Projet Fin Detude

110
Rapport de stage de fin de formation Tout le monde sait que le MAROC est aujourd’hui et plus qu’avant est affronté à une forte concurrence, considérée comme l’une des facteurs de la mondialisation qui est sans doute un vrai défit pour les sociétés marocaines. De ce fait le MAROC se dirige vers l’informatisation de tous ces secteurs économiques sociales, juridiques dans l’objectif d’atténuer les effets de cette concurrence en donnant un aspect solide à nos organismes. Pour réaliser cet objectif (l’informatisation des organismes du Maroc) la formation professionnel au sein des établissements devient indispensable SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 2011 1

Transcript of Projet Fin Detude

Page 1: Projet Fin Detude

Rapport de stage de fin de formation

Tout le monde sait que le MAROC est

aujourd’hui et plus qu’avant est affronté à une

forte concurrence, considérée comme l’une des

facteurs de la mondialisation qui est sans doute

un vrai défit pour les sociétés marocaines.

De ce fait le MAROC se dirige vers

l’informatisation de tous ces secteurs

économiques sociales, juridiques  dans l’objectif 

d’atténuer les effets de cette concurrence en

donnant un aspect solide à nos organismes.

Pour réaliser cet objectif (l’informatisation

des organismes du Maroc) la formation

professionnel au sein des établissements devient

indispensable et le stage est devenu comme le

premier pas de la réalisation de cet objectif

En général la période de stage constitue

pour chaque stagiaire , une étape très importante

durant toute sa durée de formation, dont la

mesure où elle lui permet de découvrir le monde

du travail , et de pouvoir pratiquer effectivement

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 20111

Page 2: Projet Fin Detude

Rapport de stage de fin de formation

ses connaissances , en effectuant une

intégration complète de ses apprentissages

antérieurs et en lui offrant la possibilité d’être

capable à affronter des situations pratiques

reliées à son domaine d’étude .

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 20112

Page 3: Projet Fin Detude

Rapport de stage de fin de formation

Nous tenons à dédier ce modeste travail à ceux qui ont eu la gentillesse, l’amabilité de nous soutenir de prés ou de loin, et de nous avoir prêté leur assistance tout au long de notre stage, et plus particulièrement à nos chers parents, nos sœurs, nos frères, nos formateurs, à tout le corps administratif et professoral de MTR« Master Réseaux télécom » de la faculté des sciences d’eljadida, à nos amis, à tout les stagiaires de la 2eme année de MASTER RT, à touts le personnel de 2M Maroc qui de prés ou de loin ont contribué à la réalisation de ce travail.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 20113

Page 4: Projet Fin Detude

Rapport de stage de fin de formation

Ce présent rapport serait incomplet sans un mot de remerciement pour tous ceux qui ont, de prés ou de loin, contribué à la réalisation de ce travaille.

De prime abord, je tiens à remercier Mr RAQBI le CHEF DEPARTEMENT INFORMATIQUE SOREAD 2M pour m'avoir accueillie au sein de son département afin d'y accomplir ma période de stage, Mr Karama et Mr Lrhomari les deux responsables de service réseau pour m'avoir permis d'effectuer mon stage au sein de service d information.

Je tiens également à exprimer ma profonde reconnaissance à l’égard de Mr Alami et tous les techniciens de Service Réseau, …Pour leurs soutiens indéfectible, leurs confiances et leurs encouragements

Et enfin, Je tiens à souligner l’importance de la formation que j'ai reçue au MRT« Master Réseaux Telecom »

Merci.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 20114

Page 5: Projet Fin Detude

Rapport de stage de fin de formation

IntroductionIntroduction …………………………………………………………………………….......5

Chapitre IChapitre I : Présentation de SOREAD 2M :

1. Introduction………………………………………………………………… 2. Présentation Générale……………………………………………………….

2.1. Présentation………………………………………………………….. 2.2. Ses Centres Régionaux………………………………………………

2.3. 2M Dans Le Monde………………………………………………….3. Organigramme SOREAD 2M………………………………………………

3.1. Organigramme Globale de 2M……………………………………... 3.2. Organigramme Département Système D’Information 10

Chapitre IIChapitre II : Etude Et Conception

1. Introduction…………………………………………………………………….. 2. Schema de Reseau Entre Soread 2M et Bureaux Regionaux………………… 3. Materiels D Interconnexion (LAN, WAN)…………………………………….. 3.1. Les Equipements D Interconnexion (LAN)………………………… 3.2. Les Equipements D Interconnexion (WAN)………………………… 4. Serveurs…..………………………………………………………………………

Chapitre IIIChapitre III :

CONCLUSION…………………………………………………………….BIBLIOGRAPHIE………………………………………………………….

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 20115

Page 6: Projet Fin Detude

Rapport de stage de fin de formation

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 20116

Page 7: Projet Fin Detude

Rapport de stage de fin de formation

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 20117

Presentation de Soread 2MPresentation de Soread 2M

Page 8: Projet Fin Detude

Rapport de stage de fin de formation

1. Introduction:

Le stage a eu lieu à la deuxième chaîne Marocaine se situant à 7.3 km route de rabat Ain sebâa Casablanca. Cette chaîne privée a été crée par l’ONA et SOREAD (société de réalisation et d’études audiovisuelles), suite à un contact de concession Les grandes lignes d’évaluations : 1989 : La chaîne a commencé par un system crypté à péage1992 :2M à changé le positionnement d’une chaîne cryptée vers celui d’une Télévision Généraliste en claire .Pour favoriser le taux d’audience. (70% De la population Marocaine). 1996 : l’Etat est devenue l’actionnaire principale de 2M.1997 : La mise en place de la nouvelle grille de programme adapté au Nouveau positionnement de 2M. Lancement du 1er site web de 2M (www.tv2m.co.ma). 1998 : Créer une collaboration avec d’autres chaînes européennes.2000 :2M diffuse son programme 24h/24 par câble et satellite2001 : Lancement de la chaîne 2M Maroc sur satellite Lancement de portail de 2M : www.2m.tv Lancement de la radio Radio 2M.2002 : numérisation de la régie 400 mètre2003 : numérisation de la régie 200 mètre2006 : création de la régie 100 mètre pour les news2008 : création de la régie 1200 mètre Arriver de car régie avec 12 cameras

2. Présentation Générale:

2.1. Présentation

2M est la deuxième grande chaîne de télévision généraliste publique marocaine.Lors de sa création, le 4 mars 1989, 2M a un statut de chaîne privée et commerciale (première chaîne privée ayant vu le jour au Maroc, mais aussi en Afrique et dans le Monde Arabe) et diffuse des émissions cryptées avec deux plages en clair. Dès son lancement la chaîne suscite un véritable engouement et après cinq années d’existence, elle n’est plus la chaîne thématique à vocation internationale conçue au départ, mais une chaîne généraliste, de proximité.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 20118

Page 9: Projet Fin Detude

Rapport de stage de fin de formation  Après sept ans de fonctionnement, son actionnaire principale se retire et l’Etat Marocain, signataire de la concession, en reprend le contrôle en juin 1996 à hauteur de 68%. Le 10 janvier 1997, 2M est enfin diffusée en clair, bouleversant le paysage audiovisuel marocain. Après avoir étendu sa réception sur l’ensemble du territoire national à la fin des années 1990, 2M est aujourd’hui l’une des chaînes les plus suivies au Maroc. 2.2. Ses centres régionaux

Les bureaux régionaux relaient l’information locale qui est essentiellement destinée à alimenter en reportages et en interviews les journaux d’information du jour. Ces bureaux servent aussi à fournir et à transmettre des reportages pour d’autres émissions. 2M a réparti sur l’ensemble du territoire marocain un réseau très développé de 11 bureaux régionaux, Implantés dans les villes de Rabat, Tanger, Oujda, Agadir, Marrakech, Laayoun, Ouarzazate, Errachidia, Elhoussaima, Essaouira et Fès. Rabat, capitale politique, est le bureau qui a l’activité la plus importante et dispose donc d’une infrastructure plus développée.

 2.3. 2M Maroc dans le monde Le souci majeur de 2M est de servir l’image du Maroc à l’international et de satisfaire les attentes des Marocains à travers le monde. La programmation orientée vers cette catégorie de téléspectateurs répond favorablement à la mission de 2M. La majorité des produits est en langue arabe et le contenu privilégie l’information de proximité, les événements nationaux et les thèmes fédérateurs et de société. 2M est aujourd’hui accessible en Europe et aux Etats-Unis d’Amérique à travers cinq plates-formes satellitaires et sur les réseaux câblés en France et en Suisse.

  Europe, Maghreb et Moyen-Orient Afrique sur HOTBIRD 8 (13° Est) sur NSS 7 (22° Ouest)

Europe et Maghreb Canada et Etats-Unis sur ASTRA 1 (19.2° Est) sur GALAXY 25 (97° Ouest)

Europe, Maghreb, Moyen-Orient et Extrême-Orient France et Suisse sur NILESAT 101 (7° Ouest) sur les réseaux câblés

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 20119

Page 10: Projet Fin Detude

Rapport de stage de fin de formation 3. ORGANIGRAMME SOREAD 2M:

3.1. ORGANIGRAMME globale de 2m:

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201110

Page 11: Projet Fin Detude

Rapport de stage de fin de formation 3.2. ORGANIGRAMME DEPARTEMENT SYSTEME D’INFORMATION:

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201111

Page 12: Projet Fin Detude

Rapport de stage de fin de formation

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 2011

Etude ET conception

Etude ET conception

12

Page 13: Projet Fin Detude

Rapport de stage de fin de formation

Cette partie exposera les principales activités qui ont rythmé mon stage durant deux mois. Elle sera présentée en deux parties :

La première partie traitera du stage en lui-même. Elle énoncera les points de départ de mon stage et plus particulièrement la mission.

Le second sera un descriptif du travail effectué pendant ces deux mois. Nous

y trouverons les différentes tâches réalisées durant le stage.

2. Présentation du réseau SOREAD 2M   :

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201113

Page 14: Projet Fin Detude

Rapport de stage de fin de formation

2.1. Structure logique et physique :

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201114

Page 15: Projet Fin Detude

Rapport de stage de fin de formation

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201115

Page 16: Projet Fin Detude

Rapport de stage de fin de formation

Le LAN de SOREAD 2M est composé d’un seul segment physiques, les vitesses de transmission sont Ethernet 100BaseTX et 100BaseFX, le câblage horizontal comprend des câbles à paires torsadées de catégorie 6 données et voIP, et il accepte un débit de 100 Mbits/s.Le câblage vertical backbone comprend des câbles à fibre optique d’un débit de 1 Go/s. Donc La topologie logique est fondée sur la commutation LAN Ethernet, ce qui permet de migrer vers des débits supérieurs (bande passante plus importante) au niveau des ordinateurs et entre les répartiteurs principaux MDF et les répartiteurs intermédiaires IDF sans avoir à modifier le câblage physique pour accepter de futures applications.

le réseaux de la SOREAD 2M contient deux types de communications une pour les données et l’autre VOIP qui sont reliés physiquement dans le backbone optique de couche 3, et via un routeur Cisco 2801 VXR qui joue le rôle d’une passerelle pour la réalisation d’une communication entre les deux, ça qui permet on cas de panne dans les prises du donnée et du backup de se connecter on utilisant le téléphone ip équipées d’une carte réseau (@ ip) qui leurs permet de se localiser sur le réseau qui intègre la fonctionnalité de commutation comme un switch c'est-à-dire, on connectent l’ordinateur au réseau via le téléphone Ip qui est connecté à son tours à un switch de téléphonie IP AVAYA 4610SW IP et qui utilise le routeur pour router la communication entre le réseau voix aux données et ça qui permet au téléphone d’avoir accès au tftp planté dans le serveur contrôleur de domaine pour avoir la plat forme de configuration à partir de PABX planté à le MANS en France.

Le LAN de SOREAD 2M est connectée au Internet de Maroc télécom via une liaison spécialisé on utilisant deux routeur Internet. Puisque tous les Bureaux de SOREAD 2M sont concentrés en SIEGE de CASA.

N.B : tous les équipements d’interconnexion WAN et aussi le Pabx sont reliés à une armoire optique qui permet la gestion centralisée de la communication à l’aide des cartes numériques spécifique et cette armoire est le point d’interconnexion avec le POP, et puis vers l’externe.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201116

Page 17: Projet Fin Detude

Rapport de stage de fin de formation

3. Matériels d’interconnexion (LAN, WAN)   :

3.1 Les équipements d’interconnexion (LAN) :

SWITCH

Switch Cisco 2950 catalyst   Caractéristiques techniques   :

La gamme Catalysât® 2950 de Cisco est destinée à la commutation d’étage dédiée Ethernet 10/100/1000 Mbits/s fixe, offrant des performances, une souplesse et une facilité d'administration exceptionnelles, combinées à une protection de l'investissement inégalée. Cette gamme de commutateurs 10/100/1000 à détection automatique offre de nombreuses fonctionnalités avancées de qualité de service (QoS) et de traitement des flux multicast. L’interface de gestion Web fournit des fonctions d’administration faciles à utiliser via la suite CMS (Cisco Cluster Management Suite) et le logiciel Cisco IOS intégré. Le Catalyst 2950T-24 Gigabit sur cuivre, avec deux liaisons ascendantes à haut débit 10/100/1000, offre pour les petites et moyennes entreprises une solution idéale pour migrer de Fast Ethernet vers le Gigabit Ethernet tout en utilisant le câblage cuivre catégorie 5 existant.3.2. Les équipements d’interconnections (WAN) :

ROUTEURCisco 7200 VXR - Routeur - EN, Fast EN, Gigabit EN - Cisco IOS 12.2(4) BW - montable sur rack   :

Les routeurs de la gamme Cisco 7200 combinent un rapport qualité/prix exceptionnel, une polyvalence et des fonctionnalités complètes en un format compact. La gamme Cisco 7200 constitue un système d'agrégation WAN idéal pour les fournisseurs de service (micro-POP) ou la périphérie de l'entreprise, une passerelle WAN d'entreprise, un équipement client géré haut de gamme ou comme petit routeur principal. La plate-forme prend également en charge les sites qui requièrent une connectivité aux centres de données IBM ainsi que des sites qui requièrent des capacités multifonctions combinant les éléments précédemment mentionnés afin d'obtenir un trafic multiservice voix, vidéo et données. Le principal atout de la gamme Cisco 7200 est sa modularité. Grâce à un choix de châssis de 4 et 6 emplacements, une gamme de processeurs proposant jusqu'à 400 Kbps, un large éventail d'interfaces LAN et WAN dotées de 48 ports au maximum et des blocs d'alimentation

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201117

Page 18: Projet Fin Detude

Rapport de stage de fin de formation simples ou doubles, le client peut personnaliser son système afin d'atteindre les performances, la connectivité et la capacité souhaitées. Cette modularité permet également de protéger l'investissement et de garantir un sentier d'expansion permettant au client de mettre à niveau son routeur de la gamme Cisco 7204 à mesure que son réseau nécessite d'être étendu.

Principales caractéristiques

Description du produit  

Cisco 7204 VXR - routeur  

Facteur de forme   Montable sur rack - modulaire   Caractéristiques   Cisco IOS 12.2(4)BW , design modulaire, Fonction

duplex intégral, compatible DHCP, prise en charge NAT, prise en charge de RARP, prise en charge d'ARP, prise en charge du réseau local (LAN) virtuel  

Dimensions (LxPxH) 42.7 cm x 43.2 cm x 13.3 cm   Alimentation   CA 110/230 V CA 100/240 V (50/60 Hz)   Type de périphérique Routeur   Débit de transfert de données  

1 Gbits/s  

Protocole de liaison de données  

Ethernet, Fast Ethernet, Gigabit Ethernet  

Normes   IEEE 802.1Q   Mémoire flash   64 Mo (installé) / 256 Mo (maximum)   Protocole réseau / transport  

TCP/IP, UDP/IP, ICMP/IP, AAL5  

Protocole de gestion à distance  

SNMP, Telnet  

Protocole de Routage OSPF, IGRP, RIP, IS-IS, BGP, EIGRP, HSRP   Processeur   1 x Broadcom BCM1250 700 MHz   RAM   256 Mo (installé) / 1 Go (maximum) - DDR

SDRAM   Caractéristiques étendues

GénéralFacteur de forme  Montable sur rack - modulaire Largeur  42.7 cm Profondeur  43.2 cm Hauteur  13.3 cm Type de périphérique  Routeur 

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201118

Page 19: Projet Fin Detude

Rapport de stage de fin de formation

Nbr de modules installés (max.) 

1 (installé) / 8 (maximum) 

MémoireRAM  256 Mo (installé) / 1 Go (maximum) - DDR

SDRAM Mémoire flash  64 Mo (installé) / 256 Mo (maximum) Extension/connectivitéNombre total de connecteurs d'extension (disponibles) 

3 (3) x GBIC ¦ 8 (7) x Logement pour extension ¦ 2 (0) x mémoire ¦ 1 (0) x Carte CompactFlash 

Interfaces  3 x réseau - Ethernet 10Base-T/100Base-TX/1000Base-T - RJ-45 ¦ 1 x gestion - console ¦ 1 x gestion - auxiliaire 

DiversNormes  Homologué FFC classe A, VCCI Class B ITE, EN

60950, EN55022, IEC950, UL 1950, CSA 22.2 No. 950 

Kit de montage pour rack 

Inclus 

Méthode d'authentification 

RADIUS, PAP, CHAP, TACACS 

ProcesseurType  1 x Broadcom BCM1250 700 MHz Nombre maxi  1 RéseauxCaractéristiques  Design modulaire, Fonction duplex intégral,

compatible DHCP, prise en charge NAT, prise en charge de RARP, prise en charge d'ARP, prise en charge du réseau local (LAN) virtuel 

Technologie de connectivité 

Câblé 

Protocole de liaison de données 

Ethernet, Fast Ethernet, Gigabit Ethernet 

Protocole réseau / transport 

TCP/IP, UDP/IP, ICMP/IP, AAL5 

Normes  IEEE 802.1Q Débit de transfert de données 

1 Gbits/s 

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201119

Page 20: Projet Fin Detude

Rapport de stage de fin de formation

Protocole de gestion à distance 

SNMP, Telnet 

Protocole de Routage  OSPF, IGRP, RIP, IS-IS, BGP, EIGRP, HSRP AlimentationPériphérique d'alimentation 

Alimentation - branchement à chaud / redondante - module enfichable 

Tension requise  CA 110/230 V CA 100/240 V (50/60 Hz) Puissance fournie  280 Watt Qté installée / qté max supportée 

1 (installé) / 2 (maximum) 

Logiciels / Configuration requiseSystème d'exploitation fourni 

Cisco IOS 12.2(4)BW 

Caractéristiques d’environnementTempérature de fonctionnement mini 

0 °C 

Température de fonctionnement maxi 

40 °C 

Taux d'humidité en fonctionnement 

10 - 90% 

Cisco 800

Les routeurs Cisco des séries 800 sont des routeurs modulaires de la deuxième génération d'accès d'Internet/intranet, offrent une flexibilité sans précédent et une fonctionnalité pour de petits bureaux pour les besoins spécifiques des petites entreprises : souplesse et choix de réseau WAN, sécurité de bout en bout, qualité de bout en bout de service et de multimédia, prix compétitif et facilité d'installation, d'administration et de développement.. Les routeurs des séries 1600 de Cisco relient de petits bureaux à l'Ethernet, aux LANs, à l'Internet et aux intranets de compagnie en utilisant des technologies générales WAN,: ISDN, publication périodique asynchrone, et  publication périodique synchrone telle que le Frame Relay, lignes spécialisées, Switched 56, Switched Multimegabit Data Service (SMDS).

Catégorie Routeur Marque Cisco

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201120

Page 21: Projet Fin Detude

Rapport de stage de fin de formation Type de routeur Routeur Protocole de

liaison de donnéesEthernet, ISDN

Protocole d'administration à distance

SNMP Quantité incluse dans le paquet

1

Type de connexion Câblé Protocole de commutation

SMDS , X.25 , Frame Relay , Ethernet

Protocole de transport TCP/IP, IPX/SPX

Taille mémoire flash installée

4 Mo

Largeur 28.3 cm Profondeur 22 cm Hauteur 5.7 cm Poids 0.8 kg Mémoire vive 8 Mo

4. Serveurs   :

Les 6 serveurs de SOREAD 2M sont liés directement à un commutateur 3com SuperStack 3 Switch 4400 sont regroupé dans le domaine SIEGE de CASA.ma sont géré par un contrôleur de domaine primaire et un autre secondaire, adaptant une tolérance de panne.

le déplacement entre ces serveurs se fait à l’aide d’un logiciel serveur/client d’accès à distance le remote administrateur

le tableau suivant montre les rôles fondamentaux de chaque serveur :

Serveur Serveur 1 Serveur 2 Serveur 3

Le nom MAARIF1 MAARIF2 Database srv

L'OS hébergé avec sa version

MS WINDOWS 2003 R2 STANDARD EDITION SP2

MS WINDOWS 2003 R2 STANDARD EDITION SP2

MS WINDOWS 2003 R2 STANDARD EDITION SP2

Les rôles CDP; CDP; Ancien CDP

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201121

Page 22: Projet Fin Detude

Rapport de stage de fin de formation srv DNS;

srv DHCP ;srv de FICHIERS;srv Accès Distant ;

Racine DFS;srv TFTP

srv DNS ;srv de FICHIERS;

srv TFTP( prodanfa )

Les versions des applicatifs

SE 5.0 ;MS.NET Framework

v2 ;AVG Anti-spyware

v7.5;CA Etrust Past Patrol

anti-spyware ;CA Etrust

Server+Agent;RADMIN v2,1;

CA Installation à distance Etrust ITM;

Ccleaner ;Solarwinds.net TFTP Server version 8.2.7;Jana Server 2.4.8.51

AVG Anti-spyware v7.5;

CA Etrust Past Patrol anti-spyware ;

CA Etrust Agent ;RADMIN v2,1;

Ccleaner ;Solarwinds.net ;

TFTP Server

AVG Anti-spyware v7.5;

CA Etrust Past Patrol anti-spyware ;

CA Etrust Agent;RADMIN v2,1;

SQL Server 2003;WUASU(windows update agent self

update);supercopier2;

La volumétrie des données à sauvegarder

78,7 Go 42,2 Go 82,5 Go

Si le Désastre recovery (remise en cas scratch

du serveur) est nécessaire

Oui, assuré déjà par l'autorecovery de HP installé sur le serveur

Oui, assuré déjà par l'autorecovery de HP installé sur le serveur

oui

Si le Disaster Recovery est nécessaire, préciser la taille de la partition

système

39,07 Go 39 Go 70,31 Go

Le positionnement géographique du

serveurLa salle des machines La salle des machines La salle des machines

Serveur Serveur 4 Serveur 5 Serveur 6

Le nom Recorder B2S-Script-serv UNICORNI-68E7A3

L'OS hébergé avec sa version

MS WINDOWS 2003 R2 STANDARD

EDITION

MS WINDOWS 2003 R2 STANDARD

EDITION

Microsoft Windows XP [version 5.1.2600]

Les rôles srv de FICHIERS;srv de FICHIERS

«héberge une partie de srv de FICHIERS

«héberge une partie de

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201122

Page 23: Projet Fin Detude

Rapport de stage de fin de formation script easy" ;

srv applications B.D"script easy" ;

BD/HD Advsor 1.0;HASP HL Driver;

Hi-Def Suite;LightScribe Optical

Disc Kit;MiaRec 2.7.298.0;

Power 2Go 5.0;Remote admin v2.1;

SuperCopier2;Wincap 4.0;

Wireshark 0.99.6

MS SQL SERVER 2005 ;

MS VISUAL STUDIO 2005

La volumétrie des données à sauvegarder

374 Go 2 Go 1,60 Go

Si le Disaster recovery (remise en cas scratch

du serveur) est nécessaire

Oui Oui Oui

Si le Disaster Recovery est nécessaire, préciser la taille de la partition

système

465 Go 48,8 Go

Le positionnement géographique du

serveurLa salle des machines La salle des machines La salle des machines

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201123

Page 24: Projet Fin Detude

Rapport de stage de fin de formation

I. Le Protocol Syslog

I-1 Introduction   : Le protocole Syslog est un protocole très simple et très largement utilisé dans le monde Unix. Son but est de transporter par le réseau les messages de journalisation générés par

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 2011

-Protocol syslog.

-Supervision du reseau par Kiwi

Syslog server de SolarWinds

-firewall ipcop

-Protocol syslog.

-Supervision du reseau par Kiwi

Syslog server de SolarWinds

-firewall ipcop

24

Page 25: Projet Fin Detude

Rapport de stage de fin de formation une application vers un serveur hébergeant un serveur Syslog. Un autre but est aussi d'assurer la fonction de concentration des journaux, un serveur Syslog intermédiaire pouvant retransférer les messages Syslog qu'il reçoit vers un autre serveur Syslog.

Le but de ce document est de présenter :

Les différents concepts introduits par Syslog.

Le format d'une trame Syslog sur le réseau. Les limitations du protocole Syslog. Un petit inventaire des serveurs Syslog (gratuits ou payants) disponibles sur le

marché. Les API de programmation Syslog disponibles.

I-2 les notions introduites par Syslog   :

I-2-1 les notion de périphérique, relais et de contrôleur   :

Le protocole Syslog définit la notion de périphérique, de relais et de collecteur dans une architecture Syslog.

Un périphérique est une machine ou une application qui génère des messages Syslog.

Un relais est une machine ou une application qui reçoit des messages Syslog et les retransmet à une autre machine.

Un collecteur est une machine ou une application qui reçoit des messages Syslog mais qui ne les retransmet pas.

Tout périphérique ou relais sera vu comme un émetteur lorsqu'il envoie un message Syslog et tout relais ou collecteur sera vu comme un récepteur lorsqu'il reçoit un message Syslog.

I-3 les notions de fonctionnalité, sévérité et priorité :

Le protocole Syslog définit les notions de fonctionnalité, de sévérité et de priorité d'un

message Syslog.

La RFC 3164 utilise les mots anglais facility, severity et priority.

I-3-1 Fonctionalité   :

La fonctionnalité d'un message Syslog correspond au type d'application générant le message Syslog. Les 24 fonctionnalités existantes sont définies par la RFC 3164 :

Numéro de fonctionnalité Usage

0 kernel messages

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201125

Page 26: Projet Fin Detude

Rapport de stage de fin de formation 1 user-level messages

2 mail system

3 system daemons

4 security/authorization messages

5 messages generated internally by syslogd

6 line printer subsystem

7 network news subsystem

8 UUCP subsystem

9 clock daemon

10 security/authorization messages

11 FTP daemon

12 NTP subsystem

13 log audit

14 log alert

15 clock daemon

16 local use 0

17 local use 1

18 local use 2

19 local use 3

20 local use 4

21 local use 5

22 local use 6

23 local use 7

La définition et le contenu de ces fonctionnalités ne sont pas clairement définis par les RFC (il y a plusieurs fonctionnalités ayant trait à l'horloge ou à l'authentification par exemple). Parmi les 24 fonctionnalités différentes, l'usage courant de quelques-unes est indiqué, mais certaines sont maintenant obsolètes (UUCP par exemple).

Globalement, on peut dire que la fonctionnalité correspond au type d'application qui génère le message Syslog.

Quoi qu'il en soit, il faut bien retenir que c'est l'application et elle seule qui décide quelle fonctionnalité elle va utiliser. Le choix du numéro de fonctionnalité est de la responsabilité du projet et du développeur de l'application.

I 3-2 sévérités:

La sévérité d'un message Syslog correspond au degré d'urgence du message. Les 8 sévérités existantes sont définies par les RFC :

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201126

Page 27: Projet Fin Detude

Rapport de stage de fin de formation Numéro de sévérité Usage

0 Emergency : system is unusable

1 Alert : action must be taken immediately

2 Critical : critical conditions

3 Error : error conditions

4 Warning : warning conditions

5 Notice : normal but significant condition

6 Informational : informational messages

7 Debug : debug-level messages

Comme on peut le voir, le contenu des messages en fonction de leur sévérité est mieux défini par les RFC.

Globalement, on peut dire que la sévérité d'un message Syslog correspond au degré d'importance ou d'urgence du message Syslog.

Quoi qu'il en soit, il faut bien retenir que c'est toujours l'application et elle seule qui décide quelle sévérité elle va utiliser. Le choix du numéro de sévérité est de la responsabilité du projet et du développeur de l'application.

I 3-2 Priorité:

La priorité d'un message Syslog est définie par sa fonctionnalité et sa sévérité. Cette priorité est un nombre qui est le résultat de la multiplication de la fonctionnalité par 8 auquel est ajoutée la sévérité.

Ainsi un message de priorité 165 aura pour fonctionnalité 20 (c'est-à-dire local use 4) et pour sévérité 5 (c'est-à-dire Notice).

Il ne peut y avoir de priorité plus grande que 191 car la fonctionnalité la plus grande définie par les RFC est 23 et la sévérité la plus grande est 7 : (23 * 8) + 7 = 191.

Le mot priorité est certainement mal choisi car un message de priorité importante ne sera pas traité ou acheminé plus rapidement qu'un message de moindre priorité.

I-4 Une trame de protocole Syslog   :

Le protocole Syslog est défini par les RFC suivantes:

La RFC 3164.

La RFC 3195.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201127

Page 28: Projet Fin Detude

Rapport de stage de fin de formation Le protocole Syslog est un protocole en mode "texte", c'est-à-dire qu'il utilise uniquement les caractères du code ASCII.

Il utilise le protocole UDP et le port 514 mais il faut savoir qu'il existe aussi des implémentations de Syslog en TCP ou même en SSL et sur d'autres numéros de port.

La longueur totale d'une trame Syslog doit être de 1024 octets ou moins. Il n'y a pas de longueur minimale mais une trame de 0 octet n'est pas très utile et ne devrait pas être transmise.

Une trame de protocole Syslog est composée de 3 parties :

La partie PRI.

La partie HEADER. La partie MSG.

I-4-1 La partie PRI   :

La partie PRI d'un message Syslog est composée obligatoirement de 3, 4 ou 5 caractères.

Le premier caractère est toujours le caractère "<" suivi par un nombre qui représente la priorité (en base 10) du message et suivi par le caractère ">".

La seule fois où le caractère "0" peut suivre le caractère "<" est pour coder une priorité dont la valeur est 0 justement. Dans tous les autres cas, le ou les caractères "0" de tête ne doivent pas être présents.

I-4-2 la partie header   :

La partie HEADER d'un message Syslog contient 2 champs :

Le champ TIMESTAMP.

Le champ HOSTNAME.

I-4-2-1 Le champ TIMESTAMP   :

Le champ TIMESTAMP doit immédiatement suivre le caractère ">" de la partie HEADER.

Le format de date utilisé par le champ TIMESTAMP est "Mmm dd hh:mm:ss".

"Mmm" est l'abréviation anglaise pour le mois sur 3 caractères. Les seules valeurs admises sont : "Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec".

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201128

Page 29: Projet Fin Detude

Rapport de stage de fin de formation Un caractère espace (" ") doit obligatoirement suivre la valeur du nom du mois. "dd" représente le numéro de jour dans le mois. Ce numéro de jour doit toujours être

représenté par 2 caractères. Si ce numéro de jour est inférieur à 10, il doit alors être précédé du caractère espace (" ").

Un caractère espace (" ") doit obligatoirement suivre la valeur numéro de jour. "hh:mm:ss" est l'heure locale. L'heure est représentée en utilisant un format sur 24

heures. Les valeurs autorisées vont de "00" à "23". Les valeurs autorisées pour les minutes ("mm") et les secondes ("ss") vont de "00" à "59".

Un caractère espace (" ") doit obligatoirement suivre le champ TIMESTAMP.

I-4-2-2 Le champ HOSTNAME   :

Le champ HOSTNAME peut contenir :

Un nom de machine sans son nom de domaine. Un nom de machine ne doit pas contenir de caractère espace (" ").

Une adresse IP au format IPv4 (format décimal pointé 192.168.1.1 par exemple). Une adresse IP au format IPv6 (voir la RFC RFC 2373 pour les différentes notations

supportées). Rien, le champ HOSTNAME est facultatif.

Un caractère espace (" ") doit obligatoirement suivre le champ HOSTNAME (même si ce champ est vide).

I-4-3 la partie MSG   :

La partie MSG d'un message Syslog comprend le message texte à transférer.

I-4-4 Exemple de msg syslog   :

Les exemples suivants sont des messages Syslog valides :

Exemple de messages Syslog valides

<165>May 18 14:46:18 192.168.1.1 Un message Syslog classique<14>May 8 14:26:38 Un message Syslog sans champ HOSTNAME, jour de mois plus petit que 10<0>May 8 04:06:08 Un message Syslog sans champ HOSTNAME, jour de mois, heure, minute et seconde plus petit que 10

I-5 les limitations du protocole Syslog   :

Le protocole Syslog est un protocole réseau très simple qui permet à une application de générer des messages au format Syslog à destination d'un serveur Syslog situé sur une

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201129

Page 30: Projet Fin Detude

Rapport de stage de fin de formation autre machine. Il permet aussi à un serveur Syslog de retransférer les messages de log Syslog vers un autre serveur Syslog.

Comme tout protocole simple, celui souffre de limitations et de faiblesses :

Limitations UDP.

Un petit nombre de fonctionnalités disponibles. La différence de comportement entre TCP et UDP. Un champ TIMESTAMP incomplet. Un contenu de champ HOSTNAME "flou". Le jeu de caractères du message est limité au code ASCII. Le manque de sécurité du protocole. Le phénomène de boucle.

Il n'y a aucun critère de tri privilégié dans l'ordre de ces limitations.

I-5-1 Limitations UDP   :

Le protocole Syslog repose nativement sur la couche transport UDP. Le protocole UDP est un protocole très simple mais celui ci n'offre en contrepartie aucune garantie d'acheminement. Un paquet UDP peut très bien être envoyé par un émetteur et ne jamais être reçu ou traité par le récepteur. De plus, comme il n'y a pas de numérotation des messages Syslog, le récepteur ne saura jamais qu'il en a perdu un, il n'y a pas d'acquittement protocolaire au niveau de Syslog.

Une autre limitation liée à UDP est que le séquencement lors de la réception des messages n'est pas garanti. Un émetteur peut très bien envoyer 2 paquets (1 puis 2) et le récepteur peut très bien les recevoir dans l'ordre inverse (2 puis 1). Encore une fois, l'absence de numérotation des trames Syslog empêche de découvrir ce genre de problème. L'inversion dans l'ordre de réception des trames Syslog peut perturber l'analyse des causes et des conséquences lors d'un incident.

I-5-2 Nombres de fonctionnalités   :

Le nombre de fonctionnalités disponibles est limité à 24 valeurs différentes (de 0 à 23). Certaines de ces fonctionnalités ne correspondent plus à rien (UUCP par exemple), d'autres sont en doublon (tout ce qui à trait à l'horloge ou à l'authentification par exemple). Il est bien sûr possible d'utiliser la fonctionnalité 6 (line printer subsystem) pour générer les messages Syslog de son application "maison" ou d'utiliser les fonctionnalités "local use 0 à 7".

Une chose est sûre, c'est que sur un collecteur de messages Syslog qui reçoit des messages en provenance d'un grand nombre de machines, il y aura très vite des doublons dans les numéros de fonctionnalités utilisés. L'élément discriminant doit très vite devenir le couple émetteur/fonctionnalité.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201130

Page 31: Projet Fin Detude

Rapport de stage de fin de formation I-5-3 La différence de comportement entre TCP et UDP   :

UDP est un protocole orienté messages, Syslog est aussi un protocole orienté messages. En UDP (qui est la couche de transport native de Syslog), à un envoi sur le réseau (par l'appel système sendto() par exemple) correspond une et une seule réception réseau (par l'appel système recvfrom() par exemple). Ceci veut dire qu'une trame Syslog sur UDP est envoyée en un seul paquet IP et que ce paquet sera reçu en une seule fois. Il n'y a pas besoin de mécanisme de synchronisation entre l'émetteur et le récepteur.

TCP est un protocole orienté flux. Syslog étant orienté messages, la difficulté va être d'extraire du flux TCP les différents messages Syslog. En TCP, la mécanique mise en place est totalement différente. A un envoi (par l'appel système send() par exemple) peuvent correspondre plusieurs réceptions (par l'appel système recv() par exemple) et à plusieurs envois peut correspondre une seule réception. En TCP, il n'y a aucun lien entre le nombre d'envois et le nombre de réceptions et un mécanisme de synchronisation entre l'émetteur et le récepteur est nécessaire.

Le tableau suivant montre l'exemple de l'envoi de 3 messages Syslog et la différence de comportement (possible, c'est un exemple) entre TCP et UDP :

En UDP, 3 messages sont reçus.

En TCP, seuls 2 messages sont reçus (mais la totalité des 3 messages est reçue). Le début du message 2 se retrouve placé à la fin du message 1 et la fin du message 2 se retrouve au début du message 3. Au final, on a reçu 2 messages Syslog et seul le

premier est valide mais le contenu n'est plus correct. Le second message quant à lui est invalide

car son entête Syslog n'est pas correct.

Envoi Réception en UDP Réception en TCP

<165>May 18 14:46:18 192.168.1.1 Message1<165>May 18 14:46:18 192.168.1.1 Message2<165>May 18 14:46:18 192.168.1.1 Message3

<165>May 18 14:46:18 192.168.1.1 Message1<165>May 18 14:46:18 192.168.1.1 Message2<165>May 18 14:46:18 192.168.1.1 Message3

<165>May 18 14:46:18 192.168.1.1 Message1<165>May 18 14:46:18192.168.1.1 Message2<165>May 18 14:46:18 192.168.1.1 Message3

Le mécanisme de synchronisation nécessaire en TCP n'a pas été prévu par la RFC (puisque initialement, le protocole de transport de Syslog est UDP). Pour résoudre ce problème en TCP, il est nécessaire de définir un caractère terminal de trame Syslog afin que le récepteur puisse se resynchroniser. Il semble que les caractères couramment admis pour terminer une

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201131

Page 32: Projet Fin Detude

Rapport de stage de fin de formation trame Syslog et, ainsi permettre une resynchronisation, soient les caractères CR, LF, CRLF et NULL.

La RFC 3195 - Reliable Delivery for syslog parle très clairement de la séquence de caractères CRLF (mais dans un contexte légèrement différent puisque le protocole mis en place dans cette RFC est basé sur du XML).

I-5-4 Un champ TIMESTAMP incomplet   :

Le champ TIMESTAMP de la trame Syslog n'est pas complet. En effet, l'information "année" ne figure pas dedans. De plus, il n'y a aucune information concernant le fuseau horaire de la machine qui a généré l'information d'horodatage.

Il devient dès lors très compliqué d'analyser les messages Syslog de 2 machines différentes situées sur 2 fuseaux horaires différents. De plus, pour des fonctions d'archivage ou dans la nuit du 31 décembre au 1er janvier, l'absence de l'information "année" peut poser de gros problèmes.

La résolution du champ TIMESTAMP n'est souvent pas suffisante. Quand il y a un problème sur une machine ou sur un service, cela se traduit parfois par une dizaine de messages Syslog qui sont générés en moins d'une seconde. Une résolution du temps à la milliseconde permettrait d'aider à la reconstition du problème, des causes et des conséquences.

I-5-5 Un contenu de champ HOSTNAME "flou"   :

Le contenu du champ HOSTNAME est variable ce qui va poser des problèmes dans les codes des serveurs Syslog mais aussi dans l'interprétation du contenu des messages. Pour rappel, le contenu du champ HOSTNAME peut être :

Un nom de machine (sans son nom de domaine).

Une adresse IPv4 en notation décimale pointée (192.168.1.1). Une adresse IPv6 (la notation utilisée est celle de la RFC 2373). Vide.

Dans une architecture très hiérarchisée de concentration des messages Syslog, la présence d'un nom de machine sans son nom de domaine ne sert à rien. Un nom local dans une agence en province n'a aucune signification pour un administrateur au siège parisien.

Une adresse IP (v4 ou v6) est peu parlante au niveau fonctionnel même si elle a énormément de valeur pour un administrateur réseau. Par contre, cette information perd toute valeur dès lors qu'une translation d'adresse est mise en place.

Quant à l'absence autorisée de nom de machine, il s'agit d'une aberration.

I-5-6 Le jeu de caractères du message est limité au code ASCII   :

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201132

Page 33: Projet Fin Detude

Rapport de stage de fin de formation Le jeu de caractères d'un message Syslog est limité au code ASCII (caractères dont les valeurs sont comprises entre 0 et 127). Ceci peut présenter des problèmes lors de l'envoi des caractères accentués pour les messages générés par Windows par exemple. De plus, même si l'on envoie des caractères accentués, rien n'est prévu pour indiquer le nom du jeu de caractères utilisé (UTF-8, ANSI-1252, OEM, ...).

I-5-7 La sécurité du protocole   :

Le protocole Syslog est un protocole qui s'appuie nativement sur UDP. Il hérite donc de toutes les faiblesses inhérentes à UDP :

Il est possible de fabriquer de toutes pièce une trame Syslog et de l'envoyer à un serveur Syslog.

Il est possible de fabriquer une trame Syslog en falsifiant l'adresse IP de l'émetteur de la trame. Ainsi il sera impossible ou très difficile de retrouver la machine qui a généré la trame.

Il est possible de "bombarder" un serveur Syslog avec des trames Syslog de manière à noyer des événements réels parmi un grand nombre de messages falsifiés. Ces messages falsifiés peuvent avoir pour but de remplir le disque dur du serveur Syslog (ainsi la fonction archivage sera perdue). Ces messages falsifiés peuvent aussi avoir pour but d'occuper le serveur Syslog de manière à ce que celui ci n'ait plus le temps de s'occuper des trames réelles (déni de service).

Toutes ces faiblesses disparaissent aussitôt que l'on utilise Syslog sur le protocole TCP.

I-5-8 Le phénomène de boucle   :

Comme on a pu le voir dans le paragraphe 2, le protocole Syslog définit la notion de relais. C'est-à-dire qu'un serveur Syslog peut retransférer les messages Syslog reçus vers un autre serveur Syslog. Le piège de cette fonctionnalité est d'introduire une boucle dans la chaîne des relais Syslog. Cette boucle fait que tous les messages Syslog tournent indéfiniment. Ce phénomène met à rude épreuve le réseau ainsi que les serveurs Syslog qui forment cette boucle. Le protocole Syslog ne fournit aucun moyen (autres qu'humains) pour détecter et rompre cette boucle.

I-6 Les serveurs Syslog   :

Différents serveurs, pour cela, on se reportera vers la documentation de ces programmes.

Le démon syslogd : ce serveur est installé par défaut ou installable nativement sur la plupart des distributions Unix (Solaris, AIX, Hp-Ux, Linux, ...). La configuration de ce serveur est très simple et les fonctionnalités offertes aussi. C'est le serveur vers lequel il faut se diriger pour commencer à manipuler une architecture Syslog.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201133

Page 34: Projet Fin Detude

Rapport de stage de fin de formation Le serveur syslog-ng : devant les limitations du démon syslogd standard,

l'éditeur BalaBit IT Security a redéveloppé un nouveau démon syslog appelé syslog-ng (comme New Generation). Ce serveur offre beaucoup de fonctionnalités au niveau de la sécurité et du filtrage. Ce serveur est directement disponible en package sur la plupart des distributions Unix. C'est la version vers laquelle il faudrait se diriger pour installer une véritable architecture Syslog. BalaBit IT Security possède une offre de base gratuite et une offre payante autour syslog-ng.

Le serveur Kiwi Syslog Server est un serveur payant qui fonctionne sous Microsoft Windows.

Syslog Server  est un serveur Syslog gratuit (GPL) fonctionnant sous environnement Microsoft.

SyslogServer  est une offre payante basée sur Microsoft Windows. SysRose Syslog Desktop . Il s'agit d'une application bureau et pas d'un service qui

peut être utile pour déboguer. wsyslogd  est un service Syslog pour environnement Windows. 3CSyslog  est une application bureau capable de recevoir des messages Syslog.

Cette application peut être utile pour déboguer.

5-1 Exemple de fichier de configuration syslog

 Le fichier qui suit est le contenu du fichier de configuration par défaut du serveur Syslog sur une machine Debian 5.0 (noyau en version 2.6.26-2).

Fichier de configuration syslogd /etc/syslog.conf

1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.

# /etc/syslog.conf Configuration file for inetutils-syslogd. # # For more information see syslog.conf(5) manpage. # # First some standard logfiles. Log by facility. # auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog #cron.* /var/log/cron.log daemon.* -/var/log/daemon.log kern.* -/var/log/kern.log lpr.* -/var/log/lpr.log mail.* -/var/log/mail.log user.* -/var/log/user.log uucp.* /var/log/uucp.log # # Logging for the mail system. Split it up so that # it is easy to write scripts to parse these files. # mail.info -/var/log/mail.info mail.warn -/var/log/mail.warn

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201134

Page 35: Projet Fin Detude

Rapport de stage de fin de formation 26.27.28.29.30.31.32.33.34.35.36.37.38.39.40.41.42.43.44.45.46.47.48.49.50.51.52.53.54.55.56.57.58.59.60.61.62.63.64.65.66.67.68.69.70.71.72.73.74.75.76.77.78.

mail.err /var/log/mail.err # Logging for INN news system # news.crit /var/log/news/news.crit news.err /var/log/news/news.err news.notice -/var/log/news/news.notice # # Some `catch-all' logfiles. # *.=debug; \ auth,authpriv.none; \ news.none;mail.none -/var/log/debug *.=info;*.=notice;*.=warn; \ auth,authpriv.none; \ cron,daemon.none; \ mail,news.none -/var/log/messages # # Emergencies are sent to everybody logged in. # *.emerg * # # I like to have messages displayed on the console, but only on a virtual # console I usually leave idle. # #daemon,mail.*; \ # news.=crit; \ # news.=err; \ # news.=notice; \ # *.=debug;*.=info; \ # *.=notice;*.=warn /dev/tty8 # The named pipe /dev/xconsole is for the `xconsole' utility. To use it, # you must invoke `xconsole' with the `-file' option: # # $ xconsole -file /dev/xconsole [...] # # NOTE: adjust the list below, or you'll go crazy if you have a reasonably # busy site.. # daemon.*; \ mail.*; \ news.crit; \ news.err; \ news.notice; \ *.=debug; \ *.=info; \ *.=notice; \ *.=warn |/dev/xconsole

Les explications concernant la signification de ce fichier de configuration sont les suivantes :

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201135

Page 36: Projet Fin Detude

Rapport de stage de fin de formation La ligne 10 signifie que tous les messages dont la fonctionnalité est auth ou authpriv,

quelle que soit leur sévérité, sont archivés dans le fichier /var/log/auth.log.

La ligne 11 signifie que tous les messages, quelle que soit leur sévérité, à l'exception de ceux dont la fonctionnalité est auth ou authpriv sont archivés dans le fichier -/var/log/syslog. Ce fichier n'est pas resynchronisé après écriture pour des raisons de performance (présence du caractère "-" avant le nom du fichier)..

La ligne 12 (en commentaire) signifie que tous les messages dont la fonctionnalité est cron sont archivés dans le fichier /var/log/cron.log.

La ligne 13 signifie que tous les messages dont la fonctionnalité est daemon sont archivés dans le fichier /var/log/daemon.log.

La ligne 14 signifie que tous les messages dont la fonctionnalité est kern sont archivés dans le fichier /var/log/kern.log.

La ligne 15 signifie que tous les messages dont la fonctionnalité est lpr sont archivés dans le fichier /var/log/lpr.log.

La ligne 16 signifie que tous les messages dont la fonctionnalité est mail sont archivés dans le fichier /var/log/mail.log.

La ligne 17 signifie que tous les messages dont la fonctionnalité est user sont archivés dans le fichier /var/log/user.log.

La ligne 18 signifie que tous les messages dont la fonctionnalité est uucp sont archivés dans le fichier /var/log/uucp.log.

La ligne 24 signifie que tous les messages dont la fonctionnalité est mail et dont la sévérité est inférieure ou égale à info sont archivés dans le fichier /var/log/mail.info.

La ligne 25 signifie que tous les messages dont la fonctionnalité est mail et dont la sévérité est inférieure ou égale à warn sont archivés dans le fichier /var/log/mail.warn.

La ligne 26 signifie que tous les messages dont la fonctionnalité est mail et dont la sévérité est inférieure ou égale à err sont archivés dans le fichier /var/log/mail.err.

La ligne 30 signifie que tous les messages dont la fonctionnalité est news et dont la sévérité est inférieure ou égale à crit sont archivés dans le fichier /var/log/news.crit.

La ligne 31 signifie que tous les messages dont la fonctionnalité est news et dont la sévérité est inférieure ou égale à err sont archivés dans le fichier /var/log/news.err.

La ligne 32 signifie que tous les messages dont la fonctionnalité est news et dont la sévérité est inférieure ou égale à notice sont archivés dans le fichier /var/log/news.notice.

Les lignes 37 à 39 signifient que tous les messages dont la sévérité est debug (présence du signe "=") à l'exception des messages dont la fonctionnalité est auth, authpriv, news et mail sont archivés dans le fichier -/var/log/debug.

Les lignes 41 à 44 signifient que tous les messages dont la sévérité est info, notice ou warn à l'exception des messages dont la fonctionnalité est auth, authpriv, cron, daemon, news oumail sont archivés dans le fichier -/var/log/messages.

La ligne 49 signifie que tous les messages dont la sévérité est emerg sont écrits dans tous les terminaux de tous les utilisateurs connectés.

Les lignes 55 à 60 (en commentaire) signifient que tous les messages dont la fonctionnalité est daemon ou mail quelle que soit leur sévérité, les messages de fonctionnalité news et dont la sévérité est crit, err ou notice ainsi que tous les

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201136

Page 37: Projet Fin Detude

Rapport de stage de fin de formation messages dont la sévérité est debug, info, notice ou warn sont écrits dans le terminal /dev/tty8.

Les lignes 70 à 78 signifient que les messages daemon.*, mail.*, news.crit et inférieur, news.err et inférieur, news.notice et inférieur, *.=debug, *.=info, *.=notice et *.=warn sont envoyés dans le pipe nommé /dev/xconsole.

5-2 Exemple de fichier de configuration syslog-ng   :

La documentation autour de syslog-ng est nombreuse et de bonne qualité. On peut trouver, entre autres, sur le site de l'éditeur le document The syslog-ng Administrator Guide. Ce document est la référence pour tout ce qui concerne la configuration et l'administration de syslog-ng.

Un complément d'aide sur la syntaxe et la signification du fichier syslog-ng.conf peut être obtenu en entrant la commande man syslog-ng.conf. Afin de valider le fonctionnement de la configuration du serveur Syslog, il est possible d'utiliser l'utilitaire logger qui permet de générer des messages Syslog en spécifiant le texte du message, la fonctionnalité et la sévérité.

Le fichier qui suit est le contenu d'un fichier de configuration pour syslog-ng que j'installe par défaut lorsque j'utilise syslog-ng. Il permet de recevoir toutes les sources de messages Syslog (kernel, TCP, UDP, interne). Les messages Syslog sont ensuite archivés dans les fichiers /var/log/syslog/$YEAR/$MONTH/$DAY/$FACILITY.log et /var/log/syslog/$SOURCEIP/$YEAR/$MONTH/$DAY/$FACILITY.log. Les macros $SOURCEIP, $YEAR, $MONTH, $DAY, $FACILITY (ainsi que beaucoup d'autres) sont gérées par syslog-ng. Ce fichier de configuration est ensuite adapté en fonction des besoins sur site.

Fichier de configuration syslog-ng /etc/syslog-ng/syslog-ng.conf

1.2.3.4.5.6.7.8.9.

10.11.12.13.14.15.16.17.18.19.20.

# # Configuration file for syslog-ng under Debian # ###### # options options {

# option to create directories if needed # new directories are crated if needed # new directories belong to user root(0) and group root(0) # new directories are created with the rights rwx------ (0700) create_dirs(yes); dir_group(root); dir_owner(root); dir_perm(0700);

# option to create files if needed # new files are crated if needed

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201137

Page 38: Projet Fin Detude

Rapport de stage de fin de formation 21.22.23.24.25.26.27.28.29.30.31.32.33.34.35.36.37.38.39.40.41.42.43.44.45.46.47.48.49.50.51.52.53.54.55.56.57.58.59.60.61.62.63.64.65.66.67.68.69.70.71.72.73.74.75.76.77.78.

# new files belong to user root(0) and group root(0) # new files are created with the rights rw------- (0600) group(root); owner(root); perm(0600);

# disable the chained hostname format in logs # no DNS use (too much time consuming) # use short name and not FQDN chain_hostnames(0); use_dns(no); use_fqdn(no); keep_hostname(no); check_hostname(no);

# the time to wait before a died connection is re-established # the time to wait before an idle destination file is closed time_reopen(10); time_reap(360); time_sleep(0);

# the number of lines buffered before sent and written to file sync(0); flush_lines(0);

# the number of lines fitting in the output queue # and maximum length of message in bytes log_fifo_size(100); log_msg_size(8192);

# send a mark msyslog message every 20 minutes mark_freq(1200); stats_freq(1200);

}; ###### # sources source s_all {

# message generated by Syslog-NG internal();

# standard Linux log source unix-stream("/dev/log");

# messages from the kernel file("/proc/kmsg" log_prefix("kernel: "));

# UDP messages from network udp(localip(0.0.0.0), localport(514));

# TCP messages from network tcp(localip(0.0.0.0), localport(514));

}; ######

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201138

Page 39: Projet Fin Detude

Rapport de stage de fin de formation 79.80.81.82.83.84.85.86.87.88.89.90.91.92.93.94.95.96.97.98.99.100.101.102.

# destinations destination d_one_facility_per_file {

file("/var/log/syslog/$YEAR/$MONTH/$DAY/$FACILITY.log"); }; destination d_one_folder_per_ip_and_one_facility_per_file {

file("/var/log/syslog/$SOURCEIP/$YEAR/$MONTH/$DAY/$FACILITY.log"); }; ###### # logs log {

source(s_all); destination(d_one_facility_per_file);

}; log {

source(s_all); destination(d_one_folder_per_ip_and_one_facility_per_file);

};

I-9 Les API Unix programation Syslog   :

Ce paragraphe présente les API disponibles pour une application pour lui permettre de générer des messages Syslog.

I-9-1 API UNIX   :

Une application Unix désirant utiliser la journalisation Syslog devra utiliser les appels systèmes suivant :

openlog()  permet d'ouvrir une connexion Syslog.

syslog()  ou vsyslog() permettent de générer un message Syslog. closelog()  permet de fermer la connexion syslog.

I-9-2 Autre API   :

La bibliothèque WinLog permet de générer des messages de traces qui peuvent être transmis sur le réseau à serveur Syslog.

I-10 Conclusion   :

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201139

Page 40: Projet Fin Detude

Rapport de stage de fin de formation Ce rapide tour d'horizon du protocole Syslog est maintenant terminé. Pour conclure, le protocole Syslog possède bien sûr quelques limitations mais il entre en plein dans la fonctionnalité plus globale qu'est la journalisation. Cette journalisation permet :

De récupérer des traces utiles pour déboguer un problème sur le réseau ou dans une application.

De mettre en œuvre l'archivage légal de certaines informations (connexion des utilisateurs dans une entreprise, utilisation des ressources IT, correspondance IP/utilisateur pour les FAI, ...).

Une corrélation des différents événements de journalisation peut aussi mettre en évidence des scenarios d'intrusion.

II Supervision du reseau par Kiwi Syslog server de SolarWinds

II-1 -Kiwi Syslog server   :

Kiwi Syslog Server reçoit les messages syslog à partir de périphériques réseau et les affiches en temps

réel.

Messages Syslog peuvent alors être traitées en utilisant des événements tels que:

• Display the message in the scrolling window.• Logging the message to a text file.• Forward the message to another syslog server.• Log to an ODBC database.• Log to the NT Application Event Log.• E-mail the message to someone via SMTP.• Triggering a sound alarm.

•Running an external program such as a paging notification system

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201140

Page 41: Projet Fin Detude

Rapport de stage de fin de formation • Send an SNMP Trap message.• Page someone using NotePager Pro.• Log to Kiwi Syslog Web Access.

Les actions peuvent être réalisées sur les messages reçus. Les messages peuvent être filtrés par nom d'hôte, adresse IP d'accueil, la priorité, le texte du message ou l'heure de la journée.

Package d'installation vous permet d'installer Kiwi Syslog Server dans l'une des deux manières:

-En tant que service Windows pour une utilisation sur Windows XP, Windows 2003, Windows Vista, Windows 2008, Windows 7 ou Windows Server 2008 R2.-En tant que standard Windows application interactive pour une utilisation sur Windows XP, 2003, Vista, 2008, Windows 7 ou Windows 2008 R2.L'application s'exécute de manière interactive et Standard ne fonctionne que si un utilisateur est connecté sur le système.Le service fonctionne comme un service automatique de Windows. Installation Kiwi Syslog Server comme un service signifie qu'un utilisateur n'a pas besoin d'être connecté au système de Kiwi Syslog Server pour fonctionner.Le Kiwi Syslog Service Manager programme fournit l'interface pour configurer et gérer le Windows NT service.

Caractéristiques dans la version gratuiteLa version gratuite de Kiwi Syslog Server inclut les fonctionnalités suivantes:-Gestionnaire graphique basée syslog-Les messages sont affichés en temps réel où ils sont reçus.-10 affiche virtuel pour organiser vos messages.-Message logging or forwarding de tous les messages, fondé sur la priorité ou le temps de la journée.-Auto Split le fichier journal par ordre de priorité ou le temps de la journée.-Messages reçu via UDP, TCP ou SNMP.-Forward messages via UDP ou TCP.-Fichier journal d'archivage automatique basée sur une planification personnalisée.

-Messages de notification d'alarme par heure avec un son audible ou e-mail.-La taille du fichier journal de notification d'alarme avec signal sonore ou par e-mail.-Quotidien e-mailing de syslog statistiques de trafic.-Réduit à la barre d'état système.-Adresse source soutient quand transfert de messages vers d'autres hôtes syslog.-Statistiques Syslog avec le graphique des tendances de syslog (Dernières 24 heures/ 60 derniers minutes.).-Message Syslog tampon messages assurer de ne pas manquer sous forte charge.-La résolution DNS des adresses IP source hôte avec l'enlèvement de domaine en option.-La mise en cache DNS d'un maximum de 100 entrées pour assurer les recherchesrapide et minimiser les requêtes DNS.-DNS de préemption de recherche en utilisant jusqu'à 10 threads.-Livré avec 5 peaux fraîches pour changer l'apparence du programme.-Police d'affichage sélectionnable, couleur de l'affichage, et fond d'écran.-Aussi disponible en tant que service NT.-RFC3164 envoyer et recevoir des options.-Aide contextuelle en fonction.-Freeware.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201141

Page 42: Projet Fin Detude

Rapport de stage de fin de formation 1-1 S’authentifier à Kiwi Syslog web access:

Donne aux utilisateurs la possibilité de consulter leurs données Syslog de n'importe où sur le réseau.Permet aux utilisateurs d'enregistrer Web Access vues à l'aide des filtres personnalisés et mettant en évidence les règles.

1-2 La fenêtre d'affichage principaleAu démarrage, l'affichage principal pour Kiwi Syslog Server ressemble à ceci:

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201142

Page 43: Projet Fin Detude

Rapport de stage de fin de formation

1-2-1 Règlement / filtres / Actions :

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201143

Page 44: Projet Fin Detude

Rapport de stage de fin de formation

a) Comment fonctionne le moteur de règles :

Il est possible de définir jusqu'à 100 règles. 

Chaque règle peut contenir jusqu'à 100filtres et 100 actions.

Quand un message syslog est reçu, elle est traitée par chaque règle à son tour.

 À partir de la règle en haut et en descendant. L'ordre des règles peut être ajusté vers le haut

ou vers le bas en utilisant les boutons de la barre.

Pour chaque règle, le message est comparé les filtres spécifiés. En partant du haut et filtre le

plus de travail vers le bas. Si l'une des conditions de filtre échoue, le programme arrête le

traitement de cette règle et passe à la règle suivante. Si toutes les conditions de filtre sont

satisfaites, c'est-elles renvoient toutes TRUE, alors le programme exécute l'action définie ou

d'actions pour cette règle, afin de départ à l'action la plus en haut et en descendant.

Une fois que toutes les actions de cette règle ont été accomplies, le programme traitera la

règle suivante dans la liste. Lorsque toutes les règles ont été traitées, le programme

attend le message syslog prochaine à être reçu, commence alors le traitement le nouveau

message de la règle la plus haut.

Chaque règle, un filtre ou d'action ne peut être donnée un nom descriptif. Pour

modifier le nom, appuyez sur F2, ou utiliser le droit click menu. Les noms ne doivent

pas être uniques, mais doit décrire leur fonction. Le nom peut être un maximum

de 25caractères.

En l'absence de filtres sont définis pour une règle, tous les messages sont transmis.

Par défaut, la configuration initiale contient une règle unique nommée par défaut. Aucun filtre

n'est défini. Cela garantit tous les messages sont transmis. Les deux actions par

défaut de "Affichage" et "Log fichier" sont utilisées. Cela garantit que par par défaut, tous

les messages sont affichées et enregistrées dans un fichier appelé"SyslogCatchAll.txt" qui se

trouve dans le \ Logs répertoire de votre dossier d'installation de Kiwi Syslog Server.

b) Types de filtres :

1- Les filtres simples :

Le filtre simple vous permet de spécifier une seule ligne de texte à faire

correspondre. Chaque chaîne de recherche doit être contenue par des guillemets.

Guillemets multiples peuvent être placés côte à côte sur la même

ligne. Le filtre sera correspond alors à aucune des chaînes spécifiées. Il s'agit d'une

relation implicite OU.

La touche [C] sélectionne un cas de recherche de chaîne sensibles.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201144

Page 45: Projet Fin Detude

Rapport de stage de fin de formation

Le [S] sélectionne une recherche sous-chaîne ou pas forcement exacte, 

correspondent à la chaîne entière.

Exemple :

Si le texte du message contient un des mots figurant nulle part dans le message, le

résultat du filtre sera vrai.

[S] est enfoncé, ce qui indique une recherche sous-chaîne. Cela signifie que les chaînes

de recherche peuvent apparaître n'importe où dans le texte.

Toutes les chaînes doivent être contenues dans des guillemets. Les articles peuvent

être affichés à côté de l'autre et seront jointes avec des OR.

Le filtre ci-dessus se lit comme suit:

Si tout le texte du message contient le texte "POP3"ou "SMTP" ou "MAPI" en majuscules ou

en minuscules, le filtre sera vrai.

Si le texte du message correspond exactement à la chaîne spécifiée dans le même cas, le résultat du filtre sera vrai.La touche [s] est soulevée, ce qui indique la chaîne de recherche doit correspondre exactement au texte du message, au caractère près.Avis de la [C] est enfoncée, indiquant le cas doit correspondre exactement comme spécifié.Le filtre ci-dessus se lit comme suit:Si le texte du message est «Le lien est en bas » dans la même orthographe, le filtre sera vrai.

2- Filtre complexe :

Le filtre complexe vous permet de spécifier plusieurs chaînes à rechercher. Les chaînes de recherche peuvent être liés sous forme de [(A ou B) et (C ou D)] mais pas [(E ou F) et (G ou H)].Chaque chaîne de recherche doit être contenue par des guillemets. 

Les guillemets multiples de recherche cités peuvent être placés côte à côte sur la même ligne. Le filtre ne correspondra à aucune des chaînes spécifiées. Il s'agit d'une relation implicite OU.

La touche [C] sélectionne un cas de recherche de chaîne  sensibles.Le [S] sélectionne une recherche sous-chaîne qui correspondent exactement à la chaîne entière.Le processus de filtre correspondant ignore les champs vides.Laissant les deux premiers champs vides et en spécifiant le texte dans les troisième et quatrième ou à des champs peut effectuer l'exclusion correspondant. Dans ce cas, si le texte ne correspond pas, le résultat sera vrai.

Examples:

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201145

Page 46: Projet Fin Detude

Rapport de stage de fin de formation

[S] est enfoncé, ce qui indique une recherche sous-chaîne. Cela signifie que leschaînes de recherche peuvent apparaître n'importe où dans le texte.Toutes les chaînes doivent être contenus dans des guillemets. Les articles peuvent être affichées à côté de l'autre et seront jointes avec des OR.Le filtre ci-dessus se lit comme suit:Si tout le texte du message contient le texte «renard»ou «rapide »ou «bonjour»etcontient également des "plus "ou "la", maisne contient pas de «bonjour» et «bruns» (en majuscules ou en minuscules), le filtresera vrai.

Ceci est un exemple d'un filtre d'exclusion:Si le texte ne contient pas les mots «du poulet» ou «canard», alors le résultat sera vrai.Remarquez les deux premiers champs sont laissés en blanc. Ces champs seront ignorés lors du traitement du filtre.Notes:Le "Et:" champs peut être laissé vide si elles ne sont pas tenus.Si le "Et:" les champs contiennent des valeurs, le champ ci-dessus il doit également contenir des minuscules data. Or), le filtre sera vrai.

3- Expression régulière filtre :

L'expression régulière filtre vous permet de spécifier des arguments de type Unix expression régulière pour contrôler étroitement quoi et où le texte est assorti.Chaque chaîne de recherche doit être contenue par des guillemets. Les guillemets multiples de recherche cités peuvent être placés côte à côte sur la même ligne. Le filtre ne correspondra à aucune des chaînes spécifiées. Il s'agit d'une relation implicite OU.La touche [C] sélectionne un cas de recherche de chaîne sensibles.Le processus de filtre correspondant ignore les champs vides.Laissant les deux premiers champs vides et en spécifiant le texte dans les troisième et quatrième ou à des champs peut effectuer la correspondance d'exclusion. Dans ce cas, si le texte ne correspond pas, le résultat sera vrai.

Exemple:

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201146

Page 47: Projet Fin Detude

Rapport de stage de fin de formation

Toutes les chaînes doivent être contenues dans des guillemets. Les articles peuvent être affichés à côté de l'autre et seront jointes avec des OR.Le filtre ci-dessus se lit comme suit:Si le texte du message commence par "The" (sensible à la casse) et se termine avec "chien" mais ne contient pas de «poulet» et « Duck », alors le résultat sera vrai.

Ceci est un exemple d'un filtre d'exclusion:Si le texte du message ne contient pas le mot "Le" au début et le mot «chien» à la fin, alors le résultat sera vrai.Remarquez les deux premiers champs sont laissés en blanc. Ces champs seront ignorés lors du traitement du filtre.Notes:Le "Et:" champs peut être laissé vide si elles ne sont pas tenus.Si le "Et:" les champs contiennent des valeurs, le champ ci-dessus il doit également contenir des données.

4- Filtre des plages d'adresses IP :Ce filtre vous permet de spécifier une plage d'adresses IP à inclure ou à exclure.Soit "Inclure" ou "Exclure" peut être laissé en blanc, mais pas les deux.Si la gamme «Inclure» est laissé vide le filtre fonctionne en mode d'exclusion. Si l'adresse IP se situe dans la gamme des Valeurs "Exclure", le résultat est vrai.

Exemples: 

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201147

Page 48: Projet Fin Detude

Rapport de stage de fin de formation

Le filtre ci-dessus se lit comme suit:Si l'adresse IP se situe dans la gamme de 203.185.100.0 à 203.185.100.255 et n'est pas entre 203.185.100.10 et 203.185.100.20 alors le résultat sera vrai.

Ceci est un exemple d'un filtre d'exclusion:Si l'adresse IP n’appartient pas à la plage de 203.185.100.10 203.185.100.20 à alors le résultat sera vrai.

5- Filtre de masque sous-réseau IP :Le filtre de masque sous-réseau IP vous permet de spécifier une plage d'adresses IP à inclure ou à exclure sur la base correspondant au masque.Soit "Inclure" ou "Exclure" peut être laissé en blanc, mais pas les deux.Si les champs "Inclure" sont laissé vide le filtre fonctionne en mode d'exclusion. Si l'adresse IP se situe dans la fourchette de valeurs de la "Exclure", le résultat est vrai.Exemples:

L'adresse IP spécifiée est logiquement « et » avec le masque spécifié, puis par rapport à l'hôte message L'adresse IP. Si les deux adresses sont sur la même sous-réseau ", puis le résultat est vrai.Le filtre ci-dessus se lit comme suit:Si l'adresse IP se situe dans la gamme de 203.185.100.0 à 203.185.100.255 alors le résultat sera vrai.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201148

Page 49: Projet Fin Detude

Rapport de stage de fin de formation 6- Priorité filtre :

Chaque message entrant contient une valeur de priorité. Cette valeur est constituée par fonctionnalité et sa sévérité. Vous pouvez spécifier les priorités pour que le résultat de filtre pour être vrai.Pour sélectionner une priorité, double cliquez sur la grille qui renvoi sa fonctionnalité et sa sévérité. Une coche verte indique que la priorité sera le résultat de filtre.Utilisez la souris pour sélectionner des colonnes ou des lignes, puis faites un clic droit pour afficher le menu contextuel d'options.

L'absence d'un filtre de priorité signifie que toutes les priorités sont passées de toute façon.

c- Actions :

1-L’envoi d’un message syslog :

Ceci enverra un message Syslog pour les hôtes spécifiés, chaque fois qu'unmessage est reçu et passe les filtres.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201149

Page 50: Projet Fin Detude

Rapport de stage de fin de formation

Détails du message reçu et statistiques Syslog d'autres peuvent être inclus dans le message Syslog sortants. Ceci peut être utilisé pour relayer les messages Syslog sélectionnés sur un autre hôte avec des informations supplémentaires, ou avec votre  texte ajouté au message. Spécifiez une adresse IP de destination ou le nom d'hôte dans le champ Nom d'hôte ou adresse IP. Les noms d'hôtes multiples peuvent recevoir le message transmis. Chaque nom d'hôte ou l'adresse IP doit être séparé par une virgule. 

2- Exécuter le programme externe

Cela exécutera un programme externe à chaque fois qu'un message est reçu qui passe les filtres énoncés ci-dessus.S'il vous plaît noter qu'une nouvelle instance du programme externe est lancé pour chaque message, donc cela peut devenir un problème si les messages arrivent plus vite que le programme se termine externes. Il est particulièrement vrai si Syslog est installé comme un service, auquel cas le programme externe est lancé par le service à l'intérieur de la session non interactive Windows. La seule façon de voir que le programme est en cours d'exécution est d'utiliser le Gestionnaire des tâches.Donc, s'il n'est pas utilisé avec soin cette action peut conduire à l'ordinateur inondé avec plusieurs instances du programme externe.Indiquez le nom de fichier programme externe en remplissant le champ Nom de fichier du programme ou appuyez sur la "..." bouton pour naviguer d'un programme.Spécifiez les options de ligne de commande que vous voulez passer au programme dans le domaine des options de ligne de commande.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201150

Page 51: Projet Fin Detude

Rapport de stage de fin de formation

3- Forward to another host :

Ce dernier transmet les messages reçus vers un autre hôte en utilisant le Syslog UDP ou TCP protocole syslog.

- Adresse IP de destination ou le nom :C'est là que vous spécifiez l'hôte distant adresse IP ou le nom d'hôte de transmettre les messages.Vous pouvez envoyer des messages à plusieurs hôtes en séparant chaque nom d'hôte ou l'adresse IP par une virgule.Par exemple: Myhost.com, SecondHost.net, 203.75.21.3

-Protocole :Messages Syslog peuvent être envoyées via UDP (par défaut), TCP, ou KRDP.Le Kiwi de livraison fiable Protocole (KRDP) fonctionne entre deux Kiwi Syslog serveurs de distribuer correctement des messages syslog sur un transport TCP.

-New Port :Ceci spécifie le numéro de port pour envoyer le message. Les valeurs recommandées sont:UDP: Port 514TCP: Port 1468 ou le port 601KRDP: Port 1468

- New Facility/New Level :Cela vous permet de forcer tous les messages sortants à utiliser une nouvelle facility ou level. Dans la plupart des cas, cette option devrait être réglé sur "- No change-". Cela envoi les messages avec la même facility et level avec qu'ils sont arrivés.

- KRDP connection identifier:

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201151

Page 52: Projet Fin Detude

Rapport de stage de fin de formation

Ceci spécifie le nom unique attribué à la connexion KRDP. Chaque connexion entre la source et de destination syslog Server doit être identifié. Lorsque la connexion est interrompue et rétablie, les numéros de séquence peuvent être échangés et les messages perdus peuvent être renvoyées. Un ensemble distinct de message numéros de séquence sont conservés les uns contre les identifiant de connexion.Des exemples sont les suivants: Source: RemoteOffice1 ou SyslogServer1La chaîne de texte utilisé sera identifier la source de la connexion au serveur syslog destination.Si vous avez plus d'un «En avant vers un autre hôte" action configurée, vous pouvez utiliser la même connexion identifiant sur toutes les actions. Cela signifie que seulement une seule connexion KRDP est faite entre la source et la destination des serveurs Syslog. Si vous spécifiez une connexion identifiant différente, plusieurs sessions KRDP sera créé.

- Send with RFC3164 header information:Cela va ajouter les informations d'en-tête standard RFC3164 au message sortant. Le format est:<priority> Date Hostname PID message texteLa priorité est une valeur comprise entre 0 et 191La date est dans le format de Mmm JJ HH: NN: SS (4 Juillet 12:44:39). Notez qu'il n'ya pas d'année indiquée.Le PID est un identificateur de programme jusqu'à 32 caractères de longueur.

- Retain the original source address of the message:Normalement, le protocole syslog n'est pas en mesure de maintenir les expéditeurs d'origine adresse lors de la transmission / relayer des messages syslog. C'est parce que l'adresse de l'expéditeur est extraite des paquets reçu d’UDP ou TCP.La façon Kiwi Syslog permet de contourner ce problème consiste à placer des balises dans le texte du message qui contient l'adresse d'origine expéditeurs. Par défaut, les balises ressemble Original Address = 192.168.1.1. C'est, le tag "adresse=", suivi de l'adresse IP, suivie par un délimiteur espace.Ces étiquettes ne sont insérées si le "Conserver l'adresse source d'origine du message" est cochée.Ces tags peuvent également être overidden au moyen de deux paramètres de registre, le nom et OriginalAddressStartTag OriginalAddressEndTag.Pour plus d'informations sur la valeur par défaut overiding originaires adresse de départ et les balises de fin.

- Use a fixed source IP address:Cette option utilise une adresse IP fixe dans l'adresse d'origine = tag. Cela peut êtreutile lorsque vous voulez identifier tous les messages sortants à partir d'un hôte particulier. Par exemple, si vous avez plusieurs serveurs syslog distant qui envoi de messages à un emplacement central. Si chacun des syslogs distants utilisent la plage d'adresses 10.0.0.x, tous les les messages reçus s'affichent à partir du même hôte. Spécification d'une source différente pour chaque adresse IP syslog distant pourrait aider à identifier les messages entrants mieux.Note: Si le "Network Packet Spoof" option est utilisée, alors le mot-clé «OriginalAdresse =" ne sera pas utilisé. Paquet syslog soit envoyé à l'adresse de destination, comme si elle a été envoyée de la participation fixe L'adresse IP.

- Packet Network Spoof :Cette option s'applique uniquement aux messages envoyés via syslog protocole UDP. Le paquet réseau sera usurpé à comparaître comme si le message a fowarded viennent directement de la originaires de l'adresse de dispositifs «IP, et non l'adresse du serveur Syslog. Kiwi Syslog Server utilise le Certaines des cartes réseau pour envoyer le usurpée UDP / IP par paquets. 

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201152

Page 53: Projet Fin Detude

Rapport de stage de fin de formation

1-2 Snare Agent for Windows :Voila comment l’agent Snare doit être configuré.Apprêt avoir configuré se dernier le service Snare doit être redémarrer.

Il facilite le transfert  à distance,  en temps réel des informations du journal des événements. Snare pour Windows soutiendra également les versions 64 bits de Windows (x64 et IA64).Les journaux d'événements de la Sécurité des applications et des journaux système, ainsi que les nouveaux DNS, File Replication Service, et Active Directory journaux sont pris en charge. La version prise en charge de l'agent accueille aussi la coutume journaux d'événements Windows. Les données du journal est converti au format texte, et remis à un serveur distant Snare, ou à un serveur syslog distant avec une facilité configurable et dynamique et les paramètres de priorité.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201153

Page 54: Projet Fin Detude

Rapport de stage de fin de formation Voila un aperçu sur la fenêtre qui visualise les journaux de la machine local.

III- Firewall ipcop :

III-1 Presentation:

IPCop est un système d'exploitation complet basé sur un noyau Linux optimisé qui est destiné à assurer la sécurité de votre réseau. Utilisant très peu de ressources systèmes, il peut être installé sur un vieux PC (233MHz / 64Mo de RAM) et fera office de pare-feu très performant pour l'ensemble de vos ordinateurs.

III-2 Description de l’architecture:

a- Pré-requis :

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201154

Page 55: Projet Fin Detude

Rapport de stage de fin de formation Connaitre au minimum le plan d’adressage coté LAN (voir schéma ci-dessous), La manipulation de fichiers sous Linux est un plus.Disposer d’un ordinateur connecté et configuré sur le réseau LAN et disposant d’un navigateur Internet.La machine hôte doit disposer d’un minimum de 2 cartes réseau, afin de pouvoir reproduire le schéma au-dessus.Dans le cas du produit IPCOP les deux cartes seront nommées comme suit :Green (verte) pour la liaison LAN Red (Rouge) pour la liaison vers l’extérieur (Web, Site distant…)Le produit IPCOP est tout à fait « virtualisable » cependant il est recommandé de tout de même disposer de 2 cartes réseau physique sur l’hôte.

b- installation dIPCOP :Configuration du réseau   :

Cet écran est primordial dans l’installation d’IPCOP car c’est ici que allez définir votre carte

Réseau Green (VERTE) liée au LAN. IPCOP dispose d’un module de recherche et de configuration automatique pour de nombreuses cartes réseau. Valider alors la fonction de recherche.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201155

Page 56: Projet Fin Detude

Rapport de stage de fin de formation

Cet écran nous indique qu’IPCOP a bien trouvé et configuré une carte réseau sur votre système. Vérifier que cette dernière correspond bien au matériel présent dans votre machine et valider.

Sur cet écran vous allez définir l’adresse IP de votre carte réseau VERTE.Cette adresse doit être libre dans votre réseau LAN, dans notre exemple nous choisirons l’adresse : 192.168.1.1.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201156

Page 57: Projet Fin Detude

Rapport de stage de fin de formation A cet écran l’installation d’IPCOP est terminée, nous allons désormais procéder à la première étape de la configuration.

Saisir sur cet écran le nom d’hôte de votre machine puis validez, dans notre cas nous gardonsle nom par défaut, à savoir ipcop.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201157

Page 58: Projet Fin Detude

Rapport de stage de fin de formation A cet écran, choisissez le nom de domaine de votre infrastructure réseau, ce dernier peut être de type FQDN, nous choisirons dans notre exemple bloktout.dom, puis validez.

Cet écran permet de configurer une liaison (Rouge) de type RNIS ou Numéris (FT).Aujourd’hui rare, nous choisissons de désactiver cette fonction.

Configuration complémentaire   :

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201158

Page 59: Projet Fin Detude

Rapport de stage de fin de formation

Nous allons finaliser la configuration réseau de notre pare-feu. Nous allons alors choisir le type de configuration réseau nous retenons.Valider en pressant « entrée »

Afin de correspondre au schéma initialement présenté, nous choisissons GREEN+RED (Les autres configurations seront détaillées plus loin), puis nous validons.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201159

Page 60: Projet Fin Detude

Rapport de stage de fin de formation Il faut ensuite définir les affectations de cartes réseau (Pour la carte Rouge dans notre cas)

Sélectionner Affectation des pilotes et des cartes puis valider.

Nous voyons ici que la carte RED (rouge) n’est pas configurée. Il faut alors valider ici pour effectuer une recherche de la carte réseau.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201160

Page 61: Projet Fin Detude

Rapport de stage de fin de formation

Une fois la carte trouvée, il nous est proposé de l’affecter au réseau RED (rouge). Valider à ce niveau.

A ce stade, tout va bien, il faut valider.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201161

Page 62: Projet Fin Detude

Rapport de stage de fin de formation

Nous allons désormais procéder à la configuration de l’adresse de la carte RED :

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201162

Page 63: Projet Fin Detude

Rapport de stage de fin de formation

Ici nous pouvons soit choisir de saisir une adresse IP statique correspondant au réseau rouge (Souvent dans le réseau du routeur), soit de laisse le routeur ou le FAI nous fournir une adresse IP (DHCP) soit passer par les protocoles PPPOE (Point to Point Protocol Over Ethernet) ou PPTP (Point to Point Tunneling Protocol). Dans notre cas nous choisissons Statique et saisissons 192.168.10.1 comme adresse IP Rouge. Nous conservons le masque réseau proposé.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201163

Page 64: Projet Fin Detude

Rapport de stage de fin de formation

Nous allons maintenant configurer les adresses des serveurs DNS et de la passerelle que doit interroger IPCOP.

Saisir ici les adresses DNS de votre fournisseur d’accès internet, ainsi que l’adresse IP (LAN)de votre routeur (box…)

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201164

Page 65: Projet Fin Detude

Rapport de stage de fin de formation Il ne reste plus qu’a définir si IPCOP doit être serveur DHCP ou non.

En fonction de votre architecture, vous pouvez soit activer ou désactiver DHCP. Si vous l’activer, vous devrez alors connaitre votre plan d’adressage IP LAN, afin de créer l’étendue DHCP. Dans notre cas nous n’activerons pas le DHCP.

Nous avons désormais terminé la configuration Réseau de notre IPCOP, nous pouvons passer

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201165

Page 66: Projet Fin Detude

Rapport de stage de fin de formation à la dernière étape consistant à configurer les différents mot de passe du système. Valider l’option « Continuer ».Il est fort probable que l’écran de configuration DHCP apparaisse de nouveau, valider alors par le bouton OK.

Le premier mot de passe que nous devons saisir est celui du compte « root » à savoir le super utilisateur qui vous permet d’entrer en mode console sur votre ipcop et surtout de pouvoir installer les AddOns.

Le second compte appelé « admin » permet quant à lui d’administrer IPCOP depuis l’interface Web, ce compte ne permet pas d’ouvrir une session en mode console.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201166

Page 67: Projet Fin Detude

Rapport de stage de fin de formation

Si vous arrivez à cette page, c’est bon signe ! IPCOP doit alors redémarrer

b. Accès à IPCOPAccès local en mode terminal   :

Lorsque vous arrivez à cet écran il vous est possible d’ouvrir une session avec le compte « root »

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201167

Page 68: Projet Fin Detude

Rapport de stage de fin de formation

Accès à distance via un navigateur Internet

Selon le navigateur employé, il vous est demandé de valider un certificat de sécurité.Il faut désormais vous connecter en cliquant sur le bouton « Connexion ».

Saisir ici le login « admin » avec le mot de passe configuré auparavant.Vous avez désormais accès à toutes les fonctions de votre IPCOP.

Accès à distance via un accès Telnet sur SSH   : Pour cela nous allons sur la page de configuration Web dans l’onglet « Système » puis « accès SSH »

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201168

Page 69: Projet Fin Detude

Rapport de stage de fin de formation

Il faut alors cocher les case « Accès SSH », et « autorise le transfert TCP », puis « Enregistrer »Nous pouvons désormais utiliser Putty pour administrer notre IPCOP à distance :Noter bien la ligne en surbrillance : IPCOP écoute sur le port 22 pour SSH et non 8022

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201169

Page 70: Projet Fin Detude

Rapport de stage de fin de formation

Tout comme notre navigateur, Putty nous informe qu’il faut accepter un certificat pour accéder a IPCOP, nous répondons donc Oui.

Paramètres du Pare-Feu   :

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201170

Page 71: Projet Fin Detude

Rapport de stage de fin de formation

Ajouter un service:

Règles du Pare-Feu   :

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201171

Page 72: Projet Fin Detude

Rapport de stage de fin de formation

Dans ce cas j’ai annulé l’accès ftp pour l’utilisateur 192.168.1.3.

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 2011

ConclusionConclusion

72

Page 73: Projet Fin Detude

Rapport de stage de fin de formation

– projet est le coeur de la méthodologie mise en place

– Tout est géré gràce à un seul système centralisé

– Chaque utilisateur dispose de l’outil le plus adapté

– Chaque utilisateur impliqué est intégré au projet

– Sécurisé tous les éléments de projet

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201173

Page 74: Projet Fin Detude

Rapport de stage de fin de formation – Mise en place d’une politique d’accès : gestion des droits

BIBLIOGRAPHIE

Site web   :

http://www.commentcamarche.com

http://www.frzone.net/divers/CISCO/

http://www.firewall.cx

http://www.cisco.com

http://www.supinfo-projects.com/fr

http://www.avid.com

http://www.labo-microsoft.com

http://www.wikipedia.org

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201174

Page 75: Projet Fin Detude

Rapport de stage de fin de formation

SOUILKAT ANASS /MASTER RT /CHOUAIB DOUKALI-UNIVERSITE 201175

Page 76: Projet Fin Detude

Rapport de stage de fin de formation

76