Chez Conceptronix, j'ai monté un serveur Linux redistribuant la connexion Internet ADSL (il se connectait via le protocole PPPoE) à tous les ordinateurs clients. Il se connectait lorsque nécessaire. Il disposait d'un proxy cache Internet configuré grâce à la technique du "Transparent proxy". En conséquence, nul besoin de changer aucune configuration sur les postes client pour utiliser le proxy: tout ce qui passait sur le port 80 était redirigé vers le proxy et donc filtré. (si la reconfiguration est envisageable pour une 10aine de machine, elle ne l'est plus pour une 100aine... j'ai donc fait ca proprement)
Je me devais de faire quelque chose de sécuritaire. J'ai donc établi des règles de filtrage strictes, et ai laissé le minimum de services tournant sur le serveur. J'ai ensuite testé notre réseau en demandant à des sites Internet spécialisés de simuler des attaques. Aucun n'a réussi à pénétrer le réseau. (Hacker Whacker, Shields Up, Secure-Me)

J'ai ensuite réalisé en interne un autre serveur Linux destiné à offrir des services au réseau interne. Il faisait office de serveur d'impression, de serveur de fichiers Samba, de serveur de bases de données (PostgresSQL) et offrait le seul lecteur de disquettes 5'25 de la compagnie accessible à distance. Pour plus de simplicité et sécurité les disquettes 5'25 étaient montées automatiquement dès que nécessaire, et démontées après une certaine période d'inactivité. Nul besoin donc que l'utilisateur qui insérait sa disquette en passant n'ait besoin de se logger sur le serveur et de taper une ligne de commande.

J'ai finalement installé un serveur web. J'ai continué de le faire dans une optique de sécurité optimale. Le serveur Apache tournait sur le serveur Internet (pour être accessible de l'extérieur car les autres ordinateurs avaient des IP locales). Mais les fichiers de la page web se trouvaient sur l'autre serveur (le serveur interne) et étaient montés à distance via NFS, et de plus en lecture seule (géré par le serveur interne). Donc, même si quelqu'un essayait de se servir du serveur Apache pour pirater le serveur Internet, il parait avec un lourd handicap car il ne pouvait absolument pas modifier les pages web ou y insérer des scripts (style PHP ou CGI) que le serveur Apache pourrait exécuter afin de lui donner le contrôle de la machine. Les fichiers du serveur web (via NFS) étaient montés automatiquement lorsque nécessaire, ce qui faisait qu'en cas de panne électrique de l'und es 2 serveurs, tout se remettait en route automatiquement au redémarrage de la seule machine éteinte.

Avant de changer d'employeur, j'ai monté un serveur Internet respectant les mêmes critères de sécurité pour un client. Cette fois-ci, j'ai utilisé la technologie du "Linux Router Project". Il s'agit d'un micro-serveur Linux qui tient sur une disquette, avec tous les services nécessaires. La disquette étant protégée contre l'écriture, il est impossible de faire un piratage "durable". Il suffit de redémarrer le serveur et tout ce qu'a pu faire le pirate éventuel a disparu.

Mon rapport de stage (version Word)
Mon rapport de stage (version HTML)
(Traite entre autres de ce sujet...)