Let’s encrypt – SSL c’est quoi ? et ADFS ?

Vous connaissez tous SSL/TLS ?
Non ?

Voilà ce qu’en dit Wikipédia

TLS (ou SSL) fonctionne suivant un mode client-serveur. Il permet de satisfaire aux objectifs de sécurité suivants :

  • L’authentification du serveur ;
  • la confidentialité des données échangées (ou session chiffrée) ;
  • l’intégrité des données échangées ;
  • de manière optionnelle, l’authentification du client (mais dans la réalité celle-ci est souvent assurée par le serveur).

 

En gros, cela permet d’afficher un petit cadenas vert dans le navigateur et de garantir que le serveur en face communique de façon sécurisé avec votre navigateur.

 

Concernant Let’s Encrypt (et toujours Wikipédia)

Let’s Encrypt est une autorité de certification lancée le 3 décembre 2015 (qui est sorti de Beta il y a quelques mois). Cette autorité fournit des certificats gratuits X.509 pour le protocole cryptographique TLS au moyen d’un processus automatisé destiné à se passer du processus complexe actuel impliquant la création manuelle, la validation, la signature, l’installation et le renouvellement des certificats pour la sécurisation des sites internet.

L’avantage la gratuité. L’inconvénient, le certificat doit être renouvelé tous les 3 mois et qu’ils font donc l’attacher à vos serveurs. Si en plus le dit serveur est un IIS ou un service Microsoft …s’pas facile.

MAIS … MAIS … il y a une petite solution bien sympa et qui fonctionne avec ADFS.

Que permet ADFS … de fabriquer entre autre un reverse proxy intelligent.
Le reverse proxy permet d’interpréter les adresses web pour le relayer vers une machine d’un LAN.

C’est-à-dire.
Admettons que j’ai le nom de domaine titi.com.
Admettons que j’ai 3 machines avec exchange, un apache sous linux et un serveur IIS quelconque.
Admettons qu’elles servent toutes un service sur le port 443 ou SSL/TLS.

Soit j’expose chaque machine avec un port différent (nattage par port). C’est crade.
Soit j’utilise mon ADFS pour dire que exchange.titi.com va sur l’Exchange, apache.titi.com va sur le serveur Apache et iis.titi.com va sur le serveur IIS le tout sur un seul port 443.

C’est mieux non. Sans compter qu’il devient possible avec ADFS d’utiliser SSTP (le VPN SSL de Microsoft) 3 machines différentes en 443 sur le même port !
La ça devient TOP !!!

Dans un prochain billet, je vous expliquerais comment.

Personnal Cloud 2015

Petite mise à jour de mon LAN avant de faire un point sur ADFS et Jeedom (oui je sais … rien à voir)

mondomaine

 

En mai 2015 (ça date hein ?), j’ai mis à jour un de mes hotes ESXI.

Je me suis fabriqué une petite bête de course. Carte mère Supermicro et Xeon 12 cœurs avec 64 giga de RAM.
La carte mère est juste extraordinaire. Elle embarque un petite serveur web qui permet de gérer tout ce qui se passe sur la carte à distance dans un navigateur.
Quant au XEON … que de puissance.
64 giga du bonheur (et il ne me reste que 7 giga … attention à l’overcommit).

Alors vous allez me dire pourquoi faire tout ca ?

D’abord sur le premier hôte :

Un pFsense dernière mouture comme firewall, routeur et IPS.

Le même couple en cluster d’Active Directory 2012R2 (en attendant 2016). Ce couple gere le SSO dans le LAN, le DHCP IPV4/6, le DNS IPV4/6 et DNSSEC.
Petite nouveauté sur l’AD2 … la présence d’ADFS pour faire un beau reverse proxy/vpn sur un autre serveur.

Le toujours même Windows Update Server … pour les updates centralisé dans le LAN de tous les Windows et Office et économiser de la bande passante (quoiqu’avec la fibre …)

Un petit RDC. C’est peut-être mon serveur préféré. Il me permet en SSL (donc en passant même les firewall proxy les plus vicieux) de me connecter à mes machines (par exemple mon Windows 10 virtuel) et de quelque part transporter partout mes machines. Mais surtout de « diffuser » mes services et d’accéder juste à un Firefox à distance (et donc de passer outre les limitations de certaines entreprises).

Un Exchange 2016 … ma messagerie PIM en fait. C’est bien d’internaliser parfois pour ne pas perdre la main.

Un serveur de Streeam (avec Subsonic mon deezer perso) et Plex (pour consulter mes films, série et autres n’importe où dans le monde et aussi sur mon Apple TV4 dans le salon).

Un serveur VEEAM pour sauvegarde au mieux les petites machines virtuelles.

Puis le deuxième hôte :

Un pFsense dernière mouture comme firewall, routeur et IPS en mode « slave ». En gros, si l’hôte 1 s’arrête … ce firewall prend la main automatiquement. Pas de coupure d’internet. Pas de coupure de serveur (sauf ce qui sont sur l’hôte 1 évidemment. Je ferais du VMware HA bientôt).

Une machine CenTOS avec openVZ. C’est un peu « inception » ce truc. Donc une machine virtuelle sur une machine physique qui fait tourner 3 serveur virtualisés LAMP (sur un LAMP – un site, sur un autre mes petits services comme TTRSS, Fever et Full text RSS et infiniteWP. Ce dernier centralise la mise à jour des mes WordPress interne et chez OVH).

Un Freenas qui est un NAS open Source (pour test)

Un autre CentOS qui gère l’onduleur et qui permet d’envoyer des ordres d’extinctions aux ESXI si jamais la coupure de courant était un peu longue.

Evidemment un VCenter Server et un Nested ESXI (c’est-à-dire un ESXI virtualisé sur un ESXI … c’est utile parce que Nested ESXI est patché et que je ne veux pas patcher un ESXI sur un hote physique. On ne sait jamais. Le patch quant à lui permet de faire tourner OSX Server dans une machine virtuelle)

Un Ubuntu avec Zentyal … en gros un Windows Server open source. Très bon système.

Un Ubuntu avec Docker. Là encore c’est inception. Docker me sert à virtualiser non les machines mais les services.

Un Ubuntu Jeedom. Ma petite découverte de fin 2015. C’est un serveur open Source de domotique. J’en parlerais dans un autre billet.

Un Ubuntu MySQL. Ce serveur centralise toutes les bases de données de me différent service. J’ai préféré isoler MySQL sur sa propre machine virtuelle il y a 3 jours (avant le serveur MySQL était une machine openVZ)

Un Ubuntu NZBapp qui sert à télécharger avec Sabnzbd, NZBget, Couchpotato, Sickrage, Headphone et le serveur/client Torrent Transmission.

Une VM Synololgy pour faire des test de communication et de synchronisation entre mon NAS 1318+ de Synology et cette VM (qui à 10 T de stockage en direct sur la machine virtuelle).

Une Debian 7 (ca date) avec Newznab (c’est une machine qui vérifie tout ce qui est publié en newsgroup et en sort les releases pour téléchargement. C’est sur ce serveur que Sickrage et Couchpotato vérifient respectivement les sorties séries et films. Tout est automatisé évidemment avec une petite notification sur iOS via Prowl)

Un OSX El Capitan Server pour faire du Mobile Device Management de mes « iOS devices »

 

Et enfin un petit Windows 10 parce qu’l faut bien un petit client pour manager tout ca de temps en temps. Sans compter que grâce a Remote Desktop, cela me permet d’avoir un Windows 10 sur mon iPad.

VMware ESXI: Contenu du labo à la maison (part 4)

Alors, je résume encore : un ESXI, 2 Windows Server en AD Cluster, 1 Windows 2012 en Exchange 2010 et 1 Windows 2012 avec WSUS, 1 Windows 2012 avec VEEAM Backup & Replication.

L’ESXI est bien chargé non ?

MAIS, il manque l’accès réseau à tout ça non ?

Bah oui, il n’y a aucun routage ou firewall dans tout ça.
Et il y a une solution pour ça.

J’ai testé pas mal de firewall open-source. Je ne sais pas pourquoi j’ai plus confiance mais bon avec les backdoor de le NSA sous Windows, je dois être un peu bête 😉
Je m’étais arrêté sur Endian qui est assez sympa et bien intégré. Malheureusement, trop intégré, pas mis à jour avec une communauté peu active.
Finalement, je me suis arrêté à pFsense. Et là c’est la claque. Ce firewall est extraordinaire. Il supporte de nombreux plugin : SNORT (anti-intrusion), SQUID (proxy et surtout reverse proxy) et open-vm-tools (les outils pour VMWARE).

Là ou pFsense est énorme :

–          il est (et c’est un des rares) compatible IPv6 (notamment advertisement de la gateway meme avec un DHCP IPv6)

–          il est modulaire

–          il est un excellent firewall, nat et gateway

–          Il supporte le clustering en failover (c’est-à-dire que vous avez 2 firewalls et que si le maitre tombe … l’esclave prend la main et les 2 firewalls sont synchronisés)

 

Je ferais un billet spécial pFsense.

VMware ESXI: Contenu du labo à la maison (part 3)

« Il revient et il est pas content » 😉

Pour ceux qui n’aurait pas lu les premiers articles

Je suis passé d’un serveur monolithique sous Windows 2008R2 à un hyperviseur ESXI 4.x avec plusieurs machines virtuelles : 2 Windows 2012 en cluster d’Active Directory et 1 Windows 2012 en Exchange 2010 et 1 Windows 2012 WSUS.

Bah il manque deux machines essentielles : vSphere et surtout une solution de sauvegarde (non parce que là il y a pas mal de machines)

Pour vSphere pas compliqué, j’ai déployé via OVF (Open Virtual Machine Format) vCenter Server Appliance. C’est la brique  « logiciel de gestion de serveurs qui offre une visibilité centralisée, une gestion proactive et une capacité d’extension de vSphere, le tout depuis une console unique ».
En gros, vCenter permet de gérer l’hôte ESXI et surtout opérer des lives migrations. Bon ça permet de faire plein d’autres choses : virtualisation de switch distribué, live migration, etc …

Et la solution de sauvegarde alors ?
Je crée une nouvelle machine Windows 2012 et j’y installe Veeam Backup & Replication.
Ce soft est juste une MERVEILLE.
Il n’y aucun besoin d’installer un agent sur les machines virtualisée. VEEAM sauvegarde la machine directement à partir de l’hôte ou du vCenter. Le tout est sauvegardé directement sur un disque partagé de mon NAS Synology (j’en parlerais aussi dans un autre billet).
Et là ou VEEAM est juste enormissime … c’est qu’il est possible de démarrer directement un backup en tant que machine virtuelle et encore mieux de tester le backup dans un laboratoire VEEAM pour voir si le backup fonctionne en tant que machine virtuelle.

Manque l’essentiel à tout ca non ?

 

VMware ESXI: Contenu du labo à la maison (part 2)

… the Sequel 😉

Je récapitule les premiers billets :
Je suis passé d’un serveur monolithique sous Windows 2008R2 à un hyperviseur ESXI 4.x avec plusieurs machines virtuelles : 2 Windows 2012 en cluster d’Active Directory et 1 Windows 2012 en Exchange 2010.

Je ne me suis pas arrêté en si bon chemin !

J’ai fait un quatrième serveur Windows 2012 avec WSUS. Ca fait peur hein ?
Alors WSUS ou Windows Server Update Services, c’est un Windows Update mais en interne.

Le serveur WSUS se connecte à Windows Update pour télécharger les updates dans des catégories définies (dans mon cas, Windows Server 2012, Exchange 2010, Windows 7 et 8).
Tout l’intérêt de la manœuvre consiste à ne télécharger les updates qu’une seule fois puis de permettre de les appliquer à plusieurs machines et donc d’économiser de la bande passante et accélérer le processus de mise à jour.
Pour les machines à mettre à jour, WSUS se substitue à Windows Update.

 

C’est bien beau tout ca non ?

Mais il manque presque l’essentiel !

VMware ESXI: Contenu du labo à la maison

Donc me voilà avec un ESXI, un Windows 2012 AD et une vieille machine physique ex AD (oui il y a bien 2 hardware : l’ESXI et l’ancien serveur monolithique).

Sur l’ex AD, il y a MS Exchange 2010 (ne pas perdre la main ne pas perdre la main) et tous mes petits services (j’en parlerais dans un autre billet).

Bon ok, ESXI avec un Windows 2012 AD : j’ajoute DNS, DHCP (que j’enlève illico du WS 2008R2 «physique »). Tout fonctionne nickel.

Allez zou, je crée une nouvelle machine Windows 2012 … pour y installer Exchange 2010. Je me retrouve donc avec deux Exchanges, ce qui permet de « live » migrer les Boites aux Lettres (ok je n’en ai que 3, c’est un labo-jouet en même temps).
Je supprime post migration l’Exchange « physique ». Là encore avec un routage bien fichu, je n’ai un downtime de messagerie que de 15 secondes ;).
Et hop, Exchange est virtualisé.

Re-zou, sur ma lancée, je fais un 3eme Windows 2012 et j’y installe : AD (encore ?) pour faire un cluster entre mes deux serveurs AD, DNS, DHCP.

Et puis après des petits gadgets :

–          airport (pour gérer mes bornes, oui ca aussi j’en parlerais dans un autre billet),

–          air video server qui permet de streamer sur iOS des vidéos dans le réseau interne comme sur internet

–          Dropbox et Skydrive il n’y a dans le réseau que cette machine qui synchronise les services. Toutes les autres machines accèdent au partage de ces dossiers (pratique … ca évite la déduplication).

–          Dynsite pour actualiser automatiquement mon DNS chez OVH (eh oui, en Livebox Fibre … il n’y a pas d’IP Fixe. Ce programme va vérifier régulièrement l’IP externe et la met à jour directement sur le DNS d’OVH ce qui permet de joindre mes serveurs et leurs services)

–          Growl en mode serveur pour notifier d’autres Growl

–          Icloud pour synchroniser mes photos. Automatiquement, mes photos iOS sont sauvegardées sur mon serveur directement depuis iCloud. Puis un petit script copie les photos sur le Synology !

–          Emule et Vuze (pour télécharger … bah oui un)

–          Rainmeter pour avoir les metriques du serveur directement sur le bureau

–          Des media Server : PLEX, Serviio

–          Splashtop qui me permet de prendre la main à distance sur le serveur et surtout d’utiliser le serveur sur un iPad (oui je suis très tablette)

–          Zappiti Media Serveur (pour avoir les pochettes de mes films sur mon Dune dans le salon – je détaillerais dans …. Un autre billet – bravo pour ceux qui l’avait deviné)

Donc au total … 2 Windows 2012 en cluster Active Directory, 1 Windows 2012 en Exchange 2010.

(A suivre …)

Windows 8 un futur brillant ?

Je ne sais pas vous mais je m’intéresse énormément à Windows 8 (je préfère largement le monde Windows à Mac OS et je préfère encore le monde iOS à Windows Phone 7).

Que savons-nous avant la BUILD de septembre 2011 (je n’aime pas trop parler actualité ici mais je vais traitre dans la suite de cet article d’éléments techniques connus).