contrôle et gestion sécurisés à distance d’un dispositif ... · 14/10/2010 josy - asr pour la...
TRANSCRIPT
Contrôle et gestion sécurisés à distance d’un dispositif de mesures:
plateforme ATLAS
Régis DEVREESEJean-Emmanuel DOM
Laboratoire IMS – UMR 5218 – http://www.ims-bordeaux.fr
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 2
ATLAS : le dispositif Banc de test de circuits intégrés par faisceau LASER Sert à modéliser certains types de rayonnement ou de
radiations par le LASER Simulation de l’effet des rayonnements par excitation
ponctuelle des éléments constitutifs d’un circuit intégré (ex : mise en évidence de microstructures parasites induites par la technologie de conception utilisée)
http://hal.archives-ouvertes.fr/hal-00374744/en/
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 3
Contraintes physiques du banc de test Essentiellement liées au LASER :
Précision de visée : alignement, qualité des optiques, micromécanique… Pas de vibration Pas de lumière polluante ni de poussières Stabilité en température et en humidité
Donc un environnement spécifique et sécurisé (risque sanitaire) Fenêtres occultées Régulation hygrothermique et surpression Dalle flottante anti-vibration Structure du banc de test en matériau lourd Contrôle d’accès
Conclusion : INTRANSPORTABLE
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 4
Problèmatique : comment partager en sécurité ?
Partenariat de recherche multi-laboratoires Trouver comment répondre au besoin de mettre à
disposition des partenaires l’accès à l’équipement pour leurs mesures Contrôle : transmission des ordres de pilotage du faisceau
LASER Transmission de résultats de mesure
Dispositif de report des éléments nécessaires s’appuyant sur un tunnel SSH
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 5
Synoptique général
Internet
PC1PC2
Localhost:23
Routeur d’entrée
sshgw.ims.bdx:443IP = 192.168.2.1
ctrl_manip.ims.bdx:3389IP1 = 192.168.2.10IP2 = 192.168.1.1
Pare-feu
Flux vidéo HTTP:8080Diffusion VLC de PC2
Vers PC1Liaison technique
Liaison fonctionnelle
Trafic console à distance encapsulé dans SSH
Acquisition vidéo Gestion du bancde test LASER
VLAN dédié / Redirection du port 443/tcp depuis le routeur
Clé privée dans le profil putty
Les 3 fonctions de PC1:- pilotage du banc- gestion des mesures tps réel- report vidéo de PC2 par VLC
video_manip.ims.bdx:8080IP = 192.168.1.5
Cartes réseau dédiées
PARTENAIRE
Légende
ATLAS : contrôle à distanceRégis DEVREESEJean-Emmanuel DOMJoSy « ASR pour la Science »
Flux Vidéo
PASSERELLE SSH
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 6
Configuration service SSH de la passerelle Fichier sshd_config Pas de login/password
PermitEmptyPasswords no PasswordAuthentication no PAMAuthenticationViaKBDInt no PermitRootLogin no
Authentification par système de clés asymétriques RSAAuthentication yes
Autorisation pour les tunnels de ports TCP AllowTcpForwarding yes
Service en écoute sur le port 443 pour limiter des filtrages
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 7
Compte utilisateur sur la passerelle SSH Création d’un compte « no password » associé à un shell
restreint (exemple : /bin/rksh ou /usr/lib/rsh) Création d’un couple de clés asymétriques d’authentification
Ex : ssh-keygen –t rsa –b 2048 –f identity Conseil 1 : ne pas effectuer cette commande sur la passerelle SSH Conseil 2 : chiffrer la clé privée avec une passphrase « solide » Création du dossier .ssh dans le compte utilisateur Y placer la clé publique identity.pub en la renommant authorized_keys
La clé privée sera importée dans le client de connexion sur le poste « PARTENAIRE »
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 8
La connexion du partenaire Cahier des charges : le poste du partenaire est sous windows L’outil de connexion SSH choisi est putty
Site officiel : http://www.chiark.greenend.org.uk/~sgtatham/putty/ Logiciel libre (Licence MIT) Version actuelle : 0.60 (avril 2007)
Astuce : préparer des profils utilisateur La configuration des connexions est stockée dans
HKEY_CURRENT_USER\Software\SimonTatham\putty Possibilité d’importer un fichier .reg pour faciliter le déploiement
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 9
Configuration de la connexion putty
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 10
Configuration de la connexion putty
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 11
Configuration de la connexion putty
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 12
Configuration de la connexion putty
Importation de la clé privée : puttygen Rappel : ssh-keygen –t rsa –b 2048 –f identity Identity contient la clé privée chiffrée Dans puttygen conversions import key Pointer sur identity Entrer la passphrase Cliquer sur « Save private key » atlas.ppk Question de procédure : comment faire parvenir la clé privée
au poste « partenaire » de façon sûre s’il ne peut pas la générer lui-même ?
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 13
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 14
Configuration de la connexion putty
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 15
Configuration de la connexion bureau à distance
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 16
Configuration de la connexion bureau à distance
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 17
Configuration de la connexion bureau à distance
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 18
Configuration de la connexion bureau à distance
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 19
Configuration de la connexion bureau à distance
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 20
Report de l’image de caméra filmant le LASER
Sur PC2 = video_manip.ims.bordeaux Carte d’acquisition d’images de la caméra La caméra filme dans l’axe de visée LASER Report vidéo sur le poste partenaire pour contrôle de visée Choix de VLC media player en mode broadcast (http://videolan.org)
Sur PC1 = ctrl_manip.ims.bdx VLC utilisé en mode player Affiche la vidéo de PC2 depuis http://PC2:8080
Entre PC1 et PC2 réseau ethernet dédié Réseau = 192.168.1.0/24
Configuration de VLC sur PC2 : broadcast
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 21
Configuration de VLC sur PC2 : broadcast
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 22
Configuration de VLC sur PC2 : broadcast
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 23
Configuration de VLC sur PC2 : broadcast
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 24
Configuration de VLC sur PC2 : broadcast
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 25
Configuration de VLC sur PC2 : broadcast
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 26
Configuration de VLC sur PC2 : broadcast
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 27
Configuration de VLC sur PC1 : player
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 28
Configuration de VLC sur PC1 : player
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 29
Conclusion - Perspectives Très peu de modifications de la configuration du poste de mesures (XP)
Activation du service bureau à distance Installation de VLC player
Contrôle d’interruption du service possible à plusieurs niveaux Chercheur : désactivation du service console à distance Chercheur : changement du mot de passe atlas ASR : annulation de la redirection de port 443 sur le routeur d’entrée ASR : interruption du login par changement sur
~partenaire/.ssh/authorized_keys de la passerelle SSH Putty est sensible à la qualité de la liaison : amélioration possible en
essayant un VPN en UDP avec tentatives de reconnexion automatique (àfaire)
Point essentiel : l’équipe de recherche est satisfaite 14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 30
Merci de votre attention Contacts : Régis Devreese
Jean-Emmanuel Dom [email protected]
14/10/2010 JoSy - ASR pour la Science - R.Devreese / J.E.Dom 31