Rapport de Stage Stagiaire Bureau système, réseaux et sécurité

BERTON Loïc

05 Janvier 2015 au 14 février 2015

Établissement d’accueil : Conseil d’Etat, 98-102 rue de Richelieu, 75002 PARIS

Responsable de bureau : M. Patrick Clebant

Tuteur en entreprise : M. Michel Benjamin, Ingénieur Réseau

Établissement de formation : Lycée Léonard de Vinci 77000 MELUN / BTS SIO

2

Table des matières

1°) Remerciements. ................................................................................................................................. 3

2°) Organigramme du B.S.R.S. ................................................................................................................. 3

3°) Lexique. .............................................................................................................................................. 4

4°) Introduction. ...................................................................................................................................... 6

5°) Projet. ................................................................................................................................................. 6

5.1°) Introduction du projet. ............................................................................................................... 6

5.2°) Planning du projet. ...................................................................................................................... 6

5.3°) Identification des flux. ................................................................................................................ 6

5.4°) But de ce projet. ......................................................................................................................... 6

5.5°) Caractéristiques du projet. ......................................................................................................... 7

5.6°) Réalisation du projet. .............................................................................................................. 9

5.7°) Mise en place de NeTem ..................................................................................................... 15

5.8°) Tests finaux ............................................................................................................................ 16

5.9°) Modification liée au changement d’équipement. .............................................................. 18

6°) Tâches annexes effectuées durant le stage. .................................................................................... 20

6.1) Configuration d'un switch managé. ........................................................................................... 20

6.2°) Configuration et installation de 5 commutateurs hp a5120. ........................................... 24

7°) Conclusion. .................................................................................................................................... 27

3

1°) Remerciements.

Je tiens à remercier tout particulièrement et à témoigner toute ma reconnaissance aux personnes suivantes, pour l’expérience enrichissante et pleine d’intérêt qu’elles m’ont fait vivre durant cette période au sein du Conseil d’Etat. Messieurs Patrick CLEBANT et Jean-Marc FREON de m'avoir accueilli au sein de l'équipe du B.S.R.S. (Bureau Système Réseau et Sécurité). Je remercie vivement mon tuteur M. Benjamin MICHEL pour son accueil, le temps passé ensemble et le partage de son expertise au quotidien. Grâce aussi à sa confiance, j’ai pu m’accomplir totalement dans les missions qui m’ont été confiées avec son aide précieuse dans les moments les plus délicats. Je remercie également toute l’équipe du B.S.R.S pour leur accueil sympathique, leur esprit d’équipe et leur coopération professionnelle tout au long de ce mois et demi.

2°) Organigramme du B.S.R.S.

Gestion des identités

Jean-Marie Nomed

Responsable système

Sébastien Dottin

Ingénieur système

Benjamin Michel

Ingénieur Réseau

Loïc Berton

Stagiaire Réseau

Christian Marciniac

Technicien téléphonie

Jammy Genaud

Technicien téléphonie

Sécurité Réseaux

Systèmes

Patrick Clebant

Chef de bureau

Geoffroy Dambricourt

Ingénieur Sécurité

Samuel Surendar Kumar

Gestionnaire des identités

Arnaud Mouchoux

Compte et messagerie

Jean-Marc Fréon

Adjoint au Chef de bureau

Téléphonie

4

3°) Lexique. Brevet de Technicien Supérieure (BTS), Service Informatiques aux Organisation (SIO)

B.S.R.S : Bureau Système, Réseaux et sécurité

Liste de contrôle d’accès - Access Control List (ACL) : est un ensemble d’instruction

basées sur des protocoles de couche 3 et de couches supérieures pour filtrer le trafic.

Flux : Désigne une succession de paquets d'un ordinateur source vers une destination, qui

peut être une autre machine, un groupe multicast, ou un réseau broadcast.

Secure Shell (SSH): Est un programme informatique et un protocole de communication

sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de

connexion. Par la suite, tous les segments TCP sont authentifiés et chiffrés. Il devient donc

impossible d'utiliser un sniffer pour voir ce que fait l'utilisateur

Transmission Control Protocol (TCP): Est un protocole de transport fiable, en mode

connecté.

User Datagram Protocol (UDP): Est un des principaux protocoles de télécommunication

utilisés par Internet. Il fait partie de la couche transport de la pile de protocole TCP/IP : dans

l'adaptation approximative de cette dernière au modèle OSI, il appartiendrait à la couche 4,

comme TCP.

Differentiated Services Code Point (DSCP) : Est un champ dans l'entête d'un paquet IP. Le

but de ce champ est de permettre la différentiation de services ou DiffServ.

Qualité de service – Quality of service (qos) : Est la capacité à véhiculer dans de bonnes

conditions un type de trafic donné, en termes de disponibilité, débit, délais de transmission,

gigue, taux de perte de paquets…

Simple Network Management Protocol (snmp) : Est un protocole de communication qui

permet aux administrateurs réseaux de gérer leurs équipements supervisés et de

diagnostiquer des problèmes réseaux et matériels à distance

Classe de service - Class of service (cos) : Est un mécanisme d'assignation de priorité au

flux de donnée.

wfq: technique de gestion équitable de priorité des paquets, privilégiant les plus petit flux. Traffic classifier : Renseigne les différents critères que les flux devront disposer pour être

identifiés.

Traffic behavior : Permet d’affecter le champ dscp et d’indiquer la local-precedence afin de pouvoir classer les flux par queue Netem : Est une amélioration des installations de contrôle de trafic linux qui permet d’ajouter

de la latence, de la perte de paquets, de réduire le débit, la duplication et plusieurs autres

caractéristiques aux paquets sortant.

Latence : Est le délai entre le moment où est envoyé l’information et celui où elle est reçue.

De manier générale elle peut aussi désigner l’intervalle entre la fin d’un événement et le

début de la réaction à celui-ci.

5

Perte de paquets : Fait de perdre des paquets dû à la distance ou les mauvaises qualités

des liens réseaux et son encombrement.

Gigue : Est la variation de la latence au fil du temps.

Real-Time : Est un protocole de communication informatique permettant le transport de

données soumises à des contraintes de temps réel, tels que des flux média audio ou vidéo.

Best Effort : Qualité de service la meilleure possible, sans garantie dans le temps de

livraison.

Hp Intelligent Management Center (IMC) : Est un outil complet de gestion des réseaux.

6

4°) Introduction.

Ce stage s'est déroulé au sein du Conseil d’État où l'équipe du B.S.R.S m’a accueilli du 05 janvier 2015 au 14 février 2015. Lors de celui-ci j'ai pu participer à différentes activités et projets auxquels j'ai pu me joindre ou que l'on m’a confiés. Ce rapport présentera le projet principal dont j’avais la responsabilité ainsi que les activités auxquelles j'ai pu participer. Nous commencerons en première partie par le projet puis dans une seconde partie les tâches effectuées en annexe de celui-ci.

5°) Projet.

Identification des flux et priorisation de celui-ci

5.1°) Introduction du projet.

Le projet qui m'a été confié durant la période de ce stage a pour but de monter une plate-forme qui identifiera et priorisera les différents flux qui circulent entre les réseaux interconnectés de la structure.

5.2°) Planning du projet.

5.3°) Identification des flux.

Le flux qui devra être priorisé sera la Visio-conférence, les autres flux seront traités en Best Effort. Le choix de la visio-conférence a été effectué car le flux qu’elle représente doit être doté

d’une liaison réseau optimale du fait de son utilisation par les juridictions.

Une liaison réseau se caractérise de manière à ce que la latence, la gigue et la perte de

paquet soient minimes.

5.4°) But de ce projet.

Ce projet a pour but de différencier les flux, les catégoriser, et les prioriser sur un même moyen télécom. En effet ce moyen télécom est contraint (bande passante limitée), aussi nous devons nous assurer que les flux « Real Time » (notamment le service de

Janvier 2015 : Travail sur la plateforme (équipement

identique)

Debut fevrier 2015 : travail avec deux equipement

differents

fevrier 2015 : Valdiation de la platefome avec des tests de fonctionnement

mise en production : Fin du premier semestre

2015

7

Visioconférence) sont transmis avant tout autre flux.

5.5°) Caractéristiques du projet.

1°) Logiciels et outils utilisés.

Kitty portable : logiciel permettant la prise en main d'équipements dans notre cas via SSH Virtual Box : logiciel de virtualisation d’OS (Windows, linux….) Iperf : outils générant du trafic afin d'effectuer les tests de performance NeTem : permet de rajouter de la latence, de la perte, de la corruption, sur les liens entre les différents conteneurs et de limiter le débit

2°) Matériel utilisé.

Lors de la réalisation de ce projet, on m’a confié différents matériels

Hp 5120-48G version 5.20.99 comportant 48 ports

Deux PC DELL - optiplex 740 amd radeon dual core processor 5000+

Nous utiliserons aussi deux machines virtuelles avec une version de l’OS de type « ubuntu »

afin d’utiliser le client et le serveur iperf.

8

3°) Schéma explicatif.

Proposition de la plateforme de test.

9

Schéma détaillé d'un paquet IP avec le positionnement du champ DSCP

5.6°) Réalisation du projet.

Ce projet peut être réalisé avec deux équipements identiques à l’entrée de chaque interconnexion où avec deux équipements différents. Ici la configuration proposée est avec deux hp A5120. Pour commencer dans ce projet nous avons besoin de configurer le commutateur pour qu'il effectue l'identification du flux et lui intègre un champ DSCP. Nous avons d’abord déclaré le serveur SSH afin de pouvoir administrer l'équipement à distance. Puis nous avons déclaré une ACL 2000 permettant de restreindre l’accès à l'équipement via une connexion SSH afin d’éviter toutes connexions aux personnes non autorisées. L’user-interface permet de définir les droits d’accès en ssh à l’acl 2000 en entrée.

10

Nous avons procédé à la déclaration des ACL correspondantes au Protocol TCP et UDP, qui

seront sur le port désigné et activées par le minuteur définie par la règle (rule).

Ici le minuteur est activé que sur l’ACL 3004 car celui-ci sera utilisé afin d’identifier le flux qui

nous intéresse.

La mise en place d’un minuteur est nécessaire car le flux qui devra être priorisé est

seulement actif le mardi après-midi.

Mise en place du « traffic classifier ».

11

Mise en place du « traffic behavior ».

Déclaration de la « qos policy » permet de mettre en place la politique de la qos afin de faire

la relation entre le « traffic classifier » et le « traffic behavior ».

Affectation de la « qos policy » au port 1/0/2 afin que les flux soient identifiés en entrée.

12

Interface GigabitEthernet 1/0/3.

La limitation du débit du port nous est utile ici afin de pouvoir simuler un lien opérateur et créer un engorgement. La « wfq weight » permet de géré les flux par rapport à leur poids. Le « qos trust dscp » permet de faire correspondre les flux et leur file d’attente. C’est à ce moment que tout l’intérêt du projet va être mis en place grâce à l’affectation du flux prioritaire sur la file d’attente n°3. Cette file d’attente à comme caractéristique d’avoir une bande passante minimum de 512 Kbps afin de ne pas être perturbé par les flux non prioritaire et d’assurer une qualité de liaison réseau satisfaisante. Lancement des tests afin de vérifier que le flux est bien identifié et que le champ DSCP a bien été attribué. Pour effectuer ce test nous utilisons une machine virtuelle sur laquelle l’OS « ubuntu » est installé et doté de Iperf et TCPdump.

Lancement du serveur Iperf.

Mise en place du trust dscp

Limitation du débit du port

Mise en place de la WFQ

Mise en place de la queue et du

débit réservé

13

Lancement de TCPdump.

Lancement de l'envoi de flux sur le client Iperf.

Résultats de TCPdump nous permettant de constater que le flux a bien été identifié et que le

champ

DSCP a bien été ajouté grâce à la ligne TOS 0x38 qui correspond au DSCP AF13.

14

Ci-dessous le tableau de correspondance entre les valeurs hexadécimales (identifiées via

tcpdump) et la valeur dscp.

On constate aussi que le client Iperf et tcpdump renvoient des informations sur les échanges effectués.

TCPdump.

15

Iperf.

5.7°) Mise en place de NeTem. Netem permet de simuler le trafic sur un réseau inter connecté et distant en y ajoutant de la

perte de paquets, de la latence, de la gigue et de limiter le débit.

Nous avons d’abord mit en place la latence dans le cas ci-dessous, elle sera à 0ms afin

d’effectuer des tests rapide.

Cette commande doit être effectuée avant toute autre commande tc:

tc qdisc add dev eth0 root handle 1 :0 netem delay 0ms

Puis nous allons alors réduire le débit grâce à la commande :

tc qdisc add dev eth0 parent 1 :1 handle 10 : tbf rate xxxkbit buffer xxx limit xxx

16

La commande pourra être modifiée en utilisant à la place de l’argument add l’argument

change afin de pouvoir modifier les valeurs entrées précédemment.

Tc qdisc change dev eth0 parent 1:1 handle 10 : tbf rate xxxkbit buffer xxx limit xxx

N’oublions pas d’interrompre et de remettre à 0 nos commandes TC à la fin des tests sinon

nous ne comprendrons pas pourquoi notre débit est réduit alors qu’il ne doit plus l’être dans

d’autres tests.

5.8°) Tests finaux

Afin de réaliser ces tests la limitation du débit a été descendue de 4Mbps à 768kbs/s pour

pouvoir constater que les flux se partagent cette bande passante avec un flux priorisé à un

minimum de 512kbps.

Nous lançons 4 clients Iperf sur la machine virtuel qui se trouve en bout de la plateforme

permettant de recueillir les serveurs qui seront lancés via un petit script bash, les ports qui

ont été utilisés sont 5002, 5003, 5004 et le flux priorisé sera sur 5005.

Commande permettant de lancer le serveur : iperf –s –p 5005 –i10

Script permettant de lancer les clients iperf.

-c : permet de le configurer en mode client.

-p : défini le port de connexion qui doit être utilisé.

- t : défini le temps de la connexion qui doit être établi.

17

Les clients se connectent sur les serveurs pour une durée de 60 secondes.

Nous attendons le résultat afin de constater le débit utilisé ou nous pouvons directement

regarder l’évolution sur votre serveur en incluant le –i 10 pour effectuer un affichage toutes

les 10 secondes.

Voici le résultat du script lancé et nous pouvons constater que le flux a bien été priorisé.

Le flux prioritaire occupe 608 kbps de la bande passante et les trois autres se partagent le

reste de la bande passante.

18

5.9°) Modification liée au changement d’équipement.

Cette partie expliquera comment réaliser ce projet avec deux équipements différents, ici cela

sera un HP A5120 et un H3C S3600.

1°) HP A5120

Des modifications seront à apporter sur le HP A 5120 au niveau de l’interface de sorti, dans

notre cas sur l’interface 1/0/3.

Celle-ci consiste à ne plus utiliser un qos bandwitch mais à mettre en place la gts queue afin

de limiter le débit de la bande passante à 512 Kbps et ne plus lui accordé un minimum de

512 Kbps.

Il faut donc supprimer le qos bandwitch queue 3 min 512 précdement cité via la commande :

undo banditch queue 3

Puis ajouter le qos « gts queue 3 cir 512 » pour limiter la bande passante.

2°) H3C S3600

Déclaration des acl et de la qos profil.

19

Interface 1/0/1 et 1/0/2.

- Appliquer le priority trust et le line rate outbound sur l’interface 1/0/1, qui correspond à

l’interface de sortie.

- Appliquer la qos profil sur l’interface 1/0/2 qui correspond à l’interface d’entré des flux.

Queue Scheduler.

La queue scheduler wfq nous permet de déterminer la capacité de la bande passante par

queue.

Ici les queues 3 et 4 sont utilisée, pour cela la queue N°3 correspond au flux priorisé (d’où

une limite à 512 Kbps) et la N°4 au flux passant en best effort (3456 Kbps).

Voici le résultat obtenue.

Ici les encadrés rouges corresponde au flux priorisés et le bleue au flux passant en best

effort.

20

6°) Tâches annexes effectuées durant le stage.

6.1) Configuration d'un switch managé.

Pour repartir sur une configuration usine : à l’aide d’un outil adéquate appuyer simultanément sur les boutons « reset » et « clear », une fois que les 3 voyants «power» «fault» et «locator» sont allumés, relâcher le bouton «reset» (tout en restant appuyer sur «clear»). Après quelques secondes, retirer la pression sur «clear». Toutes les leds doivent s’éclairer l’une après l’autre. => Retour conf usine OK, à nouveau administrable sur le port 1 via http://192.168.2.10 (pas de mot de passe par défaut).

- Paramétrage de l'IP

21

- Description de l’équipement.

- Le serveur IMC servira de base de temps (NTP).

22

- Activation de la protection Loop back, désactivation du port en cas de boucle.

- Activation du RSTP. Définition des ports servant à accueillir les stations utilisateurs en « Edge », « Non-Edge » vers le commutateur.

23

- Activation de la protection contre le deny de service.

- Attribution des vlan au port.

Configuration du trunk 802.1q

Un port peut être :

-E : Exclude : N’avoir aucun lien avec un Vlan donné (et préalablement sélectionné avec le

menu déroulant)

-U : Untag : Le port est associé à un seul VLAN. C'est à dire que tous les équipements

raccordés à ce port feront partie du VLAN. (Un port ne peut appartenir qu’à un VLAN dans le

mode UNTAG)

-T : TaggAll : Signifie que les trames qui arrivent et sortent sur le port sont marquées par un

en-tête 802.1q supplémentaire dans le champ Ethernet. Un port peut être "tagged" sur

24

plusieurs « VLAN » différents. L'avantage du mode Tagged est la possibilité d'avoir un

serveur (à condition qu’il ait une configuration 802.1q) pouvant communiquer avec toutes les

stations des « VLAN » sans que les « VLAN » ne puissent pas communiquer entre eux.

- Définition du mot du passe.

6.2°) Configuration et installation de 5 commutateurs hp a5120.

Suite à un dysfonctionnement sur les équipements constaté par un membre de l’équipe du

B.S.R.S une demande a été formulée pour qu’un remplacement proactif soit effectué. On

m’a donc demandé de configurer 5 commutateur afin qu’ils soient disponible dans les plus

brefs délais, accompagner de mon tuteur pour les installer.

Cette manipulation a pour but d’activer le serveur ssh ainsi que le snmp afin de pouvoir

implanter dans l’équipement la configuration définitive via un outil hp IMC (Intelligente

management center).

Pour cela nous avons besoin de déclarer un utilisateur local comme admin de l’équipement

via ssh.

25

Puis de déclarer le vlan 10 comme vlan d’administration.

Ensuite, lui déclarer une adresse IP local afin de pouvoir lui envoyer la configuration.

Puis implanter SNMP version v2c et v3.

- Interface VTY.

Affecter à l’user-interface vty 0 15 le Protocol ssh en entrée.

- Configuration.

Envoie de la configuration via l’outil hp IMC.

26

Pour terminer, mettre son adresse IP définitive.

L’installation consiste à implanter les commutateurs dans la baie correspondante à

l’emplacement définie par mon tuteur. Basculer les connexions de l’ancien commutateur sur

le nouveau et de vérifier la bonne connexion au serveur.

27

7°) Conclusion.

En conclusion j’ai effectué mon stage de deuxième année de BTS SIO au sein du conseil

d’Etat. Lors de ce stage de 6 semaines j’ai pu mettre en pratique mes connaissances

théoriques acquises durant ma formation, de plus, je me suis confronté aux difficultés réelles

du monde du travail et du réseau.

Après ma rapide intégration dans l’équipe, j’ai eu l’occasion de réaliser plusieurs tâches dont

un projet, l’ensemble de celles-ci ont constitué une mission de stage global.

Les recherches que j’ai effectuées sur mon projet seront mise en production courant 2015,

par ailleurs chacune des tâches effectuées lors de ce stage ont été utiles au service et au

bon fonctionnement de cette administration.

Je pense que cette expérience en entreprise m’a offert une bonne préparation à mon

insertion professionnelle car elle fut pour moi une expérimentation enrichissante et complète

qui conforte mon désir d’exercer mon futur métier dans le domaine du « réseau ».