Einstein a dit que vous ne maîtrisez pas un sujet tant que vous ne pouvez pas l’expliquer à un enfant de 6 ans. Défi relevé ! En bref, Zero Touch Provisioning (ZTP) installe ou met à jour le logiciel sur vos nouveaux appareils sans que vous n’ayez à faire quoi que ce soit.
Plus sérieusement, à travers cet article nous parcourrons ensemble ce qu’est exactement le ZTP, ses cas d’usages, ses avantages et inconvénients, et bien sûr les étapes du processus ZTP ainsi qu’une partie sécurité.
C’est parti !
📖 Définition
Le Zero Touch Provisioning permet d’approvisionner automatiquement de nouveaux appareils dans votre réseau avec très peu d’interactions manuelles.
Lorsque vous connectez physiquement un appareil au réseau et que vous le démarrez avec la configuration d’usine par défaut, il met à jour (ou rétrograde) la version du logiciel et installe un fichier de configuration à partir du réseau.
L’équipement utilise les informations d’un serveur DHCP (Dynamic Host Configuration Protocol) pour localiser l’image logicielle et les fichiers de configuration appropriés sur le réseau.
Si le serveur DHCP n’est pas configuré pour fournir ces informations, l’appareil se lance avec le logiciel pré-installé et les paramètres d’usine.
💡 Les cas d’usage
Le ZTP automatise des étapes telles que la mise à jour des systèmes d’exploitation, le déploiement de correctifs ou de corrections de bogues et la mise en œuvre de fonctionnalités supplémentaires avant la connexion.
L’automatisation est particulièrement utile dans les grands environnements avec de nombreux appareils à mettre à jour ou à configurer. Par exemple, il est plus efficace d’utiliser ZTP pour configurer des centaines de routeurs que de configurer manuellement chacun d’eux.
De plus, si chacun de ces routeurs doit être mis à jour, alors ZTP serait l’option la plus efficace.
✅ Les avantages du ZTP
La configuration manuelle est laborieuse, sujette aux erreurs, coûteuse et chronophage.
Une personne ayant des compétences de configuration de base et un ordinateur portable doit se rendre sur place et configurer l’appareil pour un fonctionnement de base avant que nous puissions terminer la configuration à partir du système de gestion central.
Dans certains cas, l’équipe réseaux doit d’abord envoyer l’équipement à un emplacement dédié où il est configuré avant d’être envoyé à l’emplacement final pour l’installation. Coûteux car il nécessite d’expédier l’appareil deux fois, ce qui peut impliquer de passer deux fois par la douane. Sans parler des risques liés aux transports.
Avec ZTP, un appareil peut être expédié directement de n’importe quel entrepôt à l’emplacement final et installé dès son arrivée, étant opérationnel quelques minutes après l’installation. Cela réduit considérablement les délais, le nombre d’heures passées sur une installation et le nombre d’erreurs de configuration. Ce sont des avantages potentiellement énormes lorsque vous avez de nombreux sites sans personnel informatique ou de nouveaux sites ouverts fréquemment, tels que des magasins (éphémères) ou des bureaux temporaires. ZTP est également utile pour toute configuration de type bureau à domicile.
Le ZTP automatise complètement la configuration des périphériques réseau, ce qui en résumé, présente plusieurs avantages :
- Il raccourcit le temps nécessaire pour les mettre en service.
- Il élimine les erreurs humaines qui se produisent à cause de la saisie répétitive à l’interface de ligne de commande.
- Il permet d’économiser du temps et de l’argent en permettant au client d’activer l’équipement sans avoir à se déplacer chez lui.
- Il simplifie le processus de mise à niveau de l’équipement.
- En cas de problèmes techniques, réinitialiser un appareil avec ZTP est une solution simple et rapide.
- Aucune nécessité de personnel qualifié pour mettre en service l’équipement.
❌ Les inconvénients du ZTP
Automatiser son SI c’est bien, mais encore faut-il éviter certains pièges.
Il y a deux inconvénients potentiels au ZTP qu’il faut prendre en compte :
- Mauvaise configuration : Si les fichiers de configuration ne sont pas testés de manière approfondie avant d’être déployés, des problèmes de configuration peuvent survenir. De plus, si ZTP est utilisé pour configurer de nombreux appareils, il est possible qu’un grand nombre de problèmes de mauvaise configuration surviennent. Cette situation peut entraîner des failles de sécurité qui pourraient permettre de compromettre les appareils connectés.
- La sécurité suscite des inquiétudes. Avec ZTP, un haut niveau de sécurité est requis. Les appareils distants sont peut-être moins protégés que les autres appareils, mais ils ont le même accès au réseau et aux données que les autres appareils. Un attaquant qui compromet un appareil peut être capable d’employer une attaque de type “man-in-the-middle” pour prendre le contrôle d’un appareil distant.
⚙️ Les étapes du processus ZTP
La première chose dont un appareil a besoin pour communiquer est une adresse IP.
Heureusement, le protocole DHCP (Dynamic Host Configuration Protocol) est omniprésent de nos jours, ce qui aide au déploiement ZTP dans les premières étapes (Ex. Proof of Concept). DHCP fournira également l’adressage IP, le nom de domaine local et l’emplacement d’un serveur DNS.
La seconde chose dont vous aurez besoin est le numéro de série de chaque équipement qui sera installé sur votre réseau. Cette information peut être récupérée sur les cartons des équipements à la livraison.
Workflow ZTP :
Les événements suivants se produisent lorsqu’un appareil démarre avec la configuration par défaut :
- Le client DHCP est utilisé sur les interfaces qui sont prises en charge.
- En réponse à la procédure ZTP, le serveur DHCP attribue une adresse IP et fournit de nombreuses options DHCP.
- L’équipement recherche les options DHCP, localise les fichiers de configuration, exécute des scripts et met à jour ou rétrograde le logiciel.
- L’image est installée et la configuration est appliquée si les fichiers d’image et de configuration sont tous deux présents.
- L’image est installée sur l’équipement si seul le fichier image est fourni.
- ZTP continue et saute la phase d’installation si l’image est la même que celle précédemment installée sur l’équipement.
- Si l’équipement n’a pas pu récupérer l’image, ZTP tente à nouveau de récupérer l’image. L’installation échoue si l’image est corrompue. ZTP redémarre si l’installation échoue pour une raison quelconque.
- La configuration est téléchargée si seul le fichier de configuration est présent.
- Si la première ligne du fichier contient le shebang (les caractères # ! suivis d’un chemin d’accès à l’interpréteur), le fichier est considéré comme un script et l’interpréteur exécute le script.
- Si le script renvoie une erreur, l’automate ZTP le télécharge à nouveau et essaie de l’exécuter à nouveau. Le processus ZTP essaiera à nouveau de télécharger le fichier de configuration s’il n’est pas disponible.
- Si le fichier de configuration est malformé, comporte des erreurs de syntaxe ou contient des commandes que l’appareil ne prend pas en charge, il ne pourra pas s’engager et le mécanisme de réessai redémarrera. Le processus ZTP redémarre s’il n’y a pas d’image ou de fichier de configuration.
- Si aucune information sur le serveur de fichiers n’est trouvée, la procédure ZTP redémarre.
- Lorsque la configuration est validée, la procédure ZTP est terminée.
🔒 Sécurité avec le ZTP
Il est important d’authentifier l’appareil et de s’assurer de sa connexion au domaine de gestion approprié.
Ce serait un peu gênant si un mauvais numéro de série était enregistré et que votre appareil était maintenant utilisé par une autre personne (malveillante). Un appareil perdu (ou volé) ne devrait pas non plus être automatiquement accepté dans votre réseau.
Imaginez votre routeur SD-WAN entre les mains d’un attaquant qui le connecte à Internet et obtient automatiquement un accès direct à votre réseau interne.
Tout service basé sur le cloud doit également être sécurisé pour empêcher tierces personnes de connecter leurs appareils sur votre réseau ou d’en prendre le contrôle.
Que ce soit sur le LAN ou le WAN l’objectif est le même : déballer l’équipement du carton, le brancher et lui permettre de récupérer image et configuration sans aucune action manuelle… Si l’on cherche à se simplifier la vie, on ne veut pas que cela soit au détriment de la sécurité.
Une possibilité serait d’installer un certificat unique sur chaque équipement lors de sa fabrication
Le certificat serait alors vérifié par le serveur DHCP.
🌐 En résumé
ZTP est de plus en plus pris en charge car les constructeurs réalisent que leurs équipements peuvent désormais être installés n’importe où et que l’installation est un facteur de coût majeur.
Je vous conseille de jeter un coup d’œil à ZTP si vous installez fréquemment des appareils dans des endroits éloignés sans passer par des experts réseaux coûteux.
Testez un « ZTP maison » et ainsi voir si le ZTP peut être facilement implémenté à grande échelle dans votre environnement. Il suffit d’un serveur DHCP, d’un serveur pour héberger images et script et d’un équipement à configurer.
Les implémentations ZTP diffèrent considérablement d’un fournisseur à l’autre et toutes ne sont pas vraiment du ZTP. Il peut y avoir certaines exigences de base qui doivent être remplies pour que ZTP fonctionne, comme DHCP et d’autres qui dépendent du DNS et de l’accès à Internet.
Assurez-vous également qu’une fonction ZTP ne peut pas être utilisée comme opportunité d’attaque sur votre réseau.
Arnaud Weiss, Consultant Réseau & Automatisation Cloud