Contrôle et gestion sécurisés à distance d’un dispositif ... · 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 2 ATLAS : le dispositif Banc de test de circuits

Contrôle et gestion sécurisés à distance d’un dispositif de mesures:

plateforme ATLAS

Régis DEVREESEJean-Emmanuel DOM

Laboratoire IMS – UMR 5218 – http://www.ims-bordeaux.fr

14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 2

ATLAS : le dispositif Banc de test de circuits intégrés par faisceau LASER Sert à modéliser certains types de rayonnement ou de

radiations par le LASER Simulation de l’effet des rayonnements par excitation

ponctuelle des éléments constitutifs d’un circuit intégré (ex : mise en évidence de microstructures parasites induites par la technologie de conception utilisée)

http://hal.archives-ouvertes.fr/hal-00374744/en/


Contraintes physiques du banc de test Essentiellement liées au LASER :

Précision de visée : alignement, qualité des optiques, micromécanique… Pas de vibration Pas de lumière polluante ni de poussières Stabilité en température et en humidité

Donc un environnement spécifique et sécurisé (risque sanitaire) Fenêtres occultées Régulation hygrothermique et surpression Dalle flottante anti-vibration Structure du banc de test en matériau lourd Contrôle d’accès

Conclusion : INTRANSPORTABLE


Problèmatique : comment partager en sécurité ?

Partenariat de recherche multi-laboratoires Trouver comment répondre au besoin de mettre à

disposition des partenaires l’accès à l’équipement pour leurs mesures Contrôle : transmission des ordres de pilotage du faisceau

LASER Transmission de résultats de mesure

Dispositif de report des éléments nécessaires s’appuyant sur un tunnel SSH


Synoptique général

Internet

PC1PC2

Localhost:23

Routeur d’entrée

sshgw.ims.bdx:443IP = 192.168.2.1

ctrl_manip.ims.bdx:3389IP1 = 192.168.2.10IP2 = 192.168.1.1

Pare-feu

Flux vidéo HTTP:8080Diffusion VLC de PC2

Vers PC1Liaison technique

Liaison fonctionnelle

Trafic console à distance encapsulé dans SSH

Acquisition vidéo Gestion du bancde test LASER

VLAN dédié / Redirection du port 443/tcp depuis le routeur

Clé privée dans le profil putty

Les 3 fonctions de PC1:- pilotage du banc- gestion des mesures tps réel- report vidéo de PC2 par VLC

video_manip.ims.bdx:8080IP = 192.168.1.5

Cartes réseau dédiées

PARTENAIRE

Légende

ATLAS : contrôle à distanceRégis DEVREESEJean-Emmanuel DOMJoSy « ASR pour la Science »

Flux Vidéo

PASSERELLE SSH


Configuration service SSH de la passerelle Fichier sshd_config Pas de login/password

PermitEmptyPasswords no PasswordAuthentication no PAMAuthenticationViaKBDInt no PermitRootLogin no

Authentification par système de clés asymétriques RSAAuthentication yes

Autorisation pour les tunnels de ports TCP AllowTcpForwarding yes

Service en écoute sur le port 443 pour limiter des filtrages


Compte utilisateur sur la passerelle SSH Création d’un compte « no password » associé à un shell

restreint (exemple : /bin/rksh ou /usr/lib/rsh) Création d’un couple de clés asymétriques d’authentification

Ex : ssh-keygen –t rsa –b 2048 –f identity Conseil 1 : ne pas effectuer cette commande sur la passerelle SSH Conseil 2 : chiffrer la clé privée avec une passphrase « solide » Création du dossier .ssh dans le compte utilisateur Y placer la clé publique identity.pub en la renommant authorized_keys

La clé privée sera importée dans le client de connexion sur le poste « PARTENAIRE »


La connexion du partenaire Cahier des charges : le poste du partenaire est sous windows L’outil de connexion SSH choisi est putty

Site officiel : http://www.chiark.greenend.org.uk/~sgtatham/putty/ Logiciel libre (Licence MIT) Version actuelle : 0.60 (avril 2007)

Astuce : préparer des profils utilisateur La configuration des connexions est stockée dans

HKEY_CURRENT_USER\Software\SimonTatham\putty Possibilité d’importer un fichier .reg pour faciliter le déploiement


Configuration de la connexion putty







Importation de la clé privée : puttygen Rappel : ssh-keygen –t rsa –b 2048 –f identity Identity contient la clé privée chiffrée Dans puttygen conversions import key Pointer sur identity Entrer la passphrase Cliquer sur « Save private key » atlas.ppk Question de procédure : comment faire parvenir la clé privée

au poste « partenaire » de façon sûre s’il ne peut pas la générer lui-même ?





Configuration de la connexion bureau à distance










Report de l’image de caméra filmant le LASER

Sur PC2 = video_manip.ims.bordeaux Carte d’acquisition d’images de la caméra La caméra filme dans l’axe de visée LASER Report vidéo sur le poste partenaire pour contrôle de visée Choix de VLC media player en mode broadcast (http://videolan.org)

Sur PC1 = ctrl_manip.ims.bdx VLC utilisé en mode player Affiche la vidéo de PC2 depuis http://PC2:8080

Entre PC1 et PC2 réseau ethernet dédié Réseau = 192.168.1.0/24

Configuration de VLC sur PC2 : broadcast














Configuration de VLC sur PC1 : player


Configuration de VLC sur PC1 : player


Conclusion - Perspectives Très peu de modifications de la configuration du poste de mesures (XP)

Activation du service bureau à distance Installation de VLC player

Contrôle d’interruption du service possible à plusieurs niveaux Chercheur : désactivation du service console à distance Chercheur : changement du mot de passe atlas ASR : annulation de la redirection de port 443 sur le routeur d’entrée ASR : interruption du login par changement sur

~partenaire/.ssh/authorized_keys de la passerelle SSH Putty est sensible à la qualité de la liaison : amélioration possible en

essayant un VPN en UDP avec tentatives de reconnexion automatique (àfaire)

Point essentiel : l’équipe de recherche est satisfaite 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 30

Merci de votre attention Contacts : Régis Devreese

[email protected]

Jean-Emmanuel Dom [email protected]


Documents

Contrôle et gestion sécurisés à distance d’un dispositif ... · 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 2 ATLAS : le dispositif Banc de test de circuits