Blog informatique et technologique

Blog

November 16

Le développement de la fibre optique

La fibre optique va envahir les réseaux de communication et est en voie de développement et de déploiement jusqu'à l'utilisateur final .
Les premiers opérateurs telco (télécommunications) comme France Telecom et les ISP (=fournisseurs d'accès internet FAI) annoncent leurs stratégies de déploiement .
Free annonce le déploiement de solutions FTTH, France Télecom en installe lui aussi, Neuf suit aussi mais en FTTB, Alice prévoit qu'il participera aussi au phénomène .
A Paris, le déploiement de la fibre de chacun des opérateurs devrait se faire systématiquement par les égouts .
Même le département des Hauts de Seine prévoit d'équiper tout le département par une desserte en fibre soit plus de 500 000 logements .
Le mouvement est lancé .
Les architectures choisies permettent une progressivité des déploiements avec des solutions mixtes fibre/cuivre ou tout fibre optique .
Pour commencer, pour les solutions mixtes, le point de desserte optique peut être plus ou moins proche de l’utilisateur : en FTTB, la fibre s’arrête en pied d’immeuble ; en FTTN ou FTTC (curb : trottoir), la fibre s’arrête au niveau du quartier ou de la rue. Dans ces cas-là, les dernières dizaines ou centaines de mètres sont généralement réalisées sur un réseau cuivre : xDSL sur le réseau téléphonique (les conditions d’accès à la sous-boucle locale cuivre restant toutefois incertaines), CPL sur le réseau électrique, Ethernet sur câble cuivre dédié. Ces solutions intermédiaires permettent d’approcher progressivement la fibre de l’usager (en visant le FTTH à terme) et donc de lui apporter une amélioration immédiate du niveau de service (le débit sur cuivre étant d’autant plus élevé que la distance est courte), tout en étalant les investissements dans le temps.

Image FTTH1

Par la suite, il est alors possible d'étendre l'architecture en tirant de la fibre jusqu'à l'usager de bout en bout .
Nous avons alors des architectures dites passives ou actives, selon la présence ou l’absence d’équipements actifs entre le site central de l’opérateur et les points de desserte .

Le point-multipoint passif (souvent appelé PON, passive optical network, par abus de langage) : une fibre unique part du central et dessert plusieurs habitations, lesquelles sont raccordées à cette fibre au niveau d’un équipement passif (coupleur ou splitter , sorte de « multiprise »), placé à proximité de la zone à desservir. Chaque maison reçoit toutes les informations envoyées par l’équipement central (OLT) ; l’équipement récepteur (ONT) de chaque abonné assure le filtrage. Cette architecture permet des économies sur la quantité de fibres à poser, et donc sur le dimensionnement des infrastructures d’accueil.

Image FTTH3

le point-multipoint actif : proche du schéma précédent, le coupleur étant remplacé par un commutateur, équipement électronique capable d’aiguiller le signal. Les informations envoyées depuis le central sont traitées par le commutateur, qui les retransmet uniquement sur la fibre de l’abonné destinataire. Cette architecture, de par la présence d’éléments actifs dans l’arbre optique, est d’exploitation complexe à grande échelle.

Image FTTH2

le point-à-point passif : chaque habitation est reliée au central par une fibre qui lui est dédiée de bout en bout . Le modèle est identique à celui de la boucle locale téléphonique traditionnelle, avec une paire de fils par abonné. Cette architecture permet une étanchéité absolue entre les lignes des différents abonnés : aucun risque de sécurité, et garantie absolue de disponibilité totale de la ligne (aucun partage de débit) . C'est l'architecture finale vers lequel tout le monde veut tendre .

Image FTTH4

1:36 PM | Add a comment | Send a message | Permalink | View trackbacks (0)

October 05

Panorama de logiciels d'un système d'information (ERP, CRM, EAI, EDI, Sécurité, Supervision ...) et des ports des services courants

Le système d'information d'une entreprise regorge de nombreuses applications .

Cela va des simples applications utilisateurs comme les traitements de texte aux logiciels d'administration du parc informatique comme les logiciels de supervision .

Pour les utilisateurs, on trouve des suites bureautiques avec traitement de textes, tableur, présentation, logiciel de dessin :

- Gratuit : Open office, Star Office, Koffice

- Payant : Corel Word Perfect, Microsoft Office

En particulier, les logiciels de traitement de texte sont souvent utilisés :

Microsoft Word, Open Office, Star Office (SUN), LateX (gratuit, sous Linux)

Toujours pour les utilisateurs, on trouve les logiciels ERP (Enterprise Ressource Planning) comme Microsoft Outlook / Microsoft Exchange, Lotus Notes / Lotus Domino ou Calendar de Mozilla .

On trouve aussi les logiciels de CRM (Customer RelationShip Management, gestion de la relation client) .

Pour les développeurs, on trouve les EDI (Environnement de Développement Intégré) comme Microsoft Visual Studio .NET, ou encore Eclipse (qui est Open Source et gratuit) voir NetBeans pour le Java .
logo logiciel eclipse

Pour le développement Web, on trouve des logiciels CMS Content Management System (ou WCM Web Content Management) comme les services de publication internet comme PHPNuke ou SPIP (sous Linux, Open Source) .

Les navigateurs les plus courants sont Microsoft Internet Explorer MIE v6, Mozilla Firefox, Netscape, Konqueror (sous KDE Linux), Opéra et Safari d'Apple . NCSA Mosaic et Lynx ont disparu depuis longtemps .

On trouve aussi des outils pour réaliser des modélisations UML comme Rational Rose, Borland Together (payants) ou ArgoUML pour le java (Freeware) .
Pour faire cohabiter les différentes applications du parc informatique, il existe deux approches, l'approche des WebServices qui est normalisée ou l'approche habituelle EAI (Enterprise Application Integration) .
Il s'agit de faire cohabiter les applications et de centraliser les données sur une base unique en adaptant les formats d'enregistrement des données entre elles .
Les bases de données habituellement rencontrées sont :
- MySQL ou PostgreSQL: des serveur SGBD Open Source pour de petites bases : autour de 30 000 entrées .
(PostgreSQL est plus sécurisé que MySQL .)
- Oracle 8i, qui est adapté pour des volumes de données bien plus élevées .

- MSSQL (Microsoft SQL Server) ou MSDE (= petit Microsoft SQL Server de développement gratuit)

Pour l'administration réseau, on trouve comme logiciels de supervision réseau et de monitoring :
Websense, Tivoli, Observer, Unicenterde Computer Associates (CA), HP Openview HP-OV, Ciscoworks, BMC Patrol (Patrol DashBoard), What's Up de Ipswitch, Snmpc aussi, Loriot Pro de Luteus et Observer de Network Instruments, sans oublier Compaq Insight Manager SP7 (pour les SAN notamment); MOM de Microsoft, Synexsys, Patrol Visualis mais aussi NSM de Computer Associates, FLUKE ou Nagios (sous Linux et libre) .
Nagios est un très bon produit et pour vous faciliter la vie, il existe une solution Open Source Oreon qui propose un frontend à Nagios .
On trouve aussi Zabbix qui est une bonne alternative à Nagios . Hp OpenView est sûrement une des solutions les plus adéquates mais payante et difficile à prendre en main : Cette application reconnaît toutes les MIB réseau ainsi que les MIB type onduleur et bien d'autre encore ...
Cependant, il faut utiliser des produits complémentaires pour pouvoir tout superviser :
- pour toutes les options de surveillance pour les produits Cisco, Cisco view
- optivity pour nortel, alcatel
- cabletron pour cabletron etc ....
La prise en main nécessite une bonne formation pour l'installation et la gestion .
En fait, souvent, une entreprise dispose de plusieurs outils de monitoring .
Par exemple, l'ensemble des outils suivants : nagios, cacti, hp openview, what's up, ntop, hp sim, mrtg, rdd tool, smokeping .
Cela lui permet de couvrir toutes les informations qu'elle recherche .
Pour étudier le trafic sur notre réseau (ex : y a t'il un trafic VoIP, P2P ?), on dispose aussi de sondes réseaux ou sniffers .
Exemples : Etherreal (sous Linux ou Windows), TCPDUMP sous Linux (=WINDUMP, WINPCAP sous Windows), SNORT (qui est aussi un IDS)
Pour la gestion du trafic applicatif et de la bande passante sur les liens WAN, il existe des serveurs comme PacketShaper de Packeteer ...

PacketShaper sauvegarde les performances des applications suivant les priorités de l'entreprise, grâce à la surveillance, au contrôle et à la compression du trafic sur les liens d'accès WAN et Internet susceptibles d'être congestionnés .
serveurs packeteers
Pour la surveillance des activités des salariés, le dépannage et l'assistance à distance des cellules de maintenance technique, ou pour suivre un cours dans une salle informatique en déportant son écran sur tous les ordinateurs de la salle, il existe des télécommandes d'ordinateurs comme Timbuktu Pro, Symantec PcAnyWhere 11.5 ou encore l'assistance à distance intégré dans XP voir le bureau à distance si on dispose d'un serveur Terminal Server de client léger.
On trouve aussi Microsoft SMS Server 2003 (= System Management Server) qui est un système d’administration de parcs informatique et réseaux de Microsoft (Je l'ai utilisé dans l'entreprise VAI CLECIM) . Il permet la prise de contrôle à distance via Terminal Server .
Enfin, il existe VNC de la société AT&T qui est gratuit, Open Source sous licence GNU/GPL et que j'ai également eu l'occasion de déployer .
Tous ont une approche client-serveur . Une machine dite cliente prend le contrôle d'une machine distante appelée serveur .
Concrètement, l'écran de la machine serveur apparaît dans une fenêtre de la machine cliente et, à partir de celle-ci, l'utilisateur peut effectuer toute opération ou commande pour piloter la machine serveur exactement comme s'il était physiquement au pupitre de cette machine .
Une même machine peut jouer à la fois le rôle de serveur et celui de client .
Plusieurs clients peuvent se connecter en même temps sur un même serveur VNC .
VNC fonctionne avec le protocole de communication réseau TCP/IP et se base sur le protocole Remote Frame Buffer (RFB) pour l'affichage graphique . L'encodage utilisé transmet la première image puis uniquement les pixels qui ont changé . Si l'image change beaucoup, alors la bande passante utilisée augmente sensiblement (une vidéo en plein écran par exemple) .
- RealVNC - La version officielle disponible sur les OS Windows, Linux, Solaris et HP-UX .
- ViNCe - Client VNC pour RISC OS
- OSXvnc - Serveur Macintosh
- Chicken of the VNC - Client Macintosh
- VNC Scan Enterprise Console - VNC Manager pour installer VNC sur des ordinateurs distants

Au niveau de la sécurité, on peut réaliser une audit de sécurité sur un réseau avec NESSUS ou de façon plus élémentaire sur les petits réseaux Microsoft avec l'outil gratuit MBSA Microsoft Baseline Security Analyser v2.0 .
Pour le pare feu logiciel, on trouve :
ZoneAlarm Professionnel, Zone Alarm (XP, gratuit), Norton Personal Firewall (Symantec), OutPost (gratuit pour usage non commercial) .
On trouve aussi des pare feu professionnel chez des grossistes spécialisés sécurité comma Allasso ou RISC Technology .
Spectre Applicatif Allasso
Pour détecter les spywares, il existe en version gratuite :
SpyBot Search and Destroy, Microsoft Windows Defender = Microsoft Antispyware (ancien nom), Ad-Aware
Pour les anti-virus, on trouve :
- Sophos: anti-virus sous Linux ou Windows (payant) (=leader des antivirus d’entreprises en terme de performances)
- McAfee Antivirus
- AVG Control Center de Grisoft
- Norton Internet Security et Norton Anti-virus de Symantec (1 inconvénient : une charge mémoire élevée)
- Kaspersky Anti-virus
- Antivir Personal Edition
- MSRT Malicious Software Removal Tool : l'outil de suppression des logiciels malveillant de Microsoft

Pour compléter la protection Pare-Feu / Anti-virus, il peut être utile d'ajouter un détecteur d'intrusion (NIDS = Network Intrusion Detection System) .
C'est un programme qui suit le trafic de votre réseau à la recherche de tentatives d'intrusions . Il peut prévenir l'administrateur du système dès qu'une telle intrusion a lieu. On peut ou pas le coupler à un mur pare-feu . Les réponses peuvent consigner le détail des attaques, mettre fin à la connexion et reconfigurer le pare-feu pour se préserver d’attaques ultérieures. Il est complémentaire à un anti-virus et à un pare-feu et ne nécessite pas de mise à jour de signatures. Il identifie les intrusions d’un point de vue technique . Il étudie les flux autorisés par le firewall et contrôle qu’ils n’ont pas de comportements suspects . Il vérifie que les applications autorisées par le pare feu se comportent comme attendu et, par exemple, ne vont pas examiner le contenu de dossiers confidentiels .
On trouve notamment :
-GesWall (sous Windows) : cumule les fonctions de firewall et antispyware (pré-configuré)
-PrevXHome (gratuit pour les particuliers)
-SNORT : C'est l'IDS le plus déployé et utilisé et il est disponible sous Linux / Unix mais également Windows comme freeware Open Source . Il peut aussi être utilisé comme sonde .

Les ports des services généralement rencontrés sur les machines d'un parc informatique sont :
7 echo; 21 et 20 ftp File Transfer Protocol; 22 ssh Secure Shell; 23 telnet; 25 SMTP; 70 GOPHER; 79 FINGER; 80 HTTP; 110 POP3 Post Office Protocol - Version 3; 119 NNTP Network News Transfer Protocol; 137 et 138 et 139 NETBIOS-NS NETBIOS Name Service; 143 IMAP 4, IMAP 2 Interim Mail Access Protocol v2; 161 et 162 SNMP Simple Network Managment Protocol; 179 BGP Protocole de routage Border Gateway Protocol; 194 IRC Internet Relay Chat; 443 HTTPS; 517 TALK (commande talk Linux); 1521 Serveur SGBD Oracle; 3306 Mysql Server; 8080 HTTP Alternatif

September 09

Sécurisation électrique (onduleur), du stockage (RAID 0,1...) et des réseaux (Firewall, DMZ, FireProof)

Cet article va traiter de la sécurisation informatique suivant trois points : le contrôle des tensions électriques, la sécurisation du stockage sur disque dur via les différents systèmes RAIDs et enfin, la sécurisation du réseau local d'entreprise vis à vis du reste du réseau Internet par l'utilisation d'une zone DMZ et d'un firewall .

Tout d'abord, il faut se protéger des variations intempestives de tension et des coupures de courant .
Pour cela , il existe des onduleurs et des parasurtenseurs .

Les onduleurs fournissent du courant en prenant le relais après une coupure de courant ou une baisse de tension constatée en entrée alors que, les parasurtenseurs, rabaissent la tension lors des surtensions pour éviter d'abimer le matériel . Les onduleurs, aussi appelés UPS (Uninterruptable Power supplies), délivrent du courant à partir de leurs accumulateurs incorporés . Il existe deux types d'onduleurs : on-line et off-line . Avec les onduleurs off-line , les accumulateurs ne sont pas branchés en permanence et prennent le relais uniquement en cas de besoin . La tension de sortie n'est donc pas très régulière pendant le temps de réaction . Avec les onduleurs on-line, les accumulateurs sont branchés en permanence et insérés dans le circuit électrique ce qui permet une régularité de la tension de sortie que le courant provienne du réseau (secteur) ou des accumulateurs .
La capacité des onduleurs n'étant pas infini en cas de coupure, il faut qu'ils puissent envoyer un signal aux ordinateurs quand ils sont presque vide avant la coupure définitive du courant et afin d'arrêter les ordinateurs correctement . Pour cela, ils délivrent en général trois signaux : « tout est ok », « alimentation », « batterie faible » .Des logiciels s'installent sur les postes pour interagir avec les onduleurs : sous Linux Suse, il existe le programme Genpower très facile à configurer . Celui ci doit être éxecuté à chaque démarrage en ajoutant, sous Linux des lignes de lancement dans /sbin/init.d/boot, sous Windows sous forme de service .
Dernier point, le redémarrage automatique des ordinateurs ne doit pas être trop rapide après l'extinction des postes suite à une coupure sinon ils utiliseront le peu d'électricité restant dans les accumulateurs vides pour redémarrer et ils n'auront pas le temps de se ré-éteindre correctement . Il faut donc placer la temporisation dans LILO à un niveau élevé .
De plus, dans les grands réseaux, il faut plusieurs onduleurs pour alimenter tous les postes . Les ordinateurs sont donc répartis entre un onduleur maître et un ou plusieurs onduleurs esclaves . Les divers états de l'UPS sont distribués par le maître aux esclaves à travers le réseau .

En ce qui concerne le stockage, afin de prévenir les pannes et incidents et une éventuelle perte des données stockées sur les disques durs, on utilise des systèmes RAID (Redundant Array on Inexpensive Disks) . Il s'agit d'une méthode de stockage d'informations réparties sur plusieurs disques durs par mirroring des disques, par l'utilisation de somme de contrôle checksum (codes détecteurs ou correcteurs d'erreurs) ou le placement de blocs de données sur plusieurs unités de disques .
Les systèmes RAID peuvent être mis en oeuvre soit, de façon logicielle, soit de façon matérielle .
- Par logiciel : C'est la solution la plus économique car elle est uniquement logicielle et ne met pas en oeuvre de matériel spécifique . C'est uniquement un logiciel présent dans le noyau du système d'exploitation (le kernel Linux par exemple) qui permet de gérer différents RAID sur les disques durs . Cette solution fonctionne aussi bien avec les disques SCSI que IDE ou SATA . Elle présente l'inconvénient d'offrir une vitesse réduite par rapport aux solutions purement matérielles .
- Par le matériel : Cette solution revient plus chère car elle nécessite un contrôleur de disques RAID . Ce sont des cartes enfichables (ISA presque entièrement disparu ou) PCI qui sont installées dans l'ordinateur à la place des contrôleurs classiques IDE ou SCSI . Avec le RAID matériel, le noyau des OS n'a pas besoin d'être adapté .
baie de disques RAID

Six configurations RAID différentes existent : RAID 0, 1, 2, 3, 4, 5
Les principaux et les plus rencontrés sont 0, 1, 4, 5 .
RAID-0 : Deux disques sont couplés . Les données sont réparties par blocs et chaque moitié de bloc est placée sur chaque disque simultanément . De ce fait, la vitesse d'écriture et de lecture est bien plus rapide . Ce procédé est appelé striping . Par contre, en cas de défaillance d'un des disques, toutes les données sont perdues; il n'y a donc pas de tolérances aux pannes .
RAID-1 : Deux disques sont couplés et les données sont écrites en double sur les deux disques . L'un est l'image exacte de l'autre . En cas de défaillance d'un des disques, l'autre étant intact, on récupère toutes les données et la tolérance aux pannes est assurée . Par contre, on perd la moitié de l'espace disponible puisque nos données sont en double . On parle de mirroring .
RAID-4 :
On utilise 3 disques avec des sommes de contrôle ou checksum . Deux disques contiennent les données et le troisième les sommes de contrôle . La somme de contrôle est calculée par exemple par un OU exclusif logique . Quelque soit le disque qui tombe en panne, il est toujours possible de reconstruire le contenu du disque défaillant à l'aide des données des deux autres disques . L'avantage du RAID-4 par rapport au RAID 1 est qu'on peut utiliser les deux tiers de la place au lieu de la moitié . Par contre, l'écriture de donnée sur un disque de donnée, oblige à calculer et écrire la somme de contrôle sur le troisième disque et ralenti donc l'écriture . De plus, le troisième disque est 2 fois plus sollicité que les autres .
RAID-5 :
C'est un perfectionnement de RAID-4 où les données et les sommes de contrôle sont ventilées sur les trois disques de sorte que chaque disque reçoit une charge égale . On utilise toujours les 2/3 de l'espace pour les données (le reste pour le contrôle) . C'est le meilleur des procédés .

Enfin, afin de protéger les réseaux internes des entreprises et autres organisations, des menaces externes provenant de l’Internet et de réseaux non sécurisés, on utilise une architecture Firewall ou Pare-Feu . L’objectif est de se prévenir contre l’accès non autorisé à des données et à des ressources privées . Au passage, le firewall peut permettre de journaliser les échanges, le trafic de données et les tentatives d’accès . Toutes les architectures de Firewall repose sur un Firewall .
Il en existe 3 types de base :
- Filtres de paquets :
Ils analysent les paquets de données au niveau de la couche réseau (couche 3 OSI) et peuvent les filtrer en fonction des adresses de l’expéditeur et du destinataire, du protocole et des numéros de port des applications .
- Relais de circuits :
Les relais de circuits fonctionnent au niveau de la couche transport (couche 4 OSI) . Ils permettent d’utiliser des applications construites sur les protocoles de transport de cette couche (TCP connecté et UDP déconnecté) .
- Passerelles au niveau applications (passerelle de flux applicatifs)
Comme son nom l’indique, ils travaillent au niveau des applications . On définit des proxies (serveurs proxy) spécifiques pour chaque application qui peuvent journaliser et auditer le trafic . Ces proxies peuvent faire du « store and forward » (FTP, SMTP, http …) ou être interactif (Telnet) suivant le type de trafic . De plus, ils peuvent gérer des mécanismes d’authentification (par exemple pour Rlogin ou Telnet) . Le temps de latence est plus élevé que le « Filtering Gateway » (=Filtres de paquets) .
Le paramétrage du firewall doit obéir à une logique stricte : On interdit tout par défaut . On définit les autorisations uniquement pour ce dont on a besoin . « Tout ce qui n’est pas autorisé est interdit » . Il faut valider l’utilisation de chaque service réseau . C’est la démarche de paramétrage la plus sûre .
Exemple de commande Linux de paramétrage du firewall pour le serveur de courrier :
ipfwadm –F –a accept –b –P tcp –D mail.mafirme.fr 25
Les architectures de Firewall sont nombreuses suivant les moyens financiers qu’on est prêt à leur consacrer et le degré de sécurité recherché .
Voici les schémas de deux variantes : la plus simple (moins coûteuse) et la plus compliquée (plus sûr mais chère)

Cas 1 : Firewall avec routeurs de filtrage
Firewall avec Routeur de filtrage

Le routeur de filtrage contient les autorisations d'accès basées exclusivement sur les adresses IP et les numéros de port .

Cas 2 : Firewall avec sous réseaux de filtrage (zone DMZ démilitarisée)
Firewall avec zone DMZ

Un Firewall avec sous-réseau de filtrage se compose de deux routeurs : L'un est connecté à Internet, et l'autre à l’Intranet/LAN. Plusieurs réseaux bastions peuvent s'intercaler pour former entre ces deux routeurs, en quelque sorte, leur propre réseau constituant une zone tampon entre un Intranet et l'Internet appelée «zone démilitarisée» . Les serveurs accessibles par Internet (HTTP, FTP, E-mail, DNS, Gopher) doivent être placés dans cette zone démilitarisée . De l'extérieur, seul l'accès aux réseaux bastions est autorisé. Le trafic IP n'est pas directement transmis au réseau interne. De même, seuls les réseaux bastions, sur lesquels des serveurs Proxy doivent être en service pour permettre l'accès à différents services Internet, sont accessibles à partir du réseau interne.

Le Routeur interne :
- Autorise le trafic entre le bastion 1 et les machines internes et inversement.
- Interdit tout autre trafic.

Le Routeur externe :
- Filtre le trafic entre le monde extérieur et le bastion 2.
- Interdit tout autre trafic direct (donc pas de trafic direct entre le réseau interne et l’extérieur).

Le bastion interne :
- Assure les fonctions de DNS vis à vis du réseau interne en envoyant ses requêtes au bastion externe.
- Assure les fonctions de proxy avec authentification pour les applications distantes (Telnet, Rlogin, FTP)
- Assure le relais du Mail sortant(SMTP).

Le bastion externe :
- Filtre au niveau applicatif les paquets en direction du réseau interne
- Assure le relais X11 de l’extérieur vers l’intérieur, sur autorisation.
- Assure le relais du Mail entrant(POP).
- Assure les fonctions de DNS vis à vis du réseau externe.

Le bastion interne héberge des services .
On peut installer sur l’ordinateur bastion un serveur de noms comme NAMED sous Linux par exemple . Ce serveur DNS est recensé comme serveur de noms sur le réseau . Les ordinateurs internes envoient leurs requêtes de noms à l’ordinateur bastion qui, grâce à sa connexion à Internet, traite la requête DNS et retransmet la réponse au client .
Sur l’ordinateur bastion, on trouve aussi un serveur proxy (=masquage IP = masquerading host=1 seule IP Internet pour de nombreuses IP LAN)comme SQUID sous Linux . Les clients du réseau ne s’adressent pas directement à Internet mais passent par le proxy après que les logiciels clients utilisés soient paramétré pour le passage par proxy (ex : navigateur http, FTP, Gopher …) . Le proxy a un cache qui peut faire gagner du temps si il possède déjà les données requises dans le cache .
L’ordinateur bastion peut enfin jouer le rôle de serveur de messagerie central . Il est alors spécifié comme serveur SMTP sut tous les ordinateurs du réseau et joue aussi le rôle de serveur POP3 . Précisément, il réceptionne le courrier des clients et le réexpédie sur Internet (fonction SMTP). Quand aux messages en provenance de l’Internet, ils sont réceptionnés sur l’ordinateur bastion qui les redistribue localement aux différents destinataires (fonction POP3 ou IMAP4) . Tout cela nécessite l’installation de SENDMAIL sous Linux et d’un démon POP3 . De plus ; l’ordinateur bastion doit être recensé comme échangeur de courrier (enregistrement MX sous Linux) dans la base de données DNS du domaine de la société .
Exemple d’entrée DNS : IN MX 10 mailserver.mafirme.fr
A noter que l’ordinateur bastion et le serveur de messagerie peuvent être deux machines différentes mais dans tous les cas, le serveur de messagerie doit aussi être dans la zone DMZ (=démilitarisée) .

Le pare feu peut limiter les débits et constituer un goulet d’étranglement des performances réseaux .
«Je prends une trame, je l'examine, je la transmets ou la bloque en fonction de règles... », tout cela prend du temps.
Les tâches que le Firewall a à accomplir sont très exigeantes en termes de charge CPU. L'installation d'un FireWall sur un serveur plus puissant ne résout pas tous les problèmes de capacité . De plus, tout le trafic passe par le firewall qui est alors un élement vital . Si il tombe, tout le trafic est bloqué .
Aussi, il existe une architecture dite FireProof : Il s’agit de multiplexer le travail de filtrage sur plusieurs firewalls ce qui permet de répartir les charges et de lutter contre les pannes : Si un Firewall tombe en panne, puisqu’il n’est pas le seul, le travail est répartit automatiquement sur les autres et le réseau n’est pas bloqué .

Firewall avec FireProof

3:32 PM | Add a comment | Send a message | Permalink | View trackbacks (0)

September 07

Choix, téléchargement et installation de systèmes d'exploitation

Les systèmes d'exploitation du marché sont nombreux .
On trouve principalement les systèmes Microsoft et les systèmes UNIX .
Microsoft : Windows 98, Windows ME, Windows XP Home Edition et Professional Edition, NT Workstation et NT Server, 2000 Professionnel et 2000 Server, 2003 Server, Windows Vista
UNIX : Linux et ses distributions(Red Hat, Fedora, Suse, Mandrake, Debian ...), FreeBSD, OpenBSD, les systèmes propriétaires : HP-UX, Sun Solaris, IBM AIX, SGI IRIX, Compaq Tru-64 ...

Choix :
Les systèmes Microsoft s'accompagnent de produits variés et complémentaires comme Microsoft Back Office Server (administration centralisée), Microsoft Exchange (serveur de mail), Microsoft Office (suite bureautique) ... Ils sont en général très intuitif, mais n'offrent pas toujours la finesse de paramétrage des systèmes UNIX .
Dans les systèmes UNIX, le système Open Source Linux est le plus en vogue .
Parmi les systèmes Linux, on choisira préférentiellement :
- la distribution Mandrake (Mandriva) si on souhaite se rapprocher de Windows en terme d'ergonomie
- la distribution Debian si on souhaite la distribution la plus complète avec à peu près tous les types d'applications existantes disponibles
Debian

- la distribution Red Hat si on souhaite un support technique professionnel (Fedora est sa version grand public gratuite)
Red Hat

Afin de tester le système Linux et vérifier sa compatibilité avec le matériel, l'utilisation d'un LiveCD ou CD-ROM bootable est idéal .
Je vous conseille le LiveCD Linux Knoppix qui est gratuit .
Knoppix

Avec ce live CD, l'OS et ses logiciels (Gimp, Kaffeine ...) se chargent au boot sans aucune installation sur disque dur, et, cette distribution, tirée de la Debian, est toujours mise à jour . Couplé à une clef USB pour sauvegarder ses paramétrages et données personnelles, on obtient un système nomade .
Knoppix permet également le dépannage avec son système de lecture des partitions, qui permet aussi de lire les partitions Windows .
Dans le même style, on trouve Shinux (gratuit) qui offre les mêmes possibilités mais sur une clé USB avec seulement 50 Mo d'espace . Puisqu'il s'agit d'une clé (accessible en écriture) et plus d'un CD, les données sont sauvegardées .
Pour tester FreeBSD, on trouve également un LiveCD gratuit : FreeSBIE
FreeBSD

OpenBSD 3.9 est aussi un UNIX libre et gratuit comme Linux axé sur la sécurité pro-active et la cryptographie intégrée (une seule vulnérabilité à distance détectée en plus de 8 ans dans l'installation par défaut) . C'est parmi les OS les plus sûr .
Logo OpenBSD

Pour finir, Schillix est un OS open source gratuit basé sur le code de OpenSolaris (tiré de Sun Solaris) .
Solaris

Enfin, il existe des CD de dépannage bootables (comme les anciennes disquettes de dépannage) comme Ultimate Boot CD .
Ultimate Boot CD est un cd rom gratuit qui comporte un ensemble d'outils prévus pour dépanner/diagnostiquer une panne machine .
Les outils proposés sont entre autres :
- Des outils de test, diagnostic, sauvegarde et partitionnement de disque dont entre autres G4U pour créer des images Système et Ranish Partition Manager pour partitionner
- Des outils relatifs au CPU (processeur), à la RAM (memoire vive), aux périphériques, au BIOS
tous cela avec un support du réseau (possibilité d'accéder aux réseau)
Pour Windows XP, on trouve des Live CD mais ils sont payant, approche propriétaire oblige :
En particulier, Bouldows ou XP Live CD . Ce dernier peut être utilisé comme CD de dépannage et permet d'accéder aux partitions NTFS contrairement à la plupart des CD de dépannage .

Afin de récupérer tous ces systèmes d'exploitation, il faut les télécharger par Internet .
En général, ils se présentent sous la forme d'un fichier .ISO . Le site de téléchargement propose en général aussi un fichier .MD5 ou .SHA .
Ce second fichier contient une somme de contrôle (checksum) ou empreinte calculée à partir du fichier ISO .
Ce second fichier permet de s'assurer de l'intégrité du téléchargement, évite de télécharger une version contenant un virus informatique et garantit que le fichier récupéré est bien celui présent sur le serveur .
Précisément, MD5 (Message Digest 5) est une fonction de hâchage cryptographique qui permet d'obtenir pour chaque message une empreinte numérique c'est à dire une séquence de 128 bits ou 32 caractères en notation hexadécimale .
(MD5 peut aussi être utilisé pour enregistrer une empreinte d'un mot de passe, comme une sorte de chiffrement unidirectionnel . C'est le système employé dans GNU/Linux ou Linux compare la version MD5 du password avec le MD5 du password saisi .)
Quand à SHA-1 qu'on trouve de plus en plus sur les sites de téléchargement, il propose une empreinte de 160 bits plus sûr encore . Il faut contrôler que l'empreinte (MD5 ou SHA) du fichier téléchargé est la même que celle qu'indique le site .
Pour cela, personnellement, j'utilise sous Windows le logiciel WinMD5Sum pour calculer le MD5 du fichier ISO récupéré et le comparer au MD5 fourni par le site original . De la même façon, sha1sum existe pour l'empreinte SHA .
Dans certains cas, on trouve aussi un fichier .ASC qui contient la clé publique PGP . On utilise alors le logiciel de cryptographie PGP et cette clé publique pour authentifier le téléchargement . Cette démarche de contrôle est utilisée par tous les administrateurs informatiques .

La dernière étape consiste en l'installation .
On peut procéder par une installation poste à poste avec le CD mais si on a un grand nombre de machines à installer et qu'elles ont toutes la même configuration matérielle, alors une autre technique d'automatisation de l'installation existe qui fait gagner beaucoup de temps : le passage par une image Ghost .
Il s'agit de procéder à une seule installation sur un poste type; on réalise alors les paramétrages qu'on veut retrouver sur tous les ordinateurs (Bureau, Lecteurs réseaux, anti-virus, firewall etc ...) . On crée une image disque de la partition à sauvegarder . Pour cela, il faut disposer d'une autre partition de préférence sur un deuxième disque de façon à ce que les données initiales ne changent pas . On peut aussi faire l'image à partir d'un autre OS sur une autre partition (multi-boot) : la partition dont on fait l'image sera donc stable car inactive . Dernière précaution avant de lancer la création de l'image, il vaut mieux réaliser un scandisk et une défragmentation .
Pour réaliser cette image (possiblement incrémentale, on peut alors parler de sauvegardes incrémentales d'images), on dispose de :
- PolderBackup - Anglais - gratuit
- Symantec Norton Ghost -depuis la version9- Français - payant : il permet le stockage d'image disque sur n'importe quel support : Local, Serveur, Jaz, Zip, CD, CD-R, DVD ...
- PC Cloneur (Micro Application) Français - payant
- DrvImagerXP : Il n'est compatible qu'avec Windows 2000 et XP. Il copie octet par octet les systèmes de fichiers FAT32 et NTFS et tient dans une disquette. Il sauvegarde au format ZIP et sait répartir sur plusieurs fichiers afin de sauvegarder sur CD et DVD.
- DrvClonerXP
Sous Linux, on dispose gratuitement de : PartImage, Kbackup ou encore G4U .
L'image disque étant faite sur DVDs, serveurs réseaux, ou disque dur local, on peut s'en servir comme sauvegarde pour la restaurer plus tard en cas de panne ou, s'en servir pour déployer cette image sur tous les ordinateurs voulus simultanément et à distance . Dans notre cas, c'est ce qu'on va faire pour automatiser l'installation . Le logiciel Symantec Norton Ghost, propriétaire et payant, ( et sa brique Ghost Cast Server) propose justement ce déploiement multicast d'images .
Voici au bout de ce lien des slides expliquant rapidement son utilisation .
On trouve aussi des versions gratuites sous Linux avec Ka-Deploy(conseillé), UDP Cast ou CCCSS . Le document suivant peut être utile : Rapport TER des outils de déploiement pour l'UFR Info de l'UCBL .
Grâce à ces produits, le tour est joué !

7:40 PM | Add a comment | Send a message | Permalink | View trackbacks (0)

Des outils informatiques pour apprendre l'anglais

Aujourd'hui, les moyens mis à notre disposition pour apprendre l'anglais sont très nombreux .
Mon logiciel préféré dans ce but est SKYPE . Il s'agit d'un software de VoIP (Voice over IP) qui permet de dialoguer sur internet gratuitement dans le monde entier . Il présente la particularité de proposer un mode « SKYPE ME » qui permet à tout autre utilisateur d'entrer en contact avec nous, de quelques pays que ce soit et quelque soit la langue . A l'intention de notre futur interlocuteur, on peut lui laisser un message d'accueil pour lui indiquer comment on souhaite parler . Par exemple, « Parlons ensemble de la coupe du monde de football en Anglais ! » . Réciproquement, on peut chercher les utilisateurs en mode SKYPE ME (donc joignable) présent dans le monde à cet instant, en fonction de son pays et de sa langue . On peut par exemple parler à des américains parlant aussi français . Personnellement, ce logiciel m'a permis dernièrement d'entrer en relation avec un américain travaillant à Microsoft et un américain traducteur en français de colloques .
Ce logiciel facilite aussi les

Profile

david

Photos

Categories

Archives