Rapport Stage Luxtelecom

BAC PRO MRIM
Lycée Louis-de-Cormontaigne
Metz
RAPPORT DE STAGE
Du 09 novembre 2009 au 05 décembre 2009
Du 15 mars 2010 au 10 avril 2010
Nom du tuteur M. Stéphane SIMON

Nom du maître de stage : M. Stéphane HEBERLE
DUBOC Pierre Terminale PRO MRIM 2009/2010
Lycée Louis-de-Cormontaigne Rapport de Stage LUXTELECOM
TABLE DES MATIERES
REMERCIEMENTS........................................................................................................................................2
PARTIE N°1. INTRODUCTION ............................................................................................................3
PARTIE N°2. L’ENTREPRISE LUXEMBOURG TELECOM...........................................................4

2.1 SITUATION GEOGRAPHIQUE................................................................................................................4
2.2 RAISON SOCIALE ET STATUT JURIDIQUE .............................................................................................5
2.3 ACTIVITES ...........................................................................................................................................5
2.4 CHIFFRE D’AFFAIRE ............................................................................................................................5
2.5 CONCURRENCE ...................................................................................................................................5
2.6 ORGANISATION ...................................................................................................................................6
2.7 LES METIERS DU TECHNICIEN AU SEIN DE LUXEMBOURG TELECOM .................................................7
2.8 EXEMPLES DE TRAVAUX EFFECTUES DURANT LES STAGES ................................................................8
2.8.1 Diagnostiquer un problème de temps d’accès à un logiciel ......................................................8
2.8.2 Déployer un anti-virus réseau sur plusieurs pc utilisateurs ......................................................9
2.8.3 Autres exemples de tâches effectuées .......................................................................................10
PARTIE N°3. ETUDE DE CAS.............................................................................................................11
3.1 DEFINITION ET DETAILS ....................................................................................................................11
3.2 MISE EN PLACE ET CONFIGURATION D’UN PARE-FEU WATCHGUARD ..............................................14
3.2.1 Le matériel................................................................................................................................14
3.2.2 Mise en place du pare-feu dans un réseau...............................................................................15
3.2.3 Configuration du Watchguard Firebox Edge X10e .................................................................16
3.2.4 Mise en place de règles afin de restreindre l’accès à un site en particulier ...........................17
3.2.5 Mise en place d’une règle afin de restreindre l’utilisation de logiciels de conversation........22
3.2.6 Mise en place d’une règle afin de restreindre l’envoi et la réception de mail ........................28
PARTIE N°4. CONCLUSION ...............................................................................................................36
PARTIE N°5. GLOSSAIRE...................................................................................................................37
PARTIE N°6. ANNEXES .......................................................................................................................38

6.1 ZOOM SUR LE DIAGNOSTIC DU PROBLEME DE TEMPS D’ACCES A UN LOGICIEL ................................38
6.1.1 Aperçu de l’application CCleaner : .........................................................................................38
6.1.2 Aperçu de l’application MalwareBytes....................................................................................38
6.1.3 Aperçu de l’application Spybot Search&Destroy ....................................................................39
6.2 ZOOM SUR LE DEPLOIEMENT D’UN ANTI-VIRUS RESEAU..................................................................39
6.2.1 Aperçu du lien qui redirige vers le setup (ici via un mail).......................................................39
6.2.2 Aperçu ActiveX sous internet Explorer ....................................................................................40
6.2.3 Aperçu du 1er module requis pour le setup..............................................................................40
6.2.4 Aperçu du 2ème module requis pour le setup.............................................................................41
6.2.7 Aperçu du téléchargement des fichiers setup et conf. depuis le serveur..................................42
6.2.8 Aperçu de l’icône de l’anti-virus dans la barre de notification...............................................43
6.2.9 Aperçu de la console Client/Server de l’agent.........................................................................43

REMERCIEMENTS
Tout d’abord, je tiens à exprimer ma reconnaissance auprès de Monsieur GRANDIDIER,

responsable de l’entreprise Luxembourg Télécom, pour m’avoir accueilli et permis d’effectuer mes
deux périodes de stage, du 9 novembre au 5 décembre 2009 et du 15 mars au 10 avril 2010, dans le
cadre de ma préparation à mon Baccalauréat Professionnel en Micro-informatique et Réseaux,
Installation et Maintenance.
Par ailleurs, je remercie tout particulièrement mes tuteurs Messieurs HEBERLE Stéphane et
SIMON Stéphane pour m’avoir encadré et consacré de leur temps à me transmettre leurs
compétences en vue d’approfondir mes connaissances.
Enfin, je voudrai particulièrement remercier le lycée Louis-de-Cormontaigne, et notamment les

professeurs d’enseignement professionnels Messieurs DE MAESTRI, KREDER et KRAUSENER
qui m’ont formé durant ces deux années de BAC PRO MRIM. De même, je tiens à remercier mes
professeurs de BEP électronique qui m’ont appris les bases pour une orientation que j’ai choisie
vers un BAC PRO MRIM.

PARTIE N°1. INTRODUCTION
Etant actuellement élève au lycée Louis-de-Cormontaigne à Metz, je me prépare à

passer les épreuves du baccalauréat professionnel de Micro-informatique et Réseaux, Installation et
Maintenance. Au cours de ma formation de 2 ans, j’ai dû effectuer 2 périodes de stages dans l’entreprise
suivante :
Luxembourg Télécom (Capellen, Luxembourg).
Cette entreprise travaille en partenariat avec le Groupe Arcan’ ce qui lui permet d’utiliser les
connaissances et le savoir faire de ses meilleurs techniciens. J’ai eu la chance de partager ces échanges
professionnels par le biais de mes stages.
Au cours de ces différents stages, j’ai été amené à acquérir des informations (schémas, photos,
explications) sur les tâches auxquelles j’ai participé.
A cet effet, j’ai rédigé le présent dossier de synthèse en vue de valider mon examen.

PARTIE N°2. L’ENTREPRISE LUXEMBOURG TELECOM
2.1 Situation Géographique
L’entreprise Luxembourg Telecom se situe au 89F Pafebruch,L-8308 à CAPELLEN. C'est-à-dire à

10 minutes en voiture de Luxembourg ville et à 30 minutes de la France (Thionville).

2.2 Raison sociale et statut juridique

L’entreprise Luxembourg Telecom est une SARL qui possède le statut PSF (Professionnel du
Secteur Financier) propre au Luxembourg.
2.3 Activités
Luxembourg Telecom est le premier opérateur alternatif global du Grand-duché de Luxembourg.
Axé autour des infrastructures Datacenter et Réseau de Luxconnect, le portfolio de Luxembourg

Telecom offre la première alternative globale en terme de WAN, Hosting, Housing et services
managés sur le marché local et sur la Grande Région.
Ils disposent en effet de plusieurs salles machines dans le Datacenter de Bettembourg et, grâce à leur
neutralité, délivrent toutes les connectivités nationales et internationales correspondant aux réelles
exigences des clients.
Leurs accords de collaboration avec différents grands acteurs ICT leurs permettent également de
couvrir la majorité des besoins du marché en termes de services managés et de sécurité.
2.4 Chiffre d’affaire

Lors de l’année 2009, Luxembourg Telecom a réalisé un chiffre d’affaire d’un montant de 10
millions d’euros.
2.5 Concurrence
- Telindus (Esch-sur-Alzette, Luxembourg)
- Econocom (Windhof, Luxembourg)

2.6 Organisation

2.7 Les métiers du technicien au sein de Luxembourg Télécom
En tant que technicien dans l’IT, Stéphane H. et Stéphane S. installent différents types de
serveur (Windows server 2003, Windows Server 2008, SBS …) et configurent ces derniers selon la
demande. En effet, chaque client a des besoins différents. Dans la plupart des cas, il s’agit de créer
une Active Directory, afin que chaque employé d’une même entreprise ait un répertoire personnel et
les droits qui lui sont dus.
Il va sans dire que la préparation complète d’un serveur est un travail très long et minutieux
(création d’un domaine, configuration ou non d’un DNS ou d’un DHCP, créations des comptes
utilisateurs et de leurs répertoires personnels, attributions des droits à tel ou tel compte,
configuration de scripts de partages d’imprimantes réseau et de dossiers partagés …).
Toutefois, le cahier des charges de certaines d’entre elles est parfois bien plus complexe.
En effet, pour certains clients, Stéphane H. et Stéphane S. devront planifier une sauvegarde
hebdomadaire à l’aide de logiciels bien spécifiques (comme Backup Exec de Symantec ou ARC
serve de Ca par exemple) alors que pour d’autres, ils devront installer un serveur Exchange 2003
ou 2007 (serveur de messagerie) et attribuer à chaque compte de l’Active Directory un compte mail
afin que chaque employé puisse travailler dans des conditions normales. Il est aussi très fréquent
qu’ils aient à installer et déployer un anti-virus réseau ce qui revient à installer la partie principale
contenant la base virale ainsi que toutes les données propres à un anti-virus sur le serveur et une
autre partie, appelée « agent », déployée sur les stations afin de faire le lien entre l’antivirus et ces
mêmes stations afin de scanner les fichiers et dans certains cas les mettre en quarantaine ou les
supprimer. De plus, certains clients ont besoin de tout cela en même temps, c’est pourquoi les
techniciens doivent préparer plusieurs serveurs distincts afin de séparer les rôles de ces derniers au
niveau physique (dans ce cas là, le client aura un serveur de messagerie, un serveur de backup (qui
peut aussi faire office de serveur AD et serveur anti-virus) et même dans certains cas un serveur
SQL ou autres). Ce type de client demande un suivi particulier et une rigueur plus importante.
Aussi, le technicien doit être capable d’installer et configurer tous types de matériels réseaux dans
une armoire de brassage comme par exemple un routeur, un switch ou même un pare-feu (ce qui
sous-entend savoir câbler et brasser).
Pour ce qui est du pare-feu matériel, qui fera l’objet du projet étudié dans ce dossier, chacun des
deux techniciens est spécialisé dans une marque différente.
En effet, alors que Stéphane Simon est expert dans le pare-feu Arkoon (marque d’origine française
fondée en 2000), Stéphane Heberlé est lui expert dans le pare-feu Watchguard (marque d’origine
américaine fondée en 1996). Le fait que ces deux techniciens ne travaillent pas sur le même matériel
au niveau pare-feu fait leur force et représente un atout majeur pour l’entreprise qui les emploie.
Grace au partenariat français, Luxembourg Télécom exploite leurs connaissances particulières dans
l’installation des pare-feu de ces marques. De même, ils sauront les dépanner.
De par leurs études et leurs parcours professionnels, ils sont également capables d’installer et
configurer n’importe quel autre système d’exploitation ainsi que d’installer des suites logiciel
(Microsoft Office …), entre autres.

2.8 Exemples de travaux effectués durant les stages
2.8.1 Diagnostiquer un problème de temps d’accès à un logiciel
Lors d’une intervention chez un client pour un problème de temps d’accès d’un pc utilisateur
à un logiciel sur le serveur, un problème de backup du serveur ainsi qu’une mise à jour du pare-feu,
mon tuteur, qui lui s’occupait du backup, m’a demandé d’essayer de trouver pourquoi un seul des
ordinateurs utilisant ce logiciel « distant » mettait énormément de temps à afficher son interface.
Ma première idée a été de démarrer le logiciel depuis un autre ordinateur utilisateur, afin de voir si
la différence de temps de chargement était vraiment flagrante et en effet, elle l’était.
J’ai d’abord changé le câble réseau qui reliait le pc au switch, pensant que celui-ci était dégradé,
mais sans succès. Après avoir fait des tests de Ping/accès internet apparemment normaux, j’ai
demandé à mon tuteur une carte réseau en PCI, afin de faire le test depuis une carte réseau autre que
celle intégrée à la carte-mère. Le résultat était inchangé, le logiciel était toujours aussi lent au
démarrage.
Le responsable de l’entreprise (le client) m’a alors signalé qu’il avait commandé un carte-mère chez
HP, vu que le pc était sous garantie (bien avant notre venue et ce sur les conseils du commercial) car
pour lui, le problème venait de là. Personnellement, je n’y croyais pas trop mais toutefois pourquoi
pas ? J’ai alors changé la carte-mère (j’en ai profité pour inverser les barrettes de RAM en
prévention et nettoyer l’intérieur du pc des poussières présentes). Après redémarrage du pc, aucun
changement n’a été constaté, le programme était toujours aussi long à démarrer, et ce sur un seul pc.
Alors à court d’idée, j’ai nettoyé le pc à l’aide de CCleaner (un logiciel gratuit qui permet d’effacer
les fichiers temporaires, les éléments supprimés, supprimer les cookies, …, cf. Annexe 6.1.1), puis
fait une analyse anti-virus (Trend Micro Agent) et cherché tout trace de fichier malicieux à l’aide de
MalwareBytes et Spybot Search&Destroy (deux logiciels gratuits qui, réunis et grâce à une base
virale mise à jour tous les jours, sont capables de détecter et supprimer quasiment tout les fichiers
malicieux, cf. Annexe 6.1.2 et 6.1.3).
Après tout cela, à part une centaine de mégaoctets supprimés grâce à CCleaner, aucun malware,
spyware ni virus n’a été détecté.
Une seule explication était possible, Windows en lui-même avait un problème.
Après concertation avec mon tuteur, nous avons choisi de réinstaller un Windows « propre » sur un
nouveau disque, puis d’installer l’application en question.
Résultat : le programme se lançait depuis le serveur en une ou deux secondes maximum. Il nous
restait à installer un deuxième programme utilisé par l’employé. Chose faite, nous avons rebranché
l’ancien disque dur en esclave le temps de récupérer les anciens fichiers. Le client satisfait retrouve
un ordinateur fonctionnel.

2.8.2 Déployer un anti-virus réseau sur plusieurs pc utilisateurs
Lors d’une intervention chez un client habituel de Luxembourg Telecom pour installer
quatre nouveaux pc utilisateur, il m’a était demandé d’installer les logiciels propres à l’entreprise et
tout particulièrement l’anti-virus.
L’entreprise disposait d’un serveur, configuré en Windows Server 2003, sur lequel se trouvaient
l’Active Directory, une application de backup et la version serveur de l’anti-virus réseau, dans notre
cas Worry-Free Business de Trend Micro.
Cet anti-virus dit « réseau » fonctionne de cette manière :
- Le pc « serveur » contient la version « serveur » de l’anti-virus. C’est depuis cette version
que l’on gère les licences utilisateurs, les exceptions, la configuration propre à l’anti-virus
qui sera appliquée sur les versions clientes, installées sur les pc utilisateurs.
- Les pc « utilisateurs » contiennent, quant à eux, une version client de l’anti-virus, aussi
appelée « agent » anti-virus. Il est configuré comme indiqué sur la version « serveur » de
l’anti-virus.
- L’agent anti-virus peut être installé de deux façons différentes que voici :
1. en « push », c'est-à-dire que le pc serveur envoie, ou pousse, la version client de
l’anti-virus sur les pc « utilisateurs ». En général cette méthode est employée lors
d’un déploiement d’anti-virus sur un parc informatique assez conséquent (≥ 15
pc).
2. de manière standard, comme c’est le cas ici. En fait, sur chaque pc dit
« utilisateur », il faut aller chercher sur le pc « serveur » un fichier bien
spécifique, qui n’est autre que le setup de l’agent, que la version « serveur » de
l’anti-virus à créé (à noter qu’il est aussi possible d’envoyer par mail depuis le pc
serveur aux pc utilisateurs un lien vers ce fichier).
Comme dit ci-dessus, j’ai installé l’agent sur les pc « utilisateurs » en allant chercher sur le serveur
le fichier nécessaire. Il s’agit tout simplement d’un fichier html, qui redirige vers l’interface web de
l’anti-virus (cf. Annexes 6.2.1). Le setup s’effectuant depuis un navigateur internet, mon tuteur m’a
conseillé Internet Explorer, ce qui est logique vu que l’installation nécessite ActiveX (cf.
Annexe6.2.2) qui n’est officiellement disponible que sur ce navigateur. Le reste de l’installation
s’explique par le téléchargement de 4 modules via ActiveX : Removectrl (cf. Annexe 6.2.3),
SetupINI (cf. Annexe 6.2.4) et Setup (cf. Annexe 6.2.5) et Install (cf. Annexe 6.2.6). Ils sont tout
quatre nécessaires pour le bon déroulement de l’installation. Une fois ces 4 modules installés, la
véritable installation débute et passe d'abord par le téléchargement des fichiers propres au setup et à
la configuration de l’anti-virus (cf. Annexe 6.2.7).
Une fois l’installation terminée, l’icône bleu de l’anti-virus apparaît dans la barre de notification (cf.
Annexe 6.2.8) et il est alors possible de lancer la console propre à l’agent installé sur le pc
« utilisateur » afin d’avoir le statut de l’anti-virus (nombre de fichiers scannés, date du dernier scan,
état de la base virale, dernière mise à jour … cf. Annexe 6.2.9)
Toutes ces étapes reproduites sur les 3 autres nouveaux pc, les utilisateurs pouvaient enfin les
utiliser sans craindre les virus.

2.8.3 Autres exemples de tâches effectuées
Voici d’autres exemples de tâches que j’ai effectuées durant mes deux périodes de stages à Luxembourg
Telecom :
- Il m’a plusieurs fois été demandé de réinstaller le système d’exploitation de pc utilisateurs

(Windows XP, Vista et Seven), d’installer les drivers (carte graphique, chipset …) et logiciels
(comme par exemple la suite office, CCleaner …), de faire les mises à jour (Windows, Office) et
ensuite de passer les comptes user en mode « utilisateurs ». Ce travail a souvent eu lieu chez le
client directement, dans le cas d’une contamination éventuelle d’un pc ou éventuellement
d’embauche de nouveaux salariés.
- Il m’a été demandé de connecter des pc sur le domaine, même dans le cas où un employé utiliserait
son ordinateur personnel dans l’entreprise (ordinateur portable la plupart du temps) et aurait besoin
de se connecter à son compte (pour accéder à son répertoire privé par exemple).
- Sachant qu’entre ma première et ma deuxième période de stage, Watchguard, fabricant de pare-feu

matériel, a développé une mise à jour très importante (nouvelle interface, nouvelles fonctionnalités
…) ainsi que des correctifs majeurs et que mon tuteur Stéphane Heberlé est spécialisé dans ce type
de pare-feu matériel, nous avons été amenés à mettre à jour les firmwares de tous les pare-feu
installés chez les clients jusqu’à présent. Nous avons dû dans un premier temps exporter le fichier
configuration des Watchguard, puis installer la mise à jour principale (XTM OS 11.0) pour ensuite
finir par les correctifs majeurs (XTM OS 11.0 à 11.2.3). Il a ensuite fallu réimporter le fichier
configuration, entrer les licences propres à chaque client pour que le pare-feu soit à jour et
fonctionnel.
- Il m’a été demandé de connecter des utilisateurs à leur compte Exchange 2003. Lors d’une
intervention où un utilisateur avait un nouveau pc, après l’avoir mis sur le domaine, il a fallu le
connecter à son compte Exchange 2003 à l’aide de son nom d’utilisateur défini sur le serveur
Exchange 2003. Le logiciel a rapatrié tout seul les mails envoyés sur l’ancien pc, reçus et en
brouillon. Il en est de même pour le carnet d’adresses et les calendriers. Le tout a été récupéré en
tâche de fond, sans que l’utilisateur n’ait à s’en soucier.
- Parmi les tâches demandées, j’ai dû effectuer une préparation de serveurs.

Un collègue de mon tuteur avait besoin de préparer (installation + configurations) trois serveurs,
deux sous Windows serveur 2003 et un sous linux, afin de recevoir une formation sur la téléphonie
IP sous Windows server 2003. Une fois le matériel reçu et sorti du carton, il m’a d’abord fallu
monter les disques durs dans les serveurs à proprement dit, puis un lecteur/graveur combo dans le
serveur qui allait contenir Linux. Ensuite, il m’a fallu installer WS2003. Grâce à l’outil HP
SmartStart qui facilite l’installation de l’OS car il permet de créer et configurer un raid (raid 2 dans
mon cas), mais aussi qui préconfigure (drivers, application propre à HP) le système d’exploitation en
fonction du Windows Server que l’on veut installer, j’ai pu simplement démarrer l’installation. Une
fois WS2003 installé (drivers inclus grâce à SmartStart), il m’a fallu installer les services pack et
autres mises à jour. Vient ensuite l’installation d’IIS sur les serveurs, puis MySQL sur un des
serveurs sous Server 2003. A noter que toute cette configuration, ainsi que le plan de formatage du
disque, était décrite dans une documentation technique en anglais. Les serveurs sous WS2003
étaient près. Pour ce qui est du serveur sous Linux, ne sachant le faire, j’ai préféré dire à la personne
concernée que je n’en étais pas capable. Il lui a donc fallu le faire lui-même par la suite, une fois
mon stage terminé. Je regrette de ne pas avoir vu le déroulement de l’installation du serveur Linux
ainsi que de ne pas avoir vu un aperçu de la formation téléphonie IP, toutefois, cela me donne des
objectifs pour la suite de mes études.

PARTIE N°3. ETUDE DE CAS
3.1 Définition et détails

Dans cette partie du dossier, je vais étudier la mise en place d’un pare-feu matériel
ainsi que ses différentes fonctionnalités, tout en abordant la définition du rôle d’un pare-
feu.
Un pare-feu (Firewall en anglais) est un élément logiciel ou matériel qui a pour fonction de
faire respecter la politique de sécurité du réseau en définissant les types de
communication autorisés ou interdits. Selon les modèles, certains inspectent et filtrent de
la couche 1 à 4 du modèle OSI, alors que d’autres inspectent et filtrent sur les 7 couches.
Il est souvent représenté par un mur de briques, séparant l’intérieur de l’extérieur du

réseau.
En utilisation, il pourrait être symbolisé par :

Tous les ordinateurs équipés de Windows de XP à 7, y compris les versions serveur 2003
et serveur 2008, possèdent un pare-feu intégré Windows. Ils sont paramétrables mais
n’offrent toutefois pas des fonctions aussi variées qu’un pare-feu « indépendant ».
Aperçu du pare-feu Windows 7

Les box adsl (Freebox, BBox, Livebox …) possèdent elles aussi des pare-feu intégrés au
routeur. Ils sont vraiment un plus important pour les réseaux domestiques, car très
complets et bien configurés. Cela permet à l’utilisateur lambda de pouvoir surfer sans trop
de risques.
Aperçu du pare-feu intégré à la LiveBox
Toutefois, il existe aussi des matériels réseaux indépendants qui n’occupent que la
fonction de pare-feu. Ces pare-feu, dit matériels, sont généralement vendus avec des
licences propres à chaque boitiers, permettant de valider ou non des fonctionnalités (anti-
spam, web-blocker …).
Il existe plusieurs marques de Firewall matériel : Cisco, le plus connu, ainsi que Arkoon et
Watchguard qui eux commencent à se faire une place sur le marché européen.
Toutefois, d’autres marques comme Netgear, ZyXEL ou encore D-Link proposent aussi
des matériels similaires mais cependant plus orientés petites ou moyennes entreprises.

3.2 Mise en place et configuration d’un pare-feu Watchguard
Je vais maintenant développer mon thème, qui n’est autre que le déploiement et la
configuration du pare-feu matériel. Tout mon développement se fera sur les pare-feu de
marque Watchguard et plus précisément Watchguard Firebox Edge X10e.
A noter que les exemples que j’ai dû choisir ne sont pas exhaustifs mais il a fallu me
restreindre pour la réalisation de mon dossier et sa présentation.
Durant mes périodes de stages, à l’aide de mon tuteur Stéphane Heberlé, j’ai découvert et
par la suite appris à installer ce type de matériel mais aussi à le configurer.
3.2.1 Le matériel
Voici à quoi ressemble un pare-feu Watchguard (ici un Firebox Edge d’une valeur
de 780€ avec les licences de base)
C’est un simple boitier en aluminium

ou en plastique ressemblant à un
Switch.
On peut remarquer qu’il est possible

de le configurer via un port série. Aussi,
il est possible de filtrer différents réseaux
grâce aux différentes (ici 3) entrées LAN
tout comme il est possible de les faire
ressortir sur différents WAN (internet et
DMZ par exemple).

3.2.2 Mise en place du pare-feu dans un réseau
Voici un schéma représentant un exemple de mise en place chez un client :
Le pare-feu matériel, quelque soit la marque et/ou l’utilité, se place toujours entre l’arrivée internet
(souvent un modem/routeur) et le Switch qui dispatche les pc selon leur secteur. En réalité, on
devra alors mettre le câble Ethernet de l’arrivée Internet sur le port WAN1 et on reliera le Switch
au port LAN0. Il sera alors possible de mettre le Switch où se trouvent les serveurs sur le port
LAN1 pour pouvoir gérer les deux « réseaux » indépendamment.

3.2.3 Configuration du Watchguard Firebox Edge X10e

Il est possible de configurer et/ou ajouter des règles sur le Watchguard de deux façons :
- Via l’interface web. Cette méthode était la seule possible jusqu’à la mise à jour 11.0 du
firmware des Watchguard. Malgré le fait que cette interface soit un peu lente et « lourde »,
elle reste très complète et utile en cas de configuration depuis un pc qui ne possède pas le
soft de management.
- Via l’interface logicielle. C’est cette méthode que je choisis de développer, non pas que
l’autre soit compliquée mais par soucis de place dans mon dossier. Cette méthode est plus
pratique et plus claire que via l’interface web. Le logiciel permet par exemple de voir les
logs en temps réel, l’état du Firebox, l’ajout/suppression de règles … depuis un seul et
même logiciel. De plus, la gestion des règles est beaucoup plus claire que via l’autre
méthode.
Voici un aperçu de l’ancienne interface (interface web) :

3.2.4 Mise en place de règles afin de restreindre l’accès à un site en

particulier
Ceci est un exemple de ce qu’il est possible de faire avec un pare-feu de type Watchguard.
Cela n’a pas été effectué chez un client, mais reconstitué chez moi par mes soins.
Nous allons imaginer qu’un client souhaite restreindre l’accès à un site web, dans notre cas
Megaupload, la célèbre plateforme d’hébergement de fichiers.
1- Connexion à l’Edge X10 e via le software Watchguard
La connexion s’effectue grâce à l’adresse IP du Firebox comme login, et à l’aide d’une passphrase
définie à l’avance.
Grâce à une interface très simple et très claire, il est facile de distinguer les différents éléments
comme le statut du boitier (@ IP), les certificats en cours, les différentes connexions VPN
existantes …
Il existe aussi une barre d’outils chargée d’icônes dont nous verrons certaines fonctionnalités plus
tard ainsi que la classique barre de menu (File, Edit, Tools …) pour sauvegarder l’état de la
configuration actuelle, entre autres.

2- Gestion des règles (=policies)
Dans la partie droite de l’écran, on distingue les différentes règles existantes. Le liseré vert
permet de différencier les règles qui autorisent des règles qui refusent l’utilisation à un
protocole ou autre. On voit que des règles concernant le FTP, le Ping, le trafic en sortie ainsi
que l’interface de configuration web ont été crées et autorisent ces dernières.
3- Le site web est accessible
Comme on peut le voir à cet écran, le site Megaupload est accessible, ce qui est logique vu
que pour l’instant aucune règle ne lui interdit l’accès. On peut aussi constater que la règle qui
autorise l’ « Outgoing » fonctionne, vu que l’accès à internet est possible.

4- Obtention de l’adresse réseau du site Megaupload
Le site internet Megaupload, comme la plupart des sites internet de cette envergure (Google,
Microsoft, Apple …), ne possède non pas une seule adresse IP publique mais au contraire, est
accessible via une plage d’adresses. Ceci permet de limiter la saturation des serveurs dûe aux
nombreuses personnes pouvant se connecter simultanément.
Le site internet http://network-tools.com/ permet, parmi la multitude d’outils qu’il contient, de
connaître l’adresse réseau d’un site, et donc la plage d’adresses IP d’un site web.
L’information qui nous intéresse ici est le CIDR utilisé : 174.140.128.0 /19
En réalité, lors d’une connexion au site Megaupload, il est possible de se connecter en fait à
l’adresse 174.140.154.13, comme il est tout aussi possible de se connecter à l’adresse
174.140.159.250. La véritable plage d’adresse peut être lue dans la rubrique NetRange.

5- Ajout de la règle permettant de bloquer l’accès au site Megaupload et envoi de la

configuration dans le Watchguard
Il nous faut maintenant ajouter les informations récemment obtenues afin de bloquer l’accès à
Megaupload.
Le type de blocage choisi ici est par « adresse réseau ». Il est possible aussi de bloquer par nom
de domaine, par plage d’adresse …
L’adresse réseau 174.140.128.0 /19 a bien été ajoutée dans la liste des sites bloqués, ainsi que le
commentaire « Megaupload », afin d’avoir une meilleure lisibilité dans cette même liste.
Grâce à l’icône de la barre d’outils, il est possible d’accéder rapidement à la fonction d’envoi des
modifications récentes dans le Watchguard. L’envoi de la config. nécessite une authentification.

6- Vérification du bon fonctionnement de la règle
Nous allons maintenant vérifier l’accessibilité du site Megaupload
Visiblement, la règle fonctionne, il est impossible d’accéder au site.
7- Affichage des logs afin de comprendre l’action du pare-feu
Via « traffic monitor », il est possible de voir tout ce qui passe par le pare-feu (connexion,
intrusion). On voit bien ici que 192.168.111.3 (mon pc) faisant partie du réseau de confiance (=
Trusted) a tenté d’accéder aux adresses IP 174.140.154.23 et 174.140.154.10, situées à
l’extérieur, qui ne sont autres que des adresses IP du site Megaupload. La règle fonctionne.

3.2.5 Mise en place d’une règle afin de restreindre l’utilisation de logiciels de

conversation
Nous allons maintenant étudier comment restreindre l’accès à des logiciels de

conversations, comme MSN, Skype ou encore AIM. Bien souvent, bloquer l’accès à ce type de
logiciel à l’aide de pare-feu standard est plutôt compliqué, mais le faire avec un pare-feu de type
Watchguard simplifie un peu la tâche.
La manipulation de cette mise en place a été réalisée dans un premier temps chez moi afin de
pouvoir l’appliquer chez le client par la suite.
Cette étape est obligatoire puisqu’elle permet d’accéder aux différents paramètres propres au
pare-feu.

2- Ajout d’une règle (=policies)
Comme dans le cas précédent, c’est ici que l’on voit les règles déjà existantes, mais c’est aussi
depuis cet écran que l’on va en rajouter.
Grâce à un simple clic droit sur la fenêtre, il est possible d’ajouter une règle. Dans notre cas, il faut
ajouter une règle TCP/UDP puisque les logiciels de conversations s’appuient sur ces protocoles.
Nous pouvons voir ici qu’il y a 3 catégories de policies :
- Packet Filters contient exactement les mêmes règles que l’actuel menu déployé, Proxies. Il
est donc possible d’ajouter simplement une restriction, comme par exemple http pour tout
le réseau de confiance (=Any-Trusted) vers l’extérieur (=Any-External).
- Proxies contient toutes les règles proposées par défaut par Watchguard. A la différence de
Packet Filters, chaque règle se trouvant dans Proxies est personnalisable. C’est grâce à
ces personnalisations que l’on peut bloquer tel ou tel port se trouvant dans le protocole
TCP/UDP par exemple. Nous allons nous créer une règle proxy, afin de choisir les
paramètres à appliquer.
- Custom contient lui les règles « personnalisées ». Ce sont celles crées par l’administrateur.
En effet, il est possible de créer ses propres règles, adaptées à son réseau, plutôt que de
n’utiliser que celles existantes.

3- Paramétrer la règle
Nous allons maintenant entrer tous les paramètres nécessaires afin de bloquer le logiciel de
conversation sur les pc se trouvant sur le réseau LAN. Par défaut, ces pc sont considérés comme
« trusted ».
Aussi, lors de la création d’une règle, cette dernière s’applique par défaut de « Any-Trusted » vers
« Any-External » mais il est possible de rajouter des facteurs des deux cotés.
Nous pouvons voir que la règle proxy couvre tous les ports TCP et UDP (Any).
Si nous validions cette règle maintenant, elle permettrait d’autoriser toutes les connexions
TCP/UDP de n’importe quel port (ou de les interdire selon le choix que l’on aurait fait dans
l’onglet « Policy », mais ce n’est pas ce qu’il est prévu.
C’est grâce à proxy action qu’il est possible de bloquer les applications souhaitées.

Paramétrer la règle (suite)
A cette étape, on peut constater que la liste des applications pouvant être bloquées proposée est
plutôt conséquente et contient les logiciels de « chat » les plus rependus. Il existe aussi l’onglet
« P2P » qui permet lui des applications s’appuyant sur le peer2peer, comme Emule, Bit Torrent ou
encore Kazaa.
4- Enregistrement et envoi de la configuration dans le Watchguard
Comme après chaque modification, il faut enregistrer la configuration sur le Watchguard

afin qu’elle prenne effet.

5- Vérification du bon fonctionnement de la règle
Nous allons maintenant tenter de nous connecter à un logiciel de messagerie instantanée, ici
Windows Live Messenger.
Comme on peut le voir, la connexion échoue instantanément. La règle semble bien fonctionner.
Voici ce que l’outil de dépannage des connexions Windows Live Messenger affiche :
L’outil est incapable d’identifier le problème et donc logiquement de le résoudre. Le problème

persiste donc.

6- Désactivation de la règle afin de vérifier si Windows Live Messenger fonctionne à
nouveau
Retournons dans l’outil d’administration Watchguard afin de désactiver la règle récemment

créée.
On voit que sous la fenêtre d’envoi de la nouvelle configuration, la règle TCP/UDP est grisée. Elle
est donc désactivée. Il faut maintenant envoyer la dernière configuration.
Nous allons maintenant tester s’il est à nouveau possible de se connecter à Windows Live
Messenger.
La connexion s’est bien effectuée. Notre règle fonctionne donc, il suffira de la réactiver et de
sauvegarder la configuration afin qu’elle reprenne effet. Ce type de règles est très présent dans
les entreprises, afin d’éviter de la part des employés une utilisation personnelle des ressources
informatiques pendant les heures de travail. A noter qu’il est possible de faire pour qu’une règle
agisse selon un calendrier et/ou une plage horaire, utile pour éventuellement l’autoriser durant les
heures de pause.

3.2.6 Mise en place d’une règle afin de restreindre l’envoi et la réception de

mail
Pour finir mon étude du pare-feu matériel, nous allons maintenant aborder le fait de restreindre
l’envoi et la réception de mail. Ce type de communication repose sur des ports bien spécifiques,
car ici nous supposerons qu’un client veuille interdire l’envoi/réception de mails via POP3 et
SMTP. Cette mise en place à elle aussi été réalisé chez moi.
Je ne présente plus cette étape là du logiciel, puisqu’elle n’est autre que l’accueil du logiciel de
configuration de Watchguard qui montre que nous sommes bien connectés au Firebox.
Toutefois, il est bon de noter que ce logiciel permet de configurer n’importe quel type de boitier
Watchguard, allant du simple Edge X10e au XTM, le haut de gamme de chez Watchguard.
Aussi, cela permet de montrer que toutes les manipulations effectuées se font via l’interface
logicielle et non via l’interface web.

2- Ajout de la règle permettant de bloquer les courriers entrant.
Via la gestion des policies, il est possible d’ajouter une règle cette fois ci non plus en
« Proxies » mais en « Packet Filters » car nous voulons simplement interdire l’envoi et la
réception, rien de plus.
On constate que la règle POP3 va donc restreindre la réception de mail via le port 110 en TCP.
Aussi, le statut de la règle est « denied », ce qui signifie bien que la réception sera bien refusée.
De plus, on voit que la règle s’appliquera aux pc « any-trusted » (dans notre cas LAN0) vers
« any-external » (dans notre cas WAN1).

3- Ajout de la règle permettant de bloquer les mails sortants
Comme on peut le constater, l’envoi et la réception sont gérés indépendamment sur le

pare-feu.
Il est donc possible de bloquer l’envoi de message alors que la réception sera elle autorisée, dans
le cas de figure où un utilisateur ne soit pas autorisé à envoyer des mail tout en s’assurant qu’il ne
pourra pas le faire.
Toujours dans la gestion des « policies », nous ajoutons une règle concernant le SMTP
en « Packet Filters » puisque notre règle est basique.
On constate de nouveau que la règle va bloquer, puisque le statut est sur « denied », l’envoi de
mail, protocole basé sur le port 25 en TCP, des pc « Any-Trusted » vers « Any-External ».
4- Vérification des nouvelles policies
Nous pouvons constater que les règles SMTP et POP3 sont bien présentes et non grisées, elles
sont bien actives. De plus, le liseré rouge prouve que leur statut est sur « denied ».

5- Enregistrement de la configuration et test d’envoi/réception de mail
Nous allons donc logiquement enregistrer la configuration actuelle sur le Watchguard.
Essayons ensuite d’envoyer un mail et d’en recevoir.
Ceci est un mail de test écrit pour la manipulation.

Enregistrement de la configuration et test d’envoi/réception de mail (suite)
Essayons la fonction « envoyer/recevoir » afin de savoir si nos règles fonctionnent.
Comme nous pouvons le constater, le mail n’est pas parti de la boite d’envoi et aucun mail n’a été
reçu. La règle semble avoir fonctionnée.

6- Affichage des logs afin de comprendre l’action du pare-feu
Nous pouvons voir dans les logs que le pc ayant l’adresse IP 192.168.111.3 (mon pc) a tenté en
vain d’envoyer/recevoir car les requêtes POP3 et SMTP via les ports 110 et 25 ont été refusées.
Les paquets devaient aller de mon pc 192.168.111.3 vers 212.27.48.3 qui est le serveur POP3 de
Free et vers 212.27.48.4 qui est le serveur SMTP de Free.
Notre règle semble avoir fonctionnée, en tout cas, les requêtes via les ports normalement
bloquées ne sont pas passées.

7- Désactivation des polices et sauvegarde de la configuration afin de vérifier l’E/R de

mail
Nous allons maintenant désactiver les règles de restriction SMTP et POP3 afin de vérifier si
l’envoi/réception de mail fonctionne à nouveau.
Sur un simple clic droit, il est possible de désactiver les policies présentes.
Il faut maintenant sauvegarder la configuration dans le Watchguard.
Voila la nouvelle configuration « uploadée », il ne reste plus qu’à tester.

8- Test d’envoi/réception de mail une fois les règles désactivées
Essayons maintenant d’envoyer notre email maintenant que les policies sont désactivées.
Comme nous pouvons le constater, le message de test à bien été envoyé. Il fait maintenant
parti des « éléments envoyés » de Windows Mail.
De plus, ce dernier nous annonce comme connecté au serveur « pop.free.fr ».
Nos règles ont donc belle et bien fonctionné.
Il suffira alors de les réactiver par la suite, ainsi que d’envoyer la nouvelle configuration vers le
Watchguard pour qu’elles refassent effet.
Il est donc plutôt simple de décider de bloquer l’envoi et/ou la réception de mail, même si de
nombreuses fonctionnalités n’ont pût être détaillées.
Cela aurait pris énormément de place dans mon rapport de stage et peut être lassé un lecteur
non initié ou passionné !

PARTIE N°4. CONCLUSION
Ma formation, appuyée par les différents stages que j’ai été amené à réaliser, m’a permis
d’apprécier les différentes facettes du métier de technicien informatique. Même si dans les deux cas,
il s’agissait d’informatique de services, mes premiers stages en première année de Bac Pro MRIM
m’ont confronté à une clientèle de particuliers, avec des demandes et des budgets différents à ceux
rencontrés lors de mes deux derniers stages que j’évoque dans mon rapport. La clientèle rencontrée
par le biais de mes deux stages à Luxembourg Télécom disposait d’un budget conséquent qui m’a
permis de voir du matériel autre, performant, innovant et différent. Cette diversité de matériels, de
métiers (commercial, technicien, administrateur réseaux), de clientèles (française, frontalière et
luxembourgeoise) est une richesse pour ma formation personnelle.
Les avantages de ces stages sont qu’ils m’ont permis d’appliquer les théories apprises au lycée,
d’approfondir mes connaissances et même d’aborder des thèmes non abordées en cours. Je déplore
un manque de temps, le temps passe vite en stage même si les journées sont bien remplies. Certains
sujets n’ont pas pu être abordés mais je compte bien encore apprendre. L’aspect gestion n’a pas pu
être abordé avec mon tuteur par manque de temps.
Le travail au Luxembourg a ses contraintes par la longueur des trajets qui s’ajoute à la journée de
travail les embouteillages et le stress.
La nécessité de connaître l’anglais est doublement de rigueur car elle s’ajoute à celle due au travail
informatique. J’ai pu m’y confronter aussi bien à l’oral que pour des documentations techniques.
Mon parcours BEP Electronique puis BAC Pro MRIM accompagnés des différents stages m’ont
permis de goûter au monde du travail et d’envisager mon orientation professionnelle. Je souhaite
encore parfaire mes connaissances et aborder d’autres thèmes, dont l’informatique est riche, comme
la programmation ou la création de site web… .
NB : Toute utilisation de marques et/ou logos dans ce rapport reste la propriété de leurs fondateurs
respectifs.

PARTIE N°5. GLOSSAIRE

Active Directory : service d'annuaire propre aux environnements Windows. (=AD).
ActiveX : solution de création d'applications développée par Microsoft.
Chipset : jeu de composants électroniques intégré dans un circuit intégré préprogrammé permettant de gérer les flux de données.
DHCP : Dynamic Host Configuration Protocol permet d'assurer la configuration automatique des paramètres IP d’une station.
DMZ : Zone démilitarisée. Il s'agit d'une zone où une entreprise peut placer des serveurs qu'elle souhaite rendre accessibles à partir
d'Internet.
DNS : Domain Name System : service permettant d'établir une correspondance entre une adresse IP et un nom de domaine.
Exchange : logiciel collaboratif pour serveur de messagerie électronique créé par Microsoft.
FTP : File Transfer Protocol est un protocole de communication destiné à l'échange informatique de données.
ICT : Information and Communication Technology (= Technologie de l’information et de la communication).
IP : Ensemble de règles décrivant les adresses du réseau, qui permet un service d'adressage unique pour l'ensemble des terminaux
connectés à Internet.
IT: Information technology (=solutions informatiques).
LAN : Local Aera Network, réseau local connectant des ordinateurs au sein d'un même réseau.
Malware : logiciel développé dans le but de nuire à un système informatique.
PCI : Peripheral Component Interface, type de connecteur présent sur la carte mère.
Ping : commande permettant d'envoyer une requête 'Echo' d'une machine à une autre machine.
POP : Post Office Protocol, protocole qui permet de récupérer les courriers électroniques situés sur un serveur de messagerie
électronique. (Réception)
RAM : Random Access Memory, mémoire vive d'un ordinateur, utilisée pour l'exécution des applications.
SBS : Small Business Server, solution serveur tout-en-un.
SMTP : Simple Mail Transfer Protocol, protocole de communication utilisé pour transférer le courrier électronique vers les serveurs
de messagerie électronique. (Envoi)
Spyware : logiciel espion qui s'installe dans un ordinateur dans le but de collecter et transférer des informations.
SQL : Structured Query Language, langage informatique normalisé qui sert à demander des opérations sur des bases de données.
Switch : équipement qui permet l'interconnexion d'entités réseau appartenant à un même réseau physique.
TCP : Transmission Control Protocol, protocole de transport fiable.
UDP : User Datagram Protocol, protocole de transport de données sans connexion qui s'appuie sur le protocole IP.
VPN : Le Réseau privé virtuel (ou Virtual Private Network), extension des réseaux locaux qui chiffre les données qu'il véhicule.
WAN : Wide area network, réseau informatique couvrant une grande zone géographique. Le plus grand WAN est le réseau Internet.

PARTIE N°6. ANNEXES
6.1 Zoom sur le diagnostic du problème de temps d’accès à un logiciel
6.1.1 Aperçu de l’application CCleaner :
6.1.2 Aperçu de l’application MalwareBytes

6.1.3 Aperçu de l’application Spybot Search&Destroy
6.2 Zoom sur le déploiement d’un Anti-virus réseau
6.2.1 Aperçu du lien qui redirige vers le setup (ici via un mail)

6.2.2 Aperçu ActiveX sous internet Explorer
6.2.3 Aperçu du 1er module requis pour le setup

6.2.4 Aperçu du 2ème module requis pour le setup

6.2.7 Aperçu du téléchargement des fichiers setup et conf. depuis le serveur

6.2.8 Aperçu de l’icône de l’anti-virus dans la barre de notification
6.2.9 Aperçu de la console Client/Server de l’agent

Rapport Stage Luxtelecom

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Rapport Stage Luxtelecom

Enviado por

Direitos autorais:

Formatos disponíveis

BAC PRO MRIM

Du 09 novembre 2009 au 05 décembre 2009

Du 15 mars 2010 au 10 avril 2010

Nom du tuteur M. Stéphane SIMON

TABLE DES MATIERES

PARTIE N°1. INTRODUCTION ............................................................................................................3

PARTIE N°2. L’ENTREPRISE LUXEMBOURG TELECOM...........................................................4

PARTIE N°5. GLOSSAIRE...................................................................................................................37

PARTIE N°6. ANNEXES .......................................................................................................................38

DUBOC Pierre Terminale PRO MRIM 1/43

Tout d’abord, je tiens à exprimer ma reconnaissance auprès de Monsieur GRANDIDIER,

Enfin, je voudrai particulièrement remercier le lycée Louis-de-Cormontaigne, et notamment les

DUBOC Pierre Terminale PRO MRIM 2/43

PARTIE N°1. INTRODUCTION

Etant actuellement élève au lycée Louis-de-Cormontaigne à Metz, je me prépare à

DUBOC Pierre Terminale PRO MRIM 3/43

PARTIE N°2. L’ENTREPRISE LUXEMBOURG TELECOM

2.1 Situation Géographique

L’entreprise Luxembourg Telecom se situe au 89F Pafebruch,L-8308 à CAPELLEN. C'est-à-dire à

DUBOC Pierre Terminale PRO MRIM 4/43

2.2 Raison sociale et statut juridique

Axé autour des infrastructures Datacenter et Réseau de Luxconnect, le portfolio de Luxembourg

2.4 Chiffre d’affaire

- Econocom (Windhof, Luxembourg)

DUBOC Pierre Terminale PRO MRIM 5/43

DUBOC Pierre Terminale PRO MRIM 6/43

2.7 Les métiers du technicien au sein de Luxembourg Télécom

DUBOC Pierre Terminale PRO MRIM 7/43

2.8 Exemples de travaux effectués durant les stages

2.8.1 Diagnostiquer un problème de temps d’accès à un logiciel

DUBOC Pierre Terminale PRO MRIM 8/43

2.8.2 Déployer un anti-virus réseau sur plusieurs pc utilisateurs

DUBOC Pierre Terminale PRO MRIM 9/43

- Il m’a plusieurs fois été demandé de réinstaller le système d’exploitation de pc utilisateurs

- Sachant qu’entre ma première et ma deuxième période de stage, Watchguard, fabricant de pare-feu

- Parmi les tâches demandées, j’ai dû effectuer une préparation de serveurs.

DUBOC Pierre Terminale PRO MRIM 10/43

PARTIE N°3. ETUDE DE CAS

3.1 Définition et détails

Il est souvent représenté par un mur de briques, séparant l’intérieur de l’extérieur du

En utilisation, il pourrait être symbolisé par :

DUBOC Pierre Terminale PRO MRIM 11/43

Aperçu du pare-feu Windows 7

DUBOC Pierre Terminale PRO MRIM 12/43

Aperçu du pare-feu intégré à la LiveBox

DUBOC Pierre Terminale PRO MRIM 13/43

3.2 Mise en place et configuration d’un pare-feu Watchguard

C’est un simple boitier en aluminium

On peut remarquer qu’il est possible

DUBOC Pierre Terminale PRO MRIM 14/43

3.2.2 Mise en place du pare-feu dans un réseau

Voici un schéma représentant un exemple de mise en place chez un client :

DUBOC Pierre Terminale PRO MRIM 15/43

3.2.3 Configuration du Watchguard Firebox Edge X10e

Voici un aperçu de l’ancienne interface (interface web) :

DUBOC Pierre Terminale PRO MRIM 16/43

3.2.4 Mise en place de règles afin de restreindre l’accès à un site en

1- Connexion à l’Edge X10 e via le software Watchguard

DUBOC Pierre Terminale PRO MRIM 17/43

2- Gestion des règles (=policies)

3- Le site web est accessible

DUBOC Pierre Terminale PRO MRIM 18/43

4- Obtention de l’adresse réseau du site Megaupload

DUBOC Pierre Terminale PRO MRIM 19/43