Rapport d activité Bertrand Jacquin Exosec

Dimension: px
Commencer à balayer dès la page:

Download "Rapport d activité 2007. Bertrand Jacquin Exosec"

Transcription

1 Rapport d activité 2007 Bertrand Jacquin Exosec Maître de stage : Benoît Dolez c Copyright 2007, Bertrand Jacquin 8 décembre 2007

2

3 Remerciements Je tiens à remercier tout particulièrement : Benoît Dolez, directeur technique d Exosec, pour ses conseils au quotidien mais également sur les nombreuses connaissances qu il m a transmis, Christophe Pouillet, directeur d Exosec et d Exceliance, pour m avoir accueilli au sein de sa société, Tous mes collègues de travail pour leur sympathie et leurs impressionnantes expériences.

4 Table des matières Remerciements 2 Table des matières 4 Table des figures 5 Introduction 6 1 Exosec, Architecte de sérénité Exosec Services managés Analyse de journaux Projets Prestation Veille Technologique Exceliance Produits Aloha Lan Defender Sight Flow Log Box Mes activités chez Exosec Activité en cours Support Réactivité Monitoring Évaluation du problème Revenir à la source Résolution Documentation Évolution en mode projet Projets Interprétation des besoins clients Étude de faisabilité Scénarii Chiffrage Temps horaire Coût matériel Réalisation

5 Table des matières 4 de Firewall NetFilter Checkpoint Réseau privé virtuel OpenVPN IPSec Filtrage web Apache HAProxy Squid Installation de serveurs CentOS/RedHat Tiers Messagerie Postfix Protection Anti-Spam & Anti-Virus Dovecot Annuaire OpenLDAP Interopérabilité Active Directory Demandes ponctuelle Monitoring Nagios Cacti Réseau Cisco Services de base Relais Mail Performances Load Balancing Redondance Gestion des logs Cas concret Migration Checkpoint de «Client Grande Distribution» Centralisation des logs de la mairie du Plessis Robinson Migration messagerie Exosec Azote Choix technique Cross compilation Tests & Déploiement Production Problématique non prévisible Monitoring «Groupe Bancaire» Conclusion 38

6 Table des figures 1.1 Organigramme Exemple de déploiement de services managés Intégration d un Aloha dans une société composée de deux serveurs web Exemple d application du Lan Defender Sight Flow Log Box Alertes Nagios pour charge trop importante Interface centralisée de configuration Dashboard Résultats des tests de performance du boîtier Edge Découverte du réseau à la première connexion Visualisation de l état des machines une fois la découverte terminée Historique de temps de réponse d un serveur, le rouge montre les périodes d indisponibilités 37 5

7 Introduction Ce document fait l objet du rapport des activités que j ai pu mener durant la seconde moitié de l année 2007 au sein d Exosec dans le cadre de la troisième années de mes études en alternance à l ETNA. L année 2007 fut riche en mouvement, de par un intensification des enseignements à l ETNA, mais également de mon changement de société, passant de 3S à Exosec. La première moitié de l année a été essentiellement consacrée à un passage de compétence vers David Picou, maintenant responsable de l ordonnancement du SI de facturation d Orange Haut Débit à Marseille. L opportunité m ayant été donnée par Exosec de changer de direction pour un métier centré vers l Open Source, les réseaux, la sécurité et les performances, c est un choix auquel je ne pouvais que répondre positivement. Ces techniques sont le fruit d un passion mûrie depuis de nombreuses années que je peut enfin mettre en application dans une société mêlant expertises, recherches et développements. Ainsi sont présentés dans ce document ma société, Exosec et sa petite soeur Exceliance. Ensuite sont détaillés les deux majeurs parties de mon travail : Support et projets, avec des cas d applications de ceux-ci. 6

8 Chapitre 1 Exosec, Architecte de sérénité Le Groupe Exosec 1 a été créé en 2002 par une équipe issue du milieu du conseil et de l expertise en architecture réseaux et systèmes. L équipe bénéficie d une expérience pointue dans les domaines de la sécurité informatique, de l optimisation des infrastructures et des solutions du monde Open Source. Exosec élargissant son activité vers la maîtrise préventive des flux et l optimisation des infrastructures réseaux, Exceliance 2 devint alors une entité rattachée à Exosec. Le groupe Exosec est très attaché au monde du logiciel libre et le prouve chaque jour en s impliquant dans différents projets libres comme HAProxy (Reverse Proxy) ou le noyau Linux, plus particulièrement la branche 2.4 maintenu par Willy Tarreau. Les deux sociétés ont été créées par Christophe Pouillet, Benoît Dolez et Willy Tarreau et totalisent, actuellement, un effectif de huit employés. Fig. 1.1 Organigramme 1 Exosec : http ://www.exosec.fr 2 Exceliance : http ://www.exceliance.fr 7

9 Chapitre 1. Exosec, Architecte de sérénité 8 de Exosec Services managés L une des principales activités d Exosec est la mise en place de services managés dans le domaine de la sécurité des réseaux : firewall : protection des entrées/sorties du réseau, proxy : filtrage des accès web, relais SMTP : filtrage anti-spam, concentrateur VPN : interconnexion de sites ou travail à domicile, anti-virus : protection des s et fichiers,... Ces équipements, nommés Sentineo, se retrouvent chez les différents clients d Exosec 3 sous la forme de boîtes dédiés à ces usages. Celles-ci sont gérées exclusivement par la société (mise à jour, surveillance, archivage) et sont basées exclusivement sur des logiciels libres. Une liaison internet privée est installée et permet d accéder aux différents éléments du réseau gérés par nos soins. Par ce lien, sont également mis en place la surveillance d état des différents services et la remontée des journaux. Les différents éléments d exploitation se retrouvent sous la forme d un firmware, moins sensible aux attaques externes, basés sur la distribution Linux Formilux 4 développé au sein d Exosec. Fig. 1.2 Exemple de déploiement de services managés Ces services sont proposés avec un contrat de support téléphonique et une intervention sur place. 3 Groupe Flo, Scadif, Mairie du Plessis Robinson, Conseil Général de l Oise, CIF... 4 Formilux : http ://www.formilux.org

10 Chapitre 1. Exosec, Architecte de sérénité 9 de Analyse de journaux Internet, et plus généralement le réseau, devenant plus que jamais central à toute activité des entreprises, il est important de quantifier et d évaluer les différents trafics des utilisateurs et les tentatives d accès depuis l extérieur. C est pourquoi de nombreux clients sont amenés à solliciter l expertise d Exosec dans ce domaine afin d évaluer les risques et les impacts de la sécurité actuelle en vue de revoir leur réseau et la sécurité qui lui est associée. Les journaux (logs) des firewall et proxy nous sont alors transmis, généralement tous les trois mois, et sont suivis d un rapport objectif sur l état des lieux et la criticité courante de l architecture utilisée Projets La réputation d Exosec dans le domaine des réseaux et de la sécurité nous amène très fréquemment à être consulté pour la mise en place de projets, comme par exemple l intégration de la Voix sur IP dans un réseau multi-site Prestation Certaines grosses sociétés disposant d un réseau d une grande envergure nécessitant des besoin particuliers, comme la métrologie adaptative, exploitabilité ou intégration font souvent appel à Exosec dans le but de concevoir, mettre en place et exploiter la solution mise en œuvre. Ces prestations se faisant sur le long terme, deux à trois jours complets par semaine sont attribués au client afin de poursuivre les travaux en cours sur les projets à plus court terme Veille Technologique Toujours à la recherche d outils plus performants, plus adaptés, de suivis d évolution des nouvelles technologies, Exosec porte une grande attention à la veille technologique. C est un investissement en durée qui permet de mieux correspondre aux attentes des clients et garder ainsi la tête haute dans un milieu qui se développe très vite.

11 Chapitre 1. Exosec, Architecte de sérénité 10 de Exceliance Exceliance est née après analyse des différents attentes des clients d Exosec en matière de fiabilisation et maîtrise des réseaux. Ces besoins pouvant être concentrés en matériel gérés par les clients, différentes appliances ont été créées alors que d autre voient le jour Produits Tous les produits développés par Exceliance sont basés sur la distribution Linux Formilux et disposent d interface conviviales de configuration : Web et texte. Aloha Web 2.0 et l augmentation des débits des particuliers à contraint les fournisseurs de contenus (vidéos, musiques...) à revoir leur architecture réseau. Un seul serveur web ne suffit plus à fournir la masse de clients de moins en moins patients et désireux d une indisponibilité quasi nulle, une architecture de type Load Balancing 5 est indispensable. Différentes sociétés proposent déjà ce type de service à des coûts non négligeables, la solution technique employée par l Aloha rend le service à moindre frais et tout aussi fonctionnel. L Aloha est basé sur HAProxy, Reverse Proxy HTTP et TCP en mode coupure. Plusieurs interfaces de configuration sont disponible : Une interface web intuitive permet une prise en main rapide, Une interface en mode console pour les utilisateurs avancés Fig. 1.3 Intégration d un Aloha dans une société composée de deux serveurs web 5 Load Balancing, «partage de charge», à ne pas confondre avec «Haute disponibilité».

12 Chapitre 1. Exosec, Architecte de sérénité 11 de 38 Lan Defender L un des besoins retenu était de pouvoir contrôler les utilisateurs d une société à un rôle précédemment établi : ne pouvoir accéder qu à certain département d une société ou différencier l utilisateur occasionnel (prestataire) d employé fixe, afin d éviter toute dissipation et concentration dans le travail sollicité. Le Lan Defender se place donc comme carrefour de toutes les communications des postes utilisateurs. Fig. 1.4 Exemple d application du Lan Defender Sight Flow Ce produit se situe pour les sociétés ne souhaitant pas mettre en place un Lan Defender mais désirant tout de même des informations quant aux usages des utilisateurs fait d un réseau. Celui se place en pont transparent, et analyse tous les flux réseaux pour en générer des rapports et graphiques. Il permet d analyser des flux jusqu à 1Gb par seconde sans ressentir un ralentissement particulier. Fig. 1.5 Sight Flow

13 Chapitre 1. Exosec, Architecte de sérénité 12 de 38 Log Box La Log Box est encore au stade d étude et prend sa source suite à de nombreux projets de centralisation de logs mis en place chez des clients d Exosec. Cet outil se veut un moyen simple de centraliser les journaux dans le but d une corrélation. Fig. 1.6 Log Box

14 Chapitre 1. Exosec, Architecte de sérénité 13 de Mes activités chez Exosec Depuis mon intégration à Exosec mi juillet, mon travail est concentré essentiellement sur la partie projet et support en binôme avec Benoît Dolez. Les différents projets à mettre en œuvre ont été les suivants : Tests de solutions de synchronisation entre poste Linux et PDA, Rajeunissement du système de messagerie interne, Migration de firmware de Sentineo au Groupe Flo, Mise en place d une solution de centralisation de logs pour les différents éléments de l administration de la mairie du Plessis Robinson, Maquettage de migration Checkpoint pour «Client de grande distribution», Activité en cours Depuis mi-novembre mon travail se situe en prestation pour Internet FR, dans le département Production.

15 Chapitre 2 Support Telles les explications citées précédemment, de nombreux clients bénéficiant de services managés disposent d un contrat de support. Ainsi ces clients peuvent nous contacter, par ou par téléphone, afin de nous remonter les problèmes ou limitations rencontrés. Un contrat de support inclus un nombre définie de ticket selon le tarif appliqué. Une assistance vaut pour un ticket. Les tickets sont vendus par lots qu il est possible de renouveler après épuisement. Selon les contrats et selon l indisponibilité engendrée, un déplacement sur place dans une période définie est possible. Le support se fait en parallèle du mode projet tout en demeurant prioritaire. Compétences requises Comprendre et résoudre l appel d un client est capital, cela nécessite par conséquent de larges connaissances dans le domaine des réseaux, de Linux et des outils Open Source et en particulier : Pile réseaux : TCP/IP, Ethernet, VLAN, Outils de sécurité : Netfilter, OpenVPN, Outils d analyse : tcpdump, pcap, strace, Logiciels libres : web, mail, proxy, voix sur IP, Lecture et écriture de scripts (shell, perl),... La phase importante est le dialogue avec le client afin de centrer au plus juste le problème et ainsi permettre une résolution très rapide. 2.1 Réactivité Allez droit au but et résoudre rapidement une requête est l un des points clé pour la fidélisation des clients Monitoring Les clients managés disposent tous d une surveillance des services de son réseau : État des lignes ADSL, État des services VPN, 14

16 Chapitre 2. Support 15 de 38 Messagerie fonctionnelle, Surveillance des espaces disques, Surveillance de la charge,... Une alerte génère un et trois bips dans le local serveur. Cela nous permet d être averti immédiatement des problèmes rencontrés sur les service surveillés, et ainsi d intervenir rapidement, dans le meilleur des cas sans que le client ne s en rende compte. Le système de monitoring utilisé est Nagios, outil libre, il est de plus en plus connu pour ses nombreuses qualités : Open Source, Analyse SMTP, HTTP, Load, température, espace disque,... Facilité d extension, Alertes , SMS, Interface Web agréable, Gestion d historique,... Fig. 2.1 Alertes Nagios pour charge trop importante 2.2 Évaluation du problème Il faut bien noter qu un problème remonté par un client peut avoir plusieurs niveaux de gravité. On nuancera par exemple un rejet d envoi d un dû à des pièces jointes trop volumineuses, d une tempête de broadcast. Lorsque plusieurs demandes au support sont faites en parallèle, une priorité est nécessaire.

17 Chapitre 2. Support 16 de Revenir à la source Connaître l environnement du client demandeur est essentiel afin de repérer les points défectueux. Par exemple certains clients possédant un réseau multi-site inter-connectés via des VPN peuvent souvent rencontrer des problèmes de lenteurs si l une des lignes ADSL est tombée. Il arrive également souvent qu une difficulté rencontrée par un client soit due à une source tout à fait extérieure et que le problème remonté n en soit que la conséquence. Exemple : Le «Groupe Bancaire» nous contacte car la téléphonie sur IP fonctionne dans quelques bureaux de certains étages, mais pas ailleurs alors qu il n existe qu un seul concentrateur de téléphone (IPBX) dans tous le bâtiment du «Groupe Bancaire». Ne disposant uniquement d accès sur les firewalls du «Groupe Bancaire» et sur les boîtiers ADSL, une analyse du flux est possible. Ainsi en «écoutant» le trafic avant et après l IPBX lors d un appel depuis différent bureaux, il est possible de localiser la zone de perturbation. En effet, les flux fonctionnant étaient bien marqués dans le bon VLAN, alors que les autres n étaient pas du tout marqués. Ce qui implique un problème de configuration ou de câblage au niveau des switchs. Une opération de maintenance avant été opérée la veille par un prestataire extérieur sans que celui-ci ne prenne considération tous les éléments présents sur le réseau du «Groupe Bancaire». L exemple choisi ici est simple. Mais il s avère souvent que cela n est pas le cas comme par exemple des cartes ou câbles réseaux défectueux. Le principe restant le même, une analyse précise et attentionnée des actions menées et des résultats obtenus mènent toujours à un satisfaction du client. 2.4 Résolution Une fois le problème repéré, il est de notre ressort d évaluer le temps de reprise sur indicent. Il arrive parfois que de simple ticket se voit devenir des projets du fait d un périmètre trop élargi pour être réglé suffisamment rapidement. Lorsqu un problème est dû à un matériel géré par Exosec ou que celui-ci n est pas géré par un prestataire extérieur nous intervenons directement en accord avec le client. Exemple : Le relais SMTP du CG60 utilise IMSS, solution de relais SMTP avec des capacités de filtrage anti-spam et anti-virus, qui nécessite beaucoup d espace disque pour les messages mis en quarantaine. Plus le nombre d s mis en quarantaine est grand, plus les performances d IMSS s écroulent. Ici un simple déplacement de la quarantaine dans un espace dédié à l archivage résout des problèmes de latences excessives lors d émission ou réception d s. 2.5 Documentation L équipe de support n étant pas toujours sur place, car éventuellement en prestation chez le client, il est impératif d apprécier le problème rencontré, les sources apparentes et la méthode de résolution. Ceci permet de garder un historique complet de chacun des clients et des sources logiciel ou matériel les plus génératrices de problèmes, mais également d éviter de perdre du temps sur des dysfonctionnements déjà apparus par le passé. Les documentations se font généralement par et fichiers textes, ce qui a l avantage de pouvoir être lu par n importe quel logiciel. Celles-ci sont ensuite mises en commun dans un partage NFS dans les locaux de la sociétés.

18 Chapitre 2. Support 17 de Évolution en mode projet Des retours récurrents de clients pour des soucis bien précis ou parce qu il faut revoir en grande partie l architecture du client pour la rendre opérationnelle, des tickets passent du support au mode projet. S en suit une analyse en collaboration avec le client afin de déterminer s il est souhaitable de mener une action nécessitant un contrat ponctuel de projet dans une vision au long terme.

19 Chapitre 3 Projets Exosec est très souvent sollicitée pour conduire des projets d expertises réseau et sécurité. Les projets traités par Exosec se font en général sur une période courte, de quelques jours voire quelques semaines. Dans le cadre de ma participation au mode projet pour Exosec, voici plusieurs tâches qui m ont été confiées. 3.1 Interprétation des besoins clients Cette première étape, avant la réalisation du projet, est de définir le contexte s appliquant au projet, c est à dire à en fixer les limites et les applications concrètes. Cela permet en cas d incompréhensions de revoir les points critiques avec le client avant toutes avancées techniques. Cette étape pose les axes d orientation Étude de faisabilité Dès que les éléments descriptifs du projet sont maîtrisés, il est alors envisageable d apporter une réponse positive ou négative au client en vue de : L architecture actuelle, Les impacts incommodant le réseau, Les impacts sur la sécurité, L expertise d Exosec dans le domaine en question Scénarii Selon la réponse apportée, un ou plusieurs scénarii de montage du projet est présenté, réunissant le client, Exosec et les différentes acteurs impactés. Ces scénarii ont pour but d identifier les phases de déploiements du projets, comprenant : Découpage fonctionnel, Organisation, Plate-forme de démonstration,... 18

20 Chapitre 3. Projets 19 de Chiffrage Le chiffrage est une donnée importante qu il convient de mesurer avec précision selon différents critères tels le temps, les coûts de fonctionnement et le niveau d expertise demandé par le projet. Ces éléments retenus pour la facturation du client, il est primordial de prévoir au plus juste afin de minimiser les coûts d Exosec et de maximiser sa crédibilité. Temps horaire La prévision du temps alloué à un projet est très importante compte tenu du fait qu un projet est vendu pour être réalisé en un temps fixé à l avance. Le reste est à la charge du prestataire. Ainsi une marge de 20% est toujours allouée pour les projets d une durée supérieure à trois jours. Coût matériel De nouveaux projets nécessitent la renouvellement ou l ajout de nouveaux matériels. Il est indispensable d anticiper exactement le nombre et les équipements prévus. Le choix du matériel se fait au cas par cas. 3.2 Réalisation Exosec excelle dans le domaine des réseaux et de la sécurité, mais également dans les systèmes Open Source basés sur Linux, la suite présente les multiples applications que j ai pu mener dans différents projets Firewall Frontal à Internet, ou segmentation interne, les firewalls sont essentiels dans toutes les sociétés ouvertes au monde NetFilter Le principale Firewall applicatif utilisé par Exosec est NetFilter, partie intégrante du noyau Linux depuis la version 2.4. C est un produit utilisé très fréquemment dans les appliances et serveurs sous Linux déployés par Exosec.. Les avantages de NetFilter sont les suivants : Inclus dans les noyaux officiel Linux 2.4 et supérieur, Configuration éditable avec n importe quel éditeur de texte ou ligne de commande, Fonctions avancées de filtrage, NAT, suivis de connexions des utilisateurs... Détention de nombreux «plug-ins» intéressants via patch-o-matic Les principales reproches qui lui sont faits sont les temps excessifs de chargement de configuration dans la version officielle (cependant Exosec intègre un patch accélérant d un point de vue significatif les durées de chargement), et le fait qu il ne dispose pas de moyens efficaces de filtrages applicatifs en niveau 7 (comme par exemple l analyse de requête HTTP). Exemple de configuration NetFilter :

21 Chapitre 3. Projets 20 de 38 # Generated by iptables-save v1.2.9 on Thu Nov 29 16:41: *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:] :OUTPUT ACCEPT [0:0] -A POSTROUTING -s / d! / o ppp0 -j MASQUERADE COMMIT *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -s / d! / p tcp -m tcp \ --dport 25 -j MARK --set-mark 0x19 COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -p tcp -m tcp --sport 512: dport 443 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT Comme cité ci-dessus, Exosec utilise très fréquemment NetFilter, et a développé en interne un outil permettant la génération de configuration, nommé Genrules. Celui-ci sépare le filtrage en trois points distincts, formant trois fichiers de configuration : Objets : Définition des réseaux, serveurs, numéros de port, Application : Définition des accès directs sur le firewall, Infrastructure : Définition des accès routés et NAT Exemple de configuration du fichiers d objets : % cat /etc/firewall/current/objetct.cfg address IP_SERVEUR address IP_SERVEUR address IP_SERVEUR IP_SERVEUR=( IP_SERVEUR1 IP_SERVEUR2 IP_SERVEUR3 ) Exemple de configuration du fichiers d applications : % cat /etc/firewall/current/applis.cfg fw filter:forward for dst in ; do fw ACCEPT pop any $dst %"pop-ac" -i $IF_LAN done fw nat:postrouting

22 Chapitre 3. Projets 21 de 38 for dst in ; do fw - pop any $dst -j MASQUERADE done Genrules est utilisé par Exosec dans tous les serveurs déployés et gérés par nos soins. Une fois la configuration écrite, la compilation des règles permet une vérification d intégrité et une application sur le serveur avec une gestion de retour sur incident. Checkpoint Checkpoint est une autre technologie, propriétaire celle-ci, utilisée par Exosec. Elle est mise en application lorsqu une société souhaite utiliser un outil centralisé et simple de gestion des règles de firewall. En effet, il dispose d une interface Windows intuitive dont la prise en main peut se pratiquer par n importe quel administrateur système ayant des connaissances de TCP/IP. L une des particularités de Checkpoint est de fonctionner sous Linux, Windows et plate-forme Nokia. Une architecture Checkpoint est composée des points suivants : Firewall : Pièce maîtresse de la sécurité, Management : Serveur central contenant la configuration des firewalls, Dashboard : Interface de configuration Dans le cas de projets d installation de serveurs utilisant Checkpoint, Exosec préconise l utilisation de la distribution Checkpoint Secure Plateform basée sur RedHat pour les firewalls, de CentOS pour la plate-forme de management et de Windows pour Dashboard (seule système supporté). L inconvénient majeur de cette architecture est qu il est totalement prohibé d installer d autres outils que les outils officiels sur les serveurs Secure Plateform sous peine de perdre toutes assistance de la part de Checkpoint. Cette limitation pose problème lorsqu un client souhaite mettre en place des VPN SSL, Checkpoint ne supportant que les VPN IPsec ou VPN Checkpoint, alors qu il est techniquement tout à fait possible d installer un serveur OpenVPN sur Secure Plateform. Dans le cadre de mes attributions, j ai par exemple eu à mener une migration Checkpoint R55 vers R62 pour le client «Client Grande Distribution» désireux de renouveler son architecture de sécurité vieillissante et alors non supportée (voir page 31). Cela m a par exemple permis de tester de nouveaux matériels d entrée de gamme, Edge, prévus pour les petites sociétés ou succursales d une plus grosse société Réseau privé virtuel Le travail à distance pour les commerciaux ou les personnes habitant loin de leurs lieux de travail est de plus en plus souhaité par de nombreux clients. Pour cette raison, les réseaux privés virtuels, ou VPN prennent une place de plus en plus prépondérantes sur le marché. C est également un très bon moyen d inter-connecter des sociétés dont différentes portions sont géographiquement séparées, évitant ainsi la surcharge tarifaire d une ligne spécialisée. Différentes techniques et déploiements sont gérés par Exosec.

23 Chapitre 3. Projets 22 de 38 Fig. 3.1 Interface centralisée de configuration Dashboard OpenVPN OpenVPN est un outil libre de routage virtuel. C est un outil multi-plate-forme, simple d utilisation par les usagers, ce qui en fait ses atouts majeurs. La technique utilisée par OpenVPN est un cryptage SSL au dessus de TCP ou UDP. Il est présent de base dans les Sentineo et est pratiqué chez beaucoup de clients. Étant une pièce maîtresse de sécurité, Exosec a développé autour d OpenVPN de nombreux scripts afin que celui-ci travaille avec NetFilter. Exemple de fichier recensant les connexion VPN actives : % cat /var/lib/state/openvpn.status OpenVPN CLIENT LIST Updated,Mon Dec 10 04:34: Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since user1, :1238, , ,sun Dec 9 06:15: ROUTING TABLE Virtual Address,Common Name,Real Address,Last Ref /24,user1, :1238,Sun Dec 9 06:15: ,user1, :1238,Mon Dec 10 04:05: GLOBAL STATS Max bcast/mcast queue length,1 END

24 Chapitre 3. Projets 23 de 38 IPSec IPsec est une autre technologie courante pour l application des réseaux privés mais il est moins passepartout. En effet, IPsec est une modification de la pile IP pour y intégrer des fonctions de cryptage. Cela implique qu il est plus facilement détectable et donc filtrable par n importe quel firewall. Ce n est pas une solution pour les personnes régulièrement en déplacement et utilisant tout type de connections (privé, Hot Spot, réseau client...). C est une technologie non recommandée et non mise en place par Exosec sauf cas particulier Filtrage web Internet est une source riche d informations, mais également source de divertissements et pièges en tout genre. Ainsi Exosec propose à ses clients des moyens de filtrer les accès au contenu sortant (Proxy) et entrant (Reverse Proxy) à travers divers produits. Apache Apache est le serveur Web dominant sur internet depuis de nombreuses années, il a acquis un niveau supérieur que d autres n atteignent pas. Il est en général utiliser simplement comme hébergeur de fichiers, mais il a également la capacité à analyser les requêtes dans un but de filtrage, et aussi de redirection des demandes vers d autres serveurs. Cela permet ainsi de séparer fonctionnellement divers services hébergés dans une société. Exemple de configuration de deux sites pointant sur une même adresse IP mais transférés à deux serveurs différents : % cat /etc/httpd/apache2.conf... <VirtualHost *:80> ServerName ErrorLog /var/log/httpd/www.site1.com/errog_log LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" TransferLog /var/log/httpd/www.site1.com/access_log ServerAdmin RewriteEngine on RewriteRule ^/(.*) [P] RewriteRule. - [F] ProxyRequests on </VirtualHost> <VirtualHost *:80> ServerName ErrorLog /var/log/httpd/www.site2.com/errog_log LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" TransferLog /var/log/httpd/www.site2.com/access_log ServerAdmin RewriteEngine on RewriteRule ^/(.*) [P] RewriteRule. - [F]

25 Chapitre 3. Projets 24 de 38 ProxyRequests on </VirtualHost>... % cat /etc/hosts HAProxy Le filtrage et la redirection peuvent dans bien des cas être suffisants, mais ce n est pas exhaustif. En effet, une banque par exemple ne peut pas se permettre d être indisponible pour ses services de bourses en ligne. Aussi, une redondance des serveurs est indispensable. C est le but d HAProxy, Load Balancer logiciel haute performance conçu pour HTTP. HAProxy est un logiciel libre développé par Willy Tarreau, ce qui montre à nouveau la forte implication d Exosec dans le milieu Open Source. HAProxy permet de rediriger une requête non pas vers un serveur en particulier selon l adresse demandée, mais vers toute une plage de serveurs définis dans sa configuration. Une fois la connexion initiée par le navigant, celui-ci est toujours réorienté vers le serveur destinataire si celui ci est toujours joignable. Exemple de Load Balancing, basé sur l utilisation de cookie, d un site sur deux serveurs différents : listen http_proxy :80 mode http cookie SERVERID balance roundrobin server web :80 cookie server01 server web :80 cookie server02 monitor-uri /monitor Squid Squid quand à lui est une solution de proxy cache sortant, c est un élément intégrant le réseau par lequel toutes les requêtes Web transiterons pour analyse, rejet ou acception. Différents critères (ACL) peuvent être définis : URL valide, Horaire correcte, Contenu associé au domaine de la société, Contenu non choquant,... Exemple d acl permettant de ne pas filtrer certains domaines destinataires : % cat /etc/squid/acls/whitelist-dstdom.txt.google.fr.site1.com.site2.com

26 Chapitre 3. Projets 25 de 38.infotrafic.fr Installation de serveurs L installation de firmware Exosec n est pas toujours possible, comme par exemple pour la mise en place d un serveur management Checkpoint, alors il faut procéder à des installations plus classiques de distributions Linux comme CentOS, RedHat, Debian que le client pourra contrôler. CentOS/RedHat L une des principales distributions mise en application chez les clients, hors Formilux, est CentOS. Celui-ci est la version gratuite de RedHat tout en fournissant à l utilisateur les même fonctionnalités, la seule différence est qu aucun support entreprise n est assurée avec CentOS. Cette partie support et lien avec l éditeur RedHat est parfois demandé, alors dans ce cas-la, une «RedHat Enterprise» 4.0 est déployée. Ces deux systèmes sont très proches et basés sur le même système de gestion de paquet, RPM, il est possible d installer des paquets initialement prévus pour RedHat sous CentOS. Cela permet alors de procéder aux mêmes personnalisations et sécurisations de bases, comme la désinstallation des logiciels inutiles pouvant corrompre et abaisser le niveau de sécurité. Viennent ensuite la partie installation et configuration des outils nécessaires au client (messagerie, serveur web, logiciels tiers...). Exemple de paquet supprimés dès la phase de post-installation : % cat rpmtodel.txt... acl audiofile autofs bc cups dos2unix dosfstools freetype gettext hotplug... Tiers La culture et l expertise d Exosec en matière de logiciels libres permettent de mettre en place n importe distribution Linux pour le client moyennant un temps d adaptation. Cela est très rarement nécessaire et n arrive que dans certains cas précis comme par exemple l utilisation de produit propriétaire Messagerie La messagerie est le cœur de la communication d une entreprise, indispensable pour une utilisation entre collègues et entre différentes sociétés. C est une partie critique qu il faut traiter avec une forte attention. Les abus de spam, virus et phishing en font une véritable bataille de tous instants dans laquelle

27 Chapitre 3. Projets 26 de 38 Exosec s est positionnée en leader. Ici sont décrites les différentes solutions qu Exosec utilise au quotidien pour répondre à ce besoin séparé en trois phases, l acception, le filtrage et la consultation. Postfix Postfix est un serveur SMTP de dernière génération, sécurisé et performant, permettant l acceptation d s ou le relais. C est également lui qui dépose les s dans les boîtes utilisateurs. Cet outil s interface très bien avec différents logiciels de filtrage et de services d annuaire. La politique d acceptation d un recommandée par Exosec sont les suivantes : Est-ce que le récepteur est valide dans notre domaine? Est-ce que l émetteur est connu du récepteur (Greylisting)? Est-ce que l émetteur est une source connue de pollution d internet (RBL)? Est-ce que l est un spam (Bayes)? Est-ce que l contient des virus?... Toutes ambiguïtés dans les résultats amènent à un refus d acceptation du message. Cela protège les utilisateurs et les serveurs. Protection Anti-Spam & Anti-Virus Toutes les entreprises ayant leurs particularités, aucune règle d analyse de contenu (Bayes) n est applicable d une entreprise à une autre, c est pourquoi une phase d apprentissage est nécessaire pour le logiciel anti-spam. Cette phase doit être prise très au sérieux afin d éviter au maximum les faux positifs et alors se retrouver dans le cas où beaucoup de spam seront acceptés et que les s valident soient rejetés. Le système d apprentissage bayesien utilisé par Exosec est l outil libre SpamAssassin, très réputé dans son domaine malgré une rapidité qui laisse à désirer. L anti-virus, quant à lui, peut interroger une base de connaissances communes, celle-ci évoluant en permanence une synchronisation est des plus recommandée et systématiquement mise en œuvre dans les déploiements par Exosec. Le logiciel Clamav est utilisé car il a l avantage de générer rarement de faux positifs. Comme SpamAssassin, sa lourdeur en fait son principal défaut. Ces deux outils sont généralement intégrés sur le même serveur hébergeant le serveur SMTP. Dans le cas de sociétés utilisant massivement les s, une architecture de ce type sera vite saturée et génératrice de retour utilisateur, alors il devient indispensable de séparer le filtrage sur un serveur dédié à cet usage. Dovecot IMAP est un protocole de consultation de messagerie de plus en plus utilisé et conseillé, car avec cette solution, les s sont stockés sur un serveur dédié à cet utilisation, et alors l utilisateur n a aucun stockage a effectuer sur son ordinateur. L avantage le plus visible est que l utilisateur retrouvera dans toutes circonstances ses s en cas de réinstallation de son poste ou en consultation depuis une interface Web. Dovecot est un logiciel libre rendant ce service. Il est encore jeune, mais il est très prometteur et très performant. Cette solution devient le nouveau produit d IMAP utilisé par Exosec en lieu et place de

28 Chapitre 3. Projets 27 de 38 Courrier, âgé et peu performant. La sécurité de ce produit est à la base de la conception. Beaucoup d utilisateurs ont constamment un client ouvert (Web ou lourd), ce qui en fait un outil critique à sécuriser, rôle bien rempli par Dovecot qui ne compte aucune faille depuis le début de son existence Annuaire La gestion des utilisateurs dans un parc informatique est ce qui donne la notion de centralisation d utilisateurs. Cette centralisation est faite pour permettre d utiliser par exemple une authentification unique et également pour centraliser les accès autorisés aux différents services proposés d une société. Un annuaire est une gestion hiérarchique des utilisateurs, c est pourquoi il est bien plus souvent utilisé qu une base de données pour la partie authentification et gestion d utilisateurs. OpenLDAP Exosec propose des services de mise en place d annuaire adaptés au besoin du client en fonction de l organisation d une société et des outils basés sur cet annuaire. Nous ne proposons uniquement que des mises en place d OpenLDAP, car unique logiciel libre éprouvé en la matière. De plus, des outils graphiques de gestion d utilisateurs sont mis à la disposition du client afin de facilité sa gestion. Généralement utilisé pour comme base d authentification, les usages ne se limitent pas à cette fonction. Comme par exemple la gestion des absences, pour des retours d indisponibilité, ou stockages de contact... Interopérabilité Active Directory La solution d annuaire proposée par Microsoft via Active Directory est comme OpenLDAP, basé sur X500, ces deux outils peuvent donc tout à fait communiquer entre eux au prix de certaines restrictions. La communication entre OpenLDAP et Active Directory est nécessaire dans des architectures utilisant des logiciels libres, ceux-ci ne sachant pas très bien communiqués avec Active Directory directement. C est pourquoi des outils de synchronisation entre ces deux systèmes ont été créés par Exosec dans le but, par exemple de pouvoir s authentifier sur un Dovecot en utilisant son nom d utilisateur de mot de passe Active Directory Demandes ponctuelle Certains clients font appel à Exosec pour ses larges connaissances et implications dans les logiciels libre afin de : étudier et mettre en place un outil ou système non communiqué, donner réponse à un problème récurrent ou nécessitant une expertise de la part d un client sans contrat de support Un exemple récent est celui d un client disposant d un serveur de fichiers Samba cessant de rendre ses services tous les jours sans raison particulière apparente. Une analyse de l architecture, de la configuration et l utilisation fait de ce services ont permis dans un premier temps de définir le contexte du problème

29 Chapitre 3. Projets 28 de 38 rencontré. Ici le client utilisait les services de pré-authentification Kerberos permettant l interaction entre un utilisateur Windows et le serveur de fichiers. Kerberos requiert une gestion minutieuse de l heure pour garantir un bon fonctionnement. En effet, la tombée du système était dû à une différence de temps entre le serveur et l horloge atomique trop grande. La réponse au problème fut rapidement donnée au client grâce à une culture en logiciel libre, et plus généralement en informatique, de plus de 15 ans. Cela nous permis de faire un retour vers les développeurs de Samba pour déclarer le «bug» et faire en sorte que le problème soit plus visible et n engendre pas de tombée du système Monitoring La connaissance et l analyse de l état de son réseau, des serveurs et des services associés permettent de graduer les taux d utilisation et de prévoir les évolutions en amont des problèmes. Exosec propose deux solutions libres pour ces cas-ci, une analyse en temps réel et une historisation. Nagios Nagios, comme vue page 14, est également déployé chez les clients dans le cadre de projets. La gestion du parc et des services monitorés est simplifié grâce à la mise à disposition de scripts de gestion. Cacti Cacti est un outil d interrogation, à la différence de Nagios, il ne permet pas de générer d alertes, mais historise toutes les informations pour les stocker sous forme de graphes (voir page 37). Cela permet alors de visualiser les évolutions des services monitorés dans le temps et de prévoir les évolutions futures en fonction des résultats. L interface web de gestion et de visualisation est simple et bien pensée. Cet outil est basé sur des scripts d interrogation, il est alors extensible à tous les besoins spécifiques, générique ou non. Les données récoltées sont conservées sous forme de base RRD, outil dédié à la création de graphiques Réseau Tous les différents sous-systèmes présentés précédemment ne sont rien sans un réseau efficace et bien conçu. C est pourquoi Exosec dispose de nombreuses compétences dans les infrastructures réseaux et les services qui lui sont associés. Cisco Ici seront décrits les différents moyen opérer par Exosec pour parvenir à cet objectif. Cisco est l un des fournisseurs de matériels réseaux les plus rencontrés dans le marché grâce à des solutions de : switchs, routeurs,

30 Chapitre 3. Projets 29 de 38 concentrateurs VPN,... C est un domaine dans lequel Exosec se doit d être présent afin de répondre le plus largement aux requêtes d un client. Services de base Un réseau nécessite toujours certains services de bases permettant de partir de bon pied pour une exploitabilité opérationnelle, comme par exemple : NTP : Synchronisation des horloges, DHCP : Déploiements automatisé de la configuration IP des postes utilisateurs, DNS : Nom de domaine interne,... Ces services ne sont pas obligatoires, mais accentuent grandement la facilité de gestion d un parc. Relais Mail L utilisation d un relais de messagerie permet une réelle séparation fonctionnelle entre stockage et acception Performances Comme vue page 10, 1.2.1, la haute disponibilité est un secteur du marche internet au goût du jour. Exosec, spécialiste performance et haute disponibilité, propose à cette fin diverses solutions en plus du partage de charge HTTP. Le partage de charge, ou Load Balancing est le plus souvent appliqué au Web, notamment pour les sites de contenus (YouTube par exemple), mais les applications sont nombreuses : Messagerie : SMTP, IMAP, Jeux vidéos,... La haute disponibilité est un concept assurant qu un service soit être accessible à 100%. C est à dire qu en aucun cas les symptômes suivant doivent se faire ressentir (ici appliqué au Web) : Page blanche, Temps de chargement long, Bannière d indisponibilité (voir ratp.fr lors des grèves), Déconnexion des utilisateurs, Coupure en plein chargements,... Cette étape prend en compte la proposition de plusieurs solutions. Load Balancing Ce rôle comme expliqué page 24, est rendu grâce à HAProxy.

31 Chapitre 3. Projets 30 de 38 Redondance Il est important de s assurer que plusieurs méthodes d accès sont possible vers un service, cela passe par de multiples étapes de redondance, comme : Multiple opérateur de liens (ADSL, SDSL...), Serveurs dupliqués, Données dupliquées L utilisation d IP virtuelle entre plusieurs services est assurée grâce à VRRP Gestion des logs La gestion des logs est un point crucial, difficile d accès et différentes dans toutes les infrastructures. C est notamment l un point en cours d étude avec la Log Box. Toutefois Exosec propose différentes solution à ce sujet : Centralisation des logs grâce à syslog-ng, permettant l émission des logs syslog des Unix et Linux via TCP ou UDP, Scripts de récupération des logs de certains produits propriétaire Ceci dans le but d obtenir un point de stockage dédié à cet effet pouvant être redondé ou source de corrélation.

32 Chapitre 3. Projets 31 de Cas concret Voici quelques cas d applications de projets que j ai pu mener depuis mi-juillet Migration Checkpoint de «Client Grande Distribution» «Client Grande Distribution» est une centrale d achat du groupe «Magasin» pour la zone géographique du Sud de l Île de France. C est une coopérative gérée par les 23 magasins de ce secteur. L infrastructure employée, vieillissante et plus adaptée à l utilisation courante, une restructuration et rajeunissement du système de sécurité fut l objet d un appel d offre. Avant projet, voici les principales caractéristiques du réseau de «Client Grande Distribution» : Firewall centrale Checkpoint R55, Matériel Intrusion, plus supporté en France, Adressage IP public en interne, Magasins reliés via VPN vers la centrale, Tous les flux, dont Web, transitent par la centrale Le client utilise Checkpoint pour sa facilité de gestion et la centralisation de la configuration dans une seule interface permettant un déploiement rapide des nouvelles règles. Les points requis par le client sont les suivants : Rajeunissement du firewall centrale, Conserver l adressage IP public en interne, Remplacer tous les boîtiers Intrusion par un système supporté et maintenu, Conserver une interface centrale d administration (voir page 22), Prévoir une solution pour décharger de la centrale les flux des bornes d impression photographique (4Go quotidien) La solution proposée au client fut la suivante : Migration du firewall centrale vers la version R62, Remplacement des firewall de magasins par du Checkpoint Edge, boîtier léger de sécurisation pour petites structures, Mise en place de réseau particulier et ligne ADSL spécialisée pour les bornes photos La particularité de ce système sont les firewalls de magasins basés sur la solution Edge de Checkpoint. Ce sont des firewalls d entrée de gamme, peu puissants, mais suffisant pour la majorité des petites structures. Ce système hérite du savoir faire de Checkpoint et dispose de fonctionnalités avancées de filtrage applicatif en niveau 7 (IPS) par exemple le blocage des communications MSN encapsulées dans HTTP ou le filtrage anti-virus des s reçus et envoyés. Ces fonctions ont l inconvénient de descendre en flèche les performances. Il est également possible de le mettre en relation direct avec les firewalls centraux de «Client Grande Distribution» pour un déploiements centralisé des règles de filtrage, principal atout de Checkpoint. N ayant jamais déployé d Edge par le passé, des tests de performance ont été opérés. Ces tests ont été principalement centrés sur les performances de la navigation Web en jouant sur le nombres de règles

33 Chapitre 3. Projets 32 de 38 de filtrage et le niveau de filtrage applicatif. L outil de tests, inject29, à été développé par Willy Tarreau pour les tests de charge d HAProxy. Une fois de plus, cet outil est libre. Comme le montre le tableau 3.2 disponible en page 32, les fonctionnalités d IPS réduisent fortement les performances, loin de celles annoncées par la société éditrice. C est pourquoi nous avons directement contacté Checkpoint à ce propos. Fig. 3.2 Résultats des tests de performance du boîtier Edge Au fur et à mesure des échanges avec Checkpoint, toutes une batterie de tests différentes ont été fait. Cela n impactant pas les performances relevés, Checkpoint nous fournie une version du firmware Edge encore en cours de développement. La différence est alors flagrante et les différences de résultats obtenus entre un filtrage applicatif minimale et maximale sont plus réduit. Les performances globale du matériel ont été amélioré de 50%. L élaboration d une maquette, menée en deux semaines, montrée au client lui permis de valider la migration qui se déroulera début de l année Centralisation des logs de la mairie du Plessis Robinson L administration de la mairie du Plessis Robinson est composée d un trentaine de sites entre bâtiments administratif, écoles, bibliothèques... Tous disposent de boîtiers Sentineo pour les accès internet et interconnexion VPN. Ces boîtiers générant, autre entre, des logs d accès internet et d envoi d s, il nous était souvent demandé de fournir des statistiques ou journaux sur certaines périodes pour des raisons administratives. La multiplication de ces requêtes amena à la création d un projet d automatisation de cette tâche. C est pourquoi une solution de centralisation des logs dans la mairie fut mise en place.

34 Chapitre 3. Projets 33 de 38 Cette centralisation, basée sur syslog-ng, permet d émettre les journaux via la liaison VPN, et de procéder à un archivage. Les accès web était uniquement sujet à la création de statistiques. Ces statistiques reprennent les informations suivantes dans un fichier au format csv : Date, à la minute près, Poste utilisateur source, Site demandé, Nombre d accès fait pendant cette minute au site en question Morceau choisi de statistiques de l un des sites de la mairie du Plessis Robinson :... ; ;08:50:00; ;2;www.easysound.fr; ; ;08:51:00; ;4; ; ; ;08:52:00; ;3; ; ; ;08:53:00; ;3; ; ; ;08:53:00; ;1;copainsdavant.linternaute.com; ; ;08:53:00; ;1;mail2.voila.fr; ; ;08:54:00; ;1;urs.microsoft.com; ; ;08:54:00; ;4; ; ; ;08:54:00; ;1;copainsdavant.linternaute.com; ; ;08:55:00; ;3; ; ; ;08:55:00; ;2;copainsdavant.linternaute.com; ; ;08:55:00; ;1;www.electre.com; ; ;08:56:00; ;1;urs.microsoft.com;... Cet archivage créé, il devient alors possible de générer des statistiques et de mettre à disposition sur un serveur web interne les données stockées pour consultation ultérieur Migration messagerie Exosec L infrastructure de messagerie interne à Exosec est un point critique, car c est un lieu lieu de concentration de toutes les alertes et contact client. Ce système vieillissant et pas particulièrement performant fut l objet d une migration vers de nouveaux produits. Cette tâche m ayant été attribuée, voici une description de cette migration. Avant migration la messagerie était basés sur les éléments suivants : Arbre OpenLDAP 2.2, Courrier SMTP & IMAP, Archivage via hypermail Azote Ce projet fut conduit sur une période de deux semaines. Azote est le dernier serveur SMTP de la chaîne de messagerie en interne. Celui-ci est utilisé pour le stockage et la consultation via le protocole IMAP.

35 Chapitre 3. Projets 34 de 38 La distribution Linux installée sur ce serveur est Formilux. Choix technique Postfix et Dovecot (voir 3.2.5) sont les outils de dernière génération en terme de messagerie. Ils ont alors été choisis par défaut car également déployés en clientèle. Parallèlement, le passage en OpenLDAP 2.3 fut décider afin de rajeunir la couche gestion d utilisateurs. Cross compilation Formilux est libre, mais essentiellement utilisé par Exosec, c est pourquoi aucun paquet Formilux n est disponible dans les pages de téléchargement de Postfix ou de Dovecot. Ainsi une étape de compilation à partir des sources est indispensable pour un déploiement. Azote, sécurisé, ne dispose d aucun outil de compilation. C est la raison pour laquelle la cross compilation est l unique moyen de création d un paquet Formilux déployable sur Azote. Un serveur dédié à cet usage est disponible sous le nom d «i586» via l outil «pkg» de Formilux. De nombreux problèmes de dépendances amena à devoir compilé certaines librairies comme berkdb ou ssl car manquante sur le serveur de compilation mais présente sur Azote. Tests & Déploiement Les premiers tests de validation de fonctionnement des produits compilés furent opérés sur i586 directement. Une fois les adaptations de compilations réalisés, une installation des outils et dépendances manquantes sur Azote est nécessaire pour tester les produits en phase de pré-production. Cette phase fut menée à bien en séparant le processus en différentes étapes : Installation d OpenLDAP 2.3, Utilisation d un port non standard pour ne pas concurrencer l OpenLDAP de production (2389), Import dans le nouveau OpenLDAP de la base de production, Test d intégrité de la nouvelle base en comparaison de celle de production Installation de Postfix 2.3, Utilisation d un port non standard (2025), Mise en relation avec le nouveau serveur LDAP, Test d émission d en interne, Test d émission d vers un domaine extérieur, Test des alias d s virtuels OpenLDAP (listes) Installation de Dovecot 1.0.5, Utilisation d un port non standard (2143), Configuration et mise en relation avec le nouveau serveur LDAP, Test de consultation d s, Configuration des dossiers partagés, Intégration du filtrage Sieve

36 Chapitre 3. Projets 35 de 38 Production Une fois les tests validés avec l équipe technique d Exosec, l utilisation en production de ces nouveaux outils fut mise en place par les étapes suivantes : Retour vers des numéros de ports standard, Arrêt des anciens services, Redémarrages des nouveaux services, Retour à la phase de test Problématique non prévisible Quelques éléments non pris en charge pendant la phase d étude se sont révélés gênant lors de l utilisation : Archivage des s de support non assuré, Obligation de se réinscrire aux dossiers IMAP, Problèmes de droit sur les dossiers partagés, Réécriture des règles de trie et de filtrage La résolution de ses problèmes furent rapide, mais néanmoins impactant, ce qui value quelques périodes de coupure ou limitation de services Monitoring «Groupe Bancaire» Le «Groupe Bancaire» dispose d un large réseau composé de beaucoup de routeurs, switchs et serveurs mais ne disposait pas d outils de monitoring et de visualisation de l état du réseau. C est pourquoi je fut en charge du déploiements des outils suivants : Serveur spécialisé à cet usage sous CentOS, Cacti, pour la partie historisation, Développement d un outil temps réel de détection de disponibilité de serveur d un réseau Il existe déjà de nombreux outil de détection de réseaux, ceux-ci nécessitent un démon s exécutant en permanence sur le serveur, ce qui génère des flux réseaux en permanence. C est la raison du choix du développement de «fpingweb». Fpingweb se compose des éléments suivants : Fichier de configuration recensent les réseaux à explorer, Script shell CGI rendant les tâches suivantes : Découverte des machines présente sur le réseau à la première connexion (voir figure 3.3), Affichage dans un tableau des machines répondant à l appel avec différenciation de celles ne répondant plus (voir figure 3.4), Affichage également des temps d accès et taux de perte. Fpingweb est écrit en shell script car son rôle principal est de faire appel à fping pour la découverte et pour le calcul des temps d accès, et d en traiter la sortie pour une incorporation dans une page web.

37 Chapitre 3. Projets 36 de 38 Fig. 3.3 Découverte du réseau à la première connexion Fig. 3.4 Visualisation de l état des machines une fois la découverte terminée Cette page web est rafraîchie automatiquement et permet de suivre les évolutions d intervention sur un réseau couplé avec Cacti (voir figure 3.5). Le client satisfait de la solution a soulevé différents points qu il souhaiterait avoir dans le futur, dont voici les principaux : Possibilité de cacher les serveurs à l état OK, Parallélisation de l affichage web des requêtes, Page de configuration,... Ces différents points amenant à une évolution du projet, celui-ci sera très prochainement mis sous licence GPL et publié. La mise en place de ce projet s étala sur une durée d une semaine.

38 Chapitre 3. Projets 37 de 38 Fig. 3.5 Historique de temps de réponse d un serveur, le rouge montre les périodes d indisponibilités

Rapport d activité ETNA 2007

Rapport d activité ETNA 2007 Rapport d activité ETNA 2007 Bertrand JACQUIN EXOSEC École des Technologies Numériques Appliquées Groupe IONIS Promotion 2007 10 décembre 2007 Bertrand JACQUIN (ETNA) 10 décembre 2007 1 / 32 1 Entreprise

Plus en détail

Spécialiste Systèmes et Réseaux

Spécialiste Systèmes et Réseaux page 1/5 Titre professionnel : «Technicien(ne) Supérieur(e) en Réseaux Informatiques et Télécommunications» inscrit au RNCP de niveau III (Bac + 2) (J.O. du 19/02/2013) 24 semaines + 8 semaines de stage

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Notre offre Système. systemes@arrabal-is.com

Notre offre Système. systemes@arrabal-is.com systemes@arrabal-is.com Généralités Généralités des systèmes Windows Les systèmes Microsoft sont au cœur du système d information de la majorité des entreprises, si bien qu environ 90% des postes utilisateurs

Plus en détail

CENTRE DE RESSOURCES INFORMATIQUES IFMA -------

CENTRE DE RESSOURCES INFORMATIQUES IFMA ------- CENTRE DE RESSOURCES INFORMATIQUES IFMA ------- CONSULTATION POUR DEMANDE DE DEVIS CAHIER DES CHARGES RELATIF AU CHANGEMENT DU FIREWALL DE L IFMA --------------- Date limite d envoi de l'offre : 3 septembre

Plus en détail

Eye-box 4.0 : Guide d installation rapide

Eye-box 4.0 : Guide d installation rapide Eye-box 4.0 : Guide d installation rapide INTRODUCTION... 2 CONSEILS ET PRINCIPES GENERAUX... 2 INSTALLATION D UNE EYE-BOX EN 8 ETAPES... 2 ETAPE 1 : MISE EN ROUTE ET CONNEXION AU RESEAU LAN... 2 ETAPE

Plus en détail

Configuration firewall. Cette fiche explique la configuration du firewall intégré à NetXServ. Version 2.0. Date 28/12/2011 Validation

Configuration firewall. Cette fiche explique la configuration du firewall intégré à NetXServ. Version 2.0. Date 28/12/2011 Validation Diffusion : Libre Restreinte Interne Configuration firewall Cette fiche explique la configuration du firewall intégré à NetXServ Version 2.0 Auteur JP MAJ DD Date 28/12/2011 Validation RESIX - 10, rue

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

Administrateur Système et Réseau

Administrateur Système et Réseau Titre professionnel : Reconnu par l Etat de niveau II (Bac), inscrit au RNCP (arrêté du 28/01/09, J.O. n 32 du 07/02/09) (53 semaines) page 1/7 Unité 1 : Gestion du poste de travail 4 semaines Module 1

Plus en détail

Messagerie. Dominique MARANT CRI Lille 1. Octobre 2006

Messagerie. Dominique MARANT CRI Lille 1. Octobre 2006 Messagerie Dominique MARANT CRI Lille 1 Octobre 2006 Plan Adressage messagerie - Conventions USTL - Formes d adresses Rôle du correspondant messagerie Relais de messagerie -Trafic - Sécurité Lutte contre

Plus en détail

Le Web: les machines parlent aux machines

Le Web: les machines parlent aux machines Le Web: les machines parlent aux machines Historique Année 70 : ARPA (Advanced Research Project Agency). Relier les centres de recherche : ARPANET. 1972 : Premières spécifications TCP/IP (IP internet Protocol)

Plus en détail

Notre scénario propose la mise en œuvre d un réseau informatique ERIC d une dizaine de postes informatiques géré par un ou deux serveurs.

Notre scénario propose la mise en œuvre d un réseau informatique ERIC d une dizaine de postes informatiques géré par un ou deux serveurs. RESEAU ERIC ET P2P I. Introduction : Ce document est destiné à vous aider dans la mise en œuvre d un réseau informatique adapté au besoin d un ERIC, sécurisé, en conformité avec la loi (loi relative à

Plus en détail

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de Plateforme de Surveillance réseau et sécurité Solution SecurActive NSS SecurActive NSS est une plateforme de surveillance réseau et sécurité basée sur un moteur d analyse innovant. SecurActive NSS capture

Plus en détail

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble ASR4 réseaux Barrière de Sécurité Introduction Serveur de proximité, pare-feu IP, filtrage, architecture 1 Objectif des gardes barrières Protéger un environnement (vis à vis de l extérieur et de l intérieur)

Plus en détail

MARCHE A PROCEDURE ADAPTEE

MARCHE A PROCEDURE ADAPTEE MARCHE A PROCEDURE ADAPTEE Pouvoir adjudicateur : Centre Hospitalier de Béziers 2 rue Valentin Haüy BP 740 34525 BEZIERS Libellé de la consultation : REMPLACEMENT DU PAREFEU-PROXY Objet du marché : Acquisition

Plus en détail

3 ème Concours de technicien de classe normale des systèmes d information et de communication. «Session 2009»

3 ème Concours de technicien de classe normale des systèmes d information et de communication. «Session 2009» 3 ème Concours de technicien de classe normale des systèmes d information et de communication «Session 2009» Meilleure copie "Etude de cas" Note : 11/20 Thème : réseaux de télécommunication et équipements

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Claudie Maurin GSI 09/2013 1

Claudie Maurin GSI 09/2013 1 1 2 Internet : une architecture client/serveur Le serveur : fournisseur de données Les données sont fournies par un ensemble de postes serveurs interconnectés qui abritent la base de données répartie à

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Alcatel-Lucent VitalQIP Appliance Manager

Alcatel-Lucent VitalQIP Appliance Manager Alcatel-Lucent Appliance Manager Solution complète de gestion des adresses IP et de bout en bout basée sur des appliances Rationalisez vos processus de gestion et réduisez vos coûts d administration avec

Plus en détail

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique Fiche Technique Cisco Secure Access Control Server Solution Engine Cisco Secure Access Control Server (ACS) est une solution réseau d identification complète qui offre à l utilisateur une expérience sécurisée

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD3 Exercices Exercice 1 Enumérez les sept étapes du processus consistant à convertir les communications de l utilisateur en données. 1. L utilisateur entre les données via une interface matérielle.

Plus en détail

Dr.Web Les Fonctionnalités

Dr.Web Les Fonctionnalités Dr.Web Les Fonctionnalités Sommaire Poste de Travail... 2 Windows... 2 Antivirus pour Windows... 2 Security Space... 2 Linux... 3 Mac OS X... 3 Entreprise... 3 Entreprise Suite - Complète... 3 Entreprise

Plus en détail

Mise à jour de sécurité

Mise à jour de sécurité Release Notes - Firmware 1.6.3 Mise à jour de sécurité Pourquoi ce firmware? Cette mise à jour a pour objectif de renforcer la sécurité du produit MailCube et apporte également des nouvelles fonctionnalités

Plus en détail

11/04/2014 Document Technique des Services Disponibles. 16/04/2014. Document Technique des Services Disponibles.

11/04/2014 Document Technique des Services Disponibles. 16/04/2014. Document Technique des Services Disponibles. 16/04/2014 Document Technique des Services Disponibles. 1 Sommaire Schéma de l infrastructure réseau... 3 Détail des configurations... 5 Identifiants de connexions.... 8 2 Schéma de l infrastructure réseau

Plus en détail

Structurez votre communication

Structurez votre communication www.komibox.fr Structurez votre communication Présentation KOMIbox : Des applications pour répondre aux besoins des PME... Vous désirez mieux structurer votre communication et centraliser vos informations?

Plus en détail

Artica. VIPTrack avec la Messagerie. Révision Du 21 Mars version 1.5.032119

Artica. VIPTrack avec la Messagerie. Révision Du 21 Mars version 1.5.032119 Artica VIPTrack avec la Messagerie Révision Du 21 Mars version 1.5.032119 Table des matières Introduction :...2 Historique du projet :...2 A qui s'adresse Artica?...2 Licence et support...2 Que fait Artica?...

Plus en détail

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public.

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. TP 8.1 ÉTUDE D UN FIREWALL OBJECTIFS Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. PRÉ-REQUIS Système d exploitation

Plus en détail

SecurActive NSS-500. Plateforme de Surveillance réseau et sécurité

SecurActive NSS-500. Plateforme de Surveillance réseau et sécurité Plateforme de Surveillance réseau et sécurité Solution SecurActive NSS SecurActive NSS est une plateforme de surveillance réseau et sécurité basée sur un moteur d analyse innovant. SecurActive NSS capture

Plus en détail

1 Montage de l architecture

1 Montage de l architecture Étude de cas Sécurité des réseaux Xavier Skapin xavier.skapin@univ-poitiers.fr 28-29 Correction Montage de l architecture L objectif de cette étude est de monter une architecture sécurisée selon divers

Plus en détail

Travail de Fin d Etudes

Travail de Fin d Etudes 4ème Informatique 27 juin 2005 Travail de Fin d Etudes Supervision Centralisée d Infrastructures Distantes en Réseaux avec Gestion des Alarmes et Notification des Alertes TFE réalisé au sein de la société

Plus en détail

ACCEDER A SA MESSAGERIE A DISTANCE

ACCEDER A SA MESSAGERIE A DISTANCE Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile. Cet accès distant est facilité si la messagerie

Plus en détail

Guide administrateur AMSP

Guide administrateur AMSP Guide administrateur AMSP Alinto Version Auteur Date Remarque V1.0 Nicolas Polin 19/10/2015 - Lyon Paris Köln Madrid Table des matières 1. Introduction... 3 2. Se connecter à Factory... 3 3. Gestion des

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

quelles conséquences pour la documentation en ligne?

quelles conséquences pour la documentation en ligne? Structure et évolutions de l Internet p.1/23 Structure et évolutions de l Internet quelles conséquences pour la documentation en ligne? JOËL MARCHAND jma@math.jussieu.fr GDS 2754 Mathrice Où en est l Internet?

Plus en détail

ACCÉDER A SA MESSAGERIE A DISTANCE

ACCÉDER A SA MESSAGERIE A DISTANCE ACCÉDER A SA MESSAGERIE A DISTANCE Lorraine Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile.

Plus en détail

Administration des ressources informatiques

Administration des ressources informatiques 1 2 La mise en réseau consiste à relier plusieurs ordinateurs en vue de partager des ressources logicielles, des ressources matérielles ou des données. Selon le nombre de systèmes interconnectés et les

Plus en détail

Présentation de l outil d administration de réseau NetVisor

Présentation de l outil d administration de réseau NetVisor Présentation de l outil d administration de réseau NetVisor Très chers, Vous trouverez dans les pages suivantes une explication détaillée du fonctionnement de l outil de supervision de réseau NetVisor.

Plus en détail

Bénéficier des outils de partage de Microsoft Outlook avec le serveur MDaemon.

Bénéficier des outils de partage de Microsoft Outlook avec le serveur MDaemon. Bénéficier des outils de partage de Microsoft Outlook avec le serveur MDaemon. 1/23 Sommaire Introduction... 3 À propos de MDaemon... 3 À propos de Alt-N Technologies... 3 Outlook Connector et travail

Plus en détail

Serveur virtuel infogéré

Serveur virtuel infogéré Serveur virtuel infogéré Fiche produit 12 novembre 2010 Résumé Afin de garantir la disponibilité du serveur du client, nous proposons la mise à disposition d un serveur virtuel avec une infogérance complète

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Documentation télémaintenance

Documentation télémaintenance Documentation télémaintenance Table des matières Introduction... 2 Interface web du technicien... 2 Connexion à l interface... 2 Mon compte... 3 Configuration... 4 1. Jumpoint... 4 2. Jump clients... 4

Plus en détail

Ce Livre Blanc vise ainsi à vous expliquer concrètement tous les bénéfices d un standard téléphonique pour votre entreprise et vos collaborateurs :

Ce Livre Blanc vise ainsi à vous expliquer concrètement tous les bénéfices d un standard téléphonique pour votre entreprise et vos collaborateurs : AVANT-PROPOS Dans un marché des Télécoms en constante évolution, il est important pour les petites et moyennes entreprises de bénéficier de solutions télécoms qui répondent parfaitement à leurs besoins

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

Fourniture. d un système de gestion de messages électroniques. et d outils collaboratifs. d un système de protection anti-virus (en option)

Fourniture. d un système de gestion de messages électroniques. et d outils collaboratifs. d un système de protection anti-virus (en option) CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (C.C.T.P.) Fourniture d un système de gestion de messages électroniques et d outils collaboratifs d un système de protection anti-virus (en option) Pour le Centre

Plus en détail

Formations & Certifications informatiques, Services & Produits

Formations & Certifications informatiques, Services & Produits Le système d exploitation Linux a depuis de nombreuses années gagné le monde des entreprises et des administrations grâce à sa robustesse, sa fiabilité, son évolutivité et aux nombreux outils et services

Plus en détail

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+ Guide de formation avec exercices pratiques Configuration et dépannage de PC Préparation à la certification A+ Sophie Lange Troisième édition : couvre Windows 2000, Windows XP et Windows Vista Les Guides

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

escan Entreprise Edititon Specialist Computer Distribution

escan Entreprise Edititon Specialist Computer Distribution escan Entreprise Edititon Specialist Computer Distribution escan Entreprise Edition escan entreprise Edition est une solution antivirale complète pour les entreprises de toutes tailles. Elle fournit une

Plus en détail

La gamme Advance UCOPIA. www.ucopia.com

La gamme Advance UCOPIA. www.ucopia.com La gamme Advance UCOPIA www.ucopia.com La gamme UCOPIA Advance est destinée aux organisations moyennes à grandes, déployant sur un ou de nombreux sites, pour l accès à des applications et services critiques,

Plus en détail

PACK SKeeper. Descriptif du Pack SKeeper : Equipements

PACK SKeeper. Descriptif du Pack SKeeper : Equipements PACK SKeeper Destinée aux entreprises et aux organisations de taille moyenne ( 50 à 500 users ) fortement utilisatrices des technologies de l'information (messagerie, site web, Intranet, Extranet,...)

Plus en détail

Les Logiciels Libres au Service de la Sécurité

Les Logiciels Libres au Service de la Sécurité Retour d expérience sur le déploiement de logiciels libres pour la sécurité des systèmes d information cedric.blancher@eads.net -- http://sid.rstack.org/ Centre Commun de Recherche EADS FRANCE Journée

Plus en détail

Présentation. Logiciels libres. Open Source. Clinkast 4 Avenue du Général de Gaulle F 92360 Meudon (+33) 6 20 44 86 95 (+33) 1 46 30 24 13

Présentation. Logiciels libres. Open Source. Clinkast 4 Avenue du Général de Gaulle F 92360 Meudon (+33) 6 20 44 86 95 (+33) 1 46 30 24 13 Présentation Logiciels libres et Open Source Description Un logiciel libre* est en général gratuit. Il est utilisable et modifiable sans notification préalable à son auteur, qui a renoncé à ses droits

Plus en détail

CONFIGURATION FIREWALL

CONFIGURATION FIREWALL Diffusion : Libre Expert en Réseaux & Télécoms Restreinte Interne CONFIGURATION FIREWALL Version : 2.0 Date : 29/08/2009 RESIX - 8, rue germain Soufflot - Immeuble le sésame - 78180 Montigny le Bretonneux

Plus en détail

Comment utiliser mon compte alumni?

Comment utiliser mon compte alumni? Ce document dispose d une version PDF sur le site public du CI Comment utiliser mon compte alumni? Elena Fascilla, le 23/06/2010 Sommaire 1. Introduction... 2 2. Avant de commencer... 2 2.1 Connexion...

Plus en détail

Utilisation de la messagerie Easy-hebergement

Utilisation de la messagerie Easy-hebergement Utilisation de la messagerie Easy-hebergement VERSION : 1.1 DERNIERE MISE A JOUR : 01/10/2010 www.easy-hebergement.fr 1 Introduction...3 2 Activation de la messagerie...3 3 Elaboration de mon profil d

Plus en détail

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks) Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks) TODARO Cédric Table des matières 1 De quoi s agit-il? 3 1.1 Introduction........................................... 3 1.2 Avantages............................................

Plus en détail

Guide de transfert. Courriel Affaires

Guide de transfert. Courriel Affaires Guide de transfert Courriel Affaires Juin 2013 Table des matières Introduction 3 Transfert par un administrateur Voici ce que vous devez fournir avant de commencer 1. Importation de Fichiers PST 2. Exportation

Plus en détail

Portail Client Sigma Informatique

Portail Client Sigma Informatique Portail Client Sigma Informatique Edité le 19 févr. 2013 Sommaire Présentation du portail client 3 La page d accueil 8 Vie d une demande (Création et suivi) 11 La consultation d une demande. 18 La gestion

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

LOT1 : Evaluation d un logiciel d inventaire et de gestion du parc OCS/GLPI (http://www.ocsinventory-ng.org/fr):

LOT1 : Evaluation d un logiciel d inventaire et de gestion du parc OCS/GLPI (http://www.ocsinventory-ng.org/fr): LOT1 : Evaluation d un logiciel d inventaire et de gestion du parc OCS/GLPI (http://www.ocsinventory-ng.org/fr): Présentation: GLPI est une application libre, distribuée sous licence GPL destine a la gestion

Plus en détail

Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants

Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants JRES 2003 Lille, 20 novembre 2003 Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants Marie-Claude QUIDOZ & Catherine GRENET CNRS/UREC Évolution de l architecture de réseau /

Plus en détail

FORMATION CN01b CITRIX NETSCALER - IMPLÉMENTATION POUR LES SOLUTIONS XENDESKTOP OU XENAPP

FORMATION CN01b CITRIX NETSCALER - IMPLÉMENTATION POUR LES SOLUTIONS XENDESKTOP OU XENAPP FORMATION CN01b CITRIX NETSCALER - IMPLÉMENTATION POUR LES SOLUTIONS XENDESKTOP OU XENAPP Contenu de la formation CN01B CITRIX NETSCALER IMPLEMENT. POUR LES SOLUTIONS XENDESKTOP/XENAPP Page 1 sur 7 I.

Plus en détail

Justification : infrastructure (service) de base pour l'ensemble des équipes, projets et services. Profil de la population concernée

Justification : infrastructure (service) de base pour l'ensemble des équipes, projets et services. Profil de la population concernée Annexe 4 : Fiche Service Messagerie Justification : infrastructure (service) de base pour l'ensemble des équipes, projets et services Profil de la population concernée o Métiers Ce projet concerne toutes

Plus en détail

IPBX SATURNE. Spécifications Techniques

IPBX SATURNE. Spécifications Techniques IPBX SATURNE Spécifications Techniques Référence : SPE-AMP-4521-30/01/11 AMPLITUDE Réseaux et Systèmes SIRET : 454 01116400026 N de TVA Intra-communautaire :FR50454011164 Mail : technique@amplitude-rs.com

Plus en détail

Les technologies de supervision des réseaux informatiques

Les technologies de supervision des réseaux informatiques BTS SIO 2 - PPE Les technologies de supervision des réseaux informatiques Guilhem CALAS Mission 3 SOMMAIRE I. Présentation de la supervision... 2 II. Fonctionnement de la supervision... 3 1. Fonctionnement...

Plus en détail

Cisco Unified Business Attendant Console

Cisco Unified Business Attendant Console Cisco Unified Business Attendant Console Cisco Unified Communications est un système étendu de communications IP, d applications et de produits voix, vidéo, données et mobilité. Il rend les communications

Plus en détail

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

SUJET DES FINALES NATIONALES Sujet jour 1 version 1 METIER 39 Administrateur Systèmes et Réseaux Informatiques SUJET DES FINALES NATIONALES Sujet jour 1 version 1 Planning de la journée : 8h00 8h15 : Lecture du sujet 8h15 8h30 : Questions / Réponses 8h30

Plus en détail

Ce manuel vous accompagne au long des procédures d installation et de restauration de PheBuX 2004 [alternative solutions]

Ce manuel vous accompagne au long des procédures d installation et de restauration de PheBuX 2004 [alternative solutions] Version 2004 Ce manuel vous accompagne au long des procédures d installation et de restauration de PheBuX 2004 [alternative solutions] Il vous permet aussi de vous familiariser avec le fonctionnement de

Plus en détail

Notions sur les réseaux TCP/IP, avec et sans fil

Notions sur les réseaux TCP/IP, avec et sans fil 5 Notions sur les réseaux TCP/IP, avec et sans fil Chapitre Au sommaire de ce chapitre Principe du réseau Internet Termes basiques du paramétrage de TCP/IP Principe des ports TCP et UDP Et les VPN? Dans

Plus en détail

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de Plateforme de Surveillance réseau et sécurité Solution SecurActive NSS SecurActive NSS est une plateforme de surveillance réseau et sécurité basée sur un moteur d analyse innovant. SecurActive NSS capture

Plus en détail

TERMES DE REFERENCE POUR L INSTALLATION D UN SYSTEME DE SECURITE INFORMATIQUE PARE-FEU AU SIEGE DE L OAPI

TERMES DE REFERENCE POUR L INSTALLATION D UN SYSTEME DE SECURITE INFORMATIQUE PARE-FEU AU SIEGE DE L OAPI TERMES DE REFERENCE POUR L INSTALLATION D UN SYSTEME DE SECURITE INFORMATIQUE PARE-FEU AU SIEGE DE L OAPI Novembre 2014 1 1- Objectifs et besoins L'objet de ce document est de définir les termes de référence

Plus en détail

Module 1. Introduction à la gestion de l environnement Windows Server 2008 R2

Module 1. Introduction à la gestion de l environnement Windows Server 2008 R2 Module 1 Introduction à la gestion de l environnement Windows Server 2008 R2 Vue d ensemble du module Rôles serveur Utilisation des outils d administration Microsoft Windows Server 2008 R2 Utilisation

Plus en détail

Serveur de messagerie sous Debian 5.0

Serveur de messagerie sous Debian 5.0 Serveur de messagerie sous Debian 5.0 Avec Postfix et une connexion sécurisée GEORGET DAMIEN ET ANTHONY DIJOUX 06/10/2009 [Tutorial d installation d un serveur de messagerie POP et SMTP sous Debian, avec

Plus en détail

B1-4 Administration de réseaux

B1-4 Administration de réseaux B1-4 Administration de réseaux Introduction École nationale supérieure de techniques avancées B1-4 Administration de réseaux 1 / 22 Désolé... L administration réseau ne s enseigne pas. c est un domaine

Plus en détail

Cahier des charges: Unified Threat Management. Guillaume ROUVIÈRE, Mohammed DJOUDI, Frédéric BORDI, Cédric LESEC

Cahier des charges: Unified Threat Management. Guillaume ROUVIÈRE, Mohammed DJOUDI, Frédéric BORDI, Cédric LESEC Cahier des charges: Unified Threat Management Guillaume ROUVIÈRE, Mohammed DJOUDI, Frédéric BORDI, Cédric LESEC 5 février 2009 Table des matières 0.1 Présentation : Unified Threat Management............

Plus en détail

Installation - Réseau + PRONOTE.net

Installation - Réseau + PRONOTE.net Installation - Réseau + PRONOTE.net Installation - Réseau + PRONOTE.net L installation de PRONOTE.net nécessite que PRONOTE en réseau soit installé. PRONOTE.net est une application qui permet la publication

Plus en détail

Installation Windows 2000 Server

Installation Windows 2000 Server Installation Windows 2000 Server 1. Objectif Ce document donne une démarche pour l installation d un serveur Windows 2000, d un serveur DNS et d un contrôleur de domaine (DC), en regard de certains éléments

Plus en détail

PACK SKeeper Multi = 1 SKeeper et des SKubes

PACK SKeeper Multi = 1 SKeeper et des SKubes PACK SKeeper Multi = 1 SKeeper et des SKubes De plus en plus, les entreprises ont besoin de communiquer en toute sécurité avec leurs itinérants, leurs agences et leurs clients via Internet. Grâce au Pack

Plus en détail

La supervision décisionnelle par Adeo Informatique. Solution de supervision

La supervision décisionnelle par Adeo Informatique. Solution de supervision La supervision décisionnelle par Adeo Informatique Solution de supervision 2 Objectifs Supervision : surveiller, prévoir et éviter Si j attends la panne Durée de la panne Signes avant coureurs PANNE Appel

Plus en détail

Migration de Microsoft Exchange vers MDaemon. Alt-N Technologies

Migration de Microsoft Exchange vers MDaemon. Alt-N Technologies Migration de Microsoft Exchange vers MDaemon Alt-N Technologies Table des matières Pourquoi choisir MDaemon?... 2 MDaemon vs. Microsoft Exchange... 2 Sécurité... 3 Principales fonctionnalités... 3 Remplacer

Plus en détail

Solutions de gestion de la sécurité Livre blanc

Solutions de gestion de la sécurité Livre blanc Solutions de gestion de la sécurité Livre blanc L intégration de la gestion des identités et des accès avec l authentification unique Objectif : Renforcer la politique de sécurité et améliorer la productivité

Plus en détail

Création d un serveur VPN PPTP

Création d un serveur VPN PPTP Création d un serveur VPN PPTP Pré Requis - j ai opté pour une distribution Debian Linux pour son contrôle de la qualité remarquable, Très stable et sans bogue, Support large de l'architecture, mises à

Plus en détail

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N 2011 SOMMAIRE Introduction aux Routeurs de Services Unifiés Technologie D-Link Green USB Share Center Balance de charge et tolérance de panne Interface

Plus en détail

Guide des solutions 2X

Guide des solutions 2X Guide des solutions 2X Page 1/22 Sommaire Les solutions d infrastructures d accès 2X... 3 2X Application Server/LoadBalancer... 4 Solution pour un seul Terminal Server... 4 Solution pour deux Terminal

Plus en détail

DRS. Donnez des Capacités à Votre Serveur d Impression d Entreprise. Distributeur exclusif de la gamme des logiciels Levi, Ray & Shoup, Inc.

DRS. Donnez des Capacités à Votre Serveur d Impression d Entreprise. Distributeur exclusif de la gamme des logiciels Levi, Ray & Shoup, Inc. DRS Donnez des Capacités à Votre Serveur d Impression d Entreprise Distributeur exclusif de la gamme des logiciels Levi, Ray & Shoup, Inc. Les documents les plus importants de votre entreprise sont issus

Plus en détail

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session 2003. Sécurité du réseau

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session 2003. Sécurité du réseau ACTION PROFESSIONNELLE N 4 Fabien SALAMONE BTS INFORMATIQUE DE GESTION Option Administrateur de Réseaux Session 2003 Sécurité du réseau Firewall : Mandrake MNF Compétences : C 21 C 22 C 23 C 26 C 34 Installer

Plus en détail

Présentation de la société. Aout 2011

Présentation de la société. Aout 2011 Présentation de la société Aout 2011 En quelques mots SonicWALL Inc, (Nasdaq SNWL), est un leader mondial de solutions intelligentes de sécurité des réseaux et de protection de données. Fournisseur de

Plus en détail

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique Titre professionnel : «Système et Réseau» Inscrit au RNCP de Niveau II (Bac) (J.O. du 07/02/09) 35 semaines + 16 semaines de stage (uniquement en formation continue) page 1/8 Unité 1 : Gestion du poste

Plus en détail

IBM Managed Security Services for Web Security

IBM Managed Security Services for Web Security Description des services 1. Nature des services IBM Managed Security Services for Web Security Les services IBM Managed Security Services for Web Security («MSS for Web Security») peuvent inclure : a.

Plus en détail

Cahier des Clauses Techniques Particulières

Cahier des Clauses Techniques Particulières COMMUNE DE CHATEAUFORT Marché de services pour le suivi de l environnement Informatique Systèmes et Réseaux Procédure adaptée en vertu des dispositions de l article 28 du Code des Marchés Publics Cahier

Plus en détail

L es réseaux VPN sous IP sont aujourd hui de

L es réseaux VPN sous IP sont aujourd hui de EXECUTIVE UMMARY OFFRE DE ERVICE pour les VPN Conseil : Installation d un VPN à base de logiciels open source gratuits Mise en œuvre d outils pour implémenter à moindre coût votre politique de Qo Mise

Plus en détail

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie "étude de cas architecture et systèmes"

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie étude de cas architecture et systèmes Concours interne d ingénieur des systèmes d information et de communication «Session 2010» Meilleure copie "étude de cas architecture et systèmes" Note obtenue : 14,75/20 HEBERGE-TOUT Le 25 mars 2010 A

Plus en détail

Administration d ISA Server 2000 (Proxy et Firewall) :

Administration d ISA Server 2000 (Proxy et Firewall) : Compte rendu d'activité Nature de l'activité : Administration d ISA Server 2000 (Proxy et Firewall) : Contexte : Dans le cadre de la sécurisation d un réseau informatique, on souhaite mettre en place une

Plus en détail

Avira Professional Security Migrer vers Avira Professional Security version 2013. HowTo

Avira Professional Security Migrer vers Avira Professional Security version 2013. HowTo Avira Professional Security Migrer vers Avira Professional Security version 2013 HowTo Sommaire 1. Introduction...3 2. Migration via la console de gestion Avira (AMC)...3 3. Mise à jour manuelle d Avira

Plus en détail

UserLock Quoi de neuf dans UserLock? Version 8.5

UserLock Quoi de neuf dans UserLock? Version 8.5 UserLock Quoi de neuf dans UserLock? Version 8.5 Table des Matières 1. UserLock Version 8... 3 1.1. Le Statut utilisateur, un nouvel indicateur de risque... 3 1.2. Des alertes en temps réel contre les

Plus en détail

LA SOLUTION MODULAIRE DE MESSAGERIE QUI PERMET DE COMMUNIQUER AVEC LE MONDE ENTIER

LA SOLUTION MODULAIRE DE MESSAGERIE QUI PERMET DE COMMUNIQUER AVEC LE MONDE ENTIER LA SOLUTION MODULAIRE DE MESSAGERIE QUI PERMET DE COMMUNIQUER AVEC LE MONDE ENTIER ixware permet aux utilisateurs d envoyer et de recevoir des messages depuis leur poste de travail ou même leurs applications

Plus en détail

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc. Configuration d un Firewall StormShield modèle SN500 Nous allons voir ici comment configurer un firewall Stormshield par le biais de l interface Web de celui-ci. Comme vous pourrez le constater, les règles

Plus en détail