Archives par mot-clé : Technique

SAN Ku Kaï

Publié le par

Ma vision de l’expert judiciaire en informatique, c’est qu’il s’agit d’un généraliste de l’informatique, qui doit connaître un peu de tout, plutôt qu’un spécialiste qui connait tout d’un domaine particulier.

Un peu comme médecin généraliste vs médecin spécialiste.

Et finalement, professionnellement, c’est ce que je suis un peu: je dois gérer un réseau informatique de 300 PC, des serveurs de fichiers, des serveurs d’impression, des serveurs d’applications, des serveurs de sécurité, des serveurs d’accès à internet, des serveurs internet, des achats informatiques, des switchs réseaux, etc. Sans pour autant être spécialiste de chaque question.

Bien entendu, je suis aidé par une équipe de deux techniciens (plus) compétents, mais ils ont également à gérer le même éparpillement des connaissances.

C’est pourquoi quand j’ai commencé à m’intéresser de près au remplacement de notre « vieux » système de stockage des données de l’entreprise/école, il m’a fallu aborder de front le monde inconnu du stockage.

Dès le début, j’ai rencontré quelques difficultés de vocabulaire, mais comme je les ai déjà évoquées dans ce billet, je n’en reparlerai pas ici.

Je vais essayer de faire un billet « retour d’expérience » pour les responsables informatiques qui pourraient se retrouver dans le même cas que moi.

1) Définition du problème:

Faire évoluer un système de stockage qui concentre toutes les données des utilisateurs. Ce système consiste en une baie de disques SCSI d’une capacité totale maximale de 320 Go. Cette baie est gérée par un serveur dédié fonctionnant sous Novell Netware.

2) Premières décisions:

Si possible, le nouveau système doit permettre de continuer à faire fonctionner notre organisation basée autour de nos serveurs Novell, avec annuaire EDirectory, sans hypothéquer une éventuelle migration vers du « full Microsoft ».

Après réflexion, et quelques mois de tests, je prends la décision de virtualiser tous mes serveurs pour m’affranchir du matériel et minimiser le nombre de machines physiques. Quatre acteurs dominent le marché de la virtualisation: VMware, Xen, VirtualBox et HyperV de Microsoft. A un moment, il faut trancher et prendre une décision stratégique, et c’est ma responsabilité. Après plusieurs tests et quelques hésitations, je choisis VMware pour sa fiabilité, ses parts de marché et son interface clic&play.

3) Etudes documentaires:

Choisir une solution de stockage demande de connaitre l’état de l’art. Curieusement, grâce à mon blog et suite à ce billet, plusieurs responsables informatiques m’ont contacté et, dans les discussions par emails qui ont suivi, ils m’ont fait part de beaucoup de trucs et astuces qui ont pu faire avancer ma réflexion.

Le plus utile dans mon cas a été l’outil open source « OpenFiler » qui avait échappé à mes recherches googlesques et qui s’est révélé très utile pour comprendre et tester CIFS, NFS et surtout iSCSI grandeur nature. Bref, si vous voulez mettre en place un NAS ou un SAN gratuit…

Merci en tout cas à tous les RSI qui m’ont aidé via mon pseudonyme Zythom!

4) Les fournisseurs:

La chance que j’ai de travailler dans le privé est de ne pas être contraint aux lourdeurs des appels d’offres publics. J’ai mis en place en fait une procédure qui s’appuie sur les avantages des deux systèmes (mise en concurrence, transparence) tout en évitant les inconvénients (lourdeurs des commissions d’ouverture des appels d’offres, rédaction des CCTP et CCAP, etc).

Je rencontre donc plusieurs fournisseurs (j’en parle un peu ici) et plusieurs utilisateurs. Je parle de mon projet et chacun me vante les mérites de son système.

Peu à peu, je me rends compte que les prix des SAN d’entrée de gamme ont baissé et que la meilleure solution pour moi est vraiment de remplacer mon système de stockage par un SAN sur lequel pourront s’appuyer les machines physiques qui hébergeront mes machines virtuelles.

Mais chaque fournisseur met en avant plusieurs solutions avec des caractéristiques techniques très différentes. Comment comparer?

5) SAS ou SATA?

Les disques durs SAS sont très rapides, mais très chers avec peu de capacité.

Les disques durs SATA offrent de très grandes capacités à des prix très abordables, mais un temps d’accès long.

Après plusieurs hésitations, et une visite chez mon voisin universitaire, j’ai choisi de prendre une baie SAN avec beaucoup de disques SATA. J’ai ainsi le beurre (coût intéressant, grosse capacité), l’argent du beurre (nombre d’I/O suffisant car 10 disques) et le sourire de la crémière: j’ai pu acheter deux SAN identiques.

6) Le choix final:

J’ai retenu la solution « deux SAN Dell MD3000i ».

J’ai ainsi un SAN pour le stockage des datastores VMware sur des LUN de 2To basés sur un disque virtuel de 8 disques SATA d’1To en RAID5 avec 2 disques hot spare.

Le deuxième SAN (identique) me permet de disposer d’un matériel de secours en cas de panne majeure sur le premier, et me sert pour entreposer les copies de sauvegardes des machines virtuelles, ainsi que les backups sur disques (qui sont quand même beaucoup plus rapides que les backups sur bandes).

C’est « ceinture et bretelles ».

7) Et maintenant?

J’assume les choix effectués, même s’ils sont évidemment critiquables par des spécialistes. Mais quand on est généraliste, il faut s’appuyer sur les conseils du réseau et sauter à l’eau.

J’ai fini de faire joujou avec les outils de configuration des deux SAN. J’ai créé les LUN. Je suis en train de migrer mes machines virtuelles et de virtualiser les machines physiques. J’en profite pour passer de la version gratuite de VMware ESXi3.5 vers la version commerciale intitulée vSphere Enterprise 4.0. Du coup, je commence à découvrir et à jouer avec VMotion.

Mais cela, c’est une autre histoire.

Libre échange

Publié le par


Je travaille depuis plusieurs semaines sur les réseaux P2P cryptés et les réseaux F2F afin d’en tester les performances et les propriétés, notamment dans le domaine inforensique. A ce sujet, j’exhume ici un billet d’aout 2007 qui me semble redevenir d’actualité:

——————————-
Edmond Locard est le médecin français créateur du premier laboratoire de police scientifique à Lyon en 1910. Son ambition était de substituer la preuve matérielle au seul témoignage humain par l’analyse systématique des traces laissées par le coupable.

Parmi ses innombrables travaux, le principe dit « d’échange de Locard » reste le plus célèbre:

on ne peut aller et revenir d’un endroit, entrer et sortir d’une pièce sans apporter et déposer quelque chose de soi, sans emporter et prendre quelque chose qui se trouvait auparavant dans l’endroit ou la pièce.

Je pense que ce principe s’applique également lors de la recherche de preuves informatiques. Pour paraphraser Locard,

on ne peut chiffrer et déchiffrer une donnée, l’inscrire ou la supprimer d’une mémoire sans apporter et déposer une trace sur l’ordinateur, sans modifier et prendre quelque chose qui s’y trouvait auparavant.

C’est la base même de l’informatique légale (forensic) pratiquée par un expert judiciaire.

Et bien entendu, comme toujours, se déroule une course permanente entre gendarmes et voleurs pour savoir qui disposera des meilleurs outils techniques. Lire pour cela le très instructif site forensicwiki.org et en particulier cette page.

Cette surenchère se faisant pour le plus grand bonheur des administrateurs informatiques qui disposent ainsi d’outils leur permettant de sécuriser leurs réseaux, ou des utilisateurs qui peuvent ainsi protéger les données des regards indiscrets ou récupérer un mot de passe perdu.

C’est de ce point de vue un débat continuel entre protection de la vie privée et accès à des données permettant de confondre un dangereux criminel.
Débat d’actualité.
——————————-

Parmi tous mes tests, actuellement, le logiciel Peer2me est celui qui me pose le plus de questions.

Déchiffrage

Publié le par

On me demande souvent comment je procède lorsque les données d’un disque dur ont été chiffrées, ou lorsqu’un mot de passe a été utilisé pour protéger un fichier zippé.

Je vais donc vous délivrer ici même mon secret.

Mais avant, faisons ensemble quelques petites introspections.

Nous aimons bien nous protéger des intrusions d’autrui. Il nous semble naturel de mettre une serrure à clef sur notre porte d’entrée, parfois même un système d’alarme. Pour autant, la nature humaine étant ce qu’elle est, la clef est souvent cachée sous le paillasson ou dans le pot de fleur le plus proche, et le code de l’alarme est 4321, quand ce n’est pas 5555 (qui par hasard est la touche la plus usée).

En informatique, l’humanité qui est en nous reste la même, avec ses défauts et ses qualités: la plupart de nos petits secrets sont protégés par des mots de passe.

J’ai lancé, il y a quelques années, le logiciel « crack » sous Unix, pour tester la sécurité des comptes étudiants. Sur 700 mots de passe, 10 ont été trouvés en moins d’une minute, 50 en moins de dix minutes et enfin 10 en moins d’une heure, soit 10% des comptes crackés en moins d’une heure (avec les ordinateurs de l’époque. Je pense que ce temps peut être divisé par 10 aujourd’hui).

Quelques étudiants utilisaient le login comme mot de passe, d’autres leur prénom, certains poussaient « l’astuce » jusqu’à utiliser un mot écrit à l’envers, ou même en phonétique comme le langage SMS d’aujourd’hui (t1t1 pour tintin…).

Tous les mots de passe constitués d’un mot pouvant être trouvé dans un dictionnaire (y compris en langue étrangère, en phonétique même exotique ou écrit à l’envers) sont trouvés en moins de quelques minutes. Même (et surtout) s’ils sont associés à un nombre représentant plus ou moins une date…

Mais mon secret ne réside pas dans l’utilisation de logiciels tels que John l’éventreur ou Ophcrack.

Le Truc, c’est que chacun tend à la paresse autant qu’il le peut. Nous n’utilisons donc qu’un nombre très réduit de mots de passe. Très très réduit si j’en crois mes statistiques d’expertises.

La plupart des utilisateurs n’utilise donc qu’un ou deux mots de passe. Et ces mots de passe sont soumis à très rude épreuve: pensez donc, l’utilisateur s’en sert pour tous ses comptes emails, msn, meetic, et autres sites web où l’on demande de choisir son mot de passe. Et le plus souvent, ce mot de passe est envoyé par email, à fin de vérification.

Il ne reste plus à l’expert judiciaire qu’à lancer une petite recherche avec comme mot clef ‘mot de passe’ dans le courrier électronique, ou parfois ‘password’ pour récupérer une petite collection de mots de passe très révélatrice.

Parfois, il suffit de regarder dans le navigateur adhoc la liste de tous les mots de passe très gentiment conservée de façon très pratique.

De temps en temps, c’est plus subtil, il faut retrouver les mots de passe dans une page web conservée sur le disque dur par un mécanisme de mise en cache très opportun, en zone non allouée par exemple ou en mémoire cache.

Parfois, c’est vrai, l’utilisateur utilise des moyens sérieux de chiffrement (TrueCrypt avec volume caché), des outils d’effacement efficaces (Eraser par exemple) et des mots de passe sophistiqués qu’il change souvent.

Mais quand je lis les billets des spécialistes de la sécurité (ce que je ne suis pas), comme chez Sid, Nonop ou Expert: Miami, je me dis que finalement, vu les comportements divers et variés des utilisateurs et/ou des entreprises, il est assez normal que je n’ai pas encore rencontré un utilisateur ayant blindé son disque dur sans laisser trainer le mot de passe quelque part.

Et si ce jour arrive, je demanderai aux Officiers de Police Judiciaire ou au magistrat de demander gentiment le mot de passe au propriétaire. On verra bien quelle excuse sera utilisée pour ne pas le donner.

Et enfin, s’il me faut un jour tenter d’analyser le disque dur d’un spécialiste de la sécurité, (l’Admin m’en garde), ou si le disque dur est chiffré par Mme Michu avec la dernière génération de système NSA à clef quantique, j’écrirai alors dans mon rapport:

à l’impossible nul n’est tenu.

Cache cache

Publié le par

Il m’arrive de temps en temps de recevoir une enquête par email. En général, elle passe directement à la corbeille, mais cette fois-ci, j’ai eu envie d’y répondre. Toutefois, avant de cliquer sur le lien, par réflexe paranoïaque (non pathologique quand même), j’aime à vérifier qu’icelui renvoie vers le site dont l’email provient.

Or, dans mon cas, le lien envoie vers un site différent, prétendument français (point fr oblige parait-il). Un petit coup de Google sur le nom de domaine du suspect m’informe de la réalité de l’existence IRL de ce site, prestataire annoncé de mon enquêteur.

Au risque d’évoluer vers une psychose paranoïaque constituée, je m’enquiers de la qualité de ce site via un autre navigateur démuni de tous ses attributs javascriptesques, en entrant, non pas le lien envoyant vers l’enquête toujours en attente, mais l’adresse de la racine du site.

Et là, ô rage! ô désespoir! ô vieillesse ennemie!, que vois-je sur la page d’accueil de ce bon site d’une entreprise informatique bien française de chez nous: l’image d’un fier guerrier en rouge sur fond noir, accompagnée d’inscriptions vengeresses et d’une musique guillerette.

Le site avait été piraté!

Une petite analyse du code source me montre quelques traces d’expressions anglaises laissant penser que certains turcs souhaitaient avoir des rapports sexuels avec des grecs.

N’ai-je donc tant vécu que pour cette infamie?

Mon sang ne fait qu’un tour, allais-je laisser ainsi ce site sans figure? En tant qu’internaute premier, n’ai-je pas une obligation d’assistance à site en danger?

Et ne suis-je blanchi dans les travaux guerriers

Que pour voir en un jour flétrir tant de lauriers?

Je décide donc de contacter le responsable du site. Problème: comment?

J’envoie un email à [email protected] et [email protected]

24h passent sans réponse et sans effet.

Les adresses emails obligatoires ne sont plus lues par personne…

Ô cruel souvenir de ma gloire passée!

Mais Zythom ne lâche pas prise aussi simplement!

Une recherche auprès des bureaux d’enregistrement: rien.

Les pages blanches et jaunes sur internet: rien.

Ma collection de vieux bottins papiers… Rien.

Le cache de Google pour retrouver le site avant son piratage: OUI. Sur la page contact se trouve un numéro de téléphone surtaxé.

J’appelle (à mes frais).

Je tombe sur un quidam décentralisé auquel j’explique mon souhait urgent de contacter le responsable informatique de l’entreprise. Miracles, je suis persuasif et il me fournit un numéro de téléphone direct (cela fait deux miracles).

J’ai le responsable informatique en ligne.

Moi: « Bonjour, votre site web a été piraté et sa page d’accueil va vous surprendre. Cela fait déjà 24h que j’ai envoyé un message à votre postmaster, mais cela n’a pas changé grand chose. »

Lui: « Bonjour, attendez, je vais vérifier. »

Lui (en voix lointaine, mais j’ai l’oreille fine): « Hé, Yoda, je crois que quelqu’un essaye de me faire une blague par téléphone… »

Lui (quelques bruits de touches sur un clavier plus tard): « Euh, Monsieur, non, j’ai la page d’accueil du site de l’entreprise sous les yeux, et tout à l’air normal… »

Moi: « Bon, ça doit être un problème de cache ou de site dupliqué. Avez-vous la possibilité de vider votre cache et/ou d’aller sur le site réellement vu par le public? »

Lui: « Attendez, je vide le cache ».

Lui (d’une voix chevrotante): « Œuvre de tant de jours en un jour effacée! »

Lui (reprenant ses esprits): « Merci d’avoir appelé. Nous allons faire le nécessaire ».

Ce haut rang n’admet point un homme sans honneur

Finalement, le site est revenu à sa configuration d’origine quelques minutes plus tard. Une excellente occasion de redécouvrir les différents algorithmes de remplacement des lignes de cache

Billet d’actualité du dimanche 2

Publié le par

Je suis en train de tester Windows Seven (ce billet est publié sous cet OS avec IE8béta). Je dois dire que pour l’instant je suis agréablement surpris: légèreté et facilité de prise en main.

Jusqu’ici tout va bien.

Même l’antivirus Avast semble fonctionner correctement (alors que rien sur le site d’Avast ne précise encore « Windows 7 Ready »).

Bon, bien sur, je n’ai pas encore testé mes vieilles webcams « sans pilote Vista ».

Bref un billet complètement inutile, juste pour dire que je suis dans le vent (ou plutôt sous la mer avec Bubulle, le fond d’écran par défaut…)

Et puis, cela fait du bien de faire une pause.

————————–
Source image: www.rap-francais.com

Aide mémoire LVM

Publié le par

Après installation d’une distribution Debian netinstall 40r5, si l’on a fait le choix de monter un LVM sur plusieurs disques (3 fois 20Go par exemple) et que l’on s’aperçoit après installation que seul le premier disque est réellement utilisé (la commande vgdisplay retourne un « volume group size » de 20 Go au lieu des 60Go attendus), il faut:

1) étendre le volume logique aux trois disques:
lvextend -L+40Go /dev/grpvol/root

2) et redimensionner à chaud le système de fichier ext3
resize2fs -p /dev/grpvol/root

C’est la troisième fois que j’ai besoin de régler ce problème (je dois rater quelque chose dans la procédure d’installation. RTFM?) et je rame à chaque fois dans Google avant de retrouver ces deux commandes.
Je saurais où les chercher une prochaine fois:)

PS: C’est toujours amusant d’installer un serveur de 10 ans d’âge, biprocesseur Pentium II, 512Mo de mémoire vive et dont la carte mère n’accepte pas les disques durs IDE de plus de 20Go. Un serveur pour faire des tests bien sur…

Les Experts

Publié le par


Pour un billet du vendredi, je ne suis pas allé chercher trop loin: j’ai trouvé un excellent blog, avec un billet consacré aux experts: à savourer ici.

Et en plus, les liens fournis m’ont permis d’envisager d’intégrer le XXIe siècle en matière de scellés. Parce moi, c’est plutôt encore ça

Allez, pour bien démarrer le week-end, je vous mets une photo qui m’a bien fait rire. Genoux sensibles s’abstenir 🙂

Et hop Hadopi

Publié le par

Vive Internet ! Vive le Réseau ! (ovation)
Vive le Réseau libre ! (très longue ovation)
Vive l’internet français ! Et vive la France ! (ovation)

Le site Numérama vient de publier un article que je trouve intéressant sur le réseau Freenet. Et comme cet article est publié sous licence Creative Common by-nc-nd 2.0, je me permets de le reprendre ici dans son intégralité:)

Rappels:
Freenet = Réseau libre
Hapodi = Haute autorité pour la diffusion des œuvres et la protection des droits sur l’Internet.

————————–

Notre spécialiste des réseaux cryptés Kraftonz a eu l’excellente idée d’interviewer le créateur du réseau Freenet au sujet de la loi Hadopi que présentait mercredi la ministre de la Culture Christine Albanel au Conseil des ministres. Cette loi doit institutionnaliser la chasse aux pirates en créant une autorité administrative qui, sous saisine des ayant droits, devra avertir les internautes dont l’accès à Internet est utilisé pour pirater, et qui pourra aller jusqu’à ordonner la suspension de cet accès. Mais toute la loi repose sur l’idée que les ayants droit puissent lier le téléchargement d’un fichier illégal à une adresse IP précise. Or tout l’objet des réseaux comme Freenet est justement de crypter les communications de façon à ce que cette liaison devienne impossible.

Freenet sans aucun doute pourrait rendre cette loi difficile à appliquer, voire impossible à faire respecter« , explique Ian Clarke, qui avait créé le logiciel pour offrir aux dissidents chinois un moyen de s’exprimer sans craindre la répression des autorités. « Bien que notre objectif n’est pas de faciliter la violation des droits d’auteur, c’est juste un effet secondaire inévitable« , reconnaît-il.

Un réseau P2P anonyme très difficile à bloquer

La seule possibilité pour le gouvernement de lutter contre Freenet et de faire appliquer la loi serait d’ordonner aux FAI qu’ils bloquent totalement le protocole Freenet sur leurs réseaux. « Il serait difficile, mais pas impossible de bloquer Freenet« , explique Clarke, qui précise cependant que « s’ils tentent, il existe des mesures nous pourrions prendre, telles que la stéganographie » (qui est l’art de faire passer un message secret dans un message en apparence légitime). Le simple blocage des ports, en tout cas, serait inefficace. « Freenet n’utilise pas de ports particulier, il choisit le port au hasard lors de son démarrage. Si vraiment le filtrage des ports est mis en place, cela ne gênera pas le fonctionnement de Freenet… Seulement une analyse très sophistiquée du réseau permettrait de déceler le trafic de Freenet » et de le bloquer. Ce qui coûterait bien plus cher que le préjudice estimé des industries du cinéma et du disque réunies.

Selon le développeur, la loi Hadopi si elle était adoptée « pourrait encourager l’utilisation de Freenet en France« . Il travaille d’ailleurs à rendre le logiciel plus facile à utiliser pour les débutants. Pour lui, le fait de lutter de cette manière contre le piratage, c’est « comme essayer d’empêcher la maltraitance des enfants par l’installation d’une caméra dans la maison de tout le monde« .

« Même si l’objectif est raisonnable, les choses qui sont nécessaires pour y parvenir ne le sont pas« .

Apprendre à utiliser Freenet et les autres P2P sécurisés
Ceux que l’aventure tente pourront découvrir un tutorial pour Freenet réalisé par la communauté Numerama sur notre forum. Nous vous proposons par ailleurs un forum complet dédié aux réseaux sécurisés, ainsi que toute une section de notre chaîne de téléchargements où vous trouverez les meilleurs outils pour télécharger et mettre à disposition des fichiers en toute sécurité.

Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Mozilla et la gestion des conflits

Publié le par

Nous sommes le 17 juin et Firefox 3 doit sortir aujourd’hui.
En me penchant sur son contenu, je suis tombé sur cette page.

Extrait:

« The owner of record for [the Gecko 1.9 Roadmap] is Mike Shaver, and all errors or omissions within it are first and foremost his responsibility. Brendan Eich continues to drive the vision and architecture of the platform in the large, and his influence on the platform roadmap is both significant and indispensible. In the case of a tie, disputes will be settled by single combat. »

Traduction (approximative) de votre serviteur:

« Le responsable du contenu de la feuille de route de Gecko 1.9 est Mike Shaver, et toutes les erreurs ou omissions contenues dans celle-ci sont d’abord et avant tout de sa responsabilité. Brendan Eich continue à conduire les grandes lignes de la vision et de l’architecture de la plate-forme, et son influence sur la feuille de route est à la fois importante et indispensable. Si les points de vue sont inconciliables, les différends seront réglés par combat singulier.«