Post on 30-Dec-2015
description
Présentation de l’entreprise
Décembre 2012
7 filiales
9 sites de production
1100 collaborateurs
est une société Française fondée en 1965. Elle est spécialisée dans l’étude et la réalisation de composants électroniques destinés aux marchés professionnels comme …
Aéronautique
Défense
Spatial
Ferroviaire
MédicalRecherche pétrolière
Quelques chiffresCA en Million d’Euro
Répartition par domaine d’application
Entreprise ECO responsable
Le groupe est engagé :
On retrouve cette politique au niveau de l’informatique
Par la présence de clients légers (Chip Pc). (consommation de 4 à 6 Watts) Par des serveurs virtualisés réduisant leur nombre physique (plus de 60% des serveurs) et donc l’énergie consommée. Des écrans plats. Des imprimantes et multifonctions ayant la mise en veille
automatique activée.
Dans une politique de développement durable et le respect de l’environnement allant de la conception à la fabrication des produits.
Cela se traduit par une politique de réduction ou d’élimination de substances dangereuses au-delà des règlements internationaux
L’informatique au sein de Exxelia
Environ 500 ordinateurs dont 150 à Chanteloup-en- Brie.
Environ 50 imprimantes en réseau dont 20 à Chanteloup-en-Brie.
Chanteloup-en-BrieParis
Saint Nazaire
Illange
Marmoutier
40 personnes
80 personnes
70 personnes
170 personnes
300 personnes
Plus de 100 serveurs dont les 2/3 sont virtualisés.
Chanteloup-en-Brie
2Mbte
1,8Mbte
1,8Mbte
6,8Mbte
1,9Mbte
Une stratégie basée sur la sécuritéliée au domaine d’applications sensibles
Différents systèmes matériels et logiciels sont déjà présents.
Antivirus - OFFICE SCAN de chez Trend Micro
Pare-Feu - 1 Checkpoint 4600 - 2 SonicWall 4500
Logiciel de monitoring - PRTG Network Monitor de
Paessler AG
Accès VPN par liaison CITRIX - CAG7000
Messagerie - Cisco IronPort C170
La répartition du temps
1er projet 2ème projet
Solution sécurisée 802.1x Audit réseau au siège
Etude de l’infrastructure réseau
8 jours
Analyse - De l’existant- Des besoins
3j
Analyse - Des contraintes- Des risques
3j
Etude - Pour la mise en place de la solution
6j
Réalisation - D’une maquette et validation
8j
Rédaction de la notice de mise en place
2j
Audit réseau(tâche en parallèle avec le 1er projet)
17j
Analyse de l’existant et des besoins 5j
Recherche d’un axe d’amélioration 3j
Proposition de solutions 5j
Rédaction du rapport 1j
Premier Projet
Etude de mise en place de lasolution d’accès sécurisé 802.1x
Le 802.1x repose sur le protocole EAP (Exensible Authentication Protocol)
Analyse de l’existant
Des Groupes de Sécurité Globaux
Sécurité insuffisante Compte et mot de passe peuvent être dérobés et utilisés à partir de n’importe quel ordinateur
L’identification au réseau se fait par :
Un compte utilisateur existant sur le domaine
Un mot de passe répondant au critères de sécurité
Les accès au réseau sont donnés par :
Des GPO Un script de connexion connectant les lecteurs réseaux
Un ordinateur enregistré sur le domaine
Analyse des besoins
Pas de possibilité d’avoir accès au ressources réseau excepté pour internet.
Service RH
-Une connexion authentifiée et sécurisée-Conditions à remplir : nom de l’utilisateur et de l’ordinateur
Utilisateur appartenant au réseau Eurofarad (autres services)Accès au ressources réseau après identification sans passer par le serveur d’authentification.
Personne n’appartenant pas à Eurofarad (Clients, fournisseurs)
En fonction de l’identification de ces personnes, les flux seront séparés par des VLAN (réseau local virtuel) pour plus de sécurité.
Le renforcement de la sécurité avec un serveur Radius
Accès aux ressources réseau protégé par:
3 possibilités
Les prérequis
Commutateur administrable et compatible 802.1x
Service de Domaine Active Directory
Serveur DNS
Service de certificat Active Directory
Service de stratégie et d’accès réseau
Serveur équipé de Windows 2008 Serveur avec les rôles suivants installés
Résolution des noms pour le réseau TCP/IP
Enregistre les objets du réseau (utilisateurs, ordinateurs…)
Permet de créer une autorité de certification permettant d’émettre et de gérer les certificats utilisés dans les applications
Pour la gestion des règles de connexion : authentification et d’identification sur le réseau
Ordinateur client équipé de Windows XP ou supérieurPour la gestion de l’authentification du 802.1x
La maquette 1. Le commutateur ou point d’accès
- Création de VLAN
- ‘Taggage’ des ports
- Création modèle Radius
- Activation du 802.1x pour les ports réservés au service RH.
2. Le serveur- Rôles DNS, AD, AD
Certificate, NPS
- Création domaine- Création des utilisateurs- Création des GGS
1 pour utilisateur 1 pour ordinateur
- Création client Radius avec contraintes et conditions
3. Poste client
- Inscription dans le domaine et ajout de l’ordinateur dans le groupe GSS du serveur
- Activation du service ‘configuration automatique du réseau câblé’ (802.1x) pour le service RH
Les contraintes
Les risques
FaiblesCe projet ne concerne que 5 personnes du service RH.
FaiblesLa mise en place se fera en 2 étapes (expérimental et définitif)
NOUVEAU SWITCH
PC service RH
PC service RH
Port N°1
Switch existant
1ère étape 2ème étape
La planification
L’investissement
1ère étape 1 journée
AUCUNLe matériel est déjà existant.Switch en spare : 4 145€(peut-être utilisé pour un PCA/PRA après une panne)
1. Configuration du switch2. Création des GGS et ajout pc et user dans les groupes sur le serveur3. Connexion du switch4. Activation 802.1x sur PC du service RH et connexion des utilisateurs sur le switch de test
Serveur 0
Windows server 2008 R2 0
Commutateur (disponible) 0
TOTAL 0
2ème étape ½ journée
1. Déconnecter le switch de test2. Configuration du switch3. Connexion des ordinateurs du service RH sur les ports configurés du switch
Deuxième Projet
Audit réseau du site de Paris
Historique
Audits réalisés par l’opérateur et une société extérieure
Anomalie constatée
Taux de latence élevée
Constat
Pics à 75 % de la capacité sur 4% du temps Protocole Novell toujours activé sur certains équipements Surcharge liée au trafic internet
Analyse des flux
(DFS)
Trafic
Liaison SDSL 2Mo
Vitesse transfert maximum théorique
250Ko/s900Mo / heure8,1Go sur 9h00
Matinée du 6/11Plus de 60% de la
bande pour la messagerie
Orange a signalé en octobre un taux de charge moyen de 106% sur 4% du temps avec 52 dépassements
Locaux techniques à réorganiser
-Locaux exigus sans ventilation
-Connexions de mauvaise qualité pouvant causer des mauvais contacts
- Mauvais contacts constatés aussi au niveau des prises dans les bureaux
Constat
Câblage des locaux techniques à réorganiser
2 serveurs virtuels sur Paris étaient en limite de ressources
Certaines lames du serveur CITRIX sont surchargées par une mauvaise répartition des utilisateurs
Sauvegarde des données vers le site de Chanteloup-en-Brie démarraient trop tôt.
Réplication des données sur les serveurs synchronisés en temps réel dans les 2 sens par le DFS.
Ouverture des fichiers par les utilisateurs sur le serveur de Paris et d’autres sur le serveur de réplication à Chanteloup-en-Brie.
Pics de charge sur la ligne dépassant la capacité par moment.
Personnes en partie migrées sur Office365 et ont toujours anciennes boites actives sur le serveur de Chanteloup-en-Brie.
8 causes décelées, rendent le réseau instable et contribuent aux phénomènes de latence
Analyse des risques
Finir migration messagerie
Réorganiser comptes sur les serveurs en lames
Changer liaison Paris – Chanteloup en BrieRefaire le câblage de Paris
Etendre mémoire et espace disque sur les serveurs virtuels
0
10
20
Nous constatons en résultat une pondération élevée avec un niveau d’impact
‘Fort’ et ‘Important’
Référence Niveau impact Probabilité PondérationFinir migration messagerie 4 4 16Réorganiser comptes sur les serveurs en lames
3 2 6
Changer liaison Paris – Chanteloup en Brie
3 4 12
Refaire le câblage de Paris 3 3 9Etendre mémoire et espace disque sur les serveurs virtuels
3 3 9
Niveau Impact Probabilité Pondération mineur faible 1moyen moyenne 2important forte 3majeur très forte 4
Les contraintes
Finir la migration de la messagerie
Contrainte : limitée
La migration s’effectue poste par poste et limite ainsi le flux réseau.
Périmètre d’action : restreint à certains utilisateurs de Paris
Réorganisation des comptes sur le serveur de lames
Contrainte : Moyenne
La contrainte est évaluée à ‘Moyen’ car il est avant tout nécessaire d’évaluer les ressources utilisées par chaque utilisateur CITRIX avant de les répartir sur les lames.
Périmètre : Utilisateurs de Paris
Les contraintes
Les contraintes
Modification liaison Paris – Chanteloup en Brie
Contrainte : Forte-Délai de mise en place par le fournisseur-Conditions de résiliation de l’ancienne ligne
La contrainte principale est de conserver la ligne actuelle le temps de la mise en place et configuration de la nouvelle. Cette contrainte empêche la résiliation de la ligne actuelle le temps de la mise en service de la nouvelle ligne.
Périmètre : utilisateurs de Paris
Les contraintes
Etendre la mémoire virtuelle et la taille de disque dur sur les serveurs virtualisés
Contrainte : Forte
L’allocation de la mémoire supplémentaire peut se faire de façon dynamique, en revanche pour l’affectation d’un espace disque supplémentaire la contrainte est Forte car elle nécessite l’arrêt du serveur le temps de sa réalisation.
Périmètre : Quelques utilisateurs de Paris
Le périmètre est limité à quelques utilisateurs sur Paris
Les contraintes
Refaire le câblage des locaux de Paris
Contrainte : Moyenne
1/Les câbles pourront en un premier temps être tirer des locaux techniques vers les bureaux.2/Dans les locaux techniques les baies et les câbles seront connectés.3/Les nouvelles prises réseaux seront installées et câblée dans les bureau.4/ Le brassage devra être réalisé soit
-en accord avec les utilisateurs (service par service)OU
-un soir en dehors des heures travaillées pour tous les postes
Périmètre : Tous les utilisateurs de Paris
Les solutions
1/ Modifier la mémoire allouée et l’espace disque dur sur les serveurs virtualisés à Paris.
2/ Répartir les comptes utilisateurs sur les serveurs EFD-Lamexx serait nécessaire.
3/ Finir la migration des boites mails sur Paris.
4/ Augmenter le débit de la liaison entre Paris et Chanteloup-en-Brie.
5/ L’audit a fait ressortir qu’un renouvellement du câblage réseau serait nécessaire. Il permettrait de faire évoluer la capacité du trafic interne sur le LAN de Paris en passant au Gigabit, car seul le câblage aujourd’hui empêche cette évolution.
Le calendrier
Ce calendrier permet de représenter en charge jour les différentes actions à mener.
Actions à mener Durée
Finir la migration de la messagerie 15
Réorganisation des comptes sur le serveur de lames 10
Modification liaison Paris – Chanteloup en Brie(soumis au délai de l’opérateur)
Délai de 3 à 6
semaines
Etendre la mémoire virtuelle et la taille de disque dur sur les serveurs virtualisés
1
Refaire le câblage des locaux de Paris 15
Ces actions peuvent être mener dans l’ordre souhaité.Elles seront réalisées en fonction de la charge du service informatique.
Les coûts
Finir la migration de la messagerie. 0
Réorganisation des comptes sur le serveur de lames. 0
Etendre la mémoire virtuelle et la taille de disque dur sur les serveurs virtualisés.
0
Refaire le câblage des locaux de Paris.OUChanger les prises réseaux dans les bureaux
3,6K€
900€
15K€
9K€
Interne Externe
Coût de l’investissement global entre 900€ et 15K€
Fonctionnement
Investissement
Modification liaison Paris – Chanteloup en Brie.
Coût actuel (2x SDSL 2Mo = 900€/mois)
Entre 300€ et 400€ / mois
Coût annuel en fonctionnement entre 3,6K€ et 4,8K€
Coût annuel nouvelle solution : entre 3.6K€ et 4.8K€
Economies réalisées
Coût annuel actuel des lignes SDSL 2Mo : 10.8K€
Economie réalisée par an : entre 55% et 66% soit : entre 6K€ et 7.2K€
Amortissement de l’investissement sur les économies réalisées
1ère solution (900€) : Moins d’un an
2ème solution (15K€) : Environ 2 ans
Amortissement comptable
1ère solution : 900€
2ème solution : 15K€
Cet investissement ne doit pas être amorti mais passer en charge.
Un amortissement linéaire sur 3 ans est vivement conseillé.
Investissement total 1ère année 2ème année 3ème année
15K€ 5K€ 5K€ 5K€
Bilan: PROJET 802.1x
Le projet de la solution 802.1x
Notice personnalisée pour la mise en place de la solution 802.1x
Mise en place de la solution
Bilan: PROJET AUDIT RESEAU
Audit et rapport du site de Paris
Actions correctives
Devis pour nouveau câblage
2 serveurs virtuels sur Paris étaient en limite de ressources
Répartition utilisateurs sur lames du serveur CITRIX
Sauvegarde des données qui démarrait trop tôt.
Suppression de la réplication dans les 2 sens.
Ouverture des fichiers uniquement sur le serveur de Paris.
Etude nouvelle Ligne Paris / Chanteloup-en-Brie.
Migration messagerie.
Merci pour votre attention.