8.4 Partie fonctionnelle du prototype de management
8.4.1 Recherche des informations de management
Pour cette étape d’administration nous avons choisi de rassembler trois types d’information que nous pouvons classer en information techniques, informations historiques et informations dynamiques.
Informations techniques :
Ces informations concernent les machines des utilisateurs dans le réseau (limitées à l’adresse IP et au nom de la machine dans le cadre de notre prototype). Pour effectuer cette tache, nous avons défini un programme qui est en charge de rassembler, à chaque exécution, les noms de machines qui sont démarrées. Après l’assemblage, les informations seront stockées dans la base de données en faisant une mise à jour pour le tableau d’informations sur les utilisateurs.
Pour présenter un exemple, nous avons choisi un échantillon de cent machines qui se situent dans au département informatique. Les adresses IP de ces machines s’étendent de l’adresse IP (134.214.106.0) jusqu’à l’adresse IP (134.214.106.99). La figure suivante montre une partie du tableau (informations) issu d’une partie de notre sous base de données (Utilisateurs) et qui contient les informations techniques sur les machines des utilisateurs associées aux informations administratives sur les mêmes utilisateurs.
Figure (8.11) : Tableau des informations sur les utilisateurs.
Les informations mentionnées dans le tableau précédent ont été collectées de deux façons : pour ce qui concerne les noms et prénoms des utilisateurs avec leur rôle nous avons fait une demande auprès de l’administrateur technique de notre département car nous ne disposions pas du droit d’accéder à l’annuaire LDAP (contrainte de sécurité). En revanche, les adresses IP avec les noms des machines ont été collectées en utilisant notre plate- forme de management. Les deux figures suivantes présentent les codes de deux agents que nous avons utilisés pour collecter les informations concernant l’échantillon des utilisateurs dans le réseau.
Le premier agent (test.java (c.f. annexe A, § A.1)) est un agent action. Le rôle de cet agent est de démarrer l’agent code qui cherche les informations concernant les machines des utilisateurs dans le réseau (adresse IP et nom de machine) et mettre à jour le tableau (Information) dans la sous base de données (Utilisateurs).
L’agent code (testIP.java (cf. annexe A, § A.2)) récupère les noms de machines pour un échantillon d’adresses IP que le gestionnaire indique et retourne ces informations à l’agent action qui les mémorise dans la base de données.
Informations historiques :
Ce type d’information est associé aux journaux de logs qui gardent l’historique des activités se déroulant dans le réseau. La surveillance de ces journaux nous donne des idées sur le fonctionnement des différentes parties du réseau.
L’exemple que nous avons pris pour illustrer cette section propose d’employer un agent itinéraire qui démarre un autre agent code hébergé sur le nœud à surveiller. L’agent code (appelé lirelogfile) a pour rôle de chercher les fichiers de logs concernant le mail et le trafic http :
•
Maillog : Contient un enregistrement du trafic de courrier entrant et sortant y compris la date et l’heure d’accès. Ce fichier est situé dans le répertoire /var/log du système d’exploitation Linux.•
Httplog : Contient des informations historiques concernant le serveur Apache sur lequel notre base de données est installée.Une fois collectés, ces journaux de logs peuvent être enregistrés dans la base de données pour pouvoir les consulter ultérieurement.
La figure suivante expose quelques lignes du fichier de Maillog qui sont collectés par notre plate- forme à base d’aglets.
Figure (8.12) : Fichier de log de mail.
La réalisation de cette étape de management utilise deux aglets (itinéraire et code). L’agent itinéraire (DBconnection.java (c.f. annexe A, § A.3)) joue deux rôles (itinéraire et action) : pour le rôle itinéraire, cet agent cherche les adresses IP des nœuds de surveillance que le gestionnaire a mémorisée dans la base de données. Ensuite, concernant l’action qu’il réalise, cet agent démarre l’aglet code (lirelogfile.java) qui est en charge de chercher le journal de log désiré.
L’aglet code (lirelogfile.java) présenté dans l’annexe A, § A.4) de ce rapport cherche le fichier de log demandé par le gestionnaire en suivant l’itinéraire qui est défini dans la sous base de données (Aglets).
Informations dynamiques :
Les informations dynamiques se sont présentées par le trafic déroulant dans le réseau pendant une période du temps. Pour cela nous avons collecté ces informations en exécutant la commande TCP-dump sur un switch du département informatique. Les résultats de cette exécution nous ont été fourni par l’administrateur technique du bâtiment pour des raisons de sécurité (nous ne disposions pas des droits pour exécuter ce type de commande).
Par la suite, nous avons mémorisé ces résultats dans notre base de données par tranche de temps de 5 minutes. Pour chaque tranche nous avons calculé le nombre de paquets passant vers le serveur. La réalisation de cette tâche utilise un agent action qui porte une fonction code (c.f.
annexe A, § A.5)).
Notre agent action réalise trois tâches en même temps : la première tâche est de calculer le nombre de paquets pour chaque tranche de temps, la deuxième tâche met à jour le tableau "trafic" dans la base de données " rapports et logs " et la troisième tâche lance la fonction code
"performTask".
La fonction "performTask" est en charge de calculer la moyenne, la variance et l’écart type de la série du nombre des paquets que nous avons dans notre base de données.
Les résultats de calcul fournis par l’aglet précédent sont présentés dans la figure (8.13). En regardant ces résultats, nous pouvons constater que la variance est très élevée. Cette augmentation de variance signifie qu’il y a des moments où le nombre de paquets est très loin de la moyenne, ce que nous pousse à réfléchir : quels sont les moments où nous avons plus de trafic ? Est-ce que ce trafic peut menacer le système en dépassant le seuil de bande passante ou non ?...
Figure (8.13) : Résultats obtenus de notre programme de calcule.
Pour répondre à toutes ces questions, nous avons construit la courbe qui montre le changement le nombre des paquets passant au serveur avec le temps (figure 8.14). L’observation de cette courbe illustre mieux les moments de l’embouteillage dans le réseau. Les sommets les plus hautes dans la courbe sont entre 11h et 11h40 (sauvegardes avant la pause déjeunée). Le bon dimensionnement et la configuration de l’infrastructure doivent prendre en compte cette contrainte pour qu’on n’atteigne pas un seuil dit « de menace » risquant de « faire tomber » le réseau.
Figure (8.14) : Courbe montrant le nombre de paquets passant au serveur dans une tranche du temps.
L’analyse de ce type de menace conduit à proposer plusieurs solutions de configuration :
•
Appliquer un filtrage sur le serveur et séparer les paquets selon, par exemple, les protocoles utilisés pour transférer ces paquets.•
Filtrer aussi les utilisateurs selon leur profil en liant cette filtration avec les informations contextuelles actuelles.•
Changer le mode de travail et de transfert des fichiers.8.5 Conclusion
Pour tester le bon fonctionnement de notre prototype, nous avons proposé d’appliquer notre plate-forme de management sur le réseau de notre laboratoire, pris comme étude de cas.
Au début du chapitre nous avons présenté le modèle de prototype que nous avons utilisé pour réaliser notre test. Puis nous avons détaillé chaque composant dans ce modèle en montrant les logiciels que nous avons utilisé et en expliquant pour quelles raisons ces logiciels ont été retenus.
Après cette présentation, plusieurs exemples de programmation ont été mis en place. Nous avons essayé à partir de ces exemples de montrer comment fonctionnent nos trois types d’aglets (itinéraire, code et action) et d’assurer l’ouverture de notre plate-forme vers d’autres types des plates-formes en utilisant différents types d’agent.
Les informations nécessaires pour le fonctionnement de notre plate-forme ainsi que les résultats obtenues par les aglets sont mémorisées dans notre base de données de management.
Pour faciliter la tâche de gestion, nous avons proposé une interface de management. L’interface principale offre le choix d’accès aux sous-interfaces selon la tâche à réaliser.
A la fin de ce chapitre, nous avons essayé de faire une petite analyse des résultats obtenus et proposer ensuite quelques solutions convenables. On notera qu’une part importante a été laissée au contrôle
« manuel » de manière à respecter les contraintes de sécurité fixés par les administrateurs du réseau.
Chapitre9 Conclusion générale et perspectives
Pour faire face aux changements structurels, les entreprises mettent largement en place des stratégies de collaboration faisant largement usage d’infrastructures distribuées. Bien que largement traité dans la littérature, la gestion de systèmes distribués ne permet pas de répondre pleinement aux contraintes issues de ce contexte de collaboration En particulier, les problématiques liées à la gestion de la sécurité, à l’organisation d’un système d’information hautement distribué entre entreprises posent de nouveaux challenges en termes d’agilité du système de management et de gestion contextuelle.
Ainsi, l’organisation d’une infrastructure distribuée interentreprises impose à la fois une bonne compréhension du fonctionnement de ce réseau et une bonne connaissance de l’organisation collaborative de business pour offrir une gestion adaptée. Cette approche
« double » nous a conduits à définir deux phases pour appréhender le fonctionnement de l’infrastructure distribuée :
•
La phase conceptuelle porte sur l’étude du système distribué d’entreprise en intégrant non seulement l’infrastructure de communication (i.e. le réseau) mais aussi l’ensemble du système d’information et plus particulièrement les processus métier. La modélisation d’une telle entreprise distribuée, basée sur les processus, permet de montrer les relations entre composants et les influences mutuelles de ces composants.•
La phase opérationnelle porte sur l’étude des mises en œuvre permettant d’intégrer les résultats de l’étude conceptuelle dans le système de gestion global.Après un état de l’art portant principalement sur les méthodes d’administration et sur la gestion de la qualité de service, nous avons proposé un modèle de base intégrant système d’information, composants du système de communication, composants de sécurité et composants de management en nous appuyant largement sur les concepts et outils de gestion des systèmes distribués, principalement issus du monde du réseau.
Cette phase de modélisation a constitué le point de départ pour proposer un système d’administration contextuel, dynamique et agile pour satisfaire les contraintes de qualité de service qui évoluent selon le contexte.
Au niveau opérationnel, notre architecture s’appuie sur une plate-forme d’agents mobiles (les aglets). Pour obtenir une architecture agile, nous avons proposé trois types d’agents (itinéraires, actions et codes) ce qui nous permet de composer et paramétrer dynamiquement les différents traitements nécessaire pour gérer l’infrastructure distribuée. De manière à simplifier la gestion, nous avons proposé que l’architecture de management générique respecte les frontières « naturelles » de responsabilité, ce qui nous a conduits à définir une architecture multizones et multi-niveaux
(selon les niveaux de décision). Ceci nous a permis de construire une plate-forme agile, dynamique et relativement « autonome », capable de s’adapter aux changements de contexte (intégration d’une étude portant sur la qualité de service contextuelle).
Outre la gestion d’une infrastructure distribuée, la collaboration entre entreprises pose aussi le problème de l’intégration de la sécurité. Pour répondre à cette contrainte, nous avons divisé l’infrastructure en différentes parties : zone périphérique partagée avec un partenaire (prestataire de service), zone propre à l’entreprise, zone propre à un site. Outre cette
« sectorisation » type, nous avons également montré comment notre plate-forme à base d’agents mobiles peut être utilisée pour supporter (dynamiquement) plusieurs services de sécurité (authentification et autorisation d’accès).
La gestion des contraintes de construction de la plate forme et de sécurité nous a conduites à proposer une première implémentation du réseau.
Ainsi, les principes de cette plate-forme ont été validés grâce à une maquette et une étude sur un réseau réel (réseau du laboratoire). Ce prototype nous a permis de montrer comment les différents types d’agents peuvent être mémorisés et combinés pour offrir des fonctions évoluées.
Toutefois des contraintes de sécurité sur ce réseau ne nous ont pas permis de déployer la totalité de la plate-forme « autonomique ».
Les perspectives ouvertes par notre travail portent sur :
•
L’étude de l’influence du fonctionnement de la plate-forme de management sur la qualité de service de système distribué.•
La prise en compte des contraintes de type « temps réel » dans l’organisation du travail des agents afin de garantir un fonctionnement acceptable pour les cas « d’urgence ».•
Possibilité d’application de cette plate-forme de gestion distribuée à d’autres environnements (business monitoring, monitoring dynamique de services...).•
La généralisation de notre étude (menée initialement dans le contexte des systèmes distribués entre entreprises) à d’autres contextes (comme les hôpitaux) afin d’intégrer de nouvelles contraintes.•
Une étude élargie concernant la sécurité afin de prendre en compte les impacts qu’un changement au niveau d’un service offert (changement définit dans un contrat liant les parties) peut avoir sur le reste du système (organisation et propagation des contraintes d’authentification et d’autorisation en particulier).•
Extension vers un système d’administration basé sur des agents cognitifs (dans le but de simplifier la tâche humaine).Annexe A
A.1 Code de l’agent action test.java
A.2 Code de l’agent code testIP.java
A.3 Code de l’agent itinéraire DBconnection.java
A.4 Code de l’agent code lirelogfile.java
A.5 Code de l’agent action MVtrafic.java
Bibliographie
[Aalst,2004a] W. M. P. v. d. Aalst, "Business alignment : using process mining as a tool for delta analysis". In 5th Workshop on Business Process Modeling, Devel-opment and Support (BPMDS’04). Riga Technical University, Latvia.
2004a. pp. 138-145.
[Aalst,2003] W. M. P. v. d. Aalst, B. F. v. Dongen, J. Herbst, L. Maruster, G. Schimm, and A. J. M. M. Weijters, "Workflow mining : A survey of issues and ap-proaches". Data & Knowledge Engineering, vol. 47, no. 2. 2003. pp. 237-267.
[Aalst,2004b] W. M. P. v. d. Aalst and A. K. A. d. Medeiros, "Process Mining and Secu-rity : Detecting Anomalous Process Executions and Checking Process Con-formance." In : Electronic Notes in Theoretical Computer Science. P ceeding of the Second International Workshop on Security Issues with Petr Nets and other Computational Models (WISP 2004) CNR Pisa, Italy, vol.
121,2004b. pp. 3-21.
ro-i
[Aalst,2002] W. v. d. Aalst, "Inheritance of inter-organizational workflows to enable business to business E-commerce". Electronic commerce research vol. 2, no. 3. 2002. pp. 195-231.
[Alberts,2003] C. Alberts, A. Dorofee, J. Stevens, and C. Woody. "Introduction to the OCTAVE Approach" [en ligne]. 2003. Disponible sur :
<http://www.cert.org/octave/approach_intro.pdf> (consulté le 28.07.2008).
[Ali,2004] L. Ali, "Etude de la sécurité dans l’entreprise virtuelle : Méthodes et archi-tecture". rapport de stage de DEA. DEA Informatique, Lyon : INSA de Lyon, 2004. 38p.
[Ali,2005] L. Ali and F. Biennier, "Integration of security requirements in Virtual En-terprises". In APMS’05: The international conference on Advances in Pro-duction Management Systems. Washington DC -USA. 2005. pp. non pagi-nés.
[Ali,2007] L. Ali, M. Jaber, S. Chaari, and F. Biennier, "Context-aware infrastructure to support distributed industrial services". In 12th IEEE Conference on Emerging Technologies and Factory Automation. Greece. 2007. pp. non paginés.
[Ali,2006] L. Ali, H. Mathieu, and F. Biennier, "Monitoring and Managing a Distrib-uted Networks using Mobile Agents". In 2nd IEEE International Confer-ence on Information & Communication Technologies. Damascus-Syria.
2006. pp. 3377-3382.
[Barbara,2001a] D. Barbara, J. Couto, S. Jajodia, and N. Wu, "ADAM : a testbed for ex-ploring the use of data mining in intrusion detection". ACM SIGMOD Re-cord, vol. 30, no. 4. 2001a. pp. 15-24.
[Barbara,2001b] D. Barbara, J. Couto, S. JajodiaL., and N. P. Wu, "ADAM : Detecting In-trusions by Data Mining". In IEEE Workshop on Information Assurance and Securi. Military Academy, West Point, United States. 2001b. pp. 11-16.
[Bauer,1997] M. A. Bauer, R. B. Bunt , A. El Rayess , J. P. Finnigan , T. Kunz , H. L.
Lutfiyya , A. D. Marshall , P. Martin , G. M. Oster , W. Powley , J. Rolia , D. Taylor , and M. Woodside, "Services Supporting Management of Distributed Applications and Systems,". IBM Systems Journal,, vol. 36, no. 4. 1997. pp. 508-526.
[Benslimane,2006]D. Benslimane, A. Arara, G. Falquet, Z. Maamar, P. Thiran, and F. Gar-gouri, "Contextual Ontologies : Motivations, Challenges, and Solutions". In Fourth Biennial International Conference on Advances in Information Sys-tems. Izmir, Turkey. 2006. pp. 168-176.
[Biennier,2007] F. Biennier, L. Ali, and A. Legait, "Extended service integration : towards
"manufacturing" SLA". In the conference of the IFIP Working Group 5.7,
Advances in Production Management Systems (APMS). Sweden. 2007. pp.
87-94.
[Boutilier,2003] C. Boutilier, R. Das, J. O. Kephart, G. Tesauro, and W. E. Walsh, "Coop-erative negotiation in autonomic systems usingincremental utility elicita-tion". In Nineteenth Conference on Uncertainty in Artificial Intelligence.
Acapulco, Mexico. 2003. pp. 89-97.
[Bradley,2005] N. A. Bradley and M. D. Dunlop, "Toward a Multidisciplinary Model of Context to Support Context-Aware Computing". Human-Computer Interac-tion, vol. 20, no. 2005. pp. 403-446.
[Breton,2003] A. Breton, "Supervision et management d'équipements réseau et de serveurs windows". Thèse Université Paris 7, Paris, 2003. 53p.
[Buchanan,1998] S. Buchanan and F. Gibb, "The information audit : An integrated strategic approach". International Journal of Information Management, vol. 18, no.
1. 1998. pp. 29-47.
[Buecker,2005] A. Buecker and M. Campbell. "IBM Tivoli Access Manager for e-business"
[en ligne]. Redbooks paper. 2005. Disponible sur : <ht-tp://publib-b.boulder.ibm.com/Redbooks.nsf/%20RedpaperAbstracts/
redp3677.html?Open> (consulté le 28.07.2008).
[Bussler,2002] C. Bussler, "The application of workflow technology in semantic B2B inte-gration". Distributed and parallel databases, vol. 12, no. 2-3. 2002. pp.
163-191.
[Cabrera,2001] J. B. D. Cabrera, L. Lewis, X. Qin, W. Lee, R. K. Prasanth, B. Ravi-chandran, and R. K. Mehra, "Proactive detection of distributed denial of service attacks using MIB traffic variables - a feasibility study". In 7th IEEE/IFIP International Symposium on Integrated Network Management.
Seattle, WA, USA. 2001. pp. 609-622.
[Cadenhead,1998]R. Cadenhead, "Java 1.2". Paris : Simon & Schuster Macmillan 1998.
447p.
[Casati,2001] F. Casati and A. Discenza, "Modeling and managing interactions among business processes". Journal of systems integration, vol. 10, no. 2. 2001.
pp. 145-168.
[Case,1990] J. Case, M. Fedor, M. Schoffstall and J. Davin "RFC(1157), Simple Net-work Management Protocol" [en ligne]. 1990. Disponible sur : <ht-tp://www.faqs.org/rfcs/rfc1157.html> (consulté le 28.07.2008).
[Chaari,2008] S. Chaari, "Construction de processus enter-entreprise". Thèse en informa-tique. Lyon: thèse en cours Insa-Lyon, 2008. rédaction en cours.
[Chiu,2002] D. K. W. Chiu, K. Karlapalem, Q. Li, and E. Kafeza, "Workflow view based e-contracts in a cross organizational e-services environment". Dis-tributed and parallel databases, vol. 12, no. 2-3. 2002. pp. 193-216.
[Convery,2000] S. Convery and B. Trudel. "A Security Blueprint for Enterprise Net-works"
[en ligne]. SAFE-Cisco, white paper. 2000. Disponible sur :
<http://www.cisco.com/warp/public/cc/so/cuso/epso/sqfr/safe_wp.pdf>
(consulté le 28.07.2008).
[Costes,1999] Y. Costes, "La mesure d'audience sur Internet : terminologie, technologies et méthodologies". Cahier n°278, Centre de Recherche DMSP, Université Paris-Dauphine, Paris, 1999. 23p.
[Daniels,1999] T. Daniels and E. Spafford, "Identification of Host Audit Data to Detect Attacks on Low-level IP". Journal of Computer Security, vol. 7, no. 1.
1999. pp. 3-35.
[Dey,2001] A. K. Dey, G. D. Abowd, and D. Salber, "A Conceptual Framework and a Toolkit for Supporting the Rapid Prototyping of Context-Aware Applica-tions". Human-Computer Interaction, vol. 16, no. 2-4. 2001. pp. 97-166.
[e-workflow,2007]e-workflow. "What is Workflow?" [en ligne]. 2007. Disponible sur :
<http://www.e-workflow.org/> (consulté le 28.07.2008).
[Feather,2000] F. Feather, D. Siewiorek, and R. Maxion, "Fault detection in an ethernet network using anomaly signature matching". In ACM SIGCOMM '93. San Francisco, CA. 2000. pp. 279 - 288.
[Ferraiolo,1992] D. Ferraiolo and R. Kuhn, "Role-based access controls". In 15th NIST-NCSC National Computer Security Conference. Baltimore, MD. 1992. pp.
554-563.
[Footen,2008] J. Footen and J. Faust, "SERVICE-ORIENTED MEDIA ENTERPRISE : Soa, Bpm, and Web Services in Professional Media Systems ". Focal Press, 2008. 536p.
[Forum,2004] T. Forum and O. Group, "SLA Management Handbook". vol. 4. Entreprise Perspective. Berkshire : The Open Group, 2004. 121p.
[Franceschi,1996]A. S. M. D. Franceschi, L. F. Kormann, and C. B. Westphall, "Perform-ance Application for Proactive Network Management". In IEEE Second In-ternational Workshop on Management Systems. IEEE Computer Society.
1996. pp. 15-19.
[Franceschi,1997]A. S. M. D. Franceschi, M. A. d. Rocha, H. L. Weber, and C. B. West-phall, "Proactive Network Management Using Remote Monitoring and Ar-tificial Intelligence Techniques". In 2nd IEEE Symposium on Computers and Communications (ISCC '97). Washington, DC, USA IEEE Computer Society. 1997. pp. 167-173.
[Gagnon,2004] C. Gagnon. "Les systèmes de détection d'intrusion" [en ligne]. la journée thématique de L'APVSCI,. 2004. Disponible sur :
<http://www.tactika.com/presentation/IDS_v2_APVSCI_Tactika_COM.pdf
> (consulté le 28.07.2008).
[Gates,2003] C. Gates and J. Slonim, "Owner-controlled information". In 2003 workshop on New security paradigms. Ascona, Switzerland. 2003. pp. 103 -111.
[Gold-Bernstein,2004]B. Gold-Bernstein and W. Ruh, "Enterprise Integration: The Essential Guide to Integration Solutions (Addison-Wesley Information Technology Series) ". New York: Addison Wesley, 2004. 432p.
[Gracia,2002] E. Gracia. "Adminstration : Généralités" [en ligne]. Cours d'informaique, Université de France-Comté. 2002. 52p. Disponible sur : <ht-tp://isti.univ-fcomte.fr/~garcia/Enseignement/IUT/Supervision/ CoursPDF /SupervisionCours1pdf.pdf> (consulté le 28.07.2008).
[Gray,1998] R. S. Gray, D. Kotz, G. Cybenko, and D. Rus, "D'Agents: Security in a Multiple-Language, Mobile-Agent System". In: Mobile Agents and Secu-rity. Heidelberg : Springer Berlin, vol. 1419,1998. pp. 154-187.
[Hegering,1999]H.-G. Hegering, B. Neumair, and S. Abeck, "Integrated Management of Networked Systems: Concepts, Architectures, and Their Operational Appli-cation". Morgan Kaufmann Publishers, 1999. 651p.
[Hood,1997] C. Hood and C. ji, "Proactive network fault detection." In INFOCOM '97.
Sixteenth Annual Joint Conference of the IEEE Computer and Communica-tions Societies. Kobe, Japan. IEEE Computer Society. 1997. pp. 1147-1156.
[Hunt,1997] R. Hunt, "SNMP, SNMPv2 and CMIP - the technologies for mul-tivendor network management". Computer Communications, vol. 20, no. 2. 1997.
[Hunt,1997] R. Hunt, "SNMP, SNMPv2 and CMIP - the technologies for mul-tivendor network management". Computer Communications, vol. 20, no. 2. 1997.