Projet AAA Télécoms Sans Frontières

Transcription

1 FRAPPIER Mathieu Licence RT ASRI / Mont de Marsan Projet AAA Télécoms Sans Frontières Portail captif autonome intégré dans un système embarqué Soekris net4801 Enseignant tuteur : Jean Jacques Bascou Maitre de stage : Benoît Chabrier

2 Sommaire Introduction... 3 Présentation de Télécoms Sans Frontières... 3 Sujet du stage... 5 La mission aux îles Salomon... 6 Briefing... 7 La mission... 9 Débriefing Le projet AAA Préambule Le cahier des charges Définition de AAA Gestion du projet : 10 mois, 2 spécialités, 3 parties Partie Hardware Plateforme OS & kernels Synthèse Partie Réseau A Authentication AA Authorization / filtrage Les serveurs mandataires Partie Software L application Les outils système AAA Accounting Conclusion La place du projet au sein de l activité de TSF La suite du projet Conclusion personnelle Le travail quotidien à TSF La mise en place d un serveur compta Mise en place d un VPN Thaïlande / France / Nicaragua Administration du réseau interne de TSF Mise à jour des serveurs Réorganisation DNS & DHCP Ajout de services Conclusion Remerciements FRAPPIER Mathieu Licence R&T ASRI Page 2 sur 46

3 Introduction Présentation de Télécoms Sans Frontières TSF est une ONG Humanitaire exerçant dans le domaine des télécommunications. La principale activité de TSF est basée sur l urgence. Lors d une catastrophe, TSF est sollicité pour mettre en place des infrastructures de télécommunications utiles aux autres organismes humanitaires. Dans un deuxième temps, TSF apporte de l aide à la population en fournissant 3 minutes de communication téléphonique par personne pour joindre leurs proches n importe où dans le monde. Le siège de TSF est basé à PAU en France Il y a deux autres bases dans le monde, au Nicaragua et en Thaïlande UNE PRESENTATION PLUS DETAILLEE EST DISPONIBLE EN ANNEXE. FRAPPIER Mathieu Licence R&T ASRI Page 3 sur 46

4 THE LEADING HUMANITARIAN NGO SPECIALIZING IN EMERGENCY TELECOMMUNICATIONS Why telecommunications is critical in emergencies: In emergencies telecommunication networks are often seriously damaged or destroyed. Some humanitarian crises also strike in areas with no existing communication facilities. Our rapid response telecommunications centers empower relief and rescue teams save lives by: Sending and receiving information on logistics and the needs of the population within hours of an emergency Achieve better coordination in the field with governments, other relief agencies, and home offices Our civilian calling program supplements this service by give affected civilians a free call anywhere in the world to: Receive personalized assistance and mental support Help reunite families Reinsure family abroad that they are alive and safe after the emergency How it all started The idea for Télécoms Sans Frontières was the result of a simple observation made after many years experience with general humanitarian charities, based on listening to those in need. During missions responding to the crisis in the Balkans and in Kurdistan during the 1 st Gulf War, TSF s founders realized that, in addition to medical and food aid, there was a critical need for reliable emergency telecommunications services. Conflicts and emergencies often led to massive civilian displacement and separated families. And affected populations are often left with no communications infrastructure in place to find assistance and loved ones. During early missions, TSF s founders were often approached by refugees with scraps of paper asking them, for example: When you go home, please call my family at this number, tell them I m alive, uncle has been killed but I m alive and I m at the refugee camp in Stenkovac. To address the need for communications services, TSF bought its first satellite phone and the organization was born. Since this time, on every TSF mission we have offered a 3-minute call to any affected family. TSF soon found that the international response teams that deploy to emergencies also had a critical need for reliable telecommunications services in the first days after an emergency. TSF therefore expanded its operations, improved its technology, and began to establish rapidly deployable emergency telecommunications centers to serve UN, government, and NGO humanitarian workers, and developed a reputation for being among the first to arrive after disasters. TSF today: Today TSF plays a key role in strengthening coordination and communication by deploying telecommunications centers within 48 hours of an emergency. These centers offer broadband Internet access, voice communications, fax lines and all the IT equipment needed for a field office. To do its work TSF uses highly portable and light satellite terminals deployable within minutes with a worldwide coverage and teams in our three regional bases are o call 24 hours a day, 7 days a week. Since 1998, TSF has assisted in 55 emergencies on all of the 5 continents. In 2005 alone, TSF deployed in 10 countries to the benefit of over 50,000 people and more than 250 NGO and UN agencies. TSF has 3 deployment bases, in France, Nicaragua and Thailand. ABOUT TSF Created in 1998 and now the leading NGO specializing in emergency telecommunications 3 operational bases for a worldwide coverage and response anywhere within 48 hours Missions in 40+ countries, serving millions of victims, 350+ UN Agencies and NGOs Supported by some of the biggest telecommunications companies and foundations Designated First Emergency Telecoms Responder ; OCHA and UNICEF partner within the UN Emergency Telecoms Cluster (ETC) Partner of the European Commission s Humanitarian Aid Office (ECHO) Member of the UN Working Group on emergency Telecommunications (WGET)

5 Sujet du stage Le projet AAA Le projet AAA est un projet ambitieux qui permettra à TSF de mieux gérer les centres télécoms sur le terrain. Il consiste à intégrer dans un système embarqué toutes les dernières technologies réseau pour les mettre au service de l humanitaire. Ce projet est la base du stage, il fait appel à toutes les connaissances acquises notamment durant la licence pro ASRI. La suite du projet tutoré Ce stage est un peu particulier car j ai déjà travaillé avec TSF en alternance durant ma période de projet tutoré. Le Projet AAA a été défini et commencé durant cette période d alternance. Environ un tiers du projet était terminé au début du stage. Ce dernier a duré 6 mois, de mars à aout Le travail quotidien dans une ONG Un des buts de ce stage était de participer à la vie de l ONG et de travailler en harmonie avec tous ces membres, qu ils soient salariés ou bénévoles. TSF comporte un petit réseau intranet qui sert aux employés et à la direction mais aussi aux tests des systèmes utilisés en mission. Il y a donc une administration rigoureuse et régulière à effectuer sur ce réseau. Les missions d urgences humanitaire Enfin pendant la durée du stage, il faut être disponible 24 /24h et 7 /7j en cas de catastrophe humanitaire. En effet, une des grandes forces de TSF est de pouvoir se rendre moins de 24 heures après un désastre sur les lieux sinistrés afin de mettre en place les réseaux de télécommunications indispensables à la logistique de toute l aide humanitaire. Il faut donc être en permanence prêt à partir.

6 La mission aux îles Salomon Géographie Les îles Salomon sont situées au Nord Est de l Australie Il faut 4 heures en avion pour y aller en partant de Brisbane en Australie De France, il faut environ 24h et pas moins de 4 avions différents pour s y rendre On peut compter 16 îles Les deux plus connues sont l île principale de Guadalcanal qui a été le lieu de combats durant la guerre du pacifique. L autre île, (Gizho) est très renommée pour le tourisme. C est celle-ci qui a été principalement dévastée par le tsunami. FRAPPIER Mathieu Licence R&T ASRI Page 6 sur 46

7 Briefing Le contexte Arrivée sur l île Une habitation dévastée par le tsunami FRAPPIER Mathieu Licence R&T ASRI Page 7 sur 46

8 Le rôle de TSF / la collaboration avec UNDAC I l existe un peu partout dans le monde des bases UNDAC (United Nation Disaster for Assessments and Coordination). Leur rôle est vital car ce sont des personnes très entrainées qui arrivent et prennent la situation en main, elles coordonnent toutes les aides humanitaires (ONG, Autorités Locales, Agences officielles) et unifient les compétences de chacun afin d apporter une aide précise et efficace à la population. TSF, en plus d être une ONG autonome est le «first responder» en télécommunications pour les Nation Unies. Cela signifie que dès qu une mission UNDAC a lieu, si des besoins en télécommunications se font ressentir, TSF est appelée en support UNDAC. Le rôle de TSF est alors d assurer une connectivité Internet/réseau et un support IT aux équipes UNDAC. TSF peut également être amené à installer un centre télécoms à l attention des autres acteurs humanitaires. Après évaluation des besoins, TSF fait éventuellement de la téléphonie humanitaire en offrant à la population sinistrée la possibilité de joindre leurs proches. Sarah Stuart Black, membre UNDAC utilisant une ligne téléphonique par satellite TSF FRAPPIER Mathieu Licence R&T ASRI Page 8 sur 46

9 La mission Ma mission était d apporter un soutien à l équipe TSF Asie déjà présente sur place. Je devais aussi leur apporter du matériel satellite d ancienne génération car cette zone du Pacifique n est pas encore couverte par les derniers modèles. A mon arrivée, ils sont partis sur l île la plus touchée (Gizho) pour assister l équipe UNDAC déjà sur place et faire des évaluations pour d éventuels besoins en téléphonie humanitaire. Je les ai ensuite remplacé en apportant mon soutien à UNDAC dans la capitale (Honiara) mais aussi en me rendant disponible pour toutes les autres ONG présentes. Situation en télécoms La situation en télécoms sur les îles Salomon était relativement bonne. En effet, l opérateur local Solomon Telekom venait de déployer l ADSL sur l île principale six mois auparavant sur l ile principale, la capitale n ayant été touchée ni par le séisme, ni par le tsunami, les locaux du gouvernement dans lesquels nous étions étaient totalement fonctionnels. J ai donc installé un routeur NAT de type domestique et mis en place un point d accès Wi-Fi afin que le maximum de personnes au sein du bâtiment puisse profiter de la connexion. Il a fallu faire le tour de tous les ordinateurs connectés afin de désactiver les logiciels de Peer to Peer. Enfin, il ne faut pas négliger les virus cachés dans les clés USB et les documents Word & Excel. Une leçon de cette mission aura donc été de toujours avoir un antivirus rapide et efficace a portée de main. Sur l île de Ghizo, l île la plus touchée, la situation en télécoms était plus inquiétante au début de la mission, mais une intervention rapide de l opérateur local, notamment grâce à une collaboration avec TSF a permis de rétablir la situation très rapidement. FRAPPIER Mathieu Licence R&T ASRI Page 9 sur 46

10 Téléphonie Dans les parties les plus touristiques, le GSM a été rétabli très vite et le peu de personnes qui en sont dotées pouvaient s en servir sans encombre. Néanmoins, dans les endroits reculés, deux opérations de téléphonie humanitaire ont eu lieu. Mini M TT-3060 B, le téléphone par satellite référence d Inmarsat Une opération de téléphonie auprès des sinistrés FRAPPIER Mathieu Licence R&T ASRI Page 10 sur 46

11 L assistance à UNDAC J ai donc aidé l équipe UNDAC en réseau et informatique générale. Il a fallu mettre en place une ligne Satellite pour rester en contact avec OCHA Bangkok (Nation Unies) et Genève. Durée de la mission La mission a duré deux semaines. Elle fût de courte durée car les deux équipes UNDAC ont su gérer la situation très professionnellement comme à leur habitude ce qui aura permis de rendre compte de la situation et d assurer le soutien logistique le plus rapidement possible. Le soutien de TSF à l équipe UNDAC aura été une très bonne chose car les fichiers échangés entre les deux bases UNDAC étaient d une importance capitale. C est notamment grâce au travail de TSF que les autorités locales ont pu boucler un bilan provisoire de la situation en croisant les données venant de plus de 15 îles. UNE LETTRE DE REMERCIEMENT D UNDP EST DISPONIBLE EN ANNEXE FRAPPIER Mathieu Licence R&T ASRI Page 11 sur 46

12 Débriefing Grâce à TSF et au partenariat avec l IUT de Mont de Marsan, j ai eu la chance de mettre mes compétences en réseau au profit d une action humanitaire. Dans des situations de crise ou de nombreuses organisations apportent leur aide, il est important de coordonner toute cette force de travail. Les nouvelles télécommunications sont omniprésentes et tous les membres d organisations présentes, (qu elles soient gouvernementales ou non gouvernementales) possèdent des ordinateurs portables. La connectivité réseau est donc un point crucial pour le bon fonctionnement et l efficacité des ces organisations. TSF, en plus de veiller au bon fonctionnement du réseau local à aussi su aider les personnes en leur apportant un soutien informatique afin qu ils ne perdent pas de temps dans leur travail. Conclusion personnelle Cette mission aura été pour moi un enseignement de vie. J aurais appris beaucoup, d un point de vue professionnel mais aussi personnel. Mettre en avant ses compétences et dépenser son énergie au service d une cause humanitaire est une expérience très forte et enrichissante. J aurais aussi découvert une partie du monde qui m était jusqu alors totalement inconnue. Se retrouver à l autre bout de la terre et voir des gens vous demander de l aide en informatique/réseau m a fait prendre conscience de ma vocation dans le domaine IT et je tiens à remercier encore TSF & l IUT de Mont de Marsan pour m avoir permis de vivre cette expérience unique. FRAPPIER Mathieu Licence R&T ASRI Page 12 sur 46

13 Le projet AAA Préambule Le contexte Schéma reflétant l ancien système d un centre télécoms TSF en mission. Utilisateurs BGAN / RBGAN Routeur + AP WiFi Utilisateurs Utilisateurs Ce système est très simple, les communications sont cryptées avec un algorithme WEP 64 bit, très simple à mettre en œuvre et compatible avec tous les systèmes, même les plus vieux. Le problème est que la clé doit être partagée et rapidement, tout le monde la connait. Des utilisateurs non prioritaires pourront donc utiliser la bande passante, elle critique, réservée aux organisations de secours. Autre point important, on ne contrôle pas ce qui passe sur le réseau, c est pourquoi l administrateur TSF configure chaque PC, un à un en prenant soin de désactiver les logiciels de Peer to Peer, les mises à jour automatiques et même les images des navigateurs Internet. Ce travail est long et par conséquent, très lourd dans un contexte d urgence. FRAPPIER Mathieu Licence R&T ASRI Page 13 sur 46

14 Le cahier des charges Les besoins Le besoin de ce projet est parti d un constat simple fait par TSF. La fréquentation des centres télécoms de TSF ne cesse de croitre. Des solutions telles qu un simple routeur Wi-Fi domestique couplé a un modem Satellite le tout sécurisé par une simple clé WEP ne suffisent plus. En effet, il devient impossible de surveiller qu il n y ait pas d abus (journalistes et autres utilisateurs n ayant pas rapport avec la crise ) et quasiment impossible de contrôler le contenu des données échangées qui peuvent nuire sérieusement à la bande passante disponible (- de 500 kbit/s). Le but est donc ici de créer un système embarqué rassemblant : -un portail captif. -un serveur d accès. -un proxy cache. -un système de filtrage de contenu adaptable à chaque utilisateur. -un système de gestion des utilisateurs avancé. Les contraintes Du fait de l urgence et de l importance grandissante des télécommunications dans l humanitaire, le projet répond à des contraintes très strictes : -Le système embarqué doit tenir dans une petite boite, ni trop volumineuse, ni trop lourde. -Le système doit être simple à utiliser et déployable sur le terrain par une personne non expérimentée en réseaux. -Le système doit être fiable, au niveau logiciel, matériel et système. La sécurité L intégrité comme la confidentialité sont des choses très importantes à ne surtout pas négliger. Le système embarqué a donc été conçu dans ce sens, notamment lors de la définition de politique du firewall et des serveurs mandataires. Cependant sur le terrain, lors d une crise humanitaire, la disponibilité devient le facteur crucial. Il a donc fallu créer un système sécurisé, fiable et rapide à mettre en place. La solution retenue Un système de type AAA semble ici parfaitement correspondre à nos besoins. FRAPPIER Mathieu Licence R&T ASRI Page 14 sur 46

15 Définition de AAA AAA signifie en français Authentification, autorisation et comptabilité. (Qu il vaut mieux, dans notre cas, traduire par statistique.) Selon Wikipedia: Authentication refers to the confirmation that a user who is requesting services is a valid user of the network services requested L authentification est le mécanisme qui garantit que seuls les utilisateurs ayant le droit d accéder au système y accèderont Authorization refers to the granting of specific types of service (including "no service") to a user, based on their authentication L autorisation est le mécanisme qui garantit que l utilisateur accède seulement aux services dont il a le droit. Accounting refers to the tracking of the consumption of network resources by users. La traçabilité, ou comptabilité permet de savoir exactement ce qu un utilisateur a dépensé afin d établir des statistiques ou de facturer par exemple. Systèmes et protocoles utilisés dans AAA Les systèmes AAA sont principalement construits autour d un serveur «RADIUS», celui-ci est en charge de décider si oui ou non un utilisateur peut accéder au service. Pour cela, il s appuie généralement sur une base de données qui contient les informations vitales sur les utilisateurs. Enfin, un système de type portail captif est en charge d exécuter les règles que le RADIUS lui envoi. Pour cela, il bloque ou autorise l accès au niveau 3 (IP). Où trouve t on des systèmes AAA? Depuis l explosion du Wi-Fi, on en trouve un peu partout, dans les Aéroports, les gares, les universités, les hôtels et même depuis quelques temps dans les grandes villes du monde : San Francisco, Paris, Tokyo FRAPPIER Mathieu Licence R&T ASRI Page 15 sur 46

16 Gestion du projet : 10 mois, 2 spécialités, 3 parties. Le développement de ce projet comporte trois domaines de compétences assez distincts (évoqués ci après). Nous étions deux à travailler sur ce projet. Tout deux spécialisés dans des domaines très différents (plateforme/système pour l un, développement pour l autre) mais ayant un point commun : le réseau, nous avons décidé de répartir les tâches comme suit : Sur les trois parties ci-dessous, deux d entre elles étaient à ma charge : La mise en place de la plate forme et de l OS, puis la partie réseau pure, c'est-à-dire le routage, les proxie, le filtrage, mais pas le dialogue entre les différents services de la parie software. 1. La plateforme & le système Cette partie contient le support matériel du projet ; Les thèmes suivants seront abordés : o Le système embarqué Soekris net4801. o Les choix quant à l OS choisi et les raisons qui les justifient seront développées. o L organisation de l arborescence du système o Certaines modifications matérielles apportées au Soekris 2. La partie réseau & sécurité Un système AAA comporte une énorme partie réseau. Du portail captif (premier «A», Authentification) au mécanismes de filtrage (deuxième «A», Autorisations), sans oublier le routage et les proxies caches Dans cette partie seront donc développés : o A Authentification, le portail captif Le choix des logiciels utilisés o La topologie mis en place o A Autorisation, les mécanismes de filtrage Les proxies transparents Les droits dynamiques des utilisateurs 3. Le développement de l interface. Cette partie, développée par Sébastien Sivadier comporte l interface permettant d interagir directement avec la partie réseau. Dans ce rapport vous seront présentés : o Le portail captif entièrement recodé o L interface d administration des utilisateurs o Les mécanismes interagissant entre la partie software et la partie réseau. FRAPPIER Mathieu Licence R&T ASRI Page 16 sur 46

17 Répartition dans le temps : Lors des 4 mois de projet tutoré, nous avons développé la base du projet. Ce fût la version 1a, non exploitable sur le terrain. Nous y avons ensuite ajouté la partie filtrage pendant la première moitié du stage, ce qui donna naissance à la version 1b, prête à être déployée en mission. Nous avons développé la dernière partie : rapports et statistiques, en dernier. Cette partie déboucha sur la version finale du projet, prête fin juillet, beta testée pendant un mois, actuellement opérationnelle et prête à être envoyée sur le terrain. AAA Project Calendar Sept. Octobre Nov. Déc. Janvier Février Mars Avril Mai Juin Juillet Août Mission Sébastien au Mozambique Version 1a - Authentification seule Mission Mathieu aux îles Salomon Version 1b - Authentification & Filtrages services Vacances Version 2 - Authentification + Filtrage complet Version 3 - Authentification + Filtrage complet + stats Formation & Envoi aux bases internationnales Tests finaux & debuggage FRAPPIER Mathieu Licence R&T ASRI Page 17 sur 46

18 Partie Hardware Plateforme Soekris net4801, une architecture en x86 Processeur : AMD Geode 266 MHz RAM : 128 SDRam PC 133 Réseau : 3 interfaces 100 Mbits /s I/O : 1 USB, 1 Série, 1 Parallèle Stockage : 1 contrôleur IDE 1 lecteur de CF 1 port console Alimentation: 12 Volt continu externe Extensions possibles : 1 mini PCI 1 PCI Ce mini PC consomme moins de dix watts. Il est basé sur un processeur i386 avec instructions MMX Il coute environ 250 Le lecteur CF se comporte comme un contrôleur IDE. On distingue bien sur la photo : - les 3 contrôleurs LAN - le CPU - La RAM - L emplacement CF - Le port PCI - Le port mini PCI - Le port IDE RETROUVEZ EN ANNEXE LA DOCUMENTATION DU SOEKRIS NET4801 FRAPPIER Mathieu Licence R&T ASRI Page 18 sur 46

19 Mémoire Flash La carte mémoire utilisé par le Soekris est une Compact Flash type 1. COMPARATIF DE COMPACT FLASH EN ANNEXE Afin de ne pas brider le système, la rapidité des cartes Compact Flash utilisée doit être maximum. La synthèse des nombreux tests et benchmarks sur les grands sites de hardware ainsi que des prix pratiqués dans les meilleures boutiques en ligne nous à amené aux cartes Sandisk extreme III qui présentent des temps d accès records ainsi que des performances largement au dessus de la moyenne des cartes en lecture / écriture aléatoire. Séparation Système / Données On parle beaucoup de l usure des mémoires flash lorsqu elles sont utilisées en écriture. Bien que la qualité des cartes mémoire ne cesse d évoluer, la solution ultime pour palier à ce problème est d avoir un système en lecture seule. Le projet dans sa version finale intègre cette évolution. Le système est en lecture seule et est séparé des données. Ainsi, une carte mémoire, impérissable dans le temps contient le système et, lors de l insertion d une nouvelle carte, est capable de recréer l arborescence nécessaire au données (/var). Modifications matérielles Il a fallu modifier physiquement le Soekris pour lui ajouter une deuxième carte mémoire. Le protocole IDE étant compatible broche à broche avec les Compact Flash en mode True IDE, il aura fallu un adaptateur a 3 sur ebay, un fer à souder et un peu de patience pour relier les 44 broches du port IDE à la carte mémoire et ainsi offrir au Soekris net4801 une deuxième mémoire FLASH. Le Soekris avant et après la modification matérielle FRAPPIER Mathieu Licence R&T ASRI Page 19 sur 46

20 OS & kernels La distribution Debian à été choisie pour ce projet pour plusieurs raisons : Il existe un très large support sur Internet car elle est très populaire. Il existe un nombre de packages disponible impressionnant. On peut créer ces propres paquets très facilement. Debian est facile à alléger. Kernel allégé Après de nombreux tests, j ai compilé un kernel 2.6 pour répondre spécifiquement aux besoins de notre système. Les options correspondant aux instructions spécifiques du processeur ainsi que les fonctions d état d énergie (power state) particulière sur les CPU AMD Geode apportent un petit plus par rapport a un kernel i386 générique. Le 2.6, bien que moins rapide qu un 2.4 au démarrage m a séduit notamment pour sa possibilité d intégrer les paramètres amètres de QoS ainsi que la dernière pile mac80211 très performante. Ce kernel pèse 1,7 Mo avec la prise en charge des modules. On retrouve à peu près 2 Mo de modules Il contient certains modules qui lui assurent une compatibilité dans une Machine Virtuelle VMWare. FRAPPIER Mathieu Licence R&T ASRI Page 20 sur 46

21 Machine virtuelles Les différentes manières d installer un OS sur un Soekris Le Soekris ne possède pas d interface graphique. Il dispose bien d un port PCI mais le BIOS n est pas compatible avec le standard VGA. Il est donc impossible d installer un système de manière «conventionnelle». Tout doit se faire via le port Console. Debian est prévu pour pouvoir fonctionner en mode console, cela ne pose donc pas de problèmes. Néanmoins, la première installation reste problématique, voici les solutions existantes. Installer Debian sur un mini disque dur ou une carte CF à l aide d un PC Installer Debian sur une CF à partir d une Debian existante : «Debootstrap» Installer Debian directement sur le Soekris par un boot PXE. Nous avons choisi la première méthode, qui consiste à installer Debian directement sur une carte CF à l aide d un lecteur de carte et d une autre machine. Cependant, nous avons apporté une petite modification, puisque cette machine est virtuelle Pourquoi? Déployer et Configurer des services réseaux avancés sur une machine aussi triviale que le Soekris net4801 n est jamais une tâche aisée. Simuler une machine virtuelle aux caractéristiques très proches du Soekris nous à beaucoup apporté : Pendant la phase d installation des systèmes d exploitation, nous n avons eu besoin d aucun média. Les installations en machines virtuelles sont beaucoup plus rapides. Possibilité de faire des snapshots, aucune limite dans les tests car un retour en arrière est possible à tout moment. Une fois l OS en place, nous avons pu travailler chacun sur notre Machine virtuelle sans se gêner. Il est facile de simuler un Soekris + un client quelconque relié via un LAN virtuel. En pratique, le gain de temps et de matériel nécessaire est impressionnant. L implantation finale sur le Soekris est aisé et nous disposons toujours d une sauvegarde sous forme d image VM. En conclusion, la virtualisation est, et deviendra surement un incroyable outil non indispensable mais permettant un gain de temps et une praticité extraordinaire. FRAPPIER Mathieu Licence R&T ASRI Page 21 sur 46

22 Synthèse Tests en charge Nous avons mené, à 3 reprises, des tests au siège de TSF. LE personnel s est porté volontaire pour faire partie des beta-testeurs, nous avons ainsi branché le Soekris juste après le Firewall de TSF. Ainsi tout le réseau local était sous contrôle de notre projet. Ces phases de tests ont duré approximativement une semaine et à chaque fois, plus d une vingtaine de bugs ont été révélés / résolus. Nous avons aussi plusieurs fois pratiqués des tests directement avec le matériel satellite Lors de ma mission aux îles Salmon, j ai emmené le Soekris pour le premier test en conditions réelles. Malgré le peu de fonctions implanté à cette époque, je n ai pas constaté de problèmes particuliers. Conclusion Bien que, selon moi, un peu vieillissant, le Soekris net4801 est relativement performant. Les architectures en x86 ne sont pas forcement les meilleurs dans le domaine du réseau mais elles présentent un avantage indéniable : la portabilité sur d autres machines de tests et même des machines virtuelles qui nous ont permis de gagner beaucoup de temps sur le développement. J aurais aimé deux fois plus de RAM, voir même en DDR car la SDRAM comme a dater. La modification matérielle pour avoir deux cartes Compact Flash s est bien déroulée et je n ai constaté aucun problème particulier qui justifierai un mauvais choix de plateforme de départ. FRAPPIER Mathieu Licence R&T ASRI Page 22 sur 46

23 Partie Réseau Topologie du réseau Voici un schéma de la topologie physique du réseau géré par le Soekris Il faut préciser que nous utilisons des routeurs wifi en tant que simple point d accès, ils sont donc tous configurés en pont réseaux et DHCP forwarder. Le concept est simple, d un coté, on a le modem Satellite et de l autre coté, le réseau avec tous les clients, on peu cascader des point d accès afin qu ils agissent tous en tant que simple ponts réseau. <<< --- BGAN, modem satellite 492kbps Le spool d IP disponible pour les clients est assez grand puisque nous avons choisi un masque de 20 bits = 12 bits donc 2 12 possibilités les 2 extrêmes, le routeur en lui-même et le point d accès Wifi = 4092 possibilités. Il y a une raison pour un spool aussi grand. Le DHCP garde en mémoire trace des IP qu il a distribués et un ordinateur garde toujours la même IP, ce qui facilitera grandement les études statistiques. (Partie Accounting) WRT54G, point d accès Wi-Fi FRAPPIER Mathieu Licence R&T ASRI Page 23 sur 46

24 Branchements Voici une photo de branchement type avec BGAN ou RBGAN Dans cette situation, la connexion Internet est fournie par le RBGAN, transmise au Soekris et le routeur à droite est configuré en point d accès Wi-Fi Vue de dos pour les branchements. A Noter que le routeur de gauche, équipé de DD-WRT, est configuré en simple switch donc le port excentré est bien sur le même LAN que les autres ports. FRAPPIER Mathieu Licence R&T ASRI Page 24 sur 46

25 Schéma interne du système ale l oc le.0.1 uc Bo Ci-dessus : les différentes services du système AAA et leurs interfaces d écoute. La QoS Un mécanisme de QoS contrôle la bande passante au sein du système. C est un mécanisme de type HTB (Hierarchical Token bucket) Ce mécanisme ne fait pas partie des dernières technologies de pointe de la QoS mais il présente des avantages indéniables qui correspondent aux contraintes des systèmes embarqués : Il consomme peu de CPU Il sépare le gros trafic (téléchargements) du petit trafic (requêtes de connexion) o Les deux bandes passantes sont définies en pourcentage de la BP globale o Les requêtes sont prioritaires et les gros paquets sont bridés Cet algorithme à montré ses preuves du fait de son ancienneté. A noter qu il existe une file d attente spéciale non prioritaire pour les services qui sont capable de tunneliser sur du http (tel que Microsoft groove, Skype...). En autorisant le port par défaut à ses applications mais à un débit extrêmement faible, elles ne tentent pas les connexions encapsulées dans le HTTPs. FRAPPIER Mathieu Licence R&T ASRI Page 25 sur 46

26 A Authentication Le Portail captif L élément principal de la partie authentication est le portail captif. Le portail captif, qui est aussi passerelle par défaut pour les clients est une sorte de pare feu qui va autoriser ou interdire l accès internet aux clients. Pour ce faire, il va capturer toutes les requêtes WEB que les clients lui envoient. Il va ensuite entamer un dialogue avec ces hôtes en leur renvoyant un formulaire de connexion. Une fois le formulaire rempli, l utilisateur se connecte et on lui autorise l accès à l Internet Les besoins spécifiques de TSF Le Projet AAA TSF est basé sur un portail captif mais il a fallu l adapter aux besoins de TSF. En effet, il existe plusieurs systèmes mais ceux-ci ont été écrits pour être mis en place dans les gares, les hôtels ou les aéroports et les besoins de TSF ne sont pas les mêmes. Comparatif des systèmes existants Voici une capture du meilleur comparatif que nous ayons trouvé sur l Internet : C est Chillispot qui à été choisi pour servir de base à ce projet. Les raisons qui motivent ce choix sont : Une séparation en 3 modules bien distincts : o L interface de connexion WEB entièrement écrite en Perl/CGI, ce qui la rend facilement modifiable o L application en elle-même, open source, écrite en C, ce qui la rend modifiable, bien que les modifications à ce niveau ne soient pas recommandées (perte de compatibilité avec les futures versions) o Le mécanisme d interdiction/autorisation basé sur un tunnel tun et arbitré par un script iptables est la solution idéale pour mettre en place notre propre filtrage. La compatibilité avec FreeRADIUS Le nombre de données de statistiques, notamment les temps de connexion peuvent d avérer très utiles pour les rapports de missions. FRAPPIER Mathieu Licence R&T ASRI Page 26 sur 46

27 Le serveur RADIUS Le serveur d authentification est un autre élément vital d un système AAA. Un serveur RADIUS est connecté à une base de données rassemblant toutes les règles à respecter. Lorsqu un portail captif par exemple va lui demander si quelqu un a droit à un service, alors celui-ci va répondre par oui ou non. n. Le portal captif va alors appliquer la directive envoyée par le RADIUS. Il existe plusieurs serveurs RADIUS, celui que nous avons décidé d utiliser est FreeRADIUS. FreeRADIUS est très connu, logiciel référence du monde libre en la matière. FreeRADIUS est disponible sous toutes les plateformes Unix/linux et propose un grand nombre de modules pour communiquer avec quasiment tous les types de base de données existants, mais aussi avec beaucoup de logiciels, notamment Chillispot, notre portail captif. NB : une partie de Chillispot étant été complètement réécrite pour ce projet, un module supplémentaire de FreeRADIUS est utilisé, il s agit du module «attribute rewrite» qui permet de remettre en forme à la volée le contenu d une requête est Chillispot et FreeRADIUS afin, notamment de passer des paramètres supplémentaires dans des champs qui n était à l origine pas prévu a cet effet. LE SCHEMA DE CETTE TE MODIFICATION EST DISPONIBLE EN ANNEXE Le gestionnaire de Base de Données Le Gestionnaire de base de données utilisé dans notre système est MySQL MySQL est un gestionnaire de base de données assez léger, rapide et simple. Son utilisation avec Perl ou PHP dans le domaine du WEB est plus que reconnue. Il fait bien sûr entièrement partie du monde libre Le serveur WEB local Nous avons utilisé apache dans sa version 2 Apache n est pas le serveur WEB le plus léger, cependant, l interface de Chillispot étant entièrement programmée en CGI Perl, c'est-à-dire que le HTML est généré a la volée par les modules CGI. Bien que ces modules existent pour d autres serveurs WEB, nous avons constaté des problèmes d exécution de certaines parties du code. C est donc Apache 2 et son module CGI Perl qui nous a le plus séduit. FRAPPIER Mathieu Licence R&T ASRI Page 27 sur 46

28 AA Authorization / filtrage Le filtrage de services (routage) Iptables Le script iptables est relié à la partie software du projet. Lorsqu un utilisateur se voit attribuer un droit via l interface WEB, il est automatiquement ajouté à un fichier tiers et le script iptables est appelé pour appliquer les nouveaux droits. VOUS POUVEZ TROUVER LE FICHIER DE SCRIPTS IPTABLES EN ANNEXE. CE SCRIPT EST TRES COMMENTE. Aperçu de l interface WEB permettant de définir le filtrage de services ou de contenu en temps réel. FRAPPIER Mathieu Licence R&T ASRI Page 28 sur 46

29 Firewall et proxies caches Schéma du firewall par ports par utilisateur dans le cas du droit mail / ftp / web Interface Nom Adresse IP Tunnel Chillispot Boucle locale spéciale Interface externe eth2 > tun0 dummy0 eth0 / eth / /32 IP publique Numéro Numéro Numéro de Service associé Service associé de port de port port FTP data 21 FTP 22 SSH 25 SMTP 53 DNS 53 Serveur / Cache DNS 80 Web 110 POP3 80 Serveur Web local 143 IMAP Clients 443 HTTPs 993 POP3s 995 IMAPs Proxy FTP 3127 Proxy FTP 3128 Proxy WEB 3128 Proxy WEB 3129 Proxy SMTP 3129 Proxy SMTP 3130 Proxy POP/IMAP 3130 Proxy POP/IMAP 3389 RDP 3990 Requetes HTTP chillispot 5900 VNC Plage de ports Proxy FTP A gauche un utilisateur, au milieu, le système AAA et à droite Internet. Légende Interdit Redirection transparente Autorisé Req. effectuées par le proxy On voit bien que les clients sont isolés et que seul le proxy accède à l extérieur. Cela permet une totale maitrise du contenu (rappel : les contenus lourds sont filtrés pour ne pas tuer la bande passante) VOUS POUVEZ RETROUVER EN ANNEXES LES SCHEMAS DE TOUS LES CAS DE FIGURE. FRAPPIER Mathieu Licence R&T ASRI Page 29 sur 46

30 Les serveurs mandataires Transparence Tous les mandataires (proxies) utilisés ici sont complètement transparents. Aucune configuration n est nécessaire du coté client. Squid Le proxy cache WEB utilisé dans le système AAA TSF est bien entendu squid. Squid est à la fois le proxy WEB le plus complet, le plus rapide et le plus utilisé. Il contient un système interne d Access Lists qui permettent un filtrage très minutieux. A l instar d iptables, il est directement connecté à l interface WEB (programmée par Sébastien). Ainsi, par défaut, les images et les contenus multimédia (flash, shockwave, vidéos, audio ) sont filtrés. Dans la version finale, il existe plus de 6 filtres avec des méthodes différentes qui permettent de contrôler avec précision le contenu des sites visités. relay relay est un simple proxy smtp. Il rajoute une couche aux s envoyés avec l adresse SMTP du FAI de TSF afin de s assurer qu il n y aura pas de problèmes d envoi. (Pour lutter contre le SPAM, les serveurs SMTP des FAI ne sont joignables que par une IP leur appartenant) Perdition En mission d urgence, des rapports de situations sont écrits tous les jours par les organisations de coordinations. Ces sitrep représentent plus de 50% des mails échangés. De plus, la plupart des organisations communiquent via une seule et même boite mail en s envoyant des mails à eux même. Système très efficace pour la transmission de l information. Perdition est un proxy cache IMAP /POP3. Un gros cache dans de telles situations peut donc économiser énormément de bande passante, mais aussi permettre un affichage instantané du contenu déjà mis en cache. Jftpgw Jftpgw est un proxy FTP qui est utilisé ici pour deux de ces fonctions : -Il établit la connexion vers un site distant de manière passive ou active. Il établit ensuite une connexion locale avec le client toujours d une manière active ou passive. Ceci résout tous les paramètres d FTP passif derrière un NAT. - Il est configurable en bande passante par utilisateur. FRAPPIER Mathieu Licence R&T ASRI Page 30 sur 46

31 Le filtrage de contenu Lors d une crise humanitaire, les différentes organisations, qu elles soient gouvernementales (ONU, UNICEF, OXFAM, OMS ) ou non gouvernementales ont besoin de moyens de communication pour coordonner leur logistique, mais aussi pour se coordonner entre elles. TSF fournit ces moyens de communication. Le problème est, que sur un site web, en plus du texte vital que l on est venu consulter, il y a aussi des grandes images, des bannières de publicité, de plus en plus nombreuses et parfois même sous forme de vidéos avec du son. TSF a donc pour habitude de configurer les PC clients un à un en prenant soin de désactiver les images des navigateurs, mais aussi les logiciels de p2p, les mises à jour, etc Cette manipulation est longue est fastidieuse et contournable par les utilisateurs eux-mêmes. Les serveurs mandataires mis en place dans le cade du projet AAA permettent un contrôle incontournable du contenu. C est ainsi qu il existe plus de 6 filtres réglables (2 par type de filtrage) accessibles via l interface d administration agissant directement sur les serveurs proxy. Il est donc posible de filtrer toutes les extensions désirées simplement en les rajoutant dans l interface d administration. Il existe une liste non exhaustive d extensions pour les contenus multimédia ; un filtre permet aussi de bloquer un contenu en indiquant son type MIME. Sur l exemple de gauche, on bloque toutes les vidéos, mais aussi les contenus dynamiques et audio. Le troisième type de filtre que l on peut trouver est un filtrage par URL En plus de la possibilité de bloquer des sites proprement dits, on peut ainsi boquer des applications utilisant le protocole http, par exemple, Windows Update, ou Google Earth, mais aussi MSN Messenger, etc Exceptions : Bloquer le contenu multimédia peut économiser énormément de bande passante. Cependant certains sites proposent un contenu utile, par exemple les sites d imagerie satellite des zones sinistrées ne doivent en aucun cas être bloqués. C est pourquoi, on peut mettre en place des exceptions Sur les cotés, les exceptions permettant au contenu de certains sites d être visible par tout les utilisateurs. FRAPPIER Mathieu Licence R&T ASRI Page 31 sur 46

32 Partie Software L application Après vous avoir présenté en détail les bases du projet, voici maintenant l interface, cette partie a été entièrement réalisée par Sébastien Sivadier, à l exception des services annexes. Il existe deux interfaces : -celle sur laquelle les clients sont redirigés lors de leur toute première connexion -l interface d administration réservée aux membres de TSF. Lorsqu un utilisateur va se connecter au réseau Wi-Fi ouvert, dès qu il va lancer son navigateur WEB, il va être redirigé sur l interface de connexion. Ci-dessus, l interface originale de Chillispot A droite, l interface du portail de TSF Le principe est simple, un utilisateur appartenant à une ONG déjà enregistrée va la sélectionner dans la liste déroulante, puis il va saisir le mot de passe qu aura choisi son chef de mission et enfin inscrire son nom. Lorsqu il validera, il se verra l accès Internet ouvert ainsi que tous les droits relatifs à son organisation attribués. Pour les organisations pas encore enregistrées, on peut voir un lien qui amène vers une page d enregistrement. Page d enregistrement que devra remplir une nouvelle organisation pour avoir accès à l Internet FRAPPIER Mathieu Licence R&T ASRI Page 32 sur 46

33 Enregistrement des organisations Le formulaire d enregistrement contient quelques données vitales pour contacter le chef de mission, ainsi que le matériel dont il dispose à des fins statistiques. Il faut savoir que lorsqu une organisation s est enregistrée, elle doit être validée par un administrateur TSF avant d apparaitre dans la liste. Message apparaissant lors de la validation d une organisation L interface d administration : le cœur du projet L interface d administration est accessible uniquement aux administrateurs TSF via un simple système d htaccess Cette interface, complètement écrite est Perl /CGI et animée par de l AJAX permet de donner aux membres de TSF les commandes de tous les services et serveurs mandataires présentés précédemment et implantés dans ce système. On peut y trouver plusieurs onglets qui correspondent à tous les outils actuellement disponibles : L onglet emmène directement à la configuration du modem Satellite relié au Soekris. Dans le cas ou un autre modem (technologies ADSL, ISDN, Radios) est relié au Soekris, cet onglet détectera et pointera directement dans son interface de configuration. L onglet comporte un tableau de toutes les organisations enregistrées sur le portail ainsi que leurs détails. Il est possible de les modifier, supprimer, valider ou invalider. FRAPPIER Mathieu Licence R&T ASRI Page 33 sur 46

34 L onglet vous conduit à la page du filtrage. En voici un aperçu : Cette page est sans doute la page qui a subit le plus de modifications au fil des versions. C est ici que l on peut contrôler tout le filtrage. On trouve aussi le nom de l utilisateur qui est connecté, la petite icône TSF indiquant si l ordinateur utilisé appartient à TSF. On y retrouve aussi l adresse IP qui lui a été attribué et son adresse MAC. On peut attribuer des droits exceptionnels aux utilisateurs ou bien les donner à toute une organisation. Enfin on peut forcer la déconnexion de certains utilisateurs pour résoudre des problèmes techniques par exemple. Changement des droits en temps réel Lorsque l on applique ou enlève un droit à un utilisateur, les nouveaux droits sont appliqués en temps réel. L utilisateur n est donc pas obligé de se déconnecter/reconnecter. VOUS POUVEZ RETROUVER EN ANNEXE LE DIAGRAMME TRES SIMPLE QUI EXPLIQUE LE FONCTIONNEMENT DE CETTE PAGE. FRAPPIER Mathieu Licence R&T ASRI Page 34 sur 46

35 Les outils système Après avoir présenté les outils de gestion des utilisateurs, et avant d aborder les outils statistiques, il est important de parler des outils système. L onglet vous conduit dans l interface du routeur équipé de DD-WRT. Ce routeur, bien qu amputé de ses fonctions de routage et relayé à l état de simple point d accès Wi-Fi possède un nombre de fonctions impressionnantes ne serait ce que pour régler els paramètre Wireless Aperçu des options très utiles propos des paramètres sans fils On peut notamment régler directement la puissance en mwatt L onglet amène sur une page affichant la place disponible sur la carte flash de données. Cette carte contient toutes les données variables de la mission (base de données, cache de squid ) C est aussi sur cette page que l on peut régler les paramètres de bande passante indispensable à la Qualité de Service présente au sein de ce projet Pour finir, en bas on trouve de boutons très utiles comme la possibilité de remise a zéro complète du système, ou encore la suppression de certains logs, de tous les logs ou même la purge du cache de squid si l espace disque devient trop critique. (CF : le cache de squid est fixé par défaut à 50% de la taille de la Compact Flash. Cette valeur pourra évoluer en fonction des constatations dans les futures missions TSF) Sans oublier une fonction très utile lors de l installation du système : le release/renew d eth0. FRAPPIER Mathieu Licence R&T ASRI Page 35 sur 46

36 AAA Accounting Les rapports L onglet vous propose d exporter toute les statistiques enregistrées par FreeRADIUS. On a ainsi le nombre de connexions, leur durée et le nombre d octets transférés. Il est possible d exporter ces statistiques quotidiennement, mais aussi pour une période définie. Il est important de préciser qu un utilisateur est considéré comme déconnecté si son bail DHCP n a pas été renouvelé. (La durée de ce BAIL est de 5 minutes.) Le système original de Chillispot a donc été totalement modifié et il n y a plus de fenêtre «popup» indiquant le temps de connexion en obligeant l utilisateur à se déconnecter/ reconnecter à intervalle de temps régulier. Ceci a été un choix de TSF car beaucoup de bénéficiaires utilisent les webmails et une session de webmail coupée peut faire perdre énormément de temps. Les rapports se présentent sous la forme d un fichier csv à télécharger, ce fichier est compatible avec toutes les versions de Microsoft Excel et d Open Office. Aperçu du fichier de listing des connexions généré par l interface d administration FRAPPIER Mathieu Licence R&T ASRI Page 36 sur 46

37 Analyse des sites les plus visités Nous avons implanté un outil d analyse des logs du proxy WEB. Ainsi on peut savoir quels sont les sites les plus visités et ainsi détecter d éventuels abus. Il est possible de rajouter ces sites à la liste noire des URL interdits dans la partie filtrage. SARG, l outil d analyse des logs de Squid Statistiques globales du réseau Enfin un outil exploitant la libraire libpcap capture l entête de paquets routés et génère une page HTML toutes les 2 minutes. Cet intervalle de 2 minutes est un compromis entre une vision temps réel qui consomme beaucoup de CPU et une visualisation sur du long terme, très gourmande en mémoire. Bandwidthd permet d avoir une analyse de la bande passante pseudo temps réelle par services. FRAPPIER Mathieu Licence R&T ASRI Page 37 sur 46

38 Conclusion La place du projet au sein de l activité de TSF Ce projet est au cœur de l activité principale de Télécoms Sans Frontières. Il va permettre de mettre en place un centre Internet en 10 minutes tout en dispensant le technicien TSF de la configuration manuelle et fastidieuse de tous les ordinateurs. La bande passante sera optimisée dans ces moindres détails. Les abus seront moins nombreux et donc le nombre d utilisateurs pourra augmenter sans dégrader la qualité de service. Ce projet permettra aussi de confier la gestion d un centre télécoms à une personne de confiance sans que celle-ci ait des compétences particulières en réseaux. Les rapports quotidiens que devaient rédiger le chef de mission TSF, après avoir relevé manuellement sur les équipements satellite, la bande passante consommée, sera bien plus aisé grâce aux outils de statistiques intégrés. Le cache WEB et le cache DNS, en plus d une économie de bande passante, faciliteront grandement la navigation ainsi que le temps de réponse des pages WEB. En utilisant une carte mémoire par mission, TSF pourra garder une trace solide de l activité de tous ces centres télécoms mis en place. Le Président de TSF, Jean François Cazenave à propos du projet AAA : «Le système développé par Mathieu Frappier et Sébastien Sivadier va révolutionner les centres de communication déployés pour les organisations humanitaires sur les crises d urgence par TSF. En effet, il améliorera la qualité de nos services en permettant un suivi en temps réel de nos bénéficiaires et donc de mieux répondre à leurs besoins et de mieux rendre compte à nos bailleurs de fonds de l impact de leur soutien. Il facilitera également l accès à nos connexions à un plus grand nombre de bénéficiaires et donc de sauver des vies. Enfin, ce système permettra d optimiser les coûts de télécommunication, nous offrant ainsi la possibilité de rester plus longtemps sur le terrain.» FRAPPIER Mathieu Licence R&T ASRI Page 38 sur 46

39 La suite du projet Bien que notre stage soit terminé, le projet est amené à être poursuivi. Des documentations précises ont été rédigées et tout le code, ainsi que les scripts qui ont été écrits sont très commentés. OpenWRT Sylvain Meras, étudiant de STRI à Toulouse, qui est parti au Mozambique avec Sébastien à travaillé sur le développement d une plateforme alternative pour accueillir notre projet. Basée sur une RouterBoard RB 532A (MIPSel), cette plateforme est animée par l OS OpenWRT. OpenWRT va s imposer en tant que futur standard pour les systèmes embarqués dédiés au réseau. Autres systèmes embarqués Sébastien Lannes, stagiaire de Sup info, bordeaux est en train de rechercher activement nouveaux systèmes embarqués qui pourraient mieux résister aux conditions difficiles du terrain ( chaleur, humidité ) tout en offrant une puissance de traitement encore plus grande Wifi MESH Durant notre stage, nous avons accueilli une l entreprise numéro 1 français sur le Wi-Fi MESH, cette technologie qui permet de créer un réseau intelligent maillé, couplé au système AAA changera définitivement le visage des télécommunications d urgences, on peut alors imagine d utiliser des téléphones SIP dans toute une ville sinistrée afin de coordonner toutes les équipes de secours. Conclusion personnelle Sébastien et moi-même avons passé plus de 9 mois sur la réalisation de ce projet. C était, selon moi un projet très ambitieux. Bien que scrupuleusement défini au début, le cahier des charges à évolué au fil des mois, des besoins se sont fait ressentir et des nouveaux services ont été implémentés. Lors de ma mission aux îles Salomon, j ai travaillé avec Simon Genin, le responsable de la base TSF Asie, j avais alors apporté le Soekris avec moi (dans sa version 1.5), sa vision des choses et son expérience sur le terrain (plus de 11 missions a son actif) nous ont permis de corriger plusieurs points importants. Pendant le développement de se projet, nous avons dû faire preuve de beaucoup d autonomie, il a donc fallu gérer notre temps et notre travail, et plus d une fois, prendre des choix difficiles pour arriver à l aboutissement final du Projet AAA TSF. C est pour moi, un honneur et une très grande fierté d avoir pu mener ce projet à bien dans les temps. Je tiens à remercier Sébastien Sivadier, collègue et ami, pour son formidable travail et sa patience. FRAPPIER Mathieu Licence R&T ASRI Page 39 sur 46

40 Le travail quotidien à TSF La mise en place d un serveur compta Choix du matériel nécessaire La société éditrice du logiciel de compta possède sa propre filiale de vente de matériel. Afin de garantir une compatibilité maximale, cette société insiste pour vendre à la fois le software et le hardware. Après une étude détaillée du matériel souhaité, nous avons fait faire deux autres devis : - Un devis par DELL avec notre conseiller commercial habituel - Un devis contenant les pièces nécessaires achetées directement sur un grand site de vente en ligne. A composants égaux, le devis de la société éditrice du logiciel n était pas acceptable. Nous avions les meilleurs prix sur Internet en commandant les pièces séparément et en montant le serveur nous même. Cependant, DELL nous a proposé un prix raisonnable avec une garantie réparation en 4h pendant 3 ans. Nous avons donc commandé chez DELL. Voici pour information la configuration imposée par l éditeur : -Plateforme Intel Xeon Dual Core Go de DDR2 ECC -Une carte contrôleur SAS avec 2 disques en RAID 1 -Un onduleur > 1500 VA avec système de soft off en cas de coupure prolongée FRAPPIER Mathieu Licence R&T ASRI Page 40 sur 46

41 Mise en place d un VPN Thaïlande / France / Nicaragua Les besoins Le logiciel compta fonctionne en mode client/serveur. Sur le serveur est stocké le cœur du logiciel et la base de données MS SQL. Les terminaux sont des clients fonctionnant sous Windows très légers basés sur le protocole http. Malheureusement ils transportent donc toutes les données en clair. Les clients seront utilisés au siège de TSF mais aussi sur les bases régionales. (Thaïlande et Nicaragua). Après une petite analyse WireShark (ex Ethereal) on se rend vite compte que ce n est absolument pas raisonnable de transférer des données confidentielles de la sorte non chiffrées entre la France, le Nicaragua et la Thaïlande. Un VPN s impose donc ici. Quel VPN? TSF utilise une livebox pour accéder à Internet et différentes machines linux pour assurer le routage, les services DHCP, DNS, ainsi que les autres services. Devant ce constat, on peut tout de suite écarter les solutions propriétaires de type Cisco qui se basent sur des matériels dont nous ne disposons pas! Nous avons donc cherché du coté des solutions libres sous Linux. IPSec, OpenVPN ou tunnel SSH? Après avoir écarté SSH pour le coté «bricolage» et surtout pour les problèmes fenêtre avec le TCP over TCP, nous nous sommes tournés vers de l OpenVPN ne connaissant pas très bien la topologie réseau des bases régionales. OpenVPN peu passer un peu partout et même derrière un certains proxy. De plus il est relativement facile à mettre en place. Configuration d un OpenVPN Voici les principaux choix opérés ainsi et leur justification Tunnel TUN : Meilleur rendement que TAP car encapsulation à partir du niveau 3 au lieu du niveau 2. Protocole UDP : Eviter les tunnels TCP over TCP Cryptage AES : Plus solide que le DES et 3DES Sécurité basés sur des certificats : Possibilité d évoluer, rajouter des utilisateurs et les bannir. Logs des connexions. Nous avons généré des certificats et des clés à l aide des outils «easy-rsa» fournis par OpenVPN. FRAPPIER Mathieu Licence R&T ASRI Page 41 sur 46

42 Administration du réseau interne de TSF Mise à jour des serveurs Le réseau interne de TSF contient 3 serveurs, en voici un schéma succinct : Ce réseau est comporte trois zone : extérieur, DMZ et intérieure. Les éclairs représentent les client OpenVPN, le serveur est configuré de manière à ce que les clients puissent communiquer entre eux. Voici un petit tableau de leur rôle Phoenix Firewall qui gère 3 zones : -Rouge (Internet) -Orange (DMZ) -Vert (LAN) Cardinal Colibri Serveur DHCP Serveur DNS Serveur de fichiers Serveur d impression Serveur WEB intranet Serveur OpenVPN FRAPPIER Mathieu Licence R&T ASRI Page 42 sur 46

43 Réorganisation DNS & DHCP Partie DHCP La plage d adresse du serveur DHCP à été définie en Au fil du temps, des entrées sont apparues, mais jamais aucune n a disparu. De plus, les adresses ont été attribuées de manière assez empirique, certaines machines ont été changées et on retrouve des entrées obsolètes. Partie DNS Lors de la mise en place du réseau, des noms basés sur leur rôle ont été attribués aux machines (exemple : compta1, comm2 tech1 ). Depuis les machines ont été remplacées ou ont été déplacées. Certains noms ne correspondaient donc plus du tout. Sans oublier les noms NetBios qui n était pas forcement en concordance avec le DNS (Samba en mode simple est beaucoup utilisé à TSF). Harmonisation Une nouvelle organisation de la plage d IP mais aussi des noms des machines a été définie. Les noms NetBios et DNS ont été harmonisés. IL y a maintenant un spool d adresse indépendant pour chaque partie de l organisation. Les stagiaires qui sont souvent nombreux à TSF peuvent donc librement être rajoutés aux baux statiques du DHCP et se voir attribuer une IP fixe couplée à un nom d hôte sans bousculer toutes les autres IP. Voici un petit tableau résumant la situation : FRAPPIER Mathieu Licence R&T ASRI Page 43 sur 46