DMZ... as Architecture des Systèmes d Information

Dimension: px

Commencer à balayer dès la page:

Download "DMZ... as Architecture des Systèmes d Information"

Hervé Bernier
il y a 8 ans
Total affichages :

1 ASI... Le réseau à l INSA de Rouen Sébtien Bonnegent 9 décembre 2010 INSA de Rouen - rev / 25INSA de Rouen - rev / 25 ASI... DMZ... le département ASI 6 vlans réseaux sur 2 bâtiments 5 serveurs physiques pour 50 serveurs virtuels 3 DMZ DeMilitarized Zone : une zone particulière dédiée aux serveurs sous contrôle (toutes les entrées / sorties sont identifiées) accés restreint pour les utilisateurs (hors DMZ de test) Importance du parefeu une bonne politique : le drop par défaut vision simplifiée des règles (fwbuilder) INSA de Rouen - rev / 25INSA de Rouen - rev / 25

particulière dédiée aux serveurs sous contrôle (toutes les entrées / sorties sont identifiées) accés restreint pour les utilisateurs (hors DMZ de

2 Backbone... Backbone... 4 bâtiments plusieurs centaines de VLANs plusieurs baies de brsage interconnectées en FO 100 Mbit/s en sortie par département connexion en 1Gbit/s entre sous-répartiteurs connexion en 10Gbit/s entre répartiteurs réseau VoIP INSA de Rouen - rev / 25INSA de Rouen - rev / 25 Backbone... SYRHANO... SYstème Réseau de HAute NOrmandie créé en 1993 débits de quelques kbits à 2Gbit/s liaisons fibres optiques / xdsl maillage quand cela est possible boucle locale en fibre optique (InterCampus) permet la liaison avec GCCD au Havre INSA de Rouen - rev / 25INSA de Rouen - rev / 25

sous-répartiteurs connexion en 10Gbit/s entre répartiteurs réseau VoIP INSA de Rouen - rev. 40 5 / 25INSA de Rouen - rev. 40 6 / 25 Backbone... SYRHANO.

SYRHANO... SYRHANO... INSA de Rouen - rev. 40 9 / 25INSA de Rouen - rev. 40 10 / 25 RENATER.

.. créé en 1992 plus de 1000 établissements reliés maillage complet avec des liaisons à 10 Gbps techniques

3 SYRHANO... SYRHANO... INSA de Rouen - rev / 25INSA de Rouen - rev / 25 RENATER... RENATER... créé en 1992 plus de 1000 établissements reliés maillage complet avec des liaisons à 10 Gbps techniques avancées de routage liaisons en fibres optiques permet la liaison avec Vikman pour l UNR (100 vlans) INSA de Rouen - rev / 25INSA de Rouen - rev / 25

4 Infrtructure regroupe les départements ASI/EP/Meca/CFI/STPI 1500 utilisateurs plus de 200 postes sous Ubuntu et Windows 15 salles de TP 1 serveur de fichiers 1 réplicat ldap 1 serveur d image accès à distance INSA de Rouen - rev / 25INSA de Rouen - rev / 25 Serveur de fichiers permet l accès aux mêmes données à partir de Linux à partir de Windows quelque soit la salle de TP (hors restriction) 3To par mois /home de 2To Serveur d image 100 postes clients Ubuntu à mettre à jour temps limité débit limité gestion de plusieurs images différentes utilisation de briques simples (rsync/ssh/pxe/tftp) INSA de Rouen - rev / 25INSA de Rouen - rev / 25

40 14 / 25 Serveur de fichiers permet l accès aux mêmes données à partir de Linux à partir de Windows quelque soit la salle de TP (hors restriction) 3To par mois /home

5 Authentification... Serveur de log centralisation des logs simplifie les règles de conservation simplifie la recherche des problèmes Serveur ldap Lightweight Directory Access Protocol développer en 1993 par l université du Michigan be de donnée hiérarchique permet d avoir un seul mot de pse pour l utilisateur contrepartie : ce mot de pse est critique INSA de Rouen - rev / 25INSA de Rouen - rev / 25 Authentification... CAS... Authentification Central Authentication Service système d authentification unique (SSO) a développé par l Université de Yale évite de s authentifier à plusieurs reprises destiné aux applications Web a. https ://secure.wikimedia.org/wikipedia/fr/wiki/central Authentication Service Futur utilisation du module pam c utilisation de kerberos INSA de Rouen - rev / 25INSA de Rouen - rev / 25

université du Michigan be de donnée hiérarchique permet d avoir un seul mot de pse pour l utilisateur contrepartie : ce mot de pse est critique INSA de Rouen - rev. 40 17 / 25INSA de Rouen - rev.

6 CAS... CAS... Fonctionnement TGC : Ticket-Granting Cookie cookie de session transmis par le CAS au moment du login cookie lu/écrit seulement par le CAS (https) si cookie non supporté : authentification à chaque appel au serveur 1 requête initiale : redirection vers la page de login CAS 2 authentification : si auth ok et cookie alors TGC positionné 3 retour à moodle avec le ST fourni 4 validation : moodle valide le ST auprès du serveur CAS ST : Service Ticket sert à authentifier un utilisateur sur un service web ticket à usage unique par couple utilisateur/service en retour moodle reçoit l identifiant de l utilisateur INSA de Rouen - rev / 25INSA de Rouen - rev / 25 Virtualisation... Virtualisation... Constat serveurs sous exploités place limitée dans les salles dimensionnement électrique / climatisation Infrtructure idéale Intérêts moins de serveurs physiques pour le même nombre de services meilleur utilisation des serveurs physiques meilleur sécurité (un service = un serveur virtuel) maintenance simplifiée possibilité de haute disponibilité INSA de Rouen - rev / 25INSA de Rouen - rev / 25

appel au serveur http://www.esup-portail.

7 Des questions?... visite de la salle serveur... INSA de Rouen - rev / 25

Documents pareils

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS 111 L authentification CAS : «Central Authentication Service» CAS ou le service central d authentification Le système CAS, développé