Contrôle et gestion sécurisés à distance d un dispositif de mesures: plateforme ATLAS

Contrôle et gestion sécurisés à distance d un dispositif de mesures: plateforme ATLAS Régis DEVREESE Jean-Emmanuel DOM Laboratoire IMS UMR 5218 http://www.ims-bordeaux.fr

ATLAS : le dispositif Banc de test de circuits intégrés par faisceau LASER Sert à modéliser certains types de rayonnement ou de radiations par le LASER Simulation de l effet des rayonnements par excitation ponctuelle des éléments constitutifs d un circuit intégré (ex : mise en évidence de microstructures parasites induites par la technologie de conception utilisée) http://hal.archives-ouvertes.fr/hal-00374744/en/ 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 2

Contraintes physiques du banc de test Essentiellement liées au LASER : Précision de visée : alignement, qualité des optiques, micromécanique Pas de vibration Pas de lumière polluante ni de poussières Stabilité en température et en humidité Donc un environnement spécifique et sécurisé (risque sanitaire) Fenêtres occultées Régulation hygrothermique et surpression Dalle flottante anti-vibration Structure du banc de test en matériau lourd Contrôle d accès Conclusion : INTRANSPORTABLE 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 3

Problèmatique : comment partager en sécurité? Partenariat de recherche multi-laboratoires Trouver comment répondre au besoin de mettre à disposition des partenaires l accès à l équipement pour leurs mesures Contrôle : transmission des ordres de pilotage du faisceau LASER Transmission de résultats de mesure Dispositif de report des éléments nécessaires s appuyant sur un tunnel SSH 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 4

Synoptique général ATLAS : contrôle à distance Régis DEVREESE Jean-Emmanuel DOM JoSy «ASR pour la Science» Internet Pare-feu Routeur d entrée VLAN dédié / Redirection du port 443/tcp depuis le routeur Clé privée dans le profil putty Localhost:23 PASSERELLE SSH PARTENAIRE Trafic console à distance encapsulé dans SSH sshgw.ims.bdx:443 IP = 192.168.2.1 Les 3 fonctions de PC1: - pilotage du banc - gestion des mesures tps réel - report vidéo de PC2 par VLC Légende Liaison fonctionnelle Flux Vidéo Liaison technique Acquisition vidéo video_manip.ims.bdx:8080 IP = 192.168.1.5 PC2 Cartes réseau dédiées Flux vidéo HTTP:8080 Diffusion VLC de PC2 Vers PC1 PC1 Gestion du banc de test LASER ctrl_manip.ims.bdx:3389 IP1 = 192.168.2.10 IP2 = 192.168.1.1 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 5

Configuration service SSH de la passerelle Fichier sshd_config Pas de login/password PermitEmptyPasswords no PasswordAuthentication no PAMAuthenticationViaKBDInt no PermitRootLogin no Authentification par système de clés asymétriques RSAAuthentication yes Autorisation pour les tunnels de ports TCP AllowTcpForwarding yes Service en écoute sur le port 443 pour limiter des filtrages 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 6

Compte utilisateur sur la passerelle SSH Création d un compte «no password» associé à un shell restreint (exemple : /bin/rksh ou /usr/lib/rsh) Création d un couple de clés asymétriques d authentification Ex : ssh-keygen t rsa b 2048 f identity Conseil 1 : ne pas effectuer cette commande sur la passerelle SSH Conseil 2 : chiffrer la clé privée avec une passphrase «solide» Création du dossier.ssh dans le compte utilisateur Y placer la clé publique identity.pub en la renommant authorized_keys La clé privée sera importée dans le client de connexion sur le poste «PARTENAIRE» 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 7

La connexion du partenaire Cahier des charges : le poste du partenaire est sous windows L outil de connexion SSH choisi est putty Site officiel : http://www.chiark.greenend.org.uk/~sgtatham/putty/ Logiciel libre (Licence MIT) Version actuelle : 0.60 (avril 2007) Astuce : préparer des profils utilisateur La configuration des connexions est stockée dans HKEY_CURRENT_USER\Software\SimonTatham\putty Possibilité d importer un fichier.reg pour faciliter le déploiement 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 8

Configuration de la connexion putty 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 9

Configuration de la connexion putty 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 10

Configuration de la connexion putty 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 11

Configuration de la connexion putty 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 12

Importation de la clé privée : puttygen Rappel : ssh-keygen t rsa b 2048 f identity Identity contient la clé privée chiffrée Dans puttygen conversions import key Pointer sur identity Entrer la passphrase Cliquer sur «Save private key» atlas.ppk Question de procédure : comment faire parvenir la clé privée au poste «partenaire» de façon sûre s il ne peut pas la générer lui-même? 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 13

Configuration de la connexion putty 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 14

Configuration de la connexion bureau à distance 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 15

Configuration de la connexion bureau à distance 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 16

Configuration de la connexion bureau à distance 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 17

Configuration de la connexion bureau à distance 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 18

Configuration de la connexion bureau à distance 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 19

Report de l image de caméra filmant le LASER Sur PC2 = video_manip.ims.bordeaux Carte d acquisition d images de la caméra La caméra filme dans l axe de visée LASER Report vidéo sur le poste partenaire pour contrôle de visée Choix de VLC media player en mode broadcast (http://videolan.org) Sur PC1 = ctrl_manip.ims.bdx VLC utilisé en mode player Affiche la vidéo de PC2 depuis http://pc2:8080 Entre PC1 et PC2 réseau ethernet dédié Réseau = 192.168.1.0/24 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 20

Configuration de VLC sur PC2 : broadcast 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 21

Configuration de VLC sur PC2 : broadcast 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 22

Configuration de VLC sur PC2 : broadcast 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 23

Configuration de VLC sur PC2 : broadcast 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 24

Configuration de VLC sur PC2 : broadcast 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 25

Configuration de VLC sur PC2 : broadcast 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 26

Configuration de VLC sur PC2 : broadcast 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 27

Configuration de VLC sur PC1 : player 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 28

Configuration de VLC sur PC1 : player 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 29

Conclusion - Perspectives Très peu de modifications de la configuration du poste de mesures (XP) Activation du service bureau à distance Installation de VLC player Contrôle d interruption du service possible à plusieurs niveaux Chercheur : désactivation du service console à distance Chercheur : changement du mot de passe atlas ASR : annulation de la redirection de port 443 sur le routeur d entrée ASR : interruption du login par changement sur ~partenaire/.ssh/authorized_keys de la passerelle SSH Putty est sensible à la qualité de la liaison : amélioration possible en essayant un VPN en UDP avec tentatives de reconnexion automatique (à faire) Point essentiel : l équipe de recherche est satisfaite 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 30

Contacts : Régis Devreese Merci de votre attention regis.devreese@ims-bordeaux.fr Jean-Emmanuel Dom jean-emmanuel.dom@ims-bordeaux.fr 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 31