Transcript Présentation entreprise
Présentation de l’entreprise
Décembre 2012
xelia
7 filiales 9 sites de production 1100 collaborateurs
est une société Française fondée en 1965. Elle est spécialisée dans l’étude et la réalisation de composants électroniques destinés aux marchés professionnels comme …
Quelques chiffres
CA en Million d’Euro Répartition par domaine d’application
Entreprise ECO responsable
Le groupe est engagé :
Dans une politique de développement durable et le respect de l’environnement allant de la conception à la fabrication des produits.
Cela se traduit par une politique de réduction ou d’élimination de substances dangereuses au-delà des règlements internationaux On retrouve cette politique au niveau de l’informatique
Par la présence de clients légers (Chip Pc).
(consommation de 4 à 6 Watts) Par des serveurs virtualisés réduisant leur nombre physique (plus de 60% des serveurs) et donc l’énergie consommée.
Des écrans plats.
Des imprimantes et multifonctions ayant la mise en veille automatique activée.
L’informatique au sein de Exxelia
Paris
40 personnes
Saint Nazaire
80 personnes 1,8Mbte 2Mbte 1,9Mbte 1,8Mbte
Illange
70 personnes 6,8Mbte
Marmoutier
170 personnes 300 personnes
Plus de 100 serveurs dont les 2/3 sont virtualisés.
Environ 500 ordinateurs dont 150 à Chanteloup-en Brie.
Environ 50 imprimantes en réseau dont 20 à Chanteloup-en-Brie.
Une stratégie basée sur la sécurité liée au domaine d’applications sensibles
Différents systèmes matériels et logiciels sont déjà présents.
Antivirus - OFFICE SCAN de chez Trend Micro Pare-Feu - 1 Checkpoint 4600 - 2 SonicWall 4500 Accès VPN par liaison CITRIX - CAG7000 Messagerie - Cisco IronPort C170 Logiciel de monitoring - PRTG Network Monitor de Paessler AG
La répartition du temps
1 er projet 2 ème projet
Solution sécurisée 802.1x
Audit réseau au siège
Etude de l’infrastructure réseau
8 jours Analyse
- De l’existant - Des besoins
Analyse
- Des contraintes - Des risques
Etude
- Pour la mise en place de la solution
Réalisation
- D’une maquette et validation Rédaction de la notice de mise en place
3j 3j 6j 8j 2j Audit réseau
(tâche en parallèle avec le 1 er projet) Analyse de l’existant et des besoins Recherche d’un axe d’amélioration Proposition de solutions Rédaction du rapport
17j 5j 3j 5j 1j
Premier Projet Etude de mise en place de la solution d’accès sécurisé 802.1x
Le 802.1x repose sur le protocole EAP (Exensible Authentication Protocol)
Analyse de l’existant
L’identification au réseau se fait par :
Un ordinateur enregistré sur le domaine Un compte utilisateur existant sur le domaine Un mot de passe répondant au critères de sécurité
Les accès au réseau sont donnés par :
Des Groupes de Sécurité Globaux Des GPO Un script de connexion connectant les lecteurs réseaux
Sécurité insuffisante
Compte et mot de passe peuvent être dérobés et utilisés à partir de n’importe quel ordinateur
Analyse des besoins
3 possibilités
Service RH
Accès aux ressources réseau protégé par: -Une connexion authentifiée et sécurisée -Conditions à remplir : nom de l’utilisateur et de l’ordinateur
Le renforcement de la sécurité avec un serveur Radius
Utilisateur appartenant au réseau Eurofarad (autres services)
Accès au ressources réseau après identification sans passer par le serveur d’authentification.
Personne n’appartenant pas à Eurofarad (Clients, fournisseurs)
Pas de possibilité d’avoir accès au ressources réseau excepté pour internet.
En fonction de l’identification de ces personnes, les flux seront séparés par des VLAN (réseau local virtuel) pour plus de sécurité.
Les prérequis
Commutateur administrable et compatible 802.1x
Serveur équipé de Windows 2008 Serveur avec les rôles suivants installés
Service de Domaine Active Directory
Enregistre les objets du réseau (utilisateurs, ordinateurs…)
Serveur DNS
Résolution des noms pour le réseau TCP/IP
Service de certificat Active Directory
Permet de créer une autorité de certification permettant d’émettre et de gérer les certificats utilisés dans les applications
Service de stratégie et d’accès réseau
Pour la gestion des règles de connexion : authentification et d’identification sur le réseau
Ordinateur client équipé de Windows XP ou supérieur
Pour la gestion de l’authentification du 802.1x
La maquette
1. Le commutateur ou point d’accès
- Création de VLAN - ‘Taggage’ des ports - Création modèle Radius - Activation du 802.1x pour les ports réservés au service RH.
-
2. Le serveur
-
Les contraintes
Faibles
Ce projet ne concerne que 5 personnes du service RH.
Les risques
Faibles
La mise en place se fera en 2 étapes (expérimental et définitif)
Switch existant
1 ère étape 2 ème étape
Port N°1 PC service RH PC service RH NOUVEAU SWITCH
La planification
1 ère étape
1 journée 1. Configuration du switch 2. Création des GGS et ajout pc et user dans les groupes sur le serveur 3. Connexion du switch 4. Activation 802.1x sur PC du service RH et connexion des utilisateurs sur le switch de test
2 ème étape
½ journée 1. Déconnecter le switch de test 2. Configuration du switch 3. Connexion des ordinateurs du service RH sur les ports configurés du switch
L’investissement
AUCUN
Le matériel est déjà existant.
Switch en spare : 4 145€ (peut-être utilisé pour un PCA/PRA après une panne) Serveur Windows server 2008 R2 Commutateur (disponible)
TOTAL
0 0 0
0
Deuxième Projet Audit réseau du site de Paris
Historique
Anomalie constatée Taux de latence élevée
Audits réalisés par l’opérateur et une société extérieure
Constat Pics à 75 % de la capacité sur 4% du temps Protocole Novell toujours activé sur certains équipements Surcharge liée au trafic internet
Analyse des flux
(DFS)
Trafic Liaison SDSL 2Mo Vitesse transfert maximum théorique 250Ko/s 900Mo / heure 8,1Go sur 9h00 Orange a signalé en octobre un taux de charge moyen de 106% sur 4% du temps avec 52 dépassements Matinée du 6/11 Plus de 60% de la bande pour la messagerie
Locaux techniques à réorganiser -Locaux exigus sans ventilation -Connexions de mauvaise qualité pouvant causer des mauvais contacts - Mauvais contacts constatés aussi au niveau des prises dans les bureaux
Constat 8 causes décelées, rendent le réseau instable et contribuent aux phénomènes de latence Câblage des locaux techniques à réorganiser 2 serveurs virtuels sur Paris étaient en limite de ressources Certaines lames du serveur CITRIX sont surchargées par une mauvaise répartition des utilisateurs Sauvegarde des données vers le site de Chanteloup-en-Brie démarraient trop tôt.
Réplication des données sur les serveurs synchronisés en temps réel dans les 2 sens par le DFS.
Ouverture des fichiers par les utilisateurs sur le serveur de Paris et d’autres sur le serveur de réplication à Chanteloup-en-Brie.
Pics de charge sur la ligne dépassant la capacité par moment.
Personnes en partie migrées sur Office365 et ont toujours anciennes boites actives sur le serveur de Chanteloup-en-Brie.
Analyse des risques
Nous constatons en résultat une pondération élevée avec un niveau d’impact ‘Fort’ et ‘Important’
Etendre mémoire et espace disque sur les serveurs virtuels Finir migration messagerie 16 14 12 10 8 6 4 2 0 Niveau Impact
mineur moyen important majeur
Probabilité
faible moyenne forte très forte
Pondération
Référence Finir migration messagerie Réorganiser comptes sur les serveurs en lames Changer liaison Paris – Chanteloup en Brie Refaire le câblage de Paris Etendre mémoire et espace disque sur les serveurs virtuels 1 2 3 4
Refaire le câblage de Paris
Niveau impact 4 3 3 3 3 Probabilité 4 2 4 3 3
Réorganiser comptes sur les serveurs en lames Changer liaison Paris – Chanteloup en Brie
Pondération 16 6 12 9 9
Les contraintes
Finir la migration de la messagerie Contrainte : limitée
La migration s’effectue poste par poste et limite ainsi le flux réseau.
Périmètre d’action : restreint à certains utilisateurs de Paris
Les contraintes
Réorganisation des comptes sur le serveur de lames Contrainte : Moyenne
La contrainte est évaluée à ‘Moyen’ car il est avant tout nécessaire d’évaluer les ressources utilisées par chaque utilisateur CITRIX avant de les répartir sur les lames.
Périmètre : Utilisateurs de Paris
Les contraintes
Modification liaison Paris – Chanteloup en Brie Contrainte : Forte -Délai de mise en place par le fournisseur -Conditions de résiliation de l’ancienne ligne
La contrainte principale est de conserver la ligne actuelle le temps de la mise en place et configuration de la nouvelle.
Cette contrainte empêche la résiliation de la ligne actuelle le temps de la mise en service de la nouvelle ligne.
Périmètre : utilisateurs de Paris
Les contraintes
Etendre la mémoire virtuelle et la taille de disque dur sur les serveurs virtualisés Contrainte : Forte
L’allocation de la mémoire supplémentaire peut se faire de façon dynamique, en revanche pour l’affectation d’un espace disque supplémentaire la contrainte est Forte car elle nécessite l’arrêt du serveur le temps de sa réalisation.
Périmètre : Quelques utilisateurs de Paris
Le périmètre est limité à quelques utilisateurs sur Paris
Les contraintes
Refaire le câblage des locaux de Paris Contrainte : Moyenne
1/Les câbles pourront en un premier temps être tirer des locaux techniques vers les bureaux.
2/Dans les locaux techniques les baies et les câbles seront connectés.
3/Les nouvelles prises réseaux seront installées et câblée dans les bureau.
4/ Le brassage devra être réalisé soit -en accord avec les utilisateurs (service par service) OU -un soir en dehors des heures travaillées pour tous les postes
Périmètre : Tous les utilisateurs de Paris
Les solutions 1/ Modifier la mémoire allouée et l’espace disque dur sur les serveurs virtualisés à Paris.
2/ Répartir les comptes utilisateurs sur les serveurs EFD-Lamexx serait nécessaire.
3/ Finir la migration des boites mails sur Paris.
4/ Augmenter le débit de la liaison entre Paris et Chanteloup-en-Brie.
5/ L’audit a fait ressortir qu’un renouvellement du câblage réseau serait nécessaire. Il permettrait de faire évoluer la capacité du trafic interne sur le LAN de Paris en passant au Gigabit, car seul le câblage aujourd’hui empêche cette évolution.
Le calendrier
Ce calendrier permet de représenter en charge jour les différentes actions à mener.
Ces actions peuvent être mener dans l’ordre souhaité.
Elles seront réalisées en fonction de la charge du service informatique.
Actions à mener
Finir la migration de la messagerie Réorganisation des comptes sur le serveur de lames Modification liaison Paris – Chanteloup en Brie (soumis au délai de l’opérateur) Etendre la mémoire virtuelle et la taille de disque dur sur les serveurs virtualisés Refaire le câblage des locaux de Paris
Durée 15 10 Délai de 3 à 6 semaines 1 15
Les coûts Investissement Finir la migration de la messagerie.
Réorganisation des comptes sur le serveur de lames.
Interne Externe 0 0 Etendre la mémoire virtuelle et la taille de disque dur sur les serveurs virtualisés.
Refaire le câblage des locaux de Paris.
OU Changer les prises réseaux dans les bureaux 0 3,6K€ 900€
Coût de l’investissement global entre 900€ et 15K€
Fonctionnement Modification liaison Paris – Chanteloup en Brie.
Coût actuel (2x SDSL 2Mo = 900€/mois)
Entre 300€ et 400€ / mois
Coût annuel en fonctionnement entre 3,6K€ et 4,8K€
15K€ 9K€
Economies réalisées
Coût annuel actuel des lignes SDSL 2Mo : 10.8K€ Coût annuel nouvelle solution : entre 3.6K€ et 4.8K€ Economie réalisée par an : entre 55% et 66% soit : entre 6K€ et 7.2K€ Amortissement de l’investissement sur les économies réalisées
1 ère solution (900€) : Moins d’un an 2 ème solution (15K€) : Environ 2 ans
Amortissement comptable
1 ère solution : 900€
Cet investissement ne doit pas être amorti mais passer en charge.
2 ème solution : 15K€
Un amortissement linéaire sur 3 ans est vivement conseillé.
Investissement total 15K€ 1 ère année 2 ème année 3 ème année 5K€ 5K€ 5K€
Bilan: PROJET 802.1x
Le projet de la solution 802.1x
Notice personnalisée pour la mise en place de la solution 802.1x
Mise en place de la solution
Bilan: PROJET AUDIT RESEAU
Audit et rapport du site de Paris Actions correctives 2 serveurs virtuels sur Paris étaient en limite de ressources Sauvegarde des données qui démarrait trop tôt.
Ouverture des fichiers uniquement sur le serveur de Paris.
Répartition utilisateurs sur lames du serveur CITRIX Suppression de la réplication dans les 2 sens.
Migration messagerie.
Etude nouvelle Ligne Paris / Chanteloup-en-Brie.
Devis pour nouveau câblage