Ministére de l’enseignement supérieur et de la Recherche Scientifique UNIVERSITE ECOLE POLYTECHNIQUE 'G) CENTRALE UNIVERSITE CENTRALE A a ONORES UNITED UNIVERSITIES Département Informatique Mémoire de Projet de Fin d’Etudes Présenté pour lobtention du Dipléme National d’Ingénieur en Génie Informatique Option Réseaux Informatiques et réalisé par SAADAOUI Marwen Sujet : Conception et Mise en place de Centre d’Opération de service « SOC» Soutenu le 07/07/2018 devant Ie jury d’examen composé de ; M. QULDELHASSAN Mohamed = (Maitre-Assistant) Président AFI Sahbi (Docteur Télécom) Examinateur HDUI Tarek (Ingénicur Expert) Encadreur Universitaire GHARBI Walid (Directeur Technique) Encadreur Industrie! Année Universitaire : 2017/2018Remerciements Remerciements Nous ne pouvons pas laisser passer l'occasion de la présentation de ce rapport sans exprimer nos meilleurs remerciements & tous ceux qui ont bien voulu apporter l'assistance nécessaire au bon déroulement de ce projet Amon encadrant pédagogique Monsieur HOUI Tarek, Ingénieur Expert réseaux & la Tunisie Télécom et enseignant @ la Polytechnique centrale, nous avons eu le grand honneur de travailler sous votre direction, Vatre compétence professionnelle incontestable ainsi que vos qualités humaines vous valent I'admiration et le respect de tous, Veuillez, cher monsieur, trouver dans ce modeste travail "expression de notre haute cansidération, de notre sincére reconnaissance et de notre profond respect. ‘Amon encadrant professionnel Monsieur GHARBI Walid, Expert réseaux, directeur technique 3 la SOTETEL et enseignant la Polytechnique centrale pour avoir dirigé ce travail, ses efforts pour m’intégrer dans environnement, ses remarques pertinentes, et ses conseils judicieux, pour sa patience, sa disponibilité, son soutien moral et pour la confiance qu'il m’a accordé. Quill trouve ici I'expression de ma plus profonde gratitude ‘et que ce travail soit & la hauteur du grand effort et du temps qu'il m’a consacré. Mes remerciements les plus distingués sont adressés aux membres de jury, je leurs suis reconnaissant ‘Qui m’ont fait 'honneur de bien vouloir accepter d’évaluer ce travail du temps qu’lls y ont consacré, ‘Aux cadres pédagogiques de la polytechnique Centrale, pour la qualité de formation qui m'a té dépensée.Dédicaces Dédicaces ‘Tous les mots ne sauraient exprimer la gratitude, l'amour, le respect, la reconnaissance... ‘Aussi, c'est Tout simplement que Je dédie ce projet de fin d'études... A mes chers parents, ‘Vous aver su m’inculquer le sens de la responsabilité, de I'optimisme et de la confiance en soi face aux difficultés de Ia vie. Vos conseils ont toujours guidé mes pas vers la réussite, Je vous dois ce que je suis aujourd'hui et ce que je serai demain et je ferai toujours de mon mieux pour rester votre fidélité et ne jamais vous décevoir ‘Que Dieu vous procure bonne santé et longue vie. Ames chers fréres, Ama chére sceur, Pour votre soutient et encouragements, vous occupez une place particulitre dans mon coeur. ‘Ames amis proches, A tous ceux que j'aime et tous qui me sont chers... SAADAQUI Marwen ...Table des matiéres Table des matiéres Remerciements Dédicaces Table des matizres Uste des figures Liste des tableaux Glossaire Introduction générale .. ‘Chapitre 4 : Cadre générale du projet 1. Introduction 5 2. Présentation de l'orga 2.1 Présentation générale .. 2.2 Activites de SOTETEL 224 2.2.2 2.2.3 224 2.3 Objectifsde SOTETEL 24 — Organisme de SOTETEL. 3. Etude de lexistant .. 3.1. Description de lexistant ......nsnrnnnrninnernernetninnnnnnnnnne inet 3.2 Critique de lexistant. 321 3.2.2 3.2.3 3.2.4 4. Sol 4.1 Modele conceptuel de fa salution de supervision .. 4.2 Modéle conceptuel de Ia solution de journalisation. 5. Conclusion... itn Chapitre 2 : Conception de la solution cible ion envisage... me d'accuel Réseau d’Accés... Réseau « Core » et « Backbone ».... Réseau Wireless Services Canvergents ... Complexité de configuration Gestion de configuration. Enoncé du probleme de supervision... Enoncé du probléme de journalisation Entraves de SOTETEL. Nécessité des centres d'opération de services (SQC)..P: 4 2. 3, 4, 5. 6. Conclusion.. Partie 2 : Etude conceptuelle dela centralisation des journaux.. 1. Introduction 2, Centralisation des journaux.. 3. Table des matiares _ 16 Introduction ...csinsnuseiesiettainennisissinsiinsniieieseieieinatstateisenin sense: artie 1 : Etude conceptuelle de la supervision... Monitoring, surveillance réseau informatique 2.1 Les Objectifs du monitoring : 22 Domaines de surveillance .. Les outils de monitorie 3.1 Les plateformes édi 3.1.1 Seam, 3.1.2 HP OpenView. 3.1.3. IBM Trivoli Monitoring... 3.2 Les plateformes libres. 3.2.1 Nagios 3.2.2 Zabbi BL2.B CHECK MK scessessensncensensretnenetcee csnusetensenaneneineanseineinnenmanssneneseen 3.2.4 — Eyes-Of-Network, Etude Comparatif... . Choi de Plateforme 5.1 Composition d’Eyes-Of-Network. 5.2 Architecture d'EyeOtNetwark.. 5.2.1 Programmes-plugins .... 5.2.2 Les fichiers de configuration... 5.2.3 Compléments d’Eyes-Of-Network.. 5.2.3.1 NAGIOS cacti Wethermap NagVis 2.1 Logs 2.2 Journalisation locale 2.3 Centralisation des journaux. Systéme de gestion des événements .....Table des matiéres 3.1 SEM (Gestion des événements de sécurité) 3.2 SIM (Gestion de l'information de sécurité) . 3.3 SIEM (Informations sur la sécurité et gestion des événements) ... AL Produit SIEM vssessssnnssneintinne BL Bib Yogiasissssennnwsianssonesains 42 Fluentd 4.3 ELK stack 5. Analyse comparati 5.1 Caractéristiques... 5.2 Fonctionnement... 6 Choixde plateforme 6.1 Présentation générale de la solution ELK stack... 62 Le principe technique dela solution ELK stack. 6.3 Architecture c'ELK stack... 6.4 Les composants d'ELK stack... Ela search. Présentation d’ElasticSearch. Moteur de recherche et moteur d'indexatian.... Les fonctionnalités d’ElasticSearch Logstash, Présentation de Logstash.. Principe de fonctionnement de Logstash .... Kibana.. Présentation de Kibana .. Principe de fonctionnement de Kibana... Te CONCLUSION tetas Chapitre 3 ; Emulation de la topologie de la solution 1, ARPT a a scrastiiitarrianictiusirisnsirtiscacifiniiia 2. Environnement de simulation ... 21 Prérequis Matériels con 2.2 Prérequis logiciel .. 3. Présentation de la topologie du Backbone. 3.1 Technologies et plateformes ut 3.2 Méthodologie d'apprache....Table des matiéres 3.3. Plan d’adressage. 3.3.1 Coté Backbone .. 4. Configurations et tests.. 4.1 Configuration des interfaces ... 4.2. Configuration des pratocoles de routage intra-nuage.. 4.2.1 Routage OSPF de Backbone IP/MPLS... 4.2.2 Configuration de MPLS.. 43 Mise enplace des VPN.......... 4.3.1 Configuration de WRF 4.4 Configuration de routage OSPF au niveau CPE 45 Configuration de MP_BGP 5. Conclusion... ‘Chapitre 4; Management dela solution Partie 1: Mise en place de serveur de supervisionesrasesnesssnmserssonsstinrsnssninnis 1. Introduction 2. Prérequis logict 3. Association du GNS3-VMWare 3.1 Installation de superviseur EyesOfNetwork 3.1.1 Paramétrage réseaux : 3.1.2 Acces a la plateforme 3.2 Couplage Backbone-EyesOfNetwork. 4. Mise en place de Nagios 4.1 Configuration SNIVP .. 4.2 Ajout des équipements du Backbone. 4.3 Programme plugins... 4.4 Verification 5. Mise en place de Cacti... 5.1 Création d’un graphe. 5.2 Création d’Héte : 5.3 Graphe de Cacti 6. Mise en place de Nagvis. 6.1 Création de carte... 6.2 Ajout des hétes... 7. Mise en place de Weathermap..Table des matiares _ 7.1 Création de carte . 7.2 Ajout des noeuds... 7.3 Ajout des liens .. B. Génération des Rapport... ssseseiseises 8.1 Rapport SLA Technique s.sssnsss 8.2 — Rapport Tendances.. 8.3 Rapport performances ... 9. Notification par Email 10. Conclusion... Partie 2 : Mise en place de serveur de centralisation des journaux........... L..brnbreebuwcttbene scissecbsseeinesctettvcissnse 2. Mise en place de l'environnement . 2.1 Installation de la machine virtuelle..... 2.2 Conne iciahieatraateceraiisthB’. 83 n Gns3-Machine virtuelle. 3. _ Installation de la pile ELK-stack. 3.1 Installation de Java 8 3.2 Installation d’Elasticserach. 3.3. Installation de Logstash.. 3.4 Installation de Kibana... 4, Configuration de la pile ELK... 5. Analyse des journaux... 5.1 Configuration des routeurs ... 5.2 Configurations de script de log. 5.3 Test d’analyse de lo 6. Gestion de I'interface Web de Kibana..... 6.1 Recherche des messages... 6.2 Tableau de bord et visualisation .. 6.3 Génération des rapports ose TF. COMCHUSION.....essesseeeranseoe Conclusion générale. Références bibliographiques. AMIMEMES sesensensntntntnennarnenentnnee oes ilendabiidinciniincnmaiiinaiiiayaaniaeLDDListe des figures Liste des figures Figure I- 1 : Planification Du Déroulement Du Projet vere eeninsienenrsernnnnnneennente Figure I- 2: Logo Sotetel Figure I- 3 : Organigramme De Sotetel ... Figure I- 4 : Architecture de la solution de supervision. Figure I- 5 : Architecture de solution de journalisation. Figure Il 1 ; Interface graphique SCOM Figure Il-2 : interface graphique HP OpenView Figure II-3 : Interface graphique IBM Trivoli.. Figure Il-4 ; Logo Zabbix Figure Il-5 : Logo Check-mk.. Figure II-6 : Logo Eyes-of-network.. Figure ll-7 : Diagramme radai Figure Il-8 : Eyes of network Figure I-9 : Composants d’€yes-of-network. Figure I-10 ; Architecture d'EyeOfNetwork... Figure Il-11 : Outils: d’Eyes-Of-Network west Figure Il- 12 : Interface graphique de Nagios ........ Figure Il- 13 : Interface graphique CACTI ssrm.essneresnnnnvee Figure Il-14 ; Vue de la carte Wethermap in. Figure Il- 15 : Vue de la carte Nagvis . Figure I-16 : Architecture log local Figure Il-17 ; Architecture SIEM. Figure Il- 18 : Logo graylog. Figure Il- 19 : Architecture Graylog.. Figure Il-20 : Logo Fluentd Figure Ile21 : Architecture Fluentd.. Figure I-22 : ELK-stack... Figure I-23 ; Architecture ELK-Stack,. Figure I-24 : Principe de fonctionnement Logstash.. Figure Ill- 1 : LOGO GNS3 Figure III- 2; Maquette de simulation wn. Figure IIl-3 ; Architecture OSPF. Figure Ill- 4 : Test de bon fonctionnement d’OSPF...... Figure IlI- 5 : Table de voisinage de routeur PEL. Figure Il-6 : Test de la connectvité VRF au niveau de PE1.. Figure IV- | : VMware-Workstation 12 pro ... Figure IV-2 : Processus d'installation d’Eyes-Of-Network Figure IV-3 : Adressage réseaux du superviseur. Figure IV-4 : Adresse IP d’EyesOfNetwork.... Figure IV- 5 : Interface authentification EyesOfNetwork. Figure IV-6 : Dashboard EyesOfNetwor!Liste des figures Figure IV-7 : Carte réseaux de la machine virtuelle Figure IV-8 : Cloud Backbone-EyesOfNetwork Figure IV-9 : Test de couplage Backbone-EON Figure IV- 10 : Configuration SNMIP-EON. Figure IV- 11 : Configuration SNMP-Router Figure IV- 12 : Ajout -Nagios du routeur Provider .. Figure IV- 13: Chargement de plugin Figure IV- 14 : Liste des plugins Nagio: Figure IV- 15: Affichage de la liste des routeurs surveillé Figure IV- 16: Interface des services surveillés Figure IV- 17; Interface web de Cacti. Figure IV- 18 : Création de graphe Cacti Figure IV- 19 : Création d’hdte Cacti Figure IV- 20 ; Etats des routeurs surveillés par Cacti Figure IV-21 : Graphe CPU Usage du routeur Provider. Figure IV- 22: Etat de PEL 3 superviser Figure IV-23 : Graphe de Traffic GO/0 PE2 Figure IV- 24: Création de carte Nagvis. Figure IV-25 : Ajout équipements Nagvis.... Figure IV- 26 : Carte Nagvis. Figure IV- 27 : Création de carte wedhermap... Figure IV- 28 : Ajout de naeud-weathermap. Figure IV- 29 : Ajout d'un lien wethermap Figure IV- 30: Carte weathermap ... Figure IV- 31: Rapport SLA de routeur Pro Figure IV- 32: Rapport tendances PE1. Figure IV- 33 ; Rapport performance Backbone SOTETEL. Figure IV- 34 : Notification par email. Figure IV-35 : Reception des mails de Nagios Figure IV- 36 : Processus "installation d’Ubuntu 18,04 .. Figure IV- 37 : Ajout d'interface virtuelle .. Figure IV- 38: Adresses IP de I'interface de la machine hébergeant le serveur ELK Figure IV- 39; Couplage Backbone-ELK sms Figure IV- 40 : test de connectivité backbone-EL! Figure IV-41: Ajout d'un référentiel Oracle Java Figure IV-42 : Mise a jour de base de dennées de paquets APT... Figure IV- 43 ; Installation Java 8. Figure IV-44 : Version java ccs. Figure 1V- 45 :Clé de signature d'las Figure IV- 46 : Installation d’Elasticserach.. Figure IV- 47 : Activation et état de service d’elast Figure IV- 48 : Activation et état de service Logstash Figure IV- 49 : Activation et état de service de Kiban: Figure IV- 50 : Activation automatique des services ELK-stack.. earchListe des figures Figure IV-51: Figure IV-52: + Configuration Kibana.. Figure IV-54: Figure IV-55: Figure 1V-56: Figure 1V-57: Figure IV-58: Figure IV-59: Figure 1V-60: Figure IV-53 Configuration Elasticsearch. ‘Configuration Logstash. Configuration logging du routeur Provider ‘Configuration de script log2.conf. ‘Test d’analyse de log par ELK-stack. Découvert des logs par Kibana.. Recherche des messages sur Kibana Création de nouvelle visualisation Création d'un Tableaux de bord.Liste des tableaux Liste des tableaux Tableau II- 1 : Tableau comparatif des outils de supervision open source Tableau Il- 2 : Tableau comparatif SIEM - caractéristique. Tableau Il- 3 : Tableau comparatif SIEM- Fonctionnement Tableau Ill- 1: Adressage de la maquette.Glossaire A Glossaire ‘AS : Autanamous System B BGP : Border Gateway Protocal c ‘CPE : Customer Provider Edge ‘CPU: Central Processing Unit G 'GNS3 : Graphical Network Simulator GE : Giga Ethernet 1 ICMP : Internet Control Message Protocol IP : Internet Protocol IOS ; Internetwork Operating System L LAN : Local Area Network LDP : Label Distribution Protocol LER : Label Edge Router LSR : Label Switch Router MPLS : Multi-Protaco! Label Switching ° ‘OSPF : Open Shortest Path First Pp P: Provider PE : Provider Edge s SOTETEL : Société Tunisienne d'Entreprises de TélécommunicationGlossaire SOC: Centre d’opération de service SIEM : Security Information and Event Management ‘SEM : Security Event Management SIM : Security Information Management ‘SNMP : Simple Network Management Protocal SLA : Service-level agreement u UDP : User Datagram Protocol Vv ‘VPN : Virtual Private Network ‘VRE : Virtual Routing and Forwarding,Introduction générale Introduction générale Durant ces derniéres années, dustrie des technologies de I'information et des téiécommunications témoigne une évolution considérable, En conséquence, cette évolution entraine le développement de nouveaux services multimédia qui exigent des garantis en terme de qualité de service. En revanche, avec un besoin croissant d'offrir des services plus personnalisés & leurs abonnés ‘tout en faisant face a la complexité croissante de leurs réseaux, et les défis posés par une diversification de leurs modéles d'affaires vers le cloud et les services numériques, les ‘opérateurs réseaux doivent passer de CNP (centres d'opérations réseau) 4 SOC (centre d'opération de service), D’autant plus, suite I'augmentation continue des petites et moyennes entreprises souhaltant héberger et gérer a distance leurs infrastructures et systémes d’informations et accélérer leur ‘transformation numérique, SOTETEL doit améliorer son réseau coeur afin de mieux répondre aux besoins de ses clients professionnels en leur offrant une plus grande flexi ité dans le développement et l'admi tration de leurs systémes informations. Cette nécessité d’évoluer @ permis de créer une solution de migration vers la technologie MPLS pour supporter sur le méme Backbone différents services (data, voix, vidéo, internet). Par ailleurs, dans un environnement caractérisé par une concurrence accrue, les moindres problémes qui peuvent survenir sur le Backbone peuvent avoir de lourdes conséquences aussi bien organisationnelles que fonctionnelles. Pour cette raison et afin de réduire ce risque au minimum, il est nécessaire de surveiller le réseau et d’agir quand une erreur se produit, Pour ce faire, il faut obtenir les données de gestion et contrdler les équipements de réseaux. Dans ce contexte et pour répondre a ces exigences, La Saciété Tunisienne d'Entreprises de Télécommunications « SOTETEL » nous a proposé ce projet intitulé « Conception et mise en place de centre d'opération de service SOC» visant & détecter et isoler tout type de dysfonctionnement dansle réseau, ‘Ce projet est réalisé au sein de « SOTETEL », dans le cadre d'un projet de fin d'études pour obtention du diplome national d’ingénieur spécialité réseaux informatique.Introduction générale Il consiste d'une part @ concevoir et implémenter une solution convergente de technique MPLS/VRF, permettant 2 entreprise de répondre aux besoins de ses clients. D’autre part, cconsiste a implémenter une solution open source de supervision appelée « Eyes Of Network » capable de de gérer et de superviser la totalité du réseau du Backbone IP/MPLS de SOTETEL. Par la suite nous serons en mesure de mettre en place un systéme SIEM de centralisation des logs des équipements réseaux du Backbone IP/MPLS, qui va permettre de fournir des statistiques utiles pour faire des prévisions et générer des événements refiétant ("état de réseau. Llobjectif de la planification du projet est de déterminer les étapes du projet et le timing. Ce planning joue un réte primordial paur la réalisation et le suivi du projet. En vue de modéliser ‘cette planification, nous avons eu recours 4 l'outil de gestion de projet « Office-Time-Line » afin de dresser le diagramme de Gant montrant les différentes étapes de notre projet. Lancement du projet, Avant-Premitre Version Finale ture du projet osyoa/18 15/0a/1m 30/05/18 25/06/18 aie Documentation MPLS/Superviston/lournalsation —21 jot; = & Fh -26 Feb (Mike en place du Backbone 1P/MPLS SOTETEL 7 jour: mmm: 27 Feb 05 War Etude Conceptuelle du Centre dopération de service —1Sjors SS Nar 10 Mr Implémentation dusystéme de supervision 25 ou) ND 2 War 15 At Implémentation du systéme SIEM 34 jo 1 Aur 20 Ma Evaluation 10 jours 21-Mal - 30 Ma Redaction du rapport 109 jours 265 en- 05 Figure I- 1 : Planification du déroulement du projet Le plan envisagé dans le reste de ce document adopte une démarche répartie en quatre madules : En premier lieu, le rapport s'ouvrira sur une présentation détaillée de l'entreprise ainsi que du sujet de stage. II sera cléturé par une étude de existant afin de dévoiler les entraves que rencontre I'opérateur. Finissant par la solution proposée % Le deuxiéme chapitre sera subdivisé en deux parties consacrées pour l'étude conceptuelle du notre centre d’opération de service. Ou nous définirons dans une premiére partie la notion du monitoring réseaux et ses objectifs, ainsi qu’une étude comparative des différentes plateformes existantes dans le domaine de la surveillance 2Introduction générale réseau, finissant par le choix de I'outil adopté. La deuxieme partie de ce chapitre portera sur l'étude de concept de centralisation et d’analyse des journaux des équipements réseaux, cette partie sera valorisée par une étude comparative des systémes SIEM de centralisation des journaux existant, finissant par le choix opté pour notre solution. Le troisitme chapitre s'intéressera 4 la mise en place et la simulation, & une échelle réduite, de la topologie de notre selution. On fera l'émulation de quelques techniques proposées. Le quatriéme chapitre tracera la fonctian de management de la topologie ainsi créée II sera subdivisé en deux parties. La premiére partie comporte |'installation et la configuration d'un systéme de supervision réseau et un systtme d’étude de performances. La deuxiéme partie sera dédiée pour la mise en place d'un Systeme SIEM. parl'implémentation d’un serveur de journalisation et d’analyse de log des équipements réseaux coeur de SOTETEL Nous cléturons le rapport par une conclusion générale tracant les grandes lignes de notre travail suivie par des perspectives que nous désirons accomplir dans un travail futur,Chapitre 1 ; Cadre générale du projet Chapitre 1 Cadre générale du projet Ce chapitre présente, d'une maniére générale, le contexte du travail afin de fixer les abjectifs de ce projet de fin d'études,Chapitre 1: Cadre générale du projet 1, Introduction Dans ce chapitre, nous présentons d'abord I'établissement d'accueil au sein duquel notre stage a &té accompli, par une description générale, des objectifs et du domaine d'activité, ensuite nous allons étudier les problématiques posées. Enfin nous présenterons la solution adoptée pour ces derniers 2. Présentation de lorganisme d'accueil 2.1 Présentation générale La Société Tunisienne d’Entreprises de Télécommunications SOTETEL est un acteur de référence dans le domaine des télécommunications en Tunisie et 8 I'étranger, elle se positionne comme le partenaire privilégié des principaux équipementiers internationaux opérant en Tunisie. Elle a été créée en septembre 1981 avec un capital de 23,184 Mi In _OT, en 2013 le chiffre diaffaire de la société a atteint 37,789 Million DT, La société est leader dans la mise en ceuvre: ‘et la maintenance des infrastructures de tous types de réseaux de télécommunication. Les ressources humaines et matérielles de la société présentant toujours des bénéfices devant ses concurrents et garantissant la position dominante de la société sur le marché de ‘télécommunication ce qui explique son rdle prépondérant dans le déploiement de Vinfrastructure des télécommunications en Tunisie en prenant part presque a tous les projets réalisés pour le compte de l'opérateur national « Tunisie Télécom » [81] CSotetel Figure 1-2 : Logo SOTETEL Elle dispose d'un effectif total de 530 employés dont 70 ingénieurs, un pare de mayens logistiques important composé notamment de 225 véhicules 90 engins et outils spécialisés 6 micros trancheuses. La société est constituée actuellement de 14 sites dont un siége construit sur une superficie de plus de 6 000 m?,4 complexes régionaux abritant principalement les structures administratives ‘et techniques qui leur sont rattachées et dont 3 ont une superficie qui dépasse les 3 000 m? un hangar d'une superficie de 6 000 m? environ , 7 espaces commerciaux dont un transformé en un « Espace entreprises.» et deux laués & Tunisie Télécom et Un terrain de plus de 1600 m?.Chapitre 1 : Cadre générale du projet Les principaux actionnaires de SOTETEL sont « Tunisie-Télécom » avec un pourcentage de 35%, « Al-Atheer-Funds » avec un paurcentage de 7.47% et des divers porteurs avec un pourcentage de 57.53%, parmi les partenaires on cite : * cisco HUAWEL NEC SAGEM e oo ¢ VMware 2.2 Activités de SOTETEL Les activités de la SOTETEL couvrent plusieurs domaines des réseaux de télécommunication dont on cite : 2.2.1 Réseau d'Accés Ingénierie des réseaux de Télécommunications. Od Réseau d'accés par FTTX “ Réseaux d'accés par cables Cuivre. 2.2.2 Réseau « Core » et « Backbone » Aménagement des locaux techniques. Intégration des systémes IP-MISAN. Maintenance des réseaux des opérateurs. Réseaux PSTN et PLVIN, Réseaux Metro Fibre et Backbone: eo oo 2.2.3 Réseau Wireless ° Couverture Wireless Indoor. * Mise en place des sites 36. > Optimisation des réseaux radios. 2.2.4 Services Convergents 4 Autorisation et authentification. % Communications unifiées et travail collaboratif. + Distribution et mobilité. 2.3 Objectifs de SOTETEL Les obje stratégiques de SOTETEL ont été orgaiChapitre 1 : Cadre générale du projet La croissance financiére rentable et performante. ° La mise a niveau technologique concentrée sur le coeur de métier. % Le développement d'une approche commerciale cohérente et proactive. La performance et la mise & niveau des ressources humaines. Llexcellence opérationnelle des processus et systémes clés, La stratégie de développement de la SOTETEL a été basée sur les avantages compel celle dispose, notamment: La maitrise acquise dans la conduite des grands projets. La notoriété historique et l'image de marque. La consistance du carnet d'adresse et limportance des références. La compatence et la spécialisation des ressources humaines techniques. La confiance des autorités publiques. ob et ee La présence sur l'ensemble du territaire Dans le but de réussir sa mission d'intégrateur, il a été question d'engager un programme de transformation visant 4 assurer une forte réactivité suivant une structure légére et un modéle de gestion souple et responsabil ant Pour ce fait, un plan d'affaires a été élaboré pour la période 2009-2011 visant notamment 3: + Recentrer les activités de l'entreprise. Fixer les objectifs de rental Optimiser les ressources. oe Développer les ressources et les competences. + Mettre en place un systéme d’incitation basé sur ta productivité. Cd Mettre en place un modéle de management favorisant le suivi et I'évaluation des performances. Une nouvelle organisation a été instaurée refiétant une volonté permanente de faire développer les compeétences et de faire évoluer les activités et les solutions, Une organisation ‘dynamique centrée sur les clients et tirée conjaintement par trois soucis permanents : % Le suivi systématique des nouveautés et des opportunités. + Le développement des activités a forte valeur ajoutée. Le respect des normes de qualité et de performanceChapitre 1 ; Cadre générale du projet 2.4 Organisme de SOTETEL SOTETEL comporte cing départements prit ipaux, chaque département est responsable de ‘taches bien précises et relatives & celles réalisées par les autres départements. [B1] & D.CF (Direction Centrale Financiere) responsable a la gestion financiére, comptabilité et administration. + D.C.C (Direction Centrale Commerciale} responsable de la gestion des ventes, du chiffre d'affaires et du marketing.s + D.CRH (Direction Centrale Ressources Humaines) responsable du recrutement, intégration et formation du personnel, gestion administrative et paie et communication interne. + D.CSE (Direction Centrale Solution d'Entreprise) responsable de I'étude, installation et maintenance des réseaux privés, + D.CRX (Direction Centrale des Réseau) responsable de la mise en cauvre de infrastructure des réseaux de transmissions et des réseaux d'accés (Réseaux publics). Divktion histor Division gestion ‘io Deion: fnancire marketiog ‘du personnel visas tapes Drision Ditton vision achat Oiiion Dhow a treorerie deveiopacment instalation ma complexe Dhsion Division des Divison (actuation = again Division suit eee dderagences = Divion are autoet 3 ce Division BLA Figure I- 3 : Organigramme de SOTETELChapitre 1 : Cadre générale du projet 3, Etude de l'existant Dans les derniéres années, on a assisté plusieurs incidents liés @ la mal gestion des équipements réseaux 4 cause d’une mauvaise vérification des configurations ou tout ‘simplement a cause de la charge importante du travail des administrateurs 3.1 Description de I'existant Uévolution fulgurante des réseaux informatiques et Internet a fait accroitre la charge de travail des administrateurs réseaux, occasionnant ainsi un accraissement des ressources humaines leurs limites et consacrées & leur gestion. Les capacités de gestion de réseau ant été poussées sont donc devenues plus complexes et source d’erreurs. [B2] 3.2 Critique de Vexistant 3.2.1 Complexité de configuration La gestion des réseaux informatiques est toujours un travail pénible, laborieux, sujet aux ‘erreurs et dont la complexité est sans cesse croissante en raison de I'évolution des technologies et du matériel qui entre en compte. Diune part, les équipements qui forment le réseau doivent se comporter comme un groupe ; cependant, chacune de ces machines est gérée et canfigurée individuellement. La question fondamentate est la méme depuis plusieurs années. Un ingénieur réseaux est responsable d'un pool de dispositifs dont les configurations individuelles sont gérées pour la plupart manuellement. Chaque fois qu'un nouveau service doit étre ajouté aux appareils du réseau, i di s'assurer du réglage parfait et approprié des paramétres de configuration de ces apparel Cette délicate opération doit viser deux objectifs : mettre en place la fonctionnalité désirée tout ‘en permettant la continuité des services existants. Ceci signifie en particulier que les paramétres de la nouvelle configuration ne doivent pas entrer en conflit avec les paramétres ‘déja configurés de ces appareils ou ceux d'autres appareils, Imaginez que lors d’un examen en vidéo conférence, aprés quelques échanges fructueux entre f'étudiant et l'examinateur se trouvant dans une autre ville ou dans une autre université, la communication se coupe. ‘Comment faire pour renouer la communication avec son enseignant ou son étudiant ? 3.2.2 Gestion de configuration La diversité des équipements réseaux et des contraintes qui leur sont associées font ainsi accroitre la complexité de la gestion des configurations, et comme le mentionnent parmi tous 9Chapitre 1: Cadre générale du projet les problémes liés aux équipements réseau, les erreurs de configurations sont les plus difficiles 2 résoudre. L'objectif des administrateurs de réseaux est de configurer les équipements réseaux sans aucune erreur. La réduc n du nombre d’erreurs peut conduire & une réduction des couts des travaux de maintenance pour les entreprises. Des recherches menées dans le passé ont découvert que 40% des temps d’arrét de systme sont dus aux erreurs ‘opérationnelles et 44% proviennent des erreurs de configuration, [83] 3.2.3 Enoncé du probléme de supervision Ayant un trés grand nombre de serveurs a gérer, 'administrateur réseaux est incapable de vérifier leurs disponibilités (en ligne ou pas), déterminer la qualité des services qu'lls offrent, ni de détecter la défaillance des équipements (charge CPU, Etat mémoire, surcharge du disque...) ni les surcharges et pénurie temporaire des ressources. Le seul moyen de détecter ces anomalies, se faite par la réception des différentes plaintes et réclamations des clients Souciante de sa réputation concernée par la satisfaction et le confort de ses clients, la société veut 4 tout prix éviter la confrontation a des clients mécontents d’oii éviter le risque de les perdre, et ce en travaillant a leur offrir une meilleure qualité de services, en anticipant les pannes et en évitant les arréts de longue durée génant les services qui peuvent causer de lourdes conséquences aussi bien financiéres qu’ organisationnelles. 3.2.4 Enoncé du probléme de journalisation A utilisation ultérieure qui est a Vorigine des problémes a tant de niveau, ils ne gardent que la poque actuelle SOTETEL,n’a pas de solution pour restaurer ses journaux pour une piste sur les quelques journaux qui sont produits par les logiciels de supervision du réseau ou des journaux qui sont stockés sur ses bases de données des solutions de gestion, comme le dépannage du résultat prend plus du temps que prévu et il y a trés peu administrateurs qui aiment se pencher sur les fichiers journaux pour diagnostiquer manuellement et résoudre un probleme de systéme ou de réseau. 3.2.5 Entraves de SOTETEL SOTETEL est maintenant engagé via-avis de ses clients par un contrat SLA (Service Level Agreement) qui formalise l'accord négocié entre les deux parties. I met par écrit I'attente des clients sur le contenu des prestations, leurs modalités d'exécution ainsi que les responsabilités cet les garanties du fournisseur. Par exemple, le SLA peut spécifier les limites acceptables en 10Chapitre 1: Cadre générale du projet ‘termes de la qualité de service offerte qui peut étre mesurée avec des statistiques telles que le debit, le taux d'utilisation des ressources, le taux de perte, la disponibilité, etc, O’autre part, la solution actuelle de gestion du Backbone qu'utilise SOTETEL souffre d'un ensemble d'inconvénients, Par conséquent et pour maintenir la qualité de service minimale exigée dans le SLA, des outils avancés en gestion du réseau doivent étre utilises. 3.2.6 Nécessité des centres d'opération de services (SOC) Pour rester au courant des temps en termes de technologies de télécommunication et service des réseaux, et pour améliorer les capacités de service a la clientéle. les opérateurs autour du mande:, cherchent toujours de développer des centres d'apération de service (SOC) qui lui permettent de surveiller et de visualiser leurs services, leurs sites et le statut de leurs clients et de poursuivre l'exploration et l'exploration des instances de services et des sites a l'aide d'informations sur les performances, les erreurs et la configuration, travers les domaines, les réseaux et les topologies. Les centres d'opérations de service (SOC) regroupent les ressources dans un seul emplacement ‘et gérent les flux de données et les événements déconnectés, fournissant des informations sur la qualité de service (QoS) fournie aux abonnés 4. Solution envisage Pour remédier aux problémes et entraves de SOTETEL précédemment cités, et pour satisfaire au maximum aux abonnés en termes de qualité et continuité de service ainsi que pour atténuer aux problémes de comple: et de gestion des équipements réseaux. SOTETEL propose ce projet qui cansiste a la mise en place de centre d'apérations de service, comprend la mise en évidence d'un mécanisme pour contréler le fonctionnement du son coeur réseaux « Backbone » et pour étudier les données collectées et définir des seuils d’alertes qui peuvent servir au déclenchement des alertes lors de détection des problemes. Its‘agit done et sans doute d'une : 4 Mise en place d'un systeme de supervision qui pourra grace aux différentes fonctionnalités qu'il offre, détecter les pannes en surveillant le statut des équipements réseaux existant dans la « Backbone », et des divers services réseaux et d'offrir des renseignements supplémentaires voir charge CPU, espace disque, mémoire disponible. wnChapitre 1 : Cadre générale du projet_ 4 Mise en oeuvre d'un outil de centralisation des journaux des équipements réseaux du « Backbone » de SOTETEL, qui a pour fonction, anticiper les erreurs el les pannes de réseaux en suivant méticuleusement le fonctionnement du systéme par le collecte et analyse des journaux envoyées par les routeurs dans un serveur virtuel afin d’avoir une wue générale de systéme et d’avertir si cet outil a détecté des anomalies pouvant causer un arrét du service. 4.1 Modéle conceptuel de la solution de supervision Un systéme de supervision offrira a l'administrateur la possibilité de contréler et de vérifier {état des équipements réseaux (Ex: CPU, mémoire, Ram etc...) ainsi que les services installés sur lesquels (Ex: services routage, services application etc... 3 l'aide du protocale SNMP. permet de réagir le plus rapidement possible face aux pannes qui peuvent intervenir afin déviter un arrét de production de trop longue durée. Figure I-4 : Architecture de la solution de supervision La solution de supervision proposée est optée pour un outil de monitoring performant et riche en fonctionnalités permettant de gérer les équipements réseaux de sa Backbone de facon simple et unifiée. Une des taches confides a |'administrateur réseau est de surveiller et de contrdler les périphériques, tels qu’hétes, routeurs, serveurs et switch. wzChapitre 1: Cadre générale du projet Le protocole SNMP qui doit étre configuré sur ces équipements, permettra d'avoir un apergu plus clair des ressources du réseau entier. Ceci fait, on aura la possibilité de gérer ces ressources de maniére optimisée, amplifiant ainsi les performances du systéme. Avec le protocole SNMP, il pourra contréler la consommation de labande passante et occupation mémoire CPU et superviser des problémes importants, tels que la disponibilité et les niveaux trafic. (64) 4.2 Modéle conceptuel de la solution de journalisation ‘Avec I'évolution flagrante des architecture réseaux et le trafic trés critique qu’elles générent (trafic financier, trafic bancaire, trafic Datacenter...) la supervision reste un élément insuffisant ‘vue qu‘on n’apercoit l'incident que lorsqu’il se produit. ‘Cest pour cela que cette partie de notre projet détermine des lignes directrices pour le choix d'une solution de collecte et d’analyse des journaux des équipements réseaux du Backbone de « SOTETEL » permettant 4 l'administrateur réseaux de détecter les incidents suspects et de réagir d'une fagon proactive face & ces incidents qui peuvent provoque un arrét de systeme Done abjectif principal de cette partie est de refiéter I'importance qui réside sur la collecte et analyse des événements des équipements réseaux avec un systéme centralisé et les corréler pour générer des alertes afin de suivre efficacement tout état de cause dans le réseau dans un délai nécessaire. Solution de ceatralization Figure I- 5 : Architecture de solution de journalisation 13Chapitre 1 : Cadre générale du projet ‘On parle céans de la mise en place d'un systéme SIEM (Security Information and Event Management) qui permet a l'aide de la réception des journaux de la part de différents équipements existant dans infrastructure réseaux de lentreprise de : ¥ Contréler les vulnérabilités de l'infrastructure réseaux de l'entreprise Détecter d'une manire précoce les cyberattaques en maintenant une surveillance permanente Réagir pro-activement face aux idents qui peuvent se produire (Ex : si on détecte une mauvaise qualité de lien entre deux routeurs, on peut régler le probléme avant qu'il provoque l'échec de service de routage). ‘Comme il est montré dans la figure de la solution, le principe de fonctionnement d'un systeme SIEM est répartien cing principales phases : ¥ Lacollecte : consiste 8 recuelllir des journaux systéme provenant des différentes sources {routeur, pare-feu, serveur...) Y La normalisation : permet de convertir les logs originaux collectés dans un format universel et de les classer dans des catégories utiles. (Ex: modifications d'une configuration, acces aux fichiers au encore Attaque par surcharge de tampon) Analyse : permet d’analyser les journaux 4 partir de requétes paramétrables La corrélation : Les régles de corrélation permettent d'identifier un événement qui a causé la génération de plusieurs autres (Ex: un hacker qui s'est introduit sur le réseau puis a manipulé tel équipement...) Reporting: sert a la création des rapports standards et planifiés qui prendront en compte toutes les vues historiques des données recueillies par le produit SIEM 5. Conelusion ‘Ce chapitre a été congu pour familiariser I'environnement de travail en présentant lentreprise d'accueil et architecture réseaux dont elle dispose. Les problémes que rencontre SOTETEL se sont imposés suite 2 l'étude de lexistant et 2 sa critique. Pour finir par la proposition de la solution qui répond aux exigences cités tout en détaillant ses modéles conceptuels et ses architectures ciblés, dans le deuxiéme chapitre, On va définir les deux concepts qu‘indiquent notre solution, le concept de supervision et le concept de journalisation. Ainsi que réaliser une ‘étude comparative entre les outils propriétaires et libres les plus utilisés afin de choisir les plus adoptés entre eux pour I'implémentation de notre application. 1Chapitre 2 : Conception de la solution cible_ Chapitre 2 Conception de la solution Cible Ce chapitre sera subdivisé en deux parties principales Nous nous intéresserans dans une premiére étape a la définition du concept de fa supervision réseaux, nous valoriserons cette partie par une étude comparative entre les outils disponibles Dans une deuxiéme étape, nous mettrons les points sur les éléments qui définissent le concept mn des journaux tout en spécifiant les différentes plates-fromes dispor de centralisat finissant par le choix de l'outil adopté pour notre projetChap2-Partie 1; Etude conceptuelle de Supervision Partie 1: Etude conceptuelle de la supervision 1, Introduction Dans cette présente partie, d’abord nous allons définir Ja notion de ta supervision et ses abjectifs, ensuite nous analyserons les différentes plateformes existantes dans le domaine de la surveillance réseau, en décrivant leurs avantages et leurs inconvénients par une étude ‘comparative entre eux, pour arriver enfin & la sélection de la plateforme adoptée pour notre projet. 2. Monitoring, surveillance réseau informat Le monitoring ou monitorage est une activité de surveillance et de mesure d’une activité informatique. On parle aussi de supervision, En informatique, la supervision est une technique de suivi, qui permet de surveiller, analyser rapporter et d’alerter les fonctionnements anormaux des systémes informatiques. La supervision informatique consiste indiquer et/ou commander l'état d'un serveur, d'un ‘équipement réseau ou d'un service software pour anticiper les plantages ou diagnostiquer rapidement une panne. [85] 2.1 Les Objectifs du monitoring Les objectifs sont multiples : > Eviter les arréts de service. > Remonter des alertes, > Détecter et prévenir les pannes. Les raisons peuvent étre variées : » Mesure de performance, en termes de temps de réponse par exemple. * Mesure de disponil 6, indépendamment des performances. > Mesure d’intégrité, I'état des processus sur une machine Unix par exemple » Mesure de changement, surveillance de sites de News avec Google Actualités. Exemples d’éléments a superviser : > Serveurs : CPU, mémaire, processus, espace disque, service. > Matériels : Disques, cartes Ri carte réseau, température, alimentation, onduleurs. 16Chap2-Partie 1: Etude conceptuelle de Supervision > Réseau : Bande passante, protocoles, switch, routeurs, firewall, accés externes, bornes Wi-Fi. Si je ne supervise pas > Je peux étre piraté sans le savoir. > Mes serveurs peuvent étre fatigués. Mes performances peuvent tomber. La simple installation de l'outil de supervision ne suffit pas. La clé d'une surveillance réseau assez efficace, est d'assurer que l'outil de réseau choisi a été configuré pour contréler les paramétres essentiels : la disponibilité, la vitesse et la bonne utilisation d'un réseau. La supervision est une fonction informatique de suivi utilisée pour ameéliorer |'exploitatian des ressources mis en place & travers I'installation d'un outil sur une machine serveur qui permet d'analyser, de surveiller, de visualiser, de piloter, d'agir et d'alerter les fonctionnements. anormaux des systémes informatiques. Son but est de fournir une vision précise sur des ‘équipements et d'alerter !'administrateur suite & la détection d'un événement indésirable, cette alerte doit se faire avant que le probléme n'engendre des répercussions sur Ia satisfaction des clients et la productivité finale des utilisateurs, (86) Ainsi, la supervision sert 3 rentabiliser les activités par une exploitation maximale des ressources pour un cout minimal tout en offrant un service de qualité aux utilisateurs. 2.2 Domaines de surveillance La supervision est une tache extensive Concerne tout ce qui est : > Réseau (débits, bande passante, protocoles...) } Systemes (la verification de état des ressources matérielles d'un serveur tel que le CPU lamémoire, le disque du Services (SMTP, FTP, HTTP/HTTPS..). v > Ressources techniques (activité d'un équipement, disponibilité, performance, qualité de service...). v Les attaques connues sur un pare-feu par exemple. 7Chap2-Partie 1: Etude conceptuelle de Supervision 3, Les outils de monitoring Plusieurs outils de super jons peuvent étre utilisés, ces outils peuvent étre triés selon les objectifs attendus et précisés par les administrateurs mais aussi par la valeur des équipements 2 superviser et par I'impact économique puisque on retrouve toujours des outils gratuits et d'autres payants. Dans la suite nous présentons quelques solutions. 3.1 Les plateformes éditeurs Depuis la naissance du terme de supervision, les grands éditeurs de logiciel ont rapidement ‘compris que la supervision devient un besoin exigé par les entreprises qui essayent toujours de garantir la dispanibilité de leurs services, pour cela les éditeurs de logiciel ont commencé 3 développer des outils de surveillance payants au profit de ces entreprises. ‘Actuellement on retrouve des logiciels de supervision proposés par les plus populaires éditeurs de logiciel tel que Scom(Microsoft), HP OpenView(HP), IBM Trivoli Monitoring(IBM), BMC Patrol(BMC}. Dans ce qui va suivre, nous présenterons trois leaders des logiciels payants de supervision : ‘Scom, HP OpenView et IBM Trivoli Netview 3.1.4 Scom Scom (System Center Operations Manager) anciennement connu sous le nom de MOM {Microsoft Operations Manager) est un programme de supervision réseau Microsoft développé par Microsoft qui permet le monitoring des différents équipements grace & une interface logicielle, outil peut supporter seulement les matériaux et produits Microsoft (Switch, ‘serveurs...) [B7] Figure i1-1 : Interface graphique SCOM 18Chap2-Partie 1; Etude conceptuelle de Supervision 3.1.2 HP OpenView HP OpenView est parmi les logiciels majeurs de la supervision. |! permet la supervision des équipements réseaux et l'affichage de l'état courant des équipements grace a une interface ie, Un systéme d'alarme intégré permet de synchroniser tous les Equipements et de grap! ‘communiquer avec les machines par le protocole SNMP. Le logiciel H? OpenView permet le contréle d'un réseau distribué depuis un seul point. HP ‘OpenView envoie des requétes SNMP périodiques vers les agents, si un état change ou un périphérique devient injoignable, une alarme est directement déclenchée [B8] Figure I1-2: Interface graphique HP OpenView 3.1.3 IBM Trivoli Monitoring La solution IBM Tivoli Monitoring est congue pour faciliter la gestion des applications critiques ‘en surveillant de facon proactive les principales ressources informatiques. atnane San eeas Figure IT- 3 : Interface graphique 18M Trivoli 19Chap2-Partie 1: Etude conceptuelle de Supervision IBM Tivoli Monitoring est capable d'apporter la réponse la plus adaptée aux différents ‘éyénements et incidents survenant pendant une exploitation informatique, typiquement da directement sur le composant logiciel ou sur le systéme (réseau, serveurs, ..) responsable d'un mauvais temps de réponse. [B9] 3.2 Les plateformes libres ILexiste des solutions de supervision libres et professionnelles. Vavantage de ces logiciels libres est la gratuité, la disponibilité du code source et la iberté d’étudier et de modifier le code selon nos besoins et de le diffuser De plus, il existe une communauté importante du ateurs et de développeurs qui participent 4 [amélioration des logiciels et apportent une assistance par la mise en ligne des documentations et des participations aux forums, Parmi les plus répandues, reconnues du mament nous pouvons citer Nagios, ZABBIX, EYES-OF- NETWORK et FAN 3.2.4 Nagios Anciennement (Net saint) est un logiciel de supervision de réseaux créé en 1999 par « Ethan Galstad ». Il est considéré comme étant la référence des solutions de supervision Open Source. ‘Crest un outil tres complet pouvant s'adapter 4 n'importe quel type d'utilisation avec des possibilités de configuration trés poussées. La modularité et la forte communauté (> 250 000) ‘qui gravite autour de Nagios (en participant au développement de nombreux plugins et addons) ‘offrent des possibilités en terme de supervision qui permettent aujourd'hui de pouvi superviser pratiquement n'importe quelle resource. [B10] % Avantages = La supervision & NRPE). istance peut utiliser SSH ou un tunnel SSL (notamment via un agent - Les plugins sont écrits dans les langages de programmation les plus adaptés 3 leurs taches : scripts shell (Bash, ksh, etc.), C++, Perl, Python, Ruby, PHP, C#. - La remontée des alertes est enti@rement paramétrable grace a [utilisation de plugins (alerte par courrier électronique, SMS, etc...). 20Chap2-Partie 1: Etude conceptuelle de Supervision © Inconvénients - _Difficile 3 installer et & configurer - Dispose d'une interface compliquée - Ne permet pas d’ajouter des hosts via Web - Besoin d'un autre outil comme CACTI pour faciliter sa configuration - Pas de représentations graphiques = Les mises 8 jour de la configuration se font en mode « ligne de commande » et elles doivent étre réalisées coté supervision comme coté équipement a superviser. 3.2.2 Zabbix ZABBI Figure IT 4 : Logo Zabbix ‘Cest un outil de supervision, ambitionnant de concurrencer Nagios et MRTG. il fait la ‘supervision technique et applicative, il offre des vues graphiques (générés par RRDtaol) et des alertes sur seuil. C’est une solution de monitoring compléte embarquant un front-end web, un ‘ou plusieurs serveurs distribués, et des agents multiplateformes précompilés (Windows, Linux, ‘AIX, Solaris), Il est également capable de faire du monitoring SNMP et IPMI ainsi que de la découverte de réseau. tl repose sur du C/C++, PHP pour la partie front end et MySQL/PostgreSQL/Oracle pour la partie BDD. [B11] > Avantages = Richesse des sondes et tests possibles (supervision d'applications Web, par exemple). - Réalisat n de graphiques, cartes ou screens, = Configuration par fa GUI (interface graphique). - Mise a jour de la configuration via l'interface Web de Zabbix. + Serveur Proxy Zabbix. > Surveillances des sites web: temps de réponse, vitesse de transfert... % Inconvénients - Interface est un peu vaste, la mise en place des templates n'est pas évidente au début petit temps de formation nécessaire. aChap2-Partie 1 : Etude conceptuelle de Supervision agent zabbix communique par défaut en clair les informations, nécessité de sécuriser ces données (via VPN par exemple} 3.2.3 Check MK ‘C'est une solution de supervision open source développée par Mathias KETTNER en 2008. En réalité c'est une extension de Nagios, qui est l'outil de monitoring le plus connu et le plus u! dans les entreprises. [B12] “ies Figuee iI- § : Logo Check-mk Avantages Installation et configuration facile interface Web est beaucoup plus intuitive et elle intégre des outils, comme PNP4Nagios et RRDTtool. - Vinterface permet une configuration entiérement graphique. Check_MK est capable de réaliser un inventaire automatique des services disponibles sur un héte a superviser. = Pas besoin redéveloppé des sondes. + Inconvénients ~ Offre plus de services sur environnement Unix 3.2.4 Eyes-Of-Network Figure IT- 6 : togo Eyes-of-network Eyes Of Network « EON » est une solution compléte de supervision, basée sur la distribution GNU/Linux CentOS, gérée et administrée via une interface web, qui est accessible par tous les acteurs d'un systéme d’informations avec une vue correspondant chacun de leur métier.[813] az_Chap2-Partie 1: Etude conceptuelle de Supervision EON est open source et sous licence GPL2, qui englobe plusieurs outils de supervision monitoring et de gestion, chacun d’eux est spécialisé pour effectuer une tache spécifique de supervision : NAGIOS : gestion des incidents et des prablemes ‘CACTI : gestion des performances WEATHERMAP : cartographie de la bande passante BACKUP MANAGE! +: Outil de sauvegarde de la solution + Avantages - Interface de configuration webs + Permet de fa er le déploiement des outils de supervision - Noyau linux solide et fiable & Inconvénients: ~ Une configuration en interface web qui ne supporte pas la navigation sécurisée (HTTPS) 4, Etude Comparatif La Comparaison générale des outils de supervision & base open source précédemment cités a été étudiée en premier lieu avec un diagramme radar en fonction de ; & Dynamisme 4 a 4 a a Ressource Souplesse et extensibilité Socle technique Périmetre fonctionnel notoriété actuelle Nagios BH EON — PHezabbix GD check mk THRUK : interface de supervision multibackend, v NAGVIS ; cartographie personnalisée de la disponibilité, CACTI et PNP4NAGIOS : gestion des performances, > WEATHERMAP : cartographie de la bande passante, v 25Chap2-Partie 1: Etude conceptuelle de Supervision > BACKUP MANAGER : Outil de sauvegarde de la solution, » EONWEB : Interface Web unifiée de la solution, > EZGRAPH : Librairie d'affichage des graphiques, > SNMPI ® GLPL/OCS/ FUSION : Gestion de parc et inventaire. raduction des traps snmp, cw GESTONDELADISPONGLITE —GESTIONDE LA CAPACITE GESTION DELA PRODUCTION ‘: o—=g ¢| —— axcians eh e tetdbd RESEAUK: STOCKAGE Figure IT- 9 : Composants d'Eyes-of-network ‘Au cours de natre projet, nous serions intéressés par un ensemble de ces outils offerts par Eyes-of-network qu'on va les détailler et les expliquer dans la section suivante 5.2 Architecture d’EyeOfNetwork Eyes-Of-Network est accessible via une interface Web unique dont |'objectif est de réunir les. différents acteurs d’un systéme dinformations (DSI, Ad istrateurs, Techniclens, Opérateurs) Chacun de ces acteurs dispose d'une vue correspondant & san métier. Toutes les informations sont consolidées en Base de Données MYSQL [814]. 26Chap2-Partie 1: Etude conceptuelle de Supervision EYESOF Paola} NAGIOS CENTOS Figure I-10: Architecture d’EyeOfNetwork 5.2.1 Programmes-plugins Eyes-of- Network fanctionne grace 3 des plugins. Sans eux, il est totalement incapable de Superviser et se résume en un simple noyau. Ces plugins sont des programmes externes au serveur, des exécutables qui peuvent se lancer en ligne de commande afin de tester une station ‘ou service. Ils fonctionnent sous le principe d'envoi de requétes vers tes hétes ou services choisis lors d'un appel du processus de Eyes-of-Network, et la transmission du code de retour au serveur principal qui par la suite se charge d’interpréter les résultats et déterminer I’état de lentité réseau testée. La relation entre le noyau et les plugins est assurée dune part par les fichiers de configuration (définitions des commandes) et d’autre part par le cade retour d’un plugin. 5.2.2 Les fichiers de configuration Eyes-of-Network s'appuie sur différents fichiers textes de configuration pour construire son infrastructure de supervision. Nous allons 2 présent citer et définir ceux qui sont les plus importants : > Eyesofnetwork.cfg est le fichier de configuration principal d’Eyes-of-network. Il contient la liste des autres fichiers de configuration et comprend l'ensemble des directives globales de fonctionnement. aChap2-Partie 1: Etude conceptuelle de Supervision > Hosts.cfg définit les différents hétes du réseau 4 superviser. A chaque héte est associé son nam, son adresse IP, le test 8 effectuer par défaut pour caractériser |'état de I'hote, etc. > Contacts.cfg déciare les contacts & prévenir en cas d’incident et définit les paramétres des alertes (fréquences des notifications, moyens pour contacter ces personnes, plages horaires d'envoi des alertes...) 5.2.3 Compléments d’Eyes-Of-Network Eyes-Of-Network inclut les outils suivants : > Supervision réseau: NAGIOS + NAGIOSBP + NAGVIS > Gestion des performances : CACTI + WEATHERMAP Interface d’EON: interface de configuration web et mesure de qualité de service x EONWEB Eyes Lilac cacti ) +Weathermap NAGIOS: | Nagvis ie | CENTOS | sae nie Figure H- 11 : Outils d’Eyes-Of-Network Pour la partie supervision de notre projet nous serions intéressés par les quatre éléments suivants : > Nagios: dont le réle est de superviser notre architecture réseaux et la mesure des disponibilités. > Cacti :c’est pour la mesure de performance * Wethermay artographie de la bande passante > NagVis ; cartographie personnalisée de la disponibilité 28Chap2-Partie 1: Etude conceptuelle de Supervision 5.2.3.1 NAGIOS Nagios (anciennement appelé Netsaint) est une application de monitoring libre (open source) permet de surveiller l'état de divers services réseau et systémes, sa fonction principale est dalerter |'administrateur suite 4 la détection d'un événement indésirable d'un équipement et doffrir une vision précise sur les hétes et services & superviser via un simple navigateur. On retrouve actuellement plusieurs logiciels qui sont basés sur Nagios tel que Centreon, Eyes of network. [B10] Nagios est un programme modulaire composé par le moteur de I'application, interface web et les sondes (appelées greffons ou plugins). le moteur de l'application contréle les équipements spécifiés par les sondes, un statut d'état sera retourné 4 Nagios, suite a la détection d'un probléme, une alerte (email, SMS....) doit tre envoyée a l'administration. I Comet Sas Hos Sus Ts Serie Sass q (atest cs 28 po seas Sane 1 She ows =r 1 Se — + Yet Saa2en B ‘Servic Status Datals Fr Al Heat Sas mone ences inca DOs te Cea woke fo SEO ta Jann ag SSE On TRG pase te iene oo | ‘iihiedy te pment vane Pmt a Ow © =I asin ne | SAO pe ian Oh SrketnOcoaN RE kei GAC Lnneaetnaae) #2 H-wiomie bg oe eC Figure II- 12 : Interface graphique de Nagios Les qualités de Nagios = Supervision des services réseaux (SMTP, POP3, HTTP, NNTP, PING, etc:). = Supervision des ressources des hétes (charge du processeur, utilisation du disque, etc.). 29Chap2-Partie 1 : Etude conceptuelle de Supervision - Un systéme de plugins permettant aux développeurs facilement de développer des modules de surveillance. ~ Lutilisation du protocole SNMP pour superviser de nombreux types d’équipements. - Notifications 4 des contacts de l'apparition ou de la disparition de problémes sur les hates ou les services (via email, pager, ou toute méthode dénie par l'utilisateur). - Acquittement des alertes par les administrateurs. = Limitation de la visibilité, les utilisateurs peuvent avoir un accés limité & quelques. éléments. 5.2.3.2 CACTI ‘CACTI est une solution de monitoring compléte basée sur RRDTOOL {c'est un outil de gestion de base de données RRD (Round-Rabin database} créé par Tobias Oetiker). Il peut étre considéré comme le successeur de MRTG (Multi Router Tra-c Grapher) et également comme une interface d'utilisation de RRDTool. [B14] Parmi les facteurs de réussite de cette solution, le tracé du graphique sur toutes les métriques: numériques possibles d'un équipement. CACTI est utilisée par plusieurs outils open source, tels que lighttpd, et Nagios. Le RRDTool est un logiciel de stockage des données dans une base de données RRD, il permet de les utiliser pour créer des graphiques, des données peuvent étre obtenues auprés des différents agents SNMP ou avec utilisation de systéme de script grace & un seript PHP. Figure IT- 13 Interface graphique CACTI 30Chap2-Partie 1 ; étude conceptuelle de Supervision % Les qualités de CACTI La simplicité d'installation. = utilisation de Cacti n'exige pas d'étre expert des systémes de monitoring. 5.2.3.3 Wethermap ‘Weathermap est un outil de visualisation de réseau open source, pour prendre des données ‘que nous avons déja et nous montrer un apergu de notre activité réseau sous forme de carte. ‘Weathermap est largement utilisé par les FAI nationaux et internationaux, les opérateurs Tiers les échanges Internet, les opérateurs téléphoniques, les réseaux académiques nationaux, de nombreuses entreprises du Fortune 500 dans la finance, Mautomobile, le médical / pharmaceutique et d'autres secteurs. [B15] Pm oF —~s.- Figure I-14: Vue de la carte Wethermap 5.2.3.4 Nagvis NagVis est une addition de visualisation pour le systéme de gestion de réseau bien connu Nagios. |I peut étre utilisé pour visualiser des données Nagios, par exemple pour afficher des processus informatiques comme un systéme de messagerie ou une infrastructure réseau. Grace 8 NagVis, on peut visualiser état global des branches de notre architecture réseaux en utilisant des cartes incluses dans NagVis. [B16] Figure II- 15 : Vue de ta carte Naguis anChap2-Partie 1: Etude conceptuelle de Supervision 6. Conclusion Tout au long de cette premiére partie du deuxiéme chapitre, nous avons essayés d’abord, de définir la notion de monitoring réseau et réaliser une étude comparative entre les outils de supervision les plus utilis¢s finissant par le choix de la solution adéquate pour l'implémenter dans notre projet, subséquemment nous avons présentés les composants el les extensions de la solution choisie, achevé par une explication détaillée du principe de fonctionnement de chacun d’eux. 32Chap2- Partie 2: Etude conceptuelle de centralisation des journaux Partie 2 : Etude conceptuelle de la centralisation des journaux 1. Introduction Le but de cette deuxiéme partie et de définir la notion de « centralisation des journaux», ainsi ‘que présenter les techniques et les recherches actuelles qui sont utilisées et développées dans le domaine de la gestion des journaux, comment ces outils sont utilisés pour analyser ces fi jers journaux. Elle développera également la comparaison des outils de centralisation des journaux actuellement disponibles par rapport 4 la fonctionnalité désirée pour arriver a la solution la plus appropriée 2. Centralisation des journaux 2.1. Logs Un log, aussi appelé journal d’événement, est la notification d'un événement envoyé par une application, un systéme, un service ou une machine sur le réseau. La résolution des pannes nécessite en général d'étudier les logs des applications, équipements réseaux ou autres, ils permettent danc de comprendre ce qu'il s'est passé et de pouvoir retracer les actions d'un systéme. Ils sont dane trés importants en informatique, car ils peuvent danner des explications ‘sur une ou plusieurs erreurs, sur un crash ou une anomal . ls nous permettent de comprendre certains fonctionnements d'un systéme par exemple, ils retracent fa vie d’un utilisateur, d'un paquet ou d'une application sur le réseau et peuvent auss] notifier une action quelconque, Les logs sont donc indispensables pour bien comprendre do praviennent certains dysfonetionnements. [B17] 2.2. Journalisation locale De nombreux serveurs et systémes d'exploitation des clients, des commutateurs de réseau, routeurs, pare-feu, et d'autres équipements de réseau ont la capacité de produire des journaux en les envoyant & travers le réseau. En fonction de ia taille et de la complexité de infrastructure informatique comme an peut le voir dans la figure ci-dessous 33Chap2- Partie 2 : Etude conceptuelle de centralisation des journaux = Te) ae ‘Switch Cisco Routaur Cisco Firewa Postectiont LOG Local LOG tocat 106 Local 106 Local "1 ab = as serveur FTP Serveur mail Serveur 8.0 Serveur web Figure il- 16 : Architecture log local ‘Ces événements journaux varient en importance, mais sont tous nécessaires pour obtenir une image compléte de ce qui se passe dans le réseau et 4 l'intérieur des systémes d'exploitation des nceuds. Par défaut, les journaux sont stockés localement, ce qui entraine de nombreux inconvénients, Tout d’abord, il est tres complexe de gérer chaque équipement de infrastructure séparément. Deuxiémement, les journaux stockés peuvent étre supprimés ou modifiés localement. Si une attaque s'infiltre dans un périphérique réseau ou un serveur, les journaux, y compris les dossiers sur la violat n de la sécurité pourraient étre modifiés ou supprimés. Dans ce cas, lattaque ne serait méme pas remarquée. En troisieme lieu, si une mémoire de l'appareil est endommagee, les jaurnaux locaux pourr: nt ne pas etre accessibles. Dans ce cas, il devient impossible de trouver la raison de ce dysfonctionnement. Done La gestion du journal central et le systéme d'alerte d’événement peut aider a résoudre ces problemes, 2.3 Centralisation des journaux Le fait de centraliser les logs permet de sécuriser le réseau, d'avoir la meilleure gestion du systéme d'information possible et d’avair une vue d’ensemble de tous les éléments importants. sur le réseau. Certains messages sont anodins, tandis que d'autres peuvent étre trés importants, c'est pour cela que la central ion va faciliter la recherche et analyse, qui pourront ainsi @tre a la fois trés précises et concises sur les activités de plusieurs systémes, car 34Chap2- Partie 2 : Etude conceptuelle de centralisation des journaux ‘tout se trouvera au méme endroit. De plus, la centralisation sera utile pour détecter les ‘éyénements anormaux sur le réseau ou sur les systémes de tout type en utilisant les logs. lls pourront retracer le parcours d'une attaque plus facilement car lls seront d'une part tous regroupés et d’autre part exportés de la zone d’effet de I'attaquant, il sera donc difficile pour le pirate de supprimer les logs pour effacer ses traces. La centralisation permet également de garantir la pérennité des logs, il est nécessaire de ne pas les stocker sur un systéme en production qui peut tomber a tout instant car s'il devient injoignable, la récupération des logs devient plus compliquée alors que, s'ils sant exportés sur une machine disponible, la vitesse de récupération de ces derniers sera beaucoup plus rapide et le probléme sera traité plus facilement. Done, il est d'une importance cruciale pour un service informatique d'une organisation pour ‘tre en mesure de suivre efficacement tout état de cause dans le réseau dans un délai nécessaire par la mise en ceuvre d'un systéme de gestion des évenements « SIEM » qui permet dlenvoyer tous les journaux dans un serveur central. 3. Systéme de gestion des évnements Actuellement, if existe trois. types d'environnements définis sur les systemes de gestion des ‘événements: [B18] + SEM (Security Event Management) “SIM (Security Information Management) “SIEM (Security Information and Event Management) 3.1 SEM (Gestion des événements de sécurité) ‘Ces produits offrent une gestion des événements, une analyse des menaces en temps réel, une visualisation, une billetterie, une réponse aux incidents et des opérations de sécurité, lls sont généralement basés sur des bases de données SQL d'entreprise telles qu'Gracle. 3.2 SiM (Gestion de l'information de sécurité) Security Information Management, un type de logiciel qui automatise la collecte des données du journal des événements & partir des dispositifs de sécurité, tels que les pare-feu, les serveurs proxy, les systémes de détection d'intrusion (IPS, 1DS) et les logiciels antivirus, 35Chap2- Partie 2: Etude conceptuelle de centralisation des journaux 3.3 SIEM (Informations sur la sécurité et gestion des événements) Ces produits combinent des capacités SIM et SEM, les produits SIM sont simples a déployer et & utiliser, tandis que les produits SEM sont plus complexes. La technologie SIEM fournit une analyse en temps réel des alertes de sécurité générées par le matériel et les applications réseau. Les solutions SIEM sont faurnies sous forme de logiciels Appliance ou de services gérés, Elles sont également utilisées pour consigner les données de ‘sécurité et générer des rapports & des fins de conformité. @@G@¢ inn = . ~ a. —— es eS CorreLog SIEM Correlation Server 7 eet Moly Figure HI- 17: Architecture SIEM SIEM décrit les capacités du produit de rassembler, analyser et présenter |'information des de: dispos > Réseauet sécurité > Applications de gestion d'identité et d'accés > Outilsde gestion de la vulnérabilité et de conformité aux politiques > Systémes d'exploitation 36Chap2- Partie 2; Etude conceptuelle de centralisation des journaux > Bases de données > Journaux d'applicatian > Dennées sur les menaces externes Un objectif clé de SIEM est de surveiller et d'aider a gérer les privileges des utilisateurs et des services, les services d'annuaire et d'autres changements de configuration du systéme; ainsi que fournir l'audit et 'examen de journal et la réponse aux incidents. 4. Produit SIEM IW existe un certain nombre d'outils SIEM sur le marché, a la fais open source et commercial. ‘Avec la _montée en puissance de DevOps, de conteneurs et d'autres méthodes de développement d'applications modernes, les solutions Open Source connaissent un regain diintérét. Jetons un coup d'eeil sur certains des meilleurs outils SIEM open source. 4.1 Graylog Graylog est un logiciel libre développé et écrit en langage Ruby et Java par Lennart Koopmann ‘en mai 2010, qui permet de centraliser tous les logs d'un parc informatique sur une seule plateforme, avec des modules de traitements et de mise en page, [819] Figure IT- 18 : Logo graylog Une importante communauté s'est fondée autour de cette solution, grace au suivie réguliére des développeurs. Actuellement la version 2.0 est sortie en Avril 2016. Son but est de pouvoir répondre rapidement en cas de prabléme sur le parc informatique. ila une plage d'action large. Il peut prévenir ‘apparition d'un probléme, nous prévenir lorsqu’un probléme survient, et il permet d'analyser les derniers logs de la machine si elle s‘est éteinte subitement. La suite Graylog est alors composée de quatre parties : wv Elasticsearch permettant le stockage des logs et la recherche textuelle. v MongoD8 qui assure la gestion des métadonnées. v Le serveur Graylog qui-va recueillir les logs sur différents protocoles: UDP, TCP... v Et interface web de Graylog, qui permettre de consulter les logs 37Chap2- Partie 2: Etude conceptuelle de centralisation des journaux ElasticSearch Node. Figure II- 19 : Architecture Graylog 4.2 Fluentd Fluentd est un outil open source permettant de collecter des événements et des journaux. Son architecture permet de collecter facilement les journaux provenant de différentes sources d'entrée et de les rediriger vers différents récepteurs de sortie. Certains exemples d'entrée sont des journaux HTTP, syslog ou apache, et certains puits de sortie sont des fichiers, du courrier et des bases de données (aussi bien SGBOR que NoSQL). Aussi, il permet d'analyser les logs et diextraire seulement les parties significatives de chacun d'eux;La sauvegarde de ces informations structurées sur une base de données permet une recherche et une analyse beaucoup plus simples. [B20] O Figure Il- 20 : Logo Fluentd Fluentd se compose de trois éléments de base: Pluggebie Pivagebie Piugeabie HTTP +JSON Memory Fue Amazon S3 Fluent Figure II- 21 : Architecture Fluentd 38Chap2- Partie 2 : Etude conceptuelle de centralisation des journaux_ > Input: recevoir et extraire les journaux de la source de données > Buffer: assure la fiabilité. Lorsque Ia sortie échoue, les événements sont conservés par la mémoire Buffer et automatiquement rejugé. > Output: transmettre les journaux d’événement vers le service de stockage 4.3 ELK stack ELK stack est une solution de centralisation et d’analyse de journaux, proposée par l'entreprise Elastic, ELK stack se compose des trois logiciels suivants : Elasticsearch, Logstash et Kibana, [623] Gollect Search Visualize 2 & & Transtorm Analyze Manage = -& - = cz logstash elasticsearch kibana Figure I-22 : ELK-stack > Logstash Est un outil de gestion des logs. il prend en charge pratiquement tous les types de journaux y compris les journaux systéme, les journaux d’erreurs et les journaux d’applications personnalisées. I peut recevoir des journaux provenant de nombreuses sources, y compris syslog, messagerie (par exemple, rabbitma) et mx, et il peut produire des données de différentes maniéres, y compris par courrier électronique, websockets et Elasticsearch, > Elasticsearch Est un moteur de recherche et d'analyse en texte intégral et en temps réel qui stocke les données de journal indexées par Logstash. II est construit sur la bibliothéque du moteur de recherche Apache Lucene et expose les données via les API REST et Java. Elasticsearch est ‘évolutif et est concu pour étre utilisé par les syst@mes distribués. >» Kiabana Est une interface graphique basée sur le Web permettant de rechercher, d'analyser et de vvisualiser les données du journal stackées dans les index Elasticsearch, Il utilise interface REST d'Elasticsearch pour extraire les données, aussi il permet aux utilisateurs de créer des vues de ‘tableau de bord personnalisées de leurs données, mais leur permet également diinterroger et de filtrer les données de maniére ad hoc. 39Chap2- Partie 2: Etude conceptuelle de centralisation des journaux 5. Analyse comparative La comparaison des plateformes de centralisation et d'analyse des journaux a base ‘open source précédemment cités a était étudiés par deux tableaux comparatif dont le but est de mieux choisir la plateforme la plus adopté pour notre solution 5.1 Caractéristiques Le premier tableau comparatif ci-dessous a été effectué en fonction de caractéristiques. Tableau H-2: Tableau comparatif SIEM - caractéristique Cees ever Langage JavaScript Java / Ruby Rubis Licence ‘Apache 2.0 GPLv3 Apache 2.0 UDP BSD Syslog, UDP | BSD et syslog IETF, ae nore HTTP, AMQP, OMQ Protocole syslog IETF, IETF TCP, | PAES, GELF via Http Kafka GELF aMap Elastic-Search , Stockage Elastic-Search Elastic-Search MongoDB: indexation Elastic-Search Elastic-Search Elastic-Search Transport TCP, UDP. TCP, UDP TeP, UDP. 5.2 Fonctionnement me tableau, qui réalise une comparaison en ‘On vous présente simultanément, un deu) terme de: > Installation » Configuration > Fonctionnalités 40Chap2- Partie 2: Etude conceptuelle de centralisation des journaux Tableau II- 3 : Tableau comparatif SIEM- Fonctionnement aE ecard es te erg installation est un Installation similaire Installation simple, en peu complexe mais. @ ELK (Graylog utilise eréant un compte sur le reste relativement également Elastic- Installation : site officiel et en simple grace a la Search), avec une récupérant le fichier documentation en bonne ‘ diinstallation Ligne documentation. Configuration un peu ‘Configuration simple complexe car il faut et similaire a Fluentd Configuration simple qui se configurer Logstash car elle se fait 18 aussi Configuration fait depuis V'interface Web (il faut done maitriser depuis linterface un minimum les web, langages de script) Simple pour utilisation | Utilisation basique Syntaxe de recherche | basique, il suffitde taper le | simple, similaire 8 Recherche | avancée basée surla | mat elé recherché pour Fluentd et ELK. syntaxe Lucene, quill s'affiche en Syntaxe proche de surbrillance. Lucene. Dashboard interactif Dashboard non interactit, | Dashboard facile a par défaut. Barre de créer et a modifier Barre de recherche et recherche et barre de mais ils ne sont pas temps non disponible par temps toujours interactif et la barre Dashboard défaut. II faut configurer les disponible. de recherche / Dashboard pour les rendre Dashboard facile & temps n'est pas compatible avec les ae : créer et 3 modifier, ds disponible. Point affichages Point fort d’ELK. faible de Graylog. aLChap2- Partie 2 : Etude conceptuelle de centralisation des journaux 6. Choix de plateforme En partant de l'étude comparative énoncée au paragraphe précédent, nous avons décidé de choisir la salution ELK. Dans la section suivante nous réaliserons une étude détaillée sur cette derniére. 6.1 Présentation générale de |a solution ELK stack ELK stack est une solution open source compléte, ou plutét plateforme compléte d'administration des réseaux et du management du systéme informatique. ELK stack utilise plusieurs produits issus de la méme stratégie (Open Source) afin d'y intégrer une infrastructure de monitoring en temps réel de la sécurité du réseau d'oi lintérét de mettre ‘en place des outils d'analyse des logs applicatifs comme la suite ElasticSearch ElasticSearch, Logstash et Kibana ; ces trois outils ont chacun un réle bien précis dans le workflow permettant de passer des logs bruts au format fichier a des Dashboard avec graphiques et statistiques, qui montreront de maniére synthétique le contenu des logs. ‘Cest une plateforme d'administration et supervision réseau, de management de la société de informatique et de la gestion instantanée des activités et des événements survenues sur le réseau informatique. ELK stack assure les fonctionnalités d'un SIEM ; > Lacollecte des Logs wv Uagrégation > Lanormalisation > Lacorrélation 7 Le reporting > Varchivage v Le rejoue des évanements 6.2 Le principe technique de la solution ELK stack La stack ELK transforme des flux de données brutes en un ensemble de données structurées, Cela inclut donc bien plus que des logs d'erreurs : on peut aussi 'utiliser pour vérifier le bon fonctionnement de son application en analysant ses propres fichiers de logs. Les différentes étapes de la transformation parle serveur sont : 42Chap2- Partie 2 ; Etude conceptuelle de centralisation des journaux 1, La réception du flux d'informations brutes provenant des fichiers de logs 2. analyse du flux a l'aide d'un filtre présent sur le serveur 3. Le découpage de chaque ligne selon un pattern grok défini dans le filtre 4, Le stockage des informations structurées dans Elasticsearch, 6.3 Architecture d'ELK stack Figure II- 23 : Architecture ELK-Stack Varchitecture de la stack est assez simple : des shippers s‘occupent de récupérer les logs, un ou plusieurs nosuds Logstash découpent les logs en éléments sémantiques (un timestamp, un serveur, une action, un résultat, un code de retour, ...) et le transmettent a Elasticsearch, un ou plusieurs noeuds Elasticsearch indexent et stockent, Kibana gére la présentation en se basant sur les données lues dans Elasticsearch (822). 6.4.Les composants d'ELK stack 6.4.1 ElasticSearch 6.4.1.1 Présentation d’ElasticSearch Elasticsearch est un moteur de recherche et d'indexation Open Source nouvelle génération. Basé sur a librairie Apache Lucene, ce moteur de recherche offre des fonctionnalités avancées telles que les recherches par coordannées géographiques, l'analyse et la catégorisation par 43Chap2- Partie 2 : Etude conceptuelle de centralisation des journaux agrégations, le filtrage de résultats ou encore la recherche sur plusieurs index et types de documents différents. Taillé pour fe Cloud, ElasticSearch a été spécialement congu pour indexer de trés gros volumes de données tout en assurant une montée en charge performante et une forte tolérance aux pannes. 6.4.1.2 Moteur de recherche et moteur d'indexation Si nous parlons de moteurs de recherche, nous citons certainement Google, Bing. .qui sont des applications web permettant de retrouver des liens, des images... ‘Cependant, pour pouvoir donner des résultats pertinents, un moteur de recherche doit savoir & avance ol sont les ressources que nous pourrions lui demander. Pour le savoir, de nombreux moteurs de recherche ont des robots qui parcourent Internet a la recherche de nouvelles ressources. Ils se basent donc sur des moteurs dindexation, dont le role est de collecter des atifs. Un moteur ressources, et dextraire les mots-clés les plus signi idexation n’est donc qu’un sous ensemble du moteur de recherche. Tandis que les géants du Web utilisent des moteurs d'indexation propriétaires, dans le monde de open source, Apache Lucene, une bibliothéque d’indexation développée en Java s'est f une grosse réputation, et est devenue aujourd'hui le standard sur lequel se basent les meilleurs moteurs d‘indexation. C'est le cas d’Elasticsearch, lui aussi basé sur Apache Lucene, qui est aujourd’hui un des meilleurs moteurs d’indexation du marché. 6.4.1.3 Les fonetionnalités d'ElasticSearch ‘» Laréplication des données Dans un cluster Elasticsearch, lorsque vous aver plusieurs naeuds, les données stockées sur ces derniers sont répliquées entre elles. Cecl permet entre autres de conserver V'intégralité des données en cas de perte d'un neud. La réplication est faite de maniére automatique. Rajouter un noeud ou un shard déclenche la réplication automatique. % La recherche en temps réel et contextuelle La recherche dans Elasticsearch est I'une des plus performantes du marché, Nous parlons de recherche distribuée. Quand nous langons une recherche sur le nceud principal, ce dernier va renvoyer la recherche sur les autres noeuds et les résultats seront renvoyés au demandeur, 44Chap2- Partie 2 : Etude conceptuelle de centralisation des journaux Uune des particularités du moteur est qu'il regroupe les éléments indexés en rapprochant selon le contexte de la donnée. % Les facettes Elasticsearch supporte les facettes, qui sont des regroupements de résultats de recherche. Ce ‘qui permet aux utilisateurs d’avoir une vue agrégée de leurs données. Il existe plusieurs types de facettes disponibles dans Elasticsearch, parmi lesquelles : Filter : renvoie le nombre de hits correspondant a un filtre. Geo distance : regroupe les données par intervalle de distance géographique, Query : renvoie le nombre de hits correspondant & une requéte. Terms : renvoie les termes les plus fréquents. K5 4 44 Statistical : permet de calculer les données de type somme, minimum, moyenne, maximum, variance, etc. sur des données de type numériques. 6.4.2 Logstash 6.4.2.1 Présentation de Logstash Cet outil permet de metire en place I'analyse des logs. Les points d’entrée (input) utilisés pour aller chercher l'information sont définis via un fichier de configuration, Plusieurs types de point d'entrée peuvent étre cho , Notamment les fichiers : dans ce cas, on indique 4 Logstash emplacement oii aller lire les fict ers de log. Logstash lit ensuite ces fichiers ligne par ligne. 1 ‘est alors possible d’appliquer certains “filtres” sur cos lignes : i ne sagit pas seulement de sélectionner certaines informations et d’en écarter d'autres, mais également de faire des ‘opérations plus complexes, comme du mapping, Par exemple dans le cas d'un log avec UID, il ‘est possible de résoudre I'ID en “Nom, Prénam” en faisant un appel externe. Il est également possible d'extraire des informations spécifiques et les stocker dans des champs spécifiques, ou encore d’exécuter du code Ruby. Autre exemple : le filtre GROK permet d'extraire des informations a l'aide de Regex (expressions réguliéres) pour matcher certains patterns, comme un numéro de version. Une fois que les points d’entrée et les filtres sont définis, on indique 8 Logstash ou envoyer les résultats : plusieurs points de sortie, ou adaptateurs, peuvent &tre défini Le plus utilisé est Elasticsearch, mais il pourrait s'agir d'une BDD, ou d'un fichier... Logstash est bien un ETL (Extract Transform Load, des entrées, des sorties, un traitement entre les deux). 4sChap2- Partie 2 : Etude conceptuelle de centralisation des journaux 6.4.2.2 Principe de fonctionnement de Logstash Logstash fenctionne sur un principe simple, un peu comme un routeur de messages. II est possible de parler de chaines de liaisons entre ces différents composants. Entrées EncodeursiDécodeurs Filtres Sorties lasticsearch ‘nagios ‘zabbix ‘mangodb re Figure It- 24 : Principe de fonctionnement Logstash Tous les différents éléments que nous allons détailler sant implémentés sous forme de plugins ce qui rend trés facile d'ajouter des possibilités 3 Logstash. La liste de ces plugins ne cesse dailleurs de croitre. © Les entrées Logstash accepte 8 peu prés tout ce qui peut étre représenté sous forme de chaine de ‘aractéres en entrée; texte, nombre, date... La liste des entrées disponibles est impressionnante et couvre des plugins particuliers pour Collectd, Graphite, websocket, les interruptions SNMP et méme I'IRC. Des plugins plus génériques sont bien sir disponibles comme Syslog, AMQP pour recevair des messages depuis ce genre de bus messages. © Les encodeurs/décodeurs Les codecs sont arrivés pour pouvoir normaliser et packager un ensemble de filtres. II existe de nombreux codecs dont Graphite pour encader/décader le format natif des métriques Graphite ou encore Netflow, qui permet lencodage, décodage des flux Metflow, trés utilisé pour la supervision réseau, © Les filtres Les filtres permettent de triturer tout message arrivant dans Logstash. Par triturer, nous entendons découper un message en plusieurs parties et inversement, formater les dates 46Chap2- Partie 2 : Etude conceptuelle de centralisation des journaux normaliser le nom des champs mais pas seulement. Au programme, des filtres pour créer des sommes de controles, extraire des nombres, supprimer des messages avant stockage et bien ‘sir Grok. Grok est sdrement l'un des plus puissants et permet de structurer n'importe quel message, comme des logs Apache 2 par exemple. Sa force réside dans sa capacité @ construire des ‘expressions complexes a partir d’expressions réguliéres plus simples. %{SYSLOGHOST:syslog_hostname} Dans l'exemple ci-dessus, SYSLOGHOST est une expression Grok qui permet de capturer une partie du message correspondant aux expressions réguli@res nécessaires pour reconnaitre un nom d’héte FQON, Les sorties Une fois que Logstash a opéré sur les messages, ceux-ci peuvent désormais étre routés vers les plugins de sortie qui permettent d’envoyer les messages vers un bon paquet d'outils tierces, en plus dela sortie de Logstash, 4 savoir Elasticsearch. 643 6.4.3.1 Présentation de Kibana na Kibana est le dernier outil de notre suite destinée a I'analyse des logs applicatifs : les données brutes sont analysées dans Logstash, stockées dans Elasticsearch, mais ne sont pas encore cexploitables, Kibana qui est une interface homme machine permettant de consulter les documents d'une base Elas -search et den sortir des tableaux de bords, qui nous permettent de juxtaposer les. vigualisations que nous avons créées 6. Kibana est une interface Web qui se connecte au cluster Elasticsearch, et permet de faire des .2 Principe de fonctionnement de Kibana requétes en mode texte pour générer des graphiques (histogrammes, barres, cartes..J, ou des ‘statistiques. De nombreux composants graphiques sont disponibles pour donner une dimen: n visuelle aux données stackées dans Elastiesearch. La création de tableaux de bord est intuitive grace & une interface WYSIWYG (pas de code a créer). Les tableaux de bord ainsi genérés sont cexploitables par les développeurs, les profils techniques, mais aussi par les interlocuteurs du métier ou les managers. 47Chap2- Partie 2 ; Etude conceptuelle de centralisation des journaux 7. Conclusion La deuxiéme partie de ce chapitre, a été consacrée pour la définition des systémes SIEM et de la notion de centralisation des journaux, ainsi que la réalisation d'une étude comparative entre les produits SIEM les plus utilisés, inissant par le choix de la solution Approprige a accomplissement du notre projet. Tout le long de ce deuxiéme chapitre, on a mis le point sur les éléments les plus importants de notre projet, nous passerons dans le prochain chapitre a la simulation de quelques méthodes implémentées dans la solution envisagée. 48Chapitre 3 : Emulation de la topologie de la solution Chapitre 3 Emulation de la topologie de la solution Mame si la majorité de notre travail est simulée, puisqu’il est impossible de fournir de nouveaux équipements sophistiqués et assez chers. Nous avons dépensé tout ce qu'on a comme enthousiasme pour avoir le résultat le plus proche de la réalitéChapitre 3 ; Emulation de la topologie de la solution 1, Introduction Aprés une présentation de solution proposée et des différents outils utilisés pour la supervision ‘et la centralisation des journaux pour fournir une étude théorique sur le projet, nous allons attaquer dans ce chapitre la phase de simulation de la topologie cible du projet, en simulant la Backbone IP/MPLS. de SOTETEL en utilisant 'outil de virtualisation des réseaux GNS3. 2. Environnement de simulation 2.1 Prérequis Matériels Pour réaliser cette partie, nous avons utilisés un ordinateur portable présentant les caractéristiques suivantes : + Processeur : Intel® Coré™ iS CPU “Mémoire installé (RAM) : 8Go % Type de systéme : Systéme d’exploitation 64 bits 4 Systéme d’exploitation : Windows 10 2.2 Prérequis logiciel Nous avons une multitude d'outils de simulation de réseaux, quoi qu'une minorité prenne en ‘charge la mise en ceuvre de MPLS. C'est pour cette raison que nous avons choisi GNS3. En effet ‘ce dernier présente plusieurs avantages. Parmi lesquels nous citons : Y Il s‘agit d'un logiciel Open source et multiplateformes suppartant MPLS et ses dérivés (vPN/VRF). Y Il peut étre lié aux logiciels permettant I’émulation de machines telle que VirtualBox et VMware et il supporte la connexion aux réseaux physiques. Il charge de véritables images IOS des routeurs Cisco dans un environnement virtuel En fin, il est nécessaire d’insister sur le terme émulation, dans la mesure ol GNS3 s’appuie sur de véritable 10S téléchargeables et leur confére "intégralité des fonctionnalités d'origine contrairement aux autres outils qui sont des simples simulateurs limités aux fonctionnalités implémentées par les dévelappeurs de ces outils. & GNS3 Figure ill- 1 : LOGO GNS3 soChapitre 3 : Emulation de la topologie de la solution ‘GNS3 (Graphical Network Simulator) est un simulateur d'équipements Cisco libre qui fonctionne sur de multiples plateformes, incluant Windows, Linux, et Mac. GNS3 est capable de faire fonctionner des routeurs Cisco virtuellement en les rendant totalement réels. Le contact avec le routeur se fai ja une liaison console coté routeur et I'affichage est avec |'outil Putty, les routeurs doivent avoir un systéme d'exploitation appelé 10S. Contrairement & certains autres produits comme le Packet Tracer proposé par I'équipementier CISCO. L'un des avantages de GNS3 c'est qu'on peut capturer et sniffer le trafic transitant sur une interface & I'aide de ‘Wireshark, [B23] 3, Présentation de la topologie du Backbone Avant de commencer l'implémentation de la topologie sous GNS3, nous allons évoquer la structure du Backbone de SOTETEL sur |"échelle nationale. Ce dernier est composé de 9 LSR et 18 LER répartis comme suit : > 4LSR situés dans la capitale, a Kasbah, Belvédere, Quardia et Hached. > 5LSR répartis a Gabes, Sfax, Sousse, Kairouan et Beja. OLER situés au voisinage des LSR ainsi présentés. > 9 LER situés dans La Marsa, Menzah, Ariana, Bardo, Bizerte, Ben Arous, Nabeul, Moknine et Gafsa. Pour des raisons liées aux performances de la machine physique, nous avons réduit la topologie du Backbone afin de mener notre simulation dans de bonnes conditions. La figure ci-dessous mantre la topologie du Backbone. 197.168.2.4/30 192.1681.12/30 Figure IH- 2: Maquette de simulation StChapitre 3 : Emulation de la topologie de la solution ‘Comme il est montré par la figure, l'architecture de notre maquette comporte 3 routeurs qui forment la partie cour du Backbone, 1 Provider « P » et 2 Pravider Edge (PE1 et PE2), ainsi que 4.clients (CPE11, CPE12, CPE21 et CPE22) pour la connexion des clients. = cP (is représente le Client et j; représente le numéro de site) Tous les routeurs sont de type Cisco, la gamme 7200 utilisant comme image 10S © €7200-advipservicesk8-mz.152-4.$5.bin» supportant la technologie MPLS 3.1 Technologies et plateformes utilisées On a choisi pour cette tache les technologies suivantes : ¥ OSPF pour le routage intra-area (PE/P) et inter-areas (CPE/PE) MPLS avec activation de CEF (Cisco Expressing Forwarding) LOP pour la distribution des labels au sein du réseau dorsal OSPF-TE comme protocole de routage intra-nuage 4 contrainte de liens AKAN MP-BGP en guise de protocole d’activation des sessions VPNv4 pour I’échange des. routes des VPN entre PE 3.2 Méthodologie d’apprache Tout au lang de cette partie on a suivi cette démarche, décrite généralement par : ¥ Configuration de base des interfaces Configuration de protocole de routage de la zone backbone (OSPF intra-areas) Configuration de I'MPLS Mise en place des VPN Mise en place du protocole de routage aux niveaux des clients (OSPF inter-areas) SARK Configuration du MP-BGP pour les VPN layer3 3.3 Plan d’adressage Pour envisager le plan d'adressage, nous devons nous intéresser principalement & deux éléments importants 3 savoir : 3.3.4 Coté Backbone La plage d’adresses 10.1.1.0/24. Ainsi, nous utiliserons pour les sous réseaux du backbone des adresses appartenant a la dite plage. Donc la distribution se fera comme suit : ¥ PE1—Provider : 10.1.1.0/30 ¥ PE2—Provider : 10.1.1.8/30 szChapitre 3 : Emulation de la topologie de la solution ¥ Loopback0 de Ped : 1.1.1.1/32 2.2/32 Y Loopback0 de Provider : 3.3.3.3/32 3.3.2 Coté Client Nous utiliserons la plage d’adresse 172.16.0.0/16 pour les LAN et la plage d'’adresse ¥ Loopback0 de PE2: 192.168.1.0/24 pour le WAN. La distribution d’adresses sera comme suit : ¥ CPE -PEL : 192.168.1.0/30 ¥ CPE21 -PEL: 192.168.1.4/30 ¥ CPE12-PE2 : 192.168.1.8/30 ¥ CpE22 =PE2 : 192.168.1.12/30 ¥ Loopback® de CELL : 172.16.11.11/32 ¥ LogpbackO de CE12: 172.16.12,12/32 ¥ LoopbackO de CE2i : 172.16.21.21/32 ¥ LoopbackO de CE22 : 172.16.22.22/32 3.3.3 Table d’adressage Le tableau ci-dessous récapitulera l'adressage des différentes interfaces des routeurs implémentés : Tableau Ii- 1 : Adressage de ta maquette fects Interface ek 60/0 Connect to PEL 192.168,1,2/30 Loopbacko 172.16.11.11/32 creas G0/0 Connect to PE2 192,168.1.10/30 Loopback0 172.16.12.12/32 cpe2t 60/0 Connect to PEL 12,168,1,6/30 LoopbackO 172.16.21.21/32 ous G0/0 Connect to PE2 Loopbacko 172,16.22.22/32 Loopbacko 1.1.1.1/32 PEL 60/0 Connect to Provider 10.1.1.1/30 61/0 Connect to CPE21 192.168.1.5/30 62/0 Connect to CPEL1 192,168,1,1/30 53Chapitre 3 : Emulation de la topologie de la solution Loopback0 2.2.2.2/32 ia 60/0 Connect to Provider 10.1.1.10/30 G1/0 Connect to CE12 192.168.1.9/30 62/0 Connect to CE22 192.168.1.13/30 Loopbacko 3.3.3.3/32 Provider |” G0/0 connect to PEI | 10.1.1.2/30 G1/0 connect to PE2 10.1,1.19/30 4. Configurations et tests 4.1 Configuration des interfaces Dans une premiére étape, nous devons configurer les différentes interfaces des routeurs 3 utiliser. Cisdessous, un exemple de configuration de quelques interfaces du routeur PE1 est illustré, (D'autre exemple de configuration sont illustrés dans I'annexe 1, PEI# conft. PE1(config}# interface Loopback 0 PE(config-if}#ip address 1.1.1.1 255.255.255.255 PEX{config-if}Minterface g0/0 PE! (config-if}ip address 10.1.1.1 255.255.255.252 PEs(config-if}#ino shutdown 4.2 Configuration des protocoles de routage intra-nuage 4.2.1 Routage OSPF de Backbone IP/MPLS ‘Au niveau du Backbone, nous avons choi d'implémenter OSPF comme protocole de routage dynamique et ce, pour plusieurs raisons & savoir : ¥ Convergence rapide, Réduction des mises & jour et ce grace a utilisation des areas et aux mises & jour incrémentales, ¥ Intégration |a notion de taille de masque variable (VLSM). Y Rédus nde la taille des tables de routage par segmentation en areas et implémentation des résumés de routes, ¥ Support du Trafic Engineering (OSPF-TE). saChapitre 3 : Emulation de la topologie de la solution Pour I'implémentation d'OSPF, on a segmenté I'architecture globale en différentes zones (areas) comme suit : ‘> Area 0: c'est la zone Backbone ; elle contient le routeur provider et les 2 routeurs. Provider Edge « PELet PE2 ». Area ij : chaque site « ij » aura une area « ij» contenant le WAN et LAN (dans notre cas Loopback 0 de CEij) du site. Ainsi, architecture OSPF sera illustrée comme suit : Figure 111-3 : Architecture OSPF Nous appliquerons le protocole OSPF sur tous les routeurs. du Backbone IP/MPLS tout en prenant en considération Area 0. Nous donnerons un exemple de canfiguration ci-dessous du routeur PE1 (D'autre exemple de configuration sont illustrés dans I'annexe 2.) PE1(config}# router ospf 1 PEA(config-router}# network 10.1.1.0 0.0.0.3 area 0 PE1(config-router)# network 1.1.1.1 0.0.0.0 area 0 Pour vérifier le voisinage OSPF, on tape la commande show jp ospf neighbor qui permet datficher ta table de Voisinage OSPF .La commande show ip route ospf permet d’afficher la table de routage OSPF du routeur. (Nous donnerons dans I'annexe 3 les résultats de ces commandes) Enfin, on teste le bon fonctionnement du routage intra-nuage en faisant un Ping du routeur PE- a interface GO/0 de PE-2 .Le résultat est montré comme dans la figure ci-dessous : 55Chapitre 3 : Emulation de la topologie de la solution BP re - o as Figure IHT- 4 : Test de bon fonetionnement d'OSPF 4.2.2 Configuration de MPLS La technologie MPLS fonctionne par commutation des labels. i, il est obligatoire d’activer le protocole MPLS sur les rauteurs du Backbone tout en prenant en considération les paramétres exigés. Pour ce faire, nous procédons comme il est noté ci-dessous (Exemple de configuration PE2) en tapant les dites commandes sur toutes les routeurs appartenant au Backbone MPLS/IP les détails de confiquration dans annexe 4, PEM conft. PE1{config)# ip cef PEA\(config)# mpls ip PE1(config-if}# mpls label protocol Idp. PEA(config-if}# mpls dp router-id loopback 0 farce PE1(config)#interface g 0/0 PEA(config-if}# mols ip Afin de vérifier le bon fonctionnement de la commutation des paquets au sein du Backbone nous pouvons utiliser les commandes suivantes : ¥ Show mpls Idp neighbors : affichage des voisins ¥ Show mpls forwarding table: vérification de la LFIB ¥ Show mpls ip binding: affichage des bindings des labels MPLS récupérés par LDP. Donnant le test d’affichage de table de voisinage de routeur PEL 56Chapitre 3 : Emulation de la topologie de la solution Pre - o Xx Figure HI- 5: Table de voisinage de routeur PE1 (On_montre dans annexe 5 les résultats des autres commandes de verification du bon fonctionnement de la commutation MPLS au sein du Backbone). 4.3 Mise en place des VPN 4.3.1 Configuration de VRF Afin d'isoler les trafics et implémenter la fonctionnalité de virtualisation de MPLS, nous implémentons les VRF sur nos routeurs PE. A cet égard, nous commencons dans cette partie par la création de deux VRF : VPN_Customerl et VPN_Custamer2. Ainsi, sur tous les providers Edge (PE1 et PE2) du Backbone, on crée les deux VRF ‘VPN_Customer] et VPN_Customer2. La configuration du VRF se fera en deux étapes 8 savoir : On donne I'exemple de |'implémentation de VRF sur PE1. (On illustre dans /’annexe 6 la configuration de routeur PE2) Création du VRF PEX(config}# ip vrf VPN_Customer1 PEX(config-vrf}itrd 100 :1. PE1(config-vrf}# route-target both 100:1 PE1(config)# ip vrf VPN_Customer2 PEL(config-veflitrd 100 :2 PE1(config-vrf}# route-target both 100:2 7Chapitre 3 : Emulation de la topologie de la solution Activation du VRF sur les interfaces Sur les deux PE sur lesquels nous avons attaché des sites clients, nous configurons le VRF précédemment créé et ce sur I'interface raccordée avec le client. Ainsi, nous donnons dans ci- dessous |a configuration du routeur PE1 (on illustre dans annexe 6 la confiquration de fouteur PE2). PE(config)fiinterface g2/0 PE1(config-f}tip vrf forwarding VPN_Customert PEN(config-H}Hip address 192.168.1.1 255.255.255.252 PEA(config-if}#ino shutdown PE1(config)Hinterface g1/0 PEA(config-if}tip vrf forwarding VPN_Customer2 PEA(config-if}#ip address 192.168.1.5 255.255.255.252 PEi(config-if}#no shutdown 4.4 Configuration de routage OSPF au niveau CPE Nous appliquerons le protocole OSPF sur tous les rauteurs du CEij tout en prenant en ‘considération Area jj Nous donnerons un exemple de configuration ci-dessous le routeur CE11 (la configuration des autres routeurs GPE est illustrées dans Annexe 7} ‘CE11(config)# router ospf 1 ‘CE11(config-router}# network 192.168.1.0 0.0.0.3 area 11 CE11(config-router}# network 172.16.11.11 0.0.0.0 area 11 4.5 Configuration de MP_BGP Pour que le VRF fonctionne, nous distribuons le chemin vers tout le réseau. Les commandes ci- dessous seront exécutées sur PEL ayant les interfaces sur laquelle est attaché le VRF. (ta ‘configuration de routeur PE2 est illustrée dans Annexe 8) PEditcanf t PEA(config)# router bgp 100 PE1(config-router)#ino bgp default ipvd-unicast 58Chapitre 3 : Emulation de la topologie de la solution PEA (config-router)it neighbor 2.2.2.2 remote-as 100 PE1(config-router)# neighbor 2.2.2.2 update-source loopback 0 PEA(config-router}# address-family vpnv4 unicast. PE1(config-router-af}# neighbor 2.2.2.2 activate PE1(config-router-af)ii neighbor 2.2.2.2 send community both PE1(config-router-af)Haddress-family ipva vrf VPN_Customer1 PE1(config-router-af)#fredistribute ospf 100 vrf VPN_Customer1 PE1(config-router-af}taddress-family ipvd vrf VPN_Customer2 PE1(config-router-af)tiredistribute ospf 200 vrf VPN_Customer2 PE1(config-router-af}#exit PE1(config-router}#exit PE1(config)#router ospf 100 rf VPN_Customer1 PE1(config-router)# redistribute bgp 100 subnets PE1(config-router}# network 192.168.1.0 0.0.0.3 area 11 PE1(config}#router ospf 200 rf VPN_Customer2 PE1(config-router)# redistribute bgp 100 subnets PE:(config-router)# network 192.168.1.4 0.0.0.3 area 24 Pour vérifier le fonetionnement du VPN, naus tapons les commandes suivantes au niveau PE1 et PEZ: ¥ Show ip bgp vpnv4 vrf VPN_Customer1: Affichage Instance BGP Show ip bgp vpnv4 wrf VPN_Customer2: Affichage Instance BGP ¥ Show ip route vrf VPN_Customerl: Affichage la table de routage de VRF de VPN_Customerl. ¥ Show ip route vrf VPN_Customer2: Affichage la table de routage de VRF de VPN_Customer2 (hes résultats de ces commondes seront montrés dans lonnexe 9) Pour vérifier la connexion entres les différents sites de clients, nous tapons les commandes Suivantes au niveau CEij: ¥ Show ip route: Affichage Table de routage v Ping @I (example: CELA#ping 172.16.12.12) 59