¶ Dossier Technique : Supervision des Systèmes et Réseaux
¶ 1. Introduction
Ce projet vise à migrer la solution de supervision actuelle vers une solution recommandée par l'ANSSI, en réponse aux problèmes de capacité et de maintenance rencontrés ces deux derniers mois.
¶ 2. Contexte
- Société : OcciTech
- Problème : Surcroît d'activité non anticipé, serveurs insuffisants en capacité et puissance, système de supervision non maintenu.
- Objectif : Migrer vers une solution de supervision fiable et sécurisée, si elle était recommandée par l'ANSSI ce serait un plus pour le client qui a besoin d'être rassuré.
¶ 3. Critères de Sélection
- La solution doit être recommandée par l'ANSSI ou un organisme équivalent.
- Adapté pour des centaines de dispositifs (un Datacenter).
- La solution doit être facile à déployer et à utiliser.
- Réactivité et support du fournisseur.
¶ 4. Solutions Envisagées
- Centreon : Solution de supervision open-source, largement utilisée et recommandée.(fork Nagios sur centOS)
- Nagios : Solution open-source avec une grande communauté et de nombreux plugins.
- Checkmk : Solution open-source avec une interface utilisateur moderne et des fonctionnalités avancées.(fork Nagios)
- PRTG Network Monitor : Solution commerciale avec une interface utilisateur intuitive et un support réactif.
CheckMK : J'ai choisi cette solution car elle convient mieux à mes besoins de configuration rapide. il propose une configuration simplifiée par rapport à Nagios ou Centreon et la documentation proposée me semble plus structurée que celle de Centréon.
De plus il est plus léger que Centreon ou Nagios dans des environnements équivalents. Il propose jusqu'à 300 Sonde sur la version RAW et la migration vers la version Enterprise est facilement réalisable.
Bien que Checkmk ne figure pas dans les recommandations explicites de l’ANSSI, il reste un outil puissant et fiable.Pour répondre aux exigences ANSSI, il suffira de l’intégrer dans une infrastructure conforme aux bonnes pratiques de sécurité de l'ANSSI : (centralisation des journaux, supervision complémentaire)
C'est réalisable avec SIEM(analyse des logs) comme Wazuh et un IDS(Crowdsec, Snort)
De plus, les echanges avec ses sondes sont chiffrés avec le SNMPv3 et la surcouche TLS pour les agents Win.
¶ 5. Présentation de Checkmk
Checkmk eest une solution de supervision open source (version raw), conçue pour surveiller l'état et les performances des infrastructures informatiques, qu'il s'agisse de petits environnements ou de vastes réseaux distribués. Développée par l'entreprise allemande tribe29, Checkmk se distingue par sa flexibilité, sa scalabilité et sa facilité d'utilisation.
¶ 6. Fonctionnalités principales
Fonctionnalités Clés de Checkmk
Support Multi-Protocoles :
Checkmk prend en charge plusieurs protocoles de supervision, notamment SNMP, WMI, IPMI, et des agents légers spécifiques à Checkmk. Cela permet de surveiller une grande variété d'appareils, des serveurs et routeurs aux capteurs IoT et aux applications cloud.
Scalabilité :
La solution est capable de gérer des environnements de toutes tailles, allant de quelques appareils à des dizaines de milliers de nœuds. Elle utilise une architecture distribuée pour répartir la charge de supervision et garantir des performances optimales.
Automatisation et Découverte Automatique :
Checkmk excelle dans la découverte automatique des équipements et services à superviser. Grâce à cette fonctionnalité, les nouveaux appareils ou services sont détectés et intégrés sans intervention manuelle, réduisant ainsi le temps de configuration.
Tableaux de Bord Personnalisables :
La solution propose des tableaux de bord hautement personnalisables, permettant aux utilisateurs de visualiser les données de supervision qui les interessent. Des graphiques, des cartes d'interconnexion et les rapports en temps réel facilitent l'analyse des performances.
Alertes et Notifications Intelligentes :
Checkmk inclut un système d'alertes qui permet de configurer des seuils et des conditions spécifiques pour déclencher des notifications. Les alertes peuvent être envoyées par e-mail, SMS, ou via des intégrations avec des outils comme Slack.
Stockage des Données et Analyse :
Checkmk utilise des bases de données performantes pour stocker les données de supervision, permettant une analyse historique détaillée. Les utilisateurs peuvent ainsi identifier des tendances, diagnostiquer des problèmes récurrents et planifier des capacités.
¶ 7. Architecture de Checkmk
Checkmk repose sur une architecture "pull" recevant ses information d'agents ou d'API:
Serveur :
Le serveur central est le cœur de la solution. Il collecte, traite et stocke les données de supervision, tout en offrant une interface web pour la gestion et la visualisation.
Agents et Plugins :
Checkmk propose des agents légers pour les systèmes Linux, Windows et autres, ainsi que des plugins pour étendre les fonctionnalités de supervision. Ces agents collectent des données locales et les transmettent au serveur central.
Sites Distants :
Pour les environnements distribués, Checkmk permet de déployer des sites distants qui collectent des données localement avant de les synchroniser avec le serveur central. Cette approche réduit la latence et la charge sur le réseau.
Extensions et API :
Checkmk dispose d'une API robuste et d'un système d'extensions, permettant aux utilisateurs de développer des fonctionnalités personnalisées ou d'intégrer la solution à des outils tiers.
Protocoles supportés :
- SNMP pour les équipements réseau. (attention seul le protocole SNMP v3 chiffre les échanges entre le serveurs et les hotes.)
- HTTP/HTTPS pour les services web.
- Protocole agent propriétaire pour la collecte des données système.(chiffré en TLS après enregistrement des agents auprès du serveur)
¶ 8. Maquette de la Solution
La maquette repose sur la solution inclut la supervision des éléments suivants :
- 1 serveur sous Linux hébergeant un site apache et un SGBDR Maradb.
- 1 serveur AD.
- 1 matériel actif (Firewall fortigate).
¶ 9. Indicateurs et Seuils d'Alerte
Pour tous les serveurs, les indicateurs suivants seront surveillés :
- Etat de l'hôte
- RAM : Avertissement 20% et 10%, critique en dessous de 10%.
- Espace disque : Avertissement 20% et 10% restant, critique en dessous de 10%.
- Utilisation CPU : Avertissement entre 20% et 10% restant, critique en dessous de 10%.
- Etat des Services
Exemple d'alerte :
¶ 10. Mise en Œuvre (voir procédure détaillée)
-
Prérequis :
- Un serveur Linux (Debian/Ubuntu/CentOS).
- Accès root.
- Recommandation : 2 CPU, 4 Go de RAM, 20 Go d’espace disque (attention ressource très utilisée par les services de monitoring du fait de la création de logs pour chaque machines/services ).
-
Téléchargement :
Téléchargez la version souhaitée (RAW, Enterprise, ou Managed) depuis le site officiel. -
Installation :
Exemple pour une distribution Debian/Ubuntu :wget https://download.checkmk.com/checkmk/2.x/check-mk-raw-2.x.deb sudo dpkg -i check-mk-raw-2.x.deb
¶ 11. Sécurisation de Checkmk**
- Par défaut le site créer est accessible en HTTP, il faudra mettre en place un certificat pour avoir le HTTPS sur l’interface web (avec Apache ou Nginx).
- Limitez l’accès administratif via des politiques de contrôle d’accès (ACL) appliquées aux comptes utilisateurs de chaque sites.
¶ 12. Principes :
- SNMP
Le SNMP (Simple Network Management Protocol) est un protocole standardisé largement utilisé pour surveiller et gérer les équipements réseau, tels que les routeurs, commutateurs, serveurs et autres dispositifs connectés. Il repose sur une architecture client-serveur, où un manager SNMP (le client) interagit avec des agents SNMP (les serveurs) installés sur les équipements réseau. Les principales opérations du SNMP incluent les requêtes Get et GetNext pour récupérer des informations, Set pour modifier des configurations, et Trap ou Inform pour permettre aux agents de notifier le manager en cas d'événements spécifiques, comme une panne ou une surcharge. Le protocole a évolué à travers plusieurs versions, avec SNMPv1 et SNMPv2c offrant des fonctionnalités de base mais une sécurité limitée, tandis que SNMPv3 introduit des mécanismes de sécurité avancés, tels que le chiffrement et l'authentification.- MIB
Les informations accessibles via SNMP sont organisées dans des MIB (Management Information Base), qui sont des bases de données hiérarchiques décrivant les objets gérés par un équipement. Une MIB définit des éléments tels que les statistiques d'une interface réseau, l'utilisation du CPU ou le temps de fonctionnement d'un appareil. Par exemple, la MIB-II est une MIB standardisée qui regroupe des objets communs à la plupart des équipements réseau. Chaque objet dans une MIB est identifié par un OID.
- MIB
2. OID
Les IOD (Object Identifier) sont une suite de nombres unique représentant sa position dans l'arborescence de la MIB. Par exemple, l'OID `1.3.6.1.2.1.1.1` correspond à la description du système (`sysDescr`), tandis que `1.3.6.1.2.1.2.2.1.10` représente le nombre d'octets reçus sur une interface (`ifInOctets`). Les OID permettent au manager SNMP de cibler précisément les informations qu'il souhaite récupérer ou modifier.
- Agent checkmk
¶ 13. Avantages et inconvénients
-
Open Source et Version Enterprise :
Checkmk est disponible en deux éditions : une version open source gratuite (RAW) et une version enterprise payante, offrant des fonctionnalités supplémentaires comme la haute disponibilité, un support professionnel et des outils de reporting avancés. -
Facilité de Déploiement :
La solution est facile à installer et à configurer, avec des packages précompilés pour les distributions Linux courantes et des images Docker pour les environnements virtualisés. -
Communauté Active :
Checkmk bénéficie d'une communauté active d'utilisateurs et de contributeurs, ce qui facilite l'obtention d'aide, le partage de bonnes pratiques et l'accès à des extensions développées par la communauté. -
Polyvalence :
Que ce soit pour surveiller des serveurs, des réseaux, des applications ou des environnements cloud, Checkmk s'adapte à une grande variété de cas d'utilisation.
Surveillance des Taux de Remplissage
Checkmk surveille en permanence le taux de remplissage des disques en comparant l'espace utilisé à l'espace total. Il utilise des seuils configurables pour déclencher des alertes :
- Seuils Statiques :
Les utilisateurs peuvent définir des seuils fixes, par exemple, une alerte est déclenchée si l'utilisation du disque dépasse 80 %. - Seuils Dynamiques :
Checkmk peut également utiliser des seuils dynamiques basés sur des modèles prédictifs. Par exemple, si la tendance montre que le disque se remplit rapidement, une alerte peut être déclenchée avant d'atteindre un seuil critique.
Inconvénients :
- Certaines fonctionnalités avancées réservées à la version Enterprise.
- Courbe d’apprentissage pour les configurations complexes.