administrat_reseau

8/3/2019 administrat_reseau

1/11

Cours :Administration d'un rseau localPublic :B.T.S. InformatiqueAuteur : P. Pinault

Copyright (c) 2003 Paul PinaultPermission is granted to copy, distribute and/or modifythis document under the terms of the GNU FreeDocumentation License, Version 1.2 or any laterversion published by the Free Software Foundation;with no Invariant Sections, no Front-Cover Texts, andno Back-Cover Texts. A copy of the license is includedat .http://www.fsf.org/copyleft/fdl.html

Administration d'un rseau local

I. Scurit :

La scurit est avant tout un ensemble de prconisations qu'il faut adapter aux besoins dechaque cas recontr. Il n'y a pas une seule mthode mais un ensemble de notions prendre en compte. Cechapitre tache d'en tablir une liste qui ne peut tre considre comme exhaustive.

La scurit mettre en oeuvre dpend principalement des moyens qui seront mis en oeuvrepour les attaques et donc principalement de ce qui est scuriser. Il s'agit de trouver un juste quilibre entrele cot de la scurit et les risques assumer.

Lors de la mise en place d'une politique de scurit, il est important de se rappeler que lascurit doit tre au service des utilisateurs, que ceux-ci ne doivent pas tre gns dans leur travail. Unescurit qui ne se soucie pas des utilisateurs trouve trs souvent l sa principale faille car le facteur humainreste toujours le maillon faible de la scurit.

Une politique de scurit prend en compte non seulement la scurisation de l'accs aux donnesmais aussi la protection des donnes et de l'outils de production face des vnements ventuellementdestructeurs comme le vol, l'incendie ...

a Scuriser l'accs physique au matriel

Protger les locaux au travers d'une politique globale de scurit : filtrage des accs

l'entreprise, mise l'cart du matriel sensible (serveur, lments actifs du rseau ...) Protger le matriel et les donnes des agressions extrieures : utilisation de prises para-

foudre, sauvegardes dlocalises, systme anti-incendie. Prenez en compte l'ensembledes risques ventuels comme les inondations car le matriel rseau n'est pas vident dplacer.

Protger le matriel du vol : les quipements critiques (serveurs, lments actifs et

passifs du rseau) ne doivent pas tre accessible tous. Prvoir des connexions rseaux de secours : un cble peut tre victime d'un engin de

chantier, de rats ... La rparation peut tre une opration longue, bloquant la production.

b Scuriser les donnes

Sauvegarder toutes les donnes : implique la mise en place de systmes de stockage

centraliss, plus srs que la sauvegarde de nombreux rpertoires sur de nombreusesmachines. Implique aussi d'tre mme de pouvoir restaurer les sauvegardes faites.

Sortir les donnes de l'entreprise pour les protger d'un incendie par exemple. Ceci doit

tre fait dans le respect des rgles de confidentialit dites dans la politique gnrale descurit... Des entreprises proposent ce type de service.

Utiliser des systmes de stockage redondants, de type RAID, permettant de rcuprer

les donnes lors du crash d'un disque sans rupture du service. Utiliser des antivirus qui seront rgulirement mis jour. Sensibiliser le personnel sur la

provenance des virus et les rgles simples suivre pour les viter.

Page : 1 / 11


2/11



c Garantir la continut du service

Utiliser des serveurs aux services redondants (contrleurs de domaineprincipaux/secondaires par exemple) pour palier aux problmes lis l'interruption deservice.

Utiliser des systmes de sauvegarde permettant un changement de support chaud (Hot-

Plug) en cas de problme. Utiliser des systmes intgrant une alimentation redondante, lment souvant le plus

faible. Prvoir des solutions contre les micros-coupures et coupures de courant pour, la fois

viter un arrt non scuris des serveurs, viter un redmarrage long des services etainsi permettre une utilisation continu du matriel, y compris durant une coupure decourant. Dans ce dernier cas, tous les lments doivent tre scuriss : oublier le

matriel rseau par exemple rendrait la dmarche totalement inefficace. Prvoir la reconstruction rapide d'un systme dtruit : cration d'une image du systme

de base. Investir dans du matriel de qualit.

d Scuriser l'accs au rseau

Ne pas brasser (activer) les prises non utilises de sorte viter les connexions

imprvues et l'coute du rseau (des mots de passe peuvent circuler en clair, comme bonnombre d'informations stratgiques).

Eviter ou plutt restreindre l'allocation dynamique d'adresses IP de sorte ne pas

simplifier la tche d'un ventuel pirate. Limiter et surveiller les adresses MAC (adressesphysiques des cartes rseau, difficiles modifier) de sorte prvenir de la connexiond'un appareil non autoris.

Utiliser au maximum des quipements de commutation (switch) de sorte limiter les

possibilits d'coute sur le rseau. Utiliser avec prcaution les technologies sans fil, toujours activer le maximum de

protections possibles (cryptage, restriction d'accs...)

e Scuriser l'accs aux donnes et logiciels

Limiter les accs aux personnes en ayant besoin : mettre en oeuvre une politique de

gestion de comptes utilisateurs, associs des mots de passe.La politique de gestion des mots de passe est un point important de la politique descurit : le choix des mots de passe doit tre de prfrence l'origine des utilisateurs desorte simplifier leur mmorisation. Un mot de passe difficile mmoriser est un motde passe crit ct de l'ordinateur ! Toutefois, certaines rgles doivent tre mises enplace pour contraindre l'utilisation de mots non disponibles dans un dictionnaire :utilisation de minuscules, majuscules, caractres spciaux et taille minimale... Les motsde passe ne doivent pas tre chang trop souvent pour tre bien accepts, toutefois, il estimpratif de maintenir la base des mots de passe (et des utilisateurs) jour : le dpartd'une personne doit imprativement avoir pour effet la suppression (ou la dsactivation)de son compte. Testez vous mme les outils des pirates sur vos propres bases.

Restreindre au maximum les plages d'accs possible : de nombreuses attaques ont lieulorsque personne n'est prsent (nuit, week-end) autant interdire tous les accs cesmoments l.

Page : 2 / 11


3/11



Utiliser des moyens d'identification forts si le besoin se prsente : carte puce,

biomtrie... Empcher les accs aux lecteurs de disquettes ou CDROM qui peuvent tre utiliss pour

dmarrer un systme permettant de cracker le systme prsent sur le disque.Gnralement une protection du Bios associ la suppression du demarrage sur cespriphriques aura un effet suffisant... toutefois, le mot de passe du bios est simple supprimer... Empcher alors l'ouverture du micro-ordinateur (solution permettant delimiter galement les vols).

f Scuriser l'accs au rseau

Le rseau est un point sensible du systme : du fait de sa connexion vers le monde

entier il offre des individus physiquement loigns, comme aux employs, un accs vosdonnes.

Sparer le rseau interne de l'accs externe en utisant des lments ddis cel : les

FireWall. Prfrez l'utilisation d'un quipement spcifique ou ddi plutt quel'activation de cette fonctionnalit sur un serveur proposant d'autres services.

Mettre en place un systme de suivi des intrusions de sorte valuer le risque un

moment donn. Mettre en place un systme de suivi des connexions de sorte dtecter d'ventuelles

anomalies. Sparer le rseau interne (priv) du rseau public (ensemble des services mis

dispodition depuis Internet) . La partie publique de l'entreprise est place dans une zonenon scurise appele (DMZ Zone DMilitarise). Cette DMZ peut toutefois tre filtreau travers d'un FireWall. Un FireWall beaucoup plus scuris sera mis en place entre lerseau priv et le rseau public. Le but de cette dmarche et de protger le rseau privd'une attaque provenant de la DMZ. En effet, il est plus difficile de protger un serveurqui doit tre public.

Suivre les mises jours de logiciels et systmes ainsi que les rapports de bugs publis

frquement. Prvenir tant toujours mieux que de gurir.

Malgrs la mise en oeuvre de toutes ces rgles et de sans doute bien d'autres

encore, la scurit d'un systme ne peut tre assure qu'avec l'aide des utilisateurs. Ceux-cidoivent donc tre sensibiliss aux risques et connaitre les rgles de base de la scurit comme

par exemple ne jamais donner son mot de passe, y compris l'administrateur qui, normalement,ne doit jamais en avoir besoin. La faon la plus simple de pntrer un systme tant biensouvent d'en demander l'accs un utilisateur non averti.

Une nouvelle fois, gardez toujours en tte que l'administrateur systme doit tre auservice de l'utilisateur de l'informatique, toutes les rgles mises en oeuvre, aussi restrictivesqu'elles soient doivent tre accompagnes d'un service irrprochable de votre part les rendantainsi transparentes et surtout non contraignantes.

Page : 3 / 11


4/11



II.Mise en place de serveurs :

a choix du matriel

Le mot serveur, n'est pas associer avec ordinateur dernier cri... comme pour toutsystme il est ncessaire d'valuer le besoin exact de sorte obtenir le service dsir un cotadapt. Le choix du matriel doit surtout se faire suivant des critres d'volutivit et de qualit.Les puissances et quantits de mmoire ncessaires sont gnralement value par les diteursde logiciels et fonctions du nombre d'utilisateurs ou connexions attendu. S'y rfrer estl'assurance d'une puissance suffisante sans exagration.

b choix des logiciels

Il est important de s'lever au dessus des guerres de clochers entre solutions libresou propritaires pour choisir un systme en fonction de ses besoins. Il est important que lesystme rponde exactement au besoin et n'entraine pas de ralentissement de la production. Ilest tout aussi important que le logiciel soit conforme aux besoins, tablis, de scurit.

Il est de l'attribution de l'administrateur de grer correctement les licenses deslogiciels. Les risques encourus par l'entreprise en cas d'utilisation frauduleuse de logiciels sontconsquents. Vous devez donc veiller tenir jour la liste des logiciels installs et vous assurerque l'entreprise possde bien toutes les licences associes. Les licenses peuvent tre tablies parsige ou par serveur. Dans le premier cas, vous devez possder une licence par utilisteur

potentiel du logiciel. Il s'agit du mode gnralement rencontr lorsque le logiciel est installdirectement sur le poste client. Dans le second cas, la license limite le nombre d'utilisateurssimultans du logiciel. Ce mode est courant dans une utilisation de serveurs d'applications. Lenombre des accs un serveur Windows est aussi contraint par le mme systme de licence,ainsi, il faut veillez, en plus de l'achat du systme l'enregistrement de suffisemment delicences pour permettre aux utilisateurs un accs simultan.

Il est important que les utilisateurs ne puissent pas installer de logiciels sur leursordinateurs, sans quoi vous ne pourrez matriser la gestion des licences. Il est tout aussi videntque vous devez trouver pour eux des solutions leur besoin. Les logiciels libres sont souventune solution gratuite et de bonne qualit. Refuser de trouver une solution est sans nul doute le

meilleur moyen de s'exposer des installations anarchiques d'outils pirats.

c mise en oeuvre de technologies RAID

Les normes RAID (Redundant Array of Independent Disks) sont employes lorsde l'utilisation de grappes de disques :

RAID0 : permet l'utilisation de plusieurs disques physiques comme un seul disque

logique de trs grande taille. Cette norme permet de s'affranchir de la limite d'espaceoffert par les disques dur du march.

RAID1 : utilisation de 2 disques comme un seul (miroir). Ce systme offre deux

avantages : augmenter le dbit du disque logique ainsi cr (deux accs concurentspossibles en lecture) et scuriser les donnes. En effet, la destruction d'un disquen'entraine pas la perte de la copie prsente sur le second.

Page : 4 / 11


5/11



RAID2 : rpartition de l'information sur plusieurs disques et ajout de codes dedtection/correction d'erreurs sur d'autres disque. Cette architecture est peu utilise du

fait qu'elle n'apporte pas grand chose par rapport aux autres systmes RAID. RAID3 : stockage des donnes sur plusieurs disques en parallle, un disque

supplmentaire est utilis pour stocker la parit. Cette information est suffisante pourrcuprer l'information totale lors de la destruction d'un disque. Cette technologie estobsolte.

RAID4 : version amliore de RAID3, elle aussi obsolte. Le principal problme des

configuration RAID3 et RAID4 vient du fait que le disque de parit constitue ungoulot d'tranglement car il doit tre mis jour lors de chaque criture.

RAID5 : fonctionne sur le mme principe que RAID3/4 hors mis le fait que chaque

disque contient la fois des donnes et des informations de parit, du coup l'criture dela parit ne constitue plus un goulot d'tranglement.

Les normes RAID peuvent tre mises en oeuvre de faon matrielle avec descartes spcifiques (parfois aussi prsentes sur les cartes mre) ou de faon logicielle sur lessystmes WindowsNT/2K et Linux. Des systmes ddis au stockage (NAS Network AttachedStorage) peuvent aussi tre dploys. Le systme RAID autorise le changement de disque chaud (Hot-Plug) toutefois, ceci n'est possible que lorsque le matriel le permet, d'o uneprfrence pour du matriel SCSI ou NAS.

d intgration des serveurs dans le rseau

Les serveurs sont normalement les lments qui concentrent le plus d'informations

et d'accs au sein du rseau. Il doivent donc tre privilgis. En gnral, il est interressant d'offiraux serveurs un dbit rseau suprieur au dbit offert aux autres utilisateurs. Cette dissymtriepermettra d'offrir un accs plus quitable, entre les utilisateurs, aux serveurs.Les transferts de fichiers vont par exemple monopoliser une grande partie de la bande passantedisponible. Si celui-ci est contraint par un dbit faible au niveau utilisateur, il ne dgradera quepeu le dbit global offert par le serveur.L'utilisation de rseaux utilisateur 10Mbits reste souvent suffisant ds lors qu'il n'y pas pasd'change de fichiers volumineux. Toutefois, les investissements doivent d'orienter vers dessolutions 100Mbits qui pourront tre brides par exemple. Le cot serveur sera, lui, privilgien utilisant la technologie suprieure : 100Mbits pour 10Mbits cot utilisateurs ou 1GBits pour100Mbits cot utilisateurs.

Page : 5 / 11


6/11



III.Plan d'adressage IP

Pour tout rseau doit tre mis en place un plan d'adressage IP. Il s'agit de savoir quelles sont lesadresses attribues et quels sont les services offerts sur ces adresses. Le but est d'tre capable de trouver denouvelles adresses disponibles et de retrouver la liste des services offerts. Les adresses IP doiventpermettrent de localiser des quipements et donc des utilisateurs qui pourront ainsi tre surveills.

Il peut tre important de garder une certaine marge quant au nombre des adresses IPdisponibles. Vous ne savez pas forcement quelle va tre l'volution de la socit ou de ses services. Ainsi, larestriction des plages libres risque d'entrainer une modification votre plan d'adressage brve chance.Cette opration pouvant tre fastidieuse elle conduit souvent une tape intermdiaire o l'attributiond'adresses devient dstructure (attribution d'adresse sur des sous rseaux non adapts pour palier au manque

d'adresses libres).

Il ne faut pas hsiter mettre en oeuvre plusieurs sous rseaux de sorte isoler physiquementcertain brins et ainsi optimiser l'utilisation de la bande passante. La cration de sous rseaux doit se fairesuivant deux critres : les permissions d'accs octroyes un groupe et les besoins d'accs aux donnes etserveurs. La mise en oeuvre de sous-rseaux demande l'installation de routeurs, qui peuvent tre desquipements spcifiques ou des ordinateurs.

L'utilisation de systme tels que le DHCP permet de rendre la configuration des postes clientsautomatique, du coup, il sera plus ais de raliser des modifications sur la plan d'adressage. Le DHCPpermet de parametrer de faon globale l'ensemble de la couche IP. De sorte concerver les notions de

localisation et pour viter l'arrive sur le rseau de nouvelles machines non dsires, le DHCP doit tre bridpour qu'une adresse IP soit toujours attribue une machines clairement identifies.

Les quipements, tels que les serveurs et les routeurs doivent utiliser des adresses choisies soiten dbut, soit en fin de rseaux de faon les mmoriser simplement et les isoler des autres. Ceci est uneconvention plus qu'une obligation.

Le plan d'adressage est un document papier qui doit tre tenu jour et concerv.

Un serveur de nom (DNS-WINS) peut tre mis en oeuvre pour identifier les serveurs et lespostes clients autrement que par des adresses IP : celles-ci sont toujours sujettes modification et difficiles

retenir.

Page : 6 / 11


7/11



IV.Gestion des utilisateurs

a Gestion des droits :

Chaque fichier d'un systme est associ des droit d'accs. Ceux-ci permettent de restreindreles posibilits de lecture, d'criture et d'excution. Un fichier (ou programme, ou rpertoire) appartient unutilisateur et un groupe. Les droits d'un fichier, dans le monde Unix sont prsents sous la forme suivante :

d rwx rwx rwx utilisateur:groupe nom du fichier

droits donns tous le monde.droits donns au groupe propritaire du fichier.droits donns l'utilisateur propritaire du fichier.Indique que le fichier est un rpertoire.

Ainsi, un programme peut tre rendu excutable pour l'utilisateur propritaire et lui seul :rwx --- --- utilisateur:groupe nomdufichier

Un document peut tre mis la disposition de tous mais resteaint, pour ce qui est des modifications, aucrateur et ceux de son groupe.

rw- rw- r-- utilisateur:groupe nomdufichier

Notez que pour un document, l'excution n'est pas apparente.

Rq : un repertoire possde des droits en excution, ce droit est vrifi pour lister le repertoire. Lesrestrictions appliques sur un rpertoire s'appliquent tous les fichiers qu'il contient mais aussi tous sessous-rpertoires.

b Cration de comptes utilisateurs

Chaque utilisateur pouvant se connecter sur un systme doit possder un compte, celui-ci luiautorise l'accs au travers d'un identifiant (login) et d'un mot de passe. Cette utilisateur est aussignralement associ un espace disque qui lui sera propre.

Chaque utilisateur possde un groupe principal. Grralement les groupes principaux sontcrs en fonction des besoin d'change : les fichiers crs par l'utilisateur auront comme propritaire celui-ci

et comme groupe propritaire le groupe principal de l'utilisateur. Il sera donc simple d'autoriser tous lesutilisateurs d'un groupe la consultation de ce document. Rciproquement, il sera simple d'interdire l'accs ces mme donnes si l'existance de plusieurs groupe principaux existe.

Les groupes principaux peuvent tre par exempleprofs, lves, compta, direction ...

Exemple :Nous souhaitons que les utilisteurs de la direction aient leur propre repertoire personnel et que celui-ci soit protg contre la consultation par des tiers. Toutefois pour l'echange de fichiers, nous souhaitons ajouterun repertoire commun de partage.

Dans le repertoire home o se trouve l'ensemble des repertoires utilisateurs, nous trouvons.

Utilisateur Groupe Tous utilisateur:groupe nomDuRepertoire

drwx --- --- grandchef : direction grandchef drwx --- --- petitchef : direction petitchef drwx --- --- souschef : direction souschef drwx rwx --- root:direction partage_direction

Page : 7 / 11


8/11



c Droits d'utilisation de logiciels :

La gestion des droits d'utilisation d'un logiciel, mais aussi celle d'accs certain rpertoires oupriphriques fonctionne sur un principe similaire : Par exemple, si l'on souhaite restreindre l'accs deStarOffice certains utilisateurs, il suffira de crer un groupe pour ce logiciel (so_users) . Ensuite, lesutilisateurs autoriss lancer ce logiciel seront ajouts ce nouveau groupe. En effet, un utilisateur possdeun groupe principal mais il peut aussi appartenir plusieurs groupes secondaires.

Suivant cet exemple nous aurons :

droits de l'excutable de starOffice :- rwx rwx --- root:so_users staroffice

note: le fichier appartient l'administrateur et fait parti du groupe su_users. Tous les utilisateurs devant accder

ce logiciel seront rattachs ce groupe :

utilisateur groupe principal groupes secondaires remarque

grandchef direction so_users peut utiliser StarOfficepetitchef direction epb_users ne peux pas utiliser StarOfficemoyenchef direction ne peux pas utiliser StarOfficecomptable comptable so_users, ebp_users peut utiliser StarOffice

Il en est de mme pour le partage des rpertoires :

droits du repertoire des donnes financires :d rwx rwx --- root:finances donnes_financires

groupes des utilisateurs :

utilisateur groupe principal groupes secondaires remarque

grandchef direction so_users, finances peut acceder au repertoirepetitchef direction epb_users ne peux pas accder au repertoire.moyenchef direction finances peut accder eu repertoirecomptable comptable so_users, ebp_users, finance peut accder eu repertoire

d Configuration des droits

Sur les systmes Windows, la gestion de ces droits se fait de faon graphique au travers decases cocher correspondant aux difrents droits de lecture, criture et excution. Mais, comme tout n'estpas fichier (contrairement au monde Unix), un utilisateur peut avoir des droits lui tant directement associscomme le rglage de l'heure, l'arrt de la station....

Sur les systmes Unix, la manipulation graphique des droits est aussi possible, toutefoisl'utilisation de la ligne de commande reste un outil plus puissant permettant entre autre la mise au point descripts utiles s'il est necessaire de modifier l'organisation complte des droits. Tout tant fichier sous Unix,l'application de droits comme l'arrt de la station se fait simplement par l'autorisation ou non d'excution dela commande rebootpar exemple...

Pour plus d'informations, se rfrer aux commandes chown (choix du proprietaire d'un fichier),chmod (modification des droits d'un fichier), useradd, groupadd (ajout d'utilisateurs et de groupes). Voiraussi les fichiers/etc/passwd (Liste des utilisateurs) et/etc/group(Liste des groupes).

Page : 8 / 11


9/11



e Le super-utilisateur :

Le super utilisateur est appel root dans le monde Unix et Administrateur dans le mondeWindows Francophone. Cet utilisateur possde tous les pouvoirs, y compris et surtout ceux de dtruire lesystme. Par consquent, l'utilisation de cet utilisateur lors d'une utilisation classique du systme doit treclairement bannie !.

Il est gnralement plus interessant de se connecter un systme en temps qu'utilisateurclassique (aux pouvoirs restreints) puis, pour certaines tches le ncessitant, de devenir super-utilisateur enchangeant d'identit. Ce changement tant possible au travers de la commande su dans les environnementsUNIX.

Le super utilisateur doit tre le seul pouvoir modifier les fichiers concernant le coeur dusystme. Il doit aussi le seul pouvoir tuer les processus de tous les utilisateurs.

Le super utilisateur peut consulter toutes les donnes d'un systme y compris les rpertoirespersonnels des utilisateurs.

f Suppression d'utilisateurs :

Un utilisateur qui n'a plus de raison ou plus le droit de se connecter doit tre supprim, sitoutefois vous souhaitez maintenir son compte existant, vous devez tout de mme le dsactiver.

Page : 9 / 11


10/11



V.Administration distante des serveurs

a Les outils d'administration distance par prise de contrle

La prise contrle d'un poste distance permet de l'administrer en profitant pleinement desoutils de l'interface graphique. Cette methode est aussi trs souvent utilise pour le dpannaged'un utilisateur : la prise de contrle de son poste permet de lui montrer, sans se dplacer maistout en manupulant son clavier et sa souris, comment rgler son problme.Il existe plusieurs solutions pour cel, elles sont de deux types : La copie de l'image de l'cran distant sur le poste local : ce systme existe sous forme de

produits commerciaux ou gratuits (VNC). Il permettent de manipuler l'ordinateur distantsous les yeux de l'utilisateur. Ce systme est gnralement trs gourmand en bande passante,

le rafraichissement peut donc tre long, rendant les manupilations fastidieuses. L'utilisation des fonctionnalits des systmes d'exploitation : les serveurs X et Windows sont

prvus pour que l'affichage d'lements graphiques gnrs en local puissent tre dports surun autre poste (ou terminal) ainsi, il est possible de se connecter distance sur un autrequipement. Ce mode est en fait l'utilisation des systmes ancestraux utilisant un serveurd'application commandant des terminaux l'affichage des lments. Cette solution rduit lesbesoin en bande passante : lors du dplacement d'une fentre, seules les nouvellescoordonnes sont transmises... Par contre, elle ne permet pas toujours la gestion del'affichage simultan sur les deux postes.

b Les outils d'administration distance en ligne de commande :

La ligne de commande est souvent le moyen idal pour contrler un systme, les possibilitssont gnralement (sur les systmes Unix) plus compltes que l'utilisation des interfacesgraphiques. Il existe de multiples outils, les plus anciens sont telnet, rlogin, rsh qui permettentde se connecter un systme distant pour y excuter des commandes. Ces systmes avaient unprolme majeur tenant au fait que les mots de passes sont mis en clair sur le rseau ! Parconsquent, l'utilisation n'en est pas bannir, mais la connexion en tant qu'administrateur, est proscrire.Des outils plus rcents comme ssh solutionnent ce problme en cryptant la communication.Ssh permet une connexion distante pour l'excution de commande mais aussi pour le transfertde fichiers et le lancement d'applications graphiques.

L'administration d'un systme UNIX par ce moyen peut se faire 100%, les serveurs pourWindows sont beaucoup plus rare, toutefois Microsoft oriente ses futurs dveloppement dans cesens.

c Les outils d'administration distance utilisant le web :

De nombreux outils existent pour administrer un ordinateur distance au travers d'unnavigateur web. Ils reposent sur la cration d'une interface graphique commandant l'excutionde scripts appliquant les modifications. Ces outils sont gnralement moins puissant que laligne de commande mais ils ont l'avantage d'tre simples et peuvent tre uniformiss pour

plusieurs systmes ou plusieurs distributions d'un systme.

Page : 10 / 11


11/11



d Les outils de surveillance distance :

Un protocole est ddi l'administration et surtout la surveillance d'quipements distance. Ils'agit de SNMP. Ce protocole repose sur des mthodes get et set permettant d'interroger unquipement sur une de ses valeurs, voir de modifier celle-ci. Les possibilits de configurationsont toutefois souvent limites car le protocole SNMP ne prvoit aucune protection, aucunsystme de mot de passe ou autre, si ce n'est un paramtre communautlaiss au libre choix del'administrateur.Les informations interrogeables sont dcrites dans une MIB et peuvent tre diffrentes pourchaque quipement toutefois, les MIB sont gnralement proches les unes des autres. Lesinformations sont identifies dans la MIB au travers d'une adresse identifiant le noeud del'information.Ces outils sont trs souvent mis en oeuvre pour la surveillance de la charge d'un systme et son

bon fonctionnement. SNMP permet ce sujet, l'envoie de traps, c'est dire de messagesindiquant pas exemple la coupure d'une ligne, un problme, la connexion d'un utilisateur .... Cestraps sont utiles pour surveiller le rseaux, dceler des pannes ou des intrusions.

La majeure partie des lments composant un rseau sont administrables : les serveurs, bien sr,mais aussi les lments actifs comme les routeurs, les firewall, les switchs. Les lments passifs, comme leshubs, peuvent aussi l'tre. Il est important lorsqu'un lment est configurable de regarder comment l'adapterau mieux a votre rseau : une grande partie des quipements est plug and play, c'est dire qu'ilfonctionnent ds la mise sous tension grce une configuration par dfaut simpliste. Dans de trs nombreuxcas, cette configuration entraine d'normes trous de scurit.

Page : 11 / 11

Documents

administrat_reseau