Nouveau matériel au labo d’Arras

Le labo est prêt pour la rentrée avec un nouveau Bundle CCNP !

  • 3 switchs 2960 plus
  • 2 switchs 3650 24port
  • 2 routeurs 4300

Ils n’attendent que vous pour des préparations de certifications CCNA ou CCNP et les cours du Netacad !

2017 labo CCNP

Publicités

Ransomwares, Cryptolockers : qu’est-ce que c’est ? Par Alexandre en RISR

 

ransomware-2321665_640

Le ransomware, ou « rançongiciel », est un type de logiciel malveillant qui bloque l’accès à un PC, prenant en otage les données personnelles de l’utilisateur,


et demandant ensuite à celui-ci de payer pour y accéder de nouveau.

En entreprise, la forme la plus répandue de ce type d’infection est le « cryptolocker », dont le principe est de chiffrer les données de l’utilisateur, en visant prioritairement certaines extensions de fichiers (fichiers Microsoft Office, photos, vidéos, documents PDF…) et visant tout type de support : disque durs internes, externes, disques partagés sur le réseau, périphériques USB et parfois cloud (exemple : Dropbox).

Apparition et évolution des Ransomwares et Cryptolockers

Les 1ères références au ransomware tel qu’on le connaît de nos jours datent de 1989, avec l’apparition d’un malware appelé « AIDS Trojan », diffusé par l’intermédiaire de disquettes 5’’ ¼ envoyées par courrier. Une fois activé, celui-ci chiffrait tous les fichiers présents sur l’ordinateur puis demandait un paiement pour le déchiffrement.

Le développement d’internet, des échanges mails, du téléchargement, ont contribué dans les années 90 et 2000 à l’apparition de nouvelles menaces :

– Les faux anti-virus, avertissant l’utilisateur d’une infection sur son poste, et lui proposant de payer pour désinfecter la machine (en 2009, 43 millions d’attaques ont été recensées par Symantec),

– Les « encryption ransomware », qui chiffrent les fichiers présents sur la machine (doc, pdf, images….). On peut citer comme exemple Cryptolocker, TeslaCrypt, Locky, Cryptowall…

– Le « lock screen ransomware », qui verrouille l’accès à la machine en échange d’un paiement : par exemple Reveton, plus connu sous le nom de « Virus du Gendarme », qui accuse l’utilisateur d’activités de téléchargement illégales et réclame le paiement d’une « amende »,

– Le « MBR Ransomware », qui s’attaque directement au secteur de démarrage du disque et rend donc inutilisable la machine, à moins de céder au chantage…

Pour l’anecdote, le ransomware Cryptolocker a généré, d’après les estimations de chercheurs en sécurité, un montant d’au moins 5 millions de dollars pour son créateur au cours de l’année 2013.

Modes de diffusionhacked-1753263_640

– Par mail : faux mails d’entreprises réelles, comportant des pièces-jointes de type PDF se présentant comme une facture ou tout autre document,

– Clés USB (comme vu récemment du côté de Villeneuve d’Ascq, où des habitants ont retrouvé des clés USB infectées dans leurs boîtes aux lettres…)

– Pages Web malicieuses

– Bannières Publicitaires

– Téléchargements (films, musique, logiciels,…)

Comment se protéger de ces menaces ?

1. Réaliser des sauvegardes régulières

Disques durs internes, disques réseaux, NAS, SAN,.. Tous ces systèmes de stockages ne sont pas infaillibles : il convient donc de procéder à une sauvegarde régulière de ses données importantes (photos, documents etc…), afin de pouvoir récupérer tous les fichiers endommagés lors d’une infection. Dans l’idéal la sauvegarde doit être faite sur un support qui n’est lié à l’appareil à sauvegarder uniquement lors de la copie des fichiers (clé USB, disque dur externe, sauvegarde en ligne, sauvegarde sur bandes…) afin d’éviter toute propagation des logiciels malveillants lors d’une attaque.

2. Mettre à jour son système et ses logiciels

Tout logiciel malveillant se diffuse en utilisant des failles logicielles ou système comme portes d’entrées. Il est important de tenir à jour les systèmes Windows, Mac, Android, iOS ou autres, mais aussi les logiciels qui y sont installés, en particulier les navigateurs Web.

3. Redoubler de prudence avec les pièces jointes

L’email est devenu au fil du temps un moyen indispensable à la communication en entreprise, mais aussi à l’échange de fichiers : c’est donc l’un des moyens que les pirates utilisent pour diffuser leurs logiciels malveillants, via le système de pièce-jointe. Il convient donc aux utilisateurs d’être attentifs aux pièces-jointes qu’ils téléchargent.

 

4. Utiliser un antivirus à jour

Les logiciels malveillants, virus et autres malwares, évoluent en permanence : utiliser un antivirus à jour permet de s’assurer que les dernières signatures de logiciels malveillants sont bien enregistrées et que celles-ci seront reconnues. Attention toutefois, un fichier téléchargé mais non signalé comme dangereux par l’antivirus ne signifie pas pour autant que celui-ci est sain.
5. Le Behavior Monitoring, une nouvelle arme

Les techniques de propagation et méthodes d’attaques des ransomwares évoluant rapidement au cours du temps, les éditeurs de logiciels de sécurité sont donc tenus d’être attentifs à toute nouvelle technique d’infection afin de pouvoir y pallier le plus rapidement possible.

C’est pour cela que les hackers se sont mis à créer de nouveaux logiciels malicieux, fonctionnant sur le même principe que le ransomware, mais n’ayant pas le même comportement : au lieu d’envoyer directement un fichier menaçant à l’utilisateur qui serait aujourd’hui détecté par l’anti-virus, on assiste ici à l’envoi de fichiers « propres » aux yeux de l’anti-virus, qui permettent, une fois hébergés sur l’ordinateur de l’utilisateur, de télécharger d’autres fichiers sur un serveur distant pour préparer son attaque, bernant complètement l’anti-virus. C’est là que le Behavior Monitoring va faire son travail. En analysant les comportements des applications, les processus et le trafic sur le réseau, l’anti-virus va s’apercevoir qu’un programme fait des requêtes vers un serveur inconnu et va donc stopper toutes ces transactions dans le but de parer à une éventuelle infection. De même, il sera capable de détecter que certains fichiers commencent à être cryptés, et pourra donc stopper la tâche exécutée pour neutraliser le programme malveillant.

En cas infection, que faire ?

1. Ne pas payercastle-1419280_640

Il peut être tentant de céder au chantage et de payer pour débloquer son ordinateur ou ses fichiers, mais il n’existe aucune garantie que cela fonctionne.

2. Arrêter la propagation

Dès le début de l’infection, il faut simplement débrancher les supports de stockage externes (disques, clés USB,…) et isoler l’ordinateur du réseau local afin d’éviter une propagation sur le LAN.

3. Désinfecter la machine

Il existe de nombreux outils anti-virus ou anti-malwares, permettant de se débarrasser des logiciels indésirables.

4. Comment retrouver ses fichiers ?

De nombreux éditeurs de logiciels ainsi que des chercheurs en sécurité ont mis au point des outils permettant en cas d’infection de décrypter ses fichiers. Il en existe désormais une multitude sur le net, on peut citer par exemple AVG Decryptor (qui agit notamment sur les ransomwares Bart, Crypt888, Legion, TeslaCrypt et ses variantes…), TrendMicro Ransomware File Decryptor (pour Locky, CryptXXX, Cerber, SNSLocker,..), mais aussi No More Ransom Project, qui propose à l’utilisateur d’uploader sur leur site l’un de ses fichiers chiffrés afin de déterminer quel malware a été utilisé et proposer l’outil adéquat au déchiffrement.

Conclusion

Avec la rapide expansion du phénomène Ransomware, mais aussi la simplicité avec laquelle les systèmes actuels de sécurité (anti-virus, anti-malwares) sont contournés par ceux-ci, de nombreuses questions de sécurité se posent.

En effet, avec l’apparition de la domotique, de l’Internet des Objets, de l’informatique industrielle, mais aussi des voitures autonomes, il ne serait pas surprenant de voir émerger, dans les prochaines années, de nouvelles versions de logiciels malicieux ayant pour but de prendre le contrôle de ces nouvelles technologies : le chiffrement des configurations et des infrastructures de contrôle permettra aux attaquants de prendre en otage des thermostats, des infrastructures d’éclairage ou même des automobiles contre le versement d’une rançon.

L’Internet Industriel des Objets (IIoT) court un danger encore plus grand : les ransomwares pourront paralyser la capacité de production d’une usine ou l’activité d’une entreprise de service public…

Docker par Tony en RISR2015

clip_image001

Il y a environ 3 ans, comme bon nombre de personnes, j’ai reçu un mail de la part de notre cher HADOPI suite à un téléchargement illégal d’un film récent… Suite à ce mail, j’ai mis en place un système de serveur de téléchargement autonome et sécurisé sur un serveur virtuel Debian avec l’application Transmission et l’investissement d’un VPN. Ce serveur est hébergé sur un petit ESX que je me suis fait pour faire des tests, etc… A côté de cela, j’ai aussi un NAS Synology qui me permet entre autres de stocker mes films et de les diffuser sur mon réseau privé via l’application PLEX.

Du coup, je me suis demandé s’il était possible de faire tourner mon serveur de téléchargement autonome sur le NAS…

Et depuis la version 5.2 du DSM de Synology, nous avons la possibilité d’utiliser l’application Docker sur nos chers Synology.

Voilà comment j’ai fait la connaissance de Docker.

Qu’est-ce que Docker

Docker est un logiciel libre qui automatise le déploiement d’applications dans des conteneurs logiciels. Il est apparu dans les début 2013, lorsque DotCloud (désormais appelé Docker Incorporeted), une entreprise de fourniture de PaaS a publié un ensemble d’outils jusqu’alors propriétaires.

Il a été développé en Go par un certain Solomon Hykes. La première version de Docker a vu le jour en Mars 2013. A l’heure où j’écris cet article, il est en version 17.05.5 (5 mai 2017).

A quel(s) problème(s) répond Docker

La gestion du système d’information est une problématique omniprésente de par l’installation et la configuration de packages/logiciels. Ces processus bien qu’existant depuis la création de l’informatique, restent une activité complexe :

– Gestion des mises à jour ;

– Gestion des dépendances : l’installation de Tomcat nécéssite une JVM

– Gestion des versions : Tomcat 7 nécessite une JVM 7, la machine host peut avoir trois JVM installées en v6, v7 et v8. Comment s’assurer d’utiliser la bonne ?

– Gestion de la configuration : un Tomcat nécessite l’ouverture de ports, une configuration de sécurité… ;

– Gestion des actions et commandes : lancement du service, installation de module applicatifs…

Ces problématiques sont d’autant plus importantes qu’il est nécessaire de les dérouler de nombreuses fois en fonction de différentes cibles : multi-instance, environnements dev/recette/prod…

Docker fait partie de ces outils visant à aider à gérer ce processus. Il propose une manière pour construire un container autosuffisant et léger, qui peut être installé sur différentes cibles de manière identique.

En bref, Docker est habituellement utilisé pour :

– Automatiser le packaging ainsi que le déploiement d’applications ;

– La création de PaaS environnement léger et / ou privé ;

– L’intégration continue, déploiement continu, test automatisé : DevOps ;

– La gestion de déploiement d’applications “scalable”.

Cependant, Docker n’est pas :

– Une alternative à Chef, Puppet, Ainsible. En revanche Docker s’intègre avec ces outils ;

– Équivalent à une VM. Cf : différence VM / Container ;

Différence entre VM et conteneur

Une VM a pour but de proposer une couche d’abstraction au-dessus d’un système physique, telle que peuvent le proposer Virtualbox, Qemu, VMware…

Ces machines virtuelles permettent de simuler une machine physique et donc de faire tourner une application de très bas niveau, à savoir un OS (système d’exploitation) de son choix. Grâce à cela, une machine physique sous un OS peut faire tourner plusieurs VM avec chacune son propre OS et son ensemble applicatif.

Cette solution est relativement performante si elle repose sur des fonctions matérielles (architecture physique compatible et si possible avec instruction AMD-V, VT-d, VT-x…), car sinon il faut opérer par émulation (perte de près de 50% des performances CPU lors de l’émulation de x86 sur PowerPC).

Les VM sont souvent considérées comme sécurisées, car il n’y a pas de communication directe entre la VM et la machine hôte.

clip_image003 clip_image005

Virtualisation (émulateur) Conteneurs (isolateur)

Quant aux conteneurs, ils virtualisent l’environnement de l’OS de la machine hôte.

Un conteneur est un ensemble applicatif s’exécutant au sein de l’OS maître de manière virtuellement isolée et contrainte (jails, chroot **). Le conteneur est très performant et léger, car il partage de nombreuses ressources avec l’OS hôte (kernel, devices…). En revanche, bien que s’exécutant de manière isolée, le conteneur ne peut être considéré comme très sécurisé puisque partageant la stack d’exécution avec l’OS maître.

Le conteneur peut au choix démarrer un OS complet ou bien simplement des applications.

Docker a pour objectif de ne pas reproduire tout un OS dans un conteneur mais simplement les applications/services souhaités.

Les avantages pour les conteneurs sont :

– Elimination du risque de dépendances manquante (le Dev livre sa machine) ;

– Isolation des applications ;

– Densification des serveurs applicatifs ;

– Amélioration de la consistance des environnements ;

– Réutilisation des images (configuration + application) ;

– Accélération des déploiements et des livraisons vers les utilisateurs ;

– Plus de fiabilité.

Pour faire court, un conteneur inclut les applications et les dépendances mais partage l’OS avec les autres conteneurs.

PROXMOX : SOLUTION DE VIRTUALISATION par Dany en RISR2015

 

A. PRESENTATION

a. Proxmox VE

Proxmox Virtual Environment est une solution de gestion de virtualisation des serveurs basée sur OpenVZ / KVM. Gestion des machines virtuelles, les conteneurs, les clusters, le stockage et les réseaux hautement disponibles avec une interface Web intégrée et facile à utiliser. Le code Proxmox VE est sous licence GNU.

Il offre un avantage par rapport a la concurrence (VMWare, Hyper-V) il permet de faire de la virtualisation par isolation. A l’opposé de la virtualisation matérielle qui comme son nom l’indique virtualise un ordinateur au complet (Processeur, mémoire, …). La virtualisation par isolation permet de ne pas virtualiser le matériel et utilise le même noyau linux que l’hyperviseur.

b. OpenVZ et KVM

OpenVZ : Technique de virtualisation, niveau système d’exploitation fondée sur le noyau Linux.

Il offre différents avantages comme de meilleur performance que le noyau KVM, nécessites peu de ressources pour les hôtes, peut faire des redimensionnements de disque à chaud et migration et upgrade des ressources faciles.

Les inconvénients sont qu’il est compatible qu’avec des OS Linux, la migration vers une autre plateforme de virtualisation est difficile et il n’y a pas de cache mémoire sur le disque

KVM : Technologie de virtualisation matérielle. Agit également comme hyperviseur, gestionnaire et distributeur de ressources partagées

Il offre de la rapidité et une facilité pour la migration externe, une meilleur isolation de la VM, plus facile pour la migration vers une autre plateforme de virtualisation que OpenVZ, et on peut virtualiser des OS Linux et Windows.

Les inconvénients sont que les performances I/O sont faibles, nécessite plus de ressources pour le Hôtes, compatible qu’avec les processeur InterVT et AMD-V

B. INSTALLATION

L’installation est assez simple, il suffit de booter sur l’ISO, ensuite elle se fait à l’aide d’une interface graphique. Depuis l’interface Web, nous pouvons ensuite gérer les différentes fonctionnalités de PROMOX VE. Voici l’interface web :

image

C. FONCTIONNALITES

a. Cluster

Pour l’installation du cluster, cela se fait en ligne de commande, sur le serveur primaire, lancer la commande « pvecmcreate NOM DU CLUSTER ». Sur le serveur secondaire : « pvecmadd ADRESSE IP SERVEUR PRINCIPAL », ensuite il faut se reconnecter sur l’interface web, nous pouvons voir l’arrivé d’un deuxieme nœud :

image

 

 

 

b. Stockage Externe

Nous pouvons utiliser plusieurs solutions de stockage plus ou moins connu et payante afin de stocker les données ainsi que les VM. Pour ma part j’ai utilisé OPenFiler, un logiciel libre basé sur linux.

Open Filer permet de créer un espace de stockage en RAID, cela va permettre d’avoir de la tolérance de panne.

Proxmox VE utilise des Target ISCSI pour se connecter aux différentes solutions de stockage.

c. Sauvegarde et Restauration

Sauvegarde : Proxmox propose plusieurs types de sauvegarde, soit en stoppant la VM, soit à chaud avec interruption de service soit sans interruption.

Il est possible d’effectuer des sauvegardes non planifiées à l’aide de la commande si dessous :

« vzdump NOM DE LA VM –mode SNAPSHOT –Storage DESTINATION –Node NOM DU SERVEUR »

Il est également possible d’effectuer des sauvegardes automatiques, via l’onglet sauvegarde, créer une sauvegarde automatique.

Restauration : Proxmox intègre, dans son interface Web un assistant de restauration, une solution simple et efficace, proposant le chemin de destination de la machine virtuelle que l’on souhaite restaurer ainsi que son nom.

image

d. Basculement à chaud

Grâce au cluster et au serveur de stockage, il est possible de migrer, à chaud ou non, une machine virtuelle d’un serveur Proxmox à un autre.

image

 

 

 

e. Configuration réseau

En ce qui concerne la partie réseau, il est possible de configurer les interfaces. Plusieurs modes existent dont 2 principaux :

• La répartition de charge entre 2 cartes réseaux :LoadBalancing.

• Lorsque qu’une carte réseau est défaillante la seconde carte prend le relai : High Availability

D. Conclusion

– Outil simple de par son interface web, opérationnel, stable et nécessitant peu de maintenance mais de la configuration

– Très grande souplesse à plusieurs niveaux : déploiement de services à la demande, sauvegardes, restaurations et autres…

– Nécessite une attention particulière pour mettre en place la HA pour une continuité de service

– La HA a ses limites face à certaines défaillances

– Oblige à avoir un parc de serveurs plus homogène et facile à gérer

Rubber Ducky, Lan Turtle et Wi-fi PinApple par Matthieu, Benjamin et Samuel en RISR2015

1) Présentation

 image

– Créée en 2010image

– Se fait passer pour un clavier

– Attaques par Social Engineering

– Commercialisée à l’heure actuelle

– Apparence d’une simple clé USB

2)  Explication

– Confiance absolue desimage

OS sur les périphériques

(Claviers, souris)

– Lancement de « payload »

(Mille mots / seconde)

– Commandes lancées en mode texte (« Ducky Script »)

– Transformation en binaire via le site Hack5

– Carte SD intégrée dans la clé

– Simule l’utilisation d’un clavier

3) Possibilités

– DNS Poisoningimage

– Désactivation de l’antivirus

– Suppression du contenu d’un disque ou du système entier

– Téléchargement de programmes malveillants en http

– Utilisation de serveurs FTP

– Récupérations de mots de passe

4) Utilisation

image

5) Contre-mesures

– Verrouillage de la session !!

– Surveillance

– Port USB pas facilement atteignable

image

II. LAN TURTLE

Le LAN Turtle est un outil qui se présente comme grosse une clé USB munie d’un port RJ45.

image

Une fois branchée elle se configure à l’aide de modules que l’on peut facilement télécharger.

image

Le LAN Turtle est reconnu comme un adaptateur réseau, la technologie de découverte et d’installation des périphériques USB (Plug and Play) utilisée par les systèmes permet une activation immédiate du LAN Turtle.

image

Une fois connecté et configuré avec les bons modules, le LAN Turtle permet de voir le traffic non chiffré en clair tel que les mots de passes http, ftp et permet de voir les pages web visitées.

Un module permet de faire du DNS Spoofing en essayant de se rendre sur un site web sécurisé, on sera redirigé vers une copie du site pour voler les identifiants.

image

Le module responder disponible dans le LAN Turtle permet de stocker toutes les demandes d’authentification et de récupérer les mots de passes où leurs hashs. Certains logiciels et sites web permettent de “déhasher” un mot de passe.

image

image

On ne peut se prémunir d’une attaque man in the middle d’un LAN Turtle car les systems on une confiance aveugle en leur réseau local. Il faut surveiller que rien n’est branché sur ses ports USB, vérifier également la présence du “HTTPS” pour les sites sécurisés.

III. WI-FI PINAPPLE

1) Présentation

– Outil d’auditimage

– Attaque man in the middle

– Hacker Black/White

– NANO => 2,4Ghz => $99

– TETRA = > 2,4 Ghz / 5 Ghz = $199

2) Utilisation

image

3) Contre mesures

Motdepassesecure => _@U_U&7aspaFres&tre?p5dru*3utrEs
 
Serveur Radius + LDAPS
MetaPapier     image
Sensibilisation utilisateur

Ne jamais se connecter à un hotspot public

Bonne continuation aux GMSICP2015 !

Encore une promotion de GMSI qui se termine, rendez-vous à la rentrée pour ceux qui poursuivent et en Mars 2018 pour les autres lors de la cérémonie des diplômés 2017.

Merci aux tuteurs, intervenants et membres de jury sans qui cet oral de fin d’année n’aurait pas pu se dérouler aussi bien. Encore bravo à tous !

WP_20170721_11_42_23_Pro

WP_20170721_11_41_47_Pro

Email : comment améliorer la délivérabilité et réduire les abus liés au phishing par Geoffrey en RISR2015

 

1. Présentation

Depuis la démocratisation de l’informatique en 1975, notamment par Microsoft, le volume de données généré ne cesse de croitre chaque année. La ou en 1975, 2 Mo suffisaient à supporter le système d’exploitation et les fichiers de l’utilisateur, en 2010 la création de données dans le monde dépassait le téraoctet par jour, en 2020 les experts estiment que nous en créeront 109 téraoctets par jour, et nous produiront plus données que nous pourrons en stocker.

Ainsi la protection d’une telle quantité de données est devenue l’un des enjeux majeurs du 21eme siècle, car nombre de données numériques sensibles sont accessibles via le réseau des entreprises. Et pour qui aurait à intérêt à les exploiter ou les « prendre en otage », ces données sont une vraie mine d’or, et tous les moyens sont bon pour les récupérer ou les détruire, exposant les utilisateurs, souvent néophyte, à des dangers qu’ils ne soupçonnent pas.

Parmi ces dangers nous pouvons en distinguer 2 groupes, tout d’abord les menaces directes :

– Virus / vers / chevaux de Troie

– Malware

– Ransomware

– Spam

Actuellement, nous avons à disposition plusieurs solutions (antivirus, antimalware, antispam) qui nous permette de lutter efficacement (sans être infaillible) et de protéger les utilisateurs de nos systèmes d’informations, même si bien entendu la première des protections reste la sensibilisation.

Ensuite nous avons les menaces indirectes :

– Man In the Middle

Par exemple, en temps normal, le transite des données se fait (pour schématiser) du point A au point B, mais si un pirate se met au milieu, il est capable de capter les données, soit pour les récupérer et les exploiter, soit pour les corrompre et faire du dégât dans le système d’information cible.

– L’usurpation d’identité par mail,

Il est facile de vérifier l’identité de son interlocuteur par téléphone par exemple, vous recevez un appel, vous voyez le numéro s’afficher, le nom de la personne si elle est dans vos contact, puis vous décrochez, vous entendez sa voix, vous êtes sûr que c’est elle, sauf si vous tombé sur un(e) bon(ne) imitateur(trice), ou la NSA qui dispose de système perfectionner pour imiter une voix, ce qui reste très peu probable …

Mais le scénario n’est pas le même quand vous recevez un mail, comment pouvez-vous vérifier l’identité de l’expéditeur ?

Pour ce faire, plusieurs bonnes pratiques peuvent être appliquer afin de certifier a votre destinataire que vous êtes bien qui vous prétendez être.

2. FCrDNS

La première mesure à mettre en place (qui devrait être une bonne pratique systématique d’ailleurs) si elle n’est pas déjà existante, est la création d’un enregistrement Pointeur (PTR) dans la zone de recherche indirecte de votre serveur DNS Publique (contenant le domaine de vos emails). Cela permettra notamment au contrôle de réception de l’email de vérifier si les serveurs DNS sont en pleine maitrise du propriétaire émetteur. C’est une forme d’authentification établissant une relation fiable entre le propriétaire du nom de domaine et le propriétaire de la machine qui a initiée la requête SMTP.

image

3. FQDN HELO

La seconde mesure à vérifier sur les serveurs de messagerie sortants est le nom de domaine configuré lors de la réponse FQDN HELO, il doit de l’ordre de « monentreprise.fr » et non « monentreprise.local ». Dans les faits, ceci n’est pas bloquant pour le transfert du message mais distingue les serveurs correctement installés des autres pour un anti-spam. Quand un serveur mail établi une connexion, il se présente avec la commande HELO. Par exemple: « HELO mail.company.com ». Le nom de serveur fourni doit être conforme FQDN (Fully Qualified Domain Name). Ce qui veut dire que ce nom est valide et joignable sur internet.

image

4. Sender Policy Framework

La troisième mesure à mettre en place consiste à créer un type d’enregistrement DNS de type TXT qui détermine les serveurs de messagerie autorisés à envoyer des messages au nom de votre domaine. Cette norme de vérification s’appelle le Sender Policy Framework (SPF).

Voici quelques exemples de ce qu’il est possible de faire avec les enregistrements SPF :

v=spf1 ip4:5.5.5.0/24 –all

Autorise toutes les adresses IP comprises entre 5.5.5.1 et 5.5.5.254

v=spf1 a:mailers.example.com –all

Autorise toutes les adresses IP de tous les enregistrements de type A pour le domaine

v=spf1 mx/24 mx:offsite.domain.com/24 -all

Autorise toutes les adresses IP de tous les enregistrements de type MX pour le domaine avec une marge de range (Peut être qu’un serveur MX de domaine a reçu un mail sur une adresse IP, mais a envoyé le mail sur une adresse IP différente mais proche)

image

5. Domain Key Identified Mail

Nous pouvons également signer chaque mail sortant en ajout une signature numérique à l’en-tête des messages de façon à ce que le processus anti-spam du destinataire puisse vérifier que le mail n’a pas été déformé depuis l’expédition en décodant la signature avec la clé publique contenue dans un enregistrement DNS. Cela permet de lutter contre le spoofing.

image

6. Dmarc

DMARC (Domain-based Message Authentication, Reporting and Conformance) est une norme d’authentification des emails basée sur SPF et/ou DKIM. Il ne remplace pas ces protocoles mais il va les rendre plus intelligent en les unissant.

Il standardise la façon dont un MTA destinataire doit gérer un message dont les vérifications DKIM et/ou SPF ont échoué.

DMARC est implémenté sous la forme d’un enregistrement txt dans le DNS du MTA expéditeur.

Par exemple :

v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@mondomaine.com

DMARC possède 3 politiques :

– none

Avec cette configuration activée « en monitor mode », l’adresse courriel indiquée (dans l’option mailto) reçoit des rapports quotidiens des fournisseurs en ce qui concerne le nombre de messages qui ont été reçus et qui ont passés les contrôles de la politique ou non.

– Quarantine

Avec cette configuration activée, les messages qui ne passent les contrôles de politiques sont mis en quarantaine.

– Reject

Avec cette configuration activée, les messages qui ne passent les contrôles de politiques sont rejetés par le MTA destinataire.

La balise rua permet à l’administrateur du MTA expéditeur de recevoir des rapports quotidiens. Les rapports quotidiens sont présentés au format XML. Leur lecture permet de mieux comprendre les flux de messages. Ces rapports aident à vérifier que les sources de courrier sortant sont correctement authentifiées. Lorsque des règles de blocage sont en place, les rapports permettent également aux administrateurs de réagir rapidement si une nouvelle source de courrier apparaît en ligne ou si la configuration d’une source existante n’est plus appliquée.

DMARC demeure l’arme la plus puissante jamais conçue pour lutter contre les tentatives d’usurpation d’identité (spoofing) et d’hameçonnage (phishing). Ce protocole d’authentification des emails a transformé de manière radicale le paysage des pratiques frauduleuses ciblant la messagerie électronique et enrayé des tactiques de phishing de longue date, protégeant des marques, l’image des sociétés sur Internet, des effectifs et des usagers.

HyperConvergence par Kevin et John en RISR2015

I. Hyperconvergence (ou Infrastructure Hyperconvergée)

A. Introduction

Depuis quelques années une nouvelle tendance prend de l’ampleur au sein des infrastructures systèmes, il s’agit des Infrastructures Hyperconvergées.

Au cours de cet article, nous vous présenterons cette nouvelle tendance, tout d’abord par un rappel de définitions. Qu’est ce qu’un infrastructure hyperconvergée, par opposition aux infrastructures classiques actuelles.

Nous évoquerons ensuite les acteurs de ce nouveau marché et nous mettrons en lumière deux d’entre eux, leaders respectifs dans leur domaine à savoir Nutanix et Rubrik.

Enfin nous verrons la part actuel de ce marché et son potentiel.

II. Définitions

A. Les infrastructures classiques

La majorité des infrastructures systèmes que l’on connaît se base sur des éléments distincts à savoir : les serveurs, les équipements réseaux et le stockage.

image

Souvent, le réflexe pour un informaticien sera de choisir ce qui se fait de mieux dans chacun de ces domaines, en pensant rendre la totalité de l’infrastructure solide.

Or cela n’est pas forcément vrai. Choisir ce qui se fait de mieux dans chaque domaine ne garantie pas forcément l’interopérabilité des éléments entre eux.

En outre chaque élément étant distinct, cela nécessite des ressources d’administration pour chacun (administrateur système, réseau et stockage) et des compétences techniques pour câbler, connecter et rendre interopérable chaque élément.

Pour pallier à ces problèmes, sont apparues les infrastructures convergées.

B. Infrastructures convergées

Pour faire face aux contraintes citées précédemment, les principaux constructeurs proposent ce que l’on appelle les Infrastructures convergées.

imageCe type d’infrastructure n’est ni plus ni moins qu’un assemblage des éléments que l’on retrouve dans les infrastructures classiques si ce n’est que chaque élément a été validé par le constructeur, les rendant de fait « Interopérables ».

Les avantages de ce types de plateformes sont :

· Plates-formes livrées pré-intégrées et prêtes à l’emploi

· Mise en œuvre rapide

· Incertitudes liées à l’intégration éliminées

   

Cependant l’encombrement important de ce type de plateforme nécessite de prévoir des locaux adéquats ainsi que les alimentations électriques et ventilations nécessaires. En outre, il n’en reste pas moins que ce type de plateforme est juste une une infrastructure classique « validée ». Elle nécessite toujours des compétences relatives à chaque composant (système, réseaux , stockage).

Pour faire face à ces deux derniers inconvénients, sont apparues les infrastructures hyperconvergées.

C. Infrastructures Hyperconvergées

Les infrastructures hyperconvergées peuvent être assimilées à une compression des infrastructures convergées.

image

En effet dans un seul boitier, souvent de taille 2U, nous allons retrouver les serveurs, le réseau et le stockage. Dès lors les avantages de ce types de boitiers sont évidents, notamment au niveau de l’encombrement ou de la facilité d’administration. En effet bien souvent, ces appliances hyperconvergées viennent avec une seule et unique interface d’administration pour l’ensemble du boitier.

Beaucoup d’acteurs et de constructeurs se sont lancés sur ce marché de l’hyperconvergence, parmi lesquels nous retrouvons bien surs les grands noms du domaine que sont DELL, EMC, Vmware.

image

En ce qui nous concerne, nous nous attarderons sur deux acteurs leaders et pionniers dans le domaine : NUTANIX et RUBRIK.

III. NUTANIX

A. Présentation

Créée en 2009, Nutanix est une société qui propose depuis 2011 des appliances combinant serveurs, stockage et virtualisation. Elle propose une approche distribuée des ressources pour les infrastructures systèmes.

Nutanix souhaite proposer un « Datacenter in a box »

image

B. Fonctionnement

1. Problématiques des infrastructures classiques

Si l’on considère une infrastructure classique comme ci-dessous :

image

Il existe une problématique située au niveau des contrôleurs des baies de stockage qui peut être assimilé à la présence d’un goulot d’étranglement.

En effet, les contrôleurs des baies de stockages sont les seuls responsables de la disponibilité et de la vitesse d’accès aux données. Dès lors, plus on ajoute d’hyperviseurs ou de serveurs, plus ces contrôleurs vont être sollicités, pouvant créer potentiellement des files d’attentes, ou goulot d’étranglement.

De plus, ce type d’infrastructure demande des compétences spécifiques notamment pour la création des groupes de raid, leur dimensionnement ou le zonig des espaces de stockages. Il faut aussi des compétences spécifiques pour créer l’agrégation des liens réseaux.

Ces différentes problématiques sont annihilées au sein d’un boitier Nutanix

2. L’architecture d’un boitier NUTANIX

Un boitier Nutanix (2U) est composé de 4 nœuds.

Ci-dessous ; un zoom sur 2 nœuds :

image

Chaque nœud est composé d’un hyperviseur à base de processeur x86, d’un contrôlleur iSCSI et d’un contrôleur de stockage virtualisé. Pour chaque nœud, on trouvera aussi du stockage sous la forme de disques SSD et SATA.

La grande force de NUTANIX réside dans le contrôleur de stockage virtualisé (CVM). En effet, ce dernier étant dédié à l’hyperviseur et au stockage du nœud, au plus proche de ces éléments, il assure l’accès et la disponibilité des données de la manière la plus optimale.

Les nœuds peuvent en outre communiquer entre eux, les machines virtuelles peuvent migrer d’un nœud à l’autre grâce au NDFS, un system de fichier propriétaire de NUTANIX qui permet d’utiliser le stockage de chaque nœud en un seul et unique stockage unifié.

image

C. Avantages

1. Facilité d’utilisation et d’administration

NUTANIX supporte les principaux hyperviseurs du marché (Vmware, Hyper V). Il propose en outre son propre hyperviseur.

De par son système de fichiers propriétaire NDFS, il peut supporter ces deux environnements en même temps. Ainsi une machine sous Hyper V peut facilement basculer sur un hyperviseur Vmware de façon transparente (et vice et versa).

Le contrôleur de stockage virtuel (CVM) assure le tiering, c’est-à-dire le provisionnement du stockage en fonction du taux d’utilisation de la donnée. Ainsi des données chaudes, souvent utilisées seront placées de façon prioritaire sur le stockage SSD alors que des données froides, peu utilisées seront déplacées petit à petit vers les disques classiques SATA.

Enfin, NUTANIX, propose une seul interface d’administration, unifiée pour l’ensemble du boitier, rendant la gestion et l’administration de l’infrastructure système plus facile.

2. Souplesse du dimensionnement

Les boitiers NUTANIX sont « stackables » un peu à la manière des switches réseau. Ainsi à chaque ajout de nœud, on ajoute de façon simple, à la fois de la puissance de calcule et du stockage. Dès lors il facile de dimensionner une infrastructure système et de prévoir son évolution future.

Si l’activité ou la demande augmente, il suffira d’ajouter le nombre de nœuds adéquats.

Ce mode de fonctionnement est appelé le « PAY AS YOU GROW ».

image

3. Un encombrement réduit

Comme indiqué, l’encombrement d’un boitier hyperconvergé étant minime ; cela réduit les dépenses relatifs aux apports électriques et au refroidissement.Cela permet d’optimiser le dimensionnent des locaux techniques et les coûts liés.

Par exemple une baie de 42 Unités peut être aisément remplacée par deux boitiers NUTANIX occupant 4 Unités.

image

IV. Rubrik

A. Présentation

Rubrik est une startup basée dans la Silicon Valley qui a été créée en 2013. En 2015, ils proposent une appliance qui gère les parties sauvegarde et archivage des données de l’entreprise.

Pour l’instant les Rubrik sont dédiés aux infrastructures virtualisées sous Vmware. Cela va évoluer vers les machines physiques au fil des mises à jour.

image

B. Le boîtier Rubrik

L’appliance est un boîtier 2U qui contient 4 nœuds afin de ne laisser aucun spof.

Rubrik gère le tiering pour placer les données qu’il juge chaude ou froide sur les bons disques (SSD <> HDD). Cette solution a été conçue pour s’interconnecter au Cloud. Il permet alors d’envoyer les snapshots sur un compte Amazon S3 ou Microsoft Azur afin de gérer au mieux la volumétrie de stockage on premise.

C. La gestion des données

Intégrer au sein de son infrastructure les solutions Rubrik modifie grandement notre manière de gérer les données de sauvegarde.

En effet, Rubik permet de s’affranchir de serveurs dédiés à la sauvegarde et de baies de stockage production et Disaster Recovery (DR).

Avant l’intégration de Rubrik, la gestion des données de sauvegardes ressemble à cela :

image

On remarque que notre infrastructure est éclatée et pas forcément synchronisée entre tous nos sites. Rubrik propose de s’affranchir d’une partie de l’infrastructure afin de simplifiée celle-ci :

image

On remarque le lien entre les Rubrik ainsi que vers le Cloud comme indiqué précédemment. Que la donnée soit stockée sur le Rubrik du site de Prod, ou celui du site DR ou encore sur le Cloud, cela ne change rien pour lui. Il ne s’agit que d’un seul stockage virtuel dans lequel nous allons naviguer via l’interface web de Rubrik, qui regroupe tous les Rubrik de l’infrastructure.

D. Configuration

La configuration d’un Rubrik ne prend que quelques minutes. Après les paramètres d’usage (nom DNS, IP, etc.) nous allons pouvoir effectuer un scan des hosts vSphere. A ce jour l’intégration des serveurs physique est en conception et seul VMware est intégré.

Le scan des vSphere va permettre au Rubrik de lister tous les hosts, datastores et VMs de l’infrastructure.

L’étape suivante est la création des SLA Domains. Ces domaines vont nous permettre de configurer différentes niveaux de sécurité pour nos VMs. Nous pourrons choisir à quelle fréquence les snapshots auront lieu et combien de temps ils seront stockés. La configuration des SLA Domains prévoit aussi le paramétrage de la migration automatique des snapshots vers le Cloud, si souhaité.image

Il est possible de donner des délais plus ou moins longs pour la prise de snapshots et la durée de rétention. Nous pouvons aussi choisir à quel moment de la journée le snapshot se fera, dans le but de ne pas impacter le business et de choisir si l’on va stocker le snapshot dans le Cloud et si oui, combien de temps.

Suite à la création des SLA Domains, nous devons attribuer ces SLA aux VMs (détectées par Rubrik lors du scan des vSphere).

E. Utilisation

L’une des fonctionnalités importantes et impressionnante de Rubrik est le Global File Search.

Rubrik a mis au point un système permettant de stocker les meta data de toutes les data sauvegardées dans la mémoire flash, ce qui permet depuis l’interface web de retrouver un fichier, quelque soit son emplacement en quelques secondes.

Nous n’avons plus besoin de savoir dans quel répertoire se trouvait ce fichier. Il nous suffit de savoir sur quel serveur était stockée la donnée.image

Je peux voir quels jours le serveur a été snapshot. ensuite je n’ai qu’à taper le nom du fichier dans la barre de recherche, et Rubrik va effectuer une recherche à travers tous les snaphots de ce serveur.

Rubrik a trouvé 37 versions de mon fichier à travers tous les snapshots, et je n’ai plus qu’à choisir la date à laquelle je veux restaurer le fichier.

imageimage

Schéma global de l’infrastructure avec Rubrik.

image

Enfin, dans le but de réduire le RTO, Rubrik peut se monter comme datastore afin de remonter une VM plus rapidement (on évite le transfert vers le datastore VMware d’origine). Cela ressemble à l’Instant Recovery de Veeam.


V. Conclusion

Les infrastructures hyperconvergées ont le vent en poupe. Le marché mondial a été multiplié par 2.7 en 2015 et le chiffre d’affaire de Nutanix a bondi de 80 %.

Le HCI permet aux entreprises d’être plus agile, en utilisant le pay-as-you-grow.

La gestion est facilitée, puisque la partie système, réseau et stockage est réunit en une seul interface. Dans le cas d’une infrastruture Nutanix + Rubrik, avec 2 interfaces web il est possible de gérer un datacenter.

L’encombrement réduit diminue les dépenses foncières, logistiques et énergétique.

Gestion de l’identité avec Office 365 par Adrien et Benjamin en MSI2016

https://www.youtube-nocookie.com/embed/NbxNvmdF-zc

SDN par Vincent et Rémi en MSI2016

Poster_SDN

%d blogueurs aiment cette page :