ROYAUME DU MAROC OFPPT Office de la Formation Professionnelle et de la Promotion du Travail DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR TERTIAIRE & NTIC Support de formation Module : ASSURANCE DE LA SECURITE ET DE L INTEGRITE DU SYSTEME INFORMATIQUE Concepteur : M TAIS Adil - ISTA Taza Validation: M. Abdellah BENTALEB CDC Tertiaire & TIC
Assurance de la sécurité et de l intégrité du système informatique Sommaire : Introduction à la sécurité et les risques menaçant les sites informatiques 1-20 Intro à la sécurité informatique 1 Objectifs de la sécurité informatique 1 Classification des risques 2 Risques électriques 3 Les virus 4 Spam 6 Logiciel espion 7 Cheval de Troie (informatique) 8 L'usurpation d'identité: le phishing 9 Cross site scripting (XSS) 9 Attaques des mots de passe 10 Méthodes d'intrusions 12 Analyse des connexions INTERNET de base. 15 L'accès à distance à un réseau 19 Les mesures de protection des données 21-79 Contrôle d accès 21 Dispositions principales de sécurité électrique 24 Alimentation redondante 26 L'onduleur 27 Brancher et régler un onduleur 29 Protection des données : RAID 32 Monter un système RAID 5 avec Windows XP 36 Partager votre ordinateur de façon plus sûre 44 Protection de votre ordinateur à l'aide de mots de passe 46 Supprimer les partages administratifs (C$ et ADMIN$ )sous [Windows XP] 50 Sécuriser le partage de fichiers sous Windows XP 51 Cryptographie 54 Cryptage avec le logiciel : TrueCrypt 4.2a 57 Hide Folders 57 Dekart Private Disk Light 58 Crypter ses données sous Windows 59 Logiciel : AxCrypt 1.6.3 63 Chiffrement de données avec PGP 63 L'entretien préventif et le nettoyage informatique 78
La protection contre les intrusions réseau 80-197 Qu'est-ce que la sécurité d'un réseau? 80 Antivirus 81 Mise en place d un antivirus (avast) 83 Mise en place des antivirus dans un environnement client serveur 90 Les ports à ouvrir en TCP et en UDP, les plages d'adresses. 112 Virtual Private Networks (VPN). 115 Création d un serveur VPN sous Windows 2000 PRO / XP PRO 117 Utilisation du moniteur IPSec sous Windows Server 2003 128 Pare-feu (FireWall) 138 Mise en place du firewall de windows xp SP2 143 Mise en place du firewall ZoneAlarm 148 Sécuriser un réseau Wi-Fi 155 Lutte contre le pollupostage 158 Utilisation de Ad-aware 160 Mise en place d un serveur proxy dans un établissement 164 Installation/ configuration de Wingate 167 Partager une connection Internet avec WinRoute 170 Sécurité réseau sous Unix 178 Configurer Squid comme serveur proxy sous Linux 182 SSL 188 Mise en place du SSL avec IIS 5.0 dans un domaine Windows 2000 189 Sécurisation d'un serveur Apache 193 La sauvegarde des données 198-242 Introduction 198 Méthodes conseillées 201 Périphériques de sauvegarde et chargements. 201 Sauvegarde serveur réseau 214 Sauvegardes et restaurations de données sous Windows 2000 Server 218 Sauvegarder et restaurer le système avec Win XP Pro 229 Sauvegarde avec le logiciel UltraBackup 235 Création d'image Système (Ghost) 239 Politique de sécurité de l'information, validation et recouvrement des données 243-264 Politique de sécurité de l'information 243 Guide de survie (conseils pour une meilleure sécurité) 248 Plan de continuité d'activité 249 La politique d IBM en matière de sécurité informatique 252 Récupérer des données effacées avec INSPECTOR File Recovery 255 Récupération des données avec GetDataBack 259 SÉCURITÉ : Calculer une somme MD5 sous MS-Windows 263 Questionnaire sécurité 265-268 Références 269
Livres: Références Ross J. Anderson : Security Engineering: A Guide to Building Dependable Distributed Systems, ISBN 0471389226 Didier Godart : Sécurité informatique: Risques, Stratégies & Solutions, ISBN 2930287217 Bruce Schneier : Secrets & Lies: Digital Security in a Networked World, ISBN 0471253111 Paul A. Karger, Roger R. Schell : Thirty Years Later: Lessons from the Multics Security Evaluation, IBM white paper. Histoire des codes secrets, de S. Singh, ed. LGF, septembre 2001, ISBN 2253150975, Cours de cryptographie, de G. Zémor - Cassini, 2000. Sites: Wikipédia, l'encyclopédie libre commentcamarche.com ybet.be Revue : PC Magazine, déc. 2005 Aide en ligne de Windows XP. Guide de Référence : WinRoute Pro 4.2, pour la version 4.1 (Build 22 et plus). Kerio Technologies Inc.
Introduction à la sécurité et les risques menaçant les sites informatiques Intro à la sécurité informatique... 5 Objectifs de la sécurité informatique... 5 Classification des risques... 6 Risques électriques... 7 Les virus... 8 Spam... 10 Logiciel espion... 11 Cheval de Troie (informatique)... 12 L'usurpation d'identité: le phishing... 13 Cross site scripting (XSS)... 13 Attaques des mots de passe... 14 Méthodes d'intrusions... 16 Analyse des connexions INTERNET de base.... 19 L'accès à distance à un réseau... 23 Intro à la sécurité informatique Le terme «système d'information» désigne ici tout système dont le fonctionnement fait appel, d'une façon ou d'une autre, à l'électricité et destiné à élaborer, traiter, stocker, acheminer ou présenter de l'information. De tels systèmes se prêtent à des intrusions de types diverses, susceptibles de modifier ou détruire l'information, ou de la révéler à des tiers qui ne doivent pas en avoir connaissance. Ces intrusions peuvent être simples. Utilisant des technologies et de méthodes très répandues, elles sont à la portée de services spécialisés dans la recherche du renseignement comme à celle de particuliers à l'affût d'informations pouvant servir leurs intérêts, entre autres les organisations criminelles, terroristes ou susceptibles de compromettre l'ordre public. La Sécurité des systèmes d information (SSI) est l ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires pour conserver ou rétablir la disponibilité, l'intégrité et la confidentialité des informations ou du système. Objectifs de la sécurité informatique La sécurité informatique vise généralement cinq principaux objectifs : La confidentialité La confidentialité consiste à rendre l'information inintelligible à d'autres personnes que les seuls acteurs de la transaction. L'intégrité Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle). La disponibilité L'objectif de la disponibilité est de garantir l'accès à un service ou à des ressources. La non-répudiation La non-répudiation de l'information est la garantie qu'aucun des correspondants ne pourra nier la transaction.
L'authentification L'authentification consiste à assurer l'identité d'un utilisateur, c'est-à-dire de garantir à chacun des correspondants que son partenaire est bien celui qu'il croit être. Un contrôle d'accès peut permettre (par exemple par le moyen d'un mot de passe qui devra être crypté) l'accès à des ressources uniquement aux personnes autorisées. Classification des risques La sécurité informatique vise à se protéger contre les risques liés à l'informatique, pouvant être fonction de plusieurs éléments : les menaces qui pèsent sur les actifs à protéger ; les vulnérabilités de ces actifs ; la sensibilité de ceux-ci, qui est la conjonction de différents facteurs : o Disponibilité, o Intégrité, o Confidentialité, o Imputabilité. Si l'un des éléments est nul, le risque n'existe pas. C'est pourquoi, l'équation est généralement représentée par : Risque = Menaces * Vulnérabilités * Sensibilité Les principales menaces effectives auxquelles on peut être confronté sont : l'utilisateur : l'énorme majorité des problèmes liés à la sécurité d'un système d'information est l'utilisateur (par insouciance ou malveillance) les programmes malveillants : un logiciel destiné à nuire ou à abuser des ressources du système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions ou modifiant les données l'intrusion : une personne parvient à accéder à des données ou à des programmes auxquels elle n'est pas censée avoir accès un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données. Nombre d incidents connus liés à la sécurité informatique répertoriés par le CERT (http://www.cert.org/)
CSI/FBI 2004 Computer Crime and Security Survey Results (source: http://www.gocsi.com/ Risques électriques Les incendies d'origine électrique Un incendie sur trois serait d'origine électrique. Pour que survienne un incendie d'origine électrique, il faut qu'il y ait simultanément : une source de chaleur ou une étincelle, un comburant (l'oxygène de l'air), un combustible. Les principales causes d'incendies d'origine électrique sont : L'échauffement par surintensité : dégagement de chaleur lié à la résistance du récepteur et à l'intensité ; La surintensité par surcharge : une intensité supérieure à ce que peut supporter un circuit ; Le court-circuit ; Un défaut d'isolement conduisant à une circulation anormale du courant entre récepteurs et masse ou entre récepteur et terre ; Contacts défectueux entraînant une résistance anormale et un échauffement. Certains facteurs peuvent aggraver les échauffements : Une ventilation insuffisante, L'accumulation de poussière ou de dépôts de graisse, Le stockage de matériaux inflammables à proximité d'installations électriques, L'empilage des câbles empêchant l'évacuation de la chaleur, Le maintien en fonctionnements d'appareils ayant subi des courts-circuits.
Les virus Nous dirons ici que tout Code Parasite Autopropageable (CPA) est un virus informatique (définition de Mark Ludwig, tirée de The Little Book of Computers Viruses, 1991). Le terme «code» fait bien évidemment référence à des instructions rédigées dans un langage de programmation évolué ou non. Le mot «parasite» souligne le caractère insidieux du code viral : il est là où on ne devrait normalement pas le trouver. Il constitue un ajout non-voulu par l'utilisateur. Quant à «autopropageable, il renvoie à cette caractéristique de duplication qu'ont les virus : la capacité à se multiplier en infectant d'autres fichiers. Ils recopient leurs propres instructions (code) au sein de celles d'un autre programme. L'efficacité de la duplication se mesure au fait que l'exécution du programme hôte n'est pas altérée, alors que ses fonctionnalités ont été modifiées. C'est une définition parmi tant d'autre d'un virus informatique mais intéressons nous maintenant aux différents types qui existent. Types de virus : On peut classer les virus selon leur mode de déclenchement ou leur mode de propagation. On distingue alors plusieurs catégories de virus : Les vers : il s'agit de programmes possédant la faculté de s'autoreproduire et de se déplacer à travers un réseau en utilisant des mécanismes de communication classiques, comme les RPC (Remote Procedure Call, procédure d'appel à distance) ou le rlogin (connexion à distance), sans avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier...) pour se propager. Un ver est donc un virus réseau. Ces virus se servent des programmes de messagerie (notamment Microsoft Outlook) pour se répandre à grande vitesse, en s'envoyant automatiquement à des personnes présentent dans le carnet d'adresses. Leur premier effet est de saturer les serveurs de messagerie, mais ils peuvent également avoir des actions destructrices pour les ordinateurs contaminés. Ils sont particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé. Les bombes logiques: elles sont de véritables bombes à retardement. Ce sont de petits programmes restant inactifs tant qu'une condition n'est pas remplie, une fois la condition remplie (une date par exemple), une suite de commandes est exécutée (dont le but, le plus souvent, hélas, est de faire le plus de dégâts possible). Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise! Un exemple célèbre est le virus Michelangelo qui devait se déclencher à la date anniversaire de la naissance de l'artiste (Michel-Ange) ; Les chevaux de Troie : par analogie avec la mythologie grecque, ce sont des programmes dont l'aspect malveillant est caché au premier abord. Un cheval de Troie permet généralement de préparer une attaque ultérieure de la machine infectée. Par exemple, ils agissent en laissant ouverts des ports de communication qui peuvent être ensuite utilisés par des programmes d'attaque. Ils sont difficiles à détecter par un utilisateur non averti. Un cheval de Troie est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté. Un cheval de Troie peut par exemple : voler des mots de passe copier des données sensibles exécuter tout autre action nuisible... Les macrovirus : ce sont des virus écrits sous forme de macros (une macro est une série de commandes destinée à effectuer automatiquement quelques tâches d'une application spécifique)
exécutables dans des applications bureautiques (traitement de texte, tableur, etc.) ou des logiciels clients de messagerie électronique. Ces macrovirus vont détourner tous les appels des macros standards. La propagation se fait généralement par l'opération de sauvegarde. Comme de plus en plus de logiciels intègrent ces notions de macros, les macrovirus sont devenus les virus les plus fréquents et les plus redoutables pouvant malheureusement causer de grands dégâts (formatage du disque dur par exemple). Un tel virus peut être situé à l'intérieur d'un banal document Word ou Excel, et exécuter une portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accéder au système d'exploitation (généralement Windows). Les virus de secteur d'amorce (aussi appelés virus «boot sector») : cette catégorie regroupe les virus infectant le secteur d'amorçage du disque (disque dur, disquettes, disque zip,...). Il s'agit d'un type de virus infectant la partie faisant démarrer l'ordinateur. Ce type de virus est de nos jours peu contagieux. Pour qu'un ordinateur soit infecté, il doit être démarré avec un secteur d'amorçage infecté, ce qui était courant sur les premiers ordinateurs mais qui est rare aujourd'hui. Pourtant ce genre de virus est fort dangereux. En effet, il se trouve dans le premier secteur du disque et est donc chargé à chaque allumage de l'ordinateur. Le secteur d'amorçage du disque est le premier secteur lu au démarrage de l'ordinateur. Ce genre de virus a donc un contrôle complet de la machine, puisqu'il est chargé en premier. Ce peut être un des virus les plus difficiles à déceler et/ou à éradiquer, vu l'«incrustation» du virus dans le système. Ce genre de virus est actif à partir du moment où on allume l'ordinateur, jusqu'au moment où on l'éteint. Mais pourquoi le secteur d'amorçage d'un ordinateur n'est pas protégé contre l'écriture? Le secteur d'amorçage est typique au système d'exploitation, donc variable. Il est du coup nécessaire de pouvoir le modifier si l'utilisateur désire changer de système d'exploitation. Ceci dit ce genre de virus est en voie de disparition : il est de plus en plus rare d'amorcer sa machine avec une disquette ou un disque dur de quelqu'un d'autre. Les virus fichiers : Virus Non résidents : C'étaient les virus les plus répandus il y a quelques années. Lors de l'infection, il cherche un fichier cible, et remplace, par sa section virale, le premier segment du programme. La section originale est alors ajoutée en fin de programme. Au moment de l'exécution du fichier, c'est le code viral qui est d'abord lancé. Ce code viral cherche d'autres programmes à infecter, il les infecte. Ensuite il restitue la première section du programme infecté et l'exécute celui-ci. La boucle est bouclée. Le virus a pu se propager de façon tout à fait invisible. Il s'agit donc d'un virus fort contagieux. La détection de ce genre de virus est pourtant assez aisée, le fichier infecté étant plus grand que le fichier sain, puisqu'il contient le virus en plus du programme. Virus résidents : Il s'agit de virus qui restent présent dans la mémoire de l'ordinateur (RAM, à ne pas confondre avec le disque dur qui peut aussi être appelé mémoire). Fonctionnement : Une fois un fichier infecté exécuté (NB : ce fichier infecté vient soit d'une source infectée, une source douteuse, soit d'un autre fichier infecté précédemment), le virus se loge dans la mémoire vive, ou il reste actif. Dès qu'un programme est exécuté et qu'il n'est pas infecté, le virus l'infecte. La différence avec celui vu précédemment est qu'il n'y a pas besoin de procédure pour trouver une cible, puisque c'est l'utilisateur qui la désigne en exécutant le programme cible. Ce genre de virus est actif à partir du moment où un programme infecté est exécuté jusqu'à l'arrêt complet de la machine. Certains d'entre eux peuvent résister au simple redémarrage (c-à-d : CTRL ALT DEL).
Virus multiformes : Virus regroupant les caractéristiques des virus parasites et des virus du secteur d'amorçage. Les autres caractéristiques des virus : * Virus furtifs (intercepteurs d'interruptions) : ce sont des virus modifiant complètement le fonctionnement du système d'exploitation. Ces virus le modifient tellement qu'il semble sain aux antivirus. Ceci les rend très difficiles à détecter, puisque les antivirus sont trompés, croyant le système d'exploitation sain. * Virus polymorphes (mutants) : ce virus est différent à chaque infection. Il doit ceci à son encryption (Il existe un algorithme reprenant une valeur au hasard, permettant d'avoir un fichier crypté à chaque fois différent ne dérangeant cependant pas le décryptage). Le programme entier et le virus sont encryptés, excepté le premier segment destiné à la décryption. Ce genre de virus est donc beaucoup plus difficile à détecter que les précédents et presque impossible à détruire sans supprimer le fichier infecté, vu qu'il est crypté. * Virus réseau : Ces virus se reproduisent dans les réseaux en prenant le contrôle des interruptions réseau (peu fréquents). * Virus flibustiers (Bounty hunters) : virus visant la modification des antivirus les rendant non - opérationnels. Ce genre de virus est très rare mais très efficace. Il faut savoir que un virus peut regrouper une, plusieurs, voire toutes les caractéristiques vues cidessus. Plus le virus a de caractéristiques, plus il sera dangereux, compliqué, vorace en ressources de l'ordinateur (du à sa complexité). Ce qui signifie gênant sans même être actif, et surtout difficile à détecter par un antivirus (trompé, rendu inactif,...) mais aussi plus facilement repérable, et ce, dû à la baisse des performances de la machine. Les virus VBS script : Ce type de virus se propage par mail à l'aide d'un fichier attaché (type exe, vbs etc..) bien souvent en ayant un nom évocateur. Ces nombreux virus sont en langage Visual Basic. Ils sont de type Vbs (Visual Basic Script) ou plus simplement «script». Par exemple, le désormais célèbre I Love You et le virus KakWorm sont écrits dans ce langage. Les canulars : Depuis quelques années un autre phénomène est apparu, il s'agit des canulars (en anglais hoax), c'est-à-dire des annonces reçues par mail propageant de fausses informations (par exemple l'annonce de l'apparition d'un nouveau virus destructeur ou bien la possibilité de gagner un téléphone portable gratuitement,...) accompagnées d'une note précisant de faire suivre la nouvelle à tous ses proches. Ce procédé a pour but l'engorgement des réseaux ainsi que la désinformation. Ainsi, de plus en plus de personnes font suivre des informations reçues par courriel sans vérifier la véracité des propos qui y sont contenus. Le but des hoax est simple : provoquer la satisfaction de son concepteur d'avoir berné un grand nombre de personnes Spam Le spam, mot anglais du jargon informatique, désigne les communications électroniques massives, notamment de courrier électronique, sans sollicitation des destinataires, à des fins publicitaires ou malhonnêtes. Ce terme est considéré comme un anglicisme. En guise de remplacement, certains pays francophones proposent d'utiliser les mots pourriel (de poubelle et courriel) et polluriel (de pollution et courriel), ainsi que d'autres variantes. Le mot pourriel est d'usage assez courant, polluriel est plus rarement utilisé.
Le verbe spammer est souvent utilisé dans le langage familier pour qualifier l'action d'envoyer du spam, le spamming. Le mot spammeur désigne celui qui envoie du spam. Les mots polluposter, pollupostage et polluposteur en sont leurs équivalents. Il est recommandé d'utiliser le terme d' arroseur pour designer un spammeur. Cibles du pourriel : Le pourriel peut s'attaquer à divers médias électroniques : les courriels, les forums de discussion de Usenet, les moteurs de recherche, les wikis, les messageries instantanées. o Par courrier électronique : Le pourriel par courrier électronique est le type de pollupostage le plus répandu. Le coût d'envoi d'un courrier électronique étant négligeable, il est facile d'envoyer un message à des millions de destinataires. Les destinataires assument le coût de réception et de stockage en boîte aux lettres, ce qui peut causer des coûts non négligeables aux prestataires de services, à cause du volume pris par le pourriel. Les forums de discussion de Usenet sont une cible facile du spam. En effet, un message envoyé à un forum touche tous les lecteurs du forum. Certains groupes de discussion ne reçoivent pratiquement plus que du pollupostage (c'est l'une des raisons pour lesquelles de nombreux forums sont modérés, c'est-à-dire surveillés par un humain ou un robot qui effectue un tri parmi les articles proposés o Par des fenêtres pop-up de Windows. o Par systèmes vocaux : Le développement de la voix sur réseau IP (téléphonie par Internet) fait craindre l'arrivée prochaine sur nos combinés d'un nouveau type de pourriel, le spam vocal, baptisé SpIT (Spam over Internet Telephony). En effet, des systèmes comme Skype voient déjà une part notable des appels être d'origine non sollicitée, même s'il s'agit encore de contacts personnels plutôt que de sollicitations commerciales. o Spamdexing - Référencement abusif Le référencement abusif destiné aux robots d'indexation de moteur de recherche consiste à modifier des pages Web en utilisant des mots-clés d'une façon abusive pour améliorer le classement dans les moteurs de recherche. o Par commentaires via les blogs La présence de liens vers un site web est un critère important de classement dans les moteurs de recherche. Afin d'augmenter artificiellement le nombre de liens pointant vers leurs sites, certains mettent des messages de commentaires dans les blogs uniquement pour ajouter un lien vers un ou plusieurs sites web à promouvoir. Logiciel espion Un logiciel espion (ou mouchard) est un logiciel malveillant qui infecte un ordinateur dans le but de collecter et de transmettre à des tiers des informations de l'environnement sur lequel il est installé sans
que l'utilisateur n'en ait connaissance. L'essor de ce type de logiciel est associé à celui d'internet, qui sert de moyen de transmission des données. o Étymologie Logiciel espion est tiré de l'anglais spyware et se dit également espiogiciel ou plus rarement espiongiciel. o Fonctionnement Un logiciel espion est composé de trois mécanismes distincts : Le mécanisme d'infection. Par exemple, le spyware Cydoor utilise le logiciel grand public Kazaa. Le mécanisme assurant la collecte d'information. Pour le même exemple, la collecte consiste à enregistrer tout ce que l'utilisateur recherche et télécharge via le logiciel Kazaa. Le mécanisme assurant la transmission à un tiers. Ce mécanisme est généralement assuré via le réseau Internet. Le tiers peut être le concepteur du programme ou une entreprise. La transmission de données à un État est très spéculative et relève peut-être plus de la théorie du complot. o Où trouve-t-on des logiciels espions? Le logiciel espion est très répandu sur les systèmes Microsoft, sur lesquels il n'est généralement pas détectable par les logiciels anti-virus ni les anti-espiogiciels actuels, car fonctionnant avec le même principe qu'un rootkit. Certaines pages web peuvent, lorsqu'elles sont chargées, installer à l'insu de l'utilisateur un logiciel espion, généralement en utilisant des failles de sécurité du navigateur Internet Explorer. Ils sont souvent présents dans des gratuiciels (différents des logiciels libres), ou des partagiciels, afin de rentabiliser leur développement. Il est possible que la suppression de l'espiogiciel d'un gratuiciel empêche celui-ci de fonctionner. En général les logiciels à code source libre comme Mozilla FireFox n'en contiennent aucun. On en trouve également dans les logiciels d'installation de pilotes fournis avec certains périphériques. Ainsi, les fabricants d'imprimantes peuvent s'en servir pour savoir en combien de temps une cartouche d'encre est vidée. Plus généralement, tous les logiciels propriétaires peuvent en cacher puisque leurs sources ne sont pas accessibles. Enfin, certains administrateurs systèmes ou réseaux installent eux-mêmes ce type de logiciel pour surveiller à distance l'activité de leurs ordinateurs, sans avoir à se connecter dessus. Cheval de Troie (informatique) En informatique, un cheval de Troie est un type de logiciel malveillant, c'est-à-dire un logiciel d'apparence légitime, mais conçu pour subrepticement exécuter des actions nuisibles à l'utilisateur. Un cheval de Troie n'est pas un virus informatique dans le sens où il ne se duplique pas par luimême, fonction essentielle pour qu'un logiciel puisse être considéré comme un virus. Un cheval de Troie est conçu pour être dupliqué par des utilisateurs naïfs, attirés par les fonctionnalités vantées.
Les chevaux de Troie servent très fréquemment à introduire une porte dérobée sur un ordinateur. L'action nuisible à l'utilisateur est alors le fait qu'un pirate informatique peut à tout moment prendre à distance (par Internet) le contrôle de l'ordinateur. Pour éviter les infections de chevaux de Troie, la règle la plus simple est d'installer un minimum de logiciels, de provenance sûre. Après infection, on peut détecter un cheval de Troie avec un antivirus à jour. Enfin, on peut utiliser un pare-feu pour limiter et surveiller les connexions au réseau que pourrait utiliser le pirate. Toutefois, une fois installé, le cheval de Troie peut désactiver les antivirus et parefeu existants. Exemples de chevaux de Troie : Back Orifice, NetBus, SubSeven L'usurpation d'identité: le phishing Le phishing (prononcer fishing) est une des nouvelles facettes à la problématique de l'usurpation d'identité. Il s'agit d'exploiter l'internet et le courrier électronique afin de pousser des utilisateurs à divulguer des informations privées en leur faisant croire que ces demandes d'information proviennent de services légitimes. Ces courriers électroniques peuvent apparaître comme authentiques, alors qu'en réalité ils ne visent qu'à tromper l'utilisateur, un peu comme le pêcheur utilisant des leurres ressemblant à s'y méprendre à de vrais insectes pour faire mordre le poisson. Les informations ainsi recherchées peuvent être de différentes natures: informations personnelles informations financières (numéros de carte de crédit, etc.), nom d'utilisateur et mot de passe du compte d'un utilisateur légitime, numéros de sécurité sociale, etc. De même, les identités usurpées peuvent être celles: de banques connues, de services de vente en ligne, d'entreprises de crédit, etc. Cross site scripting (XSS) Le Cross site scripting, abrégé XSS, est un type de faille de sécurité des sites Web, que l'on trouve typiquement dans les applications Web qui peuvent être utilisées par un attaquant pour faire afficher des pages web contenant du code douteux. Il est abrégé XSS pour ne pas être confondu avec le CSS (feuilles de style), X étant une abréviation commune pour "cross" (croix) en anglais. Le terme Cross site scripting n'est pas une description très précise de ce type de vulnérabilité. Mark Slemko, pionnier du XSS, en disait Le problème n'est pas simplement le 'scripting', et il n'y a pas forcément quelque chose entre plusieurs sites. Alors pourquoi ce nom? En fait, le nom a été donné quand le problème était moins bien compris, et c'est resté. Croyez moi, nous avions des choses plus importantes à faire que de réfléchir à un meilleur nom. Le principe est d'injecter des données arbitraires dans un site web, par exemple en déposant un message dans un forum, mais aussi par des paramètres d'url, etc. Si ces données arrivent telles
quelles dans la page web transmise au navigateur (par les paramètres d'url, un message posté, etc.) sans avoir été vérifié, alors il existe une faille : on peut s'en servir pour faire exécuter du code malveillant en langage de script (du JavaScript le plus souvent) par le navigateur web qui consulte cette page. Pour vérifier la présence d'une faille XSS, il suffit de faire passer un script, par exemple <script>alert('bonjour')</script> qui provoquera l'affichage d'une boîte de dialogue. Les risques L'exploitation d'une faille de type XSS peut permettre à un intrus de réaliser les opérations suivantes : Affichage d'un contenu non interne au site (publicité, faux article) Redirection (parfois de manière transparente) de l'utilisateur. Vol d'informations, par exemple sessions et cookies. Actions sur le site faillible, à l'insu de la victime et sous son identité (envois de messages, suppression de données, etc.) Une faille de type XSS est à l'origine de la propagation des virus sur MySpace en 2005 ainsi que de Yamanner sur Yahoo!Mail en 2006. Attaques des mots de passe Attaque par force brute : L'attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s'agit de tester, une à une, toutes les combinaisons possibles. Cette méthode de recherche exhaustive ne marche que dans les cas où le mot de passe cherché est constitué de peu de caractères. Pour contrer cette attaque, il suffit simplement de choisir des mots de passe d'une longueur conséquente ou des clés suffisamment grandes. Ainsi, l'attaquant devra attendre quelques années avant de trouver le bon mot de passe. Cette méthode est souvent combinée avec l'attaque par dictionnaire pour obtenir de meilleurs résultats. 1. Explication mathématique Si le mot de passe contient N caractères, indépendants (la présence d'un caractère ne va pas influencer un autre) et uniformément distribués (aucun caractère n'est privilégié), le nombre maximum d'essais nécessaires se monte alors à : 26 N si le mot de passe ne contient que des lettres de l'alphabet totalement en minuscules ou en majuscules 52 N si le mot de passe ne contient que des lettres de l'alphabet, avec un mélange de minuscules et de majuscules 62 N si le mot de passe mélange les majuscules et les minuscules ainsi que les chiffres Il suffit en fait d'élever la taille de «l'alphabet» utilisé à la puissance N. Il s'agit ici d'une borne supérieure et en moyenne, il faut deux fois moins d'essais pour trouver le mot de passe (si celui-ci est aléatoire). En réalité, bien peu de mots de passe sont totalement aléatoires et le nombre d'essais est bien inférieur aux limites données ci-dessus (grâce à la possibilité d'une attaque par dictionnaire). Le tableau ci-dessous donne le nombre maximum d'essais nécessaires pour trouver des mots de passe de longueurs variables.
Type 3 caractères 6 caractères 9 caractères lettres minuscules 17 576 308 915 776 5,4 * 10 12 lettres minuscules et chiffres 46 656 2 176 782 336 1,0 * 10 14 minuscules, majuscules et chiffres 238 328 5,6 * 10 10 1,3 * 10 16 Un ordinateur personnel est capable de tester plusieurs centaines de milliers voire quelques millions de mots de passe par seconde. Cela dépend de l'algorithme utilisé pour la protection mais on voit qu'un mot de passe de seulement 6 caractères, eux-mêmes provenant d'un ensemble de 36 symboles (minuscules ou majuscules accompagnés de chiffres), ne tiendrait pas très longtemps face à une telle attaque. Dans le cas des clés utilisées pour le chiffrement, la longueur est souvent donnée en bits. Dans ce cas, le nombre de possibilités (si la clé est aléatoire) à explorer est de l'ordre de 2 N où N est la longueur de la clé en bits. Une clé de 128 bits représente déjà une limite impossible à atteindre avec la technologie actuelle et l'attaquant doit envisager d'autres solutions cryptanalytiques si celles-ci existent. Il faut cependant prendre en compte que la puissance du matériel informatique évolue sans-cesse (voir Loi de Moore) et un message indéchiffrable à un moment donné peut l'être par le même type d'attaque une dizaine d'années plus tard. 2. Limiter la recherche exhaustive Pour éviter des attaques par force brute, la meilleure solution est: d'allonger le mot de passe ou la clé si cela est possible; utiliser la plus grande gamme de symboles possibles (minuscules, majuscules, ponctuations, chiffres); pour éviter d'avoir à faire face à une attaque par dictionnaire, faire en sorte que le mot de passe soit aléatoire; et pour une sécurité optimum, empêcher de dépasser un nombre maximal d'essais en un temps ou pour une personne donnée. Dans les applications, on peut aussi introduire un temps d'attente entre l'introduction du mot de passe par l'utilisateur et son évaluation. L'éventuel attaquant devrait dans ce cas attendre plus longtemps pour pouvoir soumettre les mots de passe qu'il génère. Le système peut aussi introduire un temps d'attente après plusieurs essais infructeux, ceci dans le but de ralentir l'attaque. Les systèmes de mots de passe comme celui d'unix utilisent une version modifiée du chiffrement DES. Chaque mot de passe est accompagné d'une composante aléatoire appelée sel dont le but est de modifier la structure interne de DES et éviter ainsi une recherche exhaustive en utilisant du matériel spécialement conçu pour DES. Toutefois, avec suffisamment de temps, l'attaquant pourra toujours (en théorie) trouver le mot de passe ou une clé sauf si celui-ci emploie le principe du masque jetable. Le masque jetable, également appelé chiffre de Vernam est un algorithme de cryptographie inventé par Gilbert Vernam en 1917. Bien que simple, ce chiffrement est le seul qui soit théoriquement impossible à casser, même s'il présente d'importantes difficultés de mise en oeuvre pratique. Attaque par dictionnaire : L'attaque par dictionnaire est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Elle consiste à tester une série de mots de passe potentiels, les uns à la suite des autres, en
espérant que le mot de passe utilisé pour le chiffrement soit contenu dans le dictionnaire. Si tel n'est pas le cas, l'attaque échouera. Cette méthode repose sur le fait que de nombreuses personnes utilisent des mots de passe courants (par ex : un prénom, une couleur, le nom d'un animal...). C'est pour cette raison qu'il est toujours conseillé de bien réfléchir avant de choisir un mot de passe. L'attaque par dictionnaire est souvent une méthode utilisée en complément de l'attaque par force brute qui consiste à tester de manière exhaustive les différentes possibilités de mots de passe. Cette dernière est particulièrement efficace pour des mots de passe n'excédant pas 5 ou 6 caractères. o Contenu du dictionnaire et règles Outre le contenu habituel d'un dictionnaire qui renferme un ensemble de mots, le dictionnaire peut être fortement amélioré en combinant les mots ou en appliquant certaines règles. Par exemple, pour chaque mot, on peut essayer de changer la casse de certaines lettres. Une autre astuce consiste à répéter deux fois le mot (par exemple «secretsecret»), dans l'espoir que l'utilisateur fasse appel à cette méthode peu sûre pour renforcer son mot de passe. On peut aussi générer des dictionnaires, par exemple pour des numéros de plaque, des numéros de sécurité sociale, des dates de naissance, etc. o Logiciels Le logiciel John the Ripper, le plus connu dans ce domaine, est fourni avec une liste de règles qui permettent d'étendre l'espace de recherche et explorer les failles classiques dans l'élaboration des mots de passe ou des clés par les utilisateurs. Il existe des dictionnaires qui contiennent plusieurs millions de mots et qui ne sont pas fournis avec le logiciel. Citons encore L0phtcrack et Cain & Abel qui fournissent des services similaires. Toutefois, ce type de logiciels n'est pas forcément utilisé dans un but malicieux. Ces outils peuvent être utiles pour les administrateurs qui veulent sécuriser les mots de passe et alerter les utilisateurs sur les risques encourus. Méthodes d'intrusions Les risques d'intrusions sont un sujet à la mode. Différentes méthodes d'intrusions vont être examinées. La première méthode d'intrusion consiste à injecter un trojan dans votre PC (via un mail par exemple). Ce logiciel serveur va réagir à toute demande d'un client (le programme de celui qui essaye l'intrusion) via un port TCP ou UDP. Les ports sont spécifiques à chaque trojan (aussi appelé cheval de Troie). Ce type d'intrusion nécessite donc 2 versions du logiciel, la partie serveur implantée sur le PC infecté et la partie client implanté sur le PC qui essaye de prendre le contrôle du PC infecté. Je vous laisse aux sites spécialisés pour la liste des trojans et leurs ports spécifiques. La deuxième méthode consiste à utiliser des failles de sécurité dans le fourbi Microsoft, que ce soit dans le système d'exploitation Windows, dans Internet Explorer ou dans Outlook (toutes versions confondues). Nettement plus costaude, cette solution est réservée aux professionnels. Ceci peut permettre à un site de tests de firewall par exemple d'ouvrir ton lecteur CD-ROM à distance. Avec un firewall software sur la station et le réseau protégé par un firewall hardware, on se sentait pourtant plutôt en sécurité. La solution consiste à suivre les SERVICE PACK de sécurité des programmes (quand les nouvelles versions n'ouvrent pas d'autres failles) De loin la plus sournoise, la troisième méthode consiste à modifier des informations dans la trame TCP/IP d'un message correct pour que le PC (ou le routeur) attaqué croit que les informations proviennent effectivement du site demandé comme dans le schémas ci-dessous. Pour parer à ces attaques, il faut impérativement que les trames soit toutes analysées avant la lecture par le navigateur.
Les buts sont multiples: vols d'informations et dans de nombreux cas, utilisé ce PC comme relais pour d'autres attaques. La cible détecte alors l'attaque comme provenant du PC "hacké". 1. Les spywares et adware. Les spyware et adware sont tous deux des programmes commerciaux qui vous envoient des publicités lorsque vous naviguez sur Internet. En aucun cas, ces logiciels ne sont considérés comme des virus. Ils ne sont donc ni détectés, ni supprimés par un anti-virus! Un adware se contente d'afficher des bannières de pub sur votre écran. Le programme se connecte automatiquement sur son site pour récupérer de nouvelles publicités et les pubs sont renouvelées à chaque connexion. Si vous ne vous connectez pas, il affiche quand même à intervalle régulier les publicités chargées lors des précédentes connexions. Ces programmes sont généralement chargés avec un :logiciel gratuit. Ils sont maintenant supplantés par les spywares. Un spyware est également un programme marketing mais son fonctionnement est différent. A chaque connexion, il se branche sur son site et peut communiquer ce qu'il veut. En premier, il va vous suivre à la trace et communiquer à fait les sites sur lesquels vous surfez. Ceci semble peu important mais va définir vos habitudes et centres d'intérêt. Ceci est intéressant pour vous envoyer des publicités ciblées. Comme ils s'intègrent directement dans le navigateur, il faut pratiquement réinstaller Windows pour les virer ou utiliser un logiciel gratuit comme ad-aware de lavasoft. D'autres utilisations sont plus sournoises puisque quelques uns de ces spyware enregistrent vos tapes claviers (et peuvent les envoyer
sur le site mère) ou même analysent vos documents Word et Excel. Gator et Gain sont les plus connus. 2. Microsoft. On trouve régulièrement des problèmes de sécurité dans les systèmes d'exploitation, les navigateurs et les programmes de Mail de Microsoft; Ceci est utilisé pour les intrusions, comme pour la prolifération des virus. La seule solution est la mise à jour de votre programme sur le site de Microsoft. 3. Les attaques par Déni de service (Denial of Service) Encore un problème relevant de la sécurité sur INTERNET. Arrivées depuis peu dans le monde des connexions, ce type d'attaque consiste à envoyer un maximum de requête sur un serveur web ou un routeur en un minimum de temps. La requête consiste en multitudes paquets ICMP echorequets en modifiant l'adresse source de chaque paquet. Les commandes envoyées sont des multiples petits paquets de 64 Kb ou inférieur. La cible ne peut plus répondre aux demandes de connexions car l'ensemble de la bande passante est limitée. Ceci est la méthode du gamin gâté qui ne parvient pas à s'introduire sur un site, alors, il le plante. Par contre, c'est aussi une méthode beaucoup plus professionnelle. Pour assurer un maximum d'envoi en même temps, le hacker doit utiliser un maximum de PC en même temps: ceci se fait par l'implantation d'un trojan dans l'ordinateur de simples amateurs et demande à tous ces PC d'envoyer les même commandes au même moment. 4. Déni de service station (tear drop, new tear, boink,...) Les attaques de type Teardrop, Newtear, Boink,... sont quasiment identiques au déni de service ci-dessus sauf qu'elle ne s'attaque qu'aux ordinateurs (serveurs inclus) directement connectés ou même via un routeur. Ce type d'attaque vise les système Windows 32 bits (Win 95, 98, Me, XP (Pro), NT et 2000) mais également les systèmes d'exploitation Linux inférieur à 2.0.32 (comme Linux n'est pas dans mes compétences, à vérifier). Apparemment, les Mac et systèmes Unix peuvent aussi être altérés par ces attaques. A part Windows 3.11 et DOS, tous sont donc visés. L'attaque ne se fait plus sur un serveur, mais sur les stations connectées. Ce type d'attaque consiste à envoyer des packets TCP/IP qui se recouvrent appelé OOB = Out Of Band). L'ordinateur cible tente de reconstruire les informations et finalement, n'y arrivant pas, ceci provoque un plantage de la machine. En Windows, vous vous retrouvez avec une belle fenêtre bleue et vous n'avez d'autres choix que de redémarrer la machine. Quelques précisions. Anonyme sur Internet, pas si sûr. A chaque connexion, votre fournisseur d'accès vous alloue une adresse IP personnelle et unique sur le réseau INTERNET. Un routeur protège votre adresse TCP/IP locale sur le réseau en n'indiquant que l'adresse extérieure (celle fournie par le FAI) via le NAT. Par contre, si vous utilisez le partage fourni avec Win 98SE et supérieur, toutes les adresses IP du réseau sont visibles de l'extérieur. Pour le paramétrage des partages INTERNET. Toute intrusion, attaques de tout type demande d'abord au "hacker" de connaître l'adresse TCP/IP de la cible vis à vis d'internet. Le sport pour lui est ensuite de connaître les adresses internes des stations PC ou autres du réseau. Tant que l'adresse Wan (Internet) est invisible, il ne peut rien. Forcément, elle est plus facile a détecter lorsque le réseau local est raccordé par adresse TCP/IP fixe. Dans le même ordre d'idées, votre système d'exploitation et votre navigateur Internet sont automatiquement envoyés par votre navigateur au site, idem pour la résolution de votre écran (dimension et nombre de couleurs) Les serveurs proxy sont des genres de mémoires cache qui permettent d'accélérer les connexions. Lorsque vous visitez une page, le proxy la garde en mémoire. Si une demande sur cette
page intervient rapidement, le proxy ne la télécharge pas d'internet mais directement de sa mémoire. Vous suivre à la trace devient plus difficile puisque vous n'êtes pas toujours directement en contact avec les sites. Ces proxy peuvent être des boîtiers externes, inclus dans un PC du réseau local dédié ou implanté chez le fournisseur d'accès (à condition d'être configuré dans le navigateur suivant les adresses fournies par votre provider). Les coockies sont de petits fichiers textes chargés sur votre PC. Ces cookies enregistrent vos préférences. Ceci permet par exemple d'arriver directement sur la version française de Google.be. Pas bien dangereux, mais ces cookies incluent souvent des informations tels que mots de passe (même s'ils sont souvent cryptés) ou la date de votre dernière visite sur un site. Le NAT (Network Adress Translation) sert de translation entre l'extérieur du réseau local (Internet) et les stations. Le routeur construit une table de correspondance d'adresses IP. De cette manière, l'extérieur ne sait pas déterminer l'adresse interne d'une station. A la réception de données par le routeur, celui-ci transfère les informations vers le véritable destinataire grâce à sa table. Analyse des connexions INTERNET de base. Le partage d'une connexion INTERNET permet de connecter plusieurs ordinateurs reliés en réseau TCP/IP simultanément avec un seul modem. Le partage professionnel se fait via un routeur, mais des partages plus simples utilisent un modem relié sur un PC (méthode Windows). Le modem peut être normal, ISDN ou ADSL. De même, le type de modem peut être interne, externe série, externe USB ou même dans certains modem ADSL, relié via à une carte réseau. Dans les trois premiers cas, le partage peut se faire directement par le système d'exploitation (Windows 98 seconde édition, Windows Millenium, Windows 2000 ou Windows XP). Dans le cas d'une liaison via carte réseau, le partage peut se faire via un routeur ou via un logiciel de type WinGates. Ces logiciels assurent également la sécurité des connexions. Dans ce dernier cas, le PC assurant le partage reçoit 2 cartes réseau. Une dernière remarque, dans le cas d'un partage simple via le système d'exploitation, chaque ordinateur peut demander la connexion, mais la connexion ne peut être coupée que sur le PC connecté à Internet. Ceci ne pose pas de problèmes en ADSL, mais attention aux communications téléphoniques en RTC ou ISDN. Vous pouvez néanmoins paramétrer la connexion à distance pour couper la connexion INTERNET après un certain laps de temps d'inactivité. Dans le menu Option d'internet Explorer, choisissez la commande option Internet. Sélectionnez la connexion (Ma connexion cidessous) et cliquez sur le bouton paramètres. Dans la fenêtre suivante, sélectionnez le bouton "avancé". Cochez la case Déconnecter si inactif pendant et tapez le nombre de minutes souhaitée.
Différents logiciels ou matériels vont néanmoins se connecter entre le réseau et INTERNET, soit pour assurer la sécurité, soit pour assurer la vitesse de connexion. Ces appareils (logiciels) assurent différentes fonctions de connexion. 1. Les différents points d'une connexion / partage INTERNET professionnel. Avant de parler des appareils et solutions à mettre en oeuvre pour des connexions Internet professionnelles, analysons les différents problèmes possibles. Ceci nous permettra à terme de dessiner notre connexion plus facilement. (1) Partage de base via Windows. Dans le cas d'une connexion vers INTERNET, la première tâche est le partage. Ceci va permettre à plusieurs utilisateurs en même temps de se connecter sur Internet (navigation, mail, news,...). Ceci passe nécessairement par une installation réseau. Dans ce cas, un ordinateur ou un appareil (généralement un simple PC sur lequel est connecté le modem doivent servir de liaison.
Selon le schémas ci-dessus, chaque station possède sa propre adresse TCP/IP (X.X.X.X.@station1 et X.X.X.X@station2). De même, le fournisseur d'accès fournit automatiquement une adresse TCP/IP à la connexion. Lors d'une demande d'affichage d'un site, référencé par une adresse TCP/IP propre, par exemple 238.128.128.128 que nous dénommerons par X.X.X.X@site. Lors de la demande d'affichage, la station 1 envoie à l'appareil de liaison son adresse propre (pour la réponse) et l'adresse du site qu'elle veut afficher (X.X.X.X@site). Le fournisseur d'accès et tous les composants du réseau Internet vont se débrouiller pour que les informations du site soit renvoyés à l'adresse TCP/IP Internet fournis par le fournisseur d'accès (X.X.X.X.@ISP) qui les renvoie à l'appareil de liaison. Celui-ci fera le transfert de sa propre adresse Internet vers l'adresse privée de la station 1. Le fonctionnement, quoique complexe de manière interne, n'est pas trop difficile à mettre en oeuvre avec les logiciels actuels. Cette méthode est utilisée par le partage de connexion Internet implantée dans Windows 98 SE, Millenium, 2000 ou XP. Cette solution n'est pas très sécurisée. Chaque adresse des PC connectés est visible d'internet. Cette pratique est utilisée pour de petits partages de connexions INTERNET familiales en modem RTC ou en ADSL avec modem USB. (2) Partage via un logiciel spécialisé. Cette solution de partage INTERNET utilise un PC relais entre le réseau et INTERNET. L'ordinateur utilise 2 cartes réseaux. Une carte réseau est connectée vers le réseau interne, la deuxième carte réseau est connectée à un modem Ethernet RJ45. Le logiciel peut être Wingate, quelques solutions professionnelles (Symantec par exemple) ou une solution à base de linux. Le PC relais doit rester connecté pour que la connexion INTERNET fonctionne. Le logiciel assure différentes fonctions: NAT (Network Adress Translation), proxy (cache) et même firewall. Le firewall s'il est directement implanté (Linux) est identique à un firewall hardware. Vous pouvez également installer sur ce PC relais un firewall software de type Zonealame Pro (la version gratuite ne fonctionne pas dans ce cas).
(3) Partage via un routeur simple. L'utilisation d'internet est tout à fait transparente pour le réseau. Le routeur reste connecté en permanence. Ceci cache le réseau interne (adresse des PC et périphériques) pour l'extérieur, mais n'empêche pas les risques d'intrusion. En effet, à part les adresses cachées (NAT), les stations sont directement connectées sur INTERNET. Un trojan sur une station communiquera à travers le réseau de manière complètement transparente. Il est même probable que le hacker ne s'apercevra qu'il est dans un réseau qu'au moment de la prise de contrôle du PC lorsqu'il aura accès à tous les partages de dossiers et périphériques. Ceci donne un semblant de sécurité, guère plus.
(4) Partage via routeur et firewall hardware. Ce schéma est presque la solution de sécurité idéale(le presque inquiète). Le routeur et le firewall peuvent être inclus dans le même boîtier. Le modem peut être intégré dans le routeur ou connecté entre celui-ci et INTERNET. La sécurité ne repose pas sur le montage mais sur la manière de paramétrer le firewall. Ceci est valable pour toutes les solutions de sécurité firewall. L'accès à distance à un réseau Dans certains cas, on utilise carrément deux routeurs-firewall. Le premier se raccorde sur Internet d'une part et sur un réseau interne comportant le serveur Web, le deuxième sert de transition entre cette zone appelée DMZ ou demilitarized zone) et le réseau local. Prise de contrôle à distance et transferts de fichiers. Un trojan permet de prendre le contrôle à distance (entre autre) d'un PC via Internet. Cette solution semble facile mais permet à d'autres de prendre le contrôle aussi. Cette solution est donc tout à fait à proscrire. La solution la plus communément utilisée fait appel à des logiciels de type PC Anywhere qui permettent de prendre la commande de PC via des modems analogiques ou ISDN, ou même l'adsl (Internet). Cette solution est souvent utilisée pour de petites infrastructures de type indépendants, mais rarement pour le contrôle des réseaux. De nombreuses tentatives d'attaques par INTERNET viennent de ce logiciel. Le paramétrage de PC Anywhere permet de changer le numéro de port pour l'accès à distance. Ce n'est pas la solution parfaite. En effet, pour une prise de contrôle à distance, il faut le numéro de port et le programme client. En changeant le numéro de port, l'administrateur suppose que le pirateur ne pourra prendre le contrôle. De l'autre côté, le pirateuar par scannage d'adresses sur tous les ports, reçoit les logiciels qui répondent (même mal) sur un port. Il n'a plus qu'à essayer tous les programmes possibles sur ce port. La prise de contrôle se fait également par mot de passe (nettement conseillé). Une autre solutions qui n'est utilisée que par certains programmes permettent de mettre en commun des ressources via l'accès réseau à distance.
Cette fonction nécessite l'installation d'un composant additionnel de Windows: serveur d'accès réseau à distance et permet l'utilisation de fichiers sur des disques partagés via un modem (toujours RTC ou ISDN). La connexion pour permettre l'entrée se fait également via un mot de passe et le démarrage de ce serveur d'accès à distance via la partie accès réseau à distance. Certains programmes bureautiques (notamment Works de Microsoft) incluent également des fonctions de transferts de fichiers.
Les mesures pour la protection des données Contrôle d accès... 25 Dispositions principales de sécurité électrique... 28 Alimentation redondante... 30 L'onduleur... 31 Brancher et régler un onduleur... 33 Protection des données : RAID... 36 Monter un système RAID 5 avec Windows XP... 40 Partager votre ordinateur de façon plus sûre... 49 Protection de votre ordinateur à l'aide de mots de passe... 51 Supprimer les partages administratifs (C$ et ADMIN$ )sous [Windows XP]... 55 Sécuriser le partage de fichiers sous Windows XP... 55 Cryptographie... 59 Cryptage avec le logiciel : TrueCrypt 4.2a... 62 Hide Folders... 62 Dekart Private Disk Light... 63 Crypter ses données sous Windows... 64 Logiciel : AxCrypt 1.6.3... 68 Chiffrement de données avec PGP... 68 L'entretien préventif et le nettoyage informatique... 83 Contrôle d accès Contrôle d'accès dans les entreprises : A différencier nettement le contrôle d'accès à certaines parties «sensibles» d'un bâtiment au contrôle de présence des employés dans l'entreprise. Le contrôle d'accès grâce à la biométrie (voire ci-dessous) commence à se développer. Contrôle d'accès aux systèmes informatiques : Définition : Le contrôle d'accès à des ressources informatiques est généralement étudié suivant la règle AAA (Authentication Authorization Accounting): Authentification Cette première phase consiste à vérifier que l'utilisateur correspond bien à l'identité qui cherche à se connecter. Le plus simple ici consiste à vérifier une association entre un mot de passe et un identifiant, mais des mécanismes plus élaborés peuvent être utilisés tels les cartes à puces, La carte à puce est une carte plastifiée aux dimensions de 85,6 54 millimètres avec une épaisseur de l'ordre de 70 à 90 centièmes de millimètres. Elle comporte au moins un circuit intégré (la puce). Les cartes à puce de haut de gamme récentes (2005) contiennent des microprocesseurs plus puissants (32 bits à plus de 10 MHz) et des quantités de mémoire plus importantes (dépassant les 256 Ko d'eeprom, 512 Ko de ROM). Les types de mémoire rencontrées dans les cartes à puce se diversifient également, notamment avec l'introduction de Mémoire Flash de plusieurs Mo à partir de 2005. La puce composant peut être accessible électriquement par des contacts de cuivre de façon électromagnétique, à courte ou moyenne portée, via une antenne interne dont les spires sont moulées dans l'épaisseur de la carte pour les cartes sans contact.
par une combinaison des deux précédentes : on parle alors de cartes Avec et Sans Contact (ou ASC) La carte à puce succède : Taxonomie : aux cartes à codes barres aux cartes à pistes magnétiques. Il existe trois catégories de cartes à puces : Les cartes à mémoire (comme les télécartes de Télécom) Les cartes à logiques câblés. Qui sont par exemple utilisées dans les décodeurs de chaîne payante. Les cartes à microprocesseurs proprement dites, qui peuvent être : o mono-applicatives, comme par exemple les cartes bancaires B0'(anciènne) o multi-applicatives, comme les cartes bancaires EMV (EuropayMastercardVisa) Fonctionnement Actuellement, elles comportent souvent un microcontrôleur les rendant actives et permettant des fonctions plus élaborées, en particulier des reconnaissances de clé. Elles comportent principalement une zone mémoire, ainsi que plusieurs dispositifs de calcul destinés (entre autres) à la cryptographie. Ainsi, une fois insérées dans un lecteur, elles se comportent en fait comme un micro-ordinateur capable d'effectuer des traitements d'information. Un programme de codage (décodage) et/ou un code (mot de passe) dans la puce, inaccessibles de l'extérieur, sont le garant d'une bonne sécurité (au sens bancaire). Elles sont aujourd'hui particulièrement répandues dans des applications comme les cartes bancaires françaises, les cartes Vitale, mais aussi les cartes SIM utilisées dans les téléphones portables pour l'identification du propriétaire et la sauvegarde d'informations diverses (numéros de téléphone et autres). Avant d'être remises à la personne qui l'utilisera, une carte à puce est normalement 'personnalisée' électriquement (par l'organisme émetteur) via un encodeur de cartes et un programme informatique (outil de personnalisation), afin d'inscrire dans la puce les informations nécessaires à son utilisation. Par exemple, on inscrira dans une carte bancaire les références bancaires de l'utilisateur, ou dans la carte d'un contrôle d'accès, les autorisations accordées au porteur de la carte. La personnalisation consiste également à imprimer des donnés supplémentaires (nom de la personne, photo, etc) sur la carte, par exemple à l'aide d'une imprimante à sublimation, au dessus d'une pre-impression offset. On peut considérer jusqu'à un certain point que les clefs USB, récemment apparues, font partie de la famille des «cartes à mémoire», mais il faut noter que leur mémoire n'intègre aucune protection limitant son accès, contrairement aux cartes à puce proprement dites, dont l'une des caractéristiques majeures est de protéger les données qu'elles contiennent de toute intrusion. Autorisation Cette phase consiste à vérifier que l'utilisateur maintenant authentifié dispose des droits nécessaires pour accéder au système. Elle est parfois confondue avec la précédente sur de petits systèmes, mais sur des systèmes plus importants, un utilisateur peut tout à fait être authentifié (ex : membre de l'entreprise) mais ne pas avoir les privilèges nécessaires pour accéder au système (ex : page réservée aux gestionnaires). Traçabilité Pour lutter contre les usurpations de droits, il est souhaitable de suivre les accès aux ressources informatiques sensibles (heure de connexion, suivi des actions, ). Identification des personnes : La biométrie est couramment utilisée, seule ou associée à l'anthropométrie, afin d'identifier des personnes sur la base de caractéristiques physiques individuelles.
L anthropométrie : technique qui concerne la mesure des particularités dimensionnelles d'un homme ou d'un animal. Elle est particulièrement utilisée en ergonomie. Pour l'homme, elle concerne notamment : Les dimensions o La stature (communément appelée taille) o La hauteur du buste o La longueur de chaque membre et de chaque partie de membre (bras, avant-bras...) Les masses o Masse totale o Masse de chaque partie du corps o Les centres de gravités Les circonférences, parfois appelées couronnes o Bassin, poitrine, tour de cou... o circonférence des membres Technologies : Les systèmes de contrôle biométrique peuvent analyser des caractéristiques morphologiques ou comportementales. o Principe de fonctionnement 1. Capture de l'information à analyser (image ou son). 2. Traitement de l'information et création d'un fichier " signature/gabarit " (éléments caractéristiques de l'image), puis mise en mémoire de ce fichier de référence sur un support (disque dur, carte à puce, code barre). 3. Dans la phase de vérification, on procède comme pour la création du fichier " signature/gabarit " de référence, ensuite on compare les deux fichiers pour déterminer leur taux de similitude et prendre la décision qui s'impose. Les informations stockées ne sont en jamais les images d'origine, mais un modèle mathématique des éléments qui distinguent l'échantillon biométrique d'un autre. Ce modèle est appelé un " gabarit " ou " signature ". De cette manière, on obtient alors des fichiers de très petite taille. Par exemple, l image d origine d une empreinte digitale à une taille de l ordre de 100 000 octets, et son gabarit une taille de l'ordre de 500 octets.
La création d un gabarit s'effectue pendant la phase d'enrôlement qui est l'opération de génération et d'enregistrement du gabarit ainsi que des informations sur l'identité de la personne comme son nom, son prénom, son identifiant (numéro d'identification personnel). Dans cette phase, la qualité de l'image de l'échantillon biométrique pour le gabarit est primordiale pour la pleine satisfaction de l'utilisation du dispositif biométrique. o Performances des systèmes Il est impossible d'obtenir une coïncidence absolue (100% de similitude) entre le fichier "signature" créé lors de l'enrôlement et le fichier "signature" créé lors de la vérification, les éléments d'origine (une image, un son...) utilisés pour les traitements informatiques ne pouvant jamais être reproduits à l'identique. Les performances des systèmes d'authentifications biométriques s'expriment par : T.F.R. - Taux de faux rejets (False Rejection Rate) : Pourcentage de personnes rejetées par erreur. T.F.A. - Taux de fausses acceptations (False Acceptance Rate) : Pourcentage d'acceptations par erreur. T.E.E. - Taux d égale erreur (Equal Error Rate), donne un point sur lequel le T.F.A. est égal au T.F.R. > Analyse morphologique les empreintes digitales ; les empreintes palmaires (forme de la main) ; la rétine ; l'iris ; le visage. > Analyse comportementale la dynamique de signature ; la dynamique de la frappe au clavier. > Analyse comportementale & morphologique la voix. Dispositions principales de sécurité électrique Posséder une installation électrique conforme aux normes de sécurité est nécessaire pour vous prémunir des risques de dysfonctionnements et d'accidents électriques. Reliez votre installation à la terre Tous les circuits de votre installation doivent être reliés à la terre, sans quoi l évacuation des fuites de courant est impossible. Assurez-vous de la présence du réseau de terre et de la prise de terre dans votre local. Mettez aux normes votre tableau électrique Pour réduire les risques d'accident domestique, vous devez avoir un tableau électrique conforme aux normes de sécurité doté pour chaque circuit d un appareil de protection adapté (coupe-circuit, disjoncteur, etc.). Cet appareil de protection coupe automatiquement le circuit en cas d anomalie. Protégez vos circuits électriques
Votre installation électrique doit être dotée d un ou plusieurs interrupteurs différentiels ou disjoncteurs différentiels. Ainsi, en cas de défaut sur un appareil électrique ou d un contact accidentel avec un conducteur sous tension, le dispositif de protection coupe automatiquement le circuit. Afin que la coupure d un circuit n affecte pas le fonctionnement des autres, il est recommandé d installer un interrupteur différentiel sur chaque circuit principal de votre bâtiment. Protégez vos fils électriques Les fils électriques dénudés sont à l origine de nombreux accidents. Veillez à cacher vos fils électriques par des plinthes et moulures. Ce matériel permet aussi de protéger les nombreux fils souples qui alimentent le matériel audio, vidéo ou informatique. Remplacez vos prises et interrupteurs défectueux Si les fiches insérées dans vos prises sont lâches ou se détachent très facilement, les fils peuvent surchauffer et créer un risque d incendie. Veillez à remplacer vos prises défectueuses ou cassées par des prises conformes aux règles de sécurité. Respectez le nombre minimum de prises de courant requis Pour éviter l'emploi abusif des multiprises et des rallonges électriques, il est obligatoire de respecter un nombre minimum de prises de courant par pièce. Respectez le nombre minimum de prises de communication requis La norme oblige l'installation d'au moins une prise de communication par pièce principale. Les prises de type RJ45 sont à privilégier car elles permettent le branchement d'un téléphone, d'une télévision ou de l'informatique. Une prise de courant doit être installée à proximité de chaque prise de communication. Protégez vos équipements contre la foudre Un orage s accompagne de coups de foudre générateurs de surtensions. Celles-ci peuvent endommager les appareils les plus coûteux comme les ordinateurs, les chaînes hi-fi, les lecteurs DVD Un paratonnerre, une réglette multiprise ou un onduleur ne suffisent pas à les protéger. Pour une protection vraiment efficace, vous pouvez opter pour un parafoudre placé dans votre tableau électrique. Lui seul assure la sécurité de l ensemble de votre installation électrique. L installation de parafoudre est obligatoire par la norme dans les régions à forte densité de foudroiement et dans tous les bâtiments équipés de paratonnerre.
Prise parafoudre : Alimentation redondante Définition : On parle d'alimentation redondante lorsqu'une machine dispose de plusieurs blocs pouvant se suppléer les uns aux autres en cas de panne. Exemple : Alimentation Redondante 2x500W - Mini - MRG-6500P Le format utilisé est le format dit "mini", ce qui permet d'installer le bloc dans un emplacement prévu pou rune alimentation standard ATX (150mm de large par 86mm de haut). Seule la LONGUEUR de l'alimentation dépasse la dimension habituelle (200mm au lieu de 140mm). Néanmoins de nombreux boîtiers, et notamment les boîtiers orientés serveur, permettent de loger une telle alimentation. Le principe est d'assurer une sécurité totale. En effet, même si l'un des deux modules tombe en panne, votre machine de s'arrêtera pas car le second bloc assurera immédiatement et automatiquement le relais pour fournir en permanence une électricité de qualité. CARACTERISTIQUES : - Température de fonctionnement 0 C ~ 40 C - Humidité Tolérée : 20%-95% - HOT-SWAPPABLE / HOT-PLUGGABLE REDUNDANCY FUNCTION - Deux ventilos 40mm pour le refroidissement de chaque module - Entrée courant pour chaque module
L'onduleur Présentation : Un onduleur (en anglais UPS pour Uninterruptible Power Supply) est un dispositif permettant de protéger des matériels électroniques contre les aléas électriques. Il s'agit ainsi d'un boîtier placé en interface entre le réseau électrique (branché sur le secteur) et les matériels à protéger. L'onduleur permet de basculer sur une batterie de secours pendant quelques minutes en cas de problème électrique, notamment lors de : Micro-coupures de courant, c'est-à-dire des coupures électriques de quelques millièmes de seconde pouvant se traduire par le redémarrage de l'ordinateur. Coupure électrique, correspondant à une rupture en alimentation électrique pendant un temps déterminé. Surtension, c'est-à-dire une valeur nominale supérieure à la valeur maximale prévue pour le fonctionnement normal des appareils électriques. Sous-tension, c'est-à-dire une valeur nominale inférieure à la valeur maximale prévue pour le fonctionnement normal des appareils électriques. Pics de tension. Il s'agit de surtensions instantanées (pendant un temps très court) et de forte amplitude. Ces pics, dûs à l'arrêt ou la mise en route d'appareils de forte puissance, peuvent à terme endommager les composants électriques. Foudre, représentant une surtension très importante intervenant brusquement lors d'intempéries (orages). La majeure partie des perturbations électriques sont tolérées par les systèmes informatiques, mais elle peuvent parfois causer des pertes de données et des interruption de service, voire des dégâts matériels. L'onduleur permet de «lisser» la tension électrique, c'est-à-dire supprimer les crêtes dépassant un certain seuil. En cas de coupure de courant, l'énergie emmagasinée dans la batterie de secours permet de maintenir l'alimentation des matériels pendant un temps réduit (de l'ordre à 5 à 10 minutes). Audelà du temps d'autonomie de la batterie de l'onduleur, celui-ci permet de basculer vers d'autres sources d'énergie. Certains onduleurs peuvent également être branchés directement à l'ordinateur (via un câble USB par exemple) afin de commander proprement son extinction en cas de panne de courant et éviter toute perte de données. Choix? : Le choix se résume à deux critères principaux, la puissance de l'onduleur et sa technologie. Sa puissance : Se détermine en fonction de votre configuration et se mesure en VA = voltampère. Les onduleurs suivant le modèle ont une puissance de protection comprise entre 300 et 780 VA et + si besoin. - pour commencer faites la liste des appareils à protéger (unité centrale, moniteur, imprimante, clavier, souris, modem, disque de sauvegarde externe, scanner, enceintes,...) et notez la consommation de chacun d'eux. Vous trouvez ces valeurs soit au verso des appareils sur une plaquette, soit dans la notice d'utilisation, et ensuite :
a)- vous additionnez ces valeurs en ampères, et multipliez le résultat par 220 c'est-à-dire la valeur de la tension du réseau actuel, ce qui vous donne des Volts Ampères. b)- vous pouvez aussi rencontrer des valeurs en watts, que vous multipliez par 1,4 ce qui vous donne encore des Volts Ampères = calcul approché. Vous devez toujours choisir un modèle d'onduleur dont la puissance de protection est plus élevée que celle dont vous avez besoin, et il est conseillé de se munir de sa fiche pour en parler avec son fournisseur qui vous guidera plus facilement et pourra éventuellement corriger des erreurs glissées dans vos calculs. Sa technologie : Vous trouvez sur le marché plusieurs types de matériels suivant la technologie utilisée : - Technologie Off Line : Ce type de configuration minimum, avec la batterie qui prend le relais en cas de coupure du courant, est le modèle de base et bien sûr l'appareil le moins cher. - Technologie On Line : Ici le courant alternatif du réseau est transformé en permanence, par le redresseur-chargeur de l'onduleur, en courant continu qui traverse la batterie puis transformé à nouveau en courant alternatif, et qui donne un courant dit "régulé", "stabilisé" ou encore "lissé". C'est la perfection vu que le courant est totalement retraité, mais seul ennui cet appareil dont la puissance peut atteindre plusieurs milliers de VA, est cher et surtout utilisé dans un environnement industriel comme des laboratoires, des réseaux... - Technologie interactive : C'est un modèle hybride et sans doute le système idéal pour un utilisateur ordinaire. D'une part le principe du type off-line mais en plus équipé d'un régulateur de tension pour filtrer éventuellement les variations importantes pouvant survenir sur le réseau électrique d'alimentation. C'est un modèle répandu et pour un onduleur interactif de 400 VA vous devriez pas vous ruiner. Quelques points à surveiller. : Il faut que votre onduleur dispose d'au moins 3 ou 4 prises minimum pour raccorder vos matériels, et que son interrupteur soit facilement accessible. Un bouton de "test" est souhaitable pour régulièrement vérifier le bon fonctionnement de l'onduleur et de la charge de batterie. Et comme toujours, vérifiez que les câbles, notice en français sont bien présents et quel type de garantie est applicable. ATTENTION : Si vous êtes relié à l'internet, certains onduleurs offrent aussi une protection coté ligne téléphonique. Sinon moyennant quelques dirhames de plus, vous pouvez trouver une prise spéciale de raccordement et de protection de l'appareil Fax/modem qui agit par filtrage de la ligne téléphonique. En général l'onduleur protège l'ordinateur et le moniteur (pour permettre de sauvegarder le travail en cours mais il faut être présent) et par contre les périphériques sont coupées de courant mais protégées quand même des surtensions. Il est souhaitable dans le cadre PRO surtout, que l'onduleur soit doté d'un logiciel qui sauvegarde le travail en cours et éteint ensuite automatiquement la machine en cas de coupure de courant. Il est fréquent que des programmes très longs à exécuter ne nécessitent pas une présence permanente devant l'appareil.
Conseil : Choisissez toujours un modèle dont la puissance en VA est supérieure à votre configuration. Essayez de prévoir les matériels supplémentaires que vous allez acheter (certainement) dans quelque temps. Un scanner, un disque dur externe... - Si vous hésitez encore, il existe une protection utile qui toutefois ne maintiendra pas votre ordinateur allumé le temps d'enregistrer et de le fermer. Il s'agit d'un bloc multiprise (5 prises) dont les sorties sont protégées par des filtres qui évitent les surtensions, sous-tensions et doté aussi d'une prise spécifique pour brancher le modem car la foudre peut passer par la prise téléphonique. Brancher et régler un onduleur Les onduleurs se partagent en deux catégories. Certains se connectent sur une prise USB du micro. Si celui-ci est doté de Windows XP, le PC reconnaît automatiquement les onduleurs comme des batteries rechargeables. Ce sont de loin les plus pratiques, Windows XP gérant directement leur fonctionnement. Les autres modèles nécessitent l'installation d'un logiciel fourni par le constructeur pour être détectés, puis contrôlés. Ils se connectent le plus souvent sur une prise série du micro, parfois sur une prise USB. Une fois votre onduleur installé, testez-le pour vous assurer de son bon fonctionnement. La méthode est simple : il suffit de couper le courant. Temps nécessaire : 15 minutes Etape 1 - Installez le pilote Si votre onduleur n'est pas reconnu comme une batterie ou si votre micro n'est pas équipé de Windows XP, il est impératif d'installer le pilote et le logiciel disponibles sur le disque fourni par le constructeur. Introduisez le CD-Rom dans votre lecteur, puis suivez les indications affichées à l'écran. Si vous disposez de Windows XP et que l'onduleur est reconnu comme une batterie rechargeable, le CD d'installation livré ne vous est d'aucune utilité. Etape 2 - Branchez les câbles 1 - Eteignez, puis débranchez le micro ainsi que la prise d'alimentation de tous les périphériques reliés : écran, imprimante, scanner, modem, etc. 2 - Il vous faut ensuite connecter un à un chacun des câbles d'alimentation directement à l'onduleur, en veillant à respecter la puissance maximale (voir encadré plus bas), à l'exception des imprimantes laser qui sont incompatibles avec ces appareils. Suivant les modèles, un onduleur peut proposer deux types de prises, distingués par des couleurs ou des pictogrammes différents. Le terme anglais Battery ou le dessin d'une batterie signalent les prises qui relient le matériel connecté à la batterie de l'onduleur. Le terme anglais Surge ou un dessin
représentant un éclair indiquent les prises qui assurent la protection en cas de surtensions. Dans le cas où l'onduleur propose les deux types de prises, les prises notées Battery cumulent les deux fonctions. En pratique, reliez à la batterie uniquement les éléments vitaux en cas de défaillance électrique, à savoir l'unité centrale et l'écran, afin d'assurer la plus grande autonomie possible au micro. Eventuellement, branchez le reste des périphériques, imprimante et scanner, sur les prises de protection contre la surtension. Cette opération n'est pas la plus évidente. En effet, les onduleurs n'acceptent pas tous les prises au standard français. Il vous faut alors remplacer un à un les câbles d'alimentation. Au mieux, l'onduleur est livré avec une paire de cordons, au pire vous devrez en acheter des supplémentaires. 3 - Autre possibilité offerte par certains onduleurs : la protection de la connexion ADSL sur la ligne téléphonique, susceptible elle aussi d'être frappée par la foudre. Dans ce cas, repérez les deux prises adéquates sur l'onduleur. Celui-ci va venir s'intercaler entre la prise téléphonique et le modem (un câble supplémentaire est livré à cet effet). Branchez le cordon qui arrive de la ligne téléphonique sur l'entrée In, puis raccordez le modem ou le boîtier numérique sur la prise Out. 4 - Reliez à son tour le micro à l'onduleur grâce au câble USB ou série en fonction du modèle. En dernier lieu, branchez le cordon d'alimentation de l'onduleur sur le secteur. Allumez l'onduleur puis, un par un, les éléments raccordés. Etape 3 - Réglez l'onduleur avec Windows XP 1 - Les réglages de l'onduleur reconnu comme une batterie par Windows XP se trouvent dans les paramètres de gestion de l'alimentation. Pour les afficher, cliquez avec le bouton droit sur le Bureau, puis sélectionnez Propriétés dans le menu déroulant. Dans la fenêtre qui s'ouvre, cliquez sur l'onglet Ecran de veille, puis sur le bouton Gestion de l'alimentation. 2 - Cliquez ensuite sur l'onglet Alertes. Il permet de gérer deux niveaux d'alerte de décharge de l'onduleur lorsque celui-ci est sollicité au cours d'une coupure d'alimentation. Le premier (niveau de batterie faible) a un caractère plutôt informatif, le second (niveau de batterie critique) intervient avant la décharge totale. Cochez les deux cases Alerte de niveau de batterie... puis réglez leur niveau de déclenchement à l'aide du curseur, respectivement à 25 % et 10 % par exemple. 3 - Pour pousser plus avant les réglages, cliquez sur le bouton Action d'alerte de la zone Alerte de niveau de batterie faible. Dans la nouvelle fenêtre, cochez les options Alerte sonore et Affichage
d'un message, puis validez par OK. Vous serez par la suite averti que la batterie de l'onduleur a atteint le niveau spécifié par un son et un message à l'écran. 4 - Cliquez ensuite sur le bouton Action d'alerte de la zone Alerte de niveau de batterie critique. La situation est alors plus urgente : dans la section Action d'alerte, choisissez dans le menu déroulant l'option En cas d'alerte, l'ordinateur sera : mettre en veille prolongée. Cette dernière est préférable à un arrêt ou une simple mise en veille : elle vous assure de retrouver l'intégralité des documents et des programmes ouverts au redémarrage du micro. Elle vous dispense également de cocher l'option Forcer la mise en veille/l'arrêt même si le programme ne répond plus. Cliquez sur le bouton OK, puis validez le tout en cliquant sur Appliquer. 5 - A tout moment, vous pouvez vérifier le niveau de charge de l'onduleur dans l'onglet Jauge de batterie. Cliquez sur le bouton OK pour fermer la fenêtre Propriétés des options d'alimentation. Etape 4 - Réglez l'onduleur avec le logiciel fourni Les logiciels fournis avec les onduleurs varient d'un fabricant à l'autre. Difficile, donc, de donner une procédure commune. Les réglages par défaut sont en général satisfaisants. Mais vous pouvez toujours les personnaliser, notamment définir le moment où l'ordinateur va être éteint, et de quelle manière Ne dépassez pas la puissance de l'onduleur! Les onduleurs offrent un certain nombre de prises pour brancher les appareils à leur batterie. Mais cela ne veut en aucun cas dire que vous pouvez occuper toutes les prises sans danger! Veillez à respecter la puissance électrique précisée par le fabricant. Ce dernier fournit une puissance en voltampère (VA), une définition ésotérique pour le consommateur! Pour faire simple, un onduleur d'une puissance de 500 VA (environ 300 W) accueillera facilement un micro de moyenne gamme. Mais si vous possédez un PC de haut de gamme avec un processeur rapide et une carte graphique dernier cri, choisissez un onduleur une puissance de 700 VA (environ 500 W).
Arrière de l'onduleur Liebert PSA500 MT-230 1 - Prises de connexion à la batterie - 2 - Prises de connexion pour réguler la tension 3 - Prise USB 4 - Prise série 5 - Prises de protection du modem 6 - Prise d'alimentation de l'onduleur Face avant de l'onduleur MGE UPS Systems 1 - Prises de connexion à la batterie - 2 - Prises de connexion pour réguler la tension Protection des données : RAID Présentation de la technologie RAID La technologie RAID (acronyme de Redundant Array of Inexpensive Disks, parfois Redundant Array of Independent Disks, traduisez Ensemble redondant de disques indépendants) permet de constituer une unité de stockage à partir de plusieurs disques durs. L'unité ainsi créée (appelée grappe) a donc une grande tolérance aux pannes (haute disponibilité), ou bien une plus grande capacité/vitesse
d'écriture. La répartition des données sur plusieurs disques durs permet donc d'en augmenter la sécurité et de fiabiliser les services associés. Cette technologie a été mise au point en 1987 par trois chercheurs (Patterson, Gibson et Katz) à l'université de Californie (Berkeley). Depuis 1992 c'est le RAID Advisory Board qui gère ces spécifications. Elle consiste à constituer un disque de grosse capacité (donc coûteux) à l'aide de plus petits disques peu onéreux (c'est-à-dire dont le MTBF, Mean Time Between Failure, soit le temps moyen entre deux pannes, est faible). Les disques assemblés selon la technologie RAID peuvent être utilisés de différentes façons, appelées Niveaux RAID. L'Université de Californie en a défini 5, auxquels ont été ajoutés les niveaux 0 et 6. Chacun d'entre-eux décrit la manière de laquelle les données sont réparties sur les disques : Niveau 0: appelé striping Niveau 1: appelé mirroring, shadowing ou duplexing Niveau 2: appelé striping with parity (obsolète) Niveau 3: appelé disk array with bit-interleaved data Niveau 4: appelé disk array with block-interleaved data Niveau 5: appelé disk array with block-interleaved distributed parity Niveau 6: appelé disk array with block-interleaved distributed parity Chacun de ces niveaux constitue un mode d'utilisation de la grappe, en fonction : des performances du coût des accès disques Niveau 0 Le niveau RAID-0, appelé striping (traduisez entrelacement ou agrégat par bande, parfois injustement appelé stripping) consiste à stocker les données en les répartissant sur l'ensemble des disques de la grappe. De cette façon, il n'y a pas de redondance, on ne peut donc pas parler de tolérance aux pannes. En effet en cas de défaillance de l'un des disques, l'intégralité des données réparties sur les disques sera perdue. Toutefois, étant donné que chaque disque de la grappe a son propre contrôleur, cela constitue une solution offrant une vitesse de transfert élevée. Le RAID 0 consiste ainsi en la juxtaposition logique (agrégation) de plusieurs disques durs physiques. En mode RAID-0 les données sont écrites par "bandes" (en anglais stripes) : Disque 1 Bande 1 Bande 4 Bande 7 Disque 2 Bande 2 Bande 5 Bande 8 Disque 3 Bande 3 Bande 6 Bande 9 On parle de facteur d'entrelacement pour caractériser la taille relative des fragments (bandes) stockés sur chaque unité physique. Le débit de transfert moyen dépend de ce facteur (plus petite est chaque bande, meilleur est le débit). Si un des éléments de la grappe est plus grand que les autres, le système de remplissage par bande se trouvera bloqué lorsque le plus petit des disques sera rempli. La taille finale est ainsi égale au double de la capacité du plus petit des deux disques : deux disques de 20 Go donneront un disque logique de 40 Go. un disque de 10 Go utilisé conjointement avec un disque de 27 Go permettra d'obtenir un disque logique de 20 Go (17 Go du second disque seront alors inutilisés). Il est recommandé d'utiliser des disques de même taille pour faire du RAID-0 car dans le cas contraire le disque de plus grande capacité ne sera pas pleinement exploité.
Niveau 1 Le niveau 1 a pour but de dupliquer l'information à stocker sur plusieurs disques, on parle donc de mirroring, ou shadowing pour désigner ce procédé. Disque1 Bande 1 Bande 2 Bande 3 Disque2 Bande 1 Bande 2 Bande 3 Disque3 Bande 1 Bande 2 Bande 3 On obtient ainsi une plus grande sécurité des données, car si l'un des disques tombe en panne, les données sont sauvegardées sur l'autre. D'autre part, la lecture peut être beaucoup plus rapide lorsque les deux disques sont en fonctionnement. Enfin, étant donné que chaque disque possède son propre contrôleur, le serveur peut continuer à fonctionner même lorsque l'un des disques tombe en panne, au même titre qu'un camion pourra continuer à rouler si un de ses pneus crève, car il en a plusieurs sur chaque essieu... En contrepartie la technologie RAID1 est très onéreuse étant donné que seule la moitié de la capacité de stockage n'est effectivement utilisée. Niveau 2 Le niveau RAID-2 est désormais obsolète, car il propose un contrôle d'erreur par code de Hamming (codes ECC - Error Correction Code), or ce dernier est désormais directement intégré dans les contrôleurs de disques durs. Cette technologie consiste à stocker les données selon le même principe qu'avec le RAID-0 mais en écrivant sur une unité distincte les bits de contrôle ECC (généralement 3 disques ECC sont utilisés pour 4 disques de données). La technologie RAID 2 offre de piètres performances mais un niveau de sécurité élevé. Niveau 3 Le niveau 3 propose de stocker les données sous forme d'octets sur chaque disque et de dédier un des disques au stockage d'un bit de parité. Disque 1 Disque 2 Disque 3 Disque 4 Octet 1 Octet 2 Octet 3 Parité 1+2+3 Octet 4 Octet 5 Octet 6 Parité 4+5+6 Octet 7 Octet 8 Octet 9 Parité 7+8+9 De cette manière, si l'un des disques venait à défaillir, il serait possible de reconstituer l'information à partir des autres disques. Après "reconstitution" le contenu du disque défaillant est de nouveau intègre. Par contre, si deux disques venaient à tomber en panne simultanément, il serait alors impossible de remédier à la perte de données. Niveau 4 Le niveau 4 est très proche du niveau 3. La différence se trouve au niveau de la parité, qui est faite sur un secteur (appelé bloc) et non au niveau du bit, et qui est stockée sur un disque dédié. C'est-à-dire plus précisément que la valeur du facteur d'entrelacement est différente par rapport au RAID 3. Disque 1 Disque 2 Disque 3 Disque 4
Bloc 1 Bloc 2 Bloc 3 Parité 1+2+3 Bloc 4 Bloc 5 Bloc 6 Parité 4+5+6 Bloc 7 Bloc 8 Bloc 9 Parité 7+8+9 Ainsi, pour lire un nombre de blocs réduits, le système n'a pas à accéder à de multiples lecteurs physiques, mais uniquement à ceux sur lesquels les données sont effectivement stockées. En contrepartie le disque hébergeant les données de contrôle doit avoir un temps d'accès égal à la somme des temps d'accès des autres disques pour ne pas limiter les performances de l'ensemble. Niveau 5 Le niveau 5 est similaire au niveau 4, c'est-à-dire que la parité est calculée au niveau d'un secteur, mais répartie sur l'ensemble des disques de la grappe. Disque 1 Disque 2 Disque 3 Disque 4 Bloc 1 Bloc 2 Bloc 3 Parité 1+2+3 Bloc 4 Parité 4+5+6 Bloc 5 Bloc 6 Parité 7+8+9 Bloc 7 Bloc 8 Bloc 9 De cette façon, RAID 5 améliore grandement l'accès aux données (aussi bien en lecture qu'en écriture) car l'accès aux bits de parité est réparti sur les différents disques de la grappe. Le mode RAID-5 permet d'obtenir des performances très proches de celles obtenues en RAID-0, tout en assurant une tolérance aux pannes élevée, c'est la raison pour laquelle c'est un des modes RAID les plus intéressants en terme de performance et de fiabilité. L'espace disque utile sur une grappe de n disques étant égal à n-1 disques, il est intéressant d'avoir un grand nombre de disques pour "rentabiliser" le RAID-5. Niveau 6 Le niveau 6 a été ajouté aux niveaux définis par Berkeley. Il définit l'utilisation de 2 fonctions de parité, et donc leur stockage sur deux disques dédiés. Ce niveau permet ainsi d'assurer la redondance en cas d'avarie simultanée de deux disques. Cela signifie qu'il faut au moins 4 disques pour mettre en oeuvre un système RAID-6. Comparaison Les solutions RAID généralement retenues sont le RAID de niveau 1 et le RAID de niveau 5. Le choix d'une solution RAID est lié à trois critères : la sécurité : RAID 1 et 5 offrent tous les deux un niveau de sécurité élevé, toutefois la méthode de reconstruction des disques varie entre les deux solutions. En cas de panne du système, RAID 5 reconstruit le disque manquant à partir des informations stockées sur les autres disques, tandis que RAID 1 opère une copie disque à disque. Les performances : RAID 1 offre de meilleures performances que RAID 5 en lecture, mais souffre lors d'importantes opérations d'écriture. Le coût : le coût est directement lié à la capacité de stockage devant être mise en oeuvre pour avoir une certaine capacité effective. La solution RAID 5 offre un volume utile représentant 80 à 90% du volume alloué (le reste servant évidemment au contrôle d'erreur). La solution RAID 1 n'offre par contre qu'un volume disponible représentant 50 % du volume total (étant donné que les informations sont dupliquées). Mise en place d'une solution RAID : Il existe plusieurs façons différentes de mettre en place une solution RAID sur un serveur :
de façon logicielle : il s'agit généralement d'un driver au niveau du système d'exploitation de l'ordinateur capable de créer un seul volume logique avec plusieurs disques (SCSI ou IDE). de façon matérielle o avec des matériels DASD (Direct Access Stockage Device) : il s'agit d'unités de stockage externes pourvues d'une alimentation propre. De plus ces matériels sont dotés de connecteurs permettant l'échange de disques à chaud (on dit généralement que ce type de disque est hot swappable). Ce matériel gère lui-même ses disques, si bien qu'il est reconnu comme un disque SCSI standard. o avec des contrôleurs de disques RAID : il s'agit de cartes s'enfichant dans des slots PCI ou ISA et permettant de contrôler plusieurs disques durs. Monter un système RAID 5 avec Windows XP Nous allons voir comment exploiter Windows XP pour accéder à des fonctions RAID sophistiquées avec seulement très peu de modifications. Exploitation des fonctions RAID 5 de Windows XP Il existe un grand choix de disques durs de constructeurs renommés comme Hitachi, Maxtor, Seagate et Western Digital. Pour un usage domestique ou bureautique, un seul disque dur est généralement suffisant, mais pour les réseaux d entreprise, un ensemble de plusieurs disques est souvent indispensable. Le seul problème, c est que ces ensembles RAID ne sont pas précisément bon marché. Beaucoup de constructeurs de cartes mères intègrent déjà des contrôleurs RAID à leurs cartes, mais tous ne conviennent pas pour des applications de serveurs de fichiers. La plupart d entre eux ne supportent que les modes simples 0 et 1, et la combinaison des deux, appelée 0+1 (bande & miroir). On peut atteindre de grandes capacités de stockage et une vitesse étonnante avec le RAID 0, mais les risques de perdre des données à cause d un disque hors d usage sont aussi multipliés par le nombre de disques de l ensemble. On peut obtenir un bon équilibre entre vitesse et sécurité des données avec le RAID 0+1, qui met en miroir deux ensembles RAID 0. Le seul inconvénient c est que la capacité réelle de stockage est divisée par deux. Si une grande capacité de stockage est une priorité essentielle, l option habituelle est le RAID 5, qui répartit les données sur tous les disques de l ensemble et ajoute aussi des informations de parité tournante. La capacité de stockage réelle de l ensemble est la somme de la capacité de tous les disques moins la capacité d un des disques. Cela dit, cette solution est moins simple qu il n y paraît. Le calcul des informations de parité et la reconstruction des données en temps réel demandent un CPU très performant. Cela oblige donc l utilisateur, soit à acheter un contrôleur RAID très onéreux avec une unité XOR intégrée, soit de s en remettre à un modèle meilleur marché qui surcharge le CPU avec les calculs XOR. Dès lors, pourquoi ne pas utiliser l option du RAID 5 logiciel? Si le budget est serré et que l utilisation d un simple contrôleur sans l unité XOR est de toute façon possible, le RAID 5 logiciel est un choix équivalent. Le RAID 5 offert par Windows Server peut inclure tous les disques existants, rendant inutile la présence d un contrôleur RAID 5. Cependant, si l on a besoin que des services de fichiers, il n est même pas besoin de la coûteuse licence pour Windows Server, car Windows XP est capable de gérer des fonctions RAID complexes après seulement quelques modifications. Libérer le RAID 5 sous Windows XP
Débrider Windows XP pour faire fonctionner le RAID 5 demande un éditeur hexadécimal (par exemple Ultra Edit) et le CD de Windows XP. Il faut tout d abord copier certains fichiers dans un dossier temporaire : C:\windows\system32\drivers\dmboot.sys C:\windows\system32\dmconfig.dll C:\windows\system32\Dmadmin.exe Il faut ensuite ouvrir ces fichiers avec l éditeur hexadécimal : Les fichiers originaux du répertoire System32 de Windows doivent maintenant être remplacés par nos versions modifiées. Cependant, si l on change simplement les fichiers en les écrasant en écrivant par dessus, Windows s en rendra compte et restaurera ses fichiers originaux avec ses fichiers de sauvegarde. Si le disque système est en FAT32, il suffit de démarrer n importe quel système d exploitation DOS pour écraser les fichiers en écrivant par dessus manuellement. Comme la FAT32 ne s occupe pas du tout de la sécurité, nous ne recommandons pas l utilisation de ce système de fichiers. Dans un environnement NTFS il faudra redémarrer à partir du CD de Windows et lancer la console de récupération. Ceci peut être fait en appuyant sur la touche «R» dans le premier écran de sélection. Là, il faut copier les fichiers modifiés sur une disquette. Il faut tout d abord entrer dans le répertoire Windows :
C: [ENTER] cd\windows [ENTER] Il faut maintenant copier les fichiers un par un en utilisant les commandes qui suivent. Tous les fichiers sont mis dans deux répertoires différents! copy a:\dmboot.sys system32\drivers copy a:\dmboot.sys system32\dllcache copy a:\dmconfig.dll system32 copy a:\dmconfig.dll system32\dllcache copy a:\dmadmin.exe system32 copy a:\dmadmin.exe system32\dllcache Création d un ensemble RAID 5 Il faut maintenant redémarrer le système. De retour dans Windows, lancer la console de gestion et aller dans le gestionnaire de disque. Ici, il faut convertir en disques dynamiques tous le disques que l on a l intention d utiliser dans l ensemble RAID 5. Après cela, un clic droit sur les disques ouvrira un menu contextuel permettant la création d un nouveau volume :
Après modification des fichiers comme montré plus haut, Windows XP est capable de supporter le RAID 5 logiciellement. Nous avons utilisé quatre disques WD740 Raptor de Western Digital pour notre ensemble de test.
Les fenêtres d options suivantes... ne diffèrent pas, que l on crée un ensemble ou un simple volume. Dès que Windows a terminé la création de l ensemble, le RAID 5 sera disponible sous Windows comme n importe quel autre disque dur. Cela inclut aussi l option de donner des autorisations à quelqu un en propre ou à des groupes et de partager les fichiers. Le pire des scénarii : et si un disque tombe en panne?
A l évidence, le système le plus sophistiqué est absolument inutile s il ne marche pas. En plus de notre ensemble habituel de benchmarks, nous avons simulé une panne de disque en enlevant le câble SATA. Cette capture d écran montre le gestionnaire de disques de Windows après que nous ayons débranché un disque dur et remis le câble de données en place au bout de quelques secondes. Pour des raisons de sécurité, Windows ne réintègre pas le disque dans l ensemble automatiquement. Les autres disques de l ensemble sont marqués «Echec de redondance».
Cliquer sur «réparer volume» démarrera le processus de reconstruction.
Il faut bien sûr choisir auparavant un disque sain.
Le processus de reconstruction commence! Conclusion Nous avons été très étonnés par la simplicité de la gestion d'un ensemble RAID 5 sous Windows XP. Faire passer l administration du RAID des contrôleurs au système d exploitation n est peut-être pas une solution puissante, mais elle autorise un niveau de souplesse peu commun dans le domaine du stockage. N importe quel système Windows XP est techniquement capable de faire tourner des ensembles RAID, dès lors que l on peut y relier le nombre de disques durs désiré. Peut importe le matériel que l on utilise. Pour avoir le RAID 5, il suffit de modifier simplement trois fichiers. Notre simulation d une panne de disque a été probante, car le processus de reconstruction peut être mis en œuvre aisément, même par des utilisateurs moins expérimentés. De plus, ce processus prend le même temps qu avec un système RAID matériel. Il faut cependant noter que la sécurité Windows est un problème important, car l accès au gestionnaire disques permet à n importe qui de détruire tout cet ensemble en quelques secondes. L autre avantage de notre approche RAID 5 sous Windows XP c est son prix imbattable. Mis à part les disques qu il faut bien sûr acheter, tout ce qu il faut c est le nombre de ports nécessaires sur la carte mère ou le contrôleur utilisé. Acheter un contrôleur RAID onéreux n est plus indispensable dans ce cas de figure.
Au final, il ne reste qu un inconvénient : le RAID 5 sous Windows ne travaille pas aussi rapidement, loin s en faut, que les systèmes en matériel. Cela dit, les serveurs de fichiers n ont pas toujours besoin d être les plus rapides possibles. Si l on a besoin de configurer un serveur de fichiers redondant pour des accès occasionnels et un faible trafic, un RAID sous Windows est une option qu il faut à tout prix considérer. Il faut cependant être prudent : une fois l ensemble constitué, on ne peut pas le transférer sur aucun des contrôleurs RAID matériel. Si l on change d avis, il faut réinstaller tout le matériel. Partager votre ordinateur de façon plus sûre Vue d'ensemble des comptes d'utilisateur Un compte d'utilisateur définit les actions qu'un utilisateur peut effectuer dans Windows. Sur un ordinateur autonome ou membre d'un groupe de travail, un compte d'utilisateur établit les droits assignés à chaque utilisateur. Sur un ordinateur appartenant à un domaine réseau, un utilisateur doit être membre d'un groupe au moins. Les autorisations et droits accordés à un groupe le sont également à ses membres. Comptes d'utilisateur sur un ordinateur membre d'un domaine réseau Vous devez ouvrir une session en tant qu'administrateur ou en tant que membre du groupe Administrateurs pour utiliser l'application Comptes d'utilisateur du Panneau de configuration. Cette fonctionnalité permet d'ajouter des utilisateurs à votre ordinateur ou à un groupe. Dans Windows, les autorisations et les droits de l'utilisateur sont généralement accordés à des groupes. En ajoutant un utilisateur à un groupe, vous accordez à cet utilisateur toutes les autorisations et tous les droits d'utilisateur assignés à ce groupe. Par exemple, un membre du groupe Utilisateurs peut exécuter la plupart des tâches nécessaires à son travail, telles qu'une ouverture de session sur l'ordinateur, la création de fichiers et de dossiers, l'exécution de programmes et l'enregistrement des modifications apportées aux fichiers. En revanche, seul un membre du groupe Administrateurs peut ajouter des utilisateurs à des groupes, modifier des mots de passe utilisateur ou modifier la plupart des paramètres du système. La fonctionnalité Comptes d'utilisateur permet de créer ou de modifier le mot de passe des comptes d'utilisateur local, ce qui est utile lors de la création d'un nouveau compte d'utilisateur ou si un utilisateur oublie un mot de passe. Un compte d'utilisateur local est un compte créé par cet ordinateur. Si l'ordinateur fait partie d'un réseau, vous pouvez ajouter des comptes d'utilisateurs réseau aux groupes de votre ordinateur et ces utilisateurs peuvent utiliser leur mot de passe réseau pour se connecter. Vous ne pouvez pas modifier le mot de passe d'un utilisateur réseau. Remarques Vous ne pouvez pas créer des groupes dans l'application Comptes d'utilisateur. Utilisez pour cela Utilisateurs et groupes locaux. Dans Comptes d'utilisateur, vous pouvez placer un utilisateur dans un seul groupe. Généralement, vous trouvez un groupe présentant l'ensemble des autorisations dont un utilisateur a besoin. Si vous devez ajouter un utilisateur à plusieurs groupes, utilisez Utilisateurs et groupes locaux. Pour améliorer la sécurité d'un mot de passe, celui-ci doit contenir au moins deux des éléments suivants : lettres en majuscules, lettres en minuscules et chiffres. Plus la séquence de caractères est aléatoire, plus le mot de passe est sûr. Si vous souhaitez configurer d'autres exigences relatives au mot de passe (longueur minimale, durée d'expiration, unicité), ouvrez Stratégie de groupe et allez dans Stratégie de mot de passe.
Pour plus d'informations sur la modification des contraintes concernant les mots de passe, cliquez sur Rubriques connexes. Comptes d'utilisateur sur un ordinateur autonome ou membre d'un groupe de travail Deux types de comptes d'utilisateur sont disponibles sur votre ordinateur : compte d'administrateur d'ordinateur et compte limité. Le compte Invité est destiné aux utilisateurs auxquels aucun compte n'est assigné sur l'ordinateur. > Compte Administrateur d'ordinateur : Le compte d'administrateur d'ordinateur est destiné à une personne capable d'effectuer des modifications à l'échelle du système, d'installer des programmes et d'accéder à tous les fichiers de l'ordinateur. Seul un utilisateur titulaire d'un compte d'administrateur d'ordinateur bénéficie d'un accès total aux comptes d'utilisateur de l'ordinateur. Cet utilisateur : Peut créer et supprimer des comptes d'utilisateur sur l'ordinateur. Peut créer des mots de passe pour d'autres comptes d'utilisateur inscrits sur l'ordinateur. Peut modifier le nom, l'image, le mot de passe et le type associés aux comptes d'autres utilisateurs. Ne peut pas modifier le type de son compte d'utilisateur pour adopter un compte limité, sauf s'il existe au moins un autre utilisateur de l'ordinateur titulaire d'un compte d'administrateur d'ordinateur. Cela garantit qu'il existe toujours au moins une personne possédant un compte Administrateur d'ordinateur sur l'ordinateur. >Compte limité : Les comptes limités sont destinés aux utilisateurs qui ne doivent pas être autorisés à modifier les paramètres de l'ordinateur et à supprimer des fichiers importants. Un utilisateur qui possède un compte limité : Ne peut pas installer un logiciel ou un matériel, mais peut accéder aux programmes déjà installés sur l'ordinateur. Peut changer l'image associée à son compte et créer, modifier ou supprimer son mot de passe. Ne peut pas modifier le nom ni le type de son compte. Un utilisateur qui possède un compte Administrateur d'ordinateur a le droit d'effectuer ces modifications. Remarque Certains programmes risquent de ne pas fonctionner correctement avec les comptes limités. Le cas échéant, modifiez le compte limité en compte d'administrateur d'ordinateur, à titre temporaire ou permanent. >Compte Invité : Le compte Invité est destiné aux personnes qui ne possèdent pas de compte d'utilisateur sur l'ordinateur. Aucun mot de passe n'est associé à ce compte, ce qui permet aux utilisateurs de se connecter rapidement pour consulter leur messagerie électronique ou Internet. L'utilisateur connecté sous le compte Invité : Ne peut pas installer un logiciel ou un matériel, mais peut accéder aux programmes déjà installés sur l'ordinateur. Ne peut pas changer le type du compte Invité.
Peut changer l'image associée au compte Invité. Remarque Un compte nommé «Administrateur» est créé pendant l'installation. Ce compte Administrateur, qui possède des privilèges d'administrateur d'ordinateur, utilise le mot de passe d'administrateur que vous avez entré pendant l'installation. L'option Comptes d'utilisateur se trouve dans le Panneau de configuration. Pour ouvrir Comptes d"utilisateurs, cliquez sur Démarrer, sur Panneau de configuration, puis doublecliquez sur Comptes d"utilisateurs. Protection de votre ordinateur à l'aide de mots de passe Lorsque vous protégez votre ordinateur par un mot de passe fort, personne ne peut accéder à vos fichiers ou programmes à votre insu. Lorsque vous définissez votre mot de passe, vous devez également créer un disque de réinitialisation de mot de passe. En cas d'oubli du mot de passe, vous pouvez utiliser le disque de réinitialisation de mot de passe pour accéder à vos fichiers et programmes. Les tâches liées aux mots de passe varient selon que l'ordinateur est connecté ou non à un domaine de réseau. a) Vue d'ensemble du partage des fichiers et des dossiers Vous pouvez partager les fichiers et les dossiers stockés sur votre ordinateur, sur un réseau et sur le Web. La méthode que vous choisissez dépend des personnes avec lesquelles vous voulez partager les fichiers et de l'ordinateur qu'elles vont utiliser pour accéder à ces fichiers. Lorsque vous partagez des fichiers ou des dossiers, ils sont plus vulnérables que lorsqu'ils ne sont pas partagés. Les personnes qui accèdent à votre ordinateur ou votre réseau sont en mesure de lire, copier ou modifier les fichiers qui se trouvent dans un dossier partagé. Vous devez toujours vous souvenir que les fichiers et les dossiers que vous partagez sont disponibles à d'autres personnes et il est conseillé de surveiller ces fichiers et dossiers partagés régulièrement. Important Si vous ordinateur n'est pas joint à un domaine, vous pouvez utiliser l'assistant Configuration du réseau pour activer ou désactiver automatiquement le partage de fichiers et d'imprimantes. Pour démarrer l"assistant Configuration du réseau, cliquez sur Démarrer, sur Panneau de configuration, puis double-cliquez sur Assistant Configuration du réseau. b) Pour partager des fichiers et des dossiers sur un ordinateur Le déplacement ou la copie d'un fichier ou d'un dossier dans Documents partagés permet qu'il soit disponible à toute personne disposant d'un compte utilisateur sur l'ordinateur. 1. Ouvrez Mes documents. 2. Cliquez sur le fichier ou le dossier que vous souhaitez partager. 3. Faites glisser le fichier ou le dossier vers le dossier Documents partagés dans Autres emplacements.
Remarques Pour ouvrir Mes documents, cliquez sur Démarrer, puis sur Mes documents. Si vous êtes connecté à un domaine de réseau, les dossiers Documents partagés, Images partagées et Musique partagée ne sont pas disponibles. Si le fichier ou le dossier que vous souhaitez partager ne se trouve pas dans Mes documents ou ses sous-dossiers, utilisez Rechercher pour le trouver. Pour ouvrir la fonction de recherche, cliquez sur Démarrer, puis sur Rechercher. c) Pour partager un dossier ou un lecteur Utilisation de Dossiers partagés 1. Ouvrez Gestion de l"ordinateur (local). 2. Dans l'arborescence de la console, cliquez sur Partages. Où? Gestion de l'ordinateur o Outils système Dossiers partagés Partages 3. Dans le menu Action, cliquez sur Nouveau partage de fichiers. 4. Suivez les étapes définies dans Créer un dossier partagé. Des messages vous invitent à sélectionner un dossier ou un lecteur, taper un nouveau nom de partage et une description de la ressource partagée, et définir des autorisations. Après avoir fourni ces informations, cliquez sur Terminer. Remarques Pour ouvrir Gestion de l"ordinateur, cliquez sur Démarrer, puis sur Panneau de configuration. Double-cliquez sur Outils d"administration, puis sur Gestion de l"ordinateur. Vous devez être un membre du groupe Administrateurs ou Utilisateurs avec pouvoir pour utiliser Dossiers partagés. Utilisation de l'explorateur Windows Ouvrez l'explorateur Windows, puis recherchez le dossier ou le lecteur partagé auquel vous voulez ajouter un nouveau nom de partage. Si vous êtes connecté à un domaine, effectuez l'une des actions suivantes : 1. Cliquez avec le bouton droit sur le dossier ou le lecteur partagé, puis cliquez sur Partage et sécurité. 2. Cliquez sur Partager ce dossier. 3. Choisissez les autres options souhaitées, puis cliquez sur OK.
Si vous n'êtes pas connecté à un domaine ou si vous utilisez Windows XP Édition familiale, effectuez l'une des actions suivantes : 1. Cliquez avec le bouton droit sur le dossier ou le lecteur partagé, puis cliquez sur Propriétés. 2. Sous l'onglet Partage, cliquez sur Partager ce dossier sur le réseau. 3. Choisissez les autres options souhaitées, puis cliquez sur OK. Utilisation d'une ligne de commande 1. Ouvrez l'invite de commandes. 2. Tapez la commande : net share net share nom_partage=lecteur:chemin Valeur nom_partage=lecteur:chemin Remarques Description Crée, supprime ou affiche des ressources partagées. Nom réseau de la ressource partagée et son chemin d'accès absolu. Pour ouvrir une invite de commandes, cliquez sur Démarrer, pointez sur Tous les programmes, sur Accessoires, puis cliquez sur Invite de commandes. Pour afficher la syntaxe complète de cette commande, à l'invite de commandes, tapez : net help share Vous pouvez utiliser Dossiers partagés pour gérer les ressources partagées à la fois sur des ordinateurs locaux et distants. L'Explorateur Windows et la ligne de commande vous permettent de gérer des ressources partagées uniquement sur votre ordinateur local. Pour masquer la ressource partagée aux autres utilisateurs, faites suivre le nom de la ressource partagée du caractère $. Les utilisateurs peuvent alors mapper un lecteur vers cette ressource partagée, mais ils ne peuvent pas voir la ressource partagée dans l'explorateur Windows ou le Poste de travail, ou en utilisant la commande net view sur l'ordinateur distant. Pour plus d'informations sur cette commande, consultez Net view. Vous devez disposer des autorisations appropriées pour effectuer cette procédure. d) Pour partager un lecteur ou un dossier sur le réseau 1. Ouvrez l' Explorateur Windows, puis recherchez le lecteur ou le dossier que vous voulez partager. 2. Cliquez avec le bouton droit sur le lecteur ou le dossier, puis cliquez sur Partage et sécurité. o Si vous partagez un lecteur, sous l'onglet Partager cliquez sur Si vous comprenez bien les risques et que vous voulez toujours partager la racine du lecteur, cliquez ici. o Si vous partagez un dossier, allez à l'étape suivante. 3. Effectuez une des tâches suivantes : o Si la case à cocher Partager ce dossier sur le réseau est disponible, activez cette case à cocher. o Si la case à cocher Partager ce dossier sur le réseau n'est pas disponible, cet ordinateur ne se trouve pas sur un réseau. Si vous voulez installer un réseau
domestique ou pour petite entreprise, cliquez sur le lien Assistant Configuration réseau et suivez les instructions pour activer le partage de fichiers. Une fois ce partage activé, reprenez cette procédure. e) Pour publier un fichier ou un dossier sur le Web 1. Ouvrez Poste de travail. 2. Double-cliquez sur un lecteur ou un dossier. 3. Cliquez sur le fichier ou le dossier à publier sur le Web. 4. Sous Gestion des fichiers : cliquez sur Publier ce dossier sur le Web, - ou - cliquez sur Publier ce fichier sur le Web. 5. Suivez les instructions de l'assistant Publication de sites Web. f) Pour définir, afficher, modifier ou supprimer des autorisations de fichier et de dossier 1. Ouvrez l' Explorateur Windows, puis recherchez le fichier ou le dossier dont vous souhaitez définir les autorisations. 2. Cliquez avec le bouton droit sur le fichier ou le dossier, cliquez sur Propriétés, puis sur l'onglet Sécurité. 3. Effectuez l'une des actions suivantes : o Pour définir les autorisations d'un groupe ou d'un utilisateur qui n'apparaît pas dans la zone Noms d'utilisateur ou de groupe, cliquez sur Ajouter. Tapez le nom du groupe ou de l'utilisateur dont vous souhaitez définir les autorisations, puis cliquez sur OK. o Pour modifier ou supprimer les autorisations d'un groupe ou d'un utilisateur, cliquez sur le nom correspondant. 4. Effectuez l'une des actions suivantes : o Pour accepter ou refuser une autorisation, dans la zone Autorisations pour utilisateur ou groupe, sélectionnez la case à cocher Autoriser ou Refuser. o Pour supprimer le groupe ou l'utilisateur de la zone Noms d'utilisateur ou de groupe, cliquez sur Supprimer. g) Pour rendre vos dossiers privés 1. Ouvrez Poste de travail. 2. Double-cliquez sur le lecteur où Windows est installé (généralement le lecteur C:, sauf si vous avez plusieurs lecteurs sur votre ordinateur). Si le contenu du lecteur est caché, sous Gestion du système, cliquez sur Afficher le contenu de ce lecteur. 3. Double-cliquez sur le dossier Documents and Settings. 4. Double-cliquez sur votre dossier utilisateur. 5. Cliquez avec le bouton droit sur un des dossiers de votre profil utilisateur, puis cliquez sur Propriétés. 6. Sous l'onglet Partager, activez la case à cocher Rendre ce dossier privé afin d'être le seul autorisé à y accéder. Remarques Vous ne pouvez par rendre vos dossiers privés si votre lecteur n'est pas formaté en NTFS.
Pour ouvrir Poste de travail, cliquez sur Démarrer, puis sur Poste de travail. Cette option est disponible seulement pour les dossiers qui font partie de votre profil utilisateur. Les dossiers de votre profil utilisateur comprennent les dossiers Mes documents et ses sous-dossiers, Bureau, Menu démarrer, Cookies et Favoris. Si vous ne rendez par ces dossiers privés, ils sont accessibles à toutes les personnes qui utilisent votre ordinateur. Quand vous rendez un dossier privé, tous ses sous-dossiers sont également privés. Par exemple, si vous rendez Mes documents privé, vous rendez également privés Ma musique et Mes images. Quand vous partagez un dossier, vous partagez également tous ses sous-dossiers, sauf si vous les rendez privés. Supprimer les partages administratifs (C$ et ADMIN$ )sous [Windows XP] Par défaut les systèmes Microsoft Windows possèdent des partages administratifs cachés afin de permettre à l'administrateur d'une machine d'accéder aux ressources de la machine à travers le réseau. Les partages administratifs par défaut, accessibles uniquement aux administrateur, sont les suivants : * C$ : Accès à la partition ou au volume racine. Les autres partitions sont également accessibles par leur lettre, suivie du caractère «$» ; * ADMIN$ : Accès au répertoire %systemroot%, permettant la gestion d'une machine sur le réseau. * IPC$ : Permettant la communication entre les processus réseau. * PRINT$ : Accès à distance aux imprimantes. Pour visualiser et gérer les partages administratifs de l'ordinateur, il suffit d'aller dans Panneau de configuration / Outils d'administration / Gestion de l'ordinateur / Dossiers partagés / Partages. Une alternative consiste à cliquer avec le bouton droit sur le poste de travail et sélectionner Gérer. Il est possible, notamment pour des raisons de sécurité, de supprimer l'accès aux partages administratifs C$ et ADMIN$. Pour ce faire, il suffit d'éditer la base de registres, grâce à la commande suivante : regedit Parcourez la base de registres pour atteindre l'enregistrement suivant : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Créez une nouvelle valeur Dword nommée AutoShareWks et affectez-lui la valeur 0. Il est possible de réactiver les partages administratifs en supprimant cette valeur. La suppression des partages de cette manière persistera aux redémarrages suivants de la machine. Vous avez également la possibilité de désactiver temporairement ces partages sans toucher à la base de registre en tapant dans une fenêtre MS-Dos: net share c$ /delete net share admin$ /delete net share ipc$ /delete Dans ce cas, les partages seront réactivés au prochain redémarrage de l'ordinateur. Sécuriser le partage de fichiers sous Windows XP
Si vous avez activé le partage de fichiers et d'impression sous Windows 2000 pour partager des fichiers, vous devez nécessairement sécuriser l'accès aux répertoires partagés. Pour ce faire vous devez suivre les instructions suivantes: 1. ouvrir le Poste de travail. 2. Sélectionner le disque sur lequel se trouve le répertoire à partager. 3. Sélectionner le répertoire à partager (dans l exemple Données à partager sur le réseau), appuyer sur le bouton droit de la souris pour faire apparaître le menu et sélectionner la commande Partage et sécurité. 4. Dans l onglet Partage, sélectionner l option Partager ce dossier et donner un nom au partage (dans l exemple Partage). Appuyer ensuite sur le bouton Autorisations. 5. Appuyer sur le bouton Supprimer pour empêcher «tout le monde» d accéder à ce partage.
6. Appuyer sur le bouton Ajouter pour choisir les utilisateurs qui pourront accéder au partage. 7. Indiquer le nom des utilisateurs ou des groupes qui pourront accéder au partage et appuyer sur le bouton Vérifier les noms (dans l exemple un groupe nommé groupe de partage des données).
8. Lorsque les noms apparaissent, appuyer sur le bouton OK pour fermer la fenêtre. 9. Autoriser le groupe à accéder au partage en Lecture seule ou pour le Modifier. Appuyer sur le bouton OK pour fermer la fenêtre. 10. Appuyer sur le bouton OK pour fermer la fenêtre et terminer le travail.
Cryptographie La cryptographie est une des disciplines de la cryptologie, s'attachant à protéger des messages (assurant confidentialité et/ou authenticité), en s'aidant souvent de secrets ou clés. Elle est utilisée depuis l'antiquité, mais certaines de ses méthodes les plus importantes, comme la cryptographie asymétrique, n'ont que quelques dizaines d'années d'existence. Vocabulaire Notamment à cause d'anglicisme, puis de la création des fameuses chaînes de télévision dites cryptées, une importante confusion des termes existe : chiffrement et déchiffrement : le chiffrement est la transformation à l'aide d'une clé de chiffrement d'un message en clair en un message incompréhensible si on ne dispose pas d'une clé de déchiffrement chiffre : anciennement code secret, par extension, algorithme utilisé pour le chiffrement cryptogramme : message chiffré décrypter : retrouver le message clair correspondant à un message chiffré sans posséder la clé de déchiffrement ou même retrouver la clé de déchiffrement (terme que ne possède pas les anglophones, qui eux cassent des codes secrets) cryptographie : étymologiquement écriture secrète, est devenue par extension l'étude de cet art. C'est donc aujourd'hui la science visant à créer des chiffres cryptanalyse : science analysant les cryptogrammes en vue de les casser
cryptologie : science regroupant la cryptographie et la cryptanalyse. A. Algorithmes et protocoles a. Algorithmes de chiffrement faibles (cassables facilement) Les premiers algorithmes utilisés pour le chiffrement d'une information étaient assez rudimentaires dans leur ensemble. Il consistaient notamment au remplacement de caractères par d'autres. La confidentialité de l'algorithme de chiffrement est donc la pierre angulaire de ce système pour éviter un cassage rapide. ROT13 (rotation de 13 caractères, sans clé) Chiffre de Vigenère (chiffrement polyalphabétiques) b. Algorithmes de cryptographie symétrique (à clé secrète) Les algorithmes de chiffrement symétrique se basent sur une même clé (ou presque) pour chiffrer et déchiffrer un message. Le problème de cette technique est qu'il faut que toutes les clés soient parfaitement confidentielles. Et lorsqu'un grand nombre de personnes désirent communiquer ensemble, le nombre de clés augmente de façon importante (une pour chaque couple communicant). Ce qui pose des problèmes de gestions des clés. Quelques algorithmes de chiffrement symétrique très utilisés : DES (Data_encryption_standard) 3DES AES RC4 RC5 MISTY1 et d'autres ; c. Algorithmes de cryptographie asymétrique (à clé publique et privée) Pour résoudre en partie le problème de la gestion des clés, la cryptographie asymétrique a été mise au point dans les années 1970. Elle se base sur le principe de deux clés : une publique, permettant le chiffrement une privée, permettant le déchiffrement Comme son nom l'indique, la clé publique est mise à la disposition de quiconque désire chiffrer un message. Ce dernier ne pourra être déchiffré qu'avec la clé privé, qui elle doit être confidentielle. Quelques algorithmes de cryptographie asymétrique très utilisés : RSA (Rivest_Shamir_Adleman) DSA (Digital_Signature_Algorithm) Protocole d'échange de clés Diffie-Hellman et d'autres ; B. Fonctions de hachage (exemple avec la signature électronique) Le paradigme de signature électronique (appelé aussi signature numérique) est un procédé permettant de garantir l'authenticité de l'expéditeur (fonction d'authentification) et de vérifier l'intégrité du message reçu.
La signature électronique assure également une fonction de non-répudiation, c'est-à-dire qu'elle permet d'assurer que l'expéditeur a bien envoyé le message (autrement dit elle empêche l'expéditeur de nier avoir expédié le message). a) Qu'est-ce qu'une fonction de hachage? Une fonction de hachage (parfois appelée fonction de condensation) est une fonction permettant d'obtenir un condensé (appelé aussi condensat ou haché ou en anglais message digest) d'un texte, c'està-dire une suite de caractères assez courte représentant le texte qu'il condense. La fonction de hachage doit être telle qu'elle associe un et un seul haché à un texte en clair (cela signifie que la moindre modification du document entraîne la modification de son haché). D'autre part, il doit s'agir d'une fonction à sens unique (one-way function) afin qu'il soit impossible de retrouver le message original à partir du condensé. S il existe un moyen de retrouver le message en clair à partir du haché, la fonction de hachage est dite «à brèche secrète». Ainsi, le haché représente en quelque sorte l'empreinte digitale (en anglais finger print) du document. Les algorithmes de hachage les plus utilisés actuellement sont : MD5 (MD signifiant Message Digest). Développé par Rivest en 1991, MD5 crée une empreinte digitale de 128 bits à partir d'un texte de taille arbitraire en le traitant par blocs de 512 bits. Il est courant de voir des documents en téléchargement sur Internet accompagnés d'un fichier MD5, il s'agit du condensé du document permettant de vérifier l'intégrité de ce dernier) SHA (pour Secure Hash Algorithm, pouvant être traduit par Algorithme de hachage sécurisé) crée des empreintes d'une longueur de 160 bits SHA-1 est une version améliorée de SHA datant de 1994 et produisant une empreinte de 160 bits à partir d'un message d'une longueur maximale de 2 64 bits en le traitant par blocs de 512 bits. b) Vérification d'intégrité En expédiant un message accompagné de son haché, il est possible de garantir l'intégrité d'un message, c'est-à-dire que le destinataire peut vérifier que le message n'a pas été altéré (intentionnellement ou de manière fortuite) durant la communication. Lors de la réception du message, il suffit au destinataire de calculer le haché du message reçu et de le comparer avec le haché accompagnant le document. Si le message (ou le haché) a été falsifié durant la communication, les deux empreintes ne correspondront pas.
c) Le scellement des données L'utilisation d'une fonction de hachage permet de vérifier que l'empreinte correspond bien au message reçu, mais rien ne prouve que le message a bien été envoyé par celui que l'on croit être l'expéditeur. Ainsi, pour garantir l'authentification du message, il suffit à l'expéditeur de chiffrer (on dit généralement signer) le condensé à l'aide de sa clé privée (le haché signé est appelé sceau) et d'envoyer le sceau au destinataire. A réception du message, il suffit au destinataire de déchiffrer le sceau avec la clé publique de l'expéditeur, puis de comparer le haché obtenu avec la fonction de hachage au haché reçu en pièce jointe. Ce mécanisme de création de sceau est appelé scellement. Encryption de disque à la volée : Cryptage avec le logiciel : TrueCrypt 4.2a Catégorie : Sécurité, Cryptage Editeur : Paul Le Roux Licence : Logiciel libre TrueCrypt est un outil d'encryption de disque à la volée pour Windows XP, 2000 et 2003. Le disque en question peut être un fichier monté comme un disque virtuel ou bien un disque dur existant. Le logiciel est orienté vers une sécurité maximale et les données sont encryptées à la volée au moment ou elles sont stockées. Lorsque les données sont cryptées avec l'un des nombreux algorithmes d'encryption proposés (Blowfish, AES-256, CAST5, Tripe DES...), l'ouverture du fichier ou du disque dur ne fait rien apparaître d'autre qu'une série de chiffres aléatoires. A noter qu'en plus d'être crypté, le volume peut aussi être masqué. La création d'un volume se fait par le biais d'un assistant clair. A l'usage, le volume encrypté est vu par Windows comme un disque classique et en possède toutes les caractéristiques, il faudra simplement saisir le mot de passe associé au volume au moment du "montage" de celui-ci. Hide Folders Si vous souhaitez protéger efficacement les documents et les dossiers enregistrés sur votre disque, Hide Folders est exactement l'outil dont vous avez besoin. En un clic, vous allez pouvoir les masquer ou les protéger par un mot de passe.
Prix : Gratuit Taille : 276 Ko Plates-formes : Microsoft Windows 95/98/ME/NT/2000/XP Dekart Private Disk Light Basé sur le populaire Private Disk de Dekart, Private Disk Light vous permet de créer une zone sécurisée pour toutes vos données de travail, d'échanger des données cryptées avec d'autres personnes et d'être assuré que vos informations sont à l'abri des manipulations aussi bien externes qu'internes. Private Disk Light est une solution qui vous permet de créer un ou plusieurs disques virtuels sécurisés sur votre disque dur. Les informations stockées dans cette zone sécurisée sont automatiquement cryptées et ne peuvent être décryptées qu'avec le bon mot de passe. Sans le mot de passe, il est impossible d'accéder et de décrypter les informations d'un disque sécurisé. Private Disk Light emploie un algorithme de cryptage standard nommé AES. Cette technologie garantit un cryptage de haut niveau sans pour autant gêner les performances de l'ordinateur. Remarque importante : Dekart Private Disk ne contient aucun spyware, programme publicitaire ou virus et est totalement gratuit (freeware). Private Disk Light est très facile d'utilisation et l'installation prend quelques minutes seulement. Le cryptage des données est un procédé sans effort, ne requérant que la copie des fichiers dans le disque sécurisé sélectionné. Private Disk Light conserve les informations dans un endroit sûr et sécurisé, mais son développement a été arrêté. Si vous souhaitez un produit offrant de meilleures fonctionnalités que Dekart Private Disk Light, utilisez Dekart Private Disk, un logiciel de cryptage disque très avancé et facilement configurable, offrant toute une importante panoplie de fonctions et d'options. Pourquoi Dekart Private Disk est-il plus sécurisé que Dekart Private Disk Light? Dans DPD Light, votre disque est crypté par la "clé AES" à l'aide de l'algorithme AES. La "clé AES" est elle-même cryptée par la "clé RC4" à l'aide de l'algorithme RC4 et en utilisant la longueur de clé installée par défaut sur votre ordinateur. La longueur de la clé RC4 dépend des paramètres de Windows et s'élève à 56 bits ou 128 bits selon le cas. Ouvrez la boîte de dialogue "A propos" d'internet Explorer et contrôlez si vous utilisez le cryptage 128 bits. La clé RC4 est générée à partir de votre mot de passe en utilisant l'algorithme SHA-1. Avec Dekart Private Disk 2.xx, nous n'utilisons pas la cryptographie de Windows pour le cryptage des données. Ainsi le disque est crypté en utilisant l'algorithme AES 256 bits. La clé AES est cryptée en utilisant l'algorithme AES 256 bits. La seconde clé AES 256 bits est aussi générée à partir de votre mot de passe en utilisant SHA-512. Ainsi, les différences se résument à l'abandon de l'algorithme RC4 et à l'utilisation exclusive du cryptage AES 256 bits. Pourquoi utiliser deux clés AES? Une clé AES est utilisée pour le cryptage du disque (indépendamment de votre mot de passe) et l'autre est générée à partir de votre mot de passe. Grâce à cette architecture, il est plus facile de modifier le mot de passe car il n'est pas nécessaire de crypter à nouveau l'intégralité des données du disque. Si vous modifiez le mot de passe, la clé de cryptage du disque ne change pas : elle est simplement recryptée avec une autre clé AES (générée à partir du nouveau mot de passe).
Crypter ses données sous Windows Windows XP Professionnel permet de limiter l'accès à un fichier ou un dossier en le sécurisant par une méthode de cryptage en mode natif. Nous verrons ici comment utiliser pleinement cette fonctionnalité. Nous aborderons par la suite une modification de la base de registre permettant d'ajouter une option de cryptage/décryptage dans le menu contextuel. Sur une partition NTFS avec Windows XP Professionnel, il est possible de crypter simplement un fichier ou un dossier que l'on souhaite protéger. Cette fonctionnalité de cryptage n'est malheureusement pas disponible pour l'édition familiale de Windows XP. Prenons l'exemple de cryptage d'un dossier (et son contenu) et d'un fichier. Cryptage d'un dossier : Voici le dossier à crypter : Faites un clic droit sur le dossier, sélectionnez Propriétés puis Avancé. Cochez ensuite la case Crypter le contenu pour sécuriser les données puis cliquez sur le bouton OK. Enfin, cliquez sur le bouton Appliquer. La fenêtre suivante apparaît :
Laisser l'option Appliquer les modifications à ce dossier et à tous les sous-dossiers et fichiers sélectionnée afin de crypter également le contenu du dossier puis cliquez sur OK. A noter qu'un fichier qui sera copié ou déplacé dans ce répertoire sera crypté à son tour. Cryptage d'un fichier : La démarche pour le cryptage d'un fichier est similaire : Faites un clic droit sur le fichier, sélectionnez Propriétés puis Avancé. Cochez ensuite la case Crypter le contenu pour sécuriser les données puis cliquez sur le bouton OK. Enfin, cliquez sur le bouton Appliquer. La fenêtre suivante apparaît : Laisser l'option Crypter le fichier et le dossier parent sélectionnée afin de crypter également le dossier contenant le fichier puis cliquez sur OK.
Les noms des fichiers et dossiers cryptés apparaissent maintenant en vert dans l'explorateur, ils sont ainsi identifiable d'un simple coup d'oeil : L'accès à ces fichiers cryptés sous votre session sera interdit à un autre utilisateur du même poste. Ainsi par exemple, un utilisateur qui tentera d'accéder à un fichier Word crypté par vos soins aura le message suivant : La méthode pour décrypter les dossiers et fichiers est tout aussi simple : il suffit simplement de désactiver la case à cocher Cryptage de la boîte de dialogue Propriétés accessible par un clic droit sur l'élément. Cryptage et décryptage en ligne de commande : La commande que nous allons utiliser est cipher. Dans cet exemple, nous allons crypter le dossier C:\Fichiers cryptés. Commençons par ouvrir une invite de commande. Allez dans Démarrer, Exécuter... puis saisissez cmd et validez. Tapez ensuite la commande suivante : cipher /e /s:"c:\fichiers cryptés" Validez afin de crypter le répertoire. L'option /e permet de crypter le répertoire ainsi que les fichiers qui y seront ultérieurement copiés. L'option /s quand à elle, permet d'appliquer l'opération à tous les sous répertoires. Pour décrypter le dossier ou fichier, tapez la commande suivante : cipher /d /s:"c:\fichiers cryptés" Valider afin de décrypter le répertoire. L'option /d permet de décrypter le répertoire ainsi que les fichiers qui y seront ultérieurement copiés. Pour connaître l'ensemble des options de la commande cipher, tapez cipher /?. Ajout de la fonction "Crypter/Décrypter" dans le menu contextuel : Afin de simplifier les opérations de Cryptage/Décryptage des fichiers et dossiers, nous allons effectuer une modification dans la base de registre afin d'ajouter une nouvelle option dans le menu contextuel (accessible par clic droit). Ouvrez regedit (Démarrer, Exécuter... puis tapez regedit). Allez dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Adva nced Créez une valeur DWORD nommée EncryptionContextMenu et donnez lui la valeur 1.
Si vous ne souhaitez pas effectuer vous même cette manipulation dans la base de registre, vous pouvez utiliser le fichier.reg disponible en bas de page. Une fois la modification effectuée, il suffit de faire un clic droit sur un dossier ou un fichier puis de choisir l'option Crypter : De même, un nouveau clic doit sur l'élément crypté fera apparaître l'option Décrypter dans le menu contextuel : Si vous souhaitez supprimer cette option du menu contextuel, il suffit simplement de supprimer la clé EncryptionContextMenu ou bien de passer sa valeur à 0. Méthode de cryptage : La méthode de cryptage utilisée de façon native par Windows XP (et par Windows Server 2003) est appelée EFS (pour Encrypting File System). Ce système utilise une clé de cryptage de fichier générée de façon aléatoire, indépendante de la paire de clés publique/privée d'un utilisateur. L'algorithme de cryptage se fait sur 40 bits (128 bits en Amérique du Nord). Le cryptage des données se réalise d'un simple clic grâce à la génération d'une paire de clés publiques et à un certificat de cryptage de fichier. Ce dernier est alors créé lors du premier cryptage d'un fichier par un utilisateur, ce certificat sera ensuite réutilisé pour les cryptages ultérieurs. Pour plus de sécurité, chacun des fichiers possède une clé de cryptage unique. ATTENTION : De part ce système de cryptage utilisé, il est impossible de décrypter les données suite à une réinstallation de Windows ou à la suppression du compte utilisateur qui a effectué le cryptage. Bien que le système de fichiers EFS comporte un système de récupération des données intégré, ce dernier permet uniquement aux agents de récupération de configurer les clés publiques utilisées pour récupérer des données cryptées. En aucun cas la clé privée d'un utilisateur pourra être retrouvée, les fichiers cryptés resteront alors illisibles! Note : le système de cryptage EFS ne fonctionne que sur une partition NTFS. Ainsi, si vous copiez des données cryptées sur une clé USB (qui est formatée en FAT), les fichiers seront copiés sans le cryptage. Enfin, on peut également citer l'existence du programme AxCrypt. Contrairement au cryptage EFS, ce freeware fonctionne sur toutes les versions de Windows et permet de crypter simplement vos données sensibles.
Logiciel : AxCrypt 1.6.3 Crypter et décrypter d'un clic droit fichiers et répertoires AxCrypt permet de crypter des données sensibles grâce à un algorithme codé sur 128 bits. Ce n'est peut être pas suffisant pour des données militaires mais conviendra sans problème pour éviter que collègues et/ou famille aillent fouiller dans vos fichiers sensibles. L'interface du logiciel est réduite à sa plus simple expression puisqu'il n'y en a pas. L'accès à celui-ci se fait uniquement grâce au menu contextuel de l'explorateur Windows. En s'installant, AxCrypt y a en effet ajouté quelques entrées qui révèlent ses fonctionnalité. On a droit à un "crypter", un "crypter et créer un exécutable" qui se révèle bien pratique pour envoyer un fichier protégé à un ami qui ne possède pas le logiciel et un "brouiller et supprimer" qui efface de manière fiable un fichier. Dans le cas de cryptage d'un répertoire complet, le logiciel va crypter de manière récursive chacun des fichiers du répertoire et de ses sous répertoires. Chiffrement de données avec PGP Introduction PGP de «Pretty Good Privacy» (signifie en anglais: "Plutôt bonne intimité"), est un logiciel de cryptographie gratuit créé en 1991 par Philip Zimmermann un informaticien américain. Ce logiciel est le plus connu dans le domaine de la protection des données sur Internet et est souvent utilisé pour protéger le courrier électronique. Il est basé à la fois sur le mécanisme des clés publiques et des clés secrètes. PGP permet d effectuer des opérations tels que: Encrypter des textes : Cette opération permet de s assurer que seul le destinataire pourra lire le contenu du message. Par cette opération on assure la confidentialité des contenus. Signer des textes : Cette opération permet de s assurer de la provenance d un document, ci celui-ci est bien identique au document original. Par cette opération on assure à la fois l authenticité et l intégrité des contenus. Pour effectuer ces opérations, on doit obtenir une paire de clés, l'une publique et l'autre secrète. Comme leur nom l'indique, la première pourra être diffusée à n'importe qui, de n'importe quelle façon, alors que la deuxième ne doit être connue que par son propriétaire. De façon générale, un fichier encrypté avec une clé publique ne peut être décrypter qu'avec la clé secrète correspondante, et inversement. Il est donc nécessaire de bien saisir le fonctionnement des clés publiques et privées. 1. Clé publique et clé privée PGP se base sur le système à clé publique pour le chiffrement des données, avant d utiliser PGP il est donc important de comprendre la différence entre la clé publique et la clé privée.
1.1 Le principe du chiffrement Le chiffrement à clé publique, aussi appelé le chiffrement asymétrique, implique une paire de clés : une clé publique et une clé privée. La clé publique est publiée dans des annuaires et ainsi connue de tous alors que la clé privée n'est connue que de la personne à qui la paire appartient. On retrouve donc: Une clé publique pour le chiffrement Une clé privée pour le déchiffrement 1.2 Fonctionnement Une fois que l'on a les deux clés, les opérations de chiffrement et déchiffrement s'effectuent de cette façon: Pour encrypter un message, et en assurer ainsi la confidentialité, vous utilisez la clé publique de la personne à qui vous voulez envoyer le message. Ce dernier devra donc le décrypter avec sa clé privée. Comme il est le seul à pouvoir l'utiliser, vous êtes certain qu'il est le seul à pouvoir lire le contenu du message. Pour signer un message, vous utiliserez votre clé secrète. Ainsi, toutes les personnes intéressées à vérifier si le message provient de vous pourront le faire en le décryptant avec votre clé publique. Si cela fonctionne, l'authenticité du message est assurée. De plus, puisque PGP inclut de l'information sur la nature du document dans la signature, ce mécanisme assure aussi l'intégrité du contenu. Les fichiers cryptés à l'aide de PGP offre une véritable inviolabilité. Le système de codage repose sur le modèle de la cryptographie à clé publique. PGP génère une paire de clés, la clé publique distribuée au plus grand nombre qui sert à chiffrer, la clé secrète qui reste sur l'ordinateur de son propriétaire, sans laquelle il est impossible de déchiffrer un message envoyé au moyen de la clé publique allant de paire.
2 Installation et configuration 2.1 1ère partie : installation du logiciel En premier lieu, il faut se procurer le logiciel qui est en libre téléchargement sur internet. Lancez ensuite le SETUP.EXE et suivez les instructions afin d installer le programme dans le répertoire souhaité. Vous arriverez à la fenêtre de dialogue ci-dessous : Si vous n avez pas de clé déjà définie, cliquez sur Non, autrement choisissez Oui. Dans notre cas, considérons qu aucune clé n est définie, nous cliquons donc sur Non. L installation du logiciel est maintenant terminée, reste à définir les paires de clés. En effet, lors de la seconde étape de l installation, un trousseau de clés devra être créé. C est ce jeu de clé qui sera utilisé pour le cryptage et le décryptage des informations à protéger. Ce trousseau se compose d une clé publique destinée à être distribuée à tous vos correspondants potentiels et d une clé secrète qui doit rester confidentielle. 2.2 2ème partie : Création des paires de clés Une fois l installation terminée, l assistant de création de clé se lance. C est cet assistant qui nous permettra de créer notre clé publique ainsi que notre clé privée.
Il faut d abord entrer les informations vous concernant. Le nom complet est demandé ainsi que l adresse Email, ces variables seront utilisées pour générer la clé publique. Le type de clé à choisir est généralement Diffie-Hellman/DSS ; le type RSA correspondant à l ancien standard en matière de sécurité (RSA est utilisé surtout pour les versions de PGP antérieurs à 5.0).
Il faut ensuite choisir la longueur de la clé. Les décrets du 17 Mars 1999 autorisent l utilisation des logiciels de cryptographie possédant une longueur de clé inférieure ou égale à 128 bytes (1024 bits).
Il est possible d indiquer une date d expiration des clés. A compter de cette date les clés créées par l utilisateur ne seront plus utilisable pour le cryptage ou même la signature d un quelconque document. Elles resteront tout de même valides pour le décryptage des documents ou encore la vérification des signatures. Il est conseillé de conserver ces clés et donc de ne pas prendre en compte la proposition d expiration. Le système est déjà sécurisé, il n est pas obligatoire de rajouter une date d expiration. Voici la partie secrète de l installation, c est ici que nous devons indiquer votre phrase secrète (passphrase) qui sera assimilée à notre clé privée, elle doit être strictement confidentielle car c est elle qui permettra de décrypter ou bien de signer un document et donc de garantir son intégrité. Mémorisez votre phrase secrète car elle pourra vous être redemandée plus tard. En cas d oubli, elle ne pourra pas être récupérée.
PGP génère ensuite de manière aléatoire un trousseau de clés selon les critères de taille et de type indiqué. La clé est générée automatiquement Laissez la case: «Send my key to the root server now» décochée. Cette fonction n est pas indispensable et l envoi vers l extérieur n est pas possible.
L installation et la configuration du logiciel sont maintenant terminées. PGP vous permet de sauvegarder les clefs créées sous 2 fichiers, secring.skr (clef privée) et pubring.pkr (clef publique). Enregistrez vos clés sur un support de type disquette afin de pouvoir les récupérer en cas de panne système ou formatage. Vos clés ont été crées et elles vous sont propres. Il ne faut communiquer à personne votre clé privée. Elle vous servira à décrypter les informations cryptées avec votre clé publique.
Maintenant l'installation et les clés finalisées, nous nous attarderons à l'utilisation des multiples fonctionnalités du logiciel. 3 Utilisation de PGP Une fois le jeu de clés créé, il vous sera possible de crypter et décrypter des données. Pour ce faire PGP se compose de deux composants : PGPkeys et PGPtools. 3.1 Présentation du logiciel PGP crée des plug-ins qui permettent de crypter et décrypter directement les messages réalisés avec Eudora, Microsoft Exchange, Outlook, Outlook Express (pour la version 6). Vous pouvez également crypter tout message ou fichier et le transmettre de façon sécurisée en utilisant soit l'explorateur de Windows, soit PGPtools. PGP génère deux clés, l'une publique, l'autre secrète. Ces clefs de chiffrement et de déchiffrement sont distinctes et ne peuvent se déduire l'une de l'autre. La clé secrète, générée par le logiciel crypte les données, cette clé secrète est ensuite cryptée par une clé publique. Ce couple de clés est appelé bi-clé. La clé publique est utilisée pour vérifier une signature. Elle est distribuée à tous vos correspondants potentiels, soit par un fichier joint (un texte incompréhensible qui fait office de clé), soit dans un Mail, soit via un serveur de clés publiques. La clé publique chiffre et est distribuée, la clé privée déchiffre et reste sur le PC. Autrement dit, pour correspondre avec d autres utilisateurs de PGP, vous aurez besoin d une copie de leur clé publique et ils auront besoin d une copie de la vôtre. Vous allez ainsi utiliser leur clé publique et votre clé privée pour crypter les messages et eux utiliseront leur clé privée et votre clé publique pour le décrypter. Toutes ces clés sont gérées (importation, exportation, création...) avec un trousseau, le logiciel PGPkeys.
Le propriétaire d'un bi-clé (un couple composé d'une clé publique et d'une clé privée) est le seul à pouvoir mettre en œuvre la clé privée et exécuter l'opération de génération de signature numérique, alors que plusieurs destinataires sont à même d'utiliser la clé publique et ainsi de vérifier la signature. Les deux clés sont accessibles et visibles dans la fenêtre de PGPkeys. C est depuis cette fenêtre que vous effectuez toutes vos opérations de gestion des clés. 3.2 Importer et distribuer une clé publique Importer une clé publique L utilisation d une clé publique est nécessaire au cryptage des informations. Il est possible d importer des clés publiques de correspondant dans la mesure où celui-ci l a créé. Pour importer la clé publique que l on vous a envoyée, dans un premier temps ouvrez PGPkeys puis dirigez vous dans le menu Keys et choisissez Import (ou faites CTRL+M).
Une fenêtre de recherche s ouvrira, sélectionnez alors la clé publique de votre correspondant. Celle-ci est sera ajoutée et visible dans la liste des clés. Si la clé est envoyée sous forme d un texte, copiez-le et collez-le dans PGP. 3.3 Distribuer une clé publique Votre clé publique est créée et vous désirez maintenant échanger des informations cryptées avec vos correspondants, pour ce faire il vous faudra leur transmettre votre clé publique. La distribution d une clé publique peut se faire de deux manières différentes: soit en l envoyant à un serveur de clés soit en la transmettant directement à votre correspondant Première méthode Pour envoyer votre clé à un serveur, ouvrez PGPkeys et sélectionnez votre clé puis cliquez sur le menu "Server" et sélectionnez le serveur sur lequel vous souhaiter envoyer votre clé. Afin d effectuer cette opération, il vous faudra être connecté à Internet.
Seconde méthode Cette méthode de distribution permet d envoyer votre clé sous la forme d un fichier texte ou de l inclure dans un mail. Ouvrez PGPkeys, sélectionnez votre clé et cliquez sur Copy dans le menu Edit ou faites (CTRL+C). Vous pouvez maintenant coller la clé dans un fichier texte ou directement dans un mail.
La clé se présente sous cette forme : Nous venons de voir comment utiliser les différents outils du logiciel PGP, d'autre part celuici s'intègre facilement à Windows et certains outils de messagerie. Il serait alors intéressant et utile de connaître cette tout autre facette de l'utilisation de PGP. 4 Intégration dans Windows et les outils de messagerie Après l installation de PGP une icône représentée par un cadenas s installe au niveau de la barre des taches : PGPTray PGPTray vous permettra d encrypter, signer, décrypter, vérifier mais aussi de configurer les options du logiciel. Le cadenas présent dans la barre des taches est un raccourci vers PGP. 4.1 Crypter un mail PGP s intègre parfaitement à la plupart de logiciels de messagerie (sauf Netscape malheureusement). Une nouvelle icône PGP permet d accéder rapidement aux fonctionnalités de PGP.
Après avoir ouvert votre mail il suffit de faire un clic droit sur PGPTray puis dans «Current Window» de sélectionner l action à appliquer sur le mail ; Vous avez le choix entre : Encrypter, signer ou encrypter et signer.
4.2 Crypter un fichier de son disque dur Il est possible d'utiliser PGP pour crypter et signer les fichiers joints dans les courriers électroniques mais aussi pour crypter et signer des fichiers stockés sur votre ordinateur. Nous allons donc voir comment crypter un fichier texte à l aide de PGP. Avec l'explorateur de Windows, sélectionnez le (s) fichier (s) ou le dossier à crypter, appuyez sur le bouton droit de votre souris sélectionnez PGP puis cliquez sur "Encrypt". Une fenêtre de sélection de clé s affiche «PGPshell Key Selection Dialog», sélectionnez votre clé, double-cliquez dessus pour la déplacer vers la fenêtre des destinataires puis cliquez sur le bouton "Ok". Un fichier avec l'extension PGP est créé. Pour l'ouvrir il suffit de double cliquer dessus puis de saisir la phrase mot de passe. Vous pouvez également configurer différentes options comme la sortie sous forme de fichier texte ou l effacement du fichier texte original. Enregistrez alors le fichier crypté (désormais illisible) dans un répertoire. Seul le possesseur de la clé privée complémentaire à celle que vous avez utilisée pourra décrypter le fichier.
Le même procédé est possible en passant par l intermédiaire de PGPtools avec son outil "Encrypt Sign" : En cliquant sur celui-ci vous devrez sélectionnez le fichier à crypter. Puis, vous accéderez à la fenêtre de sélection de clés où vous choisirez la clé à utiliser pour le codage du fichier. Nous venons de voir l'utilité et la simplicité de PGP au sein de Windows et les outils de messagerie. Conclusion PGP est très puissant, gratuit et très simple d'utilisation. Il permet très facilement de crypter des fichiers et des e-mails assurant ainsi une complète confidentialité. Il s'intègre très bien à Windows et aux outils de messagerie ce qui facilite d'autant plus son utilisation. C'est l'outil indispensable dans la quête d'intimité sur Internet et chez soi. L'entretien préventif et le nettoyage informatique Le matériel informatique (ordinateurs, imprimantes...) est soumis à de multiples agressions, quel que soit le lieu d'utilisation. Ainsi, des poussières, parfois chargées d'électricité statique, comme celles provenant de certaines moquettes, pénètrent à l'intérieur de l'appareil, s'y accumulent et finissent par provoquer des pannes. Les objectifs de l'entretien préventif : diminuer le nombre de pannes, réduire les coûts de maintenance, augmenter la pérennité du matériel, accroître le confort des utilisateurs en conservant les postes de travail propres, et par là-même accroître l'image de marque de l'entreprise.
L'entretien préventif d'un appareil est constitué de plusieurs opérations : arrêt de la machine, déconnexion des alimentations et du câblage, démontage et nettoyage des carters, dépoussiérage des grilles d'aération, nettoyage des parties internes (facultatif), nettoyage de la connectique, remontage des carters, traitement antistatique (antipoussière), reconnexion des câbles, remise en marche de l'appareil, test de bon fonctionnement
Mise en œuvre de la protection contre les intrusions réseau Qu'est-ce que la sécurité d'un réseau?... 85 Antivirus... 86 Mise en place d un antivirus (avast)... 87 Mise en place des antivirus dans un environnement client serveur... 95 Les ports à ouvrir en TCP et en UDP, les plages d'adresses.... 117 Virtual Private Networks (VPN).... 120 Création d un serveur VPN sous Windows 2000 PRO / XP PRO... 122 Utilisation du moniteur IPSec sous Windows Server 2003... 133 Pare-feu (FireWall)... 144 Mise en place du firewall de windows xp SP2... 149 Mise en place du firewall ZoneAlarm... 154 Sécuriser un réseau Wi-Fi... 161 Lutte contre le pollupostage... 164 Utilisation de Ad-aware... 166 Mise en place d un serveur proxy dans un établissement... 170 Installation/ configuration de Wingate... 173 Partager une connection Internet avec WinRoute... 176 Sécurité réseau sous Unix... 184 Configurer Squid comme serveur proxy sous Linux... 188 SSL... 194 Mise en place du SSL avec IIS 5.0 dans un domaine Windows 2000... 196 Sécurisation d'un serveur Apache... 200 Qu'est-ce que la sécurité d'un réseau? La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs desdites machines possèdent uniquement les droits qui leur ont été octroyés. Il peut s'agir : d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système de sécuriser les données en prévoyant les pannes de garantir la non-interruption d'un service Les causes de l'insécurité On distingue généralement deux types d'insécurité : l'état actif d'insécurité, c'est-à-dire la non-connaissance par l'utilisateur des fonctionnalités du système, dont certaines pouvant lui être nuisibles (par exemple la non-désactivation de services réseaux non nécessaires à l'utilisateur) l'état passif d'insécurité, c'est-à-dire lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose
Le but des agresseurs Les motivations des agresseurs que l'on appelle communément "pirates" peuvent être multiples : l'attirance de l'interdit le désir d'argent (violer un système bancaire par exemple) le besoin de renommée (impressionner des amis) l'envie de nuire (détruire des données, empêcher un système de fonctionner) Procédé des agresseurs Le but des agresseurs est souvent de prendre le contrôle d'une machine afin de pouvoir réaliser les actions qu'ils désirent. Pour cela il existe différents types de moyens : l'obtention d'informations utiles pour effectuer des attaques utiliser les failles d'un système l'utilisation de la force pour casser un système Comment se protéger? se tenir au courant connaître le système d'exploitation réduire l'accès au réseau (firewall) réduire le nombre de points d'entrée (ports) définir une politique de sécurité interne (mots de passe, lancement d'exécutables) déployer des utilitaires de sécurité (journalisation) Antivirus Un antivirus est un logiciel censé protéger un micro-ordinateur contre les programmes néfastes appelés virus, vers, macrovirus, etc. Les principaux antivirus du marché se fondent sur des fichiers de signatures et comparent alors la signature génétique du virus aux codes à vérifier. Certains programmes appliquent également la méthode dite heuristique tendant à découvrir un code malveillant par son comportement. Autre méthode, l'analyse de forme repose sur du filtrage basé entre des règles regexp ou autres, mises dans un fichier junk. Cette dernière méthode peut être très efficace pour les serveurs de courriels supportant les regexp type postfix puisqu'elle ne repose pas sur un fichier de signatures. Les antivirus peuvent scanner le contenu d'un disque dur, mais également la mémoire de l'ordinateur. Pour les plus modernes, ils agissent en amont de la machine en scrutant les échanges de fichiers avec l'extérieur, aussi bien en flux montant que descendant. Ainsi, les courriels sont examinés, mais aussi les fichiers copiés sur ou à partir de supports amovibles tels que cédéroms, disquettes, connexions réseau... Les scans en ligne Note: ces antivirus nécessitent en général le chargement de programmes ActiveX, et ne fonctionnent donc qu'avec Internet Explorer. Seul Trend Micro HouseCall n'a besoin ni d'activex ni d'internet Explorer. Trend Micro HouseCall (tout browser et système supportant Java) 14 antivirus à l essai :
Ces résultats sont des indicateurs de rapidité mais pas d efficacité. Les mesures effectuées le furent sur un disque n hébergeant que 8.5 Go de données, les temps imposés par des supports plus vastes doivent être envisagés en conséquence. En dessous de dix minutes - soit 600 secondes -, on peut considérer que le logiciel mène à bien sa mission sans trop pénaliser l'utilisateur pressé. Au-delà de 20 minutes, la durée agace! Occupation mémoire (en Mo) Test pour votre antivirus : source : pc magazine déc 2005 Afin de tester votre antivirus, il existe un fichier test à télécharger dénommé «Anti-Virus test file». Créez un fichier texte de 68 octets contenant ces caractères : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* Que vous sauvegardez. EICAR est un code répondant au niveau signature comme un virus afin de tester les antivirus. Il permet de tester l' efficacité d' une protection virale Ce fichier ne contient pas de virus mais une signature qui doit être détectée par votre logiciel antivirus si celui-ce est basé sur une méthode de recherche par signature. EICAR est édité par un organisme indépendant et reconnu par la majorité des éditeurs d'antivirus (tant commerciaux que libres). Il peut être renommé en fichier.com, c'est un fichier exécutable MS-DOS valide inoffensif affichant "EICAR-STANDARD-ANTIVIRUS-TEST-FILE". Mise en place d un antivirus (avast) Il existe des moyens de se protéger gratuitement. Offrant généralement moins de fonctionnalités de leurs homologues du commerce et un peu plus lent, ces logiciels restent tout de même une alternative honorable pour vous protéger efficacement contre les virus.
Ainsi, avast! est un antivirus gratuit pour un usage personnel qui, à défaut d un Kaspersky Anti-Virus Personal ou d un Norton Antirivus, vous protégera contre les virus. Légèrement plus rapide que ses concurrents gratuits AntiVir ou AVG, Avast fait très bien son travail Introduction Installer avast! Enregistrer avast! Mettre à jour avast! Améliorer la protection en temps réel Effectuer une analyse complète Supprimer un virus Fiche pratique : Planifier une analyse antivirus Installer avast! Téléchargez tout d'abord avast!. Double cliquez ensuite sur le fichier setupfre.exe téléchargé pour exécuter le programme d installation d avast! Cliquez ensuite deux fois sur le bouton Suivant, sélectionnez l option J accepte du contrat de licence puis cliquez une nouvelle fois sur Suivant. Le dossier d installation par défaut du programme est proposé. Si vous souhaitez le modifier, cliquez sur le bouton. Cliquez ensuite sur le bouton Suivant. Sélectionnez la configuration Typique puis cliquez deux fois sur Suivant pour débuter l installation. Après quelques minutes, le programme vous propose d analyser vos disques durs au démarrage suivant de votre ordinateur. Confirmez l opération en cliquant sur le bouton Oui. Redémarrez alors votre ordinateur pour terminer l'installation du programme. Enregistrer avast! Au démarrage suivant, le programme vous indique qu il est nécessaire de vous enregistrer afin de pouvoir l utiliser gratuitement. Cliquez sur le lien Page d enregistrement d avast! Edition
Familiale. Remplissez alors le formulaire en spécifiant une adresse email valide afin de recevoir une clé d activation. Cliquez ensuite sur le bouton Suivant. Cliquez ensuite sur Suivant puis sur le bouton Enregistrer. Double cliquez ensuite sur l icône avast! Antivirus qui se trouve sur le Bureau. Dans la boite de dialogue Enregistrer, saisissez la clé que vous avez reçue par mail puis cliquez sur le bouton OK. Mettre à jour avast! Pour être protégé contre les virus qui apparaissent quotidiennement, votre antivirus doit être à jour. Vous pouvez configurer avast! pour que cette mise à jour soit automatique. Dans avast!, cliquez sur le lien Base de données à côté de Mises à jour automatiques. Dans la fenêtre de réglages qui s ouvre, vérifiez que l'option Automatique de la rubrique Base de données virale est bien sélectionnée puis cliquez sur le lien Mettre à jour maintenant. Les bases de l antivirus sont alors mises à jour.
Sélectionnez ensuite l option Automatique de la même rubrique pour mettre à jour automatiquement les bases. Faites de même pour la rubrique Programme. Validez ensuite par OK. Améliorer la protection en temps réel Grâce à la protection en temps réel, avast! vous protège constamment contre les virus en analysant les fichiers que vous utilisez, les sites que vous visitez et les mails que vous recevez. Dans l interface principale du programme, cliquez sur le lien Standard à côté de Protection résidente. Déplacez alors le curseur vers Elevée. Tous les fichiers sans exceptions pourront ainsi être examinés en temps réel.
Protection élevée et performances Si vous constatez une baisse importante de performances suite à l activation de la protection résidente élevée, repassez-là en standard qui effectue une analyse un peu moins fine, mais toute aussi efficace. Effectuer une analyse complète Une fois par semaine, il est conseillé d'analyser complètement vos disques durs à la recherche d'éventuels virus. Pour cela, cliquez sur l icône Disques Locaux. Dans la boite de dialogue qui apparaît, déplacez le curseur vers la droite afin de sélectionner l option Scan minutieux. Cochez ensuite la case Scan des archives afin de vérifier les fichiers contenus dans les archives compressées, comme les fichiers zip. Cliquez enfin sur le bouton Démarrer pour débuter l analyse. Supprimer un virus Lorsqu un virus est détecté, que cela soit par une analyse complète ou par l'analyse en temps réel, une boite de dialogue d avertissement s ouvre pour vous en informer et vous demander l action à effectuer.
Cliquez sur le bouton Réparer pour tenter de désinfecter le fichier contaminé. Si la réparation est impossible, pour pouvez alors supprimer le fichier infecté ou bien le mettre en quarantaine pour tenter de le désinfecter ultérieurement. Cliquez pour cela sur les boutons adéquats. Accéder aux fichiers mis en quarantaine Une fois mis en quarantaine, un fichier infecté ne peut plus contaminer d autres fichiers et exécuter le virus. Pour voir les fichiers mis en quarantaine, cliquez sur le bouton Zone de quarantaine symbolisée par une boite à outils. Pour envoyer le fichier au laboratoire de l éditeur d avast! pour un examen approfondi, cliquez dessus avec le bouton droit de la souris puis choisissez la commande Email à ALWIL Software. Donnez quelques informations supplémentaires sur les circonstances de la contamination puis cliquez sur le bouton Envoyer un mail. Planifier une analyse antivirus avec Avast! Contrairement à la version professionnelle, la version familiale de l'antivirus Avast!, qui est gratuite, ne propose pas de fonctionnalité de planification pour vos analyses antivirus. Il est uniquement possible de programmer une analyse pour le démarrage suivant. Toutefois, en utilisant le planificateur de tâches de Windows, vous pouvez tout à fait planifier vos analyses antivirus, quand bon vous semble, une fois par semaine par exemple et ce, grâce à l'outil d'analyse des fichiers d'avast! accessible via l'explorateur. 1. Cliquez sur le bouton Démarrer, sur Programmes, Accessoires, Outils système puis sur Tâches planifiées. 2. Dans la fenêtre Tâches planifiées qui s'ouvre, double cliquez sur l'icône Création d'une tâche planifiée.
3. L'assistant Tâche planifiée s'ouvre alors. Cliquez sur le bouton Suivant. 4. Cliquez ensuite sur le bouton Parcourir puis, à l'aide de la fenêtre d'explorateur, ouvrez le dossier d'installation d'avast!, c'est-à-dire C:\Program Files\Alwil Software\Avast4 par défaut. Cliquez ensuite sur le fichier ashquick.exe puis cliquez sur le bouton Ouvrir. 5. Donnez ensuite un nom à votre tâche, Analyse antivirus Avast! par exemple. Choisissez ensuite la fréquence d'exécution de cette tâche, Toutes les semaines par exemple puis cliquez sur le bouton Suivant. 6. Choisissez alors le jour et l'heure auxquels vous souhaitez réaliser une analyse antivirus, le Dimanche soir à 22 heures par exemple. Cliquez ensuite sur le bouton Suivant.
7. Saisissez alors le mot de passe de votre compte utilisateur dans la zone de texte Entrez le mot de passe puis saisissez-le une seconde fois dans la zone de texte Confirmer le mot de passe. 8. Cliquez ensuite sur le bouton Suivant puis sur Terminer. Votre nouvelle tâche planifiée est alors créée. 9. Dans la fenêtre du planificateur de tâches, double cliquez sur cette nouvelle tâche planifiée. La boite de dialogue de ses propriétés est alors ouverte. Dans l'onglet Tâche, vous devez modifier le contenu du champ Exécuter afin de spécifier les disques et les dossiers à analyser. 10. Pour analyser le disque dur C: et le disque dur D:, le contenu du champ Exécuter doit être : "C:\Program Files\Alwil Software\Avast4\ashQuick.exe" C: D:. Chaque volume doit ainsi
être séparé par des espaces. Si vous souhaitez analyser un dossier particulier, il vous suffit de spécifier son chemin entre guillemets. Pour analyser par exemple le dossier C:\Program Files, la commande devient : "C:\Program Files\Alwil Software\Avast4\ashQuick.exe" "C:\Program Files" 11. Validez enfin par OK puis renseignez de nouveau votre mot de passe. 12. Vous pouvez alors tester votre tâche planifiée pour vérifier que l'analyse antivirus fonctionnera bien. Cliquez pour cela sur la tâche Analyse antivirus Avast! avec le bouton droit de la souris puis choisissez la commande Exécuter. Les disques et dossiers que vous avez définis dans les propriétés de la tâche sont alors analysés immédiatement. Mise en place des antivirus dans un environnement client serveur Installation et configuration de Kaspersky antivirus dans un environnement c/s Résume Ce sujet à pour but de faciliter le travail d un administrateur réseau dans une entreprise lors de l installation d un antivirus sur chaque machine. Nous verrons tout au long de cet article comment déployer un antivirus sur les ordinateurs des employés et comment garder un œil permanent sur ces ordinateurs contre d éventuels risques d intrusion de virus. Sommaire Introduction 1 Présentation o 1.1 Configuration requise o 1.2 Installation MSDE 2000 o 1.3 Installation de l Administration Kit o 1.4 Schéma global de l'environnement 2 Premier lancement de l Administration Kit et déploiement de l agent Kaspersky o 2.1 Première exécution de l Administration Kit o 2.2 Déploiement de l agent Kaspersky sur le PC «Client» 3 Ajout d un paquet d installation et déploiement de l antivirus Kaspersky o 3.1 Ajout du paquet d installation Kaspersky sur le serveur o 3.2 Déploiement de l antivirus Kaspersky sur le poste «Client»
4 Précaution à prendre sur le serveur et le client o 4.1 Maintenance sur le serveur et le client Conclusion Introduction Afin de pallier les virus qui nous attaquent chaque jour, nous verrons comment déployer dans une P.M.E un anti-virus dans un réseau comportant 1 serveur et des machines clientes. (Ici nous donnerons un exemple à petite échelle avec 1 serveur et 1 client). 1 Présentation 1.1 Configuration requise Configuration Logicielle MSDE 2000 avec Service Pack 3 ou MS SQL Server 2000 avec Service Pack 3 Windows 2000 avec Service Pack 1 et supérieur; Windows XP avec Service Pack 1 et supérieur, Windows 2003 Server; Windows NT4 avec Service Pack 6a Serveur d'administration Configuration Matérielle Processeur Intel Pentium III 800 MHz ou supérieur 128 Mo de mémoire vive 400 Mo d'espace disponible sur le disque Console d'administration Windows 2000 avec Service Pack 1 et supérieur; Windows XP avec Service Pack 1 et supérieur; Windows 2003 Server; Windows NT4 avec Service Pack 6a; Microsoft Management Console version 1.2 et supérieur Processeur Intel Pentium III 400 MHz ou supérieur 64 Mo de mémoire vive 10 Mo d'espace disponible sur le disque Agent d'administration Windows 98; Windows ME; Windows 2000 avec Service Pack 1 et supérieur; Windows NT4 avec Service Pack 6a; Windows XP avec Service Pack 1 et supérieur; Windows 2003 Server Processeur Intel Pentium III 233 MHz ou supérieur 32 Mo de mémoire vive 10 Mo d'espace disponible sur le disque Applications supportées: Kaspersky Antivirus pour Windows Workstations, Kaspersky Antivirus pour Windows File Servers, Kaspersky Antivirus pour Microsoft ISA Server Source:Kaspersky.fr : http://www.kaspersky.com/fr/business-optimal?chapter=146643193 Pour mener à bien ce projet il nous faudra tout d abord télécharger les logiciels suivant : MSDE2000 et Admininistration Kit sur le site:kaspersky.fr : http://www.kaspersky.com/fr/productupdates?chapter=146670239. Nous expliquerons par la suite comment les installer.
1.2 Installation MSDE 2000 Etape1 Après avoir téléchargé MSDE 2000, cliquez 2 fois sur l icône d installation et faites «suivant» : Etape2 Cliquez sur «oui» à l invite de la fenêtre (acceptation du contrat de licence): Etape3 Remplissez ici le nom d utilisateur et le nom de votre société et cliquez sur «suivant» : Etape4 Cliquez sur «suivant» :
Etape5 Laissez par défaut et cliquez sur «suivant» lors de l affichage de ce message : Etape6 Cliquez sur «suivant», après avoir vérifié les informations saisies auparavant : Etape7 Cliquez sur «terminer» quand le message (fin d installation) apparaîtra :
1.3 Installation de l Administration Kit Etape1 Télécharger et décompresser le dossier «administration Kit» puis vous entrez dans ce dossier et vous cliquerez 2 fois sur le «setup.exe» pour débuter l'installation. Etape2 Cliquez sur «suivant» à l invite de ce message afin de lancer l'installation: Etape3 Cliquez sur «oui» quand vous verrez le message (contrat de licence) : Etape4 Veuillez entrer le nom d utilisateur puis le nom de votre société et cliquez sur «suivant» :
Etape5 Cliquez sur «suivant» quand vous verrez ce message : Etape6 Assurez-vous bien que vous avez bien coché «Kaspersky Administration server» et «console d administration Kaspersky» car l un va pas s en l autre dans notre cas et cliquez sur «suivant» :
Etape7 Laissez par défaut et cliquez sur «suivant» quand apparaîtra ce message : Etape8 Sélectionnez «authentification Microsoft Windows» et cliquez sur «suivant» :
Etape9 Cliquez sur «suivant» à l apparition de cette fenêtre: Etape10 Cliquez encore sur «suivant» :
Etape11 Cliquez de nouveau sur «suivant» : Etape12 Donnez le chemin de répertoire de backup et entrez un mot passe puis faites «next» :
Etape13 Lisez le récapitulatif de vos informations saisies auparavant et cliquez sur «suivant» : Etape14 Cliquez sur «terminer»(fin d installation)
1.4 Schéma global de l'environnement 2 Premier lancement de l Administration Kit et déploiement de l agent t Kaspersky 2.1 Première exécution de l Administration Kit Etape1 Lors du PREMIER lancement du logiciel «administration kit» vous verrez ce message et cliquez sur «démarrage rapide» Etape2 Cliquez sur «suivant» à l issue du message de bienvenue
Etape3 Cliquez sur «oui»: Etape4 Cliquez sur «suivant» après visualisation du sondage réseau: Etape5 Laissez par défaut et cliquez sur «suivant» afin de voir l arborescence de cette structure de domaine de Windows :
Etape6 Cliquez sur suivant directement si vous n avez de compte mail et d adresse smtp: Etape7 Cliquez sur «suivant» 2 fois afin de pouvoir terminer "L'assistant de démarrage".cochez «Exécuter l assistant de déploiement» pour déployer l agent Kapersky sur l ordinateur client et cliquez sur «
terminer» : 2.2 Déploiement de l agent Kaspersky sur le PC «Client» Etape1 Vous devrez voir apparaître ce message après : «fin de l assistant de démarrage rapide». Le déploiement de cet agent permettra de faire la communication en permanence entre les services Kaspersky Lab(anti-virus) installés sur la machine cliente et le serveur. Cliquez sur «suivant» maintenant pour commencer : Etape2 Cliquez sur suivant et vous pourrez apercevoir l agent Kaspersky qui sera installé par la suite : Etape3 Sélectionnez «Installer l application sur les ordinateurs sélectionnés» et cliquez sur «suivant» :
Etape4 Maintenant sélectionnez le ou les ordinateurs ou vous souhaitez installer l agent Kaspersky en ouvrant l arborescence des groupes de travail et cliquez sur suivant : Etape5 Après avoir choisi le ou les ordinateurs pour le déploiement de l agent entrez le nom et le mot passe administrateur du groupe ou de l ordinateur choisi. Ici en l occurrence nous n avons qu un ordinateur client donc nous ne rentrerons que le nom et le mot de passe administrateur de la machine «Client» et nous cliquerons sur «suivant» : Cliquez sur suivant 2 fois pour obtenir les fenêtres si après(étape6) :
Etape6 Le déploiement achevé vous verrez le message et vous aurez la possibilité de regarder le résultat plus en détail en cliquant sur «résultats» ou bien vous pourrez cliquer sur suivant directement: Etape7 Cliquez sur «terminer» quand vous verrez le message (fin d installation): 3 Ajout d un paquet d installation et déploiement de l antivirus Kaspersky 3.1 Ajout du paquet d installation Kaspersky sur le serveur Etape1 Dans l arborescence de gauche de l administration Kit de Kaspersky sélectionnez «Installation distante»:
Apres avoir sélectionné vous verrez s afficher dans la partie de gauche ceci et cliquez sur «ajout d un paquet d installation» : Etape2 Cliquez sur suivant pour lancer l assistance d un nouveau paquet.. Etape3 Entrez le nom du paquet que vous souhaitez déployer en l occurrence l anti-virus Kaspersky et cliquez sur «suivant» : Etape4 Choisissez dans le menu «générer le paquet d installation du fichier exécutable spécifié» et donnez son emplacement sur votre Serveur puis cliquez sur «suivant»:
Cliquez 2 fois suite sur «suivant» pour vérifier l ajout de l anti-virus dans le gestionnaire d installation : 3.2 Déploiement de l antivirus Kaspersky sur le poste «Client» Etape1 Cliquez droit maintenant pour déployer celui-ci sur les ordinateurs clients et cliquez sur «installer»: Etape2 Cliquez sur «suivant» à l affichage du message de bienvenue.. Etape3 Cliquez sur «suivant» (vérification de ce que l on déploie) :
Cliquez sur suivant 4 fois de suite en laissant par défaut pour obtenir cette fenêtre et choisissez l ordinateur ou le groupe d'ordinateurs où vous souhaitez déployer l antivirus: Etape4 Entrez le nom et le mot passe administrateur de l ordinateur ou le groupe d ordinateurs ou vous souhaitez déployer l anti-virus et cliquez sur suivant :
Etape5 Choisissez le déploiement immédiat et cliquez sur «suivant» : A ce moment, le déploiement de l'antivirus se fera de manière transparente sur les clients à part si vous
avez des droits administrateurs vous pourrez poursuivre l'installation de vous même. Cliquez sur «suivant» 2 fois de suite pour obtenir le message (de fin d installation) et cliquez sur «terminer» 4 Précaution à prendre sur le serveur et le client 4.1 Maintenance sur le serveur et le client Cliquez dans l arborescence sur le dossier de votre groupe de travail ici ce sera MSHOME et visualisez ce qui se trouve à gauche. Vous verrez apparaître tous les ordinateurs de ce groupe de travail. Ici nous avons qu un seul ordinateur client appelé «CLIENT».Cliquez droit sur l un des ordinateurs et cliquez sur «synchroniser»: Si vous voyez ce message d erreur apparaître cela est certainement lié à un problème de pare feu provenant soit du serveur soit du le client. Donc veuillez bien vérifier que les ports par défaut soient ouverts tel que le port SSL 13000 en TCP Et le port du serveur 14000 en TCP.
Pour ceux qui utilisent Windows XP Service Pack 2 c est ici en accédant au Panneau de configuration>pare feu : ------------- Si vous constatez que votre ordinateur client est potentiellement dans le rouge cela signifie que l ordinateur n a pas fait d analyse d anti-virus depuis un certain temps. Il suffit de le faire analyser à partir du serveur ou bien le client peut analyser son poste directement qui remontera au serveur.
Vous obtiendrez ce résultat sur chacune de vos machines sur lé réseau si tout est en règle (passage de l icône PC rouge au vert) : Conclusion Après avoir lu cet article, vous serez capable en tant qu administrateur réseau de déployer un antivirus sur toutes les machines clientes qui figurent sur votre réseau et par la suite faire de la maintenance sur chaque machine ou un groupe de machines sans que vous vous déplaciez dans l entreprise. Les ports à ouvrir en TCP et en UDP, les plages d'adresses. Chaque application Internet et Ethernet est caractérisée par un port TCP et / ou UDP utilisé. Il est spécifique à l'application Ceci facilite les communications puisqu'une application de type navigation utilisera d'office le port 80, que ce soit Microsoft Explorer, Netscape ou un autre. Les numéros de ports (tant en TCP qu'en UDP) varient de 0 à 65535 (2 16 ). IP détermine l'adresse du site ou du PC en communication. La combinaison port TCP/IP détermine donc le site et l'application. La liste des ports TCP et UDP à ouvrir (ou à fermer) :.1 Ports à ouvrir en sortie (Lan -> Wan) En gras, la liste des ports qui doivent être ouverts. En normal, ceux qui peuvent être ouverts dans certains cas précis. En italique, ceux qui doivent impérativement être fermés vers INTERNET. Tous les autres doivent être fermés, sauf cas exceptionnels. Port TCP Service Description 0 20 Port de données FTP 21 Port de contrôle FTP Port TCP Service Description 23 Telnet 25 SMTP Courrier sortant 70 Gopher protocol utilisé pour la détection de site, doit être ouvert sur toute la plage d'entrée 80 World Wild Web navigation sur Internet 110 POP3 (Post Office Protocol) Courier entrant 443 Navigation sur certains sites sécurisés
8080 Proxy de skynet 22 SSH remote login protocole 53 Domain Name Server (DNS) 68 DHCP le port peut varier d'un fournisseur à l'autre, doit être ouvert sur toute la plage d'adresse 0 à 255.255.255.255 utilisé dans certaines applications de connexion à distance Nécessaire pour détecter si l'adresse IP correspond à une adresse valide, généralement fermé. Ce port est utilisé identiquement en UDP et IP (UDP doit être ouvert en sortie). Le port doit être ouvert à l'intérieur du réseau interne et peut être fermé à l'extérieur (Internet) Utilisé pour une configuration automatique des adresses IP 119 utilisé par les news 143 protocole de courrier sécurisé IMAP 3 220 protocole de courrier sécurisé IMAP 4 1863 MSN Messenger Envoyer et recevoir les messages 7000-7099 logiciel bancaire ISABEL suivant une adresse TCP/IP locale de départ et une adresse finale (le site). 137 Netbios Name Service Permet le partage de fichiers et 138 NetBios d'imprimantes et donc d'utiliser ce 139 NetBios partage via INTERNET 445 Netbios Fonctionnalité supplémentaire implantée à partir de Windows 2000 (pas millenium) Les ports UDP 137, 138 et 139 sont utilisés dans le cas de partages de ressources dans les systèmes d'exploitation Windows. Lorsqu'une station établit une connexion à un répertoire partagé sur une autre machine, le nom NetBios de la machine serveur est mis en correspondance avec son adresse IP. Puis la station établit une connexion TCP vers la machine serveur en utilisant le port TCP 139. Pour finir, la station envoie une demande de session NetBios à la machine serveur. Si le serveur est à l'écoute, il répondra à la requête et la session NetBios sera établie. Par contre, si le serveur ne répond pas ou que la station serveur est éteinte, la session tentera d'établir une connexion vers d'hypothétiques serveurs externes (sur INTERNET). Le port 138 est utilisé pour l'échange de données vers un ou plusieurs noms NetBios regroupés sous une liste d'adresses IP ou dans une liste de diffusion..2. Les ports en entrée (Wan -> Lan) Port TCP Service Description 0 utilisé pour la détection de site, doit être ouvert sur toute la plage d'entrée 20 Port de données FTP Transfert de fichiers des sites
21 Port de contrôle FTP 23 Telnet 25 SMTP Courrier sortant 53 Domain Name Server (DNS) 80 World Wild Web navigation sur Internet 110 POP3 (Post Office Protocol) Courier entrant 443 8080 Proxy de skynet 22 SSH remote login protocole 53 Domain Name Server (DNS) Navigation sur certains sites sécurisés le port peut varie d'un fournisseur à l'autre, doit être ouvert sur toute la plage d'adresse 0 à 255.255.255.255 utilisé dans certaines applications de connexion à distance Nécessaire pour détecter si l'adress IP correspond à une adresse valide, généralement fermé. Ce port est utilisé identiquement en UDP et IP. Il doit normalement être fermé en entrée sur le réseau interne. 70 Gopher protocol 119 utilisé par les news 143 protocole de courrier sécurisé IMAP 3 220 protocole de courrier sécurisé IMAP 4 1863 MSN Messenger Envoyer et recevoir les messages 7000-7099 logiciel bancaire ISABEL suivant une adresse TCP/IP locale de départ et une adresse finale (le site). 68 DHCP 137 Netbios Name Service 138 NetBios 139 NetBios 445 Netbios Le port 68 est ici fermé. Utilisé pour une configuration automatique des adresses IP Permet le partage de fichiers et d'imprimantes et donc d'utiliser ce partage via INTERNET Fonctionnalité supplémentaire implantée à partir de Windows 2000 (pas millenium), remplace le Wins par DNS (compatibilité).4. Ports UDP En sortie, tous les ports peuvent êtrefermés. Port UDP entrée Service Description 0 Utilisé pour la détection des sites lors de la navigation 53
68 DHCP Utilisé pour une configuration automatique des adresses IP, normalement à fermer pour INTERNET, pas à l'intérieur du réseau Virtual Private Networks (VPN). Les VPN (pour Virtual Private Networks) sont des appareils qui se connectent physiquement directement sur INTERNET ou entre le réseau et le routeur suivant les modèles. Ils créent entre un PC distant et le réseau interne une liaison sécurisée et cryptée pour assurer le transfert des informations: appelé communément un tunnel. Lorsque la station demande via Internet une connexion sur le réseau interne, les 2 appareils se communiquent une clé logicielle qui servira au cryptage des informations. Le VPN crée une sorte de tunnel sécurisé sur Internet qui empêche toute forme de piratage. Cette solution est la seule utilisable pour une connexion via ADSL La connexion nécessite 3 choses: 1. Un logiciel particulier sur le client (Réseau privé virtuel installé comme composant de Windows ou programme spécifique) 2. Un matériel hardware de type VPN relié entre Internet et le réseau d'entreprise (éventuellement Windows 2000 ou XP) 3. Une adresse INTERNET TCP/IP fixe ou du moins connue au moment de la connexion. Les deux premières contraintes semblent faciles. Nous reparlerons de l'appareil. La troisième nécessite, soit un site INTERNET et donc un serveur propre relié sur INTERNET, même si la connexion doit se faire sur un autre serveur ou un abonnement spécifique permettant d'avoir une adresse INTERNET TCP/IP fixe. Dans le cas d'un abonnement ADSL normal, l'adresse change à chaque connexion et au maximum après quelques dizaines d'heures suivant le fournisseur d'accès. Les amateurs pourront néanmoins utiliser quelques solutions pour connaître l'adresse TCP/IP de la connexion à un moment donné sur des sites spécifiques par exemple et la communiquer via téléphone ou mail. Cette solution est peu envisageable pour une connexion 24h/24h. On distingue plusieurs modèles de VPN. La majorité des modèles permettent uniquement un tunnel entre 2 installation réseau fixes. Ils ne permettent donc pas le travail à domicile (quoique sous-entendent les publicités). Les modèles plus chères permettent également le travail à distance. Le mode de cryptage peut être MPLS ou IP-Sec (IP Security). Le cryptage se fait uniquement entre les deux VPN. Certaines méthodes de tunnel, notamment Over Ip (à la différence de tunnel IP) permettent de faire transiter d'autres protocoles tel que IPX dans le tunnel. Dans le cas de l'utilisation d'un VPN, vous ne pouvez pas sécuriser votre réseau en empêchant le partage des ressources via TCP/IP. En effet, pour de petits réseaux, vous pouvez implanter en parallèle avec TCP/IP les protocoles IPX ou Netbui et configurer le protocole TCP/IP réseau sur la carte réseau pour qu'il ne permette pas le partage des ressources. Le VPN permet d'utiliser à distances toutes les ressources du réseau (fichiers, applications et périphériques de type imprimante) comme si vous étiez directement connectés sur le réseau. Selon l'appareil (des solutions logicielles existent, notamment dans Win2000 serveur), le VPN va effectuer plusieurs tâches comme ci-dessous la série de Symantec Gateway security.
Une passerelle (gateway) vers INTERNET (fonction de routeur INTERNET), une fonction de firewall pour bloquer les intrusions, un anti-virus intégré et la fonction VPN pour créer le tunnel Internet via, généralement le fonctionnement est conforme aux spécifications de cryptage IPsec des stations clientes. Le VPN va fournir une adresse locale à un PC connecté sur INTERNET. celui-ci va alors automatiquement s'intégrer dans le réseau. Attention, le paramétrage de ce type d'appareil au niveau VPN est généralement plus pointu puisqu'il permet par exemple d'accepter les données rentrantes sur une adresse mais de refuser les entrées sortantes. Lorsque tous les niveaux sont résolus, vous pouvez directement relier deux réseaux internes VIA Internet. C'est actuellement la seule solution viable (sans lignes totalement dédiées et louées) pour ce genre d'applications. C'est également, du moins en Belgique dans les zones connectées à l'adsl, la meilleure solution pour le télé-travail (le travail à partir de son domicile). Sauvegarde sur disque dur via Internet. Cette méthode de sauvegarde utilise une connexion Internet à distance. De nombreuses publicités circulent actuellement pour permettre de sauvegarder les données des serveurs via une connexion Internet. On crée un tunnel sécurisé sur Internet entre votre PC et un réseau distant constitué de serveurs, NAS ou de sauvegardes des données sur bandes pour sauvegarder vos données. Le principal avantage: vous ne vous préoccupez plus de vos bandes, elles sont en principe en sécurité à l'extérieur du site (un autre avantage). Les défauts font néanmoins légion. La première vient de la sécurité des données (même si elles sont cryptées) puisque les données sont sur un site qui ne vous appartient pas. Le deuxième problème vient du débit Internet. Peu de lecteurs de bande utilisent une connexion SCSI à 320 MB/s, mais 10 ou 20 MB/s semble une vitesse standard. Une connexion ADSL tourne au maximum à 8 Mb/s, soit... 800 KB/s, un peu lent. Comme le tunnelling nécessite un matériel ou un logiciel spécifique, le coût effectif de cette solution de sauvegarde pourrait s'alourdir. En dernier, les problèmes viennent rarement au moment de la sauvegarde, plus souvent au moment de la récupération des données suite à une panne, pertes de données accidentelles,... La récupération des données est déjà suffisamment lente sans rajouter en plus celle d'une liaison ADSL INTERNET (maximum 512kb/s en download) ou devoir contacter un service externe qui vous fera forcément payer ses heures. En plus, ce principe ne fonctionne qu'avec des PC travaillant en TCP/IP.
Création d un serveur VPN sous Windows 2000 PRO / XP PRO Le protocole VPN (Virtual Private Network) permet d interconnecter deux ordinateurs à travers Internet en utilisant un protocole de cryptage. Il en existe deux : PPTP (Point to Point Tunneling Protocol) est le protocole de base du VPN. Il utilise généralement un cryptage MS-CHAP avec une compression MPPE 128 bits. PPTP encapsule les trames PPP (Point to Point Protocol) dans des paquets TCP/IP et permet d en utiliser toutes les fonctionnalités telles que TCP/IP, IPX/SPX, NETBEUI et MPPE. L2TP (Layer 2 Tunneling Protocol) est une solution plus sécurisée car il crée un véritable tunnel VPN en utilisant le cryptage IPSEC (voir partie suivante) au lieu de MPPE(Microsoft Point to Point Encryption. protocole de chiffrement des paquets transitants sur un lien PPP(Point to Point Protocol), basé sur l'algorithme RSA RC4.). Plus complexe à mettre en œuvre car il faut que vos matériels réseaux (modem et routeur) autorisent les trames IPSEC et vous devez générer des certificats. Dans notre cas, nous allons utiliser le protocole PPTP qui est géré par Windows 2000/XP en connexions entrantes. Pour implémenter un VPN ou Réseau privé Virtuel sous Windows 2000/XP Pro, il faut mettre en place le service RAS (Routage et accès distant). Celui-ci n est pas démarré par défaut. Nb : vous devez être connecté en utilisateur membre du groupe Administrateurs. Allez dans Panneau de configuration Ouvrez Outils d administration Ouvrez Services Cherchez le service Routage et Accès Distant Faites un clic-droit, Propriétés Dans la boite de dialogue, choisissez : Démarrage automatique :
Puis cliquez sur Démarrer pour lancer le service Le service est désormais installé et se lancera à chaque démarrage de la machine. Maintenant nous allons paramétrer le service. Toujours dans Panneau de configuration, choisissez «connexions réseaux et accès distants». Une nouvelle interface apparaît «connexions entrantes» : Cliquez-droit sur Connexions entrantes, Propriétés. Une première fenêtre s ouvre :
L onglet Général permet de spécifier les périphériques qui seront utilisés pour le VPN. Cochez le périphérique correspondant à votre connexion Internet, soit votre modem RTC/ADSL/CABLE..Si vous utilisez votre carte réseau pour accéder à Internet, il n'y a rien à cocher puisqu'elle n'apparaît pas. Il utilisera la carte Ethernet comme périphérique par défaut. La deuxième étape consiste à autoriser les connexions VPN. Il faut donc cocher la case correspondante pour l autoriser. Je vous conseille d activer l icône de la barre des tâches pour savoir quand une connexion VPN est initiée. Passons à l onglet Utilisateurs : Il vous permet de spécifier quels utilisateurs auront le droit de se connecter. Par défaut le compte administrateur est autorisé, je vous le déconseille. Choisissez votre compte perso ou créez un compte spécifique à cette fonction. Si vous désirez offrir la possibilité à d autres utilisateurs de se connecter sur votre PC,
créez un compte à leur nom, vous pourrez ainsi mieux gérer les droits d accès des dossiers partagés. Je vous conseille également de cocher la case «demander que tous les utilisateurs s assurent de la sécurité( )» afin d obliger le cryptage MSCHAP, sinon les mots de passe passeront en clair ce qui est dangereux pour la sécurité. Passons à l onglet Gestion de réseau : Ce menu va nous permettre de paramétrer les divers protocoles autorisés. Par défaut, TCP/IP, Partages de fichiers et imprimantes, Client pour les réseaux MS sont installés. Laissez tel quel. Editer les propriétés TCP/IP. Cochez «autoriser les appelants à accéder à mon réseau local» si vous désirez que les personnes connectées puissent accéder à d autres ressources (ordinateurs, imprimantes ) sur votre réseau local.
Pour l attribution des adresses TCP/IP, si vous laissez en DHCP, votre ordinateur distribuera les adresses IP au client en utilisant la plage d adresses APIPA, soit 169.254.x.x/255.255.255.0. Si vous souhaitez mieux gérer cette connexion et surtout autoriser l accès à d autres ordinateurs sur votre réseau, indiquez plutôt une plage d adresses correspondant à votre réseau, par ex : Il faut savoir de toute façon que l ordinateur n acceptera qu une seule connexion à la fois. Voilà votre serveur est prêt. Reste à configurer votre client. Un problème se pose tout de même : comment accéder à distance à votre ordinateur? Plusieurs possibilités s offrent à vous : - vous possédez une IP fixe attribuée par votre FAI, donc votre PC est toujours accessible. - vous êtes en IP dynamique : vous devez donc, soit connaître votre adresse IP en tant réel (pour cela utiliser MonIP 1.1), soit faire correspondre cette adresse en un nom de domaine. Dans ce cas, vous pouvez soit souscrire un nom de domaine payant, soit un nom de domaine gratuit. Voici deux sociétés qui le propose : - no-ip.com - DNS2Go (DNS2Go est un service de gestion DNS dynamique offrant aux entreprises l'hébergement de leur propre nom de domaine, même s'ils n'ont qu'une adresse IP dynamique. Utilisez DNS2Go pour héberger n'importe quel type de serveur ou service, par exemple : accès distant (VNC, bureau distant, PCAnywhere, etc.), hébergement de serveur (web, email, VPN, jeux, etc.), caméras IP Supposons que vous avez souscrit un nom de domaine gratuit avec no-ip qui se nomme monpc.noip.com. Création de la connexion VPN cliente Sur l ordinateur client, ouvrez «connexions réseaux et accès distant». Cliquez sur «créer une nouvelle connexion». Une boite de dialogue s ouvre :
Choisissez «connexion à un réseau privé virtuel» Si vous possédez une connexion de type RAS (c est à dire que vous vous connectez à Internet via un modem et non un routeur), choisissez «établir une connexion initiale» en sélectionnant la connexion Internet correspondante : En effet, si vous n êtes pas connecté à Internet lorsque vous lancez votre connexion cliente VPN, il lancera d abord la connexion à votre FAI. Si vous passez à travers un routeur, choisissez «Ne pas composer automatiquement la connexion initiale» Faites Suivant
Comme l indique la boite de dialogue, entrez ici votre nom de domaine ou votre adresse IP. Choisissez si vous voulez que cette connexion soit autorisée pour vous uniquement ou tous les utilisateurs de l ordinateur.
Donnez un nom à votre connexion. Une nouvelle interface apparaît alors dans «connexions réseaux et accès à distance» Lancez la connexion VPN en double-cliquant dessus. Si votre connexion Internet n est pas active, il vous demandera de la lancer. Sinon, une boite de dialogue s ouvrira vous demandant de spécifier un nom d utilisateur et le mot de passe correspondant. Voilà, si tout se passe bien, vous serez connecté à votre ordinateur à distance. Vous pourrez accéder aux dossiers partagés mais aussi ( si vous utilisez XP Pro) prendre en main à distance votre machine. Pour ceux qui utilisent l ADSL ou le câble, la rapidité d affichage est bluffante!! Problèmes avec les pares-feu (firewall) Il se peut que les connexions soient refusées à cause de votre pare-feu. Tout dépend de votre configuration : - vous utilisez un routeur : vérifiez s il prend en charge le VPN PPTP (généralement oui), une case à cocher devrait suffire. Sinon, ouvrez les ports 1723 et le protocole GRE 47 en «nattant» vers votre ordinateur. - vous utilisez Zone Alarm (version gratuite) : procédez comme suit : Ouvrez Zone Alarm
Aller dans firewall, Zones Créez une zone sûre en spécifiant le nom d hôte (votre nom de domaine ou votre adresse IP) Allez ensuite dans l onglet Général et désactivez le firewall sur la zone sûre :
Il est vrai qu il est embêtant de désactiver complètement le firewall dans la zone sûre mais c est le seul moyen sous ZA. Dans la version Pro, dans la zone Internet, il existe un onglet «personnalisé» dans lequel vous pourrez spécifier des ports TCP entrants autorisés. Dans ce cas, spécifiez le port 1723. -vous utilisez le pare-feu de Windows XP : Dans les propriétés de votre connexion Internet, allez dans l onglet Avancé : Cliquez sur Paramètres : Vérifiez que la case «connexion entrante PPTP» est cochée. Perte de la connection Internet lors de la connection au VPN :
Lors que vous vous connectez à votre VPN, votre client essaye d'utiliser votre serveur VPN pour accéder à Internet et du coup vous ne pouvez plus surfer. Pour remédier à cela, éditer les propriétés TCP/IP de votre connexion client VPN :
Cliquez sur Avancé... Décocher la case "Utiliser la passerelle par défaut pour le réseau distant" Voilà! Votre serveur et votre client VPN sont paramétrés Utilisation du moniteur IPSec sous Windows Server 2003 Windows Server 2003 prend en charge l'utilisation de la sécurité Internet Protocol (IPSec) afin de sécuriser les communications entre les ordinateurs. IPSec est un protocole multi-plateforme. Les ordinateurs sous Windows Server 2003 utilisent des stratégies IPSec pour contrôler quelles communications requièrent l'utilisation d'ipsec. Un ordinateur peut exiger IPSec pour sécuriser toutes ses communications ou uniquement un sous-ensemble de celles-ci. Les filtres IPSec vous permettent de contrôler quand IPSec doit être appliqué. Pour tester les stratégies IPSec, utilisez le moniteur IPSec (Ipsecmon.exe). Celui-ci fournit des informations sur la stratégie IPSec active et sur l'existence ou non d'un canal sécurisé entre les ordinateurs. I. Démarrage du moniteur IPSec Dans Windows XP et Windows Server 2003, le moniteur de sécurité IP est mis en œuvre en tant que composant logiciel enfichable MMC (Microsoft Management Console). Pour ajouter un composant logiciel enfichable du moniteur de sécurité IP, procédez comme suit : 1. Cliquez sur Démarrer, sur Exécuter, tapez MMC, puis cliquez sur OK.
2. Dans MMC, cliquez sur Fichier, sur Ajouter/Supprimer un composant logiciel enfichable, puis sur Ajouter. 3. Cliquez sur Moniteur de sécurité IP, puis sur Ajouter. 4. Cliquez sur Fermer, puis sur OK. Remarque : Pour enregistrer les paramètres de la console, cliquez sur Enregistrer dans le menu Fichier.
Pour ajouter un ordinateur au composant logiciel enfichable du moniteur de sécurité IP, procédez comme suit : 1. Créez une console contenant le moniteur de sécurité IP, ou ouvrez un fichier de console enregistré qui contient le moniteur de sécurité IP. 2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Moniteur de sécurité IP, puis cliquez sur Ajouter un ordinateur. 3. Dans la boîte de dialogue Ajouter un ordinateur : - Pour l'ordinateur local, cliquez sur Cet ordinateur. - Pour un ordinateur distant, cliquez sur L'ordinateur suivant, puis entrez le nom de l'ordinateur distant, ou cliquez sur Parcourir pour le trouver sur le réseau. Pour tester le fonctionnement du moniteur IPSec, vous avez besoin de deux ordinateurs sous Windows Server 2003, membres du même domaine Windows Server 2003. L'un des ordinateurs sera le client IPSec et l'autre le serveur IPSec. Les deux sections suivantes expliquent comment configurer le client et le serveur IPSec pour tester une stratégie de sécurité.
II. Ordinateur client IPSec 1. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Panneau de configuration. 2. Double-cliquez sur Outils d'administration, puis sur Stratégie de sécurité locale. 3. Cliquez sur le nœud Stratégies de sécurité IP sur l'ordinateur local dans le volet de gauche, puis double-cliquez sur la stratégie Client (en réponse seule) dans le volet droit. 4. Cliquez pour désactiver la case Dynamique, puis cliquez sur Ajouter.
5. Dans l'assistant Règle de sécurité, cliquez sur Suivant. 6. Dans la boîte de dialogue Point de sortie du tunnel (liaison sécurisée et cryptée pour assurer le transfert des informations), cliquez sur Cette règle ne spécifie aucun tunnel, puis sur Suivant.
7. Dans la boîte de dialogue Type de réseau, cliquez sur Toutes les connexions réseau, puis sur Suivant. 8. Dans la boîte de dialogue Liste de filtres IP, cliquez sur Tout le trafic ICMP, puis sur Suivant.
9. Dans la boîte de dialogue Action de filtrage, cliquez sur Sécurité requise, puis sur Suivant. 10. Dans la boîte de dialogue Méthode d'authentification, cliquez sur Authentification Active Directory par défaut (protocole Kerberos V.5 (voir définition à la fin de cette partie), sur Suivant, puis sur Terminer.
11. Cliquez sur Appliquer, puis sur OK, et enfin Fermer. III. Serveur IPSec 1. Cliquez sur Démarrer, pointez Paramètres, puis cliquez sur Panneau de configuration. 2. Double-cliquez sur Outils d'administration, puis sur Stratégie de sécurité locale. 3. Cliquez sur le nœud Stratégies de sécurité IP sur l'ordinateur local dans le volet de gauche, puis double-cliquez sur la stratégie Sécuriser le serveur (nécessite la sécurité) dans le volet droit. 4. Cliquez pour désactiver les cases Tout le trafic IP et Dynamique, puis cliquez pour activer la case Tout le trafic ICMP.
5. Double-cliquez sur la règle Tout le trafic ICMP (Internet Control Message Protocol :un protocole qui permet de gérer les informations relatives aux erreurs aux machines connectées). 6. Cliquez sur l'onglet Action de filtrage, puis sur Sécurité requise. 7. Cliquez sur Appliquer, puis sur OK. 8. Cliquez sur Fermer. 9. Sur l'ordinateur client IPSec, démarrez le moniteur IPSec. 10. A l'invite de commande, tapez ping t ipsec_server_ip_adress. Le message «Negotiating IPSec Policy» (Négociation de la stratégie IPSec) s'affiche quelques secondes, puis vous recevez des réponses échos ICMP (Internet Control Message Protocol). Lorsque
vous amenez le moniteur IPSec au premier plan, l'association de sécurité IPSec est établie et le nom du filtre apparaît en tant que ICMP. 11. Fermez la fenêtre de commande pour arrêter la commande ping. Notez que l'association de sécurité IPSec se prolonge un court moment avant d'expirer. Pour restaurer les stratégies IPSec par défaut sur chaque ordinateur : 1. Cliquez avec le bouton droit sur le nœud Stratégies de sécurité IP dans le volet de gauche, pointez sur Toutes les tâches, puis cliquez sur Restaurer les stratégies par défaut. 2. Cliquez sur Oui lorsque le message «Êtes-vous sûr?» s'affiche. 3. Cliquez sur OK pour confirmer que les valeurs par défaut des stratégies par défaut ont été rétablies. Kerberos Kerberos est un protocole d'identification réseau créé au MIT(Massachusetts Institute of Technology). Kerberos utilise un système de tickets au lieu de mots de passe en texte clair. Ce principe renforce la sécurité du système et empêche que des personnes non autorisées interceptent les mots de passe des utilisateurs. L'ensemble repose sur des clés secrètes (chiffrement symétrique). À l'origine, il fut employé sur des systèmes distribués Unix. C'est avec Windows 2000 qu'il fit son retour. Sommaire 1 Fonctionnement 2 Sécurité 3 Utilisations Fonctionnement Dans un réseau simple utilisant Kerberos, on distingue plusieurs entités : le client (C), il a sa propre clé privée K C
le centre de distribution de clés (KDC pour key distribution center), il connaît les clés privées K C et K TGS le serveur de tickets (TGS pour ticket granting server), il a une clé privée K TGS et connaît la clé privée K S du serveur le serveur (S), il dispose aussi d'une clé privée K S Le client veut accéder à un service proposé par le serveur S. La première étape pour le client consiste à s'identifier auprès du serveur de clés (KDC). Le client a une clé privée K C, celle-ci est également connue par le serveur de clés. Le client envoie son nom au serveur de clés et lui indique le serveur de tickets qui l'intéresse. Après vérification sur l'identité du client (cette partie dépend des implémentations, certains serveurs utilisent des mots de passe à usage unique), le serveur de clés lui envoie alors un ticket T TGS. Ce ticket autorise le client à faire des requêtes auprès du serveur de tickets TGS. Ce ticket T TGS est chiffré par le serveur de clés avec la clé du serveur de tickets (K TGS ). Il contient notamment des informations sur le client mais également la clé utilisée pour établir la communication entre le client et le serveur de tickets. Cette clé de session, nous la noterons K C,TGS. Le client reçoit également cette clé de session K C,TGS, elle a toutefois été chiffrée avec la clé privée K C du client. À ce stade, le client possède un ticket T TGS (qu'il ne peut pas déchiffrer) et une clé K C,TGS. La deuxième étape est l'envoi par le client d'une demande de ticket auprès du serveur de tickets. Cette requête contient un identifiant (des informations sur le client ainsi que la date d'émission) chiffré avec la clé de session K C,TGS (qui est trouvée par le client en déchiffrant les informations reçues depuis le serveur de clés avec sa clé privée). Le client envoie aussi le ticket qui lui avait été transmis par le serveur de clés. Le serveur de tickets reçoit alors son ticket et il peut le déchiffrer avec sa clé privée K TGS. Il récupère le contenu du ticket (la clé de session) et peut ainsi déchiffrer l'identifiant que lui a envoyé le client et vérifier l'authenticité des requêtes. Le serveur de tickets peut alors émettre un ticket d'accès au serveur. Ce ticket est chiffré grâce à la clé privée du serveur K S. Le serveur de tickets envoie aussi au client une autre clé de session K C,S pour les communications entre le serveur final et le client. Cette seconde clé de session a été chiffrée à l'aide de la clé K C,TGS connue à la fois par le serveur de tickets et le client. La troisième étape est le dialogue entre le client et le serveur. Le client reçoit le ticket pour accéder au serveur ainsi que l'information chiffrée contenant la clé de session entre lui et le serveur. Il déchiffre cette dernière grâce à la clé K C,TGS. Il génère un nouvel identifiant qu'il chiffre avec K C,S et qu'il envoie au serveur accompagné du ticket. Le serveur vérifie que le ticket est valide (il le déchiffre avec sa clé privée K S ) et autorise l'accès au service si tout est correct. Sécurité Une fois qu'un client s'est identifié, celui-ci obtient un ticket (généralement, un fichier texte - mais son contenu peut aussi être stocké dans une zone de mémoire sécurisée). Le ticket joue le rôle d'une carte d'identité à péremption assez courte, huit heures généralement. Si nécessaire, celui-ci peut être annulé prématurément. Sous les systèmes Kerberos comme celui du MIT, ou de Heimdal, cette procédure est généralement appelée via la commande kdestroy. La sécurité de Kerberos repose sur la sécurité des différentes machines qui l'utilisent. Une attaque sur le serveur de clés serait dramatique car elle pourrait permettre à l'attaquant de s'emparer des clés privées des clients et donc de se faire passer pour eux. Un autre problème qui pourrait survenir sur la machine du client est le vol des tickets. Ils pourraient être utilisés par une tierce personne pour accéder aux services offerts par les serveurs (si la clé entre le client et le serveur est connue). L'expiration du ticket permet de limiter les problèmes liés au vol des tickets. De plus, les tickets contiennent l'adresse IP du client et le ticket n'est donc pas valable s'il est employé depuis une autre adresse. Pour contrer cela, l'attaquant devrait spoofer (voir spoofing en bas) l'ip du client. Une attaque sur les identifiants échouera car Kerberos leur ajoute un élément. Cela évite les attaques par renvoi d'identifiants qui auraient été interceptés. Les serveurs conservent l'historique des communications précédentes et peuvent facilement détecter un envoi frauduleux.
L'avantage de Kerberos est de limiter le nombre d'identifiants et de pouvoir travailler sur un réseau non-sécurisé. Les identifications sont uniquement nécessaires pour l'obtention de nouveaux tickets d'accès au serveur de tickets. Spoofing : Usurpation d'adresse IP L'usurpation d'adresse IP (en anglais : IP spoofing) est une technique de hacking consistant à utiliser l'adresse IP d'une machine, ou d'un équipement, afin d'en usurper l'identité. Elle permet de récupérer l'accès à des informations en se faisant passer pour la machine dont on spoofe l'adresse IP. De manière plus précise, cette technique permet la création de paquets IP avec une adresse IP source appartenant à quelqu'un d'autre. Pare-feu (FireWall) Introduction à la notion firewall Qu'est-ce qu'un pare-feu? Fonctionnement d'un système pare-feu La Zone DeMilitarized (DMZ) Introduction à la notion de firewall Chaque ordinateur connecté sur Internet (ou sur n'importe quel réseau) est susceptible d'être victime d'intrusion pouvant compromettre l'intégrité du système ou des données. Les pirates informatiques s'introduisent dans les systèmes en recherchant des failles de sécurités dans les protocoles, les systèmes d'exploitations et les applications. Ils scrutent les réseaux dans l'espoir de trouver un ordinateur mal protégé dans le quel, ils pourront s'introduire pour voler les données ou déposer des virus. Cette menace est encore plus importante si l'ordinateur est connectée en permanence à Internet. Il est donc nécessaire, pour les entreprises, les établissements publics et les particuliers connectées à Internet avec une connexion de type réseau local, câble ou modem ADSL, de se protéger des intrusions en installant un système pare-feu. Qu'est-ce qu'un pare-feu? Un pare-feu (firewall en anglais), est un système matériel ou logiciel, positionné a l'entrée de votre réseaux. Ses objectifs, le filtrage des services Internet auxquels les utilisateurs peuvent accéder et la protection des réseaux contre les intrusions extérieures. Le pare-feu est en réalité un système permettant de bloquer ou filtrer les ports TCP ou UDP, c'est-àdire en interdire l'accès aux personnes provenant de l'extérieur. De nombreux ports (un port est un numéro associé à un service ou une application réseau) peuvent être bloqués. Toutefois certains ports étant nécessaires, comme par exemple les ports du courrier électronique (POP 110 & SMTP 25), les administrateurs réseau bloquent tout ce qui ne sont pas indispensables. Un des ports les plus critiques
est le port 23 car il correspond à l'utilitaire Telnet qui permet d'émuler un accès par terminal sur une machine distante de manière à pouvoir exécuter des commandes à distance... Ce dispositif de blocage et de filtrage n'empêche pas les utilisateurs internes (derrière le firewall) d'utiliser ces ports Fonctionnement d'un système pare-feu Un système pare-feu fonctionne sur le principe du filtrage de paquets, c'est un système analysant les en-têtes des paquets IP (appelés datagrammes) échangés entre deux équipements informatiques. En effet les ordinateurs d'un réseau relié à Internet sont identifiés par une adresse appelée, adresse IP. Ainsi, lorsqu'un ordinateur de l'extérieur se connecte à un ordinateur du réseau local ou le contraire, les paquets de données passant par le firewall sont analysés. L'adresse IP de la machine émettrice, L'adresse IP de la machine réceptrice, Le type de paquet (TCP, UDP,...) Le numéro de port. De cette manière, le système pare-feu est capable d'analyser des datagrammes et d'effectuer un filtrage des communications. Un système pare-feu contient des règles prédéfinies permettant Soit permettre uniquement les communications et les transmissions ayant été explicitement autorisées (Tout ce qui n'est pas explicitement autorisé est interdit). Soit empêcher les échanges qui ont été explicitement interdits, le choix du filtrage dépend de la stratégie de sécurité que l'on souhaite mettre en œuvre. La Zone DeMilitarized (DMZ) Certains équipements informatiques du réseau interne ont besoin d'être accessible de l'extérieur (ex: serveur web, un serveur de messagerie, FTP...) il est souvent nécessaire de créer une zone de libre échange vers un réseau annexe, accessible par le réseau interne et externe, sans compromettre la sécurité du réseau que l'on veut protéger. On parle ainsi de zone démilitarisée (DéMilitarized Zone) pour désigner cette zone isolée hébergeant des applications ou les données mises à disposition du public. Si cette zone protégée se limite à l'ordinateur sur lequel le firewall est installé on parle de firewall personnel. Implémentations connues : Versions libres Linux Netfilter/Iptables, pare-feu libre des noyaux Linux 2.4 et 2.6. Linux Ipchains, pare-feu libre du noyau Linux 2.2. Packet Filter ou PF, pare-feu libre de OpenBSD. IPFilter ou IPF, pare-feu libre de BSD et Solaris 10. Ipfirewall ou IPFW, pare-feu libre de FreeBSD. Distribution Linux Smoothwall *, distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer un PC en pare-feu dédié et complet. IPCop *, distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer un PC en pare-feu dédié et complet. Versions commerciales
(fr) Cisco IOS, boîtier routeur avec des fonctions de pare-feu commercialisé par Cisco Systems. (fr) Cisco PIX, boîtier pare-feu commercialisé par Cisco Systems. (fr) IPS Firewall NetASQ Appliance UTM NETASQ (fr) Cisco VPN3000, boîtier pare-feu orienté RPV commercialisé par Cisco Systems. (fr) NuFW, logiciel pare-feu authentifiant sous license GPL pour environnement GNU/Linux, client sous licence commerciale pour postes clients Windows (fr) Pare-feu intégré à Windows XP : http://support.microsoft.com/kb/320855/fr/ (en) Pare-feu intégré à Windows XP SP 2 : http://www.microsoft.com/windowsxp/using/security/internet/sp2_wfintro.mspx (en) Zone Alarm le Pare-feu personnel de ZoneLabs Architecture simple
Architectures complexes Une architecture plus complexe délimite une zone DMZ et une zone LAN interne contenant le backoffice et utilisant un seul firewall. Si la sécurisation est très importante, l'environnement LAN interne doit être sécurisé au maximum. On choisira une architecture basée sur 2 firewalls.
Cette dernière architecture est notamment conseillée pour l'intégration d'applications: le serveur Web est placé dans la zone DMZ et les serveurs bases de données sont placés dans la zone LAN.
Architecture DMZ trois tiers Une autre architecture de qualité est obtenue en appliquant le principe de DMZ trois tiers (trois couches). Celles-ci isolent trois périmètres distincts. Mise en place du firewall de windows xp SP2 Le firewall d'xp allie à la fois simplicité d'utilisation et robustesse de fonctionnement, même s'il ne surveille que les connexions qui entrent sur ton PC et pas les connexions qui en sortent. Normalement un vrai firewall doit contrôler toutes les connexions (entrantes et sortantes) mais cela impose une configuration avancée que peu d'utilisateurs effectueraient en conséquence de quoi ils n'utiliseraient pas le firewall... Le firewall d'xp évite des attaques extérieures mais si ton PC a un trojan (cheval de troie) alors celui-ci pourra quand même se connecter à l'extérieur sans se faire refuser cette connexion sortante. A noter que les personnes qui activent le firewall d'xp ne risquent plus de récupérer les virus récents comme Blaster ou Gaobot. Windows XP est livré avec un pare-feu depuis sa sortie. Ce dernier a été revu avec le Service Pack 2. Le firewall de Windows XP ne filtre cependant que le trafic entrant et offre donc une sécurité plus réduite qu'un véritable firewall complet. Il offre néanmoins l'avantage d'être facilement configurable, gratuit et il est suffisant si l'on est un minimum prudent. Contrairement à son prédécesseur, le pare-feu de Windows XP Service Pack 2 est activé par défaut sur l'ensemble des connexions réseau.
La configuration du pare-feu de XP SP2 Pour configurer le pare-feu, va dans Menu Démarrer, Panneau de configuration. Puis double-clic sur. Tu obtiens l'onglet Général de configuration du pare-feu : C'est là que tu peux choisir le mode de fonctionnement du pare-feu : Le mode activé : Le pare-feu est activé et les exceptions, c'est-à-dire les règles que tu as définies, s'appliquent. Le mode activé sans exceptions ("Ne pas autoriser les exceptions") : le pare-feu est activé et ne laisse rien passer. Le mode désactivé : ton ordinateur n'est plus protégé. à éviter. L'onglet suivant Exceptions est plus intéressant : c'est là que tu peux configurer les exceptions.
Les exceptions sont donc des règles de filtrage qui autorisent un certain trafic sur une certaine étendue. Dans cet onglet, il est possible de créer de nouvelles exceptions et de choisir lesquelles sont appliquées, en cochant la case correspondante. Il existe un certain nombre d'exceptions prédéfinies telles que "Bureau à distance" ou "Partage de fichiers et d'imprimantes". Tu peux créer deux types de nouvelles exceptions : En cliquant sur Ajouter un programme... : Tu peux alors choisir le programme auquel tu veux autoriser l'accès au réseau, soit dans la liste s'il y est présent, soit en sélectionnant l'exécutable en parcourant ton disque dur. Si tu lances ce programme avant d'avoir paramétré l'exception correspondante et qu'il tente d'accéder au réseau ou à Internet, Windows ouvre une fenêtre te proposant d'autoriser l'accès ("Débloquer") ou, au contraire, de "Maintenir le blocage". Si, par exemple, tu veux jouer en réseau, il faudra alors que tu autorises le jeu à accéder au réseau.
En cliquant sur Ajouter un port... : Un port est, en quelque sorte, une adresse sur un serveur où l'on va trouver un service précis. Si, par exemple, tu souhaites héberger un site Web, tu ouvriras, en général, le port 80. Il faudra donc te renseigner pour savoir quel port doit être ouvert pour proposer tel service. Il faudra aussi que tu saches le protocole utilisé : UDP ou TCP. Enfin, tu dois aussi donner un nom à ta nouvelle exception, de façon à pouvoir la repérer facilement.
À chaque exception est associée une étendue, c'est-à-dire un ensemble d'adresses IP sources autorisées à se connecter sur ce port ou à communiquer avec tel logiciel. Quand tu crées une nouvelle exception, l'étendue par défaut correspond à l'ensemble des machines connectées au réseau, y compris toutes celles connectées à Internet, sauf pour le "Partage de fichiers et d'imprimantes" qui est limité par défaut à ton sous-réseau. Pour des raisons de sécurité et/ou de confidentialité, tu peux souhaiter restreindre l'accès concernant telle exception, ou, au contraire, étendre cette "étendue" pour rendre accessible tel autre service à un plus grand nombre de machines. Ce réglage est possible, aussi bien pour les ouvertures de port que pour les autorisations de programme et les exceptions pré-définies. Pour cela, clique sur "Modifier l'étendue..." en bas à droite de la fenêtre d'édition de l'exception voulue. Il y a trois réglages possibles : "N'importe quel ordinateur" : comme son nom l'indique, ce réglage n'impose aucune restriction d'accès et n'importe qui peut se connecter à utiliser avec précaution. "Uniquement mon réseau" : il s'agit de l'ensemble des machines de ton sous-réseau. "Liste personnalisée": c'est le réglage avancé, en somme : ce réglage permet de définir précisément quelles machines présentes sur le réseau ou sur Internet peuvent accéder à ta machine via cette exception. Pour cela, tu pourras rentrer une liste des adresses IP, en les entrant une par une, séparées par des virgules et/ou une liste des sous-réseaux que tu souhaites autoriser
Mise en place du firewall ZoneAlarm Ces firewalls (ZoneAlarm ou ZoneAlarm pro) sont extrêmement simples à installer, à utiliser et sont très performants. Il conviennent notamment à des utilisateurs non experts en firewalls et protocoles réseau. La version pro est cependant plus adaptée à un niveau d'exigence plus élevé. A - Récupérer ZoneAlarm Vous avez le choix : sur le site de Zonelabs ZoneAlarm Pro (http://www.zonelabs.com/) soit le site officiel de ZoneLabs (http://www.zonelabs.com/download/), votre revendeur de logiciel habituel, soit directement sur (download.com) mais vous vous engagez automatiquement à respecter les engagements décrits sur le site de ZoneLabs. B - Installer le FireWall Lancez zonealarm2xx.exe ou zaproxx.exe (le programme exécutable d'installation de ZoneAlarm), répondez aux questions habituelles. Redémarrez si cela vous est demandé (ce n'est pas le cas en général). Tout semble Ok Passez à l'étape 2 : Configurer un FireWall ZoneAlarm Configuration de ZoneAlarm Niveau de sécurité Validation des échanges Définition des zones Verrou Lecture des alertes Mise à jour et démarrage automatique Après avoir installé Zonealarm : Attention: Il n'existe pas (encore) de version française de Zonealarm donc n'utilisez que les versions mise à disposition par ZoneLabs! Niveau de sécurité et filtrage : Vous pouvez aller dans l'onglet "Security" et valider le niveau de sécurité que vous souhaitez pour vous même.
... La zone "Local" vous permet de définir un ensemble d'ordinateurs ou de réseaux en qui vous avez confiance (cela peut être votre réseau local ou un VPN auquel vous avez accès par exemple). La zone "Internet" désigne le reste du monde, a priori le niveau de sécurité doit rester "High" pour une protection optimale. ZoneAlarm se configure simplement par apprentissage des logiciels qui doivent être autorisés ou non au fur et à mesure, il n'y a aucun moyen de sauvegarder votre configuration ni donc de la restaurer (utile en cas de crash). Validation des échanges : En allant dans l'onglet "Programs", vous trouverez la liste des applications communiquant avec le réseau et que ZoneAlarm aura identifié.
Un "V" vert indique que vous avez autorisé le programme à communiquer avec la zone concernée. Un "X" rouge indique que vous avez refusé que ce programme communique avec la zone indiquée. Un "?" bleu indique que vous n'avez encore pris aucune décision pour ce programme ou qu'une décision est inutile. La case à cocher "Allow server" vous sera utile pour permettre notamment à des programmes comme ICQ de fonctionner. La case à cocher "Pass Lock" permettra à l'application de pouvoir fonctionné même si vous avez activé le verrou (temporairement lors d'un attaque ou automatiquement après quelques minutes d'inactivité) configurable dans la partie "Lock" (voir dans les pages suivantes) Pour minimiser zonealarm dans le "systray", cliquez sur la croix (cela n'arrête pas ZoneAlarm). Lecture des Alertes : Dans la partie "Alerts" vous trouverez la liste des tentatives éventuelles d'accès à votre ordinateur, ou de la liste des tentatives de sorties non autorisées (usage frauduleux d'un logiciel ou potentiel troyen par exemple).
Une autre possibilité est l'affichage d'une fenêtre d'avertissement (popup) si l'option "Show the alert popup window" est cochée : Si vous cliquez sur le bouton "More info", une fenêtre de votre navigateur habituel s'ouvre sur une page explicative du site de Zonelabs.
Définition des zones : La zone "Local" vous permet de définir un ensemble d'ordinateurs ou de réseaux en qui vous avez confiance (cela peut être votre réseau local ou un VPN auquel vous avez accès par exemple). Pour en définir la liste vous devrez les ajouter via le bouton "Advanced" : Dans cette fenêtre seule la carte réseau, connectée à votre réseau local doit être cochée! Si vous connaissez l'interface réseau qui est connectée à votre réseau local (zone Local), alors vous pouvez la cocher. A priori l'interface modem (dialup / accès réseau à distance) ou la carte ethrnet reliée à votre modem cable/adsl ne devrait pas être cochée sinon les règles de la zone Local lui seront appliquées! Par ce biais vous pouvez donc affecter un niveau de sécurité spécifique à cet ensemble. Le niveau "Medium" vous permet notamment d'utiliser le partage Microsoft (unités de disques, imprimantes) à activer uniquement sur votre zone locale. Au besoin si vous voulez autoriser spécifiquement l'accès à une zone de confiance, vous pouvez la définir en utilisant le bouton "Add", qui ajoutera ces machines à l'ensemble "Zone locale", les règles de la zone locale lui seront alors appliquée. Utilisez Host si vous connaissez le nom de la machine (Zonealarm va alors tenter de trouver son adresse numérique pour vérifier) :
Utilisez IP adress si vous ne connaissez que l'adresse numérique de la machine en question Pour un sous ensemble d'adresses numériques :
Pour un sous-réseau : Gestion du verrou : Dans la partie "Lock" vous avez la capacité de configurer un verrou automatique, qui s'activera après un certain nombre de minutes d'inactivité (10 par défaut) ou lorsque l'écran de veille s'active. Afin de ne pas couper tous les services, il est possible de choisir les applications qui sont autoriser à accèder à Internet malgré le verrou, pour cela il faut deux choses : choisir "Pass lock programs may access the Internet" et dans la fenêtre "Programs" cocher la case "Pass Lock" du (ou des) logiciel souhaité:
Détection des mises à jour et démarrage automatique : Dans la partie configuration, veillez à avoir validé la mise à jour et le démarrage automatique de Zonealarm avec Windows. Sécuriser un réseau Wi-Fi Étape finale et cruciale de l installation d un réseau sans fil : sa sécurisation. Non seulement, les données qui transitent par les ondes radio entre le routeur et les ordinateurs doivent être cryptées. Mais il faut également filtrer l accès. C'est bien connu, les ondes ne s'arrêtent pas aux murs ou plafonds de votre habitation ou de votre bureau. Théoriquement, n'importe quel ordinateur Wi-Fi situé à portée de votre routeur pourra accéder à votre réseau. S'il n'est pas sécurisé, un utilisateur mal intentionné aura la possibilité d'utiliser votre connexion l'internet à votre insu, voire, de consulter vos données partagées. La sécurisation du réseau constitue donc une étape indispensable, certes un peu fastidieuse, mais qui s'effectue une bonne fois pour toutes. Une fois le réseau installé, les machines connectées et opérationnelles, voici les différentes étapes ayant trait à la sécurisation. 1 Changer le mot de passe
L'accès à l'utilitaire de configuration du routeur sans fil est sécurisé par un nom d'utilisateur (généralement «admin») et un mot de passe. La première étape de sécurisation de votre nouveau réseau Wi- Fi consistera à changer ce mot de passe par défaut (fourni dans la documentation du routeur). Pour cela, réactivez l'utilitaire de configuration du routeur sans fil en entrant son adresse IP dans votre navigateur. Généralement, il s'agit d'une séquence de chiffres comme celle-ci 192.168.0.1. C est le cas pour de nombreux routeurs, comme le Netgear DG834G. Si nécessaire, utilisez la documentation du routeur ou l'aide intégrée pour trouver l'option qui permet de changer le mot de passe par défaut. Dans le cas du routeur Netgear, l'option "Définir le mot de passe" se trouve dans le dossier Maintenance. Appliquez votre modification et laissez la routine de configuration ouverte pour l'étape suivante. 2 Définir le SSID La sécurisation de votre réseau impose le changement de son nom, c'est-à-dire du SSID (Service Set IDentifier). Cliquez sur le bouton vous permettant d'accéder aux paramètres sans fil. Changez le SSID par défaut en un nom quelconque en prenant soin d'éviter des désignations trop évidentes telles que votre nom de famille. Appliquez votre modification en laissant la routine de configuration ouverte. Remarque 1 : certains routeurs permettent de désactiver la diffusion du nom SSID de telle sorte que votre réseau sans fil n'apparaisse pas dans la liste des connexions possibles de vos voisins ou éventuels intrus. C'est une option de sécurité supplémentaire que nous vous conseillons vivement d'activer. Remarque 2 : dans le menu principal, vous constaterez que le routeur permet aussi de déterminer quelle norme Wi-Fi utiliser : 802.11b et g, 802.11g uniquement ou 802.11b uniquement. Par défaut, les routeurs 802.11g sont configurés pour fonctionner à la fois avec des clients 802.11g et 802.11b. Si vous ne disposez que d'unités 802.11g sur vos systèmes sans fil, n'activez que le mode 802.11g : vous obtiendrez ainsi de meilleures performances. 3 Activer le cryptage (voir dans le glossaire des détails sur les : WEP et WPA) Si votre routeur et tous vos adaptateurs sans fil le supportent, préférez le cryptage WPA (Wi-Fi Protected Access) avec clé de chiffrement "prépartagée". Du point de vue sécurité, cette solution est plus qu'adéquate pour la plupart des utilisations domestiques ou en petite entreprise. Si votre matériel ne supporte pas le WPA, activez alors le cryptage WEP (Wired Equivalent Privacy). La plupart des routeurs donnent la possibilité de générer automatiquement des clés WEP ou WPA. Entrez un mot de 5 lettres minimum ou une expression dans le champ ad hoc (souvent appelé "phrase clef" ou "clef") et le routeur va générer différents codes. N'oubliez pas de les noter, ils devront être utilisés pour connecter chaque ordinateur du réseau. Appliquez votre modification en laissant la routine de configuration ouverte.
La code de cryptage généré par l'utilitaire de configuration sera utilisé pour chaque ordinateur à connecter. 4 Filtrer les adresses MAC À titre de précautions supplémentaires, vous pouvez autoriser l'accès au réseau qu'aux ordinateurs ayant des adresses MAC spécifiques. Pour mettre en œuvre un tel filtrage, vous devez activer l'option correspondante dans la routine de configuration : recherchez un bouton de filtrage ou une option de type "Liste d'accès des stations sans fil". Saisissez alors les adresses MAC de chaque ordinateur : elles sont normalement imprimées sur chaque adaptateur Wi-Fi ou dans les propriétés réseau des ordinateurs portables Wi-Fi. Appliquez vos modifications et sortez de la routine de configuration. 5 Configurer les machines Wi-Fi Si vous avez suivi avec soin les instructions précédentes, vos ordinateurs initialement installés et connectés en Wi-Fi ne peuvent plus se connecter au routeur. Cela est tout à fait normal puisque vous avez restreint son accès! Pour remédier à cette situation, ouvrez l'utilitaire de configuration sans fil de chaque ordinateur connecté en Wi-Fi (en l'occurrence l'utilitaire de l'adaptateur Wi-Fi installé) : modifiez le nom SSID afin qu'il corresponde à celui que vous avez indiqué pour le routeur. Activez également le même type de cryptage que celui du routeur et saisissez exactement la première clé de chiffrement notée précédemment. Après avoir appliqué ces modifications à chacun des systèmes, ceux-ci devraient se connecter au routeur et à l'internet.
6 Partager accès Internet, fichiers et imprimante Une fois le réseau sécurisé, rien ne nous empêche, outre la connexion à l'internet, de partager des dossiers afin de faire circuler les fichiers dont vous avez besoin entre les différentes machines du réseau : documents administratifs, photos, musique, etc. Il vous sera aussi possible de partager l'accès à une imprimante. La procédure de partage avec le système d'exploitation Windows XP s'avère relativement simple. Choisissez Panneau de configuration, puis Connexions réseau et cliquez sur «Créer un réseau domestique ou un réseau d'entreprise». En réponse à la demande de sélection d'une méthode de connexion, choisissez «Cet ordinateur se connecte à Internet via un autre ordinateur de mon réseau domestique ou via une passerelle résidentielle». Il suffit ensuite de se laisser guider par l'assistant de connexion qui ira détecter sur le réseau une connexion à l'internet. Pour partager un dossier avec Windows XP, faites un clic droit sur le dossier en question, puis choisissez l'option Partage et sécurité. Cochez l'option Partager ce dossier. Pour accéder à tous les dossiers partagés depuis n'importe quelle machine du réseau, cliquez sur Démarrer puis Favoris réseau. Ajouter des dossiers partagés est aisé, mais n'oubliez pas que plus ils sont nombreux, plus vous fragilisez votre espace disque en cas d'une violation de sécurité. Même procédure pour une imprimante, sur l'ordinateur avec Windows XP auquel l'imprimante est directement reliée : dans le menu Démarrer puis Imprimantes et télécopieurs, cliquez avec le bouton droit sur l'imprimante installée et sélectionnez Partager. Lutte technique Lutte contre le pollupostage Les techniques pour lutter contre le pourriel mettent en œuvre diverses techniques de classification automatique pour trier entre le pourriel et le courrier légitime. Ces techniques peuvent être mises en œuvre soit au niveau des fournisseurs de service Internet qui protègent leur messagerie, soit au niveau des utilisateurs par des outils appropriés. Ces techniques peuvent être soit préventives (marquage du courrier pour indiquer qu'il s'agit de courrier indésirables) soit curatives (blocage, voire renvoi des messages incriminés vers l'expéditeur). Plusieurs techniques de lutte contre le pourriel sont possibles et peuvent être cumulées : Méthode bayesienne Cette méthode d'analyse statistique utilise l'inférence bayésienne formulée par le mathématicien Thomas Bayes. Celle-ci permet d'associer des probabilités aux mots contenus dans les courriers. En
fonction du pointage obtenu, la probabilité qu'il s'agisse vraiment de pourriel augmente ou diminue. Cette méthode requiert une phase d'apprentissage de mots autorisés et interdits pour être réellement efficace Filtrage par mots-clés ou adresses Cette méthode est très limitée car elle se base sur le rejet ou le tri du courrier en fonction de règles de vocabulaire préalablement établies, définissant des mots comme interdits. Cette méthode engendre de fortes probabilités d'erreur et s'avère également peu efficace lorsque les polluposteurs maquillent les mots utilisés («vi@gr@», «s3x», etc.). Il convient alors d'utiliser les expressions régulières. Les expressions rationnelles ou expressions régulières (en anglais regular expressions dont l'abrégé est regexp ou regex) sont une famille de notations compactes et puissantes pour décrire certains ensembles de chaînes de caractères. Ces notations sont utilisées par plusieurs éditeurs de texte et utilitaires (particulièrement sous Unix), par exemple Vim, Emacs, sed et awk, pour parcourir de façon automatique des textes à la recherche de morceaux de texte ayant certaines formes, et éventuellement remplacer ces morceaux de texte par d'autres. Filtrage de serveur expéditeur Cette méthode consiste à refuser les messages originaires de certains serveurs (à ne pas confondre avec l'adresse de l'expéditeur Greylisting Dans cette méthode, chaque message est identifié par un triplet d'informations : L'adresse IP du serveur expéditeur Adresse courriel de l'expéditeur Adresse courriel du destinataire Lorsqu'aucune règle n'existe pour ce triplet, le système rejette temporairement le message (cas prévu par la RFC 821). Cette technique a par ailleurs l'avantage de fonctionner aussi avec les virus. Rendre les courriels payants Mettre un prix sur l'envoi de courriel, symbolique pour les envois légitimes mais dissuasif pour les envois massifs Modération Dans les forums Internet et Usenet, ainsi que sur les listes de diffusion, on a souvent recours à la modération : une personne de confiance («modérateur») lit les messages dont la publication est proposée, et refuse évenutellement de les diffuser (modération a priori) ; ou bien cette personne lit les messages qui ont déjà été diffusés, et efface ceux qui lui semblent hors de propos Comment lutter contre les logiciels espions?
Utiliser un anti-espiogiciel Il existe plusieurs logiciels spécifiques pour détecter et supprimer ces logiciels avec Microsoft Windows : Logiciels gratuits : o Ad-aware, développé par la société suédoise Lavasoft. Spécialisé dans la suppression des adware. Il existe une version payante plus sophistiquée. o Spybot - Search & Destroy [1], un logiciel totalement gratuit qui permet également de supprimer les autres traceurs d'activité sur le systèmes (fichiers journaux) o Spyware Blaster [2] qui protège votre navigateur de l'installation des espiogiciels. o Windows Defender (ex Microsoft AntiSpyware) (en version béta en février 2006) [3] o HijackThis [4] - ce logiciel permet de détecter et de détruire tous les processus en cours de fonctionnement sur votre ordinateur (pour plus d'informations lire l'article sur hijackthis) Logiciels payants (ou à vérifier...). o SpyBouncer [5] - Importante base de données o PestPatrol [6] o Spyware Doctor [7] o Spy Sweeper disponible en version d'évaluation pour 30 jours : [8] o Spy Subtract [9] o Hitman Pro [10] Un jeu complet d'anti-espiogiciels, en néerlandais o Checkflow [11] Suite logicielle anti-espiogiciel, surf anonyme et contrôle parental (éditeur français) o Ewido Security Suite [12] - Un logiciel détectant et éliminant un grand nombre de maliciels (version d'évaluation de 14 jours, permettant de nettoyer lors d'une infection) Ces logiciels, comme les antivirus, utilisent des bases de données fréquemment mises à jour. On peut installer plusieurs de ces logiciels, car souvent ils ne détectent pas les mêmes espions. Même tous installés, ils ne détecteraient qu'une partie réduite des logiciels espions existants. Utilisation de Ad-aware Les spywares (*) sont des logiciels et fichiers maléfiques créés pour vous espionner, surveiller vos habitudes de surf, afficher de la publicité sur votre pc, changer votre page de démarrage...etc * Selon la nature du spyware il peut etre qualifié de : ver, virus, malware, espiogiciel, cheval de troie, trojan, mouchard, espion, cookie malefique, traceur, marqueur, pest, cookie, temoin de connexion... Le but de ce tutoriel est de les détecter pour les supprimer, les isoler ou les détruire. Nous allons pour cela utiliser le logiciel Ad-Aware dans sa version française. Télécharger, installer Ad-Aware en français Télécharger Ad-aware. Suivre les étapes, en laissant les choix par défaut. Avant de terminer d'installer, il nous est proposé de commencer un scan de désinfection, de faire les mises à jours ou d'ouvrir le fichier d'aide. Décocher les 3 cases d'options et cliquer sur "finish":
Télécharger la traduction en français d' [b]ad-aware : Laisser encore une fois les options d'installation par défaut, décocher la case des langages additionnels: Lancer le logiciel, l'interface n'est pas encore en français. Cliquez sur l'icône pour configurer Ad-Aware: Un clic sur "interface", choisir d'installer le langage français (french) puis valider (proceed) :
Mettre a jour Ad-Aware Accéder au module de mise a jour du fichier de définitions: Cliquez sur "connexion", Ad-Aware va récupérer le fichier de définition sur son serveur et l'installer automatiquement: Supprimer les spywares L'interface d' Ad-Aware est maintenant en français, vous pouvez maintenant configurer ses options facilement. Celles proposées par défaut conviennent parfaitement pour une utilisation classique.
Analyser / effectuer une analyse complète du système: Note: Avec cette option l'antispyware va scanner tout votre système et vos disques durs Une fois l'analyse terminée Ad-Aware vous fait savoir que votre pc est infecté: Attardez-vous sur les fichiers trouvés. certains sont classés dans la catégorie "objets critiques" d'autres sont des "objets négligeables". Grâce a un clic droit vous pouvez obtenir des infos supplémentaires sur chaque spyware trouvé:
Cocher tous ces spywares pour les supprimer: Note: En cas de doute vous pouvez également choisir de les mettre en quarantaine, ce qui vous permettra de les restaurer en cas de problème avec un logiciel Mise en place d un serveur proxy dans un établissement Pour quoi faire? Vous disposez d'un réseau local et vous souhaitez pouvoir "faire sortir" toutes vos machines sur Internet, mais votre provider ne vous a donné qu'une seule adresse IP officielle, vous ne pouvez donc ne faire sortir qu'une seule de vos machines. La machine qui a établi la connexion. Les autres adresses de votre réseau du type 192.168.0.x sont pour Internet des adresses qui n'ont pas d'existence légale. Vous disposez donc au moment de votre connexion d'une seule adresse utilisable.
Dans certain cas il est possible de disposer de plusieurs adresses mais cela coûte très cher, en raison de la pénurie d'adresses IP. On peut imaginer que dans le futur toutes les machines pourrons disposer d'une adresse officielle avec IPV 6, mais ce n'est pas possible actuellement. Il existe alors deux solutions pour pouvoir faire sortir toutes vos machines sur internet. Un routeur NAT Un serveur proxy. Un serveur proxy-cache est un ordinateur qui se place entre le routeur (ou modem) et les stations de votre établissement. Cette machine est indépendante de votre installation existante, mais on peut aussi s appuyer sur les serveurs existants (Novell, NT, Linux). Son rôle : Faire du cache Cela est un plus, surtout dans le cadre d'un établissement scolaire, mais ce n'est pas à proprement parler le proxy. Si une station visite le site de votre établissement la deuxième station qui ira sur ce site trouvera les pages déjà chargées sur le proxy cache le débit sera alors de 10 Mo ou 100 Mo suivant votre installation et non pas à 64 Ko, de plus pendant ce temps il n utilisera pas la ligne donc une très importante économie et une grande augmentation de la vitesse. Filtrer certains sites : On peut interdire certaines adresses sur Internet avec les proxy actuels. Il existe pour certains proxy (squid sous linux) des bases de sites à contenu décent, des chats...interdire à certaines stations d un établissement de se connecter. Interdire l accès d Internet à certaines de vos machines : On peut interdire l accès d Internet à certaines machines sans pour autant interdire l accès à votre Intranet (Les pages web que vous développez en local). Interdire le téléchargement : Si vos élèves essayent de télécharger des programmes, jeux... vous pouvez l interdire avec le proxy. Protéger votre réseau : Cela vous permet de sécuriser vos machines qui se trouvent derrière par rapport à l internet. En effet le proxy permet d'interdire certains ports particulièrement sensibles quant à la sécurité. (Voir la liste des ports). Partager l'accès à Internet : Vous l'aviez compris cela est son rôle. La différence avec le routeur NAT réside dans le fait que la station cherchant à récupérer une page web sur Internet s'adresse au proxy, celui ci établit alors la connexion avec le serveur disposant de cette page et la met à disposition de la station et en passant la place dans son cache, donc la garde à disposition si une autre station la demande. Le serveur proxy ne permet pas de faire tout ce que l'on veut sur Internet (du net meeting, qui travaille sur 5 ports dont trois dynamiques, des pings vers un serveur sur Internet...). Les Socks ( Les socks sont un moyen de faire passer les communications informatiques à travers une machine appelée firewall. On appelle ces dispositifs des relais) Cela permet de faire croire à certaines applications qui savent s'en servir de se croire connectées directement sur internet. Ainsi on peut imaginer que lorsque netmeeting sera capable de les utiliser il n'y aura plus de problèmes à passer par le proxy. Routeur NAT ou serveur Proxy Voilà la bonne question. Pour aller sur Internet, tous les établissements disposent maintenant d'un routeur (ou presque, voir prochainement). Vous avez alors un routeur capable de faire du NAT. Faut il alors mettre en place un proxy? Je pense que oui dans un établissement où une petite machine peut être consacrée à cela. Le proxy va vous apporter un plus avec tous les logs de connexions, mais surtout un cache et cela est actuellement
bien utile dans un établissement où il peut y avoir une centaine de machines qui passent par le même routeur. Les solutions : Sous Novell : Vous disposez d un serveur Novell à partir de 4.1, il existe Bordermanager. Ce produit est payant et assez complexe à mettre en œuvre. Proxy serveur de Microsoft : Ce produit est payant. Il a l avantage d avoir une interface assez simple, qui s intègre bien à IIS. Proxy serveur de Netscape sous NT : Ce produit dispose d une interface graphique type html, il est assez simple à installer et il est libre pour les établissements scolaires. Wingate : Voir (installation et configuration en bas) Sous Linux : On a là des solutions très intéressantes. : parmi elles : Squid : Ce produit est gratuit, comme Linux. Il est utilisé par plusieurs universités. On peut le télécharger partout sur Internet, mais voici pour plus d informations le site de squid : http://squid.nlanr.net/squid/ (Il est dans presque toutes les distributions) Il dispose d une interface web qui tourne sur le serveur apache (serveur web sous linux). Il est possible d interdire certains sites avec les ACL (Voir comment configurer squid, fichier squid.conf minimal. Apache : Le serveur web qui se trouve dans toutes les distributions de linux est un serveur proxy-cache. Sous windows 95 98 NT Sambar : Voilà un merveilleux produit gratuit et très simple à mettre en oeuvre. Il permet de faire du proxy HTTP, SMTP, POP, FTP, NNTP. Il permet de mettre en place un serveur web capable de gérer des scripts (perl entre autre). Dans sa version payante il permet de mettre en place un serveur de messagerie. Les autres solutions : Certains routeurs sont capables de faire du cache, de bloquer des adresses, d'interdire certains ports et bien sur de faire du NAT. Le boîtier Instant Internet est capable de faire cela. Que faire d autre avec cette machine : Si vous faites le choix d une machine dédiée, vous pouvez installer sur cette machine d autres applications. Le serveur Web de votre établissement (Apache sous Linux, IIS sous NT, Netscape web serveur sous Novell) Un serveur de messagerie pour les élèves de votre établissement. Un serveur DHCP (Délivre automatiquement des adresses IP à vos stations) Simplement un serveur si vous n en avez pas déjà. Sous Novell ou NT cela est évident. Sous Linux en installant Sambar, on a alors un serveur gratuit et fiable.
Quel type de machine Quel que soit le produit utilisé (même Linux quoiqu on en dise) il faut une machine assez sérieuse : On peut imaginer un Pentium avec 128 Mo minimum et un gros disque dur et deux cartes réseaux (cela marche avec une seule). Par rapport à votre connexion Internet : Que vous utilisiez un provider privé ou autre cela ne change pas l intérêt de mettre en place un proxy cache. Vous disposez d un seul routeur que vous utilisez pour l administration et pour le pédagogique. Vous avez alors là une possibilité de contrôler l accès à Internet pour toutes les machines qui se trouvent du coté pédagogique. Vous placez comme passerelle l adresse IP d'une carte réseau du proxy. Ainsi les machines pédagogiques sont obligées de passer par le proxy pour sortir, alors que les machines administratives peuvent rester connectées en permanence à Internet en ayant comme passerelle l adresse IP du routeur (les deux parties de votre réseau étant dans deux adressages différents A - Récupérer WinGate sur le web B - Installation Installation/ configuration de Wingate Lancez Wingatexx.exe (le programme exécutable d'installation de WinGate), répondez aux questions habituelles. Redémarrez lorsque ça vous est indiqué. C - Tout semble Ok configuration de WinGate Mot de passe initial configuration d'un service Après avoir installé WinGate, vous pouvez envisager ce qui suit. La première étape consiste à lancer le module d'administration pour cela, cliquez sur l'icône wingate dans le 'systray' : S'il ne s'y trouve pas, lancez le "wingate engine" à partir du menu "Démarrer". Vous devrez alors vous authentifier comme administrateur.
Le premier mot de passe administrateur est vide. Donc cliquez juste sur Ok et la fenêtre de wingate devrait s'ouvrir. Si ce n'est pas le cas, vous avez déjà affecté un mot de passe ou choisi d'utiliser le même que Windows (NT). Lors de la première identification, le système va vous demander de changer le mot de passe. Si vous ne le faites pas vous n'aurez pas accès aux options de configuration de wingate. Si vous avez oublié de le faire allez dans le menu Options -> change password de gatekeeper et la fenêtre de changement de mot de passe s'affiche. Old password sera donc vide, remplissez juste New et confirmez. Une fois le changement de mot de passe effectué, fermez gatekeeper et relancez le. Vous devrez à nouveau vous identifier et saisir le mot de passe Administrator. Cette fois il ne sera pas vide. Une fois fait gatekeeper s'ouvre avec les options de configurations accessibles.
Vous pourrez alors configurer wingate à partir de gatekeeper, si nécessaire. Par défaut la plupart des options sont correctes. Allez dans l'onglets "services" pour y trouver les numéros de ports configurés (par défaut) pour les fonctions de proxy.
FAQ - WinGate I - Comment ajouter un nouveau service dans Wingate Vous devrez utiliser la version Standard ou Pro de Wingate pour cette configuration. La version Home n'a pas les "mappings" disponibles pour cette configuration. Pour ajouter un mapping de service (par exemple SMTP), suivez les étapes suivantes : 1. Connectez vous à Gatekeeper avec les droits d'administrateur 2. Dans la fenêtre de droite, faites un clic droit sur le mot "Services" Pour une version 3.0 ou supérieure : cliquez le l'onglet "services" dans le coin en bas à gauche de la fenêtre au lieu de la fenêtre de droite. faites un clic droit sur dans la fenêtre de gauche et continuez tel que ci-après. 3. Cliquez sur "New service" 4. Cliquez sur "TCP mapping" 5. Renommez le service (service name) en "Votre service mapping" (par exemple : SMTP mapping) 6. Changez la description pour "permet d'utiliser..." (par exemple : Permet l'envoi du mail). Dans une version 4.x, gardez "Services will start automatically" 7. Autorisez les connexions sur le (service port) port xx (par exemple : Port 25 pour SMTP) 8. Validez la case à cocher "Enable default mapping to" 9. Dans le champ "Server" entrez le nom ou l'adresse IP du serveur qui fourni le service (par exemple : l'adresse du serveur SMTP de votre fournisseur d'accès internet, surtout pas l'adresse du serveur Wingate!). Sélectionnez le (on port) port xx (ex : port 25 pour SMTP). 10. Cliquez sur l'onglet "bindings" 11. Cliquez sur le bouton radio "Specify interfaces connections will be accepted on" 12. Vérifiez que les adresses IP 192.168.0.1 (ou similaire) et 127.0.0.1 sont toutes les deux dans la case "Bound" 13. Cliquez sur "Ok" 14. Cliquez sur le bouton "Save" (la petite disquette) C'est fini! Partager une connection Internet avec WinRoute Configuration de WinRoute : Configuration de WinRoute La configuration proposée ici se veut simple et rapide à mettre en place. Une fois WinRoute installé, ouvrez le programme et aller dans le menu Settings où tout se passe. Interface Table
Vous voyez dans la fenêtre qui s'ouvre vos deux cartes réseau. L'adresse IP de la carte connectée au réseau local est bien 192.168.1.1. L'adresse IP de l'autre carte, est votre adresse IP sur Internet. Pour partager la connexion, vous devez activer le NAT sur l'interface relié au modem, pour cela sélectionnez la et allez dans le menu Properties. La case Perform NAT with the IP address of this interface on all communication passing through doit être cochée. Proxy
En activant le proxy, la machine servant de passerelle enregistrera dans un cache les pages visitées ce qui permet d'y accéder plus rapidement si elles sont redemandées par une machine connectée derrière le proxy. Toutefois je ne vous conseille pas d'activer cette option, car sans sécurité, n'importe quelle personne connectée à Internet pourra se servir de votre passerelle comme d'un proxy. Si malgré tout vous décidez de vous servir du proxy, vous devrez alors configurer dans les browsers web des machines clients la partie proxy. DHCP
Le DHCP (Dynamic Host Configuration Protocol) permet une configuration beaucoup plus aisée des machines clients. En effet, toute machine connectée derrière un serveur DHCP se configurera automatiquement. Les machines clients sont configurées à partir du moment où elles se connectent au serveur DHCP. Pour cela il faut spécifier des valeurs par défaut à leur donner. Cliquez sur 192.168.1.0 qui représente l'adresse du sous-réseau puis sur Edit. L'Address Scope représente les adresses que vous autorisez à être allouées pour votre réseau local. 192.168.1.1 étant votre machine passerelle, vous devez mettre une adresse supérieure dans la case From, la case To est la dernière adresse allouable (au maximum vous pouvez allez jusqu'à 192.168.1.254). Dans Default Gateway vous devez indiquer l'adresse de l'ordinateur passerelle, dans DNS Server celle de l'ordinateur faisant office de serveur DNS et dans WINS Server celle de l'ordinateur faisant serveur WINS. Dans les trois cas il s'agit de l'ordinateur faisant tourner WinRoute, il faut donc mettre 192.168.1.1. Dans Lease Time vous devez indiquez le temps au bout duquel l'adresse IP sera renouvelée (4 jours par exemple). Note pour les connexions Modem classiques : En cas d'un serveur connecté au net par un modem classique et une connexion non permanente, il vous suffit de cocher la case "DHCP server enabled" et de laisser "Default Options" dans "Scopes". Vous pouvez toutefois si vous le désirez créer un nouveau scope "New Scope" afin de le configurer comme expliqué plus haut si vous constatez des disfonctionnements. DNS :
Le DNS Forwarding est ce qui va permettre à la passerelle de renvoyer les requêtes des machines clients vers les serveurs DNS de votre fournisseur d'accès Internet. En effet, lorsque vous essayer d'accéder à un site en tapant son URL, il y a un serveur DNS qui va interpréter ce nom qui cache en fait une adresse IP beaucoup moins facile à retenir. A noter que l'utilisation de cette méthode avec un modem "classique" ne pose aucun problème sauf si vous avez plusieurs fournisseurs d'accès. Dans ce cas précis, vous devrez utiliser la console d'administration de Winroute pour vous connecter au fournisseur qu'a sélectionné le logiciel à l'installation. (ACTION / DIAL / LINE1) Vous pouvez toutefois changer de fournisseur en faisant la manipulation suivante : Interface Table puis double click sur RAS (line1), onglet RAS, RAS entry. Dans tous les cas Winroute s'avère fiable et d'une grande facilité d'utilisation. Le partage de connexion sur un réseau local est enfin accessible avec une passerelle sous Windows 9x, et de manière efficace. Conclusion Et voilà, normalement vous avez fini de configurer votre machine pour le partage de la connexion. Vous pouvez maintenant si vous le désirez vous attardez sur les fonctions avancées telles que le Packet Filter et l'anti-spoofing pour sécuriser votre réseau. Firewall - Filtrage des Paquets (WinRoute Pro 4.2) Le cœur de tout mécanismes de contrôle d'accès d'un firewall est, bien avidement, la technologie qu'il utilise pour permettre ou non la transmission des paquets destinés au réseau protégé. WinRoute implémente une des technologies les plus répandues pour le contrôle des accès réseau: le filtrage des paquets. Bien que WinRoute implémente d'autres mécanismes de contrôle d'acces, comme un Proxy de cache intégré pour les protocole HTTP, FTP et Gopher, cela est fait dans le but d'augmenter les erformances et non la sécurité. Le filtrage des paquets est une grande tradition dans la communauté de la sécurité réseau, et c'est une technologie bien implémentée dans des produits répandus comme le système d'exploitation IOS de CISCO. Lorsqu'ils sont bien configurés, les filtres de paquets peuvent être très sûrs, et particulièrement adaptés pour les sites Internet de gros volumes du fait de leurs grandes performances. Description de WinRoute Architecture Les Firewalls sont habituellement construits sur une base matérielle, mais une partie logicielle peut difficilement être évitée. Cependant, la faiblesse majeure dans la plupart des outils de sécurité réseau se manifeste pendant la courte période durant laquelle le matériel est capable de router le trafic et où le logiciel prend le contrôle des interfaces réseau. Pendant cette jonction, le sécurité peut être totalement compromise. Le pilote de WinRoute, aussi appelé le Moteur de WinRoute, s'active au moment où les fichiers du noyau de Windows se chargent en mémoire; plus spécifiquement, le Moteur se charge avant les modules NDIS (Network Device Interface Specification), ce qui empêche toutes les communications réseau avant que WinRoute ne soit activé. Ainsi, la protection est activée sur toutes les interfaces avant que des attaques puissent être menées contre la machine protégée. Cela donne un grand avantage a WinRoute si on le
compare ou programmes autonomes qui tournent en tant que service et qui ne sont pas activés avant que le système ait démarré. WinRoute "enveloppe" les drivers réseau en utilisant une technologie propriétaire pour que tout le trafic TCP/IP soit récupéré depuis le driver de la carte réseau par le Moteur avant qu'il soit transmis à la couche de communication du système d'exploitation. Cette insertion du Moteur de WinRoute dans les couches basses de système d'exploitation permet à WinRoute d'avoir une perspective unique sur tout le trafic réseau d'une interface réseau quelconque (trafic entrant et trafic sortant). Comme de nombreux produits firewall pour Entreprise, comme Firewall-1 de Check Point, WinRoute peut prendre la première décision concernant un paquet. Encore une fois, cela prévient le système d'exploitation et les applications contre les attaques qui pourraient contourner la sécurité d'un firewall. Cela est préférable pour des passerelle Internet, mais cela peut également apporter une solution pour les machines indépendantes ayant de gros besoins en terme de sécurité ou d'anonymat, comme des systèmes de détection d'intrusion. Les programmes de détection d'intrusion comme Real Secure de la compagnie Internet Security Systems (ISS) seraient pratiquement invisibles sur une machine protégée par WinRoute. Enfin, le Moteur de WinRoute prend à sa charge toutes les fonctionnalités de routage de Windows (que ce soit Windows 9x, NT, ou 2000). Cela permet de s'assurer que si, pour une raison ou une autre, le Moteur WinRoute devait tomber, aucun trafic réseau ne serait plus routé entre les différents réseaux. Cette fonctionnalité est utilisée par de nombreux firewall depuis de nombreuses années. Les Règles: Les règles permettent les actions suivantes: Permit(permettre), Drop(éliminer), ou Deny(refuser) le trafique spécifié; l action "Drop" fournit la dernière information sur le firewall à un attaquant potentiel, car elle n envois pas une réponse du genre : ICMP Administrative Prohobited Filter (filtre ICMP interdit par l administrateur) ou un TCP Reset/Acknowledge, vers un packet : TCP SYN (qui est la première étape dans la séquence :standard three-way TCP handshake sequence (voire explication en page suivante).
Three-way TCP handshake sequence Signification des drapeaux (flags) :SYN, ACK et FIN (1 bit chacun) d un segment TCP: Les drapeaux représentent des informations supplémentaires : ACK: si ce drapeau est à 1 le paquet est un accusé de réception. SYN: Le Flag TCP SYN indique une demande d'établissement de connexion. FIN: si ce drapeau est à 1 la connexion s'interrompt. Les règles de filtrage peuvent être appliqués sur toutes les entités suivantes: o o o une adresse IP individuelle une liste d adresses IP définie par l administrateur un sous-réseau ou tout un réseau Il est aussi important de noter ici que ces filtres peuvent être mises en œuvre sur les deux trafiques : entrant et sortant. Les règles peuvent avoir des priorités pour agir dans un ordre précis défini sur les packets entrat ou sortant. L utilisation la plus courante de cette possibilité est d ajouter ce qu on appelle :» cleanup rules» (ou règles de nettoyage )» pour filtrer des listes qui bloquent tout le trafique qui n est pas précisément permis par des règles antérieures ayant une priorité supérieure dans la liste (par exemple par rapport à la règle «cleanup» (voir un exemple de jeux de règles de base de filtrage de paquets dans les pages qui suivent) Protocoles Les protocoles supportés par le filtre de paquet dewinroute sont: o IP o 7 types ICMP (ou tous) o TCP o UDP o PPTP.
La capacité de laisser passer ou de bloquer des types ICMP inconnu, ou des protocoles IP inconnus, est inestimable pour les administrateurs réseau qui doivent faire face à une liste toujours grandissante de spécifications d'applications à gérer et à supporter. En particulier les relativement nouveaux protocoles VPN, comme IPSec, transitent sur les protocoles IP inconnus 51 et 52, ce qui est impossible a filtrer en utilisant des firewalls limités disponibles sur le marché qui sont incapables de filtrer autre chose que des protocoles basés sur TCP ou UDP. Anti-Spoofing En plus, WinRoute propose des fonctionnalités d'anti-spoofing, qui empêchent des paquets avec des adresses IP source non valides de sortir. L'Anti-spoofing aurait pu éviter l'attaque smurf ICMP rapportée en Février 2000 et ayant causée des interruptions de service sur des sites Web majeurs comme ceux de Yahoo et Buy.com. Les utilisateurs de WinRoute peuvent être rassurés de savoir qu'aucune attaque de ce type ne peut provenir de leur réseau s'ils ont activé cette fonctionnalité. Exemple de règles de base pour le filtrage des paquets Règles d'entrée (l'ordre est important) A Noter: Cette dernière règle interférera avec tous les outils de capture de paquet utilisés sur cette machine. Exemple de règles de base pour les connexions entrantes HTTP et FTP
Sécurité réseau sous Unix Ce document se veut un résumé d'une brève discussion qui a eu lieu en mars 1999 sur la liste de diffusion de l'association Guilde.( http://www.guilde.asso.fr/) La question de départ était «comment configurer une station Linux pour réduire les risques de pénétration par le réseau». Comme le propos n'est pas très spécifique à Linux, on a mis «Unix» dans le titre Plan Le fonctionnement des serveurs réseau Principes pour une bonne sécurité o Éliminer les services inutiles o Ne pas écouter le réseau o Utiliser la cryptographie Les fichiers de configuration o Serveurs standalone o Configurer inetd o Configurer tcpd o Quid de /etc/services? Exemples de fichiers de configuration o /etc/services o /etc/inetd.conf o /etc/hosts.allow et /etc/hosts.deny Le fonctionnement des serveurs réseau Les serveurs réseau sous Unix peuvent en général être lancés de deux façons différentes : en tant que serveurs indépendants (mode standalone) ou via inetd. Dans le premier cas, le serveur est lancé au démarrage de la machine et tourne en permanence jusqu'à son extinction. Il ne cesse d'écouter le port correspondant à son service et répond aux requêtes arrivant sur ce port. Lorsqu'un service passe par inetd, le serveur associé est lancé à la demande, uniquement lorsqu'une requête arrive sur le port associé. Inetd est une sorte de «méta-serveur» qui est à l'écoute de tous les ports associés aux services qui lui sont confiés. Quand inetd reçoit une requête, il lance le serveur concerné pour répondre à cette requête particulière. Tout cela paraît bien simple, n'est-ce pas? Eh bien comme c'est trop simple, on va rajouter une couche! Inetd n'étant pas très doué pour gérer la sécurité, on utilise tcpd comme intermédiaire entre inetd et les serveurs. Tcpd fait partie d'un paquetage appelé Tcp Wrappers. Le principe est le suivant : pour tous les services qui passent par inetd, on va expliquer à inetd que le serveur compétent est tcpd. Ce dernier va donc lui aussi fonctionner comme un méta-serveur et passer la main au vrai serveur, après avoir fait les contrôles de sécurité nécessaires. Certaines distributions de Linux utilisent maintenant xinetd. Xinetd est un méta-serveur qui réunit les fonctionnalités de inetd et de tcpd en un seul programme, plus des fonctionnalités supplémentaires. Principes pour une bonne sécurité Éliminer les services inutiles Chaque port qui est ouvert en écoute sur votre machine est un point d'entrée possible. Pour améliorer la sécurité, la première chose à faire est de supprimer tous les services dont on n'a pas l'utilité. La distinction entre un service utile et un gadget est évidemment très subjective et dépend du niveau de sécurité recherché.
Parfois on se rend compte qu'on a des services actifs dont on ignore l'utilité. Dans ce cas, le plus probable est qu'ils ne nous soient pas utiles. Dans le doute, on enlève donc le service en question, quitte à le remettre si on se rend compte ensuite qu'il servait vraiment à quelque chose. Si on est curieux, on peut aussi lire le manuel du serveur concerné, voire le RFC qui décrit le service. Le service auth : auth est susceptible d'être utilisé par tcpd, apache, sendmail (...) et irc. tcpd ajoute l'utilisateur dans les logs, sendmail dans l'enveloppe, apache dans une variable d'environnement. L'absence de identd n'est en principe jamais bloquante et de moins en moins de serveurs le proposent. À considérer comme un daemon de courtoisie pas trop sensible aux trous de sécurité. Pour savoir quels sont les services actifs sur le système, il suffit d'utiliser la commande netstat -atu. Il arrive qu'on voie un port ouvert avec netstat et qu'on se demande quel est est le processus qui est en écoute sur ce port. Pour le savoir, on utilise la commande fuser. Par exemple $ fuser -v telnet/tcp USER PID ACCESS COMMAND telnet/tcp root 259 f... inetd Ne pas écouter le réseau Certains services sont à peu près indispensables à une utilisation courante d'une station de travail. C'est par exemple le cas du serveur X, de XDM (ou équivalent) et du serveur d'impression. Pourtant, on n'a pas forcément besoin de rendre ces services disponibles à d'autres machines que celle sur laquelle ils tournent. Il est souvent possible de configurer ces services pour qu'ils n'écoutent pas le réseau. Deux possibilités se présentes : soit on demande au serveur de ne pas ouvrir le port de communication, soit on lui demande de l'ouvrir uniquement sur l'interface loopback. Ne pas ouvrir de port TCP ou UDP C'est le moyen le plus radical de rendre X et XDM indisponibles de l'extérieur. Les clients X locaux se connectent normalement au serveur en utilisant des sockets Unix. Le port TCP 6000 ouvert par le serveur ne sert donc qu'aux clients distants. On peut désactiver l'écoute de ce port en lançant le serveur X avec l'option -nolisten tcp : si vous utilisez startx, lancez-le avec la commande startx -- -nolisten tcp si vous utilisez XDM (ou équivalent), l'option doit être ajoutée dans /etc/x11/xdm/xservers. Chez moi ce fichier ressemble maintenant à ça : # This file should contain an entry to start the server on the # local display; [...] # :0 local /usr/x11r6/bin/x -nolisten tcp Attention quand même à avoir votre variable DISPLAY bien configurée. Elle doit valoir :0. Si vous la réglez à localhost:0 cela ne marchera pas. Dans le cas de XDM, les ports qu'il ouvre n'ont aucune utilité en local. Ils servent uniquement à recevoir des requêtes XDMCP en provenance de terminaux X. Si vous n'avez pas besoin de cette
fonctionnalité, vous pouvez la désactiver en donnant à XDM l'option -udpport 0. Ceci se fait dans le fichier /etc/inittab. Dans ma Mandrake, j'ai ça vers la fin de inittab : # Run xdm in runlevel 5 # xdm is now a separate service x:5:respawn:/etc/x11/prefdm -nodaemon -udpport 0 Ici prefdm est un wrapper qui lance kdm (ou gdm, au choix). Ces programmes comprennent les mêmes options que XDM. Ouvrir un port uniquement sur l'interface loopback Si votre serveur a absolument besoin d'ouvrir un port TCP ou UDP, vous pouvez peut-être lui demander de ne le faire que sur l'interface loopback. C'est par exemple le cas du serveur Web Apache, du serveur de Guinness guinnessd (option -a localhost) et du serveur d'impression CUPS. Pour ce dernier, on a remplacé dans /etc/cups/cupsd.conf la commande Port 631 par Listen 127.0.0.1:631. Utiliser la cryptographie Faire circuler des mots de passe en clair sur le réseau est dangereux. Si quelqu'un peut mettre un sniffeur sur notre réseau, il pourra récupérer les mots de passe. En milieu très corrosif, on remplace telnet, rshd et rlogind par ssh, on limite le ftp a l'anonymous. Il faudrait quand même signaler que l'utilisation de ssh pose des problèmes de légalité. En France, on n'a le droit d'utiliser librement un système cryptographiques que si la longueurs des clés de chiffrement utilisées est inférieure à une certaine limite. Cette limite est passée de 40 bits à 128 bits en mars 1999. Ssh utilisant des clés de 1024 bits, son usage est donc encore illégal en France. En attendant, l'in2p3 à mis au point un système nommé ssf compatible avec ssh mais avec des clefs limitées à 128 bits. Les fichiers de configuration Serveurs standalone C'est le plus compliqué. Étant donné que chaque serveur standalone gère tout seul son port de communication, c'est à lui de s'occuper de la sécurité de ce port. Il faut donc regarder au cas par cas en se rapportant à la documentation du serveur. Évidemment, la première chose à faire consiste à désactiver tous les serveurs inutiles! Pour ce faire, il faut modifier la liste des services qu'on active dans les niveaux d'exécution (runlevels) qu'on utilise. On peut faire ça à l'aide d'outils ad-hoc (linuxconf, ntsysv, chkconfig...) ou bien en déplaçant à la main les liens symboliques dans /etc/rc.d/rc<level>.d si on sait ce qu'on fait. Ces modifications n'étant prises en compte qu'au prochain redémarrage, il faut aussi tuer les serveurs qui tournent déjà. Oui, évidemment, on peut aussi réamorcer la machine pour obtenir ce résultat, mais c'est pas très pratique. La façon propre de tuer ces serveurs consiste à utiliser les scripts qui s'occupent normalement de leur lancement et de leur arrêt. Par exemple, si on veut arrêter sendmail, on tape /etc/rc.d/init.d/sendmail stop. Configurer inetd La configuration ici est assez simple : il suffit de dire à inetd de quels services on veut qu'il s'occupe. Ceci se fait via le fichier de configuration /etc/inetd.conf qui est décrit dans la page de manuel de inetd. Comme par défaut on a dans un système vierge un inetd.conf assez complet, tout ce qu'on a à faire consiste à mettre en commentaire les services dont on ne veut pas et à s'assurer que ceux qu'on
veut ne sont pas en commentaire. Vous remarquerez que dans la configuration par défaut inetd renvoie toutes les requêtes vers tcpd. Quand on a modifié /etc/inetd.conf, il faut demander à inetd de relire son fichier de configuration. Ceci se fait en lui envoyant le signal SIGHUP avec la commande killall -HUP inetd. Attention : si vous n'êtes pas sous Linux, lisez man killall avant d'utiliser cette commande. Configurer tcpd Jusqu'ici, la gestion de la sécurité paraît assez brutale. Un service est disponible pour les clients potentiels ou il ne l'est pas. Avec tcpd, on peut avoir une gestion plus fine en précisant quels clients ont accès à quels services. Ceci se fait via les fichiers de configuration /etc/hosts.allow et /etc/hosts.deny documentés dans la page de manuel de hosts_access. Attention, si vous tapez man hosts_access vous risquez de tomber sur la documentation de la bibliothèque de tcpd. Il faut faire man 5 hosts_access pour trouver la documentation de ces fichiers. Quid de /etc/services? /etc/services n'est pas un fichier de configuration mais un fichier de définition. Il permet d'établir la correspondance entre les noms des services et les numéros de ports associés. On peut éditer ce fichier mais uniquement pour ajouter des définitions de services. La référence pour les services standards se trouve dans le RFC assigned numbers. Le dernier en date porte le numéro 1700. Exemples de fichiers de configuration /etc/services Non, je ne donnerai pas de fichier /etc/services. Celui que vous avez par défaut dans votre système est très bien. Sinon, vous pouvez recopier la section ad-hoc du RFC 1700. À titre purement indicatif, voici les lignes que j'ai ajoutées au fichier que j'ai eu d'origine : ipp 631/tcp # Internet Printing Protocol 1.1 ipp 631/udp # Internet Printing Protocol 1.1 xdmcp 177/tcp # XDM Control Protocol xdmcp 177/udp # XDM Control Protocol x11 6000/tcp # X Window System x11 6000/udp # X Window System afpovertcp 548/tcp # AFP over TCP afpovertcp 548/udp # AFP over TCP netbus 12345/tcp # Net Bus bo 31337/udp # Back Orifice Il y a un point un peu discutable ci-dessus à propos de X11. En fait le port 6000 correspond au display 0. Dans le cas général, c'est le port 6000 + numéro_de_display qui est utilisé. /etc/inetd.conf td.conf
C'est juste un exemple. En supposant que je veux avoir ftp, telnet, talk, ntalk et auth, ce fichier devrait ressembler à ça : ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd talk dgram udp wait root /usr/sbin/tcpd in.talkd ntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd auth stream tcp nowait nobody /usr/sbin/in.identd in.identd -l -e -o Plus, évidemment plein de lignes en commentaire qu'on garde dans le fichier pour pouvoir facilement ajouter des services. /etc/hosts.allow et /etc/hosts.deny Ces deux fichiers fonctionnent ensemble. Le premier décrit quelles sont les connexions qu'on autorise. Le deuxième décrit quelles sont celles qu'on interdit. Si une connexion n'est ni autorisée ni interdite, ou bien si elle est à la fois autorisée et interdite, alors elle est acceptée. Le plus souvent on veut interdire tout ce qui n'est pas explicitement autorisé. Ceci s'obtient très facilement avec le fichier /etc/hosts.deny suivant : ALL: ALL Ensuite il ne reste plus qu'à donner dans /etc/hosts.allow la liste de ce qu'on autorise. C'est ici que ça devient très dépendant de la situation de chacun. Juste pour l'exemple, supposons qu'on veuille autoriser tous les services disponibles à toutes les machines du réseau local, et aussi autoriser quelques services (rsh, finger) à tout l'internet. /etc/hosts.allow ressemblera alors à ça : ALL: LOCAL in.rshd, in.fingerd: ALL Je vous conseille vivement de lire man 5 hosts_access avant de remplir ces fichiers. Si le niveau de fonctionnalités de tcpd ne vous suffit pas, vous pouvez envisager d'installer xinetd. Configurer Squid comme serveur proxy sous Linux Résumé: Linux est devenu synonyme de mise en réseau. Il est utilisé aussi bien au bureau qu'à la maison comme serveur de fichiers, d'impression, de courrier ou d'applications et il est de plus en plus souvent serveur "proxy". Squid est un logiciel qui autorise le proxy, le cache des protocoles HTTP, ftp, gopher, etc. Il supporte également SSL, les contrôles d'accès, le cache de DNS et fournit une trace complète (log) de toutes les requêtes. Squid est aussi disponible pour Windows NT chez Logi Sense. L'objet de cet article est de proposer des lignes directrices pour la configuration d'un serveur proxy et les moyens de fournir un accès contrôlé aux utilisateurs. Squid est-il installé? Le fichier rpm Squid est inclus dans la distribution RedHat 7.1 ou plus et s'installe automatiquement si l'option réseau est sélectionnée. La commande rpm ci-dessous permet de vérifier sa présence : rpm -q squid La dernière version de Squid est toujours disponible sur la page Squid : http://www.squid-cache.org/ et ses sites miroirs. Squid peut être installé sur un système par la commande :
rpm -ivh squid-2.3.stable4-10.i386.rpm Configurer Squid Le fonctionnement et le comportement de Squid sont gérés par les indications de configuration figurant dans le fichier squid.conf; ce fichier est en général placé dans le répertoire /etc/squid. Préparer ce fichier est une opération de longue haleine, car il comporte de nombreuses pages, mais chaque option est accompagnée d'explications précises. La première chose à définir est la valeur http_port, qui spécifie le numéro de port que Squid va écouter pour satisfaire les requêtes des clients; c'est par défaut 3128, mais ce peut être une autre valeur à votre convenance. En même temps que ce numéro de port, vous pouvez préciser l'adresse IP de la machine qui exécute Squid; par exemple : http_port 192.168.0.1:8080 Cette déclaration lie Squid à l'adresse IP 192.168.0.1 sur le port 8080. Tout numéro de port est utilisable; mais assurez-vous qu'aucune autre application n'utilise le port choisi. Des lignes semblables permettent de déclarer d'autres ports pour d'autres services. Contrôle d'accès Les possibilités de contrôler l'accès à Internet sont nombreuses, comme limiter cet accès à des plages horaires particulières, fournir des informations depuis le cache, autoriser seulement certains sites ou groupes de sites, etc... Squid dispose pour ces contrôles de deux types de composants : les éléments ACL (Access Control List) et la liste d'accès. Une liste d'accès, autorise ou refuse l'accès au service. Ci-dessous quelques uns des plus importants éléments ACL src : Source c-à-d. l'adresse IP du client dst : Destination c-à-d. l'adresse IP du serveur srcdomain : Source c-à-d. le nom de domaine du client dstdomain : Destination c-à-d. le nom de domaine du serveur time : Heure du jour et jour de la semaine url_regex : Expression régulière décrivant une catégorie d'url urlpath_regex: Expression régulière décrivant un ensemble d'url sans le protocole ni le nom d'hôte proxy_auth : Procédé externe d'authentification d'un utilisateur maxconn : Nombre maximum de connexions pour une adresse IP cliente Pour activer le contrôle, il faut d'abord définir un ensemble d'acl et ensuite y appliquer des règles. Le format d'une ACL suit la syntaxe acl acl_element_name type_of_acl_element values_to_acl Note : 1. acl_element_name peut être n'importe quel nom attribué par l'utilisateur à un élément ACL. 2. Deux éléments distincts ne peuvent avoir le même nom. 3. Chaque ACL est une liste de valeurs. Pendant la vérification, les valeurs multiples utilisent un OU logique. Autrement dit un élément ACL correspond si l'une des valeurs est reconnue. 4. Tous les éléments ACL ne sont pas utilisables avec tous les types de listes d'accès. 5. Différents éléments ACL occupent plusieurs lignes et Squid les amalgame en une seule liste. Différentes listes d'accès sont disponibles. Celles que nous utiliserons sont décrites ci-dessous http_access: Autorise les clients HTTP à accèder au port HTTP. C'est l'acl primaire.
no_cache: Définit le cache pour les réponses aux requêtes Une règle de liste d'accès comporte les mots allow ou deny; ce qui autorise ou refuse un service pour un élément ACL particulier ou pour un groupe d'éléments. Note: 1. Les règles sont vérifiées dans l'ordre où elles ont été écrites et se terminent dès qu'une correspondance a été établie. 2. Une ACL peut comporter plusieurs règles. 3. Si aucune correspondance n'est trouvée, l'action par défaut est l'inverse de la dernière règle de la liste; il est donc préférable d'être explicite sur l'action par défaut. 4. Tous les éléments d'une même entrée d'accès sont associés par un ET s'exécutant de la manière suivante http_access Action statement1 AND (ET) statement2 AND (ET) statement OR (OU). http_access Action statement3 Des règles multiples de http_access sont comparées par des OU alors que les règles d'une entrée d'accès sont associées par des ET. 5. Rappelez-vous que les règles sont lues de haut en bas. Retour à la configuration Par défaut, Squid ne fournit aucun accès aux clients et vous devez modifier les contrôles pour le leur donner. Il faudra au moins une règle pour autoriser l'accès. Dans le fichier squid.conf allez jusqu'à la ligne http_access deny all, et insérez les lignes suivantes au-dessus: acl mynetwork 192.168.0.0/255.255.255.0 http_access allow mynetwork mynetwork est le nom ACL et la ligne suivante est la règle qui s'applique. 192.168.0.0 désigne l'adresse réseau dont le masque correspond à 255.255.255. mynetwork est le nom du groupe de machines du réseau et la règle suivante autorise l'accès aux clients. Ces modifications et la définition de la valeur http_port suffisent à rendre Squid opérationnel. Vous pouvez le lancer par la commande service squid start Note : Squid peut aussi être lancé automatiquement au démarrage du système en l'activant dans ntsysv ou setup (System Service Menu). Après toute modification de squid.conf, le processus Squid doit être arrêté, puis redémarré pour que la nouvelle configuration soit prise en compte. Ces deux étapes s'effectuent par les commandes suivantes 1. service squid restart ou 2. /etc/rc.d/init.d/squid restart Configuration d'une machine cliente Puisque le service fourni utilise un port particulier du serveur, les machines clientes doivent bien sûr être configurées en conséquence. Nous supposons que ces machines sont déjà connectées sur le réseau local (avec une adresse IP valide) et sont capables d'établir un 'ping' vers le serveur Linux. Pour Internet Explorer 1. Aller dans Outils -> Options Internet 2. Sélectionner l'onglet Connexion puis cliquer sur Réseau Local
3. Cocher Serveur Proxy et entrer l'adresse IP de celui-ci et le numéro de port sur lequel il écoute les requêtes (http_port address). Pour Netscape Navigator 1. Aller dans Edition -> Préférences -> Avancées -> Proxies. 2. Cocher le bouton Configuration manuelle du proxy. 3. Cliquer sur le bouton Afficher& 4. Entrer l'adresse IP du serveur proxy et le numéro de port sur lequel il écoute les requêtes (http_port address). Utiliser le contrôle d'accès Les contrôles d'accès et les règles multiples offrent une grande souplesse dans le contrôle des accès clients à Internet. Des exemples très courants sont donnés ci-dessous; cela ne signifie pas du tout que ce soient les seuls disponibles. 1. Autoriser l'accès à Internet à certaines machines acl allowed_clients src 192.168.0.10 192.168.0.20 192.168.0.30 http_access allow allowed_clients http_access deny!allowed_clients Seules les machines dont l'adresse IP est égale à 192.168.0.10, 192.168.0.20 et 192.168.0.30 ont accès à Internet et les autres (dont l'adresse n'est pas listée) se voient refuser ce service. 2. Restreindre l'accès selon les heures et les jours acl allowed_clients src 192.168.0.0/255.255.255.0 acl regular_days time MTWHF 10:00-16:00 http_access allow allowed_clients regular_days http_access deny allowed_clients Tous les clients du réseau 192.168.0.0 peuvent accèder à Internet du Lundi au Vendredi de 10h du matin à 4h de l'après-midi. 3. Plusieurs plages horaires selon le client acl hosts1 src 192.168.0.10 acl hosts2 src 192.168.0.20 acl hosts3 src 192.168.0.30 acl matin time 10:00-13:00 acl lunch time 13:30-14:30 acl soir time 15:00-18:00 http_access allow host1 matin http_access allow host1 soir http_access allow host2 lunch
http_access allow host3 soir http_access deny all La règle ci-dessus donne l'accès à la machine host1 aux heures du matin et du soir; mais host2 et host3 n'accèdent, respectivement, qu'à l'heure du repas de midi et aux heures du soir. Note: Tous les éléments figurant dans la même entrée d'accès sont associés par un ET et exécutés de la manière suivante http_access Action statement1 AND (ET) statement2 AND (ET) statement OR (OU) Des règles multiples de http_access sont comparées par des OU alors que les règles d'une entrée d'accès sont associées par des ET; pour cette raison la règle http_access allow host1 matin soir ne fonctionnerait jamais (soir ET matin) puisqu'elle ne serait jamais vérifiée. 4. Interdire des sites Squid peut interdire l'accès à un site ou des sites qui contiennent tel ou tel mot. Ceci peut être obtenu ainsi acl allowed_clients src 192.168.0.1/255.255.255.0 acl banned_sites url_regex abc.com *()(*.com http_access deny banned_sites http_access allow allowed_clients De la même façon, il est possible de bloquer l'accès à partir d'un mot, par ex. dummy, fake acl allowed_clients src 192.168.0.1/255.255.255.0 acl banned_sites url_regex dummy fake http_access deny banned_sites http_access allow allowed_machines Etablir ici la liste des sites et des mots à proscrire n'est guère pratique; cette liste peut être établie séparément (ici dans banned.list dans le répertoire /etc) et le mécanisme ACL viendra lire les informations nécessaires aux blocages désirés. acl allowed_clients src 192.168.0.1/255.255.255.0 acl banned_sites url_regex "/etc/banned.list" http_access deny banned_sites http_access allow allowed_clients 5. Pour optimiser l'usage Squid peut limiter le nombre de connexions d'une machine cliente grâce à l'élément maxconn. Pour l'utiliser, activer d'abord la fonction client_db. acl mynetwork 192.168.0.0/255.255.255.0 acl numconn maxconn 5 http_access deny mynetwork numconn Note: l'acl maxconn utilise la comparaison "inférieur à". Elle s'active lorsque le nombre de
connexion est plus grand que la valeur donnée. C'est pourquoi elle n'est pas utilisée avec la règle http_access allow. 6. Mise en cache des données La réponse à une requête est mise en cache immédiatement, ce qui est excellent dans le cas des pages statiques. Il n'est pas nécessaire de cacher cgi-bin ou Servlet : on utilisera pour cela l'élément ACL no_cache. acl cache_prevent1 url_regex cgi-bin /? acl cache_prevent2 url_regex Servlet no_cache deny cache_prevent1 no_cache deny cache_prevent2 7. Définir vos propres messages d'erreur Chaque règle deny offre la possibilité, grâce à l'option deny_info de définir un message d'erreur. Tous les messages par défaut de Squid sont placés dans le répertoire /etc/squid/errors. Le répertoire d'erreurs peut être changé par l'option error_directory. Vous pouvez aussi personnaliser les messages existants. acl allowed_clients src 192.168.0.1/255.255.255.0 acl banned_sites url_regex abc.com *()(*.com http_access deny banned_sites deny_info ERR_BANNED_SITE banned_sites http_access allow allowed_clients Dans cet exemple, une tentative d'accès aux sites bannis entraîne un message spécial. Le fichier de nom ERR_BANNED_SITE doit bien sûr exister dans le répertoire des erreurs. Ce fichier doit être au format HTML. Ces exemples ne montrent qu'une petite partie des possibilités d'acl; pour en voir d'autres allez sur la Foire Aux Questions du serveur Squid pour d'autres informations et des explications sur les autres éléments ACL. Fichiers de trace (Log) Tous les 'logs' de Squid se trouvent dans le répertoire /var/log/squid; il y a des logs pour le cache, les accès et l'utilisation du disque. Le fichier access.log garde trace des requêtes des clients, de leur activitè, et fournit une ligne pour chaque requête HTTP& ICP reçue par le serveur proxy, adresse IP du client, méthode d'interrogation, URL demandée, etc. Les données de ce fichier peuvent être analysées pour disposer d'information sur les accès. Des programmes comme sarg, calamaris, Squid- Log-Analyzer sont disponibles pour analyser ces données et génèrent des rapports (au format HTML). Ces rapports peuvent être établis par utilisateurs, adresses IP, sites visités, etc. Les options suivantes permettent de modifier la destination de ces fichiers de trace : cache_access_log pour access.log cache_log pour cache.log cache_store_log pour store.log (gestion du stockage) pid_filename nom indiquant l'id du processus Squid Méthodes d'authentification La configuration par défaut de Squid ne demande aucune identification des utilisateurs. Pour authentifier ces derniers, c-à-d. pour n'autoriser que les utilisateurs valides (depuis n'importe quelle
machine du réseau) à accéder à Internet, Squid s'appuiera sur un programme externe, pour lequel un nom d'utilisateur et un mot de passe sont requis. Ceci est obtenu par proxy_auth ACL et authenticate_program; qui forcent un utilisateur à donner son nom et son mot de passe avant d'autoriser l'accès. Ces programmes sont nombreux, et parmi eux on trouve 1. LDAP : se base sur le protocole Linux Lightweight Directory Access 2. NCSA : utilise un fichier de noms d'utilisateur et de mots de passe de style NCSA 3. SMB : utilise un serveur SMB comme SAMBA ou Windows NT 4. MSNT : utilise l'authentification de domaine Windows NT 5. PAM : utilise les modules Linux "Pluggable Authentication Modules" 6. getpwam : utilise le fichier passwd de Linux. Vous indiquerez votre choix grâce à l'option authenticate_program. Assurez-vous d'abord que le programme choisi est installé et fonctionne correctement. Les modifications dans squid.conf devraient maintenant contenir le même programme d'authentification /usr/local/bin/pam_auth acl pass proxy_auth REQUIRED acl mynetwork src 192.168.0.1/255.255.255.0 http_access deny!mynetwork http_access allow pass http_access deny all Le programme d'authentification PAM est utilisé et chaque utilisateur doit s'authentifier avant d'accéder à Internet. Des options comme authenticate_ttl et authenticate_ip_ttl permettent aussi de modifier le comportement du processus d'authentification, c-à-d de forcer la revalidation du nom d'utilisateur et du mot de passe. Références : Cet article se contente d'effleurer la partie visible de l'iceberg Squid; pour plus ample information, visitez ces sites web : Squid, www.squid-cache.org Documentation du projet Squid, squid-docs.sourceforge.net Introduction à SSL SSL SSL (Secure Sockets Layers, que l'on pourrait traduire par couche de sockets sécurisée) est un procédé de sécurisation des transactions effectuées via Internet. Le standard SSL a été mis au point par Netscape, en collaboration avec Mastercard, Bank of America, MCI et Silicon Graphics. Il repose sur un procédé de cryptographie par clef publique afin de garantir la sécurité de la transmission de données sur internet. Son principe consiste à établir un canal de communication sécurisé (chiffré) entre deux machines (un client et un serveur) après une étape d'authentification. Le système SSL est indépendant du protocole utilisé, ce qui signifie qu'il peut aussi bien sécuriser des transactions faites sur le Web par le protocole HTTP que des connexions via le protocole FTP, POP ou IMAP. En effet, SSL agit telle une couche supplémentaire, permettant d'assurer la sécurité des données, située entre la couche application et la couche transport (protocole TCP par exemple).
De cette manière, SSL est transparent pour l'utilisateur (entendez par là qu'il peut ignorer qu'il utilise SSL). Par exemple un utilisateur utilisant un navigateur Internet pour se connecter à un site de commerce électronique sécurisé par SSL enverra des données chiffrées sans aucune manipulation nécessaire de sa part. La quasi intégralité des navigateurs supporte désormais le protocole SSL. Netscape Navigator affiche par exemple un cadenas verrouillé pour indiquer la connexion à un site sécurisé par SSL et un cadenas ouvert dans le cas contraire, tandis que Microsoft Internet Explorer affiche un cadenas uniquement lors de la connexion à un site sécurisé par SSL. sous Internet Explorer sous Mozilla Un serveur web sécurisé par SSL possède une URL commençant par https://, où le "s" signifie bien évidemment secured (sécurisé). Au milieu de l'année 2001, le brevet de SSL appartenant jusqu'alors à Netscape a été racheté par l'ietf (Internet Engineering Task Force) et a été rebaptisé pour l'occasion TLS (Transport Layer Security). Fonctionnement de SSL 2.0 La sécurisation des transactions par SSL 2.0 est basée sur un échange de clés entre client et serveur. La transaction sécurisée par SSL se fait selon le modèle suivant : Dans un premier temps, le client se connecte au site marchand sécurisé par SSL et lui demande de s'authentifier. Le client envoie également la liste des cryptosystèmes qu'il supporte, triée par ordre décroissant selon la longueur des clés. Le serveur a réception de la requête envoie un certificat au client, contenant la clé publique du serveur, signée par une autorité de certification (CA), ainsi que le nom du cryptosystème le plus haut dans la liste avec lequel il est compatible (la longueur de la clé de chiffrement - 40 bits ou 128 bits - sera celle du cryptosystème commun ayant la plus grande taille de clé). Le client vérifie la validité du certificat (donc l'authenticité du marchand), puis crée une clé secrète aléatoire (plus exactement un bloc prétendument aléatoire), chiffre cette clé à l'aide de la clé publique du serveur, puis lui envoie le résultat (la clé de session). Le serveur est en mesure de déchiffrer la clé de session avec sa clé privée. Ainsi, les deux entités sont en possession d'une clé commune dont ils sont seuls connaisseurs. Le reste des transactions peut se faire à l'aide de clé de session, garantissant l'intégrité et la confidentialité des données échangées. SSL 3.0 SSL 3.0 vise à authentifier le serveur vis-à-vis du client et éventuellement le client vis-à-vis du serveur.
Mise en place du SSL avec IIS 5.0 dans un domaine Windows 2000 Introduction 1. Installation du serveur Web d'internet Information Services (IIS) 2. Mise en place d'une autorité de certification 3. Création d'un certificat par l'autorité de certification et mise en place de celui ci 4. Configuration d'iis pour sécuriser le site avec SSL Conclusion Introduction Les trames circulant sur un réseau n'étant pas cryptées il est donc potentiellement possible de les intercepter pour en extraire le contenu. Pour des données sensibles, cela n'est pas satisfaisant. Nous allons étudier une solution envisageable pour sécuriser les données circulant sur notre Intranet. Il s'agît du cryptage SSL qui est largement employé sur Internet pour rendre confidentiel les échanges au travers du réseau des réseaux. Internet Information Services propose bien évidemment la prise en charge de ce protocole pour sécuriser les données transmises sur le réseau entre le serveur Web et un client, Ce procédé repose en fait sur l'utilisation de certificats. Nous allons également nous appuyer sur l'annuaire Active Directory. Voyons maintenant comment mettre en place cette technique de manière concrète. Voici tout d'abord les outils utilisés ici : Microsoft Windows 2000 Server L'annuaire Active Directory L'autorité de certification intégrée de Windows 2000 Server Internet Information Services 5.0 1. Installation du serveur Web d'internet Information Services (IIS) En premier lieu il faut installer le serveur Web IIS, à moins que celui-ci soit déjà installé sur un serveur du réseau. Pour l'installer, rien de compliqué, voici les opérations à réaliser : Dans le panneau de configuration, aller dans "Ajout/Suppression de programmes" Cliquer sur "Ajouter/Supprimer des composants Windows" Cocher la case "Services Internet (IIS)" puis cliquer sur "Détails" Il faut alors cocher les composants suivants: Composant logiciel enfichable des services Internet (IIS) Fichiers communs Gestionnaire des services Internet (HTML) Serveur World Wide Web Cliquer sur "Ok", puis sur "Suivant". Le système demande d'insérer le CD. La copie des fichiers débute puis l'installation se termine. Notre serveur est maintenant opérationnel et apte à délivrer du contenu aux clients s'y connectant. 2. Mise en place d'une autorité de certification Le cryptage des pages Web par SSL s'appuient sur les certificats. Ces derniers permettent d'identifier avec certitude une entité par l'intermédiaire de différentes informations qu'ils intègrent. Ils contiennent les clés assurant le cryptage et décryptage des données. Le certificat peut être délivré de deux manières, soit par une société spécialisée en la matière (VeriSign par exemple), soit par une autorité
de certification directement installée sur le réseau. C'est le rôle du service de certificat de Windows 2000. Comme la sécurisation à réaliser est celle de l'intranet il n'est pas nécessaire d'avoir un certificat issu d'une société spécialisée (c'est-à-dire d'un tiers de confiance), d'autant plus que cela est payant. Il faut donc installer l'autorité de certification fournie avec Windows 2000 Server. Comme nous sommes sur un réseau utilisant Active Directory nous allons installer une autorité de certification d'entreprise qui prend en charge cet annuaire. Voici la démarche à suivre pour installer cette autorité: Aller dans le panneau de configuration, puis "Ajout/Suppression de programmes", "Ajout/suppression de composants Windows", et cocher "Services Il est alors précisé qu'il ne sera alors plus possible de renommer l'ordinateur, il faut cliquer sur "oui" puis sur "Suivant" Choisir "Autorité de certification d'entreprise" puis cliquer sur "Suivant" Il ne faut pas changer les options de clés, cela n'est pas nécessaire Remplir les informations à propos de l'autorité de certification et cliquer sur Suivant Choisir l'emplacement de la base de données de certificats et de son journal. Il n'est pas nécessaire de changer l'emplacement par défaut. L'installation et la configuration du service commence, il est possible qu'il faille fournir le CD de Windows 2000 Server. L'autorité de certification est gérée comme tous les autres services de Windows grâce à une MMC. Elle permet d'effectuer des opérations sur les certificats (révocation par exemple), de voir quels certificats sont crées, quelles demandes sont en attente 3. Création d'un certificat par l'autorité de certification et mise en place de celui ci Maintenant que nous avons l'autorité de certification nous permettant de délivrer des certificats, il faut en créer un. Un certificat (un fichier en réalité), nous assurera de l'identité du serveur Web et permettra l'établissement d'une communication sécurisée grâce à SSL entre le serveur Web et le client. Voici les étapes à réaliser : Aller dans la console "Gestionnaire des services Internet" puis dans "Propriétés du site Internet", se rendre dans l'onglet "Sécurité du répertoire"> Communications sécurisées > Certificat de serveur > Assistant certificat de serveur Web> Cliquer sur "Suivant" Sélectionner "Créer un certificat" et cliquer sur "Suivant" Sélectionner "Préparer la demande, mais ne pas l'envoyer maintenant" et cliquer sur "Suivant". Donner un nom au certificat, choisir la longueur de la clé et cliquer sur "Suivant"
Donner le nom de l'organisation et de l'unité d'organisation, cliquer sur "Suivant" Donner le nom du serveur (ou nom de domaine DNS si il existe) Donner le nom du pays, du département et de la ville. Cliquer sur "Suivant" Mettre le nom et le chemin du fichier de demande Un récapitulatif des informations est donné Cliquer sur "Terminer" Ensuite, il faut créer le certificat lui-même et pour cela utiliser un navigateur Web. Aller sur http://nom_du_serveur_de_certificat/certsrv/ et sélectionner "Demander un certificat" Sélectionner "Demande avancée". Puis cliquer sur "Suivant". Sélectionnez le type de demande que vous voulez effectuer : créer un certificat pour serveur Web. Cliquer sur "Suivant". Sélectionner "Soumettre une demande de certificat en utilisant un fichier crypté en Base64 PKCS #10 ou une demande de renouvellement en utilisant un fichier crypté en Base64 PKCS #7" puis cliquer sur "Suivant". Il faut à ce moment copier le contenu du fichier "demande_certif_test.txt" qui a été créé précédemment, choisir "Serveur Web" comme modèle de certificat et cliquer sur "Soumettre". Le certificat est créé par l'autorité de certification et apparaît alors "Le certificat que vous avez demandé a été émis." Il faut maintenant associer le certificat crée au site Internet en retournant dans la console Gestionnaire des services Internet. Se rendre dans l'onglet "Sécurité du répertoire"> Communications sécurisées > Certificat de serveur Il faut alors effacer la demande en cours puisque le certificat à été créé. Reprendre l'opération "Communications sécurisées" > "Certificat de serveur". Sélectionner "Attribuer un certificat existant" > "Suivant" > Choisir le bon certificat > "Suivant" > "Suivant" > "Terminer" Le certificat est alors associé au site, il est possible d'utiliser le protocole SSL pour sécuriser la communication. Pour cela, il suffit d'ajouter un "s" après le http, ce qui donne https://mon_serveur_web.
4. Configuration d'iis pour sécuriser le site avec SSL A ce stade, nous avons tous les éléments pour sécuriser les échanges entre notre serveur et ses clients. Il s'agît désormais de configurer correctement le serveur, ce qui permettra de sécuriser l'accès au site et d'utiliser uniquement SSL pour se connecter a l'intranet en entier ou en partie en fonction de ce qui est souhaité. On va ici s'appuyer sur Active Directory pour réglementer les accès. Les autorisations seront donc en relation avec la définition des droits de l'utilisateur dans l'annuaire. Dans "Gestionnaire des services Internet", aller dans les propriétés du site Intranet concerné sur l'onglet "Sécurité du répertoire". Cliquer sur "Modifier" de la partie "Accès anonyme et contrôle d'authentification". Il faut décocher "Accès anonyme" et cocher "Authentification intégrée de Windows", ainsi seul les utilisateurs ayant un compte dans l'active Directory pourront accéder à l'intranet ou du moins à la partie concernée, puis cliquer sur "Ok" Cliquer sur "Modifier" dans la partie "Communications sécurisées" Cocher "Exiger un canal sécurisé (SSL)" Cliquer sur "Ok", puis de nouveau sur "Ok" Conclusion L'accès est désormais réglementé et sécurisé, puisque l'on utilise l'authentification intégrée de Windows qui s'appuie sur l'annuaire Active Directory. La sécurisation est assurée par un cryptage SSL. Il est bien évidemment possible de configurer cela pour l'ensemble du site ou pour chaque partie du site de manière très fine et indépendante, celas permet des configurations très élaborées. Il est également possible de réglementer de manière plus précise le contrôle d'accès en s'appuyant sur les autorisations NTFS. Nous avons vu ici une utilisation des certificats, mais ils peuvent pas exemple servir à crypter les données sur le disque dur ou à signer numériquement des documents. NTFS est un système de fichiers conçu pour Windows NT (et ses successeurs chez Microsoft) pour stocker des données sur disque dur. Il s inspire d HPFS, le système de fichiers conçu pour OS/2. Le sigle NTFS désigne en anglais New Technology File System (littéralement nouvelle technologie de système de fichiers). NTFS permet de : o mettre des droits très spécifiques (ACL :Access Control Lists) sur les fichiers et répertoires : lecture, écriture, exécution, appropriation, etc. o chiffrer des fichiers avec EFS (Encrypting File System) o compresser des fichiers o d'établir des quotas par volume
Sécurisation d'un serveur Apache Apache est un serveur web très populaire, performant, et sa conception modulaire le dote d'une grande richesse fonctionnelle. Découvrez comment le sécuriser et le rôle de ses modules. Le serveur... Il est très facile de découvrir quel serveur tourne sur un site web comme le montre l'exemple suivant : $ telnet localhost 80 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. HEAD / HTTP/1.0 HTTP/1.1 200 OK Date: Sat, 02 Jun 2001 13:11:40 GMT Server: Apache/1.3.14 (Unix) (Red-Hat/Linux) PHP/4.0.3pl1 mod_perl/1.24 Connection: close Content-Type: text/html Connection closed by foreign host. Un pirate apprend que le serveur Apache tourne sous une distribution RedHat et que les langages Perl et PHP sont actifs. On limite la divulgation d'information en insérant dans le fichier de configuration, /etc/httpd/conf/httpd.conf pour une RedHat, la ligne ServerTokens Prod. Ainsi, la bannière Server: Apache/1.3.14 (Unix) (Red-Hat/Linux) PHP/4.0.3pl1 mod_perl/1.24 se limite à Server: Apache. Cette option n'apparaît pas toujours dans le fichier de configuration (enfin, c'est le cas pour ma RedHat et ma Mandrake...), alors ajoutez-la rapidement. Cela ne suffit toujours pas à masquer la version d'apache : si vous demandez une page inexistante, Apache renvoie une page d'erreur 404 avec en bas de la page, le message Apache/1.3.14 Server at www.mon-serveur.org Port 80 qui révèle la version du serveur d'apache. Pour empêcher cela, il faut désactiver l'insertion de la signature du serveur avec la commande ServerSignature Off. Utiliser ErrorDocument 404 /missing.html pour définir votre propre page d'erreur 404. Limitations contre les DoS (Denial of Service) De façon à limiter la portée des attaques de type Denial of Service, il est conseillé de limiter le nombre de connexions simultanées MaxClients et en particulier le nombre de connexions persistantes MaxKeepAliveRequests. Celles-ci sont apparues avec la norme HTTP 1.1. Elles permettent d'effectuer des requêtes successives lors de la même connexion, ce qui augmente les performances du serveur. L'utilisation d'un timeout empêche les connexions sans fin. Exemple pour un petit serveur : MaxClients 150 KeepAlive On MaxKeepAliveRequests 100 KeepAliveTimeout 5 Bien définir un virtual host Apache permet la définition de Virtual Host, c'est-à-dire que le même serveur peut héberger, y compris sur une même adresse IP, plusieurs sites différenciés par leur nom. Pour limiter les risques liés à une panne des serveurs DNS ou à des manipulations frauduleuses, il convient de définir le VirtualHost par une adresse IP puis de préciser son nom.
<VirtualHost 194.57.201.103> ServerName www.esiea.fr... </VirtualHost> Gérer ses fichiers de log Apache permet de définir ses propres formats LogFormat pour les enregistrements dans les fichiers de log. LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined LogFormat "%h %l %u %t \"%r\" %>s %b" common LogFormat "%{Referer}i -> %U" referer LogFormat "%{User-agent}i" agent Ensuite, on enregistre les informations de log précisées par le format dans le fichier de son choix CustomLog /var/log/httpd/access_log common. Suivant l'utilisation de ces fichiers de logs (reporting,...), il peut être intéressant de faire apparaître le nom des machines se connectant au serveur web au lieu de leur adresse IP : HostnameLookups On active la résolution inverse. Gestion des droits Nous présenterons ici les mesures préventives liées aux fichiers contenus dans l'arborescence du serveur web. Directory, Files, Location La gestion des accès est effectuée par le module mod_access. On manipule principalement trois catégories d'objets : Directory désigne un répertoire du serveur ; Location une arborescence du serveur web ; Files un fichier.. Voici un exemple un peu farfelu extrait du manuel d'apache, qui autorise la consultation du répertoire /docroot aux personnes utilisant le brower KnockKnock/2.0. Si vous voulez restreindre la consultation d'une partie de votre site aux personnes n'utilisant pas I.E., vous n'aurez pas trop de difficultés. BrowserMatch ^KnockKnock/2.0 let_me_in <Directory /docroot> order deny,allow deny from all allow from env=let_me_in </Directory> Mesure défensive Plus sérieusement, il est fortement conseillé de tout interdire par défaut : <Directory /> Order deny,allow
Deny from all </Directory> Ensuite, il ne reste qu'à valider l'accès aux répertoires correspondant aux sites Order indique dans quel ordre les directives deny et allow sont évaluées. Deny from all interdit l'accès depuis partout. On aurait pu indiquer un nom de machine, un nom de domaine, une adresse IP, un couple IP/masque de réseau. Options, AllowOverride Options contrôle le suivi des liens symboliques FollowSymLinks/SymLinksIfOwnerMatch ; l'exécution des scripts CGI ExecCGI ; les Server Side Includes Includes et IncludesNOEXEC ; la génération de pages d'index Indexes en l'absence de celles-ci ; ainsi que l'orientation multilingue MultiViews. All regroupe les différentes options sauf MultiViews, None supprime les options. MultiViews redirige une demande pour index.html vers index.html.en ou index.html.fr selon la préférence signalée par le navigateur au serveur web. Il est important d'être le plus restrictif possible par défaut, je conseille de n'autoriser que le suivi des liens symboliques où liens et destinations ont le même propriétaire : <Directory /> Options SymLinksIfOwnerMatch AllowOverride None </Directory /> Un pirate pouvant écrire dans un répertoire du serveur web, par exemple via un partage NFS, peut en profiter pour accéder au fichier /etc/passwd via un lien symbolique si l'option FollowSymLinks est présente, Includes ou ExecCGI permet d'exécuter des programmes... En un mot, soyez prudent. La directive AllowOverride peut prendre n'importe quel paramètre qu'aurait pris Options. Protection par mot de passe Le module mod_auth permet de protéger l'accès à un répertoire par mot de passe. En pratique, c'est souvent utiliser pour filtrer les accès à un sous-répertoires d'une page personnelle. <Directory /home/*/public_html> AllowOverride AuthConfig Options SymLinksIfOwnerMatch </Directory> ou pour bloquer l'accès à un répertoire déterminé <Location "/private"> Options None AllowOverride None AuthName "restricted stuff" AuthType Basic AuthUserFile "/etc/httpd/.passwd" require valid-user </Location>
Dans le cas des pages personnelles /home/*/public_html des utilisateurs, l'accès est déterminé par un fichier.htaccess que peut utiliser ou non un utilisateur, le nom du fichier même est défini dans la section générale de la configuration du serveur. Ce fichier protége l'accès au répertoire dans lequel il est placé ainsi que l'accès aux sous-répertoires. AllowOverride AuthConfig permet à ce fichier d'être pris en compte. Par précaution, il faut empêcher un utilisateur de les récupérer via le web : AccessFileName.htaccess <Files ~ "^\.ht"> Order deny,allow Deny from all </Files> Si on veut pouvoir définir explicitement des exceptions pour les fichiers.htpipo par exemple, il faut spécifier l'ordre allow puis deny pour que l'autorisation prime sur l'interdiction. Le fichier.htaccess contient les mêmes champs que pour le répertoire /private de l'exemple, c'est-àdire un nom qui apparaîtra sur la fenêtre de demande d'identification (AuthName), la méthode d'identification (AuthType), le fichier de mot de passe (AuthUserFile) et enfin require valid-user : AuthName "my restricted stuff" AuthType Basic AuthUserFile "/home/titi/.htpasswd" require valid-user... et ses modules Le serveur Apache s'articule sur un ensemble de modules qu'il convient de restreindre au strict nécessaire. Server Side Includes : mod_include Les SSI ont déjà été présentés lors du sixième article sur la programmation sécurisée. Il s'agit d'un vestige de l'époque où les Perl et PHP n'avaient pas encore fait leurs apparitions. Il est fortement conseillé de le supprimé ou de ne l'activé qu'avec prudence Options +IncludesNOEXEC ou Options +Includes. Perl: mod_perl Le module mod_perl a été le résultat d'une intégration plus poussée des scripts CGI écrits en Perl. Il permet de meilleures performances qu'un script CGI classique. En terme de sécurité, il présente des risques identiques. PHP: mod_php PHP a été conçu spécifiquement pour la programmation web en tenant compte d'impératif de sécurité. Il est grandement paramétrable. Il est conseillé de définir les options suivantes dans son fichier de configuration /etc/php.ini. safe_mode surveille les fichiers accédés et interdit l'usage de commande à risque, expose_php contrôle l'affichage de sa banner, max_execution_time et memory_limit limite les risques de DoS, magic_quotes_gpc ajoute des quotes pour les données reçues des GET/POST et des cookies. Enfin, souvent oublié en production, il faut éviter l'affichage des lignes fautives lorsque les scripts PHP plantent.
safe_mode = On expose_php = Off max_execution_time = 30 ; Maximum execution time of each script, in seconds memory_limit = 8M magic_quotes_gpc = On display_errors = Off [SQL] sql.safe_mode = On CGI Il faut limiter leur présence à des répertoires bien déterminés, ils sont alors autorisés par un Options +ExecCGI sur la base d'un répertoire particulier. Répertoires des utilisateurs : mod_userdir Les utilisateurs du serveur peuvent bien souvent publier leurs pages dans leur répertoire public_html, configuré via le paramètre UserDir public_html. De façon à éviter une mauvaise surprise, root n'est pas autorisé à faire de même : UserDir disabled root. Directory listing : mod_dir, mod_autoindex La directive DirectoryIndex définit les pages d'index souvent index.html ou index.php3 et en l'absence de celle-ci, le module mod_autoindex en génère une si l'option Indexes est présente. Les index peuvent aider un pirate à découvrir d'anciennes versions de script, un backup du site ou d'autres documents sensibles. Users et users Le serveur web est lancé par l'utilisateur root ce qui lui permet d'utiliser le port privilégié 80, ensuite il prend l'identité d'un utilisateur sans pouvoir apache ou nobody. User apache Group apache suexec Le problème est que les scripts s'exécutent tous avec le même id (i.e. le même propriétaire). En conséquence, ils peuvent interférer entre eux. Le programme suexec permet d'utiliser des User/Group différents pour chaque virtual host de façon à séparer les utilisateurs. En contrepartie, un pirate disposant du compte apache est capable d'utiliser ce programme pour corrompre d'autres comptes, c'est pour cela qu'il n'est pas actif par défaut. Il faut lire très attentivement la documentation. Il est déjà compilé sur une RedHat mais pas forcément activé, il suffit alors d'un chmod u+s /usr/sbin/suexec pour le rendre actif. ls -l /usr/sbin/suexec -r-s--x--- 1 root apache 10976 Mar 29 19:52 /usr/sbin/suexec
# httpd -l Compiled-in modules: http_core.c mod_so.c suexec: enabled; valid wrapper /usr/sbin/suexec
La sauvegarde des données Introduction... 206 Méthodes conseillées... 209 Périphériques de sauvegarde et chargements.... 209 Sauvegarde serveur réseau... 222 Sauvegardes et restaurations de données sous Windows 2000 Server... 226 Sauvegarder et restaurer le système avec Win XP Pro... 238 Sauvegarde avec le logiciel UltraBackup... 244 Création d'image Système (Ghost)... 248 Introduction Mettre en place un plan de sauvegarde des données critiques est crucial pour une entreprise. Mais il faut évaluer précisément ses besoins, face à l'offre existante, pour choisir de façon optimale matériel, logiciels et supports de stockage. Les événements tragiques du 11 septembre nous ont tous montré le potentiel dévastateur d'un sinistre physique. De même, de nombreuses entreprises examinent avec attention leur stratégie de sauvegarde pour garantir l'intégrité des données, la fiabilité et la continuité de leur activité en cas d'incident. L'élaboration d'une bonne stratégie de sauvegarde nécessite une planification prudente, allant de la sélection des matériels à la détermination du schéma de sauvegarde et autres questions logistiques. Chaque étape nécessite une analyse soignée à la lumière de facteurs tels que le personnel, l'expertise technique et le budget. Nous allons examiner tous ces facteurs et détailler les besoins d'une stratégie de sauvegarde réussie. Choix du système de sauvegarde adéquat Une entreprise doit tout d'abord déterminer la plate-forme (matérielle) de sauvegarde qu'elle utilisera pour la protection de ses données. Les options sont nombreuses, allant des systèmes complets de duplication de données qui créent des copies hors site, jusqu'aux systèmes traditionnels utilisant des bandes. Le budget et l'expertise requise déterminent le ou les choix le(s) plus adapté(s) pour votre entreprise. Les systèmes à bande magnétique sont généralement les moins chers et les moins complexes du point de vue technique parmi les choix offerts actuellement sur le marché. Nous allons principalement étudier les systèmes à bande, puisqu'ils répondent à la plupart des besoins pour les audits et rapports des entreprises actuellement. Avant de pouvoir définir votre stratégie de sauvegarde, vous devez d'abord déterminer le volume de données à protéger. Cette information vous aidera à choisir le type de système nécessaire, allant des unités à une bande aux chargeurs automatiques ou systèmes de stockage pouvant gérer des centaines de bandes à la fois. Déterminer ce qui sera protégé va au-delà de la récapitulation du total des données présentes sur vos serveurs, car ces données ne sont pour la plupart pas cruciales pour votre entreprise. Les principaux exemples sont les programmes et fichiers d'application, qui sont facilement restaurés depuis les supports d'origine, et les fichiers personnels des utilisateurs, tels que les MP3.
Une fois que vous connaissez la quantité de données à protéger, vous pouvez déterminer le type de matériel répondant le mieux à vos besoins. Les systèmes de bande DDS ne conviennent généralement qu'aux entreprises de petite taille ayant moins de 10 Go de données à protéger. Pour les professions libérales, c'est un très bon choix, car les lecteurs de bande sont économiques et considérés comme fiables. De nombreuses options de chargeurs automatiques ou systèmes en rack sont disponibles pour cette plate-forme, permettant également à ces bandes magnétiques de couvrir la plupart des besoins des PME. Pour les entreprises de grande taille, les systèmes de bande DLT sont quelque peu plus onéreux, mais offrent une capacité sensiblement plus importante en données. Les systèmes DLT peuvent s'étendre pour répondre aux besoins en protection des données de la plupart des entreprises, quelle que soit leur taille. Les systèmes de chargeurs automatiques et de rack sont également disponibles pour cette plateforme, comprenant des robots et autres formes de systèmes automatisés de permutation des supports pour gérer les besoins des entreprises, même les plus grandes. Une fois le matériel choisi, vient le tour du logiciel. Il existe de nombreux et excellents systèmes de sauvegarde sur le marché. Chacun propose des fonctions similaires ; examinez donc les interfaces, le prix et autres éléments pour déterminer lequel convient pour votre entreprise. Deux des principaux produits sont ARCserve de Computer Associates et BackupExec de la société Veritas. Détermination de votre méthode L'étape suivante consiste à déterminer la meilleure méthode pour la sauvegarde de vos données. Les systèmes de sauvegarde offrent pour la plupart une grande variété d'options. Les plus courantes sont les suivantes : Sauvegarde complète : sauve l ensemble des fichiers du disque dur. Cette sauvegarde est très sûre, mais longue. La sauvegarde complète permet de reprendre l'ensemble des fichiers d'un seul bloc. Néanmoins, en cas de perte complète d'un disque dur, il faut d'abord réinstaller le système d'exploitation. La durée d'un backup complet est très longue et oblige à couper le serveurs des utilisateurs. En effet, en récupération, on remplace complètement les dossiers. Si un fichier manque, le programme ne fonctionne pas ou pire posera des problèmes "bizarres". Sauvegarde incrémentale: ne sauvegarde que les fichiers qui ont été modifiés depuis la dernière sauvegarde. Une restauration nécessite donc de récupérer d abord une sauvegarde complète et ensuite de reprendre les restaurations incrémentales. Ces sauvegardes sont rapides. Mais,... la récupération des fichiers oblige à en récupérer plusieurs en arrière, jusqu'à une sauvegarde complète du dossier. Sauvegarde différentielle : copie tous les fichiers depuis le dernier backup complet ou incrémental. Ce mode de sauvegarde ne modifie pas le bit d archive des fichiers. Le temps de sauvegarde est donc très long et augmente à chaque sauvegarde. Comme le bit de sauvegarde n'est pas coché, il faut un autre type de sauvegarde avant. Sinon, le serveur (ou le dossier) sera complètement sauvegardé chaque fois Chaque méthode a ses qualités et ses défauts. Il ne faut pas oublier que la durée d'un back up est longue, d'où l'intérêt de ne pas trop sauver. De plus, une sauvegarde complète quotidienne ferait double fonction, les programmes et le système d'exploitation est rarement modifié tous les jours. La méthode choisie dépendra essentiellement de la capacité de vos bandes et de vos besoins en restauration, très rapide ou non. Par exemple, en effectuant quotidiennement une sauvegarde complète, vous aurez besoin d'une capacité très élevée sur bande, mais seule la dernière bande de sauvegarde sera nécessaire pour restaurer toutes vos données. Inversement, en effectuant une sauvegarde complète une fois par semaine avec une sauvegarde incrémentale quotidienne, vous aurez besoin de beaucoup moins d'espace sur bande, mais les
opérations de récupération nécessiteront de réaliser sur les serveurs la restauration de la dernière sauvegarde complète et de chaque sauvegarde incrémentale. De nombreuses entreprises utilisent une combinaison de méthodes leur permettant d'économiser l'espace sur bande, tout en autorisant cependant une restauration rapide des données. La règle est généralement d'effectuer des sauvegardes hebdomadaires complètes et des sauvegardes journalières incrémentales. Permutation des bandes Vous devrez ensuite développer un plan de permutation des bandes et déterminer l'endroit où les stocker. Malheureusement, les entreprises entreposent pour la plupart les supports de sauvegarde à environ un mètre des serveurs à protéger. Comme nous l'ont montré les sinistres physiques récents, ce n'est pas une méthode de premier choix pour protéger les données, car les bandes risquent fort d'être détruites avec les serveurs en cas d'incendie, par exemple. Les supports doivent être entreposés hors site, dans un endroit sûr où l'on peut les récupérer rapidement en cas de besoin. Un plan adroit de permutation de bandes est essentiel pour réduire les coûts du support et du stockage hors site. En réutilisant les bandes après une période déterminée, les plans de permutation de bandes garantissent le stockage hors site d'un nombre minimal de bandes. Les schémas de permutation existent en diverses sortes et complexités. Le schéma de permutation peut-être le plus courant est le cycle Grand-père-Père-Fils, utilisé depuis longtemps et qui s'est révélé efficace. Dans la version d'origine de ce schéma, on effectue les sauvegardes complètes à deux intervalles différents. Le premier est mensuel et on entrepose immédiatement le support hors site (grand-père). On effectue également des sauvegardes hebdomadaires complètes (père) et on les conserve généralement sur site pendant la semaine de leur utilisation, puis on les place hors site pendant un nombre prédéterminé de cycles hebdomadaires (deux ou trois cycles suffisent généralement). Les sauvegardes incrémentales journalières (fils) s'effectuent et se conservent également sur site pendant la semaine de leur usage, puis on les place hors site avec la sauvegarde hebdomadaire correspondante selon le même calendrier cyclique. À la fin d'un cycle pour un jeu de bandes, celles-ci peuvent être réutilisées. On conserve chaque bande mensuelle pendant 12 mois avant de la réutiliser. On conserve généralement les jeux de bandes hebdomadaires pendant environ trois semaines après leur départ de la salle du serveur (soit pendant quatre semaines), puis on les réutilise. Le nombre de réutilisations d'une bande dépend du type de support ; il est préférable de demander au fabricant le nombre de réutilisations conseillé pour chaque bande. Les schémas de permutation Grand-père-Père-Fils permettent d'entreposer immédiatement les sauvegardes mensuelles en un endroit sûr, tandis que l'on conserve la plupart des sauvegardes complètes et incrémentales hebdomadaires pour réaliser sur le champ une restauration. On les stocke ensuite hors site en cas de panne. Si ce système présente des limites (vous pouvez perdre une semaine de données en cas d'incendie ou autre catastrophe), il procure la sécurité la plus élevée au coût le plus bas. Votre entreprise peut bien sûr nécessiter davantage de sécurité, auquel cas vous pouvez toujours expédier les bandes hors site dès leur création. Ce système est efficace pour la protection des données, mais il faudra rapatrier ces bandes sur site pour effectuer la restauration, ce qui entraînera des frais supplémentaires.
Méthodes conseillées Développement et test de stratégies de sauvegarde et de restauration Un bon plan vous garantit une récupération rapide des données perdues. Formation du personnel approprié Dans les réseaux à sécurité minimale et moyenne, accordez les droits de sauvegarde et les droits de restauration à deux utilisateurs distincts. Formez le personnel possédant les droits de restauration à l'exécution de toutes les tâches de restauration en cas d'indisponibilité de l'administrateur. Dans un réseau à haute sécurité, seuls les administrateurs doivent restaurer les fichiers. Sauvegarde du volume entier Sauvegardez un volume entier afin de vous préparer à une éventuelle défaillance du disque. La restauration du volume entier, en une seule opération, est plus efficace. Sauvegarde des services d'annuaire Sauvegardez toujours la base de données des services d'annuaire sur un contrôleur de domaine, afin d'éviter la perte des informations relatives au compte d'utilisateur et à la sécurité. Création d'un journal de sauvegarde Créez et imprimez toujours un journal de sauvegarde pour chaque sauvegarde. Tenez un livre des journaux afin de pouvoir localiser plus facilement des fichiers spécifiques. Le journal de sauvegarde est utile lors de la restauration de données ; vous pouvez l'imprimer ou le consulter à partir d'un éditeur de texte quelconque. D'autre part, si la bande contenant le catalogue des jeux de sauvegardes est endommagée, le journal imprimé peut vous aider à localiser un fichier. Conservation de copies Conservez trois copies des médias. Conservez au moins une copie hors site, dans un environnement correctement contrôlé. Exécution de restaurations de démonstration Effectuez régulièrement une restauration de démonstration, afin de vérifier que vos fichiers ont été correctement sauvegardés. Une restauration de démonstration peut révéler des problèmes de matériel qui n'apparaissent pas lors des vérifications effectuées sur les logiciels. Sécurisation des périphériques et des médias Sécurisez à la fois le périphérique de stockage et les médias de sauvegarde. Tout individu quelconque peut accéder aux données à partir d'un média volé, en restaurant les données vers un autre serveur dont il est l'administrateur. Périphériques de sauvegarde et chargements. 1. Introduction -.2. Lecteur CD-ROM - 3. Graveur CD -.4. DVD-ROM - 5. Graveur DVD -.6. Les lecteurs de bandes -.7. Disquettes de grande capacité -.8. Disque dur externe.1. Introduction. Ce chapitre traite des périphériques de sauvegarde de masse amovibles: lecteur CD-ROM et lecteur DVD, graveurs, Zip et associés, lecteurs de bandes, Les lecteurs de bande de haut de gamme en SCSI (haute capacité) seront vus dans la partie :sauvegarde et stockage réseau). Les possibilités de sauvegarde des données et programmes sont nombreuses: disquettes, bandes, graveurs, deuxième disque dur, sur réseau, programmes de clonage de disques, Chacune a ses avantages et ses défauts. L'arrivée de Win95/98 et suivants complique encore les choses.
L'utilisation de disquettes est difficile, vu la taille des fichiers. De plus, vous ne pouvez sauver que des données. Les lecteurs de bande ont un excellent rapport prix / capacité mais sont lentes à la sauvegarde, et encore plus à la restauration. En revanche, ils permettent de sauver le système complet, y compris les programmes et configurations systèmes. Avec les Windows actuels, vous devez d'abord installer Windows avant de récupérer votre configuration. De plus, vous devez avoir un lecteur de bande sur la machine où vous devez restaurer (installation d'un PC de remplacement). Cette solution permet de faire des sauvegardes automatiquement. Les graveurs CD supplantent actuellement les autres solutions comme chaque PC est muni d'un lecteur de CD-ROM. Attention tout de même aux configurations Windows. La sauvegarde de votre disque dur sur un deuxième disque dur ou connecté dans un deuxième PC en réseau permet de sauvegarder directement les données, mais pas les programmes. Le clonage logiciel (le plus célèbre est Ghost de Symantec) permet de sauver l'ensemble de votre disque dur, de recopier des disques durs ou même de faire des images de sauvegarde. Malheureusement, une restauration efface tout le disque dur (ou la partition) de destination, y compris les données non sauvegardées. L'utilisation d'un tel programme nécessite le partionnement du disque dur par FDISK. La partition principale reçoit les programmes, la partition secondaire reçoit les données et l'image du disque principal. Les sauvegardes sont un compromis entre ces différentes solutions.2. Lecteur CD-ROM.2.1. Interface Les CD-ROM sont interfacés soit en E-IDE, soit en SCSI (plus rares). La capacité maximum d un Cd est de 640 MB ou 70 minutes audio. Certains médias autorisent 700 MB de données soit 80 minutes. Les lecteurs CD-ROM sont interfacés en E-IDE, vous ne pouvez pas donc installer un lecteur CD-ROM sur un 286, 386 et même sur certains 486 de la première génération interfacés en IDE. Il faut dans ce cas installer une carte son avec interface CD-ROM supplémentaire (ce qui devient plutôt rare)..2.2. Vitesse La vitesse est décrite comme X. La valeur 1X correspond à la vitesse de lecture d un CDaudio et équivaut à 150 kb/s. Cette vitesse est celle obtenue à la partie externe du disque et pas celle de la partie interne. Comme la gravure d un CD débute à l intérieur du disque, elle est rarement obtenue. De plus, en cas de difficulté de lecture, le lecteur diminue automatiquement sa vitesse. La vitesse de lecture d un lecteur CD se réfère également au temps d accès du lecteur, et là, les réelles performances sont visibles. Par exemple, fin 1998, une comparaison entre un bon 32X, un lecteur 36X et un lecteur 40X bon marché donnait pour une installation de Win98 sur une même machine le 32X vainqueur. Ceci explique également que les graveurs utilisés en lecture ont de piètres performances par rapport aux lecteurs classiques. Les lecteurs à partir de 24X ne lisent plus à vitesse constante. Leur montée en vitesse est plus lente. Pour de petits fichiers, un 24X est pratiquement équivalent à un 50X. Les vitesses actuelles atteignent 56X 2.3. Le fonctionnement. Le CD-Rom offre une grande capacité de stockage : 650 (700) Méga-octets sur un disque de 12 cm de diamètre identique à un CD-Audio. La lecture est réalisée par un faisceau laser qui balaye la surface du CD. Les bits de données sont codés sous la forme de petites cuvettes (renvoient le faisceau laser ) et de pics (ne renvoient pas le
faisceau). Ainsi est recueillie l'information. Les lecteurs CD-Rom incluent une méthode de correction pour les CD abîmés (jusqu'à un certain point). La lecture des données se fait sous forme de spirale, du bord extérieur vers le centre.2.4. Les types de CD. Défini en 1982 par Philips et Sony, le CD-DA, plus connu sous le nom de CD audio a été la première norme des CD. Un CD audio peut contenir 747 MB de données audio sur 99 pistes, chaque piste devant contenir minimum 4 secondes de son. Cet excédent d'espace par rapport au CD-R est lié à la nature des données audio, qui utilisent la totalité de l'espace et n'encombre pas de bits de correction, cette tâche étant effectuée par le lecteur ou la platine CD. Sur un CD audio, le son est échantillonné à 44,1 Khz en 16 bits, et sur 2 canaux stéréo. Le CD-R découle au départ du CD audio mais de moindre capacité. En effet, les fichiers informatiques ont besoin de bits d'erreur et de corrections. Une partie de chaque secteur est utilisé comme en-tête. En dernier, deux type de secteurs ont été définis au départ: le mode 1, qu'on utilise le plus souvent lors de nos gravures et le mode 2 qui permet une meilleure gestion du stockage et du transfert de la vidéo et des images. Ce dernier mode est assez peu utilisé, mis à part pour les CD-Rom XA et CD-I. Les Cd-Rom / XA et CD-I découlent de la même technologie. Le Cd-ROM / XA, qui signifie CD- ROM à architecture avancée n'est en fait utilisé que rarement sous cette appellation dans les CD destinés au grand public. On les retrouve donc sous le terme CD-I. Il est structuré de manière interactive de façon à permettre un mélange de différents médias. Des normes sont clairement définies pour ce type de média. Les CD multisessions (multiread) a été inventé par Kodak. Il permet de stocker ses images au fur et à mesure des films utilisés. Alors qu'un CD classique contient une seule table de matière, un CD multisession en contient autant que de sessions. Ceci permet d'utiliser dans le temps le CD au fur et à mesure. Revers de la médaille, la création d'une session requiert 20 MB par table des matières. Le CD doit également être préalablement formaté. Cette méthode de gravure utilise généralement la norme UDF. L'écriture se fait secteur par secteur. Tous les graveurs actuels sont capables d'écrire sur un CD- R en multisessions. 3. Les graveurs. Si les CD-ROM "commerciaux" sont pressés, les amateurs et certaines éditeurs de programmes fournissent les logiciels sous forme de CD gravés. Les graveurs actuels permettent de créer 2 types de CD: les CD gravés et les CD réinscriptibles (CD-RW). La capacité d'un CD réinscriptible est moindre que celle des CD-ROM normaux (500 à 550 MB) puisque le graveur doit réserver en moyenne 130 MB à la table des données, l'endroit où le contenu et la structure du CD sont inscrites au fur et à mesure des écritures et réécritures. Les graveurs permettent également de lire des Cd (informatiques ou audio). Néanmoins, le temps d'accès est nettement inférieur à celui des lecteurs de CD normaux. La gravure permet soit de copier certains fichiers, soit de copier directement un CD (audio ou informatique). Les technologies utilisées pour les gravures sont identiques à celles de lecteurs CD. La vitesse de gravure est identique à la vitesse de lecture des lecteurs CD-ROM: 1X correspond à 150 KB/s. Pour un CD audio de 74 minutes, la vitesse de gravure en 4X est donc de 74/4 = 18,5 minutes. Les graveurs actuels incluent un cache, mémoire tampon, qui évite la coupure du flux d'informations durant la gravure (over-burning, Just-link,...) que nous détaillerons ci-dessous. L'interface des graveurs internes est généralement IDE, certains modèles sont en SCSI. Pour les graveurs externes, la connexion se fait généralement en USB, même si d'anciens modèles utilisaient une interface SCSI ou même parallèle bi-directionnelle.
3.1. Fonctionnement général. Le composant de base d'un support CD-R est une couche de colorant organique qui peut être soit à base de cyanine, de couleur bleu cyan, soit à base de phthalocyanine, plus ou moins incolore. La couche réfléchissante est soit à base d'alliage d'argent (silver), soir à base d'or (gold) 24 carats. Il existe ainsi des CD-R d'apparence or/or, vert/or, argent/bleu, et argent/argent. La couleur apparente est donnée par la couleur de la couche réfléchissante (or ou argent) et la couleur du colorant organique (bleu cyan ou transparent). Par exemple, les disques vert/or combinent une couche réfléchissante or et un colorant organique bleu cyan, donnant une apparence dorée côté "label" et une apparence verte côté "gravure"..3.3. Over-burning Il est possible d'utiliser des CD de plus grande capacité: 700 MB / 80'. Néanmoins, pour graver sur ces CD, il faut 2 conditions: que le logiciel de gravure accepte l'overburning et que le graveur supporte l'écriture en mode "Disk at Once", ce qui est le cas de tous les appareils actuels. Certains anciens graveurs tombent en panne suite à des essais..3.4. Just Link et Burn-Proof Le problème des graveurs reste l'envoi des données à un rythme suffisant. Lorsque les données ne sont plus présentes dans le graveur, il y a une rupture de flux. Les anciens graveurs stoppent la gravure par manque de données: le média est inutilisable. Pour corriger ce type d'erreurs, les fabricants utilisent des techniques qui suspendent la gravure lorsque des données ne sont pas présentes, et la reprend dès que les données sont de nouveau présentes dans le buffer. Cette technique est appelée JUST LINK chez la majorité des fabricants, Burn-Proof chez Plextor. Un message en fin de gravure de type "265 ruptures de flux évitées" n'est pas d'erreur, mais bien une indication du logiciel. Ceci permet de travailler tout en gravant..3.5. Les problèmes de graveurs. Si dans certains cas, la gravure se fait sans mal, quelques PC posent des problèmes. La moindre coupure du flux d'informations rend le CD gravé inutilisable. Le paramétrage du lecteur CD et du graveur se fait par le panneau de configuration, en sélectionnant Système, ensuite les paramètres du lecteur CD-ROM et du graveur. La case DMA doit être cochée dans chaque cas (même si Windows donne un message d'avertissement) pour le CD et le graveur. De même, les lettres de lecteurs doivent être signalées. Remarquez qu'aucune des ces cases n'est cochée ici. Pour un meilleur transfert des données, le lecteur CD doit être connecté en slave sur le port IDE primaire, le graveur sur le deuxième port. Avec l'ata-100, ce n'est plus possible. On connecte
donc le lecteur CD et le graveur sur le port secondaire. Dans le cas d'un graveur SCSI, de nombreux problèmes surgissent avec un lecteur IDE. Le mixage n'est donc pas conseillé. Le flux de données ne peut être interrompu sous peine de rendre le CD inutilisable. Avec les anciens graveurs (sans Just Link), si vous travaillez sur le PC en même temps que de graver, le processeur ne peut plus envoyer suffisamment vite les données au graveur et votre CD est à jeter. Dans ce cas, arrêtez tous les programmes résidents durant la gravure (économiseurs d'écrans, utilitaires divers, éventuellement l'anti-virus,... Dans le cas de l'extraction audio, certains lecteurs de CD n'autorisent pas une vitesse d'extraction maximale, ou même carrément pas d'extraction audio. D'autres lecteurs insèrent systématiquement un blanc entre chaque plages. La seule solution est de changer le lecteur de CD- Rom..4. DVD-ROM.4.1. Introduction Un lecteur DVD (digital versatile disc) peut lire tous les types de CD (cd audio, CD-Rom, CD- R et CR-RW). Néanmoins, leur atout principal est de pouvoir lire les DVD. La capacité des DVD est nettement supérieure à celle des CD-ROM: 4,7 GB en simple face, simple couche, mais jusqu'à 17 GB en double face, double couche (1024). La principale utilisation actuelle de ces DVD est la lecture de films vidéo. La vitesse d'un lecteur DVD n'est pas en rapport avec celle des CD classiques. En effet, 1X équivaut à 1350 KB / secondes (soit 9 X supérieurs)..4.3. Lectures vidéo. Dans le cas des films vidéo, le lecteur est couplé avec une carte de décompression MPG-2 (attention 8 zones de lecture). Pour protéger les sorties de film au cinéma avant la sortie en cassette et DVD, les films sont codés différemment. La zone 1 reprend les Etats-Unis et le Canada, la zone 2 reprend l'europe, japon, Afrique du Sud et Moyen Orient), la zone 6 reprend la Chine. Les zones 7 et 8 ne sont pas utilisées. Anciennement, la plupart du matériel destiné à la lecture des DVD Video, cartes de décompression et lecteur DVD, n étaient pas codés de manière matérielle et il était aisé de contourner la protection des logiciels de lecture comme Cinemaster ou Win DVD. A l aube de l an 2000 et vu la facilité avec laquelle les protections logicielles ont pu être détournées, le DVD Forum a exigé que tous les lecteurs de DVD de 4eme génération devraient être RPC-2, c est à dire zonés de manière matérielle. Ainsi, lorsque vous achetez votre lecteur celui-ci est neutre, mais dés que vous y insérerez un DVD Vidéo, il ne vous restera que 4 changements de zone possibles.
.4.4. Fonctionnement Si un Cd normal émet un faisceau invisible (infra-rouge) de 780 nanomètres, le DVD emploie lui une lumière rouge visible dont la longueur d'onde est soit 635, soit 650 nm. Ce sont ces 2 longueurs d'ondes qui permettent de lire des multi-couches. Les 2 couches de données ne sont pas constituées de la même matière. La première couche est une couche translucide, alors que la deuxième couche est une couche réflexible plus traditionnelle. Le laser, lors de la lecture, traverse la première couche translucide pour lire les données de la seconde couche, puis change de focus pour lire la première. Cet exercice de style est soutenu par un dispositif de correction d'erreurs 10 X supérieure à celle d'un lecteur CD classique. Un buffer (mémoire tampon) assure la lecture continue des données entre les couches..5. Graveur DVD. En 2002, plusieurs formats de gravure DVD sont présents sur le marché. Deux groupes de fabricants s'affrontent: le Forum DVD et le DVD Alliance (Philips). Quelques constructeurs commencent à insérer les deux systèmes dans leurs graveurs. Le DVD-R (Forum) est inscriptible une fois. Le support est relativement bon marché et compatible avec près de 80 % des lecteurs. Le DVD+R (Alliance) est inscriptible une fois également. Le support est plus chère, mais compatible avec près de 85 % des lecteurs du marché. Le DVD-RW (Forum). Identique au DVD+RW, il inscrit néanmoins 2 fois plus lentement. Le DVD+RW (alliance) est compatible avec 65 % des lecteurs. Il est réinscriptible environ 1000 fois. Le DVD-Ram (forum) est réinscriptible 100.000 fois. La gravure est nettement plus lente que les 2 lecteurs réinscriptibles ci-dessus. Les disques à graver sont conditionnez en plastique dur. Il est donc inutile d espérez utiliser les CD ainsi gravés dans un lecteur de DVD classique. La capacité d un média est de 2 fois 2,6 GB en double face (il faut donc retourner le média pour chaque face). Les lecteurs DVD-ROM et DVD-RAM sont donc 2 appareils tout à fait distincts. Par contre, les lecteurs DVD-RAM tous les formats de média CD-ROM : Cd-ROM, CD-R/W, CD-DA, CD-Extra, Photo-CD et Vidéo CD. Les DVD-RAM ne peuvent être lus que par les DVD ROM de la dernière génération. Le principe de fonctionnement de ces média utilise une technologie à changement de phases..6. Lecteur de bande.6.1. Introduction. La sauvegarde sur bande utilise une bande magnétique similaire à une cassette audio. Le prix de ces cassettes magnétiques est généralement faible. Les programmes associés permettent de choisir les dossiers / fichiers à sauvegarder (restaurer) et de les sauvegarder automatiquement à certaines dates / heures. Si ces systèmes ont eut leurs heures de gloire, les capacités des disques durs actuels couplés avec la vitesse de transfert de ces sauvegardes (sauf systèmes DAT professionnels que nous verrons en deuxième année) limitent leur utilisation. Ces systèmes de bande permettent les sauvegardes complètes, y compris les bases de registres des différentes version Windows 95-NT. On distingue 3 types de sauvegarde. Une sauvegarde intelligente est un mélange de ces 3 types Sauvegarde complète, Sauvegarde incrémentale et Sauvegarde différentielle..6.2. Type de lecteurs sur bandes. Dans le cas d'une station, les choix sont multiples: disquettes (?), graveurs, DVD-Rom, Zipp,... et les bandes sont... peu utilisées. Par contre, les bandes permettent de faire une sauvegarde à la demande sans intervention de l'utilisateur. Cette possibilité, alliée au prix de revient d'une bande
/ MB la rend pratiquement incontournable dans les réseaux, c'est pratiquement la seule. Cette possibilités des bandes est allié à des "chargeurs de bande" qui assurent des capacités hors du commun. Toutes ces technologies sont systématiquement interfacées en SCSI..-. Sauvegarde DAT Le DAT fut au départ développé pour les cassettes audio digitales, avec une qualité audio CD. En 1998, HP et Sony définirent le standard DDS (Digital Data Storage) sur base de ces cassettes. La technologie DAT en cassettes de 4 mm emploie une technologie dite elliptique. C'est le même type que celui utilisé dans les cassettes vidéo. Il est de lui-même plus lent que le type linéaire. Pour cette raison, ce type d'écriture est généralement utilisé lorsque l'on souhaite de grosses capacités. L'écriture se fait par groupes de 128 KB avec une correction d'erreur. Lors de la restauration, la bande lit l'entièreté du groupe (y compris la correction) avant d'écrire les données sur le disque. Les cartouches DAT existent en 2 techniques, utilisant le même mécanisme de lecteur de bande mais pas la même méthode d'inscription des données: DDS et DataDAT. Le système DDS est le plus courant. Standard Capacité Taux de transfert max. DDS 2 GB 55 KB/s DDS-1 2 / 4 GB 0,55 / 1,1 MB/s DDS-2 4 / 8 GB 0,55 / 1,1 MB/s DDS-3 12 / 24 GB 1,1 / 2,2 MB/s DDS-4 20 / 40 GB 1,1 / 2,2 MB/s DDS-5 36/72 GB 1,5 / 3 MB/s IBM - 5 x DAT 36 Go - DDS-5 Hewlett Packard DAT DDS-4 20-40 Go.-. Cartouches 8 mm. Les cartouches 8 mm ont été développées au début pour les vidéos: transfert d'images en haute qualité couleur sur bande pour sauvegarde. Similaire au DAT, mais généralement de plus grosse capacité, les 8mm utilise également la technologie hélicoïdale. Deux standards sont actuellement utilisés suivant le système de compression: Exabyte Corporation et son standard 8 mm et le mammoth développé par Seagate et Sony.
Standard Capacité (non compressé / compressé) Interface Taux de transfert max. Standard 8 mm 3,5 / 7 GB SCSI 32 MB /min. Standard 8 mm 5 / 10 GB SCSI 60 MB /min. Standard 8 mm 7 / 14 GB SCSI 60 MB /min. Standard 8 mm 7 / 14 GB SCSI 120 MB /min. Mammoth 20 / 40 GB SCSI 360 MB /min. AIT-1 AIT-2 35 / 90 GB 50 / 130 GB Ultra-Wide SCSI Ultra-Wide SCSI AIT-3 100 / 260 GB SCSI 160 S-AIT 500 GB / 1,3 TB SCSI 320 AIT :Advanced Intelligent Tape 4 MB /s (10 en compressé) 6 MB / s (12 en compressé) 12 MB / s (31 compressé) 30 MB /s (78 en compressé) Exabyte Exatape MP 112m - bande 8 mm x 1-5 Go.-. Le DLT Développé dans les années 1980 par DEC (Digital, racheté par Compaq) pour ses microordinateurs VAX, la technologie DLT est réellement apparue en 1989. Cette technologie a été rachetée en 1994 par Quantum. D'autres fabricants utilisent cette technologie en OEM. Les lecteurs DLT utilisent une cartouche plus petite que les bandes 8mm. Les données sont écrites sur des pistes parallèles groupées par paires. Chaque piste utilise l'entièreté de la bande. Lorsque la fin de la piste est rencontrée (fin de la bande), les têtes sont repositionnées sur une nouvelle paire de pistes et la sauvegarde continue en revenant par l'arrière) jusqu'à ce que la bande soit complète (par aller - retour). Les bandes courantes incluent 128 ou 208 pistes. La technologie DLT est unique dans l'implantation des têtes. L'implantation des 6 guides assure un déroulement de la bande hélicoïdal (au même titre que les technologies ci-dessus), assure un excellent contact bande / tête. ceci est associé à 2 guides qui ne font que le nettoyage de la bande et ne sont pas motorisés. Ceci assure une durée de vie des têtes de 30.000 heures, pour 2000 dans le cas des DAT
Standard Capacité (n /compressé) Media Interface Taux de transfert max. compressé DLT 2000 15 / 30 GB DLTape III SCSI 2,5 MB /s DLT 4000 20 / 40 GB DLTtape IV SCSI 3 MB /s DLT 7000 35 / 70 GB DLTtape IV SCSI 20 MB /s DLT-4 (VS-80) 40/80 GB DLTtape IV Wide Ultra SCSI-2 6 MB/s DLT-4 (VS-160) 80/160 GB DLTtape VS1 SCSI 16 MB/s DLT-V4 160/320 GB DLTtape VS1 SCSI 20 MB /s DLT-S4 800/1600 GB DLT-S4 Ultra-SCSI 320 120 MB/s Seuls les 4 derniers sont encore commercialisés (2006). Lecteur de bandes magnétiques - DLT ( 160 Go / 320 Go ) Quantum DLTtape VS1 - DLT x 1-160 Go.-. Super DLT Quantum Super DLT x 1-160 Go Les tapes Super DLT sont également fournies par Quantum, d'autres fabricant les fabriquent sous licence. Ces bandes augmentent la capacité des bandes DLT. Dans ce cas, les têtes sont contrôlées par faisceau
laser (LGMR - Laser Guided Magnetic Recording). En lecture, ces bandes de sauvegardes acceptent généralement les média inférieurs. SLDT 220 SLDT 320 SLDT 600 Capacité de base 110 GB 160 GB 300 GB Capacité compressée 220 GB 320 GB 600 GB (2:1 de compression) Taux de transfert (DTR) 11 MB /s 16 MB /s 36 MB/s DTR compressé 22 MB /s 32 MB /s 72 MB /s MEDIA SDLT I SDLT I SDLT II INTERFACE Ultra2 SCSI LVD Ultra2 SCSI Ultra 320 SCSI HVD Ultra 160 SCSI DATE 2001 (Plus fabriqué) TR1 2002 TR3 2003 HVD :High Voltage Differential, norme de connectique SCSI sous 5 V avec des longueurs de chaîne de 25 m.-. LTO (Linear Tape Open) Destinés à remplacer les SDLT, la technologie LTO permet une capacité de 200 MB (400 MB compressé) pour la version LTO-2 avec une vitesse maximum de 144 GB/heure pour la version LTO- 2 HH et jusque 245 GB/heure pour la version LTO-2 standard. La dernière version LTO-3 permet jusque 800 GB en mode compressé avec une vitesse de transfert de 490 GB / heure. Ces sauvegardes sur bandes incluent divers mécanismes de protection des têtes, adaptation de la vitesse d'écriture / lecture en fonction de la vitesse de transfert vers le serveurs. TDK LTO Ultrium 3 Contient jusqu'à 400/800*Go de données.-. Les supports QIC Les bandes des lecteurs QIC sont constituées d'un support électro-magnétique, identique à celle des cassettes audio. Des unités au format des disquettes 3,5" C'est la société 3M qui a mis les cartouches Travan au point et a déposé cette marque. Elles sont commercialisées par 3M, mais aussi par Seagate, Sony, etc. La largeur de la bande est de 1/4 de pouce, ce qui est désigné par OIC (Quarter Inch cattridge) IBM QIC x 1-16 Go
Leur premier avantage réside dans le fait que l'unité de lecture-écriture est au format des unités à disque 3,5". De ce fait, elle est peu encombrante et, dans une baie, prend la place d'un lecteur de disquette. La deuxième raison de leur succès est leur capacité. Elles existent en versions: TR-1 (QIC-80), de 400 Mo nominaux et 800 Mo compressés. TR-2 (QIC-3010), de 800 Mo nominaux et 1,6 Go compressés. TR-3 (QIC-3020), de 1,6 Go nominaux et 3,2 Go compressés. TR-4 (QIC-3080), de 4 Go nominaux et 8 Go compressés. TR20, de 10 GB nominaux, jusque 20 GB en mode compressé. TR40, de 20 GB (40 GB en mode compressé) 3M Imation Travan NS8 1 x Travan 4 Go / 8 Go - TR-4 Les 2 derniers modèles sont développés par la firme Quantum sur une interface E-IDE, SCSI-2 ou USB 2.0 pour les modèles externes. Les cartouches TRAVAN (terme déposé par 3M) sont identiques. La troisième raison est leur durée de vie. Lorsqu'une bande magnétique est lue ou écrite, les têtes magnétiques frottent sur elle. Les fabricants les garantissent donc pour un usage typique de 500 à 1 500 passages, lecture ou écriture. Une vérification de la bande correspond à deux passages. Le logiciel de gestion de la bande les décompte. Lorsqu'il vous annonce qu'il est arrivé à 0, le plus prudent est de la remplacer. La quatrième raison réside dans une brassée d'innovations techniques, telles qu'une sécurité antistatique, un alignement et un positionnement plus rigoureux, une protection contre des particules étrangères sur la bande. Précautions à prendre Comme toutes les cartouches magnétiques, les QIC / Travan ne sont guère fragiles, mais redoutent l'humidité, les écarts de température et les ambiances trop poussiéreuses. Le logiciel sauvegarde permet de les retendre si nécessaire. Toutes les cartouches QIC / Travan doivent être formatées préalablement. Utilisez des cartouches préformatées. Un formatage dure facilement 5 heures (et encore ) pour une simple cartouche de 250 MB en compressé. Attention, les cartouches pour lecteurs HP et IOMEGA sont formatées différemment et incompatibles.3.6. Chargeurs de bandes Le chapitre ne serait pas complet sans mentionner les librairies. Ce sont des lecteurs de bandes incluant plusieurs bandes implantées dans un chargeur externe (comme dans le chargeurs de CD) ou munis d'un tiroir par bande.
S'ils peuvent être implantés comme solution backup standard, leur principale utilisation consiste à archiver les données qui ne sont pas trop (ou pas souvent) employées. Les données sont reconnues comme faisant partie du disque dur mais ne sont pas physiquement stockées dessus. Lorsque vous lisez un tel fichier, il est repris à partir des bandes pour être transféré sur le disque. En fin de journée généralement, le programme reprend tous les fichiers non utilisés depuis un certain temps pour les insérer sur les bandes. La librairie fait donc fonction de disque à bas prix. Une solution similaire est implantée sous Netware Novell qui compresse les fichiers les moins souvent utilisés sur le disque dur, augmentant l'espace disque pour les décompresser en cas d'utilisation..4. REV Iomega Destiné à concurrencer les bandes de sauvegarde DAT et remplaçant les lecteurs Jazz, le REV d'iomega a de nombreux avantages. Le lecteur REV utilise des cartouches amovibles de 35 GB (90 B en compressé), soit la capacité des plus gros lecteurs DAT. Internes, ils sont interfacés en IDE, SATA, SCSI. Dans tous les cas, la vitesse de transfert est maximum de 25 MB / seconde. Les REV sont ég alement disponibles en version externe (interface SCSI, Firewire (Mac) ou USB). Le logiciel de sauvegarde associé permet une utilisation tout à fait identique aux bandes de backup. Le gros avantage vient du prix de l'appareil, dans l es 400 pour près du double pour un lecteur DAT, même si interfacés en SCSI 160, ceux-ci sont théoriquement plus rapides. C'est la solution idéale actuelle pour le backup de petits serveurs de fichiers, même si le prix des cartouches (50 environ) sont plus chères que le prix d'une simple bande DAT. Comme le SATA et l'ide sont implantés en standard dans les PC courants, cette solution peut également être utilisée dans les stations de travail..7. Les disquettes de grande capacité..7.1. Introduction Avec sa faible capacité de stockage, la disquette est dépassée. Quelques firmes ont tenté de développer un standard. Parmi eux: IOMEGA et son ZIP accompagné de la firme SYQUEST sont les plus connus, bien que fin 1999, SYQUEST soit pratiquement en faillite. En 2003, Syquest ne vend plus que les bandes et supports et ne développe plus de nouveaux produits. Tous ces lecteurs utilisent un procédé magnéto-optique. Ceci permet une fiabilité élevée du média..7.2. IOMEGA Zip 100 MB, 250 MB et 750 MB.
D'abord sorti en version SCSI (interne et externe), le zip 100 MB s'est ensuite connecté sur le contrôleur lecteur de disquette dans ses versions internes. Actuellement, les zip 100 MB interne sont connectés sur le port IDE. IOMEGA a sorti une version Zip 100 + externe, connectable sur un port SCSI ou parallèle. Ce modèle a posé plusieurs problèmes d'incompatibilité avec une imprimante connectée à la suite. Le lecteur IOMEGA est pratiquement un standard en Mac, il est souvent utilisé par les imprimeurs. De ce fait, l'utilisation d'un PC pour créé des fichiers d'impression vers les imprimeurs est pratiquement l'idéal. En 1998, IOMEGA a sorti une version 250 MB de son lecteur ZIP. Si la version parallèle a existée, elle est remplacée par une version USB 1.0. En interne, la connexion se fait en IDE ou en SCSI. Dernière nouveauté en 2002, la version 750 MB. Cette version peut être interne (IDE) ou externe (USB2.0, compatible 1.1 ou firewall sortie en janvier 2003). Les lecteurs Zip 750 MB sont totalement compatibles avec les versions 250 MB (lecture et écriture). Par contre, s'ils peuvent lire les disquettes Zip 100 MB, il ne peuvent les utiliser en écriture..7.3. LS-120 MB de Syquest. Le LS-120 de Syquets utilisait des média de 120 MB. Ses mauvaises performances n'ont pas décidé les constructeurs de PC de l'installer directement, malgré la possibilité de lire des disquettes 1,44 MB standard. Il est néanmoins souvent repris comme possibilité de démarrage dans les BIOS.7.4. Mémoires sur ports USB (stick USB) Une autre méthode d'utiliser les ports USB pour la sauvegarde consiste à utiliser des mémoires flash appelées clés USB directement sur le port USB 1.1 ou 2.0. Les capacités vont jusqu'à 2 GB. La vitesse est assez lente en USB 1.1. Ces périphériques sont directement reconnus par Windows 2000, Millenium et suivants (pas Win98 et forcément pas par Win95 et NT4, incompatibles USB). Ils remplacent par exemple le click d'iomega Clef 2 Go USB 2.0.8. Disque dur externe. Avec l'arrivée des liaisons firewire et plus encore avec l'usb 2.0 fin 2002, une majorité des constructeurs sortent des disques externes de grande capacité (jusqu'à 120 GB). Le prix est néanmoins quasi le double par rapport à un disque dur interne équivalent plus rapide. Vous pouvez également utiliser des adaptateurs, sortes de boîtiers connectés en USB ou
firewire où l'on insère un disque dur standard. Des modèles existent pour disques durs IDE 3"5 et 2"5 (spécifiques notebook). Ces appareils ont remplacé les Jazz d'iomega et les Sparq de Syquets, obsolètes. Disque dur externe 120 Go USB2 Sauvegarde serveur réseau.1. Introduction -.2. Stratégie de backup -.3. Types de lecteurs de bande -.4. REV Iomega -.5. Sauvegarde sur disque dur (NAS - SAN).1. Introduction. Ce chapitre traite des méthodes de sauvegarde des données (back-up) des serveurs informatiques. Si elles sont désuètes pour les PC bureautiques, les lecteurs de bande sont les éléments essentiels de la sauvegarde en réseau. La technologie de ces lecteurs de bandes passe par des vitesses de transmission jusqu'à 200 MB/s avec des capacités allant jusqu'au Tetra (1000 MB). La connexion des disques durs serveurs en RAID procure un semblant de sauvegarde, ou plutôt un faux sentiment de sécurité. Dans le monde réseaux, si les données des disques peuvent être récupérés sous certaines conditions (RAID 1, RAID 5), la perte ou la corruption de données entraîne directement des pertes de production. Dans le cas d'un PC "stand alone" (pas raccordé en réseau) en utilisation professionnelle, la conservation des données est primordiale. Dans le cas des disques serveurs, le problème est pire. Premièrement, les utilisateurs font entière confiance au réseau (et surtout à l'administrateur réseau) pour les sauvegardes des données: les backups sont normalement quotidients sur les serveurs. Deuxièmement, les applications réseaux sont souvent trop grosses pour être sauvegardées individuellement (place, accès,...) Un point essentiel dans les sauvegardes réside dans l'utilisation par les utilisateurs ou par d'autres programmes des fichiers tous types confondus. Les utilisateurs doivent se déconnecter du réseau lorsqu'ils quittent le travail. Si un fichier est utilisé par une station, il ne sera pas sauvegardé. Avec les types RAID 1, nous avons vu que nous pouvons couper un disques dur des utilisateurs. Un disques est donc accessible en lecture / écriture pour les utilisateurs tandis que le deuxième est utilisé uniquement par le système de sauvegarde. Lorsque le backup est terminé, les 2 disques sont resynchronisés et le système RAID revient en mode opérationnel 2 disques durs..2. Stratégie de backup. Quelques exemples pour montrer l'importance d'un sauvegarde quotidienne. 1. attaque de virus ou intrusion par Internet (hacker) 2. modification de la configuration logiciel directement sur le serveur (méthode largement utilisée dans la pratique) pour ajouter des fonctionnalités et... mauvais fonctionnement. Dans la pratique, obligez les programmeurs à faire une copie complète du dossier sur le disque dur. C'est plus rapide en cas de problème et vous évitera des heures de récupération sur bande.
3. effacement accidentel ou autre de fichiers, pertes de fichiers dans la table des matières du disque. Dans ces trois cas, les disques en RAID ne vous servent à rien..2.1. En premier, nous avions vu les trois types de sauvegarde: SAUVEGARDE modification du bit de sauvegarde Complète incrémentale différentielle OUI OUI NON durée de la sauvegarde Longue courte longue - courte déconnections des utilisateurs Défaut RESTAURATION type de récupération Risques Oui OUI / NON NON/ OUI problème sur une bande Tout d'un coup fichier manquant problème sur une bande, changement obligatoire des bandes chaque fois Chaque sauvegarde jusque la dernière complète Une sauvegarde dans l'ensemble défectueuse Changement obligatoire des bandes chaque fois, longueur Une sauvegarde jusque la dernière complète Mélangeons les méthodes de sauvegardes avec l'aspect particulier de l'utilisation des données sur le serveur. Les stratégies ci-dessous peuvent être complètes sur le disque ou par partie (dossiers). En plus, elle peuvent être mélangées. Une stratégie de sauvegarde des données intéressante reste une sauvegarde complète régulière suivie d'une sauvegarde journalière différentielle. Malheureusement, ceci pose deux problèmes. La première est la périodicité d'une sauvegarde complète. Plus elle est longue, plus le backup différentiel prendra du temps. Et le deuxième est justement la durée d'un backup différentiel. Une deuxième consiste à faire un backup complet par mois, suivi d'un backup incrémental par semaine et un différentiel par semaine. Cette stratégie est souple, mais nécessite l'emploi de beaucoup de jeux de bandes différentes. Une troisième consiste à faire un backup complet du système par mois, un backup différentiel sur les dossiers important chaque jour et un incrémental quotidien sur les autres dossiers (documents utilisateurs). Cette stratégie semble la meilleure mais elle oblige chaque jour à démarrer deux backup différents. En effet les programmes de sauvegarde ne sont généralement pas conçus pour mélanger lors d'une même session deux types de backup. Vous pouvez néanmoins écrire sur une même bande quotidienne le différentiel dossier et l'incrémental fichier. Une dernière chose concernant l'utilisation des bandes. Changez de bande tous les jours. Les bandes doivent être dédoublées. Une série paire et une série impaire. De cette manière, si une bande de lundi est défectueuse, celle du lundi précédent ne le sera pas. Le jeux de sauvegarde ne doit pas se trouver dans la même pièce (et même dans le même bâtiment) que le serveur. Pensez aux risques d'incendie ou de vol par exemple..2.2. Exemple de stratégie de sauvegarde bureautique
Voici un exemple de stratégie de backup dans un système bureautique. Dans ce cas, les applications ne tournent pas de nuit, d'où l'intérêt de faire les sauvegardes durant cette période. Lundi Mardi Mercredi Jeudi vend samedi dim. Lundi Ma Me Jeu ven sam dim. Type Diff. Diff. Diff. Diff. Diff. Compl. Diff. Diff. Diff. Diff. Diff. Compl. horaires 21h 21h 21h 21h 21h 20h 21h 21h 21h 21h 21h 20h RAID? Oui Oui bande Lu1 Ma1 Me1 Je1 Ve1 Com1 Lu2 Ma2 Me2 Je2 Ve2 Com2 Dans notre cas, le backup du vendredi est un différentiel. Il peut être remplacé par celui du samedi s'il n'y a pas d'activités le samedi dans l'entreprise. Ceci évite un déplacement du personnel pour... changer les bandes..2.3. Exemple de stratégie backup industriel Nous partons ici du cas où l'installation informatique ne s'arrête pas, avec seulement un ralentissement dimanche matin par exemple (maintenance de l'outils de production). Le problème dans ce cas reste les utilisateurs. Le deuxième problème dans ce cas est la charge sur le serveur durant la sauvegarde. En sauvegardant, vous ralentissez le système. Le problèmes des utilisateurs est résolu par le système RAID, mais pas la charge de travail du serveur durant la sauvegarde. Il est donc important de choisir l'heure des sauvegardes, pas à 8 heures du matin quand tous le monde démarre. La stratégie de sauvegarde se fait sur 4 semaines, une sauvegarde complète du système par mois (4 semaines), tous dossiers confondus. Lundi Mardi Mercredi Jeudi vend sam dim. L Ma Me J V S D. Type Diff. Diff. Diff. Diff. Diff. Diff. Comp Diff. Diff. Diff. Diff. Diff. Diff. Compl/inc horaires 21h 21h 21h 21h 21h 14h 8h 21h 21h 21h 21h 21h 21h 8h RAID? O/N O/N O/N O/N O/N O/N O/N O/N O/N O/N O/N O/N Oui bande Lu1 Ma1 Me1 Je1 Ve1 Sa1 Mensuel 1/2 Lu2 Ma2 Me2 Je2 Ve2 Sa2 Inc1 Lund Mard i Mercred i Jeudi vend sam dim. Lund Ma Me J V S D. Type Diff. Diff. Diff. Diff. Diff. Diff. Compl/inc Diff. Diff. Diff. Diff. Diff. Diff. Compl/ inc horaires 21h 21h 21h 21h 21h 14h 8h 21h 21h 21h 21h 21h 14h 8h RAID? O/N O/N O/N O/N O/N O/N Oui O/N O/N O/N O/N O/N O/N Oui bande Lu3 Ma3 Me3 Je3 Ve3 Sa3 Inc2 Lu4 Ma4 Me4 Je4 Ve4 Sa4 Inc3 La stratégie ressemble à celle bureautique. RAID Oui ou non en semaine dépend de l'incidence de la sauvegarde sur le travail de l'usine. Le dimanche reprend soit une sauvegarde complète, soit une sauvegarde incrémentale. Ceci dépend également de l'incidence du backup sur le fonctionnement de l'entreprise. Par contre, le premier dimanche du mois est une sauvegarde complète sur 2 jeux de bandes à part.
Il faut trouver l'équilibre entre la sécurité, la durée d'une sauvegarde et l'incidence sur le fonctionnement de l'outils de production. Pas question de stopper l'usine deux heures sous prétexte de sauvegarder des données..5. SAN et NAS.5.1. Introduction. Nous avons vu le stockage des données sur les disques durs des serveurs. Cette solution implique un serveur dédié qui finalement ne fait que de la distribution de fichiers. Cette distribution de fichiers provoque un surcroît de travail sur le serveur. En plus, le prix des licences serveurs sont chères. D'autres solutions de stockages permettent de se passer de serveur..5.2. NAS (Network Attached Storage). Un NAS est constitué d'un ou plusieurs disque(s) dur(s) montés généralement en IDE (RAID ou non), d'une interface RJ45, d'une électronique de type ordinateur (microprocesseur, mémoire, ports d'entrée / sortie) et d'un système d'exploitation souvent prioritaire (spécifique à l'appareil) de type Linux. L'exploitation proprement dit se fait par l'intermédiaire d'une station et d'un navigateur Web. L'administration consiste à paramétrer les droits d'accès des utilisateurs, à paramétrer les paramètres TCP/IP et le serveur DHCP généralement inclus. Bref rien de bien complexe. C'est justement le point fort de ces appareils, la facilité de mise en oeuvre et le prix (pas de licence Windows). Comme option pour ces appareils, citons les disques Hot Plug (extractibles ou Déconnectable à chaud, périphérique (disque dur, carte électronique) qui peut être remplacée alors que le PC (serveur) fonctionne). systèmes RAID, disques SCSI, synchronisation des droits d'accès avec les privilèges utilisateurs existant sur le serveur. Comme tous appareils réseaux, on trouvera alimentations redondantes,....5.3. SAN (Storage attached Network). Si un NAS est directement attaché au réseau, le SAN se positionne comme mémoire de masse supplémentaire pour un ou plusieurs serveurs. Dans cette configuration, disques et bibliothèques de bande sont directement connectés à ces serveurs par une connexion en Fibre optique. Normalement, tous les disques et bibliothèques de bande sont visibles par tous les processeurs. La fonctionnalité de Zoning permet d'isoler des ensembles de disques et bibliothèques des autres ensembles. Comme dans le cas des NAS, les disques ne sont donc pas considérés comme appartenant à un seul serveur. Néanmoins, à la différence des NAS, la gestion des fichiers est confié aux serveurs. Ceci peut poser des problèmes dans le cas de deux serveurs de systèmes d'exploitation différents. La différence entre un SAN et un NAS repose donc essentiellement dans le positionnement sur le réseau. Par contre, la mise en oeuvre d'un SAN est nettement plus
complexe. Sauvegardes et restaurations de données sous Windows 2000 Server Introduction Aujourd'hui l'informatique possède un rôle central dans la plupart des entreprises et est indispensable à leur bon fonctionnement. La perte de données informatiques pourrait avoir des conséquences désastreuses pour l'avenir de ces entreprises. Sauvegarder ces données est donc primordial. Avec le système d'exploitation Windows 2000 Server, il faut être capable non seulement de sauvegarder les données mais aussi l'annuaire d'active Directory. Pour cela, Windows 2000 contient un utilitaire Gestion de sauvegardes de Veritas Software. Cet utilitaire, sans avoir toutes les fonctionnalités de logiciels dédiés aux données, permet de sauvegarder avec beaucoup plus d'efficacité que son prédécesseur qui équipait Windows NT 4. C'est par l'intermédiaire de cet utilitaire que nous allons découvrir l'utilisation des sauvegardes, et la réalisation de restaurations de données. I- Stratégie de sauvegarde Pour être efficaces, les sauvegardes de données en entreprise nécessitent une bonne stratégie de sauvegarde. Pour cela, il faut prendre en compte plusieurs facteurs. D' abord, le volume de données à sauvegarder, ensuite, le temps disponible pour effectuer les sauvegardes sans gêner le travail des employés (durant la nuit par exemple), la fréquence des sauvegardes, le nombre de supports nécessaires (bandes, cd-rom...), et la fréquence de réécriture sur les supports. 1 - Les différents types de sauvegardes Un des éléments principaux d' une stratégie de sauvegarde est le choix du type de sauvegarde. L' utilitaire spécifique de Windows 2000 prend en compte cinq types de sauvegardes, qui définissent la quantité de données à sauvegarder. Ceci a pour objectif d' utiliser le moins possible de supports de sauvegarde et de diminuer le temps d' écriture tout en garantissant une sécurité optimale des données. La majorité des types de sauvegardes se basent sur l' attribut d' archivage qui indique si un fichier a été modifié et s' il doit être sauvegardé à nouveau. Lorsque l' on modifie un fichier précédemment sauvegardé, l' attribut d' archivage y est automatiquement attribué. Ainsi, pendant la sauvegarde suivante, l' utilitaire de sauvegarde pourra ne sauvegarder que les fichiers pour lesquels l' attribut d' archivage est positionné. Ce type de sauvegarde ne prendra donc en compte que les fichiers qui ont été modifiés, ce qui réduira l' espace nécessaire à l' écriture des données sur les supports, et aussi le temps de la sauvegarde. Les cinq types de sauvegardes pris en compte par Windows 2000 sont les suivants: Sauvegarde normale Lors d' une sauvegarde normale, tous les fichiers et dossiers sélectionnés sont sauvegardés, sans distinction des attributs d' archivage. Ces attributs d' archivage des fichiers sont réinitialisés. La sauvegarde normale est la base des sauvegardes ultérieures. Elle accélère le processus de restauration car dans ce cas tous les fichiers de sauvegardes sont les plus récents, et une seule restauration suffit donc pour remettre en place tous les fichiers. Sauvegarde incrémentielle :(déjà vue) Sauvegarde différentielle : idem Sauvegarde quotidienne Une sauvegarde quotidienne ne sauvegarde que les fichiers ayant été modifiés dans la journée,
sans réinitialiser les attributs de sauvegarde. Elle permet d' effectuer une sauvegarde supplémentaire sans perturber le processus de sauvegarde habituel. Sauvegarde par copie Lors d' une sauvegarde par copie, tous les fichiers et dossiers dont sauvegardés, comme pour une sauvegarde normale, mais les attributs d' archivage ne sont pas modifiés. Cela permet d' effectuer une sauvegarde complète supplémentaire (par exemple à des fins d' archivage) sans bouleverser la stratégie de sauvegarde. 2 - Rotation des supports Le nombre de supports (les bandes par exemple) que l' on va devoir acquérir pour effectuer les sauvegardes va dépendre de la stratégie de rotation des supports mis en place. En effet, excepté le besoin de conserver les données à long terme (données sensibles à archiver par exemple), les supports de sauvegarde pourront être réutilisés à intervalles régulières. La stratégie de rotation des supports permet de choisir ces intervalles entre le moment ou un média sera utilisé, et celui ou il sera effacé pour être utilisé de nouveau. Plus l'on possède de supports pour sauvegarder une certaine quantité de données, plus on aura la possibilité de récupérer une très ancienne version d' un fichier, ou d' un document. Par exemple, si on possède 10 bandes, et que 5 sont nécessaires pour pouvoir sauvegarder toutes les données pendant une semaine, on sera capable de récupérer une version d' un fichier datant au maximum de 2 semaines. L' intérêt d' un stratégie de rotation des supports est donc de réutiliser de manière cohérente et organisé les supports de sauvegarde. Il faut faire attention à mettre à l'abri de la poussière, de l' humidité, et des interférences les supports de sauvegardes comme les bandes magnétiques, et il est très fortement conseillé de conserver hors de l' entreprise des exemplaires de sauvegarde pour ne pas tout perdre en cas de sinistre. En effet, une entreprise est en général capable de surmonter sans trop de conséquences graves un incendie de ses locaux, mais peut parfois ne jamais se remettre de la perte de ses données informatiques. II- Exécution d'une sauvegarde de données Pour exécuter une sauvegarde de données avec Windows 2000, la première chose à faire est de lancer l'utilitaire de sauvegarde (sans blague). Pour cela, cliquez sur Démarrer, Programmes, Accessoires, Outils système et enfin Gestion des sauvegardes. Là apparaît à vos yeux émerveillés un écran vous souhaitant Bienvenue! pour commencer et vous proposant l'utilisation d'un assistant pour la réalisation de sauvegarde, de restauration, ou d'une disquette de réparation d'urgence.
En tant "qu'informaticien", seule une crise de panique, causée par un crash général des serveurs de votre entreprise, pourra vous faire utiliser cette assistant. Dans un autre cas de figure, si vous ne voulez pas de l'assistant, cliquez sur l'onglet Sauvegarder de cette même page. 1 - Sélection des données à sauvegarder
Cette onglet Sauvegarder sert à sélectionner les données que vous désirez sauvegarder, ainsi qu'à choisir leur destination. Vous avez la possibilité de sélectionner des lecteurs entiers (exemple C:) ou des dossiers ou fichiers spécifiques. Vous avez également la possibilité de sauvegarder l'etat du système, qui comprend, en particulier, la base de registres et la base de données Active Directory de la machine, indispensables pour une récupération après crash. A noter que pour pouvoir sauvegarder les fichiers et dossiers sélectionnés, vous devez avoir les permissions pour accéder à ces fichiers et dossiers. Pour cette raison, si une personne est chargée spécifiquement de la sauvegarde des données dans une entreprise, l' administrateur pourra le placer dans le groupe Opérateur de sauvegarde du domaine, lui permettant ainsi de sauvegarder tous les fichiers et dossiers des machines du domaine. Tous les membres des groupes Opérateurs de sauvegarde et Administrateurs du domaine ont cette possibilité de sauvegarder tous les fichiers et dossiers du domaine. Si un utilisateur n'est pas membre d'un de ces deux groupes, il doit être propriétaire ou au moins avoir la permission de Lecture des fichiers et dossiers qu'il veut sauvegarder. 2 - Choix du support de sauvegarde Une fois que vous avez sélectionné les données que vous vouliez enregistrer, vous devez indiquer la destination de ces données. Si vous n'avez pas installé de périphériques de sauvegarde (par exemple un lecteur de bandes) par le service Médias amovibles, l'utilitaire de sauvegarde vous indique par défaut l'option "Fichier" dans l'emplacement "Effectuer la sauvegarde vers :". Une fois le support choisi, vous pouvez indiquer en dessous dans l'emplacement "Nom du fichier ou média de sauvegarde:" le nom de votre fichier de sauvegarde ou de votre périphérique de sauvegarde. 3- Options de sauvegarde Vous pouvez compléter la configuration de la sauvegarde en cliquant sur Outils/Options. Là se présenteront à vous 5 onglets: Général, Restaurer, Type de sauvegarde, Journal de sauvegarde, et Exclusion de fichiers. Sans entrer dans les détails, l'onglet Général permet entre autres de préciser si le programme doit vérifier les données sur le support (ce qui ralentit le processus de sauvegarde), ce qui est une bonne précaution. L'onglet Type de sauvegarde permet comme son nom l'indique de choisir le type de sauvegarde à effectuer (normal, incrémentielle, différentielle, par copie, et quotidienne). L'onglet Journalisation des sauvegardes vous permet d'enregistrer les détails des activités de sauvegarde. L'onglet Exclusion de fichiers permet de sélectionner des fichiers et des répertoires à exclure de la sauvegarde. L'avantage par rapport à la sélection des fichiers de départ, c'est que vous pouvez par exemple exclure tous les fichiers avec les extensions *.mp3, ou *.avi (au hasard) quels que soit leurs emplacements. 4- Exécution de la sauvegarde A ce stade vous pouvez cliquer sur le bouton "Démarrer" pour exécuter la sauvegarde avec les paramètres choisis. Là s'ouvre une autre page "Informations sur la sauvegarde" qui vous permet de décrire la sauvegarde pour pouvoir l'identifier plus facilement par la suite. Vous devez également spécifier, si le média contient déjà des sauvegardes, si vous désirez ajouter cette sauvegarde sur le média ou effacer avec cette sauvegarde les données déja présentes sur le média.
Vous pouvez alors confirmer l'exécution de la sauvegarde, ou cliquer sur les boutons "Planification..." et "Avancé...". Pour ce qui est de la planification, nous l'aborderons dans la page suivante. Si vous cliquez sur le bouton "Avancé..." le programme vous permet d'indiquer le type de sauvegarde voulue (normale, incrémentielle...) et d'utiliser les options suivantes: Sauvegarder les données se trouvant dans le stockage étendu, si vous voulez sauvegarder des données qui ont été migrées vers des supports de stockage étendu. Vérifier les données après la sauvegarde. Compresser les données pour réduire leur taille (si votre équipement de sauvegarde possède une compression matérielle). Sauvegarder automatiquement les fichiers protégés du système avec l'état du système (seulement si vous avez coché la case "Etat du système" pendant la sélection des données à sauvegarder.). Maintenant vous pouvez enfin exécuter votre sauvegarde. Et voilà le travail (pour une toute petite sauvegarde):
III - Planification d'une sauvegarde Planifier les opérations de sauvegarde en fonction des besoins de l'entreprise est très important. Cela permet de simplifier les sauvegardes, de les organiser, et surtout de ne pas en oublier régulièrement... Pour cela cliquez sur Planification dans la boîte de dialogue Informations sur la sauvegarde vue précédemment. Là vous sera demandé d'enregistrer les sélections de la sauvegarde, et de saisir le nom et mot de passe d'une personne étant autorisée à faire des sauvegardes. Ensuite, la date et l'heure courante sont proposées par défaut comme date de début de la sauvegarde. Pour les mofifier, cliquez sur le bouton Propriétés.
Ici vous pouvez spécifier si la sauvegarde doit être effectuée une seule fois ou si elle doit se répéter. Les options proposées dans le menu déroulant sont alors les suivantes: Une seule fois. La sauvegarde s'effectuera à la date et l'heure indiquée. Tous les jours. La sauvegarde s'effectuera à la date et l'heure indiquée tous les jours ou tous les n jours. Toutes les semaines. La sauvegarde s'effectuera aux jours, à la date et l'heure indiquée chaque semaine. Tous les mois. Au démarrage du système. En cas de connexion. Si inactif. Vous pourrez retrouver chaque sauvegarde planifiée, dans l'onglet Planifier les travaux du menu principal de la gestion des sauvegardes:
Dans l'exemple, une sauvegarde normale (initiale N en bleue) a été planifiée tous les dimanches à partir du 6 avril 2003, puis une sauvegarde incrémentielle (initiale I en vert) se déroulera chaque autre jour de la semaine. IV- Restauration des données Grâce à l'utilitaire Gestion de sauvegarde de Windows 2000, vous pouvez en cas de nécessité, restaurer toutes vos données, mais aussi choisir de ne restaurer que quelques fichiers et répertoires, si par exemple un document a été supprimé par erreur. 1 - Sélection des données à restaurer Pour restaurer tout ou partie de vos donnéees, vous devez cliquer sur l'onglet Restaurer de l'utilitaire Gestion de sauvegarde. Dans cet onglet s'affiche les jeux de sauvegarde que vous avez créés. A chaque sauvegarde, l'utilitaire de Windows 2000 crée un catalogue de jeu de sauvegarde et le stocke sur le support choisi. (bande magnétique, CD-ROM...). Lorsque vous insérez votre support de sauvegarde dans votre lecteur, l'utilitaire lit ce catalogue et affiche la liste des données qu'il contient. Ici, on retrouve la sauvegarde que nous avons effectuée auparavant :
De la même manière que pour sélectionner les données à sauvegarder, vous pouvez sélectionner les dossiers et fichiers que vous désirez restaurer juste en les cochant :
2 - Destination des données à restaurer Après une perte de données, vous pouvez restaurer vos données dans leur emplacement d'origine, mais vous avez aussi la possibilité de restaurer ces données vers un autre emplacement. C'est utile par exemple pour récupérer une ancienne version d'un document sans effacer la nouvelle. Pour cela, l'onglet Restaurer permet de choisir parmi les options suivantes: Emplacement d'origine. Autre emplacement. Dossier unique. Permet de restaurer tous les fichiers sélectionnés vers un dossier, sans conserver l'ancienne arborescence. 3 - Options de restauration L'onglet Restaurer de la boîte de dialogue Options vue précedemment permet d'organiser les réactions de l'utilitaire qaund ce dernier rencontrera des fichiers homonymes lors de la restauration. Les options possibles sont les suivantes: Ne pas remplacer les fichiers de mon ordinateur. Restaure uniquement les fichiers qui n'existent pas déjà à l'emplacement voulu. Remplacer les fichiers sur le disque seulement s'ils sont moins récents. Toujours remplacer les fichiers sur mon ordinateur. Restaure tous les fichiers sélectionnés en effaçant les fichiers homonymes. Quand vous cliquez sur Démarrer pour lancer la restauration, une Confirmation de restauration vous est demandée. Elle comporte le bouton avancé (comme pour la confirmation de sauvegarde) qui permet de configurer les options suivantes : Restaurer la sécurité. Permet d'indiquer si l'utilitaire doit restaurer tous les paramètres de sécurité des fichiers à restaurer (propriétaire, permissions d'accès...). Pour cela, la destination des fichiers à restaurer doit être formaté en NTFS. Restaurer la base de données des médias amovibles. Restaurer les points de jonction, et restaurer vers leurs emplacements d'origine les données des fichiers et des dossiers qui se trouvent sous ces points de jonction. Lors de la restauration de jeux de données répliqués, marquer les données restaurées en tant que données principales pour tous les réplicas. Permet de restaurer les données du service de réplication des données. V- Etat du système et service d'annuaire L' utilitaire de sauvegarde de Windows 2000 permet de sauvegarder l' Etat du système pour protéger l'ensemble de la configuration du système d' éventuels désastres. 1 - Sauvegarde de l'état du système Comme vu précédemment, l' onglet Sauvegarder de l'utilitaire de Gestion de sauvegarde permet de sauvegarder l' Etat du système.
Cet Etat du système englobe tous les composants de la configuration du système locale. Ces composants sont les suivants: Base de registres. Bases de données d'inscription de classe COM+. Fichiers de démarrage. Base de données des services de certificats. Active Directory (seulement sur les contrôleurs de domaines). Dossier SYSVOL (seulement sur les contrôleurs de domaines). La sauvegarde de tous ces composants permettra (théoriquement) de restaurer l'intégralité d'un système, sans rien perdre des comptes utilisateurs ni des droits et permissions associés. 2 - Restauration de l'état du système Sauvegarder l'etat du système est donc assez facile, il suffit de cocher la case correspondante. Malheureusement, restaurer l' Etat du système n'est pas aussi aisé. La restauration doit en effet non seulement remplacer des données systèmes vitales en cours d'utilisation, comme la base de registre, mais elle doit aussi restaurer la base de données d'active Directory qui contient tous les renseignements relatifs aux comptes d' utilisateurs. Une restauration de l' état du système doit passer par deux phases : la Restauration du service d'annuaire et une restauration autoritaire de la base de données Active Directory.
Restauration du service d'annuaire Pour restaurer Active Directory et le volume SYSVOL sur un contrôleur de domaine Windows 2000 Server, vous devez redémarrer en mode "Restauration du service d'annuaire". Pour cela appuyer sur F8 au redémarrage de la machine. Choisissez l'option "Mode restauration Active Directory" dans le menu qui s'affiche. Là Windows 2000 va charger un jeu de pilotes génériques permettant d' accéder au système d' exploitation en "mode sans échec". Quelques messages d' erreur peuvent alors apparaître car la machine ne tourne pas dans ce cas en tant que contrôleur de domaine. Vous pourrez ensuite restaurer l' état du système avec l' utilitaire de sauvegarde de Windows 2000. Restauration autoritaire Après cette restauration de l' Etat du système sur un contrôleur de domaine, les objets Active Directory restaurés ont les mêmes numéros de versions qu'ils avaient au moment de la sauvegarde. Cela peut poser problème si votre serveur n'est pas le seul serveur contrôleur de domaine de ce domaine. Ce problème est que ces numéros seront plus anciens que ceux couramment en usage dans Active Directory. Ces objets seront donc écrasés lors de la prochaine réplication d' Active Directory. Pour éviter cela, vous devez effectuer une restauration autoritaire des données Active Directory stockées sur le support de sauvegarde. Une restauration autoritaire marque les objets Active Directory restaurés comme étant prioritaires sur les objets homologues des contrôleurs de domaine qui contiennent les répliques. Ces objets homologues seront donc écrasés lors de la prochaine réplication. Pour effectuer cette restauration autoritaire, vous devez utiliser l' utilitaire Ntdsutil.exe de Windows 2000 après avoir restaurer l' état du système et avant de relancer la machine. Cet utilitaire modifie les numéros de versions des objets restaurés.
Sauvegarder et restaurer le système avec Win XP Pro Sur XP Pro on possède un utilitaire de sauvegarde similaire permettant de sauvegarder et restaurer la station. Il faut pour cela disposer d'une partition différente de la partition système ou d'un lecteur réseau et d'une disquette. Par le menu Démarrer, Tous les Programmes, Accessoires, Outils Système, Utilitaire de sauvegarde on accède à un assistant On ne clique pas sur suivant mais sur le lien mode avancé.
et on choisit Assistant Récupération automatique du système. Il n'y a pas besoin de sélectionner, tout le disque système sera sauvegardé dans un fichier mis sur une autre partition ou un lecteur réseau.
ici dans d:\backup.bkf. La sauvegarde commence après avoir cliqué sur terminer.
Quand la sauvegarde est terminée, on est invité à mettre une disquette qui servira à stocker les informations de récupération. Cette disquette est a conserver pour une restauration éventuelle du système.
La restauration du système. Si la machine n'est pas complètement plantée et que l'on peut accéder à l'utilitaire de sauvegarde, on reprend le mode avancé pour lancer l'assistant de restauration. On choisit la sauvegarde que l'on veut restaurer
Si la machine ne redémarre plus sous XP, il faut booter sur le CD d'installation, et choisir une mise à niveau La disquette de restauration sera demandée ainsi que l'emplacement du fichier de sauvegarde. Pour sauvegarder les données du poste ou des données du réseau. L'utilitaire de sauvegarde permet aussi de sauvegarder des données locales au poste ou même des données présente sur le réseau. Il suffit de sélectionner les dossier ou les fichiers de certains dossiers
que l'on veut sauvegarder et de spécifier un emplacement de sauvegarde (comme abordé en haut avec win 2000). Sauvegarde avec le logiciel UltraBackup UltraBackup pour Windows 95/98/Me/2000/XP UltraBackup est un logiciel de sauvegarde automatique simple et efficace. En effet, cet utilitaire protège vos données sensibles en cas de destruction partielle ou complète de celles-ci (mauvaise manipulation, panne, formatage). En un clic, vous récupérez la dernière version de vos documents sauvegardés automatiquement par UltraBackup. Pour les plus expérimentés, voici quelques fonctionnalités proposées par UltraBackup : Sauvegarde classique (tous les fichiers sont copiés), différentielle (prenant en compte les fichiers modifiés, à partir du contenu ou de la date de dernière modification), miroir (les fichiers n existant plus sont supprimés dans le répertoire ou l archive cible) d un ou plusieurs dossiers. Compression au format ZIP et gestion des sauvegardes à ce format. Synchronisation de répertoires. Encryptage à la volée des fichiers copiés ou des archives générées. Une sauvegarde pouvant être effectuée par FTP avec WebDrive. Création dynamique de répertoires cibles permettant de conserver plusieurs versions de sauvegarde «côte à côte». Les anciennes versions peuvent être purgées automatiquement par nombre ou heure de copies grâce à un gestionnaire de versions. UltraBackup 4.2.5.421 Fr Taille 6.08 Mo Gratuitiel / Freeware Gravure des sauvegardes sous Windows XP. Exclusion automatique des fichiers systèmes protégés par Windows. Sauvegarde de clés du registre. Exécution d actions post/pré copie, d exécutables ou de scripts batch. Copie sur des volumes réseau mappées à des lettres locales par montage et démontage automatique des ressources de sauvegarde. Génération et l envoi optionnel de rapports de copies.
Exclusion ou l inclusion de fichiers par critères multiples : dates, taille, extensions Planification et le déclenchement automatique des copies via le planificateur inclus au logiciel. Restauration facile de toute sauvegarde effectuée avec UltraBackup. Téléchargement de Ultrabackup : http://www.astase.com/products/ultrabackup/index.html Installation : classique après avoir téléchargé ultrabackup Utilisation : Peut on utiliser un CD reinscriptible? Oui il suffit d installer InCD (Nero) ou Drag to drop (Easy Cd Creator).On formatte le CD ou le DVD avec un de ces deux outils, au format UDF. Le DVD ou le CD est alors considéré comme une disquette de grosse capacité. Il n y a plus qu à pointer sur le graveur comme répertoire de destination et le tour est joué.
Donc pas besoin d activer le service de gravure d XP. Comment utiliser le planificateur? 1 sélectionner les sauvegardes puis 2 et 3 et 4 Comment restaurer une sauvegarde? Vous pouvez restaurer une sauvegarde entière ou seulement un fichier. Cliquez sur le bouton Restauration (à droite de l écran) puis sélectionnez la sauvegarde à restaurer définir le type de restauration
Si l on désire restaurer qu un fichier le sélectionner (1) et valider ( 2)
faire glisser la sauvegarde dans la fenêtre inférieure puis l exécuter (1) Comment connaître la date de la dernière sauvegarde? Avec le bouton droit de la souris en cliquant sur le nom de la sauvegarde. Peut on utiliser un cd non réinscriptible? Oui dans ce cas on utilise l assistant de gravure windows XP Création d'image Système (Ghost) Créer une image (ghost) de partition Une image Système -nommée aussi "image Ghost" ou "Ghost" en raison d'une solution logicielle fort connue- est une sauvegarde de l'intégralité du contenu d'une partition (voire de l'ensemble de plusieurs partitions). Aucune distinction n'est faite dans ce contenu. On peut dire qu'une image Système est la "photocopie" (fidèle) de la partition à l'instant T (T étant l'heure de la sauvegarde). Il faut donc distinguer l'image Système de la sauvegarde de données. Généralement, les données sont sauvegardées en continu ou très régulièrement,
en sélectionnant les répertoires à prendre en compte et souvent de manière incrémentale. Le système change peu souvent et il n'y a donc pas d'intérêt à faire fréquemment une image. Pour créer une image, il faut choisir la partition et non des répertoires. La sauvegarde incrémentale consiste à sauvegarder tout ce qui est spécifié la première fois, puis seulement les fichiers modifiés par la suite en gardant séparée une copie du fichier original. Sauvegarde de données et image Système sont donc bien éloignées par leur but et leur méthode. 1 - Intérêt Tout peut survenir! Un virus ou un troyen, voire un spyware, met la panique dans le système. L'installation ou la mise à jour d'un logiciel ou d'un pilote a rendu le système instable ou, pire, hors service. Un choc électrique détruit des composants (carte-mère...). Or, Windows XP oblige à réinstaller entièrement s'il y a changement de carte mère (sauf si elle est remplacée par une autre aux caractéristiques strictement identiques). Combien de temps allez-vous perdre? Réinstaller Windows, et juste lui, va durer au minimum 1 heure! A cela, rajoutons le temps d'installation des périphériques et logiciels! Je ne sais pas pour vous mais dans mon cas, réinstaller Windows depuis le départ me coûtera 1 semaine au moins! Beaucoup de logiciels, autant de paramétrages personnalisés des applications et du système, sécuriser et patcher... Tout cela par étape afin de valider la stabilité et alors que j'ai d'autres urgences! D'où l'intérêt de créer une image du système. La création me prend 3 minutes de préparation et dure 30 minutes alors que la restauration de cette image est achevée en 15 minutes (Athlon 2400XP+, 1 Go de RAM, le disque Windows faisant 12 Go et étant rempli à 10 Go). 2 - Pré-requis Tout d'abord, créer une image du système impose : - de posséder une autre partition pour enregistrer l'image, - de neutraliser le fonctionnement du système. 2.1 - Explication Il est impossible de créer une image du système dans son propre disque en cours d'opération. Cela reviendrait à effectuer des calculs sur X dont le résultat dépendrait très fortement de X mais avec tellement de variables que le recours aux équations à multiples inconnus est impossible! Il faut donc stocker cette image ailleurs : un autre disque, sur CD... Mais aussi, - soit créer l'image sous un autre système (linux, un autre Windows, MS-DOS), - soit "verrouiller" le fonctionnement du système : empêcher qu'il puisse effectuer d'autres tâches dans le but que les données du système ne soient sans cesse modifiées et non "photocopiables",
- soit démarrer directement sur un CD ou un jeu de disquettes pour éviter que le système fonctionne. 2.2 - Opportunités des partitions La plupart des utilisateurs sous Windows laissent leur répertoire "Mes documents" exactement là où il se trouve par défaut, dans la partition de Windows. Or, après une restauration du système, il faut donc aussi restaurer les données personnelles, si une sauvegarde existe. Pourquoi ne pas délocaliser sur une autre partition et ainsi éviter de devoir restaurer aussi cette partie? Cela n'exclut pas le besoin de sauvegarder, bien au contraire (crash disque). A y être, délocalisez également les fichiers temporaires (/Temp) et les fichiers Internet Temporaires. Voire également, le fichier Swap de Windows. Cela fera une économie en fichiers à défragmenter sur le disque du système. L'avantage de délocaliser les fichiers et répertoires très souvent modifiés est que la fragmentation de la partition Système est moindre et l'image du Système plus petite. Norton Ghost Norton Ghost peut cloner des ordinateurs personnels utilisés sous DOS, Windows, OS/2 et Linux. Il assure la prise en charge directe des systèmes de fichiers Microsoft FAT NTFS, et Linux EXT2 pour permettre le clonage d un large éventail d'ordinateurs. Avant d'installer un nouveau système d'exploitation ou d'apporter des modifications majeures à votre PC, utilisez Norton Ghost pour créer une image compressée du disque dur. Vous pourrez ainsi ramener le disque à son état d'origine en cas de problème. Norton Ghost permet d'écrire une image directement sur une vaste gamme de supports, incluant de nombreux graveurs de CD-R/RW ainsi que des lecteurs Iomega Zip et Jaz. Voici comment procéder pour faire une image d'une partition vers une autre partition. Lancer Ghost Explorer à partir du menu Démarrer : Choisissez le menu Ghost et Dump Partition :
La fenêtre Physical drives apparaît. Choisissez alors la partition à sauver. Vous pouvez choisir le mode de compression, par défaut None est sélectionné. Cliquez sur OK une fois vos choix effectués. La fenêtre Ghost to apparaît. Vous devez choisir l emplacement de l image la partition. Il n est pas possible de copier l image d une partition sur elle-même, vous devez choisir une autre partition. Une fois, le nom de l image et son emplacement complétés, cliquez sur Enregistrer. Le logiciel Norton Ghost s exécute alors dans une fenêtre MS-DOS. Une fois l image terminée, cette fenêtre se ferme. Récupérer une image disque Vous devez redémarrer votre PCavec la disquette de démarrage. Au prompt de a:, insérez la disquette contenant ghost.exe et ghost.env. Tapez ghost suivi de la touche Entrée. Choisissez Local puis Partition puis Depuis image. Vous devez alors choisir l'emplacement de votre image (autre partition, autre disque ou CD Rom). Une fenêtre vous propose alors de sélectionner la partition source à restaurer.
Vous devez à présent sélectionner le disque destinataire de l'image (dans le cas où vous avez plusieurs disques, faites bien attention de sélectionner le bon). Une fenêtre apparaît dans le cas où le disque choisi comporte plusieurs partitions, de même, faites attention de sélectionner la bonne partition. Norton Ghost affiche alors un message d'alerte afin de vous prévenir que la partition sera irrémédiablement effacée, validez bien que vous êtes sûr de vous. Ghost réalise alors la restauration de votre partition, un peu de patience et vous retrouverez votre disque tel qu'il était lors de la création de l'image. Une fois la restauration terminée, enlevez les disquettes et CD Rom des lecteurs et redémarrez votre machine.
Politique de sécurité de l'information, validation et recouvrement des données Politique de sécurité de l'information 253 Guide de survie (conseils pour une meilleure sécurité) 258 Plan de continuité d'activité 259 La politique d IBM en matière de sécurité informatique 262 Récupérer des données effacées avec INSPECTOR File Recovery 264 Récupération des données avec GetDataBack 268 SÉCURITÉ : Calculer une somme MD5 sous MS-Windows 272 Politique de sécurité de l'information 4.1 Qu'est ce qu'une politique de sécurité de l'information? Chaque entreprise ou organisme doit se doter d'un ensemble de règles de bon usage et de principes de contrôles visant à protéger ses biens matériels et immatériels (information). Dans le contexte des TIC, la description de ce code de bonnes pratiques et des principes de contrôle s'appelle "politique de sécurité de l'information" (Security Policy). Il s'agit également d'une question de crédibilité face à ses clients, fournisseurs, partenaires et actionnaires ou autorités de tutelle. En incitant les employés à respecter des procédures de sécurité, l'organisation dicte une ligne de conduite en matière de sécurité de l'information et des systèmes informatiques mis en place. Afin de mettre en place une politique de sécurité efficace, il convient de respecter des lignes de conduite fondamentales: obtenir un soutien clair de la direction générale grâce à un document signé par le patron qui indiquera aux employés les intentions de l'organisation en termes de sécurité de l'information et les moyens qui seront mis en oeuvre pou y arriver, solliciter la participation des différents niveaux hiérarchiques. Les procédures mise en place seront mieux acceptées par les employés si leurs responsables les approuvent et les appliquent, communiquer la pertinence des procédures de sécurité et leurs avantages dans un langage simple "orienté métier", mettre en place les nouvelles procédures de façon progressive et non brutale. Il ne faut pas perdre de vue que les employés ont d'autres missions à accomplir et qu'il s'agit avant tout de développer un esprit de "culture informatique" au travers de la conviction et non de la contrainte, prendre en compte les besoins réels de l'organisation afin de mettre en place des procédures réalistes en fonction du niveau de risque. Il est inutile de protéger démesurément son domicile ou sa voiture comme s'il fallait résister à une tentative d'effraction de James Bond en personne. Les politiques de sécurité dérivées de normes reconnues, se déclinent en fonction de deux échelles de recommandations: Light Information Security Policy: une politique de sécurité de l'information modeste, Reinforced Information Security Policy: une politique de sécurité de l'information renforcée. Light Information Security Policy:
4.2 Matériel, périphériques et équipement divers Fournir une alimentation électrique continue aux équipements critiques. Utiliser des modems RTC/ISDN ou des lignes DSL avec précaution: toute transmission d'information critique ou confidentielle via ces systèmes de communication doit être réfléchie si aucun outil de protection (cryptographie) n'est utilisé. Contrôler l'infrastructure d'interconnexion informatique (câblage réseau). Toutes les portes d'accès au réseau doivent être identifiées. Supprimer les données sur les matériels obsolètes qui ne sont plus utilisés. Les systèmes d'exploitation et applications installés peuvent être conservés. Verrouiller chaque station de travail (par exemple via un écran de veille avec verrou) lorsque son utilisateur n'est pas à son poste. Toute station serveur doit impérativement être verrouillée lorsqu'aucun responsable de sa gestion ne l'utilise. 4.3 Travail en dehors de locaux de l'organisation et utilisation de personnel externe Définir correctement le cadre associé à la mission d'un prestataire de services informatiques externe. Le prestataire de services ne doit avoir accès qu'aux systèmes ou informations qui sont liés aux tâches relatives à sa mission. En outre, le prestataire de services doit garantir la confidentialité des informations qu'il devra manipuler. Sensibiliser le personnel quant aux risques liés à l'utilisation d'ordinateurs portables par le personnel.. Sensibiliser le personnel quant aux risques liés à l'utilisation d'un accès distant (VPN, télétravail, etc.). En effet, le site de travail distant représente une entrée dont le contrôle est plus difficile. 4.4 Contrôle de l'accès aux systèmes d'information et aux contenus qui y sont présents Mettre en place une méthode d'authentification uniforme, maîtrisée et gérée de manière centralisée. Dans la mesure du possible, il est important de ne pas répliquer les comptes informatiques sur chaque poste de travail. Classifier chaque information mise à disposition sur l'infrastructure informatique et l'associer à des profils d'utilisation. Chaque profil identifé sera doté d'un ensemble de droits d'accès lui permettant l'usage des informations qui lui sont liées. Interdire aux utilisateurs "standards" de s'identifier sur leur poste de travail en utilisant un compte d'administrateur local ou réseau. Si un besoin d'accès à des fonctionnalités "système" est nécessaire (par exemple pour installer un programme), le compte propre à l'utilisateur peut être inséré dans le groupe "administrateurs locaux" de son poste de travail, mais en aucun cas de chaque poste de travail de l'organisation. En outre, le mot de passe de l'administrateur local ou réseau doit obligatoirement rester confidentiel au sein du groupe de gestion informatique. Définir une politique de sélection de mot de passe pour les comptes informatiques. Si nécessaire, un compte générique peut être associé à un groupe d'utilisateurs ayant la même fonction. Les mots de passe vides peuvent être tolérés dans certains contextes. Placer les systèmes informatiques sensibles (serveur, router, commutateur, etc.) dans des locaux à accès restreint. L'accès physique à ces locaux sera limité au personnel autorisé. 4.5 Traitement de l'information Réserver l'installation et la gestion de l'infrastructure réseau à du personnel qualifié. Une attention particulière sera apportée aux points d'accès sans fil ouverts et aux technologies liées au travail distant (VPN sans firewall interne).
Réserver tous les actes d'administration système à du personnel qualifié. Faute de personnel qualifié au sein de l'organisation, on fera appel à une entreprise compétente en la matière dans le cadre d'un contrat bien défini. 4.6 Messagerie électronique et accès Internet/Intranet/Extranet Soumettre tout mail (entrant et sortant) et tout document téléchargé à partir d'une source non fiable (Internet par exemple) à une détection des virus et code malicieux. Un outil de protection doit donc être présent sur chaque poste de travail. Une mise à jour quotidienne de celui-ci est indispensabe. Utiliser des outils de confidentialité (zip encrypté par exemple) pour l'échange de courriers électroniques concernant des informations sensibles. Mettre en place un firewall. Cette mise en place se fera suivant le principe de la fermeture globale de toutes les entreés, suivie de l'ouverture des services requis. Traiter avec précaution tout courrier électronique non sollicité. Tout document reçu depuis une source non identifiée doit être considéré comme suspect et immédiatement supprimé. Vérifier les adresses de destinations lors de l'envoi ou du suivi d'un courrier électronique. Envoyer avec discernement les courriers électroniques dont la taille est imposante (plusieurs Mb). Il convient de prendre en compte la capacité de transmission disponible sur le réseau et la capacité potentielle de réception du destinataire afin de ne pas bloquer toute autre transmission. Politique de sécurité renforcée (Reinforced Information Security Policy) : 4.6.1 Matériel, périphériques et équipement divers Fournir une alimentation électrique continue aux équipements critiques (UPS). Prévoir une génératrice de courant comme relais aux UPS. Limiter l'utilisation du fax (appareil ou modem) afin de réduire la potentialité de fuite d'information. Utiliser des modems PSTN/ISDN ou des lignes DSL avec précaution: toute transmission d'information critique ou confidentielle via ces systèmes de communication doit être réfléchie si aucun outil de protection (cryptographie) n'est utilisé. Contrôler l'utilisation des outils d'impression (imprimante locale, imprimante réseau, etc.). Aucune information critique ou confidentielle ne doit être imprimée sans avoir l'assurance que la transmission n'est pas sécurisée. De plus l'utilisation de ressources d'impression distante doit prendre en compte qu'un individu non autorisé peut potentiellement s'emparer des documents imprimés. Contrôler l'infrastructure d'interconnexion informatique (cablâge réseau). Toutes les portes d'accès au réseau doivent être identifiées et chaque porte non utilisée doit être formellement identifiée, voire même déconnectée. Supprimer les données sur les matériels obsolètes qui ne sont plus utilisés. Verrouiller chaque station de travail (par exemple via un écran de veille avec verrou) lorsque son utilisateur n'est pas à son poste. Les mesures nécessaires (par exemple un verrouillage automatique après une certaine période d'inactivité) seront mise en place afin de palier un éventuel manquement de l'utilisateur. Toute station serveur doit impérativement être verrouillée lorsqu'aucun responsable de sa gestion ne l'utilise. Vérifier lors de la mise en place d'un Intranet/Extranet qu'aucune porte dérobée n'a été ouverte. En effet, un telle faille permettrait le contournement des systèmes d'identification mis en place. 4.6.2 Travail en dehors de locaux de l'organisation et utilisation de personnel externe
Définir correctement le cadre associé à la mission d'un prestataire de services informatiques externe. Un "Service Level Agreement" doit définir les rôles, droits et obligations auquels le prestataire de service doit se conformer pour garantir le bon fonctionnement des tâches qui lui sont confiées, ainsi que la confidentialité des informations qu'il pourrait être amené à manipuler. Contrôler l'attribution des ordinateurs portables au personnel. L'utilisation de cet ordinateur portable doit être restreinte aux seules applications autorisées dans le cadre de la fonction professionnelle. Pour ce faire, une administration système robuste devra être mise en oeuvre sur le système informatique portable afin de garantir que la règle ne peut être contournée. Finalement, les mesures nécessaires (encryption du disque local, droits utilisateur restreints, système d'authentification forte, etc.) devront être mises en oeuvre afin d'assurer la confidentialité de l'information pouvant être disponible en cas de perte ou de vol de l'équipement mobile. Contrôler l'accès distant (VPN, télétravail, etc.) par le personnel aux ressources informatiques. Les mesures nécessaires (droits utilisateur restreints, système authentification forte, filtrage du trafic réseau non opportun, etc.) devront être mise en oeuvre afin d'assurer une protection complète de l'antenne distante de l'organisation. 4.6.3 Contrôle de l'accès aux systèmes d'information et aux contenus qui y sont présents Mettre en place une méthode d'authentification uniforme, maîtrisée et gérée de manière centralisée. De plus, il est conseillé de pouvoir utiliser cette même infrastructure d'authentification avec les différents systèmes nécessitant une identification d'utilisateur (single sign-on). Classifier chaque information mise à disposition sur l'infrastructure informatique et l'associer à des profils d'utilisation. Chaque profil identifié sera doté d'un ensemble de droits d'accès lui permettant l'usage des informations qui lui sont liées. De plus, les informations identifiées comme critiques ou confidentielles feront l'objet de mesures particulières assurant la sécurité nécessaire (encryption de certains contenus sur leur support de stockage et lors de leur transfert sur le réseau de communication, introduction d'un système d'audit de consultation, etc.). Associer l'accès aux ressources réseau (imprimante, scanner, unité de stockage, Internet, etc.) à un mécanisme d'identification et d'audit. Le matériel nécessaire aux ressources réseau sera en outre protégé contre des accès en mode direct, c'est-à-dire sans passer par le système de contrôle d'accès (file d'impression sur serveur obligatoire, proxy pour Internet, etc.). Réserver les droits "administrateur" aux membres du groupe d'administration informatique. Tous les postes de travail doivent être administrés de telle sorte qu'aucune opportunité d'obtention de tels droits système ne soit possible par du personnel non autorisé.ceci inclut l'impossibilié pour un utilisateur de modifier (ajout/suppression de programme) la configuration et la stabilité de son poste de travail. De plus chaque poste de travail ne comportera que les applications indispensables à la réalisation des tâches associées à la fonction de l'utilisateur de ce poste. Définir une politique de sélection de mot de passe pour les comptes informatiques. Aucun compte générique ne pourra être associé à un groupe d'utilisateurs ayant la même fonction. Les mots de passe vides ne sont pas tolérés et la durée de validité sera déterminée, avec un système de renouvellement forcé. Pour le groupe d'administration informatique, chaque responsable aura son propre compte associé aux droits d'administrateur système et toutes les actions d'administration seront réalisées sous l'identité effective du responsable. De plus, un système d'audit sera mis en place pour permettre la tracabilité des actions réalisées. Placer les systèmes informatiques sensibles (serveur, router, commutateur, etc.) dans des locaux à accès restreint. L'accès physique à ces locaux sera limité au personnel autorisé. Le local sera fermé et un mécanisme d'identification (bagde électronique, code personnel, etc.) sera mis en place, de même qu'un système d'audit, si cela est possible. Une attention
particulière sera accordée au panneau d'interconnexion réseau (patch pannel). Son accès sera de préférence limité par une armoire fermée réservée aux responsables réseau. Réaliser toutes les opérations d'administration distante via des communications sécurisées (par exemple SSH, terminal serveur, etc.). L'objectif est de ne pas transmettre de paramètres d'authentification de compte d'administration en clair et sans protection. 4.6.4 Traitement de l'information Réserver l'installation et la gestion de l'infrastructure réseau à du personnel qualifié. Aucune connexion à l'infrastructure ne doit être possible sans l'intervention du personnel responsable (filtrage d'adresse ethernet MAC, désactivation des portes non-utilisées sur le commutateur, instauration de règles de filtrage firewall pour le trafic interne à l'organisation, etc.). En outre tout ajout de systèmes de communication sans fil (WiFi) devra être associé à une encryption forte (WPA et non WEP) et les accès distants (VPN) seront soumis à un contrôle strict. Enfin, tout matériel de communication n'étant pas sous le contrôle total du gestionnaire sera proscrit (par rexemple un modem sur les stations de travail). Réserver l'administration "système" à du personnel qualifié appointé par l'organisation. Enregister toute tentative d'accès infructueux à des documents ou au système d'information (log). Analyser à intervalles réguliers les enregistrements des fichiers de logs (access log, error log, authorisation log, etc.). Cette analyse sera réalisée par du personnel compétent. En outre, il est indispensable que chaque système informatique synchronise son horloge avec une horloge de référence (serveur ntp). 4.6.5 Messagerie électronique et accès Internet/Intranet/Extranet Soumettre tout mail (entrant et sortant) et tout document téléchargé à partir d'une source non fiable (Internet par exemple) à une détection des virus et code malicieux. Un outil de protection doit donc être présent sur chaque poste de travail. En outre, une centralisation de la gestion de ces outils doit impérativement être réalisée par les responsables informatiques et la mise à jour du logiciel doit être impérativement réalisée plusieur fois par jour. Réaliser les échanges de courriers électroniques concernant des informations et documents à caractère sensible au moyen d'outils permettant l'encryption des messages suivant un système à clé publique/clé privée. Tout échange de ce type devra en outre être associé à une signature électronique. L'administration des certificats se réalisera d'une manière centralisée par les gestionnaires informatiques. Vérifier lors de la mise en place d'un Intranet/Extranet qu'aucune porte dérobée n'a été ouverte. Avant toute mise en place d'un extranet, une ingénierie des communications réseau doit être réalisée afin de restreindre l'accès aux ressources exclusivement internes à l'organisation à des partenaires disposant des droits d'accès suffisants. De plus, un système d'audit doit être mis en place. Mettre en place un firewall. Cette mise en place se fera suivant le principe de la fermeture globale de toutes les entrées, suivie de l'ouverture des services requis. Le firewall devra être de type "statefull" et les messages de notification enregistrés et conservés (syslog). Traiter avec précaution tout courrier électronique non sollicité. L'administration informatique devra mettre en oeuvre des outils (filtre anti-spam) au niveau du serveur de courrier afin de minimiser au maximum ce type de sollicitations. Tout document reçu depuis une source non identifiée doit être considéré comme suspect et immédiatement supprimé. La direction informatique doit en être informée. Vérifier les adresses de destinations lors de l'envoi ou du suivi d'un courrier électronique. Mettre en place des systèmes évitant l'envoi de courriers électroniques de grande taille. Ces messages pourraient en effet bloquer toute autre transmission. C'est l'administration
informatique qui est chargée de cette tâche (par exemple via une règle sur le serveur de courrier). Mettre en oeuvre des outils d'analyse réseau (par exemple IDS) afin d'identifier tout trafic ou comportement anormal. C'est l'administration informatique qui est chargée de cette tâche. Guide de survie (conseils pour une meilleure sécurité) Présentation de quelques conseils très simples pour assurer la sécurité des systèmes informatiques, personnels ou appartenant à une organisation. Audits et tests. Organismes de référence Les mots de passe: Quelques conseils : doivent être changés régulièrement, doivent être composés d'une combinaison de caractères et de nombres (astuces: remplacer les voyelles par des nombres, choisir des mots que l'on prononce autrement, etc.). Les fichiers attachés dans un message électronique: vérifier l'adresse de la personne qui transmet ce message et lui demander (par e-mail) de confirmer son envoi. Ouvrir le fichier joint seulement si l'on est certain qu'il est utile et qu'il a bien été sollicité, afin d'éviter la réception d'un virus sur votre ordinateur. Les messages électroniques (e-mails): les lire plutôt en format texte qu'en format HTML, surtout si l'on utilise Outlook ou Outlook Express; être prudent si un message veut rediriger vers un site Web pour y entrer des données personnelles. C'est une tactique appelée phishing pour récupérer des données personnelles. Sécurité des données lors des déplacements: il convient de faire attention lorsque l'on travaille ailleurs qu'au bureau (lieux publics, transports en commun, etc.). Ainsi, la personne qui est à côté de vous pourrait lire des données confidentielles sur l'écran de votre ordinateur. De même, on ne laissera jamais un ordinateur allumé dans un endroit ou d'autres personnes peuvent y accéder. Enfin, il est indispensable de mettre à jour l'antivirus ou d'installer les corrections nécessaires sur les terminaux mobiles. Sécurité physique du matériel: on sera attentif si des personnes étrangères à l'organisation souhaitent y entrer sans une identification sûre. Qui fait quoi? Un bonne pratique consiste à se renseigner sur les rôles et les fonctions des personnes dans son entreprise ou dans son administration afin de savoir à qui s'adresser en cas de problème de sécurité. Les audits sécurité et les tests de disponibilité De temps en temps, toute organisation doit effectuer de tests pour détecter les vulnérabilités au niveau des accès réseau et des systèmes informatiques. Pour effectuer ces tests, le personnel doit avoir des compétences solides et connaître toutes les vulnérabilités identifiées.
De même, il est nécessaire de tester la disponibilité du ou des site(s) Web. En effet, un site Web non disponible, c'est: une image de marque et une réputation dégradées, une perte de revenus si l'entreprise est active dans l'e-business, etc. Les services de test en matière de sites Web permettent de comptabiliser les interruptions et fournissent des rapports écrits prouvant la non-disponibilité des services (très utiles en cas de litiges avec les sous-traitants). La plupart assurent une alerte et une information via mail, sms, téléphone, etc. Voici une liste évidemment non exhaustive de produits ou entreprises spécialisés: SecurityMetrics [->] http://www.securitymetrics.com SecuritySpace [->] http://www.securityspace.com Atwatch Advanced WebSite Monitoring [->] http://www.atwatch.com Plan de continuité d'activité Un plan de continuité d'activité a pour but la reprise des activités après une catastrophe et ce, de la manière la plus efficace possible tout en garantissant la survie de l entreprise. Ce plan est une des étapes nécessaires à la sécurisation du système d'information d'une entreprise. Sommaire 1 Analyse de risque et d impact 2 Stratégie de reprise 3 Développement du plan 4 Exercices et maintenance Analyse de risque et d impact Pour qu un plan de continuité soit réellement adapté aux exigences de l entreprise, il doit reposer sur une analyse de risque et une analyse d impact : L analyse de risque débute par une identification des menaces sur l informatique. Les menaces peuvent être d origine humaine (attaque délibérée ou maladresse) ou d origine «naturelle»; elles peuvent être internes à l entreprise ou externes. On déduit ensuite le risque qui découle des menaces identifiées; on mesure l impact possible de ces risques. Enfin, on décide de mettre en œuvre des mesures d atténuation des risques en se concentrant sur ceux qui ont un impact significatif. Par exemple, si le risque de panne d un équipement risque de tout paralyser, on installe un équipement redondant. Les mesures d atténuation de risque qui sont mises en œuvre diminuent le niveau de risque, mais elles ne l annulent pas: il subsiste toujours un risque résiduel, qui sera couvert soit par le plan de continuité, soit par d autres moyens (assurance, voire acceptation du risque)
L analyse d impact consiste à évaluer quel est l impact d un risque qui se matérialise et à déterminer à partir de quand cet impact est intolérable, généralement parce qu il met en danger les processus essentiels (donc, la survie) de l entreprise. L analyse d impact se fait sur base de désastres: on considère des désastres extrêmes, voire improbables (par exemple, la destruction totale du bâtiment) et on détermine les impacts financiers, humains, légaux, etc., pour des durées d interruption de plus en plus longues jusqu à ce qu on atteigne l impact maximal tolérable. Le résultat principal de l analyse d impact est donc une donnée temporelle: c est la durée maximale admissible d une interruption de chaque processus de l entreprise. En tenant compte des ressources informatiques (réseaux, serveurs, PCs ) dont chaque processus dépend, on peut en déduire le temps maximal d indisponibilité de chacune de ces ressources, en d autres termes, le temps maximal après lequel une ressource informatique doit avoir été remise en fonction Pour qu'une analyse de risque soit une réussite, elle doit être le résultat d'une action collective avec une implication de tous les acteurs. Une discussion ouverte devrait être menée et non un cours magistral. Sans implication des acteurs, l'analyse de risque est vouée à l'échec. Stratégie de reprise La préservation des données passe par des copies de sauvegarde régulières. Il est important de ne pas stocker ces copies de sauvegarde à côté du matériel informatique; voire dans la même pièce car en cas d'incendie, de dégât des eaux, de vol, etc. Lorsqu'il est probable que les sauvegardes disparaissent avec le matériel, le stockage des copies de sauvegarde peut alors être nécessaire dans un autre lieu différent et distant. L analyse d impact a fourni des exigences exprimées en temps maximal de rétablissement des ressources après un désastre (RTO Recovery Time Objective) et la perte maximale de données (Recovery Point Objective). La stratégie doit garantir que ces exigences seront observées. La reprise d'activité s'appuie sur des solutions techniques utilisées en fonctions des besoins et du budget de l'organisation. Parmi les stratégies qui utilisent des sites de remplacement, on peut citer : Pour répondre aux problématique de recouvrement de désastre, on utilise des sites distants. La distance entre le site de production et le site de secours est un éléments capital à prendre en compte. Plus le site est éloigné, moins un désastre pourra affecter le site de secours en même temps que le site de production, mais la solution est d'autant plus chère et la bande passante qui permet de transférer des données d'un site vers l'autre est alors plus coûteuse et moins performante. La distance n'est pas le seul élément différenciant des site de secours, on peut citer notamment les types de site suivant: salle blanche (une salle machine protégée par des procédure d'accès particulières, généralement secourue électriquement). un site chaud : site de secours ou l'ensemble des serveurs et autres systèmes sont allumés, à jour, interconnectés, paramétrés, alimentés à partir des données sauvegardées et prêt à fonctionner. Le site doit aussi fournir l'ensemble des infrastructure pour accueillir l'ensemble du personnel à tout moment et permet une reprise d'activité dans des délais relativement courts (quelques heures). un site froid : site de secours qui peut avoir une autre utilisation en temps normal (ex : gymnase). Les serveurs et autres systèmes sont stockés mais non installés, connecté etc... Lors d'un désastre un important travail doit être effectuer pour mettre en service le site ce qui conduit à des temps de reprise long (quelques jours) un site tiède : site de secours intermédiaire. En général on trouve des machines installées (mise à jour décalée par rapport au site de production) avec les données sur bande mais non importés dans les systèmes de donnés. Il est aussi possible d'utiliser des systèmes distribués sur plusieurs sites ou un site de secours mobile qui correspond à un camion transportant des serveurs et autres systèmes.
Plus les temps de rétablissement garantis sont courts, plus la stratégie est coûteuse. Il faut donc choisir la stratégie qui offre le meilleur équilibre entre le coût et la rapidité de reprise. D'autre part pour des problématiques de haute disponibilité ont à recours aussi à de la redondance mais de manière plus locale. Doublement d'alimentation des baies des serveurs Redondance des disques en faisant du RAID Redondance de serveur avec des systèmes de load balancing (répartition des requêtes) ou de hearbeat (un serveur demande régulièrement sur le réseau si son homologue est en fonctionnement, lorsque, l'autre serveur ne répond pas, le serveur de secours prend le relai). Il est aussi possible de recourir à un site secondaire de haute disponibilité qui se situe généralement près du site de production (moins de 10 kilomètres) afin de permettre de les relier avec de la fibre optique pour permettre de synchroniser les données des deux sites en quasi temps réel de manière synchrone ou asynchrone selon les technologies utilisées, les besoins et contraintes techniques. Développement du plan Le plan de reprise contient les informations suivantes : La composition et le rôle des "équipes de pilotage du plan de reprise". Ces équipes se situent au niveau stratégique: 1-les dirigeants qui ont autorité pour engager des dépenses, 2-le porte-parole en charge des contacts avec la presse, les clients et les fournisseurs, etc.), 3-au niveau tactique (les responsables qui coordonnent les actions) 4- au niveau opérationnel (les hommes de terrain qui travaillent sur le site sinistré et sur le site de remplacement). La composition de ces équipes doit être connue, ainsi que les personnes de remplacement et les moyens de les prévenir. Les membres des équipes doivent recevoir une formation. Les procédures qui mettent la stratégie en œuvre. Ceci inclut les procédures d intervention immédiate (qui prévenir? qui peut démarrer le plan et sur quels critères? où les équipes doivent-elles se réunir? ), Les procédures pour rétablir les services essentiels (avec, comme pré-requis, la négociation de contrats avec des fournisseurs de services de reprise tels que les exploitants de sites de secours). Les procédures doivent être accessibles aux membres des équipes de pilotage, même en cas d indisponibilité des bâtiments. Exercices et maintenance Le plan doit être régulièrement essayé au cours d exercices. Un exercice peut être une simple revue des procédures, éventuellement un jeu de rôles entre les équipes de pilotage. Un exercice peut aussi être mené en grandeur réelle, mais peut se limiter à la reprise d une ressource (par exemple, le serveur principal), ou à une seule fonction du plan (par exemple, la procédure d intervention immédiate). Le but de l exercice est multiple : Vérifier que les procédures permettent d'assurer la continuité d'activité Vérifier que le plan est complet et réalisable Maintenir un niveau de compétence suffisant parmi les équipes de pilotage Évaluer la résistance au stress des équipes de pilotage
Un plan doit aussi être revu et mis à jour régulièrement (au moins une fois par an) pour tenir compte de l évolution de la technologie et des objectifs de l entreprise. La politique d IBM en matière de sécurité informatique Pour être efficace, la politique de sécurité informatique de l entreprise se décide à partir de fondements théoriques qui vont déterminer l application de règles dans toute l entreprise. Dans le cas d IBM, ces bases sont déterminées au siège de la multinationale, puis adaptées en fonction des nécessités pratiques. On peut diviser le dispositif mis en place en trois volets qui se complètent : La prévention, pour éviter les dommages (A), la défense proprement dite (B) et le contrôle des moyens mis en place (C). A La prévention La prévention s exprime d une part par une politique de cloisonnement des informations, et d autre part par des règles de comportement des utilisateurs du système informatique. 1 / Le cloisonnement de l information De nombreuses organisations, dont les entreprises et particulièrement les plus grandes d entre elles appliquent une politique de cloisonnement de l information. Ce système entraîne une difficulté accrue d accès aux informations importantes car une intrusion dans un compte donné ne peut donner accès qu aux informations nécessaires au travail du possesseur de ce compte et donc limite l étendue des dégâts. En effet, IBM applique la règle du «need to know» : chaque employé n a à sa disposition que les informations utiles pour son travail. De plus, les informations sont classifiées selon leur confidentialité, les informations «normales» n étant pas pour autant publiques. Les informations classées «confidentielles» (par leur auteur) obéissent à des règles strictes garantissant leur non-circulation à l extérieur de l entreprise et une circulation limitée à l intérieur d IBM. Ce principe est à la base de règles de comportement des employés d IBM vis à vis de l information et des systèmes informatiques. 2 / Des règles comportementales Dans le but de garantir la sécurité des informations, IBM édicte des règles régissant le comportement de ses employés. Par exemple, chaque employé a son compte d accès rigoureusement personnel au système informatique. De plus, il doit protéger son matériel par au moins un mot de passe s il quitte son bureau. Le mot de passe lui-même doit être choisi en fonction de règles visant à limiter le hacking par des techniques dites de force brute (un programme qui essaye tous les mots d un dictionnaire et d autres combinaisons). C est pourquoi, notamment, il doit contenir au moins un caractère numérique
et un caractère alphabétique, tout en comprenant au moins six caractères sans comprendre deux caractères identiques consécutifs, et doit être changé tous les six mois. Dans le même ordre d idée, on peut aussi citer la règle du «bureau vide» selon laquelle un employé doit laisser son bureau vide de tout document lorsqu il quitte son lieu de travail, de manière à limiter les risques d espionnage. Aussi, les possesseurs d ordinateurs portables sont tenus d interdire l accès à leur machine à toute personne qui ne travaille pas chez IBM, au moyen de plusieurs mots de passe (au lancement de la machine ainsi que sur l écran de veille). Tous ces moyens de préventions sont bien évidemment essentiels à la protection du système informatique, d autant plus qu ils tiennent une place importante dans le dispositif de protection. Mais des moyens de défense plus techniques sont tout de même nécessaire. B La défense La défense passe d abord par une surveillance du système d information, de manière à détecter le plus rapidement possible une intrusion (1 /), qui se heurtera à des moyens techniques de protection (2 /). Mais il faut tout de même prévoir une issue de secours, en cas de problème important (3 /). 1 / La surveillance du réseau Toute l activité d un réseau peut être surveillée à chaque instant grâce à des solutions matérielles ou logicielles spécialisées. Le flot de données généré par ces outils est bien sur très important, mais il est possible de filtrer celles-ci de manière à obtenir les informations qui pourraient révéler une pénétration du système. De même, ces données peuvent être enregistrées pour être ensuite analysées sur la durée. On peut, par exemple, enregistrer toute l activité d un employé d IBM pendant une période définie. Un tel outil est bien sur, très intéressant dans une optique de défense contre une attaque informatique, car il permet d une part de détecter une intrusion extérieure, mais il permet aussi d observer des employés susceptibles de perpétuer une telle attaque de l intérieur. Mais ces procédés se heurtent en France à la protection de la vie privée, et plus spécialement à la loi informatique et liberté. C est ainsi que la CNIL (Commission Nationale Informatique et Liberté) est déjà intervenue. Par contre aux Etats Unis ou en Angleterre, ces méthodes sont tout à fait légales. Mais, ce n est pas tout de surveiller son réseau, il faut aussi prévoir des moyens interdisant toute intrusion extérieure. 2 / La défense statique La défense du réseau contre les attaques extérieures est assurée tout d abord par son architecture. Celle-ci vise à limiter les points d interconnexion entre le réseau interne et internet. A ces points sont placés des gardes barrières (aussi appelés firewalls) dont la fonction est de filtrer les données reçues ou envoyées. Un firewall peut être aussi bien un logiciel installé sur un routeur qu un matériel spécifique. Il peut prendre place sur une machine dite «système bastion» qui assure des fonctions de passerelle applicative (proxy), d authentification des flux entrants, ainsi que d audit, traçage ou logging des flux. Un firewall peut aussi être intégré à un routeur, qui assure ainsi des fonctions de filtrage.
Un niveau de sécurité supplémentaire peut être assuré en ayant recours à des techniques de cryptographies. En effet, le cryptage des documents et messages confidentiels peut rendre la tache encore plus difficile à un voleur d informations. Diverses techniques de cryptages existent parmi lesquelles il faut distinguer les cryptages symétriques et asymétriques, ces derniers offrant une sécurité accrue, puisque la clé de décodage n est jamais transmise (système clé publique / clé privée). Le cryptographie à néanmoins un régime juridique particulier, puisque à ce jour, seul les logiciels à clé de 128 bits ou moins sont autorisés. 3 / Le plan de continuation de l activité Une attaque couronnée de succès, ou tout simplement un erreur humaine peut entraîner une paralysie ou une altération du système d information. C est pourquoi I.B.M., comme 85% des grandes entreprises (source : Gartner group) dispose d un plan de continuation de l activité. Concrètement, ce plan est représenté par un ensemble de procédures d urgences ainsi que par un enregistrement des données du serveur sur un site miroir, ce qui permet en cas de problème à un instant t, de récupérer les données de l instant t-1. Ce site est de plus situé à un endroit tenu secret. En cas d alerte, certains employés doivent s y rendre de manière à pouvoir assurer la continuité de l entreprise. Toutes ces procédures et techniques misent en œuvre doivent bien sur être contrôlée et testée. C Le contrôle Le contrôle est assuré par des procédures d audit (1 /). La défense mise en place est ensuite testée (2 /). 1 / L audit de sécurité. L audit de sécurité s entend tout d abord comme un évaluation des procédures mises en place pour assurer la sécurité du système. Il va être effectué à l aide d outils informatiques permettant de détecter les failles du système en générant automatiquement des tentatives de pénétration selon diverses méthodes préprogrammées et reprenant en général les techniques utilisées par les hackers. 2 / Une équipe de hackers La plupart des pirates informatiques trouvent aisément du travail lorsque l envie ou le besoin de se reconvertir se fait sentir. I.B.M. a ainsi parmi ses employés une équipe de hackers, basée aux Pays- Bas, chargée de tester la solidité des défenses de son système. Ceux-ci agissent d une manière indépendante et sont un moyen efficaces pour améliorer la sécurité du système parce que d une part, ils peuvent se montrer inventif en imaginant de nouvelles techniques (non comme un logiciel), et d autre part, sont probablement informés des techniques inventées par leurs collègues hackers du monde entier. Récupérer des données effacées avec INSPECTOR File Recovery
Vous avez supprimé par erreur un fichier important? Votre fichier n'est pas encore perdu! Avec INSPECTOR File Recovery vous pourrez récupérer des fichiers effacés par erreur ou suite à un plantage. Il prend en charge les systèmes de fichier FAT 12/16/32 et NTFS. Attention, ce logiciel ne peut pas vous aider si le support de données présente des problèmes mécaniques. Si le BIOS ne reconnaît plus le disque dur, il ne pourra rien faire pour vous. INSPECTOR File Recovery est entièrement gratuit, ce qui est plutôt une bonne chose. Le logiciel est multi langues! Vous pourrez choisir le français lors du lancement du logiciel. Une fois la langue choisie, s'affiche une fenêtre détaillant toutes les options de ce logiciel. Cliquez sur suivant pour continuer. Sélectionnez le lecteur qui contenait les données qui ont été supprimées par erreur à l'aide du bouton ouvrir Ensuite, cliquez sur OK.
Le logiciel vas alors rechercher les fichiers qu'il peut récupérer. Dans la fenêtre suivante s'affichent les fichiers récupérables :
Naviguez dans l'explorateur de fichiers du logiciel à la rechercher du ou des fichiers à récupérer. Une Fois le fichier retrouvé, faites clic droit dessus et sélectionnez Enregistrer sous. Sélectionnez un dossier pour l'enregistrement du fichier, et cliquez sur OK
Voilà le logiciel récupère votre fichier. Récupération des données avec GetDataBack
Après avoir lancé GetDataBack vous optenez la fenêtre ci-contre. Step1: Scan for drives Poussez le bouton "Next" pour commencer à rechercher les commandes accessibles. Vous pouvez décocher ("uncheck") une ou plusieurs commandes si vous voulez les omettre. Ceci pourrait être nécessaire si un balayage complet fait planter votre ordinateur. Cependant, incluez au moins le disque que vous voulez récupérer Directoty for temporary files: Répertoire pour les fichiers temporaires: ATTENTION: N'indiquez jamais un répertoire sur le disque que vous allez récupérer! Appuyer sur "Next" Vous obtenez l'écran suivant:...patientez...
Step2: Select source Choisissez la source sur laquelle vous voulez exécuter le rétablissement de données. Une source est d'habitude un disque physique, une division d'un disque physique, un disque logique ou un fichier d'image. Appuyer sur "Next" Step3: Select range and files system Choisissez le disque à balayer et le système de fichiers que vous voulez récupérer. Source drive Search entire drive: Recherchez dans le disque entier. Search partial drive: Recherchez dans une partie du disque. Vous pouvez indiquer vous même les secteurs. Parcourez le disque entier ou une partie. En limitant le disque au secteur où le système de fichiers a été placé accélérera le rétablissement et augmentera les résultats de rétablissement. Cependant, le disque choisie DOIT être un surensemble de l'emplacement original du système de fichiers que vous voulez récupérer. Si vous n'êtes pas sûr de vous, sélectionnez Seach entire drive. Appuyer sur "Next" L'opération de scan va commencer. Soyez patient, c'est parfois très long.
Recherche Analyse Step4: Select File System Vérifiez le système de fichiers que vous voulez obtenir montré dans l'arbre de rétablissement. Appuyer sur "Next"
Si tout s'est bien passé, vous devez avoir quelque chose de semblable. Si ce n'est pas le cas vous pouvez revenir en arrière en appuyant sur la touche "Back". Step5: Recovery Tree Choisissez et copiez les dossiers que vous voulez récupérer. Note: Vous pouvez vérifier la qualité des dossiers récupérés en employant construiredans la visionneuse (F3) ou en ouvrant le dossier avec son application associée (entrez). SÉCURITÉ : Calculer une somme MD5 sous MS-Windows Principes Pour lutter contre le piratage de données, dans le sens, où vous mettez à disposition des fichiers et vous voulez rassurer l'utilisateur final sur le fait que celui-ci n'a pas été "infiltré". Il a été inventé un procédé de calcul de somme - qui en gros, vérifie les données dans un fichier selon la taille dudit fichier - Une autre utilisation courante est en rapport avec le téléchargement de fichiers... vérifier qu'un fichier téléchargé ne se soit pas corrompu lors du téléchargement! Ce calcul est fait selon le procédé d'encryptage MD5 - On définit par fichier tout 'texte' contenant des données informatiques, quelle que soit l'extension qui lui appartient (.exe,.iso,.txt,.bz2, etc...), quel que soit le format d'encodage utilisé (.doc,.xml, etc..) MD5summer Sur les systèmes d'exploitation MS-Windows, on utilise pour vérifier qu'un fichier est sûr le Logiciel Libre MD5summer. Voilà, vous avez téléchargé ledit logiciel, passons à l'install-configuration qui est très simple... Installation Il suffit de cliquer sur le fichier md5vxxx.exe (où xxx est le numéro de version), et il s'installe tout seul!
Configuration Au premier lancement, il vous demande le root folder : Indiquez tout simplement le chemin du répertoire des fichiers que vous voulez vérifier! Puis maintenant, passons à la vérification de fichier, c'est aussi simple! Lorsque vous avez téléchargé votre fichier, quelque soit sa forme, son extension, l'auteur -s'il est sérieux- met à votre disposition un autre fichier portant le même nom mais avec l'extension.md5, ou un fichier nommé MD5SUM ; téléchargez-le, aussi, si vous ne l'avez pas fait! Vérification Cliquez tout simplement sur le fichier.md5, MD5summer va se lancer et l'analyser Une fois analysé, MD5summer averti par un signal lumineux si le fichier est correct ou non : Vert : correct Orange : analyse! Rouge : corrompu Pour finir par un aspect pratique : la Création! Création Pour CREER un fichier.md5, tout aussi simple, lancez MD5summer Choisissez le répertoire où est enregistré le fichier à calculer MD5summer indique tous les fichiers et répertoires à l'intérieur... Indiquez le ou les fichiers en cliquant deux fois dessus, ou par le bouton 'Add' Puis cliquez sur Ok, et MD5summer vous demande un nom d'enregistrement de son fichier.md5 Le mieux est de le nommer du même nom que le fichier analysé ;) Et... md5sum? md5sum : l'outil Unix existe aussi pour windows. Il est fourni par Debian.org sur leur ftp. Les options de vérifications, lecture et création sont ainsi disponibles en mode console MSDOS... soit : md5sum [ -bv ] [ -c [ file ] ] [ file ] -c vérifie la signature -v affiche les noms de fichiers une fois vérifiés -b lit les fichiers en mode binaire ce qui permet la création d'une signature! Voilà, maintenant vous saurez gérer totalement un fichier.md5 et vérifier la correspondance avec le fichier qu'il est censé analyser ;)
Test sur la sécurité Evaluez vos connaissances en matière de sécurité informatique grâce aux questions cidessous. 1. Sélectionnez la phrase juste : o Un antivirus vous prémunit des logiciels qui capturent vos habitudes de navigation voire les informations que vous tapez sur votre clavier (mot de passe, identifiant de connexion, ). o Je n'ai pas besoin d'un antivirus car je n'utilise pas Internet et en plus mon ordinateur est tout neuf. o J'ai installé un antivirus mais cela n'est pas suffisant pour me protéger des virus. 2. Un cadenas apparaît en bas à droite de mon écran et la mention «https» apparaît dans l'adresse du site. Dès lors, peut-on dire que sa session Internet est sécurisée? o Oui o Non 3. Selon vous, qu'est ce qu'un COOKIE en informatique? o Petit ensemble d'informations envoyé par un serveur Web et conservé par le navigateur. o Un courrier non sollicité envoyé à plusieurs destinataires. o Un langage de programmation 4. Une mise à jour régulière de mon antivirus et de mon anti spyware m'assure une protection complète de mon ordinateur. o Faux o Vrai 5. Laquelle de ces trois propositions est fausse : o Un mot de passe idéal est un mot de passe facile à mémoriser et à trouver, par exemple : votre prénom suivi de votre date de naissance. o Lorsque vous avez reçu un spam, détruisez-le. Ne jamais répondre à un spam pour se désinscrire : vous valideriez votre adresse auprès du spammeur qui continuerait à vous importuner. o Si vous recevez un mail d'origine Internet d'un interlocuteur non ou mal identifié, il faut le détruire et ne surtout pas cliquer sur les pièces jointes reçue, afin d'éviter un éventuel risque d'infection virale. 6. Vous recevez un mail de votre Banque vous demandant de changer vos codes d'accès et identifiants Internet pour des raisons de sécurité. Que faites-vous? o Vous faites le nécessaire via le lien proposé par mail. o Vous faites le nécessaire en téléphonant au numéro indiqué dans le mail. o Vous téléphonez à votre conseiller habituel pour vérifier cette information. 7. Que signifie Cheval de Troie (Trojan Horse)? o o Expression désignant l'obtention d'informations confidentielles (comme les mots de passe ou d'autres informations privées), en se faisant passer auprès des victimes pour quelqu'un digne de confiance ayant un besoin légitime de l'information demandée. Courrier électronique propageant une fausse information et poussant le destinataire à réaliser des actions et/ou à diffuser la nouvelle à tous ses proches ou collègues.
o Programme s'exécutant à l'insu de l'utilisateur et conçu pour qu'un tiers puisse accéder à l'ordinateur de la victime à des fins malveillantes. Un leurre est utilisé pour l'introduire dans l'ordinateur via un jeu ou un utilitaire attractif. 8. Chassez l'intrus! o o o HTTP - (HyperText Transfert Protocol), protocole utilisé pour échanger des informations entre un serveur web et un navigateur Internet. Par exemple, en tapant l'adresse http://espacesecurite.bnpparibas.com, le navigateur utilise le protocole HTTP pour se connecter au serveur web du site Espace Sécurité BNP Paribas et recevoir le contenu de la page. HTTPS - HyperText Transfer Protocol over SSL - version sécurisée du protocole HTTP (chiffrement des informations transférées et authentification du site web). HTMLS - (HyperText Mark Up Language Secured), - Langage sécurisée de présentation des pages web ; il permet notamment de créer des liens sécurisés entre les pages. Un leurre est utilisé pour l'introduire dans l'ordinateur via un jeu ou un utilitaire attractif. 9. Qu'est-ce que l'hameçonnage (phishing)? a) Un nouveau type de logiciel. b) Une tentative d'escroquerie par courriel. c) Un protocole de transfert des données. 10. Un pare-feu est un logiciel de sécurité. Vrai ou faux? a) Vrai b) Faux 11. Selon vous, à quelle fréquence doit-on mettre à jour un logiciel antivirus? a) Tous les jours. b) Tous les mois. c) Votre logiciel devrait se mettre à jour automatiquement lorsque vous vous connectez à Internet. 12. --5-Pourquoi demande-t-on une confirmation d'identité aux guichets automatiques? a) Pour savoir si vous êtes en âge d'utiliser le guichet automatique. b) Pour vérifier si votre carte de débit est valide. c) Pour valider votre identité. 13. Quelle est l'utilité d'un certificat numérique sur un site sécurité? a) Il calcule le nombre de visiteurs par jour. b) Il enregistre l'identité des visiteurs du site. c) Il permet à l'internaute de confirmer l'authenticité du site sur lequel il navigue. 14. À quoi sert le chiffrement? a) À faire des statistiques sur l'utilisation d'un site Web. b) À calculer votre fréquentation d'un site par rapport aux autres utilisateurs. c) À brouiller vos informations personnelles pendant leur transfert sur Internet. 15. Un employé de votre banque vous contacte par téléphone et vous demande de lui divulguer des informations confidentielles concernant certains de vos comptes. Que faites-vous? a) Je réponds sans problème à ses questions.
b) Je lui demande de parler à son supérieur. c) Je lui dis que je vais moi-même contacter ma caisse pour leur donner les informations. 16. Votre antivirus et votre pare-feu sont à jour. Vous n'avez donc pas besoin de vous soucier des mises à jour de Windows. Vrai ou faux? a) Vrai b) Faux 17. Vous recevez un courriel de la part de votre banque vous indiquant que vous avez gagné un concours. Que faites-vous? a) Je m'empresse de répondre à toutes les demandes de renseignements pour recevoir mon prix le plus vite possible. b) Je contacte ma caisse pour valider l'information. c) Je répond au courriel et demande qu'on m'appelle pour me donner plus de renseignements. 18. Connaissez-vous votre numéro d'identification personnel (NIP) par cœur? a) Oui b) Non, mais j'ai choisi ma date de naissance comme NIP pour être certain de m'en souvenir. c) Non, mon NIP est inscrit sur ma carte ou sur un papier que je garde dans mon portefeuille. 19. Vous recevez le mail suivant: From: votreadminreseau@votre.entreprise.be Subject: changement de mot de passe Chèr(e), A cause d'une infraction dans notre système informatique, les mots de passe de nombreux utilisateurs ne sont plus secrets. Veuillez changer votre mot de passe en newpw au plus vite. Que faites-vous? o Vous changez votre mot de passe au plus vite en newpw o Vous changez vote mot de passe en quelque chose d'autre que newpw et votre mot de passe actuel 20. Vous recevez le mail suivant sur votre PC Windows From: butler@wingreatprizes.com Subject: Lotto géant Vous avez dorénavant l'occasion de participer au grand Lotto Internet par votre mail. Il y a une multitude de prix à gagner chaque semaine! Installez notre lotto.exe pour gagner instantanément! Attachment: c:\mail\attach\lotto.exe o Vous effacez ce mail au plus vite o Vous installer la pièce jointe
21. Vous devez vous rappelez de plusieurs mot de passes. Que faites-vous? o Vous choisissez partout le même mot de passe o Vous utilisez plusieurs mot de passes que vous inscrivez et cachez en dessous du clavier o Vous utilisez plusieurs mot de passes et des moyen mémotechniques pour vous en souvenir Réponses: 1---3 2---non 3 1 4--faux car il y a d'autres précautions à prendre : mise à jour de votre système, configuration d'un firewall, etc. 5-2et 3 6 3 7 1 8 3 9--b 10--vrai 11--c 12--c 13--c 14--c 15--c 16 --faux. La mise à jour du système opérationnel (Windows) de votre ordinateur est très importante. Celle-ci contribue à le protéger contre les nouveaux types de virus et les nouvelles techniques d'intrusion. 17--b 18 a. En aucun cas il ne faut choisir votre date de naissance comme numéro d'identification personnel (NIP). Si le fraudeur possède d'autres informations sur vous, votre date de naissance est un des premiers essais qu'il fera lorsqu'il tentera de deviner votre NIP. Vous ne devez en aucun temps inscrire votre NIP sur votre Carte d'accès. Mémoriser votre NIP est la solution la plus sécuritaire.