rapport_stage_killian_pavlik_2015
Transcription
rapport_stage_killian_pavlik_2015
CG25 RAPPORT DE STAGE Service des systèmes d’information – Conseil Général du Doubs PAVLIK Killian Du 11 mai au 5 juin 2015 TABLE DES MATIÈRES Remerciements.................................................................................................. 2 Introduction....................................................................................................... 3 I - Contexte, présentation de l’organisation...................................................... 4 A - Le Conseil Général du Doubs...................................................................... 4 B - Le service du système d’information .......................................................... 7 II - Travaux effectués ....................................................................................... 12 A – Immersion avec l’équipe de techniciens réseaux et télécoms ................. 12 B - Travaux de recherches ............................................................................. 17 C - Migration de serveurs sur le site de Pontarlier......................................... 26 D - Mise en place de la solution Wifi ZyXEL N4100 ........................................ 31 III - Conclusion ................................................................................................. 35 Rapport de stage – Killian PAVLIK – 2015 1 REMERCIEMENTS J e tiens à remercier le Conseil Général du Doubs de m’avoir accueilli ainsi que toutes les personnes qui ont contribué au bon déroulement de mon stage. Tout d’abord, j’adresse mes remerciements à Monsieur Marc PETREMENT qui a soutenu ma candidature et m’a ainsi permis d’obtenir un stage de qualité. Je remercie vivement mes maîtres de stage Messieurs Gérôme AUBERT (Responsable du pôle infrastructure) et Alexandre CARO (Responsable d’exploitation informatique) pour leur accueil, leurs explications et pour m’avoir sollicité avec des tâches adaptées à mon niveau. Remerciements également adressés à Messieurs Sébastien BOETSCH et Frédéric GAILLARD (Techniciens exploitation système réseaux et télécoms) pour leurs diverses explications, pour avoir partagé leur bureau et avoir eu un aperçu des enjeux de leur métier au quotidien. Enfin, je tiens à remercier tout particulièrement Messieurs Florian BAILLY et Olivier MULLER (Techniciens réseaux et télécoms) ainsi que Monsieur Quentin FAIVRE (Apprenti) pour leur accueil, leur sympathie ainsi que pour les avoir accompagné lors de quelques-uns de leurs déplacements. Rapport de stage – Killian PAVLIK – 2015 2 INTRODUCTION I ntégrer le service des systèmes d’information du Conseil Général du Doubs, organisation composée de plus de 70 sites répartis sur l’ensemble du territoire, peut paraître déconcertant pour un étudiant de première année de BTS SIO (Services Informatiques aux Organisations). En effet, la taille de l’organisation impose de grandes et nombreuses responsabilités aux différents acteurs de ce service. De plus, les attaques informatiques étant de plus en plus évoluées, il est nécessaire de disposer de connaissances techniques précises et de mettre en place une veille informatique afin d’assurer la pérennité du système et de protéger la multitude de données qui circulent. Ce stage s’est déroulé sur une période de 4 semaines (du 11 mai au 5 juin 2015) et a pour principal objectif de faire vivre aux étudiants une expérience concrète dans le monde de l’informatique au sein d’une organisation et d’être confronté aux exigences du métier. Dans un premier temps, je présenterai le Conseil Général du Doubs ainsi que son service des systèmes d’information. Ensuite, je tenterai d’expliquer mon parcours durant le stage. Pour terminer, je conclurai par mes impressions personnelles. Rapport de stage – Killian PAVLIK – 2015 3 I – CONTEXTE, PRÉSENTATION DE L’ORGANISATION A – LE CONSEIL GÉNÉRAL DU DOUBS Rapport de stage – Killian PAVLIK – 2015 4 Rapport de stage – Killian PAVLIK – 2015 5 L’intranet i-doo (www.i-doo.doubs.fr) : Un intranet est un ensemble de services internet (par exemple un serveur web) internes à un réseau local, c'est-à-dire accessibles uniquement à partir des postes d'un réseau local, ou bien d'un ensemble de réseaux bien définis, et invisibles (ou inaccessibles) de l'extérieur. I-doo permet au personnel d’avoir accès aux actualités de l’organisation, au calendrier, aux informations concernant chacune des directions, etc… Rapport de stage – Killian PAVLIK – 2015 6 L e Conseil Général du Doubs, en tant que collectivité territoriale, est composé d’un organe délibérant et d’un exécutif, représenté par sa Présidente Mme. Christine BOUQUIN. Il détient diverses compétences notamment en matière : - D’action sociale : aide à l’enfance, au handicap, aux personnes âgées mise en place par les services de la Direction des Solidarités (DS), Centre Médicosociaux (CMS), Aide sociale à l’enfance (ASE), Centre de l’Enfance (CDE) - De développement économique par l’attribution d’aides directes (aide à la création d’entreprise) et culturel par la mise en valeur du patrimoine départemental (par exemple les salines royales d’Arc-et-Senans ou le musée Courbet) - D’éducation, de la jeunesse, et des sports. Le Conseil général du Doubs a en charge la construction et l’entretien des locaux des collèges publics, des équipements sportifs - D’environnement, avec des actions telles que l’élimination des déchets ménagers, la gestion de l’eau ou encore des espaces naturels - De développement des voies de communications, d’aménagement et des transports du département (Mobidoubs) Rapport de stage – Killian PAVLIK – 2015 7 B – LE SERVICE DU SYSTÈME D’INFORMATION Rapport de stage – Killian PAVLIK – 2015 8 Les missions du service du système d’information : - Assurer la viabilité des ressources de traitement de l’information - Assurer le développement, l’intégration, l’assistance technique, la maintenance évolutive et corrective des progiciels métiers - Effectuer l’installation, la maintenance et le dépannage de premier niveau des matériels - Participer à l’aménagement et développer les usages et services en matière de NTIC (Nouvelle Technologie de l’Information et de la Communication) - Apporter une aide technique aux EPCI (Établissement Public de Coopération Intercommunale) Gestion du patrimoine informatique : Patrimoine matériel : - Fournisseurs : HP, Xerox, Symantec, Alcatel - Location : emplacements au DATACENTER de Besançon (Planoise) Patrimoine logiciel : - Fournisseurs : Symantec (NetBackup), Microsoft (Suite Microsoft Office, Outlook, Lync, Visio, Sharepoint), GLPI, VMware Patrimoine connaissances : - Mode opératoire : rédaction de procédures, de DAT (Document d’Architecture Technique) - Formations proposées au personnel Rapport de stage – Killian PAVLIK – 2015 9 Veille technologique : Au vu de l’évolution exponentielle du monde des nouvelles technologies, il est primordial, en tant qu’informaticien, de constamment s’informer. Etre au courant des évolutions, par exemple les derniers appareils mis sur le marché, les dernières mises à jours ou encore les dernières modifications au Journal Officiel relatives aux NTIC, permet au professionnel de l’informatique de travailler de manière cohérente et de pouvoir faire face à toutes les éventualités. Ce travail de recherche constitue ce que l’on nomme la « veille technologique ». Au service du système d’information du Conseil Général, le personnel s’informe principalement sur Internet (www.clubic.com) et également avec des revues (abonnement à la revue Misc, spécialisée dans la sécurité informatique). Rapport de stage – Killian PAVLIK – 2015 10 Le réseau du Conseil Général du Doubs : Rapport de stage – Killian PAVLIK – 2015 11 II – TRAVAUX EFFECTUÉS A – IMMERSION AVEC L’ÉQUIPE DE TECHNICIENS RÉSEAUX ET TÉLÉCOMS À mon arrivé, mes maîtres de stage étant très occupés et n’ayant pas de temps à me consacrer dans l’immédiat, j’ai eu l’opportunité de passer mes premiers jours de stage avec des techniciens réseaux et télécoms. J’ai pu ainsi me familiariser avec un environnement encore inconnu pour moi et prendre connaissance de certains outils utilisés par le service. La suite applicative OmniVista 4760 (Alcatel-Lucent) : Il s’agit d’un système d’administration de Réseau qui permet de gérer les produits et les applications Alcatel-Lucent, localement ou à distance. Sa fonction de surveillance centralisée aide les administrateurs et les responsables réseaux au quotidien. Elle leur permet de faire des choix stratégiques concernant leurs réseaux convergés. Son interface Web et son architecture client/serveur facilitent l'administration et la maintenance du réseau, tout en réduisant le coût total de possession pour l'entreprise. Rapport de stage – Killian PAVLIK – 2015 12 GLPI (Gestionnaire Libre de Parc Informatique) : Solution open-source de gestion de parc informatique et de servicedesk, GLPI est une application Full Web pour gérer l’ensemble des problématiques de gestion de parc informatique : de la gestion de l’inventaire des composantes matérielles ou logicielles d’un parc informatique à la gestion de l’assistance aux utilisateurs. Rapport de stage – Killian PAVLIK – 2015 13 Visite du DATACENTER de Besançon (Planoise) : Un centre de données (data center en anglais) est un site physique sur lequel se trouvent regroupés des équipements constituants du système d’information de l’entreprise (ordinateurs centraux, serveurs, baies de stockage, équipements réseaux et de télécommunications, etc…). Il peut être interne et/ou externe à l’entreprise, exploité ou non avec le soutien de prestataires. Le Conseil Général y loue plusieurs baies de brassages dans lesquelles sont stockées des appareils de virtualisation (solutions VMware) ainsi que des switchs et des routeurs. Rapport de stage – Killian PAVLIK – 2015 14 Déplacement sur les sites de Quingey, Levier et Flagey : - Quingey : Centre Médico-Social (CMS) ● Installation d’un routeur Completel - Levier : Direction des routes et infrastructures (DRI) ● Installation d’un routeur Completel ● Problème de téléphonie : nécessité de changer un équipement - Flagey : Ferme natale de Gustave Courbet. Rénovée en 2008 et ouverte au public en 2009, la ferme de Flagey propose à ses visiteurs un cafélibrairie, une salle d’exposition ainsi que trois chambres d’hôtes (depuis l’été 2010). ● Mise en place de la solution Ucopia (installée sur un serveur) : L’objectif est de proposer un accès wifi aux visiteurs ● Étude de terrain pour une future mise en place de bornes Wifi Rapport de stage – Killian PAVLIK – 2015 15 Déplacement au service des transports : Le service des transports a pour objectif d’assurer une desserte équitable du territoire, en concertation avec les autres collectivités. ● Problème de téléphonie : nécessité de changer un équipement ● Sensibilisation du personnel à la solution Microsoft Lync Microsoft Lync 2013 est une plate-forme de communications unifiée destinée aux entreprises et qui a pour principales fonctionnalités : - Messagerie instantanée - Communication VoIP - Visioconférence Rapport de stage – Killian PAVLIK – 2015 16 B – TRAVAUX DE RECHERCHES Après quelques jours de stage, un premier travail m’a été proposé : tenter d’identifier d’éventuelles vulnérabilités sur les applications et sites web du Conseil Général avec le logiciel OWASP Zed Attack Proxy (ZAP). OWASP (Open Web Application Security Project) est une association à but non lucratif enregistrée aux US depuis 2004, dont le but est de sécuriser les applications sur Internet N’ayant que très peu de connaissances en matière de sécurité informatique, je me suis lancé dans un travail de recherche approfondi. L’utilisation de ZAP est assez simple : il suffit de saisir le lien du site web à tester, lancer le scan, puis analyser le résultat obtenu. (Attention : on ne peut « attaquer » uniquement les sites pour lesquels on dispose d’une autorisation). Après plus de 10 années d’activité, le TOP 10 OWASP des menaces les plus observées sur Internet est devenu la référence : 1- Injection 2- Violation de Gestion d’authentification et de Session 3- Cross-Site Scripting 4- Références directes non sécurisées à un objet 5- Mauvaise configuration sécurité 6- Exposition de données sensibles 7- Manque de contrôle d’accès au niveau fonctionnel 8- Falsification de requête intersites 9- Utilisation de composants avec des vulnérabilités connues 10- Redirection et renvois non validés Rapport de stage – Killian PAVLIK – 2015 17 Il existe plusieurs types de scans dont les deux principaux sont : - Scan actif : permettant de trouver des vulnérabilités - Spider : permettant de trouver du contenu caché Configuration de Firefox pour permettre un fonctionnement optimal de ZAP : Rapport de stage – Killian PAVLIK – 2015 18 Exemple : scan ZAP sur www.doubs.fr: Application Error Disclosure : This page contains an error/warning message that may disclose sensitive information like the location of the file that produced the unhandled exception. This information can be used to launch further attacks against the web application. The alert could be a false positive if the error message is found inside a documentation page En-tête X-Frame-Options non renseignée : L'en-tête X-Frame-Options n'est pas inclue dans la réponse HTTP pour protéger contre les attaques de 'ClickJacking' Le ClikJacking (ou détournement de clics) consiste à inciter un internaute à fournir des informations confidentielles ou à prendre le contrôle de son PC via des pages internet qui semblent sûres. Rapport de stage – Killian PAVLIK – 2015 19 Le second travail qui m’a été proposé consistait, au même titre que ZAP, à chercher des vulnérabilités mais cette fois-ci au niveau du réseau. Ne sachant pas vraiment par où commencer, j’ai tout d’abord effectué quelques recherches. Celles-ci m’ont amenées à m’intéresser à un sujet très vaste que sont les techniques de piratage informatique. Voici une liste des outils les plus célèbres dans le monde du hacking : - Rpcapd : Programme tournant en tâche de fond qui capture le trafic sur une machine. Il peut envoyer les données récupérées à un sniffer comme Wireshark. - Cain&Abel : Outil destiné aux administrateurs qui permet de récupérer des mots de passe. L’application analyse votre réseau et utilise toutes les combinaisons possibles de caractères en utilisant des mots de passe définis à partir de liste ou de dictionnaire. - NMAP (sur LINUX) : Scanner réseau qui permet d’effectuer une analyse complète de l’espace d’adressage IPV4. - Metasploit : Plateforme open-source de tests d’intrusion et qui dispose de fonctionnalités d’automatisation d’exploitation de failles et de créations d’exploits. - Wireshark : Sniffer ou analyseur de protocoles réseau et applicatif. Il permet de récupérer les paquets IP qui transitent sur le réseau afin de les analyser. Les sniffers sont des outils permettant d’analyser un réseau et de localiser un problème avec précision Rapport de stage – Killian PAVLIK – 2015 20 Utilisation de NMAP avec Ubuntu : Virtualisation d’Ubuntu avec VirtualBox : Définir « Accès par pont » dans les paramètres réseau afin de crée un pont vers la carte réseau du système hôte. Dans le réseau local, la machine virtuelle est ainsi visible. Installation de NMAP : sudo apt-get install nmap Pare-feu Ubuntu : - Activer : sudo ufw enable - Désactiver : sudo ufw disable Rapport de stage – Killian PAVLIK – 2015 21 Les principales utilisations de NMAP : - Permet de récolter des informations au sein d’un réseau - « Mapage » du réseau : permet de voir combien de postes sont présents sur le réseau et de voir quel est leur système d’exploitation - Scan silencieux d’un réseau (afin de ne pas se faire repérer) Exemples de commandes utilisées : sudo nmap –vv –sP 172.30.2.1-100 : Permet d’afficher tous les hôtes de 1 à 100 qui sont présents sur le réseau 172.30.2.0, de donner la marque, le nom et l’adresse MAC de la machine ainsi que le nom de domaine auquel elle est rattachée. « sudo » permet de lancer la commande en tant qu’administrateur, qualification obligatoire pour exécuter ce type de commande Rapport de stage – Killian PAVLIK – 2015 22 sudo nmap –O [adresse IP cible] : Permet d’identifier le système d’exploitation de la machine et de donner la liste de tous les ports ouverts. Commande Telnet sur LINUX : Telnet permet de créer une session Telnet sur une machine distante, c’est-àdire de pouvoir administrer une machine à distance. C’est cependant un protocole non sécurisé car les données circulent sur le réseau et peuvent être interceptées. Seule la version SSH est sécurisée. Rapport de stage – Killian PAVLIK – 2015 23 Utilisation de Wireshark : Wireshark permet d’écouter les communications réseau afin d’en récupérer et d’analyser les contenus transmis (c’est ce que l’on nomme le renfilage réseau). Il est possible de filtrer les paquets en fonction d’un contenu particulier recherché. L’utilisation malintentionnée de ce logiciel est bien évidemment condamnable par la loi. Rapport de stage – Killian PAVLIK – 2015 24 Filtrage ftp-data : Permet de récupérer les informations transmises au niveau de l’échange de fichiers. Il est possible d’obtenir le contenu (crypté) d’un fichier : clic droit sur la trame voulu puis « Follow TCP stream » Filtrage ip.addr : Permet de mettre un filtre sur une cible : ip.addr==[IP cible] et de voler un cookie : ip.addr==[IP cible]&&http.cookie. Rapport de stage – Killian PAVLIK – 2015 25 C – MIGRATION DE SERVEURS SUR LE SITE DE PONTARLIER (PHD et STA) : Pôle Handicap Dépendance (PHD) Le PHD de Pontarlier a pour missions l’évaluation de la perte d’autonomie de la personne âgée vivant à domicile, prestation de compensation du handicap pour personnes handicapées adultes, agrément et suivi des familles d’accueil pour personnes âgées et handicapées, traitement des situations de vulnérabilité. Services Territoriaux d’aménagement (STA) Les Services territoriaux d’aménagement (STA) constituent les relais de proximité en assurant la maîtrise d’ouvrage et la conduite des travaux. Rapport de stage – Killian PAVLIK – 2015 26 L’objectif de ce déplacement était de remplacer des serveurs obsolètes par des serveurs HP ProLiant dernière génération. Les services qu’il doit assurer sont : - DHCP - DNS - Serveur de fichiers - Serveur d’impression Un serveur DHCP permet de délivrer automatiquement (après paramétrage) des adresses IP aux machines connectées sur ce réseau. Un serveur DNS permet de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment en adresses IP de la machine portant ce nom. Un serveur de fichiers permet de partager des données à travers un réseau. Un serveur d’impression permet de partager plusieurs imprimantes entre différents utilisateurs situés sur un même réseau. Voici la procédure d’installation des serveurs que m’a transmis Monsieur Faivre : Rapport de stage – Killian PAVLIK – 2015 27 Rapport de stage – Killian PAVLIK – 2015 28 Utilisation d’un serveur de déploiement pour installer le Windows Server 2008 préconfiguré sur les serveurs. Configuration du RAID (tolérance de panne) : RAID1 : Divise la taille du disque par 2. Descriptif de l’intervention : - 1 : Connexion de bureau à distance sur l’ancien serveur - 2 : DCPromo dans « exécuter » pour retirer le rôle de contrôleur de domaine Nouveau serveur - 3 : Connexion de bureau à distance sur le niveau - 4 : Dans « Outils d’Administration » réactiver le DHCP (ajouter les liaisons) - 5 : Retirer le disque de l’ancien serveur qui contient les données. Connecter ce disque au nouveau serveur en USB via un lecteur externe de disque. Copier les données sur le disque du nouveau serveur grâce à la commande robocopy (qui s’exécute dans le cmd) - 6 : Configurer le partage, les droits et les imprimantes - 7 : Vérifier le bon fonctionnement des services depuis un poste client Rapport de stage – Killian PAVLIK – 2015 29 La commande robocopy permet notamment de copier des répertoires en conservant les droits d’accès : Par exemple, pour copier tous les fichiers du disque "D:" vers un répertoire de sauvegarde en "E:\BACKUP" on saisira la commande: ROBOCOPY D:\ E:\BACKUP *.* /S /COPYALL /DCOPY:T /ZB /E /S signale que l'on souhaite copier tous les sous-répertoires à l'exception de ceux qui sont vides. /CopyAll signale qu'il faut copier toutes les informations liées aux fichiers (dates, droits, etc.). /DCOPY:T signale que les dossiers créés en destination doivent conserver les dates du dossier source. /ZB indique que les fichiers bloqués doivent être copiés en mode "redémarrage" ou en mode "sauvegarde" selon les cas. /E copie les sous-répertoires (cette option inclut les répertoires vides). Rapport de stage – Killian PAVLIK – 2015 30 D – MISE EN PLACE DE LA SOLUTION WIFI XYXEL N4100 : En plus de son réseau filaire classique, le conseil général souhaite mettre à disposition pour un certains nombres de sites distants un système de communication WIFI à destination du public. Ce réseau sans fil a pour but de donner aux personnes venant de l’extérieur un accès public à Internet pour une durée définie. Le matériel : Passerelle Hot Spot WIFI : Générateur de tickets : Cette solution est destinée au Centre de l’Enfance de Besançon Rapport de stage – Killian PAVLIK – 2015 31 Descriptif de la mission : - 1 : Paramétrer le matériel de façon à respecter le plan d’adressage (accès à l’interface d’administration depuis le navigateur) et les contraintes telles que l’apparence des tickets - 2 : Vérifier le bon fonctionnement de la solution : accès Internet et impression des tickets - 3 : Création d’un DAT (Document d’Architecture Technique) 1- Paramétrage : Attribuer les adresses IP depuis l’interface graphique d’administration. Pour vérifier la manipulation, il suffit de se brancher directement sur un des appareils (passerelle Hot Spot ou générateur de tickets) et faire un ping sur son adresse IP (Attention à bien mettre l’ordinateur qui effectue le ping en adresse IP fixe dans le même réseau que l’appareil testé). Rapport de stage – Killian PAVLIK – 2015 32 2- Tests : Rapport de stage – Killian PAVLIK – 2015 33 3- Document d’Architecture Technique (DAT) de la solution : Rapport de stage – Killian PAVLIK – 2015 34 CONCLUSION A mon arrivée, je n’étais pas tout à fait en mesure de définir les rôles d’un service des systèmes d’information. Ces quatre semaines de stage m’ont permis d’y voir un peu plus clair et de comprendre les principaux enjeux de ce service, tel que celui du Conseil Général du Doubs : c’est le véritable pilier sur lequel repose toute l’organisation. Malgré mon manque de connaissances par rapport aux exigences du service et que, de ce fait, mon rôle n’a pas nécessairement été indispensable, cette expérience a été pour moi très enrichissante. En effet, j’ai eu la chance de découvrir un service informatique vaste, d’avoir un aperçu des différents métiers qui le constituent et d’avoir rencontré des personnes accueillantes, sympathiques et dotées d’un grand professionnalisme. Rapport de stage – Killian PAVLIK – 2015 35