olivier/cours0809
1
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity

Mise à jour (enfin!) du dernier semestre de cours

Browse Source
This commit is contained in:
olivier
2009-05-17 16:54:30 +02:00
parent cb99a39ad0
commit 05d2134eab
50 changed files with 10887 additions and 318 deletions
Download Patch File Download Diff File Expand all files Collapse all files

6
cours/S5B/20081120-Seance1
View File

@ -1,6 +0,0 @@
Séance 1 du 20 nov. 2008
Présentation du programme de Sécurité des systèmes d'information
Cf. Fichier PDF 'Cours0 Pres.pdf'

0
cours/S5B/20081127-Seance2-greve
View File

9
cours/S5B/20090108-Seance6 Normal file
View File

@ -0,0 +1,9 @@
Jeudi 8 janvier 2009
S5B
M.Grad
Sécurisation des réseaux
Lorsqu'on passe sur Verisign pour un certificat, la clé privée est générée SUR notre ordinateur !

44
cours/S5B/20090115-Seance7 Normal file
View File

@ -0,0 +1,44 @@
Jeudi 15 janvier 2008
S5B
M. GRAD
Services réseaux sécurisés
----
Acutellement, environ 20% des réseaux sans fil est non sécurisé en milieu URBAIN.
On utilise souvent la clé WEP pour la sécurité, ce qui est trop faible et totalement déraisonnable.
La nouvelle norme de sécurité est IEEE 802.11i, avec WPA.
Il est important d'avoir un système d'authentification, et donc utiliser un protocole tel que EAP. On peut se baser sur des certificats et/ou une authentification par identifiant/mdp.
Présentation du réseau sans fil Osiris, de l'UdS (Cf. Diapo)
====== Architectures réseaux ======
* Avec répéteurs => on fait tomber le réseau avec un broadcast
* Avec commutateurs normaux => tempête de broadcast
* On ajoute spanning tree => plus les tempêtes
* Routeurs => plusieurs domaines de collision
* Avec des vlan, un routeur, plusieurs commutateurs, on fait les réseaux qu'on veut
===== VLAN =====
==== Niv1 ====
Une technique consiste à affecter chaque port d'une armoire de commutateurs, à un VLAN particulier.
==== Niv2 ====
On procède par adresse MAC => il faut recenser les adresses MAC de tout le monde ...
==== Niv3 ====
Par sous réseaux et par protocole
====== IPv6 ======
Présentation d'IPv6 (Cf. Diapos)

165
cours/S5B/20090129-Seance8 Normal file
View File

@ -0,0 +1,165 @@
Jeudi 29 janvier 2009
Intervention de Pierre DOLIS, expert système et stockage
pierre.dolis@cg67.fr
S5B
====== Présentation de l'auteur et de l'environnement ======
Technicien supérieur territorial au Conseil Général du Bas - Rhin
Guy Dominique KENNEL : Président du Conseil Général du Bas - Rhin
Effectif total du CG67 : 3600 agents
PoE = Power over Ethernet => alimente les périphériques à l'aide du câble ethernet (à travers)
80 instances virtuelles sur 10 serveurs OSX (avec Vmware)
Volumétrie utile de 40 Teraoctets avec sauvegarde sur bande
Auto - hébergement de leur site internet
30Mbits de débit internet par 9 Télécom (par deux liaisons de 15Mbits)
Serveur d'authentification RADIUS (avec des clé ayant un "token", clé générée toute les 30 secondes) pour l'accès Web dit ExtraWeb
70 serveurs qui hébergent des applications clients/serveurs classiques et des progiciels. (tous sous M$)
2 forêts :
* une de production (cg67.fr)
* une d'études (etudes.fr)
====== Infrastructure ======
2 sites :
* Le principal HD (etudes)
* Le secondaire LeVaisseau (cg67.fr)
4700 utilisateurs, 800 groupes, et 4000 ordintateurs
Active Directory fait environ 200 Mo !
===== Courrier =====
Exchange 2003 en cours de migration vers Exchange 2007
Taille : 100 mo par boîte courriel
Serveur de fax pour permettre l'envoi de fax par Outlook
1 500 000 messages par mois, 80Go par mois
500 000 messages de Spam, 1.7 Go
20 Go de pièces jointes externes bloquées
400 Mo de virus bloqués par mois
Le serveur lui même, il n'y a aucun disque dur. Il y a une baie de stockage SAN ailleurs. Technologie/Architecture qui date de 2004 / 2005.
==== Pour 2009 ====
Sommes arrivés à la limite. Donc prise de décision de passer à Exchange 2007 du fait de son architecture 2007.
=> Mise en place d'un cluster de 2 nœuds au niveau des serveurs de boîte au lettres.
CCR = Cluster Continuous Replication, est utilisé pour la nouvelle infrastructure de messagerie.
===== Système de stockage =====
SAN = Storage Area Network, est un système de stockage partagé installé sur un réseau indépendant du LAN (2Gbits)
Permet consolidation et flexibilité au niveau de l'administration.
Acteurs du marché :
* EMC
* IBM
* HP
16 serveurs reliés au SAN du CG67
Cache = augmente performance écriture sur les disques (pour les baies SAN)
Provisioning : présente plus d'espace qu'il n'y en a dans la baie (en vue d'une évolution)
400 Go 10Kpm = 3 000 euros
SATA 500 Go 7200 tours = 700 euros
15 diques par tiroir.
==== Gestion ====
Navisphere (GUI)
SAN Copy et FLARE
SnapView et MirrorView
PowerPath
==== Prévisions 2009 ====
Objectif : acquérir une autre baie de stockage et répliquer les données pour permettre une reprise sur panne rapide (ou transparente)
===== Virtualisation =====
* Réduction des coûtes, matos maintenance
* Amélioration service
* Renforcement de la sécurité
* Simplification administration
* Flexibilité
La virtualisation permet l'allocation dynamique de ressources, mais également un VMFS (Performances élevées, stockage de gros fichiers, accès concurrents depuis plusieurs machines).
VMFS est un système de fichier propre à Vmware.
==== Configuration ====
32Go de ram
Bi Xeon EM64T à 3.2 Ghz et Quadri Xeon
Très consommateurs en ports réseaux
hotspare : disque à côté, en cas de défaillance d'un des 5 disques d'un RAID 5, le hotspare se remplace et s'intègre dans la baie RAID5. On enlève le disque défaillant, on le remplace, et le hotspare redevient en attente.
==== Fonctions avancées ====
* HA : High Availability : assure le redémarrage d'une machine, mais pas l'intégrité des données
* DRS : Distributed Resource Scheduler : déplacement des machines virtuelles en fonction des ressources utilisées
* Gestion de patchs automatisées
* Gestion du "storage" (storage vmotion), déplcement online sur une autre baie de stockage
* Distribution Power Management
* Site Recovery Manager (automatisation des process de disaster recovery)
==== Apports de la virtualisation ====
flexibilité
Migration des VM sans interruption
??
??
==== Perspective 2009 / 2010 ====
Répliquer le tout sur un second site
====== Fonction publique territoriale ======
250 métiers, 60 cadres d'emplois, 8 filières
Catégorie A :
* Administratif : à partir de Licence (Bac + 3)
* Technique : à partir de Bac + 5
Catégorie B :
* Bac
* Bac + 2
Catégorie C :
* Sans condition de diplôme
* BEP/CAP
En fonction des années, il y a des grades, des échelons.
Recrutement se fait principalement par concours (examen à passer).
* partie écrite
* partie orale
il y a des concours externes et internes. Pour les concours internes, c'est après 4 ans de services dans la fonction publique (pour évoluer).
Partie écrite : rédiger une note de synthèse.

0
cours/S5B/20081120-TP1 → cours/S5B/TP/20081120-TP1
View File

0
cours/S5B/20081127-TP2-greve → cours/S5B/TP/20081127-TP2-greve
View File

0
cours/S5B/Groupes_TP.pdf → cours/S5B/TP/Groupes_TP.pdf
View File

0
cours/S5B/TP0 VMw.pdf → cours/S5B/TP/TP0 VMw.pdf
View File

0
cours/S5B/TP1 SecMail.pdf → cours/S5B/TP/TP1 SecMail.pdf
View File

0
cours/S5B/TP2 Ssl.pdf → cours/S5B/TP/TP2 Ssl.pdf
View File

0
cours/S5B/TP3 IPSec.pdf → cours/S5B/TP/TP3 IPSec.pdf
View File

88
cours/S5B/TP/TP4/LISMOI Normal file
View File

@ -0,0 +1,88 @@
====== Sécurisation d'un serveur GNU / Linux ======
But du TP : Exploiter les connaissances acquises durant les cours d'administration système pour sécuriser un serveur GNU / Linux, étape par étape
Eléments pour construire le TP :
* Administration, Tome3 : sécuriser un serveur Linux (nommé ici T3)
* Sécurité Linux (nommé ici Cadenas)
COMPLETER la liste des éléments fournis.
Ressources :
* Isos Linux : http://ftp.u-strasbg.fr/isos/
* Vmware : demander code à M. GRAD (déjà fait)
===== Notes =====
* Reprendre les points données au chap 1 du T3 pour faire un genre de cours rapide sur la sécurité :
* politique de sécurité
* audit (scripts qui testent la sécurité)
* formation des employés
* sécurité physique d'un serveur
* etc.
* Faire ce que nous appelons des "clins d'½il" aux cours de l'année, pour permettre à l'élève de se sentir dans son élément
* Faire un mini - recueil d'astuces pour permettre à l'élève d'avancer rapidement :
* gpg --symetrie fichier
*
===== En vrac =====
* Sauvegarde = une partie de sécurité importante
* Lire manuel de sécurité Debian p1-4
===== Idée(s) de TP =====
* Mot de passe : Martine est utilisateur de la machine, elle possède des droits //sudo// et ne ferme pratiquement jamais son bureau (c'est une tête en l'air). Dans son bureau, à côté de l'écran, se trouve plusieurs photos de son chien **pompom**
* Snif réseau d'un utilisateur ? : donner le log du sniffage
* Mettre un outil de pirate sur le serveur et permettre à l'élève de détecter puis éradiquer ledit outil
* coroner toolkit ?
* t0rn ?
* Faire peut être un joomla ou un drupal ayant une faille connue, l'exploiter pour casser le forum / site, et demander à l'élève de réparer ?
* recherche de la mise à jour
* installation suivant procédure donnée par le site de joomla ou drupal
* Injection SQL / XSS pour détruire un site ?
* Vérification des commandes basiques tels que ls, cd, etc.
===== Tâches à faire =====
* Liste l'ensemble des choses à vérifier :
* mdp trop simple
* bios
* lecture journaux (log)
* accès machine
===== Liste =====
* isolation : le serveur ne doit pas être accessible physiquement => minimum salle sans fenêtre, climatisée (+) et avec porte blindée et digicode, mur en béton armé (pas en plâtre). Idem pour les sauvegardes => pas de clé USB !
* fournir un mdp à chaque utilisateur, ne pas lui laisser le changer (contrôle total de la fragilité des mdps) : 2majuscules, 4 minuscules, 2 chiffres et 2 caractères comme **/**, **;** .
* Donner des instructions à chaque utilisateur :
* Ils doivent apprendre par c½ur le mot de passe
* Supprimer le papier où le mot de passe était => destructeur de documents (chercher le pourcentage de données récupérés par des "malfaiteurs" dans les poubelles)
* ne donner __sous aucun prétexte__ le mot de passe à quelqu'un, quel qu'il soit !
* ne jamais énoncer de vive voix (ni de voix tout court) le mdp
* Si on quitte quelques secondes le poste, on doit VERROUILLER la session
* Sous Microsoft Windows [touche windows] + [L]
* Sous GNU / Linux [Ctrl] + [Alt] + [L] (sous gnome et KDE => non testé ailleurs)
* vérifier que les utilisateurs n'appartiennent pas à des groupes ayant trop de permissions
* vérifier les accès aux serveurs web, si l'utilisateur a le sudo ou pas
* Web : apache, fichiers des sites, etc... => droits sur dossier partagé
* Notamment Samba, NFS (faire NIS), etc...
----
* Minimisation
* Granularité des défenses => plusieurs couches de protection : minimiser les services donc les portes, ajouter de l'audit (= écoute des évènements)
* Que faire en cas de pertes de données ? Où sont les sauvegardes ? Et si le feu a tout détruit ? Où est le serveur de secours ? => les assurances ne paient RIEN si on a pas de quoi redémarrer rapidement !!
* Surveillance
* Vérifier fréquemment l'état du système : courriel envoyé, lecture des journaux, tâches cron pour les sauvegardes
* Désinformation (exemple du livre, avec Hitler qui pensait que le débarquement serait fait au Pas - De - Calais)
* formation, information, sanctions : notices d'utilisations ludiques ? Qui amènent une envie d'être apprises ?
* tutos interactifs ? imagés ?
* La veille informatique : être toujours au courant de ce qui existe / se passe ailleurs