David - Architecte réseaux C
Ref : 070221M001-
92140 CLAMART
-
Architecte réseaux, Consultant (49 ans)
-
Freelance
Expérience professionnelle
Depuis Avril 2004 à ce jour : Gérant de la société DMO Technologies
Encadrement Technique de Consultants, Formateurs, développeurs autour des technologies Réseaux, Sécurité, cryptographie appliquée, certificats, SSL, signature etc …
Depuis Juin 2006 à ce jour : Mission pour Dimension Data France / SFR : Architecte et Coordinateur IT
Architecte et Coordinateur Technique des pôles Etudes et Métiers
Maquette du projet MPLS_VPLS pour la SNCF
Etude de projet : Cisco SCE 8000 Series (Service Control Engine)
Participation et rédaction technique à la réponse de l’appel d’offre CAP 5 pour SFR
Assistance à la migration PDCTv1 vers V2
Coordinateur technique des projets MPLS pour SFR.
Coordinateur technique du projet PDCTv2 (Prise de Connectivité Des Tiers v2) : plateforme de connectivité (PFC) permettant d'interfacer des Tiers à un réseau MPLS de manière sécurisée (Segmentation des flux, filtrage...). Les méthodes d'accès proposés étant : Ethernet, LS, IPSec. Client : Tom-Tom
Rôle :
=====
- Définition de la solution :
+ Aide à l'expression des besoins,
+ Définition de l'architecture globale. Celle-ci devant supporter les exigences du client :
+ Evolutivité (que ce soit en termes de performances ou de services offerts),
+ Haute disponibilité (en cas de perte d'un équipement/d'un site),
+ Segmentation de bout en bout des flux. Gestion des recouvrements d'adresses entre les Tiers.
+ Choix des équipements répondants aux exigences fonctionnelles et techniques,
+ Définition des règles d'ingénierie dans l'objectif d'une industrialisation des connexions à la PFC.
- Coordinateur de l'ingénierie :
+ Suivi du projet,
+ Définition de l'ingénierie,
+ Mise en place d'une maquette + Tests de charge (à l'aide d'un boitier IXIA),
Environnement :
- Cisco 6509 et 7609 : MPLS, accès Ethernet, IPSec.
- Cisco 7304 : accès LS, MPLS et Route-Reflector,
- Carte SPA IPSec 2G dans châssis 6509 pour IPSec en mode VRF. Permet le cloisonnement de tunnels IPSec dans des VRFs. Types de tunnels IPSec : IPSec pur et GRE/IPSec (pour accès résilients).
- Firewall Checkpoint M8 avec VSX R65 cluster (Cluster-XL) dans un environnement Provider-1 : Permet de disposer de firewalls virtuels (contextes). Chaque contexte disposant de ses propres politique de sécurité et table de routage.
Assistance pôle client : Projet YouTube, 3G+, les iIlimythics, projet IPV6, projet PFC@
• Architecte et Coordinateur Technique du projet GLOBAL ACCESS-VPN : Réunion de pré-étude. Benckmark Cisco et Fortinet.
• Architecte et Coordinateur Technique du projet IPSec.
• Architecte et Coordinateur Technique : Projet Refonte Architecture DNS
• Intégration d’une DMZ résiliente dans le prise de connectivité internet composée de :
- Load balancers F5
- Cluster FW (CheckPoint sur IPSO)
• Re-définition du montage au niveau backbone MPLS pour la communication entre les clients et les serveurs de la DMZ.
• Définition de la méthode de migration des flux sans interruption de service.
• Assistance au chefs de projets, coordination des Tiers : Cyber Networks, HP.
• Réunion de suivi de projet avec SFR
Matériels utilisés :
GTM F5 (anciennement 3DNS) / LTM F5 (BigIP) / Altéon / FW CheckPoint NG AI en cluster sur plateforme Nokia
• Coordinateur Technique du projet PDCT : Prise De Connectivité des Tiers aux plateformes SFR : Il s’agit d’assurer l’accès sécurisé bidirectionnel entre les Tiers et SFR via une plateforme centrale de connectivité.
• Réunion de suivi de projet : rapport aux Chefs de Projets, coordination des Tiers : Silicomp, Cyber Networks, Stéria, IBM, Dictao …
• Définition des règles d’ingénierie et des processus d’industrialisation afin de permettre une instanciation optimisée des clients et services
• Configuration RSA Keon :
- Création d’une hiérarchie d’autorités de certification
- Définition des modèles de certificats
- Test d’intéropérabilité avec la plateforme PDCT
- Test de supervision et révocation des certificats
• Expertise technique des PKI
• projet stratégique pour SFR : l'ensemble des flux tiers va passer par PDCT. LA PKI pour la signature de certificats de TOUS les tiers quels que soient les méthodes de connexion.
Algorithmes de chiffrement symétriques dits aussi à "secret partagé" (ex : AES, DES, RC4...)
- Algorithmes de chiffrement asymétriques, dits aussi "à clé publique" (ex : RSA)
- Algorithme d'accord de clé (Diffie-Hellman)
- Algorithmes dits de "hachage" (création de condensés) : MD5, SHA-1
- Techniques de signatures électroniques (ex : à base de RSA, ou std DSS)
Cadre d'utilisation de ces différents types d'algorithmes : dans quelles conditions sont utilisés les algorithmes de chiffrement symétriques et asymétriques, les algorithmes de hachage...
Notamment leurs rôles dans des protocoles tels que SSL/TLS, IPSEC...
De même, très bonne connaissance non seulement des constituants techniques d'une PKI et de son fonctionnement, mais aussi des process à mettre en place pour l'administrer et la gérer au jour le jour.
Cette mission (pour un fournisseur de SFR) consiste à définir l'architecture IPSEC et PKI de SFR pour l'accès des tiers (MVNO) : cela comprend non seulement la partie technique, mais aussi le processus dit d'industrialisation (gestion quotidienne de la plateforme, process lors de l'interaction avec les tiers...)
• Mise en place d’une solution de « crash Recovery » pour la plateforme PKI
- Installation et configuration automatisée des applications suivantes :
- Solaris 9 (mirroring disque système, configuration SNMP …)
- RSA Keon
- Sun Java Directory Server 5.2
- NCipher
- OVO
- Agent LEGATO
- Re-synchronisation base LDAP et NCipher …etc …
• Expertise technique sur les load balancers / reverse Proxy / SSL / Cisco CSS :
- Redondance intra site (VRRP)
- Redondance inter site (GSLB)
- Authentification des clients par certificats x.509
• Expertise sur Checkpoint NG AI sur IPSO :
- Redondance intra site, clustering (VRRP)
- Aide à l’implémentation d’une architecture conforme au cahier des charges
- Mise en place des VPNs : Création d’un script pour automatiser la définition des objets
- Configuration de Checkpoint Floodgate / Définition des règles de QoS
- Test de charge VPN (IXIA) avec 500 tunnels
- Tests d’intéropérabilité du VPN CheckPoint avec des routeurs Cisco :
- Authentification par secret partagé ou certificat x.509 (avec vérification des CRL)
• Rédaction des supports de formation destinés aux personnels de l’équipe support et de l’équipe étude Dimension Data France et SFR
• Formation du personnel de Dimension Data France et SFR à :
- l’Administration & à l’exploitation de la plateforme
- Aux process de détection et résolution des problèmes
• Support aux clients béta testeurs de la solution PDCT (ex : NRJ, ORANGE, PROSODIE, BelGaCom…)
- Création des certificats x.509
- Aide au paramétrage …..
• Définition des KPI permettant de superviser la plateforme PDCT
• Support et assistance auprès de l’équipe DDF Client et Prod. MeP etc …
• Calcul de disponibilité de la plateforme PDCT pour SFR
• Entretien et validation des candidats pour le compte de Dimension Data France
Environnement : Nokia IP1220 , IPSO 3.9, NG AI R55, HFA 16, Check Point FloodGate-1 NG with Application Intelligence (R55) , Check Point VPN-1 NG with Application Intelligence (R55), Check Point CPinfo NG with Application Intelligence (R55), Check Point SVN Foundation NG with Application Intelligence (R55), Check Point FloodGate-1 NG with Application Intelligence (R55), SUN FIRE V210, PKI RSA KEON, RSA Certificate Authority, RSA Registration Authority, nShield F3 Products - encryption HW, Catalyst 2970 24 10/100/1000T + 4 SFP, C2970-LANBASE-M, Cisco 7300 Series IOS ENTREPRISE, Cisco 11503 Content Services Switch SCM-2GE HD AC, WebNS 8.1X Enhanced Feature Set for CSS 11500 Platforms, Nokia 10i, Cisco VPN 871
Avril 2006 : Assistance autour de Cisco Secure Intrusion Detection System pour REXIM.
Février 2006 : Audit de l'architecture réseau existante et audit de la sécurité informatique de la société Uniformation
Depuis octobre 2005 à ce jour : Animation et conception des cours Réseaux et Sécurité pour ORSYS.
De septembre à Novembre 2005 : Assistance du RSSI d’Orange Caraïbe .
De Mars à septembre 2005 : Missions d'expertise pour la DSI d'Orange Caraïbe :
De Février 2005 à avril 2006 : Assistance Cisco Pour RS2i :
Depuis Avril 2004 à Sept 2007 : Animation de sessions de formation CISCO Sécurité pour Global Knowledge : Consultant Formateur Indépendant Août 2003 à Mars 2004
Avril 2002 à Août 2003 : Ova et Upgrade - Consultant Formateur
Sept 1999 à Mars 2002 : BeijaFlore - Consultant Formateur
Administrateur Systèmes - Stéria Infogérance - Paris, 5 mois de 03/99 à 08/99
Ingénieur d’études - Ministère de la Défense - Creil, 10 mois de 08/97 à 05/98
Ingénieur d’études : ENSCP - Paris, 5 mois de 02/97 à 06/97
Domaine de compétences :
Techniques
Systèmes : Sun Solaris, HPUX, Linux (DEBIAN, UBUNTU), FreeBSD, Windows 2000
Matériel Réseau : Expert Cisco (Routeurs & Catalyst), Cisco CSS (ex Arrow Point), Altéon, F5 (LTM)
Routage et Switching : Expert IP (RIP, OSPF, BGP, EIGRP, IS-IS), IP Multicast, NAT, HSRP / VRRP, Ethernet, (Fast) Spanning Tree, VLAN (802.1Q), IPV6, LAN, WAN
QoS : Policy Routing, Queueing/Shapping, CoS : DiffServ
Ethernet, Frame Relay, MPLS, DNS, VPLS, DHCP, LDAP, SNMP
Sécurité : Expert Pare-feux (Cisco PIX et ASA, CheckPoint NG AI et NGX, IPfilter, Netfilter/IPtables), Nokia, PIX, VPN IPSEC PPTP, Certificats, architecture PKI, chiffrement, Serveur d’accès distant RAS, Detection de vulnérabilités (scanner, exploits) Reverse Proxy, et SSL (Cisco VPN Concentrator), Détection d'intrusion (Cisco IPS et Dragon Enterasys), connaissance approfondie des principaux outils de sécurité (nmap, NESSUS, Ettercap...), outils d'audit (IDEA, RISICARE), NetScreen (Juniper), Fortinet
systèmes d'authentification (Radius, Tacacs+, Secure ID, Kerberos, ...)
Langages : Unix Shell, Perl, Python, C
Wi-Fi / Sans fil : 802.11b (Wi-Fi), 802.11g / Sécurisation et encryption : 802.1x, EAP, 802.11i, WEP, WPA
Outils de supervision et administration : CiscoWorks et SNMP
Outils OpenSource : tcpdump, Wireshark (sniffers), ntop (reporting réseau) nmap (scanner), snort (IDS), nessus (scanner de vulnérabilité), Squid (proxy-cache), ipchains, iptables, netfilter (firewalls), openSSL (cryptographie), Apache, QMail, DJBDNS
Divers : Visio, VMWare, CVS, ZenOSS
Fonctionnelles
Formateur
Auditeur dans le domaine de la Sécurité des Systèmes d'Information - Analyse de risques à l'aide des méthodes MEHARI / OCTAVE - Connaissance des référentiels COBIT, ISO 17799, ITIL - Lois : Sarbanes Oxley, Bâle 2,
Conception de supports de cours Unix Solaris, LDAP et Cisco
Architecte systèmes et réseaux Unix
Architecte Sécurité et Réseaux Cisco et Check Point
Administration, supervision et exploitation systèmes / Etat de l’Art dans la sécurité.