FRAPPIER Mathieu

Licence RT ASRI / 2006-2007

Mont de Marsan

Projet AAA
Tlcoms Sans Frontires
Portail captif autonome intgr dans un
systme embarqu Soekris net4801

Enseignant tuteur : Jean Jacques Bascou

Maitre de stage

: Benot Chabrier

Sommaire
Introduction...................................................................................................................... 3
Prsentation de Tlcoms Sans Frontires................................................................................. 3
Sujet du stage ........................................................................................................................... 5

La mission aux les Salomon .............................................................................................. 6

Briefing ........................................................................................................................................................... 7
La mission ....................................................................................................................................................... 9
Dbriefing ..................................................................................................................................................... 12

Le projet AAA...................................................................................................................13
Prambule.............................................................................................................................. 13
Le cahier des charges ................................................................................................................................... 14
Dfinition de AAA ......................................................................................................................................... 15
Gestion du projet : 10 mois, 2 spcialits, 3 parties. ................................................................................... 16

Partie Hardware Plateforme ................................................................................................. 18

OS & kernels ................................................................................................................................................. 20
Synthse ....................................................................................................................................................... 22

Partie Rseau ......................................................................................................................... 23

A Authentication........................................................................................................................................ 26
AA Authorization / filtrage ........................................................................................................................ 28
Les serveurs mandataires ............................................................................................................................. 30

Partie Software Lapplication................................................................................................ 32

Les outils systme ........................................................................................................................................ 35
AAA Accounting ......................................................................................................................................... 36

Conclusion.............................................................................................................................. 38
La place du projet au sein de lactivit de TSF .............................................................................................. 38
La suite du projet.......................................................................................................................................... 39
Conclusion personnelle ................................................................................................................................ 39

Le travail quotidien TSF .................................................................................................40

La mise en place dun serveur compta ..................................................................................... 40
Mise en place dun VPN Thalande / France / Nicaragua........................................................... 41
Administration du rseau interne de TSF ................................................................................. 42
Mise jour des serveurs............................................................................................................................... 42
Rorganisation DNS & DHCP ........................................................................................................................ 43
Ajout de services .......................................................................................................................................... 44

Conclusion .......................................................................................................................45
Remerciements ................................................................................................................46

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 2 sur 46

Introduction
Prsentation de Tlcoms
lcoms Sans Frontires
TSF est une ONG Humanitaire exerant dans le domaine des tlcommunications.
La principale activit de TSF est base sur lurgence. Lors dune catastrophe, TSF est sollicit pour
mettre en place des infrastructures de tlcommunications utiles aux autres organismes
humanitaires.
Dans un deuxime temps, TSF apporte de laide la population en fournissant 3 minutes de
communication tlphonique par personne pour joindre leurs proches nimporte o dans le monde.
Le sige de TSF est bas PAU en France

Il y a deux autres bases dans le monde, au Nicaragua et en Thalande

UNE PRESENTATION PLUS DETAILLEE EST DISPONIBLE EN

ANNEXE.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 3 sur 46

THE LEADING HUMANITARIAN NGO SPECIALIZING IN

EMERGENCY TELECOMMUNICATIONS
Why telecommunications is critical in emergencies:
In emergencies telecommunication networks are often seriously damaged or destroyed. Some humanitarian crises also
strike in areas with no existing communication facilities. Our rapid response telecommunications centers empower relief
and rescue teams save lives by:

Sending and receiving information on logistics and the needs of the population within hours of an emergency
Achieve better coordination in the field with governments, other relief agencies, and home offices

Our civilian calling program supplements this service by give affected civilians a free call anywhere in the world to:

Receive personalized assistance and mental support

Help reunite families
Reinsure family abroad that they are alive and safe after the emergency

How it all started

The idea for Tlcoms Sans Frontires was the result of a simple observation made after many years experience with
general humanitarian charities, based on listening to those in need. During missions responding to the crisis in the
st
Balkans and in Kurdistan during the 1 Gulf War, TSFs founders realized that, in addition to medical and food aid, there
was a critical need for reliable emergency telecommunications services. Conflicts and emergencies often led to massive
civilian displacement and separated families. And affected populations are often left with no communications
infrastructure in place to find assistance and loved ones.
During early missions, TSFs founders were often approached by refugees with scraps of paper asking them, for
example: When you go home, please call my family at this number, tell them Im alive, uncle has been killed but Im
alive and Im at the refugee camp in Stenkovac. To address the need for communications services, TSF bought its first
satellite phone and the organization was born. Since this time, on every TSF mission we have offered a 3-minute call to
any affected family.
TSF soon found that the international response teams that deploy to emergencies also had a critical need for reliable
telecommunications services in the first days after an emergency. TSF therefore expanded its operations, improved its
technology, and began to establish rapidly deployable emergency telecommunications centers to serve UN,
government, and NGO humanitarian workers, and developed a reputation for being among the first to arrive after
disasters.
TSF today:
Today TSF plays a key role in strengthening coordination and communication by deploying telecommunications centers
within 48 hours of an emergency. These centers offer broadband Internet access, voice communications, fax lines and
all the IT equipment needed for a field office. To do its work TSF uses highly portable and light satellite terminals
deployable within minutes with a worldwide coverage and teams in our three regional bases are o call 24 hours a day,
7 days a week. Since 1998, TSF has assisted in 55 emergencies on all of the 5 continents. In 2005 alone, TSF
deployed in 10 countries to the benefit of over 50,000 people and more than 250 NGO and UN agencies. TSF has 3
deployment bases, in France, Nicaragua and Thailand.

ABOUT TSF
Created in 1998 and now the leading NGO specializing in emergency telecommunications
3 operational bases for a worldwide coverage and response anywhere within 48 hours
Missions in 40+ countries, serving millions of victims, 350+ UN Agencies and NGOs
Supported by some of the biggest telecommunications companies and foundations
Designated First Emergency Telecoms Responder; OCHA and UNICEF partner within
the UN Emergency Telecoms Cluster (ETC)

Partner of the European Commissions Humanitarian Aid Office (ECHO)

Member of the UN Working Group on emergency Telecommunications (WGET)

Sujet du stage
Le projet AAA
Le projet AAA est un projet ambitieux qui permettra TSF de mieux grer les centres tlcoms sur le
terrain. Il consiste intgrer dans un systme embarqu toutes les dernires technologies rseau
pour les mettre au service de lhumanitaire.
Ce projet est la base du stage, il fait appel toutes les connaissances acquises notamment durant la
licence pro ASRI.

La suite du projet tutor

Ce stage est un peu particulier car jai dj travaill avec TSF en alternance durant ma priode de
projet tutor. Le Projet AAA a t dfini et commenc durant cette priode dalternance.
Environ un tiers du projet tait termin au dbut du stage. Ce dernier a dur 6 mois, de mars aout
2007.

Le travail quotidien dans une ONG

Un des buts de ce stage tait de participer la vie de lONG et de travailler en harmonie avec tous
ces membres, quils soient salaris ou bnvoles. TSF comporte un petit rseau intranet qui sert aux
employs et la direction mais aussi aux tests des systmes utiliss en mission. Il y a donc une
administration rigoureuse et rgulire effectuer sur ce rseau.

Les missions durgences humanitaire

Enfin pendant la dure du stage, il faut tre disponible 24 /24h et 7 /7j en cas de catastrophe
humanitaire. En effet, une des grandes forces de TSF est de pouvoir se rendre moins de 24 heures
aprs un dsastre sur les lieux sinistrs afin de mettre en place les rseaux de tlcommunications
indispensables la logistique de toute laide humanitaire. Il faut donc tre en permanence prt
partir.

La mission aux les Salomon

Gographie

Les les Salomon

sont situes au
Nord Est de
lAustralie

Il faut 4 heures en
avion pour y aller
en partant de
Brisbane en
Australie
De France, il faut
environ 24h et pas
moins de 4 avions
diffrents pour sy
rendre

On peut compter
16 les
Les deux plus
connues sont lle
principale de
Guadalcanal qui a
t le lieu de
combats durant la
guerre du
pacifique.
Lautre le,
(Gizho) est trs
renomme pour
le tourisme. Cest
celle-ci qui a t
principalement
dvaste par le
tsunami.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 6 sur 46

Briefing
Le contexte

Arrive sur lle

Une habitation dvaste par le tsunami

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 7 sur 46

Le rle de TSF / la collaboration avec UNDAC

l existe un peu partout dans le

monde des bases UNDAC (United
Nation Disaster for Assessments
and Coordination). Leur rle est vital car ce
sont des personnes trs entraines qui
arrivent et prennent la situation en main,
elles coordonnent toutes les aides
humanitaires (ONG, Autorits Locales,
Agences officielles) et unifient les
comptences de chacun afin dapporter une
aide prcise et efficace la population.

TSF, en plus dtre une ONG autonome est le first responder en tlcommunications pour les
Nation Unies. Cela signifie que ds quune mission UNDAC a lieu, si des besoins en
tlcommunications se font ressentir, TSF est appele en support UNDAC. Le rle de TSF est alors
dassurer une connectivit Internet/rseau et un support IT aux quipes UNDAC.
TSF peut galement tre amen installer un centre tlcoms lattention des autres acteurs
humanitaires. Aprs valuation des besoins, TSF fait ventuellement de la tlphonie humanitaire
en offrant la population sinistre la possibilit de joindre leurs proches.

Sarah Stuart Black, membre UNDAC utilisant une ligne tlphonique par satellite TSF

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 8 sur 46

La mission
Ma mission tait dapporter un soutien lquipe TSF Asie dj prsente sur place.
Je devais aussi leur apporter du matriel satellite dancienne
gnration car cette zone du Pacifique nest pas encore couverte
par les derniers modles.
A mon arrive, ils sont partis sur lle la plus touche (Gizho) pour
assister lquipe UNDAC dj sur place et faire des valuations
pour dventuels besoins en tlphonie humanitaire.
Je les ai ensuite remplac en apportant mon soutien UNDAC
dans la capitale (Honiara) mais aussi en me rendant disponible
pour toutes les autres ONG prsentes.

Situation en tlcoms
La situation en tlcoms sur les les Salomon tait relativement bonne.
En effet, loprateur local Solomon Telekom venait de dployer lADSL sur lle
principale six mois auparavant sur lile principale, la capitale nayant t touche
ni par le sisme, ni par le tsunami, les locaux du gouvernement dans lesquels
nous tions taient totalement fonctionnels.
Jai donc install un routeur NAT de type domestique et mis en place un point daccs Wi-Fi
afin que le maximum de personnes au sein du btiment puisse profiter de la connexion. Il a fallu faire
le tour de tous les ordinateurs connects afin de dsactiver les logiciels de Peer to Peer. Enfin, il ne
faut pas ngliger les virus cachs dans les cls USB et les documents Word & Excel. Une leon de
cette mission aura donc t de toujours avoir un antivirus rapide et efficace a porte de main.
Sur lle de Ghizo, lle la plus touche, la situation en tlcoms tait plus inquitante au
dbut de la mission, mais une intervention rapide de loprateur local, notamment grce une
collaboration avec TSF a permis de rtablir la situation trs rapidement.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 9 sur 46

Tlphonie

Dans les parties les plus touristiques, le GSM a t

rtabli trs vite et le peu de personnes qui en sont
dotes pouvaient sen servir sans encombre.
Nanmoins, dans les endroits reculs, deux oprations
de tlphonie humanitaire ont eu lieu.

Mini M TT-3060 B, le tlphone par satellite rfrence dInmarsat

Une opration de tlphonie auprs des sinistrs

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 10 sur 46

Lassistance UNDAC
Jai donc aid lquipe UNDAC en rseau et informatique gnrale. Il a fallu mettre en place une
ligne Satellite pour rester en contact avec OCHA Bangkok (Nation Unies) et Genve.

Dure de la mission

La mission a dur deux semaines. Elle ft de courte dure car les deux quipes UNDAC ont su grer la
situation trs professionnellement comme leur habitude ce qui aura permis de rendre compte de la
situation et dassurer le soutien logistique le plus rapidement possible. Le soutien de TSF lquipe
UNDAC aura t une trs bonne chose car les fichiers changs entre les deux bases UNDAC taient
dune importance capitale. Cest notamment grce au travail de TSF que les autorits locales ont pu
boucler un bilan provisoire dee la situation en croisant les donnes venant de plus de 15 les.

UNE LETTRE DE REMERCIEMENT DUNDP EST DISPONIBLE EN ANNEXE

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 11 sur 46

Dbriefing
Grce TSF et au partenariat avec lIUT de Mont de Marsan, jai eu la chance de mettre mes
comptences en rseau au profit dune action humanitaire. Dans des situations de crise ou de
nombreuses organisations apportent leur aide, il est important de coordonner toute cette force de
travail. Les nouvelles tlcommunications sont omniprsentes et tous les membres dorganisations
prsentes, (quelles soient gouvernementales ou non gouvernementales) possdent des ordinateurs
portables. La connectivit rseau est donc un point crucial pour le bon fonctionnement et lefficacit
des ces organisations. TSF, en plus de veiller au bon fonctionnement du rseau local aussi su aider
les personnes en leur apportant un soutien informatique afin quils ne perdent pas de temps dans
leur travail.

Conclusion personnelle

Cette mission aura t pour moi un enseignement de vie. Jaurais appris beaucoup, dun point de
vue professionnel mais aussi personnel. Mettre en avant ses comptences et dpenser son nergie
au service dune cause humanitaire est une exprience trs forte et enrichissante. Jaurais aussi
dcouvert une partie du monde qui mtait jusqualors totalement inconnue. Se retrouver lautre
bout de la terre et voir des gens vous demander de laide en informatique/rseau ma fait prendre
conscience de ma vocation dans le domaine IT et je tiens remercier encore TSF & lIUT de Mont
de Marsan pour mavoir permis de vivre cette exprience unique.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 12 sur 46

Le projet AAA
Prambule
Le contexte
Schma refltant lancien systme
dun centre tlcoms TSF en mission.

Utilisateurs

BGAN / RBGAN
Routeur + AP
WiFi
Utilisateurs

Utilisateurs

Ce systme est trs simple, les communications sont cryptes avec un algorithme WEP 64 bit, trs
simple mettre en uvre et compatible avec tous les systmes, mme les plus vieux.
Le problme est que la cl doit tre partage et rapidement, tout le monde la connait.
Des utilisateurs non prioritaires pourront donc utiliser la bande passante, elle critique, rserve aux
organisations de secours.
Autre point important, on ne contrle pas ce qui passe sur le rseau, cest pourquoi ladministrateur
TSF configure chaque PC, un un en prenant soin de dsactiver les logiciels de Peer to Peer, les mises
jour automatiques et mme les images des navigateurs Internet. Ce travail est long et par
consquent, trs lourd dans un contexte durgence.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 13 sur 46

Le cahier des charges

Les besoins
Le besoin de ce projet est parti dun constat simple fait par TSF. La frquentation des centres
tlcoms de TSF ne cesse de croitre. Des solutions telles quun simple routeur Wi-Fi domestique
coupl a un modem Satellite le tout scuris par une simple cl WEP ne suffisent plus.
En effet, il devient impossible de surveiller quil ny ait pas dabus (journalistes et autres utilisateurs
nayant pas rapport avec la crise) et quasiment impossible de contrler le contenu des donnes
changes qui peuvent nuire srieusement la bande passante disponible (- de 500 kbit/s).
Le but est donc ici de crer un systme embarqu rassemblant :
-un portail captif.
-un serveur daccs.
-un proxy cache.
-un systme de filtrage de contenu adaptable chaque utilisateur.
-un systme de gestion des utilisateurs avanc.

Les contraintes
Du fait de lurgence et de limportance grandissante des tlcommunications dans
lhumanitaire, le projet rpond des contraintes trs strictes :
-Le systme embarqu doit tenir dans une petite boite, ni trop volumineuse, ni trop lourde.
-Le systme doit tre simple utiliser et dployable sur le terrain par une personne non exprimente
en rseaux.
-Le systme doit tre fiable, au niveau logiciel, matriel et systme.

La scurit
Lintgrit comme la confidentialit sont des choses trs importantes ne surtout pas
ngliger. Le systme embarqu a donc t conu dans ce sens, notamment lors de la dfinition de
politique du firewall et des serveurs mandataires. Cependant sur le terrain, lors dune crise
humanitaire, la disponibilit devient le facteur crucial. Il a donc fallu crer un systme scuris, fiable
et rapide mettre en place.
La solution retenue
Un systme de type AAA semble ici parfaitement correspondre nos besoins.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 14 sur 46

Dfinition de AAA
AAA signifie en franais Authentification, autorisation et comptabilit. (Quil vaut mieux, dans notre
cas, traduire par statistique.)

Selon Wikipedia:

Authentication refers to the confirmation that a user who is

requesting services is a valid user of the network services requested

Lauthentification est le mcanisme qui garantit que seuls les

utilisateurs ayant le droit daccder au systme y accderont

Authorization refers to the granting of specific types of service (including "no service") to a user,
based on their authentication

Lautorisation est le mcanisme qui garantit que lutilisateur accde seulement aux services
dont il a le droit.

Accounting refers to the tracking of the consumption of network resources by users.

La traabilit, ou comptabilit permet de savoir exactement ce quun utilisateur a dpens

afin dtablir des statistiques ou de facturer par exemple.

Systmes et protocoles utiliss dans AAA

Les systmes AAA sont principalement construits autour dun serveur RADIUS , celui-ci est
en charge de dcider si oui ou non un utilisateur peut accder au service. Pour cela, il sappuie
gnralement sur une base de donnes qui contient les informations vitales sur les utilisateurs. Enfin,
un systme de type portail captif est en charge dexcuter les rgles que le RADIUS lui envoi. Pour
cela, il bloque ou autorise laccs au niveau 3 (IP).

O trouve t on des systmes AAA ?

Depuis lexplosion du Wi-Fi, on en trouve un peu partout, dans les Aroports, les gares, les
universits, les htels et mme depuis quelques temps dans les grandes villes du monde : San
Francisco, Paris, Tokyo

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 15 sur 46

Gestion du projet : 10 mois, 2 spcialits, 3 parties.

Le dveloppement de ce projet comporte trois domaines de comptences assez distincts
(voqus ci aprs).
Nous tions deux travailler sur ce projet. Tout deux spcialiss dans des domaines trs
diffrents (plateforme/systme pour lun, dveloppement pour lautre) mais ayant un point
commun : le rseau, nous avons dcid de rpartir les tches comme suit :
Sur les trois parties ci-dessous, deux dentre elles taient ma charge : La mise en place de la plate
forme et de lOS, puis la partie rseau pure, c'est--dire le routage, les proxie, le filtrage, mais pas le
dialogue entre les diffrents services de la parie software.

1. La plateforme & le systme

Cette partie contient le support matriel du projet ; Les thmes suivants seront abords :
o
o
o
o

Le systme embarqu Soekris net4801.

Les choix quant lOS choisi et les raisons qui les justifient seront dveloppes.
Lorganisation de larborescence du systme
Certaines modifications matrielles apportes au Soekris

2. La partie rseau & scurit

Un systme AAA comporte une norme partie rseau. Du portail captif (premier A ,
Authentification) au mcanismes de filtrage (deuxime A , Autorisations), sans oublier le routage
et les proxies caches
Dans cette partie seront donc dvelopps :
o
o
o

A Authentification, le portail captif

 Le choix des logiciels utiliss
La topologie mis en place
A Autorisation, les mcanismes de filtrage
 Les proxies transparents
 Les droits dynamiques des utilisateurs

3. Le dveloppement de linterface.
Cette partie, dveloppe par Sbastien Sivadier comporte linterface permettant dinteragir
directement avec la partie rseau.
Dans ce rapport vous seront prsents :
o
o
o

Le portail captif entirement recod

Linterface dadministration des utilisateurs
Les mcanismes interagissant entre la partie software et la partie rseau.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 16 sur 46

Rpartition dans le temps :

Lors des 4 mois de projet tutor, nous avons dvelopp la base du projet. Ce ft la version 1a, non
exploitable sur le terrain.
Nous y avons ensuite ajout la partie filtrage pendant la premire moiti du stage, ce qui donna
naissance la version 1b, prte tre dploye en mission.
Nous avons dvelopp la dernire partie : rapports et statistiques, en dernier. Cette partie dboucha
sur la version finale du projet, prte fin juillet, beta teste pendant un mois, actuellement
oprationnelle et prte tre envoye sur le terrain.

AAA Project Calendar

Sept.
1
2
3
4
5
6
7 36
8
9
10
11
12
13
14 37
15
16
17
18
19
20
21 38
22
23
24
25
26
27
28 39
29
30

2006
Octobre
1
2
3
4
5 40
6
7
8
9
10
11
12 41
13
14
15
16
17
18
19 42
20
21
22
23
24
25
26 43
27
28
29
30
44
31

2007
Nov.
1
2
3
4
5
6
7
8
9 45
10
11
12
13
14
15
16 46
17
18
19
20
21
22
23 47
24
25
26
27
28
29 48
30

Dc.
1
2
3
4
5
6
7 49
8
9
10
11
12
13
14 50
15
16
17
18
19
20
21 51
22
23
24
25
26
27
28 52
29
30
31

Janvier
1
2
3
4 1
5
6
7
8
9
10
11 2
12
13
14
15
16
17
18 3
19
20
21
22
23
24
25 4
26
27
28
29
30 5
31

Mission Sbastien au Mozambique

Mission Mathieu aux les Salomon
Vacances
Formation & Envoi aux bases internationnales

FRAPPIER Mathieu

Fvrier
1
2
3
4
5
6
7
8 6
9
10
11
12
13
14
15 7
16
17
18
19
20
21
22 8
23
24
25
26
27
28
9

Mars
1
2
3
4
5
6
7
8 10
9
10
11
12
13
14
15 11
16
17
18
19
20
21
22 12
23
24
25
26
27
28
13
29
30
31

Avril
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

14

15

16

17

18

Mai
1
2
3
4
5
6
7
8
9
10 19
11
12
13
14
15
16
17 20
18
19
20
21
22
23
24 21
25
26
27
28
29
22
30
31

Juin
1
2
3
4
5
6
7 23
8
9
10
11
12
13
14 24
15
16
17
18
19
20
21 25
22
23
24
25
26
27
28 26
29
30

Juillet
1
2
3
4
5 27
6
7
8
9
10
11
12 28
13
14
15
16
17
18
19 29
20
21
22
23
24
25
26 30
27
28
29
30
31
31

Version 1a - Authentification seule

Version 1b - Authentification & Filtrages services
Version 2 - Authentification + Filtrage complet
Version 3 - Authentification + Filtrage complet + stats
Tests finaux & debuggage

Licence R&T ASRI

Stage TSF 2007

Page 17 sur 46

Aot
1
2
3
4
5
6
7
8
9 32
10
11
12
13
14
15
16 33
17
18
19
20
21
22
23 34
24
25
26
27
28
29 35
30
31

Partie Hardware Plateforme

Soekris net4801, une architecture en x86

Processeur :
AMD Geode 266 MHz
RAM :
128 SDRam PC 133
Rseau :
3 interfaces 100 Mbits /s
I/O :
1 USB, 1 Srie, 1 Parallle
Stockage :
1 contrleur IDE
1 lecteur de CF
1 port console
Alimentation:
12 Volt continu externe
Extensions possibles :
1 mini PCI
1 PCI

Ce mini PC consomme
moins de dix watts.
Il est bas sur un
processeur i386 avec
instructions MMX

Il coute environ 250

Le lecteur CF se comporte
comme un contrleur IDE.
On distingue bien sur la
photo :
- les 3 contrleurs LAN
- le CPU
- La RAM
- Lemplacement CF
- Le port PCI
- Le port mini PCI
- Le port IDE
RETROUVEZ EN ANNEXE LA DOCUMENTATION DU SOEKRIS NET4801

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 18 sur 46

Mmoire Flash

La carte mmoire utilis par le Soekris est une Compact Flash type 1.
COMPARATIF DE COMPACT FLASH EN ANNEXE
Afin de ne pas brider le systme, la rapidit des cartes Compact Flash
utilise doit tre maximum.
La synthse des nombreux tests et benchmarks sur les grands sites de hardware ainsi que des prix
pratiqus dans les meilleures boutiques en ligne nous amen aux cartes
carte Sandisk eXtreme III qui
prsentent des temps daccs records ainsi que des performances largement au dessus de la
moyenne des cartes en lecture / criture alatoire.
Sparation Systme / Donnes
On parle beaucoup de lusure des mmoires flash lorsquelles sont utilises en criture. Bien que la
qualit des cartes mmoire ne cesse dvoluer, la solution ultime pour palier ce problme est
davoir un systme en lecture seule.
Le projet dans sa version
ion finale intgre cette volution. Le systme est en lecture seule et est spar
des donnes. Ainsi, une carte mmoire, imprissable dans le temps contient le systme et,
et lors de
linsertion dune nouvelle carte, est capable de recrer larborescence ncessaire
essaire au
a donnes (/var).
Modifications matrielles
Il a fallu modifier physiquement le Soekris pour lui ajouter une deuxime carte
mmoire. Le protocole IDE tant compatible broche broche avec les Compact
Flash en mode True IDE, il aura fallu un adaptateur
adapt
a 3 sur eBay, un fer souder et
un peu de patience pour relier
ier les 44 broches du port IDE la carte mmoire et ainsi
offrir au Soekris net4801 une deuxime mmoire FLASH.
FLASH
Le Soekris avant et aprs la modification matrielle

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 19 sur 46

OS & kernels
La distribution
istribution Debian t choisie pour ce projet pour plusieurs raisons :



Il existe un trs large support sur Internet car elle est trs populaire.
Il existe un nombre de packages disponible impressionnant.
impressionnant
On peut crer ces propres paquets trs facilement.
Debian est facile allger.

Kernel allg
Aprs de nombreux tests, jai compil un kernel 2.6 pour rpondre spcifiquement aux besoins de
notre systme.
Les options correspondant aux instructions
spcifiques
ques du processeur ainsi que les fonctions
dtat dnergie (power state) particulire sur les
CPU AMD Geode apportent un petit plus par rapport
a un kernel i386 gnrique.

Le 2.6, bien que moins rapide quun 2.4 au dmarrage

dmarra ma sduit notamment pour sa possibilit
dintgrer les paramtres
amtres de QoS ainsi que la dernire pile mac80211 trs performante.
performante

Ce kernel pse 1,7 Mo avec la prise en

charge des modules.
On retrouve peu prs 2 Mo de modules
Il contient certains modules qui lui
assurent une compatibilit dans une
Machine Virtuelle
lle VMWare.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 20 sur 46

Machine virtuelles
Les diffrentes manires dinstaller un OS sur un Soekris
Le Soekris ne possde pas dinterface graphique. Il dispose bien d un port PCI mais le BIOS nest pas
compatible avec le standard VGA. Il est donc impossible dinstaller un systme de manire
conventionnelle . Tout doit se faire via le port Console.
Debian est prvu pour pouvoir fonctionner en mode console, cela ne pose donc pas de problmes.
Nanmoins, la premire installation reste problmatique, voici les solutions existantes.
Installer Debian sur un mini disque dur ou une carte CF laide dun PC
Installer Debian sur une CF partir dune Debian existante : Debootstrap
Installer Debian directement sur le Soekris par un boot PXE.
Nous avons choisi la premire mthode, qui consiste installer Debian directement sur une carte CF
laide dun lecteur de carte et dune autre machine. Cependant, nous avons apport une petite
modification, puisque cette machine est virtuelle
Pourquoi ?

Dployer et Configurer des services rseaux avancs sur une machine

aussi triviale que le Soekris net4801 nest jamais une tche aise. Simuler une
machine virtuelle aux caractristiques trs proches du Soekris nous beaucoup
apport :

Pendant la phase dinstallation des systmes dexploitation, nous navons eu besoin daucun
mdia.
Les installations en machines virtuelles sont beaucoup plus rapides.
Possibilit de faire des snapshots, aucune limite dans les tests car un retour en arrire est
possible tout moment.
Une fois lOS en place, nous avons pu travailler chacun sur notre Machine virtuelle sans se
gner.
Il est facile de simuler un Soekris + un client quelconque reli via un LAN virtuel.
En pratique, le gain de temps et de matriel ncessaire est impressionnant.
Limplantation finale sur le Soekris est ais et nous disposons toujours dune sauvegarde sous
forme dimage VM.

En conclusion, la virtualisation est, et deviendra surement un incroyable outil non indispensable mais
permettant un gain de temps et une praticit extraordinaire.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 21 sur 46

Synthse
Tests en charge
Nous avons men, 3 reprises, des tests au sige de TSF. LE personnel sest port volontaire pour
faire partie des beta-testeurs, nous avons ainsi branch le Soekris juste aprs le Firewall de TSF. Ainsi
tout le rseau local tait sous contrle de notre projet.
Ces phases de tests ont dur approximativement une semaine et chaque fois, plus dune vingtaine
de bugs ont t rvls / rsolus.

Nous avons aussi plusieurs fois pratiqus des tests directement avec le matriel satellite
Lors de ma mission aux les Salmon, jai emmen le Soekris pour le premier test en conditions relles.
Malgr le peu de fonctions implant cette poque, je nai pas constat de problmes particuliers.
Conclusion
Bien que, selon moi, un peu vieillissant, le Soekris net4801 est relativement performant. Les
architectures en x86 ne sont pas forcement les meilleurs dans le domaine du rseau mais elles
prsentent un avantage indniable : la portabilit sur dautres machines de tests et mme des
machines virtuelles qui nous ont permis de gagner beaucoup de temps sur le dveloppement.
Jaurais aim deux fois plus de RAM, voir mme en DDR car la SDRAM comme a dater. La
modification matrielle pour avoir deux cartes Compact Flash sest bien droule et je nai constat
aucun problme particulier qui justifierai un mauvais choix de plateforme de dpart.
FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 22 sur 46

Partie Rseau
Topologie du rseau

Voici un schma de la topologie physique du rseau gr par le Soekris

Il faut prciser que nous utilisons des routeurs wifi en tant que simple point daccs, ils sont donc
tous configurs en pont rseaux et DHCP forwarder.
Le concept est simple, dun cot, on a le modem Satellite et de lautre cot,
le rseau avec tous les clients, on peu cascader des point daccs afin
quils agissent tous en tant que simple ponts rseau.
<<< --- BGAN, modem satellite 492kbps

Le spool dIP disponible pour les clients est assez grand puisque nous avons choisi un masque de 20
bits. 32 20 = 12 bits donc 212 possibilits les 2 extrmes, le routeur en lui-mme et le point
daccs Wifi = 4092 possibilits.
Il y a une raison pour un spool aussi grand. Le DHCP garde en
mmoire trace des IP quil a distribus et un ordinateur garde
toujours la mme IP, ce qui facilitera grandement les tudes
statistiques. (Partie Accounting)

WRT54G, point daccs Wi-Fi

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 23 sur 46

Branchements
Voici une photo de branchement type avec BGAN ou RBGAN

Dans cette situation, la connexion Internet est fournie par le RBGAN, transmise au Soekris et le
routeur droite est configur en point daccs Wi-Fi
Wi

Vue de dos pour les branchements. A Noter que le routeur de gauche, quip de DD-WRT,
DD
est
configur en simple switch donc le port excentr est bien sur le mme
mme LAN que les autres ports.
FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 24 sur 46

Schma interne du systme

ale
l oc
le .0.1
uc
Bo 27.0
1

Ci-dessus : les diffrentes services du systme AAA et leurs interfaces dcoute.

La QoS
Un mcanisme de QoS contrle la bande passante au sein du systme. Cest un mcanisme de type
HTB (Hierarchical Token bucket)
Ce mcanisme ne fait pas partie des dernires technologies de pointe de la QoS mais il prsente des
avantages indniables qui correspondent aux contraintes des systmes embarqus :

Il consomme peu de CPU

Il spare le gros trafic (tlchargements) du petit trafic (requtes de connexion)
o Les deux bandes passantes sont dfinies en pourcentage de la BP globale
o Les requtes sont prioritaires et les gros paquets sont brids
Cet algorithme montr ses preuves du fait de son anciennet.

A noter quil existe une file dattente spciale non prioritaire pour les services qui sont capable de
tunneliser sur du http (tel que Microsoft groove, Skype...). En autorisant le port par dfaut ses
applications mais un dbit extrmement faible, elles ne tentent pas les connexions encapsules
dans le HTTPs.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 25 sur 46

A Authentication
Le Portail captif
Llment principal de la partie authentication est le portail captif. Le portail captif, qui est aussi
passerelle par dfaut pour les clients est une sorte de pare feu qui va autoriser ou interdire laccs
internet aux clients. Pour ce faire, il va capturer toutes les requtes WEB que les clients lui envoient.
Il va ensuite entamer un dialogue avec ces htes en leur renvoyant un formulaire de connexion.
Une fois le formulaire rempli, lutilisateur se connecte et on lui autorise laccs lInternet
Les besoins spcifiques de TSF
Le Projet AAA TSF est bas sur un portail captif mais il a fallu ladapter aux besoins de TSF. En effet, il
existe plusieurs systmes mais ceux-ci ont t crits pour tre mis en place dans les gares, les htels
ou les aroports et les besoins de TSF ne sont pas les mmes.
Comparatif des systmes existants
Voici une capture du meilleur comparatif que
nous ayons trouv sur lInternet :

Cest Chillispot qui t choisi pour servir de

base ce projet. Les raisons qui motivent ce
choix sont :

Une sparation en 3 modules bien distincts :

o Linterface de connexion WEB entirement crite en Perl/CGI, ce qui la rend
facilement modifiable
o Lapplication en elle-mme, open source, crite en C, ce qui la rend modifiable, bien
que les modifications ce niveau ne soient pas recommandes (perte de
compatibilit avec les futures versions)
o Le mcanisme dinterdiction/autorisation bas sur un tunnel tun et arbitr par un
script iptables est la solution idale pour mettre en place notre propre filtrage.

La compatibilit avec FreeRADIUS

Le nombre de donnes de statistiques, notamment les temps de connexion peuvent davrer

trs utiles pour les rapports de missions.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 26 sur 46

Le serveur RADIUS
Le serveur dauthentification est un autre lment vital dun systme AAA.
Un serveur RADIUS est connect une base de donnes rassemblant toutes les rgles respecter.
Lorsquun portail captif
aptif par exemple va lui demander si quelquun a droit un service, alors
alor celui-ci
va rpondre par oui ou non.
n. Le portal captif va alors appliquer la directive envoye par le RADIUS.
Il existe plusieurs serveurs RADIUS, celui que nous avons dcid dutiliser
dutili est FreeRADIUS.
FreeRADIUS
FreeRADIUS est trs connu, logiciel rfrence du monde libre en la matire.
FreeRADIUS est disponible sous toutes les plateformes Unix/linux
/linux et propose un grand nombre de
modules pour communiquer avec quasiment tous les types de base de donnes existants, mais aussi
avec beaucoup de logiciels, notamment Chillispot, notre portail captif.
NB : une partie de Chillispot tant t compltement rcrite pour ce projet, un module
supplmentaire de FreeRADIUS est utilis,
utilis il sagit du module attribute rewrite qui permet de
remettre en forme la vole le contenu dune requte est Chillispot et FreeRADIUS afin, notamment
de passer des paramtres supplmentaires dans des champs qui ntait lorigine pas prvu a cet
effet.
LE SCHEMA DE CETTE
TE MODIFICATION EST DISPONIBLE EN ANNEXE
Le gestionnaire de Base de Donnes
Le Gestionnaire de base de donnes utilis dans notre systme est MySQL
MySQL est un gestionnaire de base de donnes assez lger, rapide et simple.
Son utilisation avec Perl ou PHP
HP dans le domaine du WEB est plus que
reconnue.
Il fait bien sr entirement partie du monde libre

Le serveur WEB local

Nous avons utilis apache dans sa version 2
Apache nest pas le serveur WEB le plus lger, cependant, linterface de Chillispot tant entirement
programme en CGI Perl, c'est--dire
dire que le HTML est gnr a la vole par les modules CGI. Bien
que
ue ces modules existent pour dautres
d
serveurs WEB, nous avons constat des problmes
dexcution de certaines parties du code. Cest donc Apache 2 et son module CGI Perl qui nous a le
plus sduit.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 27 sur 46

AA Authorization / filtrage
Le filtrage de services (routage)
Iptables
Le script iptables est reli la partie software du projet. Lorsquun utilisateur se voit attribuer un
droit via linterface WEB, il est automatiquement ajout un fichier tiers et le script iptables est
appel pour appliquer les nouveaux droits.
VOUS POUVEZ TROUVER LE FICHIER DE SCRIPTS IPTABLES EN ANNEXE. CE SCRIPT EST TRES COMMENTE.

Aperu de linterface WEB permettant de dfinir le filtrage de services ou de contenu en temps rel.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 28 sur 46

Firewall et proxies caches

Schma du firewall par ports par utilisateur dans le cas du droit mail / ftp / web
Tunnel Chillispot

Interface
Nom
Adresse IP

Boucle locale spciale

eth2 > tun0

192.168.176.1/20
Numro
Service associ
de port
1
20
FTP data
21
FTP
22
SSH
25
SMTP

Clients

53

DNS

80

Web

110

POP3

143

IMAP

443

HTTPs

993

POP3s

995

IMAPs

dummy0
10.10.10.10/32
Numro
Service associ
de port
1

1024

53

Serveur / Cache DNS

80

Serveur Web
local

Interface
externe
eth0 / eth1
IP publique
Numro de
port
1

1024

3127
3128
3129
3130

Proxy FTP
Proxy WEB
Proxy SMTP
Proxy POP/IMAP

3389

RDP

3990

Requetes HTTP
chillispot

5900

VNC

65535

3127
3128
3129
3130

Proxy FTP
Proxy WEB
Proxy SMTP
Proxy POP/IMAP

38900
|
38999

Plage de ports Proxy

FTP

65535

65535

A gauche un utilisateur, au milieu, le systme AAA et droite Internet.

Lgende
Interdit
Redirection transparente
Autoris
Req. effectues par le proxy

On voit bien que les clients sont isols et que

seul le proxy accde lextrieur. Cela permet une
totale maitrise du contenu (rappel : les contenus
lourds sont filtrs pour ne pas tuer la bande passante)

VOUS POUVEZ RETROUVER EN ANNEXES LES SCHEMAS DE TOUS LES CAS DE FIGURE.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 29 sur 46

Les serveurs mandataires

Transparence
Tous les mandataires (proxies) utiliss ici sont compltement transparents.
Aucune configuration nest ncessaire du cot client.

Squid
Le proxy cache WEB utilis dans le systme AAA TSF est bien entendu squid.
Squid est la fois le proxy WEB le plus complet, le plus rapide et le plus utilis. Il contient un systme
interne dAccess Lists qui permettent un filtrage trs minutieux.
A linstar diptables, il est directement connect linterface WEB (programme par Sbastien). Ainsi,
par dfaut, les images et les contenus multimdia (flash, shockwave, vidos, audio ) sont filtrs.
Dans la version finale, il existe plus de 6 filtres avec des mthodes diffrentes qui permettent de
contrler avec prcision le contenu des sites visits.

Emailrelay
Emailrelay est un simple proxy smtp. Il rajoute une couche aux emails envoys avec
ladresse SMTP du FAI de TSF afin de sassurer quil ny aura pas de problmes
denvoi. (Pour lutter contre le SPAM, les serveurs SMTP des FAI ne sont joignables
que par une IP leur appartenant)

Perdition
En mission durgence, des rapports de situations sont crits tous les jours par les organisations de
coordinations. Ces sitrep reprsentent plus de 50% des mails changs. De plus, la plupart des
organisations communiquent via une seule et mme boite mail en senvoyant des mails eux mme.
Systme trs efficace pour la transmission de linformation.
Perdition est un proxy cache IMAP /POP3. Un gros cache dans de telles situations peut donc
conomiser normment de bande passante, mais aussi permettre un affichage instantan du
contenu dj mis en cache.

Jftpgw
Jftpgw est un proxy FTP qui est utilis ici pour deux de ces fonctions :
-Il tablit la connexion vers un site distant de manire passive ou active. Il tablit ensuite une
connexion locale avec le client toujours dune manire active ou passive. Ceci rsout tous les
paramtres dFTP passif derrire un NAT.
- Il est configurable en bande passante par utilisateur.
FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 30 sur 46

Le filtrage de contenu
Lors dune crise humanitaire, les diffrentes organisations, quelles soient gouvernementales (ONU,
UNICEF, OXFAM, OMS ) ou non gouvernementales ont besoin de moyens de communication pour
coordonner leur logistique, mais aussi pour se coordonner entre elles.
TSF fournit ces moyens de communication.
Le problme est, que sur un site web, en plus du texte vital que lon est venu consulter, il y a aussi des
grandes images, des bannires de publicit, de plus en plus nombreuses et parfois mme sous forme
de vidos avec du son.
TSF a donc pour habitude de configurer les PC clients un un en prenant soin de dsactiver les images
des navigateurs, mais aussi les logiciels de p2p, les mises jour, etc Cette manipulation est longue
est fastidieuse et contournable par les utilisateurs eux-mmes.
Les serveurs mandataires mis en place dans le cade du projet AAA permettent un contrle
incontournable du contenu.
Cest ainsi quil existe plus de 6 filtres rglables (2 par type de filtrage) accessibles via linterface
dadministration agissant directement sur les serveurs proxy.
Il est donc posible de filtrer toutes les extensions dsires
simplement en les rajoutant dans linterface dadministration.
Il existe une liste non exhaustive
dextensions pour les contenus
multimdia ; un filtre permet aussi de
bloquer un contenu en indiquant son
type MIME. Sur lexemple de gauche,
on bloque toutes les vidos, mais aussi les contenus dynamiques et
audio.
Le troisime type de filtre que lon peut trouver est un filtrage par URL
En plus de la possibilit de bloquer des sites proprement dits, on peut
ainsi boquer des applications utilisant le protocole http, par exemple,
Windows Update, ou Google Earth, mais aussi MSN Messenger, etc
Exceptions :
Bloquer le contenu multimdia peut conomiser normment de
bande passante. Cependant certains sites proposent un contenu utile,
par exemple les sites dimagerie satellite des zones sinistres ne
doivent en aucun cas tre bloqus. Cest pourquoi, on peut mettre en place des exceptions
Sur les cots, les exceptions
permettant au contenu de
certains sites dtre visible
par tout les utilisateurs.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 31 sur 46

Partie Software Lapplication

Aprs vous avoir prsent en dtail les bases du projet, voici maintenant linterface, cette partie a t
entirement ralise par Sbastien Sivadier, lexception des services annexes.
Il existe deux interfaces :
-celle sur laquelle les clients sont redirigs lors de leur toute premire connexion
-linterface dadministration rserve aux membres de TSF.
Lorsquun utilisateur va se connecter au rseau Wi-Fi ouvert, ds quil va lancer son navigateur WEB,
il va tre redirig sur linterface de connexion.

Ci-dessus, linterface originale de Chillispot

A droite, linterface du portail de TSF

Le principe est simple, un utilisateur appartenant une ONG dj enregistre va la slectionner dans
la liste droulante, puis il va saisir le mot de passe quaura choisi son chef de mission et enfin inscrire
son nom. Lorsquil validera, il se verra laccs Internet ouvert ainsi que tous les droits relatifs son
organisation attribus.
Pour les organisations pas encore
enregistres, on peut voir un lien qui
amne vers une page denregistrement.

Page denregistrement que devra remplir

une nouvelle organisation pour avoir
accs lInternet

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 32 sur 46

Enregistrement des organisations

Le formulaire denregistrement contient quelques donnes vitales pour contacter le chef de mission,
ainsi que le matriel dont il dispose des fins statistiques.
Il faut savoir que lorsquune organisation sest enregistre, elle doit tre valide par un
administrateur TSF avant dapparaitre dans la liste.

Message apparaissant lors de la validation

dune organisation

Linterface dadministration : le cur du projet

Linterface dadministration est accessible uniquement aux
administrateurs TSF via un simple systme dhtaccess
Cette interface, compltement crite est Perl /CGI et anime
par de lAJAX permet de donner aux membres de TSF les
commandes de tous les services et serveurs mandataires
prsents prcdemment et implants dans ce systme.

On peut y trouver plusieurs onglets qui correspondent tous les outils actuellement disponibles :

Longlet
emmne directement la configuration du modem Satellite reli au Soekris. Dans
le cas ou un autre modem (technologies ADSL, ISDN, Radios) est reli au Soekris, cet onglet dtectera
et pointera directement dans son interface de configuration.
Longlet
comporte un tableau de toutes les organisations enregistres sur le portail ainsi
que leurs dtails. Il est possible de les modifier, supprimer, valider ou invalider.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 33 sur 46

Longlet

vous conduit la page du filtrage. En voici un aperu :

Cette page est sans doute la page qui a subit le plus de modifications au fil des versions. Cest ici que
lon peut contrler tout le filtrage.
On trouve aussi le nom de lutilisateur qui est connect, la petite icne TSF indiquant si lordinateur
utilis appartient TSF. On y retrouve aussi ladresse IP qui lui a t attribu et son adresse MAC.
On peut attribuer des droits exceptionnels aux utilisateurs ou bien les donner toute une
organisation.
Enfin on peut forcer la dconnexion de certains utilisateurs pour rsoudre des problmes techniques
par exemple.
Changement des droits en temps rel
Lorsque lon applique ou enlve un droit un utilisateur, les nouveaux droits sont appliqus en
temps rel. Lutilisateur nest donc pas oblig de se dconnecter/reconnecter.
VOUS POUVEZ RETROUVER EN ANNEXE LE DIAGRAMME TRES SIMPLE QUI EXPLIQUE LE FONCTIONNEMENT DE
CETTE PAGE.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 34 sur 46

Les outils systme

Aprs avoir prsent les outils de gestion des utilisateurs, et avant daborder les outils statistiques, il
est important de parler des outils systme.
Longlet
vous conduit dans linterface du routeur quip de DD-WRT. Ce routeur, bien
quamput de ses fonctions de routage et relay ltat de simple point daccs Wi-Fi possde un
nombre de fonctions impressionnantes ne serait ce que pour rgler els paramtre Wireless
Aperu des options trs
utiles propos des
paramtres sans fils

On peut notamment
rgler directement la
puissance en mWatt

Longlet
amne sur une page affichant la place disponible sur la carte flash de donnes.
Cette carte contient toutes les donnes variables de la mission (base de donnes, cache de squid)

Cest aussi sur cette page que

lon peut rgler les paramtres
de bande passante
indispensable la Qualit de
Service prsente au sein de ce
projet

Pour finir, en bas on trouve de boutons trs utiles comme la possibilit de remise a zro complte du
systme, ou encore la suppression de certains logs, de tous les logs ou mme la purge du cache de
squid si lespace disque devient trop critique. (CF : le cache de squid est fix par dfaut 50% de la
taille de la Compact Flash. Cette valeur pourra voluer en fonction des constatations dans les futures
missions TSF)
Sans oublier une fonction trs utile lors de linstallation du systme : le release/renew deth0.
FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 35 sur 46

AAA Accounting
Les rapports
Longlet
vous propose dexporter toute les
statistiques enregistres par FreeRADIUS.
On a ainsi le nombre de connexions, leur dure et le
nombre doctets transfrs. Il est possible dexporter ces
statistiques quotidiennement, mais aussi pour une priode
dfinie.
Il est important de prciser quun utilisateur est considr
comme dconnect si son bail DHCP na pas t
renouvel. (La dure de ce BAIL est de 5 minutes.) Le
systme original de Chillispot a donc t totalement
modifi et il ny a plus de fentre popup indiquant le
temps de connexion en obligeant lutilisateur se dconnecter/ reconnecter intervalle de temps
rgulier. Ceci a t un choix de TSF car beaucoup de bnficiaires utilisent les webmails et une
session de webmail coupe peut faire perdre normment de temps.

Les rapports se prsentent sous la forme dun fichier csv

tlcharger, ce fichier est compatible avec toutes les versions
de Microsoft Excel et dOpen Office.

Aperu du fichier de listing des connexions gnr

par linterface dadministration

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 36 sur 46

Analyse des sites les plus visits

Nous avons implant un outil danalyse des logs du proxy WEB. Ainsi on peut savoir quels sont les
sites les plus visits et ainsi dtecter dventuels abus. Il est possible de rajouter ces sites la liste
noire des URL interdits dans la partie filtrage.

SARG, loutil danalyse des logs de Squid

Statistiques globales du rseau
Enfin un outil exploitant la libraire libpcap capture lentte de paquets routs et gnre une page
HTML toutes les 2 minutes. Cet intervalle de 2 minutes est un compromis entre une vision temps rel
qui consomme beaucoup de CPU et une visualisation sur du long terme, trs gourmande en
mmoire.

Bandwidthd permet davoir une analyse de la bande passante pseudo temps relle par services.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 37 sur 46

Conclusion
La place du projet au sein de lactivit de TSF
Ce projet est au cur de lactivit principale de Tlcoms Sans Frontires. Il va permettre de mettre
en place un centre Internet en 10 minutes tout en dispensant le technicien TSF de la configuration
manuelle et fastidieuse de tous les ordinateurs.
La bande passante sera optimise dans ces moindres dtails. Les abus seront moins nombreux et
donc le nombre dutilisateurs pourra augmenter sans dgrader la qualit de service.
Ce projet permettra aussi de confier la gestion dun centre tlcoms une personne de confiance
sans que celle-ci ait des comptences particulires en rseaux.
Les rapports quotidiens que devaient rdiger le chef de mission TSF, aprs avoir relev
manuellement sur les quipements satellite, la bande passante consomme, sera bien plus ais grce
aux outils de statistiques intgrs.
Le cache WEB et le cache DNS, en plus dune conomie de bande passante, faciliteront grandement
la navigation ainsi que le temps de rponse des pages WEB.
En utilisant une carte mmoire par mission, TSF pourra garder une trace solide de lactivit de tous
ces centres tlcoms mis en place.
Le Prsident de TSF , Jean Franois Cazenave propos du projet AAA :
Le systme dvelopp par Mathieu Frappier et Sbastien Sivadier va
rvolutionner les centres de communication dploys pour les organisations
humanitaires sur les crises durgence par TSF. En effet, il amliorera la qualit
de nos services en permettant un suivi en temps rel de nos bnficiaires et
donc de mieux rpondre leurs besoins et de mieux rendre compte nos
bailleurs de fonds de limpact de leur soutien. Il facilitera galement laccs
nos connexions un plus grand nombre de bnficiaires et donc de sauver des
vies. Enfin, ce systme permettra doptimiser les cots de tlcommunication,
nous offrant ainsi la possibilit de rester plus longtemps sur le terrain.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 38 sur 46

La suite du projet
Bien que notre stage soit termin, le projet est amen tre poursuivi.
Des documentations prcises ont t rdiges et tout le code, ainsi que les scripts qui ont t crits
sont trs comments.
OpenWRT
Sylvain Meras, tudiant de STRI Toulouse, qui est parti au Mozambique avec Sbastien travaill
sur le dveloppement dune plateforme alternative pour accueillir notre projet.
Base sur une RouterBoard RB 532A (MIPSel), cette plateforme est anime par lOS OpenWRT.
OpenWRT va simposer en tant que futur standard pour les systmes embarqus ddis au rseau.
Autres systmes embarqus
Sbastien Lannes, stagiaire de Sup info, bordeaux est en train de rechercher activement nouveaux
systmes embarqus qui pourraient mieux rsister aux conditions difficiles du terrain ( chaleur,
humidit ) tout en offrant une puissance de traitement encore plus grande
Wifi MESH
Durant notre stage, nous avons accueilli une lentreprise numro 1 franais sur le Wi-Fi MESH, cette
technologie qui permet de crer un rseau intelligent maill, coupl au systme AAA changera
dfinitivement le visage des tlcommunications durgences, on peut alors imagine dutiliser des
tlphones SIP dans toute une ville sinistre afin de coordonner toutes les quipes de secours.

Conclusion personnelle
Sbastien et moi-mme avons pass plus de 9 mois sur la ralisation de ce projet. Ctait, selon moi
un projet trs ambitieux. Bien que scrupuleusement dfini au dbut, le cahier des charges volu
au fil des mois, des besoins se sont fait ressentir et des nouveaux services ont t implments.
Lors de ma mission aux les Salomon, jai travaill avec Simon Genin, le responsable de la base TSF
Asie, javais alors apport le Soekris avec moi (dans sa version 1.5), sa vision des choses et son
exprience sur le terrain (plus de 11 missions a son actif) nous ont permis de corriger plusieurs points
importants.
Pendant le dveloppement de se projet, nous avons d faire preuve de beaucoup dautonomie, il a
donc fallu grer notre temps et notre travail, et plus dune fois, prendre des choix difficiles pour
arriver laboutissement final du Projet AAA TSF.
Cest pour moi, un honneur et une trs grande fiert davoir pu mener ce projet bien dans les
temps. Je tiens remercier Sbastien Sivadier, collgue et ami, pour son formidable travail et sa
patience.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 39 sur 46

Le travail quotidien TSF

La mise en place dun serveur compta
Choix du matriel ncessaire
La socit ditrice du logiciel de compta possde sa propre filiale de vente de matriel. Afin de
garantir une compatibilit maximale, cette socit insiste pour vendre la fois le software et le
hardware.
Aprs une tude dtaille du matriel souhait, nous avons fait faire deux autres devis :
-

Un devis par DELL avec notre conseiller commercial habituel

Un devis contenant les pices ncessaires achetes directement sur un grand site de vente
en ligne.

A composants gaux, le devis de la socit ditrice du logiciel ntait pas acceptable. Nous avions les
meilleurs prix sur Internet en commandant les pices sparment et en montant le serveur nous
mme. Cependant, DELL nous a propos un prix raisonnable avec une garantie rparation en 4h
pendant 3 ans.

Nous avons donc command chez DELL.

Voici pour information la configuration impose par

lditeur :
-Plateforme Intel Xeon Dual Core 3040
-2 Go de DDR2 ECC
-Une carte contrleur SAS avec 2 disques en RAID 1
-Un onduleur > 1500 VA avec systme de soft off en
cas de coupure prolonge

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 40 sur 46

Mise en place dun VPN Thalande / France / Nicaragua

Les besoins
Le logiciel compta fonctionne en mode client/serveur. Sur le serveur est stock le cur du logiciel et
la base de donnes MS SQL.
Les terminaux sont des clients fonctionnant sous Windows trs lgers bass sur le protocole http.
Malheureusement ils transportent donc toutes les donnes en clair.
Les clients seront utiliss au sige de TSF mais aussi sur les bases rgionales. (Thalande et
Nicaragua). Aprs une petite analyse WireShark (ex Ethereal) on se rend vite compte que ce nest
absolument pas raisonnable de transfrer des donnes confidentielles de la sorte non chiffres entre
la France, le Nicaragua et la Thalande.
Un VPN simpose donc ici.
Quel VPN ?
TSF utilise une livebox pour accder Internet et diffrentes machines linux pour assurer le routage,
les services DHCP, DNS, ainsi que les autres services.
Devant ce constat, on peut tout de suite carter les solutions propritaires de type Cisco qui se
basent sur des matriels dont nous ne disposons pas !
Nous avons donc cherch du cot des solutions libres sous Linux.
IPSec, OpenVPN ou tunnel SSH ?
Aprs avoir cart SSH pour le cot bricolage et surtout pour les problmes fentre avec le TCP
over TCP, nous nous sommes tourns vers de lOpenVPN ne connaissant pas trs bien la topologie
rseau des bases rgionales. OpenVPN peu passer un peu partout et mme derrire un certains
proxy. De plus il est relativement facile mettre en place.

Configuration dun OpenVPN

Voici les principaux choix oprs ainsi et leur justification

Tunnel TUN : Meilleur rendement que TAP car encapsulation partir du niveau 3 au lieu du niveau 2.
Protocole UDP : Eviter les tunnels TCP over TCP
Cryptage AES : Plus solide que le DES et 3DES
Scurit bass sur des certificats : Possibilit dvoluer, rajouter des utilisateurs et les bannir. Logs
des connexions.
Nous avons gnr des certificats et des cls laide des outils easy-rsa fournis par OpenVPN.
FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 41 sur 46

Administration du rseau interne de TSF

Mise jour des serveurs
Le rseau interne de TSF contient 3 serveurs, en voici un schma succinct :

Ce rseau est comporte trois zone : extrieur, DMZ et intrieure.

Les clairs reprsentent les client OpenVPN, le serveur est configur de manire ce que les clients
puissent communiquer entre eux.
Voici un petit tableau de leur rle
Phoenix

Firewall qui gre 3 zones :

-Rouge (Internet)
-Orange (DMZ)
-Vert (LAN)

Cardinal

Serveur DHCP
Serveur DNS

Colibri

Serveur de fichiers
Serveur dimpression
Serveur WEB intranet
Serveur OpenVPN

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 42 sur 46

Rorganisation DNS & DHCP

Partie DHCP
La plage dadresse du serveur DHCP t dfinie en 2004. Au fil du temps, des entres sont
apparues, mais jamais aucune na disparu.
De plus, les adresses ont t attribues de manire assez empirique, certaines machines ont t
changes et on retrouve des entres obsoltes.
Partie DNS
Lors de la mise en place du rseau, des noms bass sur leur rle ont t attribus aux machines
(exemple : compta1, comm2 tech1). Depuis les machines ont t remplaces ou ont t dplaces.
Certains noms ne correspondaient donc plus du tout. Sans oublier les noms NetBios qui ntait pas
forcement en concordance avec le DNS (Samba en mode simple est beaucoup utilis TSF).
Harmonisation
Une nouvelle organisation de la plage dIP mais aussi des noms des machines a t dfinie. Les noms
NetBios et DNS ont t harmoniss. IL y a maintenant un spool dadresse indpendant pour chaque
partie de lorganisation. Les stagiaires qui sont souvent nombreux TSF peuvent donc librement tre
rajouts aux baux statiques du DHCP et se voir attribuer une IP fixe couple un nom dhte sans
bousculer toutes les autres IP.
Voici un petit tableau rsumant la situation :

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 43 sur 46

Ajout de services
Galerie photo dynamique
Dans une ONG, les photos des missions sont trs importantes pour la communication, notamment
vis--vis de partenaires donateurs.
La collaboration avec une stagiaire communication qui avait pour rle de trier et dorganiser ces
photos a mis en avant un besoin. Les images sont stockes sur le serveur de fichiers et on ne pouvait
y accder que par le protocole SMB (partage de fichiers).
Ce mme serveur tant aussi serveur WEB Intranet, nous avons mis en place une galerie de
visualisation libre programme en PHP et interface en AJAX.
Il est dsormais possible de visualiser les photos en un clin dil dans nimporte quel navigateur WEB
sans disposer doutils de visualisation particuliers.

Voici un aperu de la galerie :

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 44 sur 46

Conclusion
Travailler dans une ONG est une exprience intressante et extrmement enrichissante, participer
des projets humanitaires, donner de son temps et de sa personne de manire totalement bnvole
apporte normment, tant sur le plan professionnel que personnel.
La mission que jai effectu lautre bout de la plante ma non seulement, ouvert les yeux sur le
monde, mais ma permis de me rendre compte de lutilit du projet que nous tions en train de
dvelopper.
Nous avons eu faire un projet tal sur une priode de 10 mois. Cest la premire fois quun si gros
projet mest confi. Au vu des possibilits offert par ce projet, TSF pourra et ajoutera dautres
services destins amliorer la qualit des centres tlcoms sur le terrain.
Cependant, neuf mois aprs son commencement, le projet AAA est dsormais termin et
fonctionnel, pour ma plus grande fiert.
Je tiens tout particulirement remercier TSF et lIUT de Mont de Marsan qui mont offert cette
possibilit de stage extraordinaire.
Cest extrmement satisfait de mon stage et conquis par lutilit de la cause de Tlcoms Sans
Frontires, que je vais rester dans cette ONG pendant encore plus de 6 mois.

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 45 sur 46

Remerciements
Je tiens sincrement remercier ces personnes sans qui ce projet naurait jamais pu
aboutir.

Sbastien Sivadier

Binme de stage

Monique Lanne Petit

Directrice de TSF

Jean Franois Cazenave

Prsident de TSF

Jean Jacques Bascou

Enseignant tuteur

Benot Chabrier

Responsable technique de TSF

Sylvain Meras

Etudiant en STRI, charg du projet sur MIPS

Fabien Dolac

Coordinateur IT/Logistique de TSF

Simon Genin

Responsable de la base TSF Asie

Et bien sr toute lquipe de TSF

FRAPPIER Mathieu

Licence R&T ASRI

Stage TSF 2007

Page 46 sur 46