EXAMEN PROFESSIONNEL DE TECHNICIEN DE CLASSE …€¦ · discussion sur différents thèmes, des...
24
MINISTERE DE L ’INTERIEUR EXAMEN PROFESSIONNEL DE TECHNICIEN DE CLASSE SUPERIEURE DES SYSTEMES D’INFORMATION ET DE COMMUNICATION SESSION 2014 L’épreuve écrite unique d'admission consiste, à partir d'un dossier à caractère technique, en une étude de cas faisant appel à des connaissances relatives à l'environnement et à la technique des systèmes d'information et de communication et permettant de vérifier les capacités d'analyse et de synthèse du candidat ainsi que son aptitude à dégager des solutions appropriées. L'épreuve porte sur l'un des deux thèmes suivants soumis au choix du candidat le jour de l'épreuve écrite : - les réseaux de télécommunications et équipements associés ; - la gestion des systèmes d'information. LES RĖSEAUX DE TĖLĖCOMMUNICATIONS ET ĖQUIPEMENTS ASSOCIĖS Durée : 3 h 00 Le dossier documentaire comporte 22 pages. IMPORTANT IL EST RAPPELE AUX CANDIDATS QU’AUCUN SIGNE DISTINCTIF NE DOIT APPARAITRE NI SUR LA COPIE NI SUR LES INTERCALAIRES. LA CALCULATRICE N’EST PAS AUTORISEE
Transcript of EXAMEN PROFESSIONNEL DE TECHNICIEN DE CLASSE …€¦ · discussion sur différents thèmes, des...
MINISTERE DE L’INTERIEUR
EXAMEN PROFESSIONNEL DE TECHNICIEN DE CLASSE SUPERIEURE DES
SYSTEMES D’INFORMATION ET DE COMMUNICATION
SESSION 2014
L’épreuve écrite unique d'admission consiste, à partir d'un dossier à caractère technique, en une étude de cas faisant appel à des connaissances relatives à l'environnement et à la technique des systèmes d'information et de communication et permettant de vérifier les capacités d'analyse et de synthèse du candidat ainsi que son aptitude à dégager des solutions appropriées. L'épreuve porte sur l'un des deux thèmes suivants soumis au choix du candidat le jour de l'épreuve écrite : - les réseaux de télécommunications et équipements associés ; - la gestion des systèmes d'information.
LES RĖSEAUX DE TĖLĖCOMMUNICATIONS ET ĖQUIPEMENTS ASSOCIĖS
Durée : 3 h 00
Le dossier documentaire comporte 22 pages.
IMPORTANT
IL EST RAPPELE AUX CANDIDATS QU’AUCUN SIGNE DISTINCTIF NE DOIT APPARAITRE NI SUR LA COPIE NI SUR LES INTERCALAIRES.
LA CALCULATRICE N’EST PAS AUTORISEE
SUJET
Une préfecture souhaite créer un portail collaboratif accessible depuis internet par un ensemble de personnes ne dépendant pas toutes des mêmes autorités. Ces dernières peuvent même relever de différents ministères. Les services attendus d’un tel portail sont entre autres le partage de fichiers, des forums de discussion sur différents thèmes, des annuaires, des agendas, … La solution logicielle a été choisie. Il reste à traiter la sécurité, la continuité de service et la protection des données sur les réseaux. En votre qualité de technicien de classe supérieure, vous ferez des propositions techniques appropriées afin de répondre à ces derniers impératifs. Votre rapport technique à l’intention du chef du service interministériel départemental des SIC traitera notamment des passerelles d'accès et des sécurités à mettre en œuvre en expliquant l'utilité de chaque matériel intégré dans votre proposition. Vous illustrerez vos explications par un schéma. Vous conclurez par un résumé vulgarisé de votre rapport permettant au corps préfectoral, très familier avec les solutions « cloud », de comprendre et de prendre une décision. Liste des documents joints :
Document 1 Le travail collaboratif à l’heure du réseau social de l’entreprise http://www.journaldunet.com/solutions/intranet-extranet/collaboratif/
Pages 1 et 2
Document 2
Le SSO pour fédérer l'authentification, Jérôme Saiz, le 17 novembre 2004 http://pro.01net.com/editorial/256916/le-sso-pour-federer-lauthentification/
Pages 3 à 8
Document 3 L'authentification unique, Stéphane Bellec, 15 septembre 2011 http://pro.01net.com/editorial/540524/lauthentification-unique/
Page 9
Document 4 Firewall (pare-feu) http://www.commentcamarche.net/contents/992-firewall-pare-feu
Pages 10 à 14
Document 5 DMZ (Zone démilitarisée) http://www.besoindaide.com/ccm/protect/dmz-cloisonnement.htm
Page 15
Document 6 Front Office / Back Office http://www.commentcamarche.net/contents/318-front-office-et-back-office
Page 16
Document 7 Réseau d’entreprise http://www.cours-informatique-gratuit.fr/facile/materiel/8.reseau-d-entreprise
Pages 17 à 20
Document 8 Extrait de l’article : HSRP Hot Standby Routing Protocol http://idum.fr/spip.php article 226
Pages 21 et 22
Document 1
Source : http://www.journaldunet.com/solutions/intranet-extranet/collaboratif/
Le travail collaboratif à l'heure du réseau social d'entreprise Espaces de travail partagés, réseaux sociaux, conférences Web, communications unifées : la collaboration en entreprise se met à l'heure du 2.0. Dossiers, enquêtes, reportages et interviews.
Définition de la notion de travail collaboratif Qu'est-ce qu'un logiciel collaboratif (Groupware) ? Logiciel qui permet à des utilisateurs reliés par un réseau informatique de travailler ensemble. Les premières fonctions remplies par ces applications, dont Lotus Notes a été un des précurseurs, consistaient à partager des messageries, des agendas, des bases de documents. Depuis, évidemment, les messageries Internet sont passées par là et les logiciels de groupware ont tendance à être éclipsés au profit des applications de Web collaboratif. Qu'entend-t-on par "collaboratif Web" ? Par définition, le collaboratif Web passe par la mise en œuvre d'un intranet composé de fonctions dites collaboratives, permettant de dématérialiser les processus, flux de communication, et tâches de collaboration entre plusieurs intervenants. Les technologies collaboratives existaient bien avant l'apparition du Web : appelées solutions de groupware, elles sont apparues suite à l'arrivée des serveurs transactionnels à la fin des années 1980, et Lotus Notes (depuis racheté par IBM) en a été l'un des fleurons. Les outils en question, et leurs équivalents à interface Web aujourd'hui, sont conçues pour relier localement en réseau des utilisateurs, et ainsi leur proposer notamment des fonctions de partage de messagerie, d'agendas et de systèmes de fichiers, de gestion de projets, de réseau social d'entreprise, avec pour objectif de proposer un premier niveau de gestion en commun des connaissances. Quels types de possibilités recouvre t-il ? Se présentant sous la forme de plate-forme modulaire, les outils collaboratifs Web intègrent en général quatre grands types de composants : - Des services de communication (messagerie, messagerie instantanée, mailing lists, chat, webmeeting, visio-conférence, etc.) ; - Des services de coordination des tâches (gestion de formulaires, workflow, etc.) ; - Des services de partage de ressources et d'applications (agenda, gestion de tâches, plate-forme de fichiers, tableau blancs virtuels, etc.) ; - Des services de partage de connaissances et de réseau social d'entreprise (échange d'informations, gestion de contenu, recherche, etc.).
1 L'ensemble de ces composants étant typiquement publiables sous la forme de portlets au sein d'une infrastructure de portail - livrée ou non avec la solution.
Quelles catégories de salariés cibler ? Le collaboratif Web s'adapte mieux à certains métiers, pour lesquels le partage d'informations et la réflexion en groupe sont fondamentales. Parmi eux, on compte notamment le marketing, l'informatique ou encore la recherche et développement (R&D). Plus éloigné de cette préoccupation de coopération en équipe, le personnel administratif et de production est généralement plus attaché aux approches de workflow au sens strict, centré sur l'optimisation des tâches, et les commerciaux intéressés par les systèmes de gestion de contenu plus personnalisés et individualisés pour gérer contacts et supports. Quel rapport entre collaboratif Web et gestion des connaissances ? Le collaboratif Web a pour objectif central de mettre en commun l'expérience, l'expertise métier, et plus largement les connaissances de chacun, en vue d'aboutir à la création d'un nouveau savoir utile à l'entreprise. Intégrant également les documents issus des systèmes de gestion de contenu traditionnels (workflow), le collaboratif s'appuie sur le Knowledge Management (KM) pour transmettre le savoir qu'il a produit. KM et collaboratif sont par conséquent intimement liés. Comment en effet imaginer l'idée de collaboration sans pouvoir disposer des moyens permettant de capitaliser sur les connaissances issues cette démarche ? Le KM apporte l'ensemble des outils pour consulter de façon intelligente ces contenus : de la recherche à la classification, en passant par la cartographie des compétences. A cet égard, les réseaux sociaux d'entreprise (RSE), apparus à la fin de la décennie 2010, apportent une dimension plus informelle à la gestion des connaissances. Ils permettent en effet aux salariés de créer des groupes d'échange et de partage par affinités de compétences et de projets Quid des nouvelles formes de collaboration, de type blog, Wiki et Réseau social d'entreprise ? Créés à l'origine pour faciliter la gestion des sites personnels, les blogs commencent à être exploités comme outil collaboratif par les entreprises. En ligne de mire : la volonté de dynamiser le travail en équipe. Ces dispositifs de publication, souvent basés sur des briques Open Source, font l'objet de quelques projets pilotes en France. C'est notamment le cas au sein du groupe Laser, filiale de services du groupe Galerie Lafayette, qui utilise les blogs pour animer le débat au sein de ses équipes de consultants en marketing. Côté Wiki, les chantiers sont beaucoup plus rares pour l'instant. Seuls quelques grands groupes exploitent ce mécanisme de publication partagé : Disney, Motorola et Nokia notamment. L'outil semble notamment assez intéressant pour gérer les brainstormings (dans le domaine marketing également) ou encore les tâches de rédaction collective. En France, on note quelques sociétés utilisatrices, plutôt pour des projets de conception technique. L'expérience la plus aboutie de ces nouvelles pratiques n'est autre que le réseau social d'entreprise. Plusieurs projets ont été lancés dans ce domaine par de grands groupes français. C'est le cas chez Orange et Simply Market (groupe Auchan) et Bouygues Telecom.
2
Document 2
Source : http://pro.01net.com/editorial/256916/le-sso-pour-federer-lauthentification/
Le SSO pour fédérer l'authentification Jérôme Saiz, 17 novembre 2004. Grâce au Single Sign-On, il est possible de regrouper toutes les demandes d'authentification en une procédure unique. Le confort des utilisateurs et le niveau de sécurité s'en trouvent améliorés.
Avec un nombre croissant d'applications à leur disposition, et donc avec autant de mots de passe à mémoriser, les utilisateurs font de leur mieux : ils inscrivent ces codes secrets dans leur agenda papier, les notent sur des Post-it qu'ils collent autour de leur écran ou, plus simple, laissent leurs connexions ouvertes lorsqu'ils quittent leur poste de travail. Et ce, afin de ne pas avoir à répéter le rituel quotidien de l'accès sécurisé à leurs applications. Pour juguler cette prolifération de mots de passe, un remède existe : le Single Sign-On (SSO). Il s'agit d'une gamme d'outils qui mémorise à la place des utilisateurs l'ensemble de leurs codes secrets et les présente automatiquement à chaque application qui en fait la demande. L'utilisateur n'a qu'à s'authentifier une seule fois, le plus souvent à l'ouverture de sa session de travail, le reste est pris en charge par le SSO. Les mots de passe peuvent être stockés de façon centralisée ou localement, sur une carte à puce, par exemple.
L'utilisation : un système intégré à un vaste projet de sécurité
Mais aussi pratiques soient-ils, les SSO sont rarement déployés simplement pour faciliter la vie des utilisateurs. Ils s'intègrent généralement à un projet de sécurité plus large, dans lequel ils ne constituent qu'un élément secondaire, voire un simple bonus. De fait, la plupart des projets de Single Sign-On prennent forme à l'occasion d'une refonte de l'architecture réseau « Tout est parti de la PKI. Cela a permis de débloquer plusieurs projets qui étaient en attente faute de solution adéquate, dont la signature électronique et le SSO. Ce dernier était bien à l'étude auparavant, mais j'avais décidé de ne pas m'y lancer avant d'en avoir posé les briques, tels la PKI et le reverse proxy, car un SSO est beaucoup plus simple à déployer lorsqu'on dispose déjà d'un point d'accès unique au système d'information », explique Franck Moussé, RSSI de Dexia Sofaxis, un courtier d'assurances de Tours, spécialisé dans les collectivités locales. Parfois, le SSO s'impose naturellement après une refonte du réseau, sans même avoir été réellement prévu à l'origine : « Nous avons constaté que notre annuaire LDAP et ses fonctions d'authentification par mot de passe étaient devenus un standard de fait au sein de l'université Paris V. Tous les mouvements de personnel [enseignants, étudiants, personnel administratif, NDLR] y sont répliqués, avec des profils d'utilisateurs très souples qui pouvaient facilement être étendus. Et parallèlement, nous avions créé un intranet partagé dont l'accès est contrôlé par un ensemble login-mot de passe, fondé sur l'annuaire. En fait, il s'agissait déjà d'une authentification unique. À partir de là, toutes les nouvelles applications bénéficiaient d'office de ce login-là, plus par opportunité que par planification d'un SSO ! » reconnaît Patrick de Carné, DSI de l'université Paris V. L'université a donc commencé à lier l'authentification de toute nouvelle application web à celle de son intranet, avant de décider finalement d'y fédérer toutes les autres applications Web propriétaires. Tout simplement parce que l'ossature d'un SSO était déjà présente : un annuaire centralisé des utilisateurs et un point d'accès unique au réseau.
3
Mais, il est aussi possible de déployer un SSO sans annuaire. Même si ce type de mise en
œuvre est encore plus simple et pourrait se justifier à lui seul, il s'intègre, là encore, dans des problématiques de sécurité plus vastes : « Le SSO est venu de la nécessité d'encourager les utilisateurs à fermer leur session de travail lorsqu'ils quittaient leur poste », explique Daniel Bonniec, technicien réseau à la CCR (Caisse centrale de réassurance, une entreprise publique d'environ 250 personnes). « Puisque nous avions déjà une carte magnétique pour le contrôle d'accès physique et la gestion des horaires de travail, nous avons eu envie d'associer les deux. La même carte devait donc aussi servir à accéder aux postes de travail », poursuit le technicien. Pas de SSO, donc, dans la définition initiale des besoins. Mais bien sûr, si la carte peut stocker le mot de passe Windows, elle peut aussi se charger des autres... et voilà donc le SSO qui joue l'invité surprise.
La mise en œuvre : la simplicité est de rigueur
Lorsqu'il s'agit de fédérer l'accès à des applications Web, le SSO ne demande guère d'effort de mise en œuvre, à tel point qu'il n'est pas exclu de le développer en interne. « Lorsque nous nous sommes rendu compte que nous avions déjà presque toutes les briques d'un SSO, il a suffi de développer en PHP une couche supplémentaire pour assurer la gestion des sessions entre chaque application dans un environnement web », se souvient Patrick de Carné. Pour son SSO, l'université parisienne n'a ainsi eu qu'à créer un portail unique grâce auquel, une fois identifié sur son serveur LDAP, l'utilisateur découvre une page Web construite dynamiquement en fonction de son profil. Elle lui présente les liens vers les différentes applications auxquelles il a le droit d'accéder, et le portail se charge de propager l'authentification initiale. Outre l'annuaire central OpenLDAP, l'architecture est fondée sur des serveurs Linux et Windows 2003 Server et elle exploite aussi bien PHP et ASP que l'architecture.NET de Microsoft (compatible avec Linux grâce à l'infrastructure Mono). L'accès depuis l'extérieur de l'université est contrôlé par un reverse proxy libre mis en œuvre par la société IdealX. Et si le Single Sign-On de l'université Paris V ne gère pas encore les applications client-serveur, celui du centre hospitalier universitaire de Rouen, lui aussi développé en interne, s'en charge en revanche très bien. « Venant du monde des mainframes, où l'authentification unique est la norme, il était impensable de ne pas retrouver la même souplesse dans l'univers du client-serveur », affirme Jean-Michel Gobe, directeur adjoint, responsable du département architecture technique. Aucun outil du commerce ne se révélant assez souple pour ses besoins de délégation de l'administration, le CHU a donc développé le sien. Là aussi, la partie visible du projet est un portail web servant de point d'entrée unique au système d'information. L'authentification y est collectée depuis une page de l'intranet (IIS), puis transmise à un serveur d'applications sous Unix chargé du contrôle d'accès en collaboration avec une base de données Oracle pour le stockage des mots de passe. Le serveur d'applications génère en retour une requête SQL contenant l'ensemble des droits (applications, accès, etc.) possédés par l'utilisateur. Le serveur Web s'en sert alors pour lui attribuer une page personnalisée lui donnant accès à l'ensemble de ses ressources. Dans le cadre d'applications Web, il s'agit de simples liens, tandis que, pour les logiciels client-serveur, le portail génère des scripts de connexion pré-renseignés avec les mots de passe de l'utilisateur qui se chargent d'appeler les applications, via un client dédié lorsque c'est nécessaire (Telnet, etc.)
4
Pour l'entreprise ne désirant aucun développement, il existe une solution encore plus simple à mettre en œuvre : la carte à puce. « Pour notre SSO, nous avions bien étudié la possibilité
d'une authentification centralisée, mais cela nous paraissait trop complexe et posait des problèmes de compatibilité avec nos cartes magnétiques existantes. Nous avons donc choisi de faire ajouter une puce à nos cartes d'accès physique afin d'y stocker aussi les mots de passe de l'utilisateur », se souvient Daniel Bonniec, de la CCR. Grâce à ce choix très pragmatique, la mise en œuvre du SSO a été largement simplifiée : « Il a suffi une fois pour toutes d'identifier les fenêtres de demande de mot de passe de chaque application [une dizaine, NDLR], et de leur donner un nom unique. Ensuite, pour chaque utilisateur, il a fallu entrer dans la puce le nom de la fenêtre et le mot de passe associé. Cela se fait très simplement, à l'aide d'un utilitaire spécifique fourni par la solution que nous a livrée Prologue Software », poursuit Daniel Bonniec. Après avoir recensé chaque événement de demande de mot de passe, la CCR disposait d'un SSO parfaitement opérationnel et, bien qu'il ne soit pas centralisé, entièrement déployé en trois mois auprès de ses 250 collaborateurs. Le tout, en s'offrant le luxe de conserver un double de chaque carte au service informatique, afin de remédier aux pertes de cartes.
Les ressources : des développeurs en interne sont nécessaires
S'il est difficile d'évaluer les moyens nécessaires au développement en interne d'un SSO, surtout lorsqu'il exploite de nombreuses briques déjà présentes, l'avis général est qu'il ne s'agit pas d'un travail très compliqué. « La mécanique d'un SSO en tant que telle n'est pas lourde : le nôtre a demandé deux à trois mois/homme en termes de développement », se souvient Patrick de Carné, de l'université Paris V. Même constat au centre hospitalier universitaire de Rouen : « C'est un travail sur la durée, mais ce n'est pas un travail très lourd. Cela nous a pris du temps au démarrage pour organiser des groupes de travail, pour maquetter, valider et créer les interfaces utilisateur. Aujourd'hui, ce qui nous demande le plus de temps, c'est la création de nouveaux connecteurs avec la couche Single Sign-On lorsqu'une nouvelle application arrive. Et notre SSO occupe un analyste-développeur à mi-temps pour faire vivre le projet. Mais considérant qu'il s'agit du point d'entrée unique vers l'ensemble des applications de notre système d'information, ce n'est pas très lourd », précise Jean-Michel Gobe. Chez Dexia Sofaxis, on estime que le projet a demandé environ 66 jours/homme en l'état actuel (le SSO est utilisé pour administrer la PKI), et demandera 300 jours/homme de développement pour s'étendre à toutes les applications métier. Les ressources nécessaires se réduisent encore plus lorsqu'il s'agit de déployer un SSO qui n'est pas centralisé. « Il nous a fallu deux mois pour préparer le déploiement, et un mois pour passer tous les badges. Le plus long a été d'installer sur tous les postes de travail le lecteur de cartes à puce et le logiciel client. À raison de 30 minutes par poste [la formation de l'utilisateur est comprise, NDLR], cela a demandé trois mois pour deux personnes », se souvient Daniel Bonniec, de la Caisse centrale de réassurance.
Les gains : des utilisateurs soulagés
« Le gain immédiat a été l'appropriation des applications par les utilisateurs. Notre personnel est, comme beaucoup, incapable de mémoriser plusieurs mots de passe ! Grâce à notre SSO, nos utilisateurs savent qu'on leur offre un bouquet de services pour un seul mot de passe à retenir », observe Patrick de Carné. Mais le gain ne porte pas uniquement sur une plus grande simplicité d'utilisation des applications. Du point de vue de la sécurité, le fait de fédérer des applications autour d'une architecture Web unique permet de profiter d'une sécurité accrue grâce au chiffrement SSL. « Parce que nous étions sur des technologies Web, nous avons pu tout chiffrer en SSL. Cela est venu de façon très naturelle, car tout était déjà présent pour le faire. Et bien sûr, ce sont les connexions Wi-Fi qui en profitent le plus ! » poursuit Patrick de Carné.
5
Enfin, capter l'authentification de l'utilisateur avant l'application offre une grande souplesse. « Le SSO nous permet d'ajouter à la connexion des éléments de contexte, ce qui est une vraie valeur ajoutée par rapport à une connexion directe à l'application », conclut Jean-Michel
Gobe.
Légende : 1-login ; 2-mot de passe ; 3-scripts ; 4-liens.
A - Une plus grande simplicité
L'authentification unique ne profite pas qu'aux utilisateurs : en mettant en œuvre un point de passage obligatoire pour accéder aux applications, l'entreprise y gagne en facilité d'audit (qui a fait quoi, quand, et avec quelles applications ?), en sécurité (disparition de l'authentification faible sur chaque application) et en souplesse (gestion des utilisateurs par profil, facilité de restauration des mots de passe, etc.).
B - Un chiffrement transparent
Grâce à SSL, géré par tous les navigateurs, le WebSSO permet de chiffrer de manière transparente les demandes d'authentification initiales. Cela est particulièrement pratique pour les clients qui se connectent depuis un réseau Wi-Fi.
Si la passerelle du SSO sert de relais vers les applications métier (au lieu de simplement fournir des liens vers celles-ci), la totalité du trafic applicatif sera alors lui aussi chiffré. Et tout cela est pris en charge par le navigateur, sans nécessiter l'installation d'un agent spécifique sur les postes clients.
C - Une remise à plat obligatoire
Pas de SSO centralisé sans une remise à plat du système d'information. Outre la mise en place d'un annuaire centralisé, il est nécessaire de revoir les procédures d'authentification de chaque application pour les adapter aux besoins du SSO.
La mise en œuvre d'un annuaire et d'un SSO amène bien souvent à réfléchir au rôle de chaque collaborateur, pour optimiser ses droits. C'est là un autre projet, organisationnel cette fois, de grande ampleur.
6
D - Une intégration imparfaite
Si le webSSO s'impose aujourd'hui, c'est non seulement grâce à sa simplicité de mise en
œuvre et à la multiplication des applications métier web, mais aussi parce qu'il peut prendre en charge les logiciels hors web. Hélas, cette prise en charge reste perfectible.
Elle passe le plus souvent par l'installation d'un client sur le poste de travail ou la réalisation de scripts de connexion spécifiques, chargés d'appeler le client standard en lui fournissant les paramètres de login. Ces applications ne profitent pas de l'intégration permise par les technologies Web ni du chiffrement SSL du trafic applicatif.
Les principales offres des éditeurs
Retour d'expérience : Bien évaluer le projet
« Attention aux coûts cachés d'un chantier de SSO »
En plein déploiement de son SSO, le groupe Dexia Sofaxis fait le compte des dépenses annexes liées au projet. « Le déploiement de notre SSO sur nos applications métier exige de remettre à plat toutes les procédures d'authentification de ces dernières pour arriver à une base d'utilisateurs unique, explique Franck Moussé. Rien que cela, nous demande environ quatre à six mois de travail. Nous devons également modifier notre référentiel unique actuel avec Active Directory afin de lui adjoindre un annuaire LDAP pour stocker les certificats. »
En cascade, cette modification entraîne également le changement du serveur d'applications (WebLogic), qui doit évoluer de la version 6 à la version 8, car seule cette dernière peut gérer les extensions de certificats et la récupération de mots de passe. « Sans compter que le projet oblige à revoir toute la politique de mots de passe de l'entreprise, les accès externes, la messagerie. C'est un gros chantier ! On se rend compte que, finalement, monter un SSO oblige à avoir une vision très claire de toutes les briques techniques mises en œuvre dans l'entreprise et de bien vérifier, à chaque étape, que chaque brique que l'on s'apprête à déployer est compatible avec l'existant »
Dexia Sofaxis
Retour d'expérience : Développer en interne
« Un projet de SSO exige des équipes aux compétences multiples »
7
« Dans un projet de SSO, l'enjeu majeur et la principale difficulté ne portent pas sur la partie SSO proprement dite. Celle-ci est plutôt simple pour qui dispose de compétences dans les
domaines des annuaires, des bases de données et, bien sûr, du Web. La véritable difficulté vient de la "Webisation" d'applications qui ne le sont pas encore, afin qu'elles s'intègrent nativement au SSO. Cela exige d'avoir des équipes de développement pluridisciplinaires " réseaux, applications, systèmes", guère éloignées de ce dont disposent les éditeurs de logiciels », déclare Patrick de Carné, DSI de l'université Paris V.
Un portefeuille de compétences est nécessaire à l'université pour atteindre son objectif de véritable bureau nomade, qui permettra à n'importe quel utilisateur, sur n'importe quel poste, de retrouver son environnement de travail, ses applications et ses documents, uniquement grâce à une seule authentification Windows. « Pour ces raisons de compétences multiples, je déconseillerais finalement de se lancer aujourd'hui dans un développement interne. De fait, les technologies SSO sont désormais mûres, et mieux vaut acquérir la technologie ou le savoir-faire en un minimum de temps plutôt que faire des expérimentations incertaines dans ce domaine. »
Université Paris V
Avis d'intégrateur : Pascal Fatien, (Euriware) : « Un SSO n'est pas un projet uniquement technique ».
Décision informatique : Quelles sont les précautions à prendre lors d'un projet de SSO ?
Pascal Fatien : Lors du déploiement d'un SSO, il faut être très vigilant pendant la phase d'intégration, et ne pas se satisfaire de la seule assistance technique. Car un projet de SSO peut être très structurant. C'est par exemple le cas de la phase de centralisation des utilisateurs, qui demande souvent d'impliquer la DRH, en plus de la DSI. D'ailleurs, s'il est possible de mener de front le projet de centralisation des utilisateurs et celui du SSO, en pratique beaucoup d'entreprises préfèrent commencer par mettre en place un annuaire et ne passer au SSO qu'ensuite. Et c'est aussi ce que l'on préconise le plus souvent. Bien sûr, il faut alors être très vigilant dans la définition du schéma de l'annuaire afin de ne pas avoir à le modifier par la suite pour l'adapter au SSO. Mais un projet d'annuaire centralisé des utilisateurs est déjà un gros chantier pour l'entreprise, et mieux vaut ne pas avoir celui du SSO à gérer en parallèle.
8
Document 3
Source : http://pro.01net.com/editorial/540524/lauthentification-unique/ L'authentification unique Stéphane Bellec, 15 septembre 2011 Une étude de Pierre Audoin Consultants indiquait récemment que Single Sign-On (SSO) était une des priorités des entreprises françaises. Il est une source de confort et de gain de temps pour l'utilisateur comme pour l'administrateur.
Les gains
1. Finis, les mots de passe dont il faut se souvenir. La signature unique permet au collaborateur de n’avoir plus qu’un seul identifiant à retenir, et cela pour se connecter à toutes les applications auxquelles il a accès dans l’entreprise. Voire aussi au réseau informatique des filiales. 2. Un gain de temps pour s’identifier au système. Bien souvent, la phase d’authentification est très longue. Dans les salles de marché, par exemple, les courtiers doivent se connecter à plusieurs applications ayant chacune un identifiant différent. Une perte de temps conséquente: plusieurs minutes peuvent parfois être nécessaires avant de pouvoir utiliser la machine. 3. Une politique de sécurité centralisée. La création d’un tel dispositif se concrétise par la mise en place d’un annuaire. Il contiendra les informations des utilisateurs et devra être assez renseigné afin de respecter le niveau de sécurité attendu par les applications du système d’information (SI).
Les limites
1. Une authentification forte obligatoire. Miser sur un seul identifiant-mot de passe est un confort certes, mais présente un risque en cas de perte ou de vol. En effet, entre les mains d’un utilisateur malintentionné, les dommages peuvent être d’autant plus considérables qu’il s’agit d’un vrai sésame. 2. Exige une bonne maturité dans la gestion de la sécurité de son SI. La mise en place d’un tel dispositif peut être considérée comme un aboutissement, la touche finale d’un système de sécurité. Il vient bien souvent conclure un déploiement de gestion des identités. 3. Il faut choisir parmi les multiples approches possibles. Centralisée ? Fédérative ? Coopérative ? Tout dépendra de l’infrastructure en place et des besoins de l’entreprise. La première concerne plus les systèmes fonctionnant en circuit fermé, les deux suivantes le cas de regroupement de plusieurs systèmes d’information.
9
source : http://www.commentcamarche.net/contents/992-firewall-pare-feu
Firewall (pare-feu) Firewall (pare-feu) Chaque ordinateur connecté à internet (et d'une manière plus générale à n'importe quel réseau informatique) est susceptible d'être victime d'une attaque d'un pirate informatique. La méthodologie généralement employée par le pirate informatique consiste à scruter le réseau (en envoyant des paquets de données de manière aléatoire) à la recherche d'une machine connectée, puis à chercher une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant.
Cette menace est d'autant plus grande que la machine est connectée en permanence à internet pour plusieurs raisons :
La machine cible est susceptible d'être connectée sans pour autant être surveillée ; La machine cible est généralement connectée avec une plus large bande passante ; La machine cible ne change pas (ou peu) d'adresse IP.
Ainsi, il est nécessaire, autant pour les réseaux d'entreprises que pour les internautes possédant une connexion de type câble ou ADSL, de se protéger des intrusions réseaux en installant un dispositif de protection.
Qu'est-ce qu'un pare-feu?
Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment internet). Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivante :
une interface pour le réseau à protéger (réseau interne) ; une interface pour le réseau externe.
Le système firewall est un système logiciel, reposant parfois sur un matériel réseau dédié, constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs réseaux externes. Il est possible de mettre un système pare-feu sur n'importe quelle machine et avec n'importe quel système pourvu que :
10
Document 4
La machine soit suffisamment puissante pour traiter le traffic ; Le système soit sécurisé ; Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.
Dans le cas où le système pare-feu est fourni dans une boîte noire « clé en main », on utilise le terme d'« appliance ».
Fonctionnement d'un système pare-feu
Un système pare-feu contient un ensemble de règles prédéfinies permettant :
D'autoriser la connexion (allow) ; De bloquer la connexion (deny) ; De rejeter la demande de connexion sans avertir l'émetteur (drop).
L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la politique de sécurité adoptée par l'entité. On distingue habituellement deux types de politiques de sécurité permettant :
soit d'autoriser uniquement les communications ayant été explicitement autorisées : soit d'empêcher les échanges qui ont été explicitement interdits.
La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en communication.
Le filtrage simple de paquets
Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais « stateless packet filtering »). Il analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau interne et une machine extérieure.
Ainsi, les paquets de données échangés entre une machine du réseau extérieur et une machine du réseau interne transitent par le pare-feu et possèdent les en-têtes suivants, systématiquement analysés par le firewall :
adresse IP de la machine émettrice ; adresse IP de la machine réceptrice ; type de paquet (TCP, UDP, etc.) ; numéro de port (rappel: un port est un numéro associé à un service ou une application
réseau).
Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé.
11
Le tableau ci-dessous donne des exemples de règles de pare-feu :
Règle Action IP source IP dest Protocol Port source
Port dest
1 Accept 192.168.10.20 194.154.192.3 tcp any 25 2 Accept any 192.168.10.3 tcp any 80 3 Accept 192.168.10.0/
24 any tcp any 80
4 Deny any any any any any Les ports reconnus (dont le numéro est compris entre 0 et 1023</ital>) sont associés à des services courants (les ports 25 et 110 sont par exemple associés au courrier électronique, et le port 80 au Web). La plupart des dispositifs pare-feu sont au minimum configurés de manière à filtrer les communications selon le port utilisé. Il est généralement conseillé de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue).
Le port 23 est par exemple souvent bloqué par défaut par les dispositifs pare-feu car il correspond au protocole Telnet, permettant d'émuler un accès par terminal à une machine distante de manière à pouvoir exécuter des commandes à distance. Les données échangées par Telnet ne sont pas chiffrées, ce qui signifie qu'un individu est susceptible d'écouter le réseau et de voler les éventuels mots de passe circulant en clair. Les administrateurs lui préfèrent généralement le protocole SSH, réputé sûr et fournissant les mêmes fonctionnalités que Telnet.
Le filtrage dynamique
Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP indépendamment les uns des autres, ce qui correspond au niveau 3 du modèle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gère la notion de session, afin d'assurer le bon déroulement des échanges. D'autre part, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est-à-dire de manière aléatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine cliente.
Ainsi, il est impossible avec un filtrage simple de paquets de prévoir les ports à laisser passer ou à interdire. Pour y remédier, le système de filtrage dynamique de paquets est basé sur l'inspection des couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-saxon est « stateful inspection » ou « stateful packet filtering », traduisez « filtrage de paquets avec état ».
Un dispositif pare-feu de type « stateful inspection » est ainsi capable d'assurer un suivi des échanges, c'est-à-dire de tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage. De cette manière, à partir du moment où une machine autorisée initie une connexion à une machine située de l'autre côté du pare-feu, l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu.
Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège pas pour autant de l'exploitation des failles applicatives, liées aux vulnérabilités des applications. Or ces vulnérabilités représentent la part la plus importante des risques en terme de sécurité.
12
Le filtrage applicatif
Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif opère donc au niveau 7 (couche application) du modèle OSI, contrairement au filtrage de paquets simple (niveau 4). Le filtrage applicatif suppose donc une connaissance des protocoles utilisés par chaque application.
Le filtrage applicatif permet, comme son nom l'indique, de filtrer les communications application par application. Le filtrage applicatif suppose donc une bonne connaissance des applications présentes sur le réseau, et notamment de la manière dont elle structure les données échangées (ports, etc.).
Un firewall effectuant un filtrage applicatif est appelé généralement « passerelle applicative » (ou « proxy »), car il sert de relais entre deux réseaux en s'interposant et en effectuant une validation fine du contenu des paquets échangés. Le proxy représente donc un intermédiaire entre les machines du réseau interne et le réseau externe, subissant les attaques à leur place. De plus, le filtrage applicatif permet la destruction des en-têtes précédant le message applicatif, ce qui permet de fournir un niveau de sécurité supplémentaire.
Il s'agit d'un dispositif performant, assurant une bonne protection du réseau, pour peu qu'il soit correctement administré. En contrepartie, une analyse fine des données applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant être finement analysé.
Par ailleurs, le proxy doit nécessairement être en mesure d'interpréter une vaste gamme de protocoles et de connaître les failles afférentes pour être efficace.
Enfin, un tel système peut potentiellement comporter une vulnérabilité dans la mesure où il interprète les requêtes qui transitent par son biais. Ainsi, il est recommandé de dissocier le pare-feu (dynamique ou non) du proxy, afin de limiter les risques de compromission.
Notion de pare-feu personnel
Dans le cas où la zone protégée se limite à l'ordinateur sur lequel le firewall est installé on parle de firewall personnel (pare-feu personnel).
Ainsi, un firewall personnel permet de contrôler l'accès au réseau des applications installées sur la machine, et notamment empêcher les attaques du type cheval de Troie, c'est-à-dire des programmes nuisibles ouvrant une brèche dans le système afin de permettre une prise en main à distance de la machine par un pirate informatique. Le firewall personnel permet en effet de repérer et d'empêcher l'ouverture non sollicitée de la part d'applications non autorisées à se connecter.
Les limites des firewalls
Un système pare-feu n'offre bien évidemment pas une sécurité absolue, bien au contraire. Les firewalls n'offrent une protection que dans la mesure où l'ensemble des communications vers l'extérieur passe systématiquement par leur intermédiaire et qu'ils sont correctement configurés. Ainsi, les accès au réseau extérieur par contournement du firewall sont autant de failles de sécurité. C'est notamment le cas des connexions effectuées à partir du réseau interne à l'aide d'un modem ou de tout moyen de connexion échappant au contrôle du pare-feu.
13
De la même manière, l'introduction de supports de stockage provenant de l'extérieur sur des machines internes au réseau ou bien d'ordinateurs portables peut porter fortement préjudice à la politique de sécurité globale.
Enfin, afin de garantir un niveau de protection maximal, il est nécessaire d'administrer le pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure de détecter les tentatives d'intrusion et les anomalies. Par ailleurs, il est recommandé d'effectuer une veille de sécurité (en s'abonnant aux alertes de sécurité des CERT par exemple) afin de modifier le paramétrage de son dispositif en fonction de la publication des alertes.
La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de sécurité.
14
Document 5
Source : http://www.besoindaide.com/ccm/protect/dmz-cloisonnement.htm
DMZ (Zone démilitarisée) Notion de cloisonnement Les systèmes pare-feu (firewall) permettent de définir des règles d'accès entre deux réseaux. Néanmoins, dans la pratique, les entreprises ont généralement plusieurs sous-réseaux avec des politiques de sécurité différentes. C'est la raison pour laquelle il est nécessaire de mettre en place des architectures de systèmes pare-feux permettant d'isoler les différents réseaux de l'entreprise : on parle ainsi de « cloisonnement des réseaux » (le terme isolation est parfois également utilisé).
Architecture DMZ
Lorsque certaines machines du réseau interne ont besoin d'être accessibles de l'extérieur (serveur web, un serveur de messagerie, un serveur FTP public, etc.), il est souvent nécessaire de créer une nouvelle interface vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer de compromettre la sécurité de l'entreprise. On parle ainsi de « zone démilitarisé » (notée DMZ pour DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du public. La DMZ fait ainsi office de « zone tampon » entre le réseau à protéger et le réseau hostile.
Les serveurs situés dans la DMZ sont appelés « bastions » en raison de leur position d'avant poste dans le réseau de l'entreprise.
La politique de sécurité mise en œuvre sur la DMZ est généralement la suivante :
Trafic du réseau externe vers la DMZ autorisé ; Trafic du réseau externe vers le réseau interne interdit ; Trafic du réseau interne vers la DMZ autorisé ; Trafic du réseau interne vers le réseau externe autorisé ; Trafic de la DMZ vers le réseau interne interdit ; Trafic de la DMZ vers le réseau externe refusé.
La DMZ possède donc un niveau de sécurité intermédiaire, mais son niveau de sécurisation n'est pas suffisant pour y stocker des données critiques pour l'entreprise.
Il est à noter qu'il est possible de mettre en place des DMZ en interne afin de cloisonner le réseau interne selon différents niveaux de protection et ainsi éviter les intrusions venant de l'intérieur.
15
Document 6
Source : http://www.commentcamarche.net/contents/318-front-office-et-back-office
Front Office / Back Office
Les termes de Front Office (littéralement « boutique ») et de Back Office («arrière-boutique») sont généralement utilisés pour décrire les parties de l'entreprise (ou de son système d'information) dédiées respectivement à la relation directe avec le client et à la gestion propre de l'entreprise.
Front Office
Le Front-Office (parfois appelé également Front line) désigne la partie frontale de l'entreprise, visible par la clientèle et en contact direct avec elle, comme les équipes de marketing, de support utilisateur ou de service après-vente.
Back Office
Le Back Office à l'inverse désigne l'ensemble des parties du système d'information auxquelles l'utilisateur final n'a pas accès. Il s'agit donc de tous les processus internes à l'entreprise (production, logistique, stocks, comptabilité, gestion des ressources humaines, etc.).
Cloisonnement
Dans la réalité, Back Office et Front office ne sont pas totalement cloisonnés car les équipes chargées de la relation client ont besoin de connaître un minimum d'information sur le processus de réalisation du produit ou du service de l'entreprise. A l'inverse, les secteurs dédiés à la conception du produit doivent être tenus informés des problèmes rencontrés par les usagers ou à l'inverse de leurs besoins, afin de rentrer dans un cercle d'amélioration continue.
16
Document 7
Source : http://www.cours-informatique-gratuit.fr/facile/materiel/8.reseau-d-entreprise
Réseau d'entreprise
1. Comment fonctionne l'informatique en entreprise
1.1 Un réseau en entreprise, pour quoi faire ?
Définition
Le réseau d'entreprise permet de relier chaque ordinateur entre eux via un serveur qui va gérer l'accès à Internet, les mails, les droits d'accès aux documents partagés et le travail collaboratif. Chaque utilisateur du réseau se connecte avec un nom d'utilisateur et un mot de passe et est authentifié par le serveur. L'utilisateur peut accéder à ses données et au partage de fichiers
Le réseau en entreprise permet à l'entreprise de centraliser ses données, de travailler en équipe de manière productive. Dans ce cours je vais vous présenter le schéma type d'un réseau d'entreprise, et ses différents rôles.
2. Schéma type d'un réseau d'entreprise
Dans une entreprise il existe une hiérarchie au niveau des employés. C'est la même chose au niveau des ordinateurs : un ordinateur va jouer le rôle du patron, on l'appelle le serveur d'entreprise. C'est une machine plus puissante que les autres qui a beaucoup de responsabilités. Ce serveur est géré par le service des systèmes d'information (SSI) ou service informatique. La personne en charge de ce serveur est l'administrateur qui est le seul à avoir accès à la salle des serveurs.
Le serveur est au centre de la configuration d'un réseau d'entreprise. Tous les ordinateurs de l'entreprise y sont reliés. Les baies de stockage permettent la sauvegarde des données informatique et son gérées par le serveur.
Souvent le serveur est présent en double : le deuxième prend le relai si le premier venait à lâcher. Ils sont stockés dans une pièce climatisée car génèrent beaucoup de chaleur.
17
Les petites structures n'ont pas forcément de serveur, car ça représente un coût. Mais certaines petites
entreprises ont tout de même au moins un système de sauvegarde de données.
3. Les rôles du serveur et du réseau d'entreprise
Définition
Le serveur en entreprise est un ordinateur plus puissant autonome qui va s'occuper du partage des fichiers, de faire des sauvegardes des données régulièrement, d'autoriser ou non l'accès à un ordinateur au réseau d'entreprise, gérer les mails, la connexion Internet et la sécurité informatique. Les serveurs sont souvent stockés dans une pièce dédiée et ventilée, dont l'accès est restreint à l'administrateur. On peut considérer le serveur comme le patron des ordinateurs de l'entreprise.
Vous l'aurez compris, le serveur à un rôle essentiel dans le réseau d'entreprise, que ce soit pour le partage, la communication, la sécurité et la productivité. Nous allons voir quels sont les rôles que peut jouer un serveur en entreprise.
3.1 rôle de sécurité
Parce que les données d'une entreprise sont privées et ne doivent pas tomber à la portée de tous le serveur doit protéger l'entreprise des intrusions extérieures via Internet. Il ne laisse pas n'importe qui accéder au réseau, seules les personnes autorisées peuvent le faire. Le serveur est équipé d'un pare-feu qui repousse les intrusions et un antivirus qui permet de se prémunir contre les attaques venant d'Internet.
3.2 Rôle de protection des données et sauvegardes
Le serveur, en collaboration avec la baie de stockage, ont pour rôle de sauvegarder en continu les données générées par l'entreprise. Si un employé efface par erreur un document, ou qu'il y a un dysfonctionnement d'un ordinateur, le serveur est en mesure de rétablir le fichier perdu.
Les documents sont parfois sauvegardés en plusieurs exemplaires à plusieurs dates ce qui permet de récupérer un document datant de plusieurs jours en arrière, utile si la version la plus récente a été modifiée.
3.3 Gestion de la connexion à Internet et filtrage des sites
Le serveur reçoit et gère la connexion à Internet, qu'il distribue aux employés selon leurs autorisations. Le serveur peut également filtrer les sites, pour ne pas que les employés finissent sur des sites de jeu par exemple.
18
3.4 Gestion des utilisateurs et autorisations d'accès au réseau
Chaque employé possède un compte sur son ordinateur (dont les identifiants vous sont donnés à votre arrivée dans l'entreprise par le service informatique), sécurisé par un mot de passe. Lorsque l'ordinateur s'allume le nom d'utilisateur et le mot de passe sont demandés par le serveur. C'est lui qui s'occupe d'authentifier l'utilisateur et lui autoriser l'accès à son poste de travail. Nous verrons ceci en détail dans le prochain cours.
3.5 Gestion des mails, des agendas partagés, des contacts partagés
Le serveur gère également l'arrivée et l'envoi de mails. Il possède un filtre anti-spam lui permettant de filtrer le courrier indésirable. Dans certains cas le serveur gère aussi les agenda de chaque employé, les agendas communs (ce qui permet de caler une réunion facilement à toute son équipe) et avoir un carnet d'adresses complet de l'entreprise.
L'agenda Outlook partagé grâce à Exchange
Parmi les solutions les plus utilisées on retrouve la solution Microsoft Exchange.
3.6 Partage de ressources, document, amélioration de la productivité
Le serveur va également mettre à disposition des employés des dossiers partagés, accessibles à certains et pas à d'autre, selon le poste de l'employé.
Par exemple le service Comptabilité pourra mettre en commun les résultats financiers, tableaux de calculs et documents sur lesquelles plusieurs personnes travaillent en collaboration.
Ce dossier sera accessible seulement par le service comptabilité et la direction par exemple, mais pas par les autres.
Chaque service pourra avoir son propre dossier partagé. Le secrétariat pour avoir un dossier partagé avec tous les employés pour mettre à leur disposition des documents types, notes de frais...
[…]
3.8 Assistance à distance
Lorsqu'un employé a un problème d'ordre informatique, il prend contact avec le service des systèmes d'information. Une personne va prendre le contrôle de l'ordinateur à distance afin de le dépanner, lui épargnant un déplacement.
Lorsque ça arrivera, votre souris commencera à bouger toute seule ! Ne vous inquiétez pas !
3.9 Un réseau privé virtuel : VPN
Parfois l'entreprise est situé sur plusieurs sites géographiques. Par exemple Paris, Toulouse et Grenoble. Dans ce cas il existe une technologie appelée VPN : réseau privé virtuel (Virtual Private Network en anglais).
19 Définition VPN
VPN, pour Virtual Private Network (réseau privé virtuel) désigne un réseau crypté dans le réseau Internet, qui permet à une société dont les locaux seraient géographiquement dispersés de communiquer et partager des documents de manière complètement sécurisée, comme s'il n'y avait qu'un local avec un réseau interne.
En clair le VPN agit pour qu'il n'y ai qu'un réseau, peut importe les distances géographique. 3 sites, un seul réseau d'entreprise. Comme si tout le monde était à côté.
Pour cela une connexion privée, cryptée et sécurisée passe par Internet pour relier les 3 sites. Toutes ces technologiques ont pour but d'augmenter l'efficacité et la productivité d'une entreprise, de centraliser et partager.
20
Document 8
Source : http://idum.fr/spip.php article 226
HSRP : Hot Standby Routing Protocol
Introduction
Le protocole HSRP ou Hot Standby Routing Protocol, est un protocole propriétaire Cisco. Il permet de gérer la redondance de routeur pour que lorsqu’un routeur tombe en panne un routeur de secours prenne le relais. HSRP permet d’augmenter la tolérance de panne sur un réseau en créant un routeur virtuel à partir de 2 routeurs physiques (ou plus), une élection déterminera le routeur actif et les autres routeurs seront en "attente" (standby). L’élection du routeur actif est réalisée grâce à la priorité configurée sur chaque routeur.
1) Principe de fonctionnement
En pratique, HSRP permet qu’un routeur de secours (ou Spare) prenne immédiatement, de façon transparente, le relais dès qu’un problème physique apparaît.
En partageant une seule et même adresse IP et MAC, plusieurs routeurs peuvent être considérés comme un seul routeur “Virtuel”. Les membres du groupe de ce routeur virtuel sont capables de s’échanger (Multicast) des messages d’état et des informations.
Un routeur physique peut donc être “responsable” du routage et un autre en redondance. Si le routeur, que nous appellerons primaire, a un problème, le routeur secondaire prendra sa place automatiquement. Les paquets continueront de transiter de façon transparente car les 2 routeurs partagent les mêmes adresses IP et MAC !
Un groupe de routeurs va négocier au sein d’un même groupe HSRP (ou standby group), un routeur primaire (Active router), élu au moyen d’une priorité, pour transmettre les paquets envoyés au routeur virtuel. Un autre routeur, le routeur secondaire (Standby router), sera élu lui aussi afin de remplacer le routeur primaire en cas de problème. Le secondaire assumera donc la tâche de transmettre les paquets à la place du primaire en cas de défaillance.
Le processus d’élection se déroule pendant la mise en place des liens, une fois ce processus terminé, seul le routeur primaire (Active) va envoyer des messages HSRP multicast en UDP aux autres afin de minimiser le trafic réseau. Si ces messages ne sont plus reçus par le routeur secondaire (Standby), c’est que le routeur primaire à un problème et le secondaire devient donc Actif.
L’élection se fait un peu à la manière de spanning-tree, en prenant en compte une priorité. Cette priorité est composée d’un paramètre “priority” compris entre 1 et 255 (255 étant le plus prioritaire) et de l’adresse IP de l’interface.
A priorités statiques égales, la plus haute adresse IP sera élue. Plusieurs groupes HSRP peuvent exister au sein d’un même routeur sans que cela ne pose problème (depuis l’IOS 10.3). Seuls les routeurs du même numéro de groupe s’échangeront les messages HSRP.
21
2 ) schéma réseau
[…]
22
