WS-SECURITY : rôle et fonctionnement

Au début des services Web, leurs fournisseurs considéraient que la sécurité serait entièrement gérée au niveau de la couche transport, au moyen de SSL/TLS (HTTPS). C’est pourquoi les standards de services Web initiaux n’abordaient pas la sécurité. Mais celle-ci a pris de l’importance dès lors que les services Web se sont multipliés. Une transaction de service Web passe souvent par de nombreuses mains, dont chacune a besoin d’accéder à certaines parties de la transaction mais pas à d’autres.En 2002, IBM, Microsoft et VeriSign ont proposé un standard de sécurité pour répondre à ces besoins. Appelé WS-Security, la spécification résultante est vaste et compliquée parce qu’elle couvre un large éventail d’aspects de sécurité des services Web. En 2004, apparaissait la version 1.1 du standard, plus dépouillée et plus puissante que le premier jet, mais encore volumineuse.

Heureusement, vous pouvez utiliser le standard dans vos applications de services Web sans le comprendre entièrement. WebSphere Application Server (WAS) 5.0 et ultérieure supportent WS-Security et se chargent virtuellement de tout l’aspect configuration. D’autres environnements de développement de services Web ont des fonctionnalités comparables. Une fois que vous aurez compris ce qu’apporte WS-Security et comment il fonctionne, vous pourrez commencer votre propre expérience.

Boîte à  outils System iNEWS : Installation physique d’un System i

Nous sommes en train d’installer un System i modèle 520 dans un immeuble informatique en copropriété et nous avons quelques soucis d’installation physique pendant la phase de planification. Le 520 est monté en rack, mais le rack fourni par IBM est un cabinet 25U mi-hauteur. Le responsable de l’installation collective exige un rack de pleine […]

Boîte à  outils System iNEWS : intéret de iSCSI pour l’installation d’un SAN

Je suis chargé de choisir et d’installer un SAN (storage area network) dans mon entreprise. Je suis confronté au choix entre la connectivité fiber channel traditionnelle et le procédé iSCSI plus récent. A en croire mon entourage, le principal intérêt de iSCSI est qu’un HBA (Host Bus Adapter) spécial n’est pas nécessaire sur le System […]

Boîte à  outils System iNews : Les DSI à  Hollywood

Le cinéma et la télévision font des héros de tous les genres de technologues : astronautes, scientifiques, ingénieurs. Mais ils semblent toujours présenter les spécialistes des réseaux comme des énergumènes désespérément introvertis. Hollywood se décidera-t-elle à faire un jour le portrait d’un gourou des réseaux sous son vrai jour ? Votre question tombe à pic. […]

Boîte à  outils System iNews : gestion des listes de mots de passe

Boîte à  outils System iNews : Excuter des sessions Telnet 5250 d’un iSeries vers un autre

J’ai besoin d’exécuter des sessions Telnet 5250 d’un iSeries vers un autre, sur Internet. Mais SSH d’IBM ne reconnaît pas le protocole 5250. J’aimerais bien utiliser SSL Telnet mais il semble que l’iSeries ne puisse assumer que le rôle serveur, pas celui d’un client. Est-il possible de faire cela sans recourir à des hôtes externes […]

Routage et connexion Internet multi FAI.

Dans le double but d’améliorer la performance et d’ajouter de la redondance, nous sommes passés récemment à de doubles connexions FAI en amont multi-homed T1 (1,5 Mbps).
 

Pour le trafic sortant, j’ai opté pour l’équilibrage par paquets sur notre border routeur. Ce procédé envoie les paquets à chacun de nos FAI, de manière alternée.

Mise en oeuvre LDAP (Lightweight Directory Access Protocol).

J’ai pour mission de mettre en oeuvre LDAP (Lightweight Directory Access Protocol) sur notre iSeries, afin qu’il puisse être le référentiel central des données de répertoires et d’authentification dans notre réseau.

 

Mais nous utilisons la V4R3 et je ne trouve aucun utilitaire LDAP sur notre machine, alors même qu’IBM annonce que LDAP est disponible avec cette release. Dois-je passer à la V5R1 ?

Boîte à  outils System iNews : Période de rétention i5/OS /Problème de débit transactionnel i5 / Windows 2003 Server

Période de rétention i5/OS
Problème de débit transactionnel i5 / Windows 2003 Server

Sauvegarde : quelques scénarios catastrophe

Les récits que vous allez lire sont véridiques. Pour ne froisser personne, les noms ont été changés.
Voila plusieurs années, une société appelée Keypro Computer a connu une défaillance catastrophique du disque dur, la veille d’une déclaration fiscale importante. La seule copie des données nécessaires à la déclaration se trouvait sur ce disque dur et celui-ci n’était pas sauvegardé. L’excuse de Keypro ? « Nous avons oublié ». Le coût de récupération des données à partir des copies papier ? 400 000 dollars.Sur Internet, les récits de catastrophes liées à la sauvegarde (ou plutôt à son absence) abondent. Certains sont sûrement de pures inventions. Mais beaucoup sont authentiques, particulièrement lorsque le narrateur donne des informations négatives pour lui ou pour ses propres intérêts. En tant que professionnels IT, nous ne pouvons pas nous permettre « d’oublier ». A la clé il y a des amendes, voire la prison.
Pour vous éviter d’être la proie de ces lacunes de sauvegardes courantes, j’ai classé les délits de sauvegarde les plus courants et j’ai créé une étude « de cas » composite pour chacun d’eux. Aujourd’hui, ce ne sont pas des actes délictueux, mais ils pourraient bien le devenir bientôt. Lisez-les et veillez à ce qu’aucun d’entre eux ne devienne votre propre mésaventure !

DNS revisité

Le DNS (domain name system) d’Internet a beaucoup changé depuis que nous l’avons examiné pour la première fois dans ces pages. Etonnamment, malgré l’incroyable croissance de la taille et de la complexité d’Internet, DNS est resté très fiable et stable. Il a évolué en douceur et s’est adapté non seulement à l’évolution des contraintes administratives, comme la concurrence accrue et les nouveaux noms de domaines de haut niveau, mais aussi à des demandes techniques plus pressantes, comme un trafic plus dense et des attaques par déni de service (DoS, denial of service). Et DNS a crû sans pratiquement connaître aucun changement de son interface utilisateur final.Cela ne signifie pas que les changements de DNS sont invisibles pour l’utilisateur final. Les noms de domaines sont maintenant des noms d’une grande banalité. Même votre grand-mère sait ce qu’est un .com. Peut-être même en possède-t-elle un. L’utilisation d’un nom de domaine n’a pas beaucoup changé, mais il en va différemment de leur administration : achat, hébergement, dépannage, etc. Si vous n’avez pas suivi l’évolution de DNS, voici l’occasion de vous remettre à niveau quant aux modifications de DNS les plus critiques.

Malgré tous ces changements, la mise en oeuvre proprement dite des mécanismes internes du serveur DNS n’a pas beaucoup changé. Les mêmes enregistrements SOA, NS, MX, A et PTR constituent le gros de l’information DNS. Comme cette partie de DNS n’est pas nouvelle, je n’en reparlerai pas ici. Il existe beaucoup d’excellents ouvrages de référence qui décrivent le fonctionnement interne de DNS (voir « Ressources DNS »). Les nouveautés que vous allez apprendre ici concernent la terminologie et les procédures DNS, la fiabilité et la sécurité et les techniques de dépannage. Munis de cette information, vous serez armés pour jongler avec les noms de domaines sur l’Internet d’aujourd’hui.

Trucs & Astuces : VLAN, DHCP, DSL

Retrouvez les trucs astuces de Mel Beckman, publiés dans iSeries News Vol.1 - Numéro 10 - Novembre 2002 : Problèmes de cables réseau - VLAN et DHCP ... - Hub sans fil et DHCP - Liens DSL redondants

Trucs & Astuces du docteur : SSL, Web, FTP

Transfert de fichiers avec SSL - Google.com et liens directs sur des binaires - Visualiser son site web de l'exterieur avec Anonymizer.com - Connexion entre deux pare-feu - Filtrage des utilisateurs FTP

Trucs & Astuces du docteur : sécurité, NAT, FTP et SSL

Questions de sécurité avec IIS, utilisation d'une unité NAT pour l'emploi de deux passerelles, FTP et SSL sous OS/400 V4R4.

Trucs & Astuces du docteur : LAN, Pare-feu

"Nous avons récemment installé un pont LAN sans fil 802.11b pour supporter nos utilisateurs de portables nomades. Mais dès que nous connectons ce machin-là à notre LAN Ethernet, personne ne peut plus se connecter à Internet ..." - "Après avoir dépensé beaucoup d’argent à installer des pare-feu pour nos télétravailleurs, nous avons constaté que notre help desk ne peut plus utiliser le logiciel de contrôle à distance PC ..."