Commentaires pour Antoine Benkemoun http://www.antoinebenkemoun.fr Sécurité informatique, Virtualisation, Administration système et Réseaux Wed, 21 Jul 2010 20:17:07 +0200 http://wordpress.org/?v=2.9.2 hourly 1 Commentaires sur Content Delivery Networks : Introduction par Une plateforme de cloud computing open source de plus avec OpenStack - Philippe Scoffoni http://www.antoinebenkemoun.fr/2010/06/content-delivery-networks-introduction/comment-page-1/#comment-465 Une plateforme de cloud computing open source de plus avec OpenStack - Philippe Scoffoni Wed, 21 Jul 2010 20:17:07 +0000 http://www.antoinebenkemoun.fr/?p=1191#comment-465 [...] de Rackspace. Une offre qui répond aux besoins en matière de CDN (Content Delivery Network). Lire cet article pour en savoir plus sur le [...] [...] de Rackspace. Une offre qui répond aux besoins en matière de CDN (Content Delivery Network). Lire cet article pour en savoir plus sur le [...]

]]> Commentaires sur La sécurité de la virtualisation : suite et fin par elgato http://www.antoinebenkemoun.fr/2010/06/la-securite-de-la-virtualisation-suite-et-fin/comment-page-1/#comment-457 elgato Fri, 02 Jul 2010 14:18:16 +0000 http://www.antoinebenkemoun.fr/?p=1223#comment-457 sert à riennnnnnnnn sert à riennnnnnnnn

]]> Commentaires sur Un serveur personnel avec ZFS par Antoine http://www.antoinebenkemoun.fr/2010/05/un-serveur-personnel-avec-zfs/comment-page-1/#comment-455 Antoine Wed, 30 Jun 2010 10:16:39 +0000 http://www.antoinebenkemoun.fr/?p=1165#comment-455 Bonjour, Ce genre de choix n'appelle pas de réponse universelle je pense. Il faut choisir l'environnement applicatif avec lequel on se sent le plus confortable. Je ne suis pas un fan des *BSD donc je ne pourrais vous les recommander. Dans votre cas, je choisirai probablement une Debian car Xen y fonctionne très bien et c'est relativement simple à utiliser. Pas de ZFS certes, mais on ne peut pas tout avoir :-P En espérant avoir été utile, Antoine Bonjour,

Ce genre de choix n’appelle pas de réponse universelle je pense. Il faut choisir l’environnement applicatif avec lequel on se sent le plus confortable. Je ne suis pas un fan des *BSD donc je ne pourrais vous les recommander.

Dans votre cas, je choisirai probablement une Debian car Xen y fonctionne très bien et c’est relativement simple à utiliser. Pas de ZFS certes, mais on ne peut pas tout avoir :-P

En espérant avoir été utile,

Antoine

]]> Commentaires sur La sécurité de la virtualisation : suite et fin par Istace Emmanuel http://www.antoinebenkemoun.fr/2010/06/la-securite-de-la-virtualisation-suite-et-fin/comment-page-1/#comment-453 Istace Emmanuel Tue, 29 Jun 2010 16:12:18 +0000 http://www.antoinebenkemoun.fr/?p=1223#comment-453 Bien sur, mais tout ce que j'ai dit s'est déjà avéré au moins un fois sur les produits du marché en regroupant VmWare, Citrix, Microsoft, Parrallels, etc, etc,.. Je serais heureux en effet que l'on débâte de cela par email, nous avons apparemment deux expériences différentes en matière de virtualisation cela pourrait s'avérer enrichissant. Bien sur, mais tout ce que j’ai dit s’est déjà avéré au moins un fois sur les produits du marché en regroupant VmWare, Citrix, Microsoft, Parrallels, etc, etc,..
Je serais heureux en effet que l’on débâte de cela par email, nous avons apparemment deux expériences différentes en matière de virtualisation cela pourrait s’avérer enrichissant.

]]> Commentaires sur La sécurité de la virtualisation par Istace Emmanuel http://www.antoinebenkemoun.fr/2010/06/la-securite-de-la-virtualisation-erratum/comment-page-1/#comment-452 Istace Emmanuel Tue, 29 Jun 2010 16:06:46 +0000 http://www.antoinebenkemoun.fr/?p=1214#comment-452 Concernant VmWare ESX, son architecture est de type 1, au même titre que Xen. Dans ma description des hyperviseurs de type 1 je précise : "Si les OS hôtes sont conscient et optimisé que pour être virtualisé, alors on parle de para-virtualisation'. La slides suivant, paravirtualisation est mis entre guillemet car la plupart des systèmes utilisant un hyperviseur de type 1 font de la paravitualisation, mais je ne ciblait pas ESX en particulier. Pour le reste je m'excuse alors, on est bien d'accord sur le sujet (sur le fond), concernant l'accès privilégié on est d'accord. En effet j'ai du faire des raccourcis car présenter le sujet de manière globale pour faire un état des lieux des implémentations de solutions de virtualisation en 30min... De plus le niveau du public en terme de virtualisation était très très hétérogène, je me devais donc de trouver un juste milieu pour rendre le sujet accessible a tous. Concernant VmWare ESX, son architecture est de type 1, au même titre que Xen. Dans ma description des hyperviseurs de type 1 je précise : « Si les OS hôtes sont conscient et optimisé que pour être virtualisé, alors on parle de para-virtualisation’. La slides suivant, paravirtualisation est mis entre guillemet car la plupart des systèmes utilisant un hyperviseur de type 1 font de la paravitualisation, mais je ne ciblait pas ESX en particulier. Pour le reste je m’excuse alors, on est bien d’accord sur le sujet (sur le fond), concernant l’accès privilégié on est d’accord. En effet j’ai du faire des raccourcis car présenter le sujet de manière globale pour faire un état des lieux des implémentations de solutions de virtualisation en 30min… De plus le niveau du public en terme de virtualisation était très très hétérogène, je me devais donc de trouver un juste milieu pour rendre le sujet accessible a tous.

]]> Commentaires sur Un serveur personnel avec ZFS par Yannovitch http://www.antoinebenkemoun.fr/2010/05/un-serveur-personnel-avec-zfs/comment-page-1/#comment-451 Yannovitch Tue, 29 Jun 2010 10:35:50 +0000 http://www.antoinebenkemoun.fr/?p=1165#comment-451 Merci pour votre billet très intéressant. Je déploie dans ma famille actuellement plusieurs serveurs sous Atom également, et chez mes parents un serveur mini itx avec Core2Duo. Je pense par contre me tourner plutot vers un Ubuntu Server pour ces systèmes, je n'ai pas besoin de ttes les fonctionnalités de ZFS. Je viens d'acquérir un serveur dédié ( un Kimsufi 250) et avant de me "lancer" définitivement, j'hésite entre plusieurs systèmes d'exploitations. Je souhaite avoir un système performant, mais qui prend le moins de place possible ( à cause des VM, voir ci dessous). Un BSD sera donc plus adapté qu'un Linux je pense, non ? Je souhaite pouvoir faire tourner plusieurs VM dessus, sans grosse perte de performances. Je souhaite donc utiliser Xen en dom0. Je souhaite aussi avoir un filtrage le meilleur possible. Donc un bon pare feu. Compatible avec plusieurs plugins. Me permettant de faire du load balancing pour d'autres serveurs, vu que le Kimsufi me sert également de "frontal" pour répartir les utilisateurs sur d'autres machines. Dans l'idéal il me faudrait donc pf qui est très "clair". Sinon iptables a pas mal de plugin également mais est moins clair. Et tient moins bien la charge. J'aimerais avoir un système de fichier performant aussi. ZFS me semble assez bien indiqué. Mais bon, plutot pour les autres serveurs qui contiennent 20 disques durs que pour ce serveur frontal qui n'en contient qu'un, voire à terme, deux ( en rajoutant un disque dur 500go comme c'est permis avec les Kimsufi). Or, aucun système actuellement n'implémente tout ce que j'ai envie : - NetBSD a Xen Dom0 & pf mais pas ZFS (mais bon ZFS si je l'ai pas, je l'ai pas, ca me dérange pas plus que ca) et puis surtout, il est très chiant, pour ne pas dire impossible à installer sur un Kimsufi - FreeBSD a ZFS & pf mais pas Xen en Dom0, et ca, ca m'est indispensable - Solaris a (le meilleur) ZFS et Xen en Dom0 mais ipf, qui est vieillissant et dure à utiliser. A moins que vous connaissiez des astuces pour installer pf sur OpenSolairs ? De plus l'avenir de OpenSolaris me semble incertain. C'est une communauté restreinte, bcp moins dynamique que la communauté de FreeBSD par ex - Debian a Xen Dom0, peut utiliser ZFS, meme en Kernel ( mais au prix de systeme D douteux) , mais utilise netfilter qui est relou, et est relou meme tout court. Donc quel système utiliser ??? Merci pour votre billet très intéressant.
Je déploie dans ma famille actuellement plusieurs serveurs sous Atom également, et chez mes parents un serveur mini itx avec Core2Duo. Je pense par contre me tourner plutot vers un Ubuntu Server pour ces systèmes, je n’ai pas besoin de ttes les fonctionnalités de ZFS.

Je viens d’acquérir un serveur dédié ( un Kimsufi 250) et avant de me « lancer » définitivement, j’hésite entre plusieurs systèmes d’exploitations.

Je souhaite avoir un système performant, mais qui prend le moins de place possible ( à cause des VM, voir ci dessous). Un BSD sera donc plus adapté qu’un Linux je pense, non ?

Je souhaite pouvoir faire tourner plusieurs VM dessus, sans grosse perte de performances. Je souhaite donc utiliser Xen en dom0.

Je souhaite aussi avoir un filtrage le meilleur possible. Donc un bon pare feu. Compatible avec plusieurs plugins. Me permettant de faire du load balancing pour d’autres serveurs, vu que le Kimsufi me sert également de « frontal » pour répartir les utilisateurs sur d’autres machines.
Dans l’idéal il me faudrait donc pf qui est très « clair ». Sinon iptables a pas mal de plugin également mais est moins clair. Et tient moins bien la charge.

J’aimerais avoir un système de fichier performant aussi. ZFS me semble assez bien indiqué. Mais bon, plutot pour les autres serveurs qui contiennent 20 disques durs que pour ce serveur frontal qui n’en contient qu’un, voire à terme, deux ( en rajoutant un disque dur 500go comme c’est permis avec les Kimsufi).

Or, aucun système actuellement n’implémente tout ce que j’ai envie :
- NetBSD a Xen Dom0 & pf mais pas ZFS (mais bon ZFS si je l’ai pas, je l’ai pas, ca me dérange pas plus que ca) et puis surtout, il est très chiant, pour ne pas dire impossible à installer sur un Kimsufi
- FreeBSD a ZFS & pf mais pas Xen en Dom0, et ca, ca m’est indispensable
- Solaris a (le meilleur) ZFS et Xen en Dom0 mais ipf, qui est vieillissant et dure à utiliser. A moins que vous connaissiez des astuces pour installer pf sur OpenSolairs ?
De plus l’avenir de OpenSolaris me semble incertain. C’est une communauté restreinte, bcp moins dynamique que la communauté de FreeBSD par ex
- Debian a Xen Dom0, peut utiliser ZFS, meme en Kernel ( mais au prix de systeme D douteux) , mais utilise netfilter qui est relou, et est relou meme tout court.

Donc quel système utiliser ???

]]> Commentaires sur La sécurité de la virtualisation : suite et fin par Antoine http://www.antoinebenkemoun.fr/2010/06/la-securite-de-la-virtualisation-suite-et-fin/comment-page-1/#comment-448 Antoine Sun, 27 Jun 2010 06:37:59 +0000 http://www.antoinebenkemoun.fr/?p=1223#comment-448 Bonjour, Nous arrivons aux mêmes conclusions certes mais nous ne disons clairement pas la même chose pour y arriver... Là est la différence qui me parait fondamental. Je ne reviendrai pas sur ce que j'ai dit dans mon billet, vous l'avez probablement déjà lu. Je suis tout à fait d'accord avec vous sur le fait qu'il existe des Best Pratices qui ne sont pas utilisées pour des raisons vaguement économiques. Cependant certaines choses que vous avez dites ne sont pas justes. De plus, le ton de votre présentation montrait les failles comme existantes, simples et exploitables or elles n'existent même pas sur les produits actuels (Xen du moins). Je pense que ce type de présentation nécessite un tact particulier afin d'éviter que les gens ne croient que les solutions de virtualisation sont des passoires ce qui n'est pas le cas. Je reste disponible par email (via le formulaire de contact) pour en discuter avec vous si vous le souhaitez. Bonjour,
Nous arrivons aux mêmes conclusions certes mais nous ne disons clairement pas la même chose pour y arriver… Là est la différence qui me parait fondamental. Je ne reviendrai pas sur ce que j’ai dit dans mon billet, vous l’avez probablement déjà lu.
Je suis tout à fait d’accord avec vous sur le fait qu’il existe des Best Pratices qui ne sont pas utilisées pour des raisons vaguement économiques. Cependant certaines choses que vous avez dites ne sont pas justes. De plus, le ton de votre présentation montrait les failles comme existantes, simples et exploitables or elles n’existent même pas sur les produits actuels (Xen du moins).
Je pense que ce type de présentation nécessite un tact particulier afin d’éviter que les gens ne croient que les solutions de virtualisation sont des passoires ce qui n’est pas le cas.
Je reste disponible par email (via le formulaire de contact) pour en discuter avec vous si vous le souhaitez.

]]> Commentaires sur La sécurité de la virtualisation par Antoine http://www.antoinebenkemoun.fr/2010/06/la-securite-de-la-virtualisation-erratum/comment-page-1/#comment-447 Antoine Sun, 27 Jun 2010 06:30:52 +0000 http://www.antoinebenkemoun.fr/?p=1214#comment-447 Bonjour, Par rapport aux types, il s'agit de ce que j'ai retenu de votre présentation... Après avoir revu vos slides, je constate que vous présentez VMWare comme une technologie qui effectue essentiellement de la paravirtualisation or ce n'est pas juste. Xen oui, VMWare non. La paravirtualisation est une option pratiquement inutilisée dans VMWare qui va être supprimée à terme. La différenciation qui était mon propos initial est plus ambigüe par rapport à votre troisième slide. Il y a une différence entre un accès privilégié et "avoir la main" qui est ce que vous avez dit à l'oral. L'hyperviseur a l'accès à la mémoire vive ce qui est effectivement un accès privilégié. Je pense que votre présentation n'est pas fausse dans son ensemble mais que vous présentez les choses de manière trop simpliste et trop globale... Les vecteurs de failles que vous présentiez n'ont jamais été exploités à ma connaissance. Bonjour,

Par rapport aux types, il s’agit de ce que j’ai retenu de votre présentation… Après avoir revu vos slides, je constate que vous présentez VMWare comme une technologie qui effectue essentiellement de la paravirtualisation or ce n’est pas juste. Xen oui, VMWare non. La paravirtualisation est une option pratiquement inutilisée dans VMWare qui va être supprimée à terme. La différenciation qui était mon propos initial est plus ambigüe par rapport à votre troisième slide.
Il y a une différence entre un accès privilégié et « avoir la main » qui est ce que vous avez dit à l’oral. L’hyperviseur a l’accès à la mémoire vive ce qui est effectivement un accès privilégié.
Je pense que votre présentation n’est pas fausse dans son ensemble mais que vous présentez les choses de manière trop simpliste et trop globale… Les vecteurs de failles que vous présentiez n’ont jamais été exploités à ma connaissance.

]]> Commentaires sur La sécurité de la virtualisation : suite et fin par Istace Emmanuel http://www.antoinebenkemoun.fr/2010/06/la-securite-de-la-virtualisation-suite-et-fin/comment-page-1/#comment-446 Istace Emmanuel Sun, 27 Jun 2010 03:35:55 +0000 http://www.antoinebenkemoun.fr/?p=1223#comment-446 Je vais me repeter, mais relisez mes slides... Vous verz que j'arrive aux même conclusion que vous. Je rappel que je faisais un état des lieux dans les entreprises !!! Si on prend uniquement les best practice, évidement que la virtualisation est genial, mais en entreprise les BP sont rarement appliquées correctement. On ne parle pas de "cas d'école" ou tout est bien propre, on parle de société "avare" la plupart du temps pour lesquel moin ça coute mieux c'est, et la sécurité est juste un superflue pour elle. D'un autre coté, les 30minutes dispos pour un sujet si large ne me permettait, et ça a été précisé au début, de ne faire que du résumé et de la vue d'ensemble. Je vais me repeter, mais relisez mes slides… Vous verz que j’arrive aux même conclusion que vous. Je rappel que je faisais un état des lieux dans les entreprises !!! Si on prend uniquement les best practice, évidement que la virtualisation est genial, mais en entreprise les BP sont rarement appliquées correctement. On ne parle pas de « cas d’école » ou tout est bien propre, on parle de société « avare » la plupart du temps pour lesquel moin ça coute mieux c’est, et la sécurité est juste un superflue pour elle.
D’un autre coté, les 30minutes dispos pour un sujet si large ne me permettait, et ça a été précisé au début, de ne faire que du résumé et de la vue d’ensemble.

]]> Commentaires sur La sécurité de la virtualisation par Istace Emmanuel http://www.antoinebenkemoun.fr/2010/06/la-securite-de-la-virtualisation-erratum/comment-page-1/#comment-445 Istace Emmanuel Sun, 27 Jun 2010 03:30:31 +0000 http://www.antoinebenkemoun.fr/?p=1214#comment-445 Voici les slides de ma présentation. http://www.nuitduhack.com/slides/2010/Istace%20NDH.pdf Lors de la présentation, il avait été différencié les types de virtualisation suivants : « full virtualisation », « paravirtualisation » et « hyperviseurs ». RElisez les slides svp. J'ai différencier des technologies de virtualisations : Hyperviseurs, isolation, user space kernel et hardware. La "full" et "para" virtualisation n'étant que certains cas précis d'application de la virtualisation Par rapport au cloisement je vous renvois vers Mastering VmWare 4 chez Sybex qui explique très bien et noir sur blanc que les hyperviseurs ont un acces privilégié aux machines. De manière plus globale je parle aussi et surtout de l'utilisation d'exploit résultant de bug de conception !!! Voici les slides de ma présentation.

http://www.nuitduhack.com/slides/2010/Istace%20NDH.pdf

Lors de la présentation, il avait été différencié les types de virtualisation suivants : « full virtualisation », « paravirtualisation » et « hyperviseurs ».

RElisez les slides svp. J’ai différencier des technologies de virtualisations : Hyperviseurs, isolation, user space kernel et hardware. La « full » et « para » virtualisation n’étant que certains cas précis d’application de la virtualisation

Par rapport au cloisement je vous renvois vers Mastering VmWare 4 chez Sybex qui explique très bien et noir sur blanc que les hyperviseurs ont un acces privilégié aux machines.

De manière plus globale je parle aussi et surtout de l’utilisation d’exploit résultant de bug de conception !!!

]]>