cas il faut le faire bien et cela entraine inévitablement des dépenses beaucoup plus importantes si on ne veut pas tomber dans le piège du bricolage qui finalement est presque à chaque fois plus mauvais que les solutions que je propose.

1.2. Les solutions proposées

Ce guide n'est pas un livre de recettes. Il se veut simplement un moyen d'essayer de bien cerner ses besoins, de comprendre le fonctionnement de certains produits libres et ainsi à chacun d'imaginer ce qui peut le mieux correspondre aux besoins de son entreprise. Cela en évitant de tomber dans certains pièges tendus par certaines rumeurs infondées mais tenaces, par certaines modes savamment entretenues par ceux qui ont choisi d'en vivre, de certaines solutions de facilité qui ne sont simples que dans l'esprit de celui qui les conçoit mais tout le contraire en exploitation.

J'ai fait des choix quant aux systèmes serveurs que je préconise. Il faut bien en faire, et celui qui est chargé dans une entreprise de mettre en place des solutions alors qu'il a surtout de la bonne volonté, et pas beaucoup de connaissances est généralement heureux qu'on fasse ces choix à sa place. Ces choix sont bien sûr discutables, et ceux qui connaissent d'autres produits pourront les préférer, voire les trouver mieux adaptés pour certains cas. J'ai choisi ce que je propose parce que ces produits répondent à certains critères qui me paraissent importants :

  • Universalité : ces produits s'adaptent assez facilement à tous ou au moins une grande majorité de cas et offrent une solution qui, si elle n'est pas toujours la meilleure, est tout à fait correcte et satisfaisante.
  • Simplicité : ces produits soit ne demandent pas de connaissances particulières pour être mis en œuvre, soit rien de plus que les connaissances minimales indispensables et sont très intuitifs. Ils sont administrables à distance via une interface web, donc à partir d'un (ou de plusieurs...) poste(s) du réseau à l'aide d'un simple navigateur.
  • Fiabilité : ces produits sont très utilisés dans les TPE, voire par des particuliers, et ont fait les preuves de leur fiabilité. Ce sont des produits à utiliser en toute confiance et qui, s'ils sont utilisés et configurés correctement, apportent le niveau de sécurité maximum possible pour l'architecture réseau retenue.
  • Support : Ces produits disposent d'un bon support par la communauté, à travers différents forums, newsgroups et autres listes de diffusion, ce qui permet à ceux qui en ont besoin de trouver rapidement et facilement réponse à leurs questions.
  • Connaissance personnelle : En tant que membre de l'équipe de developpement FreeEOS et intervenant actif sur le forum de cette distrib, ayant moi-même un serveur SME assurant mes besoins professionnels et installant ces produits chez mes clients, je pense avoir une assez bonne connaissance de SME et FreeEOS. Je puis donc parler d'expérience pour ces produits, et j'en parlerai donc beaucoup mieux et en obtiendrai certainement de meilleurs résultats que je ne saurais le faire d'autres, même lorsqu'ils seraient mieux adaptés.

1.3. Les produits

J'ai donc retenu trois produits serveurs que je présente brièvement ici, nous aurons l'occasion ensuite de les étudier plus en détails. J'indique aussi deux produits très intéressants pour les postes de travail sous Windows.

SME-Server

Anciennement appelée e-smith, cette distribution Linux permet d'obtenir en une vingtaine de minutes un serveur "tout en un" prêt à l'emploi, capable d'assurer le partage de la connexion internet et les fonctions de sécurité nécessaires. Ce serveur est conçu pour être installé et administré sans connaissances particulières en informatique. La dernière version de SME-server peut être téléchargée ici.

FreeEOS

Il s'agit d'un dérivé de SME, créé à l'époque par l'AFPA pour ses propres besoins, et qui apportait entre autres quelques adaptations intéressantes, entre autres :

  • Traduction en français : SME n'était à l'époque pas internationalisée.
  • Ajout d'un antivirus : s'il n'est guère utile dans une distribution linux, il fallait quand même filtrer les courriers en comportant puisqu'ils peuvent être lus sur des postes Windows qu'ils infecteraient.

Actuellement, SME est internationnalisé, comporte antivirus et antispam, mais FreeEOS continue d'exister pour d'autres particularités apparues au fur et à mesure de son évolution, en particulier les nombreuses applications Web préinstallées, offrant des solutions "Vite, Simple et Bien" (selon la devise FreeEOS) pour de nombreux domaines. L'AFPA suit toujours le projet de façon intéressée, mais n'y participe presque plus. Le projet vit maintenant par une équipe de développeurs indépendants. La dernière version de FreeEOS peut être téléchargée ici.

IpCop

IpCop est une distribution Linux spécialisée destinée à faire office de routeur-firewall sécurisé, complet et aisément paramétrable selon les besoins à l'aide d'une interface Web. Son but principal est de définir différentes zones séparées pour lesquelles les règles de sécurité et de protections sont spécifiques. La dernière version peut être téléchargée ici.

FreeEOS WinStation

Il s'agit d'un CD proposant différents produits libres ou freewares destinés à être installés sur un poste de travail Windows pour utilisation dans un réseau basé sur SME-server ou FreeEOS. Un installateur automatisé est lancé dès chargement du CD sur le poste Windows, facilitant le choix et l'installation des logiciels proposés. La dernière version peut être téléchargée ici.

Bureau Libre FreEOS

Issu de FreeEOS WinStation et réalisé en collaboration avec la Mairie de Brest qui l'a diffusé à plusieurs centaines de milliers d'exemplaires, Bureau Libre propose une palette complète de logiciels libres ou freewares pour tout poste de travail d'entreprise sous Windows. De quoi faire (presque) tout ce dont on a besoin sur un poste Windows sans pirater de logiciels ! La dernière version peut être téléchargée ici.

1.4. Présentation

Si, pour une quelconque raison, la présentation de ce document ne vous convenait pas, sachez que vous pouvez en sélectionner une autre si vous disposez d'un navigateur conforme aux normes.

Avec Firefox, allez dans le menu "Affichage" puis "Style de la page" et sélectionnez celui que vous préférez.

Avec Opera, allez dans le menu "Afficher" puis "Style" et sélectionnez celui que vous préférez.

2. A savoir...

2.1. Prérequis

Normalement, vous ne devriez avoir besoin d'aucune connaissance spéciale en informatique pour lire ce document. Je tente de le réaliser de sorte qu'il soit à la portée de n'importe qui. Toutefois, il est difficile de redonner les définitions et autres explications de base nécessaires, ainsi qu'expliquer certains termes du jargon spécialisé si répandus que la majorité des non-informaticiens connaissent.

La recherche personnelle étant à la base de tout apprentissage dans quelque domaine que ce soit et de toute réalisation ou installation dans le monde informatique, je vous invite dès à présent à prendre l'habitude, dès que vous avez un doute sur le sens exact d'un terme ou qu'une explication n'est pas parfaitement limpide pour vous, à utiliser votre moteur de recherche préféré pour trouver des compléments d'informations qui sont forcément disponibles sur internet. Si aucune connaissance spéciale n'est nécessaire pour lire ce document comme pour mettre en service les solutions proposées, il faut un minimum de volonté pour s'en sortir seul et ne pas être un assisté qui se contente de suivre sans comprendre des recettes toutes faites : si cela peut marcher en cuisine (mais le résultat reste souvent ici aussi décevant !), cela est impossible en informatique et n'aboutit qu'à des catastrophes à plus ou moins brève échéance. Je rappelle aussi que les informations délivrées ici le sont à titre gracieux, mais sans aucune garantie ni aucun engagement de ma part. Vous les utilisez à vos propres risques et selon vos propres responsabilités.

Ceux qui auraient un peu de mal à suivre ce guide pourront compléter leurs connaissances grâce au site Lea et du Léa book ou à l'excellent document "L'Internet rapide et permanent". Pour vos recherches sur Internet, vous pouvez utiliser la version spécialisée Linux de Google.

2.2. Terminologie et abréviations

Si vous êtes novice en matière de réseaux informatique, vous aurez probablement du mal à comprendre les explications qui suivent. En fait, ce paragraphe est un simple aide-mémoire destiné à vous rappeler à quoi correspondent les termes que vous rencontrerez tout au long de ce tuto. Vous devriez donc maintenant passer directement au chapitre 3, et revenir ici lorsque vous éprouver le besoin de retrouver la définition d'un terme.

DHCP (Dynamic Host Configuration Protocol) est un protocole visant à assurer une configuration automatique d'une station de travail en lui attribuant entre autres une adresse IP et un masque de sous-réseau.

La DMZ (DeMilitarized Zone) est une partie un peu spéciale du réseau, qu'on pourrait dire intermédiaire entre la zone locale hautement sécurisée et la ou les zones extérieure(s). On met dans cette zone des ressources qui doivent pouvoir communiquer avec l'extérieur sans ou avec peu de contraintes, tout en restant accessibles de la zone locale. En code des couleurs Ipcop, c'est la zone orange.

DNS (Domain Naming System) est un système permettant d'établir une correspondance entre un nom de domaine et une adresse IP. Par extension, il peut s'agir aussi d'un serveur assurant ce service.

Un FAI est un Fournisseur d'Accès à Internet. Par exemple (pub gratuite !) Free.fr, Orange.fr etc.

FTP (File Transfer Protocol) est un protocole de transfert de fichiers via Internet.

IMAP (Internet Message Access Protocol) est un protocole de lecture des mails permettant de laisser ceux-ci sur le serveur, les rendant accessibles depuis tout point depuis lequel le serveur est joignable. C'est le protocole utilisé par Webmail.

Le LAN (Local Area Network) est la partie locale d'un réseau, c'est à dire toutes les ressources réparties dans une même zone. En code des couleurs Ipcop, c'est la zone verte.

Linux est un système d'exploitation, comme le sont Windows, MacOS sur les Macintoch, Unix ou Solaris sur de plus gros systèmes informatiques. C'est un produit libre open source, c'est à dire librement copiable, et dont chacun peut disposer du code source, autrement dit savoir comment il est fait. Eventuellement, chacun peut l'améliorer. C'est ce qui fait sa grande robustesse et sa quasi-immunité aux virus. (Wikipédia)

Un modem est un appareil servant d'interface entre deux réseaux. Il convertit - généralement dans les deux sens - les signaux électriques de l'un en de nouveaux signaux acceptables et compréhensibles par l'autre.

Une passerelle est un ordinateur destiné à assurer la communication entre deux réseaux. Dans le cas qui nous intéresse ici, la passerelle réalise l'interconnexion entre le réseau interne de l'entreprise et le réseau Internet. (Wikipédia).

POP (Post Office Protocol) est un protocole de récupération des courriers électroniques. Même si une option spéciale permet de les laisser sur le serveur, les courriers sont téléchargés, stockés et traités sur le poste de travail. POP est donc peu adapté pour les utilisateurs itinérants, mais a l'avantage de libérer le serveur et donc d'éviter de dépasser ses quotas.

Radius (Remote Authentification Dial-In User Service) est un protocole de centralisation des données d'authentification.

Le Raid est une technologie permettant de répartir les données sur plusieurs disques, augmentant les performances et la fiabilité.

Un routeur est un appareil assurant la distribution des flux d'information dans un réseau informatique, tout au moins l'aiguillage vers les différentes zones (WAN, LAN, DMZ etc.) (Wikipédia).

Samba est un logiciel client/serveur libre qui supporte le protocole SMB permettant aux OS Microsoft (Windows) de partager des ressources (fichiers, imprimantes) et de communiquer entre eux.

Un serveur est un système informatique ou un simple logiciel dédié pour exécuter certaines tâches et sur lequel viennent se connecter des clients, qui utilisent ces services. Attention : selon le contexte, on parlera de la machine elle-même ou du service. Ainsi, une machine "serveur" peut héberger plusieurs logiciels "serveurs" ! Ce sera le cas avec SME-server : la machine sur laquelle est installé SME est un serveur, et elle héberge de nombreux logiciels serveurs : serveur web (pour héberger des sites internet), serveur de mail (pour émettre et recevoir des courriers électroniques), serveur FTP (pour télécharger des fichiers, serveur Samba (pour partager des ressources avec des postes Windows), serveur Apple-Talk (pour partager des ressources avec des postes Mac), serveur d'impression (pour partager des imprimantes) etc. (Wikipédia).

SMTP (Simple Mail Transfer Protocol) est un protocole de transfert des courriers électroniques. C'est celui employé sur Internet, et généralement aussi pour les services de courrier électroniques internes.

SSH (Secure SHell) Protocole de communication sécurisé permettant d'ouvrir une console à distance et de faire, depuis un poste distant, comme si on était sur l'écran-clavier d'un autre ordinateur.

Un système d'exploitation (SE ou OS en anglais pour Operating System) est un ensemble cohérent de logiciels permettant d'utiliser un ordinateur et tous ses éléments (ou périphériques). Il assure le démarrage de celui-ci et fournit aux programmes applicatifs les interfaces pour contrôler les éléments de l'ordinateur. (Wikipédia). Les plus connus sont Windows® XP ou autres versions, les différentes distributions Linux, Mac OS.

Une TPE est une Très Petite Entreprise, quelle que soit sa forme juridique et son objectif. Dans ce document, sont regroupées sous ce vocable toutes les entreprises, associations, professions libérales et autres pour qui les solutions proposées peuvent convenir. Il peut donc s'agir aussi bien de particuliers que de PME/PMI qui n'entrent normalement pas dans la dénomination TPE...

Le VPN (Virtual Private Network) est une technologie spéciale permettant d'établir des connexions privées sécurisées via un réseau public, typiquement via Internet. Il en existe plusieurs variantes (PPTP, IPSEC etc.).

Le WAN (Wide Area Network) est la partie étendue d'un réseau. Par exemple, pour une entreprise comportant plusieurs locaux distants mais interconnectés au niveau informatique, on parlera du WAN pour la partie du réseau située dans les autres locaux que celui considéré. Par extension et un peu par abus de langage, on désigne parfois par WAN le réseau Internet ou tout ce qui est accessible mais extérieur au réseau local. En code des couleurs Ipcop, c'est la zone rouge.

Webmail est une interface web permettant de lire et envoyer des courriers électroniques à l'aide d'un navigateur Internet (Internet Explorer, Firefox etc.).

3. Architecture réseau

3.1. Généralités

L'architecture réseau est en fait la planification de l'organisation générale des ressources informatiques en un réseau cohérent et sécurisé de traitement de l'information. Cette architecture dépend bien sûr essentiellement des besoins de l'entreprise, des ressources à partager et du niveau de sécurité requis.

Il est clair que les besoins en sécurité d'un artisan et ceux d'une banque n'ont rien à voir. Même si l'artisan ne souhaite pas plus que la banque voir des pirates s'introduire dans son ordinateur et consulter, copier ou détruire ses données, trois choses diffèrent totalement : la valeur attribuée à ces données et les moyens de protection qui peuvent être mis en œuvre. La troisième chose découle de la première, il s'agit de l'intérêt pour un pirate de s'approprier ou de détruire les données. L'artisan peut craindre peut-être que son concurrent consulte ses devis ou efface certains fichiers pour le mettre en difficultés, mais pour une banque ce sont potentiellement des milliards d'euros qui sont en jeu et qui intéressent des pirates d'un autre niveau...

3.2. Architecture de base pour TPE

Le schéma suivant décrit l'architecture de base classique pour une TPE. A quelques variantes près, selon les besoins réels, l'architecture informatique d'une TPE ressemble (ou devrait ressembler...) à ce schéma éventuellement épuré des éléments non nécessaires.

schéma du réseau

Le réseau est séparé en quatre zones, délimitées par le routeur-firewall, et des règles précises de communication sont établies entre ces zones afin de limiter les inter-communications au strict minimum nécessaire pour des raisons évidentes de sécurité. Chaque zone a sa propre plage d'adresses IP :

  • Zone rouge : l'adresse IP qui vous est attribuée par votre fournisseur d'accès,
  • Zone orange : Une plage que vous choisissez vous-mêmes. Si vous ne connaissez pas les règles et habitudes d'attribution d'adresses IP, choisissez 192.168.0.x, x étant spécifique à chaque machine de cette zone.
  • Zone verte : Une plage que vous choisissez vous-mêmes. Si vous ne connaissez pas les règles et habitudes d'attribution d'adresses IP, choisissez 192.168.1.x, x étant spécifique à chaque machine de cette zone.
  • Zone bleue : Une plage que vous choisissez vous-mêmes. Si vous ne connaissez pas les règles et habitudes d'attribution d'adresses IP, choisissez 192.168.2.x, x étant spécifique à chaque machine de cette zone.

La zone rouge est bien sûr constituée de la connexion Internet à partager dans le réseau, mais peut servir aussi à la liaison vers des postes ou réseaux distants appartenant à l'entreprise : portables des représentants, autre agence, travailleur à domicile affilié etc. L'interconnexion sera alors réalisée via Internet par un VPN.

3.3 La sécurité informatique

Il me semble bon de rappeler quelques principes de base sur la sécurité informatique. En effet, une erreur classique consiste à attacher une trop grande importance à certains éléments tout en négligeant certains autres. Or, telle une chaine, la sécurité informatique a la solidité du plus faible de ses maillons ! A quoi bon mettre une porte blindée munie d'une serrure 5 points si la fenêtre reste ouverte ?

Je rappelle au passage qu'un minimum de précautions doivent être prises tant pour l'entreprise elle-même que pour la communauté des utilisateurs d'Internet. En effet, l'attitude qui consiste à dire : "Je n'ai rien à cacher ni rien de précieux" est une attitude non seulement irresponsable, mais aussi coupable et qui permet à des milliers, voire des millions de postes de travail de servir de relais SMTP aux spammeurs, voire de générer eux-mêmes du spam via des vers ou autres virus cherchant à se propager. Quand encore il n'y est pas installé, à l'insu du plein gré de leur propriétaire, un serveur web hébergeant un site pédophile ou terroriste... C'est effectivement beaucoup plus rare, mais cela s'est vu !

Voyons donc les principaux points à prendre en considération pour assurer une bonne sécurité informatique :

3.3.1. Les sauvegardes

Je pense qu'il est inutile d'expliquer leur utilité et leur nécessité. Pourtant, alors que ce devrait être le premier élément mis en place, elles sont très souvent négligées... Rappelons donc qu'elles devraient au moins :

  • Etre réalisées très régulièrement,
  • Permettre une récupération aisée, si possible fichier par fichier,
  • Permettre la récupération de plusieurs versions antérieures,
  • Etre adaptées au fonctionnement de l'entreprise et à ses besoins,
  • Etre conservées (au moins un jeu) dans un local différent,
  • Faire l'objet d'une politique précise et adaptée au sein de l'entreprise (qui les fait, quand, comment, où les stocker, qui se charge des récupérations etc.)...

3.3.2. Protection physique

Le ou les serveurs devraient être protégés physiquement, afin qu'ils ne puissent pas être volés (j'ai vu plusieurs fois le cas !!!) ou qu'une personne non autorisée ne puisse pas y accéder. Il lui serait alors facile de modifier temporairement le mot de passe root et de faire... tout ce qu'elle veut : vol ou destruction de données, installation d'un relais de spam, d'un proxy ouvert, d'un site web illégal etc.

3.3.3. Règles d'utilisation et d'administration

Des règles précises doivent être établies et strictement respectées. Combien de fois ai-je vu des apprentis-sorciers intervenir sur les serveurs. Cela est assez courant dans les petites entreprises où personne ne s'y connait vraiment et où un employé qui se croit plus malin que les autres se met à bricoler les systèmes, parfois avec de mauvaises intentions, mais aussi souvent avec simplement la conviction qu'il va améliorer les choses. Il faut absolument que seuls ceux qui ont été désignés aptes à jouer le rôle d'administrateur système aient le droit et la possibilité d'intervenir, et qu'ils soient bien conscients de leurs responsabilités.

Cela implique d'abord (mais pas seulement !) une saine politique au niveau des mots de passe.

3.3.4. Lutte contre les virus

De nombreux virus ou vers ont pour simple but d'installer des spywares (logiciels espions), des relais SMTP (pour permettre aux spammeurs de faire leur sale besogne en toute impunité) voire des sites internet interdits (pédophiles, terroristes etc.) à l'insu du plein gré des utilisateurs des postes de travail qui ne s'aperçoivent souvent de leur présence que lorsque leur poste est trop ralenti par leur activité...

Une politique stricte de lutte anti-virus est donc indispensable, et passe par une mise à jour régulière et très fréquente (gnujpl, développeur en chef de FreeEOS, préconise une mise à jour automatique toutes les deux heures !) des bases de signatures des anti-virus et anti-spywares employés.

Même si SME-Server assure une analyse anti-virus des emails reçus avant de les déposer dans les boites aux lettres, il est indispensable de protéger les postes de travail qui peuvent être contaminés soit par un code malicieux exécuté lors d'un surf sur Internet, soit d'un virus amené de l'extérieur via un CD gravé sur une machine contaminée, une clé USB ou tout autre support.

Attention au fait que, de plus en plus, les virus savent désensibiliser les anti-virus ! Cela se traduit par le fait que l'antivirus semble se comporter tout à fait normalement, mais ne détecte plus certains virus ! Il est donc indispensable que l'analyse se fasse par un système non infecté, c'est à dire en bootant depuis un CD d'analyse, ou via le réseau à partir d'un système dont on est absolument certain qu'il est parfaitement sain.

3.3.5. Protection des émissions radio et autres rayonnements

De nombreux cas de piratage utilisant les divers rayonnements électromagnétiques ont été constatés. Cela nécessite souvent des moyens sophistiqués, mais pas toujours. On a donc tout intérêt à faire en sorte d'émettre le moins possible de ce genre de rayonnements. Cela passe par la qualité du câblage, mais aussi par une saine politique concernant la Wifi qui est de plus en plus à la mode, et employée à tort et à travers ! (voir au paragraphe suivant).

3.3.6. Maintenance du matériel

Là aussi, c'est une chose souvent négligée, mais souvent responsable de pertes de données ou simplement d'indisponibilités anormalement longues et/ou fréquentes du matériel. La maintenance préventive est un excellent remède qu'il ne faut pas négliger et qui s'avère souvent être une économie à terme.

3.3.7. Architecture adaptée

Nous avons vu l'architecture de base pour un petit réseau dans une TPE. On s'attachera à la respecter, ou à ne faire des adaptation qu'en parfaite connaissance de cause. J'ai vu hélas de nombreux spécialistes réaliser des architectures incohérentes, sources de vulnérabilité ou simplement de problèmes ! Dans le doute, mieux vaut en rester à des choses simples, qui assurent une protection au moins aussi solide que les autres maillons de la chaine de sécurité dont il est question ci-dessus. Rappelez-vous que le mieux est souvent l'ennemi du bien !

3.4. La WIFI

3.4.1. Rappels de base

La wifi, tant vantée par certains, est devenue une mode au point que certains en oublient quelques principes de base qu'il me semble bon de rappeler ici. Comme chacun sait, la wifi est une technologie permettant l'interconnexion dans un réseau via des ondes radio qui remplacent les traditionnels câbles. Si cela semble à priori séduisant, le gros avantage étant effectivement de ne plus avoir besoin de mettre en place des câbles, il ne faut pas oublier que toute médaille a son revers et que cette solution amène certains inconvénients :

  • Il y a parfois - plus souvent qu'on ne le croit - des problèmes de transmissions qui rendent l'utilisation de la wifi impossible ou difficile,
  • N'importe qui peut capter les ondes radio émises et s'il est possible de les rendre inutilisables à toute personne non autorisée par un système de codage et/ou d'authentification, cela demande pour être vraiment efficace des techniques très sophistiquées et donc onéreuses et/ou contraignantes,
  • La portée n'est en aucun cas maitrisée, et il est donc possible pour des pirates de capter les ondes émises à des distances parfois beaucoup plus grandes que la portée "officielle" indiquée, qui n'est qu'une valeur statistique établie dans des conditions normales d'émission et de réception,
  • Pour diverses raisons, la vitesse de transmission est généralement nettement inférieure à ce qui est réalisable avec un réseau câblé,
  • Dans une grande majorité de cas, le coût de mise en service et d'utilisation est très nettement supérieur à celui d'un réseau câblé.

3.4.2. La sécurité

La plupart des installations wifi dites sécurisées ne le sont que par des techniques aisément contournables, et sont facilement piratables par le premier amateur venu. S'il est effectivement possible de réaliser des liaisons parfaitement sécurisées, je n'en ai jamais encore rencontré dans la réalité. Probablement pour des raisons économiques (dans le domaine des petites entreprises où je travaille, c'est un facteur très important), mais aussi en raison d'idées fausses soigneusement entretenues bien sûr par les vendeurs de solutions wifi.

La sécurité assurée par les procédés courants (WEP, adresses MAC, et même souvent WPA) est si mauvaise, et le rapport coût/avantages d'une solution wifi fait que je la déconseille dans presque tous les cas. J'invite ceux qui pensent malgré tout que la wifi est une solution sûre à consulter ce qui s'en est dit sur ce forum, et surtout à bien lire les articles auxquels renvoient les liens. Renseignez-vous aussi sur ce qu'est le "wardriving" !

Ce manque de sécurité est encore renforcé par le fait que la réception peut se faire de bien plus loin que la portée nominale des points d'accès, en utilisant certaines techniques très simples à mettre en œuvre. Par exemple, de simples antennes de type "caro-tenne" ou autres "antennes ricoré" facilement réalisables avec peu de moyens par n'importe quel bricoleur permettent d'obtenir une sensibilité de réception de très loin supérieure à celle d'un AP normal.

3.4.3. Solutions alternatives

Le refrein que j'entends généralement est : oui, mais moi je ne peux pas me passer de wifi ! En êtes-vous si sûr ? N'est-ce pas le vendeur qui vous en a convaincu ? Personnellement, j'ai toujours pu trouver pour mes clients des solutions alternatives, et les quelques fois où je suis intervenu pour remplacer par un bon vieux câble une solution wifi défaillante, cela a au final coûté moins cher que la wifi remplacée !

Réfléchissez bien avant de conclure trop vite. Un exemple parmi tant d'autres : les bureaux sont rarement équipés de téléphones sans fil. Alors, si on peut câbler pour le téléphone, pourquoi ne pourrait-on pas câbler pour de l'informatique ? Mieux même : le téléphone est de plus en plus mis en place avec des câbles de qualité, je vois souvent du "catégorie 5", or le téléphone n'en utilise qu'une paire, et une liaison éthernet 2 paires. On peut donc tout faire passer dans les 4 paires du câble, sans même avoir à le retirer ! Et si ce n'est pas du "catégorie 5" ? J'ai utilisé du câble téléphone normal pour des liaisons qui devaient faire entre 10 et 20m. Pour remplacer une wifi très perturbée par un environnement électro-magnétique néfaste, cela s'est avéré bien meilleur. J'avais fait l'essai à tout hasard, et j'ai finalement renoncé à changer ce câble contre un "catégorie 5" comme j'avais prévu de le faire.

Avec un tout petit peu d'imagination, on arrive presque toujours à trouver une solution pour câbler. Et si cela demande parfois de sacrifier un peu l'esthétique ou le confort (voir l'annecdote ci-après), voire de réaliser quelques travaux, le résultat en vaut la chandelle !

3.4.4. Anecdote

Il m'est arrivé un jour, sur un forum, de tomber sur un trolleur qui essayait de démonter mes arguments contre la wifi. N'y étant pas parvenu, il a fini par me dire que, s'il lui était effectivement possible en utilisant le câble du téléphone d'avoir une liaison ethernet, il voulait pouvoir jouir librement de son portable dans son lit sans avoir "un fil à la patte" (argument d'ailleurs très fréquent !). Mais il a eu le malheur de me laisser entendre que cette utilisation pouvait durer plusieurs heures. «Donc, lui ai-je rétorqué, tu es obligé d'accepter le "fil à la patte" de ton chargeur de batterie. Ne me laisse donc pas croire qu'il t'est insupportable d'ajouter celui de la liaison ethernet !»

Soyez donc raisonnables : certains sont prêts à sacrifier beaucoup pour assurer la sécurité de leur réseau, puis par simple confort la réduisent presque à néant par une solution wifi !

Et si vous n'avez aucune notion de sécurité informatique, n'en soyez pas pour autant naïf à croire les affirmations du premier vendeur venu qui ne vous vante que les avantages de sa solution, et qui nie ou minimise les inconvénients : renseignez-vous et prenez au moins la peine d'écouter d'autres "sons de cloche" !

3.4.5. Ne devenez pas FAI

En plus du risque de voir des intrusions dans votre réseau informatique via la wifi, et donc le risque de vol ou de destruction de données, vous prenez le risque avec la wifi de vous transformer en fournisseur d'accès internet à l'insu de votre plein gré. En effet, pour peu que via votre wifi le pirate ait accès à votre liaison internet, il ne va pas se gêner pour l'utiliser.

Vous devenez ainsi un fournisseur d'accès à Intenet, et vous tombez alors sous le coup de la loi régissant cette profession. Vous avez certaines obligations, principalement en matière de traçabilité des connexions. Les traces de connexions vous seront exigées s'il est détecté en provenance de votre connexion soit du spam, soit quelqu'autre trafic illégal (visite de sites interdits par exemple). Comme vous n'aurez aucune trace des connexions du pirate, il pourrait vous être difficile de prouver votre bonne foi si un tel cas se produisait...

Ce qui je viens de mentionner a été écrit avant les lois HADOPI et LOPSI. Depuis, les choses n'ont pas évolué à l'avantage de la wifi, puisque même si vous arrivez à prouver que le trafic illégal constaté sur votre connexion est l'oeuvre d'un pirate, vous serez condamné pour défaut de protection de votre connexion internet !!!

3.4.6. Si vous ne pouvez vraiment pas faire sans

Mon conseil est de chercher par tous les moyens à vous passer de wifi. Mais il est des cas - rares, mais je dois bien les reconnaitre - où cela n'est pas possible. Essayez alors d'isoler toute votre wifi du reste du réseau, en disposant entre les deux un solide firewall. C'est à cela qu'est destinée la «patte» bleue de l'IpCop.

Cette première précaution limite une éventuelle intrusion via votre wifi aux seules machines connectées de cette manière et met donc à l'abri toutes vos machines connectées par câble. Mais cela n'évite pas les intrusions ! Pour les éviter, les systèmes proposés étant très insuffisants, il vous faut non seulement un système de cryptage robuste (WPA AES et non WEP), mais aussi une passphrase suffisamment complexe et un système d'authentification Radius. Si les trois ne sont pas combinés, la protection est inefficace ou contournable.

Réfléchissez aussi à des solutions alternatives, par exemple le CPL. Si cette technique n'est guère meilleure que la wifi question sécurité, elle est souvent plus fiable et surtout se prête moins au piratage sur le plan pratique.

4. Un réseau simple avec SME-server

4.1. Ce qu'est SME-server

SME-server et FreeEOS étant relativement similaires (je rappelle que FreeEOS est basé sur SME), tout ce qui est dit ici sur SME (aux particularités près bien sûr) s'applique pour FreeEOS.

SME est un serveur-passerelle "tout en un", qui regroupe au sein d'une seule machine :

  • Un Firewall, qui a ici la particularité d'être auto-configurable, c'est à dire que l'installateur n'a même pas besoin de savoir ce qu'est un firewall, il se configure automatiquement en fonction des choix qui sont faits,
  • Un routeur, qui permet d'aiguiller les flux de données vers les machines concernées,
  • Un serveur Web (serveur d'hébergement de sites internet) supportant PHP et MySQL,
  • Un serveur de mails complet (SMTP, POP, IMAP, Webmail, antivirus et antispam),
  • Un serveur FTP,
  • Un serveur Radius d'authentification,
  • Un serveur PPTP, permettant certaines connexions à distance,
  • Un serveur SSH permettant des transferts codés et sécurisés,
  • Un serveur DNS,
  • Un serveur DHCP,
  • Un serveur LDAP gérant l'annuaire interne,
  • La possibilité de faire office de Contrôleur de Domaine Principal (PDC),
  • Un serveur Samba permettant le partage de fichiers et ressources avec des postes de travail Windows,
  • Un serveur Apple-Talk permettant le partage de fichiers et ressources avec des postes de travail Mac,
  • Un serveur d'impression permettant de partager plusieurs imprimantes parallèle, série et USB,
  • Une interface Web de configuration/administration.

FreeEOS apporte en plus les services suivants :

  • Un VPN IPSEC (Internet Protocol SECurity),
  • Un serveur partimage permettant de créer et gérer des images des disques durs,
  • Un serveur JABBER (Messagerie instantannée, supervision, monitoring, VoIP etc.),
  • Plusieurs applications Web pré-installées, déployables sans connaissance de PHP/MySQL en une minute environ.

Autrement dit, sur le schéma de réseau de base proposé plus haut, SME-Server remplace toute la partie marquée ici en jaune, avec même quelques services supplémentaires.

Services SME-Server

4.2. Notre réseau avec SME-Server

Si nous refaisons le schéma de notre réseau avec SME-Server, voici ce que cela donne :

Réseau avec SME-Server

4.3 SME-Server ou FreeEOS ?

Le choix va dépendre des particularités de FreeEOS, qui sont décrites ci-dessus. Si vous avez à vous servir de telles applications Web, choisissez sans hésiter FreeEOS (après avoir vérifié la compatibilité avec votre matériel, le matériel récent étant souvent mal reconnu par FreeEOS : il le sera avec la version 2).

Si vous n'avez pas l'intention de vous servir d'applications Web ou d'autres particularités de FreeEOS, préférez SME tant que FreeEOS 2 n'est pas sortie. Lorsqu'elle le sera, vous pourrez choisir l'une ou l'autre à votre convenance, mais FreeEOS gardera alors l'avantage d'être plus complète.

4.4 Matériel nécessaire

Un des avantages de SME-Server (hérité de Linux) est qu'il est très peu exigeant quant au matériel. Dans bien des cas, un PII 400MHz avec 64Mo de mémoire suffit. Au point que je n'ai jamais installé SME-Server sur une machine neuve ! On peut avoir un serveur très performant simplement en récupérant une machine mise au rebut. L'écran, la carte vidéo et le clavier ne sont nécessaires que lors de l'installation, et la souris est complètement inutile, de même que la carte son et le graveur CD/DVD ! (prévoir un lecteur CD, utile seulement pour l'installation).

Bien sûr, on aura quand même avantage à faire en sorte d'avoir un matériel le plus fiable possible (le serveur devra sauf cas exceptionnels fonctionner sans interruption 24h/24 365 jours par an. Il est donc conseillé (mais pas indispensable) de prévoir :

  • Une alimentation largement dimensionnée en fonction des équippements internes (attention si vous ajoutez des disques),
  • Des disques SCSI,
  • Plusieurs disques montés en Raid 1 ou en Raid 5 (raid logiciel géré par SME s'il ne trouve pas de contrôleurs Raid matériel. FreeEOS ne gère que le raid 1 logiciel, et reconnait peu de contrôleurs Raid matériel),
  • Une alimentation de secours (onduleur) assez puissante et avec une bonne autonomie.

4.5 Installation de SME-Server

D'autres sites (dont celui de Grand-Pa) expliquant très bien l'installation de SME, je ne vais pas réinventer l'eau chaude ! Je me contenterai donc de rappeler les étapes de cette mise en service et de renvoyer ceux qui ont des difficultés au Chapitre 6 :

  • Téléchargez, imprimez éventuellement, et lisez le manuel de l'utilisateur de SME-Server et celui de l'administrateur système (ah, vous ne lisez pas l'anglais ? Alors, voyez le manuel FreeEOS dont une bonne partie correspond assez bien à SME, et pour le reste le site de Grand-Pa devrait déjà vous procurer de bonnes bases),
  • Définissez votre plan d'adressage,
  • Choisissez et préparez votre matériel,
  • Téléchargez l'image ISO de SME-Server ou de FreeEOS et gravez la sur un CD après avoir vérifié la somme MD5 correspondante, ce qui permet de vous assurer de l'intégrité de l'image téléchargée (comparez la somme fournie sur le site et celle recalculée par votre logiciel de gravage),
  • Procédez à l'installation comme précisé sur le site de Grand-Pa
  • Procédez à la configuration finale à l'aide de l'interface Web du serveur : depuis un poste de travail, à l'aide du navigateur, allez à cette adresse : https://votredomaine.tld/server-manager. Bien sûr, il vous faut remplacer "votredomaine.tld" par le nom réel du domaine que vous avez choisi lors de l'installation du serveur. Vous pouvez aussi mettre son adresse IP, par exemple https://192.168.1.1/server-manager. Le plus simple pour cette étape est de passer un à un et dans l'ordre tous les éléments du menu de gauche.
  • Votre serveur est opérationnel

4.6 Le courrier

Il y a bien des façons de traiter le courrier électronique au sein d'un réseau d'entreprise. Vous devez choisir judicieusement la méthode qui sera adaptée à la vôtre, et pour cela commencer par bien définir vos besoins. Le mieux est de les écrire sur le papier, cela oblige à réfléchir plus attentivement et, le moment du choix venu, de ne pas oublier un paramètre important.

Je vous propose une configuration pour le service courriers électroniques qui vous permettra de disposer où que vous soyez d'un service webmail et de tout rassembler sur votre serveur SME, y compris les boites aux lettres dispersées chez votre FAI et divers autres prestataires payants ou gratuits. Vous allez devoir pour cela installer une "contrib" (une extension logicielle créée par un utilisateur) créée par mon ami Pascal Schirrmann aka sibsib (selon une première version de Vincent Filali) que vous trouverez sur son site.

4.6.1 Configuration du serveur

  • Installez SME-fetchmail en suivant les instructions données par sibsib sur son site,
  • Pour ce qui va suivre, nous allons utiliser le server-manager (l'interface web de configuration de SME) accessible comme indiqué au paragraphe 4-5 à l'adresse https://votredomaine.tld/server-manager ou https://192.168.x.y/server-manager. Aidez vous du manuel au besoin ou des explications données par Grand-Pa sur son site,
  • Dans le server-manager, choisissez «Messagerie Electronique» puis «Modifier les paramètres de réception des courriels» et passez le mode de récupération du courrier en ETRN,
  • Indiquez, au bas de la page, la fréquence à laquelle vous désirez que vos boites aux lettres externes (votre FAI et autres hébergeurs) soient relevées et retransmises dans vos boites locales,
  • Repassez le mode de récupération à «Standard (SMTP)»,
  • Pour l'accès aux serveurs POP et IMAP, désactivez l'accès POP et n'autorisez l'accès IMAP qu'aux utilisateurs locaux : c'est préférable au niveau sécurité, et à l'extérieur vous utiliserez le webmail que vous activerez dans la même page du server-manager. A moins bien sûr que vous n'ayez une bonne raison d'utiliser un client mail du genre thunderbird lorsque vous êtes à l'extérieur de votre réseau,
  • Dans l'option récupération de mails ajoutée au menu du server-manager par la contrib SME-fetchmail, paramétrez les différentes boites externes à récupérer comme indiqué par sibsib,

4.6.2 Envoi des mails

De plus en plus, les FAI et hébergeurs bloquent les mails venant d'adresses IP attribuées à des clients de leurs confrères ou de leurs propres clients. Qu'on ne s'y méprenne pas : il s'agit là d'une mesure saine et rendue nécessaire par la négligence d'une foule d'utilisateurs d'internet qui laissent en ligne des machines fonctionnant en relais ouvert et permettant aux spammeurs d'inonder le monde de leurs ordures en toute impunité.

La solution consiste à ne pas faire envoyer les mails directement par SME-Server comme il pourrait le faire, mais à les transmettre via le serveur SMTP de son FAI ou de son hébergeur. Nous traiterons en fin de ce paragraphe du cas des clients Orange.fr, ce FAI ayant mis en place un dispositif particulier de relayage des mails de ses clients.

  • Dans le server-manager, à l'option «Messagerie Electronique», «Modifier les paramètres d'envoi des courriels», remplissez le champ intitulé «Adresse du serveur de messagerie du FAI (ISP)» en indiquant le nom du serveur que vous utiliserez pour relayer vos mails au départ (par exemple, smtp.free.fr),
  • Si vous désirez faire relayer vos mails au départ par orange.fr dont vous êtes client, suivez les instructions données ci-après.
Le cas Orange (wanadoo)

Orange dispose de deux serveurs SMTP, l'un étant ouvert à tous et l'autre étant réservé à ses clients. Seul le second est habilité à relayer les mails des clients orange, et c'est donc lui que vous devrez utiliser. Son nom est tout simplement smtp.orange.fr (ou smtp.wanadoo.fr pour les anciens clients qui se sont inscrits du temps de Wanadoo).

Oui, mais il y a un hic : le smtp public d'Orange s'appelle lui aussi smtp.orange.fr !!! Comment cela est-il possible ? Tout vient des services DNS qui font correspondre les noms compréhensibles par nous les humains, et les adresses IP que seules comprennent nos ordinateurs. Ainsi, lorsque j'appelle smtp.orange.fr, le système DNS envoie ma requête à son adresse IP. Et en fait, à l'adresse IP du serveur SMTP public, celui qui refuse de relayer mes mails !!!

La solution consiste à ne pas utiliser le système DNS public, mais le serveur DNS d'Orange. Celui-ci, pour le même appel à smtp.orange.fr, enverra bien ma requête à l'adresse IP du serveur SMTP réservé aux clients, qui assurera sans problème le relayage de mes mails.

Voilà pour la petite explication. Si vous n'avez rien compris, ne vous inquiétez pas : SME-server saura se débrouiller avec tout ça à la seule condition que vous l'ayez bien paramétré. Et pour cela, rien de plus simple : vous indiquez le SMTP d'Orange comme précisé ci-dessus, et vous allez dans la console d'administration de SME-Server (vous vous loggez «admin» sur le serveur - et non pas dans l'interface web «server-manager»), et vous choisissez l'option de menu «2 - Configurer ce serveur». Validez toutes les options jusqu'à ce que vous arriviez à la saisie de l'adresse du DNS de votre entreprise. Là, vous indiquerez l'adresse du DNS primaire qui vous a été indiqué par Orange (ou Wanadoo...) lorsque vous ont été fournis vos paramètres de connexion. Validez ensuite les options suivantes, et laissez le serveur prendre en compte cette nouvelle configuration et redémarrer. Il sera alors capable d'envoyer vos courriers via le serveur d'Orange.

4.6.3 Configuration des clients

La procédure va être sensiblement la même quel que soit le logiciel de courriers que vous utilisez (Outlook Express, Outlook, Mozilla Thunderbird, Evolution, Opera etc.). La particularité va être au niveau des serveurs utilisés et éventuellement des adresses de courrier. Ainsi, pour chaque compte de courrier :

  • Paramétrez le compte normalement, sauf pour les adresses de serveurs pour lesquelles vous indiquerez ce qui suit :
  • Pour l'adresse du serveur de récupération des courriers (POP ou IMAP), vous indiquerez «mail.votredomaine.com», votredomaine.com étant bien sûr remplacé par le nom de domaine principal que vous avez choisi pour SME-Server. Eventuellement, vous pouvez indiquer à la place l'adresse IP de SME-Server.
  • Pour le protocole de récupération des courriers (mentionné d'une façon différente dans chaque logiciel. C'est en fait là où vous pouvez choisir entre POP et IMAP), indiquez IMAP.
  • Pour l'adresse du serveur d'envoi des courriers (SMTP), vous indiquerez également «mail.votredomaine.com». Eventuellement, vous pouvez aussi indiquer à la place l'adresse IP de SME-Server.
  • Pour votre adresse de courrier et l'adresse de retour, indiquez ce qui convient. Ce pourra être votre adresse définie par SME-Server si le nom de domaine que vous avez choisi est public et dûment acquis auprès d'un organisme habilité (Gandi, dyndns, votre hébergeur, éventuellement votre FAI) ou l'adresse de votre boite aux lettres chez votre FAI, celle qui sera récupérée par la contrib SME-fetchmail dont il a été question au paragraphe 4.6.1.

4.6.4 Utilisation et fonctionnement

Vous pourrez ainsi utiliser vos logiciels de courrier de manière tout à fait habituelle. Si vous avez besoin d'envoyer un courrier dans une boite aux lettres interne à votre réseau, utilisez l'adresse du style «destinataire@votredomaine.com» ou simplement «destinataire», destinataire étant le code utilisateur de votre correspondant déclaré dans SME-Server et votredomaine.com le nom de domaine principal que vous avez choisi pour SME-Server. Ainsi, le courrier lui sera distribué directement, sans passer par Internet, et il l'aura, sauf charge exceptionnelle du serveur, dans la seconde qui suit.

Lorsque vous enverrez un mail à une adresse externe, il transitera par SME-Server, qui contrôlera qu'il ne contienne pas de virus et l'enverra au serveur SMTP de votre fournisseur d'accès qui se chargera de l'acheminer jusqu'au serveur SMTP dont dépend le destinataire qui le trouvera ainsi dans sa boite aux lettres.

Pour la réception, nous aurons deux cas de figure. Si l'adresse indiquée est celle de votre boite aux lettres chez votre FAI, c'est là que le courrier sera déposé. La contrib SME-fetchmail, qui va régulièrement vérifier le contenu de cette boite, le récupérera et le déposera dans votre boite aux lettre réservée sur SME-Server.

Si par contre l'adresse indiquée est celle de votre boite aux lettres dans SME-Server, il pourra y être déposé directement par le serveur SMTP de l'expéditeur ou le dernier relais.

Dans les deux cas, SME-Server vérifiera avant de le déposer dans votre boite aux lettres locale que le courrier ne présente pas de virus et qu'il n'est pas un spam. Si l'un des deux cas se produisait, le courrier serait mis en quarantaine et, selon la configuration effectuée, un mail d'avertissement serait envoyé à vous-même ou à l'administrateur système.

4.6.5 Accès depuis l'extérieur

Pour consulter vos mails de l'extérieur, il vous faut connaitre l'adresse de votre serveur. Vous pouvez utiliser son adresse IP externe, mais encore faut-il que vous la connaissiez. Or, selon le contrat que vous avez avec votre FAI, elle est susceptible de changer régulièrement.

Le mieux est donc d'utiliser les services DNS et d'utiliser les noms de domaine, DNS se chargeant de faire la conversion du nom de domaine en adresse IP. Il vous faut donc d'abord obtenir un nom de domaine, que vous pouvez acheter pour une somme modique (de l'ordre de 12 €/an. Méfiez-vous des offres à prix réduit, qui sont souvent hélas un moyen de détourner votre nom de domaine l'année suivante et de vous la revendre au prix fort). De nombreux organismes sont susceptibles de vous vendre un nom de domaine. Si vous n'en connaissez pas, vous pouvez vous adresser à Gandi. Vous pouvez aussi profiter d'un sous-domaine gratuit, par exemple chez Dyndns, où vous aurez un nom du style «votredomaine.dyndns.com». Le nom de domaine ainsi acquis devrait corresponde au domaine principal de votre serveur SME (bien que vous puissiez le définir comme domaine virtuel, mais c'est ensuite un peu moins pratique d'utilisation...).

Une fois votre nom de domaine acheté, vous devrez le faire pointer sur l'adresse IP externe de votre serveur SME (ou de votre routeur le cas échéant). Si vous disposez d'une adresse IP fixe (voir avec votre FAI), il vous suffit de configurer vos DNS en fonction. Votre registrar (celui qui vous a vendu le nom de domaine) a un formulaire en ligne vous permettant de le faire. Il fournit également des pages d'aide détaillant toute la procédure qui fait un peu peur aux non habitués mais qui est en fait plus simple que remplir un formulaire administratif (heureusement !).

Si votre adresse IP n'est pas fixe (on parle d'adresse IP dynamique), il vous faudra prendre les services (généralement gratuits pour la simple fourniture d'un DNS dynamique) d'un fournisseur de DNS dynamique, par exemple Dyndns. Il vous faudra informer - par un formulaire en ligne - votre registrar que vous allez utiliser les serveurs DNS de Dyndns (ou autre), ouvrir un compte chez Dyndns (ou autre) et donner les quelques éléments nécessaires dans le formulaire prévu. Dans le cas de Dyndns, SME-Server saura faire, chaque fois que son IP externe changera, pour que Dyndns en soit informé et fasse pointer votre nom de domaine vers votre nouvelle IP. S'il s'agit d'un autre fournisseur de DNS dynamique, il se peut qu'il fournisse un logiciel à installer (on parle d'un client de DNS dynamique, puisqu'il s'agit d'un protocole client-serveur).

L'aide en ligne sur le site de votre registrar et du service de DNS dynamique que vous choisirez devrait vous donner toutes les explications nécessaires. Prenez le temps de les lire et de les comprendres, vous verrez que ce n'est pas si compliqué. Rapelez-vous que pour Dyndns et quelques autres (mentionnés lors de la configuration de SME-Server), l'installation d'un logiciel client de mise à jour du service DNS dynamique n'est pas nécessaire.

5. Combinaison IpCop+SME (ou autre routeur/firewall+SME)

5.1. Avertissement important

Si SME-Server est un serveur auto-configurable conçu pour être installé par quelqu'un n'ayant pas de connaissances spéciales, ce n'est pas le cas d'IpCop ni de n'importe quel routeur-firewall. Certes, une configuration de base est fournie généralement, et la configuration est souvent une chose aisée en apparence grâce à une interface web. Mais il ne faut pas se leurrer : toute modification dans la configuration d'un firewall est susceptible d'entrainer de graves failles de sécurité et ne doit être effectuée que par quelqu'un connaissant très bien les systèmes en présence et leur fonctionnement et ayant de solides compétences en sécurité réseau. Si ce n'est pas votre cas, je déconseille fortement l'association SME-Server avec un routeur-firewall, qu'il soit IpCop ou autre.

Effectivement, le nombre d'associations de ce type aboutissant soit à des impossibilités de fonctionnement, soit à une sécurité très nettement diminuée par rapport à SME-Server seul est ahurissant. Même lorsqu'elles sont réalisées par des ingénieurs que je pensais très compétents dans ce domaine ! Donc, extrême prudence si vous pensez avoir les connaissances nécessaires pour réaliser un tel montage, et abstenez-vous sinon (ou faites des essais poussés sur un réseau de test, en comparant toujours votre solution avec la solution SME-Serveur seul en passerelle pour vous assurer que vous gagnez ou au moins que vous ne perdez réellement rien en sécurité).

Cela dit, je ferai deux exceptions à mon conseil, sachant quand même qu'il vous faudra gérer une IpCop qui, si elle reste simple à mettre en service et à administrer, nécessite de solides connaissances en sécurité réseau si vous voulez en modifier les règles de firewalling. Ces deux exceptions sont décrites ci-après.

5.1.1 Pourquoi SME-Server ?

Mais si vous mettez en œuvre l'architecture décrite au paragraphe 5.2, posez-vous bien la question de l'opportunité d'utiliser SME-Server. En effet, SME-Server permet de réaliser ce genre de montage, mais est avant tout conçu comme un serveur-passerelle «tout en un» autoconfigurable. Un dispositif complexe permet, en fonction des différents choix de l'installateur, de générer des règles de firewalling optimales de manière totalement transparente et automatique.

Ce dispositif fait qu'il n'est pas très aisé de modifier quoi que ce soit à SME-Server, beaucoup moins que dans une autre distribution plus classique genre Debian, Red Hat ou autre Gentoo... Donc, votre choix devrait être réalisé comme suit :

  • Si vous privilégiez la possibilité d'adapter au mieux le serveur aux besoins concrets (ce qui est toujours préférable !) alors, privilégiez une distrib classique (par exemple une CentOS qui sert de base à SME mais qui n'en comporte pas le dispositif d'auto-configuration),
  • Si vous privilégiez la simplicité de mise en service, quitte à n'utiliser qu'une partie des possibilités du système, et que vous ne pensez pas effectuer de modifications manuelles de la configuration, alors vous pencherez plutôt pour SME-Server.

5.2. L'architecture correcte

Un montage correct associant IpCop (ou tout autre type de routeur-firewall, y compris les *box multiservices proposées par les FAI : livebox, freebox et autres) devrait ressembler à ceci :

Architecture correcte Ipcop + SME-Server

Autrement dit : ne jamais mettre en DMZ aucun service orienté LAN (Samba, serveur d'impressions...) ni dans le LAN aucun service orienté Web (serveur Web, serveur FTP, Serveur mails etc.). J'insiste lourdement sur ce qui devrait pourtant être une évidence, parce que je vois extrêmement souvent des réseaux comportant de telles incohérences !

Si les serveurs en DMZ et/ou dans le LAN sont des serveurs SME, on utilisera dans ce cas la configuration «serveur seul».

5.3. Une variante possible

Si le besoin s'en fait sentir, on peut éventuellement utiliser SME-Server en serveur-passerelle en réalisant le montage suivant, et en forwardant les ports nécessaires aux différents services orientés Web souhaités.

Variante Ipcop + SME-Server

Notez que ce montage n'apporte en fait pas grand-chose à celui du paragraphe 4.2. Certains considèrent que cela constitue un double firewall et donc un supplément de sécurité. Toutefois, la démonstration n'en a jamais été faite. Par contre, on peut supposer que deux portes blindées avec la même serrure (iptables) n'apportent pas beaucoup de sécurité supplémentaire... Je déconseille donc ce montage sauf dans les cas où il est rendu indispensable, par exemple avec une *box qu'on est obligé de laisser en mode routeur ou pour séparer du LAN une zone Wifi.

5.3.1 Le cas des *box (livebox, freebox etc.)

Si ce schéma est adopté généralement avec les *box en mode routeur, merci de consulter le chapitre 6, entièrement consacré au sujet de ces boitiers fournis maintenant par la plupart des FAI.

5.4. Une erreur à ne pas commettre

J'ai découvert assez récemment (au moment où j'écris ces lignes : MARS 2007) que certains adoptaient le montage suivant :

A ne jamais faire !

S'il parait à priori astucieux à ceux qui n'ont pas vraiment bien compris ce qu'est une DMZ, il s'agit en fait d'un montage totalement incohérent. En effet, la liaison en rouge entre la carte LAN de SME-Server et le switch du LAN constitue un véritable court-circuit et provoque un cheminement inattendu des paquets. Je ne refais pas ici la démonstration assez complexe des flux de données générés par un simple ping de SME-Server depuis le LAN (faite ici par jdh), mais sachez que les données circulent tantôt par le chemin direct, tantôt via IpCop, et que cela pose au final tant des problèmes de fonctionnement que des problèmes de sécurité.

On m'a opposé, un peu plus d'un an après ma découverte de ce montage, qu'une adaptation du firewall d'Ipcop, combinée avec le firewall de SME, empêchait le double cheminement des paquets. Certes, le court-circuit est apparemment supprimé, mais il reste le fait que ce montage est contre nature, et est très difficile à contrôler entre autres au niveau du transit des paquets de la zone rouge vers la zone verte, qui peuvent emprunter soit le chemin direct par Ipcop, soit le chemin passant par la zone orange et SME.

Cela est-il contrôlable par des règles de firewalling adaptées ? C'est possible, mais pas certain. Il faut en effet maitriser simultanément deux firewalls avec des effets de rebouclage. Lorsqu'on connait la difficulté d'établir des règles fiables pour un parfait contrôle des différents flux à travers un seul firewall, je doute qu'il soit possible de contrôler parfaitement tous les flux à travers cet imbroglio de firewalls et de proxys. En tous cas, c'est un montage qui renie toutes les théories, et qui n'apporte rien pratiquement si ce n'est une extrême complexité de mise au point.

Bref, c'est ce qu'on appelle une usine à gaz qu'il est (presque) impossible de fiabiliser et qu'il convient de ne jamais utiliser.

5.5. Un mauvais montage

L'erreur classique est d'adopter le montage suivant :

Un mauvais montage

Dans ce montage, on a dans le LAN du routeur notre SME qui assure des services aussi bien orientés LAN qu'Internet. Cela fonctionne très bien, pour peu qu'on ait fait le nécessaire au niveau du routeur. Mais justement, ce «nécessaire» est d'ouvrir le firewall en forwardant dans le LAN tous les ports concernés par les services Internet installés. La sécurité s'en trouve donc affaiblie d'autant !

Il serait préférable de se ramener à un montage tel que décrit au paragraphe 4.2... Qu'on se souvienne du schéma présenté au paragraphe 4.1 : SME-server est faite pour assurer le rôle de passerelle, et les services LAN et Internet sont alors bien séparés, même s'ils «tournent» sur la même machine. Aucune trame concernant les services web ne sera transmise dans le LAN, et donc toutes les machines du LAN seront parfaitement isolées du web.

Si on tient à assurer la séparation des tâches (Une théorie réseau tout à fait fondée qui préconise de séparer les services différents sur des machines différentes), on adoptera alors le montage du paragraphe 5.2 ou sa variante décrite au paragraphe 5.3.

6. Le cas des *box (livebox, freebox etc.)

Le cas des *box est un peu délicat, en ce sens qu'elles offrent des fonctions de routage et de firewalling généralement inutiles pour le réseau informatique, mais souvent nécessaires pour les fonctions de téléphonie, télévision et autres gadgets.

Il est donc important de bien réfléchir au problème et de faire des choix judicieux et en parfaite connaissance de cause. En effet, les conséquenses sont lourdes et le choix parfois cornélien, puisqu'il faut choisir entre se priver de la téléphonie à faible coût, ou avoir une mauvaise architecture réseau empêchant parfois de mettre en œuvre certains services.

Etudions donc les différents cas possibles, en essayant d'entrevoir les conséquences possibles.

6.1. Le mode bridge

Dans tous les cas où cela est possible, une *box devrait être configurée en «bridge», ce qui lui donne sensiblement le comportement d'un simple modem. Cela permet alors d'avoir une architecture "normale", telle que décrite au chapitre 4 (voir schéma du paragraphe 4.2). Normalement, ce devrait être possible, mais parfois ce paramétrage ne figure pas dans l'interface web de configuration de la box, et parfois cela est incompatible avec les services VoIP (téléphone sur IP) et/ou télévision...

6.1.1. Passer une livebox en bridge

J'ai curieusement assez peu d'expérience avec les livebox. J'avais découvert un "howto" pour passer certaines livebox en mode bridge. Puis, quelque temps après, ce howto avait disparu. Par chance, j'avais noté ce qu'il fallait faire, mais malheureusement je n'avais pas noté le modèle de livebox pour lequel cela s'appliquait ! Je crois bien qu'il s'agit de l'inventel, mais je ne peux pas l'affirmer de façon sûre...

Je livre donc ici mes notes en l'état, sous réserve (les modèles ont pu changer depuis, et je n'ai jamais testé moi-même) au cas où cela puisse être utile (d'après quelques retours que j'ai eus, il semblerait que ce soit efficace). Cette méthode est valable à partir de la version de firmware rc9.

Dans un premier temps, il faut accéder au menu de configuration de la livebox. Cela est possible en la branchant sur un PC et en utilisant son navigateur favori pour aller sur http://192.168.1.1/adsl.html. Bien entendu, si l'adresse de l'interface web de votre livebox a été changée, utilisez la nouvelle ! Dans ce menu, vous avez les choix suivants :

Protocole pour Internet
PPPoA (PPP over ATM)
PPPoE (PPP over Ethernet)
Bridge
IP Routed (IP over ATM)
Aucun (Internet désactivé)

Encapsulation
LLC-Mux
VC-Mux

Paramètres ATM
VP: VC:

Un membre du forum FreeEOS m'avait également donné l'adresse d'un site intéressant sur la livebox inventel. On y trouve effectivement un tas de choses utiles qui ne figurent pas dans la documentation officielle :
http://www.porciello.com/inventel/

6.2. La DMZ

Certaines *box offrent la possibilité d'avoir une DMZ (DeMilitarized Zone). Il s'agit souvent d'une "fausse" DMZ, c'est à dire simplement une sortie de la *box qui ne passe pas par le firewall.

Lorsque cette possibilité est offerte, cela permet de considérer que le serveur est derrière un simple modem, et donc d'avoir une architecture "normale" comme dans le cas d'un paramétrage en bridge. On peut donc se référer ici aussi au shéma du paragraphe 4.2.

Mais avant d'opter pour cette solution, deux choses sont à vérifier :

  • Que cette 'DMZ' corresponde bien à une absence totale de firewall et qu'elle ne subisse aucun filtrage, notamment au niveau des ports,
  • que sa mise en service n'entraine pas l'arrêt des autres services tels que téléphonie et télévision dans le cas où on voudrait les conserver.

6.3. Simple modem

Dans le cas où les services de la *box n'ont aucune utilité ou qu'on consente à y renoncer (ce n'est pas toujours très utile en entreprise), on peut envisager le remplacement de la *box par un simple modem. Cela peut avoir des avantages annexes par rapport à la *box, compensant ainsi le prix d'achat.

En effet, un modem de bonne qualité (ou un routeur de bonne facture qu'on peut passer en mode bridge) est beaucoup plus tolérant qu'une *box au point de vue de la qualité du signal ADSL. Ainsi, dans les zones à forte atténuation, on peut éviter ou diminuer dans des proportions importantes les pertes de synchronisation.

Là encore, bien entendu, on se ramène au schéma du paragraphe 4.2.

6.4. Garder le mode routeur

Lorsque aucune solution ci-dessus n'est pas possible, on retiendra le schéma du paragraphe 5.3. Il faudra alors penser à forwarder vers le serveur tous les ports nécessaires aux services qu'il assure. L'idéal est de forwarder tous les ports sans exception, ou de ne garder que ceux nécessaires aux services annexes de la *box.

Forwarder tous les ports n'a aucune conséquense pour la sécurité, puisqu'elle sera assurée par le serveur, comme elle le serait dans le cas d'un simple modem (qui ne filtre aucun port).

Mais garder le mode routeur a aussi une conséquence sur la mise à jour des DNS dynamiques, si on ne dispose pas d'une connexion ADSL avec adresse IP fixe. C'est l'appareil frontal, celui qui se voit attribuer l'adresse IP publique, qui doit se charger de la mise à jour des DNS dynamiques, genre dyndns. Dans le cas de *box en mode routeur, c'est donc à elle que revient ce rôle, or toutes les *box ne savent pas le faire ! Il devient alors impossible de "voir" le serveur depuis le monde extérieur, c'est à dire depuis internet, par le nom de domaine. Un utilitaire installable sur le serveur peut, dans certains cas, pallier à cet inconvénient en retrouvant l'adresse IP publique et en la transmettant au service DNS dynamique. Il s'agit de ddclient. A noter que cette solution est adoptée avec succès par de nombreux utilisateurs de SME, mais que je ne l'ai jamais testée et n'ai jamais eu de retour d'expérience sur les versions de FreeEOS inférieures à la 2.




A. Annexes

A.1. En cas de difficultés

A.1.1. Conseils d'ordre général

Ce document était destiné à l'origine à fournir des éléments de réflexion sur les réseaux de très petites entreprises d'abord pour les installateurs professionnels. Puis il a été lu et utilisé par ceux qui, par nécessité, se lancent dans l'installation du réseau de leur entreprise sans avoir de vraies notions dans ce domaine. Il devient donc nécessaire de le compléter par quelques notions complémentaires et par quelques conseils sur la façon d'aborder la question et de résoudre les inévitables problèmes d'installation et de mise en service.

Le caractère évolutif de ce document ne permet pas une organisation très rationnelle (d'autant qu'il faut préserver la correspondance des liens effectués par d'autres sites) et fait qu'il ne peut prétendre donner réponse à tout. Je vais donc tenter ici de donner quelques conseils et compléments d'information.

A.1.1.1 Comment se faire aider sur un forum

Si j'en juge par ce que je vois sur les forums d'entraide, il semble utile de rappeler que le résultat obtenu et la difficulté à obtenir ce résultat tient très souvent au comportement adopté. On peut grossièrement définir trois groupes de personnes :

  • Ceux qui crient au secours. Soit par manque de confiance en eux, soit par paresse, ils se précipitent sur les forums d'entraide espérant qu'on leur donnera une recette magique qui leur permettra de tout faire fonctionner sans se casser la tête,
  • Les prétentieux qui pensent tout connaitre, sauf un point de détail. Puisqu'ils connaissent tout, ils se croient dispensés de faire la moindre recherche personnelle. Ils prennent de haut ceux qui tentent de les aider et se butent en refusant de prendre en considération certaines pistes de recherche.
  • Les "normaux", qui tentent de décrire le mieux possible leur problème et ce qu'ils ont fait pour tenter de le résoudre. Ils font les tests qu'on leur suggère, donnent toutes les précisions qu'on leur demande, explorent chaque piste et complètent les idées qu'on leur donne par des recherches et des essais personnels.

Pour un problème identique, les trois n'obtiendront pas la même aide sur un forum. On pourrait s'en douter, et pourtant, nombreux sont ceux qui l'oublient ou le négligent... à leurs propres dépens !

Las de répéter les mêmes choses qui sembleraient pourtant évidentes, j'ai fini par ouvrir sur Ixus un topic dans lequel j'ai tantôt laissé s'exprimer ma colère ou ma lassitude devant l'ingratitude ou la maladresse de ceux qui demandent de l'aide, tantôt essayé de donner des conseils forts utiles à ceux qui ont besoin d'un petit coup de pouce pour avancer. Je vous invite à lire et méditer chaque post de ce topic, afin de bien comprendre l'état d'esprit et les difficultés de ceux qui essaient de vous aider, et comment tirer le meilleur de ce formidable lieu d'échanges de connaissances et de compétences qu'est un forum d'entraide informatique.

A.1.2. Définir vos besoins et les moyens à mettre en œuvre

Un réseau informatique ne se conçoit pas sur des coups de tête, des envies ou la mise en œuvre de technologies à la mode et vantées par des vendeurs dont le seul but est de toucher de belles commissions ! Il doit être réalisé en fonction de besoins clairement définis. De plus, il y aura probablement un nécessaire ajustement à faire entre les besoins et les moyens à mettre en œuvre.

Il vous faut donc définir clairement vos besoins. Il y a pour cela des méthodes, mais elles n'entrent pas dans le cadre de ce document, et ne s'avèrent pas toujours utiles dans le cas de petits réseaux : un peu de bon sens est généralement suffisant.

Prenez donc une feuille de papier, et définissez vos besoins (vos besoins réels, pas vos envies !) en tentant de leur attribuer un ordre de priorité. Soyez rationnel : vouloir à tout prix une connexion sans câble pour un portable qui va servir pendant un temps assez long n'a rien de nécessaire. Il faudra bien recharger les batteries, et avoir une prise éthernet à côté de la prise de courant n'est probablement pas un problème ! Eliminez ainsi un tas d'idées reçues, de modes ou autres envies ou solutions luxueuses qui ne sont pas du tout des besoins réels, tout au plus un peu de confort, mais qui demandent souvent des technologies beaucoup plus complexes et donc potentiellement plus vulnérables et/ou plus onéreuses.

Ayez aussi bien présent à l'esprit tout ce qui a été dit sur la sécurité. C'est un point très important, souvent négligé par ignorance.

Ce n'est qu'une fois que vous aurez bien défini vos besoins (le cahier des charges de votre parc informatique, en fait) qu'il faudra commencer à étudier les solutions à mettre en œuvre. Ce qui a été dit dans ce document devrait presque suffire même si vous n'avez pas de compétences spéciales, à moins que vous n'ayez des besoins peu ordinaires. Vous vous rendrez peut-être compte que certains besoins ne peuvent être satisfaits que par des moyens trop onéreux et/ou complexes. C'est là qu'il va falloir faire des choix ! Soit augmenter votre budget, soit renoncer à certaines exigences. Attention à ne pas opter pour des solutions intermédiaires, qui sont presque toujours mauvaises ! Je vois hélas beaucoup trop souvent des réalisations où, pour tenter de satisfaire un besoin sans y mettre les moyens nécessaires, des solutions peu fiables, peu sécurisées voire parfois très peu pratiques sont adoptées.

Une fois vos besoins bien définis, les moyens à mettre en œuvre bien cernés, vous pourrez commencer à penser à l'architecture de votre réseau. Pas avant ! Vous ne construisez pas une maison avant de savoir combien de personnes vont y habiter et ce qu'elles vont y faire ! Installer son bureau dans un appartement, ou loger dans des bâtiments administratifs n'est quand même pas ce qu'il y a de mieux ! C'est pourtant des choses équivallentes que je vois très souvent en matière d'architecture réseau et de choix technologiques !

A.1.3. Définir votre plan d'adressage

Avant de construire une maison, on commence par faire des plans. Il en est de même pour un réseau informatique ! Il vous faut définir d'abord votre architecture, c'est à dire comment les différentes machines seront regroupées et reliées entre elles. On définira ainsi un ou plusieurs réseaux différents, et dans quel réseau se trouve chaque machine. Ensuite, on définira la plage d'adresses de chaque réseau, puis la manière de répartir les adresses d'un réseau donné aux différentes machines.

Ainsi, dans le schéma du chapitre 3.2, on a défini quatre réseaux différents, un pour chaque couleur. Notez que presque toutes les architectures décrites dans ce document se ramènent à un sous-ensemble de celle choisie ici en exemple.

Nous devons définir pour chaque réseau une plage d'adresses qui lui soit propre, sans chevauchement avec les autres réseaux. Ces plages d'adresses devront de préférence être choisies dans la classe adéquate, la classe C en ce qui nous concerne ici. Si ce n'est pas une obligation, c'est une excellente habitude à prendre, qui évite souvent bien des soucis et malentendus lorsqu'on discute de son réseau avec des personnes qui ne le connaissent pas ou mal. Ainsi, dans notre exemple :

  • Nous ne nous occuperons pas de l'adressage dans la zone rouge : il n'y a en fait qu'une seule adresse à considérer, celle attribuée à notre connexion internet par notre FAI. Il s'agit généralement d'une adresse de classe B, notre "passerelle" faisant en fait partie du réseau de notre FAI.
  • Notre réseau orange est une DMZ, à laquelle nous pourrons par exemple attribuer les adresses 192.168.0.0 à 192.168.0.255.
  • Notre réseau vert, qui constitue notre LAN, pourra se voir attribuer les adresses 192.168.1.0 à 192.168.1.255.
  • Notre réseau bleu, réservé à la wifi, pourra se voir attribuer les adresses 192.168.2.0 à 192.168.2.255.

Nous aurons ensuite tout intérêt, pour plus de facilité à s'y retrouver ensuite, à adopter une certaine logique d'adressage, si possible identique d'un réseau à l'autre. Par exemple :

  • Les adresses 1 à 9 pour les serveurs,
  • Les adresses 10 à 100 pour les postes de travail,
  • Les adresses 100 à 150 pour les périphériques divers tels que les imprimantes réseau,
  • Les adresses 151 à 250 pour les adresses attribuées automatiquement par DHCP.

Ainsi, lorsqu'on a une adresse 192.168.0.3, on sait qu'il s'agit d'un serveur situé dans la DMZ, tandis que 192.168.1.5 est un serveur du LAN. Là encore, il n'y a aucune obligation, mais ce sont de bonnes habitudes à prendre qui évitent bien des casse-têtes !

A.1.3.1. Adressage fixe ou dynamique

Il y a deux façons d'attribuer une adresse à une machine : soit de manière fixe via l'interface ou le fichier de configuration propre à la machine, soit de manière dynamique, via un protocole nommé DHCP (Dynamic Host Configuration Protocol, autrement dit Protocole Dynamique de Configuration d'Hôte). Dans ce dernier cas, un serveur est interrogé et attribue une adresse unique à la machine qui en fait la demande.

Si l'attribution d'adresses via DHCP présente des avantages, entre autres celui d'éviter de se retrouver avec deux machines différentes ayant une même adresse et celui de ne pas se soucier (hormis l'attribution des plages d'adresses de réseaux) du plan d'adressage, il présente l'inconvénient qu'à laisser faire les choses automatiquement, le responsable du réseau finit par se sentir déresponsabilisé, et finisse par oublier le peu qui lui reste à faire et ne sache même pas comment fonctionne son réseau.

J'ai donc pendant longtemps préconisé d'utiliser un adressage fixe pour les petits réseaux comme ceux qui nous intéressent ici. Cela permet une répartition logique des adresses, de bien réfléchir à son plan d'adressage et donc de bien connaitre le fonctionnement de son réseau.

Mais avec les dernières versions des différents systèmes d'exploitation, l'adressage dynamique est généralement configuré par défaut, et il est devenu un petit peu plus compliqué de faire de l'adressage fixe. A chacun de voir ce qu'il préfère. Pour ma part, tant par habitude que parce que j'aime maitriser moi-même tout ce qui concerne les réseaux que j'administre, j'opte généralement pour un adressage fixe.

A ceux qui suivent le même raisonnement que moi, je conseille malgré tout de réserver une plage d'adresses à DHCP. Cela permet de connecter rapidement une machine au réseau sans avoir à vérifier le plan d'adressage.

A.1.3.2. Rappel sur les *box

Le plan d'adressage à adopter avec les *box dépend bien sûr de la façon dont elles sont utilisées, et aussi de la manière dont on utilise le serveur (mode serveur seul, ou mode serveur-passerelle). Je n'entre pas ici dans les détails à propos du mode serveur seul, réservé à des usages spéciaux. Ceux qui adoptent cette architecture doivent absolument avoir les compétences nécessaires pour comprendre parfaitement les causes et conséquences d'un tel choix, et pour réaliser un tel montage. Cela sort donc totalement de l'objectif de ce document.

Pour une *box en mode bridge, le comportement étant celui d'un simple modem, l'adresse IP publique (attribuée par le FAI) se retrouve affectée à l'interface externe du serveur, et son interface interne se verra dotée de l'adresse du LAN, adresse qui sera choisie de préférence dans la série d'adresses privées de classe C. On est ici dans le cas simple, et la configuration par défaut du serveur convient parfaitement.

Pour une *box en mode DMZ, on a en fait trois réseaux distincts : le WAN (internet), la DMZ et le LAN. L'adresse publique côté internet (WAN) est comme d'habitude attribuée par le FAI, l'adresse de la DMZ est généralement imposée par la *box. Côté LAN, on reste libre de son choix qu'on fixera de préférence sur une série d'adresses privées de classe C, cette série d'adresses devant obligatoirement faire partie d'un réseau différent de celui de la DMZ (par exemple, 192.168.0.x pour la DMZ, et 192.168.1.x pour le LAN, en supposant bien sûr que les masques de sous-réseau définissent bien partout un réseau de classe C (255.255.255.0).

Pour une *box en mode routeur, on définit alors deux LANs en cascade : celui de la *box dans lequel se trouve notre serveur, et celui du serveur. Comme dans le cas d'une DMZ, ces deux LAN devront avoir chacun une plage d'adresses correspondant à des réseaux (normalement de classe C) distincts.

A.1.4. Vérifier la communication entre machines

Lorsqu'on a un problème de communication entre machines, il faut en déterminer l'origine. Pour cela, il est important de bien connaitre le plan d'adressage des réseaux concernés, ainsi que la manière de transiter de l'un à l'autre. Pour les indispensables vérifications de communication, l'utilitaire "ping" est largement employé.

L'utilitaire ping (disponible sous tous les OS) va permettre de déterminer un certain nombre de choses, et ainsi de cerner le problème. On procédera de manière rationnelle, par étapes successives afin de bien comprendre ce qui empêche la communication de s'établir normalement :

  • Un ping de l'adresse 127.0.0.1 devrait fonctionner : cela vérifie que la couche réseau fonctionne bien, en tentant une communication de la machine avec elle-même,
  • Un ping de l'adresse locale de la machine locale : cela permet de s'assurer de la bonne attribution de cette adresse et de son bon fonctionnement,
  • Un ping de l'adresse de la machine distante, qui permet de s'assurer de la communication. En cas de non-réponse à ce ping, il faudra vérifier les connexions, l'état des cartes réseau, du câble, des switches et/ou hubs, et la bonne configuration des éventuels firewalls, adresse de passerelle etc. Au besoin et selon l'emplacement des machines, tenter d'effectuer une liaison directe avec un câble croisé permettra de savoir si le problème se situe sur l'une des machines ou sur le circuit plus ou moins complexe qui les relie.
  • Un ping avec l'URI de la machine distante permettra de voir s'il y a un problème de résolution de noms (dans la mesure, bien sûr, où le ping par adresse IP répondait bien).
  • Tous ces essais sont à refaire en sens inverse (c'est à dire en inversant les rôles de machine distante et machine locale) pour s'assurer que la communication se fait bien dans les deux sens.

Le ping va permettre de s'assurer que la communication soit possible. Encore faut-il que les ports nécessaires au protocole considéré soient bien ouverts et disponibles. Ainsi, on peut très bien avoir tous les tests pings corrects mais un site web inaccessible. Il faudra alors s'assurer que le port 80 soit bien forwardé correctement au niveau des différents routeurs, qu'un autre port ne soit pas utilisé pour une quelconque raison.

Si vous avez besoin de vous faire aider sur un forum pour résoudre votre problème, il va de soi que vous-même et votre interlocuteur devez connaitre parfaitement le plan d'adressage de votre réseau, son architecture ainsi que les résultats des différents tests expliqués ci-dessus. Donnez toutes ces précisions dès votre premier post, pour éviter à chacun de perdre du temps et augmenter vos chances de voir quelqu'un vous apporter une aide efficace.

Les tests décrits ici sont donnés de manière très générale, et sont les tests de base indispensables pour commencer à cerner le problème. Ils sont à adapter et à compléter selon le type de problème et votre architecture réseau. Pour cela, il vous faudra probablement des connaissances supplémentaires à celles nécessaires pour lire et comprendre ce document... La lecture du site de C. Caleca ou similaire sera probablement un passage obligé pour aller plus avant.

A.2. Les classes d'adressage

A.2.1. Avertisseement

Je me suis fait traiter d'incompétent notoire par certains collègues qui m'ont fait remarquer que je parle là d'une notion qui n'existe plus depuis longtemps. Il est vrai qu'en ignorant IPV6 (encore bien peu utilisé dans les petites stuctures auxquelles je m'adresse ici - et quand je dis "peu utilisé", je n'y ai jamais entendu mentionner l'éventualité d'y passer ! - et en parlant de classes en IPV4, je parais être en retard de plusieurs guerres !

Et pourtant :

  • Si la RFC 1318 a proposé d'abolir les classes, elles ont finalement seulement été déclarées obsolètes par CIDR (Classless Inter-Domain Routing, Routage Inter-domaine sans classes);
  • Christian Caleca n'hésite pas à en parler sur son site qui fait référence en matière de réseaux, soulignant leur caractère pédagogique et de définition des adresses réservées à l'usage privé : «Avec ce modèle (Classless Inter-Domain Routing), la notion de classe n'existe plus, si ce n'est pour les classes réservées à l'usage privé
  • le célèbre utilitaire ifconfig se sert toujours de la notion de classes pour déterminer les masques de sous-réseau par défaut.

Alors, puisqu'il ne s'agit ici que de réseaux privés, je ne vois pas au nom de quoi on devrait se passer de cette notion, ne serait-ce que parce que ça aide à faire les choses clairement et logiquement.

A.2.2. Les classes d'adressage

Selon le masque de sous réseau, associés aux adresses IP, on peut avoir plus ou moins de réseaux différents et un plus ou moins grand nombre de machines dans un réseau. Si l'on s'en tient aux masques de sous-réseau "classiques" (il y a une foule de variantes possibles, selon le type d'adressage que l'on veut obtenir, mais cela sort du cadre de ce document. Le site de C. Caleca apportera toutes les précisions nécessaires à ceux qui en ont besoin), on aura ainsi trois "classes" d'adressage :

  • La classe A, de masque 255.0.0.0, qui permet d'avoir 255 réseaux avec 255*255*255 soit plus de 16 millions de machines dans chaque réseau,
  • La classe B, de masque 255.255.0.0 qui permet d'avoir 255*255 soit environ 65 000 réseaux et 65 000 machines par réseau,
  • La classe C, de masque 255.255.255.0, qui permet d'avoir plus de 16 millions de réseaux différents, avec 255 machines par réseau.
  • La classe D, dont l'usage est un peu spécial et que nous ne citons que pour mémoire en invitant ceux qui veulent en savoir plus à se reporter au site de C. Caleca.

Pour le type de réseau qui nous intéresse, on choisira bien évidemment la classe C qui est la mieux adaptée et évite le gaspillage d'adresses.

Dans chaque classe, certaines adresses sont réservées aux réseaux privés, garantissant qu'il n'existera jamais aucune adresse publique identique. Ainsi, les machines d'un LAN devront se voir attribuer une de ces adresses privées. Ces adresses privées sont les suivantes :

  • Classe A : 10.0.0.0 et l'adresse de boucle locale 127.0.0.0
  • Classe B : 172.16.0.0 à 172.31.0.0,
  • Classe C : 192.168.0.0 à 192.168.255.0.

A.3. Changelog

10 Septembre 2012 : Version 1.8 Ajout de l'avertissement sur les classes d'adresses.
10 Janvier 2011 : Version 1.7 Divers compléments et corrections sur le § wifi.
5 Juin 2008 : Version 1.6 Correction de fautes de frappe/orthographe/grammaire et quelques précisions supplémentaires diverses dont passage livebox en bridge.
1 Ma1 2008 : Version 1.5.1 Correction liens internes cassés suite à intégration dans le site.
25 Mars 2008 : Version 1.5 Adaptation pour intégration dans le site web de Bee Services.
4 Février 2008 : Version 1.4-2 Complément sur la définition des besoins.
3 Février 2008 : Version 1.4-1 Compléments sur les *box et conseils.
1° Septembre 2007 : Version 1.3 Corrections diverses et mise aux normes.
24 Mai 2007 : Version 1.2, ajout du paragraphe 1.1.1 (a propos de sécurité).
9 Mai 2007 : Version 1.1, ajout du paragraphe 5.5 (mauvais montage avec Ipcop) et corrections diverses.
9 Avril 2007 : Version 1 complète (pour l'instant ;-) ).
26 Mars 2007 : Pré-version incomplète publiée confidentiellement.


Alinsunod sa CSS Conformité XHTML 1.1 Alinsunod sa pamantayan Itaas ng pahina TahananInformaticsPagsalinDokumentasyonSari-sari
DokumentasyonFreeEOS/SMEInformatics Network para sa Napakaliit na mga Negosyo (VSE)