Administration des réseaux

7/16/2019 Administration des réseaux

http://slidepdf.com/reader/full/administration-des-reseaux-5633859b8ad2b 1/83

ADMINISTRATION DES RÉSEAUX :

PROTOCOLE S YSLOG ÉTUDE ET SIMULATION AVEC KIWI SYSLOG SERVER DE SOLARWINDS ET

ADMINISTRATION D’UN FIRE WALL IPCOP

Réaliser par : Mr SOUILKAT ANASS

SOREAD-2MMASTER RESEAU TELECOM

CHOUAIB DOUKALI-UNIVERSITE 2011

1



PLAN

Présentation de la société

Contexte du Projet

Protocol Syslog

Supervision du reseau par Kiwi Syslog server deSolarWinds

Snare Agent for Windows

Firewall ipcop

conclusion

2



Présentation de la société

3



Raison sociale : Société d’étude et de réalisation audiovisuelle

Date de création : 4 Mars 1989

Identité juridique : Société anonyme

Capital : 302 371 500 DH Effectif : 598 personnes permanentes dont la moyenne d’âge est

39 ans

Activités : Audiovisuel , Presse, magasine , Radio 2M

Site Internet : WWW.2M.TV

Siège social : Km, 7300 route de Rabat, Ain Sebaâ, Casablanca

4



ORGANIGRAMME GLOBALE DE 2M

5



ORGANIGRAMME DEPARTEMENT SYSTEME D’INFORMATION

6



STRUCTURE LOGIQUE ET PHYSIQUE DU RESEAU SOREAD-2M

7



ARCHITECTURE DE SOREAD 2M

8



Contexte du Projet

9



CONTEXTE DU PROJET

La supervision des réseaux est une méthodeefficace qui répond aux besoins d’administration

des réseaux. Elle permet d’informer sur l’état duréseau très rapidement et d’une manière continue.

10



CONTEXTE DU PROJET

Mon Travail consiste à étudier et à déployer une solution desupervision fiable au sein de SOREAD 2M. Cette solutionpermettra d’informer l’administrateur de l’état de son réseau

au moyen d’une interface graphique et des notifications

d’alerte, d’anticiper sur les prochains dysfonctionnement et les

futures besoins grâce à l’archivage des événement, et

d’automatiser certains traitement urgents grâce à des scripts

spécifiques

11



CONTEXTE DU PROJET

Ce projet est réalisé avec l’outil Kiwi Syslog Server

et un FireWall IPCOP. Des techniquesd’administration réseau et systèmes et d’autres

logicielles ont été utilisés pour assurer laperformance et la fiabilité de la solution.

12



Protocol Syslog

13



PROTOCOL SYSLOG

Introduction:Le protocole Syslog est un protocole très simple et très largement

utilisé dans le monde Unix et Windows. Son but est de transporter par le réseau les messages de journalisation générés par uneapplication vers un serveur hébergeant un serveur Syslog. Un autrebut est aussi d'assurer la fonction de concentration des journaux, unserveur Syslog intermédiaire pouvant retransférer les messagesSyslog qu'il reçoit vers un autre serveur Syslog.

14



PROTOCOL SYSLOG

1- les notions introduites par Syslog :

1-1 les notion de périphérique, relais et de contrôleur :

Le protocole Syslog définit la notion de périphérique, de relais etde collecteur dans une architecture Syslog.

Un périphérique est une machine ou une application qui génère desmessages Syslog.

Un relais est une machine ou une application qui reçoit desmessages Syslog et les retransmet à une autre machine.

Un collecteur est une machine ou une application qui reçoit desmessages Syslog mais qui ne les retransmet pas.

15



PROTOCOL SYSLOG

1-2 les notions de fonctionnalité, sévérité et priorité :

Le protocole Syslog définit les notions de fonctionnalité, de sévérité etde priorité d'un message Syslog.La RFC 3164 utilise les mots anglais facility, severity et priority.

16

http://www.faqs.org/rfcs/rfc3164.html




PROTOCOL SYSLOG

Fonctionalité :

La fonctionnalité d'un message Syslog correspond au typed'application générant le message Syslog. Les24 fonctionnalités existantes sont définies par la RFC 3164

Exemlpe:

Globalement, on peut dire que la fonctionnalité correspond au typed'application qui génère le message Syslog.

17





PROTOCOL SYSLOG

Sévérités:

La sévérité d'un message Syslog correspond au degré d'urgence dumessage. Les 8 sévérités existantes sont définies par les RFC :

18



PROTOCOL SYSLOG

Priorité:

La priorité d'un message Syslog est définie par sa fonctionnalité etsa sévérité. Cette priorité est un nombre qui est le résultat de lamultiplication de la fonctionnalité par 8 auquel est ajoutée la sévérité.

Ainsi un message de priorité 165 aura pour fonctionnalité 20 (c'est-à-dire local use 4) et pour sévérité 5 (c'est-à-dire Notice).

Il ne peut y avoir de priorité plus grande que 191 car la fonctionnalité la plus grande définie par les RFC est 23 etla sévérité la plus grande est 7 : (23 * 8) + 7 = 191.

19



PROTOCOL SYSLOG

Une trame de protocole Syslog : Le protocole Syslog est défini par les RFC suivantes:

La RFC 3164.

La RFC 3195.

Le protocole Syslog est un protocole en mode "texte", c'est-à-dire qu'ilutilise uniquement les caractères du code ASCII.

Il utilise le protocole UDP et le port 514 mais il faut savoir qu'il existeaussi des implémentations de Syslog en TCP ou même en SSL etsur d'autres numéros de port.

La longueur totale d'une trame Syslog doit être de 1024 octets oumoins. Il n'y a pas de longueur minimale mais une trame de 0 octet

n'est pas très utile et ne devrait pas être transmise.Une trame de protocole Syslog est composée de 3 parties :

La partie PRI.

La partie HEADER.

La partie MSG. 20







PROTOCOL SYSLOG

La partie PRI :

La partie PRI d'un message Syslog est composéeobligatoirement de 3, 4 ou 5 caractères.

Le premier caractère est toujours le caractère "<" suivi par un

nombre qui représente la priorité (en base 10) du message etsuivi par le caractère ">".

La seule fois où le caractère "0" peut suivre le caractère "<"est pour coder une priorité dont la valeur est 0 justement.Dans tous les autres cas, le ou les caractères "0" de tête ne

doivent pas être présents.

21



PROTOCOL SYSLOG

la partie header :La partie HEADER d'un message Syslog contient 2

champs :

Le champ TIMESTAMP.

Le champ HOSTNAME.

22



PROTOCOL SYSLOG

1- Le champ TIMESTAMP :

Le champ TIMESTAMP doit immédiatement suivrele caractère ">" de la partie HEADER.

Le format de date utilisé par le champ TIMESTAMPest "Mmm dd hh:mm:ss".

23



PROTOCOL SYSLOG

2 - Le champ HOSTNAME :

Le champ HOSTNAME peut contenir :

Un nom de machine sans son nom de domaine. Un

nom de machine ne doit pas contenir de caractèreespace (" ").

Une adresse IP au format IPv4 (format décimalpointé 192.168.1.1 par exemple).

Une adresse IP au format IPv6 (voir la RFC RFC2373 pour les différentes notations supportées).

Rien, le champ HOSTNAME est facultatif.

24







PROTOCOL SYSLOG

la partie MSG :

La partie MSG d'un message Syslog comprend lemessage texte à transférer.

Exemple de msg syslog : Les exemples suivants sont des messages Syslog

valides :

25



PROTOCOL SYSLOG

les limitations du protocole Syslog : Comme tout protocole simple, celui souffre de limitations etde faiblesses:

Limitations UDP.

Un petit nombre de fonctionnalités disponibles.

La différence de comportement entre TCP et UDP.

Un champ TIMESTAMP incomplet.

Un contenu de champ HOSTNAME "flou".

Le jeu de caractères du message est limité au code ASCII.

Le manque de sécurité du protocole.

Le phénomène de boucle.

26



PROTOCOL SYSLOG

Limitations UDP:

• Aucune garantie d'acheminement.

• Un paquet UDP peut très bien être envoyé par un émetteur etne jamais être reçu ou traité par le récepteur.

• Pas de numérotation des messages Syslog.

• il n'y a pas d'acquittement protocolaire au niveau de Syslog.

27



PROTOCOL SYSLOG

Nombres de fonctionnalités :

Le nombre de fonctionnalités disponibles est limité à24 valeurs différentes (de 0 à 23).

Une chose est sûre, c'est que sur un collecteur demessages Syslog qui reçoit des messages enprovenance d'un grand nombre de machines, il yaura très vite des doublons dans les numéros defonctionnalités utilisés. L'élément discriminant doittrès vite devenir le couple émetteur/fonctionnalité.

28



PROTOCOL SYSLOG

La différence de comportement entre TCP et UDP :

Une trame Syslog sur UDP est envoyée en un seulpaquet IP et que ce paquet sera reçu en une seulefois. Il n'y a pas besoin de mécanisme de

synchronisation entre l'émetteur et le récepteur.

29



PROTOCOL SYSLOG

TCP est un protocole orienté flux. Syslog étantorienté messages, la difficulté va être d'extraire duflux TCP les différents messages Syslog. En TCP, iln'y a aucun lien entre le nombre d'envois et le

nombre de réceptions et un mécanisme desynchronisation entre l'émetteur et le récepteur estnécessaire.

30



PROTOCOL SYSLOG

Le tableau suivant montre l'exemple de l'envoi de 3messages Syslog et la différence de comportement(possible, c'est un exemple) entre TCP et UDP :

31



PROTOCOL SYSLOG

Un champ TIMESTAMP incomplet :

Le champ TIMESTAMP de la trame Syslog n'est pascomplet. En effet, l'information "année" ne figurepas dedans. De plus, il n'y a aucune information

concernant le fuseau horaire de la machine qui agénéré l'information d'horodatage.

32



PROTOCOL SYSLOG

Un contenu de champ HOSTNAME "flou" :

Le contenu du champ HOSTNAME est variable ce qui va poser des problèmes dans les codes des serveurs Syslog maisaussi dans l'interprétation du contenu des messages. Pour

rappel, le contenu du champ HOSTNAME peut être : Un nom de machine (sans son nom de domaine).

Une adresse IPv4 en notation décimale pointée (192.168.1.1).

Une adresse IPv6 (la notation utilisée est celle de la RFC2373).

Vide.

33







PROTOCOL SYSLOG

Le jeu de caractères du message est limité au

code ASCII :

Le jeu de caractères d'un message Syslog est limitéau code ASCII (caractères dont les valeurs sont

comprises entre 0 et 127). Ceci peut présenter desproblèmes lors de l'envoi des caractères accentuéspour les messages générés par Windows par exemple. De plus, même si l'on envoie des

caractères accentués, rien n'est prévu pour indiquer le nom du jeu de caractères utilisé (UTF-8, ANSI-1252, OEM, ...).

34



PROTOCOL SYSLOG

La sécurité du protocole :

Le protocole Syslog est un protocole qui s'appuienativement sur UDP. Il hérite donc de toutes lesfaiblesses inhérentes à UDP :

Il est possible de fabriquer de toutes pièces unetrame Syslog et de l'envoyer à un serveur Syslog.

Il est possible de fabriquer une trame Syslog enfalsifiant l'adresse IP de l'émetteur de la trame.

Ainsi il sera impossible ou très difficile de retrouver la machine qui a généré la trame.

35



PROTOCOL SYSLOG

Il est possible de "bombarder" un serveur Syslog avec destrames Syslog de manière à noyer des événements réelsparmi un grand nombre de messages falsifiés.

Toutes ces faiblesses disparaissent aussitôt que l'on utiliseSyslog sur le protocole TCP.

36



PROTOCOL SYSLOG

Le phénomène de boucle :

Le protocole Syslog définit la notion de relais. C'est-à-dire qu'unserveur Syslog peut retransférer les messages Syslog reçusvers un autre serveur Syslog. Le piège de cette fonctionnalité

est d'introduire une boucle dans la chaîne des relais Syslog.Cette boucle fait que tous les messages Syslog tournentindéfiniment. Ce phénomène met à rude épreuve le réseauainsi que les serveurs Syslog qui forment cette boucle.

37



SUPERVISION DU RESEAU PAR KIWI S YSLOG

SERVER DE SOLARWINDS

Kiwi Syslog server :Kiwi Syslog Server reçoit les messages syslog à partir de

périphériques réseau et les affiches en temps réel.

38





La fenêtre d'affichage principale:

Au démarrage, l'affichage principal pour Kiwi Syslog Server ressembleà ceci:

39



40





S’authentifier à Kiwi Syslog web access:

41





Règlement / filtres / Actions.

Comment fonctionne le moteur de règles :

Il est possible de définir jusqu'à 100 règles.

Chaque règle peut contenir jusqu'à 100 filtres et 100 actions.

Quand un message syslog est reçu, elle esttraitée par chaque règle à son tour.

42





Types de filtres

1- Les filtres simples :

Le filtre simple vous permet de spécifier une seuleligne de texte à faire correspondre. Chaque chaînede recherche doit être contenue par des guillemets.

Le [S] sélectionne une recherche sous-chaîne ou pasforcement exacte.

43





2- Filtre complexe : Le filtre complexe vous permet de spécifier plusieurs chaînes à

rechercher. Les chaînes de recherche peuvent être liés sousforme de [(A ou B) et (C ou D)] mais pas [(E ou F) et (G ou H)].

Chaque chaîne de recherche doit être contenue par des guillemets.

44





3- Filtre des plages d'adresses IP :Ce filtre vous permet de spécifier une plage d'adresses IP à

inclure ou à exclure.

Soit "Inclure" ou "Exclure" peut être laissé en blanc, mais pas lesdeux.

45





4- Filtre de masque sous-réseau IP :

Le filtre de masque sous-réseau IP vouspermet de spécifier une plage d'adresses IP à inclure ouà exclure sur la base correspondant au masque.

46





5- Priorité filtre : Chaque message entrant contient une valeur de priorité. Cette

valeur est constituée par sa fonctionnalité et sa sévérité. Vouspouvez spécifier les priorités pour que le résultat de filtre soit vrai.

47




SERVER DE SOLARWINDS Actions

1- L’envoi d’un message syslog :Ceci enverra un message Syslog pour les hôtes spécifiés, chaque fois qu'un messageest reçu et passe les filtres.

Détails du message reçu et statistiques Syslog d'autres peuvent être inclus dans le messageSyslog sortants.

Ceci peut être utilisé pour relayer les messages Syslog sélectionnés sur un autre hôte avec desinformations supplémentaires, ou avec votre texte ajouté au message.

48





2- Forward to another host :Ce serveur transmet les messages reçus vers un autre hôte en utilisant

le Syslog UDP ou TCP protocole syslog. (UDP: Port 514 TCP: Port 1468 ou leport 601 KRDP: Port 1468)

49



SNARE AGENT FOR WINDOWS:

Voila comment l’agent Snare doit être configuré.

Apprêt avoir configuré se dernier le service Snare doit êtreredémarré.

50



SNARE AGENT FOR WINDOWS:

Voila un aperçu sur la fenêtre qui visualise les journaux de la machinelocal.

51



FIREWALL IPCOP :

Presentation:

IPCop est un système d'exploitation complet basé sur un noyau Linux optimisé qui est destiné à assurer la sécurité de votre réseau. Utilisant très peu de

ressources systèmes, il peut être installé sur unvieux PC (233MHz / 64Mo de RAM) et fera officede pare-feu très performant pour l'ensemble de vosordinateurs.

52



FIREWALL IPCOP :

Description de l’architecture:

53



FIREWALL IPCOP :

Installation d’IPCOP :

Configuration du réseau :

54



FIREWALL IPCOP :

55



FIREWALL IPCOP :

56



FIREWALL IPCOP :

57



FIREWALL IPCOP :

58



FIREWALL IPCOP :

Cet écran permet de configurer une liaison (Rouge) de type RNIS ouNuméris (FT).

Nous choisissons de désactiver cette fonction.

59



FIREWALL IPCOP :

60



FIREWALL IPCOP :

61



FIREWALL IPCOP :

62



FIREWALL IPCOP :

63



FIREWALL IPCOP :

64



FIREWALL IPCOP :

65



FIREWALL IPCOP :

66



FIREWALL IPCOP :

67



FIREWALL IPCOP :

68



FIREWALL IPCOP :

69



FIREWALL IPCOP :

Accès à distance via un navigateur Internet

70



FIREWALL IPCOP :

71



FIREWALL IPCOP :

Accès à distance via un accès Telnet sur SSH :Pour cela nous allons sur la page de configuration Web dans l’onglet «

Système » puis « accès SSH »

72



FIREWALL IPCOP :

73



FIREWALL IPCOP :

Nous pouvons désormais utiliser Putty pour administrer notre IPCOPà distance :

IPCOP écoute sur le port 22 pour SSH et non 8022

74



FIREWALL IPCOP :

75



FIREWALL IPCOP :

Ajouter des règles personnalisées sur IPTablesLes règles personnelles peuvent être appliquées en les ajoutant dans le fichier

/etc/rc.d/rc.firewall.local

L’exemple suivant bloque tous les accés directs depuis l’intérieur et à destination des ports 80 et443 à

l’exterieur .

#!/bin/sh

# Used for private firewall rules# See how we were called.

case "$1" in

start)

## add your 'start' rules here

/sbin/iptables -A CUSTOMFORWARD -i GREEN -p tcp -m mport --dports 80,443 -j DROP

;;

stop)## add your 'stop' rules here

;;

*)

echo "Usage: $0 {start|stop}"

esac76



FIREWALL IPCOP :

Paramètres du Pare-Feu :

77



FIREWALL IPCOP :

Ajouter un service:

78



FIREWALL IPCOP :

Règles du Pare-Feu : Dans ce cas j’ai annulé l’accès ftp pour l’utilisateur 192.168.1.3.

79



FIREWALL IPCOP :

configuration des journaux :

80



FIREWALL IPCOP :

Journaux du PARE-FEU :

81



Conclusion

82



83

Administration des réseaux

Documents

Transcript of Administration des réseaux