Rapport d activité Bertrand Jacquin Exosec

Dimension: px
Commencer à balayer dès la page:

Download "Rapport d activité 2007. Bertrand Jacquin Exosec"

Transcription

1 Rapport d activité 2007 Bertrand Jacquin Exosec Maître de stage : Benoît Dolez c Copyright 2007, Bertrand Jacquin 8 décembre 2007

2

3 Remerciements Je tiens à remercier tout particulièrement : Benoît Dolez, directeur technique d Exosec, pour ses conseils au quotidien mais également sur les nombreuses connaissances qu il m a transmis, Christophe Pouillet, directeur d Exosec et d Exceliance, pour m avoir accueilli au sein de sa société, Tous mes collègues de travail pour leur sympathie et leurs impressionnantes expériences.

4 Table des matières Remerciements 2 Table des matières 4 Table des figures 5 Introduction 6 1 Exosec, Architecte de sérénité Exosec Services managés Analyse de journaux Projets Prestation Veille Technologique Exceliance Produits Aloha Lan Defender Sight Flow Log Box Mes activités chez Exosec Activité en cours Support Réactivité Monitoring Évaluation du problème Revenir à la source Résolution Documentation Évolution en mode projet Projets Interprétation des besoins clients Étude de faisabilité Scénarii Chiffrage Temps horaire Coût matériel Réalisation

5 Table des matières 4 de Firewall NetFilter Checkpoint Réseau privé virtuel OpenVPN IPSec Filtrage web Apache HAProxy Squid Installation de serveurs CentOS/RedHat Tiers Messagerie Postfix Protection Anti-Spam & Anti-Virus Dovecot Annuaire OpenLDAP Interopérabilité Active Directory Demandes ponctuelle Monitoring Nagios Cacti Réseau Cisco Services de base Relais Mail Performances Load Balancing Redondance Gestion des logs Cas concret Migration Checkpoint de «Client Grande Distribution» Centralisation des logs de la mairie du Plessis Robinson Migration messagerie Exosec Azote Choix technique Cross compilation Tests & Déploiement Production Problématique non prévisible Monitoring «Groupe Bancaire» Conclusion 38

6 Table des figures 1.1 Organigramme Exemple de déploiement de services managés Intégration d un Aloha dans une société composée de deux serveurs web Exemple d application du Lan Defender Sight Flow Log Box Alertes Nagios pour charge trop importante Interface centralisée de configuration Dashboard Résultats des tests de performance du boîtier Edge Découverte du réseau à la première connexion Visualisation de l état des machines une fois la découverte terminée Historique de temps de réponse d un serveur, le rouge montre les périodes d indisponibilités 37 5

7 Introduction Ce document fait l objet du rapport des activités que j ai pu mener durant la seconde moitié de l année 2007 au sein d Exosec dans le cadre de la troisième années de mes études en alternance à l ETNA. L année 2007 fut riche en mouvement, de par un intensification des enseignements à l ETNA, mais également de mon changement de société, passant de 3S à Exosec. La première moitié de l année a été essentiellement consacrée à un passage de compétence vers David Picou, maintenant responsable de l ordonnancement du SI de facturation d Orange Haut Débit à Marseille. L opportunité m ayant été donnée par Exosec de changer de direction pour un métier centré vers l Open Source, les réseaux, la sécurité et les performances, c est un choix auquel je ne pouvais que répondre positivement. Ces techniques sont le fruit d un passion mûrie depuis de nombreuses années que je peut enfin mettre en application dans une société mêlant expertises, recherches et développements. Ainsi sont présentés dans ce document ma société, Exosec et sa petite soeur Exceliance. Ensuite sont détaillés les deux majeurs parties de mon travail : Support et projets, avec des cas d applications de ceux-ci. 6

8 Chapitre 1 Exosec, Architecte de sérénité Le Groupe Exosec 1 a été créé en 2002 par une équipe issue du milieu du conseil et de l expertise en architecture réseaux et systèmes. L équipe bénéficie d une expérience pointue dans les domaines de la sécurité informatique, de l optimisation des infrastructures et des solutions du monde Open Source. Exosec élargissant son activité vers la maîtrise préventive des flux et l optimisation des infrastructures réseaux, Exceliance 2 devint alors une entité rattachée à Exosec. Le groupe Exosec est très attaché au monde du logiciel libre et le prouve chaque jour en s impliquant dans différents projets libres comme HAProxy (Reverse Proxy) ou le noyau Linux, plus particulièrement la branche 2.4 maintenu par Willy Tarreau. Les deux sociétés ont été créées par Christophe Pouillet, Benoît Dolez et Willy Tarreau et totalisent, actuellement, un effectif de huit employés. Fig. 1.1 Organigramme 1 Exosec : http ://www.exosec.fr 2 Exceliance : http ://www.exceliance.fr 7

9 Chapitre 1. Exosec, Architecte de sérénité 8 de Exosec Services managés L une des principales activités d Exosec est la mise en place de services managés dans le domaine de la sécurité des réseaux : firewall : protection des entrées/sorties du réseau, proxy : filtrage des accès web, relais SMTP : filtrage anti-spam, concentrateur VPN : interconnexion de sites ou travail à domicile, anti-virus : protection des s et fichiers,... Ces équipements, nommés Sentineo, se retrouvent chez les différents clients d Exosec 3 sous la forme de boîtes dédiés à ces usages. Celles-ci sont gérées exclusivement par la société (mise à jour, surveillance, archivage) et sont basées exclusivement sur des logiciels libres. Une liaison internet privée est installée et permet d accéder aux différents éléments du réseau gérés par nos soins. Par ce lien, sont également mis en place la surveillance d état des différents services et la remontée des journaux. Les différents éléments d exploitation se retrouvent sous la forme d un firmware, moins sensible aux attaques externes, basés sur la distribution Linux Formilux 4 développé au sein d Exosec. Fig. 1.2 Exemple de déploiement de services managés Ces services sont proposés avec un contrat de support téléphonique et une intervention sur place. 3 Groupe Flo, Scadif, Mairie du Plessis Robinson, Conseil Général de l Oise, CIF... 4 Formilux : http ://www.formilux.org

10 Chapitre 1. Exosec, Architecte de sérénité 9 de Analyse de journaux Internet, et plus généralement le réseau, devenant plus que jamais central à toute activité des entreprises, il est important de quantifier et d évaluer les différents trafics des utilisateurs et les tentatives d accès depuis l extérieur. C est pourquoi de nombreux clients sont amenés à solliciter l expertise d Exosec dans ce domaine afin d évaluer les risques et les impacts de la sécurité actuelle en vue de revoir leur réseau et la sécurité qui lui est associée. Les journaux (logs) des firewall et proxy nous sont alors transmis, généralement tous les trois mois, et sont suivis d un rapport objectif sur l état des lieux et la criticité courante de l architecture utilisée Projets La réputation d Exosec dans le domaine des réseaux et de la sécurité nous amène très fréquemment à être consulté pour la mise en place de projets, comme par exemple l intégration de la Voix sur IP dans un réseau multi-site Prestation Certaines grosses sociétés disposant d un réseau d une grande envergure nécessitant des besoin particuliers, comme la métrologie adaptative, exploitabilité ou intégration font souvent appel à Exosec dans le but de concevoir, mettre en place et exploiter la solution mise en œuvre. Ces prestations se faisant sur le long terme, deux à trois jours complets par semaine sont attribués au client afin de poursuivre les travaux en cours sur les projets à plus court terme Veille Technologique Toujours à la recherche d outils plus performants, plus adaptés, de suivis d évolution des nouvelles technologies, Exosec porte une grande attention à la veille technologique. C est un investissement en durée qui permet de mieux correspondre aux attentes des clients et garder ainsi la tête haute dans un milieu qui se développe très vite.

11 Chapitre 1. Exosec, Architecte de sérénité 10 de Exceliance Exceliance est née après analyse des différents attentes des clients d Exosec en matière de fiabilisation et maîtrise des réseaux. Ces besoins pouvant être concentrés en matériel gérés par les clients, différentes appliances ont été créées alors que d autre voient le jour Produits Tous les produits développés par Exceliance sont basés sur la distribution Linux Formilux et disposent d interface conviviales de configuration : Web et texte. Aloha Web 2.0 et l augmentation des débits des particuliers à contraint les fournisseurs de contenus (vidéos, musiques...) à revoir leur architecture réseau. Un seul serveur web ne suffit plus à fournir la masse de clients de moins en moins patients et désireux d une indisponibilité quasi nulle, une architecture de type Load Balancing 5 est indispensable. Différentes sociétés proposent déjà ce type de service à des coûts non négligeables, la solution technique employée par l Aloha rend le service à moindre frais et tout aussi fonctionnel. L Aloha est basé sur HAProxy, Reverse Proxy HTTP et TCP en mode coupure. Plusieurs interfaces de configuration sont disponible : Une interface web intuitive permet une prise en main rapide, Une interface en mode console pour les utilisateurs avancés Fig. 1.3 Intégration d un Aloha dans une société composée de deux serveurs web 5 Load Balancing, «partage de charge», à ne pas confondre avec «Haute disponibilité».

12 Chapitre 1. Exosec, Architecte de sérénité 11 de 38 Lan Defender L un des besoins retenu était de pouvoir contrôler les utilisateurs d une société à un rôle précédemment établi : ne pouvoir accéder qu à certain département d une société ou différencier l utilisateur occasionnel (prestataire) d employé fixe, afin d éviter toute dissipation et concentration dans le travail sollicité. Le Lan Defender se place donc comme carrefour de toutes les communications des postes utilisateurs. Fig. 1.4 Exemple d application du Lan Defender Sight Flow Ce produit se situe pour les sociétés ne souhaitant pas mettre en place un Lan Defender mais désirant tout de même des informations quant aux usages des utilisateurs fait d un réseau. Celui se place en pont transparent, et analyse tous les flux réseaux pour en générer des rapports et graphiques. Il permet d analyser des flux jusqu à 1Gb par seconde sans ressentir un ralentissement particulier. Fig. 1.5 Sight Flow

13 Chapitre 1. Exosec, Architecte de sérénité 12 de 38 Log Box La Log Box est encore au stade d étude et prend sa source suite à de nombreux projets de centralisation de logs mis en place chez des clients d Exosec. Cet outil se veut un moyen simple de centraliser les journaux dans le but d une corrélation. Fig. 1.6 Log Box

14 Chapitre 1. Exosec, Architecte de sérénité 13 de Mes activités chez Exosec Depuis mon intégration à Exosec mi juillet, mon travail est concentré essentiellement sur la partie projet et support en binôme avec Benoît Dolez. Les différents projets à mettre en œuvre ont été les suivants : Tests de solutions de synchronisation entre poste Linux et PDA, Rajeunissement du système de messagerie interne, Migration de firmware de Sentineo au Groupe Flo, Mise en place d une solution de centralisation de logs pour les différents éléments de l administration de la mairie du Plessis Robinson, Maquettage de migration Checkpoint pour «Client de grande distribution», Activité en cours Depuis mi-novembre mon travail se situe en prestation pour Internet FR, dans le département Production.

15 Chapitre 2 Support Telles les explications citées précédemment, de nombreux clients bénéficiant de services managés disposent d un contrat de support. Ainsi ces clients peuvent nous contacter, par ou par téléphone, afin de nous remonter les problèmes ou limitations rencontrés. Un contrat de support inclus un nombre définie de ticket selon le tarif appliqué. Une assistance vaut pour un ticket. Les tickets sont vendus par lots qu il est possible de renouveler après épuisement. Selon les contrats et selon l indisponibilité engendrée, un déplacement sur place dans une période définie est possible. Le support se fait en parallèle du mode projet tout en demeurant prioritaire. Compétences requises Comprendre et résoudre l appel d un client est capital, cela nécessite par conséquent de larges connaissances dans le domaine des réseaux, de Linux et des outils Open Source et en particulier : Pile réseaux : TCP/IP, Ethernet, VLAN, Outils de sécurité : Netfilter, OpenVPN, Outils d analyse : tcpdump, pcap, strace, Logiciels libres : web, mail, proxy, voix sur IP, Lecture et écriture de scripts (shell, perl),... La phase importante est le dialogue avec le client afin de centrer au plus juste le problème et ainsi permettre une résolution très rapide. 2.1 Réactivité Allez droit au but et résoudre rapidement une requête est l un des points clé pour la fidélisation des clients Monitoring Les clients managés disposent tous d une surveillance des services de son réseau : État des lignes ADSL, État des services VPN, 14

16 Chapitre 2. Support 15 de 38 Messagerie fonctionnelle, Surveillance des espaces disques, Surveillance de la charge,... Une alerte génère un et trois bips dans le local serveur. Cela nous permet d être averti immédiatement des problèmes rencontrés sur les service surveillés, et ainsi d intervenir rapidement, dans le meilleur des cas sans que le client ne s en rende compte. Le système de monitoring utilisé est Nagios, outil libre, il est de plus en plus connu pour ses nombreuses qualités : Open Source, Analyse SMTP, HTTP, Load, température, espace disque,... Facilité d extension, Alertes , SMS, Interface Web agréable, Gestion d historique,... Fig. 2.1 Alertes Nagios pour charge trop importante 2.2 Évaluation du problème Il faut bien noter qu un problème remonté par un client peut avoir plusieurs niveaux de gravité. On nuancera par exemple un rejet d envoi d un dû à des pièces jointes trop volumineuses, d une tempête de broadcast. Lorsque plusieurs demandes au support sont faites en parallèle, une priorité est nécessaire.

17 Chapitre 2. Support 16 de Revenir à la source Connaître l environnement du client demandeur est essentiel afin de repérer les points défectueux. Par exemple certains clients possédant un réseau multi-site inter-connectés via des VPN peuvent souvent rencontrer des problèmes de lenteurs si l une des lignes ADSL est tombée. Il arrive également souvent qu une difficulté rencontrée par un client soit due à une source tout à fait extérieure et que le problème remonté n en soit que la conséquence. Exemple : Le «Groupe Bancaire» nous contacte car la téléphonie sur IP fonctionne dans quelques bureaux de certains étages, mais pas ailleurs alors qu il n existe qu un seul concentrateur de téléphone (IPBX) dans tous le bâtiment du «Groupe Bancaire». Ne disposant uniquement d accès sur les firewalls du «Groupe Bancaire» et sur les boîtiers ADSL, une analyse du flux est possible. Ainsi en «écoutant» le trafic avant et après l IPBX lors d un appel depuis différent bureaux, il est possible de localiser la zone de perturbation. En effet, les flux fonctionnant étaient bien marqués dans le bon VLAN, alors que les autres n étaient pas du tout marqués. Ce qui implique un problème de configuration ou de câblage au niveau des switchs. Une opération de maintenance avant été opérée la veille par un prestataire extérieur sans que celui-ci ne prenne considération tous les éléments présents sur le réseau du «Groupe Bancaire». L exemple choisi ici est simple. Mais il s avère souvent que cela n est pas le cas comme par exemple des cartes ou câbles réseaux défectueux. Le principe restant le même, une analyse précise et attentionnée des actions menées et des résultats obtenus mènent toujours à un satisfaction du client. 2.4 Résolution Une fois le problème repéré, il est de notre ressort d évaluer le temps de reprise sur indicent. Il arrive parfois que de simple ticket se voit devenir des projets du fait d un périmètre trop élargi pour être réglé suffisamment rapidement. Lorsqu un problème est dû à un matériel géré par Exosec ou que celui-ci n est pas géré par un prestataire extérieur nous intervenons directement en accord avec le client. Exemple : Le relais SMTP du CG60 utilise IMSS, solution de relais SMTP avec des capacités de filtrage anti-spam et anti-virus, qui nécessite beaucoup d espace disque pour les messages mis en quarantaine. Plus le nombre d s mis en quarantaine est grand, plus les performances d IMSS s écroulent. Ici un simple déplacement de la quarantaine dans un espace dédié à l archivage résout des problèmes de latences excessives lors d émission ou réception d s. 2.5 Documentation L équipe de support n étant pas toujours sur place, car éventuellement en prestation chez le client, il est impératif d apprécier le problème rencontré, les sources apparentes et la méthode de résolution. Ceci permet de garder un historique complet de chacun des clients et des sources logiciel ou matériel les plus génératrices de problèmes, mais également d éviter de perdre du temps sur des dysfonctionnements déjà apparus par le passé. Les documentations se font généralement par et fichiers textes, ce qui a l avantage de pouvoir être lu par n importe quel logiciel. Celles-ci sont ensuite mises en commun dans un partage NFS dans les locaux de la sociétés.

18 Chapitre 2. Support 17 de Évolution en mode projet Des retours récurrents de clients pour des soucis bien précis ou parce qu il faut revoir en grande partie l architecture du client pour la rendre opérationnelle, des tickets passent du support au mode projet. S en suit une analyse en collaboration avec le client afin de déterminer s il est souhaitable de mener une action nécessitant un contrat ponctuel de projet dans une vision au long terme.

19 Chapitre 3 Projets Exosec est très souvent sollicitée pour conduire des projets d expertises réseau et sécurité. Les projets traités par Exosec se font en général sur une période courte, de quelques jours voire quelques semaines. Dans le cadre de ma participation au mode projet pour Exosec, voici plusieurs tâches qui m ont été confiées. 3.1 Interprétation des besoins clients Cette première étape, avant la réalisation du projet, est de définir le contexte s appliquant au projet, c est à dire à en fixer les limites et les applications concrètes. Cela permet en cas d incompréhensions de revoir les points critiques avec le client avant toutes avancées techniques. Cette étape pose les axes d orientation Étude de faisabilité Dès que les éléments descriptifs du projet sont maîtrisés, il est alors envisageable d apporter une réponse positive ou négative au client en vue de : L architecture actuelle, Les impacts incommodant le réseau, Les impacts sur la sécurité, L expertise d Exosec dans le domaine en question Scénarii Selon la réponse apportée, un ou plusieurs scénarii de montage du projet est présenté, réunissant le client, Exosec et les différentes acteurs impactés. Ces scénarii ont pour but d identifier les phases de déploiements du projets, comprenant : Découpage fonctionnel, Organisation, Plate-forme de démonstration,... 18

20 Chapitre 3. Projets 19 de Chiffrage Le chiffrage est une donnée importante qu il convient de mesurer avec précision selon différents critères tels le temps, les coûts de fonctionnement et le niveau d expertise demandé par le projet. Ces éléments retenus pour la facturation du client, il est primordial de prévoir au plus juste afin de minimiser les coûts d Exosec et de maximiser sa crédibilité. Temps horaire La prévision du temps alloué à un projet est très importante compte tenu du fait qu un projet est vendu pour être réalisé en un temps fixé à l avance. Le reste est à la charge du prestataire. Ainsi une marge de 20% est toujours allouée pour les projets d une durée supérieure à trois jours. Coût matériel De nouveaux projets nécessitent la renouvellement ou l ajout de nouveaux matériels. Il est indispensable d anticiper exactement le nombre et les équipements prévus. Le choix du matériel se fait au cas par cas. 3.2 Réalisation Exosec excelle dans le domaine des réseaux et de la sécurité, mais également dans les systèmes Open Source basés sur Linux, la suite présente les multiples applications que j ai pu mener dans différents projets Firewall Frontal à Internet, ou segmentation interne, les firewalls sont essentiels dans toutes les sociétés ouvertes au monde NetFilter Le principale Firewall applicatif utilisé par Exosec est NetFilter, partie intégrante du noyau Linux depuis la version 2.4. C est un produit utilisé très fréquemment dans les appliances et serveurs sous Linux déployés par Exosec.. Les avantages de NetFilter sont les suivants : Inclus dans les noyaux officiel Linux 2.4 et supérieur, Configuration éditable avec n importe quel éditeur de texte ou ligne de commande, Fonctions avancées de filtrage, NAT, suivis de connexions des utilisateurs... Détention de nombreux «plug-ins» intéressants via patch-o-matic Les principales reproches qui lui sont faits sont les temps excessifs de chargement de configuration dans la version officielle (cependant Exosec intègre un patch accélérant d un point de vue significatif les durées de chargement), et le fait qu il ne dispose pas de moyens efficaces de filtrages applicatifs en niveau 7 (comme par exemple l analyse de requête HTTP). Exemple de configuration NetFilter :

21 Chapitre 3. Projets 20 de 38 # Generated by iptables-save v1.2.9 on Thu Nov 29 16:41: *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:] :OUTPUT ACCEPT [0:0] -A POSTROUTING -s / d! / o ppp0 -j MASQUERADE COMMIT *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -s / d! / p tcp -m tcp \ --dport 25 -j MARK --set-mark 0x19 COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -p tcp -m tcp --sport 512: dport 443 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT Comme cité ci-dessus, Exosec utilise très fréquemment NetFilter, et a développé en interne un outil permettant la génération de configuration, nommé Genrules. Celui-ci sépare le filtrage en trois points distincts, formant trois fichiers de configuration : Objets : Définition des réseaux, serveurs, numéros de port, Application : Définition des accès directs sur le firewall, Infrastructure : Définition des accès routés et NAT Exemple de configuration du fichiers d objets : % cat /etc/firewall/current/objetct.cfg address IP_SERVEUR address IP_SERVEUR address IP_SERVEUR IP_SERVEUR=( IP_SERVEUR1 IP_SERVEUR2 IP_SERVEUR3 ) Exemple de configuration du fichiers d applications : % cat /etc/firewall/current/applis.cfg fw filter:forward for dst in ; do fw ACCEPT pop any $dst %"pop-ac" -i $IF_LAN done fw nat:postrouting

22 Chapitre 3. Projets 21 de 38 for dst in ; do fw - pop any $dst -j MASQUERADE done Genrules est utilisé par Exosec dans tous les serveurs déployés et gérés par nos soins. Une fois la configuration écrite, la compilation des règles permet une vérification d intégrité et une application sur le serveur avec une gestion de retour sur incident. Checkpoint Checkpoint est une autre technologie, propriétaire celle-ci, utilisée par Exosec. Elle est mise en application lorsqu une société souhaite utiliser un outil centralisé et simple de gestion des règles de firewall. En effet, il dispose d une interface Windows intuitive dont la prise en main peut se pratiquer par n importe quel administrateur système ayant des connaissances de TCP/IP. L une des particularités de Checkpoint est de fonctionner sous Linux, Windows et plate-forme Nokia. Une architecture Checkpoint est composée des points suivants : Firewall : Pièce maîtresse de la sécurité, Management : Serveur central contenant la configuration des firewalls, Dashboard : Interface de configuration Dans le cas de projets d installation de serveurs utilisant Checkpoint, Exosec préconise l utilisation de la distribution Checkpoint Secure Plateform basée sur RedHat pour les firewalls, de CentOS pour la plate-forme de management et de Windows pour Dashboard (seule système supporté). L inconvénient majeur de cette architecture est qu il est totalement prohibé d installer d autres outils que les outils officiels sur les serveurs Secure Plateform sous peine de perdre toutes assistance de la part de Checkpoint. Cette limitation pose problème lorsqu un client souhaite mettre en place des VPN SSL, Checkpoint ne supportant que les VPN IPsec ou VPN Checkpoint, alors qu il est techniquement tout à fait possible d installer un serveur OpenVPN sur Secure Plateform. Dans le cadre de mes attributions, j ai par exemple eu à mener une migration Checkpoint R55 vers R62 pour le client «Client Grande Distribution» désireux de renouveler son architecture de sécurité vieillissante et alors non supportée (voir page 31). Cela m a par exemple permis de tester de nouveaux matériels d entrée de gamme, Edge, prévus pour les petites sociétés ou succursales d une plus grosse société Réseau privé virtuel Le travail à distance pour les commerciaux ou les personnes habitant loin de leurs lieux de travail est de plus en plus souhaité par de nombreux clients. Pour cette raison, les réseaux privés virtuels, ou VPN prennent une place de plus en plus prépondérantes sur le marché. C est également un très bon moyen d inter-connecter des sociétés dont différentes portions sont géographiquement séparées, évitant ainsi la surcharge tarifaire d une ligne spécialisée. Différentes techniques et déploiements sont gérés par Exosec.

23 Chapitre 3. Projets 22 de 38 Fig. 3.1 Interface centralisée de configuration Dashboard OpenVPN OpenVPN est un outil libre de routage virtuel. C est un outil multi-plate-forme, simple d utilisation par les usagers, ce qui en fait ses atouts majeurs. La technique utilisée par OpenVPN est un cryptage SSL au dessus de TCP ou UDP. Il est présent de base dans les Sentineo et est pratiqué chez beaucoup de clients. Étant une pièce maîtresse de sécurité, Exosec a développé autour d OpenVPN de nombreux scripts afin que celui-ci travaille avec NetFilter. Exemple de fichier recensant les connexion VPN actives : % cat /var/lib/state/openvpn.status OpenVPN CLIENT LIST Updated,Mon Dec 10 04:34: Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since user1, :1238, , ,sun Dec 9 06:15: ROUTING TABLE Virtual Address,Common Name,Real Address,Last Ref /24,user1, :1238,Sun Dec 9 06:15: ,user1, :1238,Mon Dec 10 04:05: GLOBAL STATS Max bcast/mcast queue length,1 END

24 Chapitre 3. Projets 23 de 38 IPSec IPsec est une autre technologie courante pour l application des réseaux privés mais il est moins passepartout. En effet, IPsec est une modification de la pile IP pour y intégrer des fonctions de cryptage. Cela implique qu il est plus facilement détectable et donc filtrable par n importe quel firewall. Ce n est pas une solution pour les personnes régulièrement en déplacement et utilisant tout type de connections (privé, Hot Spot, réseau client...). C est une technologie non recommandée et non mise en place par Exosec sauf cas particulier Filtrage web Internet est une source riche d informations, mais également source de divertissements et pièges en tout genre. Ainsi Exosec propose à ses clients des moyens de filtrer les accès au contenu sortant (Proxy) et entrant (Reverse Proxy) à travers divers produits. Apache Apache est le serveur Web dominant sur internet depuis de nombreuses années, il a acquis un niveau supérieur que d autres n atteignent pas. Il est en général utiliser simplement comme hébergeur de fichiers, mais il a également la capacité à analyser les requêtes dans un but de filtrage, et aussi de redirection des demandes vers d autres serveurs. Cela permet ainsi de séparer fonctionnellement divers services hébergés dans une société. Exemple de configuration de deux sites pointant sur une même adresse IP mais transférés à deux serveurs différents : % cat /etc/httpd/apache2.conf... <VirtualHost *:80> ServerName ErrorLog /var/log/httpd/www.site1.com/errog_log LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" TransferLog /var/log/httpd/www.site1.com/access_log ServerAdmin RewriteEngine on RewriteRule ^/(.*) [P] RewriteRule. - [F] ProxyRequests on </VirtualHost> <VirtualHost *:80> ServerName ErrorLog /var/log/httpd/www.site2.com/errog_log LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" TransferLog /var/log/httpd/www.site2.com/access_log ServerAdmin RewriteEngine on RewriteRule ^/(.*) [P] RewriteRule. - [F]

25 Chapitre 3. Projets 24 de 38 ProxyRequests on </VirtualHost>... % cat /etc/hosts HAProxy Le filtrage et la redirection peuvent dans bien des cas être suffisants, mais ce n est pas exhaustif. En effet, une banque par exemple ne peut pas se permettre d être indisponible pour ses services de bourses en ligne. Aussi, une redondance des serveurs est indispensable. C est le but d HAProxy, Load Balancer logiciel haute performance conçu pour HTTP. HAProxy est un logiciel libre développé par Willy Tarreau, ce qui montre à nouveau la forte implication d Exosec dans le milieu Open Source. HAProxy permet de rediriger une requête non pas vers un serveur en particulier selon l adresse demandée, mais vers toute une plage de serveurs définis dans sa configuration. Une fois la connexion initiée par le navigant, celui-ci est toujours réorienté vers le serveur destinataire si celui ci est toujours joignable. Exemple de Load Balancing, basé sur l utilisation de cookie, d un site sur deux serveurs différents : listen http_proxy :80 mode http cookie SERVERID balance roundrobin server web :80 cookie server01 server web :80 cookie server02 monitor-uri /monitor Squid Squid quand à lui est une solution de proxy cache sortant, c est un élément intégrant le réseau par lequel toutes les requêtes Web transiterons pour analyse, rejet ou acception. Différents critères (ACL) peuvent être définis : URL valide, Horaire correcte, Contenu associé au domaine de la société, Contenu non choquant,... Exemple d acl permettant de ne pas filtrer certains domaines destinataires : % cat /etc/squid/acls/whitelist-dstdom.txt.google.fr.site1.com.site2.com

26 Chapitre 3. Projets 25 de 38.infotrafic.fr Installation de serveurs L installation de firmware Exosec n est pas toujours possible, comme par exemple pour la mise en place d un serveur management Checkpoint, alors il faut procéder à des installations plus classiques de distributions Linux comme CentOS, RedHat, Debian que le client pourra contrôler. CentOS/RedHat L une des principales distributions mise en application chez les clients, hors Formilux, est CentOS. Celui-ci est la version gratuite de RedHat tout en fournissant à l utilisateur les même fonctionnalités, la seule différence est qu aucun support entreprise n est assurée avec CentOS. Cette partie support et lien avec l éditeur RedHat est parfois demandé, alors dans ce cas-la, une «RedHat Enterprise» 4.0 est déployée. Ces deux systèmes sont très proches et basés sur le même système de gestion de paquet, RPM, il est possible d installer des paquets initialement prévus pour RedHat sous CentOS. Cela permet alors de procéder aux mêmes personnalisations et sécurisations de bases, comme la désinstallation des logiciels inutiles pouvant corrompre et abaisser le niveau de sécurité. Viennent ensuite la partie installation et configuration des outils nécessaires au client (messagerie, serveur web, logiciels tiers...). Exemple de paquet supprimés dès la phase de post-installation : % cat rpmtodel.txt... acl audiofile autofs bc cups dos2unix dosfstools freetype gettext hotplug... Tiers La culture et l expertise d Exosec en matière de logiciels libres permettent de mettre en place n importe distribution Linux pour le client moyennant un temps d adaptation. Cela est très rarement nécessaire et n arrive que dans certains cas précis comme par exemple l utilisation de produit propriétaire Messagerie La messagerie est le cœur de la communication d une entreprise, indispensable pour une utilisation entre collègues et entre différentes sociétés. C est une partie critique qu il faut traiter avec une forte attention. Les abus de spam, virus et phishing en font une véritable bataille de tous instants dans laquelle

27 Chapitre 3. Projets 26 de 38 Exosec s est positionnée en leader. Ici sont décrites les différentes solutions qu Exosec utilise au quotidien pour répondre à ce besoin séparé en trois phases, l acception, le filtrage et la consultation. Postfix Postfix est un serveur SMTP de dernière génération, sécurisé et performant, permettant l acceptation d s ou le relais. C est également lui qui dépose les s dans les boîtes utilisateurs. Cet outil s interface très bien avec différents logiciels de filtrage et de services d annuaire. La politique d acceptation d un recommandée par Exosec sont les suivantes : Est-ce que le récepteur est valide dans notre domaine? Est-ce que l émetteur est connu du récepteur (Greylisting)? Est-ce que l émetteur est une source connue de pollution d internet (RBL)? Est-ce que l est un spam (Bayes)? Est-ce que l contient des virus?... Toutes ambiguïtés dans les résultats amènent à un refus d acceptation du message. Cela protège les utilisateurs et les serveurs. Protection Anti-Spam & Anti-Virus Toutes les entreprises ayant leurs particularités, aucune règle d analyse de contenu (Bayes) n est applicable d une entreprise à une autre, c est pourquoi une phase d apprentissage est nécessaire pour le logiciel anti-spam. Cette phase doit être prise très au sérieux afin d éviter au maximum les faux positifs et alors se retrouver dans le cas où beaucoup de spam seront acceptés et que les s valident soient rejetés. Le système d apprentissage bayesien utilisé par Exosec est l outil libre SpamAssassin, très réputé dans son domaine malgré une rapidité qui laisse à désirer. L anti-virus, quant à lui, peut interroger une base de connaissances communes, celle-ci évoluant en permanence une synchronisation est des plus recommandée et systématiquement mise en œuvre dans les déploiements par Exosec. Le logiciel Clamav est utilisé car il a l avantage de générer rarement de faux positifs. Comme SpamAssassin, sa lourdeur en fait son principal défaut. Ces deux outils sont généralement intégrés sur le même serveur hébergeant le serveur SMTP. Dans le cas de sociétés utilisant massivement les s, une architecture de ce type sera vite saturée et génératrice de retour utilisateur, alors il devient indispensable de séparer le filtrage sur un serveur dédié à cet usage. Dovecot IMAP est un protocole de consultation de messagerie de plus en plus utilisé et conseillé, car avec cette solution, les s sont stockés sur un serveur dédié à cet utilisation, et alors l utilisateur n a aucun stockage a effectuer sur son ordinateur. L avantage le plus visible est que l utilisateur retrouvera dans toutes circonstances ses s en cas de réinstallation de son poste ou en consultation depuis une interface Web. Dovecot est un logiciel libre rendant ce service. Il est encore jeune, mais il est très prometteur et très performant. Cette solution devient le nouveau produit d IMAP utilisé par Exosec en lieu et place de

28 Chapitre 3. Projets 27 de 38 Courrier, âgé et peu performant. La sécurité de ce produit est à la base de la conception. Beaucoup d utilisateurs ont constamment un client ouvert (Web ou lourd), ce qui en fait un outil critique à sécuriser, rôle bien rempli par Dovecot qui ne compte aucune faille depuis le début de son existence Annuaire La gestion des utilisateurs dans un parc informatique est ce qui donne la notion de centralisation d utilisateurs. Cette centralisation est faite pour permettre d utiliser par exemple une authentification unique et également pour centraliser les accès autorisés aux différents services proposés d une société. Un annuaire est une gestion hiérarchique des utilisateurs, c est pourquoi il est bien plus souvent utilisé qu une base de données pour la partie authentification et gestion d utilisateurs. OpenLDAP Exosec propose des services de mise en place d annuaire adaptés au besoin du client en fonction de l organisation d une société et des outils basés sur cet annuaire. Nous ne proposons uniquement que des mises en place d OpenLDAP, car unique logiciel libre éprouvé en la matière. De plus, des outils graphiques de gestion d utilisateurs sont mis à la disposition du client afin de facilité sa gestion. Généralement utilisé pour comme base d authentification, les usages ne se limitent pas à cette fonction. Comme par exemple la gestion des absences, pour des retours d indisponibilité, ou stockages de contact... Interopérabilité Active Directory La solution d annuaire proposée par Microsoft via Active Directory est comme OpenLDAP, basé sur X500, ces deux outils peuvent donc tout à fait communiquer entre eux au prix de certaines restrictions. La communication entre OpenLDAP et Active Directory est nécessaire dans des architectures utilisant des logiciels libres, ceux-ci ne sachant pas très bien communiqués avec Active Directory directement. C est pourquoi des outils de synchronisation entre ces deux systèmes ont été créés par Exosec dans le but, par exemple de pouvoir s authentifier sur un Dovecot en utilisant son nom d utilisateur de mot de passe Active Directory Demandes ponctuelle Certains clients font appel à Exosec pour ses larges connaissances et implications dans les logiciels libre afin de : étudier et mettre en place un outil ou système non communiqué, donner réponse à un problème récurrent ou nécessitant une expertise de la part d un client sans contrat de support Un exemple récent est celui d un client disposant d un serveur de fichiers Samba cessant de rendre ses services tous les jours sans raison particulière apparente. Une analyse de l architecture, de la configuration et l utilisation fait de ce services ont permis dans un premier temps de définir le contexte du problème

29 Chapitre 3. Projets 28 de 38 rencontré. Ici le client utilisait les services de pré-authentification Kerberos permettant l interaction entre un utilisateur Windows et le serveur de fichiers. Kerberos requiert une gestion minutieuse de l heure pour garantir un bon fonctionnement. En effet, la tombée du système était dû à une différence de temps entre le serveur et l horloge atomique trop grande. La réponse au problème fut rapidement donnée au client grâce à une culture en logiciel libre, et plus généralement en informatique, de plus de 15 ans. Cela nous permis de faire un retour vers les développeurs de Samba pour déclarer le «bug» et faire en sorte que le problème soit plus visible et n engendre pas de tombée du système Monitoring La connaissance et l analyse de l état de son réseau, des serveurs et des services associés permettent de graduer les taux d utilisation et de prévoir les évolutions en amont des problèmes. Exosec propose deux solutions libres pour ces cas-ci, une analyse en temps réel et une historisation. Nagios Nagios, comme vue page 14, est également déployé chez les clients dans le cadre de projets. La gestion du parc et des services monitorés est simplifié grâce à la mise à disposition de scripts de gestion. Cacti Cacti est un outil d interrogation, à la différence de Nagios, il ne permet pas de générer d alertes, mais historise toutes les informations pour les stocker sous forme de graphes (voir page 37). Cela permet alors de visualiser les évolutions des services monitorés dans le temps et de prévoir les évolutions futures en fonction des résultats. L interface web de gestion et de visualisation est simple et bien pensée. Cet outil est basé sur des scripts d interrogation, il est alors extensible à tous les besoins spécifiques, générique ou non. Les données récoltées sont conservées sous forme de base RRD, outil dédié à la création de graphiques Réseau Tous les différents sous-systèmes présentés précédemment ne sont rien sans un réseau efficace et bien conçu. C est pourquoi Exosec dispose de nombreuses compétences dans les infrastructures réseaux et les services qui lui sont associés. Cisco Ici seront décrits les différents moyen opérer par Exosec pour parvenir à cet objectif. Cisco est l un des fournisseurs de matériels réseaux les plus rencontrés dans le marché grâce à des solutions de : switchs, routeurs,

30 Chapitre 3. Projets 29 de 38 concentrateurs VPN,... C est un domaine dans lequel Exosec se doit d être présent afin de répondre le plus largement aux requêtes d un client. Services de base Un réseau nécessite toujours certains services de bases permettant de partir de bon pied pour une exploitabilité opérationnelle, comme par exemple : NTP : Synchronisation des horloges, DHCP : Déploiements automatisé de la configuration IP des postes utilisateurs, DNS : Nom de domaine interne,... Ces services ne sont pas obligatoires, mais accentuent grandement la facilité de gestion d un parc. Relais Mail L utilisation d un relais de messagerie permet une réelle séparation fonctionnelle entre stockage et acception Performances Comme vue page 10, 1.2.1, la haute disponibilité est un secteur du marche internet au goût du jour. Exosec, spécialiste performance et haute disponibilité, propose à cette fin diverses solutions en plus du partage de charge HTTP. Le partage de charge, ou Load Balancing est le plus souvent appliqué au Web, notamment pour les sites de contenus (YouTube par exemple), mais les applications sont nombreuses : Messagerie : SMTP, IMAP, Jeux vidéos,... La haute disponibilité est un concept assurant qu un service soit être accessible à 100%. C est à dire qu en aucun cas les symptômes suivant doivent se faire ressentir (ici appliqué au Web) : Page blanche, Temps de chargement long, Bannière d indisponibilité (voir ratp.fr lors des grèves), Déconnexion des utilisateurs, Coupure en plein chargements,... Cette étape prend en compte la proposition de plusieurs solutions. Load Balancing Ce rôle comme expliqué page 24, est rendu grâce à HAProxy.

31 Chapitre 3. Projets 30 de 38 Redondance Il est important de s assurer que plusieurs méthodes d accès sont possible vers un service, cela passe par de multiples étapes de redondance, comme : Multiple opérateur de liens (ADSL, SDSL...), Serveurs dupliqués, Données dupliquées L utilisation d IP virtuelle entre plusieurs services est assurée grâce à VRRP Gestion des logs La gestion des logs est un point crucial, difficile d accès et différentes dans toutes les infrastructures. C est notamment l un point en cours d étude avec la Log Box. Toutefois Exosec propose différentes solution à ce sujet : Centralisation des logs grâce à syslog-ng, permettant l émission des logs syslog des Unix et Linux via TCP ou UDP, Scripts de récupération des logs de certains produits propriétaire Ceci dans le but d obtenir un point de stockage dédié à cet effet pouvant être redondé ou source de corrélation.

32 Chapitre 3. Projets 31 de Cas concret Voici quelques cas d applications de projets que j ai pu mener depuis mi-juillet Migration Checkpoint de «Client Grande Distribution» «Client Grande Distribution» est une centrale d achat du groupe «Magasin» pour la zone géographique du Sud de l Île de France. C est une coopérative gérée par les 23 magasins de ce secteur. L infrastructure employée, vieillissante et plus adaptée à l utilisation courante, une restructuration et rajeunissement du système de sécurité fut l objet d un appel d offre. Avant projet, voici les principales caractéristiques du réseau de «Client Grande Distribution» : Firewall centrale Checkpoint R55, Matériel Intrusion, plus supporté en France, Adressage IP public en interne, Magasins reliés via VPN vers la centrale, Tous les flux, dont Web, transitent par la centrale Le client utilise Checkpoint pour sa facilité de gestion et la centralisation de la configuration dans une seule interface permettant un déploiement rapide des nouvelles règles. Les points requis par le client sont les suivants : Rajeunissement du firewall centrale, Conserver l adressage IP public en interne, Remplacer tous les boîtiers Intrusion par un système supporté et maintenu, Conserver une interface centrale d administration (voir page 22), Prévoir une solution pour décharger de la centrale les flux des bornes d impression photographique (4Go quotidien) La solution proposée au client fut la suivante : Migration du firewall centrale vers la version R62, Remplacement des firewall de magasins par du Checkpoint Edge, boîtier léger de sécurisation pour petites structures, Mise en place de réseau particulier et ligne ADSL spécialisée pour les bornes photos La particularité de ce système sont les firewalls de magasins basés sur la solution Edge de Checkpoint. Ce sont des firewalls d entrée de gamme, peu puissants, mais suffisant pour la majorité des petites structures. Ce système hérite du savoir faire de Checkpoint et dispose de fonctionnalités avancées de filtrage applicatif en niveau 7 (IPS) par exemple le blocage des communications MSN encapsulées dans HTTP ou le filtrage anti-virus des s reçus et envoyés. Ces fonctions ont l inconvénient de descendre en flèche les performances. Il est également possible de le mettre en relation direct avec les firewalls centraux de «Client Grande Distribution» pour un déploiements centralisé des règles de filtrage, principal atout de Checkpoint. N ayant jamais déployé d Edge par le passé, des tests de performance ont été opérés. Ces tests ont été principalement centrés sur les performances de la navigation Web en jouant sur le nombres de règles

33 Chapitre 3. Projets 32 de 38 de filtrage et le niveau de filtrage applicatif. L outil de tests, inject29, à été développé par Willy Tarreau pour les tests de charge d HAProxy. Une fois de plus, cet outil est libre. Comme le montre le tableau 3.2 disponible en page 32, les fonctionnalités d IPS réduisent fortement les performances, loin de celles annoncées par la société éditrice. C est pourquoi nous avons directement contacté Checkpoint à ce propos. Fig. 3.2 Résultats des tests de performance du boîtier Edge Au fur et à mesure des échanges avec Checkpoint, toutes une batterie de tests différentes ont été fait. Cela n impactant pas les performances relevés, Checkpoint nous fournie une version du firmware Edge encore en cours de développement. La différence est alors flagrante et les différences de résultats obtenus entre un filtrage applicatif minimale et maximale sont plus réduit. Les performances globale du matériel ont été amélioré de 50%. L élaboration d une maquette, menée en deux semaines, montrée au client lui permis de valider la migration qui se déroulera début de l année Centralisation des logs de la mairie du Plessis Robinson L administration de la mairie du Plessis Robinson est composée d un trentaine de sites entre bâtiments administratif, écoles, bibliothèques... Tous disposent de boîtiers Sentineo pour les accès internet et interconnexion VPN. Ces boîtiers générant, autre entre, des logs d accès internet et d envoi d s, il nous était souvent demandé de fournir des statistiques ou journaux sur certaines périodes pour des raisons administratives. La multiplication de ces requêtes amena à la création d un projet d automatisation de cette tâche. C est pourquoi une solution de centralisation des logs dans la mairie fut mise en place.

34 Chapitre 3. Projets 33 de 38 Cette centralisation, basée sur syslog-ng, permet d émettre les journaux via la liaison VPN, et de procéder à un archivage. Les accès web était uniquement sujet à la création de statistiques. Ces statistiques reprennent les informations suivantes dans un fichier au format csv : Date, à la minute près, Poste utilisateur source, Site demandé, Nombre d accès fait pendant cette minute au site en question Morceau choisi de statistiques de l un des sites de la mairie du Plessis Robinson :... ; ;08:50:00; ;2;www.easysound.fr; ; ;08:51:00; ;4; ; ; ;08:52:00; ;3; ; ; ;08:53:00; ;3; ; ; ;08:53:00; ;1;copainsdavant.linternaute.com; ; ;08:53:00; ;1;mail2.voila.fr; ; ;08:54:00; ;1;urs.microsoft.com; ; ;08:54:00; ;4; ; ; ;08:54:00; ;1;copainsdavant.linternaute.com; ; ;08:55:00; ;3; ; ; ;08:55:00; ;2;copainsdavant.linternaute.com; ; ;08:55:00; ;1;www.electre.com; ; ;08:56:00; ;1;urs.microsoft.com;... Cet archivage créé, il devient alors possible de générer des statistiques et de mettre à disposition sur un serveur web interne les données stockées pour consultation ultérieur Migration messagerie Exosec L infrastructure de messagerie interne à Exosec est un point critique, car c est un lieu lieu de concentration de toutes les alertes et contact client. Ce système vieillissant et pas particulièrement performant fut l objet d une migration vers de nouveaux produits. Cette tâche m ayant été attribuée, voici une description de cette migration. Avant migration la messagerie était basés sur les éléments suivants : Arbre OpenLDAP 2.2, Courrier SMTP & IMAP, Archivage via hypermail Azote Ce projet fut conduit sur une période de deux semaines. Azote est le dernier serveur SMTP de la chaîne de messagerie en interne. Celui-ci est utilisé pour le stockage et la consultation via le protocole IMAP.

35 Chapitre 3. Projets 34 de 38 La distribution Linux installée sur ce serveur est Formilux. Choix technique Postfix et Dovecot (voir 3.2.5) sont les outils de dernière génération en terme de messagerie. Ils ont alors été choisis par défaut car également déployés en clientèle. Parallèlement, le passage en OpenLDAP 2.3 fut décider afin de rajeunir la couche gestion d utilisateurs. Cross compilation Formilux est libre, mais essentiellement utilisé par Exosec, c est pourquoi aucun paquet Formilux n est disponible dans les pages de téléchargement de Postfix ou de Dovecot. Ainsi une étape de compilation à partir des sources est indispensable pour un déploiement. Azote, sécurisé, ne dispose d aucun outil de compilation. C est la raison pour laquelle la cross compilation est l unique moyen de création d un paquet Formilux déployable sur Azote. Un serveur dédié à cet usage est disponible sous le nom d «i586» via l outil «pkg» de Formilux. De nombreux problèmes de dépendances amena à devoir compilé certaines librairies comme berkdb ou ssl car manquante sur le serveur de compilation mais présente sur Azote. Tests & Déploiement Les premiers tests de validation de fonctionnement des produits compilés furent opérés sur i586 directement. Une fois les adaptations de compilations réalisés, une installation des outils et dépendances manquantes sur Azote est nécessaire pour tester les produits en phase de pré-production. Cette phase fut menée à bien en séparant le processus en différentes étapes : Installation d OpenLDAP 2.3, Utilisation d un port non standard pour ne pas concurrencer l OpenLDAP de production (2389), Import dans le nouveau OpenLDAP de la base de production, Test d intégrité de la nouvelle base en comparaison de celle de production Installation de Postfix 2.3, Utilisation d un port non standard (2025), Mise en relation avec le nouveau serveur LDAP, Test d émission d en interne, Test d émission d vers un domaine extérieur, Test des alias d s virtuels OpenLDAP (listes) Installation de Dovecot 1.0.5, Utilisation d un port non standard (2143), Configuration et mise en relation avec le nouveau serveur LDAP, Test de consultation d s, Configuration des dossiers partagés, Intégration du filtrage Sieve

36 Chapitre 3. Projets 35 de 38 Production Une fois les tests validés avec l équipe technique d Exosec, l utilisation en production de ces nouveaux outils fut mise en place par les étapes suivantes : Retour vers des numéros de ports standard, Arrêt des anciens services, Redémarrages des nouveaux services, Retour à la phase de test Problématique non prévisible Quelques éléments non pris en charge pendant la phase d étude se sont révélés gênant lors de l utilisation : Archivage des s de support non assuré, Obligation de se réinscrire aux dossiers IMAP, Problèmes de droit sur les dossiers partagés, Réécriture des règles de trie et de filtrage La résolution de ses problèmes furent rapide, mais néanmoins impactant, ce qui value quelques périodes de coupure ou limitation de services Monitoring «Groupe Bancaire» Le «Groupe Bancaire» dispose d un large réseau composé de beaucoup de routeurs, switchs et serveurs mais ne disposait pas d outils de monitoring et de visualisation de l état du réseau. C est pourquoi je fut en charge du déploiements des outils suivants : Serveur spécialisé à cet usage sous CentOS, Cacti, pour la partie historisation, Développement d un outil temps réel de détection de disponibilité de serveur d un réseau Il existe déjà de nombreux outil de détection de réseaux, ceux-ci nécessitent un démon s exécutant en permanence sur le serveur, ce qui génère des flux réseaux en permanence. C est la raison du choix du développement de «fpingweb». Fpingweb se compose des éléments suivants : Fichier de configuration recensent les réseaux à explorer, Script shell CGI rendant les tâches suivantes : Découverte des machines présente sur le réseau à la première connexion (voir figure 3.3), Affichage dans un tableau des machines répondant à l appel avec différenciation de celles ne répondant plus (voir figure 3.4), Affichage également des temps d accès et taux de perte. Fpingweb est écrit en shell script car son rôle principal est de faire appel à fping pour la découverte et pour le calcul des temps d accès, et d en traiter la sortie pour une incorporation dans une page web.

37 Chapitre 3. Projets 36 de 38 Fig. 3.3 Découverte du réseau à la première connexion Fig. 3.4 Visualisation de l état des machines une fois la découverte terminée Cette page web est rafraîchie automatiquement et permet de suivre les évolutions d intervention sur un réseau couplé avec Cacti (voir figure 3.5). Le client satisfait de la solution a soulevé différents points qu il souhaiterait avoir dans le futur, dont voici les principaux : Possibilité de cacher les serveurs à l état OK, Parallélisation de l affichage web des requêtes, Page de configuration,... Ces différents points amenant à une évolution du projet, celui-ci sera très prochainement mis sous licence GPL et publié. La mise en place de ce projet s étala sur une durée d une semaine.

38 Chapitre 3. Projets 37 de 38 Fig. 3.5 Historique de temps de réponse d un serveur, le rouge montre les périodes d indisponibilités

Spécialiste Systèmes et Réseaux

Spécialiste Systèmes et Réseaux page 1/5 Titre professionnel : «Technicien(ne) Supérieur(e) en Réseaux Informatiques et Télécommunications» inscrit au RNCP de niveau III (Bac + 2) (J.O. du 19/02/2013) 24 semaines + 8 semaines de stage

Plus en détail

Administrateur Système et Réseau

Administrateur Système et Réseau Titre professionnel : Reconnu par l Etat de niveau II (Bac), inscrit au RNCP (arrêté du 28/01/09, J.O. n 32 du 07/02/09) (53 semaines) page 1/7 Unité 1 : Gestion du poste de travail 4 semaines Module 1

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

CAHIER DES CLAUSES TECHNIQUES

CAHIER DES CLAUSES TECHNIQUES CAHIER DES CLAUSES TECHNIQUES 1. Contexte Ce document décrit les différentes fournitures et prestations à mettre en œuvre dans le cadre du remplacement de la solution de proxy et firewall actuellement

Plus en détail

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique Titre professionnel : «Système et Réseau» Inscrit au RNCP de Niveau II (Bac) (J.O. du 07/02/09) 35 semaines + 16 semaines de stage (uniquement en formation continue) page 1/8 Unité 1 : Gestion du poste

Plus en détail

Eye-box 4.0 : Guide d installation rapide

Eye-box 4.0 : Guide d installation rapide Eye-box 4.0 : Guide d installation rapide INTRODUCTION... 2 CONSEILS ET PRINCIPES GENERAUX... 2 INSTALLATION D UNE EYE-BOX EN 8 ETAPES... 2 ETAPE 1 : MISE EN ROUTE ET CONNEXION AU RESEAU LAN... 2 ETAPE

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de Plateforme de Surveillance réseau et sécurité Solution SecurActive NSS SecurActive NSS est une plateforme de surveillance réseau et sécurité basée sur un moteur d analyse innovant. SecurActive NSS capture

Plus en détail

CENTRE DE RESSOURCES INFORMATIQUES IFMA -------

CENTRE DE RESSOURCES INFORMATIQUES IFMA ------- CENTRE DE RESSOURCES INFORMATIQUES IFMA ------- CONSULTATION POUR DEMANDE DE DEVIS CAHIER DES CHARGES RELATIF AU CHANGEMENT DU FIREWALL DE L IFMA --------------- Date limite d envoi de l'offre : 3 septembre

Plus en détail

1 Montage de l architecture

1 Montage de l architecture Étude de cas Sécurité des réseaux Xavier Skapin xavier.skapin@univ-poitiers.fr 28-29 Correction Montage de l architecture L objectif de cette étude est de monter une architecture sécurisée selon divers

Plus en détail

Configuration firewall. Cette fiche explique la configuration du firewall intégré à NetXServ. Version 2.0. Date 28/12/2011 Validation

Configuration firewall. Cette fiche explique la configuration du firewall intégré à NetXServ. Version 2.0. Date 28/12/2011 Validation Diffusion : Libre Restreinte Interne Configuration firewall Cette fiche explique la configuration du firewall intégré à NetXServ Version 2.0 Auteur JP MAJ DD Date 28/12/2011 Validation RESIX - 10, rue

Plus en détail

Dr.Web Les Fonctionnalités

Dr.Web Les Fonctionnalités Dr.Web Les Fonctionnalités Sommaire Poste de Travail... 2 Windows... 2 Antivirus pour Windows... 2 Security Space... 2 Linux... 3 Mac OS X... 3 Entreprise... 3 Entreprise Suite - Complète... 3 Entreprise

Plus en détail

Alinto Protect. Guide de l administrateur. Alinto Version 1.7

Alinto Protect. Guide de l administrateur. Alinto Version 1.7 Alinto Protect Guide de l administrateur Alinto Version 1.7 Index 1. Rappels sur Alinto Protect......................................................................... 1 1.1. Niveau 1 : relais de messagerie................................................................

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

Étendez les capacités de vos points de vente & sécurisez vos transactions.

Étendez les capacités de vos points de vente & sécurisez vos transactions. Solutions VPN Point Of Sales by NBS System Étendez les capacités de vos points de vente & sécurisez vos transactions. NBS System 1999-2012, all right reserved Managed Hosting & Security www.nbs-system.com

Plus en détail

1 LE L S S ERV R EURS Si 5

1 LE L S S ERV R EURS Si 5 1 LES SERVEURS Si 5 Introduction 2 Un serveur réseau est un ordinateur spécifique partageant ses ressources avec d'autres ordinateurs appelés clients. Il fournit un service en réponse à une demande d un

Plus en détail

SecurActive NSS-500. Plateforme de Surveillance réseau et sécurité

SecurActive NSS-500. Plateforme de Surveillance réseau et sécurité Plateforme de Surveillance réseau et sécurité Solution SecurActive NSS SecurActive NSS est une plateforme de surveillance réseau et sécurité basée sur un moteur d analyse innovant. SecurActive NSS capture

Plus en détail

MISE EN ŒUVRE D UNE ARCHITECTURE RESEAU SECURISEE A HAUTE DISPONIBILITE ET MIGRATION DES DONNEES SUR MACHINES VIRTUELLES

MISE EN ŒUVRE D UNE ARCHITECTURE RESEAU SECURISEE A HAUTE DISPONIBILITE ET MIGRATION DES DONNEES SUR MACHINES VIRTUELLES OFFRE N 2013/01/03 MISE EN ŒUVRE D UNE ARCHITECTURE RESEAU SECURISEE A HAUTE DISPONIBILITE ET MIGRATION DES DONNEES SUR MACHINES VIRTUELLES OBJET DE LA CONSULTATION : Ce marché vise dans un 1 er temps,

Plus en détail

Réf. 2402 Implémentation et gestion de Microsoft Exchange Server 2003

Réf. 2402 Implémentation et gestion de Microsoft Exchange Server 2003 Public Ce cours est destiné aux informaticiens qui gèrent une messagerie électronique dans un environnement comprenant entre 250 et 5000 utilisateurs, réparti sur de nombreux sites, utilisant divers protocoles

Plus en détail

expérience sur le Antispam au LAPP

expérience sur le Antispam au LAPP Retour d expd expérience sur le choix d une d solution Antispam au LAPP Muriel Gougerot Sylvain Garrigues 1/26 Le LAPP Laboratoire d Annecyd Annecy-le-Vieux de Physique des Particules UMR 5814 (Université

Plus en détail

ClaraExchange 2010 Description des services

ClaraExchange 2010 Description des services Solution ClaraExchange ClaraExchange 2010 Description des services Solution ClaraExchange 2010 2 CLARAEXCHANGE 2010... 1 1. INTRODUCTION... 3 2. LA SOLUTIONS PROPOSEE... 3 3. LES ENGAGEMENTS... 4 4. ENVIRONNEMENT

Plus en détail

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

SUJET DES FINALES NATIONALES Sujet jour 1 version 1 METIER 39 Administrateur Systèmes et Réseaux Informatiques SUJET DES FINALES NATIONALES Sujet jour 1 version 1 Planning de la journée : 8h00 8h15 : Lecture du sujet 8h15 8h30 : Questions / Réponses 8h30

Plus en détail

Pré-requis techniques

Pré-requis techniques Sommaire 1. PRÉAMBULE... 3 2. PRÉ-REQUIS TÉLÉCOM... 4 Généralités... 4 Accès Télécom supporté... 4 Accès Internet... 5 Accès VPN... 5 Dimensionnement de vos accès... 6 3. PRÉ-REQUIS POUR LES POSTES DE

Plus en détail

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Claire Billaud - 3ème année IS MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Page 1 sur 9 Principe : On veut faire en sorte que le réseau interne

Plus en détail

Notre scénario propose la mise en œuvre d un réseau informatique ERIC d une dizaine de postes informatiques géré par un ou deux serveurs.

Notre scénario propose la mise en œuvre d un réseau informatique ERIC d une dizaine de postes informatiques géré par un ou deux serveurs. RESEAU ERIC ET P2P I. Introduction : Ce document est destiné à vous aider dans la mise en œuvre d un réseau informatique adapté au besoin d un ERIC, sécurisé, en conformité avec la loi (loi relative à

Plus en détail

Smart Notification Management

Smart Notification Management Smart Notification Management Janvier 2013 Gérer les alertes, ne pas uniquement les livrer Chaque organisation IT vise à bien servir ses utilisateurs en assurant que les services et solutions disponibles

Plus en détail

Messagerie. Dominique MARANT CRI Lille 1. Octobre 2006

Messagerie. Dominique MARANT CRI Lille 1. Octobre 2006 Messagerie Dominique MARANT CRI Lille 1 Octobre 2006 Plan Adressage messagerie - Conventions USTL - Formes d adresses Rôle du correspondant messagerie Relais de messagerie -Trafic - Sécurité Lutte contre

Plus en détail

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble ASR4 réseaux Barrière de Sécurité Introduction Serveur de proximité, pare-feu IP, filtrage, architecture 1 Objectif des gardes barrières Protéger un environnement (vis à vis de l extérieur et de l intérieur)

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

Justification : infrastructure (service) de base pour l'ensemble des équipes, projets et services. Profil de la population concernée

Justification : infrastructure (service) de base pour l'ensemble des équipes, projets et services. Profil de la population concernée Annexe 4 : Fiche Service Messagerie Justification : infrastructure (service) de base pour l'ensemble des équipes, projets et services Profil de la population concernée o Métiers Ce projet concerne toutes

Plus en détail

Notre offre Système. systemes@arrabal-is.com

Notre offre Système. systemes@arrabal-is.com systemes@arrabal-is.com Généralités Généralités des systèmes Windows Les systèmes Microsoft sont au cœur du système d information de la majorité des entreprises, si bien qu environ 90% des postes utilisateurs

Plus en détail

Fourniture. d un système de gestion de messages électroniques. et d outils collaboratifs. d un système de protection anti-virus (en option)

Fourniture. d un système de gestion de messages électroniques. et d outils collaboratifs. d un système de protection anti-virus (en option) CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (C.C.T.P.) Fourniture d un système de gestion de messages électroniques et d outils collaboratifs d un système de protection anti-virus (en option) Pour le Centre

Plus en détail

Bénéfices de Citrix NetScaler pour les architectures Citrix

Bénéfices de Citrix NetScaler pour les architectures Citrix Bénéfices de Citrix NetScaler pour les architectures Citrix 15 novembre 2007 Auteurs: Mahmoud EL GHOMARI E-mail: mahmoud.elghomari@eu.citrix.com Stéphane CAUNES E-mail: stephane.caunes@eu.citrix.com Riad

Plus en détail

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables Firewall, Virus, Spam Administration Système et Réseaux, Sécurité Firewall, Spam, Virus Philippe Harrand Firewall Généralités Définitions Mise en oeuvre iptables 1 Departement Informatique Pôle Sciences

Plus en détail

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET LINUX REDHAT, SERVICES RÉSEAUX/INTERNET Réf: LIH Durée : 4 jours (7 heures) OBJECTIFS DE LA FORMATION Ce cours pratique vous permettra de maîtriser le fonctionnement des services réseaux sous Linux RedHat.

Plus en détail

quelles conséquences pour la documentation en ligne?

quelles conséquences pour la documentation en ligne? Structure et évolutions de l Internet p.1/23 Structure et évolutions de l Internet quelles conséquences pour la documentation en ligne? JOËL MARCHAND jma@math.jussieu.fr GDS 2754 Mathrice Où en est l Internet?

Plus en détail

I. Description de la solution cible

I. Description de la solution cible CAHIER DES PRESCRIPTIONS TECHNIQUES DE L APPEL D OFFRES N 08 /13 E A C C E OBJET : MISE EN PLACE D UNE SOLUTION DE SECURITE INFORMATIQUE EN LOT UNIQUE I. Description de la solution cible Dans le cadre

Plus en détail

MailCube MC 2. 2,5 jours / homme / an. 33 milliards de kwh. 17 millions de. 3,1 millions de. nouvelle génération. Le spam en quelques chiffres :

MailCube MC 2. 2,5 jours / homme / an. 33 milliards de kwh. 17 millions de. 3,1 millions de. nouvelle génération. Le spam en quelques chiffres : Le spam en quelques chiffres : Pour faire face à cet afflux de courriers électroniques non désirés Vade Retro Technology lance une nouvelle génération de sa solution appliance MailCube. Le nouveau boîtier

Plus en détail

PROJET SÉCURITÉ. Equipe Défense. Pôle Services : Guillaume COTTIN Youri JEAN-MARIUS. Pôle Interconnexion : Ilias DJOUAI Fabien PEYRONNET

PROJET SÉCURITÉ. Equipe Défense. Pôle Services : Guillaume COTTIN Youri JEAN-MARIUS. Pôle Interconnexion : Ilias DJOUAI Fabien PEYRONNET PROJET SÉCURITÉ Equipe Pôle Interconnexion : Ilias DJOUAI Fabien PEYRONNET Pôle Services : Guillaume COTTIN Youri JEAN-MARIUS Pôle Utilisateurs : Philippe BEAUGENDRE Vincent LARRIBAU Pôle Communication

Plus en détail

Comparatif avec Microsoft Exchange

Comparatif avec Microsoft Exchange Comparatif avec Microsoft Exchange Page 1/11 Sommaire Résumé...3 MDaemon vs Exchange...4 Coût total de possession (TCO)...4 Configuration et ressources requises...4 Sécurité...5 MDaemon : la solution pour

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

LA GAMME UCOPIA VIRTUALISéE. www.ucopia.com

LA GAMME UCOPIA VIRTUALISéE. www.ucopia.com LA GAMME UCOPIA VIRTUALISéE www.ucopia.com L appliance virtuelle UCOPIA est destinée aux organisations moyennes à grandes. Cette gamme répond aux besoins des environnements multi-sites et propose toutes

Plus en détail

Contrôle d accès Centralisé Multi-sites

Contrôle d accès Centralisé Multi-sites Informations techniques Contrôle d accès Centralisé Multi-sites Investissement et exploitation optimisés La solution de contrôle d accès centralisée de Netinary s adresse à toute structure souhaitant proposer

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

White Paper - Livre Blanc

White Paper - Livre Blanc White Paper - Livre Blanc Développement d applications de supervision des systèmes d information Avec LoriotPro Vous disposez d un environnement informatique hétérogène et vous souhaitez à partir d une

Plus en détail

Mise à jour de sécurité

Mise à jour de sécurité Release Notes - Firmware 1.6.3 Mise à jour de sécurité Pourquoi ce firmware? Cette mise à jour a pour objectif de renforcer la sécurité du produit MailCube et apporte également des nouvelles fonctionnalités

Plus en détail

PACK SKeeper. Descriptif du Pack SKeeper : Equipements

PACK SKeeper. Descriptif du Pack SKeeper : Equipements PACK SKeeper Destinée aux entreprises et aux organisations de taille moyenne ( 50 à 500 users ) fortement utilisatrices des technologies de l'information (messagerie, site web, Intranet, Extranet,...)

Plus en détail

Chapitre 1 Comment se connecter à Internet... 13

Chapitre 1 Comment se connecter à Internet... 13 Chapitre 1 Comment se connecter à Internet... 13 1.1 Adresse IP permanente ou temporaire... 16 1.2 Débit d une connexion... 16 1.3 Utilisation occasionnelle (RTC, Numéris)... 20 RTC... 20 RNIS... 24 1.4

Plus en détail

Mettre en place un accès sécurisé à travers Internet

Mettre en place un accès sécurisé à travers Internet Mettre en place un accès sécurisé à travers Internet Dans cette partie vous verrez comment configurer votre serveur en tant que serveur d accès distant. Dans un premier temps, les méthodes pour configurer

Plus en détail

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING..

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING.. I) Introduction : Il existe trois tables : Filter : C est la table par défaut qui permet le filtrage des paquets. Elle ne modifie pas le contenu des paquets. Elle est constituée de trois chaînes : INPUT,

Plus en détail

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ LAB : Schéma Avertissement : l exemple de configuration ne constitue pas un cas réel et ne représente pas une architecture la plus sécurisée. Certains choix ne sont pas à prescrire dans un cas réel mais

Plus en détail

«clustering» et «load balancing» avec Zope et ZEO

«clustering» et «load balancing» avec Zope et ZEO IN53 Printemps 2003 «clustering» et «load balancing» avec Zope et ZEO Professeur : M. Mignot Etudiants : Boureliou Sylvain et Meyer Pierre Sommaire Introduction...3 1. Présentation générale de ZEO...4

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public.

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. TP 8.1 ÉTUDE D UN FIREWALL OBJECTIFS Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. PRÉ-REQUIS Système d exploitation

Plus en détail

Administration des ressources informatiques

Administration des ressources informatiques 1 2 La mise en réseau consiste à relier plusieurs ordinateurs en vue de partager des ressources logicielles, des ressources matérielles ou des données. Selon le nombre de systèmes interconnectés et les

Plus en détail

Linux. Monter son. serveur de mails. sous. Postfix Pop/IMAP Webmail

Linux. Monter son. serveur de mails. sous. Postfix Pop/IMAP Webmail Magnus Bäck Patrick Ben Koetter Ralf Hilderbrandt Alistair McDonald David Rusenko Carl Taylor Monter son serveur de mails Linux sous Postfix Pop/IMAP Webmail Antispam/antivirus Sauvegardes Traduit et adapté

Plus en détail

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement COREYE CACHE Solution d absorption de charge pour une disponibilité et une performance optimales des applications Web En bref Architecture technique La plateforme Coreye Cache délivre la majeure partie

Plus en détail

Travail de Fin d Etudes

Travail de Fin d Etudes 4ème Informatique 27 juin 2005 Travail de Fin d Etudes Supervision Centralisée d Infrastructures Distantes en Réseaux avec Gestion des Alarmes et Notification des Alertes TFE réalisé au sein de la société

Plus en détail

Dossier d architecture technique

Dossier d architecture technique Dossier d architecture technique Détail du document Projet Emetteurs Destinataire Conception d une solution IPBX multiservices Minh-Truong LAM Clément FAUCHER Morgan MONTES Antoine COTTEN Steve DANEROLLE

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

Cahier des Clauses Techniques Particulières. Convergence Voix - Données Cahier des Clauses Techniques Particulières Convergence Voix - Données SOMMAIRE - Objet du document et du marché - Contexte et périmètre du projet - Configurations existantes et besoins - Services attendus

Plus en détail

La gamme Advance UCOPIA. www.ucopia.com

La gamme Advance UCOPIA. www.ucopia.com La gamme Advance UCOPIA www.ucopia.com La gamme UCOPIA Advance est destinée aux organisations moyennes à grandes, déployant sur un ou de nombreux sites, pour l accès à des applications et services critiques,

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

Projet Système & Réseau

Projet Système & Réseau Olivier Raulin CSII3 Epsi Nantes Projet Système & Réseau Mise en place d une infrastructure systèmes et réseaux Ce document a pour but d expliquer la démarche de recherche, et d expliquer les choix techniques

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

SOLUTIONS DE COMMUNICATION POUR PME

SOLUTIONS DE COMMUNICATION POUR PME SOLUTIONS DE COMMUNICATION POUR PME Alcatel OmniPCX Office La solution de communication globale adaptée aux besoins de votre entreprise VOIX, DONNÉ LA SOLUTION DE UNE SOLUTION UNIQUE POUR RÉPONDRE À TOUS

Plus en détail

Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants

Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants JRES 2003 Lille, 20 novembre 2003 Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants Marie-Claude QUIDOZ & Catherine GRENET CNRS/UREC Évolution de l architecture de réseau /

Plus en détail

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction scientifique et technique Laboratoire Technologies de l Information

Plus en détail

PACK SKeeper Multi = 1 SKeeper et des SKubes

PACK SKeeper Multi = 1 SKeeper et des SKubes PACK SKeeper Multi = 1 SKeeper et des SKubes De plus en plus, les entreprises ont besoin de communiquer en toute sécurité avec leurs itinérants, leurs agences et leurs clients via Internet. Grâce au Pack

Plus en détail

Administration réseau Iptables et NAT

Administration réseau Iptables et NAT Administration réseau Iptables et NAT A. Guermouche A. Guermouche Cours 4 : Iptables et NAT 1 Plan 1. Logiciels de filtrage de paquets 2. Ipfwadm 3. Ipchains 4. Iptables A. Guermouche Cours 4 : Iptables

Plus en détail

OCLOUD BACKUP GUIDE DE REFERENCE POUR WINDOWS

OCLOUD BACKUP GUIDE DE REFERENCE POUR WINDOWS OCLOUD BACKUP GUIDE DE REFERENCE POUR WINDOWS http://ocloud.pripla.com/ Copyright 2014 Private Planet Ltd. Certaines applications ne sont pas disponibles dans tous les pays. La disponibilité des applications

Plus en détail

Release Notes POM v5

Release Notes POM v5 Release Notes POM v5 POM Monitoring http://www.pom-monitoring.com Ce document est strictement réservé à l usage de la société POM Monitoring. Il ne peut être diffusé ou transféré sans l autorisation écrite

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

DESCRIPTION DU CONTEXTE INFORMATIQUE ET MISE EN PLACE DU CONTEXTE

DESCRIPTION DU CONTEXTE INFORMATIQUE ET MISE EN PLACE DU CONTEXTE DESCRIPTION DU CONTEXTE INFORMATIQUE ET MISE EN PLACE DU CONTEXTE Sommaire Description du réseau GSB... 2 Réseau GSB original... 2 Réseau GSB utilisé en PPE... 2 Liste des s de l'infrastructure... 3 Implémentation

Plus en détail

DOCUMENTATION DU COMPAGNON ASP

DOCUMENTATION DU COMPAGNON ASP DOCUMENTATION DU COMPAGNON ASP MANUEL UTILISATEUR VERSION 1.0 / SEPTEMBRE 2011 Rédacteur Gilles Mankowski 19/09/2011 Chapitre : Pre requis CONTENU Pre requis... 3 Introduction... 3 Comment fonctionne l'asp?...

Plus en détail

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage Licence 3 Systèmes et Réseaux II Chapitre V : Filtrage Département IEM / UB Eric.Leclercq@u-bourgogne.fr Bureau G212 Aile des Sciences de l Ingénieur Mise-à-jour : février 2009 (Département IEM / UB) Filtrage

Plus en détail

Créer et partager des fichiers

Créer et partager des fichiers Créer et partager des fichiers Le rôle Services de fichiers... 246 Les autorisations de fichiers NTFS... 255 Recherche de comptes d utilisateurs et d ordinateurs dans Active Directory... 262 Délégation

Plus en détail

Catalogue «Intégration de solutions»

Catalogue «Intégration de solutions» Catalogue «Intégration de solutions» 1 Nos prestations Offre 01 Offre 02 Offre 03 Offre 04 Offre 05 Offre 06 Offre 07 Offre 08 Offre 09 Offre 10 Offre 11 Offre 12 Offre 13 Offre 14 Offre 15 Offre 16 Antivirus

Plus en détail

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks) Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks) TODARO Cédric Table des matières 1 De quoi s agit-il? 3 1.1 Introduction........................................... 3 1.2 Avantages............................................

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Ce manuel vous accompagne au long des procédures d installation et de restauration de PheBuX 2004 [alternative solutions]

Ce manuel vous accompagne au long des procédures d installation et de restauration de PheBuX 2004 [alternative solutions] Version 2004 Ce manuel vous accompagne au long des procédures d installation et de restauration de PheBuX 2004 [alternative solutions] Il vous permet aussi de vous familiariser avec le fonctionnement de

Plus en détail

Claudie Maurin GSI 09/2013 1

Claudie Maurin GSI 09/2013 1 1 2 Internet : une architecture client/serveur Le serveur : fournisseur de données Les données sont fournies par un ensemble de postes serveurs interconnectés qui abritent la base de données répartie à

Plus en détail

La gamme express UCOPIA. www.ucopia.com

La gamme express UCOPIA. www.ucopia.com La gamme express UCOPIA www.ucopia.com UCOPIA s adresse principalement aux petites organisations (Hôtels, PME, Cliniques, Etablissements secondaires...). Produit ayant obtenu en 2010 la Certification de

Plus en détail

IPBX SATURNE. Spécifications Techniques

IPBX SATURNE. Spécifications Techniques IPBX SATURNE Spécifications Techniques Référence : SPE-AMP-4521-30/01/11 AMPLITUDE Réseaux et Systèmes SIRET : 454 01116400026 N de TVA Intra-communautaire :FR50454011164 Mail : technique@amplitude-rs.com

Plus en détail

Bénéficier des outils de partage de Microsoft Outlook avec le serveur MDaemon.

Bénéficier des outils de partage de Microsoft Outlook avec le serveur MDaemon. Bénéficier des outils de partage de Microsoft Outlook avec le serveur MDaemon. 1/23 Sommaire Introduction... 3 À propos de MDaemon... 3 À propos de Alt-N Technologies... 3 Outlook Connector et travail

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

Phase 1 : Introduction 1 jour : 31/10/13

Phase 1 : Introduction 1 jour : 31/10/13 Programme de formation Agence Nord Armand DISSAUX Tel. 03 59 39 13 42 Mob. 06 72 48 13 12 @ adissaux@capensis.fr Session Linux 31 Octobre au 20 Décembre 2013 (31 jours soient 232h30) Phase 1 : Introduction

Plus en détail

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition) Introduction 1. Introduction 13 2. Le choix de l'ouvrage : Open Source et Linux Ubuntu 13 2.1 Structure du livre 13 2.2 Pré-requis ou niveau de connaissances préalables 13 3. L'objectif : la constitution

Plus en détail

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique Fiche Technique Cisco Secure Access Control Server Solution Engine Cisco Secure Access Control Server (ACS) est une solution réseau d identification complète qui offre à l utilisateur une expérience sécurisée

Plus en détail

Ingénierie des réseaux

Ingénierie des réseaux Ingénierie des réseaux Services aux entreprises Conception, réalisation et suivi de nouveaux projets Audit des réseaux existants Déploiement d applications réseau Services GNU/Linux Développement de logiciels

Plus en détail

Guide administrateur AMSP

Guide administrateur AMSP Guide administrateur AMSP Alinto Version Auteur Date Remarque V1.0 Nicolas Polin 19/10/2015 - Lyon Paris Köln Madrid Table des matières 1. Introduction... 3 2. Se connecter à Factory... 3 3. Gestion des

Plus en détail

11/04/2014 Document Technique des Services Disponibles. 16/04/2014. Document Technique des Services Disponibles.

11/04/2014 Document Technique des Services Disponibles. 16/04/2014. Document Technique des Services Disponibles. 16/04/2014 Document Technique des Services Disponibles. 1 Sommaire Schéma de l infrastructure réseau... 3 Détail des configurations... 5 Identifiants de connexions.... 8 2 Schéma de l infrastructure réseau

Plus en détail

Sécurité des systèmes d information les firewalls

Sécurité des systèmes d information les firewalls Sécurité des systèmes d information les firewalls 1 Plan Définition et notions générales L offre Firewall actuelle Conception d une architecture sécurisée par firewall Administration et maintenance 2 Aperçu

Plus en détail

Dispositif e-learning déployé sur les postes de travail

Dispositif e-learning déployé sur les postes de travail Résumé : Ce document fait l inventaire du matériel et des moyens nécessaires à la production de sessions de formation à distance à partir des postes de travail des salariés bénéficiant d une connexion

Plus en détail

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual RESEAUX TCP/IP: NOTIONS AVANCEES Preparé par Alberto EscuderoPascual Objectifs... Répondre aux questions: Quelles aspects des réseaux IP peut affecter les performances d un réseau Wi Fi? Quelles sont les

Plus en détail