MASTER RESEAU TELECOM CHOUAIB DOUKALI-UNIVERSITE 2011

SOREAD-2M

ADMINISTRATION DES RSEAUX :

PROTOCOLE SYSLOG TUDE ET SIMULATION AVEC KIWI SYSLOG SERVER DE SOLARWINDS ET ADMINISTRATION DUN FIRE WALL IPCOP

Raliser par : Mr SOUILKAT ANASS

PLAN
Prsentation de la socit Contexte du Projet Protocol Syslog Supervision du reseau par Kiwi Syslog server de SolarWinds Snare Agent for Windows Firewall ipcop conclusion

Prsentation de la socit

Raison sociale : Socit dtude et de ralisation audiovisuelle Date de cration : 4 Mars 1989 Identit juridique : Socit anonyme Capital : 302 371 500 DH Effectif : 598 personnes permanentes dont la moyenne dge est

39 ans

Activits : Audiovisuel , Presse, magasine , Radio 2M Site Internet : WWW.2M.TV

Sige social : Km, 7300 route de Rabat, Ain Seba, Casablanca

4

ORGANIGRAMME GLOBALE DE 2M

ORGANIGRAMME DEPARTEMENT SYSTEME DINFORMATION

STRUCTURE LOGIQUE ET PHYSIQUE DU RESEAU SOREAD-2M

ARCHITECTURE DE SOREAD 2M

Contexte du Projet

CONTEXTE DU PROJET

La supervision des rseaux est une mthode efficace qui rpond aux besoins dadministration des rseaux. Elle permet dinformer sur ltat du rseau trs rapidement et dune manire continue.

10

CONTEXTE DU PROJET

Mon Travail consiste tudier et dployer une solution de supervision fiable au sein de SOREAD 2M. Cette solution permettra dinformer ladministrateur de ltat de son rseau au moyen dune interface graphique et des notifications dalerte, danticiper sur les prochains dysfonctionnement et les futures besoins grce larchivage des vnement, et dautomatiser certains traitement urgents grce des scripts spcifiques

11

CONTEXTE DU PROJET

Ce projet est ralis avec loutil Kiwi Syslog Server et un FireWall IPCOP. Des techniques dadministration rseau et systmes et dautres logicielles ont t utiliss pour assurer la performance et la fiabilit de la solution.

12

Protocol Syslog

13

PROTOCOL SYSLOG

Introduction:

Le protocole Syslog est un protocole trs simple et trs largement utilis dans le monde Unix et Windows. Son but est de transporter par le rseau les messages de journalisation gnrs par une application vers un serveur hbergeant un serveur Syslog. Un autre but est aussi d'assurer la fonction de concentration des journaux, un serveur Syslog intermdiaire pouvant retransfrer les messages Syslog qu'il reoit vers un autre serveur Syslog.

14

PROTOCOL SYSLOG
1- les notions introduites par Syslog : 1-1 les notion de priphrique, relais et de contrleur :

Le protocole Syslog dfinit la notion de priphrique, de relais et de collecteur dans une architecture Syslog. Un priphrique est une machine ou une application qui gnre des messages Syslog.

Un relais est une machine ou une application qui reoit des messages Syslog et les retransmet une autre machine.
Un collecteur est une machine ou une application qui reoit des messages Syslog mais qui ne les retransmet pas.

15

PROTOCOL SYSLOG
1-2 les notions de fonctionnalit, svrit et priorit : Le protocole Syslog dfinit les notions de fonctionnalit, de svrit et de priorit d'un message Syslog. La RFC 3164 utilise les mots anglais facility, severity et priority.

16

PROTOCOL SYSLOG

Fonctionalit :

La fonctionnalit d'un message Syslog correspond au type d'application gnrant le message Syslog. Les 24 fonctionnalits existantes sont dfinies par la RFC 3164 Exemlpe:

Globalement, on peut dire que la fonctionnalit correspond au type d'application qui gnre le message Syslog.
17

PROTOCOL SYSLOG

Svrits:

La svrit d'un message Syslog correspond au degr d'urgence du message. Les 8 svrits existantes sont dfinies par les RFC :

18

PROTOCOL SYSLOG
Priorit:

La priorit d'un message Syslog est dfinie par sa fonctionnalit et sa svrit. Cette priorit est un nombre qui est le rsultat de la multiplication de la fonctionnalit par 8 auquel est ajoute la svrit.
Ainsi un message de priorit 165 aura pour fonctionnalit 20 (c'est-dire local use 4) et pour svrit 5 (c'est--dire Notice).

Il ne peut y avoir de priorit plus grande que 191 car la fonctionnalit la plus grande dfinie par les RFC est 23 et la svrit la plus grande est 7 : (23 * 8) + 7 = 191.

19

PROTOCOL SYSLOG
Une trame de protocole Syslog :
Le protocole Syslog est dfini par les RFC suivantes: La RFC 3164. La RFC 3195. Le protocole Syslog est un protocole en mode "texte", c'est--dire qu'il utilise uniquement les caractres du code ASCII. Il utilise le protocole UDP et le port 514 mais il faut savoir qu'il existe aussi des implmentations de Syslog en TCP ou mme en SSL et sur d'autres numros de port. La longueur totale d'une trame Syslog doit tre de 1024 octets ou moins. Il n'y a pas de longueur minimale mais une trame de 0 octet n'est pas trs utile et ne devrait pas tre transmise. Une trame de protocole Syslog est compose de 3 parties : La partie PRI. La partie HEADER. La partie MSG.

20

PROTOCOL SYSLOG
La partie PRI :

La partie PRI d'un message Syslog est compose obligatoirement de 3, 4 ou 5 caractres. Le premier caractre est toujours le caractre "<" suivi par un nombre qui reprsente la priorit (en base 10) du message et suivi par le caractre ">". La seule fois o le caractre "0" peut suivre le caractre "<" est pour coder une priorit dont la valeur est 0 justement. Dans tous les autres cas, le ou les caractres "0" de tte ne doivent pas tre prsents.

21

PROTOCOL SYSLOG
la partie header : La partie HEADER d'un message Syslog contient 2 champs : Le champ TIMESTAMP. Le champ HOSTNAME.

22

PROTOCOL SYSLOG
1- Le champ TIMESTAMP : Le champ TIMESTAMP doit immdiatement suivre le caractre ">" de la partie HEADER. Le format de date utilis par le champ TIMESTAMP est "Mmm dd hh:mm:ss".

23

PROTOCOL SYSLOG
2 - Le champ HOSTNAME : Le champ HOSTNAME peut contenir : Un nom de machine sans son nom de domaine. Un nom de machine ne doit pas contenir de caractre espace (" "). Une adresse IP au format IPv4 (format dcimal point 192.168.1.1 par exemple). Une adresse IP au format IPv6 (voir la RFC RFC 2373 pour les diffrentes notations supportes). Rien, le champ HOSTNAME est facultatif.
24

PROTOCOL SYSLOG
la partie MSG : La partie MSG d'un message Syslog comprend le message texte transfrer. Exemple de msg syslog : Les exemples suivants sont des messages Syslog valides :

25

PROTOCOL SYSLOG
les limitations du protocole Syslog :
Comme tout protocole simple, celui souffre de limitations et de faiblesses: Limitations UDP. Un petit nombre de fonctionnalits disponibles. La diffrence de comportement entre TCP et UDP. Un champ TIMESTAMP incomplet. Un contenu de champ HOSTNAME "flou". Le jeu de caractres du message est limit au code ASCII. Le manque de scurit du protocole. Le phnomne de boucle.
26

PROTOCOL SYSLOG

Limitations UDP:
Aucune garantie d'acheminement. Un paquet UDP peut trs bien tre envoy par un metteur et ne jamais tre reu ou trait par le rcepteur. Pas de numrotation des messages Syslog. il n'y a pas d'acquittement protocolaire au niveau de Syslog.

27

PROTOCOL SYSLOG
Nombres de fonctionnalits : Le nombre de fonctionnalits disponibles est limit 24 valeurs diffrentes (de 0 23). Une chose est sre, c'est que sur un collecteur de messages Syslog qui reoit des messages en provenance d'un grand nombre de machines, il y aura trs vite des doublons dans les numros de fonctionnalits utiliss. L'lment discriminant doit trs vite devenir le couple metteur/fonctionnalit.
28

PROTOCOL SYSLOG
La diffrence de comportement entre TCP et UDP :

Une trame Syslog sur UDP est envoye en un seul paquet IP et que ce paquet sera reu en une seule fois. Il n'y a pas besoin de mcanisme de synchronisation entre l'metteur et le rcepteur.

29

PROTOCOL SYSLOG

TCP est un protocole orient flux. Syslog tant orient messages, la difficult va tre d'extraire du flux TCP les diffrents messages Syslog. En TCP, il n'y a aucun lien entre le nombre d'envois et le nombre de rceptions et un mcanisme de synchronisation entre l'metteur et le rcepteur est ncessaire.

30

PROTOCOL SYSLOG

Le tableau suivant montre l'exemple de l'envoi de 3 messages Syslog et la diffrence de comportement (possible, c'est un exemple) entre TCP et UDP :

31

PROTOCOL SYSLOG
Un champ TIMESTAMP incomplet : Le champ TIMESTAMP de la trame Syslog n'est pas complet. En effet, l'information "anne" ne figure pas dedans. De plus, il n'y a aucune information concernant le fuseau horaire de la machine qui a gnr l'information d'horodatage.

32

PROTOCOL SYSLOG
Un contenu de champ HOSTNAME "flou" :
Le contenu du champ HOSTNAME est variable ce qui va poser des problmes dans les codes des serveurs Syslog mais aussi dans l'interprtation du contenu des messages. Pour rappel, le contenu du champ HOSTNAME peut tre : Un nom de machine (sans son nom de domaine). Une adresse IPv4 en notation dcimale pointe (192.168.1.1). Une adresse IPv6 (la notation utilise est celle de la RFC 2373). Vide.

33

PROTOCOL SYSLOG
Le jeu de caractres du message est limit au code ASCII : Le jeu de caractres d'un message Syslog est limit au code ASCII (caractres dont les valeurs sont comprises entre 0 et 127). Ceci peut prsenter des problmes lors de l'envoi des caractres accentus pour les messages gnrs par Windows par exemple. De plus, mme si l'on envoie des caractres accentus, rien n'est prvu pour indiquer le nom du jeu de caractres utilis (UTF-8, ANSI1252, OEM, ...).
34

PROTOCOL SYSLOG
La scurit du protocole : Le protocole Syslog est un protocole qui s'appuie nativement sur UDP. Il hrite donc de toutes les faiblesses inhrentes UDP : Il est possible de fabriquer de toutes pices une trame Syslog et de l'envoyer un serveur Syslog. Il est possible de fabriquer une trame Syslog en falsifiant l'adresse IP de l'metteur de la trame. Ainsi il sera impossible ou trs difficile de retrouver la machine qui a gnr la trame.
35

PROTOCOL SYSLOG
Il est possible de "bombarder" un serveur Syslog avec des trames Syslog de manire noyer des vnements rels parmi un grand nombre de messages falsifis. Toutes ces faiblesses disparaissent aussitt que l'on utilise Syslog sur le protocole TCP.

36

PROTOCOL SYSLOG
Le phnomne de boucle :
Le protocole Syslog dfinit la notion de relais. C'est--dire qu'un serveur Syslog peut retransfrer les messages Syslog reus vers un autre serveur Syslog. Le pige de cette fonctionnalit est d'introduire une boucle dans la chane des relais Syslog. Cette boucle fait que tous les messages Syslog tournent indfiniment. Ce phnomne met rude preuve le rseau ainsi que les serveurs Syslog qui forment cette boucle.

37

SUPERVISION DU RESEAU PAR KIWI SYSLOG SERVER DE SOLARWINDS

Kiwi Syslog server :
Kiwi Syslog Server reoit les messages syslog partir de priphriques rseau et les affiches en temps rel.

38

SUPERVISION DU RESEAU PAR KIWI SYSLOG SERVER DE SOLARWINDS

La fentre d'affichage principale:
Au dmarrage, l'affichage principal pour Kiwi Syslog Server ressemble ceci:

39

40

SUPERVISION DU RESEAU PAR KIWI SYSLOG SERVER DE SOLARWINDS

Sauthentifier Kiwi Syslog web access:

41

SUPERVISION DU RESEAU PAR KIWI SYSLOG SERVER DE SOLARWINDS

Rglement / filtres / Actions.
Comment fonctionne le moteur de rgles :

Il est possible de dfinir jusqu' 100 rgles. Chaque rgle peut contenir jusqu' 100 filtres et 100 actions. Quand un message syslog est reu, elle est traite par chaque rgle son tour.

42

SUPERVISION DU RESEAU PAR KIWI SYSLOG SERVER DE SOLARWINDS

Types de filtres
1- Les filtres simples :
Le filtre simple vous permet de spcifier une seule ligne de texte faire correspondre. Chaque chane de recherche doit tre contenue par des guillemets. Le [S] slectionne une recherche sous-chane ou pas forcement exacte.

43

SUPERVISION DU RESEAU PAR KIWI SYSLOG SERVER DE SOLARWINDS

2- Filtre complexe :
Le filtre complexe vous permet de spcifier plusieurs chanes rechercher. Les chanes de recherche peuvent tre lis sous forme de [(A ou B) et (C ou D)] mais pas [(E ou F) et (G ou H)].
Chaque chane de recherche doit tre contenue par des guillemets.

44

SUPERVISION DU RESEAU PAR KIWI SYSLOG SERVER DE SOLARWINDS

3- Filtre des plages d'adresses IP :
Ce filtre vous permet de spcifier une plage d'adresses IP inclure ou exclure. Soit "Inclure" ou "Exclure" peut tre laiss en blanc, mais pas les deux.

45

SUPERVISION DU RESEAU PAR KIWI SYSLOG SERVER DE SOLARWINDS

4- Filtre de masque sous-rseau IP :
Le filtre de masque sous-rseau IP vous permet de spcifier une plage d'adresses IP inclure ou exclure sur la base correspondant au masque.

46

SUPERVISION DU RESEAU PAR KIWI SYSLOG SERVER DE SOLARWINDS

5- Priorit filtre :
Chaque message entrant contient une valeur de priorit. Cette valeur est constitue par sa fonctionnalit et sa svrit. Vous pouvez spcifier les priorits pour que le rsultat de filtre soit vrai.

47

SUPERVISION DU RESEAU PAR KIWI SYSLOG SERVER DE SOLARWINDS

Actions
1- Lenvoi dun message syslog : Ceci enverra un message Syslog pour les htes spcifis, chaque fois qu'un message est reu et passe les filtres. Dtails du message reu et statistiques Syslog d'autres peuvent tre inclus dans le message Syslog sortants. Ceci peut tre utilis pour relayer les messages Syslog slectionns sur un autre hte avec des informations supplmentaires, ou avec votre texte ajout au message.

48

SUPERVISION DU RESEAU PAR KIWI SYSLOG SERVER DE SOLARWINDS

2- Forward to another host :
Ce serveur transmet les messages reus vers un autre hte en utilisant le Syslog UDP ou TCP protocole syslog. (UDP: Port 514 TCP: Port 1468 ou le port 601 KRDP: Port 1468)

49

SNARE AGENT FOR WINDOWS:

Voila comment lagent Snare doit tre configur.

Apprt avoir configur se dernier le service Snare doit tre redmarr.

50

SNARE AGENT FOR WINDOWS:

Voila un aperu sur la fentre qui visualise les journaux de la machine local.

51

FIREWALL IPCOP :
Presentation: IPCop est un systme d'exploitation complet bas sur un noyau Linux optimis qui est destin assurer la scurit de votre rseau. Utilisant trs peu de ressources systmes, il peut tre install sur un vieux PC (233MHz / 64Mo de RAM) et fera office de pare-feu trs performant pour l'ensemble de vos ordinateurs.

52

FIREWALL IPCOP :

Description de larchitecture:

53

FIREWALL IPCOP :
Installation dIPCOP : Configuration du rseau :

54

FIREWALL IPCOP :

55

FIREWALL IPCOP :

56

FIREWALL IPCOP :

57

FIREWALL IPCOP :

58

FIREWALL IPCOP :

Cet cran permet de configurer une liaison (Rouge) de type RNIS ou Numris (FT). Nous choisissons de dsactiver cette fonction.

59

FIREWALL IPCOP :

60

FIREWALL IPCOP :

61

FIREWALL IPCOP :

62

FIREWALL IPCOP :

63

FIREWALL IPCOP :

64

FIREWALL IPCOP :

65

FIREWALL IPCOP :

66

FIREWALL IPCOP :

67

FIREWALL IPCOP :

68

FIREWALL IPCOP :

69

FIREWALL IPCOP :
Accs distance via un navigateur Internet

70

FIREWALL IPCOP :

71

FIREWALL IPCOP :
Accs distance via un accs Telnet sur SSH :
Pour cela nous allons sur la page de configuration Web dans longlet Systme puis accs SSH

72

FIREWALL IPCOP :

73

FIREWALL IPCOP :

Nous pouvons dsormais utiliser Putty pour administrer notre IPCOP distance : IPCOP coute sur le port 22 pour SSH et non 8022

74

FIREWALL IPCOP :

75

FIREWALL IPCOP :
Ajouter des rgles personnalises sur IPTables Les rgles personnelles peuvent tre appliques en les ajoutant dans le fichier /etc/rc.d/rc.firewall.local Lexemple suivant bloque tous les accs directs depuis lintrieur et destination des ports 80 et 443 lexterieur . #!/bin/sh # Used for private firewall rules # See how we were called. case "$1" in start) ## add your 'start' rules here /sbin/iptables -A CUSTOMFORWARD -i GREEN -p tcp -m mport --dports 80,443 -j DROP ;; stop) ## add your 'stop' rules here ;; *) echo "Usage: $0 {start|stop}" esac

76

FIREWALL IPCOP :
Paramtres du Pare-Feu :

77

FIREWALL IPCOP :
Ajouter un service:

78

FIREWALL IPCOP :
Rgles du Pare-Feu :
Dans ce cas jai annul laccs ftp pour lutilisateur 192.168.1.3.

79

FIREWALL IPCOP :
configuration des journaux :

80

FIREWALL IPCOP :
Journaux du PARE-FEU :

81

Conclusion

82

83