Pour tenter de simplifier, la virtualisation correspond à une "couche d'abstraction matérielle" sur laquelle ont été crée à l'aide "d'API" les couches d'émulation des composants matériels de bas niveau. C'est le cas des processeurs "multi-core", de la mémoire, carte graphique, disques de stockage, composants réseaux, etc. L'hyperviseur ira puiser dans la couche hardware de la machine hôte les ressources nécessaires pour virtualiser la plupart des systèmes d'exploitation, ainsi que les pilotes normalisés pour recréer le réseau avec des cartes physiques et virtuelles afin d'établir les communications entre les différents environnements. Les Machines virtuelles possèdent leurs propres "sous-ensembles matériels", répartis de façon homogène. Pour VMware, VM Network correspond au groupe de ports avec lequel vous pourrez gérer vos machines virtuelles avec le Management Network pour utiliser vos ESX(i) avec vos noeuds de connexions réseaux associés aux VM à un NAS, un SAN ou pour cluster qui assure une tolérance aux pannes ou l'équilibrage des charges. Ainsi avec l'aide "d'add-ons" vous pouvez gérez les interfaces et des agents assureront la gestion et le paramétrage des interfaces applicatives.
La sécurité renforcée, SSL/TSL-SSH et les communications
L'utilisation de protocoles de communication sécurisés et chiffrés (par exemple, Secure Sockets Layer) est plus que nécessaire. Pour assurer des communications sécurisées, entre des hyperviseurs standalone ou externalisé sur Cloud il convient d'utiliser des certificats et de bien isoler les VM et VPS. Lire sur la sécurité
Installés à partir d'images ISO (vérifiez les sources et signatures bien que les images soient disponibles avec l'hyperviseur) en full natif (type 1) ou sur OS hôtes "intermédiaires" (type 2), l'hyperviseur peut être vu comme un logiciel dédié à l'émulation.
Détails des modes de virtualisation
- La virtualisation totale (type 1) utilisant la translation binaire ou Full virtualization & Binary Translation
- La virtualisation assisté (type 2) par le système d'exploitation ou "OS assisted virtualization".
- La virtualisation côté client assistée par matériel (type 2, souvent utilisé pour la virtualisation d'infrastructures clients pour virtual desktop avec instructions Intel VT, AMD-V)
Avec l'évolution apparaissent les "containers" qui deviennent dominants sur "Cloud". Bien que les containers et les machines virtuelles aient des caractéristiques communes, ils se distinguent par une meilleur scalabilitée, accéssibilitée, portabilitée, avec un cloisonnement des fonctionnalités et des applicatifs (il n'est pas nécessaire de redémarrer l'OS hôte ou l'application d'un container pour basculer vers un autre).
Activation des composants sur PC pour la virtualisation client (avec processeurs Intel et AMD)
Datastore; VM, ISO, templates, snapshots...
L'utilisation de ThinApp ou de PortableApps permettent la création de packages applicatifs autonomes légers qui intègrent un environnement d'exécution, à savoir des applications et les dépendances
Créer un package applicatif portable avec VMware ThinApp
Créer un package applicatif portable avec PortableApps
Virtualisation et containers
Docker container
Comment se connecter et configurer un Switch Cisco via Putty
L’hyperviseur de type-1 dispose d'un accès direct aux ressources de la machine sur laquelle il est nativement installé. L'hébergement de machines se fait soit en locale en mode "standalone" ou externalisé sur le Cloud en mode privé, public ou hybride. Lorsqu'il s'agit de cluster, les hyperviseurs partagent la puissance des composants materiels tels que le nombre de processeurs (16, 32, 64 et +), la mémoire ou RAM (en moyenne 8Go par VM et entre 64Go à 2To et +), avec un espace disque suffisant pour le stockage des configurations et des ressources (datastore, banque de données ou pool de ressources). Les principaux acteurs comme VMware permettent la gestion des Machines virtuelles avec vCenter, vShpere, vMotion ou Horizon. Citrix supporte XenServer l'Hypervisor 8.2UI avec VM Tools ou vApp. Microsoft Hyper-V avec le Manager natif ou d'autres outils tiers (OpManager). Combiné à un serveur AD DS et des certificats d'authentification liés aux polices ou stratégies de sécurité permet la redondance des données et la tolérance aux pannes. L'hyperviseur stocke les informations pour un fonctionnement optimale puisque redondants et tolérant aux pannes. Le basculement d'une VM à une autre s'éffectue de manière dynamique en temps réel. Les rôles, services et données d'un serveur applicatif peuvent être segmentés. Associés aux clusters locaux aux hyperviseurs standalone, ou externalisés dans un datacenter, la virtualisation en cluster impose un "socle" matériel puissant. Ainsi le basculement d'une VM à une autre s'éffectue de manière dynamique. Par conséquent, l'interaction avec d'autres hyperviseurs seront dotés des mêmes composants matériels: un prérequis pour des hyperviseurs en cluster.
Les différents types d'hébergements sur Cloud
Le Stockage et le partage
VMware vSphere ESXi prend en charge divers périphériques de stockage sur baie via Ethernet, Fibre Channel, iSCSI, pour de meilleurs performances avec l'utilisation de lecteurs SSD, SATA, SAS, SCSI pour SAN ou NAS. En revanche le stockage local ne prend pas en charge le partage de plusieurs hôtes et chaque VM ne peut accéder qu'à sa propre bibliothèque de stockage de données. Par conséquent, bien que vous puissiez utiliser un stockage local pour créer plusieurs machines virtuelles, vous ne pouvez pas utiliser les fonctionnalités d'un stockage partagé. Comme indiqué sur VMware vous ne pourrez pas utiliser de lecteurs IDE/ATA ou USB pour stocker des machines virtuelles. Seul un hôte peut accéder à une banque de données sur un périphérique de stockage local. En revanche, si vous utilisez un cluster d'hôtes disposant de périphériques de stockage locaux, vous pouvez implémenter vSAN. L'utilisation par vSphere de VMFS (Virtual Machine File System) ou NFS (Network file System) comme systèmes de fichiers ESXi avec un SAN permet d'accéder au stockage partagé à l'aide du protocole NFS (Network File System). En tant que système de fichiers en cluster, VMFS permet à plusieurs hôtes ESXi d'accéder simultanément à la même banque de données. Si le SAN offre un accès direct par numéro d'unité logique (LUN), il faudra sélectionner le type de stockage Disk/LUN et l'appliquer à tous les hôtes ESXi. Avec les hyperviseurs tels que XenServer ou Citrix Hypervisor 8.2 les partages serveurs via le protocole NFS (qui prennent en charge n’importe quelle version de NFSv3 ou NFSv4) ou serveurs utilisant SMB (SMB v3) peuvent être utilisés comme RS ou Référentiel de Stockage pour disques virtuels. Ainsi les VDI ou Virtual Desktop Infrastructures sont stockés au format Microsoft VHD. Comme ces Référentiels de stockage peuvent être partagés, les VDI stockés sur des stockages partagés permettent aux machines virtuelles de démarrer sur n’importe quel hôte XenServer avec un compte d'Administrateur de pool et de migrer les machines virtuelles entre vos hôtes XenServer à l’aide de suffisament de mémoire et d'une migration bare metal (sans arrêt ou interruption de services)
STOCKAGE ET ENCADREMENT DES FOURNISSEURS
Dans les années 90, le prix du stockage a tellement baissé qu'aujourd’hui, le coût du Gigaoctet sur des disques durs "traditionnels ou mécaniques" de types SATA se situe en fonction de la marque à quelques centimes d'euros le Go. C'est plus cher pour le SCSI, mais cela met le prix d'un disque dur SATA, de bonne facture de 18To à moins de 30€ le Teraoctet, environ. Pour exemple: un disque dur Western Digital Gold SATA de 18To, en 3.5 pouces, avec 6Gb/s (vitesse de bande passante d'interface), 512MB (mémoire EEPROM) est à 549,38€. Mais il faut adapter ces prix à l'offre et au évolutions du marché, les prix mentionnés ici devront être révisés pour ne pas semblés approximatifs. Un disque dur SATA pour particulier de plus petite capacité par exemple un Seagate Exos 7E8 de 3.5' (pouces) de 8To avec une vitesse de rotation du plateau à 7200RPM (rotation minute), 6Gb/s de transfert (bande passante d'interface) et 256MB (mémoire EEPROM) à moins de 200€. En revanche, le prix du Gigaoctet pour les disques SSD S-ATA 3, avait reculé d'environ 30 % entre 2014 et 2016. Sur quatre ans, la baisse avait atteint environ 54%. Actuellement le prix du Go d'un disque SSD Samsung de 500Go est descendu à presque la moitié, soit plus près des 30cts que des 70cts d'euros le Gigaoctet, cela malgré d'importantes disparités en fonction de la capacité, du modèle et de la marque. On annonçait déjà au début de l’année 2023 que les ventes de disques durs SATA avaient chuté de 40 % et cette tendance n’est pas prête de s’arrêter. On pourrait même se diriger vers la disparition des disques durs HDD SATA d’ici peu de temps. La baisse du prix de la mémoire flash NAND et l’augmentation de la capacité du stockage des SSD vont probablement signer l’arrêt de mort des HDD. Ainsi la baisse des prix du stockage bénéficie surtout aux fournisseurs de stockage externalisé et de services Cloud. En revanche le Cloud a un coût et celui-ci se chiffre autant en terme de consommation d'énergie qu'en terme de prix de stockage et de traitement des données. Lire sur 45secondes.fr
En 2022, les disques durs des datacenters pouvaient gérer jusqu'à 26 Térabytes (soit 26.000 Gigabytes) de stockage. Les dispositifs de stockage se sont mis à gérer 6000 Gigabytes de plus, soit 32Terabytes. Avec un tel volume de stockage, les entreprises comme les utilisateurs pourront disposer et stocker plus d'informations. Cela va engendrer des transmissions encore plus importantes, d'ou l'intérêt de la fibre et de l'adoption de la 5G pour les fournisseurs de téléphonie mobile et d'accès à Internet.
Exemple de sauvegarde sous forme de stockage d'objets à petits prix sur le Cloud
NAS vs vSAN
Nouvelle installation de vCenter avec vSAN
2024 - débuter avec Openmediavault;
omv docker, omv extras et portainer
Des engagements de baisse des coûts.
Dans un contexte de tiraillement entre,
La nécessité d'être innovant pour anticiper les besoins et déployer des services,
La nécessité d'évoluer tout en assurant la conformité des systèmes,
La nécessité d'optimiser les coûts...
Une amélioration de la productivité.
En optimisant les services d'administration, de support, de supervision via le Cloud
En fournissant des services de retour d'expérience et de qualité (Groupware, workflow),
En sécurisant votre réseau avec la segmentation et les accès sécurisés (VPN, LBS IPSec, SSL-SSH, IDS, SD-WAN, VLAN)
En assurant la mise en oeuvre d'un Plan de Retour d'Activité éprouvé avec des solutions native ou tièrce pour les différents serveurs virtuels
LA CONSOMMATION D'ENERGIE REDUITE AVEC LA VIRTUALISATION
Une étude de l'Union française de l'électricité (UFE), montrait que la consommation des centres de données s'élevait à environ 3TWh en 2015... Soit l'équivalent de la consommation électrique d'une ville comme Lyon. En 2021, la capacité de stockage des centres de données devait être multipliée par 4, selon une Étude de Cisco. Un centre de données "hyperscale" qui dépend souvent d’une architecture de serveurs virtuels doté de plusieurs centaines de m² d'armoires de baies avec disques rackés, est passé de 338 fin 2016 à 628 en 2021 soit près du double en 6 ans. Mais cela correspond seulement à 53% du nombre total des centres de données. Nous sommes tous concernés par ce problème d'énergie qui va augmentant, même s'il cela reste difficile à concretiser pour le commun des mortels. Lire sur le site "fournisseur-energie.com", comment réduire la pollution numérique. Alors qu'on associe bien souvent le Cloud à des engagements de baisse des coûts...
Cependant les critiques du Cloud avancent, "semble t-il", des arguments de poids; La consommation d'énergie des systèmes de refroidissement et la facturation de l'usage attribué aux services "hébergés" (avec un risque très faible de perdre "accidentiellement" vos données ainsi que la gouvernance et la pérénité du traitement des données). Raisons pour lesquelles les prestataires insistent pour que vous appliquiez "Les codes de bonnes pratiques et de bonnes conduites". Le choix du prestataire est donc déterminant. Lire le document de la CNIL: Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing.
La dépendance en énergie, phénomène determinant et les coûts fixes attribués par les "fournisseurs" de Cloud font que le traitement des données pour des applications comme avec SaaS sont facturées à l’usage. Une entreprise qui souscrit un abonnement auprès de fournisseurs tels que Amazon Web Services (AWS), Microsoft (Azure), Google Cloud Platform (GCP), n'appliquent en théorie une facturation que pour la consommation et l'utilisation de la bande passante réelle. L'hébergement personnalisé sur mesure, permet de facturer uniquement ce que vous utilisez. Vous n'avez pas besoin de payer pour des ressources supplémentaires. Tant que de cette nécessité le bon fonctionnement des services loués est assurée. Cependant, cette promesse reste à nuancer, au quotidien.
Il convient donc aux entreprises de bien étudier les offres, de bien lire les contrats et de s'en remettre aux fournisseurs pour avoir le plus d'informations techniques et tarifaires, tant pour ce qui concerne les VPS, que les services, ou encore les solutions SD-WAN pour équilibrer les charges réseau. Même si la conccurence est forte il convient de bien étudier les offres de services. Si vous êtes en quête d'une solutions plus personnalisée, d’un accompagnement dans votre projet, vous aurez plutôt intérêt à privilégier un prestataire qui pourra vous faire bénéficier d'un support éfficace. Concernant les offres de "brokers", leurs missions est de proposer les mêmes offres de services mais plus accéssibles "financièrement". Pour chaques modes de Cloud "public, privé ou hybride" un environnement hybride correspondra à une approche plus pragmatique lorsque les entreprises ont investis dans une infrastructure serveurs. Utiliser un Cloud hybride ou privé pour les applications et services indispensables au bon fonctionnement de la société apportera une solution semble t'il plus adapté, car entièrement dédiée. La popularité de VMware augmente lorsque la Société prend l’engagement d’arriver à la neutralité carbone et à une utilisation d’énergie renouvelable à 100 % pour ses opérations internationales d'ici 2030. Les objectifs de VMware soutiennent la mission de l’entreprise de représenter une force motrice dans le monde et d’apporter à la société, à l’environnement et à l’économie mondiale une contribution supérieure à sa consommation. Citrix lance XenApp et XenDesktop en 2008 avec Xen. Après achat des codes sources Windows, XenCenter, XenServer puis Citrix hypervisor 8.2UI voient le jour.
Un pool de ressources comprend plusieurs installations d'hôtes XenServer, liées entre elles à une seule entité gérée qui héberge des machines virtuelles. Associé à un stockage partagé, un pool de ressources permet de démarrer des machines virtuelles sur n'importe quel hôte XenServer disposant de suffisamment de mémoire. Les machines virtuelles peuvent ensuite être déplacées de manière dynamique entre les hôtes XenServer tout en fonctionnant avec un temps d'arrêt minimal (migration en direct).
Un Datastore, pool de ressources ou banque de données peut contenir les fichiers des machines virtuelles (disques, images ISO pour installer des OS, métadonnées…) Dans l'environnement VMware vSphere, les banques de données sont des conteneurs logiques, analogues à des systèmes de fichiers qui contiennent les informations du stockage physique et fournissent un modèle uniforme pour stocker des fichiers des machines virtuelles. Ils peuvent aussi stocker les images ISO des OS et modèles de machines virtuelles. vCenter Server et ESXi prennent en charge les banques de données avec partages pour Volumes Virtuels.
Déplacer les fichiers d'une VM vers un datastore avec le "Browser"
Lab hyperviseur ESXi 8 sur VMWare Workstation 17
Installation de VMware ESXi 6.7
VMware ESXi 7 installation Machine virtuelle
Cluster d'hyperviseurs ESXi avec équilibrage et tolérance
De nombreuses extensions sont utilisées par les hyperviseurs pour stocker les données de configuration des VM sur des disques avec autant de volumes logiques que vous pouvez avoir de VM. On peut enregistrer, copier, mettre à jour, déployer ou provisionner rapidement des instantannées. Des systèmes complets peuvent être transférés d'une Machine virtuelle vers une autre pour une maintenance sans interruption de services, à savoir en mode bare metal. On peut citer par exemple, quelques extensions telles que .VMDK et .VMXF qui sont des formats VMWare, .VDI qui est un format utilisé par Oracle, .VHD le format de Microsoft, et .VHDX pour Hyper-V de Microsoft qui permet de monter un disque non limités à 2To. En effet, VHDX repousse la limite à 64To. Oracle Virtual box peut utiliser les formats VHD et VHDX, à l'instar de Citrix XenCenter qui à la condition que vous bénéficiez d'un "rôle d’Administrateur de Pool", peut intégrer plusieurs formats, celui de Microsoft et de VMware.
VMware ESXi, clients et fonctionnalités de vCenter+ vMotion
Sauvegarde native de vCenter
Installation de Citrix Hypervisor 8.2UI
Installation de Citrix XenServer
VIRTUALISATION OU CONTAINERS ET STOCKAGE APPLICATIFS
Virtual Machines ou Containers ?
Tutoriel containers
OpenMediaVault 6 (2023), omv-extras, Docker and Portainer Part 1 (suite)
Home Server Part 2 Ubuntu Server 24.04 and Portainer container
LA VIRTUALISATION DU RESEAU
En 2012 VMware NSX apparaît pour l'automatisation du réseau : VMware NSX est une solution Réseau défini par logiciel (SDN) qui permet d'automatiser le déploiement, la configuration et les mises à jour de l'infrastructure réseau puisque tous les composants sont virtualisés et mis en œuvre sous forme de code. Une plate-forme de virtualisation de réseau destinée au Software-Defined Data Center (SDDC). NSX propose un modèle opérationnel de gestion, monitoring et management du réseau dans son ensemble. VMware peut ainsi répondre à la demande croissante d’utilisation de Terminaux Personnels ainsi qu'à la sécurité des VPS et des réseaux virtuels. VMware NSX propose une gamme de logiciels de virtualisation du réseau et de sécurité, créée à partir de vCloud Networking and Security (vCNS) de VMware et de Network Virtualization Platform (NVP de Nicira).
Le SDN et ses caractéristiques :
- Séparation du plan de données et du plan de contrôle.
- Périphériques simplifiés.
- Contrôle centralisé.
- Automatisation du réseau et virtualisation.
- Open source.
Architecture
Le réseau SDN est composé de 3 couches communiquant entre elles par le biais d’API en démarrant par la couche basse:
• L'infrastructure : on y trouve les périphériques qui contiennent les plans de données du réseau. Autrement dit, les switchs SDN responsables de l’acheminement du trafic.
• Le contrôle : se base sur le contrôleur SDN, il contrôle le plan de données de façon réactive ou proactive en insérant les différentes politiques de transfert. Cette partie est le centre du réseau et englobe la plupart des opérations de calcul.
• Applicative : héberge les applications qui permettant d’exploiter les avantages qu’apporte l’architecture en introduisant de nouvelles fonctionnalités réseaux. Dans cette disposition l’application communique les décisions et politiques de routage au contrôleur, qui a son tour traduit ces décisions pour programmer les équipements appropriés. Les dispositifs de transmission comparent ensuite l’en-tête des paquets avec les tables de flux pour ensuite effectuer les actions prédéfinies dans les tables.
L’architecture SDN est définie par trois abstractions :
- La transmission : Permet aux applications de programmer et de prendre les décisions concernant le réseau sans pour autant connaitre les détails de l’infrastructure physique. Ceci est achevé à travers l’usage de protocoles ouvert et standardisé pour la communication avec les équipements réseau.
- La distribution : Elle est implémentée par le contrôleur et est essentiellement responsable de deux taches. La première est d’insérer les règles de transfert dans les switchs. La seconde est de récupérer les informations de la couche inférieure, pour informer les applications de l’état de celle-ci et forme une vue globale du réseau.
- La spécification : Permet aux applications d’exprimer le comportement désiré du réseau sans en être directement responsable. (principaux acteurs de cette architecture).
Le switch SDN
On s'accorde pour que tous les équipements de transmission SDN sont appelés switch. Dans ce jargon le terme switch est attribué à tout équipement de transmission qui compare l’entête des paquets aux tables de flux, que la comparaison se fasse à base d’adresses MAC (Couche 2), d’adresses IP (Couche 3) ou une combinaison de plusieurs champs. La terminologie de switch a été adoptée en référence à l’unique tache de ces équipements qui est la transmission.
Un switch SDN est composé d’une API qui permet de communiquer avec le contrôleur, une couche d’abstraction qui consiste en un pipeline de tables de flux et une fonction de traitement de paquets.
Les fonctionnalités du SDN
Les tables de flux sont un élément fondamental du fonctionnement de switch SDN, elles sont composées d’un nombre d’entrées de flux, lesquelles consistent en deux composantes principales :
- Champs de correspondance : Ils sont utilisés par ordre de priorités pour être comparés aux entêtes des paquets entrants, le premier champ correspondant est directement sélectionné.
- Les Actions : Ce sont les instructions qui doivent être exécutés si une correspondance entre un paquet entrant et l’entrée pour laquelle ces actions sont spécifiées. La logique du traitement de paquets consiste en un nombre de mécanismes qui se mettent en actions en fonction du résultat de l’évaluation de l’entête du paquet et la correspondance de priorité la plus haute. Lorsqu’une correspondance est trouvée, le paquet est traité localement dans le switch, à moins qu’il soit explicitement envoyé au contrôleur. Si aucune correspondance n’est trouvée, une copie du paquet est envoyée au contrôleur qui devra décider quoi en faire, et éventuellement mettre à jour la table de flux pour l’y introduire comme entrée.
On distingue 2 types de switchs SDN :
• Le switch SDN logiciel (virtuel): C’est le moyen le plus simple pour créer un équipement SDN. Les tables de flux, les entrées et les champs de correspondance sont facilement implémentés dans les structures de données d’un software. Ce modèle est plus lent et moins efficace car il ne bénéficie pas directement d’accélération hardware, mais présente l’avantage d’être plus flexible et plus riche dans les actions disponibles. Il supporte un nombre d’entrées beaucoup plus important. Les switchs logiciels sont très présents dans les environnements virtualités et sont généralement crées en Open Source.
• Le switch SDN matériel : Ces implémentations sont plus rapides et sont la seul possibilité pour un environnement très haut débit (100Gbs). Pour transcrire les différentes entrées de flux et leur composantes dans les switchs on a opté pour l’utilisation de hardware spécialisé, pour le traitement de couche 2 on utilise les Content-Addressable Memories et pour la couche 3 les Ternary Content-addressable Memories. Ces switchs sont adaptés aux datacenter et au cœur du réseau.
Le contrôleur
Le rôle du plan de contrôle est de contrôler et de gérer les équipements de l’infrastructure et de les relier avec les applications. Il est composé d’un ou de plusieurs contrôleurs et est considéré comme système d’exploitation du réseau. Les premières versions du SDN présentaient un plan de contrôle composé d’un seul contrôleur centralisé. Par la suite des architectures distribuées utilisant plusieurs contrôleurs ont été proposées pour améliorer les performances et la scalabilité du réseau. Les performances des contrôleurs SDN sont caractérisés par le débit et la latence.
Afin de pouvoir interagir avec le réseau, le contrôleur a besoin d’une vue précise de ce dernier. la base NIB (Network Information Base) est déterminante. Cette NIB est construite au niveau du contrôleur et permet à ce dernier de savoir comment implémenter chaque ordre abstrait, trouver les équipements qui doivent être reconfigurés, s’assurer de la capacité de ces derniers à implémenter une directive avec les API supportées par l’équipement.
Le Software-Defined Data Center
le SDDC propose un modèle opérationnel de machines virtuelles pour le réseau dans son ensemble. Associé au Software Defined Network, plusieurs cartes physiques par hyperviseur permettront de créer des périphériques virtuels. Lorsque vous créez un SD-WAN il est géré par le contrôleur. Il deviendra possible via l'interface centralisée comme vCenter d'administrer les environnements vSphere, voir d'ajouter à la topologie des VLANs avec les protocoles STP, RSTP, PVST+ pour consolider en continu, la segmentation et l'équilibrage. La disponibilité et la sécurité de l'infrastructure est renforcée. La virtualisation des serveurs associée à l'offre des services multi-cloud permettent de créer des infrastructures de gestion centralisées et d'émuler les topologies réseaux pour contrôler le transfert des flux de données pour les environnements complexes entre les "composants réseaux". Vous pouvez gérer votre réseau, allouer de la bande passante, répartir et équilibrer les charges, relier vos sites distants, créer des noeud de secours, assurer les sauvegardes pour faire face à un arrêt de services et restaurer votre environnement à chaud. Les liens vers un fournisseur de service et l'interface de gestion permettent de béneficier de plusieurs fonctionnalités ; l'accès aux services réseau avec SDN, l'accés à vos sites et succursales distantes.
NSX+ et vSphere propose une nouvelle offre SaaS pour la gestion et le déploiement de services de réseau, de sécurité et d’équilibrage de charge avancé. Depuis plus de 15 ans et l'apparition des SDN et SD-WAN, il ne s'agit plus d'innovation, mais d'une métamorphose du secteur des réseaux et télécommunications.
Cluster ESXi, vCenter, vMotion et vDS "vSphere Distribute Switch".
vMotion et ESXi 8
La virtualisation des fonctionnalités réseaux avec NFV ou Network Fonctionning Virtualisation désigne le remplacement des "appliances réseaux" ou composants réseaux par des composants applicatifs virtuels qui exécutent les processus sous le contrôle de l'hyperviseur ESXi. Le Software Defined Networking de Cisco est un réseau défini par logiciel qui consiste à séparer la couche de gestion des flux de la couche de gestion de l'infrastructure (Le plan de contrôle et le plan de données). L'objectif de cette dissociation est de créer un réseau virtuel, centralisé et programmable. Cette "couche" utilise des composants et plates-formes virtuelles de gestion indiquée ci-dessus.
Pour le multi-Cloud VMware NSX perrmet d'assurer la sécurité des transferts de flux avec des stratégies entre vos sites locaux, distants, VPC que vous pouvez répartir.
La virtualisation du réseau virtuel, NFV (Network functions virtualization) et Réseau Défini par logiciel SDN (Software Defined Networking).
Les approches (SDN, NFV, NV) reposent sur la virtualisation et l'abstraction du réseau. En revanche, leurs manières de séparer les fonctions et de dissocier les ressources diffèrent. SDN sépare les fonctions de mise en réseau des fonctions de contrôle du réseau, dans le but de centraliser la gestion et la programmation du réseau. NFV permet de dissocier les fonctions réseau du matériel. Tou cela fournit l'infrastructure sur laquelle SDN s'exécute. La "Fabrique Ethernet" sous entend des réseaux soumis à la technologie Ethernet, composé d'un ensemble de câbles de catégories récente et de plusieurs switchs en fonction de vos objectifs. Vous pouvez associer NFV et SDN sur du matériel standard. Avec ces deux approches, vous pourrez créer une architecture réseau flexible, programmable, redondante et sécurisé.
Le Software Defined Networking Part-1
Suite part-2 sur youtubePart-2
Le SD-WAN permet à l'aide de l'interface graphique 'GUI' d'équilibrer les charges réseau, de créer des jobs de sauvegarde en planifiant les tâches au moment ou le réseau est le moins sollicité ou d'utiliser un "noeud" dédié à l'aide de votre serveur de management (controler + Firewall). Ce contrôleur permet de basculer les accès aux sites distants, de superviser les tâches de monitorer la sécurité ou de sauvegarder en sélectionnant au choix, l'accès au FAI réseau dont dépendera le niveau de débit (ex: 1Gbps et 100Mbs) tout en préservant la sécurité avec votre pare-feu "FortiGate, ASA, Storefront, etc." Cela afin d'assurer une redondance d'accès, ou en cas d'arrêt de services, de basculer d'un Fournisseur à l'autre. Cela vous permettra de "dispatcher" les besoins en bande passante en fonction de la demande à l'aide du GUI (Graphical User Interface) contrairement à la CLI plus complexe (Command Line Interface). La question comme avec Citrix c'est l'utilisation d'un agent ou comme c'est le cas actuellement d'une API de communication avec SSL pour gérer le réseau et ses composants.
interface applicative Agent et Application programming interface
SOUS-RESEAUX, VLAN, ROUTAGE INTER-VLAN, STP, PVSTP, RVLSTP, MST
SD WAN fournit une sélection de raccordements possibles programables couplés à la sécurité des VLAN et pare-feux.
La mise en œuvre d'un SD-WAN comprend :
• La gestion centralisée de la configuration
• La créaton et la gestion "automatique" de la topologie réseau, des droits et des accès
• Répartition du trafic
• Supervision via l'interface centralisée.
Interface virtuelle de gestion commutateur avec SVI et Inter-VLANs
La convergence des réseaux informatiques est contrôlée à la fois par les routeurs et les commutateurs du réseau. L'objectif fondamental de la création d'un réseau informatique est de partager des ressources et d'offrir une communication entre les hôtes. Le Switch Virtual Interface ou SVI représente une interface logique entre les fonctions de "bridging ou ponts", de Vlans et de routage. Le commutateur doit être de couche 3 pour que la configuration soit possible. Avec SVI des membres pourront avoir accès via des ports physiques; direct port channels ou virtuel port channels. Une interface SVI est une interface virtuelle configurée dans un commutateur multicouche à savoir de niveaux 2 et 3. Une interface SVI peut être créée pour chaque VLAN existant sur le commutateur. Une interface SVI est considérée comme virtuelle, car aucun port physique n'est dédié à l'interface. Elle peut assurer les mêmes fonctions pour le VLAN qu'une interface de routeur et peut être configurée à peu près de la même manière (adresse IP, listes de contrôle d'accès d'entrée et de sortie, etc.). L'interface SVI du VLAN assure le traitement de couche 3 des paquets vers ou depuis tous les ports de commutateur associés à ce VLAN.
L’interface VLAN de gestion et de commutation (SVI) correspond aux interfaces physiques appartenant à ce VLAN pour le joindre en IPv4 à des fins de raccord et de gestion (SSH, HTTPS, SNMP). Comme tout périphérique joignable sur le réseau, le commutateur doit posséder une adresse IPv4, un masque de sous réseau correspondant et une IP de passerelle.
fonction sur un VLAN à partir d'un périphérique vers un autre.
L'exemple de configuration présenté ci-dessous suppose que vous savez déjà comment effectuer la configuration de base du commutateur, comme la modification des noms d'hôte, le passage en mode de configuration globale, le mode de configuration d'interface et l'attribution d'une adresse IP sur une interface.
VLAN 10
SWITCH(config)#vlan 10 <- créez d'abord le VLAN 10 (Layer2-IPv4)
SWITCH(config)#interface vlan 10 <- créez maintenant le SVI pour le VLAN 10
SWITCH(config-if)#description Postes de Travail <- préférable non indispensable
SWITCH(config-if)#adresse IP 10.0.0.1 255.255.255.0 <- attribuer une adresse IP au SVI
La première ligne de l'exemple ci-dessus crée le VLAN 10 de couche 2. La ligne suivante crée un SVI pour le VLAN 10 (c'est-à-dire l'interface de couche 3). Bien que la troisième ligne soit facultatrice, il est recommandé d'ajouter une description pour l'interface qui aidera à comprendre l'objectif du SVI. La dernière ligne attribue une adresse IP sur le SVI créé pour le VLAN 10. Les accès SVI sont créés pour les postes de travail via le VLAN 10, comme indiqué dans l'exemple.
Raccorder les VLAN sur le coeur du réseau, afin que les commutateurs se comportent comme des "routeurs" pour la fonction "Inter VLAN". Cela rend les VLANs plus flexibles pour les environnements réseaux complexes avec l'utilisation de l'interface SVI. Les switchs peuvent alors acheminer les paquets de données entre les VLAN sur plusieurs sites sans nécessiter l'utilisation d'un routeur physique ce qui simplifie la topologie du réseau et permet d'économiser les coûts associés à l'achat de routeurs afin de raccorder les VLANs entre eux.
Switch Virtual Interface (SVI)-Gestion d'un commutateur Layer 3 pour le gestion et les connexions entre Vlans
Fonctionnement et configuration du mode trunk
Relier les switchs Cisco en mode trunk via ISL ou dot1Q
MST est un standard IEEE 802.1s c'est l'implémentation propriétaire de Cisco de “Multiple Instances Spanning Tree Protocol” (MISTP). MST distribue la charge entre plusieurs VLANs sur plusieurs liens STP.
Adressage Mac, protocole ARP, adresses IP...
Ce shéma qui montre comment créer des sous réseau et des Vlans pour chaque cible réseau:
De Internet aux routeur, puis aux switchs qui permettront de créer des VLAN par connexions, postes clients, types d'organisations, connexions Wifi, VoIP, les accès à internet des smartphones par le Wifi ou pour les postes nomades et la nécessité de créer des accès sécurisés.
IP publiques, privées, IPv4-v6, NAT-PAT et DHCP
Avantages du VLAN
SPANNING TREE PROTOCOL, EVOLUTIVITE, EQUILIBRAGE TOLERANCE ET SECURITE.
Comprendre le protocole Spanning tree et le mode trunk pour relier des switchs entre eux avec Virtual LAN
Le protocole Spanning Tree (STP) (IEEE 802.1D) est principalement utilisé pour empêcher les effets indésirables des boucles réseau, en limitant le broadcast et en forcant certains ports dans un état de blocage. Lorsque la diffusions de trame ethernet est trop importante on s'assure que le broadcast ne risque pas de bloquer le réseau.
Un VLAN est un réseau virtuel ou Virtual LAN, incrémenté par le protocole STP sur un commutateur de niveau 2-3 et qui permet de ségmenter ou de compartimenter le réseau pour assurer un équilibrage des charges avec une redondance entre VLANs. Avec le Peer Vlan Spanning Tree PLus l'élection d'un Root Bridge s'éffectue pour savoir quel port du commutateur deviendra le port Bridge via son BID qui signifie "Bridge Identifier". L'élection du port Bridge s'effectue avec l'échange de trames en quelques secondes et permet aux switchs de garder une trace des changements sur le réseau afin d’activer ou de désactiver les ports requis. STP utilise des BPDU ou "Bridge Protocol Data Unit" pour communiquer avec les autres VLANs et forcer certains ports à entrer dans un état bloqué. Cela est indispensable afin qu’il n'existe pas plusieurs chemins d’un point à un autre ce qui génererait des conflits de ports. Si un problème apparaît sur l’un des segments du réseau, alors le protocole STP réactive le port bloqué, pour que les paquets puissent passer par un nouveau chemin unique via un nouveau port à l'aide du bridge ID ou BID soit un Identifiant de Pont.
RESOUDRE LES BOUCLES AVEC SPANNING TREE PROTOCOL
Les boucles vont bloquer vos switch par une une multitude de chemins avec un afflut de broadcast sans sortie (élection possible).
Grâce à ce protocole, il est possible de sécuriser le réseau avec de la redondance en évitant les effets indésirables des boucles réseau, en plaçant certains ports dans un état de blocage. STP utilise des BPDU pour la communication entre les switchs.
Le terme BPDU, qui signifie « Bridge Protocol Data Unit » sont des trames qui sont échangées régulièrement, à peu près environ toutes les 2 secondes, et permettent aux switchs de garder une trace des changements sur le réseau afin d’activer ou de désactiver les ports requis. STP forcent certains ports dans un état bloqué pour pas qu’il existe plusieurs chemins d’un point à un autre. Si un problème arrive sur l’un des segments du réseau, alors le protocole STP réactivera le port bloqué, pour que les paquets puissent passer par un nouveau chemin unique.
PVIDlire sur les problèmes liés au paramétrage du PVID
L’algorithme spanning-tree procède en plusieurs étapes :
Élection du commutateur racine :
Une topologie sans boucle ressemble à un arbre et à la base de chaque arbre, on trouve ses racines, qu’on peut surnommé « roots ». Dans un réseau commuté, le root bridge, qui signifie commutateur racine, est élu. Chaque switch possède une adresse MAC et un numéro de priorité qu’on peut paramétrer. Ces deux nombres constituant l’identifiant de pont, plus connu sous le nom de BID pour bridge identifier. Le commutateur avec la priorité la plus basse l’emporte, et en cas d’égalité, c’est l’adresse MAC la plus basse qui l’emporte. En général, l’administrateur du réseau fait en sorte que le commutateur racine soit le plus près possible du cœur réseau en modifiant le Bridge ID.
Ensuite il va déterminer les ports racine :
Les autres commutateurs réseau vont alors déterminer quel est le port qui possède la distance et la mac adresse la plus courte vers le commutateur racine.
Pour cela, il se base sur le « coût » de chaque lien utilisé. La valeur du coût dépend de la bande passante du lien. Le "port racine" plus connu sous le nom de "root port", sera celui qui mène le plus directement au commutateur racine. Il ne peut y avoir qu’un root port par commutateur. En cas d’égalité, c’est le port ayant le port ID ou l'adresse MAC la plus faible qui sera élu root port.
Choix des ports désignés :
Pour chaque segment réseau reliant des commutateurs, un « port désigné » qu’on surnomme : designated
port " DP", est déterminé. Il s’agit du port relié au segment qui mène le plus directement à la
racine.
Bloquage des autres ports :
Les ports qui ne sont ni racine, ni désignés sont bloqués. Un port bloqué peut recevoir des paquets BPDU mais ne
peut pas en émettre.
En cas de changement de topologie, lorsqu’un lien est coupé ou qu’un commutateur tombe en panne ou
bien qu’il est simplement éteint, l’algorithme est exécuté à nouveau et un nouvel arbre est mis en
place.
L’algorithme STP procède par phases :
Afin de détecter les boucles, les switchs émettent des messages appelés BPDU, qui signifie "Bridge Protocol Data Units". Les BPDU permettront de découvrir la topologie afin d’élire le Root Bridge. Le Root Bridge est en quelque sorte le switch "maitre" de la topologie Spanning Tree. Une fois le Root Bridge élu, les switchs vont rechercher le meilleur chemin vers le Root Bridge. Les chemins redondants seront désactivés. Les switchs vont chercher le port avec la métrique la plus faible vers le Root Bridge. Ensuite ils vont couper les autres ports.
Première étape
La première étape est donc l’élection d’un commutateur racine en désignant le Bridge ID le plus bas. Initialement, tous les switchs pensent qu’ils sont Bridge ID d'ou la nécessité d'une élection.
Le Bridge ID sera déterminé entre le switch A et B en fonction des BPDU mais le switch A ayant l'adresse MAC la plus faible 00:00:0c:ab:32:74 dera la différence en cas de priorité égale. Lorsque les commutateurs commencent à recevoir des BPDU des autres commutateurs, ils comparent les autres ID racine avec leurs propres valeurs enregistrées. Si la valeur reçue est inférieure à la valeur enregistrée, alors le switch notera qu’il n’est pas élu comme racine et remplacera la valeur enregistrée par la valeur reçue. Il enverra cette info dans ses propres trames BPDU.
Élection du commutateur racine :
Une topologie sans boucle ressemble à des racines, nommé à juste titre "roots". Dans un réseau commuté, le root bridge, qui signifie commutateur racine, est élu. Chaque switch possède une adresse MAC et un numéro de priorité qu’on peut paramétrer. Ces deux nombres constituant l’identifiant de pont, plus connu sous le nom de BID pour bridge identifier. et l'adresse MAC. Le commutateur avec la priorité la plus basse l’emporte et en cas d’égalité, c’est l’adresse MAC la plus basse qui l’emporte. Noter que ce processus est automatique, en cas de défaillance il conviendra d'analyser le trafic et de "troubleshooter" ou de restaurer la sauvegarde du Switch (mais dans le cas d'une restauration cela ne résoudra pas nécessairement le problème) Donc sachez analyser et reproduire un shéma de votre topologie avec Packet Tracer ou mieux GNS3
PVST
- Les BPDU vont permettre de découvrir la topologie avec l'élection d'un Root Bridge.
- Le Root Bridge est en "quelque sorte" l'architecte de la topologie Spanning Tree.
- Une fois le Root Bridge élu via un port Bridge, les switchs vont rechercher le meilleur chemin à l'aide de
celui çi.
- Le principe de PVST est que le Root Bridge
peut subir des re-élections.
Le PVST+ (802.1Q) identifie les paquets transmis par chaque VLAN pour échanger des données avec un tag sur les trames Ethernet. On ajoute alors sur un port prédéfinit un identifiant lié au Vlan, pour savoir quel appareil peut transmettre le trafic et l'attibuer à tel ou tel Vlan. Par le biais d’un seul et même port de Switch et d’un seul et même câble réseau on peut faire transiter des trames Ethernet appartenant à plusieurs VLANs reliés ou non entre eux. On ajoute un identifiant PVID pour le port connecté au VLAN ID. Le VLAN20 afin de faire correspondre via le port émetteur une trame taggé qui communiquera avec les autres VLANs qui auront le même SSID et qui pourront être situés sur d'autres secteurs géographique de l'entreprise. Ce scénario est utile pour ségmenter le réseau en VLAN, pour les cameras sur IP en Powerless other Ethernet ou PoE pour la VoIP. Il permet à un port Switch relié à d'autres switchs d'optimiser la VoIP avec un Vlan dédié réparti sur plusieurs étages. Tout ce qui transitera par le port de ce VLAN se verra attibuer le même SSID. Le mode trunk en Dot1Q ou 802.1Q pour le PVST+ pourra relier les switch entre eux, sur un port relié qui permet l'election du Root Bridge. En mode trunk il existe différents mode de communication par port: Access, dynamic, auto, desirable. Cependant, sous IOS un port Access est un port qui appartient à un seul VLAN. On peut activer “spanning-tree portfast” qui fait passer le port directement à l’état de “forwarding” pour connecter des périphériques de terminaison.
Il en existe plusieurs protocoles Cisco utilisés avec les évolutions technique, avant l'apparition de 802.1Q (implémenté sur les Switch Cisco).
- Le RSTP,qui signifie Rapid Spanning Tree. C’est l’évolution du STP qui offre une convergence plus rapide. Il redéfinit également les rôles des ports et les coûts de liaison.
- Le PVST et PVST+, signifie, "Per Vlan
Spanning tree" et "Per Vlan Spanning Tree Plus" permettent de mettre en place un spanning
tree différent par vlan.
Le principe : il y a un Root Bridge par VLAN.
Ce qui fait que tous les liens seront utilisés, mais pas par les mêmes VLAN. cela permet à la charge d'être
mieux répartie.
- Le Rapid-PVST+ est une amélioration de ceux vus précédemment.
- Le MSTP, qui signifie Multiple Spanning Tree Protocol, qui est une extension du Rapid spanning tree dans laquelle une instance de celui-ci existe par groupe de VLAN. Par défaut sur les switchs Cisco, PVST+ est activé sur tous les ports. Même s’il a une convergence beaucoup plus lente, après un changement de topologie, le Rapid PVST nécessite moins de CPU et de ressources mémoires pour calculer le chemin le plus court accordé à chaque VLAN.
Actuellement et sur les commutateurs Cisco récents c'est le PVST + ou "Per VLAN Spanning Tree Plus" le plus pratique et courament utilisé. Plusieurs arborescences couvrent le réseau (une par VLAN). Ce qui permet un partage des charges efficace et un meilleur équilibrage qu'avec le spanning tree classique. un Root Bridge sera élu pour chaque VLAN afin de simplifier en cas de concurence la selection du Root port en fonction de l'adresse Mac la plus basse. De cette façon, le réseau est encore plus redondant et équilibré. Un champ, comporte l’identifiant du vlan qui vient s’ajouter au bridge id (BID) calculé entre la priorité du BDPU et l'adresse MAC la plus basse. De cette façon, sur le switch à chaque VLAN ID peut être assigné un "Tag". S’il s’agit du vlan 2, le tag 2 sera attribué au port ID du Vlan qui permettra de relier les VLANs entre eux. Les ports sur lesquels le trafic de plusieurs VLAN sera transmis vers ou depuis d'autres switchs compatibles devront être étiquetés d'un "tagged" (T) ou seront "Untagged" (U).
Mode trunk
Comment le spanning-tree travaille t'il ?
Fonctionnement de Spanning Tree Protocole
Per vlan spanning tree plus (PVST+) STP: History, Modes and Standards
approfondir les architectures Cisco pour Per VLAN Spanning Tree (PVST)
Intro VLANs 802.1Q et configuration des ports
Création des ports trunk
Par défaut, un port physique d’un commutateur Cisco est un “switchport”, un port de commutation. Il est configuré par défaut comme un lien trunk dans le mode “dynamic auto”. En revanche en mode opérationnel il est en mode “Access”. Il est associé au VLAN1 (le Vlan par défaut). S’il devait être monté en trunk, le VLAN natif serait le VLAN1 et l’encapsulation “Trunk” serait négociée par DTP. Un port dynamique est un port en mode “Access” considéré comme classique en fonction des messages Dynamic Trunk Protocol (DTP, protocole propriétaire à Cisco) reçus par l’interface. A noter que les ports sur lesquels le trafic de plusieurs VLAN est transmis vers ou depuis d'autres périphériques compatibles 802.1Q lorsqu'ils sont étiquetés par un tag "T", sont associés à des VLAN reliés entre eux mais pas avec les autres.
Comprendre DTP (Dynamic Trunking Protocol)
DTP ou Dynamic Trunking Protocol comme ISL sont des protocoles propriétaires à Cisco. Il permettent de configurer dynamiquement les deux ports d’une liaison trunk (ISLde Cisco 802.1Q " dot.1Q" non propriétaire et plus utilisé dans le temps)
Switch(config-if)# switchport mode dynamic [ auto | desirable ]
Si le port d’en face est configuré en mode manuel, il va se mettre dans le même mode.
Il existe deux modes dynamic :
1. Auto : Le port va se mettre en mode trunk si l’autre port de la liaison lui demande.
Si le port d’en face est en mode trunk ou "dynamic desirable", les deux ports de cette liaison seront
en mode
trunk.
Dans le cas contraire, les deux ports seront en mode "Access", soit :
2. Desirable : Le port va essayer activement de mettre cette liaison en mode trunk.
Si le port d’en face est en mode trunk , dynamic auto ou dynamic desirable, les deux ports de cette liaison
seront en mode trunk.
Dans le cas contraire, les deux ports seront en mode Access.
Le protocole ISL peut forcer des "états" en fonctions des ports d'un S1 vers un S2; Le mode Access, dynamic-Auto ou dynamic desirable
Par défaut 2 switchs une fois reliés seront en mode "Access".
DTP est configuré sur le mode Trunk par défaut en “dynamic auto” mais il est en mode opérationnel en mode “access” et reste associé au VLAN par défaut (en général le VLAN 1). S’il devait être monté en trunk, le VLAN natif serait le VLAN1 et l’encapsulation du mode “trunk” serait négociée par DTP. Un port dynamique est un port qui restera un port “access” ou qui se montera en port “trunk” en fonction des "messages" reçus par l’interface de Dynamic Trunking Protocol (DTP, protocole propriétaire à Cisco).
DTP Dynamic trunking protocol
Sécurisation des switchs STP et du mode Access
Troubleshoot VTP en mode trunk dynamique desirable
Rétablir la négociation de l’encapsulation sur le “trunk”
Pour rétablir la négociation de l’encapsulation (via DTP) : Il peut être utile de paramétrer VTP ou "Virtual Trunking Protocol" qui est propriétaire à Cisco si vous voulez maintenir la base de données des VLANs sur plusieurs commutateurs de même facture et de manière cohérente. Attention à ne pas configurer VTP dans un environnement de production car cela nécessite de flasher la base des VLANs mais surtout ne permet pas de configurer les ports de manière centralisée !
Pratiques de sécurité à prendre en compte:
Faire tomber tous les ports inutilisés.
Déplacer les ports liés au VLAN 1 sur un autre VLAN 5, 20 par ex.
Séparer le trafic de gestion de celui des utilisateurs.
Changer l’ID du VLAN de gestion dans un autre VLAN que le VLAN 1.
Changer l’ID du VLAN natif dans un autre VLAN que le VLAN 1.
S’assurer que seuls les périphériques du VLAN de gestion peuvent se connecter aux commutateurs.
Connexion distante au commutateur uniquement en SSH.
Désactiver l’autonégociation sur les ports Trunk.
Ne pas utiliser les modes DTP “dynamic desirable” ou “dynamic auto” sur les ports.
Désactiver VTP et CDP
Routage Inter-VLAN
Comprendre VTP ou Virtual Trunking Protocol
Sur les appareils Cisco, VTP (VLAN Trunking Protocol) est un protocole propriétaire à Cisco. Il maintient la cohérence de la configuration des VLAN sur un seul réseau de couche 2. VTP utilise des trames de couche 2 (basées sur les adresses MAC) pour gérer l'ajout, la suppression et le renommage des VLAN en mode VTP. VTP assure entre autre la synchronisation des informations entre VLAN et réduit le besoin de configurer les mêmes informations sur chaque commutateur. Cela réduit la possibilité d'incohérences de configuration qui surviennent lorsque des modifications sont apportées.
VTP Virtual trunking protocol
Concept de VTP Pruning
Troubleshooting de VTP et du mode trunk
Changement du VLAN Natif
VTP offre les avantages suivants :
Cohérence de la configuration VLAN sur le réseau de couche 2
Distribution dynamique des VLAN ajoutés sur le réseau
Configuration plug-and-play lors de l'ajout de nouveaux VLAN
Par défaut, la trame Ethernet fait 1518 octets. Lorsque cette même trame passe sur un lien 802.1Q, elle fait 1522 octets du fait de l’ajout de 'tag" pour VLAN auquel elle appartient. Il est possible depuis quelques années d’utiliser des trames Ethernet dites jumbo, des trames ayant une taille de 9k soit l’équivalent de 6 trames Ethernet traditionnelles. Dans la mesure où le réseau le supporte, et peut gérer la congestion que cela peut provoquer, activer le jumbo frames sur le stockage permet d’augmenter de manière significative la bande passante. Cependant lorsque 2 commutateurs de même marque sont connectés en mode VTP il est possible pour préserver de la bande passante en désactivant DTP (Dynamic trunking protocol de Cisco). Cela dépendra de votre architecture réseau et de la compatibilité des configurations et des appliance réseaux.
Changer la taille des trames signifie de bien connaitre l'architecture et les composants réseaux utilisés, sinon un phénomène de congestion risque d'apparaître et vous ne risquerez de ne plus pouvoir accéder aux principaux équipements. Prenez la décision le changer MTU soit 1 500 (Maximun Transfert Unit ou la taille de paquet maximale en octets transmise sur les réseaux sous-jacent) comme par exemple 16 349 . Voyez avec votre Admin réseau pour changer la taille sur les serveurs de gestion sur une carte réseau et sachez que en générale le calcul se fait automatiquement en fonction des recommandations matérielles.
LE TRUNK ET 802.1Q
Permet de:
- Segmenter le réseau sur votre domaine pour relier Vlans et les services entre eux,
- S'assurer que seuls les VLAN qui émettent communiquent entre
Vlans homologues et choisis, puisque taggés:
Vlan10 vers Vlan10, Vlan12->Vlan12 et 20, VLan20->VLan 12-à-20, Vlan10 tagués
->Vlan tagués 10 au Vlan 20, etc.
- Sécurise votre réseau en répartissant les connexions par services internes de l'entreprise
Pour que différents VLANs communiquent entre eux sur différents sites, le routage Inter-Vlan's
est nécessaire.
Le routage peut
être assuré par un routeur ou un commutateur de niveau 3.
On utilise principalement ISL de Cisco ou 802.1Q pour créer un lien Trunk: Le protocole ISL pour "Inter-Switch Link" propriétaire à Cisco, remplacé dans le temps par le protocole 802.1Q normalisé IEEE pour créer et uniformiser le principe de trunk.
Switch(config-if)# switchport trunk encapsulation [ isl | dot1q | negociate]
Switch(config-if)# switchport trunk encapsulation dot1q
Changement du VLAN Natif en Dot.Q
Le mode trunk 802.1Q
VLANs 802.1Q et ports taggés (tagged ports)
Optimisation de Spanning Tree Protocole PVST Plus ou "Per Vlan Spanning Tree Plus"
Fonctionnent du Per Vlan Spanning-Tree + (PVST+)
Configuration de Per Vlan Spanning-Tree + (PVST+)
informations avancées pour PVST, RPVST MST
Vérification des configurations Spanning Tree
Exemple pour réseau d'entreprise et domotique
Réseau virtuel Software Defined Network
Voir sur SD-Access et DNA Center de Cisco
SECURISER LES ACCES AUX SWITCHS
Recupérer la sauvegarde de la configuration d'un switch et flasher l'iOS
Utiliser TFTP serveur pour sauvegarder d'IOS et transferer la config.dat
L'approche matérielle et logicielle intégré (Cisco ACI) permet d'être utilisée dans les datacenters pour les clients qui veulent des solutions réseaux plus flexibles et plus facilement securisées que des architectures réseaux traditionnelles. Le SDN peut également se décliner en sous-catégories, LAN pour Réseau local comme le réseau étendu WAN (Wide Area Network) défini par logiciel. Le SDN avec d'autres approches telles que NFV ou NSX peuvent également servir à segmenter et accroître la sécurité.
NSX+
Principes du SDN et des VPCs
Le SDN (Software-Defined Networking) est un ensemble visant à faciliter l’architecture, la livraison de services réseaux de manière ciblé et dynamique. Il peut être déployé à grande échelle. L’Open Networking Foundation définit le SDN comme étant une architecture qui sépare le plan de contrôle du plan de données. Il est possible d'unifier les plans de contrôle de plusieurs périphériques dans un seul software de contrôle externe appelé " Contrôleur". Celui çi voit le réseau dans sa totalité pour gérer l’infrastructure et les interfaces de communication. Le contrôleur se soustrait de la couche physique pour que les applications puissent communiquer via la programation réseau. Voir les docs VMware sur le VPC (Virtual Private Cluster+NSX)
DEPLOIEMENT POUR INFRASTRUCTURES VIRTUELLES
Un Virtual Private Cloud (VPC) est un réseau privé virtuel dans lequel vous pouvez déployer vos ressources de cloud. Les ressources de cloud ne peuvent pas être déployées directement dans un VPC. Elles doivent être déployées via un commutateur virtuel.
VMWare et réseau virtuel
Gestion configuration des interfaces réseau sur ESXi
vSwitch et vSphere 6.7
Configurer un switch distribué avec vSphere
Migrez les hôtes VMWare ESXi vers Distributed Switch (VDS) sur vSphere 7.0 sans perte de connectivité.
VMware vSphere 7: améliorations Certificat vCenter
Stackwize, Cloud et SDN
Socket et Python
Déployer le loadbalancer F5 sur AWS en utilisant Terraform et VAULT avec un compte créé via les stratégies ou polices de sécurité
Manager Vault avec Terraform
AWS automation avec Ansible en 3 parties (part1)
Introduction à Ansible
Avec la virtualisation des systèmes et applications pour terminaux mobiles et les services Cloud: Software as a Service, Platform as a Service, Infrastructure as a Service vous pouvez bénéficier de possibilités bien plus étendues. L'intêret de la virtualisation et du Cloud sont largement développé sur Internet. Nous pouvons citer; le stockage, la gestion des services, la redondance de l'architecture, l'accès au socle applicatif; Middleware, groupware, partages. Pour l'exemple, nous utilisons chaque jour avec notre smartphone le SaaS pour la sécurité et le FRP (Factory Reset Protection) lié à votre ID d'utilisateur Google. Factory Reset Protection (FRP) est une fonction de sécurité des appareils Android qui empêche l'utilisation de l'appareil si ses paramètres d'usine sont restaurés sans autorisation Google. Comme pour le VDI qui assure un déport d'affichage avec un module web ou un agent qui permettent d'utiliser une connexion sécurisé avec Certificat puis chiffré via un VPN. Vous pouvez travailler comme çi vous étiez au bureau à la condition d'utiliser votre ID et mdp de session et en complément, l'identifiants de la connexion VPN sécurisée. La concurrence ne manque pas dans ce domaine. La plupart des utilisateurs de VDI ont recours à HDX, au protocole RDP, RemoteFX de Microsoft ou encore PCoIP.
Une entreprise qui souscrit un abonnement via WMWare auprès d’Amazon (AWS), avec l'exemple de
services qui stockent et gèrent vos données personnelles en SaaS, ne paie "en principe" que les
fonctionalités et la consommation réelle. Un engagement qui doit être nuancé... Si vous êtes en quête d'une
solutions plus accéssible, vous aurez plutôt intérêt à privilégier les offres de "brokers" financièrement
plus intessantes. L'analyse des coûts avec un Retour sur Investissement avantageux offre plus de souplesse sur
une offre SaaS.
En revanche,
la facturation de IaaS ou de Paas pour la virtualisation et la gestion de VPS, VM, stockage, avec la charge des
processeurs, des temps d'utilisation des scripts d'automatisation, ou les échanges et la duplication des données
réseaux, imposent de bien comprendre la manière dont sont facturés les servives Cloud.
Les offres plus anciennes comme celle de "Palo Alto" ou VMware propose le SD-WAN avec l'accès à une
interface permettant de bénéficier d'un tableau de bord pour vérifier la santé des terminaux, les applications,
le réseaux et ses politiques de sécurité. Grâce à cette interface et aux possibilités qu'elle offre sur le
réseau, les administrateurs peuvent isoler les problèmes rapidement pour par exemple des solutions de gestion de
services IT (IT Service
Management ou ITSM) afin d'automatiser le processus de gestion des incidents de bout en bout et de la
CMDB.
Il est donc particulièrement utile de bien comprendre la manière dont fonctionnent et dont sont facturés les services Cloud. Vous devez respecter les codes de bonnes pratiques et quant à votre fournisseur, il s'engage contractuellement à respecter le RGPD. Il semble, malgré les efforts faits dans ce sens que certains aspects que proposent les hébergeurs de Cloud ne soient pas encore totalement établis tant la répartition des données est sensible. Lorsque par exemple, votre espace de stockage se trouve à l'étranger. Vous devez à ce titre, localiser vos données au plus près de votre situation géographique et votre fournisseur de Cloud doit vous assurer que les données personnelles de l'entreprise ne seront pas dupliquées vers un autre continent. Cela concerne en particulier le Cloud hybride, le plus utilisé pour son accessibilité, la duplication et la sécurité des données. Pour limiter les risques juridiques, le choix de la géocalisation doit être correctement définit car celui-çi repose, sur la disponibilité des données de l'entreprise et de l’utilisateur. Parfois, ces données qui peuvent être stockées chez un fournisseur de Cloud transitent par un sous-traitant, pour des raisons de coûts. Si l'infrastructure de stockage est dupliquée pour causes géographique, il conviendra de bien prendre en compte les enjeux juridiques de vos choix, pour les raisons mentionnées. Si vos moyens sont limités, préférez un fournisseur de Cloud hybride situé dans l'espace Européen.
Mieux comprendre la métamorphose actuelle et les enjeux futurs du numérique
Plus sécurisé, basé sur des connexions privés virtuelles chiffrées, la mise en oeuvre d'infrastructure Virtuelle avec un segmentation des serveurs par rôles ou du réseau avec VLAN dans des centres de collocation, permet une redondance et la tolérance pour faire bénéficier au personnel des plusieurs succursales d'accéder en toute transparence et en toute sécurité aux applications et aux données qui résident sur le Cloud. Les Sociétés se tournent vers ces nouvelles solutions pour continuer à répondre aux exigences imposés par les avancées technologiques et optimiser le retour sur investissement. Le marché du SD-WAN plus facile, simplifie la vision et la gestion de votre réseau pour mieux s'adapter à vos besoins et aux attentes de vos clients. Que vous soyez une Entreprise internationale, une PME ou TPE ou une association il existe différentes solutions qui s'offrent à vous, si vous cherchez bien.
Des réponses aux besoins en constante évolution
Donc, à moins de bénéficier d'une infrastructure redondante, partiellement ou totalement virtualisée et de basculer d'une unité LUN (groupement de volumes logiques ou drive) à une autre, dans un environnement local hybride optimise vos procédures de restauration sur un serveur local à chaud.
Le Cloud avec les évolutions des services permet avec le Desktop as a Service de déporter les applicatifs avec un accès sécurisé vers votre bureau. Citrix utilise XenApp et "Receiver" qui sous forme de plugin permet de se connecter à l'interface du serveur Web qui intègre les applications. Il est possible de se connecter via le module Citrix "Secure Access" sou forme d'agent pour un accès direct au profil itinérant de l'utilisateur sur le serveur Citrix. Il devient alors possible dans la mesure ou la sécurité est bien respectée sur un Drive, de stocker vos données sensibles ou de louer un VPS pour partager un groupe de travail à l'aide d'un GroupeWare. Vous pouvez implémenter SharePoint sur IIS et SQL serveur qui permettra de mettre à disposition des utilisateurs, une plateforme applicative pour collaborer et travailler de son PC ensemble à distance. (mode connecté ou déconnecté). Avec le VDI pour Virtual Desktop Interface, vos applications sont accéssibles à distance pour être utilisées via le profil itinérant (roaming) de votre compte Microsoft. Microsoft a déjà commencé à déployer son service Office 365, qui propose des ordinateurs personnels virtuels fonctionnant sous Windows 10-11 et la couche de virtualisation. Le service vous donne accès à un ordinateur Windows virtuel avec l'OS de votre choix, qui fonctionne exactement comme un ordinateur physique. En tant que client de machine virtuelle, vous accédez aux applications qui par analogie sont équivalente à "streamées" ! Lorsque vous ouvrez Sharepoint pour collaborer avec Office ou toute autre application vous le ferez à partir du serveur virtuel distant et vous pourrez travailler à plusieurs sur un planning, un ordonnanceur, un fichier Excel partagé. Cependant, vous devrez comme tous les bons techniciens, aborder les nouveautés et l'évolution des tech (Routage, réseau commuté, pare-feux, filtrage ACL's, virtualisation, VLAN, Point d'accès Wifi, chiffrement, VPN et SD-WAN) et redoubler d'efforts pour comprendre les technologies qui se développent actuellement.
Le On-Premise conçu pour l'hybride
De plus en plus, les systèmes "on-premise" sont conçus pour le cloud hybride (Infrastructure hébergée et maintenue par l'informatique de l'entreprise avec les services "sensibles" externalisés sur le Cloud). SQL Server 2016 construit un Cloud directement dans le serveur, et un nombre croissant de services "d'orchestration" font au plus simple pour migrer les machines virtuelles dans le cloud quand vous avez besoin de plus de capacité.
Si vous utilisez l'appliance de stockage StorSimple de Microsoft, vous obtenez un réseau de stockage "infini". Il ressemble à un SAN pour votre infrastructure sur site, mais de la même manière que la déduplication, la compression et la hiérarchisation de vos données, il sauvegarde automatiquement les clichés ou instantanés et les données "froides" sur le cloud de votre choix (Azure, Amazon S3 ou OpenStack). Les données sont chiffrées et vous pouvez vous connecter à l'aide d'ExpressRoute, mais vous déplacez des données vers le cloud sans intervention humaine. Cette automatisation et cette connexion transparente rendent faciles le déplacement des données et des charges de travail vers et à partir du cloud sans que personne ne prenne une décision spécifique à chaque fois. Et cela signifie que vous devez avoir votre politique de sécurité clairement définie à l'avance, et appliquée automatiquement.
Oracle propose de créer un VPS "gratuit" enfin avec une participation de 1$ pour 30 jours d'éssai
LES SERVICES POUR INFRASTRUCTURES CLOUD
Le Cloud hybride : Le Cloud hybride est une combinaison de solutions de Cloud Computing public et privé. Il permet de dispatcher les besoins en fonction de la nature sensible ou non des données. Cette solution offre une flexibilité et une évolutivité accrues, protège les données confidentielles tout en rendant accessibles les outils et applications nécessaires au travail collaboratif. Cependant, juger les besoins et gérer les risques de problèmes de transferts ou de sécurité liés à l’interaction entre les deux modèles peut être difficile.
Le Cloud public : Le Cloud public repose sur une infrastructure partagée, où les ressources sont accessibles via Internet. Les utilisateurs peuvent accéder à ces ressources à la demande, ce qui offre une grande flexibilité. Les fournisseurs gèrent et maintiennent l’infrastructure, ce qui réduit la charge de travail des équipes informatiques internes. Cependant, comme les ressources sont partagées, il peut y avoir des problèmes de performance et de sécurité. De plus, les utilisateurs ont moins de contrôle sur l’infrastructure, ce qui peut poser des problèmes pour certaines applications.
Le Cloud privé : Le Cloud privé est dédié à une seule entreprise, sans partage d’infrastructure. Les ressources du service cloud peuvent être "exploitées" par un fournisseur tiers hors site. Cette solution offre une personnalisation accrue, cependant, la gestion des applications incombe à l’entreprise, ce qui nécessite du personnel qualifié. Le Cloud privé offre un environnement exclusif à une seule entreprise. Cela signifie que l’entreprise a un contrôle total sur l’infrastructure et peut personnaliser les ressources en fonction de ses besoins spécifiques. Cela offre une sécurité accrue, les données n'étant pas partagées. Cela signifie également que l’entreprise est responsable de la gestion et de la maintenance de l’infrastructure.
Même s'il apparaît que le Cloud d'après certaines critiques soit énergivore et coûteux, celui-çi va dans le sens de la protection, de la pérénité et de la disponibilité des données.
LA VIRTUALISATION DES POSTES CLIENTS
Agent et API (Programing Interface) ?
VMware ThinApp et horyzon, Citrix XenApp proposent aux entreprises des méthodes de déploiements rapides, d'utilisation à distance et de migration simplifié d’applications due à la portabilité.
Expérience utilisateur, Citrix XenApp vs VMware Horizon View
Citrix installation storefront version 2203 sur DaaS
Installer Citrix Secure Private Access service en local ou sur le Cloud
StorSimple - Présentation de la migration
Amélioration et supervisions
Network performance monitoring with OpManager: https://www.manageengine.com/network-monitoring
Certains outils pour simuler ou émuler une architecture virtuelle (qui ne sont toutefois pas récents) vous permettent de valider la configuration de vos équipements par rapport à un modèle. Un fichier contenant les règles (basées sur les documents de la NSA, de Rob Thomas et de Cisco – voir ci-dessous).
• Outils de simulation ou d'émulation: https://www.cisconetsolutions.com/ccna-200-301-lab-training-simulator-or-emulator
• Packet tracer en français: https://www.netacad.com/fr/courses/packet-tracer
• Open GNS3: https://docs.gns3.com/docs (permet de configurer vos routeurs, Switch, serveurs avec services et dans un environnement réseau vos VLANs)
Lire:
Lire sur le site Cisco; Configurer pour la migration de Spanning Tree de PVST+ vers MST
Lab Spanning Tree et Rapid Spanning Tree de Cisco
Préparer le Certification CCNA sur le site Formip
Voir le site cisco.goffinet.org et reprendre les connaissances de la certification CCNA
Voir: lab de la config initiale d'un commutateur sur goffinet.org
Etudier en ligne la certification réseau Cisco CCNA 200-301
* Références:
Virtualisation de l'infrastructure des postes de travail
Lire: aussi la virtualisation des postes de travail ThinApp de VMware
Lire: VMware Horizon View et Citrix Receiver du client léger Wyse Windows Embedded ou "Embarqué"
Lire Déployer Citrix sur Azure VMware
Lire sur Microsoft les spécificités d'un profil itinérant ou roaming profil
Lire: Virtualisez vos applications Réseaux et Télécoms
Capacité d'optimisation d'infrastructure: processus de gestion ITIL/COBIT
Microsoft Technet: l'optimisation d'infrastructure
Lire "les enjeux technologiques de l'information et de la communication
La neutralité du Net sur "La quadrature du net".
Pouvez-vous faire confiance à votre ordinateur personnel ?" Article publié il y a plus de 20 ans en 2002 par R. Stallman. .
Lire sur le sujet :
Lire l'article sur le journaldunet.
Les enjeux juridiques du Cloud computing (Chapitre-3)
Lire sur L'usine digitale: Bonnes pratiques pour optimiser vos coûts associés au cloud
Maitrise des "vrais couts" du cloud public: Un enjeu important pour les entreprises
Consommation d’un datacenter :tout ce qu’il faut savoir pour limiter les dépenses
Lire : Les white-box sont-elles l'avenir de la commutation réseau ?
Lire : Cisco muscle les capacités de Catalyst SD-WAN
Lire : Mise en réseau de SDN et virtualisation des fonctions réseau (NFV)
Lire: F5 exploite les API des clouds pour connecter les différents réseaux
Interventions à distance en toute confidentialité
Avec un suivi de vos interventions en respectant votre vie privée.
L'analyse de l'état de vos ressources et la vérification de l'intégrité de votre système.
La mise en oeuvre de vos sauvegardes avec des applications natives ou issue d'éditeurs tiers.
Pour bénéficiez d'une connexion à un espace privé et accéder à vos devis et factures.
Une assistance à distance de votre PC quelque soit le système; Microsoft, Mac OS, Linux, Android, etc.
BENEFICIEZ D'UNE ASSISTANCE A DISTANCE
L’Internet of Things (IoT) décrit le réseau de terminaux physiques, les « objets », qui intègrent des capteurs, des softwares et d’autres technologies en vue de se connecter à d’autres terminaux et systèmes qui échangent des données entre eux. Ces terminaux peuvent aussi bien être de simples appareils domestiques que des outils industriels de grande complexité. Avec plus de 7 milliards de terminaux IoT connectés aujourd’hui, les experts s’attendent à ce que ce nombre passe de 10 à 20 milliards d’ici 2025. Oracle dispose d’un réseau de partenaires de terminaux.
TELECHARGEZ TEAMVIEWER
TeamViewer pour Windows Cliquez sur l'icône pour télécharger la version 15.5.5
Télécharger TeamViewer pour les systèmes Linux, ChromeOS, iOS
Cliquez ensuite sur Exécuter ou Enregistrer. En effet, deux options s'offrent à vous; si vous désirez exécuter vous pouvez lancer le logiciel en mode portable sans avoir à l'installer. Vous devrez cliquer sur Démarrer puis suivre les indications des écrans qui s'affichent ci-dessous:
Vérifiez la "signature numérique" pour vérifier l'origine du package et lancer le programme via l'excécutable TeamViewer_Setup-15.5.exe.
Une fois Teamviewer téléchargé, cliquez sur "Démarrer seulement" ou
lancez l'exécutable et choisir "installer par défaut" comme n'importe qu'elle autre
application.
(La zone cochée "Démarrer seulement" vous permettra d'utiliser TeamViewer grace à
son module de communication, sans installer le logiciel sur votre PC)
Choix des modes d'utilisation, soit en mode portable ou par une installation.
Acceptez les termes de la licence puis cliquez sur "Suivant" pour accéder à la fenêtre des identifiants
Faites nous parvenir L'ID du partenaire puis le Mot de passe qui
s'affichera dans la zone "En attente de session" de la machice cible, par téléphone, ces
identifiants permettront de créer une connexion entre les machines via un canal sécurisé
chiffré.
Nous serons alors, en mesure de vous dépanner rapidement grâce à Internet.
IDENTIFIEZ PUIS SELECTIONNER LE FOURNISSEUR D'ACCES LE PLUS ADAPTE A VOS BESOINS
Avec ces outils votre choix se portera plus certainementsur un fournisseur idéale pour votre localisation.
D'après certains sites la couverture mobile serait:
de 92,83% de couverture 4G par Bouygues Telecom en Haute-Savoie.
de 77,09% de couverture 4G par Free Mobile (l'offre la moins couverte de Haute-Savoie)
Heureusement entre 93% et 77% il y a les quelques offres d'autres fournisseurs !
Pour la téléphonie mobile avoir la 5G c'est bien mais vous ne pouvez pas l'utiliser si vous êtes entouré d'antennes 2-3-4G. L'exemple d'un supermarché avec la fibre est bien adapté. La plupart des gérants utilisent une offre ADSL ou VDSL voir VDSL2, car il vous faut installer un réseau ségmenté pour des raisons de sécurité. A savoir le réseau principal relié au routeur avec le serveur et les PC ainsi que les caisses, 1 sous réseau WiFi avec un ou plusieurs Point(s) d'accès pour les caméras de surveillance, un autre sous réseau pour piloter l'écran de contrôle avec une application, sur mobile ou tablettes pour les alertes, la planification des tâches, la surveillance qui se déclenchera en fonction des scénarios crées...Cette interface permettra de surveiller vos locaux avec votre smartphone ou que vous soyez !
ADSL, ADSL2+, VDSL, VDSL2 OU FIBRE OPTIQUE
La carte des noeuds de raccordement (NRA) indique la localisation des centraux qui répartissent l'internet haut-débit grâce au réseau téléphonique installé non loin de votre lieu d'habitation.
NRA = Noeud de Raccordement des Abonnés, se trouve dans les centraux téléphoniques
Explication des offres:
- ADSL: Débit descendant (download) entre 1 et 4 Mb/s et débit montant (upload) inférieur à 1
Mb/s
- ADSL2+: Débit descendant "thTROUVEZ VOTRE ISP EN LIGNEéorique" de 20 Mb/s qui plafonne plutôt à 8-10
Mb/s dans la plupart des cas.
- VDSL: Débit descendant max de 50 Mb/s en download, mais limité à 20 Mb/s dans la pratique.
- VDSL2: plafond théorique de 80 à 100 Mb/s, permet concrètement environ 50 Mb/s pour les lignes les plus
performantes (Raccords les plus proches du NRA).
- Fibre optique: Plafond limité à 1 à 10 Gb/s. Tous les FAI ne proposent pas la même vitesse de connexion. En
réalité il n'y a pas trop de différence, mais Free apparaît plus performant.
Pour résumer:
Si vous avez le choix, prendre les forfaits que le NRA peut vous proposer ADSL2+, VDSL ou VDSL2 vous pouvez
aussi inclure une offre mobile pour la première année au prix de l'offre la moins cher. Si cela ne conviennait
pas vous pouvez toujours tenter une offre plus puissante, comme passer de à la VDSL2 ou à la fibre. Ou changer
de fournisseur ! Pour la fibre encore faut-elle qu'elle soit installée dans votre ville et que les raccords
soient établis de la rue jusqu'à votre maison ou votre immeuble. Rassurer vous, si vous habitez dans une
copropriété cela sera gratuit. De même pour une maison "individuelle" le raccord de la rue à votre
maison est gratuit si vous pouvez justifier que 3 personnes habitent la maison. Vérifiez quand même
l'information, mais j'ai cru comprendre que le raccord à la fibre était gratuit actuellement.
Mais pour un particulier qui utilise la TV, Internet, ADSL, 2+ ou VDSL2 (Virtuel DSL) peuvent être largement suffisant.
Taux de couverture des NRA sur le département de Haute Savoie :
https://www.ariase.com/box/carte-couverture-internet
Attention : Choisir un central (NRA) qui soit idéalement situé à moins de 3km de votre habitation (Les NRA répartissent les lignes ADSL chez les particuliers, les paramétrages pour ADSL2+ ou VDSL2 se font à partir des répartiteurs et commutateurs du Central).
Voir:https://www.degrouptest.com/faq/comprendre-affaiblissements-ADSL.php
Voir en dynamique le Central de "LES GETS" par exemple:
https://www.ariase.com/box/carte-nra
ENFIN pour tester votre élégibilité et le débit de votre connexion, voir sur le site: www.ariase.com
Une fois sur le site, indiquez votre ville puis cliquez sur le bouton orange à gauche du Léman ;-) pour tester
les offres compatibles. Evitez les offres privées ou inconues, histoire de bénéficier d'un support qui ne soit
pas situé au Sénégal ou au Camerou, pays ou les connexions ADSL sont tellement tributaire de l'electricité (les
coupures sont constantes) que même les techniciens les plus aguéris ne savent pas tout à fait comment reseter un
décodeur en fonction de la marque: Choisissez plutôt, Orange, Bouygue, SFR, Free, enfin un opérateur connu ! Car
si la foudre s'abat à côté de votre central vous risquez de galérer avant de remettre tout votre bazar en
marche, même à l'aide de l'assistance téléphonique locale...
La carte des noeuds de raccordement (NRA ou Noeud de Raccordement d'Abonnés) indique la localisation des centraux ADSL qui fournissent l'internet haut-débit grâce au réseau téléphonique dans votre ville.
NRA-Noeud de Raccordement d'Abonnés-Léman Haute Savoie
* Outils utiles *
• Advanced IP scanner / NetscanTools
• nmap : http://www.insecure.org/nmap/
• hping : http://www.hping.org/
• firewalk : http://www.packetfactory.net/projects/firewalk/
• xprobe : http://www.sys-security.com/html/projects/X.html
• syslog-ng : http://www.balabit.hu/en/downloads/syslog-ng/
• msyslog : http://www.core-sdi.com/download/download1.html
• UCD-SNMP : http://ucd-snmp.ucdavis.edu/
• Wireshark : https://www.wireshark.org/download.html
• NCAT (Network Config Audit Tool) : http://ncat.sourceforge.net/
Liste des port dédiés aux aplications
Convertisseur en octects pour capacités de stockage
Générateur de mots de passe securisés
Test de débit (Ariase)
Test de débit (Lemon)
Vérifiez l'accès et la sécurité de votre box ou routeur internet
Nous intervenons principalement dans les Hauts de Seine et sur Paris, mais aussi en région parisienne en fonction de vos demandes.
Spécialisés dans la mise en oeuvre et le déploiement de systèmes en environnements distribués, centralisés-externalisés comme le Cloud, nous proposons des solutions de;
-
Architectures et topologies réseaux,
-
Gestion d'infrastructures et virtualisation,
- Réseau VLAN, SDN-SD-WAN
- Implémentation de solutions de gestion d'actifs systèmes; ITSM-CMDB
- Solutions
n-tiers; GED, CMS, LMS, e-commerce et espaces collaboratifs, (WSS 3.0, SharePoint Server 2010, MOSS 2007-12,
Foundation et Server 2013, 16, 19),
- Sécurité, supervision des systèmes IDS, packaging et déploiement d'applications sur le réseau,
- Sauvegarde et stockage (local, Cloud, serveurs physiques et virtuels).
INSTALLATION ET GESTION D'APPLICATIONS
- Visioconférence, VOIP, imagerie médicale, mulimédias et domotique.
MIGRATION ET DEPLOIEMENTS
- Migration, Linux, Windows.
- Déploiement systèmes et applications à l'aide d'outils de packaging, SCCM, WDS et Microsoft Deployment Toolkit
(MDT).
- Utilisation
de Microsoft System Center, Configuration Manager, Endpoint Protection.
- Sauvegardes avec archivage, stockage et transfert des données sur NAS, SAN via canal sécurisé, en particulier
pour l'IA; ChatGPT 4 et 4-o
RESEAUX ET PARTAGE DE DONNEES ET PERIPHERIQUES
- Filaire (Ethernet, CPL), sans fil ( Wifi, 3-4-5G)
- Réseaux, VLAN et SD-WAN,
- Partage des données (SMB),
- Accès distant sur réseau et annuaire LDAP. (VPN, SSH, SSL.)
SECURISATION D'INFRASTRUCTURES
- Pare-feu, antivirus, détection d'intrusion et supervision,
- Passerelle applicative, serveurs web, DNS, SMB, AD DS, Groupshare, etc.
- Sécurité des accès à distance (VLAN, SD-WAN, tunneling, VPN, certificats, chiffrement, etc.)
INSTALLATION DE CMS, GED, LMS, MIDDLEWARE ET GROUPWARE SHAREPOINT
- Installation de SharePoint portail-foundation, Serveur sur Windows 2003-2008-2012-13-16-19
avec SQL server.
- Intégration de Middleware, composants Webpart pour Sharepoint.
- Implémentation de CMS, GED et LMS avec gestion des contenus et maintenance locale ou hybride.
PORTAILS COLLABORATIF ET GROUPWARE
Le portail collaboratif Sharepoint de Microsoft est un produits propriétaire de Microsoft que nous implémentons sur serveur web Internet Information server (IIS) avec SQL Server.
Windows SharePoint Services (WSS) est un moteur de groupware pour sites dynamiques, Il permet aux utilisateurs de partager des documents de la suite Microsoft Office et des messages électroniques en ligne comme sur un Intranet. Microsoft Office SharePoint Server (MOSS), auparavant appelé Microsoft Office Sharepoint Portal Server est un logiciel payant, permettant de réaliser des pages web dynamiques dans un espace de collaboration d'entreprise. Les fonctionnalités sont la gestion de contenus, le moteur de recherche, les formulaires, les statistiques décisionnelles, le partage de documents, groupes de discussion, tâches, etc..
Cette solution de collaboration pour PME avec Office 365 offre la possibilité de travailler via le Cloud en équipe sur un même document, avec de nombreux formats pourvus qu'ils soient compatibles (Excel, Word, Powerpoint, Acrobat, Visio, etc.) SharePoint permet de partager les documents en production, il améliore la qualité du support, assure le suivi, l'automation de services comme pour effectuer les plannings et assurer des tâches spécifiques d'un projet ou un processus workflow. Nous implémentons les versions SharePoint services v2-3, Sharepoint Portail Server 2007-10-13-19 et Microsoft Office Sharepoint serveur avec Office 365.
REPARER WINDOWS 10 AVEC DISM
Si vous bénéficiez d'une image ISO, vérifiez après avoir monté l'image que dans le répertoire source vous avez un fichier install.esd ou install.wim
Vous pouvez lancer cette commande batch en changeant le lettre ou vous avez mise l'image:
if exist X:\sources\install.wim (echo install.wim existe) else if exist X:\sources\install.esd (echo install.esd existe)
ce qui donnera l'extension de l'image ISO sur le lecteur E:\
C:\WINDOWS\system32>Dism /Online /Cleanup-Image /RestoreHealth /Source:wim:E:\sources\install.esd:1 /LimitAccess
C:\WINDOWS\system32>Dism /Online /Cleanup-Image /RestoreHealth /Source:wim:E:\sources\install.wim:1 /LimitAccess
Pour réparer une image ISO montée
Utilisez l’argument /RestoreHealth pour réparer l’image. Par exemple, pour réparer une image hors ligne à l’aide d’une image montée comme source de réparation, à partir d’une invite de commandes. Entrez la commande suivante :
Dism /Image:C:\offline /Cleanup-Image /RestoreHealth /Source:C:\test\mount\windows
En ligne
Dism /Image:C:\online /Cleanup-Image /RestoreHealth
Ou pour réparer une image en ligne à l’aide de vos propres sources au lieu de Windows Update, tapez :
Dism /Online /Cleanup-Image /RestoreHealth /Source:c:\test\mount\windows /LimitAccess
Pour vérifier si une image est réparable, scannez l’image pour vérifier l’altération. Cette opération prendra plusieurs minutes. Par exemple, à partir d’une invite de commandes, tapez la commande suivante :
Dism /Online /Cleanup-Image /ScanHealth
Vérifiez l’image pour voir si une altération a été détectée. Par exemple, à partir d’une invite de commandes, tapez :
Dism /Online /Cleanup-Image /CheckHealth
Lorsque vous utilisez l’argument sfc /CheckHealth, l’outil DISM indique si l’image est saine, réparable ou non réparable. Si l’image n’est pas réparable, vous devez ignorer l’image et recommencer. Si l’image est réparable, vous pouvez utiliser l’argument /RestoreHealth pour réparer l’image.
Mais vous trouverez toutes les infos avec Powershell:
Vous trouverez tous les indexes disponibles dans le fichier install
index 1 : Windows 10 Famille ;
index 2 : Windows 10 Famille N ;
index 4 : Windows 10 Éducation ;
index 6 : Windows 10 Professionnel…
Dism /Online /Cleanup-Image /RestoreHealth
ou reset
Dism.exe /online /Cleanup-Image /StartComponentCleanup /ResetBase
Lancez ensuite en mode Admin la commande: sfc /scannow
A lire sur le site de Microsoft
Lire l'Avenir de L'ITSM dans les Groupware et la collaboration
Lire l'installation de Sharepoint 2013 en stand alone sur Windows Serveur
Lire le document: SharePoint et workflow
Expert_SharePoint_2010_Practices
Lire l'article qui présente les offres sur le site medevel.com
ARCHITECTURE DE PARTAGES: ATTENTION AUX RANSOMWARES ET TENTATIVES D'INTRUSION
Les responsables de certains sites croient à tort que les données qu’ils abritent n’étant pas toutes confidentielles, l’enjeu de la sécurité est limité. Lorsque vous détenez des serveurs sur Internet, vous devez assurer la sécurité, vérifier les logs de connexions, éviter l'indisponibilité de vos ressources quelques soient les services utilisés; sauvegardes, partages, sites web, middleware, groupware, base de données, vente en ligne, etc. Accepteriez-vous que le trafic réseau que vous payez chaque mois, soit utilisé par un botnet ? Que votre serveur de messagerie puisse relayer des messages indésirables ? Ainsi, quel que soit le site et ses applications, il existe de vraies exigences qui justifient la mise en place de mesures de sécurité spécifiques; pare-feu, authentification renforcée, SSL, certificats, SSH pour se connecter à distance, VPN, authentification à 2 facteurs... La nécessité de patcher vos machines. d'éviter toutes formes de tentatives de types; scan de ports, defacing, DNS Hidjaking, attaque par "brute-force" "spoofing" et élévation de privilèges, sans compter les autres pièges, tels que les malwares et ils sont nombreux; spyware, adware, phishing, redirection de liens ou "url forwarding", "port forwarding" et ransomwares sous fome de liens dans les pièces-jointes de votre messagerie...
Historiquement le protocole SMB utilisait la couche NetBIOS qu'on appellait aussi NetBEUI pour Network Extended User Interface. Cependant le protocole NetBIOS était connu pour générer du broadcast d'ou la résolution des noms de Machines en IP du protocole NetBIOS Name Server. Pour pallier se problème, il fallait installer un serveur WINS, et déclarer le serveur WINS dans les paramètres de la carte réseau. Avec Windows 10 le protocole NetBIOS est abandonné et remplacé par SMB, pour partager des informations avec plus de sécurité.
Historique des ports TCP/UDP dédiés à NetBIOS puis SMB
135 - TCP
Microsoft EPMAP (End
Point Mapper),
aussi connu pour DCE/RPC service ,
utilisé pour gérer à distance;
DHCP server,
DNS
server et WINS.
Utilisés avec DCOM.
137 - UDP
NetBIOS Name Service
138 - UDP
NetBIOS Datagram Service
139 - TCP
NetBIOS Session Service
445 - TCP
Microsoft-DS SMB file sharing
Microsoft-DS Active Directory, Windows shares
Si votre PC ne se trouve pas sur un réseau local, vous pouvez utiliser un pare-feu pour bloquer toutes possibilités d'intrusions par les filtrages des ports SMB; 445 ainsi que 137, 138, 139 pour NetBIOS. Le protocole SMB s'appuyait sur NetBIOS et le port 139 pour contacter l'hôte donc appliquer une règle de filtrage sur les ports UDP: de 137 à 139 avec un pare feu (137-139) et éventuellement certains ports dynamiques tels que: 1110, 2869, 19780.
Vous pouvez désactiver le service "Assistance NetBIOS sur TCP/IP" et si vous utilisez un PC seul ou en réseau (Utiliser une IP statique IPv4 peut s'avérer bien pratique en particulier lorsque vous êtes sur un grand domaine, avec un grand nombre de machine) Dans "Panneau de configuration puis Réseau et Connexions réseau" sur la carte "active" sélectionner une IP fixe en IPv4. Si vous savez traduire celle çi en IPv6 renseignez la. Allez dans les "Propriétés", "Paramètres TCP/IP avancés" cliquer sur le bouton "Avancer" pour accéder à "Paramètres TCP/IP avancés" et enfin cliquer sur l'onglet WINS pour décocher la case "Désactiver NetBIOS sur TCP/IP" ainsi que la case LMHOSTS. (le fichier LMHOSTS est un fichier texte non chiffré, qui était utilisé pour établir la correspondance entre les noms et les IP des ordinateurs. Il assurait de fait la conversion et le mappage des noms NetBIOS "nomPC en IP" sur les systèmes d'exploitation Windows. "Lmhost.sam" se trouve toujours dans: "Windows\system32\drivers\etc".
Sur un réseau d'entreprise, lorsque le port TCP 445 est à l'écoute "Listenning" ou "Established" (établit indique que SMB est entré en communication), une règle de filtrage sur le Pare-feu entre vos serveurs les partages et les postes du LAN peut s'avérer judicieux. Il convient alors de vérifier les IP sources et cibles pour faire en sorte que chaque connexion soit initiée par une machine du LAN ou d'un Cloud par exemple hybride référencé. Bien que cela puisse représenter sur un réseau de taille une perte de temps considérable, l'intérêt d'utiliser des IP fixes statiques peuvent s'avérer bien utiles dans les réseaux distribués de grande taille. Dans ce type d'environnement, les clients et les serveurs peuvent exister dans différents sous-réseaux, domaines ou workgroup et VLAN. Les fichiers de configuration d'IP statiques IPv4 aident les clients à localiser les serveurs de partage, plus facilement lorsque les segments du réseau sont bien renseignés (DNS et anciennement WINS). Pour utiliser SMB sur le port TCP 445 et accéder à un partage via une connexion chiffrée de bout en bout avec le serveur, il faut renseigner les emplacements connus par un accès autorisé. Si vous ajoutez SMB via le port TCP 445 afin de partager des données sur le RLE, comme les Imprimantes et fichiers partagés vous pouvez utiliser la commutation inter VLAN pour permettre aux PC de communiquer ou non aux VLAN prédéfinis. Par ailleurs Le filtrages d'adresses MAC et IP permettront d'assurer une meilleur sécurité. La plupart des tentatives de connexions aux partages avec un compte System "spoofé" (élévation de privilèges par un assaillant du compte "System") seront plus complexes à exécuter à partir d'un scan d'IP/Ports, en particuier si vous avez ségmenté votre réseau en VLAN. Ainsi vous pourrez communiquer avec certains VLAN mais pas avec d'autres. Utilisez la commande Netsh lorsque vous partagez une connexion SMB en IPv4 via TCP/IP.
Créer un partage SMB pour Windows 10 ou serveur
Étant donné que le service "Explorateur d’ordinateurs" s’appuie sur SMBv1, celui-çi doit être désactivé sur le Serveur. Cela signifie que l’explorateur n'affiche plus "L'explorateur d'ordinateurs" de la même manière qu'autrefois via la méthode d’exploration des datagrammes NetBIOS hérités. D'une part, il est fortement conseillé de mapper des lecteurs réseau pour les partages et les imprimantes. D'autre part, les ressources mappées sont plus faciles à localiser via AD DS et le service DNS sur un réseau ségmenté de grande taille et surtout plus sûres à utiliser. Les fonctionnalités SMB version 2,0, 3,0, 3.1, 3.11 sont toujours entièrement prises en charge et incluses par défaut dans le cadre des binaires SMBv2.
Lorsque vous activez SMBv2-v3 sur le client Windows depuis les versions serveur 2012, SMBv2-3 est activée, bien que SMBv1 reste actif si vous ne laissez pas CIFS actif pour fournir des fonctionnalités d'identification-authentification. CIFS prend en charge l'authentification en fonction de l'utilisateur afin que ce dernier puisse accéder aux ressources partagées avec ses informations d'identification.
A partir de Windows Serveur 2016 la version SMB 3.11 est activée. Si vous utilisez le protocole SMBv3 pour des raisons de connectivité entre le serveur et les clients Windows 10 et 11 le client SMBv3 est activé depuis les versions 1607 à 21H2. Lorsque Microsoft fait évoluer le protocole SMB, le but est de renforcer la sécurité, notamment la sécurité serveurs avec des algorithmes de chiffrement, plus robustes (AES-128-GCM avec SMB V3.11). Il convient de souligner que ce contournement protège le "Service serveur" SMB et ne nécessite pas de redémarrage. En revanche, les clients SMB (LanmanWorkstation) même Windows 10 et 11 dans certains cas, restent toujours vulnérables si vous n'éffectuez pas les changements de désactiver SMBv1 avec les cmdlet Powershell.
Pour avoir une idée de la surface de nuisances des failles SMBv1 sur NetBIOS sur Windows client utilisez une commande MS-DOS "Net share" ou Powershell pour les partages sur vos volumes Windows avec IPC$ qui permet une connexion avec un compte doté des privilèges administratifs.
Avec PowerShell :
PS>get-fileshare
Name HealthStatus OperationalStatus
--- ------------ -----------------
ADMIN$ Healthy Online
C$ Healthy Online
D$ Healthy Online
I$ Healthy Online
K$ Healthy Online
L$ Healthy Online
print$ Healthy Online
PS>C:\Users\Administrateur> Get-SmbShare
Name ScopeName Path Description
---- --------- ---- ----------- --------------
ADMIN$ * C:\WINDOWS Administration à distance
C$ * C:\ Partage par défaut
D$ * D:\ Partage par défaut
IPC$ * IPC distant
K$ * K:\ Partage par défaut
La commande "Nbtstat.exe" (lire sur le site de Microsoft) était utilisable sur les anciènne version de Windows si le service résolution de nom était configuré dans les paramètres de la carte réseau.
Encore en 2023 certains actifs, y compris les ordinateurs personnels, utilisent toujours le SMBv1, un protocole ancien, non chiffré et compliqué, dont les vulnérabilités ont été ciblées dans les attaques par ransomware, tristement célèbres WannaCry, NotPetya, LockBit, etc. Plus récement est apparut "Rorschach" dont le fonctionnement reste mal connu... Nous constatons qu'aujourd'hui encore, 74% des entreprises ont dans leur réseau au moins un actif vulnérable à EternalBlue, ou vulnérabilité SMBv1.
SMB a toujours été un protocole de partage de fichiers sur le réseau avec les
serveurs Samba. À ce titre, il a besoin de ports réseau sur un ordinateur ou sur un serveur pour communiquer
avec les autres clients systèmes.
SMB utilisait le Port 139 car il fonctionnait à l’origine sur NetBIOS, celui-çi étant une
couche de transport plus ancienne elle permettait aux anciènnes versions de Windows de se parler sur un même
réseau.
SMB utilise le port 445 sur la couche de niveau 7 d'après le modèle
OSI. Les versions plus récentes de SMB (v 3.11 sur Windows 2016) ont commencé à utiliser le port 445 sur une
pile TCP qui permet de fonctionner via Internet. Si votre réseau n'est pas homogène, préférez passer pour les
partages via les Cloud (privés ou publiques)
Le partage sur Windows 10-11
Le fait que NetBIOS ait été abandonné tardivement pour des raisons de compatibilités à posé des problèmes que Microsoft n'a pas réussi à résoudre complètement. D'ou l'abandon de celui çi pour SMB. Même si un équivalent à l'Explorateur de fichiers Windows "nouvelle génération" est assez proche de l'anciènne version bien que le design diffère, il est plus étendu en intégrant les services Cloud; OneDrive, Drive de Google. Ce qui permet de gérer ou d'imprimer ses documents partagés depuis le cloud avec la possibilité du visionner le contenu en ligne en toute sécurité. Cette solution alternative de passer par des services cloud, OneDrive, Drive, pour échanger, partager ou imprimer reste sûr et sécurisé lorsque votre réseau n'est pas encore homogène.
A partir de Windows serveur 2016 la version SMB est la 3.11. Il en est de même pour Windows 10 depuis les versions 1607 à 21H2. Avec SMB sur un RLE (réseau local d'entreprise) comptez avec les lecteurs réseau pour mapper à partir de l'adresse IP ou d'un nom de serveur de partage.
Lorsque Microsoft fait évoluer le protocole SMB, le but est de renforcer la sécurité, notamment la sécurité des échanges avec des algorithmes de chiffrement plus robustes (AES-128-GCM avec SMB V3.11) En production, le SMB version 1 ne doit plus être utilisé, car il contient des failles de sécurité. En 2017, une faille dans SMB v1 a fait beaucoup de bruit : EternalBlue-CVE-2017-0144. Elle a été exploitée pour compromettre des millions de machines dans le monde et elle a été utilisée par des ransomwares ravageurs. Depuis, Microsoft a corrigé cette faille, mais cette version n'est plus maintenue. Cette version est obsolète et dépréciée depuis 2014 ! WannaCry, l'attaque ransomware la plus connue, utilise une faille dans le protocole SMB de Microsoft, laissant tous les ordinateurs non corrigés et connectés à Internet vulnérables aux attaques. D'autres attaques exploitent des services de bureau à distance ou Remote Desktop non sécurisé, analysant par scan de ports via Internet des systèmes vulnérables. Afin d'éviter cette faille, désactivez manuellement le service SMBv1 pour passer en version 2 ou 3 plus sécurisés.
Description de SMB; Server Message Block (SMB) est un protocole réseau de couche application qui fonctionne sur le ports 445. Il est largement utilisés pour le partage. Une "Intrusion.Win.MS17-010" cible les ordinateurs Windows et exploite les vulnérabilités du réseau SMBv1 (utilisées par les ransomware WannaCry, ExPetr- ransomware, etc.). Microsoft à tenté de corriger la faille dans le Bulletin de sécurité Microsoft MS17-010: Lire sur MSDN
Lire l'Intrusion.Win.MS17-010 via protocole SMB sur port 445 d'un PC sous Windows.
FONCTIONNALITES DE SMBv3
SMB 3.0: Stockage des fichiers pour virtualisation (Hyper-V™ sur SMB). La technologie Hyper-V permet de stocker des fichiers d’ordinateur virtuel, par exemple une configuration, des fichiers de disque dur virtuel (VHD) et des captures instantanées, dans des partages de fichiers sur le protocole SMB 3.0. Cette méthode peut être employée à la fois pour des serveurs de fichiers autonomes et des serveurs de fichiers en grappes utilisant Hyper-V et conjointement avec un système de stockage de fichiers partagés de type NAS.
Microsoft SQL Server sur SMB. SQL Server permet de stocker des fichiers de base de données utilisateur sur des partages de fichiers SMB. Pour l’heure, cette méthode est prise en charge avec SQL Server 2008 R2 pour des serveurs SQL autonomes. Les prochaines versions de SQL Server proposeront une prise en charge des serveurs en cluster et des bases de données système.
Stockage classique pour les données de l’utilisateur final. Le protocole SMB 3.0 apporte des améliorations aux charges de travail des utilisateurs professionnels de l’information. Ces améliorations réduisent notamment les valeurs de latence des applications auxquelles sont confrontés les utilisateurs des filiales lorsqu’ils accèdent à des données sur des réseaux étendus (WAN) et protègent des données contre les tentatives d’écoutes clandestines.
Créer des partages sous Windows 10
VERIFIER LA VERSION SMB DE VOTRE MACHINE
Si la valeur de SMBv1 est à 0 ou non présente, cela signifie que SMB1 est désactivé. En revanche si SMB2 à une valeur "DWORD" à 1 c'est que SMBv2 est le protocole de Partage. Le protocole devrait avoir la même version sur le Service Serveur (LanmanServer) que sur la station de travail (LanmanWorkstation). Prenez le temps d'activer IPv4 uniquement sur l'interface du connexion au réseau local si vous êtes sur un réseau de grande taille avec des segments (sous réseaux ou VLAN). Cela facilitera d'une part la configuration du NAT, comme la mise en ligne d'un serveur web ou pour paramétrer vos commutateurs L2-3. D'autre part, une IP fixe en IPv4 facilitera la configuration de votre routeur et de vos commutateurs en mode trunks.
Avec Powershell
Mettre à jour SMB v2-3 sur LanmanServer
Get-SmbServerConfiguration | Select EnableSMB2Protocol
Créer les partages à partir de mappages
PS>New-PSDrive -Name "NameOfMappage" -Root
"\\SERVER\NameOfShare" -PSProvider FileSystem
PS>New-PSDrive -Name "Share" -Root "\\SRV-PARTAGES\Share" -PSProvider FileSystem
PS>Set-Location -Path "NameOfMappage:"
#Il est nécessaire d'entrer après le mappage le nom du dossier#
Set-Location -Path "Share:"
Puis faites un dir ou tree
PS>Share:\>dir
Cela fera apparaître le nom du répertoire:
\\SRV-PARTAGES\Share
\\192.168.1.50\Share
Pour mapper un partage réseau en tant que lecteur réseau avec Powershell entrez la commande
ci-dessous:
New-SmbMapping -LocalPath "P:" -RemotePath
"\\NOM_DU_SRV\Nom_Partage"
Si votre structure n'est pas un réseau local d'entreprise RLE avec un pare-feux, faites en sorte que les protocoles NetBIOS et SMB en TCP (connexion) et en UDP (transfert de datagrammes) soient bloqués pour toutes tentatives de connexion de l'extérieur. Cependant, sur un Annuaire, Workgroup, Homegroup pour la connexion au réseau local vous devrez renseigner les adresses IP du serveur d'impression ou du serveur de partage avec les postes du réseau local qui pourront y avoir accès sur les couches 2 et 3.
Exemple de filtrage sur Windows
Cependant Microsoft n'a identifié aucun "facteur atténuant" sur Microsoft Technet pour ces vulnérabilités. Les solutions de contournement suivantes peuvent être utiles.
Selon votre situation :
- **Désactiver SMBv1** pour les clients exécutant Windows Vista et versions ultérieures. Voir l'article 2696547 de la Base de
connaissances Microsoft
**Méthode alternative pour les clients utilisant Windows 8.1, 10 ou Windows Server 2012 R2 et
versions ultérieures**
Pour les systèmes d'exploitation client :
1. Ouvrez le "Panneau de configuration", cliquez sur "Programmes", puis cliquez sur
"Activer ou désactiver des fonctionnalités Windows".
2. Dans la fenêtre Fonctionnalités de Windows, laissez coché la case "Support de partage de fichiers SMB
1.0/CIFS", puis cliquez sur "OK" pour fermer la fenêtre.
3. Redémarrez le système
Il est quand même préférable de mettre les PC de votre structure avec des système homogènes pour être sûr de bénéficier d'une compatibilité amméliorée.
Pour vérifier la version SMB de Windows ouvrez l'invite de cmd MS-DOS "En tant
qu'Administrateur"
puis tapez la commande "SC.EXE"
1-Détecter sur Workstation
sc.exe qc lanmanworkstation
2-Désactiver SMB v1
sc.exe config mrxsmb10 start= disabled
SMB v2-3 sur serveur SMB
1-Identifier sur serveur
sc.exe qc lanmanserver
2-Activez SMBv2 sur Lanmanserver (cmd en tant qu'administrateur):
sc.exe config lanmanserver depend= bowser/mrxsmb10/mrxsmb20/nsi
Ou directement via ces commandes "en tant qu'administrateur"
sc.exe config lanmanserver depend= bowser/mrxsmb20/nsi
Puis
sc.exe config mrxsmb20 start= auto
Le résultat s'affiche [SC] ChangeServiceConfig réussite(s)
Vérifier la version du protocole SMB
sc.exe qc lanmanworkstation
Ce qui affiche:
SERVICE_NAME: lanmanworkstation
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Windows\System32\svchost.exe -k NetworkService
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : Station de travail
DEPENDENCIES : bowser
: mrxsmb20
: nsi
SERVICE_START_NAME : NT AUTHORITY\NetworkService
Puis Redémarrer.
Vérifiez avec la stratégie de sécurité locale sous Windows
Entrez dans le champs Exécuter "Secpol.msc"
Si les paramètres de vos stratégies ont été changées et que des érreurs empêchent certaines "Exécutions" vous pouvez remettre la stratégie de sécurité par défaut à condition de l'avoir sauvegardé:
Utilisez les cmdlet
Ouvrez une invite de commandes ou comme ci-dessous avec Powershell "en tant
qu'Administrateur" avec le registre .
Ensuite copier sur notepad puis collez les commandes dans la fenêtre MS-DOS:
PS>C:\Windows\System32>RD /S /Q
"%windir%\System32\GroupPolicyUsers"
RD /S /Q "%windir%\System32\GroupPolicy"
Puis
gpupdate /force
Vous pouvez vérifier la version de SMB pour LanmanServer avec le registre,
utilisez "regedit.exe" ou regedt32 (32 bits) puis allez :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanServer\Parameters
Vérifiez que la valeur SMB2 à bien une valeur DWORD à 1. Si SMB1est mentionné avec la valeur à "1" c'est que le prorocole SMB1 est encore actif. Désactivez le
Vous devrez redémarrer l’ordinateur après avoir apporté des modifications au registre.
Pour plus d’informations,
consultez stockage serveur chez Microsoft.
IMPORTANT:
Après le service "station de travail" ou LanmanWorkstation, faites de même avec le
service serveur "LanmanServer".
Attention
cependant avec le paramétrage de SMB car les machines de votre réseau
devront avoir la même version SMB.
Sinon il vous faudra faire marche arrière pour que le service "Explorateur d'ordinateurs" fonctionne
en SMBv1.
Voici comment supprimer SMBv1 avec PowerShell sur Windows 7.
Ouvrez la console Powershell ou ISE "en tant qu'Administrateur"
Vérifier si
SMBv1 est actif sur le Service serveur de Windows 7
- Identifier la version de SMB avec PowerShell
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters |
ForEach-Object {Get-ItemProperty $_.pspath}
Configuration par défaut = activé (aucune clé de Registre n’est créée),
donc aucune valeur SMB1 n’est retournée.
Si une valeur est retournée, désactiver SMBv1 sur le Service Serveur (LanmanServer) avec
PowerShell
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters" SMB1 -Type DWORD -Value 0
–Force
Ce qui donne comme résultat:
PS>Get-ItemProperty
HKLM:\SYSTEM\CurrentControlSet\
services\LanmanServer\Parameters | ForEach-Object
{Get-ItemProperty
$_.pspath}
ServiceDll : C:\Windows\
system32\srvsvc.dll
ServiceDllUnloadOnStop : 1
EnableAuthenticateUserSharing : 1
NullSessionPipes : {}
autodisconnect : 15
enableforcedlogoff : 1
enablesecuritysignature : 1
requiresecuritysignature : 1
restrictnullsessaccess : 1
Lmannounce : 0
Size : 1
AdjustedNullSessionPipes : 3
Guid : {23, 166, 124, 25...}
PSPath :
Microsoft.PowerShell.Core\Registry::
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\LanmanServer\Parameters
PSParentPath :
Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\services\LanmanServer
PSChildName : Parameters
PSProvider : Microsoft.PowerShell.Core\Registry
Identifie avec PowerShell:
Get-WindowsOptionalFeature -Online -FeatureName smb1protocol
Désactivez SMBv1:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Activer SMBv2/3 sur Windows 7 avec Powershell pour LanmanServer
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters" SMB2 -Type DWORD -Value 1
–Force
VERIFIER AVEC POWERSHELL LA VERSION DE SMB DU SERVICE SERVEUR
Activer toujours "en tant qu'Administrateur" SMBv2/v3 sur le Service serveur avec PowerShell
Si vous avez Windows 10, vous pouvez utiliser les cmdlets:
Get-SmbServerConfiguration" et Set-SmbServerConfiguration
Le cmdlt Set-SmbServerConfiguration vous permet sur un serveur d’activer ou
de désactiver les protocoles SMBv1, SMBv2 pour mettre le serveur 2012 par exemple en version 3.11.
Nouvelle applet de commande pour service Serveur de Windows:
Set-SMBServerConfiguration
Désactive avec PowerShell SMBv1
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Active avec PowerShell SMBv2/3
Set-SmbServerConfiguration -EnableSMB2Protocol $true
Identifie la version de SMBv2/3
Get-SmbServerConfiguration | Select EnableSMB2Protocol
Avec le résultat:
EnableSMB2Protocol
==================
TRUE
Cmdlets pour activer SMB v2/v3 sur les services serveur et client de Windows 8.1/10
PS>Set-SmbServerConfiguration -EnableSMB2Protocol $true
PS>Set-SmbclientConfiguration -EnableSMB2Protocol $true
Plus d’informations:
Guides Metasploit et Meterpreter pour les "pentester" et les ingéneurs réseau (Windows XP-7)
Quelle est différence entre CIFS et SMB ?
Pourquoi vous ne devez pas nécessairement activer le cryptage conforme à la norme FIPS sous Windows
Scénario d’échange de paquets de protocole Microsoft SMB et NetBIOS
Lire partager des fichiers dans l'explorateur de fichiers sur Win10 en passant par le cloud
Pourquoi vous ne devez pas "néssairement" activer le cryptage conforme à la norme FIPS sous Windows
Scénario d’échange de paquets de protocole Microsoft SMB et NetBIOS
Résolution avancée des problèmes liés au protocole SMB (Server Message Block)
Si vous voulez utiliser le protocole SMB sur une machine distante via Internet via le services
de nommage DNS,
il vous faut lire sur le support Microsoft:
https://support.microsoft.com
Régler son pare feu Microsoft pour éviter les attaques sur le port 445 et SMB
Désactivez la mise en cache DNS côté Client et éventuellement Serveur (en fonction de son rôle)
Un des derniers ransomware s'appelle "LockBit" => Lire ce que vous devez savoir sur ce rançongiciel LockBit.
Lire aussi "Comment migrer de Windows 10 Home à Pro gratuitement"
Clés du Registre pour désactiver les applications qui se lancent au démarrage avec "RunOnce"
Utilisez Run ou RunOnce des clés de Registre pour exécuter un programme lorsqu’un utilisateur se connecte. La Run clé permet l’exécution du programme chaque fois que l’utilisateur se connecte, tandis que la RunOnce clé exécute le programme une fois, puis la clé est supprimée. Ces clés peuvent être définies pour l’utilisateur ou la machine.
La valeur de données d’une clé est une ligne de commande ne dépassant pas 260 caractères. Inscrivez les programmes à exécuter en ajoutant des entrées de la ligne decommandede la chaîne=de description- du formulaire. Vous pouvez écrire plusieurs entrées sous une clé. Si plusieurs programmes sont inscrits sous une clé particulière, l’ordre dans lequel ces programmes s’exécutent est indéterminé.
Le Registre Windows comprend les quatre Run clés et RunOnce suivantes :
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
Par défaut, la valeur d’une RunOnce clé est supprimée avant l’exécution de la ligne de commande. Vous pouvez préfixer un RunOnce nom de valeur avec un point d’exclamation (!) pour différer la suppression de la valeur jusqu’à l’exécution de la commande. Sans le préfixe du point d’exclamation, si l’opération RunOnce échoue, le programme associé ne sera pas invité à s’exécuter lors du prochain démarrage de l’ordinateur.
Par défaut, ces clés sont ignorées lorsque l’ordinateur est démarré en mode sans échec. Le nom
de valeur des RunOnce clés peut être précédé d’un astérisque (*) pour forcer l’exécution du programme même en
mode sans échec.
Un programme exécuté à partir de l’une de ces clés ne doit pas écrire dans la clé pendant son exécution, car
cela interfère avec l’exécution d’autres programmes inscrits sous la clé. Les applications doivent utiliser la
RunOnce clé uniquement pour les conditions temporaires, par exemple pour terminer l’installation de
l’application. Une application ne doit pas recréer continuellement des entrées sous RunOnce , car cela
interférera avec le programme d’installation de Windows.
UTILISEZ "WSUSOffline" COMMENT INSTALLER LES CORRECTIFS DES VERSIONS ANTERIEURES A WINDOWS 10
Catalogue Windows Update 7/10/11
Voici la procédure à suivre : Téléchargez WSUSOffline du site 01net.com
Ou sur le site officiel : https://www.wsusoffline.net/docs/
Dézipper le package
Wsusoffline109.zip en fonction de la version de l' OS avec
Winrar.
Placez le dans un répertoire sur un de vos volumes. Il n'est pas nécéssaire qu'il soit sur C:\. Une
fois copié dans le répertoire, lancez l'exécutable "UpdateGenerator.exe". La fenêtre ci dessous
s'affiche :
Cochez les cases; "Verify downloaded updates", "Include Service Pack",
"Include
C++".
Allez dans les options "
Create ISO image(s) puis sélectionnez "per selected product and language"
Indiquez l'endroit ou vous voulez créer l'image ISO des correctifs. Sous USB medium cochez la case "Copy updates for selected products directory" puis indiquez l'endroit ou tous les correctifs seront compilés en une image ISO, par exemple dans D:\PCSVGDE_KBases. Enfin appuyez sur Start. Une fois le processus terminé, vous allez retrouver vos corectifs pour Windows x86 et x64 ainsi que les correctifs pour poste de travail si vous bénéficiez d'un serveur WSUS, comme ci-dessous:
Dans %HOMEDRIVE% ou un autre lecteur D:\PCSVGDE_KBases\w61\glb vous trouvez les correctifs pour processeurs x86
Dans D:\PCSVGDE_KBases\w61-x64\glb vous trouverez les correctifs pour processeurs x64.
Si vous désirez relancer les mis à jour cliquez sur wsusoffline\client\UpdateInstaller.exe
Les images ISO pour x86 et x64 se trouvent dans le répertoire d'installation de WSUSOffline dans le dossier "ISO" comme ci-dessous.
Déployer les correctifs via WSUS
Il existe un script "Windows Update PowerShell Module" Téléchargable ici pour déployer via WSUS
Résoudre les problèmes d'update de Windows10
Téléchargez l'utilitaire de résolution des problèmes de Windows Update, puis sélectionnez Ouvrir ou Enregistrer dans la fenêtre contextuelle. Si le menu contextuel ne s’affiche pas, il se peut que votre bloqueur de fenêtres publicitaires soit activé. Si vous utilisez Microsoft Edge, les instructions pour désactiver le bloqueur de fenêtres publicitaires sont ici. Si vous utilisez un autre navigateur ou un bloqueur de fenêtres publicitaires distinct, consultez le site Web du bloqueur ou du navigateur. Si vous sélectionnez Enregistrer, une fois le téléchargement terminé, vous devez accéder au dossier dans lequel vous avez enregistré l’utilitaire de résolution des problèmes, puis double-cliquer sur le fichier "wu.diagcab" le plus récent, pour ensuite exécuter l’utilitaire. Cliquez sur Suivant et suivez les étapes de l'Assistant pour rechercher et résoudre les problèmes liés à Windows Update de Windows 10.
INCONTOURNABLES IMAGES ISO
Des sites proposent le téléchargement d'images ISO de Windows corrompues ou contenant des malwares ;-( C'est le cas de sites peu regardant (winmacsofts.com) qui proposent de télécharger des image ISO de Windows depuis le site de Microsoft. Le comble c'est que l'image ISO ne provient pas de chez Microsoft. Difficile alors de monter cette image ISO comme un système et de l'installer ou de virtualiser en convertissant en VHD. En fonction de votre hyperviseur ou logiciel de virtualisation; ISO, ISZ, VCD, TIB, WIM pour Windows, IMG ou DMG pour Mac OS...
*Ne téléchargez pas un un programme ou une image .ISO sans précautions*
De nombreuses images ISO sont corrompues car non officielles, elles peuvent contenir du code dangereux qui doit générer des alertes sur votre antivirus (Voir ci-dessous).
Téléchargez une image ISO d'un système Microsoft Officiel !
2 possibilités s'offrent à vous pour récupérer une véritable image ISO de Windows: soit récupérer une image ISO de votre système sur le site Microsoft, soit aller sur le site heidoc.net. Ces images ISO serviront de "médias de redémarrage" de réinstallation ou de système portable pour Windows (utilisable sur une Machine virtuelle) ainsi qu'en cas de perte du votre DVD d'origine, avec votre Serial. Utilisez la signature de de l'ISO dans les paramètres pour vérifier le certificat et son origine. Si vous avez une version OEM elle sera valable que pour la machine avec laquelle la version OEM est vendue. En principe l'OEM est rattachée à 1 machine et à ses composants matériels. La licence ne devrait fonctionner que sur cette machine. Donc gardez bien le numéro de Série de votre système Windows. Il existe cependant des moyens détournés et officiels de retrouver un "Serial" perdu.
1- Allez sur le lien suivant du site Microsoft avec votre numéro de série.
2- Autre option disponible avec l'utilitaire ISO Downloader du site heidoc.net.
Comme ci-dessous :
Avec la version 2.00 du logiciel Microsoft Windows and Office ISO Download Tool permet de télécharger toutes les versions de Microsoft Windows et d'Office. Pour la Version 2.03 la date de release est le 07-06-2016 et requière le .NET Framework 4.6.1 avec Internet Explorer 11, ainsi que la version Légale pour .NET Framework 3.5: Windows ISO Downloader Legacy.exe. Pour certaines fonctionnalités, référez vous aux articles sur les images ISO de Windows 7, de Windows 8.x et de Windows 10, ainsi celle d'Office 2013-16. Cette version 2.00 du logiciel Microsoft Windows and Office ISO Download Tool pour télécharger Microsoft Windows et Office.
La Version 2.03 requière les mêmes composants .NET Framework 4.6.1, IExplorer 11, version legale du .NET Framework 3.5: Windows ISO Downloader Legacy.exe
SURVOL RAPIDE DE POWERSHELL ET MONITORING
Voir: les ports utiles TCP et UDP pour clients et serveurs Windows
Lire: dépannage des ports alloués aux services sur serveurs Windows
Lancez une commande MS-DOS en tant qu'Administrateur pour voir si les ports des partages sont
ouverts et en connexion avec quels PC:
netstat -a -f -o [-afo]
Entrez la commande suivante pour identifier vos ports IPv4 liés à IPv6 sur les ports
dynamiques:
netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
La plage de ports dynamiques commence à partir du port 49152 jusqu'àu dernier port 65535. Soit près de 16384 ports utilisables (prendre en compte le 0 ainsi que les ports alloués aux applications)
Description de l'utilisation des ports TCP et UDP
Depuis WS2K8 la plage des ports allouée dynamiquement a changé
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
netsh int ipv6 set dynamicport tcp start=10000 num=1000
netsh int ipv6 set dynamicport udp start=10000 num=1000
Ports utilisés dans Configuration Manager
Pour vérifier le MTU sur Windows 10 avec PowerShell et TCP/IP
netsh interface ipv4 show subinterface
Le MTU par défaut est de 1500 octets.
Si vous voulez creuser un peu le sujet je vous suggère de visiter la base du site :
Knowledge base de "Palo Alto"
Les en-têtes IPv4 et
IPv6
Pour vous connecter à votre FAI ou ISP un "socket sécurisé" ou canal sécurisé est nécéssaire. Ce canal chiffré initie une connexion entre votre Box et votre FAI ou encore entre votre poste de travail et le serveur d'authentification du réseau de votre entreprise.
Les sockets sont utiles dans au moins trois contextes de communication :
- Modèles client/serveur
- Scénarios d’égal à égal, tels que les applications de Messagerie. (Attention à recréer la connexion)
- Pour éffectuer des appels de procédure distante (RPC) en demandant à l’application réceptrice d’interpréter
un message comme un appel de fonction.
La spécification Windows Sockets définit une interface de programmation réseau compatible binaire pour Microsoft Windows. Les sockets Windows sont basés sur l’implémentation de sockets UNIX dans berkeley Software Distribution (BSD, version 4.3) de l’Université de Californie à Berkeley. La spécification inclut à la fois des routines de socket de style BSD et des extensions spécifiques à Windows. L’utilisation de Windows Sockets permet à votre application de communiquer sur n’importe quel réseau conforme à l’API Windows Sockets. Les sockets Windows assurent la sécurité des threads.
En cas de doute si vous pensez que votre système a été corrompu, voici comment réintialiser la pile TCP ou le(s) socket de Windows (winsock) avec Powershell ?
Via MS DOS et Powershell avec les droits Administrateur (Windows 10-11)
Commandes MS DOS en tant que Administrateur:
1. netsh winsock reset catalog
2. netsh interface>ipv4 reset C:\>resetall.log
3. netsh interface ipv6 reset C:\>resetall.log
OU avec PowerShell
1. netsh winsock reset >C:\resetwinsock.log
Vous trouverez sur C:\ le fichier log avec si vous l'éditez avec notepad, ce contenu :
Le catalogue Winsock a été réinitialisé‚ correctement.
Vous devez redémarrer l'ordinateur afin de finaliser la réinitialisation.
Entrez dans le prompt MS DOS, la commande est; "netsh int
ipv4 reset" puis valider par Entrer. la commande est la même avec IPv4-6 sous Powershell: netsh
int ipv6 reset (netsh interface ipv6 reset)
Redémarrez et connectez internet après avoir de préférence vérifié votre IP (si vous utilisez un DHCP ou une IP
fixe)
Port utiles sur Windows serveur
Ports utilisés dans Configuration Manager
Lire: Comment savoir si quelqu’un s’est connecté à votre ordinateur
N'oubliez pas aussi de vérifier le cache DNS côté Client avec la console MS DOS et les
commandes:
ipconfig /displaydns >C:\verifcachedns.log
ipconfig /flushdns
Flushdns videra le cache DNS si vous avez laissé coché la case "Enregistrer les adresses dans le système DNS":
Windows PowerShell est l'environnement de script créé par Microsoft. Il est conçu pour fournir une solution unifiée de script et d'automatisation Windows incroyablement riche et redondant, mais particulièrement éfficace, capable d'accéder à une large gamme de technologies telles que.NET, COM et WMI grâce à ce seul outil. Depuis sa sortie en 2006, PowerShell est devenu le composant de toutes solutions de gestion basée sur le .NET Framework permettant le support aux scripts et à l'automation. Intégré depuis XP en option, puis nativement sur Windows 7. Cette interface en ligne de commandes ou CLI ressemble étrangement aux commandes Shell d'Unix. Il facilite la gestion des postes clients sur des parcs de moyenne et grande tailles sans avoir à implémenter un logiciel de gestion distribuée pour les postes avec une interface Java. L'utilisation de tâches, l'installation à distance de logiciels, des mises à jour ou l'accès aux postes d'une même structure en fait un outil d'administration incontournable. Il convient cependant de signer les connexions entre la console du poste d'administrateur PowerShell et les postes clients. Powershell est restreint sur Windows par défaut. Il faut paramétrer les Polices d'exécution et appliquer des signatures et authentifications chiffrées.
Vous pouvez le constater par une simple cmlet "Get-executionPolicy" sur Windows
7:
PS>C:\Users\Administrator.C-PC> Get-ExecutionPolicy
ce qui affiche le résultat
Restricted
Ressemblances entre batch MS DOS, PowerShell et bash Unix-Linux
Flèches Haut et Bas => déplace le curseur de de Haut en bas.
Flèches Gauche et Droite => Parcours la liste des dernières cmdes saisies.
MAJ => Bascule en mode Insert et Replace.
Supp => Supp le caractère de la position courante du curseur.
Espace Arr=> Supprime le caractère juste avant la position courante du curseur.
F2 => Affiche l'hsitorique des dernières commandes.
TAB => Complète automatiquement les éléments de la ligne de cmdes (Autocomplétion)
DEFINIR LES STRATEGIES D'EXECUTION de POWERSHELL
PowerShell vous permet de créer et de lancer des scripts système avancés. Cependant, par
défaut, les scripts
PowerShell sont automatiquement non définies ou bloquées.
Voici comment avec la cmdlet ExecutionPolicy
autoriser ou refuser les accès sur les Hives du registre pour les portées
"CurrentUser" et "LocalMachine".
Syntaxe des ExecutionPolicy
[-ExecutionPolicy] {Unrestricted | RemoteSigned | AllSigned | Restricted | Default | Bypass |
Undefined} [[-Scope] {Process | CurrentUser | LocalMachine | UserPolicy | MachinePolicy}]
Restricted :aucun script ne peut être exécuté, seules les cmdlets locales sont
autorisées
AllSigned : les scripts peuvent être exécutés mais ils doivent être obligatoirement signés avec un
certificat
RemoteSigned : les scripts créés en local n’ont pas besoin de signature
Unrestricted : les scripts n’ont pas besoin d’être signés, qu’ils proviennent du poste local ou
d’Internet.
Cliquez avec le bouton droit de la souris sur Windows PowerShell puis cliquez sur Exécuter "en tant qu'Administrateur".
Dans la fenêtre qui s'ouvre, saisissez l'applet Set-ExecutionPolicy RemoteSigned puis validez par Entrée.
Appuyer sur Enter pour Valider
Appuyez sur [O] pour valider l'exécution des scripts PowerShell signés sur votre ordinateur.
Après avoir validé, entrez la commande "Get-ExecutionPolicy" pour vérifier que les scripts distants seront signés.
Conseil: Lorsque votre PC est sur un annuaire Active Directory, les stratégies d’exécution sont contrôlées via les stratégies de groupe ou GPO. Celles-ci sont toujours situées au-dessus des autorisations des stratrégies locales donc plus efficaces contre les exécutions indésirables. Vérifiez les stratégies définies avec «Get-ExecutionPolicy -list». Si les paramètres sont définis sur RemoteSigned, cela signifie que les scripts locaux et les scripts à distance devront avoir une signature numérique. Si le script lui-même est maintenant simplement défini sur non-restreint ou Unrestricted puis mis à disposition localement, une fenêtre d'avertissement indiquera les risques encourus en cas de mauvaise intention.
Vérifiez les stratégies définies la cmdletGet-ExecutionPolicy et l'argument -list
Exemple de restrictions sur l'utilisateur courant:
PS>Get-ExecutionPolicy -List
Scope ExecutionPolicy
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser RemoteSigned (utilisateur courant du registre)
LocalMachine Unrestricted (machine locale du registre)
ou RemoteSigned (sur le réseau d'une machine distante)
Par défaut, les stratégies d'exécution de PowerShell sont Restricted et Undefined pour les
portées
"CurrentUser" et "LocalMachine"; cela signifie que les scripts ne s'exécuteront à distance
qu'avec un avertissement. Vous pouvez vérifier le paramètre de stratégie d'exécution à l'aide de la commandlet
"Get-ExecutionPolicy", comme illustré ci-dessus. Vous pouvez aussi modifier le comportement
d'exécution des scripts PowerShell à l'aide de la cmdlet
Set-ExecutionPolicy -scope "Hive"ou "nom de la portée".
Stratégie par défaut "Restricted" et "Undefined"
PS>C:\Windows\system32> Get-ExecutionPolicy -Verbose
Restricted
Comme son nom le suggère "Restricted" restreint toutes les exécutions non signés des scripts. Seuls les scripts locaux peuvent être lancés mais aucun script ne peut s'éxecuter à distance:
Remettre les restrictions par défaut:
Revient à mettre les restriction sur Undefined ou Restricted
Entrez la commande:
PS>set-executionpolicy Default
Ou encore en utilisant l'argument Unrestricted
PS>set-executionpolicy Unrestricted
Message de "Execution Policy Change":
La stratégie d'exécution permet de vous prémunir contre les scripts que vous jugez non
fiables. En modifiant la
stratégie d'exécution, vous vous exposez aux risques de sécurité décrits dans la rubrique d'aide
about_Execution_Policies. Voulez-vous modifier la stratégie d'exécution ?
[O] Oui [N] Non [S] Suspendre [?] Aide (la valeur par défaut est « O ») Une fois que vous avez répondu
par OUI
Vérifiez les restrictions appliquées à votre compte ou votre machine locale:
CurrentUser ou à votre Machine LocalMachine
Cependant la stratégie d’exécution Undefined remplace par défaut les restrictions d’exécution
des scripts ou de
chargement des modules. En ce qui concerne
les scripts qui n'ont pas de certificat un avertissement apparaît.
PS C:\Scripts> .\ScriptDistant.ps1
Avertissement de sécurité:
N’exécutez que des scripts que vous approuvez. Bien que les scripts en
provenance d’Internet puissent être utiles, ce script est susceptible
d’endommager votre ordinateur. Voulez-vous exécuter
C:\Scripts\ScriptDistant.ps1 ?
[N] Ne pas exécuter [O] Exécuter une fois [S] Suspendre [?] Aide
Modifiez la stratégie pour une portée spécifique avec -Scope:
Vous pouvez modifier le registre et forcer le comportement des stratégies d'exécution de
PowerShell à l'aide de
la cmdlet
PS>Set-ExecutionPolicy -Scope "LocalMachine" -ExecutionPolicy
"RemoteSigned" -force
PS>Set-ExecutionPolicy -Scope "CurrentUser" -ExecutionPolicy "AllSigned" -force
La stratégie qui s'applique à "LocalMachine" est supérieur à celle de "CurrentUser"
Cela donne le résultat:
PS>C:\Windows\system32> Get-ExecutionPolicy -list
Scope ExecutionPolicy
----- ---------------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser AllSigned
LocalMachine RemoteSigned
Les stratégies d'exécution sur RemoteSigned pour LocalMachine et AllSigned pour CurrentUser sont à mon sens les mieux adaptées pour un poste personnel Windows relié à internet.Pour un serveur, la convention impose pour l'exécution des scripts à distance que les paramètres viennent des stratégies de sécurité; les scripts lancés à distance doivent s'éxécuter avec une signature numérique et un certificat d'authentification. Le respect des conseils et la maîtrise du processus de signature du code sont essentiels à la protection de l’environnement PowerShell. Appliquez les stratégies d'exécution et maîtrisez le processus de signature du code pour la protection de l’environnement PowerShell !
Vérifier aussi l'existence de votre profil Powershell
Test-Path $PROFILE
Si la réponse est True laisser votre profil crée, en revanche si la valeur est False vous devrez créer votre
profil manuellement
Comme ceci:
PS>New-Item -Path $profile -ItemType file -force
Une fois
le profil crée comme ceci:
PS C:\Windows\system32> New-Item -Path $profile -ItemType file -force
Répertoire : C:\Users\Nom de l'utilisateur\Documents\WindowsPowerShell
Mode LastWriteTime Length Name
-a--- 05/11/2020 23:30 0 Microsoft.PowerShellISE_profile.ps1
Redémarrer ensuite PowerShell puis entrez:
pwd pour savoir ou vous vous situez dans l'arborescence puis:
PS C:\Users\Administrator>Test-Path $profile
True
Si la réponse est True cela veut dire que votre profil a bien été crée.
Verifiez la version installée sur votre système
PS>$PSVersionTable
Name Value
PSVersion => 5.1.14409.1018
PSEdition => Desktop
PSCompatibleVersions => {1.0, 2.0, 3.0, 4.0...}
BuildVersion => 10.0.14409.1018
CLRVersion => 4.0.30319.42000
WSManStackVersion => 3.0
PSRemotingProtocolVersion => 2.3
SerializationVersion => 1.1.0.1
Vérifiez votre PSVersion, BuildVersion ou la version de PowerShell que vous utilisez.
AJOUT DE MODULES POWERSHELL A PARTIR DE SITES DE CONFIANCE OU LOCALEMENT
1 -Commencer par créer un point de restauration avec Powershell
PS C:\>Checkpoint-Computer
cmdlet Checkpoint-Computer at command pipeline position 1
Supply values for the following parameters:
Description: 1
2 -Vous pouvez en fonction de votre OS et de votre version PowerShell utiliser la cmdlet :
PS>Update-help
Cliquez pour agrandir
Vous pouvez aussi tenter de mettre à jour votre version avec la KB3191566-x32ou x64 pour Windows
7 et server 2008 Release 2 par exemple.
Mais il semble que cette méthode lorsqu'elle est utilisée sur Win7 ne soit pas très stable. Auquel cas,
désinstallez la Mise à jour KB3191566
!
Si vous possédez Windows 10 et après avoir défini les politiques d'exécution vous pouvez
utiliser la commande
suivante pour mettre à jour vos modules:
Ce qui lance Powershell en invoquant " -importSystemModules":
"Powershell.exe -NoExit -importSystemModules"
Le chemin étant:
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -NoExit
-ImportSystemModules
Comme ci-dessous les updates et modules peuvent être installés à l'aide des cmdlets :
Get-help ou Update-Help
Get-help About_Modules
et
PS>Update-Module
Vous serez certainement "invité" à installer des modules comme "NuGet"
Puis de répondre par "Yes" pour mettre à jour votre version de Powershell.
1-Localement trouver l'emplacement de vos modules en saisissant la commande:
dir env:psmodulepath
Ou encore avec une redirection:
dir env:psmodulepath | Out-File .\Documents\Logfile\modules.txt
2) Copier les fichiers appartenant à ce module dans un répertoire identifié, et mettez le dans le sous-répertoire créé avec le nom de la commande par exemple.
3) Importez le module :
PS>C:\users\mon-nom\Mes_modules> import-module "Nom du
module"
4) Pour le tester ensuite, il faut saisir les commandes appartenant à ce module.
Vous pouvez les listez ainsi :
get-module Nom.du.module
Ou récupérer les noms des modules dans le pipeline avec un fichier de "résultat"
Get-module | Out-file .\Documents\Mesmodules.txt
permet de savoir rapidement quels sont les services actifs ou inactifs en utilisant le module Windows PowerShell et son interface sous MS-DOS. Entrez cmd en tant qu'Administrateur puis taper powershell.
PS>Get-Service >C:\services.txt
Les Opérateurs de résultat : ">"
Get-service >filesvc.txt
Get-Service >C:\services.txt
Get-ChildItem >>files.txt
Get-ChildItem 2 >errors.txt
Lister le liste de services actifs avec la commande SC.exe
cmd /k net start >services.log à partir de l'invite avec les droits
d'administrateur entrez; sc
query >C:\servicesactifs.txt
C:\Windows\sc query (liste les services) (>= redirection vers) C:\servicesactifs.log
Ouvrir le fichier sur C:\servicesactifs.txt avec un éditeur de texte
Service_Name: AeLookupSvc
Display_Name: Expérience d'application
Type: 20 WIN32_SHARE_PROCESS
State: 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Service_Name:ASDiskUnlocker
Display_Name: ASDiskUnlocker
Type: 110 WIN32_OWN_PROCESS (interactive)
State: 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Etc
Avec la Console WMI
wmic service get state,displayname
Entrez dans une invite de commande en mode Administrateur:
wmic:root\cli>/?
Tutoriel WMIC : Commandes utiles
Avec PowerShell
On peut aussi savoir quels sont les services actifs ou inactifs
en utilisant la cmdlet "En tant qu'Administrateur":
PS>Get-Service
Services démarrés ou arrêtés
Start, stop, restart, resume, etc.
Rédémarrer ou arrêter un service:
PS>restart-Service "Nom du service" -force
Vous pouvez utiliser:
PS>Start-service "Nom du service" -force
ou
PS>Stop-service "Nom du service" -force
Lister les Services "Running ou Stopped" à savoir démarrés ou arrêtés avec la cmdlet
"
Get-service"
avec Pipeline "|" comme flux de redirection puis "Out-File" comme flux de sortie:
Afficher les services arrêtés avec l'argument "Where-Object", valable pour les
process ou tous autres fichiers systèmes actifs:
Les Pipes correspondent aux flux de redirection puis de sortie de cmlet.
PS>Get-Service | Where-Object { $_.status -eq "stopped" } | Out-File C:\svcstop.txt
Services Start:
PS>Get-Service | Where-Object { $_.status -eq "running" } | Out-File
C:\svcstart.txt
Opérateurs de sortie, de résultat ou de redirection
Windows PowerShell fournit plusieurs applets de commande qui vous permettent de contrôler directement la sortie de données. Ces applets de commande partagent deux caractéristiques importantes. Tout d’abord, elles transforment généralement les données en une forme de texte. Elles opèrent de la sorte, car elles envoient les données à des composants système qui requièrent une entrée de texte. Cela signifie qu’elles doivent représenter les objets sous forme de texte. Le texte est mis en forme tel qu’il apparaît dans la fenêtre de la console Windows PowerShell.
Avec les applets il est possible d'utiliser les commandes ou arguments "Out, Out-write, Out-Host, Out-File", car elles envoient des informations de Windows PowerShell vers un autre emplacement. L’applet de commande Out-Host ne fait pas exception : l’affichage de la fenêtre hôte se trouve en dehors de Windows PowerShell. Ceci est important car, lorsque des données sont envoyées hors de Windows PowerShell, elles sont réellement supprimées. Vous pouvez le constater si vous tentez de créer un pipeline qui pagine les données vers la fenêtre hôte, puis tentez d’appliquer une mise en forme de liste, comme illustré ci-dessous :
Lister les connexions TCP/IP sur un PC Windows
Utiliser la commande Netstat -af
Powershell
PS C:\WINDOWS\system32> Test-NetConnection -port 52410 -computername
cloud19.netim.net
AVERTISSEMENT : TCP connect to (###.##.##.#4 : 52410) failed
ComputerName : cloud19.netim.net
RemoteAddress : fe80::d284:b0ff:fe6c:dd82
RemotePort : 52410
InterfaceAlias : Ethernet
SourceAddress : 192.168.0.16
PingSucceeded : True
PingReplyDetails (RTT) : 13 ms
TcpTestSucceeded : False
Lister les process
PS>Get-Process | Out-Host -Paging | Format-List
Vous pouvez vous attendre à ce que la commande affiche des pages d’informations sur
le processus sous forme de liste. Au lieu de cela, elle affiche une liste tabulaire par défaut :
Sortie de la cmdlet Get-process avec le pipeline et Out-Host :
Handles NPM(K) PM(K) WS(K) VM(M) CPU(s) Id ProcessName
------- ------ ----- ----- ----- ------ -- -----------------------------
101 5 1076 3316 32 0.05 2888 alg
...
618 18 39348 51108 143 211.20 740 explorer
257 8 9752 16828 79 3.02 2560 explorer
L’applet de commande Out-Host envoyant les données directement à la console, la commande
Format-List ne reçoit jamais rien à mettre en forme.
La façon correcte de structurer cette commande consiste à placer l’applet de commande Out-Host à la fin du
pipeline, comme illustré ci-dessous. Ainsi, les données du processus sont mises en forme de liste avant
d’être paginées et affichées.
PS> Get-Process | Format-List | Out-Host -Paging
Id : 2888
Handles : 101
CPU : 0.046875
Name : alg
Id : 740
Handles : 612
CPU : 211.703125
Name : explorer
Id : 2560
Handles : 257
CPU : 3.015625
Name : explorer
LISTER LES REGLES DE PARE-FEU
Get-NetFirewallRule | Out-File C:\LogFiles\firewall.log
Cela s’applique à toutes les applets de commande Out. Une applet de commande Out-* doit toujours apparaître à la fin du pipeline.
Les opérateurs de redirection redirigent uniquement les flux vers des fichiers ou des flux
vers des
flux.
L'opérateur de canalisation ou pipeline achemine un objet dans le pipeline vers une applet de commande
puis vers une sortie.
Apprendre Powershell
Redirection de sorties ou de résultats
PS>Get-service >filesvc.txt
Out-File: Pipeline pour flux de sortie
Get-Process | Out-File -Verbose D:\infolog.txt
VERBOSE: après avoir redirigé l'operation vers la cible "Out-File" et D:\infolog.txt (Verbose
correspond à "bavard" ou "verbeux").
Get-ChildItem | Out-File unicodeFile.txt
Get-Content filename.cs | Out-File -Encoding ASCII file.txt
Get-ChildItem | Out-File-Width 120 unicodeFile.cs
PS>Get-Service | Out-File C:\Services.txt
Contenu du fichier C:\Services.txt ci-dessus
Pour rediriger le flux de sortie dans le CLI à l'instar de "Write-File" vous
pouvez ajouter un fichier de résultat avec le paramètre -Append (Ajouter) après le pipeline | Out-File:
Le fichier files.txt sera ajouté à la liste des fichiers listés par la cmdlet Get-ChildItem
PS>Get-Process | Out-File -Append C:\proc.log
PS>Get-ChildItem | Out-File -Append C:\files.txt
Pour "Get-ChildItem" le résultat du conteneur Admibnistrateur se trouvera dans le fichier qui précède l'argument "-Append" à savoir dans "C:\files.txt"
Directory: C:\Users\Administrateur
Mode LastWriteTime Length Name
-----------------------------------------
d----- 10/03/2020 03:47 .ebookreader
d----- 14/01/2020 08:25 .swt
d----- 14/03/2020 04:50 .VirtualBox
d-r--- 27/03/2020 14:31 Desktop
d----- 19/03/2020 19:04 Documents
d-r--- 28/03/2020 03:23 Downloads
d-r--- 04/01/2020 14:01 Favorites
d-r--- 23/03/2020 07:50 Links
d-r--- 22/01/2020 02:21 Music
d----- 17/12/2019 18:50 OpenVPN
d-r--- 27/03/2020 13:46 Pictures
d-r--- 04/01/2020 14:01 Saved Games
d-r--- 04/01/2020 14:01 Searches
d----- 17/12/2019 22:14 UrbanVPN
d-r--- 29/02/2020 01:23 Videos
d----- 14/03/2020 04:49 VirtualBox
-a---- 28/03/2020 03:43 0 files.txt
Write-Output génère une sortie. Cette sortie peut aller à la commande suivante après le pipeline, ou à la console pour être simplement affichée.
La cmd envoie des objets dans le pipeline principal, également appelé "flux de sortie" ou "pipeline de réussite". Pour envoyer des objets d'erreur dans le pipeline d'erreurs, utilisez Write- Error.
1- Sortie pour la prochaine Cmdlet du pipeline
Write-Output 'My text' | Out-File -FilePath "$env:TEMP\Test.txt"
Write-Output 'Chris' | ForEach-Object { "My name is $_"}
Le résultat sera: My name is Chris
2- Sortie avant "Write-Output" dans le CLI
PS C:\> Write-Output "Hello tout le monde il est gentil"
Hello tout le monde il est gentil
1.- La cmdlet Write-Output envoie l'objet spécifié dans le pipeline vers la commande
suivante.
2.- Si la commande est la dernière commande du pipeline, l'objet est affiché dans la console.
3.- L'interpréteur PowerShell considère cela comme une écriture en sortie implicite.
Étant donné que le comportement par défaut de Write-Output consiste à afficher les objets à la fin
d'un pipeline.
Exemple
PS>Get-Process | Write-Output
est équivalent à Get-Process
Les messages peuvent être écrits avec;
Write-Verbose "Detailed Message"
Write-Information "Information Message"
Exemple de la commande Export
PS>Get-EventLog System | Export-Csv C:\temp\Eventsys
Utilisation du pipeline permet aussi de canaliser la sortie d'une applet de commande dans
une boucle
foreach:
Copie d'un répertoire vers une destination.
PS>Get-ChildItem | ForEach-Object { Copy-Item -Path $_.FullName -destination C:\NewDirectory\ }
Write-Output génère une Sortie d'écriture. Cette sortie peut aller à la commande suivante
après le pipeline ou
aller à la console pour afficher le résultat.
La cmdlet envoie des objets dans le pipeline appelée aussi
"pipeline de sortie ou de réussite".
Exemple avec write-output pour la cmdlet Get-Member:
PS>
Write-Output "test output" | Get-Member
Lister les correctifs (Hotfixes)
Tout d'abord, créer un répertoire "C:\temp" puis utilisez le script ci-dessous pour lister les KB ou correctifs de la bases de connaissances installées sur votre machine. Passez par l'invite de cmd. "Démarrer" puis "Exécuter" en tant que Administrateur puis créer la redirection vers le dossier C:\temp de manière à récupérer le contenu du fichier C:\temp\UpdateList.txtcontenant la liste des correctifs ou KB installées sur votre poste.
+ Simplement pour toutes les versions de XP à Windows 11, vous pouvez utiliser la commande "systeminfo"
:
C:\>systeminfo >C:\sysinfo.log
Chargement des informations de correction...
Il vous restera à ouvrir le fichier log "sysinfo.log" avec un éditeur de texte.
Pour récupérer les détails copiez le script de la console WMI ci-dessous dans l'éditeur
notepad:
wmic qfe GET
description,FixComments,hotfixid,installedby,installedon,servicepackineffect >C:\UpdateList.txt
Le résultat lorsque vous ouvrez le fichier UpdateList.txt apparaît comme ci-dessous ;
Avec PowerShell, la commande "verbe-noun" Get-HotFix donne le même résultat !
Les quotes = "." permettent de combler les noms de fichiers avec espaces dans les
"chemins"
(Cela est une vielle convention chez Microsoft)...
Exemple: log infos.txt devra pour être pris en compte dans votre script être noté entre quotes "log
infos.txt"
Si vous oubliez les Quotes comme ci-dessous un message d'erreur apparaît:
PS>Get-HotFix | Out-File D:\log infos.log
Les quotes ne sont pas présents sur le fichier de sortie "log infos" cela génère un code
d'erreur:
Out-File : Cannot validate argument on parameter 'Encoding'. The argument "infos.log" does not belong to the
set "unknown;string;unicode;bigendianunicode;utf8;utf7;utf32;ascii;default;oem"
Fichier de sortie dont le nom est entre "---" quotes vient du fait qu'il contient un
espace => Log infos.txt.
Get-HotFix | Out-File "D:\Log infos.txt"
Lister le contenu d'un répertoire comme par exemple d'un site Web complet
PS> Get-ChildItem -Path D:\site1foplus -Force -Recurse >
D:\1fosite.log
Le fichier "log infos.txt" contient les HotFix installés, ou les fichiers html, images, vidéos listées dans le fichier de sortie avec les redirections > ou Out-File.
Il est aussi possible de d'utiliser la cmlet Get-computerinfo avec dans une fnêtre avec un
commutateur de résultat
PS>Get-computerinfo >D:\infospc.txt
PS>Get-computerinfo | Out-file D:\infospc.txt
Gestionnaire d'identification
les gestionnaires d'identification permettent d'enregistrer les "username/password" pour vous loguez à votre poste, l'accès à un site ou à un partage réseau
Les informations sont stockés ici en fonction de l'OS, mais encryptées:
Pour les comptes systèmes:
Vérifiez vos processus et connexions TCP avec PowerShell:
PS>get-nettcpconnection | select
local*,remote*,state,@{Name="Process";Expression={(Get-Process -Id $_.OwningProcess).ProcessName}}
| sort-object -property LocalPort | format-table
OU
PS C:\WINDOWS\system32> get-nettcpconnection | select
local*,remote*,state,@{Name="Process";Expression={(Get-Process -Id $_.OwningProcess).ProcessName}}
| sort-object -property LocalPort | format-table >C:\LogFiles\tcpcx.log
Ouvrir le fichier de résultat "tcpcx.log" dans Wordpad
127.0.0.1 51522 127.0.0.1 63600 Established chrome
0.0.0.0 51522 0.0.0.0 0 Bound chrome
127.0.0.1 51523 127.0.0.1 63600 Established chrome
0.0.0.0 51523 0.0.0.0 0 Bound chrome
0.0.0.0 51526 0.0.0.0 0 Bound chrome
127.0.0.1 51526 127.0.0.1 63600 Established chrome
0.0.0.0 51527 0.0.0.0 0 Bound chrome
127.0.0.1 51527 127.0.0.1 63600 Established chrome
127.0.0.1 51547 0.0.0.0 0 Listen Dreamweaver
127.0.0.1 51547 127.0.0.1 51552 Established Dreamweaver
127.0.0.1 51551 127.0.0.1 51573 Established node
127.0.0.1 51551 127.0.0.1 51613 Established node
127.0.0.1 51551 127.0.0.1 51636 Established node
127.0.0.1 51551 0.0.0.0 0 Listen node
127.0.0.1 51551 127.0.0.1 51615 Established node
127.0.0.1 51551 127.0.0.1 51567 Established node
127.0.0.1 51551 127.0.0.1 51565 Established node
127.0.0.1 51551 127.0.0.1 51563 Established node
127.0.0.1 51551 127.0.0.1 51571 Established node
127.0.0.1 51551 127.0.0.1 52332 Established node
127.0.0.1 51551 127.0.0.1 51558 Established node
127.0.0.1 51551 127.0.0.1 51633 Established node
127.0.0.1 51551 127.0.0.1 52324 Established node
Sécurité et Certificats (clés publiques ou privés)
Quand un certificat avec une cléf publique est créée sur un système, la cléf publique
s'échange automatiquement. Ca fonctionne tout seul.
La cléf publique s'échange lorsque l'utilisateur est identifié ce qui n'est pas le cas avec une clef privée.
Celle-çi doit être envoyée au destinataire à part afin qu'il puissse initier un accès à titre privé.
Voilà un exemple pour montrer comment on peut se protéger très efficacement.
Exemple de certificat sur lequel on voit mentionné la signature en shaRSA chiffrée en sha1, valable jusqu'en
2120
Ci-dessous on peut lire que la clé publique est en RSA 2048Bits
Ce qui est énorme comparé aux chiffrements utilisés sur les échanges réseaux il y a quelques années en 128
ou 512Bits !
Les n° 30 82 01 0a ## ## ## ## etc. correspondent à la la clé RSA chiffrée .
Pour recréer un certificat c’est le même principe sur Linux Windows ou Apple.
Le Gestionnaire de Certificat s’ouvre avec la commande Certmgr.msc dans Exécuter
On retrouve le certificat personnel pour C PC à la dernière ligne en bleu avec la même date de validité (jeudi 12 décembre 2120)
- Un chiffrement en 2048 Bits est pratiquement impossible à casser.
- Il est possible de monter le chiffrement à 4096 avec un logiciel dédié
Exportez la clé.
On peut exporter le certificat en le sélectionnant et comme ci dessus en allant sur Exporter.
Puis en sélectionnant les échanges d'informations personnelles.
Insérer un mot de passe, clé de chiffrement.
Enregistrez le en choisissant de préférence un
stockage externe comme une clé USB.
Ensuite renseignez le nom du fichier et enregistrez le certificat avec clé privé de préférence sur un média externe.
Pour chiffrer un document, faites un clic droit puis allez sur Propriétés puis cette fenêtre s'affiche
Cochez la case "Chiffrer le contenu pour sécuriser les données" et afficher le bouton Détails
Mettre en place EFS pour chiffrer les dossiers et fichiers avec l'Agent de restauration
Sécurité et partages: Malware et ransomware
Si vous avez la possibilité d'utiliser un VPN, Tor ou OpenVPN qui transite par des Proxies
avec un pare-feu couplé avec celui de Windows 10, un bon antivirus et une supervision de vos connexions
ainsi que de vos navigation sont le moyen adéquate d'éviter les intrusions.
Il faut savoir que le danger vient surtout de ce que vous téléchargez, des pièces jointes autant que des
logiciels repackagés ou des sites inconnus.
Utilisez autant que ce peut un chiffrement de vos données personnelles et allez sur des sites qui de
préférence sont en httpS.
Sachez cependant que près de 20.000.000 d'utilisateurs de Chrome ont été victimes de Faux Ad Blockers
!
Voilà l'action d'un faux bloqueur de publicité
1. Il cache du code malveillant dans une bibliothèque javascript bien connue
(JQuery).
2. Ce code renvoie à leur serveur des informations sur certains des sites Web que vous
visitez.
3. Il reçoit les commandes du serveur distant du centre de commande. Afin d'éviter la
détection, ces commandes sont cachées dans une image d'apparence inoffensive.
4. Ces commandes sont des scripts qui sont ensuite exécutés dans le contexte privilégié
("page d'arrière-plan" de l'extension) et peuvent modifier le comportement de votre navigateur
de
n'importe quelle manière.
Fondamentalement, il s'agit d'un botnet
composé
de navigateurs infectés par les fausses extensions adblock. Le navigateur fait tout ce que le
propriétaire du
serveur du centre de commande lui ordonne de faire.
Soyez vigilant !
Lire sur le site de AdGuard en anglais
Le Phishing est aussi très répandu : soyez prudent lorsqu'il s’agit de télécharger ou de publier des données personnelles, particulièrement lorsqu'il ne s'agit pas de vous... Répondre à une offre de téléchargement gratuite, gagner un cadeau, succomber à des offres à des prix très attractifs, peut comporter certains risques... En aucun cas il ne doit vous être réclamé de compensation financière pour participer à un tirage au sort ou de renseigner un formulaire de données personelles pour mettre vos données bancaires à jour par exemple.
Phishing - Forme d'escroquerie très prisée ces dernières années qui consiste à prendre l'identité d'une entreprise connue et reconnue sur un e-mail pour inciter les destinataires à changer ou mettre à jour leurs coordonnées bancaires ou autres via des pages imitant celles de l'entreprise dont l'image a été utilisée pour l'escroquerie.
Utilisez un module contre le Phishing et le Spam voir un gestionnaire de Cookies pour votre messagerie et contre le tracking pour votre Navigateur (Il en existe pour chacun d'eux; IExplorer, Chrome, Firefox, Opera, Safari, etc.) Dans les réglages du navigateur vous trouverez les paramètres pour éviter de se faire "tracker".
Une Interface Graphique pour les Utilisateurs de DISM
- Version 1.3.0 : Dism-Gui_1.3.0.zip (232
Ko) 64 bits uniquement
- Version 1.2.9 : Dism-Gui_1.2.9.zip (388
Ko) 32 bits et 64 bits
Remerciements à Wolfgang pour l'outil en relation avec le site Malekal !
Réparer Windows 10 avec une interface utilisateur GUI et DISM
Conseil pour la messagerie
Gardez bien les mails indésirables dans le dossier "indésirables ou Spam" pour renseigner la base de données de noms 'DNS'. En cas de doute, n'oubliez pas de vérifiez l'expéditeur ainsi que l'en-tête du courrier.
Le cas échéant vous pouvez toujours vérifier l'expéditeur du courrier sous Gmail en ouvrant "Affichez l'original" !
Evitez les clés USB pour tranférer vos données personnelles d'une machine à une autre dans un environnement extérieur. Il existe dans Windows des paramètres qui empêchent d'utiliser des clés USB en dehors des environnements validés. Cela est possible grâce à la stratégie de sécurité : Démarrer: C:\Windows\system32\secpol.msc.
Demandez cependant à un technicien qui connait bien les stratégies de changer les paramètres. Cela est indispensable car bien que la stratégie de sécurité locale puisse restreindre beaucoup de paramètres il est préférable d'appliquer des stratégies de sécurité sur des groupes via Gpedit.msc et un réseau Active Directory. Si vous vous lancez dans le paramétrage des stratégies de sécurité cela pourrait se solder par des blocages à vos depends; renseignez vous et vérifier que votre antivirus scan les volumes "montés" (mount) via l'USB comme c'est le cas pour les disques durs externes ou les clés USB insérées sur votre PC ou transférer les données par le Cloud.
Utilisez un mot de passe pour chaque service ou portail avec un changement régulier (cela dépendra du nombre de tentatives de connexions non désirables que vous aurez auditées). Faites en sorte d'utiliser un mot de passe pour chaque service comme Facebook, Google, Outlook, Amazon etc… Plus le mot de passe est long plus il est difficile à craquer. Lorsqu'un hacker va cracker un mot de passe, une des premières choses qu’il va faire c’est de tenter de savoir s'il existe une correspondance entre ce mot de passe et d’autres sites internet ou votre messagerie. Evitez donc "d'agréger" vos identifiants. Utilisez un nettoyeur de traces, pour éffacer les fichiers temporaires, cookies et traces laissés sur Internet comme "CCleaner" au plus puissant "Diskmax tous deux gratuits. On l’a vu avec la fuite de LinkedIn, les mots de passe mis en vente datent de 2012, soit près de 4 ans. Il existe des applications avec votre suite Antivirus pare-feu ou bien pour Android qui permettent gérer vos mots de passe. Il en est de même sur Microsoft, Linux ou Mac OS. Lorsque vous êtes connectés sur des portails (FAI, Moteurs de recherche, sites avec authentification forte, espaces collaboratifs). Déconnectez-vous toujours lorsque vous quittez le portail. Cela vous permettra de désactiver le cookie de connexion et de moins laisser de traces.
sur le site d'Eset le glossaire des "arnaques potentielles".
Références
PowerShell de A à Z et l'administration
introduction à Python 3 et ses conteneurs standarts
Linux administration du réseau
Lire : Tutoriel WMIC de Malekal ou Gestion WMI
Lire : Support Apache (D.Szalkowski)