rapport_stage_killian_pavlik_2015

Transcription

CG25
RAPPORT DE STAGE
Service des systèmes d’information
–
Conseil Général du Doubs
PAVLIK Killian
Du 11 mai au 5 juin 2015
TABLE DES MATIÈRES
Remerciements.................................................................................................. 2
Introduction....................................................................................................... 3
I - Contexte, présentation de l’organisation...................................................... 4
A - Le Conseil Général du Doubs...................................................................... 4
B - Le service du système d’information .......................................................... 7
II - Travaux effectués ....................................................................................... 12
A – Immersion avec l’équipe de techniciens réseaux et télécoms ................. 12
B - Travaux de recherches ............................................................................. 17
C - Migration de serveurs sur le site de Pontarlier......................................... 26
D - Mise en place de la solution Wifi ZyXEL N4100 ........................................ 31
III - Conclusion ................................................................................................. 35
Rapport de stage – Killian PAVLIK – 2015
1
REMERCIEMENTS
J
e tiens à remercier le Conseil Général du Doubs de m’avoir accueilli ainsi
que toutes les personnes qui ont contribué au bon déroulement de mon
stage.
Tout d’abord, j’adresse mes remerciements à Monsieur Marc PETREMENT qui
a soutenu ma candidature et m’a ainsi permis d’obtenir un stage de qualité.
Je remercie vivement mes maîtres de stage Messieurs Gérôme AUBERT
(Responsable du pôle infrastructure) et Alexandre CARO (Responsable
d’exploitation informatique) pour leur accueil, leurs explications et pour
m’avoir sollicité avec des tâches adaptées à mon niveau.
Remerciements également adressés à Messieurs Sébastien BOETSCH et
Frédéric GAILLARD (Techniciens exploitation système réseaux et télécoms)
pour leurs diverses explications, pour avoir partagé leur bureau et avoir eu un
aperçu des enjeux de leur métier au quotidien.
Enfin, je tiens à remercier tout particulièrement Messieurs Florian BAILLY et
Olivier MULLER (Techniciens réseaux et télécoms) ainsi que Monsieur Quentin
FAIVRE (Apprenti) pour leur accueil, leur sympathie ainsi que pour les avoir
accompagné lors de quelques-uns de leurs déplacements.
2
INTRODUCTION
I
ntégrer le service des systèmes d’information du Conseil Général du Doubs,
organisation composée de plus de 70 sites répartis sur l’ensemble du
territoire, peut paraître déconcertant pour un étudiant de première année
de BTS SIO (Services Informatiques aux Organisations). En effet, la taille de
l’organisation impose de grandes et nombreuses responsabilités aux différents
acteurs de ce service. De plus, les attaques informatiques étant de plus en plus
évoluées, il est nécessaire de disposer de connaissances techniques précises et
de mettre en place une veille informatique afin d’assurer la pérennité du
système et de protéger la multitude de données qui circulent.
Ce stage s’est déroulé sur une période de 4 semaines (du 11 mai au 5 juin 2015)
et a pour principal objectif de faire vivre aux étudiants une expérience concrète
dans le monde de l’informatique au sein d’une organisation et d’être confronté
aux exigences du métier.
Dans un premier temps, je présenterai le Conseil Général du Doubs ainsi que
son service des systèmes d’information. Ensuite, je tenterai d’expliquer mon
parcours durant le stage. Pour terminer, je conclurai par mes impressions
personnelles.
3
I – CONTEXTE, PRÉSENTATION DE L’ORGANISATION
A – LE CONSEIL GÉNÉRAL DU DOUBS
4
5
L’intranet i-doo (www.i-doo.doubs.fr) :
Un intranet est un ensemble de services internet (par exemple un serveur web)
internes à un réseau local, c'est-à-dire accessibles uniquement à partir des
postes d'un réseau local, ou bien d'un ensemble de réseaux bien définis, et
invisibles (ou inaccessibles) de l'extérieur.
I-doo permet au personnel d’avoir accès aux actualités de l’organisation, au
calendrier, aux informations concernant chacune des directions, etc…
6
L
e Conseil Général du Doubs, en tant que collectivité territoriale, est
composé d’un organe délibérant et d’un exécutif, représenté par sa
Présidente Mme. Christine BOUQUIN.
Il détient diverses compétences notamment en matière :
- D’action sociale : aide à l’enfance, au handicap, aux personnes âgées mise en
place par les services de la Direction des Solidarités (DS), Centre Médicosociaux (CMS), Aide sociale à l’enfance (ASE), Centre de l’Enfance (CDE)
- De développement économique par l’attribution d’aides directes (aide à la
création d’entreprise) et culturel par la mise en valeur du patrimoine
départemental (par exemple les salines royales d’Arc-et-Senans ou le musée
Courbet)
- D’éducation, de la jeunesse, et des sports. Le Conseil général du Doubs a en
charge la construction et l’entretien des locaux des collèges publics, des
équipements sportifs
- D’environnement, avec des actions telles que l’élimination des déchets
ménagers, la gestion de l’eau ou encore des espaces naturels
- De développement des voies de communications, d’aménagement et des
transports du département (Mobidoubs)
7
B – LE SERVICE DU SYSTÈME D’INFORMATION
8
Les missions du service du système d’information :
- Assurer la viabilité des ressources de traitement de l’information
- Assurer le développement, l’intégration, l’assistance technique, la
maintenance évolutive et corrective des progiciels métiers
- Effectuer l’installation, la maintenance et le dépannage de premier
niveau des matériels
- Participer à l’aménagement et développer les usages et services en
matière de NTIC (Nouvelle Technologie de l’Information et de la
Communication)
- Apporter une aide technique aux EPCI (Établissement Public de
Coopération Intercommunale)
Gestion du patrimoine informatique :
Patrimoine matériel :
- Fournisseurs : HP, Xerox, Symantec, Alcatel
- Location : emplacements au DATACENTER de
Besançon (Planoise)
Patrimoine logiciel :
- Fournisseurs : Symantec (NetBackup), Microsoft
(Suite Microsoft Office, Outlook, Lync, Visio,
Sharepoint), GLPI, VMware
Patrimoine connaissances :
- Mode opératoire : rédaction de procédures, de
DAT (Document d’Architecture Technique)
- Formations proposées au personnel
9
Veille technologique :
Au vu de l’évolution exponentielle du monde des nouvelles technologies, il est
primordial, en tant qu’informaticien, de constamment s’informer. Etre au
courant des évolutions, par exemple les derniers appareils mis sur le marché,
les dernières mises à jours ou encore les dernières modifications au Journal
Officiel relatives aux NTIC, permet au professionnel de l’informatique de
travailler de manière cohérente et de pouvoir faire face à toutes les
éventualités. Ce travail de recherche constitue ce que l’on nomme la « veille
technologique ».
Au service du système d’information du Conseil Général, le personnel s’informe
principalement sur Internet (www.clubic.com) et également avec des revues
(abonnement à la revue Misc, spécialisée dans la sécurité informatique).
10
Le réseau du Conseil Général du Doubs :
11
II – TRAVAUX EFFECTUÉS
A – IMMERSION AVEC L’ÉQUIPE DE TECHNICIENS RÉSEAUX ET TÉLÉCOMS
À mon arrivé, mes maîtres de stage étant très occupés et n’ayant pas de temps
à me consacrer dans l’immédiat, j’ai eu l’opportunité de passer mes premiers
jours de stage avec des techniciens réseaux et télécoms.
J’ai pu ainsi me familiariser avec un environnement encore inconnu pour moi et
prendre connaissance de certains outils utilisés par le service.
La suite applicative OmniVista 4760 (Alcatel-Lucent) :
Il s’agit d’un système d’administration de Réseau qui permet de gérer les
produits et les applications Alcatel-Lucent, localement ou à distance. Sa
fonction de surveillance centralisée aide les administrateurs et les responsables
réseaux au quotidien. Elle leur permet de faire des choix stratégiques
concernant leurs réseaux convergés. Son interface Web et son architecture
client/serveur facilitent l'administration et la maintenance du réseau, tout en
réduisant le coût total de possession pour l'entreprise.
12
GLPI (Gestionnaire Libre de Parc Informatique) :
Solution open-source de gestion de parc informatique et de servicedesk, GLPI
est une application Full Web pour gérer l’ensemble des problématiques de
gestion de parc informatique : de la gestion de l’inventaire des composantes
matérielles ou logicielles d’un parc informatique à la gestion de l’assistance aux
utilisateurs.
13
Visite du DATACENTER de Besançon (Planoise) :
Un centre de données (data center en anglais) est un site physique sur lequel
se trouvent regroupés des équipements constituants du système d’information
de l’entreprise (ordinateurs centraux, serveurs, baies de stockage, équipements
réseaux et de télécommunications, etc…). Il peut être interne et/ou externe à
l’entreprise, exploité ou non avec le soutien de prestataires.
Le Conseil Général y loue plusieurs baies de brassages dans lesquelles sont
stockées des appareils de virtualisation (solutions VMware) ainsi que des
switchs et des routeurs.
14
Déplacement sur les sites de Quingey, Levier et Flagey :
- Quingey : Centre Médico-Social (CMS)
● Installation d’un routeur Completel
- Levier :
Direction des routes et infrastructures (DRI)
● Installation d’un routeur Completel
● Problème de téléphonie : nécessité de changer un équipement
- Flagey : Ferme natale de Gustave Courbet. Rénovée en 2008 et ouverte au
public en 2009, la ferme de Flagey propose à ses visiteurs un cafélibrairie, une salle d’exposition ainsi que trois chambres d’hôtes
(depuis l’été 2010).
● Mise en place de la solution Ucopia (installée sur un serveur) :
L’objectif est de proposer un accès wifi aux visiteurs
● Étude de terrain pour une future mise en place de bornes Wifi
15
Déplacement au service des transports :
Le service des transports a pour objectif d’assurer une desserte équitable du
territoire, en concertation avec les autres collectivités.
● Problème de téléphonie : nécessité de changer un équipement
● Sensibilisation du personnel à la solution Microsoft Lync
Microsoft Lync 2013 est une plate-forme de communications unifiée
destinée aux entreprises et qui a pour principales fonctionnalités :
- Messagerie instantanée
- Communication VoIP
- Visioconférence
16
B – TRAVAUX DE RECHERCHES
Après quelques jours de stage, un premier travail m’a été proposé : tenter
d’identifier d’éventuelles vulnérabilités sur les applications et sites web du
Conseil Général avec le logiciel OWASP Zed Attack Proxy (ZAP).
OWASP
(Open
Web
Application Security Project)
est une association à but
non lucratif enregistrée aux
US depuis 2004, dont le but
est
de
sécuriser
les
applications sur Internet
N’ayant que très peu de connaissances en
matière de sécurité informatique, je me suis
lancé dans un travail de recherche
approfondi.
L’utilisation de ZAP est assez simple : il suffit
de saisir le lien du site web à tester, lancer le
scan, puis analyser le résultat obtenu.
(Attention : on ne peut « attaquer »
uniquement les sites pour lesquels on
dispose d’une autorisation).
Après plus de 10 années d’activité, le TOP 10 OWASP des menaces les plus
observées sur Internet est devenu la référence :
1- Injection
2- Violation de Gestion d’authentification et de Session
3- Cross-Site Scripting
4- Références directes non sécurisées à un objet
5- Mauvaise configuration sécurité
6- Exposition de données sensibles
7- Manque de contrôle d’accès au niveau fonctionnel
8- Falsification de requête intersites
9- Utilisation de composants avec des vulnérabilités connues
10- Redirection et renvois non validés
17
Il existe plusieurs types de scans dont les deux principaux sont :
- Scan actif : permettant de trouver des vulnérabilités
- Spider : permettant de trouver du contenu caché
Configuration de Firefox pour permettre un fonctionnement optimal de ZAP :
18
Exemple : scan ZAP sur www.doubs.fr:
Application Error Disclosure : This page contains an error/warning message
that may disclose sensitive information like the location of the file that
produced the unhandled exception. This information can be used to launch
further attacks against the web application. The alert could be a false positive if
the error message is found inside a documentation page
En-tête X-Frame-Options non renseignée : L'en-tête X-Frame-Options n'est pas
inclue dans la réponse HTTP pour protéger contre les attaques de 'ClickJacking'
Le ClikJacking (ou détournement de
clics) consiste à inciter un internaute à
fournir des informations confidentielles
ou à prendre le contrôle de son PC via
des pages internet qui semblent sûres.
19
Le second travail qui m’a été proposé consistait, au même titre que ZAP, à
chercher des vulnérabilités mais cette fois-ci au niveau du réseau.
Ne sachant pas vraiment par où commencer, j’ai tout d’abord effectué
quelques recherches. Celles-ci m’ont amenées à m’intéresser à un sujet très
vaste que sont les techniques de piratage informatique.
Voici une liste des outils les plus célèbres dans le monde du hacking :
- Rpcapd : Programme tournant en tâche de fond qui capture le trafic sur
une machine. Il peut envoyer les données récupérées à un sniffer comme
Wireshark.
- Cain&Abel : Outil destiné aux administrateurs qui permet de récupérer
des mots de passe. L’application analyse votre réseau et utilise toutes les
combinaisons possibles de caractères en utilisant des mots de passe
définis à partir de liste ou de dictionnaire.
- NMAP (sur LINUX) : Scanner réseau qui permet d’effectuer une analyse
complète de l’espace d’adressage IPV4.
- Metasploit : Plateforme open-source de tests d’intrusion et qui dispose
de fonctionnalités d’automatisation d’exploitation de failles et de
créations d’exploits.
- Wireshark : Sniffer ou analyseur de protocoles réseau et applicatif. Il
permet de récupérer les paquets IP qui transitent sur le réseau afin de
les analyser.
Les sniffers sont des outils
permettant d’analyser un
réseau et de localiser un
problème avec précision
20
Utilisation de NMAP avec Ubuntu :
Virtualisation d’Ubuntu avec VirtualBox :
Définir « Accès par pont » dans les paramètres réseau afin de crée un pont vers
la carte réseau du système hôte. Dans le réseau local, la machine virtuelle est
ainsi visible.
Installation de NMAP : sudo apt-get install nmap
Pare-feu Ubuntu :
- Activer : sudo ufw enable
- Désactiver : sudo ufw disable
21
Les principales utilisations de NMAP :
- Permet de récolter des informations au sein d’un réseau
- « Mapage » du réseau : permet de voir combien de postes sont présents
sur le réseau et de voir quel est leur système d’exploitation
- Scan silencieux d’un réseau (afin de ne pas se faire repérer)
Exemples de commandes utilisées :
sudo nmap –vv –sP 172.30.2.1-100 : Permet d’afficher tous les hôtes de 1 à 100
qui sont présents sur le réseau 172.30.2.0, de donner la marque, le nom et
l’adresse MAC de la machine ainsi que le nom de domaine auquel elle est
rattachée.
« sudo » permet de
lancer la commande en
tant qu’administrateur,
qualification obligatoire
pour exécuter ce type
de commande
22
sudo nmap –O [adresse IP cible] : Permet d’identifier le système d’exploitation
de la machine et de donner la liste de tous les ports ouverts.
Commande Telnet sur LINUX :
Telnet permet de créer une session Telnet sur une machine distante, c’est-àdire de pouvoir administrer une machine à distance. C’est cependant un
protocole non sécurisé car les données circulent sur le réseau et peuvent être
interceptées. Seule la version SSH est sécurisée.
23
Utilisation de Wireshark :
Wireshark permet d’écouter les communications réseau afin d’en récupérer et
d’analyser les contenus transmis (c’est ce que l’on nomme le renfilage réseau).
Il est possible de filtrer les paquets en fonction d’un contenu particulier
recherché. L’utilisation malintentionnée de ce logiciel est bien évidemment
condamnable par la loi.
24
Filtrage ftp-data : Permet de récupérer les informations transmises au niveau
de l’échange de fichiers. Il est possible d’obtenir le contenu (crypté) d’un
fichier : clic droit sur la trame voulu puis « Follow TCP stream »
Filtrage ip.addr : Permet de mettre un filtre sur une cible : ip.addr==[IP cible] et
de voler un cookie : ip.addr==[IP cible]&&http.cookie.
25
C – MIGRATION DE SERVEURS SUR LE SITE DE PONTARLIER (PHD et STA) :
Pôle Handicap Dépendance (PHD)
Le PHD de Pontarlier a pour missions l’évaluation de la perte d’autonomie de la
personne âgée vivant à domicile, prestation de compensation du handicap pour
personnes handicapées adultes, agrément et suivi des familles d’accueil pour
personnes âgées et handicapées, traitement des situations de vulnérabilité.
Services Territoriaux d’aménagement (STA)
Les Services territoriaux d’aménagement (STA) constituent les relais de
proximité en assurant la maîtrise d’ouvrage et la conduite des travaux.
26
L’objectif de ce déplacement était de remplacer des serveurs obsolètes par des
serveurs HP ProLiant dernière génération.
Les services qu’il doit assurer sont :
- DHCP
- DNS
- Serveur de fichiers
- Serveur d’impression
Un serveur DHCP permet de délivrer automatiquement (après paramétrage)
des adresses IP aux machines connectées sur ce réseau.
Un serveur DNS permet de traduire un nom de domaine en informations de
plusieurs types qui y sont associées, notamment en adresses IP de la machine
portant ce nom.
Un serveur de fichiers permet de partager des données à travers un réseau.
Un serveur d’impression permet de partager plusieurs imprimantes entre
différents utilisateurs situés sur un même réseau.
Voici la procédure d’installation des serveurs que m’a transmis Monsieur
Faivre :
27
28
Utilisation d’un serveur de déploiement pour installer le Windows Server 2008
préconfiguré sur les serveurs.
Configuration du RAID (tolérance de panne) : RAID1 : Divise la taille du disque
par 2.
Descriptif de l’intervention :
- 1 : Connexion de bureau à distance sur l’ancien serveur
- 2 : DCPromo dans « exécuter » pour retirer le rôle de contrôleur de
domaine
Nouveau serveur
- 3 : Connexion de bureau à distance sur le niveau
- 4 : Dans « Outils d’Administration » réactiver le DHCP (ajouter les
liaisons)
- 5 : Retirer le disque de l’ancien serveur qui contient les données.
Connecter ce disque au nouveau serveur en USB via un lecteur externe
de disque. Copier les données sur le disque du nouveau serveur grâce à
la commande robocopy (qui s’exécute dans le cmd)
- 6 : Configurer le partage, les droits et les imprimantes
- 7 : Vérifier le bon fonctionnement des services depuis un poste client
29
La commande robocopy permet notamment de copier des répertoires en
conservant les droits d’accès :
Par exemple, pour copier tous les fichiers du disque "D:" vers un
répertoire de sauvegarde en "E:\BACKUP" on saisira la commande:
ROBOCOPY D:\ E:\BACKUP *.* /S /COPYALL /DCOPY:T /ZB /E
/S signale que l'on souhaite copier tous les sous-répertoires à l'exception
de ceux qui sont vides.
/CopyAll signale qu'il faut copier toutes les informations liées aux fichiers
(dates, droits, etc.).
/DCOPY:T signale que les dossiers créés en destination doivent conserver
les dates du dossier source.
/ZB indique que les fichiers bloqués doivent être copiés en mode
"redémarrage" ou en mode "sauvegarde" selon les cas.
/E copie les sous-répertoires (cette option inclut les répertoires vides).
30
D – MISE EN PLACE DE LA SOLUTION WIFI XYXEL N4100 :
En plus de son réseau filaire classique, le conseil général souhaite mettre à
disposition pour un certains nombres de sites distants un système de
communication WIFI à destination du public. Ce réseau sans fil a pour but de
donner aux personnes venant de l’extérieur un accès public à Internet pour une
durée définie.
Le matériel :
Passerelle Hot Spot WIFI :
Générateur de tickets :
Cette solution est destinée au Centre de l’Enfance de Besançon
31
Descriptif de la mission :
- 1 : Paramétrer le matériel de façon à respecter le plan d’adressage (accès
à l’interface d’administration depuis le navigateur) et les contraintes
telles que l’apparence des tickets
- 2 : Vérifier le bon fonctionnement de la solution : accès Internet et
impression des tickets
- 3 : Création d’un DAT (Document d’Architecture Technique)
1- Paramétrage :
Attribuer les adresses IP depuis l’interface graphique d’administration. Pour
vérifier la manipulation, il suffit de se brancher directement sur un des
appareils (passerelle Hot Spot ou générateur de tickets) et faire un ping sur son
adresse IP (Attention à bien mettre l’ordinateur qui effectue le ping en adresse
IP fixe dans le même réseau que l’appareil testé).
32
2- Tests :
33
3- Document d’Architecture Technique (DAT) de la solution :
34
CONCLUSION
A mon arrivée, je n’étais pas tout à fait en mesure de définir les rôles d’un
service des systèmes d’information. Ces quatre semaines de stage m’ont
permis d’y voir un peu plus clair et de comprendre les principaux enjeux de ce
service, tel que celui du Conseil Général du Doubs : c’est le véritable pilier sur
lequel repose toute l’organisation.
Malgré mon manque de connaissances par rapport aux exigences du service et
que, de ce fait, mon rôle n’a pas nécessairement été indispensable, cette
expérience a été pour moi très enrichissante. En effet, j’ai eu la chance de
découvrir un service informatique vaste, d’avoir un aperçu des différents
métiers qui le constituent et d’avoir rencontré des personnes accueillantes,
sympathiques et dotées d’un grand professionnalisme.
35

rapport_stage_killian_pavlik_2015

Transcription

Documents pareils

page 5 quand les secondes 8 s`y mettent

Compte-rendu du 05 février 2016

Carnivorous Plants Webshop Belgium

« Cèst bien de jouer àTekken » Cèst làprès

Défendons notre Hôpital

Information CPAM du Doubs 21 avril 2016 - MSA de Franche

Les métiers auprès des personnes âgées/handicapées

Jacquette du CD - Musique à St-Jo