Sécurisation et résilience des services DNS/DHCP Gestion de l adressage IP automatisée



Documents pareils
Alcatel-Lucent VitalQIP Appliance Manager

Solution de gestion des adresses IP (IPAM)

TABLE DES MATIERES 1 INTRODUCTION OBJECTIF SOLUTION ETUDE COMPARATIVE GESTIÒIP PHPIPAM TEEMIP...

CA XOsoft. Suite logiciels. WANSync Solution de réplication des données en LAN ou WAN.

Serveur Appliance IPAM et Services Réseaux

La Continuité d Activité

Windows Server 2012 R2 Failover de serveurs DHCP

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013

OmniVista 2700 Application complémentaires pour l OmniVista 2500 Network Management

Conseils et astuces pour un déploiement réussi de la solution VMware Mirage

DTS MOBATime's Distributed Time System

Le Pôle ORACLE d ITS-Overlap. Platinum Partner

Zabbix. Solution de supervision libre. par ALIXEN

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

La nouvelle équation du poste de travail

Windows Server 2012 Administration avancée

Prenez le train de l évolution maintenant pour gérer le stress des réseaux de demain

Vers un nouveau modèle de sécurité

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Le catalogue TIC. Solutions. pour les. Professionnels

Spécialiste Systèmes et Réseaux

Contrôle d accès Centralisé Multi-sites

Tivoli Endpoint Manager Introduction IBM Corporation

Société TPA S.A.S. Servie Informatique TPA Metz Nord. 85, avenue de Thionville Woippy. L entreprise.

La nouvelle équation du poste de travail

Sécurisation d un site nucléaire

La gamme express UCOPIA.

Cours 6. Sécurisation d un SGBD. DBA - M1ASR - Université Evry 1

Windows Server 2012 R2 Administration avancée - 2 Tomes

Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION :

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

Le poste de travail Linux virtualisé. GUIDE Share France, le 25 juin La Cantine - Paris

Gamme de solutions de gestion des adresses IP Infoblox Intégrées et automatisées pour une visibilité, un contrôle et une conformité en temps réel

Manuel d installation UCOPIA Advance

UCOPIA EXPRESS SOLUTION

Sommaire. Introduction. Lancement produit. WhatsUp Companion. Démonstration produit Questions et réponses. Présentation Orsenna

PROJET ARCHI WINDOWS SERVER

Priorités d investissement IT pour [Source: Gartner, 2013]

Transformation vers le Cloud. Premier partenaire Cloud Builder certifié IBM, HP et VMware

Businesshighlight. Conseiller. n /... Agilité Réseau : de la lumière au bout du tunnel! sommaire

Mise en place Active Directory / DHCP / DNS

NOTIONS DE RESEAUX INFORMATIQUES

Sujet Solution de sauvegarde de serveurs et postes de travail avec BackupPC et Bacula. par ALIXEN

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

ORACLE 10g Découvrez les nouveautés. Jeudi 17 Mars Séminaire DELL/INTEL/ORACLE

Windows Server 2012 R2

VMware vsphere 5 Préparation à la certification VMware Certified Professional 5 Data Center Virtualization (VCP5-DCV) - Examen VCP510

Gestion de clusters de calcul avec Rocks

UCOPIA SOLUTION EXPRESS


Augmenter la disponibilité des applications JEE grâce au clustering : Le projet open source JShaft

Gestion et sécurisation des échanges XcMon, PMPI 03.31/2004 PDB. Global Data Exchange System

COTISATIONS VSNET 2015

Réplication de données de classe entreprise pour environnements distribués et reprise sur sinistre

Ingénierie des réseaux

Administration Avancée de Réseaux d Entreprises (A2RE)

Étendez les capacités de vos points de vente & sécurisez vos transactions.

Axway SecureTransport

Installation DNS, AD, DHCP

La gestion des réseaux électriques HTA des usines du SIAAP avec la CEI 61850

BI Haute performance. Jean-François Vannier Responsable Infrastructures Décisionnelles, Bull

Mise en place d un Site de Secours Backup à Koléa

Catalogue des formations 2015

Mon Sommaire. INEO.VPdfdf. Sécurisations des accès nomades

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Migration vers l'open-source de l infrastructure de pare-feu du campus CNRS d Orléans

Sybase High Avalaibility

Présentation SafeNet Authentication Service (SAS) Octobre 2013

Retour d expérience : la gouvernance du réseau Aligner l infrastructure sur les besoins métiers. I p. 1 I

TOPOLOGIES des RESEAUX D ADMINISTRATION

Fonctions Réseau et Télécom. Haute Disponibilité

Tour des Unités du C.I.A.M. Tour des Unités du C.I.A.M. Maurice Baudry Laboratoire Statistique & Génome, Évry.

Mesures DNS à l ère du Big Data : outils et défis. JCSA, 9 juillet 2015 Vincent Levigneron, Afnic

Lowinski Marc Mansour Chiguer Dominique N'Diaye SI7. OBJECTIF MISSION 3 : Trouver 2 ou 3 outils gratuits Définir les fonctionnalités de ces outils.

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Sécurité de la ToIP Mercredi 16 Décembre CONIX Telecom

La haute disponibilité de la CHAINE DE

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Plan de cette matinée

La virtualisation de serveurs avec VMWare Infrastructure - Retour d expérience. Rodérick Petetin CRI INSA Rennes

Pensezdifféremment: la supervision unifiéeen mode SaaS

>#? " $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/ ! " # $%!& *$$ $%!& *! # +$

Virtualisation de la sécurité ou Sécurité de la virtualisation. Virtualisation de la sécurité Sécurité de la virtualisation Retour d expérience

Technique et architecture de l offre Suite infrastructure cloud. SFR Business Team - Présentation

Systems Manager Gestion de périphériques mobiles par le Cloud

Marché Public en procédure adaptée : Infrastructure Informatique régionale hébergée CAHIER DES CHARGES ET DES CLAUSES TECHNIQUES

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

Réseau CNAS pour le. M. AKKA ABDELHAKIM Chef Département Systèmes et Réseaux Informatiques

Le modèle client-serveur

Choisir la solution d hébergement et de support faite pour vous

EVOLUTION ACTIVE DIRECTORY Windows 2012R2

Solutions de Cybersécurité Industrielle

A. Présentation. LanScanner2006

SQL Server 2008 solutions de sauvegarde et de continuité

Smart Notification Management

Windows Server 2012 Les bases indispensables pour administrer et configurer votre serveur

Services Réseaux - Couche Application. TODARO Cédric

Le catalogue TIC. Solutions. pour les. Professionnels

PLAN DE FORMATION TECHNICIEN(NE) D'ASSISTANCE EN INFORMATIQUE TAI

Transcription:

Sécurisation et résilience des services DNS/DHCP Gestion de l adressage IP automatisée Eric ARNOUX Responsable Réseaux & Télécoms FDJ eric.arnoux@lfdj.com

Sommaire La Française des Jeux Situation initiale Architecture DNS/DHCP Corporate Constat technique Projet & Etapes Choix technique Architecture Corporate Cible Architecture DMZ Cible Retour d expérience Perspectives

La Française des Jeux Opérateur de jeux de hasard payant Les chiffres clefs : 12 Milliard CA en 2012 4 Milliard de transactions jeu / an 3 ème loterie mondiale SI complètement géré en interne avec 2 salles de Datacenter installées sur le site de Vitrolles Criticité et performance des opérations (activité 24h/24)

Situation initiale La Française des Jeux disposait sur son infrastructure DNS/DHCP interne d une solution logicielle Vital QIP Entreprise server de chez Alcatel Lucent installée sur des serveurs Sun Solaris : De 3 serveurs physiques SUN Sparc et SUN ULTRA pour l architecture interne (VitalQIP) De 2 serveurs physiques SUN Solaris pour le DNS externe en BIND 8.2 1 serveur Maître sur le site principal FDJ D une synchronisation des zones réalisée via le mécanisme de maître/esclave de BIND (serveurs esclaves sur les autres sites) La plateforme fournissait les services DHCP et NTP à l environnement de travail Le service DHCP était assuré par 3 serveurs ; le service DNS était assuré par 5 serveurs Le mécanisme de bail DHCP était sécurisé, pour les postes se connectant au réseau, par l association MAC/IP. Une configuration spécifique sur les commutateurs N2/N3 permettait de relayer les informations vers les serveurs DHCP correspondants (IP Helper) Chacun des 2 serveurs Solaris (serveur de temps) était raccordé à un récepteur GPS, pour fournir l horloge, via une liaison série (RS232)

Architecture situation initiale

Constat Technique (en 2008) DNS Interne (VitalQIP) Modèle de licence (dépend du # d'adresses) ne permettait pas la prise en compte de l ensemble du parc d adresses Solution logicielle sur serveurs + base de données (Sybase) multiples couches à gérer (systèmes, serveurs, base de données) Mise à jour QIP complexe et risquée Pérennité solution QIP? hors cœur de métier Alcatel Lucent Mise en œuvre de la résilience des services complexe Sûreté de fonctionnement, sauvegarde, traçabilité modifications au niveau : système Solaris, applicatif QIP, Base de données Sybase 2 gestions : 1 fichier Excel du plan d adressage, l application QIP DNS/DHCP : décorélation progressive Aucun outil central et complet d exploitation et d administration : gestion de fichiers de configuration et nécessité de scripter Difficulté de déléguer les accès DNS Externe Risque de sécurité lié à l exposition sur l internet Points communs Abandon Solaris (cf. strategie société) Coûts Exploitation/Maintenance SUN, Exploitation complexe Environnement géré par les équipes systèmes et sécurités Redondance complexe (cluster Solaris) Gestion manuelle des configurations : scripts, fichiers texte - risque d'erreurs Gestion et application des patches Bind / dépendance système Besoin NTP

Projet & étapes Décision en 2008 de faire évoluer l infrastructure Objectifs Une solution centralisée Un mode Appliance DNS / DHCP / NTP, gestion du plan d adressage Outil de gestion centralisée Exploitation simplifiée Délégation des environnements (Bureautique, système, réseau) Ratio : Coût / (Performance, Sécurité) Etude de marché Réalisation d une shortlist constructeurs: Efficient IP Infoblox Conception de la solution avec prise en compte des contraintes réseaux, système et sécurité Haute disponibilité Administration centralisée et granulaire Logs et Troubleshoot rapide Mise à niveau simplifiée Localisation des équipements sur site (autonomie des sites) Réalisation d un POC (Proof of concept) Evaluation des fonctionnalités disponibles Simplicité de mise en œuvre Simplicité de la migration des données (quelques outils)

Choix technique : Pourquoi INFOBLOX? Principes d architectures : 1 Cluster par site Gestion centralisée Etanchéité environnement interne / externe (2 Grid ) Standardisation du déploiement en mode cluster «Haute disponibilité» Disponibilité locale des services au niveau des sites Chaque poste de travail dispose du DNS primaire de son site de rattachement Réduction des requêtes sur le WAN Double alimentation sur les sites critiques Points différentiateurs Véritable Appliance dédiée OS durci (système d exploitation NIOS) et absence d'accès root (versus autres solutions testées) Granularité - délégation d'administration pour les équipes techniques en charge Traçabilité des actions Haute disponibilité au niveau réseau Simplification de la mise en œuvre - transparente pour l'ensemble des services portés par l'appliance (DNS, DHCP, NTP en stratum1) - intégrée Points additionnels : support SNMP complet et détaillé, API documentée et supportée - Sauvegarde et restauration "one-click" (Depuis la version v5) Processus de mise à jour simple, unifié ("one button") Vérification de la cohérence et de la consistance des données : interface graphique, API Mécanisme de vérification unicité des adresses IP, des noms DNS Organisation du support : 24/7/365 Maturité / Pérennité / Taille de la société

Architecture interne actuelle IB 1552 IB 550

Architecture externe actuelle Hébergeur serveurs secondaires IB 1552

Retour d expérience Les aspects techniques Migration DNS/DHCP/NTP/IPAM (charge : 60 j.h, délai : 4 mois fin de VSR) Cinq étapes : Etude existant, Etude migration, Etude/réalisation interne, Etude/réalisation Externe, Formation-transfert de compétences. Etudes incluant : dossier d architecture et de spécifications, maquettages, tests fonctionnels, de performance et sécurité (dont tests de résilience) Réalisations en HNO et en minimisant la coupure de service Forte stabilité de la plateforme (faible nombre d incident) Aucun incident de saturation à ce jour (sauf une fois!) Un bagot HA lié à une perte de lien inter-membres Simplicité des opérations de gestion et d administration Création de sous-réseau Réservation adresse IP Dashboard complet permettant une vision globale de la plateforme Réduction des risques d'erreurs Arrêt du process «Excel» Délégation granulaire Chaque utilisateur dispose d un compte propre permettant de tracer ses actions et d assurer un suivi Mises à jour sur vulnérabilités simples, avec sécurité du retour arrière

Retour d expérience (suite) Intervention simplifiée à l aide des clusters sur chacun des sites Performances au RDV : Grid interne : gestion de plusieurs milliers de Lans, de postes utilisateurs et de serveurs en DNS/DHCP/NTP/IPAM Grid externe : gestion de 1500 zones dns sur l internet Actes techniques d administration, supervision et sauvegarde quotidiens réalisés avec succès La relation Infoblox Un support de qualité et disponible Un accompagnement en formation et transferts de compétences efficace Des aspects économiques corrects! Une présence permanente via les clubs utilisateurs, newsletters d informations, events, formations gratuites

Evolutions prévues en 2013 Augmentation des capacités des grid interne et externe - nouvelles plateformes TRINZIC DDI (DNS, DHCP, IPAM) Passage en NIOS version 6 Evolution de l architecture du grid interne par ajout d un membre sur le site de PRA (Marseille) Intégration du module de reporting pour améliorer l exploitation Extension du service DNS dans les Zones DMZ sécurisées (jeux) par ajout d un cluster Possibilité d activer le DNSSEC a terme? IPV6?

Questions? Merci de votre attention

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back