Modélisation Hiérarchique du Réseau. F. Nolot

Transcription

1 Modélisation Hiérarchique du Réseau F. Nolot

2 Modélisation Hiérarchique du Réseau Pourquoi et comment hiérarchiser? F. Nolot

3 Construire un réseaux? Un réseau n'est pas la simple accumulation de switch et routeur! Il faut l'organiser, le hiérarchiser Pour simplifier son administration Pour isoler rapidement les problèmes Pour rendre modulable le réseau et pour pouvoir facilement l'agrandir Un réseau d'entreprise est donc découpé suivant un modèle en 3 couches Access Layer Distribution Layer Core Layer Chaque couche va avoir des fonctionnalités particulières F. Nolot

4 Access Layer F. Nolot

5 Distribution Layer F. Nolot

6 Rôle du la Distribution Layer De limiter les zones de broadcast Router les données entre VLAN Eviter certaines données de transiter vers certains VLAN F. Nolot

7 Core Layer C'est le backbone du réseau Doit transférer les données le plus rapidement possible Apporte la connexion à Internet ou aux autres réseaux de la société via un MAN ou WAN F. Nolot

8 Représentation physique Généralement, une salle de brassage par étage Serveur dans une salle spécialisée Tous les étages reliés au core layer F. Nolot

9 Avantages d'une architecture hiérarchique Scalabilité Pouvoir faire des agrandissements du réseau simplement Redondance Les services doivent être opérationnel 24/24 Exemple : pour la ToIP, on doit avoir une fiabilité de 99,999%, soit 5 min par an d'interruption de service. Fiabilité que nous avons en téléphonique classique Performance Eviter des goulots d'étranglement Sécurité Sécurisation des données et des accès au plus près de la source Administration simplifiée Maintenance facilité en raison de la modularité du réseau F. Nolot

10 Vocabulaire Diamètre : c'est la distance la plus grande des distances parmi le chemin le plus courte entre les 2 équipements F. Nolot

11 Vocabulaire Agrégation de liens : mise en commun de plusieurs liens reliant les mêmes équipements afin d'augmenter le débit entre ces 2 équipements Avec 2 liens 100 Mb/s entre 2 équipements, on peut alors créer une liaison 200 Mb/s F. Nolot

12 Vocabulaire Redondance F. Nolot

13 Hierarchical Network Model Introduction aux réseaux convergents F. Nolot

14 La convergence? Utiliser le réseau data pour la voix Ouverture vers de nouveaux usages Communication vocale + envoie de document sur un ordinateur Interconnexion du téléphone et de l'ordinateur Actuellement 3 réseaux La voix (le téléphone) La vidéo (vidéo-surveillance par exemple) Les données F. Nolot

15 Hierarchical Network Model Choisir les équipements? F. Nolot

16 Évaluation des besoins Pour faire le choix d'un équipement, vous avez besoin de connaître au moins : La destination des informations L'ensemble des utilisateurs concernés Les serveurs Les serveurs de stockage Analyse du trafic Charge CPU utilisé Taux de packet perdu Quantité de mémoire utilisée Temps moyen de traitement Les outils De très nombres outils existent Libre : Cacti, Nagios, Centreon,... Commerciaux : Solarwinds NetFlow, IBM Tivoli, CiscoWorks, HP Openview F. Nolot

17 Communautés d'utilisateurs Localisation des communautés d'utilisateurs pour regrouper leur connexion Assez souvent les utilisateurs ayant les mêmes rôles travaillent aux mêmes endroits Prévoir des agrandissements éventuels Connaître leurs usages pour placer au mieux les serveurs Modèle client-serveur : les clients envoient régulièrement leur donnée vers le serveur Modèle serveur à serveur : échange d'info, sauvegarde ou stockage Il faut donc optimiser les connexions des clients et des serveur sur les switchs afin d'«équilibrer» les bandes passantes F. Nolot

18 Les switchs existants Switches avec un nombre de ports fixe (24 ou 48 ports) Switches modulable, en chassis sur lesquel on peut ajouter des cartes de plusieurs de ports Stackable Switches : relie les switch entre-eux avec un câble spécial. Solution financièrement intermédiaire entre l'achat d'un switch à nombre de port fixe et le chassis F. Nolot

19 Les fonctionnalités Autres critères de choix : la densité, le débit ou l'agrégation des bandes passantes La densité : le nombre de port par switch : 24 ou 48 avec ou sans connecteur spécifique pour les uplink. Un chassis peut avoir jusque 1000 ports Le débit : quels doivent être les débits de chaque port : 100 Mb/s, 1 Gb/s ou plus? Un switch 48 ports à 1 Gb/s devra pouvoir gérer 48 Gb/s au total. En access layer, pas forcément besoin d'une tel bande passante car limitation sur l'uplink L'agrégation de liens : peut être une solution pour augmenter le débit entre 2 équipements F. Nolot

20 Et pour la convergence? Une fonctionnalité nouvelle : le PoE (Power Over Ethernet) Avec l'apparition des téléphones IP et des bornes sans fil, il est apparu le PoE pour pouvoir alimenter électriquement les équipements via le câble Ethernet F. Nolot

21 Fonctionnalités Couche 3 F. Nolot

22 Fonctions de l'access Layer F. Nolot

23 Fonction de la Distribution Layer F. Nolot

24 Fonctions du Core Layer F. Nolot

25 Conclusion Un réseaux doit donc être hiérarchisé Une étude des rôles et des usages des utilisateurs doit être faite Décider quels types de switchs il faut avoir : fixe, modulaire ou stackable Forte ou faible densité, quel débit par port, agrégation de liens envisagé ou pas? Besoin ou pas du PoE? F. Nolot

26 Concepts de la commutation, IOS et sécurité F. Nolot

27 Concepts de la commutation, IOS et sécurité Les réseaux Ethernet et F. Nolot

28 Fonctionnement CSMA/CD Sur réseau half-duplex, la technologie Carrier Sense Multiple Access/Collision Detect (CSMA/CD) est utilisée Les réseaux full-duplex n'utilisent pas cette technologie Carrier Sense Avant de transmettre, les devices du réseau doivent écouter avant de transmettre Si un signal est détecté, la transmission est mise en attente Pendant une transmission, le device continue à faire son écoute afin de savoir si une collision a lieu Multi-access Plusieurs devices utilisent le même média de communication. Une émission peut donc avoir lieu et pendant ce temps, comme le signal va mettre un certain temps à parcourir le média de communication, un autre device peut se mettre à faire une transmission Collision Detect Détection de collision (= sur-tension) permet de détecter un problème de transmission En cas de collision, tous les devices vont exécuter le backoff algorithm : arrêter leur transmission et attendre un temps aléatoire avant de recommencer, le temps que la collision disparaisse F. Nolot

29 Mode de communication Ethernet Sur un réseaux commuté, 3 modes de communication Unicast Un datagramme (ou trame) d'un émetteur à destination d'un unique device Broadcast Un datagramme d'un émetteur à destination de tous les devices connectés. Exemple d'utilisation : les requêtes ARP pour connaître l'adresse Ethernet d'un device qui répond à une adresse IP donnée Multicast Un datagramme d'un émetteur à destination d'un ensemble de devices qui forment un groupe logique. Exemple : diffusion d'un vidéo à quelques devices uniquement. F. Nolot

30 Format de la trame IEEE F. Nolot

31 L'adresse MAC F. Nolot

32 Half ou Full Duplex Half-Duplex Communication unidirectionnelle Forte probabilité de collision Mode de connectivité d'un hub Full Duplex Communication bidirectionnelle en point à point Très faible probabilité de collision Collision Detect est désactivé Les switchs peuvent, soit négocier le mode de duplex (fonctionnement par défaut), soit le fixer Il est également possible de faire du auto-mdix pour croiser ou décroiser automatiquement les connexions (reconnaissance automatique du type de câble) F. Nolot

33 Table Mac Apprentissage des adresses MAC source des trames qui passent Si une trame de broadcast arrive sur un switch, elle est retransmise sur tous ses ports, à l'exception du port de la source Si une trame dont la MAC de destination est connu par le switch, il envoie alors cette trame sur le port correspondant Sinon, il broadcast la trame sur tous ses ports, à l'exception du port source F. Nolot

34 Bande passante et débit Sur un réseau commuté, les collisions ne peuvent avoir lieu que sur le lien entre le switch et le device (connexion de type point à point) On parle de domaine de collision Un domaine de collision est la zone dans laquelle une collision peut avoir lieu. Sur un switch, nous avons un domaine de collision par port. Le switch réduit les domaines de collision Entre chaque device, nous avons donc la totalité de la bande passante disponible Sur un hub, la bande passante est divisée par le nombre de device de connecté dessus. F. Nolot

35 Domaine de broadcast C'est la zone dans laquelle va se propager une trame de broadcast Sur un switch, le broadcast est diffusé sur tous ses ports. Seul un device de couche 3 comme un router ou la mise en place de Virtual LAN (VLAN) peut arrêter une trame de broadcast F. Nolot

36 La latence C'est le temps d'acheminement d'une trame ou packet d'une source vers une destination La latence est induite par au moins 3 éléments La carte réseaux qui va transformer le signal numérique en signal électrique (ou optique) Le câble de transmission. Sur un câble Cat 5 UTP de 100m, il faut environ 0,556 micro secondes pour parcourir le câble Chaque device qui se trouve sur le chemin entre la source et la destination Chaque device va avoir induire une latence différente Un router doit analyser la trame jusque la couche 3, cela prend donc plus de temps Un switch fait son analyse uniquement sur la couche 2 et possède des ASIC (application-specific integrated circuits) pour fournir des temps de traitements plus court F. Nolot

37 La congestion Segmenter un réseau permet d'augmenter la bande passante entre les devices Sinon, nous obtenons des congestions (ou goulot d'étranglement) Les causes de ces congestions L'augmentation des vitesses des ordinateurs et cartes réseaux L'augmentation du volume d'informations que l'on envoie sur le réseau Les applications qui sont de plus en plus complexes et utilisent de plus en plus des technologies de collaboration ou des contenus dit riches (vidéo, animation,...) F. Nolot

38 Intérêt de la segmentation F. Nolot

39 Intérêt de la segmentation domaines de collision F. Nolot

40 Intérêt de la segmentation domaines de broadcast F. Nolot

41 Un réseau efficace Un switch 48 ports 1Gb/s doit avoir une bande passante internet de 96 Gb/s (Full-duplex) Suppression de goulot d'étranglement Soit 6 PC et un serveur avec des connexions 1 Gb/s F. Nolot

42 Concepts de la commutation, IOS et sécurité Le fonctionnement des switchs F. Nolot

43 Mode de commutation 2 variantes dans le cut-through Fast-fordwarding : regarde que la MAC destination Fragment-free :sotckage des 64 premiers octets avant transmission car il s'avère que la plupart des erreurs de transmission ont lieu pendant la trasmission de ces 64 premier bits F. Nolot

44 La gestion mémoire F. Nolot

45 Switching niveau 2 et 3? F. Nolot

46 Concepts de la commutation, IOS et sécurité Les bases de l'ios F. Nolot

47 Le modes en résumé F. Nolot

48 Configuration de base Cable console entre l'équipement et le PC Configuration de votre outil de communication série 9600 bit/s, data bits 8, Parity None, Stop bits 1 On parle généralement du config en 9600,8,N,1 F. Nolot

49 Configuration de base F. Nolot

50 Configuration de base F. Nolot

51 Configuration de base F. Nolot

52 Vérification d'une configuration F. Nolot

53 Configuration de l'interface Web F. Nolot

54 Backup de configuration Également possible de faire des sauvegarde (ou restauration) via TFTP F. Nolot

55 Concepts de la commutation, IOS et sécurité La sécurisation d'un switch F. Nolot

56 Mot de passe sur la console F. Nolot

57 Mot de passe sur les connexions Virtuelles Cela correspond au connexion telnet F. Nolot

58 Sécurisation du mode enable Enable password : mot de passe stocké en clair dans le fichier running-config Si le service password-encryption n'est pas activé Enable secret : mot de passe stocké de façon crypté dans le fichier running-config F. Nolot

59 Restauration du mot de passe enable Sur un switch 2960 Connexion au port console et éteindre le switch Rebrancher le switch et rester appuyer sur le bouton Mode jusqu'à ce que le System LED soit orange puis vert fixe (et plus de clignotement) Taper : flash_init load_helper Renommer ou supprimer le fichier flash:config.text ou startup-config Boot Suivant les modèles la procédure peut changer mais le principe reste toujours le même : supprimer ou renommer le fichier de configuration lu au démarrage et donc stocké dans la flash F. Nolot

60 Banner et MOTD Pour afficher un message à chaque personne qui se connecter sur l'équipement banner login "..." Pour afficher un Message Of The Day (MOTD) (afficher avant le banner login) Banner motd " " F. Nolot

61 Access telnet et ssh Telnet : transmission en clair SSH : création d'un tunnel crypté entre la source et la destination Sur les line vty transport input telnet Ou transport input ssh Ou transport input all Pour activer l'accès ssh, il faut en plus faire hostname... ip domain-name... Crypto key generate rsa ip ssh version 2 Attention : pour pouvoir utiliser ssh version 2, il faudra générer une clé RSA >= 768 bits. Par défaut, les clés sont de 512 bits. Recommandé de choisir des clés multiple de F. Nolot

62 MAC Flooding? Une attaque classique sur les switchs : saturation de sa table MAC Quand le switch ne connait pas la MAC destination, il fait du broadcast Quand la table MAC est pleine, le switch va donc faire du broadcast pour chaque trame F. Nolot

63 Attaque type spoofing C'est de l'usurpation d'identité Peut-être fait avec un serveur DHCP non légitime sur le réseau Ainsi, on connait parfaitement l'ip et la passerelle que l'on attribue à un client Désactivation du serveur DHCP légitime en lui demandant toutes les IP possibles et on lui fait croire qu'elles sont toutes utilisées Solution : DHCP Snooping Configurable sur les switchs On définit les ports légitimes aux réponses des DHCP Request Configuration ip dhcp snooping ip dhcp snooping vlan number Sur le port légitime ou illégitime : ip dhcp snooping trust F. Nolot

64 Autres attaques classiques Récupération d'informations via CDP Découverte des versions de l'ios et autres informations via CDP car protocole de couche 2 et information en clair Conseil : désactiver CDP Telnet Attaque par brute force et protocole non sécurisé Conseil : utiliser à la place de telnet plutôt ssh Recommandation générale : vérifier et tester régulièrement la sécurité de votre réseau et des accès à vos équipements F. Nolot

65 Sécuriser l'accès aux ports Pour éviter que n'importe qui se connecte sur les port d'un switch, il est possible de faire un contrôle sur les adresses MAC des machines connectées sur chaque port Pour activer cette sécurité sur l'interface concernée : Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Définition des adresses MAC autorisées sur un port Adresse MAC fixée Switch(config-if)# switchport port-security mac-address Ou apprentissage de l'adresse MAC (source) de la première trame qui traversera le ports Switch(config-if)# switchport port-security mac-address sticky Après apprentissage, l'adresse sera dans le running-config comme une adresse fixée Par défaut, une seule adresse MAC est autorisée par port. Pour changer ce nombre Switch(config-if)# switchport port-security maximum nombre F. Nolot

66 Politique de sécurité Plusieurs politiques de sécurité peuvent être envisagées en cas de violation Soit on bloque définitivement le port lors d'une usurpation d'adresse MAC Switch(config-if)# switchport port-security violation shutdown Soit on bloque toutes les trames avec des adresses MAC inconnus et on laisse passer les autres Switch(config-if)# switchport port-security violation protect Soit un message dans le syslog et via SNMP sont envoyés. De plus le compteur du nombre de violation est incrémenté. Switch(config-if)# switchport port-security violation restrict Pour réactiver un port désactivé automatiquement, suite à un problème de sécurité faire un shutdown suivi d'un no shutdown Recommandation : désactiver manuellement tous les ports non utilisés F. Nolot

67 Information sur MAC et l'état d'un port Pour visualiser la politique de sécurité d'une interface Switch# show port-security interface... Pour visualiser les adresses MAC connues sur les ports Switch# show port-security address Switch#show port-security interface FastEthernet 0/4 Port Security : Enabled Port Status : Secure-up Violation Mode : Restrict Aging Time : 1 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address : Security Violation Count : 0 Switch# 00:02:35: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 02e0.4c39.37dd on port FastEthernet 0/4 F. Nolot

68 Résumé du port Security F. Nolot

69 Concepts de la commutation, IOS et sécurité Questions? F. Nolot