RAPPORT DE

PROJET DE FIN D'ETUDES

Pour l'obtention du diplme : Mastre Professionnel en Nouvelles Technologies

des Tlcommunications et Rseaux

Sujet:

Configuration et mise en place d'un Datacenter

scuris dans un environnement virtuel.

Elabor par:

Nahla Techini Ep Ben Salem

UNIVERSITE VIRTUELLE DE TUNIS

Anne Universitaire : 2010/2011

*****
 Mastre N2TR-UVT

Remerciements

Je tiens remercier Mr Khaled Sammoud et Mr Maher Keskes pour

leurs prcieuses assistances et leurs orientations.

Je tiens prsenter mes expressions de reconnaissance

envers tous mes enseignants qui ont contribu ma formation en

Mastre N2TR et qui ont particip lenrichissement de ma carrire

universitaire et aux membres du jury pour lhonneur quils me feront en

acceptant de juger ce modeste travail.

Que tous ceux qui, tant aimablement ont particip de prs ou de

loin llaboration de ce mmoire, trouvent en ces quelques lignes un

modeste tmoignage dune sincre gratitude.

 Sommaire

Chapitre1 : Introduction gnrale................................................................................... 1

Chapitre2 : Notions gnrales sur la virtualisation ....................................................... 3
2.1. Dfinition de la Virtualisation.......................................................................... 3
2.2. Historique de la Virtualisation ........................................................................ 5
2.3. Les avantages de la virtualisation.................................................................... 6
2.4. Fonctionnement de la virtualisation............................................................... 7
Chapitre3 : Les risques de scurit dans un environnement virtuel............................ 9
3.1. Virtualisation et scurit ................................................................................. 9
3.2. Solutions de scurit proposes...................................................................... 10
Chapitre 4: Conception et mise en place du centre de donnes virtuel ..................... 12
4.2. Les fonctionnalits de VMware Server 2.0.2 ................................................ 13
4.3. Cration d'une machine virtuelle .................................................................. 14
Chapitre 5 : Scurisation du centre de donnes virtuel............................................... 25
5.1. Scurisation du centre de donnes virtuel .................................................... 25
a. Le Pare-feu (ou firewall) Endian .................................................................. 26
5.2. Solution propose ............................................................................................ 27
a. Principe du filtrage ......................................................................................... 26
b. Adressage IP .................................................................................................... 26
c. Administration du Firewall............................................................................ 29
Conclusion ....................................................................................................................... 41
Bibliographie
Annexe
 Mastre N2TR-UVT

Chapitre1 :
Introduction gnrale

Depuis quelques annes, la virtualisation est au centre des proccupations des

entreprises. On assiste actuellement une monte en puissance des acteurs du march, que ce
soit dans le domaine propritaire avec Microsoft et VMware, ou dans le monde des logiciels
libres, avec lmergence de nombreux projets autour de la virtualisation tels que XEN ou
OpenVZ.
La virtualisation a donc tendance de sintroduire, voire simposer, de plus en plus dans les
parcs de serveurs, les systmes de stockage et les rseaux des organisations.
Comme lors de lavnement de toute nouvelle technologie, la scurit reste trop souvent
nglige. Pourtant, les risques existent et ne doivent pas tre ngligs.
Grce la virtualisation, l'efficacit et la disponibilit des ressources et applications
informatiques seront amliores. On commence par abandonner l'ancien modle "un serveur,
une application" et excute plusieurs machines virtuelles sur chaque machine physique. On
allge la tche des administrateurs informatiques, qui passent plus de temps grer les
serveurs qu' innover. Dans un Datacenter non virtualis, prs de 70 % d'un budget
informatique type sont consacrs la simple maintenance de l'infrastructure existante, ce qui
laisse peu pour l'innovation.
Un Datacenter automatis, reposant sur la plate-forme de virtualisation VMware, prouve
en production, nous permet de rpondre de faon plus efficace et plus rapide l'volution du
march.
Cest dans ce contexte que sinscrit notre projet de fin dtudes. Il sagit de concevoir et de
raliser une solution de virtualisation d'un centre de donnes, et de mettre en place une
solution de scurit adapte la technologie de virtualisation utilise.
Le prsent rapport rend compte de tout ce qui a t ralis durant ce projet. Il sarticulera
autour de cinq chapitres. Le premier chapitre Introduction gnrale.
Le second chapitre Notions gnrales sur la virtualisation consiste prsenter le concept
de virtualisation et la terminologie qui lui est associe.

Rapport PFE 1
 Mastre N2TR-UVT

Le troisime chapitre Les risques de scurit dans un environnement virtuel exposera les
risques de scurit lis aux architectures virtualises et les diffrentes stratgies de
scurisation tentes.
Dans le quatrime chapitre Conception et mise en place du centre de donnes virtuel ,
nous prsenterons ce que nous avons ralis dans le projet de virtualisation des machines
ainsi que lenvironnement virtuel VMware qui constitue notre environnement de travail.
Dans le cinquime chapitre scurisation du centre de donnes virtuel , nous traiterons
particulirement laspect scurit grce un firewall pour scuriser notre environnement
virtuel.

Objectifs du projet

Mettre en place un centre de donnes.

Optimiser lusage des ressources physiques en utilisant une architecture virtualise.

Augmenter la fiabilit des services rendus en assurant leur disponibilit et leur

continuit.

Isoler au mieux les services entre eux.

Assurer la scurit et la sret du centre de donnes en scurisant le flux lintrieur

de lenvironnement virtuel, ainsi que le flux sortant.

Rapport PFE 2
 Mastre N2TR-UVT

Chapitre2 :
Notions gnrales sur la virtualisation

La virtualisation est une technologie de plus en plus incontournable. Les

environnements virtuels sont trs en vogue au sein des entreprises de toutes tailles. Il est vrai
que les avantages de cette technologie sont nombreux en termes de productivit, de cots et
dexploitation. En effet, elle permet des baisses de cots importantes par la rduction du
nombre de machines physiques, mais aussi par toutes les autres conomies induites : nergie,
temps de mise en uvre,... Toutefois, toutes nouveauts technologiques, surtout quand elles
rencontrent un fort engouement, dplacent ou crent des problmes de scurit ne pas
ngliger. On considre que la principale menace qui pse sur la virtualisation est la
mconnaissance des risques par les utilisateurs. Pour lui, lun des points cls de ces
dploiements repose sur la collaboration entre les diffrentes quipes impliques : systme,
rseau et scurit.
Aujourdhui, VMware se positionne comme un fournisseur dOS qui se veut toujours plus
scuris

2.1. Dfinition de la Virtualisation

Dans le monde de l'informatique, on dfinit la virtualisation comme un ensemble de

techniques visant faire fonctionner plusieurs systmes d'exploitation sur le mme matriel
en partageant les ressources de celui-ci.
En d'autres termes, c'est une technique qui consiste raliser une abstraction des
caractristiques physiques de ressources informatiques afin de les prsenter des systmes,
des applications ou des utilisateurs

Diviser une ressource physique (serveur, systme dexploitation, priphrique de
stockage) en plusieurs ressources logiques

Rapport PFE 3
 Mastre N2TR-UVT

Agrger plusieurs ressources physiques (priphriques de stockages, serveurs) en une

ressource logique.

Architecture traditionnelle Architecture virtualise

A l'heure actuelle, la virtualisation semble tre en effet la seule solution viable pour rduire
rellement les cots lis au SI (Systme d'Information). La Virtualisation impacte 3 domaines
majeurs, qui sont :
Le systme d'exploitation (OS en anglais pour Operating System)
Les applications
Le stockage
La virtualisation impacte aussi d'autres domaines mais moindre comme :
Le rseau
La scurit
Le but recherch par la virtualisation, est de faire croire au systme d'exploitation virtualis
(ou systme hte) qu'il est install sur une machine physique.

Les serveurs sont malgr tout les plus touchs par le besoin de virtualisation, et ce pour
plusieurs raisons :

Rapport PFE 4
 Mastre N2TR-UVT

Les serveurs sont peu chargs, entre 10% et 20% de charge maximum en moyenne, pour
subvenir au principe une application = 1 serveur. Gchis ncessaire pour assurer le bon
fonctionnement de l'ensemble en cas de forte charge un instant `T`.
Les serveurs sont galement Monosystmes. Il est impossible de faire tourner 2 systmes
d'exploitation en parallle physiquement sur la machine puisque celle-ci doit grer 100% des
ressources systmes.
S'il fallait autant de serveur que d'applications par entreprises, les besoins en espace, en
lectricit, en climatisation, seraient ingrables par entreprises.
Le principe :
On considre un serveur comme un ensemble de ressources : CPU - RAM - Disque - Rseau.
Ces ressources sont alloues de manire statique ou dynamique suivant les besoins des
machines virtuelles (VM pour Virtual Machines).

Il est donc de rigueur que la virtualisation nous permet de la souplesse dans l'administration
des serveurs en entreprise, mais aussi une gestion centralise de ces serveurs.

2.2. Historique de la Virtualisation

La virtualisation comme on la connait aujourd'hui n'est pas un procd novateur bien au

contraire. Big Blue (IBM) en est le prcurseur, ds les annes 1980, un premier hyperviseur
(on reviendra dessus dans un chapitre consacr) tant lanc.

Les grands Unix ont suivi avec les architectures NUMA, des Superdome d'HP(PA-RISC et
IA-64 Intel) et des E10000/E15000 de Sun (UltraSparc).
Dans la seconde moiti des annes 1990, les mulateurs sur x86 des vieilles machines des
annes 1980 ont connu un norme succs, notamment les ordinateurs Amstrad, Atari, Amiga
et les consoles NES, SNES, et Neo-Geo AES.

Ensuite ce ft le tour de la socit VMware qui dveloppa et popularisa une solution

propritaire fin 90 et dbut 2000 se ft l'explosion des solutions de virtualisation sur des
architectures de type x86.

Rapport PFE 5
 Mastre N2TR-UVT

Il existe aussi quelques quivalents libres, tels que XEN Hyperviseur, QEMU, Bochs, Linux-
vServer, ou VirtualBoX, et aussi dans le mme temps des logiciels gratuit, VirtualPC et
VirtualServer de Microsoft, mais aussi VMware Server, VMware Player qui sont par contre
des solutions dites embarques (produisant des machines virtuelles mais s'installant sur un
hte install au pralable, un Windows ou Linux)
Ce n'est que trs rcemment que VMware dcida de rendre gratuit son hyperviseur phare
ESXi base sur ESX Server.
Il est de paire avec la virtualisation que les tnors de l'architecture x86 : Intel et AMD
(brevets appartenant Intel) intgraient la mise en uvre matrielle des solutions de
virtualisation dans leurs processeurs lors de la seconde moiti de l'an 2000.

2.3. Les avantages de la virtualisation

La virtualisation de l'infrastructure permet de rduire les cots informatiques tout en
augmentant l'efficacit, le taux d'utilisation et la flexibilit des actifs existants. Des
entreprises du monde entier et de toutes tailles tirent avantage de la virtualisation VMware.
Des milliers d'organisations, dont tous les membres du classement Fortune 100, utilisent les
solutions de virtualisation VMware.
5 bonnes raisons d'adopter la virtualisation

Rentabiliser davantage les ressources existantes : regrouper les ressources communes

en sortant du schma une application = un serveur grce la consolidation des
serveurs.

Rduiser les cots gnrs par le Datacenter en minimisant l'infrastructure physique
et en amliorant le rapport serveur/admin. : les serveurs et les quipements matriels
associs sont en nombre rduit. Cela se traduit par une diminution des frais
immobiliers et des besoins en alimentation et en ventilation.

Augmenter la disponibilit du matriel et des applications pour une amlioration de
la continuit d'activit : sauvegarder et migrer des environnements virtuels complets
sans interruption dans le service. viter les interruptions planifies et trouver
immdiatement la solution des problmes imprvus.

Rapport PFE 6
 Mastre N2TR-UVT

Gagnez en flexibilit oprationnelle : s'adapter l'volution du march grce une

gestion dynamique des ressources, un provisionnement acclr des serveurs et un
dploiement optimal des postes de travail et des applications.

Amliorer la grabilit et la scurit du poste de travail : dployer, grer et surveiller
des environnements de postes de travail scuriss auxquels les utilisateurs peuvent
accder localement ou distance, avec ou sans connexion rseau, partir de presque
tous les ordinateurs de bureau, portables ou de poches.

2.4. Fonctionnement de la virtualisation

La plate-forme de virtualisation VMware repose sur une architecture directement exploitable.
Nous allons utiliser des logiciels tels que VMware Server pour transformer ou virtualiser
les ressources matrielles dun ordinateur x86 (dont le processeur, la RAM, le disque dur et
le contrleur rseau) afin de crer une machine virtuelle entirement fonctionnelle, capable
dexcuter son propre systme dexploitation et ses propres applications comme un vritable
ordinateur. Chaque machine contient un systme complet, ce qui permet dviter tout conflit
ventuel. Lapproche adopte par VMware pour la virtualisation consiste insrer une fine
couche logicielle directement sur le matriel informatique ou sur un systme dexploitation
hte. Cette couche logicielle contient un moniteur de machine virtuelle ou hyperviseur
qui alloue les ressources matrielles de faon dynamique et transparente. Ainsi, plusieurs
systmes dexploitation peuvent fonctionner simultanment sur un seul ordinateur physique
et partager leurs ressources matrielles. En encapsulant une machine complte, notamment le
processeur, la mmoire, le systme dexploitation et les priphriques rseau, la machine
virtuelle est totalement compatible avec tous les systmes dexploitation, applications et
pilotes de priphriques de systmes x86 standard. Vous pouvez excuter en toute scurit
plusieurs systmes dexploitation et applications en parallle sur un seul ordinateur,
chacun(e) ayant accs aux ressources requises au moment voulu.

Conclusion

La virtualisation d'un seul ordinateur physique n'est qu'un dbut. Durant, notre projet
nous allons mettre en place une infrastructure virtuelle complte, en intgrant des ordinateurs

Rapport PFE 7
 Mastre N2TR-UVT

virtuels de stockage interconnects avec VMware Server, une plate-forme de virtualisation

prouve formant la base de dveloppement des clouds privs et publics.

Rapport PFE 8
 Mastre N2TR-UVT

Chapitre3 :
Les risques de scurit dans un environnement virtuel

La virtualisation soulve un certain nombre de problmes de scurit car le moindre

incident au niveau de la plate-forme d'hbergement met en danger tout le centre de donnes
virtuel. L'administration partage de plusieurs machines virtuelles au niveau du systme hte
engendre des risques, tout comme l'accs partag des ressources qui taient prcdemment
spares par des frontires matrielles. La gestion de ces risques est cruciale.
Ce chapitre vise prsenter les risques potentiels associs la virtualisation. Il expliquera
pourquoi les stratgies de scurit traditionnelles ne fonctionnent pas avec les
environnements virtualiss et mettra en vidence la stratgie adapte ces environnements.

3.1. Virtualisation et scurit

Tout dabord, il convient dcarter un certain nombre dides reues en matire de scurit
des environnements virtuels.
1. Un systme ne devient pas plus vulnrable parce quil est virtualis. Il se contente de
conserver ses failles habituelles. Il est ventuellement plus sensible aux dnis de
services si les ressources alloues sont rduites au minimum requis.
2. Mme sil nexiste pas de limites lingniosit des hackers, et si lon suppose que
lun dentre eux ait pris le contrle dune de vos machines virtuelles, il est peu
probable que celui-ci russisse, par rebond, atteindre le systme de virtualisation
lui-mme. Afin de minimiser une telle menace, il suffit ladministrateur de
nautoriser aucun accs dun hte virtuel une ressource physique.

Le risque rside ailleurs. Le fait est que lon dispose rarement dautant dinterfaces physiques
quil existe dhtes virtuels sur une plateforme matrielle. Cela implique donc que lon cre
des hubs ou des switchs virtuels sur lequel on connecte plusieurs htes virtuels.
On associe ensuite chacun de ces switchs une interface physique permettant aux htes de
communiquer avec le monde extrieur.

Rapport PFE 9
 Mastre N2TR-UVT

On cre ainsi des rseaux virtuels chappant totalement aux rgles de segmentation en
vigueur dans lentreprise :
- Dune part, les htes runis sur un mme Switch virtuel devraient parfois tre distribus sur
les segments diffrents (parce quils correspondent des niveaux de scurit distincts).
- Dautre part, selon la faon dont ces switchs sont paramtrs, il est parfois possible de
passer dun segment virtuel un autre.

3.2. Solutions de scurit proposes

- La premire tape doit tre dordre organisationnel, il est important quil y ait une
collaboration forte entre les quipes rseau, systme et scurit. Les architectures virtuelles
doivent tre considres comme des environnements classiques avec les mmes stratgies de
scurisation, de surveillance, daudit, de contrle et de cloisonnement.
Toutefois, elles ne doivent pas sarrter devant un serveur ou des lames, mais aller en
profondeur, jusquau sein de larchitecture virtuelle.

- Chaque machine virtuelle doit tre traite exactement comme une machine relle. Il faut
donc avoir les mmes rflexes que pour un serveur dentreprise classique, du durcissement de
lOS jusqu' lanti-virus en passant par les stratgies daccs.
Le pige rside dans la facilit de mise en place de clone de machines ou de duplication
dapplication. Il faut viter tout prix de cloner une machine qui a t durcie ou patche il y
a 3 ans et sen satisfaire. De plus, la multiplication des environnements R&D, pr-
production, production et parfois leur proximit peut savrer une catastrophe. Il nest pas
rare que des machines restent actives sans aucune gestion, car oublies aprs quelques jours
de tests. La rapidit et la facilit de mise en place dun environnement impliquent, en
contrepartie, une procdure stricte pour sassurer de la bonne mise en place de la scurit de
cette future plateforme. Il faut galement durcir lhyperviseur sur lequel tout repose.
Nativement, il sagit de systmes trs optimiss et durcis, mais il existe un grand nombre
dlments contrler et des rgles assez classiques mettre en places, telles que la
sparation des flux de maintenance des flux de production, la protection daccs distance,
lauthentification, la politique de gestion de mots de passe, la limitation daccs au fichier,
etc. De plus, il faut penser dsactiver certaines fonctionnalits propres ces

Rapport PFE 10
 Mastre N2TR-UVT

environnements pour des serveurs de productions : dsactiver la fonction de copier/coller

entre le systme hte et la console est une parfaite illustration.
Enfin, il reste ncessaire, pour un parfait contrle, de protger l'architecture l'aide
d'quipements Firewall et IPS rels et notamment les flux lis lexploitation de ces
environnements.
- Les organisations cherchant amliorer la scurit de la virtualisation ont d envisager
lutilisation de produits matriels extrieurs lenvironnement virtuel.
Les composants de scurit rseau ne pouvant toutefois tre virtualiss, lorganisation ne
peut toujours pas voir lintrieur de lenvironnement virtuel, ce qui induit des difficults
supplmentaires en termes de conformit et daudit. En outre, larchitecture ne tire pas
pleinement profit des avantages de la virtualisation, gnrant ainsi des cots supplmentaires
ds la complexit, llectricit, la ventilation, etc.
Dans un environnement virtuel, en revanche, o de multiples applications et serveurs rsident
sur un seul serveur, une fois que le hacker a pntr cette couche, il a accs tout ce qui se
trouve dans des dizaines voire des centaines de systmes, dapplications et de bases de
donnes.
En outre, les contrles habituellement placs autour de chaque application nexistent pas
dans un environnement virtuel. Par consquent, la capacit dune organisation dterminer
qui a accd aux diffrentes informations et quel moment est srieusement compromise.

Conclusion
Pour tenter de rsoudre les problmes de scurit lis la virtualisation, il convient de
crer une architecture spare en zones pour bien maitriser leur scurisation.
Dans ce cadre, le chapitre suivant dcrit la mise en place de notre architecture virtualise et
les solutions de scurit proposes.

Rapport PFE 11
 Mastre N2TR-UVT

Chapitre 4:
Conception et mise en place du centre de donnes virtuel

Dans ce chapitre nous exposerons l'environnement de virtualisation utilis pour

dtailler notre proposition d'architecture du centre de donnes.

4.1. VMWare Server

Bas sur la technologie de VMware la fiabilit prouve, VMware Server permet aux
utilisateurs de partitionner leur serveur physique en plusieurs machines virtuelles, en vue
dune meilleure utilisation des ressources informatiques et dune administration simplifie.
VMware Server est une solution simple et robuste. Sa nouvelle interface Web
dadministration, trs intuitive, est identique pour les utilisateurs de Linux et de Windows.
Cette nouvelle version supporte un large panel de plates-formes et plus de 30 systmes
dexploitation dhtes, dont plusieurs distributions Linux, Windows Server 2003, Windows
Server 2008 (bta) et Windows Vista.
Logiciel non libre mais fourni gratuitement par VMWare. Il permet n'importe qui de
pouvoir continuer utiliser un logiciel particulier tournant sous Windows. Ce systme est
similaire Virtualbox mais est mieux reconnu par les machines virtuelles notamment les
Windows. Ce systme est galement plus stable et fiable l'usage que Virtualbox.

Dans le cadre du projet, nous avons install la version 2.0.2 du VMWare Server qui admet
des nouvelles fonctionnalits traites dans la partie suivante.

Rapport PFE 12
 Mastre N2TR-UVT

4.2. Les fonctionnalits de VMware Server 2.0.2

Nouvelle prise en charge des systmes dexploitation: La plus vaste prise en charge
de systmes dexploitation pour toute plate-forme de virtualisation hte actuellement
disponible, notamment Windows Server 2008, Windows Vista ditions Business et
Ultimate (client uniquement), Red Hat Enterprise Linux 5 et Ubuntu 8.04.

Prise en charge des systmes dexploitation 64 bits: Utilisation de systmes

dexploitation clients 64 bits sur un matriel 64 bits pour permettre des solutions
informatiques plus volutives et plus performantes. En outre, Server 2 sexcute en
mode natif sur les systmes dexploitation htes Linux 64 bits.

Interface de gestion VMware Infrastructure (VI) Web Access: Linterface de

gestion VI Web Access offre une approche de gestion la fois simple, flexible, sre,
intuitive et productive. En outre, accdez des milliers dapplications d'entreprise
prconfigures et prtes l'emploi, fournies avec un systme dexploitation dune
machine virtuelle, sur la console de machine virtuelle indpendante Virtual Appliance
Marketplace.

Console de machine virtuelle indpendante: Avec la nouvelle console distante

VMware, vous pouvez accdez vos consoles de machine virtuelle indpendamment
de linterface de gestion VI Web Access.

Des machines virtuelles plus volutives : Prise en charge de jusqu' 8 Go de RAM

et 10 cartes rseau virtuelles par machine virtuelle, transfert de donnes des dbits
de donnes plus levs partir de priphriques USB 2.0 et ajout de nouveaux
disques durs et contrleurs SCSI une machine virtuelle active.

Volume Shadow Copy Service (VSS): Sauvegardez correctement ltat des

machines virtuelles Windows lorsque vous utilisez la fonctionnalit de snapshot pour
garantir lintgrit des donnes des applications sexcutant dans la machine virtuelle.

Prise en charge de linterface de la machine virtuelle (VMI): Cette fonctionnalit

permet la transparence de la paravirtualisation dans laquelle une mme version
binaire du systme dexploitation peut tre excute sur du matriel natif ou sur un

Rapport PFE 13
 Mastre N2TR-UVT

hyperviseur en mode paravirtualis pour amliorer les performances des

environnements Linux spcifiques.

Interface de communication VMware Virtual Machine (VMCI): Prise en charge

dun systme de communication rapide et efficace entre une machine virtuelle et le
systme dexploitation hte, ainsi quentre deux machines virtuelles (ou plus) sur le
mme hte.

Prise en charge de VIX API 1.5: Cette fonctionnalit offre une interface de
programmation permettant dautomatiser les oprations des clients et des machines
virtuelles.

4.3. Cration d'une machine virtuelle

La cration d'une machine virtuelle dans VMWare est un processus direct une fois que le
serveur VMWare est en marche.
La connexion VMWare se fait via un navigateur Web en introduisant l'URL suivante :
http://localhost:8222/
Ou bien en mode scuris:
https://localhost:8333/
L'interface suivante s'affiche:

Il faut introduire les paramtres (nom/mot de passe) de connexion de notre machine.

Rapport PFE 14
 Mastre N2TR-UVT

Une fois que nous sommes connects sur notre console de serveur VMWare, l'installation
d'une machine virtuelle est dcrite comme suit :

Dans le coin droit de notre fentre, nous cliquons sur "Create Virtual Machine" et la fentre
suivante devrait surgir :

Il faut Choisir un nom pour notre machine virtuelle, dans notre exemple "PC-DMZ".
Nous cliquons sur "Next".

Rapport PFE 15
 Mastre N2TR-UVT

Dans l'cran suivant, on nous demandera de choisir le type de systme d'exploitation :

On slectionne le systme d'exploitation dsir.

Dans notre exemple, nous choisirons "Microsoft windows Server 2003 Standard Edition".
Nous cliquons sur "Next".
Dans cet cran nous devons choisir la quantit de mmoire que nous voulons allouer pour la
machine virtuelle :

Rapport PFE 16
 Mastre N2TR-UVT

Pour cette machine virtuelle nous allons allouer 256 MO et nous choisirons 1 processeur pour
le systme. Ceci un impact lors de l'excution sur les performances de notre machine
physique aussi bien que la machine virtuelle.
Nous cliquons sur "Next".
Sur l'cran suivant, nous devrons crer et donner la taille du disque virtuel que la machine
virtuelle utilisera :

Nous cliquons sur "Create a New Virtual Disk" et l'cran suivant devrait apparaitre :

Rapport PFE 17
 Mastre N2TR-UVT

Nous donnerons une taille de disque dur, exemple 8 GB pour notre machine virtuelle
"PC-DMZ".
L'cran suivant permet de crer une carte rseaux avec diffrents paramtres.

Nous cliquons sur "Add a Network Adapter" et la fentre suivante devrait surgir :

Pour notre rseau, nous utiliserons les paramtres par dfault, soit "Bridged".

Rapport PFE 18
 Mastre N2TR-UVT

Mais il en existe plusieurs dont voici la liste :

Bridged

HostOnly

NAT
Nous cliquons sur "Next".
Ensuite, nous devrons choisir le type de lecteur CD/DVD pour notre machine virtuelle.

Nous cliquons sur "Use a Pysical Drive" et la fentre suivante devrait surgir :

Rapport PFE 19
 Mastre N2TR-UVT

Choisissons la lettre du disque physique de notre ordinateur, dans mon cas, c'est la lettre du
disque E.
Assurons-nous que l'option "Connect at Power On" est bien coch.
Ensuite, nous devons choisir si nous avons besoin d'un Lecteur de disquettes pour notre
machine virtuelle.
Nous n'utiliserons pas de lecteur de disquettes sur cette machine virtuelle.

Nous cliquons sur "Dont add a Floppy Drive".

Sur l'cran suivant, nous devrons choisir si nous voulons avoir l'accs au contrleur
USB dans la machine hte:

Rapport PFE 20
 Mastre N2TR-UVT

Nous cliquons sur "Add USB Controller".

Ensuite, sur l'cran suivant, nous obtiendrons le rsum de la configuration de notre machine
virtuelle :

Rapport PFE 21
 Mastre N2TR-UVT

A ce point, la cration de notre machine virtuelle est prte tre achever. Nous cliquons sur
"Finish".
L'installation devrait maintenant tre acheve.
Maintenant, le nom de notre machine virtuelle devrait apparatre du ct gauche suprieur de
la console de VMWare (inventory) indiquant que la machine virtuelle a t cre.

Maintenant nous sommes prts commencer l'installation de notre systme d'exploitation.

Nous cliquons sur "PC-DMZ" pour slectionner notre machine virtuelle.
Nous cliquons sur l'onglet "Console" puis dans la partie noire pour dmarrer la machine
virtuelle.

Rapport PFE 22
 Mastre N2TR-UVT

Une fois la machine virtuelle dmarre, Nous cliquons ensuite une nouvelle fois dans la
partie noire pour lancer la console VMWare.
Alors, la fentre suivante devrait apparatre :

Maintenant nous devrions tre prts amorcer l'installation de notre OS sur notre nouvelle
machine virtuelle.

Dans le cadre de notre projet et pour dfinir l'architecture de notre centre de donnes, nous
avons install 9 machines :

5 machines ayant Windows XP comme systme d'exploitation,

3 machines ayant Windows Server 2003 comme systme d'exploitation :
 Un serveur Web.
 Un serveur de messagerie (pop3), nous avons aussi configur Active
Directory, DNS et DHCP sur ce serveur.
 Un serveur d'application.

1 machine firewall : nous avons install le firewall Endian.

Rapport PFE 23
 Mastre N2TR-UVT

Pour le besoin de scurit rpondant aux exigences du firewall, notre architecture est spare
en zone, et a sera dtaill dans le prochain chapitre.

Conclusion

Au cours de ce chapitre, nous avons tudi l'infrastructure de VMWare et

l'installation des machines virtuelles dcrivant notre centre de donnes.
Le chapitre suivant sera consacr la mise en place d'une solution de scurit permettant
d'isoler notre architecture et diminuer les risques d'attaques pouvant nous faire face.

Rapport PFE 24
 Mastre N2TR-UVT

Chapitre 5 :
Scurisation du centre de donnes virtuel

Ce chapitre met en vidence lintgration de la scurit dans larchitecture virtualise

ralise. Nous intgrons et configurons le firewall Endian pour mettre en place cette architecture
scurise.
Les architectures virtuelles doivent tre considres comme des environnements classiques avec
les mmes stratgies de scurisation, de surveillance, daudit et de contrle. Toutefois, elles ne
doivent pas sarrter devant un serveur, mais aller en profondeur, jusquau sein de larchitecture
virtuelle.

5.1. Scurisation du centre de donnes virtuel

La scurit du centre de donnes virtuels est base essentiellement sur deux points :

Mise en place du firewall Endian

Attribution des droits daccs et dutilisation aux utilisateurs

Notre premire vision de la problmatique est dcrite par la figure suivante :

Nous avons besoin de sparer le monde interne du monde externe: c'est dire contrler les flux
entrant et sortant pouvant influencer notre centre de donnes.

Rapport PFE 25
 Mastre N2TR-UVT

a. Le Pare-feu (ou firewall) Endian

Endian est une distribution de scurit open source dont le but est dobtenir une distribution
Linux compltement ddie la scurit et aux services essentiels d'un rseau afin d'offrir
une protection maximale contre le vol de donnes, virus, spyware, spam et autres menaces
Internet. Plus concrtement, Endian intgre un firewall qui va jouer le rle dintermdiaire
entre un rseau considr comme non sr (Internet) et un rseau que lon souhaite scuriser
(le rseau local par exemple), tout en fournissant des services permettant la gestion et le suivi
de celui-ci qui seront grer travers une interface web ( Unified Threat Management UTM).

Endian reprsente ainsi une solution de scurit pour la mise en place dune application
UTM.
Le firewall dEndian Firewall se compose de plusieurs interfaces dont chacune peut tre ou
non utilise :

Rouge : Zone du rseau risque (Internet).

Verte : Zone du rseau protger (rseau local).

Bleu : Zone spcifique pour les priphriques sans fil (wifi). Il nest possible de faire
communiquer linterface Verte et linterface Bleu quen crant un VPN.

Orange : Zone dmilitarise (DMZ), cette zone isole, hbergeant des applications
mises disposition du public. Elle est accessible de lextrieur mais ne possde aucun
accs sortant (serveur web, un serveur de messagerie, un serveur FTP public, etc.).

Dans ce cadre, les fonctionnalits d'Endian sont nombreuses :

Il surveille le comportement en ligne des utilisateurs (on peut voir quels sites sont visits,
par qui, et sur quel systme).
Il restreint laccs des sites inappropris, gre les accs aux sites et contrle lactivit
indsirable sur internet, comme jouer en lignes pendant les heures de travail.
Il offre une mise jour automatique.
Il offre la journalisation et le reporting

Rapport PFE 26
 Mastre N2TR-UVT

Il bloque les sites web qui gaspillent le temps comme MySpace et FaceBook avec listes
de blocage personnalises.
Il incarne un antispam, un antivirus, un anti spyware et un IDS
Il bloque les services inutiles tel que : les rseaux Peer-to-Peer, chat, etc.
Il filtre le trafic en se basant sur adresse IP, protocole et ports.
Il cre des DMZ.
Il offre les fonctionnalits de routage.
Il offre une solution scuris dinter-connecter les rseaux de lorganisme : VPN
Il partage le trafic en utilisant jusqu 6 connexions et partage la bande passante
(rparation de charge).
Il dtecte automatiquement les coupures de connexion et bascule sur le fournisseur
daccs de sauvegarde (Haute disponibilit).

5.2. Solution propose

Reprenons notre architecture rseau, et essayons de scuriser le rseau priv par la mise en
place d'un firewall avec des rgles de filtrage. On essayera de faire attention lors de
ltablissement des rgles de filtrage de peur de nous exclure nous mme.
Ce rseau se constitue de 2 sous rseaux privs (LAN et rseau critique) et une DMZ, qui
sont connects internet.

Rseau critique DMZ

192.168.4.50
192.168.2.50

LAN
192.168.1.50

Internet

Rapport PFE 27
 Mastre N2TR-UVT

Le but est :
Protger le rseau priv dInternet: la DMZ va jouer le rle dune zone tampon entre le
rseau priv et Internet.
Le rseau priv doit accder la DMZ et Internet: donc on autorise tout trafic forward
partir du rseau priv vers la DMZ.
Interdire toute connexion de la DMZ ou dInternet vers le rseau priv, sauf les
Rponses pour les connexions dj inities de la part du rseau priv.
Interdire les pings provenant de l' Internet vers la DMZ.
Permettre les connexions SSH entrantes, ainsi que les pings, au niveau du routeur.
Permettre les rponses de retours des pings cho-replay .

Avant dentamer la configuration, dfinissons un point cl : DMZ

DMZ: une zone dmilitarise (ou DMZ, de l'anglais demilitarized zone) est un sous-rseau
isol par un pare-feu. Ce sous-rseau contient des machines se situant entre un rseau interne
(LAN - postes clients) et un rseau externe (typiquement, Internet).

a. Principe du filtrage
Le filtrage est le fait de choisir quels paquets atteignent ou traversent la machine et ce qui
advient de ceux refuss.

Schma du filtrage:

Rapport PFE 28
 Mastre N2TR-UVT

Un paquet qui transite par le Firewall passe par la chane FORWARD.

Un paquet provenant du Firewall passe par la chane OUTPUT.
Un paquet destination du Firewall passe par la chane INPUT.
DROP : permet, lorsqu'elle est applique une rgle, de refuser un paquet, mais sans avertir
le demandeur que sa demande de connexion lui a t refuse.
ACCEPT : permet, lorsqu'elle est applique une rgle, d'accepter les paquets qui
correspondent cette rgle
REJECT : permet, lorsqu'elle est applique une rgle, de refuser un paquet, mais en
avertissant le demandeur que sa demande de connexion lui a t refuse en lui envoyant un
paquet RESET (RST).

b. Adressage IP
Nous appliquons l'adressage IP suivant :
Nous sparons les zones en premier lieu par des adresses de sous rseaux diffrentes : dans
ce but, nous utilisons des adresses IP prives de la classe C :
LAN : 192.168.1.0
DMZ:192.168.2.0
Zone critique: 192.168.4.0

192.168.4.51
192.168.1.51
DMZ LAN
192.168.1.52
192.168.2.52

192.168.4.50
Z.C. 192.168.4.52
192.168.4.51

Rapport PFE 29
 Mastre N2TR-UVT

c. Administration du Firewall
Dans la partie qui suit, nous dtaillons la configuration du firewall mise en place pour
scuriser notre centre de donnes.
La premire interface d'excution du firewall install sur la machine virtuelle s'affiche ainsi :

Ensuite, le firewall Endian affiche un menu de choix, nous d'utiliser le mode shell pour se
connecter.

Rapport PFE 30
 Mastre N2TR-UVT

Nous devons maintenant introduire le mot de passe de l'utilisateur 'Root' introduit dans les
tapes d'installation du firewall.

Nous utiliserons par la suite, un navigateur Web pour administrer notre firewall et le grer
pour mettre en place notre solution de scurit.
Les URL de connexion sont : Http://192.168.1.50
Ou bien :
Https://192.168.1.50:10443 (pour une connexion scurise)
L'interface de connexion est la suivante (pour l'utilisateur Admin):

Le firewall Endian prsente un menu des tches administrer, nous essayerons de voir les
plus importants.

Rapport PFE 31
 Mastre N2TR-UVT

En premier lieu, le tableau de bord s'affiche contenant les informations de base de notre
firewall(nom, version, CPU, mmoire, interface rseau) :

Nous configurons dans l'tape suivante notre rseau en dfinissant les interfaces du firewall
dj traites auparavant et ceci en appliquant l'adressage IP ainsi:

Rapport PFE 32
 Mastre N2TR-UVT

pour l'interface rouge, le protocole Ethernet DHCP prendra en charge notre adressage IP.
Pour notre rseau, nous choisissons une partie DMZ contenant les serveurs connects
Internet : c'est la partie Orange.

Rapport PFE 33
 Mastre N2TR-UVT

Nous avons ici le choix de garder l'adresse IP de l'interface verte ajoute lors de la 1ere
installation de notre firewall ou de la changer.
Nous ajoutons l'adresse IP de l'interface Orange, ainsi qu'un nom/nom du domaine notre
machine.

Rapport PFE 34
 Mastre N2TR-UVT

Nous passons maintenant au menu "rseau" : nous dbutons par l'ajout de nos machines
'ajouter un hte' (adresse IP-Nom hte).

Ensuite, nous ajoutons les routes via 'routage - routage statique'.

Rapport PFE 35
 Mastre N2TR-UVT

Concernant l'tape suivante, nous dfinissons les rgles de routages.

Nous passons ensuite au menu "Pare-feu" pour dfinir les rgles de filtrage : nous
commenons par le flux entrant:

Rapport PFE 36
 Mastre N2TR-UVT

Nous traitons ensuite le flux sortant:

Et finalement le trafic Inter-zone:

Rapport PFE 37
 Mastre N2TR-UVT

Concernant le menu "Serveur mandataire", nous appliquons quelques rgles sur les
protocoles, concernant 'http', nous validons le filtrage contre les virus:

Pour le protocole 'Pops3', nous activons "le scanner courriel" sur les interfaces Orange et
Verte de notre firewall ainsi que "le filtre courrier indsirable":

Rapport PFE 38
 Mastre N2TR-UVT

Pour le protocole 'FTP', nous activons "l'analyseur de virus FTP" :

Pour le protocole 'SMTP', nous activons "le proxy SMTP" et nous configurons les paramtres
contre le Spam:

Rapport PFE 39
 Mastre N2TR-UVT

Et finalement, nous bloquons les fichiers ayant l'extension ".exe" ainsi qu'une double
extension:

Rapport PFE 40
 Mastre N2TR-UVT

Conclusion

Au cours de ce projet, nous avons tudi larchitecture existante et avons dgag les
inconvnients quelle prsente. Suite cette tude, nous avons conu et mis en place la
maquette pour la virtualisation des serveurs. La mise en place de la solution de scurit tait
une tape essentielle pour assurer la protection des donnes lintrieur de lenvironnement
virtuel.
Le recours la virtualisation a permis notamment dutiliser les serveurs de manire plus
intensive et moindre cot et de bnficier dune disponibilit leve grce aux fonctions
intgres.
Des avantages supplmentaires incluent une gestion des performances via lquilibrage
dynamique de la charge de travail, ainsi quune simplification de la gestion grce au
regroupement de tous les serveurs sous la forme dun pool unique et uniforme de ressources.
Un environnement fortement virtualis dpend de lefficacit et de la fiabilit du rseau. Les
dfaillances des serveurs physiques, des connexions, des commutateurs ou des routeurs
peuvent savrer coteuses et parfois mme dangereuses et si lon procde la virtualisation
sans mettre en uvre les meilleures pratiques en matire de scurit, elle risque au bout du
compte daccrotre les cots de lentreprise et de nuire sa souplesse
Le travail sur ce projet ouvre encore plus de perspectives.
Dans un premier temps il faudra penser formaliser les processus dexploitation de la
nouvelle plateforme.
A moyen terme, il serait judicieux de centraliser les postes de travail au niveau du centre de
donnes, en considrant ce que cela pourrait apporter en matire de gestion dincidents.

Rapport PFE 41
 Mastre N2TR-UVT

Bibliographie

[1] www.vmware.com

[2] www.datacenter.fr

[3] www.endian.com

[4] www.commentcamarche.net

[5] www.ageei.org

[6] www.fr.wikipedia.org

[7] www.everymac.com

[8] www.itpro.fr/windows-server

[9] www.virtualisation-news.com

[10] aldevar.free.fr/data/VeilleTechno/VeilleTechno-Virtualisation.pdf

[11]www.journaldunet.com/solutions/expert/securite/34213/oui-a-la-virtualisation-mais-

pas-sans-protection.shtml

Rapport PFE 42
 Mastre N2TR-UVT

Annexe

Les tapes d'installation du firewall Endian: sont comme suit :

Il faut choisir le langage d'utilisation du firewall pour procder linstallation :

Rapport PFE i
 Mastre N2TR-UVT

L'installation commence :

Rapport PFE ii
 Mastre N2TR-UVT

L'installation est en cours :

Nous ajoutons ici l'adresse IP de l'interface Verte de notre firewall :

Rapport PFE iii

 Mastre N2TR-UVT

Fin de l'installation :

Rapport PFE iv