1foplus

1foplus-2021-23

Virtualisation et réseau

La virtualisation pour simplifier, correspond à une "couche d'abstraction matérielle" sur laquelle a été crée à l'aide d'API ou "Application Programing Interface" des couches et interfaces logicielles qui vont puiser dans le hardware les ressources pour virtualiser des machines, serveurs, switch et permettre de créer noeuds de communication. Il s'agit notament avec le "Software Defined Networking" de structurer de manière à séparer le "plan de contrôle" du "plan de données" pour émuler les systèmes d'exploitation et recréer votre topologie. Ces OS installés deviennent des serveurs virtuels, montés à partir d'images ISO sur un OS hôte ou sur un hyperviseur natif (types 1 ou 2). Une fois installé, l'hyperviseur émulera vos machines virtuelles ou votre réseau et permettra de contrôler vos interfaces en implémentant comme pour vSphere des logiciels tels que vCenter, vMotion et paramétrer les connexions au Cloud.

Activation des composants de virtualisation (processeurs Intel et AMD)

Créer un package applicatif portable avec VMware Thin App

L’hyperviseur de type-1 dispose d'un accès direct aux ressources de la machine sur laquelle il est directement installé comme un système d'exploitation. Il est dédié à l'hébergement de machines sur Cloud, privé, public ou hybride. Lorsqu'il s'agit de cluster, les hyperviseurs partagent la puissance des composants materiels tels que le nombre de processeurs (16-32-64 ou +), la RAM (256Go, 2To et >), un espace disque suffisant pour le stockage d'un grand nombre de VM. L'ensemble permet avec VMware vShpere et vCenter de dédier puissance, répartition, "scalabilité" équilibrage des charges, en assurant la sécurité. D'une part, il stocke toutes les informations pour un fonctionnement éfficace et d’autre part, l'hyperviseur permet aux systèmes virtuels de puiser les ressources à chaud. Les Machines virtuelles possèdent leurs propres "sous-ensembles matériels", répartis de façon homogène et normalisé. Cela explique qu'ils sont plus utilisés en production. Plusieurs Machines Virtuelles dotés de systèmes d'exploitation hétérogènes peuvent fonctionner sur des clusters mutualisés sur le Cloud. Les clusters assurent la redondance, l'évolutivité, l'équilibrage et la répartition des charges et assurent une tolérance aux pannes. L'hyperviseur gére, administre et isole les rôles des Machines virtuelles, en répartissant dynamiquement les ressources en fonction des besoins. La segmentation des rôles peut s'appliquer à l'émulation de serveurs ou de services, tels que; NAS, SAN, les services serveurs web Linux Apache, ou Microsoft IIS, DNS, AD DS, les SGBD, les applications, les réseaux, etc. associés aux solutions Cloud dont une des plus connues est le SaaS.

VMware vSphere ESXi prend en charge divers périphériques de stockage sur baie via des connexions fibre Channel, iSCSI pour de meilleurs performances avec l'utilisation de lecteurs SATA, SCSI ou SSD. Cependant les disques IDE/ATA ou USB pour le stockage ne sont pas pris en charge, tout comme le stockage local ne prend pas en charge le partage sur plusieurs hôtes. Seul un hôte peut accéder à sa bibliothèque de stockage de données sur un périphérique local. Par conséquent, bien que vous puissiez utiliser un stockage local pour créer des machines virtuelles, vous ne pouvez pas utiliser les fonctionnalités de VMware qui exigent parfois un stockage partagé. Si vous utilisez un cluster d'hôtes disposant uniquement de périphériques de stockage locaux, vous pouvez implémenter vSAN qui transforme les ressources de stockage locales en stockage partagé défini par logiciel. vMotion, pratique pour les migrations à chaud de vos VM ne peut pas délivrer de partage, alors qu'avec vSAN, vous pouvez utiliser cette fonctionnalité. Historiquement, l'utilisation de l'accès aux systèmes centralisés se faisait via l'accès aux bureaux à distance. Les systèmes fonctionnaient sous Terminal servives qui communiquait avec le client via des protocoles d'accès à distance ou via un agent comme l'agent ICA de Citrix. Celui-çi permettait de bénéficier de données compressées afin que le transfert du profil utilisateur soit plus fluide du serveur vers le poste client. Le bureau s'affichait sur votre PC de manière "déportée" avec votre profil lié à un annuaire AD-DS et des connexions VPN dotées de certificat d'authentification. En revanche, pour virtualiser des serveurs, même si Citrix fonctionnait déjà en fermes ou clusters distants, il fallait à l'époque, des logiciels de types 2 qui étaient moins fiables en terme de performances. Avec l'apparition des hyperviseurs de type 1, Citrix intégra XenServer avec XenCenter hyperviseur de type 1, comme XenCenter 8.2, ou Citrix Hypervisor 8.2,. Afin de conccurencer VMware ESX, ou Fusion pour Mac, Sans compter Linux qui bénéficie d'un grand choix d'émulateurs. Des produits comme KVM pour Linux qui profite d'un large choix de logiciels d'emulation. VMware ESX, propose par ailleurs, des pilotes génériques pour faciliter l'installation des VM avec différents systèmes et un espace de stockage (datastore ou banque de données) pour les paramètres de configurations, les templates (modèles), ISO et OS et fichiers des machines virtuelles, disques, métadatas, partages HFS, VMFS, etc.

Dépacer les fichiers d'une VM vers autre datastore avec le "Browser"

Des fichiers binaires représentent les disques des VMs.
On parle de fabriquer des images, de créer des instantanés (snapshots) etc.
Les formats de disques virtuels les plus connus de VMware sont:

Créer un Lab sur Workstation 16

Lab hyperviseur ESXi 8 sur VMWare Workstation 17

Installation de VMware ESXi 6.7

VMware ESXi 7 installation 1ère VM

Cluster de ESXi avec VM et Clients vSphere

De nombreuses extensions sont utilisées par les hyperviseurs pour stocker les données de configuration des VM sur des disques physiques avec autant de volumes logiques que vous pouvez avoir de VM. On peut enregistrer, copier, mettre à jour, déployer ou provisionner rapidement des instantannées ou "snapshots". Des systèmes complets peuvent être transférés d'une Machine virtuelle vers une autre pour une maintenance sans interruption de services, à savoir en mode bare metal. On peut citer par exemple, quelques extentions .VMDK et .VMXF sont des formats VMWare, .VDI est le format utilisé par Oracle, .VHD est le format de Microsoft avec .VHDX pour Hyper-V qui permet de monter un disque non limités à 2To, en effet, VHDX repousse la limite à 64To. Enfin, Oracle Virtual box peut utiliser les formats VHD et VHDX, à l'instar de Citrix XenCenter qui à la condition que vous bénéficiez d'un "rôle d’Administrateur de Pool", peut intégrer les deux formats; celui de Microsoft VHDX et celui de VMware VMDK.

VMware ESXi vSphere clients et fonctionnalités de vCenter

Sauvegarde avec vCenter

Installation de Citrix XenCenter

Install Citrix Hypervisor 8.2

 

LA VIRTUALISATION RESEAU

En 2012 apparaît VMware NSX qui correspond à une plate-forme de virtualisation de réseau destinée au Software-Defined Data Center (SDDC). NSX propose un modèle opérationnel de machines virtuelles pour le réseau dans son ensemble. Associé au Software Defined Network, VMware peut répondre à la demande croissante de l’utilisation de Terminaux Personnels ainsi qu'aux réseaux virtuels.

La popularité de VMware augmente lorsque la Société prend l’engagement (pieux) d’arriver à la neutralité carbone et à une utilisation d’énergie renouvelable à 100 % pour ses opérations internationales d'ici 2030. Les objectifs de VMware soutiennent la mission de l’entreprise de représenter une force motrice dans le monde et d’apporter à la société, à l’environnement et à l’économie mondiale une contribution supérieure à sa consommation. Citrix lance "XenAp" en 2008 avec Xen (Open source mais dont l'utilisation est en berne) et XenServer. Après l'achat des codes sources de Windows, XenCenter avec Citrix hypervisor 8.2 voient le jour. Pendant ce temps, VMware amméliore son produit et ses offres de services.

Principes du SDN

Le SDN (Software-Defined Networking) est un ensemble visant à faciliter l’architecture, la livraison de services réseaux de manière ciblé et dynamique. Il peut être déployé à grande échelle. L’Open Networking Foundation définit le SDN comme étant une architecture qui sépare le plan de contrôle du plan de données. Il est possible d'unifier les plans de contrôle de plusieurs périphériques dans un seul software de contrôle externe appelé " Contrôleur". Celui çi voit le réseau dans sa totalité pour gérer l’infrastructure via des interfaces de communication. Le contrôleur se soustrait de la couche physique pour que les applications puissent communiquer via la programation réseau.

Le SDN et ses 5 caractéristiques :

- Séparation du plan de données et du plan de contrôle.
- Périphériques simplifiés.
- Contrôle centralisé.
- Automatisation du réseau et virtualisation.
- Open source.

Architecture

Le réseau SDN est composé de 3 couches communiquant entre elles par le biais d’API en démarrant par la couche basse:

• L'infrastructure : On y se trouve les périphériques qui contiennent les plans de données du réseau. Autrement dit, les switchs SDN responsables de l’acheminement du trafic.

• Le contrôle : Elle se base sur le contrôleur SDN, il contrôle le plan de données de façon réactive ou proactive en insérant les différentes politiques de transfert. Cette partie est le centre du réseau et englobe la plupart des opérations de calcul.

• Applicative : Héberge les applications qui permettant d’exploiter les avantages qu’apporte l’architecture, en introduisant de nouvelles fonctionnalités réseaux. Dans cette disposition l’application communique les décisions et politiques de routage au contrôleur, qui a son tour traduit ces décisions pour programmer les équipements appropriés. Les dispositifs de transmission comparent ensuite l’entête des paquets avec les tables de flux pour ensuite effectuer les actions prédéfinies dans les tables.

L’architecture SDN est définie par trois abstractions :

- La transmission : Permet aux applications de programmer et de prendre les décisions concernant le réseau sans pour autant connaitre les détails de l’infrastructure physique. Ceci est achevé à travers l’usage de protocoles ouvert et standardisé pour la communication avec les équipements réseau.

- La distribution : Elle est implémentée par le contrôleur et est essentiellement responsable de deux taches. La première est d’insérer les règles de transfert dans les switchs. La seconde est de récupérer les informations de la couche inférieure, pour informer les applications de l’état de celle-ci, pour pouvoir former une vue globale du réseau.

- La spécification : Permet aux applications d’exprimer le comportement désiré du réseau sans en être directement responsable.
(principaux acteurs de cette architecture).

Le switch SDN

On s'accorde pour que tous les équipements de transmission SDN sont appelés switch. Dans ce jargon le terme switch est attribué à tout équipement de transmission qui compare l’entête des paquets aux tables de flux, que la comparaison se fasse à base d’adresses MAC (Couche 2), d’adresses IP (Couche 3) ou une combinaison de plusieurs champs. La terminologie de switch a été adoptée en référence à l’unique tache de ces équipements qui est la transmission.

Un switch SDN est composé d’une API qui permet de communiquer avec le contrôleur, une couche d’abstraction qui consiste en un pipeline de tables de flux et une fonction de traitement de paquets.

Les fonctionnalités du SDN

Les tables de flux sont un élément fondamental du fonctionnement de switch SDN, elles sont composées d’un nombre d’entrées de flux, lesquelles consistent en deux composantes principales :

- Champs de correspondance : Ils sont utilisés par ordre de priorités pour être comparés aux entêtes des paquets entrants, le premier champ correspondant est directement sélectionné.

- Les Actions : Ce sont les instructions qui doivent être exécutés si une correspondance entre un paquet entrant et l’entrée pour laquelle ces actions sont spécifiées. La logique du traitement de paquets consiste en un nombre de mécanismes qui se mettent en actions en fonction du résultat de l’évaluation de l’entête du paquet et la correspondance de priorité la plus haute. Lorsqu’une correspondance est trouvée, le paquet est traité localement dans le switch, à moins qu’il soit explicitement envoyé au contrôleur. Si aucune correspondance n’est trouvée, une copie du paquet est envoyée au contrôleur qui devra décider quoi en faire, et éventuellement mettre à jour la table de flux pour l’y introduire comme entrée.

On distingue 2 types de switchs SDN :

• Le switch SDN logiciel (virtuel): C’est le moyen le plus simple pour créer un équipement SDN. Les tables de flux, les entrées et les champs de correspondance sont facilement implémentés dans les structures de données d’un software. Ce modèle est plus lent et moins efficace car il ne bénéficie pas directement d’accélération hardware, mais présente l’avantage d’être plus flexible et plus riche dans les actions disponibles. Il supporte un nombre d’entrées beaucoup plus important. Les switchs logiciels sont très présents dans les environnements virtualités et sont généralement crées en Open Source.

• Le switch SDN matériel : Ces implémentations sont plus rapides et sont la seul possibilité pour un environnement très haut débit (100Gbs). Pour transcrire les différentes entrées de flux et leur composantes dans les switchs on a opté pour l’utilisation de hardware spécialisé, pour le traitement de couche 2 on utilise les Content-Addressable Memories et pour la couche 3 les Ternary Content-addressable Memories. Ces switchs sont adaptés aux data center et au cœur du réseau.

Le contrôleur

Le rôle du plan de contrôle est de contrôler et de gérer les équipements de l’infrastructure et de les relier avec les applications. Il est composé d’un ou de plusieurs contrôleurs et est considéré comme système d’exploitation du réseau. Les premières versions du SDN présentaient un plan de contrôle composé d’un seul contrôleur centralisé. Par la suite des architectures distribuées utilisant plusieurs contrôleurs ont été proposées pour améliorer les performances et la scalabilité du réseau. Les performances des contrôleurs SDN sont caractérisés par le débit et la latence.

Afin de pouvoir interagir avec le réseau, le contrôleur a besoin d’une vue précise de ce dernier. la base NIB (Network Information Base) est déterminante. Cette NIB est construite au niveau du contrôleur et permet à ce dernier de savoir comment implémenter chaque ordre abstrait, trouver les équipements qui doivent être reconfigurés, s’assurer de la capacité de ces derniers à implémenter une directive avec les API supportées par l’équipement.

Le Software-Defined Data Center

le SDDC propose un modèle opérationnel de machines virtuelles pour le réseau dans son ensemble. Associé au Software Defined Network, plusieurs cartes physiques par hyperviseur permettront de créer des périphériques virtuels. Lorsque vous créez un SD-WAN il est géré par le contrôleur. Il deviendra possible via l'interface centralisée comme vCenter d'administrer les environnements vSphere, voir d'ajouter à la topologie des VLANs avec les protocoles STP, RSTP, PVST+ pour consolider en continu, la segmentation et l'équilibrage. La disponibilité et la sécurité de l'infrastructure est renforcée. La virtualisation des serveurs associée à l'offre des services multi-cloud permettent de créer des infrastructures de gestion centralisées et d'émuler les topologies réseaux pour contrôler le transfert des flux de données pour les environnements complexes entre les "composants réseaux". Vous pouvez gérer votre réseau, allouer de la bande passante, répartir et équilibrer les charges, relier vos sites distants, créer des noeud de secours, assurer les sauvegardes pour faire face à un arrêt de services et restaurer votre environnement à chaud. Les liens vers un fournisseur de service et l'interface de gestion permettent de béneficier de plusieurs fonctionnalités ; l'accès aux services réseau avec SDN, l'accés à vos sites et succursales distantes.

NSX+ et vSphere propose une nouvelle offre SaaS pour la gestion et le déploiement de services de réseau, de sécurité et d’équilibrage de charge avancé. Depuis plus de 15 ans et l'apparition des SDN et SD-WAN, il ne s'agit plus d'innovation, mais d'une métamorphose du secteur des réseaux et télécommunications.

Cluster ESXi, vCenter, vMotion et vDS "vSphere Distribute Switch".

La virtualisation des fonctionnalités réseaux avec NFV ou Network Fonctionning Virtualisation désigne le remplacement des "appliances réseaux" ou matériels réseaux par des composants applicatifs virtuels qui exécutent les processus sous le contrôle de l'hyperviseur ESX. Le Software Defined Networking ou SDN de Cisco est un réseau défini par logiciel qui consiste à séparer la couche de gestion des flux de la couche de gestion de l'infrastructure (Le plan de contrôle et le plan de données). L'objectif de cette dissociation est de créer un réseau centralisé et programmable. Cette "couche" utilise des composants et plateformes virtuelles de gestion indiquée ci-dessus.

Pour le multi-Cloud VMware NSX perrmet d'assurer la sécurité des transferts de flux avec des stratégies entre vos sites locaux, distants, VPC que vous pouvez répartir.

la virtualisation du réseau (NV Network Virtual), Network functions virtualization (NFV) et Réseau Défini par Logiciel (SDN) ou Software Defined Network.

Les approches (SDN, NFV, NV) reposent sur la virtualisation et l'abstraction du réseau. En revanche, leurs manières de séparer les fonctions et de dissocier les ressources diffèrent. SDN sépare les fonctions de mise en réseau des fonctions de contrôle du réseau, dans le but de centraliser la gestion et la programmation du réseau. NFV permet de dissocier les fonctions réseau du matériel. Elle fournit l'infrastructure sur laquelle la SDN s'exécute. La "Fabrique Ethernet" sous entend des réseaux soumis à la technologie Ethernet, composé d'un ensemble de câbles de catégories récente, d'un routeur et d'un ou plusieurs switchs en fonction de vos objectifs. Vous pouvez associer NFV et SDN sur du matériel standard. Avec ces deux approches, vous pourrez créer une architecture réseau flexible, programmable, redondante et sécuirisé pour gérer plus éfficacement les ressources de manière centralisée.

Le SDN (Software Defined Network)

SDN Part-1

SDN Part-2

Le SD-WAN permet à l'aide de l'interface 'GUI' d'équilibrer les charges réseau, de créer des jobs de sauvegarde en planifiant les tâches au moment ou le réseau est le moins sollicité ou d'utiliser un "noeud" dédié à l'aide de votre serveur de management (contrôler + Pare-feu). Ce contrôleur permet de basculer les accès aux sites distants, de superviser les tâches de monitorer la sécurité ou de sauvegarder en sélectionnant au choix, l'accès au FAI réseau dont dépendera le niveau de débit (ex: 1Gbps et 100Mbs) tout en préservant la sécurité avec votre pare-feu "FortiGate, ASA, Storefront, etc." Cela afin d'assurer une redondance d'accès, ou en cas d'arrêt de services, de basculer d'un Fournisseur à l'autre. Cela vous permettra de "dispatcher" les besoins en bande passante en fonction de la demande à l'aide du GUI (Graphical User Interface) contrairement à la CLI plus complexe (Command Line Interface). La question comme avec Citrix c'est l'utilisation d'un agent ou comme c'est le cas actuellement d'une API de communication avec SSL pour gérer le réseau et ses composants.

Agent ou API (Application programming interface) et interface applicative

SD WAN fournit une sélection de raccordements possibles programables couplés à la sécurité des VPN et pare-feux.

La mise en œuvre d'un SD-WAN comprend :

• La gestion centralisée de la configuration
• La créaton et la gestion "automatique" de la topologie réseau, des droits et des accès
• Répartition du trafic
• Supervision via l'interface centralisée.

Interface virtuelle de gestion commutateur avec SVI et Inter-VLANs

La convergence des réseaux informatiques est contrôlée à la fois par les routeurs et les commutateurs du réseau. L'objectif fondamental de la création d'un réseau informatique est de partager des ressources et d'offrir une communication entre les hôtes. Le Switch Virtual Interface ou SVI représente une interface logique entre les fonctions de "bridging ou ponts", de Vlans et de routage. Le commutateur doit être de couche 3 pour que la configuration soit possible. Avec SVI des membres pourront avoir accès via des ports physiques; direct port channels ou virtuel port channels. Une interface SVI est une interface virtuelle configurée dans un commutateur multicouche à savoir de niveaux 2 et 3. Une interface SVI peut être créée pour chaque VLAN existant sur le commutateur. Une interface SVI est considérée comme virtuelle, car aucun port physique n'est dédié à l'interface. Elle peut assurer les mêmes fonctions pour le VLAN qu'une interface de routeur et peut être configurée à peu près de la même manière (adresse IP, listes de contrôle d'accès d'entrée et de sortie, etc.). L'interface SVI du VLAN assure le traitement de couche 3 des paquets vers ou depuis tous les ports de commutateur associés à ce VLAN.

L’interface VLAN de gestion et de commutation (SVI) correspond aux interfaces physiques appartenant à ce VLAN pour le joindre en IPv4 à des fins de raccord et de gestion (SSH, HTTPS, SNMP). Comme tout périphérique joignable sur le réseau, le commutateur doit posséder une adresse IPv4, un masque de sous réseau correspondant et une IP de passerelle.

fonction sur un VLAN à partir d'un périphérique.

L'exemple de configuration présenté ci-dessous suppose que vous savez déjà comment effectuer la configuration de base du commutateur, comme la modification des noms d'hôte, le passage en mode de configuration globale, le mode de configuration d'interface et l'attribution d'une adresse IP sur une interface.

La première ligne de l'exemple ci-dessus crée le VLAN 10 de couche 2. La ligne suivante crée un SVI pour le VLAN 10 (c'est-à-dire l'interface de couche 3). Bien que la troisième ligne soit facultatrice, il est recommandé d'ajouter une description pour l'interface qui aidera à comprendre l'objectif du SVI. La dernière ligne attribue une adresse IP sur le SVI créé pour le VLAN 10. Les accès SVI sont créés pour les postes de travail via le VLAN 10, comme indiqué dans l'exemple.

Raccorder les VLAN sur le coeur du réseau, afin que le commutateur se comporte comme un routeur pour la fonction Inter VLAN. Cela rend les VLANs plus flexibles pour les environnements réseaux complexes avec l'utilisation de l'interface SVI. Les switchs peuvent alors acheminer les paquets de données entre les VLAN sur plusieurs sites sans nécessiter l'utilisation d'un routeur physique ce qui simplifie la topologie du réseau et permet d'économiser les coûts associés à l'achat de routeurs afin de raccorder les VLANs entre un site principal vers des sites distants.

Switch Virtual Interface (SVI)-Gestion d'un commutateur Layer 3 pour le gestion et les connexions entre Vlans

Fonctionnement et configuration de la commutation de couche 3 => Lire sur le site de Cisco

RESEAUX, SOUS-RESEAUX, VLAN, COMMUTATION-ROUTAGE INTER-VLAN

Adressage Mac, protocole ARP, adresses IP...

Ce shéma qui montre comment créer des sous réseau et des Vlans pour chaque cible réseau:
De Internet aux routeur, puis aux switchs qui permettront de créer des VLAN par type de serveurs, postes client par types d'organisations, connexions Wifi, VoIP, les accès à internet des smartphones par le Wifi ou pour les postes nomades et la nécessité de créer des accès distants sécurisés (VPN) sur un serveur dédié à cet usage, etc.

empty

IP publiques, privées, IPv4-v6, NAT-PAT et DHCP

Sous réseaux ou VLAN ? (en anglais).

Introduction aux VLAN

 

SPANNING TREE PROTOCOL PERMET DE RENFORCER LA SECURITE, LA SCALABILITE ET L'EQUILIBRAGE.

Comprendre le protocole Spanning tree et trunk

Le protocole Spanning Tree (STP) (IEEE 802.1D) est principalement utilisé pour empêcher les effets indésirables des boucles réseau, en plaçant certains ports dans un état de blocage. Lorsque la diffusions de trame ethernet est trop importante on s'assure que le broadcast ne risque pas de bloquer le réseau et les VLAN.

Un VLAN est un réseau virtuel ou Virtual LAN, incrémenté par le protocole STP sur un commutateur de niveau 2-3 et qui permet de ségmenter ou de compartimenter le réseau pour assurer un équilibrage des charges réseaux et une redondance entre les VLANs. Avec le Per Vlan Spanning Tree PLus l'élection d'un Root Bridge s'éffectue pour savoir quel port du commutateur deviendra le port Bridge via son BID qui signifie "Bridge Identifier". L'élection du port Bridge s'effectue avec l'échange de trames en quelques secondes et permet aux switches de garder une trace des changements sur le réseau afin d’activer ou de désactiver les ports requis. STP utilise des BPDU ou "Bridge Protocol Data Unit" pour communiquer avec les autres VLANs et forcer certains ports à entrer dans un état bloqué. Cela est indispensable afin qu’il n'existe pas plusieurs chemins d’un point à un autre ce qui génererait des conflits de ports. Si un problème apparaît sur l’un des segments du réseau, alors le protocole STP réactive le port bloqué, pour que les paquets puissent passer par un nouveau chemin unique via un nouveau port à l'aide du bridge ID ou BID soit un Identifiant de Pont.

 

RESOUDRE LES BOUCLES AVEC SPANNING TREE PROTOCOL

Les boucles vont bloquer vos switch par une une multitude de chemins avec un afflut de broadcast sans sortie (élection possible).

protocol-resolution-de-boucle-et-exploitation

Grâce à ce protocole, il est possible de sécuriser le réseau avec de la redondance en évitant les effets indésirables des boucles réseau, en plaçant certains ports dans un état de blocage. STP utilise des BPDU pour la communication entre les switchs.

Le terme BPDU, qui signifie « Bridge Protocol Data Unit » sont des trames qui sont échangées régulièrement, à peu près environ toutes les 2 secondes, et permettent aux switchs de garder une trace des changements sur le réseau afin d’activer ou de désactiver les ports requis. STP forcent certains ports dans un état bloqué pour pas qu’il existe plusieurs chemins d’un point à un autre. Si un problème arrive sur l’un des segments du réseau, alors le protocole STP réactivera le port bloqué, pour que les paquets puissent passer par un nouveau chemin unique.

spanning-tree-protocol-resolution-de-boucle-et-exploit

L’algorithme spanning-tree procède en plusieurs étapes :

Élection du commutateur racine :

Une topologie sans boucle ressemble à un arbre et à la base de chaque arbre, on trouve ses racines, qu’on peut surnommé « roots ». Dans un réseau commuté, le root bridge, qui signifie commutateur racine, est élu. Chaque switch possède une adresse MAC et un numéro de priorité qu’on peut paramétrer. Ces deux nombres constituant l’identifiant de pont, plus connu sous le nom de BID pour bridge identifier. Le commutateur avec la priorité la plus basse l’emporte, et en cas d’égalité, c’est l’adresse MAC la plus basse qui l’emporte. En général, l’administrateur du réseau fait en sorte que le commutateur racine soit le plus près possible du cœur réseau en modifiant le Bridge ID.

Ensuite il va déterminer les ports racine :

Les autres commutateurs du réseau vont alors déterminer quel est le port qui possède la distance la plus courte vers le commutateur racine.


LoupeCliquez pour agrandir

Pour cela, il se base sur le « coût » de chaque lien utilisé. La valeur du coût dépend de la bande passante du lien. Le "port racine" plus connu sous le nom de "root port", sera celui qui mène le plus directement au commutateur racine. Il ne peut y avoir qu’un root port par commutateur. En cas d’égalité, c’est le port ayant le port ID ou l'adresse MAC la plus faible qui sera élu root port.

Choix des ports désignés :
Pour chaque segment réseau reliant des commutateurs, un « port désigné » qu’on surnomme : designated port " DP", est déterminé. Il s’agit du port relié au segment qui mène le plus directement à la racine.

Bloquage des autres ports :
Les ports qui ne sont ni racine, ni désignés sont bloqués. Un port bloqué peut recevoir des paquets BPDU mais ne peut pas en émettre. En cas de changement de topologie, lorsqu’un lien est coupé ou qu’un commutateur tombe en panne ou bien qu’il est simplement éteint, l’algorithme est exécuté à nouveau et un nouvel arbre est mis en place.

L’algorithme STP procède par phases :

Afin de détecter les boucles, les switchs émettent des messages appelés BPDU, qui signifie "Bridge Protocol Data Units". Les BPDU permettront de découvrir la topologie afin d’élire le Root Bridge. Le Root Bridge est en quelque sorte le switch "maitre" de la topologie Spanning Tree. Une fois le Root Bridge élu, les switchs vont rechercher le meilleur chemin vers le Root Bridge. Les chemins redondants seront désactivés. Les switchs vont chercher le port avec la métrique la plus faible vers le Root Bridge. Ensuite ils vont couper les autres ports.

Première étape

La première étape est donc l’élection d’un commutateur racine en désignant le Bridge ID le plus bas. Initialement, tous les switchs pensent qu’ils sont Bridge ID d'ou la nécessité d'une élection.


LoupeCliquez pour agrandir

Le Bridge ID sera déterminé entre le switch A et B en fonction des BPDU mais le switch A ayant l'adresse MAC la plus faible 00:00:0c:ab:32:74 dera la différence en cas de priorité égale. Lorsque les commutateurs commencent à recevoir des BPDU des autres commutateurs, ils comparent les autres ID racine avec leurs propres valeurs enregistrées. Si la valeur reçue est inférieure à la valeur enregistrée, alors le switch notera qu’il n’est pas élu comme racine et remplacera la valeur enregistrée par la valeur reçue. Il enverra cette info dans ses propres trames BPDU.

Élection du commutateur racine :

Une topologie sans boucle ressemble à des racines, nommé à juste titre "roots". Dans un réseau commuté, le root bridge, qui signifie commutateur racine, est élu. Chaque switch possède une adresse MAC et un numéro de priorité qu’on peut paramétrer. Ces deux nombres constituant l’identifiant de pont, plus connu sous le nom de BID pour bridge identifier. et l'adresse MAC. Le commutateur avec la priorité la plus basse l’emporte et en cas d’égalité, c’est l’adresse MAC la plus basse qui l’emporte. Noter que ce processus est automatique, en cas de défaillance il conviendra d'analyser le trafic et de "troubleshooter" ou de restaurer la sauvegarde du Switch (mais dans le cas d'une restauration cela ne résoudra pas nécessairement le problème) Donc sachez analyser et reproduire un shéma de votre topologie avec Packet Tracer ou mieux GNS3

PVST

- Les BPDU vont permettre de découvrir la topologie avec l'élection d'un Root Bridge.
- Le Root Bridge est en "quelque sorte" l'architecte de la topologie Spanning Tree.
- Une fois le Root Bridge élu via un port Bridge, les switchs vont rechercher le meilleur chemin à l'aide de celui çi.
- Le principe de PVST est que le Root Bridge qui peut subir des re-élections.

Le PVST+ (802.1Q) identifie les paquets transmis par chaque VLAN pour échanger des données avec un tag sur les trames Ethernet. On ajoute alors sur un port prédéfinit un identifiant lié au Vlan, pour savoir quel appareil peut transmettre le trafic et l'attibuer à tel ou tel Vlan. Par le biais d’un seul et même port de Switch et d’un seul et même câble réseau on peut faire transiter des trames Ethernet appartenant à plusieurs VLANs reliés ou non entre eux. On ajoute un identifiant PVID pour le port connecté au VLAN ID. Le VLAN20 afin de faire correspondre via le port émetteur une trame taggé qui communiquera avec les autres VLANs qui auront le même SSID et qui pourront être situés sur d'autres secteurs géographique de l'entreprise. Ce scénario est utile pour ségmenter le réseau en VLAN, pour les cameras sur IP en PoE, la VoIP. Il permet à un port Switch relié à d'autres switchs d'optimiser la VoIP avec un Vlan dédié réparti sur plusieurs étages. Tout ce qui transitera par le port de ce VLAN se verra attibuer le même SSID. Le mode trunk en Dot1Q ou 802.1Q pour le PVST+ pourra relier les switch entre eux, sur un port relié qui permet l'election du Root Bridge. En mode trunk il existe différents mode de communication par port: Access, dynamic, auto, desirable. Cependant, sous IOS un port Access est un port qui appartient à un seul VLAN. On peut activer “spanning-tree portfast” qui fait passer le port directement à l’état de “forwarding” pour connecter des périphériques de terminaison.

Il en existe plusieurs protocoles créés avec l'évolution technique des besoins.

- Le RSTP, qui signifie Rapid Spanning Tree. C’est l’évolution du STP qui offre une convergence plus rapide. Il redéfinit également les rôles des ports et les coûts de liaison.

- Le PVST et PVST+ , qui signifie, "Per Vlan Spanning tree" et "Per Vlan Spanning Tree Plus" permettent de mettre en place un spanning tree différent par vlan.
Le principe : il y a un Root Bridge par VLAN. Ce qui fait que tous les liens seront utilisés, mais pas par les mêmes VLAN. cela permet à la charge d'être mieux répartie.

- Le Rapid-PVST+ est une amélioration de ceux vus précédemment.

- Le MSTP, qui signifie Multiple Spanning Tree Protocol, qui est une extension du Rapid spanning tree dans laquelle une instance de celui-ci existe par groupe de VLAN. Par défaut sur les switchs Cisco, PVST+ est activé sur tous les ports. Même s’il a une convergence beaucoup plus lente, après un changement de topologie, le Rapid PVST nécessite moins de CPU et de ressources mémoires pour calculer le chemin le plus court accordé à chaque VLAN.

Actuellement et sur les commutateurs Cisco récents c'est le PVST + ou "Per VLAN Spanning Tree Plus" le plus courament utilisé. Plusieurs arborescences couvrent le réseau (une par VLAN). Ce qui permet un partage des charges efficace et une meilleur redondance que dans du spanning tree classique. un Root Bridge sera élu pour chaque VLAN afin de simplifier en cas de concurence la selection du Root port en fonction de l'adresse Mac la plus basse. De cette façon, le réseau est encore plus redondant et équilibré. Un champ, comporte l’identifiant du vlan qui vient s’ajouter au bridge id (BID) calculé entre la priorité du BDPU et l'adresse MAC la plus basse. De cette façon, sur le switch à chaque VLAN ID peut être assigné un "Tag". S’il s’agit du vlan 2, le tague 2 sera attribué au port ID du Vlan qui permettra de relier les VLANs entre eux. Les ports sur lesquels le trafic de plusieurs VLAN sera transmis vers ou depuis d'autres switchs compatibles devront être étiquetés d'un "tagged" (T) ou seront "Untagged" (U).


LoupeCliquez pour agrandir

Comment le spanning-tree travaille t'il ?

Fonctionnement de Spanning Tree Protocole

Per vlan spanning tree plus (PVST+) STP: History, Modes and Standards

Intro VLANs 802.1Q et configuration des ports

Switch avec VLAN mode 802.1Q et types ports.

Création des ports trunk

Par défaut, un port physique d’un commutateur Cisco est un “switchport”, un port de commutation. Il est configuré par défaut comme un lien trunk dans le mode “dynamic auto”. En revanche en mode opérationnel il est en mode “Access”. Il est associé au VLAN1 (le Vlan par défaut). S’il devait être monté en trunk, le VLAN natif serait le VLAN1 et l’encapsulation “Trunk” serait négociée par DTP. Un port dynamique est un port en mode “Access” ou qui se montera en port “trunk”. En fonction des messages Dynamic Trunk Protocol (DTP, protocole propriétaire à Cisco) reçus par l’interface. A noter que les ports sur lesquels le trafic de plusieurs VLAN est transmis vers ou depuis d'autres périphériques compatibles 802.1Q lorsqu'ils sont étiquetés par un tag "T", sont associés à des ports trunk.


LoupeCliquez pour agrandir

Routage Inter-VLAN

Comprendre DTP (Dynamic Trunking Protocol)

DTP ou Dynamic Trunking Protocol est comme ISL se sont des protocoles propriétaires à Cisco. Il permet de configurer dynamiquement les deux ports d’une liaison trunk (ISL ou 802.1Q)
Mettre un port en mode dynamic :

Si le port d’en face est configuré en mode manuel, il va se mettre dans le même mode.

Il existe deux modes dynamic :
1. Auto : Le port va se mettre en mode trunk si l’autre port de la liaison lui demande. Si le port d’en face est en mode trunk ou "dynamic desirable", les deux ports de cette liaison seront en mode trunk.

Dans le cas contraire, les deux ports seront en mode "Access", soit :
2. Desirable : Le port va essayer activement de mettre cette liaison en mode trunk. Si le port d’en face est en mode trunk , dynamic auto ou dynamic desirable, les deux ports de cette liaison seront en mode trunk. Dans le cas contraire, les deux ports seront en mode Access.


LoupeCliquez pour agrandir

DTP est configuré sur le mode Trunk par défaut en “dynamic auto” mais il est en mode opérationnel en mode “access” et reste associé au VLAN par défaut (en général le VLAN 1). S’il devait être monté en trunk, le VLAN natif serait le VLAN1 et l’encapsulation du mode “trunk” serait négociée par DTP. Un port dynamique est un port qui restera un port “access” ou qui se montera en port “trunk” en fonction des "messages" Dynamic Trunk Protocol (DTP, protocole propriétaire Cisco) reçus par l’interface.

DTP Dynamic trunking protocol

Rétablir la négociation de l’encapsulation sur le “trunk”

Pour rétablir la négociation de l’encapsulation (via DTP) : Il peut être utile de paramétrer VTP ou "Virtual Trunking Protocol" qui est propriétaire à Cisco si vous voulez maintenir la base de données des VLANs sur plusieurs commutateurs de même facture et de manière cohérente. Attention à ne pas configurer VTP dans un environnement de production car cela nécessite de flasher la base des VLANs et ne permet pas de configurer les ports de manière centralisée !

Pratiques de sécurité à prendre en compte:

Comprendre VTP ou Virtual Trunking Protocol

Sur les appareils Cisco, VTP (VLAN Trunking Protocol) est un protocole propriétaire à Cisco. Il maintient la cohérence de la configuration des VLAN sur un seul réseau de couche 2. VTP utilise des trames de couche 2 (basées sur les adresses MAC) pour gérer l'ajout, la suppression et le renommage des VLAN en mode VTP. VTP assure entre autre la synchronisation des informations entre VLAN et réduit le besoin de configurer les mêmes informations sur chaque commutateur. Cela réduit la possibilité d'incohérences de configuration qui surviennent lorsque des modifications sont apportées.

VTP Virtual trunking protocol

VTP offre les avantages suivants :

Cohérence de la configuration VLAN sur le réseau de couche 2
Distribution dynamique des VLAN ajoutés sur le réseau
Configuration plug-and-play lors de l'ajout de nouveaux VLAN

Par défaut, la trame Ethernet fait 1518 octets. Lorsque cette même trame passe sur un lien 802.1Q, elle fait 1522 octets du fait de l’ajout de 'tag" pour VLAN auquel elle appartient. Il est possible depuis quelques années d’utiliser des trames Ethernet dites jumbo, des trames ayant une taille de 9k soit l’équivalent de 6 trames Ethernet traditionnelles. Dans la mesure où le réseau le supporte, et peut gérer la congestion que cela peut provoquer, activer le jumbo frames sur le stockage permet d’augmenter de manière significative la bande passante. Les performances sont augmentées de 10 à 20 %. Cependant lorsque 2 commutateurs de même marque sont connectés en mode VTP il est possible pour préserver de la bande passante et de désactiver DTP (Dynamic trunking protocol de Cisco). Mais cela dépend de votre architecture réseau et de la compatibilité des configurations et des matériels. Changer la taille des trames signifie de bien connaitre l'architecture et les composants réseaux utilisés, sinon un phénomène de congestion risque d'apparaître et vous ne pourrez plus vous connecter aux principaux équipements, voir ne plus vous connectez du tout. Prenez la décision le changer MTU soit 1500 (Maximun Transfert Unit ou la taille de paquet maximale en octets transmise sur les réseaux sous-jacent. Voyez avec votre Admin réseau pour changer la taille au dessous ou au delà de 1500 sur une carte réseau et faite le que si on vous le recommande...

 

MODE TRUNK PVST+ 802.1Q

Permet de:
- Segmenter le réseau sur votre domaine pour relier Vlans et les services entre eux,
- S'assurer que seuls les VLAN qui émettent communiquent entre Vlans homologues et choisis, puisque taggés:
Vlan10 vers Vlan10, Vlan12->Vlan12, VLan20->VLan20, Vlan10 taggé ->Vlan10 et Vlan20, etc.
- Sécurise votre réseau en répartissant les connexions par services internes de l'entreprise

Pour que différents VLANs communiquent entre eux sur différents sites, le routage Inter-Vlan's est nécessaire.
Le routage peut être assuré par un routeur ou un commutateur de niveau 3.

On utilise principalement ISL et 802.1Q pour créer un lien Trunk: Le protocole ISL pour "Inter-Switch Link" propriétaire à Cisco, remplacé dans le temps par le protocole 802.1Q normalisé IEEE pour créer et uniformiser le principe de trunk.

Le mode trunk 802.1Q

VLANs 802.1Q et ports taggés (tagged ports)

Optimisation de Spanning Tree Protocole PVST Plus ou "Per Vlan Spanning Tree Plus"

Fonctionnent du Per Vlan Spanning-Tree + (PVST+)

Configuration de Per Vlan Spanning-Tree + (PVST+)

Exemple pour réseau d'entreprise et domotique

Configuration de la fonction "Router-on-A-Stick"

Sécurisation des switchs STP type de port Access

Réseau virtuel Software Defined Network

VMWare et réseau virtuel

Gestion configuration des interfaces réseau sur ESXi

vSwitch et vSphere 6.7

Voir sur SD-Access et DNA Center de Cisco

 

SECURISER LES ACCES AUX SWITCHS

Recupérer la sauvegarde de la configuration d'un switch et flasher l'iOS

Utiliser TFTP serveur pour sauvegarder d'IOS et transferer la config.dat

L'approche matérielle et logicielle intégré (Cisco ACI) permet d'être utilisée dans les datacenters pour les clients qui veulent des solutions réseaux plus flexibles et plus facilement securisées que des architectures réseaux traditionnelles. Le SDN peut également se décliner en sous-catégories, LAN pour Réseau local comme le réseau étendu WAN (Wide Area Network) défini par logiciel. Le SDN avec d'autres approches telles que NFV ou NSX peuvent également servir à segmenter et accroître la sécurité.

NSX+

 

DEPLOIEMENT DE SERVICE POUR INFRASTRUCTURES LOCALE OU CLOUD

Le stackwize le cloud et le SDN

Socket et Python

NAS et SAN

Mini PC avec Open Media Vault pour NAS local

Déployer le loadbalancer F5 sur AWS en utilisant Terraform et VAULT avec un compte créé via les polices de sécurité

Manager Vault avec Terraform

AWS automation avec Ansible en 3 parties (part1)

Introduction à Ansible

Avec la virtualisation des systèmes et applications pour terminaux mobiles et les services Cloud: Software as a Service, Platform as a Service, Infrastructure as a Service vous pouvez bénéficier de possibilités bien plus étendues. L'intêret de la virtualisation et du Cloud sont largement développé sur Internet. Nous pouvons citer; le stockage, la gestion des services, la redondance de l'architecture, l'accès au socle applicatif; Middleware, groupware, partages. Pour l'exemple, nous utilisons chaque jour avec notre smartphone le SaaS pour la sécurité et le FRP (Factory Reset Protection) lié à votre ID d'utilisateur Google. Factory Reset Protection (FRP) est une fonction de sécurité des appareils Android qui empêche l'utilisation de l'appareil si ses paramètres d'usine sont restaurés sans autorisation Google. Comme pour le VDI qui assure un déport d'affichage avec un module web ou un agent qui permettent d'utiliser une connexion sécurisé avec Certificat puis chiffré via un VPN. Vous pouvez travailler comme çi vous étiez au bureau à la condition d'utiliser votre ID et mdp de session et en complément, l'identifiants de la connexion VPN sécurisée. La concurrence ne manque pas dans ce domaine. La plupart des utilisateurs de VDI ont recours à HDX, au protocole RDP, RemoteFX de Microsoft ou encore PCoIP.

Une entreprise qui souscrit un abonnement via WMWare auprès d’Amazon (AWS), avec l'exemple de services qui stockent et gèrent vos données personnelles en SaaS, ne paie "en principe" que les fonctionalités et la consommation réelle. Un engagement qui doit être nuancé... Si vous êtes en quête d'une solutions plus accéssible, vous aurez plutôt intérêt à privilégier les offres de "brokers" financièrement plus intessantes. L'analyse des coûts avec un Retour sur Investissement avantageux offre plus de souplesse sur une offre SaaS.
En revanche, la facturation de IaaS ou de Paas pour la virtualisation et la gestion de VPS, VM, stockage, avec la charge des processeurs, des temps d'utilisation des scripts d'automatisation, ou les échanges et la duplication des données réseaux, imposent de bien comprendre la manière dont sont facturés les servives Cloud. Les offres plus anciennes comme celle de "Palo Alto" ou VMware propose le SD-WAN avec l'accès à une interface permettant de bénéficier d'un tableau de bord pour vérifier la santé des terminaux, les applications, le réseaux et ses politiques de sécurité. Grâce à cette interface et aux possibilités qu'elle offre sur le réseau, les administrateurs peuvent isoler les problèmes rapidement pour par exemple des solutions de gestion de services IT (IT Service Management ou ITSM) afin d'automatiser le processus de gestion des incidents de bout en bout et de la CMDB.

Il est donc particulièrement utile de bien comprendre la manière dont fonctionnent et dont sont facturés les services Cloud. Vous devez respecter les codes de bonnes pratiques et quant à votre fournisseur, il s'engage contractuellement à respecter le RGPD. Il semble, malgré les efforts faits dans ce sens que certains aspects que proposent les hébergeurs de Cloud ne soient pas encore totalement établis tant la répartition des données est sensible. Lorsque par exemple, votre espace de stockage se trouve à l'étranger. Vous devez à ce titre, localiser vos données au plus près de votre situation géographique et votre fournisseur de Cloud doit vous assurer que les données personnelles de l'entreprise ne seront pas dupliquées vers un autre continent. Cela concerne en particulier le Cloud hybride, le plus utilisé pour son accessibilité, la duplication et la sécurité des données. Pour limiter les risques juridiques, le choix de la géocalisation doit être correctement définit car celui-çi repose, sur la disponibilité des données de l'entreprise et de l’utilisateur. Parfois, ces données qui peuvent être stockées chez un fournisseur de Cloud transitent par un sous-traitant, pour des raisons de coûts. Si l'infrastructure de stockage est dupliquée pour causes géographique, il conviendra de bien prendre en compte les enjeux juridiques de vos choix, pour les raisons mentionnées. Si vos moyens sont limités, préférez un fournisseur de Cloud hybride situé dans l'espace Européen.

Mieux comprendre la métamorphose actuelle et les enjeux futurs du numérique

Plus sécurisé, basé sur des connexions privés virtuelles chiffrées, la mise en oeuvre du SD-WAN avec VLAN dans des centres de collocation permet au personnel de succursales d'accéder en toute transparence et en toute sécurité aux applications et aux données qui résident sur le Cloud AWS, Azure, Google, etc. Les Sociétés se tournent vers ces nouvelles solutions pour continuer à répondre aux exigences imposés par les avancés technologiques et optimiser le retour sur investissement. Le marché du SD-WAN plus facile à aborder que MPLS, simplifie la vision et la gestion de votre réseau pour mieux s'adapter à vos besoins et aux attentes de vos clients. Que vous soyez une Entreprise internationale, une PME ou TPE ou une association différentes solutions s'offrent à vous.

Des réponses aux besoins en constante évolution

Avec un bon suivi, associé à la redondance, à l'équilibrage ou aux fermes de serveurs (datacenter ou centres de données), à la virtualisation et aux accès réseau SD-WAN, il devient possible d'optimiser la disponibilité, même pour les services les plus exposés. L'évolution des disques SCSI, SATA, SD et des connexions rapides du type Giga Ethernet, Fibre channel, pour architecures virtualisés, les instantanés effectués à partir d'un environnement virtuel avec VPS sont plus faciles à exécuter. Le processus d'équilibrage et de répartition des charges devient plus souple à éffectuer. Il en va de même pour la volumétrie du stockage avec la fibre et le iSCSI plus abordable. Les PRA (Plans de Reprise d'Activité) ne représentent plus un défi. Donc, à moins de bénéficier d'une infrastructure redondante, partiellement ou totalement virtualisée et de basculer d'une unité LUN (groupement de baies) à une autre dans un environnement hybride est optimisée. Les procédures de sauvegarde-restauration deviennent avec la virtualisation bare metal plus efficaces sur le Cloud ainsi que sur un serveur local à chaud ou sur un environnement hybride.

Le Cloud avec les évolutions des services permet avec le Desktop as a Service de déporter les applicatifs avec un accès sécurisé vers votre bureau. Citrix utilise XenAp et "Receiver" qui est un plugin permettant de se connecter à l'interface du serveur Web qui intègre les applications ou il est possible de se connecter via le module Citrix actuel "Secure Access" (historiquement agent ICA) pour un accès direct au profil itinérant de l'utilisateur. Il devient alors possible dans la mesure ou la sécurité est bien respectée, de se partager le travail à l'aide d'un Groupe de travail. Vous pouvez implémenter un Groupware Microsoft SharePoint sur IIS et SQL serveur qui permettra de mettre à disposition des utilisateurs une plateforme applicative pour collaborer avec Office 360 et travailler à distance (en mode connecté ou déconnecté). Vous devrez choisir le "service" Cloud à utiliser (hybride, public ou privé). Avec le VDI pour Virtual Desktop Interface, vos applicatifs sont accéssibles à distance pour être utilisées via le profile érrant de votre PC. Microsoft a déjà commencé à déployer son service Office 365, qui propose des ordinateurs personnels virtuels fonctionnant sous Windows 10-11 et la couche de virtualisation. Le service vous donne accès à un ordinateur Windows virtuel avec l'OS de votre choix, qui fonctionne exactement comme un ordinateur physique. En tant que client ou machine virtuelle vous accédez aux applications qui par analogie sont "streamées" sur votre PC. Lorsque vous ouvrez Sharepoint pour collaborer avec Office 365 ou toutes autres applications vous le ferez à partir du serveur virtuel distant et vous pourrez travailler à plusieurs sur un planning ou un ordonnanceur. Avec le Software Define Networking, les serveurs, mais aussi composants ou périphériques réseaux sont externalisés et cela donne une vision nouvelle du réseau qui peut s'avérer très riche en informations et apparaître bien plus complet. Les lignes de commandes ou CLI (Command Line Interface) comme la GUI (Graphical User Interface) restent cependant importantes, voire éssentielles à connaitre...

Cependant, vous devrez comme tous bons techniciens, aborder les nouveautés et leur évolution (Routage, réseau commuté, pare-feux, ACL's, virtualisation, VLAN, VPN, SDN et SD-WAN) et redoubler d'efforts pour comprendre les technologies qui se développent actuellement.

Le On-Premise conçu pour l'hybride

De plus en plus, les systèmes "on-premise" sont conçus pour le cloud hybride (Infrastructure hébergée et maintenue par l'informatique de l'entreprise avec les services "sensibles" externalisés sur le Cloud). SQL Server 2016 construit un Cloud directement dans le serveur, et un nombre croissant de services "d'orchestration" font au plus simple pour migrer les machines virtuelles dans le cloud quand vous avez besoin de plus de capacité.

Si vous utilisez l'appliance de stockage StorSimple de Microsoft, vous obtenez un réseau de stockage "infini". Il ressemble à un SAN pour votre infrastructure sur site, mais de la même manière que la déduplication, la compression et la hiérarchisation de vos données, il sauvegarde automatiquement les clichés ou instantanés et les données "froides" sur le cloud de votre choix (Azure, Amazon S3 ou OpenStack). Les données sont chiffrées et vous pouvez vous connecter à l'aide d'ExpressRoute, mais vous déplacez des données vers le cloud sans intervention humaine. Cette automatisation et cette connexion transparente rendent faciles le déplacement des données et des charges de travail vers et à partir du cloud sans que personne ne prenne une décision spécifique à chaque fois. Et cela signifie que vous devez avoir votre politique de sécurité clairement définie à l'avance, et appliquée automatiquement.

LES SERVICES D'INFRASTRUCTURES DU CLOUD

Le cloud public:

Ce type de cloud correspond au modèle de base du cloud computing, déployé le plus couramment. Dans cette typologie, les ressources mises à disposition par votre prestataire ne sont pas accessibles publiquement, mais mutualisées entre plusieurs entreprises qui se partagent l’infrastructure. Le nombre de « locataires » est ici évidemment limité et n’impacte pas les possibilités d’évolution ! Le fournisseur s’occupe alors de gérer les problémes de bande passante, mais surtout de maintenance ou encore de mises à jour afin de garantir qu'il soit opérationnel et accessible, en toute sécurité.

Le cloud privé:

désigne une infrastructure informatique qui est totalement dédiée aux données et applications de votre entreprise. Dans ce modèle techniquement proche d’une infrastructure locale, l’ensemble de vos ressources est hébergé sur vos propres serveurs. Ceux-ci sont alors administrés soit par vos équipes en interne, soit par votre prestataire dans un datacenter externe.

Le cloud hybride:

Le cloud hybride est une troisième possibilités qui permet l’utilisation, soit, mixte des deux clouds en même temps, soit, de vos serveurs locaux hébergeant des services sensibles, pour des raisons de disponibilité ou d'accéssibilité. Ils seront externalisés avec les composants réseaux s'y rattachant sur le Cloud pour vous permettre de répartir ou de basculer de votre environnement local (avec VPS) vers le Cloud. Désengorgez le trafic en cas de latence importante, de broadcasting, voir de saturation se fera, via une adresse et une interface graphique. Le Cloud hybride, permet de mélanger les différentes sortes de cloud; publics ou privés et d’obtenir une version "homogène et centralisé" de l’ensemble. La répartition des coûts d’exploitation et des investissements appliqués à la bande passante et à la disponibilité des ressources seront alors répartie sur-mesure, afin de garantir plus de granularité dans l'utilisation des services.

 

LA VIRTUALISATION ET POSTES CLIENTS

Agent et API (Programing Interface) ?

VMware ThinApp et horyzon, Citrix XenAp proposent aux entreprises des méthodes de déploiements rapides, d'utilisation à distance et de migration simplifiée d’applications due à la portabilité.

Avec l'application ThinApp la création de packages autonomes légers, qui encapsulent un environnement d'exécution entier, comprenant l'application et ses dépendances (bibliothèques, binaires et tout fichier de configuration supplémentaire) est accéssible. Cela en fait une application portable.

Expérience utilisateur, Citrix XenAp vs VMware Horizon View

Citrix installation storefront version 2203 sur DaaS

Installer Citrix Secure Private Access service en local ou sur le Cloud

StorSimple - Présentation de la migration

Amélioration et supervisions

Network performance monitoring with OpManager: https://www.manageengine.com/network-monitoring

 

STOCKAGE ET ENCADREMENT DES FOURNISSEURS

Dans les années 90, le prix du stockage a tellement baissé qu'aujourd’hui, le coût du Gigaoctet sur des disques durs "traditionnels ou mécaniques" de types SATA se situe en fonction de la marque à quelques centimes d'euros le Go. C'est plus cher pour le SCSI, mais cela met le prix d'un disque dur SATA, de bonne facture de 18To à moins de 30€ le Teraoctet, environ. Pour exemple: un disque dur Western Digital Gold SATA de 18To, en 3.5 pouces, avec 6Gb/s (vitesse de bande passante d'interface), 512MB (mémoire EEPROM) est à 549,38€. Mais il faut adapter ces prix à l'offre et au évolutions du marché, les prix mentionnés ici devront être révisés pour ne pas semblés approximatifs. Un disque dur SATA pour particulier de plus petite capacité par exemple un Seagate Exos 7E8 de 3.5' (pouces) de 8To avec une vitesse de rotation du plateau à 7200RPM (rotation minute), 6Gb/s de transfert (bande passante d'interface) et 256MB (mémoire EEPROM) à moins de 200€. En revanche, le prix du Gigaoctet pour les disques SSD S-ATA 3, avait reculé d'environ 30 % entre 2014 et 2016. Sur quatre ans, la baisse avait atteint environ 54%. Actuellement le prix du Go d'un disque SSD Samsung de 500Go est descendu à presque la moitié, soit plus près des 30cts que des 70cts d'euros le Gigaoctet, cela malgré d'importantes disparités en fonction de la capacité, du modèle et de la marque. On annonçait déjà au début de l’année 2023 que les ventes de disques durs SATA avaient chuté de 40 % et cette tendance n’est pas prête de s’arrêter. On pourrait même se diriger vers la disparition des disques durs HDD SATA d’ici peu de temps. La baisse du prix de la mémoire flash NAND et l’augmentation de la capacité du stockage des SSD vont probablement signer l’arrêt de mort des HDD. Ainsi la baisse des prix du stockage bénéficie surtout aux fournisseurs de stockage externalisé et de services Cloud. En revanche le Cloud a un coût et celui-ci se chiffre autant en terme de consommation d'énergie qu'en terme de prix de stockage et de traitement des données. Lire sur 45secondes.fr

En 2022, les disques durs des datacenters pouvaient gérer jusqu'à 26 Térabytes (soit 26.000 Gigabytes) de stockage. Les dispositifs de stockage se sont mis à gérer 6000 Gigabytes de plus, soit 32Terabytes. Avec un tel volume de stockage, les entreprises comme les utilisateurs pourront stocker davantage d'informations. Cela va engendrer des transmissions encore plus importantes, d'ou l'intérêt de la fibre et de l'adoption des antennes 5G pour les fournisseur de téléphonie mobile et d'accès Internet.

Des engagements de baisse des coûts.

Dans un contexte de tiraillement entre,

La nécessité d'être innovant pour anticiper les besoins et déployer des services,

La nécessité d'évoluer tout en assurant la conformité des systèmes,

La nécessité d'optimiser les coûts...

Une amélioration de la productivité.

En optimisant les services d'administration, de support, de supervision via le Cloud

En fournissant des services de retour d'expérience et de qualité (Groupware, workflow),

En sécurisant votre réseau avec la segmentation et les accès sécurisés (VPN, IPSec, SSL-SSH, IDS, SD-WAN, VLAN)

En assurant la mise en oeuvre d'un Plan de Retour d'Activité éprouvé (avec solutions natives ou tièrces pour serveurs physiques et virtuels).

LA CONSOMMATION D'ENERGIE CONTREDIT PAR LA VIRTUALISATION

Une étude de l'Union française de l'électricité (UFE), montrait que la consommation des Centres de Données s'élevait à environ 3TWh en 2015... Soit l'équivalent de la consommation électrique d'une ville comme Lyon. En 2021, la capacité de stockage des centres de données devait être multipliée par 4, selon une Étude de Cisco. Un centre de données "hyperscale" qui dépend souvent d’une architecture de serveurs virtuels doté de plusieurs centaines de m² d'armoires de baies avec disques rackés, est passé de 338 fin 2016 à 628 en 2021 soit près du double en 6 ans. Mais cela correspond seulement à 53% du nombre total des centres de données. Nous sommes tous concernés par ce problème d'énergie qui va augmentant, même s'il cela reste difficile à concretiser pour le commun des mortels. Lire sur le site "fournisseur-energie.com", comment réduire la pollution numérique. Alors qu'on associe bien souvent le Cloud à des engagements de baisse des coûts...

Cependant les critiques du Cloud avancent, "semble t-il", deux arguments de poids; La consommation d'énergie et la facturation de l'usage attribué aux services "hébergés" (avec un risque très faible de perdre "accidentiellement" la gouvernance et la pérénité du traitement de vos données). Raisons pour lesquelles les prestataires insistent pour que vous appliquiez "Les codes de bonnes pratiques et de bonnes conduites". Le choix du prestataire est donc déterminant. Lire le document de la CNIL: Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing.

La dépendance en énergie, phénomène exponentiel et les coûts fixes attribués par les "fournisseurs" dans le Cloud font que le traitement des données pour des applications comme avec SaaS sont facturées à l’usage. Une entreprise qui souscrit un abonnement auprès de fournisseurs tels que Amazon Web Services (AWS), Microsoft (Azure), Google Cloud Platform (GCP), n'appliquent en théorie une facturation que pour la consommation réelle. L'hébergement personnalisé sur mesure, permet de facturer uniquement ce que vous utilisez. Vous n'avez pas besoin de payer pour des ressources supplémentaires, tant que cette nécessité s'impose au bon fonctionnement des services loués. Cela est une promesse qui reste à nuancer au quotidien.

Il convient donc aux entreprises de bien étudier les offres, de bien lire les contrats et de s'en remettre aux fournisseurs pour avoir le plus d'informations techniques et tarifaires, tant pour ce qui concerne les VPS, que les services, ou encore les solutions SD-WAN pour équilibrer les charges réseau. Même si la conccurence est forte il convient de bien étudier les offres de services. Si vous êtes en quête d'une solutions plus personnalisée, d’un accompagnement dans votre projet, vous aurez plutôt intérêt à privilégier un prestataire qui pourra vous faire bénéficier d'un support éfficace. Concernant les offres de "brokers", leurs missions est de proposer les mêmes offres de services mais plus accéssibles "financièrement". Pour chaques modes de Cloud "public, privé ou hybride" un environnement hybride correspondra à une approche plus pragmatique lorsque les entreprises ont investis dans une infrastructure serveurs. Utiliser un Cloud hybride ou privé pour les applications et services indispensables au bon fonctionnement de la société apportera une solution semble t'il plus adapté, car entièrement dédiée.

Lire: L’UFE soutient les recours de la CRE et de RTE contre une décision de l’ACER préjudiciable au consommateur français

* Outils utiles *

Certains outils pour simuler ou émuler une architecture virtuelle (qui ne sont toutefois pas récents) vous permettent de valider la configuration de vos équipements par rapport à un modèle. Un fichier contenant les règles (basées sur les documents de la NSA, de Rob Thomas et de Cisco – voir ci-dessous).

Outils de simulation ou d'émulation: https://www.cisconetsolutions.com/ccna-200-301-lab-training-simulator-or-emulator

Packet tracer en français: https://www.netacad.com/fr/courses/packet-tracer

Open GNS3: https://docs.gns3.com/docs (permet de configurer vos routeurs, Switch, serveurs avec services et dans un environnement réseau vos VLANs)

Lire:

Lire sur le site Cisco; Configurer pour la migration de Spanning Tree de PVST+ vers MST

Lab Spanning Tree et Rapid Spanning Tree de Cisco

Préparer le Certification CCNA sur le site Formip

Voir le site cisco.goffinet.org et reprendre les connaissances de la certification CCNA

Voir: lab de la config initiale d'un commutateur sur goffinet.org

Etudier en ligne la certification réseau Cisco CCNA 200-301

* Références:

Virtualisation de l'infrastructure des postes de travail

Lire: aussi la virtualisation des postes de travail ThinApp de VMware

Lire: VMWare ThinApp

Lire: VMware Horizon View et Citrix Receiver du client léger Wyse Windows Embedded ou "Embarqué"

Lire Déployer Citrix sur Azure VMware

Lire sur Microsoft les spécificités d'un profil itinérant ou roaming profil

Lire: Virtualisez vos applications Réseaux et Télécoms

Capacité d'optimisation d'infrastructure: processus de gestion ITIL/COBIT 

Microsoft Technet: l'optimisation d'infrastructure

Lire "les enjeux technologiques de l'information et de la communication

Article de Michel Bauwens à propos du P2P sur Wedemain.fr

La neutralité du Net sur "La quadrature du net".

Pouvez-vous faire confiance à votre ordinateur personnel ?" Article publié il y a plus de 20 ans en 2002 par R. Stallman.

Même s'il apparaît que le Cloud d'après certaines critiques émisent que le Cloud soit énergivore et coûteux, celui va dans le sens de la protection, de la pérénité et de la disponibilité des données.

Lire sur le sujet :

Lire l'article sur le journaldunet.

Les enjeux juridiques du Cloud computing (Chapitre-3)

Lire sur L'usine digitale: Bonnes pratiques pour optimiser vos coûts associés au cloud

Maitrise des "vrais couts" du cloud public: Un enjeu important pour les entreprises

Consommation d’un datacenter :tout ce qu’il faut savoir pour limiter les dépenses

Lire : Les white-box sont-elles l'avenir de la commutation réseau ?

Lire : Cisco muscle les capacités de Catalyst SD-WAN

Lire : Mise en réseau de SDN et virtualisation des fonctions réseau (NFV)

Lire: F5 exploite les API des clouds pour connecter les différents réseaux

 

1foplus-2021-23

Services en ligne

Interventions à distance en toute confidentialité

Avec un suivi de vos interventions en respectant votre vie privée.

L'analyse de l'état de vos ressources et la vérification de l'intégrité de votre système.

La mise en oeuvre de vos sauvegardes avec des applications natives ou issue d'éditeurs tiers.

Pour bénéficiez d'une connexion à un espace privé et accéder à vos devis et factures.

Une assistance à distance de votre PC quelque soit le système; Microsoft, Mac OS, Linux, Android, etc.

 

BENEFICIEZ D'UNE ASSISTANCE A DISTANCE

L’Internet of Things (IoT) décrit le réseau de terminaux physiques, les « objets », qui intègrent des capteurs, des softwares et d’autres technologies en vue de se connecter à d’autres terminaux et systèmes qui échangent des données entre eux. Ces terminaux peuvent aussi bien être de simples appareils domestiques que des outils industriels de grande complexité. Avec plus de 7 milliards de terminaux IoT connectés aujourd’hui, les experts s’attendent à ce que ce nombre passe de 10 à 20 milliards d’ici 2025. Oracle dispose d’un réseau de partenaires de terminaux.

TELECHARGEZ TEAMVIEWER

Télécharger TeamviewerTeamViewer pour Windows Cliquez sur l'icône pour télécharger la version 15.5.5

MacTeamviewer pour MacOS

MobilesTeamViewer pour Androïd

Télécharger TeamViewer pour les systèmes Linux, ChromeOS, iOS

 

Cliquez ensuite sur Exécuter ou Enregistrer. En effet, deux options s'offrent à vous; si vous désirez exécuter vous pouvez lancer le logiciel en mode portable sans avoir à l'installer. Vous devrez cliquer sur Démarrer puis suivre les indications des écrans qui s'affichent ci-dessous:

Vérifiez la "signature numérique" pour vérifier l'origine du package et lancer le programme via l'excécutable TeamViewer_Setup-15.5.exe.

Télécchargez Teamviewer

Une fois Teamviewer téléchargé, cliquez sur "Démarrer seulement" ou lancez l'exécutable et choisir "installer par défaut" comme n'importe qu'elle autre application.
(La zone cochée "Démarrer seulement" vous permettra d'utiliser TeamViewer grace à son module de communication, sans installer le logiciel sur votre PC)

Choix des modes d'utilisation, soit en mode portable ou par une installation.

Acceptez les termes de la licence puis cliquez sur "Suivant" pour accéder à la fenêtre des identifiants

Lancement de la session

Faites nous parvenir L'ID du partenaire puis le Mot de passe qui s'affichera dans la zone "En attente de session" de la machice cible, par téléphone, ces identifiants permettront de créer une connexion entre les machines via un canal sécurisé chiffré.
Nous serons alors, en mesure de vous dépanner rapidement grâce à Internet.

 

IDENTIFIEZ PUIS SELECTIONNER LE FOURNISSEUR D'ACCES LE PLUS ADAPTE A VOS BESOINS

www.antennesmobiles.fr

Avec ces outils votre choix se portera plus certainementsur un fournisseur idéale pour votre localisation.

D'après certains sites la couverture mobile serait:
de 92,83% de couverture 4G par Bouygues Telecom en Haute-Savoie.
de 77,09% de couverture 4G par Free Mobile (l'offre la moins couverte de Haute-Savoie)
Heureusement entre 93% et 77% il y a les quelques offres d'autres fournisseurs !

Pour la téléphonie mobile avoir la 5G c'est bien mais vous ne pouvez pas l'utiliser si vous êtes entouré d'antennes 2-3-4G. L'exemple d'un supermarché avec la fibre est bien adapté. La plupart des gérants utilisent une offre ADSL ou VDSL voir VDSL2, car il vous faut installer un réseau ségmenté pour des raisons de sécurité. A savoir le réseau principal relié au routeur avec le serveur et les PC ainsi que les caisses, 1 sous réseau WiFi avec un ou plusieurs Point(s) d'accès pour les caméras de surveillance, un autre sous réseau pour piloter l'écran de contrôle avec une application, sur mobile ou tablettes pour les alertes, la planification des tâches, la surveillance qui se déclenchera en fonction des scénarios crées...Cette interface permettra de surveiller vos locaux avec votre smartphone ou que vous soyez !

ADSL, ADSL2+, VDSL, VDSL2 OU FIBRE OPTIQUE

La carte des noeuds de raccordement (NRA) indique la localisation des centraux qui répartissent l'internet haut-débit grâce au réseau téléphonique installé non loin de votre lieu d'habitation.

NRA = Noeud de Raccordement des Abonnés, se trouve dans les centraux téléphoniques

Explication des offres:

- ADSL: Débit descendant (download) entre 1 et 4 Mb/s et débit montant (upload) inférieur à 1 Mb/s
- ADSL2+: Débit descendant "thTROUVEZ VOTRE ISP EN LIGNEéorique" de 20 Mb/s qui plafonne plutôt à 8-10 Mb/s dans la plupart des cas.
- VDSL: Débit descendant max de 50 Mb/s en download, mais limité à 20 Mb/s dans la pratique.
- VDSL2: plafond théorique de 80 à 100 Mb/s, permet concrètement environ 50 Mb/s pour les lignes les plus performantes (Raccords les plus proches du NRA).
- Fibre optique: Plafond limité à 1 à 10 Gb/s. Tous les FAI ne proposent pas la même vitesse de connexion. En réalité il n'y a pas trop de différence, mais Free apparaît plus performant.

Pour résumer:
Si vous avez le choix, prendre les forfaits que le NRA peut vous proposer ADSL2+, VDSL ou VDSL2 vous pouvez aussi inclure une offre mobile pour la première année au prix de l'offre la moins cher. Si cela ne conviennait pas vous pouvez toujours tenter une offre plus puissante, comme passer de à la VDSL2 ou à la fibre. Ou changer de fournisseur ! Pour la fibre encore faut-elle qu'elle soit installée dans votre ville et que les raccords soient établis de la rue jusqu'à votre maison ou votre immeuble. Rassurer vous, si vous habitez dans une copropriété cela sera gratuit. De même pour une maison "individuelle" le raccord de la rue à votre maison est gratuit si vous pouvez justifier que 3 personnes habitent la maison. Vérifiez quand même l'information, mais j'ai cru comprendre que le raccord à la fibre était gratuit actuellement.

Mais pour un particulier qui utilise la TV, Internet, ADSL, 2+ ou VDSL2 (Virtuel DSL) peuvent être largement suffisant.

Taux de couverture des NRA sur le département de Haute Savoie :

https://www.ariase.com/box/carte-couverture-internet

Attention : Choisir un central (NRA) qui soit idéalement situé à moins de 3km de votre habitation (Les NRA répartissent les lignes ADSL chez les particuliers, les paramétrages pour ADSL2+ ou VDSL2 se font à partir des répartiteurs et commutateurs du Central).

Voir:https://www.degrouptest.com/faq/comprendre-affaiblissements-ADSL.php

Voir en dynamique le Central de "LES GETS" par exemple:
https://www.ariase.com/box/carte-nra

ENFIN pour tester votre élégibilité et le débit de votre connexion, voir sur le site: www.ariase.com
Une fois sur le site, indiquez votre ville puis cliquez sur le bouton orange à gauche du Léman ;-) pour tester les offres compatibles. Evitez les offres privées ou inconues, histoire de bénéficier d'un support qui ne soit pas situé au Sénégal ou au Camerou, pays ou les connexions ADSL sont tellement tributaire de l'electricité (les coupures sont constantes) que même les techniciens les plus aguéris ne savent pas tout à fait comment reseter un décodeur en fonction de la marque: Choisissez plutôt, Orange, Bouygue, SFR, Free, enfin un opérateur connu ! Car si la foudre s'abat à côté de votre central vous risquez de galérer avant de remettre tout votre bazar en marche, même à l'aide de l'assistance téléphonique locale...

La carte des noeuds de raccordement (NRA ou en français Noeud de Raccordement d'Abonnés) indique la localisation des centraux ADSL qui fournissent l'internet haut-débit grâce au réseau téléphonique dans votre ville.

NRA-Noeud de Raccordement d'Abonnés-Léman Haute Savoie


LoupeCliquez pour agrandir

 

OUTILS PRATIQUES

Convertisseur en octects pour capacités de stockage

Générateur de mots de passe securisés

Vérifiez le débit de votre box internet

Vérifiez l'accès et la sécurité de votre box ou routeur internet

Internet Archives

 

1foplus-2021-23

Expertise

Nous intervenons principalement dans les Hauts de Seine et sur Paris, mais aussi en région parisienne en fonction de vos demandes.

Nos zones d'interventions ; les Hauts de Seine et Paris Cliquez pour accéder à Google Map

Spécialisés dans la mise en oeuvre et le déploiement des systèmes en environnements distribué, centralisé-Cloud et hybride, nous proposons des solutions de;

- Architectures et topologies réseaux
- Gestion d'infrastructures et virtualisation,
- Réseau VLAN, SDN-SD-WAN
- Implémentation de solutions pour actifs systèmes ITSM-CMDB
- Solutions n-tiers; GED, CMS, LMS, e-commerce et espaces collaboratifs, (WSS 3.0, SharePoint Server 2010, MOSS 2007-12, Foundation et Server 2013, 16, 19),
- Sécurité, supervision des systèmes IDS, packaging et déploiement d'applications sur le réseau,
- Sauvegarde et stockage (local, Cloud, serveurs physiques et virtuels).

INSTALLATION ET GESTION D'APPLICATIONS

- Visioconférence, VOIP, imagerie médicale, mulimédias et domotique.

MIGRATION ET DEPLOIEMENTS

- Migration, Linux, Windows.
- Déploiement systèmes et applications à l'aide d'outils de packaging, SCCM, WDS et Microsoft Deployment Toolkit (MDT).
- Utilisation de Microsoft System Center, Configuration Manager, Endpoint Protection.
- Sauvegardes avec archivage, stockage et transfert des données sur NAS, SAN via canal sécurisé, VPN, etc.

RESEAUX ET PARTAGE DE DONNEES ET PERIPHERIQUES

- Filaire (Ethernet, CPL), sans fil ( Wifi, 3-4-5G)
- Réseau VLAN et SD-WAN
- Partage des données sur LAN (SMB), WAN
- Accès distant sur réseau et LDAP. (VPN, SSH, SSL.)

SECURISATION D'INFRASTRUCTURES

- Pare-feu, antivirus, détection d'intrusion et supervision,
- Passerelle applicative, serveurs web, DNS, SMB, AD DS, Groupshare, etc.
- Sécurité des accès à distance (VLAN, SD-WAN, tunneling, VPN, certificats, chiffrement, etc.)

INSTALLATION DE CMS, GED, LMS, MIDDLEWARE ET GROUPWARE SHAREPOINT

- Installation de SharePoint portail-foundation, Serveur sur Windows 2003-2008-2012-13-16-19 avec SQL server.
- Intégration de Middleware, composants Webpart pour Sharepoint.
- Implémentation de CMS, GED et LMS avec gestion des contenus et maintenance locale ou hybride.

PORTAILS COLLABORATIF ET GROUPWARE

Le portail collaboratif Sharepoint de Microsoft est un produits propriétaire de Microsoft que nous implémentons sur serveur web Internet Information server (IIS) avec SQL Server.

Windows SharePoint Services (WSS) est un moteur de groupware pour sites dynamiques, Il permet aux utilisateurs de partager des documents de la suite Microsoft Office et des messages électroniques en ligne comme sur un Intranet. Microsoft Office SharePoint Server (MOSS), auparavant appelé Microsoft Office Sharepoint Portal Server est un logiciel payant, permettant de réaliser des pages web dynamiques dans un espace de collaboration d'entreprise. Les fonctionnalités sont la gestion de contenus, le moteur de recherche, les formulaires, les statistiques décisionnelles, le partage de documents, groupes de discussion, tâches, etc..

Cette solution de collaboration pour PME avec Office 365 offre la possibilité de travailler via le Cloud en équipe sur un même document, avec de nombreux formats pourvus qu'ils soient compatibles (Excel, Word, Powerpoint, Acrobat, Visio, etc.) SharePoint permet de partager les documents en production, il améliore la qualité du support, assure le suivi, l'automation de services comme pour effectuer les plannings et assurer des tâches spécifiques d'un projet ou un processus workflow. Nous implémentons les versions SharePoint services v2-3, Sharepoint Portail Server 2007-10-13-19 et Microsoft Office Sharepoint serveur avec Office 365.

Lire l'Avenir de L'ITSM dans les Groupware et la collaboration

Lire l'installation de Sharepoint 2013 en stand alone sur Windows Serveur

Lire le document: SharePoint et workflow

Lire la Faq Sharepoint

Expert_SharePoint_2010_Practices

Lire l'article qui présente les offres sur le site medevel.com

 

1foplus-2021-23

Technique sécurité

PROTOCOLES NETBIOS ET SMB RANSOMWARES ET INTRUSIONS

Les responsables de certains sites croient à tort que les données qu’ils abritent n’étant pas toutes confidentielles, l’enjeu de la sécurité est limité. Lorsque vous détenez des serveurs sur Internet, vous devez assurer la sécurité, vérifier les logs de connexions, éviter l'indisponibilité de vos ressources quelques soient les services utilisés; sauvegardes, partages, sites web, middleware, groupware, base de données, vente en ligne, etc. Accepteriez-vous que le trafic réseau que vous payez chaque mois, soit utilisé par un botnet ? Que votre serveur de messagerie puisse relayer des messages indésirables ? Ainsi, quel que soit le site et ses applications, il existe de vraies exigences qui justifient la mise en place de mesures de sécurité spécifiques; pare-feu, authentification renforcée, SSL, certificats, SSH pour se connecter à distance, VPN, authentification à 2 facteurs... La nécessité de patcher vos machines. d'éviter toutes formes de tentatives de types; scan de ports, defacing, DNS Hidjaking, attaque par "brute-force" "spoofing" et élévation de privilèges, sans compter les autres pièges, tels que les malwares et ils sont nombreux; spyware, adware, phishing, redirection de liens ou "url forwarding", "port forwarding" et ransomwares sous fome de liens dans les pièces-jointes de votre messagerie...

Historiquement le protocole SMB utilisait la couche NetBIOS qu'on appellait aussi NetBEUI pour Network Extended User Interface. Cependant le protocole NetBIOS était connu pour générer du broadcast d'ou la résolution des noms de Machines en IP du protocole NetBIOS Name Server. Pour pallier se problème, il fallait installer un serveur WINS, et déclarer le serveur WINS dans les paramètres de la carte réseau. Avec Windows 10 le protocole NetBIOS est abandonné et remplacé par SMB, pour partager des informations avec plus de sécurité.

Historique ports dédiés à NetBIOS et SMB

Si votre PC ne se trouve pas sur un réseau local, vous pouvez utiliser un pare-feu pour bloquer toutes tentatives d'intrusions et filtrer les ports SMB; 445 ainsi 135, 137, 138, 139 de NetBIOS (le protocole SMB s'appuyait sur NetBIOS et le port 139 pour contacter l'hôte) et appliquer une règle de filtrage "normale" NetBIOS: de 135 puis de 137 à 139 indiqués sur un pare feu 137-139 et éventuellement certains ports tels que: 1110, 2869, 19780

Vous pouvez aussi désactiver le service "Assistance NetBIOS sur TCP/IP" puis dans "Panneau de configuration-Réseau et Internet-Connexions réseau" sur la carte active sélectionner "protocole Internet version 4 TCP/IPv4", puis aller dans les "Propriétés", "Paramètres TCP/IP avancés" cliquer sur le bouton "Avancer" pour accéder à "Paramètres TCP/IP avancés" et enfin cliquer sur l'onglet WINS pour décocher la case "Désactiver NetBIOS sur TCP/IP" en bas de la fenêtre ainsi en fonction des cas LMHOSTS. Un fichier LMHOSTS est un fichier texte simple utilisé pour stocker les correspondances entre les noms d’hôtes et les adresses IP des ordinateurs. Il est utilisé pour la résolution des noms d’hôtes en adresses IP et se trouve dans le répertoire système de Windows.

Sur un réseau d'entreprise ou RLE, lorsque le ports TCP/UDP 445 est à "l'écoute" (Listenning) ou "Established" (établi), des règles de Pare-feu entre vos serveurs de partages et les postes du LAN s'imposent. Cela indique que SMB tente de communiquer. Il conviendrait alors de vérifier les IP sources pour faire en sorte que chaque connexion soit initiée par une machine du LAN ou d'un Cloud référencé. Bien que cela puisse représenter sur un réseau de taille une perte de temps considérable, l'intérêt d'utiliser des IP fixes, avec les fichiers de configuration statiques sont bien utiles dans les réseaux distribués de grande taille. Dans ce type d'environnement, les clients et les serveurs existent dans différents sous-réseaux (segments de réseau, VLAN) et éventuellement dans différents groupes de travail et domaines. Les fichiers de configuration d'IP statiques IPv4 aident les clients à localiser les serveurs de partage, plus facilement lorsque les segments du réseau sont bien renseignés. Pour utiliser SMB sur le port TCP/IP 445 et accéder à un partage via une connexion chiffrée de bout en bout avec le serveur il faut renseigner les emplacements connus par segments avec un accès autorisé. Si vous ajoutez le port 445 en TCP et UDP afin de partager sur le RLE, les Imprimantes et dossiers-fichiers partagés en renseignant les machines appartenant aux segments et VLAN, les filtrages MAC et IP permettront d'assurer une meilleur sécurité. Si votre règle s'applique, la plupart des tentatives de connexions aux partages avec un compte Système "spoofé" (élévation de privilèges par un assaillant du compte "System") seront plus complexes à exécuter à partir d'un scan de ports extérieur et en particuier si vous avez ségmenté votre réseau en VLAN. Ainsi vous pourrez communiquer avec certains VLAN et pas d'autres. Utilisez la commande Netsh lorsque vous partagez une connexion SMB en IPv4 via TCP/IP.

Créer un partage SMB pour Windows 10 ou serveur

Étant donné que le service "Explorateur d’ordinateurs" s’appuie sur SMBv1, celui-çi doit être désactivé sur le Serveur. Cela signifie que l’explorateur n'affiche plus "L'explorateur d'ordinateurs" de la même manière qu'autrefois via la méthode d’exploration des datagrammes NetBIOS hérités. D'une part, il est fortement conseillé de mapper des lecteurs réseau pour les partages et les imprimantes. D'autre part, les ressources mappées sont plus faciles à localiser via AD DS et le service DNS sur un réseau ségmenté de grande taille et surtout plus sûres à utiliser. Les fonctionnalités SMB version 2,0, 3,0, 3.1, 3.11 sont toujours entièrement prises en charge et incluses par défaut dans le cadre des binaires SMBv2.

Lorsque vous activez SMBv2-v3 sur le client Windows depuis les versions serveur 2012, SMBv2-3 est activée, bien que SMBv1 reste actif si vous ne laissez pas CIFS actif pour fournir des fonctionnalités d'identification-authentification. CIFS prend en charge l'authentification en fonction de l'utilisateur afin que ce dernier puisse accéder aux ressources partagées avec ses informations d'identification.

A partir de Windows Serveur 2016 la version SMB 3.11 est activée. Si vous utilisez le protocole SMBv3 pour des raisons de connectivité entre le serveur et les clients Windows 10 et 11 le client SMBv3 est activé depuis les versions 1607 à 21H2. Lorsque Microsoft fait évoluer le protocole SMB, le but est de renforcer la sécurité, notamment la sécurité serveurs avec des algorithmes de chiffrement, plus robustes (AES-128-GCM avec SMB V3.11). Il convient de souligner que ce contournement protège le "Service serveur" SMB et ne nécessite pas de redémarrage. En revanche, les clients SMB (LanmanWorkstation) même Windows 10 et 11 dans certains cas, restent toujours vulnérables si vous n'éffectuez pas les changements de désactiver SMBv1 avec les cmdlet Powershell.

Pour avoir une idée de la surface de nuisances des failles SMBv1 sur NetBIOS sur Windows client utilisez la commande MS-DOS "Net share" qui indique les partages sur vos volumes Windows avec IPC$ qui permet une connexion avec un compte doté des privilèges administratifs.

Avec PowerShell :

La commande "Nbtstat.exe" (lire sur le site de Microsoft) était utilisable sur les anciènne version de Windows si le service résolution de nom était configuré dans les paramètres de la carte réseau.

Encore en 2023 certains actifs, y compris les ordinateurs personnels, utilisent toujours le SMBv1, un protocole ancien, non chiffré et compliqué, dont les vulnérabilités ont été ciblées dans les attaques par ransomware, tristement célèbres WannaCry, NotPetya, LockBit, etc. Plus récement est apparut "Rorschach" dont le fonctionnement reste mal connu... Nous constatons qu'aujourd'hui encore, 74% des entreprises ont dans leur réseau au moins un actif vulnérable à EternalBlue, ou vulnérabilité SMBv1.

SMB a toujours été un protocole de partage de fichiers sur le réseau avec les serveurs Samba. À ce titre, il a besoin de ports réseau sur un ordinateur ou sur un serveur pour communiquer avec les autres clients systèmes.
SMB utilisait le Port 139 car il fonctionnait à l’origine sur NetBIOS, celui-çi étant une couche de transport plus ancienne elle permettait aux anciènnes versions de Windows de se parler sur un même réseau.
SMB utilise le port 445 sur la couche de niveau 7 d'après le modèle OSI. Les versions plus récentes de SMB (v 3.11 sur Windows 2016) ont commencé à utiliser le port 445 sur une pile TCP qui permet de fonctionner via Internet. Si votre réseau n'est pas homogène, préférez passer pour les partages via les Cloud (privés ou publiques)

Le partage sur Windows 10-11

Le fait que NetBIOS ait été abandonné tardivement pour des raisons de compatibilités à posé des problèmes que Microsoft n'a pas réussi à résoudre complètement. D'ou l'abandon de celui çi pour SMB. Même si un équivalent à l'Explorateur de fichiers Windows "nouvelle génération" est assez proche de l'anciènne version bien que le design diffère, il est plus étendu en intégrant les services Cloud; OneDrive, Drive de Google. Ce qui permet de gérer ou d'imprimer ses documents partagés depuis le cloud avec la possibilité du visionner le contenu en ligne en toute sécurité. Cette solution alternative de passer par des services cloud, OneDrive, Drive, pour échanger, partager ou imprimer reste sûr et sécurisé lorsque votre réseau n'est pas encore homogène.

A partir de Windows serveur 2016 la version SMB est la 3.11. Il en est de même pour Windows 10 depuis les versions 1607 à 21H2. Avec SMB sur un RLE (réseau local d'entreprise) comptez avec les lecteurs réseau pour mapper à partir de l'adresse IP ou d'un nom de serveur de partage.

Lorsque Microsoft fait évoluer le protocole SMB, le but est de renforcer la sécurité, notamment la sécurité des échanges avec des algorithmes de chiffrement plus robustes (AES-128-GCM avec SMB V3.11) En production, le SMB version 1 ne doit plus être utilisé, car il contient des failles de sécurité. En 2017, une faille dans SMB v1 a fait beaucoup de bruit : EternalBlue-CVE-2017-0144. Elle a été exploitée pour compromettre des millions de machines dans le monde et elle a été utilisée par des ransomwares ravageurs. Depuis, Microsoft a corrigé cette faille, mais cette version n'est plus maintenue. Cette version est obsolète et dépréciée depuis 2014 ! WannaCry, l'attaque ransomware la plus connue, utilise une faille dans le protocole SMB de Microsoft, laissant tous les ordinateurs non corrigés et connectés à Internet vulnérables aux attaques.  D'autres attaques exploitent des services de bureau à distance ou Remote Desktop non sécurisé, analysant par scan de ports via Internet des systèmes vulnérables. Afin d'éviter cette faille, désactivez manuellement le service SMBv1 pour passer en version 2 ou 3 plus sécurisés.

Description de SMB; Server Message Block (SMB) est un protocole réseau de couche application qui fonctionne sur le ports 445. Il est largement utilisés pour le partage. Une "Intrusion.Win.MS17-010" cible les ordinateurs Windows et exploite les vulnérabilités du réseau SMBv1 (utilisées par les ransomware WannaCry, ExPetr- ransomware, etc.). Microsoft à tenté de corriger la faille dans le Bulletin de sécurité Microsoft MS17-010: Lire sur MSDN

Lire l'Intrusion.Win.MS17-010 via protocole SMB sur port 445 d'un PC sous Windows.

 

FONCTIONNALITES DE SMBv3

SMB 3.0: Stockage des fichiers pour virtualisation (Hyper-V™ sur SMB). La technologie Hyper-V permet de stocker des fichiers d’ordinateur virtuel, par exemple une configuration, des fichiers de disque dur virtuel (VHD) et des captures instantanées, dans des partages de fichiers sur le protocole SMB 3.0. Cette méthode peut être employée à la fois pour des serveurs de fichiers autonomes et des serveurs de fichiers en grappes utilisant Hyper-V et conjointement avec un système de stockage de fichiers partagés de type NAS.

Microsoft SQL Server sur SMB. SQL Server permet de stocker des fichiers de base de données utilisateur sur des partages de fichiers SMB. Pour l’heure, cette méthode est prise en charge avec SQL Server 2008 R2 pour des serveurs SQL autonomes. Les prochaines versions de SQL Server proposeront une prise en charge des serveurs en cluster et des bases de données système.

Stockage classique pour les données de l’utilisateur final. Le protocole SMB 3.0 apporte des améliorations aux charges de travail des utilisateurs professionnels de l’information. Ces améliorations réduisent notamment les valeurs de latence des applications auxquelles sont confrontés les utilisateurs des filiales lorsqu’ils accèdent à des données sur des réseaux étendus (WAN) et protègent des données contre les tentatives d’écoutes clandestines.

Créer des partages sous Windows 10

 

VERIFIER LA VERSION SMB DE VOTRE MACHINE

Si la valeur de SMBv1 est à 0 ou non présente, cela signifie que SMB1 est désactivé. En revanche si SMB2 à une valeur "DWORD" à 1 c'est que SMBv2 est le protocole de Partage. Le protocole devrait avoir la même version sur le Service Serveur (LanmanServer) que sur la station de travail (LanmanWorkstation). Prenez le temps d'activer IPv4 uniquement sur l'interface du connexion au réseau local si vous êtes sur un réseau de grande taille avec des segments (sous réseaux ou VLAN). Cela facilitera d'une part la configuration du NAT, comme la mise en ligne d'un serveur web ou pour paramétrer vos commutateurs L2-3. D'autre part, une IP fixe en IPv4 facilitera la configuration de votre routeur et de vos commutateurs en mode trunks.

Avec Powershell

Mettre à jour SMB v2-3 sur LanmanServer

Créer les partages à partir de mappages

#Il est nécessaire d'entrer après le mappage le nom du dossier#
Set-Location -Path "Share:"
Puis faites un dir ou tree
PS>Share:\>dir

Cela fera apparaître le nom du répertoire:
\\SRV-PARTAGES\Share
\\192.168.1.50\Share

Pour mapper un partage réseau en tant que lecteur réseau avec Powershell entrez la commande ci-dessous:
New-SmbMapping -LocalPath "P:" -RemotePath "\\NOM_DU_SRV\Nom_Partage"

Si votre structure n'est pas un réseau local d'entreprise RLE avec un pare-feux, faites en sorte que les protocoles NetBIOS et SMB en TCP (connexion) et en UDP (transfert de datagrammes) soient bloqués pour toutes tentatives de connexion de l'extérieur. Cependant, sur un Annuaire, Workgroup, Homegroup pour la connexion au réseau local vous devrez renseigner les adresses IP du serveur d'impression ou du serveur de partage avec les postes du réseau local qui pourront y avoir accès sur les couches 2 et 3.

Exemple de filtrage sur Windows


LoupeCliquez pour agrandir

Cependant Microsoft n'a identifié aucun "facteur atténuant" sur Microsoft Technet pour ces vulnérabilités. Les solutions de contournement suivantes peuvent être utiles.

Selon votre situation :
- **Désactiver SMBv1** pour les clients exécutant Windows Vista et versions ultérieures. Voir l'article 2696547 de la Base de connaissances Microsoft

**Méthode alternative pour les clients utilisant Windows 8.1, 10 ou Windows Server 2012 R2 et versions ultérieures**
Pour les systèmes d'exploitation client :
1. Ouvrez le "Panneau de configuration", cliquez sur "Programmes", puis cliquez sur "Activer ou désactiver des fonctionnalités Windows".
2. Dans la fenêtre Fonctionnalités de Windows, laissez coché la case "Support de partage de fichiers SMB 1.0/CIFS", puis cliquez sur "OK" pour fermer la fenêtre.
3. Redémarrez le système

Il est quand même préférable de mettre les PC de votre structure avec des système homogènes pour être sûr de bénéficier d'une compatibilité amméliorée.

Pour vérifier la version SMB de Windows ouvrez l'invite de cmd MS-DOS "En tant qu'Administrateur"
puis tapez la commande "SC.EXE"

1-Détecter sur Workstation
sc.exe qc lanmanworkstation

2-Désactiver SMB v1
sc.exe config mrxsmb10 start= disabled

SMB v2-3 sur serveur SMB

1-Identifier sur serveur
sc.exe qc lanmanserver

Changement de Version SMB

2-Activez SMBv2 sur Lanmanserver (cmd en tant qu'administrateur):
sc.exe config lanmanserver depend= bowser/mrxsmb10/mrxsmb20/nsi

Ou directement via ces commandes "en tant qu'administrateur"
sc.exe config lanmanserver depend= bowser/mrxsmb20/nsi
Puis
sc.exe config mrxsmb20 start= auto

Le résultat s'affiche [SC] ChangeServiceConfig réussite(s)

Vérifier la version du protocole SMB


LoupeCliquez pour agrandir

Ce qui affiche:
SERVICE_NAME: lanmanworkstation
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Windows\System32\svchost.exe -k NetworkService
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : Station de travail
DEPENDENCIES : bowser
: mrxsmb20
: nsi
SERVICE_START_NAME : NT AUTHORITY\NetworkService

Puis Redémarrer.

Vérifiez avec la stratégie de sécurité locale sous Windows

Entrez dans le champs Exécuter "Secpol.msc"


LoupeCliquez pour agrandir

Si les paramètres de vos stratégies ont été changées et que des érreurs empêchent certaines "Exécutions" vous pouvez remettre la stratégie de sécurité par défaut à condition de l'avoir sauvegardé:

Utilisez les cmdlet

Ouvrez une invite de commandes ou comme ci-dessous avec Powershell "en tant qu'Administrateur" avec le registre .
Ensuite copier sur notepad puis collez les commandes dans la fenêtre MS-DOS:
PS>C:\Windows\System32>RD /S /Q "%windir%\System32\GroupPolicyUsers"
RD /S /Q "%windir%\System32\GroupPolicy"
Puis
gpupdate /force


LoupeCliquez pour agrandir

Vous pouvez vérifier la version de SMB pour LanmanServer avec le registre,
utilisez "regedit.exe" ou regedt32 (32 bits) puis allez :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanServer\Parameters


LoupeCliquez pour agrandir

Vérifiez que la valeur SMB2 à bien une valeur DWORD à 1. Si SMB1est mentionné avec la valeur à "1" c'est que le prorocole SMB1 est encore actif. Désactivez le

Vous devrez redémarrer l’ordinateur après avoir apporté des modifications au registre.
Pour plus d’informations, consultez stockage serveur chez Microsoft.

IMPORTANT:

Après le service "station de travail" ou LanmanWorkstation, faites de même avec le service serveur "LanmanServer".
Attention cependant avec le paramétrage de SMB car les machines de votre réseau devront avoir la même version SMB.
Sinon il vous faudra faire marche arrière pour que le service "Explorateur d'ordinateurs" fonctionne en SMBv1.

Voici comment supprimer SMBv1 avec PowerShell sur Windows 7.

Ouvrez la console Powershell ou ISE "en tant qu'Administrateur"
Vérifier si SMBv1 est actif sur le Service serveur de Windows 7

- Identifier la version de SMB avec PowerShell
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
Configuration par défaut = activé (aucune clé de Registre n’est créée),
donc aucune valeur SMB1 n’est retournée.

Si une valeur est retournée, désactiver SMBv1 sur le Service Serveur (LanmanServer) avec PowerShell
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Ce qui donne comme résultat:
PS>Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\
services\LanmanServer\Parameters | ForEach-Object
{Get-ItemProperty $_.pspath} ServiceDll : C:\Windows\
system32\srvsvc.dll ServiceDllUnloadOnStop : 1
EnableAuthenticateUserSharing : 1
NullSessionPipes : {}
autodisconnect : 15
enableforcedlogoff : 1
enablesecuritysignature : 1
requiresecuritysignature : 1
restrictnullsessaccess : 1
Lmannounce : 0
Size : 1
AdjustedNullSessionPipes : 3
Guid : {23, 166, 124, 25...}
PSPath : Microsoft.PowerShell.Core\Registry::
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\LanmanServer\Parameters PSParentPath :
Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\services\LanmanServer
PSChildName : Parameters
PSProvider : Microsoft.PowerShell.Core\Registry

Identifie avec PowerShell:
Get-WindowsOptionalFeature -Online -FeatureName smb1protocol

Désactivez SMBv1:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Activer SMBv2/3 sur Windows 7 avec Powershell pour LanmanServer
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force

VERIFIER AVEC POWERSHELL LA VERSION DE SMB DU SERVICE SERVEUR

Activer toujours "en tant qu'Administrateur" SMBv2/v3 sur le Service serveur avec PowerShell

Si vous avez Windows 10, vous pouvez utiliser les cmdlets:
Get-SmbServerConfiguration" et Set-SmbServerConfiguration

Le cmdlt Set-SmbServerConfiguration vous permet sur un serveur d’activer ou de désactiver les protocoles SMBv1, SMBv2 pour mettre le serveur 2012 par exemple en version 3.11.

Nouvelle applet de commande pour service Serveur de Windows:
Set-SMBServerConfiguration

Désactive avec PowerShell SMBv1
Set-SmbServerConfiguration -EnableSMB1Protocol $false

Active avec PowerShell SMBv2/3
Set-SmbServerConfiguration -EnableSMB2Protocol $true

Identifie la version de SMBv2/3
Get-SmbServerConfiguration | Select EnableSMB2Protocol

Avec le résultat:
EnableSMB2Protocol
==================
TRUE

Cmdlets pour activer SMB v2/v3 sur les services serveur et client de Windows 8.1/10

Plus d’informations:

Guides Metasploit et Meterpreter pour les "pentester" et les ingéneurs réseau (Windows XP-7)

Lire partager des fichiers dans l'explorateur de fichiers sur windows 10 en passant par le cloud OneDrive

Quelle est différence entre CIFS et SMB ?

Pourquoi vous ne devez pas nécessairement activer le cryptage conforme à la norme FIPS sous Windows

Scénario d’échange de paquets de protocole Microsoft SMB et NetBIOS

Lire partager des fichiers dans l'explorateur de fichiers sur Win10 en passant par le cloud

Pourquoi vous ne devez pas "néssairement" activer le cryptage conforme à la norme FIPS sous Windows

Scénario d’échange de paquets de protocole Microsoft SMB et NetBIOS

Résolution avancée des problèmes liés au protocole SMB (Server Message Block)

Comment détecter désactiver ou activer de façon approprié SMB v1 pour SMB v2 ou v3 sur Windows 7, 8.1, Windows 10, Windows Server 2012 à 2016

Lire sur le site Microsoft la vue d’ensemble du partage de fichiers à l’aide du protocole SvMB 3 et Windows Server 2012, 2012 R2, 2016, 2019.

Si vous voulez utiliser le protocole SMB sur une machine distante via Internet via le services de nommage DNS, il vous faut lire sur le support Microsoft:
https://support.microsoft.com

Régler son pare feu Microsoft pour éviter les attaques sur le port 445 et SMB

Désactivez la mise en cache DNS côté Client et éventuellement Serveur (en fonction de son rôle)

Si vous voulez utiliser le protocole SMB sur Internet et que cela passe par le services de nommage DNS. Lire le support Microsoft.

Un des derniers ransomware s'appelle "LockBit" => Lire ce que vous devez savoir sur ce rançongiciel LockBit.

Lire aussi "Comment migrer de Windows 10 Home à Pro gratuitement"

 

Clés du Registre pour désactiver les applications qui se lancent au démarrage avec "RunOnce"

Utilisez Run ou RunOnce des clés de Registre pour exécuter un programme lorsqu’un utilisateur se connecte. La Run clé permet l’exécution du programme chaque fois que l’utilisateur se connecte, tandis que la RunOnce clé exécute le programme une fois, puis la clé est supprimée. Ces clés peuvent être définies pour l’utilisateur ou la machine.

La valeur de données d’une clé est une ligne de commande ne dépassant pas 260 caractères. Inscrivez les programmes à exécuter en ajoutant des entrées de la ligne decommandede la chaîne=de description- du formulaire. Vous pouvez écrire plusieurs entrées sous une clé. Si plusieurs programmes sont inscrits sous une clé particulière, l’ordre dans lequel ces programmes s’exécutent est indéterminé.

Le Registre Windows comprend les quatre Run clés et RunOnce suivantes :

Par défaut, la valeur d’une RunOnce clé est supprimée avant l’exécution de la ligne de commande. Vous pouvez préfixer un RunOnce nom de valeur avec un point d’exclamation (!) pour différer la suppression de la valeur jusqu’à l’exécution de la commande. Sans le préfixe du point d’exclamation, si l’opération RunOnce échoue, le programme associé ne sera pas invité à s’exécuter lors du prochain démarrage de l’ordinateur.

Par défaut, ces clés sont ignorées lorsque l’ordinateur est démarré en mode sans échec. Le nom de valeur des RunOnce clés peut être précédé d’un astérisque (*) pour forcer l’exécution du programme même en mode sans échec.
Un programme exécuté à partir de l’une de ces clés ne doit pas écrire dans la clé pendant son exécution, car cela interfère avec l’exécution d’autres programmes inscrits sous la clé. Les applications doivent utiliser la RunOnce clé uniquement pour les conditions temporaires, par exemple pour terminer l’installation de l’application. Une application ne doit pas recréer continuellement des entrées sous RunOnce , car cela interférera avec le programme d’installation de Windows.

 

UTILISEZ "WSUSOffline" COMMENT INSTALLER LES CORRECTIFS DES VERSIONS ANTERIEURES WIN10

Catalogue Windows Update 7/10/11


LoupeCliquez pour agrandir


LoupeCliquez pour agrandir

Voici la procédure à suivre : Téléchargez WSUSOffline du site 01net.com
Ou sur le site officiel : https://www.wsusoffline.net/docs/

Dézipper le package Wsusoffline109.zip en fonction de la version de l' OS avec Winrar.
Placez le dans un répertoire sur un de vos volumes. Il n'est pas nécéssaire qu'il soit sur C:\. Une fois copié dans le répertoire, lancez l'exécutable "UpdateGenerator.exe". La fenêtre ci dessous s'affiche :

Utilisation de WSUS
Cliquez pour agrandir

Cochez les cases; "Verify downloaded updates", "Include Service Pack", "Include C++".
Allez dans les options " Create ISO image(s) puis sélectionnez "per selected product and language"

Indiquez l'endroit ou vous voulez créer l'image ISO des correctifs. Sous USB medium cochez la case "Copy updates for selected products directory" puis indiquez l'endroit ou tous les correctifs seront compilés en une image ISO, par exemple dans D:\PCSVGDE_KBases. Enfin appuyez sur Start. Une fois le processus terminé, vous allez retrouver vos corectifs pour Windows x86 et x64 ainsi que les correctifs pour poste de travail si vous bénéficiez d'un serveur WSUS, comme ci-dessous:

Dans %HOMEDRIVE% ou un autre lecteur D:\PCSVGDE_KBases\w61\glb vous trouvez les correctifs pour processeurs x86

Dans D:\PCSVGDE_KBases\w61-x64\glb vous trouverez les correctifs pour processeurs x64.
Si vous désirez relancer les mis à jour cliquez sur wsusoffline\client\UpdateInstaller.exe

Les images ISO pour x86 et x64 se trouvent dans le répertoire d'installation de WSUSOffline dans le dossier "ISO" comme ci-dessous.

Déployer les correctifs via WSUS

Il existe un script "Windows Update PowerShell Module" Téléchargable ici pour déployer via WSUS

Résoudre les problèmes d'update de Windows10

Téléchargez l'utilitaire de résolution des problèmes de Windows Update, puis sélectionnez Ouvrir ou Enregistrer dans la fenêtre contextuelle. Si le menu contextuel ne s’affiche pas, il se peut que votre bloqueur de fenêtres publicitaires soit activé. Si vous utilisez Microsoft Edge, les instructions pour désactiver le bloqueur de fenêtres publicitaires sont ici. Si vous utilisez un autre navigateur ou un bloqueur de fenêtres publicitaires distinct, consultez le site Web du bloqueur ou du navigateur. Si vous sélectionnez Enregistrer, une fois le téléchargement terminé, vous devez accéder au dossier dans lequel vous avez enregistré l’utilitaire de résolution des problèmes, puis double-cliquer sur le fichier "wu.diagcab" le plus récent, pour ensuite exécuter l’utilitaire. Cliquez sur Suivant et suivez les étapes de l'Assistant pour rechercher et résoudre les problèmes liés à Windows Update de Windows 10.

INCONTOURNABLES IMAGES ISO

Des sites proposent le téléchargement d'images ISO de Windows corrompues ou contenant des malwares ;-( C'est le cas de sites peu regardant (winmacsofts.com) qui proposent de télécharger des image ISO de Windows depuis le site de Microsoft. Le comble c'est que l'image ISO ne provient pas de chez Microsoft. Difficile alors de monter cette image ISO comme un système et de l'installer ou de virtualiser en convertissant en VHD. En fonction de votre hyperviseur ou logiciel de virtualisation; ISO, ISZ, VCD, TIB, WIM pour Windows, IMG ou DMG pour Mac OS...

*Ne téléchargez pas un un programme ou une image .ISO sans précautions*

De nombreuses images ISO sont corrompues car non officielles, elles peuvent contenir du code dangereux qui doit générer des alertes sur votre antivirus (Voir ci-dessous).

Alerte Kaspersky

Téléchargez une image ISO d'un système Microsoft Officiel !

2 possibilités s'offrent à vous pour récupérer une véritable image ISO de Windows: soit récupérer une image ISO de votre système sur le site Microsoft, soit aller sur le site heidoc.net. Ces images ISO serviront de "médias de redémarrage" de réinstallation ou de système portable pour Windows (utilisable sur une Machine virtuelle) ainsi qu'en cas de perte du votre DVD d'origine, avec votre Serial. Utilisez la signature de de l'ISO dans les paramètres pour vérifier le certificat et son origine. Si vous avez une version OEM elle sera valable que pour la machine avec laquelle la version OEM est vendue. En principe l'OEM est rattachée à 1 machine et à ses composants matériels. La licence ne devrait fonctionner que sur cette machine. Donc gardez bien le numéro de Série de votre système Windows. Il existe cependant des moyens détournés et officiels de retrouver un "Serial" perdu.

1- Allez sur le lien suivant du site Microsoft avec votre numéro de série.

2- Autre option disponible avec l'utilitaire ISO Downloader du site heidoc.net.
Comme ci-dessous :

Avec la version 2.00 du logiciel Microsoft Windows and Office ISO Download Tool permet de télécharger toutes les versions de Microsoft Windows et d'Office. Pour la Version 2.03 la date de release est le 07-06-2016 et requière le .NET Framework 4.6.1 avec Internet Explorer 11, ainsi que la version Légale pour .NET Framework 3.5: Windows ISO Downloader Legacy.exe. Pour certaines fonctionnalités, référez vous aux articles sur les images ISO de Windows 7, de Windows 8.x et de Windows 10, ainsi celle d'Office 2013-16. Cette version 2.00 du logiciel Microsoft Windows and Office ISO Download Tool pour télécharger Microsoft Windows et Office.

La Version 2.03 requière les mêmes composants .NET Framework 4.6.1, IExplorer 11, version legale du .NET Framework 3.5: Windows ISO Downloader Legacy.exe

IISODownloader

 

SURVOL RAPIDE DE POWERSHELL ET MONITORING

Voir: les ports utiles TCP et UDP pour clients et serveurs Windows

Lire: dépannage des ports alloués aux services sur serveurs Windows

Lancez une commande MS-DOS en tant qu'Administrateur pour voir si les ports des partages sont ouverts et en connexion avec quels PC:
netstat -a -f -o [-afo]

Entrez la commande suivante pour identifier vos ports IPv4 liés à IPv6 sur les ports dynamiques:
netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp

La plage de ports dynamiques commence à partir du port 49152 jusqu'àu dernier port 65535. Soit près de 16384 ports utilisables (prendre en compte le 0 ainsi que les ports alloués aux applications)

Description de l'utilisation des ports TCP et UDP

Depuis WS2K8 la plage des ports allouée dynamiquement a changé
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
netsh int ipv6 set dynamicport tcp start=10000 num=1000
netsh int ipv6 set dynamicport udp start=10000 num=1000

Port utiles sur Windows serveur

Ports utilisés dans Configuration Manager

Pour vérifier le MTU sur Windows 10 avec PowerShell et TCP/IP

Le MTU par défaut est de 1500 octets.
Si vous voulez creuser un peu le sujet je vous suggère de visiter la base du site :

Knowledge base de Palo Alto
Les en-têtes IPv4 et IPv6

Pour vous connecter à votre FAI ou ISP un "socket sécurisé" ou canal sécurisé est nécéssaire. Ce canal chiffré initie une connexion entre votre Box et votre FAI ou encore entre votre poste de travail et le serveur d'authentification du réseau de votre entreprise.

Les sockets sont utiles dans au moins trois contextes de communication :
- Modèles client/serveur
- Scénarios d’égal à égal, tels que les applications de Messagerie. (Attention à recréer la connexion)
- Pour éffectuer des appels de procédure distante (RPC) en demandant à l’application réceptrice d’interpréter un message comme un appel de fonction.

La spécification Windows Sockets définit une interface de programmation réseau compatible binaire pour Microsoft Windows. Les sockets Windows sont basés sur l’implémentation de sockets UNIX dans berkeley Software Distribution (BSD, version 4.3) de l’Université de Californie à Berkeley. La spécification inclut à la fois des routines de socket de style BSD et des extensions spécifiques à Windows. L’utilisation de Windows Sockets permet à votre application de communiquer sur n’importe quel réseau conforme à l’API Windows Sockets. Les sockets Windows assurent la sécurité des threads.

En cas de doute si vous pensez que votre système a été corrompu, voici comment réintialiser la pile TCP ou le(s) socket de Windows (winsock) avec Powershell ?

Via MS DOS et Powershell avec les droits Administrateur (Windows 10-11)

Commandes MS DOS en tant que Administrateur:
1. netsh winsock reset catalog
2. netsh interface>ipv4 reset C:\>resetall.log
3. netsh interface ipv6 reset C:\>resetall.log

Entrez dans le prompt MS DOS, la commande est; "netsh int ipv4 reset" puis valider par Entrer. la commande est la même avec IPv4-6 sous Powershell: netsh int ipv6 reset (netsh interface ipv6 reset)
Redémarrez et connectez internet après avoir de préférence vérifié votre IP (si vous utilisez un DHCP ou une IP fixe)

Port utiles sur Windows serveur

Ports utilisés dans Configuration Manager

Lire: Comment empêcher le trafic SMB d’avoir des connexions en cours et d’accéder ou de quitter le réseau local qui nécessite d'avoir un pare-feu en aval.

Lire: Comment savoir si quelqu’un s’est connecté à votre ordinateur

N'oubliez pas aussi de vérifier le cache DNS côté Client avec les commandes:
ipconfig /displaydns >C:\verifcachedns.log
ipconfig /flushdns

Flushdns videra le cache DNS si vous avez laissé coché la case "Enregistrer les adresses dans le système DNS":

Windows PowerShell est l'environnement de script créé par Microsoft. Il est conçu pour fournir une solution unifiée de script et d'automatisation Windows incroyablement riche et redondant, mais particulièrement éfficace, capable d'accéder à une large gamme de technologies telles que.NET, COM et WMI grâce à ce seul outil. Depuis sa sortie en 2006, PowerShell est devenu le composant de toutes solutions de gestion basée sur le .NET Framework permettant le support aux scripts et à l'automation. Intégré depuis XP en option, puis nativement sur Windows 7. Cette interface en ligne de commandes ou CLI ressemble étrangement aux commandes Shell d'Unix. Il facilite la gestion des postes clients sur des parcs de moyenne et grande tailles sans avoir à implémenter un logiciel de gestion distribuée pour les postes avec une interface Java. L'utilisation de tâches, l'installation à distance de logiciels, des mises à jour ou l'accès aux postes d'une même structure en fait un outil d'administration incontournable. Il convient cependant de signer les connexions entre la console du poste d'administrateur PowerShell et les postes clients. Powershell est restreint sur Windows par défaut. Il faut paramétrer les Polices d'exécution et appliquer des signatures et authentifications chiffrées.

Vous pouvez le constater par une simple cmlet "Get-executionPolicy" sur Windows 7:
PS>C:\Users\Administrator.C-PC> Get-ExecutionPolicy
ce qui affiche le résultat
Restricted

Ressemblances entre batch MS DOS, PowerShell et bash Unix-Linux


LoupeCliquez pour agrandir

Flèches Haut et Bas => déplace le curseur de de Haut en bas.
Flèches Gauche et Droite => Parcours la liste des dernières cmdes saisies.
MAJ => Bascule en mode Insert et Replace.
Supp => Supp le caractère de la position courante du curseur.
Espace Arr=> Supprime le caractère juste avant la position courante du curseur.
F2 => Affiche l'hsitorique des dernières commandes.
TAB => Complète automatiquement les éléments de la ligne de cmdes (Autocomplétion)

DEFINIR LES STRATEGIES D'EXECUTION de POWERSHELL

PowerShell vous permet de créer et de lancer des scripts système avancés. Cependant, par défaut, les scripts PowerShell sont automatiquement non définies ou bloquées.
Voici comment avec la cmdlet ExecutionPolicy autoriser ou refuser les accès sur les Hives du registre pour les portées "CurrentUser" et "LocalMachine".

Syntaxe des ExecutionPolicy
[-ExecutionPolicy] {Unrestricted | RemoteSigned | AllSigned | Restricted | Default | Bypass |
Undefined} [[-Scope] {Process | CurrentUser | LocalMachine | UserPolicy | MachinePolicy}]

Cliquez avec le bouton droit de la souris sur Windows PowerShell puis cliquez sur Exécuter "en tant qu'Administrateur".

Dans la fenêtre qui s'ouvre, saisissez l'applet Set-ExecutionPolicy RemoteSigned puis validez par Entrée.

Appuyer sur Enter pour Valider

Appuyez sur [O] pour valider l'exécution des scripts PowerShell signés sur votre ordinateur.

Après avoir validé, entrez la commande "Get-ExecutionPolicy" pour vérifier que les scripts distants seront signés.

Conseil: Lorsque votre PC est sur un annuaire Active Directory, les stratégies d’exécution sont contrôlées via les stratégies de groupe ou GPO. Celles-ci sont toujours situées au-dessus des autorisations des stratrégies locales donc plus efficaces contre les exécutions indésirables. Vérifiez les stratégies définies avec «Get-ExecutionPolicy -list». Si les paramètres sont définis sur RemoteSigned, cela signifie que les scripts locaux et les scripts à distance devront avoir une signature numérique. Si le script lui-même est maintenant simplement défini sur non-restreint ou Unrestricted puis mis à disposition localement, une fenêtre d'avertissement indiquera les risques encourus en cas de mauvaise intention.

Vérifiez les stratégies définies la cmdletGet-ExecutionPolicy et l'argument -list

Exemple de restrictions sur l'utilisateur courant:
PS>Get-ExecutionPolicy -List
Scope ExecutionPolicy
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser RemoteSigned (utilisateur courant du registre)
LocalMachine Unrestricted (machine locale du registre)
ou RemoteSigned (sur le réseau d'une machine distante)

Par défaut, les stratégies d'exécution de PowerShell sont Restricted et Undefined pour les portées "CurrentUser" et "LocalMachine"; cela signifie que les scripts ne s'exécuteront à distance qu'avec un avertissement. Vous pouvez vérifier le paramètre de stratégie d'exécution à l'aide de la commandlet "Get-ExecutionPolicy", comme illustré ci-dessus. Vous pouvez aussi modifier le comportement d'exécution des scripts PowerShell à l'aide de la cmdlet
Set-ExecutionPolicy -scope "Hive"ou "nom de la portée".

Stratégie par défaut "Restricted" et "Undefined"

Comme son nom le suggère "Restricted" restreint toutes les exécutions non signés des scripts. Seuls les scripts locaux peuvent être lancés mais aucun script ne peut s'éxecuter à distance:

Remettre les restrictions par défaut:

Revient à mettre les restriction sur Undefined ou Restricted
Entrez la commande:
PS>set-executionpolicy Default


LoupeCliquez pour agrandir

Ou encore en utilisant l'argument Unrestricted
PS>set-executionpolicy Unrestricted

Message de "Execution Policy Change":
La stratégie d'exécution permet de vous prémunir contre les scripts que vous jugez non fiables. En modifiant la stratégie d'exécution, vous vous exposez aux risques de sécurité décrits dans la rubrique d'aide about_Execution_Policies. Voulez-vous modifier la stratégie d'exécution ? [O] Oui [N] Non [S] Suspendre [?] Aide (la valeur par défaut est « O ») Une fois que vous avez répondu par OUI
Vérifiez les restrictions appliquées à votre compte ou votre machine locale:
CurrentUser ou à votre Machine LocalMachine

Cependant la stratégie d’exécution Undefined remplace par défaut les restrictions d’exécution des scripts ou de chargement des modules. En ce qui concerne les scripts qui n'ont pas de certificat un avertissement apparaît.
PS C:\Scripts> .\ScriptDistant.ps1

Avertissement de sécurité:
N’exécutez que des scripts que vous approuvez. Bien que les scripts en provenance d’Internet puissent être utiles, ce script est susceptible
d’endommager votre ordinateur. Voulez-vous exécuter C:\Scripts\ScriptDistant.ps1 ?
[N] Ne pas exécuter [O] Exécuter une fois [S] Suspendre [?] Aide

Modifiez la stratégie pour une portée spécifique avec -Scope:

Vous pouvez modifier le registre et forcer le comportement des stratégies d'exécution de PowerShell à l'aide de la cmdlet
PS>Set-ExecutionPolicy -Scope "LocalMachine" -ExecutionPolicy "RemoteSigned" -force
PS>Set-ExecutionPolicy -Scope "CurrentUser" -ExecutionPolicy "AllSigned" -force

La stratégie qui s'applique à "LocalMachine" est supérieur à celle de "CurrentUser"

Cela donne le résultat:
PS>C:\Windows\system32> Get-ExecutionPolicy -list

Les stratégies d'exécution sur RemoteSigned pour LocalMachine et AllSigned pour CurrentUser sont à mon sens les mieux adaptées pour un poste personnel Windows relié à internet.Pour un serveur, la convention impose pour l'exécution des scripts à distance que les paramètres viennent des stratégies de sécurité; les scripts lancés à distance doivent s'éxécuter avec une signature numérique et un certificat d'authentification. Le respect des conseils et la maîtrise du processus de signature du code sont essentiels à la protection de l’environnement PowerShell. Appliquez les stratégies d'exécution et maîtrisez le processus de signature du code pour la protection de l’environnement PowerShell !

Vérifier aussi l'existence de votre profil Powershell


LoupeCliquez pour agrandir

Redémarrer ensuite PowerShell puis entrez:
pwd pour savoir ou vous vous situez dans l'arborescence puis:

Verifiez la version installée sur votre système

Vérifiez votre PSVersion, BuildVersion ou la version de PowerShell que vous utilisez.

AJOUT DE MODULES POWERSHELL A PARTIR DE SITES DE CONFIANCE OU LOCALEMENT

1 -Commencer par créer un point de restauration avec Powershell
PS C:\>Checkpoint-Computer
cmdlet Checkpoint-Computer at command pipeline position 1
Supply values for the following parameters:
Description: 1

2 -Vous pouvez en fonction de votre OS et de votre version PowerShell utiliser la cmdlet :

Vous pouvez aussi tenter de mettre à jour votre version avec la KB3191566-x32ou x64 pour Windows 7 et server 2008 Release 2 par exemple.
Mais il semble que cette méthode lorsqu'elle est utilisée sur Win7 ne soit pas très stable. Auquel cas, désinstallez la Mise à jour KB3191566 !

Si vous possédez Windows 10 et après avoir défini les politiques d'exécution vous pouvez utiliser la commande suivante pour mettre à jour vos modules:

Ce qui lance Powershell en invoquant " -importSystemModules":
"Powershell.exe -NoExit -importSystemModules"
Le chemin étant:
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -NoExit -ImportSystemModules

Comme ci-dessous les updates et modules peuvent être installés à l'aide des cmdlets :
Get-help ou Update-Help
Get-help About_Modules
et
PS>Update-Module

Vous serez certainement "invité" à installer des modules comme "NuGet"

 

LoupeCliquez pour agrandir

Puis de répondre par "Yes" pour mettre à jour votre version de Powershell.

1) Localement trouver l'emplacement de vos modules en saisissant la commande:
dir env:psmodulepath
Ou encore avec une redirection:

2) Copier les fichiers appartenant à ce module dans un répertoire identifié, et mettez le dans le sous-répertoire créé avec le nom de la commande par exemple.

3) Importez le module :
PS>C:\users\mon-nom\Mes_modules> import-module "Nom du module"

4) Pour le tester ensuite, il faut saisir les commandes appartenant à ce module.
Vous pouvez les listez ainsi : 
get-module Nom.du.module
Ou récupérer les noms des modules dans le pipeline avec un fichier de "résultat"

permet de savoir rapidement quels sont les services actifs ou inactifs en utilisant le module Windows PowerShell et son interface sous MS-DOS. Entrez cmd en tant qu'Administrateur puis taper powershell.

Powershell liste des svc

Les Opérateurs de résultat : ">"

Lister le liste de services actifs avec la commande SC.exe
cmd /k net start >services.log à partir de l'invite avec les droits d'administrateur entrez; sc query >C:\servicesactifs.txt
C:\Windows\sc query (liste les services) (>= redirection vers) C:\servicesactifs.log

Ouvrir le fichier sur C:\servicesactifs.txt avec un éditeur de texte

Avec la Console WMI
wmic service get state,displayname

liste des services avec WMI

Entrez dans une invite de commande en mode Administrateur:
wmic:root\cli>/?

Tutoriel WMICTutoriel WMIC : Commandes utiles

Avec PowerShell

Services démarrés ou arrêtés
Start, stop, restart, resume, etc.

Rédémarrer ou arrêter un service:

Lister les Services "Running ou Stopped" à savoir démarrés ou arrêtés avec la cmdlet "
Get-service" avec Pipeline "|" comme flux de redirection puis "Out-File" comme flux de sortie:

Afficher les services arrêtés avec l'argument "Where-Object", valable pour les process ou tous autres fichiers systèmes actifs:
Les Pipes correspondent aux flux de redirection puis de sortie de cmlet.

Services Start:
PS>Get-Service | Where-Object { $_.status -eq "running" } | Out-File C:\svcstart.txt

Opérateurs de sortie, de résultat ou de redirection

Windows PowerShell fournit plusieurs applets de commande qui vous permettent de contrôler directement la sortie de données. Ces applets de commande partagent deux caractéristiques importantes. Tout d’abord, elles transforment généralement les données en une forme de texte. Elles opèrent de la sorte, car elles envoient les données à des composants système qui requièrent une entrée de texte. Cela signifie qu’elles doivent représenter les objets sous forme de texte. Le texte est mis en forme tel qu’il apparaît dans la fenêtre de la console Windows PowerShell.

operateurs de redirection

Avec les applets il est possible d'utiliser les commandes ou arguments "Out, Out-write, Out-Host, Out-File", car elles envoient des informations de Windows PowerShell vers un autre emplacement. L’applet de commande Out-Host ne fait pas exception : l’affichage de la fenêtre hôte se trouve en dehors de Windows PowerShell. Ceci est important car, lorsque des données sont envoyées hors de Windows PowerShell, elles sont réellement supprimées. Vous pouvez le constater si vous tentez de créer un pipeline qui pagine les données vers la fenêtre hôte, puis tentez d’appliquer une mise en forme de liste, comme illustré ci-dessous :

Lister les connexions TCP/IP sur un PC Windows


LoupeCliquez pour agrandir

Powershell
PS C:\WINDOWS\system32> Test-NetConnection -port 52410 -computername cloud19.netim.net
AVERTISSEMENT : TCP connect to (###.##.##.#4 : 52410) failed
ComputerName : cloud19.netim.net
RemoteAddress : fe80::d284:b0ff:fe6c:dd82
RemotePort : 52410
InterfaceAlias : Ethernet
SourceAddress : 192.168.0.16
PingSucceeded : True
PingReplyDetails (RTT) : 13 ms
TcpTestSucceeded : False

LISTER LES PROCESSUS

Sortie de la cmdlet Get-process avec le pipeline et Out-Host :

L’applet de commande Out-Host envoyant les données directement à la console, la commande Format-List ne reçoit jamais rien à mettre en forme.
La façon correcte de structurer cette commande consiste à placer l’applet de commande Out-Host à la fin du pipeline, comme illustré ci-dessous. Ainsi, les données du processus sont mises en forme de liste avant d’être paginées et affichées.

PS> Get-Process | Format-List | Out-Host -Paging

LISTER LES REGLES DE PARE-FEU

Cela s’applique à toutes les applets de commande Out. Une applet de commande Out-* doit toujours apparaître à la fin du pipeline.

Les opérateurs de redirection redirigent uniquement les flux vers des fichiers ou des flux vers des flux.
L'opérateur de canalisation ou pipeline achemine un objet dans le pipeline vers une applet de commande puis vers une sortie.

Apprendre Powershell

 

REDIRECTION DE SORTIE ET DE RESULTATS

Out-File: Pipeline pour flux de sortie


Contenu du fichier C:\Services.txt ci-dessus

Pour rediriger le flux de sortie dans le CLI à l'instar de "Write-File" vous pouvez ajouter un fichier de résultat avec le paramètre -Append (Ajouter) après le pipeline | Out-File:
Le fichier files.txt sera ajouté à la liste des fichiers listés par la cmdlet Get-ChildItem
PS>Get-Process | Out-File -Append C:\proc.log
PS>Get-ChildItem | Out-File -Append C:\files.txt

Pour "Get-ChildItem" le résultat du conteneur Admibnistrateur se trouvera dans le fichier qui précède l'argument "-Append" à savoir dans "C:\files.txt"

Write-Output génère une sortie. Cette sortie peut aller à la commande suivante après le pipeline, ou à la console pour être simplement affichée.

La cmd envoie des objets dans le pipeline principal, également appelé "flux de sortie" ou "pipeline de réussite". Pour envoyer des objets d'erreur dans le pipeline d'erreurs, utilisez Write- Error.

1- Sortie pour la prochaine Cmdlet du pipeline

2- Sortie avant "Write-Output" dans le CLI

1.- La cmdlet Write-Output envoie l'objet spécifié dans le pipeline vers la commande suivante.
2.- Si la commande est la dernière commande du pipeline, l'objet est affiché dans la console.
3.- L'interpréteur PowerShell considère cela comme une écriture en sortie implicite. Étant donné que le comportement par défaut de Write-Output consiste à afficher les objets à la fin d'un pipeline.

Exemple
PS>Get-Process | Write-Output
est équivalent à Get-Process

Les messages peuvent être écrits avec;
Write-Verbose "Detailed Message"
Write-Information "Information Message"

Exemple de la commande Export
PS>Get-EventLog System | Export-Csv C:\temp\Eventsys

Utilisation du pipeline permet aussi de canaliser la sortie d'une applet de commande dans une boucle foreach:
Copie d'un répertoire vers une destination.

Write-Output génère une Sortie d'écriture. Cette sortie peut aller à la commande suivante après le pipeline ou aller à la console pour afficher le résultat.
La cmdlet envoie des objets dans le pipeline appelée aussi "pipeline de sortie ou de réussite".

Exemple avec write-output pour la cmdlet Get-Member:
PS> Write-Output "test output" | Get-Member

LISTER LES CORRECTIFS OU HOTFIXES

Tout d'abord, créer un répertoire "C:\temp" puis utilisez le script ci-dessous pour lister les KB ou correctifs de la bases de connaissances installées sur votre machine. Passez par l'invite de cmd. "Démarrer" puis "Exécuter" en tant que Administrateur puis créer la redirection vers le dossier C:\temp de manière à récupérer le contenu du fichier C:\temp\UpdateList.txtcontenant la liste des correctifs ou KB installées sur votre poste.

+ Simplement pour toutes les versions de XP à Windows 11, vous pouvez utiliser la commande "systeminfo" :
C:\>systeminfo >C:\sysinfo.log
Chargement des informations de correction...

Il vous restera à ouvrir le fichier log "sysinfo.log" avec un éditeur de texte.

Pour récupérer les détails copiez le script de la console WMI ci-dessous dans l'éditeur notepad:
wmic qfe GET description,FixComments,hotfixid,installedby,installedon,servicepackineffect >C:\UpdateList.txt

lister les maj

Le résultat lorsque vous ouvrez le fichier UpdateList.txt apparaît comme ci-dessous ;

listes des correctifs
LoupeCliquez pour agrandir

Avec PowerShell, la commande "verbe-noun" Get-HotFix donne le même résultat !

Les quotes = "." permettent de combler les noms de fichiers avec espaces dans les "chemins"
(Cela est une vielle convention chez Microsoft)...
Exemple: log infos.txt devra pour être pris en compte dans votre script être noté entre quotes "log infos.txt"

Si vous oubliez les Quotes comme ci-dessous un message d'erreur apparaît:

Les quotes ne sont pas présents sur le fichier de sortie "log infos" cela génère un code d'erreur:
Out-File : Cannot validate argument on parameter 'Encoding'. The argument "infos.log" does not belong to the set "unknown;string;unicode;bigendianunicode;utf8;utf7;utf32;ascii;default;oem"

Fichier de sortie dont le nom est entre "---" quotes vient du fait qu'il contient un espace => Log infos.txt.
Get-HotFix | Out-File "D:\Log infos.txt"

Lister le contenu d'un répertoire comme par exemple d'un site Web complet
PS> Get-ChildItem -Path D:\site1foplus -Force -Recurse > D:\1fosite.log

Le fichier "log infos.txt" contient les HotFix installés, ou les fichiers html, images, vidéos listées dans le fichier de sortie avec les redirections > ou Out-File.

Il est aussi possible de d'utiliser la cmlet Get-computerinfo avec dans une fnêtre avec un commutateur de résultat
PS>Get-computerinfo >D:\infospc.txt
PS>Get-computerinfo | Out-file D:\infospc.txt

 

GESTIONNAIRE D'IDENTIFICATION

les gestionnaires d'identification permettent d'enregistrer les "username/password" pour vous loguez à votre poste, l'accès à un site ou à un partage réseau

Les informations sont stockés ici en fonction de l'OS, mais encryptées:

Pour les comptes systèmes:

Vérifiez vos processus et connexions TCP avec PowerShell:

Ouvrir le fichier de résultat "tcpcx.log" dans Wordpad

SECURITE ET CERTIFICATS (à clés publiques ou privés)

Quand un certificat avec une cléf publique est créée sur un système, la cléf publique s'échange automatiquement. Ca fonctionne tout seul.
La cléf publique s'échange lorsque l'utilisateur est identifié ce qui n'est pas le cas avec une clef privée. Celle-çi doit être envoyée au destinataire à part afin qu'il puissse initier un accès à titre privé.

Voilà un exemple pour montrer comment on peut se protéger très efficacement.
Exemple de certificat sur lequel on voit mentionné la signature en shaRSA chiffrée en sha1, valable jusqu'en 2120

Ci-dessous on peut lire que la clé publique est en RSA 2048Bits
Ce qui est énorme comparé aux chiffrements utilisés sur les échanges réseaux il y a quelques années en 128 ou 512Bits !

Les n° 30 82 01 0a ## ## ## ## etc. correspondent à la la clé RSA 2048.
Si tu veux recréer un certificat c’est le même principe sur Linux Windows ou Apple.

Le Gestionnaire de Certificat s’ouvre avec la commande  Certmgr.msc  dans Exécuter

On retrouve le certificat personnel pour C PC à la dernière ligne en bleu avec la même date de validité (jeudi 12 décembre 2120)

- Un chiffrement en 2048 Bits est pratiquement impossible à casser.
- Il est possible de monter le chiffrement à 4096 avec un logiciel dédié

Exportez la clé.

On peut exporter le certificat en le sélectionnant et comme ci dessus en allant sur Exporter.

Puis en sélectionnant les échanges d'informations personnelles.

Insérer un mot de passe, clé de chiffrement.


Enregistrez le en choisissant de préférence un stockage externe comme une clé USB.

Ensuite renseignez le nom du fichier et enregistrez le certificat avec clé privé de préférence sur un média externe.

Pour chiffrer un document, faites un clic droit puis allez sur Propriétés puis cette fenêtre s'affiche

Cochez la case "Chiffrer le contenu pour sécuriser les données" et afficher le bouton Détails

Mettre en place EFS pour chiffrer les dossiers et fichiers avec l'Agent de restauration

 

SECURITE: SE PROTEGER DES MALWARES ET RANSOMWARE SOUS WINDOWS

Si vous avez la possibilité d'utiliser un VPN, Tor ou OpenVPN qui transite par des Proxies avec un pare-feu couplé avec celui de Windows 10, un bon antivirus et une supervision de vos connexions ainsi que de vos navigation sont le moyen adéquate d'éviter les intrusions.
Il faut savoir que le danger vient surtout de ce que vous téléchargez, des pièces jointes autant que des logiciels repackagés ou des sites inconnus.
Utilisez autant que ce peut un chiffrement de vos données personnelles et allez sur des sites qui de préférence sont en httpS.
Sachez cependant que près de 20.000.000 d'utilisateurs de Chrome ont été victimes de Faux Ad Blockers !

Voilà l'action d'un faux bloqueur de publicité
1. Il cache du code malveillant dans une bibliothèque javascript bien connue (JQuery).
2. Ce code renvoie à leur serveur des informations sur certains des sites Web que vous visitez.
3. Il reçoit les commandes du serveur distant du centre de commande. Afin d'éviter la détection, ces commandes sont cachées dans une image d'apparence inoffensive.
4. Ces commandes sont des scripts qui sont ensuite exécutés dans le contexte privilégié ("page d'arrière-plan" de l'extension) et peuvent modifier le comportement de votre navigateur de n'importe quelle manière.
Fondamentalement, il s'agit d'un botnet composé de navigateurs infectés par les fausses extensions adblock. Le navigateur fait tout ce que le propriétaire du serveur du centre de commande lui ordonne de faire.

Soyez vigilant !
Lire sur le site de AdGuard en anglais

Le Phishing est aussi très répandu : soyez prudent lorsqu'il s’agit de télécharger ou de publier des données personnelles, particulièrement lorsqu'il ne s'agit pas de vous... Répondre à une offre de téléchargement gratuite, gagner un cadeau, succomber à des offres à des prix très attractifs, peut comporter certains risques... En aucun cas il ne doit vous être réclamé de compensation financière pour participer à un tirage au sort ou de renseigner un formulaire de données personelles pour mettre vos données bancaires à jour par exemple.

Phishing - Forme d'escroquerie très prisée ces dernières années qui consiste à prendre l'identité d'une entreprise connue et reconnue sur un e-mail pour inciter les destinataires à changer ou mettre à jour leurs coordonnées bancaires ou autres via des pages imitant celles de l'entreprise dont l'image a été utilisée pour l'escroquerie.

Utilisez un module contre le Phishing et le Spam voir un gestionnaire de Cookies pour votre messagerie et contre le tracking pour votre Navigateur (Il en existe pour chacun d'eux; IExplorer, Chrome, Firefox, Opera, Safari, etc.) Dans les réglages du navigateur vous trouverez les paramètres pour éviter de se faire "tracker".

Réparer Windows 10 avec une GUI pour DISM

CONSEILS POUR LA MESSAGERIE

Gardez bien les mails indésirables dans le dossier "indésirables ou Spam" pour renseigner la base de données de noms 'DNS'. En cas de doute, n'oubliez pas de vérifiez l'expéditeur ainsi que l'en-tête du courrier.

Le cas échéant vous pouvez toujours vérifier l'expéditeur du courrier sous Gmail en ouvrant "Affichez l'original" !

vérifiez l'origine d'un mail

Evitez les clés USB pour tranférer vos données personnelles d'une machine à une autre dans un environnement extérieur. Il existe dans Windows des paramètres qui empêchent d'utiliser des clés USB en dehors des environnements validés. Cela est possible grâce à la stratégie de sécurité : Démarrer: C:\Windows\system32\secpol.msc.

Demandez cependant à un technicien qui connait bien les stratégies de changer les paramètres. Cela est indispensable car bien que la stratégie de sécurité locale puisse restreindre beaucoup de paramètres il est préférable d'appliquer des stratégies de sécurité sur des groupes via Gpedit.msc et un réseau Active Directory. Si vous vous lancez dans le paramétrage des stratégies de sécurité cela pourrait se solder par des blocages à vos depends; renseignez vous et vérifier que votre antivirus scan les volumes "montés" (mount) via l'USB comme c'est le cas pour les disques durs externes ou les clés USB insérées sur votre PC ou transférer les données par le Cloud.

Utilisez un mot de passe pour chaque service ou portail avec un changement régulier (cela dépendra du nombre de tentatives de connexions non désirables que vous aurez auditées). Faites en sorte d'utiliser un mot de passe pour chaque service comme Facebook, Google, Outlook, Amazon etc… Plus le mot de passe est long plus il est difficile à craquer. Lorsqu'un hacker va cracker un mot de passe, une des premières choses qu’il va faire c’est de tenter de savoir s'il existe une correspondance entre ce mot de passe et d’autres sites internet ou votre messagerie. Evitez donc "d'agréger" vos identifiants. Utilisez un nettoyeur de traces, pour éffacer les fichiers temporaires, cookies et traces laissés sur Internet comme "CCleaner" au plus puissant "DiskMax" tous les deux gratuits. On l’a vu avec la fuite de LinkedIn, les mots de passe mis en vente datent de 2012, soit près de 4 ans. Il existe des applications avec votre suite Antivirus pare-feu ou bien pour Android qui permettent gérer vos mots de passe. Il en est de même sur Microsoft, Linux ou MacOS. Lorsque vous êtes connectés sur des portails (FAI, Moteurs de recherche, sites avec authentification forte, espaces collaboratifs). Déconnectez-vous toujours lorsque vous quittez le portail. Cela vous permettra de désactiver le cookie de connexion et de moins laisser de traces.

Lire sur les bundleware

sur le site d'Eset le glossaire des "arnaques potentielles".

Références

PowerShell de A à Z et l'administration

Une Interface Graphique pour les Utilisateurs de DISM

- Version 1.3.0 : Dism-Gui_1.3.0.zip (232 Ko) 64 bits uniquement

- Version 1.2.9 : Dism-Gui_1.2.9.zip (388 Ko) 32 bits et 64 bits
Remerciements à Wolfgang que je ne connais pas pour l'outil en relation avec le site Malekal !

Administration Unix

Linux administration du réseau

Lire : Support Apache (D.Szalkowski)

Lire : Tutoriel WMIC de Malekal ou Gestion WMI

1foplus-2021-23