Virtualisation

Pour tenter de simplifier, la virtualisation correspond à la "couche d'abstraction matérielle" sur laquelle a été crée à l'aide "d'API" des couches afin d'émuler les composants matériels de bas niveau comme les processeurs multi-core, la mémoire, les cartes, graphiques, réseau, etc. L'hyperviseur ira puiser dans le hardware de la machine hôte les ressources nécessaires pour virtualiser la plupart des systèmes d'exploitation, avec des pilotes normalisés pour recréer un réseau et établir des communications. Les Machines virtuelles possèdent leurs propres "sous-ensembles matériels", répartis de façon homogène. Pour VMware, VM Network correspondra au groupe de ports sur lequel vous pourrez gérer vos machines virtuelles et Management Network permettra d'utiliser votre ESX pour le réseau. A l'aide d'"add-ons" vous gérez les interfaces et des agents assurent la gestion de la couche applicative. Les neouds de communication réseau sont établis en SSH via des scripts Python pour les environnements Cloud. Les systèmes installés sont montés à partir d'images ISO sur un OS hôte "intermédiaire" (type 2) ou directement sur un hyperviseur natif (type 1).

Détails des modes de virtualisation

- La virtualisation totale (type 1) utilisant la translation binaire ou Full virtualization & Binary Translation

- La virtualisation assisté (type 2) par le système d'exploitation ou "OS assisted virtualization".

- La virtualisation côté client assistée par matériel (type 2, souvent utilisé pour la virtualisation d'infrastructures clients pour virtual desktop avec instructions Intel VT, AMD-V)

Avec l'évolution apparaissent les "containers" qui deviennent dominants dans le développement sur "Cloud natif". Bien que les conteneurs et les machines virtuelles aient des caractéristiques communes, ils se distinguent par plus de scalabilité, d'accéssibilité, de portabilité, de sécurité et d'équilibrage en cas d'incident (sur cluster il n'est pas nécessaire de redémarrer l'application "portable", un OS ou une VM...).

Responsive image

Activation des composants sur un PC pour la virtualisation (processeurs Intel et AMD)

Datastore; VM, ISO, templates, snapshots...

Outre l'utilisation d'agent, avec ThinApp la création de packages autonomes légers, qui encapsulent un environnement d'exécution entier, à savoir l'application et ses dépendances (binaires avec tous les fichiers de configuration packagés en applications portables)

Créer un package applicatif portable avec VMware ThinApp

Docker container

Comment se connecter et configurer un Switch Cisco via Putty

L’hyperviseur de type-1 dispose d'un accès direct aux ressources de la machine sur laquelle il est nativement installé. L'hébergement de machines se fait soit localement en mode "standalone" ou sur le Cloud, en mode privé, public ou hybride. Lorsqu'il s'agit de cluster, les hyperviseurs partagent la puissance des composants materiels tels que le nombre de processeurs (16, 32, 64 ou +), la mémoire ou RAM (256Go, 2To et +), avec un espace disque suffisant pour le stockage des configurations et ressources (datastore, banque de données ou pool de ressources). Les principaux acteurs comme VMware permettent la gestion des Machines virtuelles avec vShpere, vCenter, vMotion ou Horizon. Citrix supporte XenServer l'Hypervisor 8.2UI avec VM Tools ou vApp. Microsoft Hyper-V avec le Manager natif ou d'autres outils tiers (OpManager). Tout cela combiné à un serveur AD DS avec certificats d'authentification et polices de sécurité permet la redondance des données et la tolérance aux pannes. L'hyperviseur stocke les informations pour un fonctionnement optimum puisque redondants et tolérant aux pannes. Sur cluster, plusieurs hyperviseurs permettent l'utilisation de Machines Virtuelles dotés de systèmes d'exploitation homogènes ou hétérogènes, équilibrés, avec une répartition des rôles, services et charges qui sont alloués aux grappes de disques. La basculement d'une VM à une autre s'éffectue de manière dynamique en temps réel. Les rôles, services et données d'un serveur applicatif peuvent être segmentés. Associés aux clusters locaux au hyperviseur standalone, ou externalisés dans un datacenter, la virtualisation en cluster impose un "socle" matériel puissant. Ainsi le basculement d'une VM à une autre s'éffectue de manière dynamique. Par conséquent, l'interaction avec d'autres hyperviseurs dotés des mêmes composants matériels est impératif en cluster.

Le Stockage, puis le partage

VMware vSphere ESXi prend en charge divers périphériques de stockage sur baie via Ethernet, Fibre Channel, iSCSI, pour de meilleurs performances avec l'utilisation de lecteurs SSD, SATA, SAS, SCSI pour SAN ou NAS. En revanche le stockage local ne prend pas en charge le partage de plusieurs hôtes et chaque VM ne peut accéder qu'à sa propre bibliothèque de stockage de données. Par conséquent, bien que vous puissiez utiliser un stockage local pour créer plusieurs machines virtuelles, vous ne pouvez pas utiliser les fonctionnalités d'un stockage partagé. Comme indiqué sur VMware vous ne pourrez pas utiliser de lecteurs IDE/ATA ou USB pour stocker des machines virtuelles, le stockage local ne prend pas en charge le partage sur plusieurs hôtes. Seul un hôte peut accéder à une banque de données sur un périphérique de stockage local. En revanche, si vous utilisez un cluster d'hôtes disposant de périphériques de stockage locaux, vous pouvez implémenter vSAN. L'utilisation par vSphere de VMFS (Virtual Machine File System) ou NFS (Network file System) comme systèmes de fichiers ESXi avec un SAN permet d'accéder au stockage partagé à l'aide du protocole NFS (Network File System). En tant que système de fichiers en cluster, VMFS permet à plusieurs hôtes ESXi d'accéder simultanément à la même banque de données. Si le SAN offre un accès direct par numéro d'unité logique (LUN), il faudra sélectionner le type de stockage Disk/LUN et l'appliquer à tous les hôtes ESXi. Avec les hyperviseurs tels que XenServer ou Citrix Hypervisor 8.2 les partages serveurs via le protocole NFS (qui prennent en charge n’importe quelle version de NFSv3 ou NFSv4) ou serveurs utilisant SMB (SMB v3) peuvent être utilisés comme RS ou Référentiel de Stockage pour disques virtuels. Ainsi les VDI ou Virtual Desktop Infrastructures sont stockés au format Microsoft VHD. Comme ces Référentiels de stockage peuvent être partagés, les VDI stockés sur des stockages partagés permettent aux machines virtuelles de démarrer sur n’importe quel hôte XenServer avec un compte d'Administrateur de pool et de migrer les machines virtuelles entre vos hôtes XenServer à l’aide de suffisament de mémoire et d'une migration bare metal (sans arrêt ou interruption de services)

STOCKAGE ET ENCADREMENT DES FOURNISSEURS

Dans les années 90, le prix du stockage a tellement baissé qu'aujourd’hui, le coût du Gigaoctet sur des disques durs "traditionnels ou mécaniques" de types SATA se situe en fonction de la marque à quelques centimes d'euros le Go. C'est plus cher pour le SCSI, mais cela met le prix d'un disque dur SATA, de bonne facture de 18To à moins de 30€ le Teraoctet, environ. Pour exemple: un disque dur Western Digital Gold SATA de 18To, en 3.5 pouces, avec 6Gb/s (vitesse de bande passante d'interface), 512MB (mémoire EEPROM) est à 549,38€. Mais il faut adapter ces prix à l'offre et au évolutions du marché, les prix mentionnés ici devront être révisés pour ne pas semblés approximatifs. Un disque dur SATA pour particulier de plus petite capacité par exemple un Seagate Exos 7E8 de 3.5' (pouces) de 8To avec une vitesse de rotation du plateau à 7200RPM (rotation minute), 6Gb/s de transfert (bande passante d'interface) et 256MB (mémoire EEPROM) à moins de 200€. En revanche, le prix du Gigaoctet pour les disques SSD S-ATA 3, avait reculé d'environ 30 % entre 2014 et 2016. Sur quatre ans, la baisse avait atteint environ 54%. Actuellement le prix du Go d'un disque SSD Samsung de 500Go est descendu à presque la moitié, soit plus près des 30cts que des 70cts d'euros le Gigaoctet, cela malgré d'importantes disparités en fonction de la capacité, du modèle et de la marque. On annonçait déjà au début de l’année 2023 que les ventes de disques durs SATA avaient chuté de 40 % et cette tendance n’est pas prête de s’arrêter. On pourrait même se diriger vers la disparition des disques durs HDD SATA d’ici peu de temps. La baisse du prix de la mémoire flash NAND et l’augmentation de la capacité du stockage des SSD vont probablement signer l’arrêt de mort des HDD. Ainsi la baisse des prix du stockage bénéficie surtout aux fournisseurs de stockage externalisé et de services Cloud. En revanche le Cloud a un coût et celui-ci se chiffre autant en terme de consommation d'énergie qu'en terme de prix de stockage et de traitement des données. Lire sur 45secondes.fr

En 2022, les disques durs des datacenters pouvaient gérer jusqu'à 26 Térabytes (soit 26.000 Gigabytes) de stockage. Les dispositifs de stockage se sont mis à gérer 6000 Gigabytes de plus, soit 32Terabytes. Avec un tel volume de stockage, les entreprises comme les utilisateurs pourront disposer et stocker plus d'informations. Cela va engendrer des transmissions encore plus importantes, d'ou l'intérêt de la fibre et de l'adoption de la 5G pour les fournisseurs de téléphonie mobile et d'accès à Internet.

Exemple de sauvegarde sous forme de stockage d'objets à petits prix sur le Cloud

NAS

Nouvelle installation de vCenter avec vSAN

2024 - débuter avec Openmediavault;
omv docker, omv extras et portainer

Des engagements de baisse des coûts.

Dans un contexte de tiraillement entre,

La nécessité d'être innovant pour anticiper les besoins et déployer des services,

La nécessité d'évoluer tout en assurant la conformité des systèmes,

La nécessité d'optimiser les coûts...

Une amélioration de la productivité.

En optimisant les services d'administration, de support, de supervision via le Cloud

En fournissant des services de retour d'expérience et de qualité (Groupware, workflow),

En sécurisant votre réseau avec la segmentation et les accès sécurisés (VPN, LBS IPSec, SSL-SSH, IDS, SD-WAN, VLAN)

En assurant la mise en oeuvre d'un Plan de Retour d'Activité éprouvé (avec solutions natives ou tièrces pour serveurs physiques et virtuels).

LA CONSOMMATION D'ENERGIE REDUIT PAR LA VIRTUALISATION

Une étude de l'Union française de l'électricité (UFE), montrait que la consommation des Centres de Données s'élevait à environ 3TWh en 2015... Soit l'équivalent de la consommation électrique d'une ville comme Lyon. En 2021, la capacité de stockage des centres de données devait être multipliée par 4, selon une Étude de Cisco. Un centre de données "hyperscale" qui dépend souvent d’une architecture de serveurs virtuels doté de plusieurs centaines de m² d'armoires de baies avec disques rackés, est passé de 338 fin 2016 à 628 en 2021 soit près du double en 6 ans. Mais cela correspond seulement à 53% du nombre total des centres de données. Nous sommes tous concernés par ce problème d'énergie qui va augmentant, même s'il cela reste difficile à concretiser pour le commun des mortels. Lire sur le site "fournisseur-energie.com", comment réduire la pollution numérique. Alors qu'on associe bien souvent le Cloud à des engagements de baisse des coûts...

Cependant les critiques du Cloud avancent, "semble t-il", des arguments de poids; La consommation d'énergie des systèmes de refroidissement et la facturation de l'usage attribué aux services "hébergés" (avec un risque très faible de perdre "accidentiellement" vos données ainsi que la gouvernance et la pérénité du traitement des données). Raisons pour lesquelles les prestataires insistent pour que vous appliquiez "Les codes de bonnes pratiques et de bonnes conduites". Le choix du prestataire est donc déterminant. Lire le document de la CNIL: Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing.

La dépendance en énergie, phénomène determinant et les coûts fixes attribués par les "fournisseurs" de Cloud font que le traitement des données pour des applications comme avec SaaS sont facturées à l’usage. Une entreprise qui souscrit un abonnement auprès de fournisseurs tels que Amazon Web Services (AWS), Microsoft (Azure), Google Cloud Platform (GCP), n'appliquent en théorie une facturation que pour la consommation et l'utilisation de la bande passante réelle. L'hébergement personnalisé sur mesure, permet de facturer uniquement ce que vous utilisez. Vous n'avez pas besoin de payer pour des ressources supplémentaires. Tant que de cette nécessité le bon fonctionnement des services loués est assurée. Cependant, cette promesse reste à nuancer, au quotidien.

Il convient donc aux entreprises de bien étudier les offres, de bien lire les contrats et de s'en remettre aux fournisseurs pour avoir le plus d'informations techniques et tarifaires, tant pour ce qui concerne les VPS, que les services, ou encore les solutions SD-WAN pour équilibrer les charges réseau. Même si la conccurence est forte il convient de bien étudier les offres de services. Si vous êtes en quête d'une solutions plus personnalisée, d’un accompagnement dans votre projet, vous aurez plutôt intérêt à privilégier un prestataire qui pourra vous faire bénéficier d'un support éfficace. Concernant les offres de "brokers", leurs missions est de proposer les mêmes offres de services mais plus accéssibles "financièrement". Pour chaques modes de Cloud "public, privé ou hybride" un environnement hybride correspondra à une approche plus pragmatique lorsque les entreprises ont investis dans une infrastructure serveurs. Utiliser un Cloud hybride ou privé pour les applications et services indispensables au bon fonctionnement de la société apportera une solution semble t'il plus adapté, car entièrement dédiée. La popularité de VMware augmente lorsque la Société prend l’engagement d’arriver à la neutralité carbone et à une utilisation d’énergie renouvelable à 100 % pour ses opérations internationales d'ici 2030. Les objectifs de VMware soutiennent la mission de l’entreprise de représenter une force motrice dans le monde et d’apporter à la société, à l’environnement et à l’économie mondiale une contribution supérieure à sa consommation. Citrix lance XenApp et XenDesktop en 2008 avec Xen. Après achat des codes sources Windows, XenCenter, XenServer puis Citrix hypervisor 8.2UI voient le jour.

Lire: L’UFE soutient les recours de la CRE et de RTE contre une décision de l’ACER préjudiciable au consommateur français

Un pool de ressources comprend plusieurs installations d'hôtes XenServer, liées entre elles à une seule entité gérée qui héberge des machines virtuelles. Associé à un stockage partagé, un pool de ressources permet de démarrer des machines virtuelles sur n'importe quel hôte XenServer disposant de suffisamment de mémoire. Les machines virtuelles peuvent ensuite être déplacées de manière dynamique entre les hôtes XenServer tout en fonctionnant avec un temps d'arrêt minimal (migration en direct).

Un Datastore, pool de ressources ou banque de données peut contenir les fichiers des machines virtuelles (disques, images ISO pour installer des OS, métadonnées…) Dans l'environnement VMware vSphere, les banques de données sont des conteneurs logiques, analogues à des systèmes de fichiers qui contiennent les informations du stockage physique et fournissent un modèle uniforme pour stocker des fichiers des machines virtuelles. Ils peuvent aussi stocker les images ISO des OS et modèles de machines virtuelles. vCenter Server et ESXi prennent en charge les banques de données VMFS, NFS, vSAN et les Volumes Virtuels.

Déplacer les fichiers d'une VM vers un datastore avec le "Browser"

Lab hyperviseur ESXi 8 sur VMWare Workstation 17

Installation de VMware ESXi 6.7

VMware ESXi 7 installation 1ère Machine virtuelle

Cluster d'hyperviseurs ESXi avec équilibrage et tolérance

De nombreuses extensions sont utilisées par les hyperviseurs pour stocker les données de configuration des VM sur des disques avec autant de volumes logiques que vous pouvez avoir de VM. On peut enregistrer, copier, mettre à jour, déployer ou provisionner rapidement des instantannées. Des systèmes complets peuvent être transférés d'une Machine virtuelle vers une autre pour une maintenance sans interruption de services, à savoir en mode bare metal. On peut citer par exemple, quelques extensions telles que .VMDK et .VMXF qui sont des formats VMWare, .VDI qui est un format utilisé par Oracle, .VHD le format de Microsoft, et .VHDX pour Hyper-V de Microsoft qui permet de monter un disque non limités à 2To. En effet, VHDX repousse la limite à 64To. Oracle Virtual box peut utiliser les formats VHD et VHDX, à l'instar de Citrix XenCenter qui à la condition que vous bénéficiez d'un "rôle d’Administrateur de Pool", peut intégrer plusieurs formats, celui de Microsoft et de VMware.

VMware ESXi, clients et fonctionnalités de vCenter+ vMotion

Sauvegarde native de vCenter

Installation de Citrix Hypervisor 8.2UI

Installation de Citrix XenServer

VIRTUALISATION OU CONTAINERS ET STOCKAGE APPLICATIFS

Virtual Machines ou Containers ?

Virtualisation et containers

Tutoriel containers

OpenMediaVault 6 (2023), omv-extras, Docker and Portainer Part 1 (suite)

Home Server Part 2 Ubuntu Server 24.04 and Portainer container

LA VIRTUALISATION DU RESEAU

En 2012 VMware NSX apparaît pour l'automatisation du réseau : VMware NSX est une solution Réseau défini par logiciel (SDN) qui permet d'automatiser le déploiement, la configuration et les mises à jour de l'infrastructure réseau puisque tous les composants sont virtualisés et mis en œuvre sous forme de code. Une plate-forme de virtualisation de réseau destinée au Software-Defined Data Center (SDDC). NSX propose un modèle opérationnel de gestion, monitoring et management du réseau dans son ensemble. VMware peut ainsi répondre à la demande croissante d’utilisation de Terminaux Personnels ainsi qu'à la sécurité des VPS et des réseaux virtuels. VMware NSX propose une gamme de logiciels de virtualisation du réseau et de sécurité, créée à partir de vCloud Networking and Security (vCNS) de VMware et de Network Virtualization Platform (NVP de Nicira).

Le SDN et ses caractéristiques :

- Séparation du plan de données et du plan de contrôle.
- Périphériques simplifiés.
- Contrôle centralisé.
- Automatisation du réseau et virtualisation.
- Open source.

Architecture

Le réseau SDN est composé de 3 couches communiquant entre elles par le biais d’API en démarrant par la couche basse:

• L'infrastructure : on y trouve les périphériques qui contiennent les plans de données du réseau. Autrement dit, les switchs SDN responsables de l’acheminement du trafic.

• Le contrôle : se base sur le contrôleur SDN, il contrôle le plan de données de façon réactive ou proactive en insérant les différentes politiques de transfert. Cette partie est le centre du réseau et englobe la plupart des opérations de calcul.

• Applicative : héberge les applications qui permettant d’exploiter les avantages qu’apporte l’architecture, en introduisant de nouvelles fonctionnalités réseaux. Dans cette disposition l’application communique les décisions et politiques de routage au contrôleur, qui a son tour traduit ces décisions pour programmer les équipements appropriés. Les dispositifs de transmission comparent ensuite l’entête des paquets avec les tables de flux pour ensuite effectuer les actions prédéfinies dans les tables.

L’architecture SDN est définie par trois abstractions :

- La transmission : Permet aux applications de programmer et de prendre les décisions concernant le réseau sans pour autant connaitre les détails de l’infrastructure physique. Ceci est achevé à travers l’usage de protocoles ouvert et standardisé pour la communication avec les équipements réseau.

- La distribution : Elle est implémentée par le contrôleur et est essentiellement responsable de deux taches. La première est d’insérer les règles de transfert dans les switchs. La seconde est de récupérer les informations de la couche inférieure, pour informer les applications de l’état de celle-ci et forme une vue globale du réseau.

- La spécification : Permet aux applications d’exprimer le comportement désiré du réseau sans en être directement responsable. (principaux acteurs de cette architecture).

Le switch SDN

On s'accorde pour que tous les équipements de transmission SDN sont appelés switch. Dans ce jargon le terme switch est attribué à tout équipement de transmission qui compare l’entête des paquets aux tables de flux, que la comparaison se fasse à base d’adresses MAC (Couche 2), d’adresses IP (Couche 3) ou une combinaison de plusieurs champs. La terminologie de switch a été adoptée en référence à l’unique tache de ces équipements qui est la transmission.

Un switch SDN est composé d’une API qui permet de communiquer avec le contrôleur, une couche d’abstraction qui consiste en un pipeline de tables de flux et une fonction de traitement de paquets.

Les fonctionnalités du SDN

Les tables de flux sont un élément fondamental du fonctionnement de switch SDN, elles sont composées d’un nombre d’entrées de flux, lesquelles consistent en deux composantes principales :

- Champs de correspondance : Ils sont utilisés par ordre de priorités pour être comparés aux entêtes des paquets entrants, le premier champ correspondant est directement sélectionné.

- Les Actions : Ce sont les instructions qui doivent être exécutés si une correspondance entre un paquet entrant et l’entrée pour laquelle ces actions sont spécifiées. La logique du traitement de paquets consiste en un nombre de mécanismes qui se mettent en actions en fonction du résultat de l’évaluation de l’entête du paquet et la correspondance de priorité la plus haute. Lorsqu’une correspondance est trouvée, le paquet est traité localement dans le switch, à moins qu’il soit explicitement envoyé au contrôleur. Si aucune correspondance n’est trouvée, une copie du paquet est envoyée au contrôleur qui devra décider quoi en faire, et éventuellement mettre à jour la table de flux pour l’y introduire comme entrée.

On distingue 2 types de switchs SDN :

• Le switch SDN logiciel (virtuel): C’est le moyen le plus simple pour créer un équipement SDN. Les tables de flux, les entrées et les champs de correspondance sont facilement implémentés dans les structures de données d’un software. Ce modèle est plus lent et moins efficace car il ne bénéficie pas directement d’accélération hardware, mais présente l’avantage d’être plus flexible et plus riche dans les actions disponibles. Il supporte un nombre d’entrées beaucoup plus important. Les switchs logiciels sont très présents dans les environnements virtualités et sont généralement crées en Open Source.

• Le switch SDN matériel : Ces implémentations sont plus rapides et sont la seul possibilité pour un environnement très haut débit (100Gbs). Pour transcrire les différentes entrées de flux et leur composantes dans les switchs on a opté pour l’utilisation de hardware spécialisé, pour le traitement de couche 2 on utilise les Content-Addressable Memories et pour la couche 3 les Ternary Content-addressable Memories. Ces switchs sont adaptés aux datacenter et au cœur du réseau.

Le contrôleur

Le rôle du plan de contrôle est de contrôler et de gérer les équipements de l’infrastructure et de les relier avec les applications. Il est composé d’un ou de plusieurs contrôleurs et est considéré comme système d’exploitation du réseau. Les premières versions du SDN présentaient un plan de contrôle composé d’un seul contrôleur centralisé. Par la suite des architectures distribuées utilisant plusieurs contrôleurs ont été proposées pour améliorer les performances et la scalabilité du réseau. Les performances des contrôleurs SDN sont caractérisés par le débit et la latence.

Afin de pouvoir interagir avec le réseau, le contrôleur a besoin d’une vue précise de ce dernier. la base NIB (Network Information Base) est déterminante. Cette NIB est construite au niveau du contrôleur et permet à ce dernier de savoir comment implémenter chaque ordre abstrait, trouver les équipements qui doivent être reconfigurés, s’assurer de la capacité de ces derniers à implémenter une directive avec les API supportées par l’équipement.

Le Software-Defined Data Center

le SDDC propose un modèle opérationnel de machines virtuelles pour le réseau dans son ensemble. Associé au Software Defined Network, plusieurs cartes physiques par hyperviseur permettront de créer des périphériques virtuels. Lorsque vous créez un SD-WAN il est géré par le contrôleur. Il deviendra possible via l'interface centralisée comme vCenter d'administrer les environnements vSphere, voir d'ajouter à la topologie des VLANs avec les protocoles STP, RSTP, PVST+ pour consolider en continu, la segmentation et l'équilibrage. La disponibilité et la sécurité de l'infrastructure est renforcée. La virtualisation des serveurs associée à l'offre des services multi-cloud permettent de créer des infrastructures de gestion centralisées et d'émuler les topologies réseaux pour contrôler le transfert des flux de données pour les environnements complexes entre les "composants réseaux". Vous pouvez gérer votre réseau, allouer de la bande passante, répartir et équilibrer les charges, relier vos sites distants, créer des noeud de secours, assurer les sauvegardes pour faire face à un arrêt de services et restaurer votre environnement à chaud. Les liens vers un fournisseur de service et l'interface de gestion permettent de béneficier de plusieurs fonctionnalités ; l'accès aux services réseau avec SDN, l'accés à vos sites et succursales distantes.

NSX+ et vSphere propose une nouvelle offre SaaS pour la gestion et le déploiement de services de réseau, de sécurité et d’équilibrage de charge avancé. Depuis plus de 15 ans et l'apparition des SDN et SD-WAN, il ne s'agit plus d'innovation, mais d'une métamorphose du secteur des réseaux et télécommunications.

Cluster ESXi, vCenter, vMotion et vDS "vSphere Distribute Switch".

La virtualisation des fonctionnalités réseaux avec NFV ou Network Fonctionning Virtualisation désigne le remplacement des "appliances réseaux" ou composants réseaux par des composants applicatifs virtuels qui exécutent les processus sous le contrôle de l'hyperviseur ESXi. Le Software Defined Networking de Cisco est un réseau défini par logiciel qui consiste à séparer la couche de gestion des flux de la couche de gestion de l'infrastructure (Le plan de contrôle et le plan de données). L'objectif de cette dissociation est de créer un réseau virtuel, centralisé et programmable. Cette "couche" utilise des composants et plates-formes virtuelles de gestion indiquée ci-dessus.

Pour le multi-Cloud VMware NSX perrmet d'assurer la sécurité des transferts de flux avec des stratégies entre vos sites locaux, distants, VPC que vous pouvez répartir.

La virtualisation du réseau virtuel, NFV (Network functions virtualization) et Réseau Défini par logiciel SDN (Software Defined Networking).

Les approches (SDN, NFV, NV) reposent sur la virtualisation et l'abstraction du réseau. En revanche, leurs manières de séparer les fonctions et de dissocier les ressources diffèrent. SDN sépare les fonctions de mise en réseau des fonctions de contrôle du réseau, dans le but de centraliser la gestion et la programmation du réseau. NFV permet de dissocier les fonctions réseau du matériel. Tou cela fournit l'infrastructure sur laquelle SDN s'exécute. La "Fabrique Ethernet" sous entend des réseaux soumis à la technologie Ethernet, composé d'un ensemble de câbles de catégories récente et de plusieurs switchs en fonction de vos objectifs. Vous pouvez associer NFV et SDN sur du matériel standard. Avec ces deux approches, vous pourrez créer une architecture réseau flexible, programmable, redondante et sécurisé.

Le Software Defined Networking Part-1

Part-2

Le SD-WAN permet à l'aide de l'interface graphique 'GUI' d'équilibrer les charges réseau, de créer des jobs de sauvegarde en planifiant les tâches au moment ou le réseau est le moins sollicité ou d'utiliser un "noeud" dédié à l'aide de votre serveur de management (controler + Firewall). Ce contrôleur permet de basculer les accès aux sites distants, de superviser les tâches de monitorer la sécurité ou de sauvegarder en sélectionnant au choix, l'accès au FAI réseau dont dépendera le niveau de débit (ex: 1Gbps et 100Mbs) tout en préservant la sécurité avec votre pare-feu "FortiGate, ASA, Storefront, etc." Cela afin d'assurer une redondance d'accès, ou en cas d'arrêt de services, de basculer d'un Fournisseur à l'autre. Cela vous permettra de "dispatcher" les besoins en bande passante en fonction de la demande à l'aide du GUI (Graphical User Interface) contrairement à la CLI plus complexe (Command Line Interface). La question comme avec Citrix c'est l'utilisation d'un agent ou comme c'est le cas actuellement d'une API de communication avec SSL pour gérer le réseau et ses composants.

interface applicative Agent et Application programming interface

SD WAN fournit une sélection de raccordements possibles programables couplés à la sécurité des VPN et pare-feux.

La mise en œuvre d'un SD-WAN comprend :

• La gestion centralisée de la configuration
• La créaton et la gestion "automatique" de la topologie réseau, des droits et des accès
• Répartition du trafic
• Supervision via l'interface centralisée.

Interface virtuelle de gestion commutateur avec SVI et Inter-VLANs

La convergence des réseaux informatiques est contrôlée à la fois par les routeurs et les commutateurs du réseau. L'objectif fondamental de la création d'un réseau informatique est de partager des ressources et d'offrir une communication entre les hôtes. Le Switch Virtual Interface ou SVI représente une interface logique entre les fonctions de "bridging ou ponts", de Vlans et de routage. Le commutateur doit être de couche 3 pour que la configuration soit possible. Avec SVI des membres pourront avoir accès via des ports physiques; direct port channels ou virtuel port channels. Une interface SVI est une interface virtuelle configurée dans un commutateur multicouche à savoir de niveaux 2 et 3. Une interface SVI peut être créée pour chaque VLAN existant sur le commutateur. Une interface SVI est considérée comme virtuelle, car aucun port physique n'est dédié à l'interface. Elle peut assurer les mêmes fonctions pour le VLAN qu'une interface de routeur et peut être configurée à peu près de la même manière (adresse IP, listes de contrôle d'accès d'entrée et de sortie, etc.). L'interface SVI du VLAN assure le traitement de couche 3 des paquets vers ou depuis tous les ports de commutateur associés à ce VLAN.

L’interface VLAN de gestion et de commutation (SVI) correspond aux interfaces physiques appartenant à ce VLAN pour le joindre en IPv4 à des fins de raccord et de gestion (SSH, HTTPS, SNMP). Comme tout périphérique joignable sur le réseau, le commutateur doit posséder une adresse IPv4, un masque de sous réseau correspondant et une IP de passerelle.

fonction sur un VLAN à partir d'un périphérique vers un autre.

L'exemple de configuration présenté ci-dessous suppose que vous savez déjà comment effectuer la configuration de base du commutateur, comme la modification des noms d'hôte, le passage en mode de configuration globale, le mode de configuration d'interface et l'attribution d'une adresse IP sur une interface.

VLAN 10

SWITCH(config)#vlan 10 <- créez d'abord le VLAN 10 (Layer2-IPv4)
SWITCH(config)#interface vlan 10 <- créez maintenant le SVI pour le VLAN 10
SWITCH(config-if)#description Postes de Travail <- préférable mais non indispensable
SWITCH(config-if)#adresse IP 10.0.0.1 255.255.255.0 <- attribuer une adresse IP au SVI

La première ligne de l'exemple ci-dessus crée le VLAN 10 de couche 2. La ligne suivante crée un SVI pour le VLAN 10 (c'est-à-dire l'interface de couche 3). Bien que la troisième ligne soit facultatrice, il est recommandé d'ajouter une description pour l'interface qui aidera à comprendre l'objectif du SVI. La dernière ligne attribue une adresse IP sur le SVI créé pour le VLAN 10. Les accès SVI sont créés pour les postes de travail via le VLAN 10, comme indiqué dans l'exemple.

Raccorder les VLAN sur le coeur du réseau, afin que les commutateurs se comportent comme des "routeurs" pour la fonction "Inter VLAN". Cela rend les VLANs plus flexibles pour les environnements réseaux complexes avec l'utilisation de l'interface SVI. Les switchs peuvent alors acheminer les paquets de données entre les VLAN sur plusieurs sites sans nécessiter l'utilisation d'un routeur physique ce qui simplifie la topologie du réseau et permet d'économiser les coûts associés à l'achat de routeurs afin de raccorder les VLANs entre eux.

Switch Virtual Interface (SVI)-Gestion d'un commutateur Layer 3 pour le gestion et les connexions entre Vlans

Configuration de la fonction "Router-on-A-Stick"

Fonctionnement et configuration de la commutation mode trunk

Relier les switchs Cisco en mode trunk via ISL ou dot1Q

Lire sur le site de Cisco

SOUS-RESEAUX, VLAN, ROUTAGE INTER-VLAN, STP, PVSTP RVLSTP MST

Adressage Mac, protocole ARP, adresses IP...

Ce shéma qui montre comment créer des sous réseau et des Vlans pour chaque cible réseau:

De Internet aux routeur, puis aux switchs qui permettront de créer des VLAN par connexions, postes clients, types d'organisations, connexions Wifi, VoIP, les accès à internet des smartphones par le Wifi ou pour les postes nomades et la nécessité de créer des accès sécurisés.

empty

IP publiques, privées, IPv4-v6, NAT-PAT et DHCP

Sous réseaux ou VLAN ? (en anglais).

Avantages du VLAN

SPANNING TREE PROTOCOL, EVOLUTIVITE, EQUILIBRAGE TOLERANCE ET SECURITE.

Comprendre le protocole Spanning tree et le mode trunk pour relier des switchs entre eux avec Virtual LAN

Le protocole Spanning Tree (STP) (IEEE 802.1D) est principalement utilisé pour empêcher les effets indésirables des boucles réseau, en limitant le broadcast et en forcant certains ports dans un état de blocage. Lorsque la diffusions de trame ethernet est trop importante on s'assure que le broadcast ne risque pas de bloquer le réseau.

Un VLAN est un réseau virtuel ou Virtual LAN, incrémenté par le protocole STP sur un commutateur de niveau 2-3 et qui permet de ségmenter ou de compartimenter le réseau pour assurer un équilibrage des charges avec une redondance entre VLANs. Avec le Peer Vlan Spanning Tree PLus l'élection d'un Root Bridge s'éffectue pour savoir quel port du commutateur deviendra le port Bridge via son BID qui signifie "Bridge Identifier". L'élection du port Bridge s'effectue avec l'échange de trames en quelques secondes et permet aux switchs de garder une trace des changements sur le réseau afin d’activer ou de désactiver les ports requis. STP utilise des BPDU ou "Bridge Protocol Data Unit" pour communiquer avec les autres VLANs et forcer certains ports à entrer dans un état bloqué. Cela est indispensable afin qu’il n'existe pas plusieurs chemins d’un point à un autre ce qui génererait des conflits de ports. Si un problème apparaît sur l’un des segments du réseau, alors le protocole STP réactive le port bloqué, pour que les paquets puissent passer par un nouveau chemin unique via un nouveau port à l'aide du bridge ID ou BID soit un Identifiant de Pont.

RESOUDRE LES BOUCLES AVEC SPANNING TREE PROTOCOL

Les boucles vont bloquer vos switch par une une multitude de chemins avec un afflut de broadcast sans sortie (élection possible).

protocol-resolution-de-boucle-et-exploitation

Grâce à ce protocole, il est possible de sécuriser le réseau avec de la redondance en évitant les effets indésirables des boucles réseau, en plaçant certains ports dans un état de blocage. STP utilise des BPDU pour la communication entre les switchs.

Le terme BPDU, qui signifie « Bridge Protocol Data Unit » sont des trames qui sont échangées régulièrement, à peu près environ toutes les 2 secondes, et permettent aux switchs de garder une trace des changements sur le réseau afin d’activer ou de désactiver les ports requis. STP forcent certains ports dans un état bloqué pour pas qu’il existe plusieurs chemins d’un point à un autre. Si un problème arrive sur l’un des segments du réseau, alors le protocole STP réactivera le port bloqué, pour que les paquets puissent passer par un nouveau chemin unique.

spanning-tree-protocol-resolution-de-boucle-et-exploit

L’algorithme spanning-tree procède en plusieurs étapes :

Élection du commutateur racine :

Une topologie sans boucle ressemble à un arbre et à la base de chaque arbre, on trouve ses racines, qu’on peut surnommé « roots ». Dans un réseau commuté, le root bridge, qui signifie commutateur racine, est élu. Chaque switch possède une adresse MAC et un numéro de priorité qu’on peut paramétrer. Ces deux nombres constituant l’identifiant de pont, plus connu sous le nom de BID pour bridge identifier. Le commutateur avec la priorité la plus basse l’emporte, et en cas d’égalité, c’est l’adresse MAC la plus basse qui l’emporte. En général, l’administrateur du réseau fait en sorte que le commutateur racine soit le plus près possible du cœur réseau en modifiant le Bridge ID.

Ensuite il va déterminer les ports racine :

Les autres commutateurs réseau vont alors déterminer quel est le port qui possède la distance et la mac adresse la plus courte vers le commutateur racine.

Pour cela, il se base sur le « coût » de chaque lien utilisé. La valeur du coût dépend de la bande passante du lien. Le "port racine" plus connu sous le nom de "root port", sera celui qui mène le plus directement au commutateur racine. Il ne peut y avoir qu’un root port par commutateur. En cas d’égalité, c’est le port ayant le port ID ou l'adresse MAC la plus faible qui sera élu root port.

Choix des ports désignés :
Pour chaque segment réseau reliant des commutateurs, un « port désigné » qu’on surnomme : designated port " DP", est déterminé. Il s’agit du port relié au segment qui mène le plus directement à la racine.

Bloquage des autres ports :
Les ports qui ne sont ni racine, ni désignés sont bloqués. Un port bloqué peut recevoir des paquets BPDU mais ne peut pas en émettre. En cas de changement de topologie, lorsqu’un lien est coupé ou qu’un commutateur tombe en panne ou bien qu’il est simplement éteint, l’algorithme est exécuté à nouveau et un nouvel arbre est mis en place.

L’algorithme STP procède par phases :

Elire le commutateur racine,
Déterminer les ports racine de chaque commutateur,
Déterminer les ports désignés sur chaque segment,
Bloquer les autres ports afin d’éviter les boucles.

Afin de détecter les boucles, les switchs émettent des messages appelés BPDU, qui signifie "Bridge Protocol Data Units". Les BPDU permettront de découvrir la topologie afin d’élire le Root Bridge. Le Root Bridge est en quelque sorte le switch "maitre" de la topologie Spanning Tree. Une fois le Root Bridge élu, les switchs vont rechercher le meilleur chemin vers le Root Bridge. Les chemins redondants seront désactivés. Les switchs vont chercher le port avec la métrique la plus faible vers le Root Bridge. Ensuite ils vont couper les autres ports.

Première étape

La première étape est donc l’élection d’un commutateur racine en désignant le Bridge ID le plus bas. Initialement, tous les switchs pensent qu’ils sont Bridge ID d'ou la nécessité d'une élection.

Le Bridge ID sera déterminé entre le switch A et B en fonction des BPDU mais le switch A ayant l'adresse MAC la plus faible 00:00:0c:ab:32:74 dera la différence en cas de priorité égale. Lorsque les commutateurs commencent à recevoir des BPDU des autres commutateurs, ils comparent les autres ID racine avec leurs propres valeurs enregistrées. Si la valeur reçue est inférieure à la valeur enregistrée, alors le switch notera qu’il n’est pas élu comme racine et remplacera la valeur enregistrée par la valeur reçue. Il enverra cette info dans ses propres trames BPDU.

Élection du commutateur racine :

Une topologie sans boucle ressemble à des racines, nommé à juste titre "roots". Dans un réseau commuté, le root bridge, qui signifie commutateur racine, est élu. Chaque switch possède une adresse MAC et un numéro de priorité qu’on peut paramétrer. Ces deux nombres constituant l’identifiant de pont, plus connu sous le nom de BID pour bridge identifier. et l'adresse MAC. Le commutateur avec la priorité la plus basse l’emporte et en cas d’égalité, c’est l’adresse MAC la plus basse qui l’emporte. Noter que ce processus est automatique, en cas de défaillance il conviendra d'analyser le trafic et de "troubleshooter" ou de restaurer la sauvegarde du Switch (mais dans le cas d'une restauration cela ne résoudra pas nécessairement le problème) Donc sachez analyser et reproduire un shéma de votre topologie avec Packet Tracer ou mieux GNS3

PVST

- Les BPDU vont permettre de découvrir la topologie avec l'élection d'un Root Bridge.
- Le Root Bridge est en "quelque sorte" l'architecte de la topologie Spanning Tree.
- Une fois le Root Bridge élu via un port Bridge, les switchs vont rechercher le meilleur chemin à l'aide de celui çi.
- Le principe de PVST est que le Root Bridge peut subir des re-élections.

Le PVST+ (802.1Q) identifie les paquets transmis par chaque VLAN pour échanger des données avec un tag sur les trames Ethernet. On ajoute alors sur un port prédéfinit un identifiant lié au Vlan, pour savoir quel appareil peut transmettre le trafic et l'attibuer à tel ou tel Vlan. Par le biais d’un seul et même port de Switch et d’un seul et même câble réseau on peut faire transiter des trames Ethernet appartenant à plusieurs VLANs reliés ou non entre eux. On ajoute un identifiant PVID pour le port connecté au VLAN ID. Le VLAN20 afin de faire correspondre via le port émetteur une trame taggé qui communiquera avec les autres VLANs qui auront le même SSID et qui pourront être situés sur d'autres secteurs géographique de l'entreprise. Ce scénario est utile pour ségmenter le réseau en VLAN, pour les cameras sur IP en Powerless other Ethernet ou PoE pour la VoIP. Il permet à un port Switch relié à d'autres switchs d'optimiser la VoIP avec un Vlan dédié réparti sur plusieurs étages. Tout ce qui transitera par le port de ce VLAN se verra attibuer le même SSID. Le mode trunk en Dot1Q ou 802.1Q pour le PVST+ pourra relier les switch entre eux, sur un port relié qui permet l'election du Root Bridge. En mode trunk il existe différents mode de communication par port: Access, dynamic, auto, desirable. Cependant, sous IOS un port Access est un port qui appartient à un seul VLAN. On peut activer “spanning-tree portfast” qui fait passer le port directement à l’état de “forwarding” pour connecter des périphériques de terminaison.

Il en existe plusieurs protocoles Cisco utilisés avec les évolutions technique, avant l'apparition de 802.1Q (implémenté sur les Switch Cisco).

- Le RSTP,qui signifie Rapid Spanning Tree. C’est l’évolution du STP qui offre une convergence plus rapide. Il redéfinit également les rôles des ports et les coûts de liaison.

- Le PVST et PVST+, signifie, "Per Vlan Spanning tree" et "Per Vlan Spanning Tree Plus" permettent de mettre en place un spanning tree différent par vlan.
Le principe : il y a un Root Bridge par VLAN. Ce qui fait que tous les liens seront utilisés, mais pas par les mêmes VLAN. cela permet à la charge d'être mieux répartie.

- Le Rapid-PVST+ est une amélioration de ceux vus précédemment.

- Le MSTP, qui signifie Multiple Spanning Tree Protocol, qui est une extension du Rapid spanning tree dans laquelle une instance de celui-ci existe par groupe de VLAN. Par défaut sur les switchs Cisco, PVST+ est activé sur tous les ports. Même s’il a une convergence beaucoup plus lente, après un changement de topologie, le Rapid PVST nécessite moins de CPU et de ressources mémoires pour calculer le chemin le plus court accordé à chaque VLAN.

Actuellement et sur les commutateurs Cisco récents c'est le PVST + ou "Per VLAN Spanning Tree Plus" le plus pratique et courament utilisé. Plusieurs arborescences couvrent le réseau (une par VLAN). Ce qui permet un partage des charges efficace et un meilleur équilibrage qu'avec le spanning tree classique. un Root Bridge sera élu pour chaque VLAN afin de simplifier en cas de concurence la selection du Root port en fonction de l'adresse Mac la plus basse. De cette façon, le réseau est encore plus redondant et équilibré. Un champ, comporte l’identifiant du vlan qui vient s’ajouter au bridge id (BID) calculé entre la priorité du BDPU et l'adresse MAC la plus basse. De cette façon, sur le switch à chaque VLAN ID peut être assigné un "Tag". S’il s’agit du vlan 2, le tag 2 sera attribué au port ID du Vlan qui permettra de relier les VLANs entre eux. Les ports sur lesquels le trafic de plusieurs VLAN sera transmis vers ou depuis d'autres switchs compatibles devront être étiquetés d'un "tagged" (T) ou seront "Untagged" (U).

Cliquez pour agrandir

Mode trunk

Comment le spanning-tree travaille t'il ?

Fonctionnement de Spanning Tree Protocole

Per vlan spanning tree plus (PVST+) STP: History, Modes and Standards

approfondir les architectures Cisco pour Per VLAN Spanning Tree (PVST)

Intro VLANs 802.1Q et configuration des ports

Création des ports trunk

Par défaut, un port physique d’un commutateur Cisco est un “switchport”, un port de commutation. Il est configuré par défaut comme un lien trunk dans le mode “dynamic auto”. En revanche en mode opérationnel il est en mode “Access”. Il est associé au VLAN1 (le Vlan par défaut). S’il devait être monté en trunk, le VLAN natif serait le VLAN1 et l’encapsulation “Trunk” serait négociée par DTP. Un port dynamique est un port en mode “Access” considéré comme classique en fonction des messages Dynamic Trunk Protocol (DTP, protocole propriétaire à Cisco) reçus par l’interface. A noter que les ports sur lesquels le trafic de plusieurs VLAN est transmis vers ou depuis d'autres périphériques compatibles 802.1Q lorsqu'ils sont étiquetés par un tag "T", sont associés à des VLAN reliés entre eux mais pas avec les autres.

Comprendre DTP (Dynamic Trunking Protocol)

DTP ou Dynamic Trunking Protocol comme ISL sont des protocoles propriétaires à Cisco. Il permettent de configurer dynamiquement les deux ports d’une liaison trunk (ISLde Cisco 802.1Q " dot.1Q" non propriétaire et plus utilisé dans le temps)

Switch(config-if)# switchport mode dynamic [ auto | desirable ]

Si le port d’en face est configuré en mode manuel, il va se mettre dans le même mode.

Il existe deux modes dynamic :
1. Auto : Le port va se mettre en mode trunk si l’autre port de la liaison lui demande. Si le port d’en face est en mode trunk ou "dynamic desirable", les deux ports de cette liaison seront en mode trunk.

Dans le cas contraire, les deux ports seront en mode "Access", soit :
2. Desirable : Le port va essayer activement de mettre cette liaison en mode trunk. Si le port d’en face est en mode trunk , dynamic auto ou dynamic desirable, les deux ports de cette liaison seront en mode trunk. Dans le cas contraire, les deux ports seront en mode Access.

Le protocole ISL peut forcer des "états" en fonctions des ports d'un S1 vers un S2; Le mode Access, dynamic-Auto ou dynamic desirable

Par défaut 2 switchs uen fois reliés seront en mode "Access".

DTP est configuré sur le mode Trunk par défaut en “dynamic auto” mais il est en mode opérationnel en mode “access” et reste associé au VLAN par défaut (en général le VLAN 1). S’il devait être monté en trunk, le VLAN natif serait le VLAN1 et l’encapsulation du mode “trunk” serait négociée par DTP. Un port dynamique est un port qui restera un port “access” ou qui se montera en port “trunk” en fonction des "messages" reçus par l’interface de Dynamic Trunking Protocol (DTP, protocole propriétaire à Cisco).

DTP Dynamic trunking protocol

Sécurisation des switchs STP et du mode Access

Troubleshoot VTP en mode trunk dynamiquedesirable

Rétablir la négociation de l’encapsulation sur le “trunk”

Pour rétablir la négociation de l’encapsulation (via DTP) : Il peut être utile de paramétrer VTP ou "Virtual Trunking Protocol" qui est propriétaire à Cisco si vous voulez maintenir la base de données des VLANs sur plusieurs commutateurs de même facture et de manière cohérente. Attention à ne pas configurer VTP dans un environnement de production car cela nécessite de flasher la base des VLANs mais surtout ne permet pas de configurer les ports de manière centralisée !

Pratiques de sécurité à prendre en compte:

Faire tomber tous les ports inutilisés.
Déplacer les ports liés au VLAN 1 sur un autre VLAN 5, 20 par ex.
Séparer le trafic de gestion de celui des utilisateurs.
Changer l’ID du VLAN de gestion dans un autre VLAN que le VLAN 1.
Changer l’ID du VLAN natif dans un autre VLAN que le VLAN 1.
S’assurer que seuls les périphériques du VLAN de gestion peuvent se connecter aux commutateurs.
Connexion distante au commutateur uniquement en SSH.
Désactiver l’autonégociation sur les ports Trunk.
Ne pas utiliser les modes DTP “dynamic desirable” ou “dynamic auto” sur les ports.
Désactiver VTP et CDP

Cliquez pour agrandir

Routage Inter-VLAN

Comprendre VTP ou Virtual Trunking Protocol

Sur les appareils Cisco, VTP (VLAN Trunking Protocol) est un protocole propriétaire à Cisco. Il maintient la cohérence de la configuration des VLAN sur un seul réseau de couche 2. VTP utilise des trames de couche 2 (basées sur les adresses MAC) pour gérer l'ajout, la suppression et le renommage des VLAN en mode VTP. VTP assure entre autre la synchronisation des informations entre VLAN et réduit le besoin de configurer les mêmes informations sur chaque commutateur. Cela réduit la possibilité d'incohérences de configuration qui surviennent lorsque des modifications sont apportées.

VTP Virtual trunking protocol

Concept de VTP Pruning

Troubleshooting de VTP et du mode trunk

Changement du VLAN Natif

VTP offre les avantages suivants :

Cohérence de la configuration VLAN sur le réseau de couche 2
Distribution dynamique des VLAN ajoutés sur le réseau
Configuration plug-and-play lors de l'ajout de nouveaux VLAN

Par défaut, la trame Ethernet fait 1518 octets. Lorsque cette même trame passe sur un lien 802.1Q, elle fait 1522 octets du fait de l’ajout de 'tag" pour VLAN auquel elle appartient. Il est possible depuis quelques années d’utiliser des trames Ethernet dites jumbo, des trames ayant une taille de 9k soit l’équivalent de 6 trames Ethernet traditionnelles. Dans la mesure où le réseau le supporte, et peut gérer la congestion que cela peut provoquer, activer le jumbo frames sur le stockage permet d’augmenter de manière significative la bande passante. Cependant lorsque 2 commutateurs de même marque sont connectés en mode VTP il est possible pour préserver de la bande passante en désactivant DTP (Dynamic trunking protocol de Cisco). Cela dépendra de votre architecture réseau et de la compatibilité des configurations et des appliance réseaux.

Changer la taille des trames signifie de bien connaitre l'architecture et les composants réseaux utilisés, sinon un phénomène de congestion risque d'apparaître et vous ne risquerez de ne plus pouvoir accéder aux principaux équipements. Prenez la décision le changer MTU soit 1 500 (Maximun Transfert Unit ou la taille de paquet maximale en octets transmise sur les réseaux sous-jacent) comme par exemple 16 349 . Voyez avec votre Admin réseau pour changer la taille sur les serveurs de gestion sur une carte réseau et sachez que en générale le calcul se fait automatiquement en fonction des recommandations matérielles.

LE TRUNK ET 802.1Q

Permet de:
- Segmenter le réseau sur votre domaine pour relier Vlans et les services entre eux,
- S'assurer que seuls les VLAN qui émettent communiquent entre Vlans homologues et choisis, puisque taggés:
Vlan10 vers Vlan10, Vlan12->Vlan12 et 20, VLan20->VLan 12-à-20, Vlan10 tagués ->Vlan tagués 10 au Vlan 20, etc.
- Sécurise votre réseau en répartissant les connexions par services internes de l'entreprise

Pour que différents VLANs communiquent entre eux sur différents sites, le routage Inter-Vlan's est nécessaire.
Le routage peut être assuré par un routeur ou un commutateur de niveau 3.

On utilise principalement ISL de Cisco ou 802.1Q pour créer un lien Trunk: Le protocole ISL pour "Inter-Switch Link" propriétaire à Cisco, remplacé dans le temps par le protocole 802.1Q normalisé IEEE pour créer et uniformiser le principe de trunk.

Switch(config-if)# switchport trunk encapsulation [ isl | dot1q | negociate]
Switch(config-if)# switchport trunk encapsulation dot1q

Changement du VLAN Natif en Dot.Q

Le mode trunk 802.1Q

VLANs 802.1Q et ports taggés (tagged ports)

Optimisation de Spanning Tree Protocole PVST Plus ou "Per Vlan Spanning Tree Plus"

Fonctionnent du Per Vlan Spanning-Tree + (PVST+)

Configuration de Per Vlan Spanning-Tree + (PVST+)

informations avancées pour PVST, RPVST MST

Vérification des configurations Spanning Tree

Exemple pour réseau d'entreprise et domotique

Réseau virtuel Software Defined Network

Voir sur SD-Access et DNA Center de Cisco

SECURISER LES ACCES AUX SWITCHS

Recupérer la sauvegarde de la configuration d'un switch et flasher l'iOS

Utiliser TFTP serveur pour sauvegarder d'IOS et transferer la config.dat

L'approche matérielle et logicielle intégré (Cisco ACI) permet d'être utilisée dans les datacenters pour les clients qui veulent des solutions réseaux plus flexibles et plus facilement securisées que des architectures réseaux traditionnelles. Le SDN peut également se décliner en sous-catégories, LAN pour Réseau local comme le réseau étendu WAN (Wide Area Network) défini par logiciel. Le SDN avec d'autres approches telles que NFV ou NSX peuvent également servir à segmenter et accroître la sécurité.

NSX+

Principes du SDN et des VPCs

Le SDN (Software-Defined Networking) est un ensemble visant à faciliter l’architecture, la livraison de services réseaux de manière ciblé et dynamique. Il peut être déployé à grande échelle. L’Open Networking Foundation définit le SDN comme étant une architecture qui sépare le plan de contrôle du plan de données. Il est possible d'unifier les plans de contrôle de plusieurs périphériques dans un seul software de contrôle externe appelé " Contrôleur". Celui çi voit le réseau dans sa totalité pour gérer l’infrastructure et les interfaces de communication. Le contrôleur se soustrait de la couche physique pour que les applications puissent communiquer via la programation réseau. Voir les docs VMware sur le VPC (Virtual Private Cluster+NSX)

DEPLOIEMENT POUR INFRASTRUCTURES VIRTUELLES

Un Virtual Private Cloud (VPC) est un réseau privé virtuel dans lequel vous pouvez déployer vos ressources de cloud. Les ressources de cloud ne peuvent pas être déployées directement dans un VPC. Elles doivent être déployées via un commutateur virtuel (et un des sous-réseau) du VPC.

VMWare et réseau virtuel

Gestion configuration des interfaces réseau sur ESXi

vSwitch et vSphere 6.7

VMware vSphere 7: améliorations Certificat vCenter

Stackwize, Cloud et SDN

Socket et Python

Déployer le loadbalancer F5 sur AWS en utilisant Terraform et VAULT avec un compte créé via les stratégies ou polices de sécurité

Manager Vault avec Terraform

AWS automation avec Ansible en 3 parties (part1)

Introduction à Ansible

Avec la virtualisation des systèmes et applications pour terminaux mobiles et les services Cloud: Software as a Service, Platform as a Service, Infrastructure as a Service vous pouvez bénéficier de possibilités bien plus étendues. L'intêret de la virtualisation et du Cloud sont largement développé sur Internet. Nous pouvons citer; le stockage, la gestion des services, la redondance de l'architecture, l'accès au socle applicatif; Middleware, groupware, partages. Pour l'exemple, nous utilisons chaque jour avec notre smartphone le SaaS pour la sécurité et le FRP (Factory Reset Protection) lié à votre ID d'utilisateur Google. Factory Reset Protection (FRP) est une fonction de sécurité des appareils Android qui empêche l'utilisation de l'appareil si ses paramètres d'usine sont restaurés sans autorisation Google. Comme pour le VDI qui assure un déport d'affichage avec un module web ou un agent qui permettent d'utiliser une connexion sécurisé avec Certificat puis chiffré via un VPN. Vous pouvez travailler comme çi vous étiez au bureau à la condition d'utiliser votre ID et mdp de session et en complément, l'identifiants de la connexion VPN sécurisée. La concurrence ne manque pas dans ce domaine. La plupart des utilisateurs de VDI ont recours à HDX, au protocole RDP, RemoteFX de Microsoft ou encore PCoIP.

Une entreprise qui souscrit un abonnement via WMWare auprès d’Amazon (AWS), avec l'exemple de services qui stockent et gèrent vos données personnelles en SaaS, ne paie "en principe" que les fonctionalités et la consommation réelle. Un engagement qui doit être nuancé... Si vous êtes en quête d'une solutions plus accéssible, vous aurez plutôt intérêt à privilégier les offres de "brokers" financièrement plus intessantes. L'analyse des coûts avec un Retour sur Investissement avantageux offre plus de souplesse sur une offre SaaS.
En revanche, la facturation de IaaS ou de Paas pour la virtualisation et la gestion de VPS, VM, stockage, avec la charge des processeurs, des temps d'utilisation des scripts d'automatisation, ou les échanges et la duplication des données réseaux, imposent de bien comprendre la manière dont sont facturés les servives Cloud. Les offres plus anciennes comme celle de "Palo Alto" ou VMware propose le SD-WAN avec l'accès à une interface permettant de bénéficier d'un tableau de bord pour vérifier la santé des terminaux, les applications, le réseaux et ses politiques de sécurité. Grâce à cette interface et aux possibilités qu'elle offre sur le réseau, les administrateurs peuvent isoler les problèmes rapidement pour par exemple des solutions de gestion de services IT (IT Service Management ou ITSM) afin d'automatiser le processus de gestion des incidents de bout en bout et de la CMDB.

Il est donc particulièrement utile de bien comprendre la manière dont fonctionnent et dont sont facturés les services Cloud. Vous devez respecter les codes de bonnes pratiques et quant à votre fournisseur, il s'engage contractuellement à respecter le RGPD. Il semble, malgré les efforts faits dans ce sens que certains aspects que proposent les hébergeurs de Cloud ne soient pas encore totalement établis tant la répartition des données est sensible. Lorsque par exemple, votre espace de stockage se trouve à l'étranger. Vous devez à ce titre, localiser vos données au plus près de votre situation géographique et votre fournisseur de Cloud doit vous assurer que les données personnelles de l'entreprise ne seront pas dupliquées vers un autre continent. Cela concerne en particulier le Cloud hybride, le plus utilisé pour son accessibilité, la duplication et la sécurité des données. Pour limiter les risques juridiques, le choix de la géocalisation doit être correctement définit car celui-çi repose, sur la disponibilité des données de l'entreprise et de l’utilisateur. Parfois, ces données qui peuvent être stockées chez un fournisseur de Cloud transitent par un sous-traitant, pour des raisons de coûts. Si l'infrastructure de stockage est dupliquée pour causes géographique, il conviendra de bien prendre en compte les enjeux juridiques de vos choix, pour les raisons mentionnées. Si vos moyens sont limités, préférez un fournisseur de Cloud hybride situé dans l'espace Européen.

Mieux comprendre la métamorphose actuelle et les enjeux futurs du numérique

Plus sécurisé, basé sur des connexions privés virtuelles chiffrées, la mise en oeuvre d'infrastructure Virtuelle avec un segmentation des serveurs par rôles ou du réseau avec VLAN dans des centres de collocation, permet une redondance et la tolérance pour faire bénéficier au personnel des plusieurs succursales d'accéder en toute transparence et en toute sécurité aux applications et aux données qui résident sur le Cloud. Les Sociétés se tournent vers ces nouvelles solutions pour continuer à répondre aux exigences imposés par les avancées technologiques et optimiser le retour sur investissement. Le marché du SD-WAN plus facile, simplifie la vision et la gestion de votre réseau pour mieux s'adapter à vos besoins et aux attentes de vos clients. Que vous soyez une Entreprise internationale, une PME ou TPE ou une association il existe différentes solutions qui s'offrent à vous, si vous cherchez bien.

Des réponses aux besoins en constante évolution

Donc, à moins de bénéficier d'une infrastructure redondante, partiellement ou totalement virtualisée et de basculer d'une unité LUN (groupement de volumes logiques ou drive) à une autre, dans un environnement local hybride optimise vos procédures de restauration sur un serveur local à chaud.

Le Cloud avec les évolutions des services permet avec le Desktop as a Service de déporter les applicatifs avec un accès sécurisé vers votre bureau. Citrix utilise XenApp et "Receiver" qui sous forme de plugin permet de se connecter à l'interface du serveur Web qui intègre les applications. Il est possible de se connecter via le module Citrix "Secure Access" sou forme d'agent pour un accès direct au profil itinérant de l'utilisateur sur le serveur Citrix. Il devient alors possible dans la mesure ou la sécurité est bien respectée sur un Drive, de stocker vos données sensibles ou de louer un VPS pour partager un groupe de travail à l'aide d'un GroupeWare. Vous pouvez implémenter SharePoint sur IIS et SQL serveur qui permettra de mettre à disposition des utilisateurs, une plateforme applicative pour collaborer et travailler de son PC ensemble à distance. (mode connecté ou déconnecté). Avec le VDI pour Virtual Desktop Interface, vos applications sont accéssibles à distance pour être utilisées via le profil itinérant (roaming) de votre compte Microsoft. Microsoft a déjà commencé à déployer son service Office 365, qui propose des ordinateurs personnels virtuels fonctionnant sous Windows 10-11 et la couche de virtualisation. Le service vous donne accès à un ordinateur Windows virtuel avec l'OS de votre choix, qui fonctionne exactement comme un ordinateur physique. En tant que client de machine virtuelle, vous accédez aux applications qui par analogie sont équivalente à "streamées" ! Lorsque vous ouvrez Sharepoint pour collaborer avec Office ou toute autre application vous le ferez à partir du serveur virtuel distant et vous pourrez travailler à plusieurs sur un planning, un ordonnanceur, un fichier Excel partagé. Cependant, vous devrez comme tous les bons techniciens, aborder les nouveautés et l'évolution des tech (Routage, réseau commuté, pare-feux, filtrage ACL's, virtualisation, VLAN, Point d'accès Wifi, chiffrement, VPN et SD-WAN) et redoubler d'efforts pour comprendre les technologies qui se développent actuellement.

Le On-Premise conçu pour l'hybride

De plus en plus, les systèmes "on-premise" sont conçus pour le cloud hybride (Infrastructure hébergée et maintenue par l'informatique de l'entreprise avec les services "sensibles" externalisés sur le Cloud). SQL Server 2016 construit un Cloud directement dans le serveur, et un nombre croissant de services "d'orchestration" font au plus simple pour migrer les machines virtuelles dans le cloud quand vous avez besoin de plus de capacité.

Si vous utilisez l'appliance de stockage StorSimple de Microsoft, vous obtenez un réseau de stockage "infini". Il ressemble à un SAN pour votre infrastructure sur site, mais de la même manière que la déduplication, la compression et la hiérarchisation de vos données, il sauvegarde automatiquement les clichés ou instantanés et les données "froides" sur le cloud de votre choix (Azure, Amazon S3 ou OpenStack). Les données sont chiffrées et vous pouvez vous connecter à l'aide d'ExpressRoute, mais vous déplacez des données vers le cloud sans intervention humaine. Cette automatisation et cette connexion transparente rendent faciles le déplacement des données et des charges de travail vers et à partir du cloud sans que personne ne prenne une décision spécifique à chaque fois. Et cela signifie que vous devez avoir votre politique de sécurité clairement définie à l'avance, et appliquée automatiquement.

Oracle propose de créer un VPS "gratuit" enfin avec une participation de 1$ pour 30 jours d'éssai

LES SERVICES POUR INFRASTRUCTURES CLOUD

Le Cloud hybride : Le Cloud hybride est une combinaison de solutions de Cloud Computing public et privé. Il permet de dispatcher les besoins en fonction de la nature sensible ou non des données. Cette solution offre une flexibilité et une évolutivité accrues, protège les données confidentielles tout en rendant accessibles les outils et applications nécessaires au travail collaboratif. Cependant, juger les besoins et gérer les risques de problèmes de transferts ou de sécurité liés à l’interaction entre les deux modèles peut être difficile.

Le Cloud public : Le Cloud public repose sur une infrastructure partagée, où les ressources sont accessibles via Internet. Les utilisateurs peuvent accéder à ces ressources à la demande, ce qui offre une grande flexibilité. Les fournisseurs gèrent et maintiennent l’infrastructure, ce qui réduit la charge de travail des équipes informatiques internes. Cependant, comme les ressources sont partagées, il peut y avoir des problèmes de performance et de sécurité. De plus, les utilisateurs ont moins de contrôle sur l’infrastructure, ce qui peut poser des problèmes pour certaines applications.

Le Cloud privé : Le Cloud privé est dédié à une seule entreprise, sans partage d’infrastructure. Les ressources du service cloud peuvent être "exploitées" par un fournisseur tiers hors site. Cette solution offre une personnalisation accrue, cependant, la gestion des applications incombe à l’entreprise, ce qui nécessite du personnel qualifié. Le Cloud privé offre un environnement exclusif à une seule entreprise. Cela signifie que l’entreprise a un contrôle total sur l’infrastructure et peut personnaliser les ressources en fonction de ses besoins spécifiques. Cela offre une sécurité accrue, les données n'étant pas partagées. Cela signifie également que l’entreprise est responsable de la gestion et de la maintenance de l’infrastructure.

Même s'il apparaît que le Cloud d'après certaines critiques soit énergivore et coûteux, celui-çi va dans le sens de la protection, de la pérénité et de la disponibilité des données.

LA VIRTUALISATION DES POSTES CLIENTS

Agent et API (Programing Interface) ?

VMware ThinApp et horyzon, Citrix XenApp proposent aux entreprises des méthodes de déploiements rapides, d'utilisation à distance et de migration simplifiée d’applications due à la portabilité.

Expérience utilisateur, Citrix XenAp vs VMware Horizon View

Citrix installation storefront version 2203 sur DaaS

Installer Citrix Secure Private Access service en local ou sur le Cloud

StorSimple - Présentation de la migration

Amélioration et supervisions

Network performance monitoring with OpManager: https://www.manageengine.com/network-monitoring

Certains outils pour simuler ou émuler une architecture virtuelle (qui ne sont toutefois pas récents) vous permettent de valider la configuration de vos équipements par rapport à un modèle. Un fichier contenant les règles (basées sur les documents de la NSA, de Rob Thomas et de Cisco – voir ci-dessous).

• Outils de simulation ou d'émulation: https://www.cisconetsolutions.com/ccna-200-301-lab-training-simulator-or-emulator

• Packet tracer en français: https://www.netacad.com/fr/courses/packet-tracer

• Open GNS3: https://docs.gns3.com/docs (permet de configurer vos routeurs, Switch, serveurs avec services et dans un environnement réseau vos VLANs)

Lire:

Lire sur le site Cisco; Configurer pour la migration de Spanning Tree de PVST+ vers MST

Lab Spanning Tree et Rapid Spanning Tree de Cisco

Préparer le Certification CCNA sur le site Formip

Voir le site cisco.goffinet.org et reprendre les connaissances de la certification CCNA

Voir: lab de la config initiale d'un commutateur sur goffinet.org

Etudier en ligne la certification réseau Cisco CCNA 200-301

* Références:

Virtualisation de l'infrastructure des postes de travail

Lire: aussi la virtualisation des postes de travail ThinApp de VMware

Lire: VMWare ThinApp

Lire: VMware Horizon View et Citrix Receiver du client léger Wyse Windows Embedded ou "Embarqué"

Lire Déployer Citrix sur Azure VMware

Lire sur Microsoft les spécificités d'un profil itinérant ou roaming profil

Lire: Virtualisez vos applications Réseaux et Télécoms

Capacité d'optimisation d'infrastructure: processus de gestion ITIL/COBIT

Microsoft Technet: l'optimisation d'infrastructure

Lire "les enjeux technologiques de l'information et de la communication

La neutralité du Net sur "La quadrature du net".

Pouvez-vous faire confiance à votre ordinateur personnel ?" Article publié il y a plus de 20 ans en 2002 par R. Stallman. .

Lire sur le sujet :

Lire l'article sur le journaldunet.

Les enjeux juridiques du Cloud computing (Chapitre-3)

Lire sur L'usine digitale: Bonnes pratiques pour optimiser vos coûts associés au cloud

Maitrise des "vrais couts" du cloud public: Un enjeu important pour les entreprises

Consommation d’un datacenter :tout ce qu’il faut savoir pour limiter les dépenses

Lire : Les white-box sont-elles l'avenir de la commutation réseau ?

Lire : Cisco muscle les capacités de Catalyst SD-WAN

Lire : Mise en réseau de SDN et virtualisation des fonctions réseau (NFV)

Lire: F5 exploite les API des clouds pour connecter les différents réseaux

1foplus-2021-24

Sécurité

ARCHITECTURE DE PARTAGES: ATTENTION AUX RANSOMWARES ET TENTATIVES D'INTRUSION

Les responsables de certains sites croient à tort que les données qu’ils abritent n’étant pas toutes confidentielles, l’enjeu de la sécurité est limité. Lorsque vous détenez des serveurs sur Internet, vous devez assurer la sécurité, vérifier les logs de connexions, éviter l'indisponibilité de vos ressources quelques soient les services utilisés; sauvegardes, partages, sites web, middleware, groupware, base de données, vente en ligne, etc. Accepteriez-vous que le trafic réseau que vous payez chaque mois, soit utilisé par un botnet ? Que votre serveur de messagerie puisse relayer des messages indésirables ? Ainsi, quel que soit le site et ses applications, il existe de vraies exigences qui justifient la mise en place de mesures de sécurité spécifiques; pare-feu, authentification renforcée, SSL, certificats, SSH pour se connecter à distance, VPN, authentification à 2 facteurs... La nécessité de patcher vos machines. d'éviter toutes formes de tentatives de types; scan de ports, defacing, DNS Hidjaking, attaque par "brute-force" "spoofing" et élévation de privilèges, sans compter les autres pièges, tels que les malwares et ils sont nombreux; spyware, adware, phishing, redirection de liens ou "url forwarding", "port forwarding" et ransomwares sous fome de liens dans les pièces-jointes de votre messagerie...

Historiquement le protocole SMB utilisait la couche NetBIOS qu'on appellait aussi NetBEUI pour Network Extended User Interface. Cependant le protocole NetBIOS était connu pour générer du broadcast d'ou la résolution des noms de Machines en IP du protocole NetBIOS Name Server. Pour pallier se problème, il fallait installer un serveur WINS, et déclarer le serveur WINS dans les paramètres de la carte réseau. Avec Windows 10 le protocole NetBIOS est abandonné et remplacé par SMB, pour partager des informations avec plus de sécurité.

Historique des ports TCP/UDP dédiés à NetBIOS puis SMB

135 - TCP
Microsoft EPMAP (End Point Mapper),
aussi connu pour DCE/RPC service ,
utilisé pour gérer à distance;
DHCP server,
DNS server et WINS.
Utilisés avec DCOM.

137 - UDP
NetBIOS Name Service

138 - UDP
NetBIOS Datagram Service

139 - TCP
NetBIOS Session Service

445 - TCP
Microsoft-DS SMB file sharing
Microsoft-DS Active Directory, Windows shares

Si votre PC ne se trouve pas sur un réseau local, vous pouvez utiliser un pare-feu pour bloquer toutes possibilités d'intrusions par les filtrages des ports SMB; 445 ainsi que 137, 138, 139 pour NetBIOS. Le protocole SMB s'appuyait sur NetBIOS et le port 139 pour contacter l'hôte donc appliquer une règle de filtrage sur les ports UDP: de 137 à 139 avec un pare feu (137-139) et éventuellement certains ports dynamiques tels que: 1110, 2869, 19780.

Vous pouvez désactiver le service "Assistance NetBIOS sur TCP/IP" et si vous utilisez un PC seul ou en réseau (Utiliser une IP statique IPv4 peut s'avérer bien pratique en particulier lorsque vous êtes sur un grand domaine, avec un grand nombre de machine) Dans "Panneau de configuration puis Réseau et Connexions réseau" sur la carte "active" sélectionner une IP fixe en IPv4. Si vous savez traduire celle çi en IPv6 renseignez la. Allez dans les "Propriétés", "Paramètres TCP/IP avancés" cliquer sur le bouton "Avancer" pour accéder à "Paramètres TCP/IP avancés" et enfin cliquer sur l'onglet WINS pour décocher la case "Désactiver NetBIOS sur TCP/IP" ainsi que la case LMHOSTS. (le fichier LMHOSTS est un fichier texte non chiffré, qui était utilisé pour établir la correspondance entre les noms et les IP des ordinateurs. Il assurait de fait la conversion et le mappage des noms NetBIOS "nomPC en IP" sur les systèmes d'exploitation Windows. "Lmhost.sam" se trouve toujours dans: "Windows\system32\drivers\etc".

Sur un réseau d'entreprise, lorsque le port TCP 445 est à l'écoute "Listenning" ou "Established" (établit indique que SMB est entré en communication), une règle de filtrage sur le Pare-feu entre vos serveurs les partages et les postes du LAN peut s'avérer judicieux. Il convient alors de vérifier les IP sources et cibles pour faire en sorte que chaque connexion soit initiée par une machine du LAN ou d'un Cloud par exemple hybride référencé. Bien que cela puisse représenter sur un réseau de taille une perte de temps considérable, l'intérêt d'utiliser des IP fixes statiques peuvent s'avérer bien utiles dans les réseaux distribués de grande taille. Dans ce type d'environnement, les clients et les serveurs peuvent exister dans différents sous-réseaux, domaines ou workgroup et VLAN. Les fichiers de configuration d'IP statiques IPv4 aident les clients à localiser les serveurs de partage, plus facilement lorsque les segments du réseau sont bien renseignés (DNS et anciennement WINS). Pour utiliser SMB sur le port TCP 445 et accéder à un partage via une connexion chiffrée de bout en bout avec le serveur, il faut renseigner les emplacements connus par un accès autorisé. Si vous ajoutez SMB via le port TCP 445 afin de partager des données sur le RLE, comme les Imprimantes et fichiers partagés vous pouvez utiliser la commutation inter VLAN pour permettre aux PC de communiquer ou non aux VLAN prédéfinis. Par ailleurs Le filtrages d'adresses MAC et IP permettront d'assurer une meilleur sécurité. La plupart des tentatives de connexions aux partages avec un compte System "spoofé" (élévation de privilèges par un assaillant du compte "System") seront plus complexes à exécuter à partir d'un scan d'IP/Ports, en particuier si vous avez ségmenté votre réseau en VLAN. Ainsi vous pourrez communiquer avec certains VLAN mais pas avec d'autres. Utilisez la commande Netsh lorsque vous partagez une connexion SMB en IPv4 via TCP/IP.

Créer un partage SMB pour Windows 10 ou serveur

Étant donné que le service "Explorateur d’ordinateurs" s’appuie sur SMBv1, celui-çi doit être désactivé sur le Serveur. Cela signifie que l’explorateur n'affiche plus "L'explorateur d'ordinateurs" de la même manière qu'autrefois via la méthode d’exploration des datagrammes NetBIOS hérités. D'une part, il est fortement conseillé de mapper des lecteurs réseau pour les partages et les imprimantes. D'autre part, les ressources mappées sont plus faciles à localiser via AD DS et le service DNS sur un réseau ségmenté de grande taille et surtout plus sûres à utiliser. Les fonctionnalités SMB version 2,0, 3,0, 3.1, 3.11 sont toujours entièrement prises en charge et incluses par défaut dans le cadre des binaires SMBv2.

Lorsque vous activez SMBv2-v3 sur le client Windows depuis les versions serveur 2012, SMBv2-3 est activée, bien que SMBv1 reste actif si vous ne laissez pas CIFS actif pour fournir des fonctionnalités d'identification-authentification. CIFS prend en charge l'authentification en fonction de l'utilisateur afin que ce dernier puisse accéder aux ressources partagées avec ses informations d'identification.

A partir de Windows Serveur 2016 la version SMB 3.11 est activée. Si vous utilisez le protocole SMBv3 pour des raisons de connectivité entre le serveur et les clients Windows 10 et 11 le client SMBv3 est activé depuis les versions 1607 à 21H2. Lorsque Microsoft fait évoluer le protocole SMB, le but est de renforcer la sécurité, notamment la sécurité serveurs avec des algorithmes de chiffrement, plus robustes (AES-128-GCM avec SMB V3.11). Il convient de souligner que ce contournement protège le "Service serveur" SMB et ne nécessite pas de redémarrage. En revanche, les clients SMB (LanmanWorkstation) même Windows 10 et 11 dans certains cas, restent toujours vulnérables si vous n'éffectuez pas les changements de désactiver SMBv1 avec les cmdlet Powershell.

Pour avoir une idée de la surface de nuisances des failles SMBv1 sur NetBIOS sur Windows client utilisez une commande MS-DOS "Net share" ou Powershell pour les partages sur vos volumes Windows avec IPC$ qui permet une connexion avec un compte doté des privilèges administratifs.

Avec PowerShell :

PS>get-fileshare

Name HealthStatus OperationalStatus
--- ------------ -----------------
ADMIN$ Healthy Online
C$ Healthy Online
D$ Healthy Online
I$ Healthy Online
K$ Healthy Online
L$ Healthy Online
print$ Healthy Online

PS>C:\Users\Administrateur> Get-SmbShare

Name ScopeName Path Description
---- --------- ---- ----------- --------------
ADMIN$ * C:\WINDOWS Administration à distance
C$ * C:\ Partage par défaut
D$ * D:\ Partage par défaut
IPC$ * IPC distant
K$ * K:\ Partage par défaut

La commande "Nbtstat.exe" (lire sur le site de Microsoft) était utilisable sur les anciènne version de Windows si le service résolution de nom était configuré dans les paramètres de la carte réseau.

Encore en 2023 certains actifs, y compris les ordinateurs personnels, utilisent toujours le SMBv1, un protocole ancien, non chiffré et compliqué, dont les vulnérabilités ont été ciblées dans les attaques par ransomware, tristement célèbres WannaCry, NotPetya, LockBit, etc. Plus récement est apparut "Rorschach" dont le fonctionnement reste mal connu... Nous constatons qu'aujourd'hui encore, 74% des entreprises ont dans leur réseau au moins un actif vulnérable à EternalBlue, ou vulnérabilité SMBv1.

SMB a toujours été un protocole de partage de fichiers sur le réseau avec les serveurs Samba. À ce titre, il a besoin de ports réseau sur un ordinateur ou sur un serveur pour communiquer avec les autres clients systèmes.
SMB utilisait le Port 139 car il fonctionnait à l’origine sur NetBIOS, celui-çi étant une couche de transport plus ancienne elle permettait aux anciènnes versions de Windows de se parler sur un même réseau.
SMB utilise le port 445 sur la couche de niveau 7 d'après le modèle OSI. Les versions plus récentes de SMB (v 3.11 sur Windows 2016) ont commencé à utiliser le port 445 sur une pile TCP qui permet de fonctionner via Internet. Si votre réseau n'est pas homogène, préférez passer pour les partages via les Cloud (privés ou publiques)

Le partage sur Windows 10-11

Le fait que NetBIOS ait été abandonné tardivement pour des raisons de compatibilités à posé des problèmes que Microsoft n'a pas réussi à résoudre complètement. D'ou l'abandon de celui çi pour SMB. Même si un équivalent à l'Explorateur de fichiers Windows "nouvelle génération" est assez proche de l'anciènne version bien que le design diffère, il est plus étendu en intégrant les services Cloud; OneDrive, Drive de Google. Ce qui permet de gérer ou d'imprimer ses documents partagés depuis le cloud avec la possibilité du visionner le contenu en ligne en toute sécurité. Cette solution alternative de passer par des services cloud, OneDrive, Drive, pour échanger, partager ou imprimer reste sûr et sécurisé lorsque votre réseau n'est pas encore homogène.

A partir de Windows serveur 2016 la version SMB est la 3.11. Il en est de même pour Windows 10 depuis les versions 1607 à 21H2. Avec SMB sur un RLE (réseau local d'entreprise) comptez avec les lecteurs réseau pour mapper à partir de l'adresse IP ou d'un nom de serveur de partage.

Lorsque Microsoft fait évoluer le protocole SMB, le but est de renforcer la sécurité, notamment la sécurité des échanges avec des algorithmes de chiffrement plus robustes (AES-128-GCM avec SMB V3.11) En production, le SMB version 1 ne doit plus être utilisé, car il contient des failles de sécurité. En 2017, une faille dans SMB v1 a fait beaucoup de bruit : EternalBlue-CVE-2017-0144. Elle a été exploitée pour compromettre des millions de machines dans le monde et elle a été utilisée par des ransomwares ravageurs. Depuis, Microsoft a corrigé cette faille, mais cette version n'est plus maintenue. Cette version est obsolète et dépréciée depuis 2014 ! WannaCry, l'attaque ransomware la plus connue, utilise une faille dans le protocole SMB de Microsoft, laissant tous les ordinateurs non corrigés et connectés à Internet vulnérables aux attaques. D'autres attaques exploitent des services de bureau à distance ou Remote Desktop non sécurisé, analysant par scan de ports via Internet des systèmes vulnérables. Afin d'éviter cette faille, désactivez manuellement le service SMBv1 pour passer en version 2 ou 3 plus sécurisés.

Description de SMB; Server Message Block (SMB) est un protocole réseau de couche application qui fonctionne sur le ports 445. Il est largement utilisés pour le partage. Une "Intrusion.Win.MS17-010" cible les ordinateurs Windows et exploite les vulnérabilités du réseau SMBv1 (utilisées par les ransomware WannaCry, ExPetr- ransomware, etc.). Microsoft à tenté de corriger la faille dans le Bulletin de sécurité Microsoft MS17-010: Lire sur MSDN

Lire l'Intrusion.Win.MS17-010 via protocole SMB sur port 445 d'un PC sous Windows.

FONCTIONNALITES DE SMBv3

SMB 3.0: Stockage des fichiers pour virtualisation (Hyper-V™ sur SMB). La technologie Hyper-V permet de stocker des fichiers d’ordinateur virtuel, par exemple une configuration, des fichiers de disque dur virtuel (VHD) et des captures instantanées, dans des partages de fichiers sur le protocole SMB 3.0. Cette méthode peut être employée à la fois pour des serveurs de fichiers autonomes et des serveurs de fichiers en grappes utilisant Hyper-V et conjointement avec un système de stockage de fichiers partagés de type NAS.

Microsoft SQL Server sur SMB. SQL Server permet de stocker des fichiers de base de données utilisateur sur des partages de fichiers SMB. Pour l’heure, cette méthode est prise en charge avec SQL Server 2008 R2 pour des serveurs SQL autonomes. Les prochaines versions de SQL Server proposeront une prise en charge des serveurs en cluster et des bases de données système.

Stockage classique pour les données de l’utilisateur final. Le protocole SMB 3.0 apporte des améliorations aux charges de travail des utilisateurs professionnels de l’information. Ces améliorations réduisent notamment les valeurs de latence des applications auxquelles sont confrontés les utilisateurs des filiales lorsqu’ils accèdent à des données sur des réseaux étendus (WAN) et protègent des données contre les tentatives d’écoutes clandestines.

Créer des partages sous Windows 10

VERIFIER LA VERSION SMB DE VOTRE MACHINE

Si la valeur de SMBv1 est à 0 ou non présente, cela signifie que SMB1 est désactivé. En revanche si SMB2 à une valeur "DWORD" à 1 c'est que SMBv2 est le protocole de Partage. Le protocole devrait avoir la même version sur le Service Serveur (LanmanServer) que sur la station de travail (LanmanWorkstation). Prenez le temps d'activer IPv4 uniquement sur l'interface du connexion au réseau local si vous êtes sur un réseau de grande taille avec des segments (sous réseaux ou VLAN). Cela facilitera d'une part la configuration du NAT, comme la mise en ligne d'un serveur web ou pour paramétrer vos commutateurs L2-3. D'autre part, une IP fixe en IPv4 facilitera la configuration de votre routeur et de vos commutateurs en mode trunks.

Avec Powershell

Mettre à jour SMB v2-3 sur LanmanServer

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Créer les partages à partir de mappages

PS>New-PSDrive -Name "NameOfMappage" -Root "\\SERVER\NameOfShare" -PSProvider FileSystem
PS>New-PSDrive -Name "Share" -Root "\\SRV-PARTAGES\Share" -PSProvider FileSystem
PS>Set-Location -Path "NameOfMappage:"

#Il est nécessaire d'entrer après le mappage le nom du dossier#
Set-Location -Path "Share:"
Puis faites un dir ou tree
PS>Share:\>dir

Cela fera apparaître le nom du répertoire:
\\SRV-PARTAGES\Share
\\192.168.1.50\Share

Pour mapper un partage réseau en tant que lecteur réseau avec Powershell entrez la commande ci-dessous:
New-SmbMapping -LocalPath "P:" -RemotePath "\\NOM_DU_SRV\Nom_Partage"

Si votre structure n'est pas un réseau local d'entreprise RLE avec un pare-feux, faites en sorte que les protocoles NetBIOS et SMB en TCP (connexion) et en UDP (transfert de datagrammes) soient bloqués pour toutes tentatives de connexion de l'extérieur. Cependant, sur un Annuaire, Workgroup, Homegroup pour la connexion au réseau local vous devrez renseigner les adresses IP du serveur d'impression ou du serveur de partage avec les postes du réseau local qui pourront y avoir accès sur les couches 2 et 3.

Exemple de filtrage sur Windows

Cliquez pour agrandir

Cependant Microsoft n'a identifié aucun "facteur atténuant" sur Microsoft Technet pour ces vulnérabilités. Les solutions de contournement suivantes peuvent être utiles.

Selon votre situation :
- **Désactiver SMBv1** pour les clients exécutant Windows Vista et versions ultérieures. Voir l'article 2696547 de la Base de connaissances Microsoft

**Méthode alternative pour les clients utilisant Windows 8.1, 10 ou Windows Server 2012 R2 et versions ultérieures**
Pour les systèmes d'exploitation client :
1. Ouvrez le "Panneau de configuration", cliquez sur "Programmes", puis cliquez sur "Activer ou désactiver des fonctionnalités Windows".
2. Dans la fenêtre Fonctionnalités de Windows, laissez coché la case "Support de partage de fichiers SMB 1.0/CIFS", puis cliquez sur "OK" pour fermer la fenêtre.
3. Redémarrez le système

Il est quand même préférable de mettre les PC de votre structure avec des système homogènes pour être sûr de bénéficier d'une compatibilité amméliorée.

Pour vérifier la version SMB de Windows ouvrez l'invite de cmd MS-DOS "En tant qu'Administrateur"
puis tapez la commande "SC.EXE"

1-Détecter sur Workstation
sc.exe qc lanmanworkstation

2-Désactiver SMB v1
sc.exe config mrxsmb10 start= disabled

SMB v2-3 sur serveur SMB

1-Identifier sur serveur
sc.exe qc lanmanserver

Changement de Version SMB

2-Activez SMBv2 sur Lanmanserver (cmd en tant qu'administrateur):
sc.exe config lanmanserver depend= bowser/mrxsmb10/mrxsmb20/nsi

Ou directement via ces commandes "en tant qu'administrateur"
sc.exe config lanmanserver depend= bowser/mrxsmb20/nsi
Puis
sc.exe config mrxsmb20 start= auto

Le résultat s'affiche [SC] ChangeServiceConfig réussite(s)

Vérifier la version du protocole SMB

sc.exe qc lanmanworkstation

Cliquez pour agrandir

Ce qui affiche:
SERVICE_NAME: lanmanworkstation
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Windows\System32\svchost.exe -k NetworkService
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : Station de travail
DEPENDENCIES : bowser
: mrxsmb20
: nsi
SERVICE_START_NAME : NT AUTHORITY\NetworkService

Puis Redémarrer.

Vérifiez avec la stratégie de sécurité locale sous Windows

Entrez dans le champs Exécuter "Secpol.msc"

Cliquez pour agrandir

Si les paramètres de vos stratégies ont été changées et que des érreurs empêchent certaines "Exécutions" vous pouvez remettre la stratégie de sécurité par défaut à condition de l'avoir sauvegardé:

Utilisez les cmdlet

Ouvrez une invite de commandes ou comme ci-dessous avec Powershell "en tant qu'Administrateur" avec le registre .
Ensuite copier sur notepad puis collez les commandes dans la fenêtre MS-DOS:
PS>C:\Windows\System32>RD /S /Q "%windir%\System32\GroupPolicyUsers"
RD /S /Q "%windir%\System32\GroupPolicy"
Puis
gpupdate /force

Cliquez pour agrandir

Vous pouvez vérifier la version de SMB pour LanmanServer avec le registre,
utilisez "regedit.exe" ou regedt32 (32 bits) puis allez :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanServer\Parameters

Cliquez pour agrandir

Vérifiez que la valeur SMB2 à bien une valeur DWORD à 1. Si SMB1est mentionné avec la valeur à "1" c'est que le prorocole SMB1 est encore actif. Désactivez le

Vous devrez redémarrer l’ordinateur après avoir apporté des modifications au registre.
Pour plus d’informations, consultez stockage serveur chez Microsoft.

IMPORTANT:

Après le service "station de travail" ou LanmanWorkstation, faites de même avec le service serveur "LanmanServer".
Attention cependant avec le paramétrage de SMB car les machines de votre réseau devront avoir la même version SMB.
Sinon il vous faudra faire marche arrière pour que le service "Explorateur d'ordinateurs" fonctionne en SMBv1.

Voici comment supprimer SMBv1 avec PowerShell sur Windows 7.

Ouvrez la console Powershell ou ISE "en tant qu'Administrateur"
Vérifier si SMBv1 est actif sur le Service serveur de Windows 7

- Identifier la version de SMB avec PowerShell
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
Configuration par défaut = activé (aucune clé de Registre n’est créée),
donc aucune valeur SMB1 n’est retournée.

Si une valeur est retournée, désactiver SMBv1 sur le Service Serveur (LanmanServer) avec PowerShell
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Ce qui donne comme résultat:
PS>Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\
services\LanmanServer\Parameters | ForEach-Object
{Get-ItemProperty $_.pspath} ServiceDll : C:\Windows\
system32\srvsvc.dll ServiceDllUnloadOnStop : 1
EnableAuthenticateUserSharing : 1
NullSessionPipes : {}
autodisconnect : 15
enableforcedlogoff : 1
enablesecuritysignature : 1
requiresecuritysignature : 1
restrictnullsessaccess : 1
Lmannounce : 0
Size : 1
AdjustedNullSessionPipes : 3
Guid : {23, 166, 124, 25...}
PSPath : Microsoft.PowerShell.Core\Registry::
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\LanmanServer\Parameters PSParentPath :
Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\services\LanmanServer
PSChildName : Parameters
PSProvider : Microsoft.PowerShell.Core\Registry

Identifie avec PowerShell:
Get-WindowsOptionalFeature -Online -FeatureName smb1protocol

Désactivez SMBv1:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Activer SMBv2/3 sur Windows 7 avec Powershell pour LanmanServer
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force

VERIFIER AVEC POWERSHELL LA VERSION DE SMB DU SERVICE SERVEUR

Activer toujours "en tant qu'Administrateur" SMBv2/v3 sur le Service serveur avec PowerShell

Si vous avez Windows 10, vous pouvez utiliser les cmdlets:
Get-SmbServerConfiguration" et Set-SmbServerConfiguration
Le cmdlt Set-SmbServerConfiguration vous permet sur un serveur d’activer ou de désactiver les protocoles SMBv1, SMBv2 pour mettre le serveur 2012 par exemple en version 3.11.

Nouvelle applet de commande pour service Serveur de Windows:
Set-SMBServerConfiguration

Désactive avec PowerShell SMBv1
Set-SmbServerConfiguration -EnableSMB1Protocol $false

Active avec PowerShell SMBv2/3
Set-SmbServerConfiguration -EnableSMB2Protocol $true

Identifie la version de SMBv2/3
Get-SmbServerConfiguration | Select EnableSMB2Protocol

Avec le résultat:
EnableSMB2Protocol
==================
TRUE

Cmdlets pour activer SMB v2/v3 sur les services serveur et client de Windows 8.1/10

PS>Set-SmbServerConfiguration -EnableSMB2Protocol $true
PS>Set-SmbclientConfiguration -EnableSMB2Protocol $true

Plus d’informations:

Guides Metasploit et Meterpreter pour les "pentester" et les ingéneurs réseau (Windows XP-7)

Lire partager des fichiers dans l'explorateur de fichiers sur windows 10 en passant par le cloud OneDrive

Quelle est différence entre CIFS et SMB ?

Pourquoi vous ne devez pas nécessairement activer le cryptage conforme à la norme FIPS sous Windows

Scénario d’échange de paquets de protocole Microsoft SMB et NetBIOS

Lire partager des fichiers dans l'explorateur de fichiers sur Win10 en passant par le cloud

Pourquoi vous ne devez pas "néssairement" activer le cryptage conforme à la norme FIPS sous Windows

Scénario d’échange de paquets de protocole Microsoft SMB et NetBIOS

Résolution avancée des problèmes liés au protocole SMB (Server Message Block)

Comment détecter désactiver ou activer de façon approprié SMB v1 pour SMB v2 ou v3 sur Windows 7, 8.1, Windows 10, Windows Server 2012 à 2016

Lire sur le site Microsoft la vue d’ensemble du partage de fichiers à l’aide du protocole SvMB 3 et Windows Server 2012, 2012 R2, 2016, 2019.

Si vous voulez utiliser le protocole SMB sur une machine distante via Internet via le services de nommage DNS, il vous faut lire sur le support Microsoft:
https://support.microsoft.com

Régler son pare feu Microsoft pour éviter les attaques sur le port 445 et SMB

Désactivez la mise en cache DNS côté Client et éventuellement Serveur (en fonction de son rôle)

Si vous voulez utiliser le protocole SMB sur Internet et que cela passe par le services de nommage DNS. Lire le support Microsoft.

Un des derniers ransomware s'appelle "LockBit" => Lire ce que vous devez savoir sur ce rançongiciel LockBit.

Clés du Registre pour désactiver les applications qui se lancent au démarrage avec "RunOnce"

Utilisez Run ou RunOnce des clés de Registre pour exécuter un programme lorsqu’un utilisateur se connecte. La Run clé permet l’exécution du programme chaque fois que l’utilisateur se connecte, tandis que la RunOnce clé exécute le programme une fois, puis la clé est supprimée. Ces clés peuvent être définies pour l’utilisateur ou la machine.

La valeur de données d’une clé est une ligne de commande ne dépassant pas 260 caractères. Inscrivez les programmes à exécuter en ajoutant des entrées de la ligne decommandede la chaîne=de description- du formulaire. Vous pouvez écrire plusieurs entrées sous une clé. Si plusieurs programmes sont inscrits sous une clé particulière, l’ordre dans lequel ces programmes s’exécutent est indéterminé.

Le Registre Windows comprend les quatre Run clés et RunOnce suivantes :

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce

Par défaut, la valeur d’une RunOnce clé est supprimée avant l’exécution de la ligne de commande. Vous pouvez préfixer un RunOnce nom de valeur avec un point d’exclamation (!) pour différer la suppression de la valeur jusqu’à l’exécution de la commande. Sans le préfixe du point d’exclamation, si l’opération RunOnce échoue, le programme associé ne sera pas invité à s’exécuter lors du prochain démarrage de l’ordinateur.

Par défaut, ces clés sont ignorées lorsque l’ordinateur est démarré en mode sans échec. Le nom de valeur des RunOnce clés peut être précédé d’un astérisque (*) pour forcer l’exécution du programme même en mode sans échec.
Un programme exécuté à partir de l’une de ces clés ne doit pas écrire dans la clé pendant son exécution, car cela interfère avec l’exécution d’autres programmes inscrits sous la clé. Les applications doivent utiliser la RunOnce clé uniquement pour les conditions temporaires, par exemple pour terminer l’installation de l’application. Une application ne doit pas recréer continuellement des entrées sous RunOnce , car cela interférera avec le programme d’installation de Windows.

UTILISEZ "WSUSOffline" COMMENT INSTALLER LES CORRECTIFS DES VERSIONS ANTERIEURES A WINDOWS 10

Catalogue Windows Update 7/10/11

Cliquez pour agrandir

Voici la procédure à suivre : Téléchargez WSUSOffline du site 01net.com
Ou sur le site officiel : https://www.wsusoffline.net/docs/

Dézipper le package Wsusoffline109.zip en fonction de la version de l' OS avec Winrar.
Placez le dans un répertoire sur un de vos volumes. Il n'est pas nécéssaire qu'il soit sur C:\. Une fois copié dans le répertoire, lancez l'exécutable "UpdateGenerator.exe". La fenêtre ci dessous s'affiche :

Utilisation de WSUS
Cliquez pour agrandir

Cochez les cases; "Verify downloaded updates", "Include Service Pack", "Include C++".
Allez dans les options " Create ISO image(s) puis sélectionnez "per selected product and language"

Indiquez l'endroit ou vous voulez créer l'image ISO des correctifs. Sous USB medium cochez la case "Copy updates for selected products directory" puis indiquez l'endroit ou tous les correctifs seront compilés en une image ISO, par exemple dans D:\PCSVGDE_KBases. Enfin appuyez sur Start. Une fois le processus terminé, vous allez retrouver vos corectifs pour Windows x86 et x64 ainsi que les correctifs pour poste de travail si vous bénéficiez d'un serveur WSUS, comme ci-dessous:

Dans %HOMEDRIVE% ou un autre lecteur D:\PCSVGDE_KBases\w61\glb vous trouvez les correctifs pour processeurs x86

Dans D:\PCSVGDE_KBases\w61-x64\glb vous trouverez les correctifs pour processeurs x64.
Si vous désirez relancer les mis à jour cliquez sur wsusoffline\client\UpdateInstaller.exe

Les images ISO pour x86 et x64 se trouvent dans le répertoire d'installation de WSUSOffline dans le dossier "ISO" comme ci-dessous.

Déployer les correctifs via WSUS

Il existe un script "Windows Update PowerShell Module" Téléchargable ici pour déployer via WSUS

Résoudre les problèmes d'update de Windows10

Téléchargez l'utilitaire de résolution des problèmes de Windows Update, puis sélectionnez Ouvrir ou Enregistrer dans la fenêtre contextuelle. Si le menu contextuel ne s’affiche pas, il se peut que votre bloqueur de fenêtres publicitaires soit activé. Si vous utilisez Microsoft Edge, les instructions pour désactiver le bloqueur de fenêtres publicitaires sont ici. Si vous utilisez un autre navigateur ou un bloqueur de fenêtres publicitaires distinct, consultez le site Web du bloqueur ou du navigateur. Si vous sélectionnez Enregistrer, une fois le téléchargement terminé, vous devez accéder au dossier dans lequel vous avez enregistré l’utilitaire de résolution des problèmes, puis double-cliquer sur le fichier "wu.diagcab" le plus récent, pour ensuite exécuter l’utilitaire. Cliquez sur Suivant et suivez les étapes de l'Assistant pour rechercher et résoudre les problèmes liés à Windows Update de Windows 10.

INCONTOURNABLES IMAGES ISO

Des sites proposent le téléchargement d'images ISO de Windows corrompues ou contenant des malwares ;-( C'est le cas de sites peu regardant (winmacsofts.com) qui proposent de télécharger des image ISO de Windows depuis le site de Microsoft. Le comble c'est que l'image ISO ne provient pas de chez Microsoft. Difficile alors de monter cette image ISO comme un système et de l'installer ou de virtualiser en convertissant en VHD. En fonction de votre hyperviseur ou logiciel de virtualisation; ISO, ISZ, VCD, TIB, WIM pour Windows, IMG ou DMG pour Mac OS...

*Ne téléchargez pas un un programme ou une image .ISO sans précautions*

De nombreuses images ISO sont corrompues car non officielles, elles peuvent contenir du code dangereux qui doit générer des alertes sur votre antivirus (Voir ci-dessous).

Alerte Kaspersky

Téléchargez une image ISO d'un système Microsoft Officiel !

2 possibilités s'offrent à vous pour récupérer une véritable image ISO de Windows: soit récupérer une image ISO de votre système sur le site Microsoft, soit aller sur le site heidoc.net. Ces images ISO serviront de "médias de redémarrage" de réinstallation ou de système portable pour Windows (utilisable sur une Machine virtuelle) ainsi qu'en cas de perte du votre DVD d'origine, avec votre Serial. Utilisez la signature de de l'ISO dans les paramètres pour vérifier le certificat et son origine. Si vous avez une version OEM elle sera valable que pour la machine avec laquelle la version OEM est vendue. En principe l'OEM est rattachée à 1 machine et à ses composants matériels. La licence ne devrait fonctionner que sur cette machine. Donc gardez bien le numéro de Série de votre système Windows. Il existe cependant des moyens détournés et officiels de retrouver un "Serial" perdu.

1- Allez sur le lien suivant du site Microsoft avec votre numéro de série.

2- Autre option disponible avec l'utilitaire ISO Downloader du site heidoc.net.
Comme ci-dessous :

Avec la version 2.00 du logiciel Microsoft Windows and Office ISO Download Tool permet de télécharger toutes les versions de Microsoft Windows et d'Office. Pour la Version 2.03 la date de release est le 07-06-2016 et requière le .NET Framework 4.6.1 avec Internet Explorer 11, ainsi que la version Légale pour .NET Framework 3.5: Windows ISO Downloader Legacy.exe. Pour certaines fonctionnalités, référez vous aux articles sur les images ISO de Windows 7, de Windows 8.x et de Windows 10, ainsi celle d'Office 2013-16. Cette version 2.00 du logiciel Microsoft Windows and Office ISO Download Tool pour télécharger Microsoft Windows et Office.

La Version 2.03 requière les mêmes composants .NET Framework 4.6.1, IExplorer 11, version legale du .NET Framework 3.5: Windows ISO Downloader Legacy.exe

SURVOL RAPIDE DE POWERSHELL ET MONITORING

Voir: les ports utiles TCP et UDP pour clients et serveurs Windows

Lire: dépannage des ports alloués aux services sur serveurs Windows

Lancez une commande MS-DOS en tant qu'Administrateur pour voir si les ports des partages sont ouverts et en connexion avec quels PC:
netstat -a -f -o [-afo]

Entrez la commande suivante pour identifier vos ports IPv4 liés à IPv6 sur les ports dynamiques:
netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp

La plage de ports dynamiques commence à partir du port 49152 jusqu'àu dernier port 65535. Soit près de 16384 ports utilisables (prendre en compte le 0 ainsi que les ports alloués aux applications)

Description de l'utilisation des ports TCP et UDP

Depuis WS2K8 la plage des ports allouée dynamiquement a changé
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
netsh int ipv6 set dynamicport tcp start=10000 num=1000
netsh int ipv6 set dynamicport udp start=10000 num=1000

Ports utilisés dans Configuration Manager

Pour vérifier le MTU sur Windows 10 avec PowerShell et TCP/IP

netsh interface ipv4 show subinterface

Le MTU par défaut est de 1500 octets.
Si vous voulez creuser un peu le sujet je vous suggère de visiter la base du site :

Knowledge base de "Palo Alto"
Les en-têtes IPv4 et IPv6

Pour vous connecter à votre FAI ou ISP un "socket sécurisé" ou canal sécurisé est nécéssaire. Ce canal chiffré initie une connexion entre votre Box et votre FAI ou encore entre votre poste de travail et le serveur d'authentification du réseau de votre entreprise.

Les sockets sont utiles dans au moins trois contextes de communication :
- Modèles client/serveur
- Scénarios d’égal à égal, tels que les applications de Messagerie. (Attention à recréer la connexion)
- Pour éffectuer des appels de procédure distante (RPC) en demandant à l’application réceptrice d’interpréter un message comme un appel de fonction.

La spécification Windows Sockets définit une interface de programmation réseau compatible binaire pour Microsoft Windows. Les sockets Windows sont basés sur l’implémentation de sockets UNIX dans berkeley Software Distribution (BSD, version 4.3) de l’Université de Californie à Berkeley. La spécification inclut à la fois des routines de socket de style BSD et des extensions spécifiques à Windows. L’utilisation de Windows Sockets permet à votre application de communiquer sur n’importe quel réseau conforme à l’API Windows Sockets. Les sockets Windows assurent la sécurité des threads.

En cas de doute si vous pensez que votre système a été corrompu, voici comment réintialiser la pile TCP ou le(s) socket de Windows (winsock) avec Powershell ?

Via MS DOS et Powershell avec les droits Administrateur (Windows 10-11)

Commandes MS DOS en tant que Administrateur:
1. netsh winsock reset catalog
2. netsh interface>ipv4 reset C:\>resetall.log
3. netsh interface ipv6 reset C:\>resetall.log

OU avec PowerShell
1. netsh winsock reset >C:\resetwinsock.log
Vous trouverez sur C:\ le fichier log avec si vous l'éditez avec notepad, ce contenu :
Le catalogue Winsock a été réinitialisé‚ correctement.
Vous devez redémarrer l'ordinateur afin de finaliser la réinitialisation.

Entrez dans le prompt MS DOS, la commande est; "netsh int ipv4 reset" puis valider par Entrer. la commande est la même avec IPv4-6 sous Powershell: netsh int ipv6 reset (netsh interface ipv6 reset)
Redémarrez et connectez internet après avoir de préférence vérifié votre IP (si vous utilisez un DHCP ou une IP fixe)

Port utiles sur Windows serveur

Ports utilisés dans Configuration Manager

Lire: Comment empêcher le trafic SMB d’avoir des connexions en cours et d’accéder ou de quitter le réseau local qui nécessite d'avoir un pare-feu en aval.

Lire: Comment savoir si quelqu’un s’est connecté à votre ordinateur

N'oubliez pas aussi de vérifier le cache DNS côté Client avec la console MS DOS et les commandes:
ipconfig /displaydns >C:\verifcachedns.log
ipconfig /flushdns

Flushdns videra le cache DNS si vous avez laissé coché la case "Enregistrer les adresses dans le système DNS":

Windows PowerShell est l'environnement de script créé par Microsoft. Il est conçu pour fournir une solution unifiée de script et d'automatisation Windows incroyablement riche et redondant, mais particulièrement éfficace, capable d'accéder à une large gamme de technologies telles que.NET, COM et WMI grâce à ce seul outil. Depuis sa sortie en 2006, PowerShell est devenu le composant de toutes solutions de gestion basée sur le .NET Framework permettant le support aux scripts et à l'automation. Intégré depuis XP en option, puis nativement sur Windows 7. Cette interface en ligne de commandes ou CLI ressemble étrangement aux commandes Shell d'Unix. Il facilite la gestion des postes clients sur des parcs de moyenne et grande tailles sans avoir à implémenter un logiciel de gestion distribuée pour les postes avec une interface Java. L'utilisation de tâches, l'installation à distance de logiciels, des mises à jour ou l'accès aux postes d'une même structure en fait un outil d'administration incontournable. Il convient cependant de signer les connexions entre la console du poste d'administrateur PowerShell et les postes clients. Powershell est restreint sur Windows par défaut. Il faut paramétrer les Polices d'exécution et appliquer des signatures et authentifications chiffrées.

Vous pouvez le constater par une simple cmlet "Get-executionPolicy" sur Windows 7:
PS>C:\Users\Administrator.C-PC> Get-ExecutionPolicy
ce qui affiche le résultat
Restricted

Ressemblances entre batch MS DOS, PowerShell et bash Unix-Linux

Cliquez pour agrandir

Flèches Haut et Bas => déplace le curseur de de Haut en bas.
Flèches Gauche et Droite => Parcours la liste des dernières cmdes saisies.
MAJ => Bascule en mode Insert et Replace.
Supp => Supp le caractère de la position courante du curseur.
Espace Arr=> Supprime le caractère juste avant la position courante du curseur.
F2 => Affiche l'hsitorique des dernières commandes.
TAB => Complète automatiquement les éléments de la ligne de cmdes (Autocomplétion)

DEFINIR LES STRATEGIES D'EXECUTION de POWERSHELL

PowerShell vous permet de créer et de lancer des scripts système avancés. Cependant, par défaut, les scripts PowerShell sont automatiquement non définies ou bloquées.
Voici comment avec la cmdlet ExecutionPolicy autoriser ou refuser les accès sur les Hives du registre pour les portées "CurrentUser" et "LocalMachine".

Syntaxe des ExecutionPolicy
[-ExecutionPolicy] {Unrestricted | RemoteSigned | AllSigned | Restricted | Default | Bypass |
Undefined} [[-Scope] {Process | CurrentUser | LocalMachine | UserPolicy | MachinePolicy}]

Restricted :aucun script ne peut être exécuté, seules les cmdlets locales sont autorisées
AllSigned : les scripts peuvent être exécutés mais ils doivent être obligatoirement signés avec un certificat
RemoteSigned : les scripts créés en local n’ont pas besoin de signature
Unrestricted : les scripts n’ont pas besoin d’être signés, qu’ils proviennent du poste local ou d’Internet.

Cliquez sur le bouton Démarrer, sur Tous les programmes, sur Accessoires, sur Windows PowerShell.

Cliquez avec le bouton droit de la souris sur Windows PowerShell puis cliquez sur Exécuter "en tant qu'Administrateur".

Dans la fenêtre qui s'ouvre, saisissez l'applet Set-ExecutionPolicy RemoteSigned puis validez par Entrée.

Appuyer sur Enter pour Valider

Appuyez sur [O] pour valider l'exécution des scripts PowerShell signés sur votre ordinateur.

Après avoir validé, entrez la commande "Get-ExecutionPolicy" pour vérifier que les scripts distants seront signés.

Conseil: Lorsque votre PC est sur un annuaire Active Directory, les stratégies d’exécution sont contrôlées via les stratégies de groupe ou GPO. Celles-ci sont toujours situées au-dessus des autorisations des stratrégies locales donc plus efficaces contre les exécutions indésirables. Vérifiez les stratégies définies avec «Get-ExecutionPolicy -list». Si les paramètres sont définis sur RemoteSigned, cela signifie que les scripts locaux et les scripts à distance devront avoir une signature numérique. Si le script lui-même est maintenant simplement défini sur non-restreint ou Unrestricted puis mis à disposition localement, une fenêtre d'avertissement indiquera les risques encourus en cas de mauvaise intention.

Vérifiez les stratégies définies la cmdletGet-ExecutionPolicy et l'argument -list

Exemple de restrictions sur l'utilisateur courant:
PS>Get-ExecutionPolicy -List
Scope ExecutionPolicy
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser RemoteSigned (utilisateur courant du registre)
LocalMachine Unrestricted (machine locale du registre)
ou RemoteSigned (sur le réseau d'une machine distante)

Par défaut, les stratégies d'exécution de PowerShell sont Restricted et Undefined pour les portées "CurrentUser" et "LocalMachine"; cela signifie que les scripts ne s'exécuteront à distance qu'avec un avertissement. Vous pouvez vérifier le paramètre de stratégie d'exécution à l'aide de la commandlet "Get-ExecutionPolicy", comme illustré ci-dessus. Vous pouvez aussi modifier le comportement d'exécution des scripts PowerShell à l'aide de la cmdlet
Set-ExecutionPolicy -scope "Hive"ou "nom de la portée".

Stratégie par défaut "Restricted" et "Undefined"

PS>C:\Windows\system32> Get-ExecutionPolicy -Verbose
Restricted

Comme son nom le suggère "Restricted" restreint toutes les exécutions non signés des scripts. Seuls les scripts locaux peuvent être lancés mais aucun script ne peut s'éxecuter à distance:

Remettre les restrictions par défaut:

Revient à mettre les restriction sur Undefined ou Restricted
Entrez la commande:
PS>set-executionpolicy Default

Cliquez pour agrandir

Ou encore en utilisant l'argument Unrestricted
PS>set-executionpolicy Unrestricted

Message de "Execution Policy Change":
La stratégie d'exécution permet de vous prémunir contre les scripts que vous jugez non fiables. En modifiant la stratégie d'exécution, vous vous exposez aux risques de sécurité décrits dans la rubrique d'aide about_Execution_Policies. Voulez-vous modifier la stratégie d'exécution ? [O] Oui [N] Non [S] Suspendre [?] Aide (la valeur par défaut est « O ») Une fois que vous avez répondu par OUI
Vérifiez les restrictions appliquées à votre compte ou votre machine locale:
CurrentUser ou à votre Machine LocalMachine

Cependant la stratégie d’exécution Undefined remplace par défaut les restrictions d’exécution des scripts ou de chargement des modules. En ce qui concerne les scripts qui n'ont pas de certificat un avertissement apparaît.
PS C:\Scripts> .\ScriptDistant.ps1

Avertissement de sécurité:
N’exécutez que des scripts que vous approuvez. Bien que les scripts en provenance d’Internet puissent être utiles, ce script est susceptible
d’endommager votre ordinateur. Voulez-vous exécuter C:\Scripts\ScriptDistant.ps1 ?
[N] Ne pas exécuter [O] Exécuter une fois [S] Suspendre [?] Aide

Modifiez la stratégie pour une portée spécifique avec -Scope:

Vous pouvez modifier le registre et forcer le comportement des stratégies d'exécution de PowerShell à l'aide de la cmdlet
PS>Set-ExecutionPolicy -Scope "LocalMachine" -ExecutionPolicy "RemoteSigned" -force
PS>Set-ExecutionPolicy -Scope "CurrentUser" -ExecutionPolicy "AllSigned" -force

La stratégie qui s'applique à "LocalMachine" est supérieur à celle de "CurrentUser"

Cela donne le résultat:
PS>C:\Windows\system32> Get-ExecutionPolicy -list

Scope ExecutionPolicy
----- ---------------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser AllSigned
LocalMachine RemoteSigned

Les stratégies d'exécution sur RemoteSigned pour LocalMachine et AllSigned pour CurrentUser sont à mon sens les mieux adaptées pour un poste personnel Windows relié à internet.Pour un serveur, la convention impose pour l'exécution des scripts à distance que les paramètres viennent des stratégies de sécurité; les scripts lancés à distance doivent s'éxécuter avec une signature numérique et un certificat d'authentification. Le respect des conseils et la maîtrise du processus de signature du code sont essentiels à la protection de l’environnement PowerShell. Appliquez les stratégies d'exécution et maîtrisez le processus de signature du code pour la protection de l’environnement PowerShell !

Vérifier aussi l'existence de votre profil Powershell

Cliquez pour agrandir

Test-Path $PROFILE
Si la réponse est True laisser votre profil crée, en revanche si la valeur est False vous devrez créer votre profil manuellement
Comme ceci:
PS>New-Item -Path $profile -ItemType file -force
Une fois le profil crée comme ceci:

PS C:\Windows\system32> New-Item -Path $profile -ItemType file -force
Répertoire : C:\Users\Nom de l'utilisateur\Documents\WindowsPowerShell
Mode LastWriteTime Length Name
-a--- 05/11/2020 23:30 0 Microsoft.PowerShellISE_profile.ps1

Redémarrer ensuite PowerShell puis entrez:
pwd pour savoir ou vous vous situez dans l'arborescence puis:

PS C:\Users\Administrator>Test-Path $profile
True
Si la réponse est True cela veut dire que votre profil a bien été crée.

Verifiez la version installée sur votre système

PS>$PSVersionTable

Name Value
PSVersion => 5.1.14409.1018
PSEdition => Desktop
PSCompatibleVersions => {1.0, 2.0, 3.0, 4.0...}
BuildVersion => 10.0.14409.1018
CLRVersion => 4.0.30319.42000
WSManStackVersion => 3.0
PSRemotingProtocolVersion => 2.3
SerializationVersion => 1.1.0.1

Vérifiez votre PSVersion, BuildVersion ou la version de PowerShell que vous utilisez.

AJOUT DE MODULES POWERSHELL A PARTIR DE SITES DE CONFIANCE OU LOCALEMENT

1 -Commencer par créer un point de restauration avec Powershell
PS C:\>Checkpoint-Computer
cmdlet Checkpoint-Computer at command pipeline position 1
Supply values for the following parameters:
Description: 1

2 -Vous pouvez en fonction de votre OS et de votre version PowerShell utiliser la cmdlet :

PS>Update-help
update PowerShell
Cliquez pour agrandir

Vous pouvez aussi tenter de mettre à jour votre version avec la KB3191566-x32ou x64 pour Windows 7 et server 2008 Release 2 par exemple.
Mais il semble que cette méthode lorsqu'elle est utilisée sur Win7 ne soit pas très stable. Auquel cas, désinstallez la Mise à jour KB3191566 !

Si vous possédez Windows 10 et après avoir défini les politiques d'exécution vous pouvez utiliser la commande suivante pour mettre à jour vos modules:

Ce qui lance Powershell en invoquant " -importSystemModules":
"Powershell.exe -NoExit -importSystemModules"
Le chemin étant:
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -NoExit -ImportSystemModules

Comme ci-dessous les updates et modules peuvent être installés à l'aide des cmdlets :
Get-help ou Update-Help
Get-help About_Modules
et
PS>Update-Module

Vous serez certainement "invité" à installer des modules comme "NuGet"

Cliquez pour agrandir

Puis de répondre par "Yes" pour mettre à jour votre version de Powershell.

1-Localement trouver l'emplacement de vos modules en saisissant la commande:
dir env:psmodulepath
Ou encore avec une redirection:

dir env:psmodulepath | Out-File .\Documents\Logfile\modules.txt

2) Copier les fichiers appartenant à ce module dans un répertoire identifié, et mettez le dans le sous-répertoire créé avec le nom de la commande par exemple.

3) Importez le module :
PS>C:\users\mon-nom\Mes_modules> import-module "Nom du module"

4) Pour le tester ensuite, il faut saisir les commandes appartenant à ce module.
Vous pouvez les listez ainsi :
get-module Nom.du.module
Ou récupérer les noms des modules dans le pipeline avec un fichier de "résultat"

Get-module | Out-file .\Documents\Mesmodules.txt

permet de savoir rapidement quels sont les services actifs ou inactifs en utilisant le module Windows PowerShell et son interface sous MS-DOS. Entrez cmd en tant qu'Administrateur puis taper powershell.

PS>Get-Service >C:\services.txt

Powershell liste des svc

Les Opérateurs de résultat : ">"

Get-service >filesvc.txt
Get-Service >C:\services.txt
Get-ChildItem >>files.txt
Get-ChildItem 2 >errors.txt

Lister le liste de services actifs avec la commande SC.exe
cmd /k net start >services.log à partir de l'invite avec les droits d'administrateur entrez; sc query >C:\servicesactifs.txt
C:\Windows\sc query (liste les services) (>= redirection vers) C:\servicesactifs.log

Ouvrir le fichier sur C:\servicesactifs.txt avec un éditeur de texte

Service_Name: AeLookupSvc
Display_Name: Expérience d'application
Type: 20 WIN32_SHARE_PROCESS
State: 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

Service_Name:ASDiskUnlocker
Display_Name: ASDiskUnlocker
Type: 110 WIN32_OWN_PROCESS (interactive)
State: 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Etc

Avec la Console WMI
wmic service get state,displayname

liste des services avec WMI

Entrez dans une invite de commande en mode Administrateur:
wmic:root\cli>/?

Tutoriel WMIC : Commandes utiles

Avec PowerShell

On peut aussi savoir quels sont les services actifs ou inactifs en utilisant la cmdlet "En tant qu'Administrateur":
PS>Get-Service

Services démarrés ou arrêtés
Start, stop, restart, resume, etc.

Rédémarrer ou arrêter un service:

PS>restart-Service "Nom du service" -force
Vous pouvez utiliser:
PS>Start-service "Nom du service" -force
ou
PS>Stop-service "Nom du service" -force

Lister les Services "Running ou Stopped" à savoir démarrés ou arrêtés avec la cmdlet "
Get-service" avec Pipeline "|" comme flux de redirection puis "Out-File" comme flux de sortie:

Afficher les services arrêtés avec l'argument "Where-Object", valable pour les process ou tous autres fichiers systèmes actifs:
Les Pipes correspondent aux flux de redirection puis de sortie de cmlet.

PS>Get-Service | Where-Object { $_.status -eq "stopped" } | Out-File C:\svcstop.txt

Services Start:
PS>Get-Service | Where-Object { $_.status -eq "running" } | Out-File C:\svcstart.txt

Opérateurs de sortie, de résultat ou de redirection

Windows PowerShell fournit plusieurs applets de commande qui vous permettent de contrôler directement la sortie de données. Ces applets de commande partagent deux caractéristiques importantes. Tout d’abord, elles transforment généralement les données en une forme de texte. Elles opèrent de la sorte, car elles envoient les données à des composants système qui requièrent une entrée de texte. Cela signifie qu’elles doivent représenter les objets sous forme de texte. Le texte est mis en forme tel qu’il apparaît dans la fenêtre de la console Windows PowerShell.

operateurs de redirection

Avec les applets il est possible d'utiliser les commandes ou arguments "Out, Out-write, Out-Host, Out-File", car elles envoient des informations de Windows PowerShell vers un autre emplacement. L’applet de commande Out-Host ne fait pas exception : l’affichage de la fenêtre hôte se trouve en dehors de Windows PowerShell. Ceci est important car, lorsque des données sont envoyées hors de Windows PowerShell, elles sont réellement supprimées. Vous pouvez le constater si vous tentez de créer un pipeline qui pagine les données vers la fenêtre hôte, puis tentez d’appliquer une mise en forme de liste, comme illustré ci-dessous :

Lister les connexions TCP/IP sur un PC Windows

Utiliser la commande Netstat -af

Cliquez pour agrandir

Powershell
PS C:\WINDOWS\system32> Test-NetConnection -port 52410 -computername cloud19.netim.net
AVERTISSEMENT : TCP connect to (###.##.##.#4 : 52410) failed
ComputerName : cloud19.netim.net
RemoteAddress : fe80::d284:b0ff:fe6c:dd82
RemotePort : 52410
InterfaceAlias : Ethernet
SourceAddress : 192.168.0.16
PingSucceeded : True
PingReplyDetails (RTT) : 13 ms
TcpTestSucceeded : False

Lister les process

PS>Get-Process | Out-Host -Paging | Format-List
Vous pouvez vous attendre à ce que la commande affiche des pages d’informations sur le processus sous forme de liste. Au lieu de cela, elle affiche une liste tabulaire par défaut :

Sortie de la cmdlet Get-process avec le pipeline et Out-Host :

Handles NPM(K) PM(K) WS(K) VM(M) CPU(s) Id ProcessName
------- ------ ----- ----- ----- ------ -- -----------------------------
101 5 1076 3316 32 0.05 2888 alg
...
618 18 39348 51108 143 211.20 740 explorer
257 8 9752 16828 79 3.02 2560 explorer

L’applet de commande Out-Host envoyant les données directement à la console, la commande Format-List ne reçoit jamais rien à mettre en forme.
La façon correcte de structurer cette commande consiste à placer l’applet de commande Out-Host à la fin du pipeline, comme illustré ci-dessous. Ainsi, les données du processus sont mises en forme de liste avant d’être paginées et affichées.

PS> Get-Process | Format-List | Out-Host -Paging

Id : 2888
Handles : 101
CPU : 0.046875
Name : alg

Id : 740
Handles : 612
CPU : 211.703125
Name : explorer

Id : 2560
Handles : 257
CPU : 3.015625
Name : explorer

LISTER LES REGLES DE PARE-FEU

Get-NetFirewallRule | Out-File C:\LogFiles\firewall.log

Cela s’applique à toutes les applets de commande Out. Une applet de commande Out-* doit toujours apparaître à la fin du pipeline.

Les opérateurs de redirection redirigent uniquement les flux vers des fichiers ou des flux vers des flux.
L'opérateur de canalisation ou pipeline achemine un objet dans le pipeline vers une applet de commande puis vers une sortie.

Apprendre Powershell

Redirection de sorties ou de résultats

PS>Get-service >filesvc.txt

Out-File: Pipeline pour flux de sortie

Get-Process | Out-File -Verbose D:\infolog.txt
VERBOSE: après avoir redirigé l'operation vers la cible "Out-File" et D:\infolog.txt (Verbose correspond à "bavard" ou "verbeux").

Get-ChildItem | Out-File unicodeFile.txt
Get-Content filename.cs | Out-File -Encoding ASCII file.txt
Get-ChildItem | Out-File-Width 120 unicodeFile.cs
PS>Get-Service | Out-File C:\Services.txt

Contenu du fichier C:\Services.txt ci-dessus

Pour rediriger le flux de sortie dans le CLI à l'instar de "Write-File" vous pouvez ajouter un fichier de résultat avec le paramètre -Append (Ajouter) après le pipeline | Out-File:
Le fichier files.txt sera ajouté à la liste des fichiers listés par la cmdlet Get-ChildItem
PS>Get-Process | Out-File -Append C:\proc.log
PS>Get-ChildItem | Out-File -Append C:\files.txt

Pour "Get-ChildItem" le résultat du conteneur Admibnistrateur se trouvera dans le fichier qui précède l'argument "-Append" à savoir dans "C:\files.txt"

Directory: C:\Users\Administrateur
Mode LastWriteTime Length Name
-----------------------------------------
d----- 10/03/2020 03:47 .ebookreader
d----- 14/01/2020 08:25 .swt
d----- 14/03/2020 04:50 .VirtualBox
d-r--- 27/03/2020 14:31 Desktop
d----- 19/03/2020 19:04 Documents
d-r--- 28/03/2020 03:23 Downloads
d-r--- 04/01/2020 14:01 Favorites
d-r--- 23/03/2020 07:50 Links
d-r--- 22/01/2020 02:21 Music
d----- 17/12/2019 18:50 OpenVPN
d-r--- 27/03/2020 13:46 Pictures
d-r--- 04/01/2020 14:01 Saved Games
d-r--- 04/01/2020 14:01 Searches
d----- 17/12/2019 22:14 UrbanVPN
d-r--- 29/02/2020 01:23 Videos
d----- 14/03/2020 04:49 VirtualBox
-a---- 28/03/2020 03:43 0 files.txt

Write-Output génère une sortie. Cette sortie peut aller à la commande suivante après le pipeline, ou à la console pour être simplement affichée.

La cmd envoie des objets dans le pipeline principal, également appelé "flux de sortie" ou "pipeline de réussite". Pour envoyer des objets d'erreur dans le pipeline d'erreurs, utilisez Write- Error.

1- Sortie pour la prochaine Cmdlet du pipeline

Write-Output 'My text' | Out-File -FilePath "$env:TEMP\Test.txt"
Write-Output 'Chris' | ForEach-Object { "My name is $_"}
Le résultat sera: My name is Chris

2- Sortie avant "Write-Output" dans le CLI

PS C:\> Write-Output "Hello tout le monde il est gentil"
Hello tout le monde il est gentil

1.- La cmdlet Write-Output envoie l'objet spécifié dans le pipeline vers la commande suivante.
2.- Si la commande est la dernière commande du pipeline, l'objet est affiché dans la console.
3.- L'interpréteur PowerShell considère cela comme une écriture en sortie implicite. Étant donné que le comportement par défaut de Write-Output consiste à afficher les objets à la fin d'un pipeline.

Exemple
PS>Get-Process | Write-Output
est équivalent à Get-Process

Les messages peuvent être écrits avec;
Write-Verbose "Detailed Message"
Write-Information "Information Message"

Exemple de la commande Export
PS>Get-EventLog System | Export-Csv C:\temp\Eventsys

Utilisation du pipeline permet aussi de canaliser la sortie d'une applet de commande dans une boucle foreach:
Copie d'un répertoire vers une destination.

PS>Get-ChildItem | ForEach-Object { Copy-Item -Path $_.FullName -destination C:\NewDirectory\ }

Write-Output génère une Sortie d'écriture. Cette sortie peut aller à la commande suivante après le pipeline ou aller à la console pour afficher le résultat.
La cmdlet envoie des objets dans le pipeline appelée aussi "pipeline de sortie ou de réussite".

Exemple avec write-output pour la cmdlet Get-Member:
PS> Write-Output "test output" | Get-Member

Lister les correctifs (Hotfixes)

Tout d'abord, créer un répertoire "C:\temp" puis utilisez le script ci-dessous pour lister les KB ou correctifs de la bases de connaissances installées sur votre machine. Passez par l'invite de cmd. "Démarrer" puis "Exécuter" en tant que Administrateur puis créer la redirection vers le dossier C:\temp de manière à récupérer le contenu du fichier C:\temp\UpdateList.txtcontenant la liste des correctifs ou KB installées sur votre poste.

+ Simplement pour toutes les versions de XP à Windows 11, vous pouvez utiliser la commande "systeminfo" :
C:\>systeminfo >C:\sysinfo.log
Chargement des informations de correction...

Il vous restera à ouvrir le fichier log "sysinfo.log" avec un éditeur de texte.

Pour récupérer les détails copiez le script de la console WMI ci-dessous dans l'éditeur notepad:
wmic qfe GET description,FixComments,hotfixid,installedby,installedon,servicepackineffect >C:\UpdateList.txt

lister les maj

Le résultat lorsque vous ouvrez le fichier UpdateList.txt apparaît comme ci-dessous ;

listes des correctifs
Cliquez pour agrandir

Avec PowerShell, la commande "verbe-noun" Get-HotFix donne le même résultat !

Les quotes = "." permettent de combler les noms de fichiers avec espaces dans les "chemins"
(Cela est une vielle convention chez Microsoft)...
Exemple: log infos.txt devra pour être pris en compte dans votre script être noté entre quotes "log infos.txt"

Si vous oubliez les Quotes comme ci-dessous un message d'erreur apparaît:

PS>Get-HotFix | Out-File D:\log infos.log

Les quotes ne sont pas présents sur le fichier de sortie "log infos" cela génère un code d'erreur:
Out-File : Cannot validate argument on parameter 'Encoding'. The argument "infos.log" does not belong to the set "unknown;string;unicode;bigendianunicode;utf8;utf7;utf32;ascii;default;oem"

Fichier de sortie dont le nom est entre "---" quotes vient du fait qu'il contient un espace => Log infos.txt.
Get-HotFix | Out-File "D:\Log infos.txt"

Lister le contenu d'un répertoire comme par exemple d'un site Web complet
PS> Get-ChildItem -Path D:\site1foplus -Force -Recurse > D:\1fosite.log

Le fichier "log infos.txt" contient les HotFix installés, ou les fichiers html, images, vidéos listées dans le fichier de sortie avec les redirections > ou Out-File.

Il est aussi possible de d'utiliser la cmlet Get-computerinfo avec dans une fnêtre avec un commutateur de résultat
PS>Get-computerinfo >D:\infospc.txt
PS>Get-computerinfo | Out-file D:\infospc.txt

Gestionnaire d'identification

les gestionnaires d'identification permettent d'enregistrer les "username/password" pour vous loguez à votre poste, l'accès à un site ou à un partage réseau

Les informations sont stockés ici en fonction de l'OS, mais encryptées:

Pour les comptes systèmes:

Vérifiez vos processus et connexions TCP avec PowerShell:

PS>get-nettcpconnection | select local*,remote*,state,@{Name="Process";Expression={(Get-Process -Id $_.OwningProcess).ProcessName}} | sort-object -property LocalPort | format-table
OU
PS C:\WINDOWS\system32> get-nettcpconnection | select local*,remote*,state,@{Name="Process";Expression={(Get-Process -Id $_.OwningProcess).ProcessName}} | sort-object -property LocalPort | format-table >C:\LogFiles\tcpcx.log

Ouvrir le fichier de résultat "tcpcx.log" dans Wordpad

127.0.0.1 51522 127.0.0.1 63600 Established chrome
0.0.0.0 51522 0.0.0.0 0 Bound chrome
127.0.0.1 51523 127.0.0.1 63600 Established chrome
0.0.0.0 51523 0.0.0.0 0 Bound chrome
0.0.0.0 51526 0.0.0.0 0 Bound chrome
127.0.0.1 51526 127.0.0.1 63600 Established chrome
0.0.0.0 51527 0.0.0.0 0 Bound chrome
127.0.0.1 51527 127.0.0.1 63600 Established chrome
127.0.0.1 51547 0.0.0.0 0 Listen Dreamweaver
127.0.0.1 51547 127.0.0.1 51552 Established Dreamweaver
127.0.0.1 51551 127.0.0.1 51573 Established node
127.0.0.1 51551 127.0.0.1 51613 Established node
127.0.0.1 51551 127.0.0.1 51636 Established node
127.0.0.1 51551 0.0.0.0 0 Listen node
127.0.0.1 51551 127.0.0.1 51615 Established node
127.0.0.1 51551 127.0.0.1 51567 Established node
127.0.0.1 51551 127.0.0.1 51565 Established node
127.0.0.1 51551 127.0.0.1 51563 Established node
127.0.0.1 51551 127.0.0.1 51571 Established node
127.0.0.1 51551 127.0.0.1 52332 Established node
127.0.0.1 51551 127.0.0.1 51558 Established node
127.0.0.1 51551 127.0.0.1 51633 Established node
127.0.0.1 51551 127.0.0.1 52324 Established node

Sécurité et Certificats (clés publiques ou privés)

Quand un certificat avec une cléf publique est créée sur un système, la cléf publique s'échange automatiquement. Ca fonctionne tout seul.
La cléf publique s'échange lorsque l'utilisateur est identifié ce qui n'est pas le cas avec une clef privée. Celle-çi doit être envoyée au destinataire à part afin qu'il puissse initier un accès à titre privé.

Voilà un exemple pour montrer comment on peut se protéger très efficacement.
Exemple de certificat sur lequel on voit mentionné la signature en shaRSA chiffrée en sha1, valable jusqu'en 2120

Ci-dessous on peut lire que la clé publique est en RSA 2048Bits
Ce qui est énorme comparé aux chiffrements utilisés sur les échanges réseaux il y a quelques années en 128 ou 512Bits !

Les n° 30 82 01 0a ## ## ## ## etc. correspondent à la la clé RSA chiffrée .
Pour recréer un certificat c’est le même principe sur Linux Windows ou Apple.

Le Gestionnaire de Certificat s’ouvre avec la commande Certmgr.msc dans Exécuter

On retrouve le certificat personnel pour C PC à la dernière ligne en bleu avec la même date de validité (jeudi 12 décembre 2120)

- Un chiffrement en 2048 Bits est pratiquement impossible à casser.
- Il est possible de monter le chiffrement à 4096 avec un logiciel dédié

Exportez la clé.

On peut exporter le certificat en le sélectionnant et comme ci dessus en allant sur Exporter.

Puis en sélectionnant les échanges d'informations personnelles.

Insérer un mot de passe, clé de chiffrement.

Enregistrez le en choisissant de préférence un stockage externe comme une clé USB.

Ensuite renseignez le nom du fichier et enregistrez le certificat avec clé privé de préférence sur un média externe.

Pour chiffrer un document, faites un clic droit puis allez sur Propriétés puis cette fenêtre s'affiche

Cochez la case "Chiffrer le contenu pour sécuriser les données" et afficher le bouton Détails

Mettre en place EFS pour chiffrer les dossiers et fichiers avec l'Agent de restauration

Sécurité et partages: Malware et ransomware

Si vous avez la possibilité d'utiliser un VPN, Tor ou OpenVPN qui transite par des Proxies avec un pare-feu couplé avec celui de Windows 10, un bon antivirus et une supervision de vos connexions ainsi que de vos navigation sont le moyen adéquate d'éviter les intrusions.
Il faut savoir que le danger vient surtout de ce que vous téléchargez, des pièces jointes autant que des logiciels repackagés ou des sites inconnus.
Utilisez autant que ce peut un chiffrement de vos données personnelles et allez sur des sites qui de préférence sont en httpS.
Sachez cependant que près de 20.000.000 d'utilisateurs de Chrome ont été victimes de Faux Ad Blockers !

Voilà l'action d'un faux bloqueur de publicité
1. Il cache du code malveillant dans une bibliothèque javascript bien connue (JQuery).
2. Ce code renvoie à leur serveur des informations sur certains des sites Web que vous visitez.
3. Il reçoit les commandes du serveur distant du centre de commande. Afin d'éviter la détection, ces commandes sont cachées dans une image d'apparence inoffensive.
4. Ces commandes sont des scripts qui sont ensuite exécutés dans le contexte privilégié ("page d'arrière-plan" de l'extension) et peuvent modifier le comportement de votre navigateur de n'importe quelle manière.
Fondamentalement, il s'agit d'un botnet composé de navigateurs infectés par les fausses extensions adblock. Le navigateur fait tout ce que le propriétaire du serveur du centre de commande lui ordonne de faire.

Soyez vigilant !
Lire sur le site de AdGuard en anglais

Le Phishing est aussi très répandu : soyez prudent lorsqu'il s’agit de télécharger ou de publier des données personnelles, particulièrement lorsqu'il ne s'agit pas de vous... Répondre à une offre de téléchargement gratuite, gagner un cadeau, succomber à des offres à des prix très attractifs, peut comporter certains risques... En aucun cas il ne doit vous être réclamé de compensation financière pour participer à un tirage au sort ou de renseigner un formulaire de données personelles pour mettre vos données bancaires à jour par exemple.

Phishing - Forme d'escroquerie très prisée ces dernières années qui consiste à prendre l'identité d'une entreprise connue et reconnue sur un e-mail pour inciter les destinataires à changer ou mettre à jour leurs coordonnées bancaires ou autres via des pages imitant celles de l'entreprise dont l'image a été utilisée pour l'escroquerie.

Utilisez un module contre le Phishing et le Spam voir un gestionnaire de Cookies pour votre messagerie et contre le tracking pour votre Navigateur (Il en existe pour chacun d'eux; IExplorer, Chrome, Firefox, Opera, Safari, etc.) Dans les réglages du navigateur vous trouverez les paramètres pour éviter de se faire "tracker".

Une Interface Graphique pour les Utilisateurs de DISM

- Version 1.3.0 : Dism-Gui_1.3.0.zip (232 Ko) 64 bits uniquement
- Version 1.2.9 : Dism-Gui_1.2.9.zip (388 Ko) 32 bits et 64 bits
Remerciements à Wolfgang pour l'outil en relation avec le site Malekal !

Réparer Windows 10 avec une interface utilisateur GUI et DISM

Conseil pour la messagerie

Gardez bien les mails indésirables dans le dossier "indésirables ou Spam" pour renseigner la base de données de noms 'DNS'. En cas de doute, n'oubliez pas de vérifiez l'expéditeur ainsi que l'en-tête du courrier.

Le cas échéant vous pouvez toujours vérifier l'expéditeur du courrier sous Gmail en ouvrant "Affichez l'original" !

vérifiez l'origine d'un mail

Evitez les clés USB pour tranférer vos données personnelles d'une machine à une autre dans un environnement extérieur. Il existe dans Windows des paramètres qui empêchent d'utiliser des clés USB en dehors des environnements validés. Cela est possible grâce à la stratégie de sécurité : Démarrer: C:\Windows\system32\secpol.msc.

Demandez cependant à un technicien qui connait bien les stratégies de changer les paramètres. Cela est indispensable car bien que la stratégie de sécurité locale puisse restreindre beaucoup de paramètres il est préférable d'appliquer des stratégies de sécurité sur des groupes via Gpedit.msc et un réseau Active Directory. Si vous vous lancez dans le paramétrage des stratégies de sécurité cela pourrait se solder par des blocages à vos depends; renseignez vous et vérifier que votre antivirus scan les volumes "montés" (mount) via l'USB comme c'est le cas pour les disques durs externes ou les clés USB insérées sur votre PC ou transférer les données par le Cloud.

Utilisez un mot de passe pour chaque service ou portail avec un changement régulier (cela dépendra du nombre de tentatives de connexions non désirables que vous aurez auditées). Faites en sorte d'utiliser un mot de passe pour chaque service comme Facebook, Google, Outlook, Amazon etc… Plus le mot de passe est long plus il est difficile à craquer. Lorsqu'un hacker va cracker un mot de passe, une des premières choses qu’il va faire c’est de tenter de savoir s'il existe une correspondance entre ce mot de passe et d’autres sites internet ou votre messagerie. Evitez donc "d'agréger" vos identifiants. Utilisez un nettoyeur de traces, pour éffacer les fichiers temporaires, cookies et traces laissés sur Internet comme "CCleaner" au plus puissant "Diskmax tous deux gratuits. On l’a vu avec la fuite de LinkedIn, les mots de passe mis en vente datent de 2012, soit près de 4 ans. Il existe des applications avec votre suite Antivirus pare-feu ou bien pour Android qui permettent gérer vos mots de passe. Il en est de même sur Microsoft, Linux ou Mac OS. Lorsque vous êtes connectés sur des portails (FAI, Moteurs de recherche, sites avec authentification forte, espaces collaboratifs). Déconnectez-vous toujours lorsque vous quittez le portail. Cela vous permettra de désactiver le cookie de connexion et de moins laisser de traces.

Lire sur les bundleware

sur le site d'Eset le glossaire des "arnaques potentielles".

Références

PowerShell de A à Z et l'administration

containers standarts introduction à Python 3 et ses conteneurs standarts

Administration Unix

Linux administration du réseau

Lire : Tutoriel WMIC de Malekal ou Gestion WMI

Lire : Support Apache (D.Szalkowski)