Les réseaux des EPLEFPA. Architectures & Recommandations

Transcription

1 Architectures & Recommandations Chantier national DRTIC Décembre 2009

2 Architecture des réseaux en EPLEFPA

3

4 Table des matières 1 Préambule Objectifs Limites Structures des EPLEFPA Infrastructure physique des réseaux Locaux techniques Technologies câblées Technologies sans fil Recommandations Éléments actifs Les hubs Switch ou commutateur Les ponts Les routeurs Les équipements «Box» ou «triple play» Les éléments actifs Wifi Recommandations Infrastructure logique des réseaux Protocoles réseaux Adressage IP Introduction à IPV Segmentation Les Vlan ou réseaux virtuels Recommandations Interconnexion des réseaux de l EPL MAN/WAN RPV/VPN Technologies VPN Les différentes solutions VPN Recommandations Sécurité des réseaux Notions de sécurité informatique Authentification Recommandations Firewall Recommandations Filtrage Internet Recommandations Sécuriser les accès nomades au réseau local Recommandations Surveillance & Analyse réseau Recommandations Sites de références Site du réseau Sites des distributions...78

5

6 5 1 Préambule L architecture des réseaux en EPLEFPA constitue un domaine de réflexion de la première importance qui conditionne les usages et la qualité de service du système d information qui se caractérise principalement par : des informations variées appartenant généralement à deux grands domaines : les données administratives au caractère parfois confidentiel et les données pédagogiques. de nombreuses familles d usagers : administratifs, enseignants, apprenant de la formation initiale ou continue, titulaires ou vacataires, parents d élèves, institutionnels etc. Les groupes d utilisateurs sont donc très hétérogènes, difficulté à laquelle s ajoute la présence d élèves et d apprentis mineurs. Une ouverture importante vers de nombreux interlocuteurs institutionnels dont au premier lieu le Ministère de l'agriculture, de l Alimentation et de la Pêche mais également les Conseils Régionaux, le Ministère des Finances, le Ministère de l Éducation Nationale, etc. L importance prise par le système d information de l EPL, son ouverture, la complexité croissante des réseaux ont fait émerger la nécessité de rédiger un guide à destination des établissements. 1.1 Objectifs Le premier objectif de ce guide est d aborder tous les aspects d un réseau local en réalisant un état de l art qui permettra aux membres de la commission TIM de l établissement de comprendre les éléments théoriques de base nécessaires à une prise de décision. Le second objectif est d établir des recommandations à l attention des EPLEFPA. Chaque domaine, abordé sous forme d un chapitre, sera conclu par des recommandations permettant de rendre ce guide plus opérationnel. Ce document pourra également servir de document de référence dans les discussions avec leurs partenaires et plus particulièrement les Conseils Régionaux en tant que propriétaires des infrastructures. Ce guide est le résultat d un groupe de travail DRTIC dont l expérience en matière d architecture réseaux est diverse. Sur la base des technologies actuelles et d observations effectuées dans les EPL de différentes régions, il devrait donc permettre de : Éclairer des choix : permettre à l utilisateur de faire le tour des solutions techniques existantes afin d effectuer des choix en toute connaissance de cause. Établir des recommandations : celles formulées dans ce guide n ont pas de valeurs impératives mais constituent des orientations retenues parce qu éprouvées dans les établissements, cohérent avec le Système d Information de l Enseignement Agricole et respectant la Politique de Sécurité des Systèmes d Information du MAAP. Limiter les coûts : La vocation de ce document est aussi de permettre la mise en place de solutions avec des coûts limités. Elles sont donc souvent issues du monde du logiciel libre.

7 6 1.2 Limites Ce guide n a pas vocation à être exhaustif ni à apporter une solution à tous les problèmes, mais à assurer un minimum d appui technique à la prise de décision dans une structure de type EPLEFPA. Le secteur des TIC évolue rapidement et conduit à une obsolescence plus ou moins rapide des documents imprimés. Une version électronique sera tenue à jour régulièrement et publiée sur le portail des TICEs initié par le réseau des DRTIC : Elle sera complétée régulièrement par des fiches techniques permettant la mise en œuvre des recommandations faites dans ce guide Politiques des Régions Les Conseils Régionaux ont la responsabilité des infrastructures des établissements et assurent le financement des équipements. A ce titre, ils sont des partenaires incontournables dans le domaine de l architecture des réseaux. Certaines Régions possèdent déjà des schémas directeurs dans ce domaine ou sont porteurs de projets qui ont des répercussions directes sur l architecture des réseaux. Il peut s agir, par exemple, du déploiement d un Environnement Numérique de Travail, du choix d un Fournisseur d Accès à Internet, d une solution de sécurité, etc. Il convient donc de préciser que les préconisations de ce guide sont à adapter au contexte régional Autonomie des EPLEFPA Le conseil d administration d un EPLEFPA a toute latitude pour conduire un projet d infrastructure de son réseau. Dans ce cas, ce guide doit lui permettre de prendre des orientations cohérentes avec les orientations nationales du Ministère tout en ne perdant pas de vue son contexte régional. 1.3 Structures des EPLEFPA La constitution des établissements est généralement la suivante : Le siège de l établissement est le Lycée d Enseignement Général et Technologique Agricole (LEGTA) ou le Lycée Professionnel Agricole (LPA) le plus important. Il comprend plusieurs centres constitutifs qui peuvent être, outre le lycée siège, un ou plusieurs autres lycées, un ou plusieurs Centres de Formations Professionnelle et de Promotion Agricole (CFPPA), un ou plusieurs Centres de Formation d Apprentis (CFA) et une ou plusieurs exploitations agricoles ou ateliers technologiques. Les centres constitutifs d un EPLEFPA peuvent êtres situés géographiquement sur un seul site ou réparti sur plusieurs dans un même département. Il existe une grande hétérogénéité dans la taille des établissements dont le plus petit est constitué d un LPA d une centaine élèves, et le plus important de 3 lycées, 2 CFA, 2 CFPPA, 2 exploitations agricoles, et. 2 ateliers technologiques. La taille d un EPLEFPA, le nombre de ses centres constitutifs, leur importance, leur public ainsi que leur répartition géographique ainsi que leurs répartitions géographiques impactent directement l infrastructure de son réseau et influent sur ses besoins en terme de sécurité des systèmes d informations. Les trois chapitres suivants présentent les principaux types d infrastructures des réseaux des EPLEFPA en fonctions de leurs principales typologies.

8 EPLEFPA mono-site mono-réseau C est le cas le plus simple en terme d infrastructure et d administration du réseau. Cette typologie d établissement tend à disparaître.

9 EPLEFPA mono-site multi-réseaux : Cette typologie d établissement tend à se développer sur les établissements mono-site et multi-centre afin de mieux sécuriser le réseau et de répondre de façon plus efficace aux exigences de la politique de sécurité des systèmes d information du Ministère.

10 EPLEFPA multi-sites multi-réseaux <Cette typologie tend à se développer de façon importante sous l impulsion d une politique ministérielle visant à regrouper les établissements d enseignement agricole au sein de structures d EPLEFPA départementaux. Elle fait appel à des techniques complexes de gestion et de sécurisation des réseaux qui impliquent la présence d équipes locales compétentes.

11 10 2 Infrastructure physique des réseaux 2.1 Locaux techniques Salles serveurs La salle serveur est le cœur du système d information. Elle est indispensable au sein d un établissement et doit être strictement réservée à cet usage. Sa conception fait appel à de nombreux savoir-faire et se caractérise par un environnement multi-technique (électricité, climatisation, incendie, contrôle d accès, report des alarmes, procédures, ). C est pourquoi un soin très particulier doit être apporté dans sa mise en œuvre. Alimentation électrique Bien que le courant fourni s avère généralement de bonne qualité, les équipements informatiques demeurent néanmoins sensibles à diverses perturbations électriques (sautes de tension, surcharge, courant de fuite, ). Il est fortement recommandé de fiabiliser ces alimentations par des équipements assurant une alimentation électrique stabilisée, filtrée et continue afin d éliminer la plupart des anomalies du réseau souvent à l origine des pannes, incidents, voir arrêt total de la production informatique.. Aussi il est important de penser à : fournir une alimentation électrique indépendante à la salle serveur (directement à l arrivée EDF), équiper la salle ou à défaut chaque serveur d un onduleur. fournir si possible aux postes utilisateurs une alimentation indépendante du courant domestique. Vérifier les branchements individuels régulièrement (radiateurs, cafetières, multiprises ). Informer les usagers des risques pour leurs propres fichiers. Les onduleurs il fournit un courant de rechange en cas de coupure grâce à ses batteries. La durée du secours est bien sûr proportionnelle à la taille de ses batteries et inversement proportionnelle à la consommation des appareils qui lui sont attribués (de quelques minutes à quelques heures). il régule le courant (sous-tension, surtension, mais aussi écarts de fréquence ). Tous les onduleurs ne sont pas aussi performants. Un gros onduleur utilisé pour plusieurs machines est généralement plus performant que plusieurs petits pour un même coût. lorsque la coupure se prolonge plus de quelques minutes, il peut ordonner aux serveurs de fermer proprement tous leurs services, évitant ainsi des pertes de données. L onduleur comme ses batteries doit être minutieusement et régulièrement vérifié. Beaucoup d onduleurs sont maintenant accessibles par le réseau et peuvent être contrôlés régulièrement depuis une console d administration, il faut donc vérifier que les dispositions nécessaires ont été prises. Climatisation La climatisation est un élément fondamental de la sécurité des systèmes d information. Les serveurs sont conçus pour fonctionner dans une plage de températures dite «ambiance de bureau». Au delà, soit ils.s arrêtent, soit ils risquent la panne grave. La fourniture de climatisation doit assurer le refroidissement des configurations informatiques hébergées 24 h sur 24. Toute panne sur la chaîne climatique peut provoquer une hausse de température très rapide qui peut s avérer fatale pour certains composants sensibles. il est donc très important que les salles soient correctement équipées de climatiseur de puissance suffisante. En cas d arrêt de la climatisation la température augmente rapidement. Il peut donc s avérer nécessaire qu elles soient équipées de systèmes d alerte (thermostat indépendant) et de procédures et contrats de maintenances associés.

12 11 L incendie La protection contre le risque incendie est partie intégrante de l environnement des salles informatiques. Un court-circuit dans un passage de câbles et un incendie risque de détruire en quelques instants la salle machine.. Il faut prendre en compte que ce lieu reste généralement à l abri des allers et venues ce qui permet le développement discret d un incendie.. La lutte contre l incendie comporte trois volets : la prévention, la détection, l extinction. Parmi les points sensibles, on retrouve : la sensibilisation, la formation et les exercices, le contrôle régulier des équipements de détection et de lutte, les reports d alarmes, les procédures Les accès Un autre point sensible de l environnement des salles informatiques est la gestion des flux humains. Les entrées et sorties dans une salle informatique et dans les locaux techniques doivent être strictement limitées aux personnels habilités. Ce flux plus ou moins permanent est à considérer comme source potentielle de dysfonctionnements, qu ils soient volontaires ou involontaires. Toute autre forme d accès doit se faire sous la responsabilité et en présence d un agent habilité. Il convient d informer tous les intervenants potentiels du caractère sensible des zones dans lesquelles ils sont amenés à intervenir. Les précautions de sécurité regrouper le matériel le plus sensible dans les zones les mieux protégées, ces locaux doivent être isolés des réseaux de servitudes. (eau, électricité, ascenseurs ), sortir les supports de sauvegarde des locaux, si possible du bâtiment, contrôler l accès par des systèmes à clé, cartes, digicodes, faciles à utiliser et maintenus opérationnels. Bilan des points de vigilance sécurité du bâtiment sécurité d accès sécurité intrusion sécurité incendie sécurité électrique sécurité climatique Locaux techniques Les locaux techniques constituent les nœuds secondaires du réseau informatique en assurant les connexions des équipements terminaux d un ou plusieurs étages. Ils hébergent les baies de brassage, les équipements actifs du réseau et parfois les sous répartiteurs téléphoniques. Les baies de brassage contiennent l arrivée de toutes les prises informatiques de la zone desservie ainsi que les hubs (concentrateurs) ou switchs (commutateurs) sur lesquelles elles sont connectées. Elles sont reliées entre elles ainsi qu à la salle serveur par des rocades. Ces locaux sont donc des éléments essentiels du réseau local et représentent un point de vulnérabilité significatif. Au même titre que la salle serveur, ils doivent faire l objet d une attention particulière sur certains points. Les recommandations édictées précédemment pour la salle serveur s appliquent de la même manière aux locaux techniques dans les domaines de l alimentation électrique, des onduleurs et du contrôle des accès.

13 Technologies câblées Ethernet Pour relier les diverses entités d un réseau, plusieurs supports physiques de transmission de données peuvent être utilisés. La plus répandue de ces possibilités est l utilisation de câbles. Il existe de nombreux types de câbles, mais on distingue généralement : l le câble coaxial, l les paires torsadées, l llla fibre optique Le câble coaxial Le câble coaxial a longtemps été le câblage de prédilection, pour la simple raison qu il est peu coûteux et facilement manipulable (poids, flexibilité, ). Il est aujourd hui en voie de disparition. Il en existe principalement deux types : Câblage 10Base2 - coaxial Ethernet fin C est un câble coaxial fin (diamètre 6 mm) et flexible, d une impédance de 50 W blindé. Les stations sont connectées suivant une topologie en bus grâce à un connecteur en T appelé BNC. La longueur maximale du segment est de 185 m et permet de connecter 30 stations avec une bande passante de 10 Mbps. Câblage 10Base5 - coaxial Ethernet épais ou "jaune" C est un câble coaxial épais (diamètre 12 mm) et peu flexible, d une impédance de 50 W. Les stations ou les concentrateurs (hubs) se connectent suivant une topologie bus, par l intermédiaire d un «transceiver» et d un câble de descente. La longueur maximale d un tronçon est de 500 m et sa bande passante 10 Mbps Il était donc employé très souvent comme câble principal (backbone) pour relier des petits réseaux dont les ordinateurs sont connectés avec du 10Base Le câble paires torsadées La paire torsadée est adaptée à la mise en réseau local d un parc sur une distance réduite (<100 m) avec un budget limité et une connectique simple. Il constitue aujourd hui la très grande majorité des réseaux locaux. Dans sa forme la plus simple, le câble à paire torsadée (en anglais Twisted-pair cable) est constitué de brins de cuivre entrelacés en torsade et recouverts d isolants. Un câble est souvent fabriqué à partir de plusieurs paires torsadées regroupées et placées à l intérieur de la gaine protectrice. L entrelacement permet de supprimer les bruits (interférences électriques) dus aux paires adjacentes ou autres sources (moteurs, relais, courants forts). Les câbles à paires torsadées sont souvent blindés afin de limiter les interférences. Le blindage peut être appliqué individuellement aux paires ou à l ensemble des paires. Dans ce dernier cas on parle d écrantage. Suivant le blindage, il existe différents types de paires torsadées : paire torsadée non blindée (UTP Unshielded Twisted Pair) : câble sans blindage protecteur, paire torsadée écrantée (FTP Foiled Twisted Pair) : câble où les paires torsadées ont un blindage général assuré par un écran (feuille d aluminium) disposé entre les paires et la gaine extérieure, paire torsadée écrantée et blindée (SFTP Shielded and Foiled Twisted Pair) : câble ayant un double écran (feuille métallisée et tresse) autour des paires, paire torsadée blindée et générale blindée (SSTP Shielded and Shielded Twisted Pair) : câble où chaque paire est blindée et il y a en plus un écran entre les 4 paires et la gaine extérieure. Ces différents types de câbles ont une impédance de 100 ou 120 ohms. Les câbles à paires torsadées sont standardisés en diverses catégories d intégrité du signal. Ces différentes catégories sont ratifiées régulièrement par les autorités de normalisation et notamment la norme française NF/EN , elle même issue de la norme ISO 11801, définissant le câblage structuré.

14 13 Catégorie 1 La catégorie 1 est un type de câblage abandonné. Cette catégorie de câble était destinée aux communications téléphoniques. Cette norme n est plus d actualité. Catégorie 2 La catégorie 2 est un type de câblage abandonné. Cette catégorie de câble permettait la transmission de données à 4 Mbit/s avec une bande passante de 2 MHz, notamment pour les réseaux de type Token Ring. Catégorie 3 La catégorie 3 est un type de câblage permettant une bande passante de 16 MHz. Ce type de câble de nos jours ne sert principalement plus qu à la téléphonie sur le marché commercial, aussi bien pour les lignes analogiques que numériques. Il est également utilisé pour les réseaux Ethernet (10 Mbps) et Fast Ethernet (100 Mbps). Ce type de câblage est en cours d abandon par les opérateurs au bénéfice de câbles de catégorie 5e ou supérieure, pour la transmission de la voix comme des données. Catégorie 4 La catégorie 4 est un type de câblage permettant une bande passante de 20 MHz. Ce standard fut principalement utilisé pour les réseaux Token Ring à 16 Mbps ou les réseaux 10BASE-T. Il fut rapidement remplacé par les catégories 5 et 5e. Catégorie 5 La catégorie 5 est un type de câblage permettant une bande passante de 100 MHz et un débit de 100 Mbps. Ce standard permet l utilisation du 100BASE-TX ainsi que diverses applications de téléphonie ou de réseaux (Token ring, ATM). Catégorie 5e La catégorie 5e (enhanced) est un type de câblage permettant une bande passante de 150 MHz et un débit 1 G-bit/s. La norme est une amélioration de la catégorie 5. Elle est aujourd hui la plus fréquente. Catégorie 6 La catégorie 6 est un type de câblage permettant de transmettre des données à des fréquences jusqu à 250 MHz et à des débits théoriques ne dépassant pas 1 Gbit/s Catégorie 6a Ratifiée en 2008, la norme 6a est une extension de la catégorie 6 avec une bande passante de 500 MHz permettant un débit théorique de 10G-bit/s. Catégorie 7 La catégorie 7 permet la transmission de données à des débits allant jusqu à 10 Gbits/s et à des fréquences ne dépassant pas 600 MHz. Attention : Les réseaux de type Ethernet n acceptent pas de liens supérieurs à 100 mètres! (quelles que soient la famille et la catégorie du câblage). Les connecteurs doivent être en adéquation avec les câbles utilisés, notamment au niveau du blindage. Pour une utilisation extérieure, il existe des qualités de câbles appropriées La fibre optique Une fibre optique est un câble contenant plusieurs brins constitués d un fil en verre ou en plastique très fin qui a la propriété de conduire la lumière et sert dans les transmissions d images, voix et données informatiques. C est un câblage possédant de nombreux avantages. Légèreté, immunité aux perturbations électromagnétiques, faible atténuation, tolérance aux débits élevés, largeur de bande de quelques dizaines de mégahertz à plusieurs gigahertz.

15 14 Le câblage optique est particulièrement adapté à la liaison entre répartiteurs (liaison centrale entre plusieurs bâtiments, appelé backbone, ou en français épine dorsale) car elle permet des connexions sur des longues distances (de quelques mètres à 60 km dans le cas de fibre monomode). Les fibres optiques peuvent être classées en deux catégories selon le diamètre de leur cœur et la longueur d onde utilisée : Les fibres multimodes sont les plus anciennes sur le marché. Elles ont pour caractéristique de transporter plusieurs modes (trajets lumineux), ce qui entraîne une dispersion du signal proportionnelle à la longueur de la fibre. En conséquence, elles sont principalement utilisées dans des liaisons inter bâtiments avec des débits de 100 Mbps ou 1 Gbps et sur des distances de 100 m à 3 km. Elles sont caractérisées par un diamètre de cœur de 50 ou 62,5 µm. Les fibres monomodes, plus fines, sont préférées pour de plus longues distances et/ou de plus hauts débits. Leur cœur très fin n admet ainsi qu un mode de propagation, le plus direct possible c est-à-dire dans l axe de la fibre. Les pertes sont donc minimes que ce soit pour de très haut débits ou de très longues distances. Les fibres monomodes sont de ce fait adaptées aux longues distances comme pour les lignes intercontinentales. Ces fibres monomodes sont caractérisées par un diamètre de cœur de 9 µm. Elles sont également caractérisées par des types de connecteurs différents dont les principaux sont : ST et FC (section ronde à visser) MIC (section rectangulaire clipsable) SC (section carrée clipsable) LC (petite section carrée clipsable) MTRJ (petite section carrée clipsable) CPL Les Courants Porteurs en Ligne sont des technologies qui visent à faire passer de l information à bas débit ou haut débit sur les lignes électriques en utilisant des techniques de modulation. Selon les pays, les institutions, les sociétés, les courants porteurs en ligne se retrouvent sous plusieurs mots-clés différents : CPL (Courants Porteurs en Ligne) PLC (Power Line Communications) PLT (Power Line Telecommunication) PPC (Power Plus Communications) Le principe des CPL consiste à superposer au signal électrique de 50 Hz un autre signal à plus haute fréquence (bande 1,6 à 30 Mhz) et de faible énergie. Ce deuxième signal se propage sur l installation électrique et peut être reçu et décodé à distance. Ainsi le signal CPL est reçu par tout récepteur CPL qui se trouve sur la même phase d un même réseau électrique. Dans un immeuble, le câble d alimentation électrique unique va se ramifier en un nombre important de distributions secondaires. Et le raisonnement est le même à l échelle du quartier ou de la ville. Il en découle une diffusion du signal qui a deux effets négatifs : la diminution de la force du signal à chaque division, le partage de la bande passante par tous les appareils, la propagation difficilement contrôlable des données dans des lieux qui ne sont pas forcément ceux que l on souhaite. Les moteurs électriques et les alimentations d ordinateurs génèrent de violentes perturbations sur les réseaux électriques. La perturbation est déjà l ennemi des réseaux Ethernet classiques, avec le CPL, elle peut apparaître et disparaître à tout moment et à tout endroit, sans qu il soit facilement possible de relier son apparition avec le fonctionnement d un appareil donné. Dès lors, il est nécessaire de faire appel à

16 15 une technologie de signal particulièrement robuste. Schématiquement, le signal est transmis par plusieurs trames concurrentes émises sur plusieurs fréquences. On garde le meilleur à l arrivée. On distingue logiquement deux types de CPL : outdoor : à l extérieur des constructions. C est l une des réponses possibles à la desserte des localités et des habitations isolées, non desservies par l ADSL. Cette technologie est utilisée à l étranger, mais en France, la législation n autorise pas encore un fournisseur d énergie à être aussi opérateur de télécommunication. indoor : à l utilisation dans un bâtiment professionnel qui est alors directement concurrente du Wi-Fi, on peut rajouter l utilisation familiale, a priori plus souple et plus intuitive que le WI-Fi. Il suffit généralement de brancher le modem sur une prise du secteur et d y connecter son PC. Encore très récent, le CPL se décline en un grand nombre de technologies propriétaires. Les équipements commercialisés à ce jour pour le grand public sont basés sur des technologies Homeplug ou DS2, qui sont incompatibles entre elles. Le HomePlug est le plus répandu, mais limité par sa faible performance (14 Mbps théoriques, 6 à 7 réels). Les évolutions récentes permettent des débits théoriques de 85 à 200 Mbps Autres (xdsl ) Les technologies dites ligne d abonné numérique, en anglais Digital Subscriber Line ou DSL ou encore xdsl, regroupent l ensemble des technologies mises en place pour un transport numérique de l information sur une simple ligne de raccordement téléphonique. Les lignes téléphoniques permettent de diffuser des ondes comprises dans un spectre de fréquences dont la voix n utilise qu une partie très restreinte. L idée est de mettre à profit la partie non utilisée du spectre pour transporter des données. Il existe un grand nombre de types de DSL dont les principaux sont l ADSL et le SDSL. Ces technologies sont principalement utilisées par les opérateurs pour connecter leurs abonnés au WEB. Le préfixe A pour Asymétrique et S pour Symétrique décrit le rapport entre bande passante ascendante, de l utilisateur vers le réseau, (upload) et bande passante descendante, du réseau vers l utilisateur, (download). L ADSL a un upload beaucoup plus faible que le download tandis que pour le SDSL les deux bandes passantes sont égales. La première convient donc bien pour un utilisateur du web, tandis que la seconde permet d envisager l émission de données nécessaires par exemple à l hébergement d un serveur web ou à l interconnexion de deux sites distants. La technologie VDSL (Very high bit-rate DSL) est également répandue. Elle permet d atteindre de très hauts débits de 13 à 55,2 Mbps. Cette technologie permet d établir des connexions réseau local sans déployer de câblage dédié. il suffit d utiliser des installations téléphoniques existantes. Dans ce cas, il faut utiliser un boîtier répartiteur à la racine du réseau téléphonique, et un boîtier client (modem VDSL) au niveau de chaque prise de téléphone, lui adjoignant ainsi une prise RJ45. L usage le plus fréquent et le plus intéressant du VDSL consiste à raccorder deux points distants quand la distance excède les 100 m maxi des réseaux Ethernet et que l installation téléphonique est existante. On appelle cela un pont VDSL. Dans ce cas, on utilise une installation basée sur une interface serveur à une extrémité du fil téléphonique, et une interface client à l autre extrémité. Chaque boîtier est relié à un réseau Ethernet par un connecteur RJ45. Pour cet usage, on utilise un VDSL symétrique, avec un débit de 5, 10, 15, 18 ou 34 Mbps, selon la distance, qui peut atteindre 1,5 km. Son successeur, le VDSL2 permet d atteindre 50 Mbps symétrique et une distance allant jusqu à 3 km. Les autres technologies xdsl sont : IDSL (ISDN DSL, variante orientée données de l ISDN [Numéris]) ReADSL (Reach Extended DDSL), augmente la portée de l ADSL HDSL (High Bit Rate DSL) et G. SHDSL, ancêtre du SDSL, RADSL (Rate Adaptive DSL) G-Lite, ADSL à bas débit ne nécessitant pas de filtres, DSM (Dynamic Spectrum Management), concurrent du VDSL.

17 Technologies sans fil Les techniques de réseau sans fil sont classifiées en fonction de leurs usages et de leurs portées : WPAN (Wireless Personal Area Networks) ou réseaux sans fils personnels comme le Bluetooth ou l infrarouge. WLAN (Wireless Local Area Networks) ou réseaux sans fils locaux comme le Wi-Fi ou l Hyperlan. WMAN (Wireless Metropolitan Area Networks) ou réseaux sans fils métropolitains connus sous le nom de BLR (Boucle Locale Radio) ou de WiMax. WWAN (Wireless Wide Area Networks) ou réseaux sans fils nationaux comme le GSM, le GPRS et l UMTS (3G) Bluetooth ( ) Le Bluetooth est une technologie de réseau personnel sans fil (noté WPAN pour Wireless Personal Area Network), qui utilise une technologie radio courte distance destinée à simplifier les connexions entre les appareils électroniques. Elle est conçue dans le but de remplacer les câbles entre les ordinateurs et leurs principaux périphériques (PDA, imprimantes, téléphone, ) et succéder à la peu pratique technologie IrDa (liaison infrarouge). Elle permet actuellement d obtenir des débits de l ordre de 1 Mbps, avec une portée d une dizaine de mètres environ. Afin d échanger des données, les appareils doivent se connaître. Cette opération se nomme l appariement et se fait en lançant la découverte à partir d un appareil et en échangeant un code. Ensuite les codes sont mémorisés sur les deux appareils, et il suffit que l un d entre eux demande le raccordement et que l autre l accepte pour que les données puissent être échangées. Il est toutefois important de signaler que la compatibilité entre marques est assez imparfaite et que certains appareils ne parviennent pas à se raccorder à d autres. Dans la pratique, le Bluetooth est principalement intégré à des appareils fonctionnant sur batterie et désirant échanger une faible quantité de données sur une courte distance : téléphones portables (presque généralisé), où il sert essentiellement à la liaison avec une oreillette ou à l échange de fichiers, ordinateurs portables, essentiellement pour communiquer avec les téléphones portables (pour servir de MODEM, pour sauvegarder les carnets d adresses, pour l envoi de SMS, etc.), périphériques divers, comme des claviers, pour faciliter la saisie sur les appareils qui en sont dépourvus, périphériques spécialisés, comme des appareils à électrocardiogramme, qui peuvent communiquer sans fil avec l ordinateur du médecin WUSB ( ) Le Wireless USB est, comme le Bluetooth, une technologie de réseau personnel sans fil courte distance.destinée à simplifier les connexions entre les appareils électroniques. Elle est conçue dans le but de compléter ou de remplacer les liaisons filaires USB classiques. Elle permet d obtenir des débits théoriques, décroissants selon la distance, compris entre 110 et 480 Mbps, avec une portée d une dizaine de mètres. Cette technologie ne perturbe pas le Bluetooth et traverse mieux les obstacles grâce à une gamme de.fréquences comprises entre 3,1 et 10,6 Ghz. Elle permet de gérer jusqu à 127 périphériques WLAN (802.11) La norme IEEE est un standard international décrivant les caractéristiques d un réseau local sans fil (WLAN). En france, elle est plus connue sous le nom de marque déposée «Wi-Fi» alors que dans d autres pays de tels réseaux sont correctement nommés WLAN (Wireless LAN). Grâce au Wi-Fi, il est possible de créer des réseaux locaux sans fil à haut débit. Dans la pratique, le Wi-Fi permet de relier des ordinateurs portables, des machines de bureau, des assistants personnels (PDA), des objets communicants ou même des périphériques à une liaison haut débit (de 11 à 300 Mbit/s théoriques) sur un rayon de plusieurs dizaines de mètres en intérieur (généralement entre une vingtaine et une cinquan-

18 17 taine de mètres). Dans un environnement ouvert, la portée peut atteindre plusieurs centaines de mètres voire dans des conditions optimales plusieurs dizaines de kilomètres avec des antennes directionnelles Le mode infrastructure Le réseau sans fil est fondé sur une architecture cellulaire où chaque terminal client appelé BSS (Basic Service Set) est contrôlé par un point d accès (Access Point), le tout formant un réseau appelé ESS (Extended Service Set). Les points d accès peuvent être reliés entre eux pour permettre à un terminal de passer de l un à l autre tout en restant sur le même réseau local (concept du roaming). Pour s identifier auprès d un réseau sans fil, les ordinateurs utilisent son identifiant de réseau (SSID). Le point d accès, souvent appelé «borne WIFI» se comporte comme un concentrateur sur un réseau filaire. Chaque terminal sans fil reçoit donc tout le trafic transitant par cette borne. Si ce terminal scrute simultanément plusieurs canaux, il recevra alors le trafic de tous les réseaux qui l entourent. Dans ce mode la bande passante est partagée par tous les utilisateurs Le mode ad-hoc Il s agit d un mode point à point entre des équipements sans fil. C est un mode de fonctionnement qui permet de connecter directement les ordinateurs équipés d une carte Wi-Fi, sans utiliser un matériel tiers tel qu un point d accès. Il est idéal pour interconnecter rapidement des machines entre elles sans matériel supplémentaire. Sa mise en place se borne à configurer les machines en mode Ad-Hoc, à la sélection d un canal (fréquence) et d un nom de réseau (SSID) commun à tous. Grâce à l ajout d un simple logiciel de routage dynamique (OLSR, AODV ), il est possible de créer des réseaux maillés autonomes (mesh networks) dans lesquels la portée ne se limite pas à ses voisins car tous les participants jouent le rôle du routeur Les différentes normes Wi-Fi La norme IEEE initiale est déclinée en un certain nombre de normes dérivées afin de répondre à des objectifs d interopérabilité ou de sécurité. Les principales sont, à ce jour, les normes IEEE a, IEEE b, IEEE g, IEEE i, et IEEE n. Toutefois, l utilisation de certains canaux est soumise aux législations nationales a : Elle utilise la bande de fréquence des 5 GHz et autorise un débit théorique de 54 Mbps. La législation française n autorise cette bande de fréquence qu en intérieur pour des puissances d émission inférieures à 100 mw b : Adoptée en 1999, elle permet d atteindre un débit théorique de 11 Mbps avec une portée pouvant atteindre plusieurs centaines de mètres en environnement dégagé. Elle utilise la bande de fréquence des 2,4 Ghz sur 14 canaux de transmission différents, dont trois seulement sont utilisables simultanément au débit maximal. Elle permet ainsi à plusieurs réseaux de cohabiter au même endroit, sans interférence g : Elle permet un débit théorique de 54 Mbps dans la bande de fréquence des 2.4Ghz. Elle est compatible avec la norme IEEE b permettant ainsi aux équipements 802,11g de fonctionner en environnement b, avec une dégradation des performances n : Cette norme est en cours de déploiement en Elle utilise également la bande de fréquence des 2.4Ghz et reste compatible avec les normes b et g. Le débit théorique atteint les. 600 Mbps (débit réel de 100 Mbps dans un rayon de 90 mètres) grâce aux technologies MIMO (Multiple- Input Multiple-Output) et OFDM (Orthogonal Frequency Division Multiplexing). Il faut noter que des équipements qualifiés de «pré-n» sont disponibles depuis 2006 : ce sont des équipements qui mettent en œuvre une technique MIMO d une façon propriétaire, sans rapport avec la norme n. Cette norme sait combiner jusqu à 8 canaux, ce qui permettrait en théorie d atteindre une capacité totale effective de presque 1 Gbps.

19 f : Elle met l accent sur une meilleure interopérabilité des produits en proposant le protocole Inter- Access point roaming protocol pour permettre à un utilisateur itinérant de changer de point d accès de façon transparente lors d un déplacement, quelles que soient les marques des points d accès présents dans l infrastructure réseau. Cette capacité est appelée «roaming» i : Elle met l accent sur la sécurité en proposant des mécanismes de contrôle d intégrité, d authentification et de chiffrement. Elle s appuie sur l AES (Advanced Encryption Standard) et propose un chiffrement des communications pour les transmissions utilisant les standards a, b et g Limites et risques Les principales limites des technologies relevant de la famille des normes dites «wi-fi»concernent la sécurité des transmissions et les risques sanitaires. De par sa technologie le Wi-Fi est un protocole qui diffuse les données par radio vers toutes les stations qui sont aux alentours, ce qui la rend très simple à écouter. Un utilisateur mal intentionné peut se placer dans le périmètre des équipements du réseau afin de récupérer les informations qui lui permettront d avoir accès au réseau. La sensibilité au brouillage est une autre vulnérabilité induite par la technologie des réseaux sans fil. Cet aspect est traité en détail au chapitre «6.5 Sécuriser les accès nomades au réseau local». Le Wi-Fi est au cœur des interrogations quant à l impact des radio fréquences sur la santé de l homme. Les ondes émises par les équipements Wi-Fi sont d une puissance vingt fois moindre que celles émises par les téléphones mobiles qui sont généralement tenus à proximité immédiate du cerveau, ce qui n est pas le cas des équipements Wi-Fi à l exception des téléphones Wi-Fi. La densité de puissance d un signal étant inversement proportionnelle au carré de la distance, elle décroit rapidement. Plusieurs organismes ont réalisé des études au sujet de l effet sur la santé du Wi-Fi. L agence française de sécurité sanitaire de l environnement et du travail (AFSSET) synthétise les connaissances scientifiques actuelles sur son site Elle a rendu 15 octobre 2009, à la demande du gouvernement, un rapport intitulé «Les radiofréquences : mise à jour de l expertise relative aux radiofréquences» contenant un ensemble d avis et disponible au téléchargement sur son site WMAN (802.16x) La BLR (Boucle Locale Radio) fait partie des réseaux sans fil de type WMAN (Wireless Metropolitan Area Networks). C est une technologie sans fil capable de relier les opérateurs à leurs clients grâce aux ondes radio sur des distances de plusieurs kilomètres. Elle est plus connue sous son nom commercial WiMax qui est un acronyme pour Worldwide Interoperability for Microwave Access). Les réseaux sans fil de ce type répondent à une famille de norme IEEE qui permet des débits de l ordre de 70 Mbps avec une portée théorique pouvant atteindre une centaine de kilomètres. Cette technologie est utilisée à la fois pour les réseaux de transport et de collecte, et pour les réseaux de desserte souvent en lieu et place de l ADSL. Son déploiement sur le territoire national est en cours sous l impulsion des collectivités territoriales avec comme objectif principal la couverture en haut débit des zones peu ou mal couvertes par l ADSL. La sous-norme e, en cours d adoption, ajoutera de la mobilité à la norme actuelle IEEE WWAN Réseaux de téléphonie mobile Le déploiement et l évolution des réseaux de téléphonie mobile permet d ajouter des services de transport de données à la voix offrant ainsi la possibilité de connecter un terminal informatique à Internet. L usage principal consiste à connecter un ordinateur portable au réseau Internet soit en utilisant un téléphone portable comme modem, soit en disposant d une clef USB équipée d une carte SIM d un opérateur ou en utilisant un ordinateur portable pré-équipé d une carte SIM intégrée, Le développement de cette technologie est classifiée en «Générations» accompagnées d acronymes dont les principaux sont :

20 19 2G GSM : Global System for Mobile Communication. Cette génération a vu l explosion de la téléphonie mobile pour laquelle elle a été conçu. Elle ne permettait le transport de données qu à de faibles débits d environ 9,6 Kbps. 2.5G GPRS : General Packet Radio Service. C est une extension du GSM permettant la transmission de données par paquets autorisant ainsi des débits plus élevés, adaptés à de petits volumes de données. Le débit téhorique est de 171 Kbps, mais excéde rarement les 50 Kbps réels. 2.75G EDGE : Enhanced Data Rate for GSM Evolution. C est à nouveau une extension de la norme GSM qui permet d élever les débits en utilisant les infrastructures existantes avant l arrivée des réseaux de 3 e génération. Elle est particulièrement présente dans les zones rurales à faible densité d abonnés. Le débit théorique est de 384 Kbps, mais dépend de la qualité du lien radio. 3G UMTS : Universal Mobile Telecommunications System. Cette nouvelle génération utilise des bandes de fréquences différentes des réseaux précédents afin d atteindre des débits autorisant l usage d applications multimédias et l accès à Internet haut débit. Les débits théoriques s échelonnent entre 144 Kbps lors d une utilisation mobile et 2 Mbps lors d un usage fixe. 3G + HSDPA : High Speed Downlink Packet Access. C est une évolution logicielle de l UMTS qui permet d améliorer de façon significative la qualité du lien radio descendant. Elle permet actuellement d atteindre des débits théoriques atteignant 14,4 Mbps en download et 384 Kbps en Upload. En 2008 en France, son déploiement est en cours et principalement réalisé dans les zones à forte densité d abonnés. 4G OFDM : Orthogonal Frequency Division Multiplexing. Cette nouvelle génération est en cours d étude. Les premiers téléphones 4G devraient apparaître en 2009 et les premiers réseaux en 2010 au Japon où des tests ont permis d atteindre des débits de l ordre du Gbps. 2.4 Recommandations Les recommandations effectués dans ce chapitre sont cohérentes avec la politique de sécurité des systèmes d information (PSSI) édictée par le Ministère et qui s impose aux établissements d enseignement Les locaux Chaque site hébergeant des serveurs doit être équipé d une salle dédiée à cet usage et répondre au minimum aux critères suivants : Accès limités strictement au personnel nécessaire. La salle serveur est un local fermé dont l accès est contrôlé par un système de clef ou de code. Les fenêtres sont équipées de barreaux. Une procédure définit qui peut y accéder et sous quelles conditions. La climatisation est indispensable au bon fonctionnement des équipements contenus dans la salle et permet d accroitre leur durée de vie. Elle doit être dimensionnée correctement en fonction du volume de la pièce et du nombre de serveurs qu elle pourrait accueillir. Elle doit également faire l objet de vérifications régulières et d un contrat de maintenance permettant sa remise en fonction dans des délais courts. Sécurité incendie. La salle serveur doit être équipée d un système de détection d incendie contrôlé et testé régulièrement. Aucun stockage de matériaux inflammables, notamment des cartons ou du papier, ne devra encombrer ce local. L alimentation électrique devra être indépendante des autres circuits du bâtiment. Elle sera secourue par un onduleur permettant d assurer le fonctionnement des équipements pour une durée au minimum équivalente au temps nécessaire à l arrêt des serveurs. A défaut, chaque serveur sera équipé de son propre onduleur. Quelle que soit la solution retenue, des procédures de tests réguliers seront mises en place et les équipements de secours feront l objet de contrats de maintenance. Les locaux techniques sous-répartiteurs hébergeant les éléments actifs du réseau répondront, dans la mesure du possible et en fonction de leur importance, aux mêmes règles que la salle serveur. Au minimum, il seront situés dans des locaux fermés qui ne seront jamais en libre accès.

21 20 Dans le cas d un nombre faible de connexions, le sous répartiteur se présentera sous la forme d un coffret mural situé dans une salle dédiée à d autres usages. Cette armoire sera fermée à clef et uniquement accessible au personnel habilité Le câblage réseau Les projets de création, de modification ou d extension du réseau local d un établissement privilégieront systématiquement les solutions basées sur la pose d un câblage qui permet des débits plus élevés, une meilleure qualité de service ainsi qu une pérennité plus importante Intérieur bâtiments Les câbles en cuivre de type paires torsadées seront privilégiés. Ils seront de préférence écrantés et blindés (SFTP) et appartiendront au minimum à la catégorie 5e qui permet une bande passante de 1 Gbit/s. La réalisation devra être confiée à une société spécialisée, qui est la seule à connaître toutes les contraintes physiques et techniques des réseaux informatiques et notamment celle liées à la qualité des terres informatiques, de la soudure des écrans de blindage, du cheminement des courants faibles, etc. Elle devra remettre un cahier de recettes comportant les mesures de l ensemble du câblage et des prises posées permettant de garantir le respect des normes. Dans la mesure du possible, chaque bâtiment hébergera un local technique fermé par étage abritant les baies de brassage et les éléments actifs. Ces dernières seront reliées entre elles par des rocades cuivres ou fibres optiques multimodes permettant un débit minimum d 1 Gbit/s. L utilisation de la technologie des courants porteurs en ligne (CPL) est à réserver strictement à un usage temporaire concernant un nombre restreint de postes de travail. L usage d une technologie sans fil peut être envisagée en raison de son faible coût et de sa simplicité de pose. Il est toutefois important d intégrer le fait qu elle est nettement moins performante, fiable et sure. Pour atteindre un niveau de qualité satisfaisant, il est vivement conseillé de recourir aux services de professionnels de ce secteur, d autant plus qu il est caractérisé par une grande différence de qualité et donc de tarif des équipements. Lorsque le Wifi est retenu, la préférence ira à la mise en œuvre d équipement de qualité répondant à la norme n qui reste compatible avec les équipements plus anciens de type b et g. Dans tous les cas, les réseaux installés devront être sécurisés conformément aux recommandations qui seront effectués dans les chapitres suivants Liens inter bâtiments Contrairement aux usages internes, les câbles sont à proscrire en raison de la faible longueur qu ils autorisent (< 100 m) ainsi que leur sensibilité aux rayonnements électromagnétiques et donc aux orages. Le seul cas pour le quel cette solution sera envisageable concerne la récupération d un ancien câble enterré permettant d éviter les importants coûts liés aux travaux qui pourraient êtres nécessaires comme le creusement d une tranchée. Il suffit alors de récupérer une paire téléphonique existante et de l utiliser avec des équipements répondant à la norme VDSL ou VDSL2 qui permettent un débit allant jusqu à 50 Mbps sur une distance maximale d environ 3 km. Dans tous les autres cas, les fibres optiques seront privilégiés. Elles seront du type multi modes et multi brins permettant un débit allant jusqu à 1 Gbps sur une distance pouvant atteindre 3 km. Le nombre de brins sera défini en fonction du nombre de connexions à mettre en œuvre, sachant que chacune d entre elle nécessite 2 brins. Le coût d installation d un pont en fibre optique n est pas proportionnel au nombre de fibres mais plutôt à la main d œuvre. Il est donc intéressant et utile de prévoir une fibre surdimensionnée de ce point de vue. Dans la mesure du possible, toutes les fibres optiques de l établissement seront équipées du même type de connecteur afin de permettre une uniformité des équipements au niveau des baies de brassage et des éléments actifs. Encore plus que pour le câblage cuivre, la réalisation devra être confiée à une société spécialisée, qui est la seule à connaître toutes les contraintes physiques et techniques des fibres optiques. Elle devra bien évidemment remettre un cahier de recettes comportant toutes les mesures garantissant la qualité de la liaison.

22 21 Lorsqu il n existe pas de voie permettant la pose de fibre entre deux bâtiments et que la récupération de paires téléphoniques existantes n est pas possible, des travaux de génie civil s imposent, mais leur coût est souvent prohibitif. Dans ce cas, il est possible de recourir à une technologie sans fil permettant de relier les deux bâtiments par un pont Wifi. Cette technologie utilise généralement des antennes directionnelles extérieures montées en vis à vis qui permettent de relier entre elles deux bornes Wifi connectées à deux réseaux locaux. Il existe dans ce domaine une offre très variée avec un grand éventail de qualité, de performance et de tarifs des équipements d où l importance de recourir aux services de professionnels. Comme dans le cas des points d accès, il est conseillé de choisir des équipements en fonction de leurs qualités plutôt que de leurs prix et répondant à la norme n. Certains équipements permettent aujourd hui de relier de façon satisfaisante des bâtiments séparés de plus de 10 km. Les ponts Wifi demandent particulièrement à être sécurisés conformément aux recommandations qui seront effectués dans les chapitres suivants dans la mesure où ils sont assez simples à écouter 3 Éléments actifs Les éléments actifs sont les éléments constitutifs des réseaux : ils permettent l inter-connexion des équipements informatiques d un réseau local. Les principaux équipements mis en place dans les réseaux locaux sont : Les concentrateurs (hubs), permettant de connecter entre eux plusieurs hôtes sur un même bus avec un partage de la bande passante. Les commutateurs (switchs) permettent de relier divers éléments tout en segmentant la bande passante du réseau. Les ponts (bridges), permettent de relier des réseaux locaux distants en relayant la totalité du trafic. Les routeurs, permettent de relier plusieurs réseaux locaux entre eux ou avec Internet. Les autres équipements de connexion (bornes wifi, triple play, ) 3.1 Les hubs Ils permettent la connexion de plusieurs équipements sur un local réseau local en répercutant les données émises par une station vers toutes les autres. Cette gamme d éléments se contente de relayer toutes les trames de données vers tous les ports et ce sont les équipements connectés qui décodent l en-tête des trames pour savoir si elles leurs sont destinées. En utilisant un concentrateur, chaque équipement qui lui est attaché partage le même domaine de diffusion, le même domaine de collision et la même bande passante. Comme dans tout segment de réseau Ethernet, une seule des machines connectées peut y transmettre à la fois. Dans le cas contraire, une collision se produit, les machines concernées doivent retransmettre leurs trames après avoir attendu un temps calculé aléatoirement par chaque émetteur. Ce mode de fonctionnement pose un réel problème car dès que le nombre d ordinateurs connectés augmente, le taux de collision augmente en proportion, réduisant la vitesse effective du réseau. Pour cette raison, les HUB sont en voie de disparition au profit des Switch dans les réseaux actuels. 3.2 Switch ou commutateur Un commutateur réseau (en anglais, switch) est un équipement qui relie entre eux plusieurs segments (câbles ou fibres) d un réseau local et donc les équipements qui y sont connectés. Il se présente le plus souvent, comme les concentrateurs, sous la forme d un boîtier disposant de plusieurs (entre 4 et 100) ports Ethernet.

23 22 Contrairement au hub, un commutateur ne se contente pas de reproduire sur tous les ports chaque trame de données qu il reçoit. Il sait déterminer vers quel port elle doit être relayée en fonction de l adresse de destination qu elle contient. Ce mode de fonctionnement réduit considérablement le trafic sur l ensemble du réseau local en faisant de chacun de ses ports un segment différent avec un domaine de collision séparé. Ils peuvent être chainés entre eux afin d étendre simplement la taille du réseau local, théoriquement sans limite de nombre. Les commutateurs fonctionnent au niveau des couches 1, 2 et parfois 3 et supérieurs du modèle OSI (cf. chapitre 4). Certains modèles sont administrables de façon à pouvoir paramétrer les fonctions avancées qu ils embarquent Les niveaux de commutations Les opérations de commutations effectuées par un switch peuvent êtres réalisées au niveau 2 du modèle OSI sur la base des adresses MAC. Le switch est alors dit de niveau 2. Ces opérations sont également réalisable au niveau 3 du même modèle sur la base des adresses IP, il est alors dit de niveau 3. Certains modèles sont appelés de niveau 4. C est un terme commercial sans réelle référence avec le modèle OSI. Ils permettent généralement de bloquer l utilisation du réseau par certaines applications en décodant complètement le message transmis, notamment au niveau des ports TCP et UDP utilisés Switchs administrables Un switch manageable (administrable) est un modèle qui permet, généralement grâce à une interface de type WEB, de gérer les paramètres de communication des ports, d effectuer des opérations de surveillance, de diagnostic, de maintenance ainsi que de mettre en œuvre des fonctionnalités avancées comme la mise en place de réseaux virtuels (VLAN cf. chapitre 4). Les versions les plus évoluées disposent de protocoles leur permettant d échanger leurs informations afin d optimiser le fonctionnement du réseau local ou d en centraliser la gestion. L interface d administration offre souvent la possibilité d effecteur la sauvegarde et la restauration de la configuration. L usage des fonctionnalités avancées, dont certaines relèvent d un format propriétaire, oblige souvent à mettre en place une gamme de matériel cohérente et issue du même fabricant.

24 Les fonctions avancées Les switch d entrée de gamme se limitent la plupart du temps à commuter au niveau 2 les trames d un port à un autre. Plus on monte vers la gamme professionnelle et plus le nombre et la sophistication des fonctions avancées sont importantes. Les principales sont : VLAN : Virtual Local Area Network Les VLAN, ou «réseaux virtuels», consistent à créer des sous-ensembles du réseau plus ou moins étanches entre eux. Bien que tous les ordinateurs soient connectés sur le même switch ou sur le même réseau physique, ils ne pourront communiquer qu avec ceux appartenant au même sous ensemble ou à un sous ensemble autorisé. Les VLAN sont abordés en détail au chapitre 4 de ce guide. QoS : Quality of Service La QoS, ou «qualité de service», est standardisée par la norme 802.1P. C est un dispositif de gestion des priorités. Les QoS permettent de donner des priorités à un flux de donnée ou de réserver des pourcentages de la bande passante totale du réseau à certains ordinateurs ou à certains services, et ce afin de conserver un réseau fonctionnel même si les montées en charge, les demandes de certains ordinateurs ou de services augmentent démesurément. Chaque élément du réseau physique ou logique continuera à bénéficier d assez de bande passante pour fonctionner. Port Trunking, ou agrégation de lien Normalisé en 802.3AD et dénommé Link Aggregation Control Protocol (LACP), le Port Trunking, ou «agrégation de lien», est la faculté de regrouper plusieurs ports afin d en créer un ayant des capacités très importantes, la bande passante étant démultipliée. Cette fonction est communément utilisée pour créer des liens interswitchs aux débits augmentés.

25 24 Jumbo Frame Les Jumbo Frame sont des trames de données 6 fois plus importantes que la normale (1 518 octets). Les Jumbo Frame atteignent donc : 6 x = octets, soit 8,8 Ko. Ce qui permet, quand deux ordinateurs s envoient de grandes quantités de données, de réduire l impact de la vitesse de commutation du switch sur le débit de transmission et surtout de réduire l impact de cette communication sur le transit des données dans le réseau entier. En effet, le switch est beaucoup moins sollicité (6 fois moins) et peut donc s occuper des autres dialogues. Cette fonction est très intéressante dans les réseaux encombrés. Protocole de routage Protocole de dialogue entre éléments actifs RIP (V1, V2) et OSPF V2. Le support de protocole de routage permet le dialogue entre éléments actifs, qui s échangent alors des informations (table d adressage, carte du réseau, etc.) afin d accélérer les découvertes du réseau et ainsi d améliorer la découverte de la topologie des éléments d un réseau, et donc la rapidité des transports de données sur le réseau. Spanning Tree Le Spanning Tree est un protocole d interconnexion standardisé par les normes 802.1D, 802.1W et 802.1S Le Spanning Tree est une fonction qui permet d éviter les phénomènes de bouclage (dans un réseau complexe ou avec des redondances d équipement) qui peuvent provoquer un effondrement du réseau. Power over Ethernet Le PoE ou norme 802.3af permet de faire passer une tension de 48 V pour une puissance de 12 W sur le cable Ethernet. Elle utilise une paire de fils inutilisés sur les 4 que contient un câble UTP ou STP afin d alimenter électriquement certains appareils du réseau comme les téléphones IP Caractéristiques physiques La gestion des ports A la différence des hubs, la majorité des switchs peuvent utiliser le mode Full duplex. La communication entre les switchs récents et les périphériques qui leurs sont connectés est en mode «full duplex», c est à dire bi-directionnelle. Le Switch vérifie automatiquement si le périphérique connecté est compatible avec ce mode de transmission. Cette fonction est souvent reprise sous le terme «Auto Négociation». La presque totalité des modèles sont souvent dits «Auto MDI/MDIX»,ce qui signifie que chaque port va détecter automatiquement le croisement des câbles pour la connexion Ethernet. Dans certains modèles ancien, un port muni d un bouton poussoir, reprend la fonction manuellement L architecture interne Un commutateur, un hub ou un routeur peut se décomposer en deux parties : Un backplane (fond de panier en français). Un ensemble de port d entrées/sorties. Les ports sont interconnectés par l intermédiaire du fond de panier qui est en quelque sorte la carte mère de l équipement sur laquelle se trouvent tous les composants (processeur, mémoire vive, mémoire morte) nécessaires au fonctionnement du système d exploitation spécialisé (par exemple IOS pour les routeurs CISCO). Il gère l aiguillage des paquets entre les ports d entrées et de sorties ainsi que la gestion de la congestion. Ces éléments sont à prendre en compte dans le choix d un équipement appelé à gérer un trafic important, car ils influent directement sur le niveau de performance global du réseau. Ainsi un routeur peut jouer sur plusieurs points pour augmenter ses performances : La vitesse d interconnexion du fond de panier. La taille des mémoires. La capacité de routage et de service des interfaces.

26 Les ponts Le pont (Bridge en anglais) est un équipement permettant de relier entre eux deux réseaux utilisant le même protocole, mais physiquement séparés et qui peuvent être ou non de même technologie physique Fonctionnement Le pont fonctionne au niveau de la couche 2 du modèle OSI. Il possède en principe deux interfaces physiques distinctes correspondant au deux réseaux à relier. Lorsqu il reçoit une trame sur une interface, il en analyse les adresses MAC d origine et de destination, puis les compare à ses tables internes afin d identifier de quel côtés du pont sont situés l émetteur et le récepteur de la dite trame. S ils sont situés sur la même interface, la trame est ignorée, dans le cas contraire, elle est relayée vers la seconde interface. Le pont se différencie d un simple répéteur car il ne transmet que les trames destinées au segment de réseau distant. Il se différencie également du switch car il convertit le format physique de la transmission. Enfin, il se différencie des routeurs car son intervention se limite au niveau de la couche Particularités Certains ponts intègrent des fonctionnalités permettant de mettre en place un filtrage entre les deux segments du réseau qu ils relient. Ils prennent alors le nom de «ponts filtrants». Dans ce cas, ils sont la plupart du temps intégrés à des routeurs ou des Firewall (par exemple Netfilter, IpFirewall, Packet Filter ). La plupart des routeurs modernes intègre la possibilité d être configuré en mode «Bridge», c est à dire comme un pont. Dans le cas d un routeur d accès à Internet, cette possibilité permet de gérer les fonctions de routage et de sécurité au niveau d un pare-feu distinct. 3.4 Les routeurs Les hub et switch permettent de connecter des appareils faisant partie d une même classe d adresse sur un même réseau local, alors que les routeurs ont vocation à inter connecter différents LAN (distants ou non) utilisant différentes classes d adresses. Deux stations d un même réseau ou sous-réseau peuvent communiquer directement entre elles ou grâce à un équipement de niveau 2 (hub ou switch). Deux stations de réseaux différents ne peuvent communiquer entre elles que par l intermédiaire d un routeur. Dans les établissements, la plupart des routeurs sont utilisés pour connecter le réseau local à Internet Fonctionnement Les fonctions de routage se situent au niveau de la couche 3 du modèle OSI (cf. chapitre 4.1). Seules les informations destinées au réseau suivant sont routées. Dans le cas d une connexion à Internet celles transitant sur le réseau local ne sont pas transmises à l extérieur. Le routeur masque les adresses du réseau local au regard d Internet. Il utilise une technologie NAT/PAT (Network adress translation/port adress translation) pour acheminer les données vers l adresse privée qui est affectée au PC. Les routeurs sont paramétrables et intègrent souvent des fonctionnalités avancées, par exemple celles dévolues au Firewall (cf. chapitre 6.3), permettant de bloquer certaines connexions Le traitement des paquets Pour effectuer le traitement des paquets, un routeur met en place des files d attente sur les entrées et les sorties, ainsi les files d entrées sont utilisées pour la commutation, le routage, la classification et les files de sorties pour l ordonnancement, mais le vrai coeur du routeur c est sa table de routage, c est elle qui permet

27 26 de faire la correspondance entre l adresse de destination et la sortie à prendre. Exemple de traitement dans le cas d un routeur IP : Un paquet est récupéré sur la file d entrée. L adresse IP de destination du paquet est utilisée conjointement avec la table de routage pour déterminer le prochain routeur (prochain saut) ou si la destination est atteinte. L en-tête du paquet est mis à jour pour y inscrire des informations de traitement comme le nombre de sauts effectués. Le paquet est mis dans la file de sortie choisie puis il est expédié Les algorithmes de routage Pour pouvoir transmettre un paquet vers la bonne sortie, un routeur a besoin d une table de routage à jour, pour cela il utilise un algorithme de routage. Le but d un algorithme de routage est de calculer une route entre un nœud source et un nœud destination selon certains critères, et dans certains cas, de permettre la diffusion des informations nécessaires à ce calcul. Ainsi un algorithme de routage doit pouvoir répondre à un ou plusieurs objectifs : Répartition des ressources du réseau, c est-à-dire éviter que certains liens soient surchargés alors que d autres restent inutilisés. Assurer une qualité de service, c est-à-dire que l algorithme de routage doit trouver le meilleur chemin possible entre la source et la destination pour satisfaire les critères de qualité imposés. Exécution rapide de l algorithme pour que le réseau puisse accepter le maximum de requêtes. Pour fonctionner ces algorithmes doivent avoir un calcul de route optimisé ainsi qu un protocole d échanges d information entre nœuds (c est le protocole de routage). Pour cela il existe actuellement 2 méthodes, le distance vector route et le link state. Le distance vector route : chaque nœud connaît la distance (coût d un lien) vers les nœuds adjacents et diffuse cette information à tous ses voisins. Ces informations sur les distances ne sont stockées que si elles sont meilleures que celles déjà connues. Le link state : Le principe consiste à distribuer les informations sur la topologie du réseau à tous les nœuds de manière à ce que chaque nœud calcule sa table de routage Protocoles de routage actuels Il existe principalement 2 protocoles de routage interne utilisés actuellement. Ils permettent aux routeurs d échanger entre eux les informations qui leur sont nécessaires pour assurer un routage optimal. RIP (Routing Information Protocol) : protocole de routage IP créé à l université de Berkeley de type distance vector. Chaque routeur communique aux autres la totalité de sa table de routage et la distance avec un réseau compté en nombre de sauts. Mais ce protocole est limité à 15 sauts et ne prend pas en compte la qualité des transmissions. OSPF (Open Shortest Path First) : protocole de routage de type link state qui permet de calculer le meilleur chemin en terme de qualité. 3.5 Les équipements «Box» ou «triple play» Les équipements de ce type sont fournis par les fournisseurs d accès à Internet (FAI) afin de connecter leurs abonnés et de pouvoir leur offrir l accès à un bouquet de services complémentaires comme la téléphonie sur IP et la télévision haute définition.

28 27 Ce type d équipement est apparu en 2002 et est aujourd hui devenu la norme pour les offres grand public de tous les opérateurs, offres qui sont dites «triple play» dans la mesure où elles intègrent l accès à Internet, la téléphonie et la télévision Fonctionnement Les Box sont des matériels intégrant de nombreuses connexions et fonctionnalités. Elles permettent la connexion à Internet en mode ADSL par l intermédiaire d une prise téléphonique et gèrent cet accès en intégrant des fonctionnalités de routeur. Elles peuvent également être paramétrées comme des ponts. La quasi totalité des Box intègre un petit switch permettant la connexion de plusieurs équipements en mode Ethernet ou en CPL mais également une interface Wifi pour leur permettre de se comporter comme un point d accès. Les Box sont équipées de fonctions logiciels plus ou moins sophistiquées, accessibles en mode WEB, pour la gestion des fonctions de filtrage pare-feu, de routage, d accès Wifi et d administration. 3.6 Les éléments actifs Wifi La fonction principale des éléments actifs Wifi est de convertir les trames de niveau 2 du modèle OSI provenant d un réseau Ethernet en signaux radio analogiques destinés à des périphériques radio via une antenne. Les caractéristiques principales d un élément actif sont sa puissance d émission et sa sensibilité en réception (puissance minimale admissible pour interpréter les données et assurer la liaison), toutes deux exprimées en mw ou dbm. Les éléments actifs des réseaux sans fil de type Wifi sont de deux types : les Points d accès ("Access Point" en anglais) qui permettent d inter-connecter plusieurs périphériques sans-fil à un réseau local ou à Internet. Les cartes Wifi qui permettent de connecter un périphérique à un réseau sans fil Les points d accès (AP) Le rôle des points d accès est similaire à celui des hubs dans les réseaux câblés en permettant aux stations équipées de cartes Wi-Fi d obtenir une connexion au réseau. La connexion entre le point d accès et un périphérique sans fil est appelée association. Les trames d information envoyées par un client sont réémises vers leurs destinataires sur le réseau local ou sur Internet. Le support physique étant les ondes radio, toutes les stations en mesure de capter le signal peuvent recevoir les trames émises qu elles soient destinataires ou non, d où l analogie avec le hub. Les points d accès sont nécessaires lorsque les réseaux sans fil fonctionnant en mode infrastructure. Ils contiennent en fait une carte Wi-Fi, une ou plusieurs antennes et un logiciel de gestion dédié qui permet de fournir des services supplémentaires comme la sécurité des communications et l identification des autres équipements connectés. Il est donc parfaitement possible de transformer un ordinateur équipé d une carte Wi-Fi en point d accès en y ajoutant des programmes. La norme Wi-Fi étant entièrement compatible avec la norme Ethernet des réseaux filaires, on a la possibilité de connecter un point d accès sur le réseau filaire en mode pont ou en mode routeur. Les points d accès sont généralement équipés d un modem ADSL, d un switch et d un routeur. Ils peuvent donc être utilisé comme : un simple pont entre un réseau sans fil et un LAN, un routeur entre un réseau sans fil et un LAN, un routeur d accès à Internet depuis un réseau sans fil. Les points d accès peuvent êtres reliés entre eux afin d étendre la zone couverte. Cette liaison peut être constituée d un câble reliant directement deux points d accès, par un réseau local filaire ou même par un pont sans fil.

29 Les cartes Wi-Fi Ce terme désigne les périphériques actifs wifi intégrés à un périphérique client pour lui permettre de joindre un réseau radio. Elles jouent exactement le même rôle que les cartes réseaux traditionnelles à la différence qu elles sont équipées ou reliées à une antenne. On peut les trouver en différents formats : intégrées dans les ordinateurs portables, au format PCMCIA, notamment sur les portables anciens ou sur les Box, au format PCI pour les ordinateurs de bureau, sous forme de clefs USB, Les antennes L antenne est un élément déterminant de la qualité d une liaison sans fil. Son type doit être choisi en fonction du rôle qu elle devra assurer, c est à dire les interactions souhaitées avec les autres éléments WiFi. L antenne intégrée à un point d accès ou à une carte WiFi peut généralement être remplacée par une antenne externe plus puissante reliée par un câble d antenne. Il existe principalement deux grandes familles d antennes : Les omnidirectionnelles : Ce type d antenne rayonne dans toute les directions à la fois. Elles sont employées lorsque les stations peuvent être situées n importe où par rapport au point d accès. En revanche, la distance maximale entre l AP et les stations reste limité. Ce sont les antennes équipant par défaut les bornes et les cartes wifi. Les directionnelles : Elles offrent un fort gain, c est-à-dire qu elles peuvent capter un signal à plus grande distance qu une antenne omnidirectionnelle, mais suivant un angle de couverture restreint correspondant à la direction vers laquelle elles sont pointées. En général, plus le gain est fort, plus la zone couverte est rétrécie mais la distance importante. Typiquement, les antennes directionnelles sont employées pour créer des ponts où deux points d accès Wi-Fi sont associés l un à l autre pour relier deux LAN distants. Ce type de lien permet de couvrir des distances allant d une centaine de mètres à plusieurs kilomètres. Pour évaluer les performances d une antenne, on se base sur des abaques qui indiquent le gain exprimé bbi. Cette valeur correspond au gain nécessaire à appliquer à l antenne pour qu elle atteigne les caractéristiques de l antenne théorique parfaite. 3.7 Recommandations Les commutateurs (switchs) L utilisation des Hubs sur les réseaux d établissement est désormais à proscrire et le remplacement de matériels de ce type qui seraient encore en service est à prévoir. De la même façon les switchs non administrables ne correspondent plus aux besoins des gros établissements et devront être remplacés afin de pouvoir mettre en œuvre les recommandations relatives à la segmentation et à la sécurité des réseaux locaux. Il n est pas dans les attributions de ce guide de préconiser un type précis de matériel et encore moins une marque, néanmoins il sera préférable que les équipements actifs du réseau soient de la même gamme d un même fabricant. En effet, l implémentation de certaines normes n est pas toujours exactement la même d un constructeur à l autre, ce qui peut engendrer des dysfonctionnements sur un réseau local. De plus, la cohérence globale des switchs permet à l administrateur du réseau de n avoir à travailler qu avec une seule interface d administration diminuant ainsi le risque d erreur. Tous les éléments actifs du réseau de l établissement devront désormais être administrables et répondre au minimum aux normes suivantes : Commutation de niveau 2 (OSI)

30 29 IEEE 802.1d (Spanning Tree) IEEE 802.1Q (VLAN) IEEE 802.3u (100Mbps) ou IEEE 802.3ab (1Gbps) en fonction des besoins Les fonctionnalités supplémentaires comme le contrôle d accès aux ports (802,1x), la QoS (802,1p), la supervision (SNMP) ou encore l alimentation sur Ethernet (POE) seront à étudier au cas par cas en fonction du projet de réseau, du niveau de sécurité souhaité et des évolutions futures (téléphonie IP, ). De la même façon, le niveau de commutation choisi (2 ou 3) le sera en fonction du niveau de VLAN désiré (cf. chapitre 4). Lors de l étude préalable à l achat des équipements, il sera très important de prendre en compte le volume de données potentiellement traité par chaque switch mis en service. Ce facteur est déterminant pour évaluer la gamme de matériel à choisir en terme de performances grâce aux paramètres principaux suivants : Capacité de commutation généralement exprimée en Gbps Le nombre d adresses MAC gérables Le nombre de VLAN paramétrables Les Ponts Le guide n effectue pas de recommandation pour ce type de matériel. En effet, comme nous l avons vu précédemment, un pont est un équipement permettant d assurer l interconnexion entre différents segments d un réseau local, en général lorsque l infrastructure existante ne permet pas une connexion directe. Dans ce cas le pont utilise généralement une infrastructure sans fil de type Wifi ou câblée de type VDSL. Son usage est donc limité au sein d un établissement et n est envisagé que pour répondre à une problématique particulière qui nécessite une étude préalable Les routeurs Comme nous l avons vu précédemment, un routeur est un équipement permettant l interconnexion de réseaux situés dans différentes classes d adresses, qu ils soient locaux ou distants. Nous entendons, pour ce chapitre, le terme de routeur comme l équipement permettant de relier le réseau local au réseau Internet. En effet, l interconnexion de sous réseaux d un même réseau local sera abordé dans les chapitre 4 et 6,3 relatifs aux VLAN et aux Firewall. Les établissements sont connectés à Internet grâce à des équipements fournis par les FAI (fournisseurs d accès à internet) dans le cadre de marchés publics gérés par les Conseil Régionaux. Ce guide n est donc pas en mesure d effectuer des recommandations en ce domaine. Il est toutefois fréquent qu un établissement procède à la mise en place d une seconde ligne Internet à titre de secours ou pour de petites annexes. Dans ces cas, nous recommandons d éviter absolument de recourir au «routeurs» des offres grand public dites «triple play» et qui sont communément appelées «Box». Ces équipements n offrent pas le niveau de sécurité requis dans un établissement d enseignement ni les garanties de débits sur les lignes qui leurs sont associées. Les principaux FAI disposent d offres professionnelles adaptées à ce type de besoins Les points d accès Wifi Il n est pas dans les attributions de ce guide de préconiser un type précis de matériel et encore moins une marque. Dans la mesure du possible, l établissement s attachera à ce que les points d accès Wifi soit de la même gamme d un même fabricant afin de garantir au mieux la qualité global du réseau sans fil et simplifier le plus possible le travail de l administrateur du réseau et de diminuer le risque d erreur. Tous les points d accès sans fil du réseau de l établissement devront désormais répondre au minimum aux normes suivantes : n (540 Mbps 50m < d < 125m) : norme compatible b et g 802,11 i (WPA 2) : Authentification & chiffrement

31 30 Les fonctionnalités supplémentaires comme le contrôle d accès aux ports (802,1x) appelé aussi WPA Enterprise, la QoS (802,11e) ou le roaming (802,11f) seront à étudier au cas par cas en fonction du projet de réseau, du niveau de sécurité souhaité et des types d usage. La mise en place d un réseau sans fil nécessite une étude préalable minutieuse en fonction des usages prévus, des types d utilisateurs mais aussi de l environnement physique et électro-magnétique auxquels les ondes radio sont très sensibles. Il est recommandé de faire procéder à des tests préalables du matériel envisagé afin de vérifier la portée et la qualité de la bande passante dans l environnement réel. Il sera très important de définir précisément le nombre potentiel d utilisateurs simultanés par point d accès. Ce facteur est déterminant dans la mesure où les stations connectées à une même borne partagent une même bande passante ce qui provoque une dégradation rapide du débit offert avec l augmentation du nombre de postes. 4 Infrastructure logique des réseaux 4.1 Protocoles réseaux L ISO et le modèle OSI L ISO (International Organization for Standardization, soit Organisation internationale de normalisation), réseau d instituts nationaux de normalisation de 157 pays situé à Genève, est le plus grand producteur et éditeur mondial de normes internationales. Pour permettre une communication entre les différents réseaux hétérogènes, l ISO a développé un modèle en couches appelé modèle OSI (Open Systems Interconnection) référencé ISO Les informations transitent sur le réseau sous la forme d un signal électrique qui doit être traité par différents processus afin d aboutir à une information définitive. Le modèle OSI permet de structurer les étapes de cette transformation à travers la notion de couche. Chacune d entre elles effectue une tâche précise et dans un ordre précis. Le modèle OSI comporte 7 couches : Niveau Couche Fonctionnalité 7 Application Normaliser l aspect des applications 6 Présentation Conventions de codification et compression des données 5 Session Structuration et synchronisation du dialogue entre 2 applications 4 Transport Échanges de paquets d informations entre 2 processus 3 Réseau Contrôle de l acheminement des paquets entre 2 hôtes 2 Liaison Transmission de trames entre 2 machines et contrôle d accès au médium physique 1 Physique Transmission de bits sur un médium physique 1. La couche physique est composée du support physique (dit aussi médium, canal de transmission ou circuits de données), ainsi que des équipements terminaux et intermédiaires, tel que le modem par exemple. Elle est chargée de la transmission effective des signaux entre les matériels. Son service est typiquement limité à l émission et la réception d un bit ou d un train de bits continus. 2. La couche liaison de données gère les communications entre 2 machines adjacentes, directement reliées entre elles par un support physique et conditionne les bits bruts de la couche physique en trames de données. La couche liaison de données est également chargée du contrôle d erreurs afin que les bits de données reçus soient identiques à ceux qui ont été envoyés. 3. La couche réseau gère les communications de bout en bout, généralement entre machines (routage et adressage des paquets) et est chargée d adresser les messages et de convertir les adresses et noms logiques en adresses physiques. Elle détermine aussi l itinéraire à emprunter de l ordinateur source à l ordinateur destination, en fonction des conditions du réseau, de la priorité du service et d un certain nombre de fac-

32 31 teurs. Elle gère aussi les problèmes de trafic comme la communication, l acheminement et l encombrement des paquets de données sur le réseau et les sous-réseaux. 4. La couche transport gère les communications de bout en bout entre processus (programmes en cours d exécution) et garantit la bonne livraison des messages, sans erreur, dans l ordre et sans perte ni doublon. A la réception, la couche transport désencapsule et rassemble les messages d origine puis émet un accusé de réception. 5. La couche session gère la synchronisation des échanges et des transactions, permet l ouverture et la fermeture de sessions. Elle assure les fonctions complémentaires nécessaires à l établissement de la communication entre deux applications sur le réseau (identification, sécurité, ), de même que la synchronisation des tâches utilisateurs et de contrôler le dialogue établi entre deux processus de communication. 6. La couche présentation est chargée du codage des données applicatives, précisément de la conversion entre données manipulées au niveau applicatif et chaînes d octets effectivement transmises. La couche présentation gère cette représentation universelle des données échangées par des systèmes ouverts. Il existe plusieurs façons de représenter des données, par exemple, l ASCII et l EBCDIC pour les fichiers texte. Elle utilise un langage commun compréhensible par tous les nœuds du réseau, et détermine la forme sous laquelle s échangent les données entre les ordinateurs du réseau. Côté émission, elle convertit les données du format transmis par la couche application en un format intermédiaire, admis de tous. 7. La couche application est le point d accès aux services réseaux, elle n a pas de service propre spécifique et entrant dans la portée de la norme. Cette couche, appelée ALS pour Application Layer Structure, est la fenêtre par laquelle les processus d application accèdent aux services du réseau. Normalisée sous ISO 9545 qui définit la composante communication, elle représente les services qui prennent en charge les applications utilisateur. Ces 7 couches sont parfois réparties en 2 groupes : Les 4 couches inférieures sont plutôt orientées communication et sont typiquement fournies par un système d exploitation Les 3 couches supérieures sont plutôt orientées application et réalisées par des bibliothèques ou des programmes spécifiques. Dans le monde IP, ces 3 couches sont rarement distinguées et les fonctions de ces couches sont considérées comme partie intégrante du protocole applicatif Le modèle TCP/IP Un peu d historique : le DARPA (Defense Advanced Research Projects Agency) agence du ministère de défense américain, finança des universitaires pour mettre au point un réseau fermé, sécurisé, en remplacement du réseau téléphonique qui était une passoire d informations secrètes (les années sont celles de la guerre froide avec les pays de l est). Le réseau ARPANET vit le jour et fut l ancêtre d Internet. TCP/IP est un modèle représentant l ensemble des règles de communication sur Internet (avec un grand I), en parlant du réseau mondial et à ne pas confondre avec internet (petit i) qui est une des couches de ce modèle. TCP et IP sont aussi les deux principaux protocoles de ce modèle. Comparaison des modèles OSI et TCP/IP Modèle TCP/IP Modèle OSI Principaux Protocoles Format Application Application HTTP, DNS, FTP, SSL, SSH,Telnet, Pop, etc.. Messages Présentation Session Transport Transport TCP, UDP Segments Internet Réseau IP, ICMP, RIP, ARP, RARP, OSPF,... Paquets Liaison Ethernet, PPP,... Réseaux physiques Trames Physique Paires cuivres, Fibres optiques,...

33 Les principaux protocoles du modèle TCP/IP Niveau Physique Ethernet : protocole de niveau 2 plus connu sous le standard IEEE Il permet l identification de chaque hôte grâce à son adresse physique appelée adresse MAC et assure la gestion de la transmission des données sur le support physique auquel toutes les machines accèdent simultanément en réception comme en émission suivant un principe appelé CSMA-CD (Carrier Sense Multiple Access with Collision Detection). Il a été réaménagé à plusieurs reprises afin de mieux supporter les hauts débits nécessaires aux applications et les équipements récents. C est aujourd hui le standard de fait pour l accès au réseau local. PPP : Point-to-point Protocol (protocole point à point). Ce protocole de niveau 2 est le standard pour l accès à Internet via une ligne téléphonique. Il est massivement utilisé pour les connexions Internet ADSL. Niveau Réseau IP : Internet Protocol (protocole internet) IP est le principal protocole de niveau 3 du modèle TCP/IP qui fournit un système d adressage unique pour l ensemble des équipements connectés. Il encapsule les données reçues de la couche supérieure dans des paquets puis en assure l acheminement. ICMP : Internet Control Message Protocol (protocole de message de contrôle sur Internet). Ce protocole de niveau 3 permet le contrôle des erreurs de transmission sur Internet. Il complète le protocole IP qui ne gère pas cet aspect. Il est totalement transparent pour les applications et les utilisateurs. Les applications ping et tracert s appuient sur ce protocole. ARP : Address Resolution Protocol (protocole de résolution d adresse). Ce protocole assure la concordance entre les adresses Ip (niveau 3) attribuées aux machines et leurs adresses physiques réelles (MAC niveau 2). RARP : Reverse ARP (protocole ARP inversé). Ce protocole est essentiellement utilisé par des stations de type terminal qui souhaitent connaître leur adresse IP. SNMP : Simple Network Management Protocol (protocole simple d administration de réseau). Ce protocole de niveau 3 permet à des administrateurs de superviser les équipements présents sur un réseau local. RIP : Routing Information Protocol (protocole d information de routage). C est un protocole de niveau 3 qui permet aux routeurs de communiquer entre eux pour déterminer la route optimale d un message. IPX : Internetwork Packet Exchange (échange de paquets inter-réseaux). Ce protocole de niveau 3 a été créé par Novell qui l a abandonné au profit de IP. Niveau Transport TCP : Transmission Control Protocol (protocole de contrôle de transmission). C est un protocole de transport (niveau 4) qui assure un échange de données fiables entre deux hôtes distants en mode connecté. Il garantit l ordre et la remise des paquets, il en vérifie l intégrité et assure la retransmission des segments altérés ou perdus par le réseau lors de leur transmission. Cette qualité est consommatrice de ressources car chaque segment fait l objet d un accusé de réception. UDP : User Datagram Protocol (protocole de datagrammes utilisateur).

34 33 C est le protocole alternatif à TCP pour les applications nécessitant des transferts rapides, comme la vidéo, la voix sur IP, Il fonctionne en mode non connecté en offrant un service de datagrammes qui ne garantit ni la remise ni l ordre des paquets économisant ainsi des ressources et du temps de traitement. SPX : Sequenced Packet Exchange (échange de paquets séquencés). Ce protocole de niveau 4 a été développé par la société Novell, en complément du protocole IPX assez largement abandonné. 4.2 Adressage IP Préambule : Tout équipement connecté à un réseau est identifié de manière unique par son adresse physique. C est l adresse MAC. C est une suite de 48 bits soit 6 octets généralement inscrite sur la carte réseau par son constructeur. Les postes sont connectés à des réseaux locaux communiquant entre eux, d où la nécessité d utiliser des adresses logiques distinctes des physiques afin de pouvoir identifier une machine sur un réseau distant. L adresse IP est cette adresse logique qui identifie chaque ordinateur connecté à Internet, ou plus précisément l interface avec le réseau de tout matériel (ordinateur, routeur, imprimante, ) connecté à un réseau informatique utilisant le protocole IP. Il existe deux versions : La version 4 (IPV4) où l adresse IP est composée de quatre octets (32 bits). C est celle qui est majoritairement utilisée sur les réseaux locaux. Elle présente toutefois l inconvénient majeur de n offrir que 4 milliards d adresses. L épuisement de ces adresses est prévu pour 2010, Dans la version 6 (IPV6), l adresse IP comporte seize octets (128 bits). Cette version est actuellement utilisée par les opérateurs de télécommunication sur les réseaux d infrastructure. L avantage de cette version est le grand nombre d adresses possibles : 3,4 X 1038 adresses Adressage IPV4 Les adresses IP sont des nombres de 32 bits qui contiennent 2 champs de longueur variable : Un identificateur de réseau (NET-ID) : toutes les machines d un même réseau physique doivent posséder le même identificateur de réseau pour pouvoir communiquer entre elles. Tous les réseaux inter-connectés doivent posséder un identificateur unique. Un identificateur d hôte (HOST-ID) : un équipement connecté sur un réseau TCP/IP est appelé hôte. Il identifie de façon unique une station de travail, un serveur, un routeur ou tout autre périphérique TCP/IP au sein d un même réseau. La concaténation de ces deux champs constitue une adresse IP unique de 32 bits sur le réseau. La limite entre le NET-ID et le HOST-ID est déterminée par le masque de sous réseau. Pour des aspects pratiques, les adresses 32 bits sont divisées en 4 octets de huit bits qui sont ensuite convertis en nombres décimaux pouvant prendre des valeurs comprises entre 0 et 255. Ce format est appelé la notation décimale pointée. Ex : Chaque adresse IP est complétée par un masque de réseau qui permet de définir clairement la partie identifiant le réseau de celle identifiant l hôte. Il indique le nombre de bits à partir de la gauche qui constituent l adresse réseau et peut être exprimé sous deux formes : noté après l adresse IP et dans le même format. Ex : / noté/n après l adresse IP où n représente le nombre de bits composant le NET-ID en notation décimale. Ex : /24 (Net-ID = )<<

35 34 L identificateur de l hôte est, quant à lui constitué du reste des bits situés à droite de l adresse IP. Ex : /24 (Host-ID = 1) Sur un même réseau local, la première et la dernière adresse ne sont pas utilisables par un hôte car elles ont une signification particulière. La première référence le réseau lui-même et la dernière référence tous les ordinateurs de ce réseau. Elle est appelée adresse de diffusion (broadcast address). Exemple pour l adresse /24 l adresse réseau est et l adresse de broadcast sera Le nombre d hôtes adressables sur un réseau local dépend donc de la taille de son masque et se calcule par la formule 2 (32-n) 2 où n est la longueur du masque. Dans notre exemple ==> 2(32-24)-2 = 254 adresses Lorsque un hôte cherche à communiquer avec une machine située sur un autre réseau (Net-ID différent), il doit alors connaître l adresse d un routeur sur son réseau local et s adresser à lui. C est ce qui est indiqué comme passerelle par défaut dans les paramètres de l hôte. Dans le cas où plusieurs routeurs sont présents sur le réseau, il est alors nécessaire de spécifier plusieurs passerelles possibles. Il faut alors ajouter des indications dans la table de routage pour indiquer quelle passerelle utiliser pour chaque réseau à atteindre. Avant 1993, sur Internet, les masques de sous réseau n étaient pas utilisées et les adresses IP étaient réparties en classes qui définissaient automatiquement la longueur du champ NET-ID. Classe Type d adresse Adresse réseau Adresse locale Préfixe NET-ID sur de à binaire A Grands Réseaux 0 8 bits 24 bits B Moyens réseaux bits 16 bits C Petits réseaux bits 8 bits D Diffusion E Réservé Avec ce système, les bits du préfixe déterminent la classe de l adresse, et pour les classes A à C la limite entre adresse réseau et adresse locale se déduit, sans que l on ait besoin d utiliser un masque de réseau ; la limite est fixe et située entre deux octets. En 1993, la croissance de l Internet a conduit à utiliser une autre méthode appelée CIDR (Classless Inter- Domain Routin, soit routage entre domaines sans classe) pour définir et attribuer des adresses IP, dans laquelle la limite entre adresse réseau et adresse locale est variable grâce à l ajout du masque. Un bloc d adresses CIDR est désigné sous la forme : /21 Dans cet exemple, est la première adresse du bloc. 21 est le nombre de bits du masque et représente l adresse du réseau (NET-ID). Il y a donc 11 bits pour l adresse locale (HOST-ID), soit = 2046 adresses qui vont de à Des blocs d adresses sont par convention réservés pour les réseaux locaux privés : Adresses privées Adresse du réseau Adresse de diffusion 10/ / / Ces adresses ne sont utilisables qu à l intérieur d un réseau local et ne peuvent pas être routées sur Internet. Enfin d autres adresses IP ont une signification particulière : adresse source par défaut X adresse destination par défaut adresse de bouclage des hôtes

36 Adressage statique En IP V4, nous avons vu que chaque hôte doit disposer d au moins trois paramètres pour pouvoir communiquer, à savoir une adresse IP de 32 octets, un masque de réseau et l adresse d une passerelle permettant la communication vers un autre réseau. Dans le système d adressage statique (ou fixe), l administrateur doit paramétrer manuellement chaque hôte de son réseau local. Ce système comporte principalement deux inconvénients : Sur des réseaux importants, le paramétrage manuel génère une charge de travail importante et multiplie les risques d erreurs. Les adresses IP attribuées ne sont plus disponibles même lorsque les hôtes sont éteints ou déconnectés du réseau, ce qui peut poser des problèmes de manque de ressources. Le principal avantage réside dans le fait que chaque hôte est identifiable de façon précise et permanente grâce à son adresse IP, ce qui peut simplifier le travail d administration Adressage dynamique DHCP L adressage dynamique est géré par le protocole DHCP (Dynamic Host Configuration Protocol) qui a pour vocation d assigner automatiquement aux hôtes de son réseau local, les paramètres réseaux nécessaires à son fonctionnement. Il allège ainsi la charge de travail de l administrateur et permet de gérer potentiellement un nombre d hôtes supérieur au nombre d adresses réellement disponibles. Les serveurs DHCP peuvent êtres : internes au réseau local L administrateur installe le service DHCP sur un serveur, et définit une plage d adresse IP et une durée de vie pour les adresses distribuées appelée bail. Il configure ensuite les postes de façon à ce qu ils utilisent ce protocole. Quand un hôte ne s est pas connecté pendant une durée supérieure au bail, l adresse IP qui lui avait été attribuée redevient disponible pour les autres stations. externe au réseau local Les fournisseurs d accès à Internet (FAI) utilisent ce protocole pour fournir aux routeurs installés chez leurs clients une ou des adresses IP publiques permettant l interconnexion d un poste ou d un réseau local avec le réseau Internet. C est l ICANN (Internet Corporation For Assigned Names and Numbers) qui assure l attribution des adresses IP publiques du réseau Internet aux opérateurs. Elles seront affectées, le temps d une connexion, à ses clients. 4.3 Introduction à IPV6 Comme nous l avons déjà vu, l adressage IPV4 sur 32 bits se révèle insuffisant et sa saturation devrait arriver dans les quelques années à venir. Pour contourner cet écueil, un nouvelle version d IP, dite IPV6, a vu le jour en 1998 sous le n de RFC Elle est en cours de déploiement chez les opérateurs de réseau. Les principaux apports de cette nouvelle version sont : Un plus grand espace d adressage, c est la plus flagrante évolution mise en avant lorsqu on parle d IPv6. Les adresses sont codées sur 128 bits permettant ainsi d adresser un milliard de réseaux, ce qui autorisera le déploiement de nouvelles applications qui nécessitent des communications de bout en bout (téléphonie mobile, vidéoconférence, applications en temps réel). Un en-tête simplifié et efficace : l en-tête IPv6 est de taille fixe. Alors que les options d en-tête IPv4 étaient examinées par tous les nœuds intermédiaires d une communication, les extensions IPv6 ne seront gérées que par les équipements terminaux. Les équipements intermédiaires sont donc déchargés d une partie des traitements et la gestion des paquets erronés est déléguée aux couches supérieures telles TCP ou UDP ce qui rend le routage plus simple et plus rapide. L autoconfiguration : elle met en œuvre un certain nombre de nouveaux protocoles associés à IPv6 (protocole de découverte des voisins, nouvelle version d ICMP ). L auto configuration permet à un équipement de devenir complètement «plug and play». Il suffit de connecter physiquement la machine pour qu elle acquière une adresse IPv6 et une route par défaut.

37 36 Le support de la mobilité : il a été introduit dès la conception d IPv6. Les données destinées à une machine qui a été déplacée sont automatiquement retransmises vers sa nouvelle position, son nouveau lieu de connexion, à l échelle planétaire. l authentification et le chiffrement : IP v.6 intègre IPSec (protocole de création de tunnel IP avec chiffrement), qui garantit un contexte sécurisé par défaut. qualité de service : IPV6 permet une gestion de flux étiquetés avec des priorités et offre des garanties sur le délai maximal de transmission. Les adresses IPv6 sont codées sur 128 bits divisés en 8 groupes de 16 bits représentés par 4 chiffres hexadécimaux et séparés par «:». Les masques reprennent la notation CIDR de la version 4 du protocole IP c est à dire sous la forme : «adresse/longueur de préfixe». Exemple d adresse : 5800:10C3 : E3C3 : F1AA : 48E3 : D923 : D494 : AAFF/96, La représentation IPv6 peut encore être simplifiée en supprimant les zéros en tête dans chaque bloc de. 16 bits. Cependant, chaque bloc doit avoir au moins un chiffre individuel. Par exemple, avec la suppression du zéro en en-tête, la représentation de l adresse 21DA : 00D3 : 0000 : 2F3B : 02AA : 00FF : FE28 : 9C5A devient 21DA : D3 ::2F3B : 2AA : FF : FE28 : 9C5A Certains types d adresses contiennent de longues séquences de zéros. Pour simplifier la représentation d IPv6, une séquence contiguë de 0 par blocs de 16 bits sont mis à zéro dans le format hexadécimal «deux point» pour être compressée en «::». 4.4 Segmentation Sur le réseau local d un établissement, chaque hôte peut potentiellement communiquer avec n importe quel autre, ce qui peut aller à l encontre des règles de sécurité définies. Il convient donc de prévoir des dispositifs permettant de séparer les communications autorisées de celles qui ne le sont pas. Ces dispositifs peuvent intervenir aux différents niveaux du modèle OSI en contrôlant les flux du niveau physique au niveau applicatif. Lorsqu ils interviennent sur l une des trois couches basses, on parle de segmentation du réseau. La segmentation d un réseau local a également comme effet d en améliorer les performances en diminuant le trafic par segment Segmentation physique Au niveau de la couche physique, la segmentation consiste à gérer plusieurs réseaux locaux physiquement distincts. C est la méthode la plus ancienne et la plus sûre, mais elle manque de souplesse et engendre des coûts d infrastructure et d administration élevés. Dans cette situation chaque hôte ne peut communiquer qu avec ceux connectés au même réseau local et toute dérogation à cette règle impose la mise en place de systèmes filtrants d interconnexions de réseau comme des Firewalls. C est une solution en voie de disparition. L évolution des switchs permet désormais de gérer une séparation efficace des réseaux de façon plus souple en affectant un réseau à chaque prise, comme nous le verrons plus loin dans ce chapitre (cf. VLAN niveau 1) Segmentation liaison Au niveau de la couche liaison, la segmentation consiste à gérer plusieurs réseaux locaux grâce aux adresses MAC identifiant de façon unique chaque hôte. Dans cette situation chaque hôte ne peut communiquer qu avec ceux dont les adresses MAC sont autorisées par le switch auquel il est connecté, comme nous le verrons plus loin dans ce chapitre (cf. VLAN niveau 2).

38 Segmentation en sous-réseaux IP Au niveau de la couche réseau, la segmentation consiste à gérer plusieurs réseaux IP différents grâce à l usage de plages d adresses privées distinctes ou en modifiant le masque des adresses IP pour faire varier le HOST-ID et créer ainsi de nouveaux réseaux. Pour la seconde méthode, il faut récupérer un certain nombre de bits en en-tête de l adresse locale (HOST- ID) pour compléter l adresse du réseau (NET-ID) et constituer ainsi des adresses de nouveaux réseaux. Dans cette situation chaque hôte ne peut communiquer qu avec ceux appartenant au même réseau. Il ne peut joindre les hôtes des autres réseaux que par l intermédiaire d un dispositif de routage (cf. VLAN niveau 3). On a vu que adresse IP = adresse réseau + adresse locale et que le masque définissait le nombre de bits affectés à l adresse réseau. Pour l adressage IP avec sous-réseau, on récupère donc une partie de l adresse locale pour créer celle du sous réseau. Ainsi, adresse IP = adresse réseau + adresse sous-réseau + adresse locale, et le masque définit le nombre de bits affectés à adresse réseau + adresse sous-réseau. Il faut dimensionner ce sous-adressage en fonction des besoins. n bits d adresse sous-réseau correspondent à 2n sous-réseaux, et diminuent d autant le nombre de stations par sous-réseau. Pour exemple, le réseau de masque ou/24 comportant 254 adresses peut être décomposé en quatre sous-réseaux de 62 adresses. Cela donne : Sous-Réseau Masque Premier hôte Dernier hôte ou / ou / ou / ou / ou en 1 sous-réseau de 126 adresses et 2 de 62 adresses ; cela donne : Sous-Réseau Masque Premier hôte Dernier hôte ou / ou / ou / Les Vlan ou réseaux virtuels Le réseau VLAN (Virtual Local Area Network), ou réseau local virtuel est un domaine de diffusion, ce qui veut dire qu une information émise par une station n est reçue que par les stations appartenant à ce Vlan. Il regroupe un ensemble de machines de façon logique et non physique. Il permet de constituer autant de réseaux logiques que l on désire sur une seule infrastructure physique. Ces réseaux logiques auront le même comportement que des réseaux physiques. Un lien physique unique peut supporter le trafic de plusieurs réseaux virtuels ; il prend alors le nom de «lien trunk». C est typiquement le cas d un lien entre deux commutateurs ou entre un commutateur et un routeur. Ses avantages principaux sont la réduction du trafic de diffusion, une grande souplesse dans les modifications de l architecture logique sans modification de l infrastructure physique, et un gain significatif en terme de sécurité. Les VLAN sont définis par les standards IEEE 802.1D, 802.1p, 802.1Q et Il est extrêmement important de s assurer que les éléments actifs implémentent les mêmes normes avant de se lancer dans la mise en place de VLAN. Il en existe trois principales typologies selon le niveau OSI (cf. Segmentation) :

39 VLAN niveau 1 (par port) Appelé Port-Based VLAN en anglais. Chaque port du commutateur est associé à un Vlan particulier. La station qui s y trouve connectée ne peux alors communiquer qu avec celles connectées à un port appartenant au même VLAN. Certains ports peuvent être dits «tagués». Ce mécanisme qui peut être statique ou dynamique modifie les trames pour identifier leur VLAN d appartenance. Il est défini par la norme 802.1Q. Un port tagué peut véhiculer les trames de plusieurs VLAN Dans cette configuration, le déplacement d une station de travail, nécessite une intervention de configuration des Vlan sur les commutateurs concernés. De plus, l implémentation de cette technologie n est pas toujours exactement la même d un constructeur à l autre ce qui oblige à une cohérence complète des éléments actifs présents sur son réseau local. En revanche, cette technologie permet une bonne isolation des stations par VLAN ainsi qu un niveau de performance élevé VLAN niveau 2 (par adresse Ethernet) Appelé VLAN MAC ou MAC Address-Based VLAN en anglais. Les réseaux virtuels de ce type associent les adresses MAC des hôtes à un VLAN. Une station ne peut alors communiquer qu avec celles dont les adresses MAC sont identifiées comme appartenant au même VLAN. Chaque Vlan possède donc une table des adresses mac des hôtes lui appartenant. Le changement d emplacement d une station est alors totalement transparent, mais le travail de gestion des tables d adressage est fastidieux. La sécurité est plus faible que sur un VLAN de niveau 1 dans la mesure où il est sensible à l usurpation d adresses MAC (MAC address spoofing) VLAN niveau 3 Cette dénomination est en réalité un abus de langage puisque cette technique consiste à réaliser une segmentation du réseau local par sous réseau IP ou par protocole, comme nous l avons vu au chapitre précédent (segmentation). Chaque hôte ne peut alors communiquer qu avec les stations appartenant au même réseau IP ou utilisant le même protocole. L utilisation de plusieurs réseaux ou protocoles permet donc de créer automatiquement plusieurs VLAN sans intervention sur les éléments actifs du réseau. Il suffit de configurer l adresse IP ou le protocole d un poste client pour qu il appartienne automatiquement à un VLAN donné. Les deux principaux types de VLAN de niveau 3 sont donc : par protocole : Ce serait le cas d un réseau ayant plusieurs systèmes d exploitations (Microsoft, Novell, MAC etc..) avec par exemple, d un côté le protocole TCP/IP et de l autre IPX/SPX. Par réseau IP : Chaque réseau crée automatiquement un VLAN. Par exemple la station /25 peut communiquer avec la /25 mais ne le pourra pas avec la /25. Les VLAN de niveau 3 sont les plus simples à administrer. En revanche, ils sont plus lents que les VLAN de niveau 1 et 2, car chaque switch effectue des opérations de routage en analysant les paquets jusqu au niveau 3 ou parfois 4 pour connaître son «Vlan» d appartenance. Il faut donc des équipements plus coûteux (commutateurs de niveau 3 ou routeurs). La sécurité est également plus faible que celle des VLAN de niveau 1 et 2 à cause de la relative simplicité de mise en œuvre de l usurpation d adresse IP (IP spoofing). Enfin, une attention particulière doit être apportée à l utilisation d anciennes générations de protocole comme NetBEUI par exemple, qui sont parfois encore présentes sur certaines stations du réseau local et qui ne peuvent pas être utilisées sur ce type de VLAN car ils ne sont pas routables.

40 Recommandations Protocoles réseaux Comme nous venons de le voir, les protocoles réseaux spécifient un ensemble de règles structurées en couches pour permettre la communication entre différents équipements. Afin de s y retrouver, ils sont classés au sein de familles ou de piles dont les principales sont AppleTalk, Bonjour, IPX/SPX, SNA, TCP/IP, Les réseaux des établissements devront utiliser exclusivement la pile de protocole TCP/IP à l exclusion de tout autre. Les équipements qui utiliseraient encore des familles différentes devront être repérés et reconfigurés ou remplacés. Une attention particulière sera apportée aux photocopieurs numériques connectés qui embarquent souvent toutes les piles de protocoles connues. Une analyse du réseau local (cf. chapitre 6.6) permettra de s assurer de la propreté du réseau local Adressage IP Au sein de la pile TCP/IP, il existe désormais des normes du protocole IP qui gèrent la couche réseau. La version 4, aujourd hui très largement majoritaire sur les réseaux locaux et la version 6 très utilisée sur les réseaux des opérateurs. Cette dernière permet surtout d offrir un très grand nombre d adresses (1038) pour éviter un manque sur le réseau Internet public. Sur le réseau local d un établissement, ce problème n existe pas et l adoption de la nouvelle version IP ne se justifie nullement. En conséquence, tous les EPLEFPA utiliseront exclusivement un plan d adressage en IP V4 conforme à celui préconisé par le CNERTA dans le cadre des logiciels de gestion administrative (LGA). Le masque est positionné à 24 bits et le réseau local respecte alors le plan suivant : 10. (numéro de département). (numéro de site). (numéro de station)/24 Par exemple : /24 Ce plan d adressage autorise 254 stations connectées sur le réseau ce qui peut s avérer trop juste dans un certain nombre d établissements. Dans ce cas le plan d adressage sera alors découpé en sous-réseaux suivant les types d usages en respectant le modèle suivant : Administratif : /24 Pédagogique : /24 Réseau Wifi : /24 etc Le respect de cette règle permet de créer potentiellement 10 sous réseaux de 254 stations chacun. Dans tous les cas, la mise en place d un réseau sans fil se fera impérativement dans un sous-réseau spécifique. Dans tous les cas, l utilisation de plusieurs sous-réseaux IP sur un même réseau local oblige à le segmenter par la mise en place de réseaux virtuels ou VLAN. Les adresses IP des éléments actifs, des serveurs et des périphériques permanents (Imprimantes, NAS, ) seront fixes et attribués manuellement lors de l installation. Les adresses IP des stations de travail de chaque réseau ou sous-réseau pourront être distribuées par un serveur DHCP après vérification de l adresse MAC et sous réserve que le traçage des connexions internet soit réalisé avec le nom d utilisateur et non pas l adresse du poste Segmentation et réseaux virtuels (VLAN) Comme nous l avons vu dans la partie théorique de ce chapitre, la segmentation d un réseau local a pour vocation d en améliorer la sécurité et/ou les performances. Tous les établissements d enseignement ne sont pas confrontés aux mêmes difficultés ni au mêmes besoins, principalement en fonction de leur importance. Ils peuvent être classés en deux grandes catégories : Les petits établissements où le nombre d utilisateurs et de postes permet un contrôle efficace des accès aux différentes ressources sur la base d une authentification classique auprès d un serveur d annuaire ou de domaine. Sur les structures de ce type, le réseau local ne risque pas la saturation en terme d adresses ou de performances.

41 40 Les établissements importants où le nombre d utilisateurs et de postes ne permet pas un contrôle efficace de l accès aux ressources présentes sur le réseau local. Sur les structures de ce type, les 254 adresses disponibles par défaut ne suffisent pas et la performance du réseau peut se dégrader s il n est pas configuré de façon optimale. Cette situation nous conduit à effectuer deux recommandations différentes concernant le réseau local Ethernet. En revanche et dans tous les cas, la mise en place d un réseau Wifi se fera avec une stricte segmentation par rapport au réseau local Réseaux de moins de 200 postes Les réseaux locaux de cette importance ne nécessitent pas de segmentation liée à une pénurie d adresses ou de performance. Toutefois, pour des raisons de sécurité, nous recommandons la séparation des parties administratives et pédagogiques du réseau local par la mise en œuvre de deux réseaux virtuels (VLAN) de niveau 1 couramment appelés «Port Based VLAN». Dans cette configuration, chaque port sur chaque switch est affecté au réseau pédagogique ou au réseau administratif ou aux deux. Ce type de solution est la meilleure des trois types de VLAN du point de vue de la sécurité, de la performance et du coût financier. Elle nécessite toutefois un paramétrage de chaque port par l administrateur du réseau, ce qui n est pas très pénalisant sur des LAN de cette taille. L intégration d un troisième sous-réseau dédié à la connexion de point d accès Wifi est simple et rapide à réaliser. Les switchs nécessaires à la mise en place de cette configuration doivent assurer une commutation de niveau 2, être administrables et répondre aux normes 802.1Q, 802,1X Réseaux de plus de 200 postes Les réseaux locaux de cette importance peuvent connaître des problèmes de pénurie d adresses, de performance et de sécurité. Nous recommandons la séparation des parties administratives et pédagogiques du réseau local par la mise en œuvre d au moins deux réseaux virtuels (VLAN) de niveau 3 et de type sous réseau IP (cf. chapitre 4.7.2). Chaque sous-réseau ainsi créé peut contenir 254 stations. Dans cette configuration, chaque réseau virtuel se voit attribué une plage d adresse spécifique. L adresse attribuée à un périphérique défini le VLAN auquel il appartient indépendamment du port physique auquel il est connecté. Chaque station ne peut alors communiquer qu avec celle de son VLAN et doit contacter un routeur pour atteindre un autre VLAN. Le routeur doit permettre la gestion des règles régissant les échanges entre les différents VLAN du réseau local. L administration des switchs est très simple puisque la gestion de la sécurité est alors reportée sur le Routeur. Ce type de solution nécessite l acquisition de switchs plus coûteux et la mise en place d un dispositif de filtrage (Firewall) des flux et d authentification des stations. Il offre en revanche une très grande capacité de croissance et d évolution. Les switchs nécessaires à la mise en place de cette configuration doivent assurer une commutation de niveau 3, être administrables et répondre aux normes 802.1x et 802,1Q. Ils implémentent souvent des fonctions évoluées, comme les ACL par exemple, permettant une gestion plus fine de l utilisation du réseau local en terme de sécurité et de performance Évolution d architecture Un réseau local segmenté par des VLAN de niveau 1 peut être amené à croître de telle sorte qu il doive faire face à une pénurie d adresse. Dans ce cas, la mise en place d un VLAN de niveau 3 conservant l architecture en place est possible. Dans ce cas, il sera nécessaire de changer le plan d adressage global de l établissement et de mettre en place un commutateur de niveau 3 au cœur du réseau. Sur les switch de niveau 2 déjà en place, il sera alors indispensable d assurer une cohérence sans faille au niveau de chaque port afin qu à un numéro de VLAN de niveau 1 soit associé un VLAN de niveau 3. La mise en place d une solution mixte de ce type nécessite une grande rigueur dans le gestion du réseau et s avère un peu lourde à administrer, mais elle permet une évolution progressive et limite les coûts en permettant d éviter le remplacement de tous les switch de niveau 2.

42 Réseaux Wifi Dans tous les cas de figure, le déploiement d un réseau sans fil de type Wifi sur un établissement fera l objet d une stricte segmentation par rapport au réseau local en place. Pour d évidentes raisons de sécurité, les points d accès ainsi que les stations seront placés dans un sousréseau IP spécifique et connectés aux ressource d Internet ou du réseau local par l intermédiaire d un Firewall ou d un commutateur permettant la gestion de la sécurité (802.1x) comme exposé au chapitre 6. Dans la mesure du possible, les points d accès seront connectés au réseau local par l intermédiaire d un câblage physiquement distinct ou par la mise en œuvre d un VLAN de niveau 1. 5 Interconnexion des réseaux de l EPL Lorsqu un EPLEFPA est composé de plusieurs sites géographiques distincts, il s avère nécessaire d inter connecter les réseaux locaux pour permettre le partage des outils informatiques comme les Logiciels de Gestion Administrative. La distance séparant les différents centres est habituellement de plusieurs kilomètres. Il est alors indispensable de faire appel aux services d un «opérateur» qui se charge de l acheminement des données via ses infrastructures de réseaux métropolitains (MAN) ou de réseaux étendus (WAN). 5.1 MAN/WAN La classification des réseaux d opérateurs utilisés pour l interconnexion des sites repose essentiellement sur la distance. Par convention, on parle de MAN (Metropolitan Area Network) lorsque la distance est comprise entre la centaine de mètres et quelques kilomètres. Les techniques utilisées sont généralement les fibres optiques ou les ondes radios (Wi-Fi/WiMax). Lorsque la distance est au-delà de quelques kilomètres, on utilise alors le terme de WAN (Wide Area Network) qui sont gérés par les grands opérateurs Technologies des WAN Ligne louée ou ligne spécialisée Ce type de lignes est une liaison point à point entre le réseau local du client et celui de l opérateur. Elle est alors exclusivement utilisée par le trafic client. Les sites distants sont alors reliés entre eux par des liaisons dédiées et le réseau de l opérateur. Cette technologie est fiable et sûre mais son coût est généralement très élevé Circuit commuté Les connexions de ce type sont connues en France sous le terme de liaisons RNIS (ISDN en anglais) ou NUMERIS. Elles fonctionnent suivant le principe de la commutation de circuit comme des liaisons téléphoniques classiques et utilisent les protocoles HDLC ou PPP. La facturation est réalisée en fonction de la durée de communication, ce qui génère des coûts trop élevés pour une utilisation permanente Commutation de paquets Cette technologie utilise les réseaux de transport de données de grands opérateurs qui peuvent ainsi garantir les débits et la qualité. Les connexions de ce type utilisent principalement les protocoles Frame Relay, ATM, MPLS,. Elles ne sont quasiment plus utilisées pour la desserte des abonnés Internet Le réseau Internet offre désormais une couverture importante du territoire ainsi qu une qualité et des débits de bon niveau. Son important déploiement a permis d atteindre des coûts très largement inférieurs aux autres solutions.

43 42 Il devient la solution d interconnexion des sites moyennant la mise en oeuvre d un réseau privé virtuel (cf. 5.2, 5.3 et 5.4). Cette technologie logicielle utilise le chiffrement et d autres techniques pour donner l impression de disposer de son propre réseau privé tout en utilisant le réseau Internet. Cette solution, qui tend à supplanter toutes les autres grâce à son faible coût, confère cependant une qualité de service moindre. L interconnexion de sites via le réseau Internet ne peut être envisagée que sur des liaisons à haut débit qui utilisent généralement les technologies DSL (cf. chapitre 2) sur des lignes téléphoniques et peuvent donc être déployées rapidement et à moindre coût. Elles ont toutefois des inconvénients : la portée est limitée à quelques kilomètres, et le débit dépend grandement de la longueur et de la qualité de la ligne. Les offres les plus fréquentes sont l ADSL et le SDSL : ADSL et ses variantes. L ADSL (asymetric DSL) est la variante la plus répandue : elle offre un assez bon compromis entre performances et coût. Elle est bien adaptée à une clientèle grand public. Toutefois, l ADSL souffre de plusieurs défauts : la distance maximale entre le répartiteur de l opérateur et le client est d environ 5 à 6 kilomètres ce qui rend certaines lignes non éligibles, le débit est limité à 8 Mbit/s, valeur possible uniquement sur les lignes courtes, souvent inférieures à 2km, le débit est asymétrique : les données circulent plus rapidement vers l abonné (download) que vers Internet (upload). Le débit en upload est généralement 4 fois plus faible que celui en download. L asymétrie des voies de transport est donc parfaitement adaptée à la navigation sur Internet où l on reçoit beaucoup d informations pour très peu d émissions. En zone urbaine, l ADSL2 + permet de pallier certains de ces défauts. C est une version améliorée de l ADSL qui utilise une bande de fréquence élargie. Elle permet un débit maximal d une vingtaine de Mbit/s. Mais plus la ligne est longue, plus le gain de débit par rapport à l ADSL se réduit jusqu à devenir insignifiant à partir de 3 km. SDSL (symetric DSL) : L ADSL n est plus pertinente lorsque l on est appelé à envoyer soit-même un gros volume de données, ce qui est le cas pour l interconnexion de sites distants ou l hébergement de serveurs ou services Internet. Il convient alors de se tourner vers les offres SDSL ou SHDSL, voire les lignes louées. Les technologies de DSL symétrique offrent un même débit en download et en upload. Elles permettent, aujourd hui et sous conditions d éligibilité, d offrir des débits symétriques compris entre 1 et 8 Mbit/s. Contrairement à l ADSL, le SDSL ne réserve pas une partie de la bande passante pour le transport de la voix téléphonique et ne peut donc pas être déployée avec une liaison téléphonique standard Autres (XDSL, Wimax, FTTx ) Dans certains cas particuliers, les opérateurs peuvent être amenés à proposer des technologies alternatives pour la connexion haut débit à Internet : Les liaisons sans fil de type Wifi ou Wimax. Elles sont abordées au chapitre et du présent document. Les liaisons VDSL et VDSL2 qui, avec une bande de fréquence plus large et un encodage plus efficace, offrent des débits symétriques très élevés, mais sur de courtes distances. Le satellite est une offre un peu à part dont le principal avantage est la disponibilité sur l ensemble du territoire. L accès peut être mono ou bidirectionnel et permet un débit de 1 ou 2 Mbit/s pour un coût raisonnable. Son principal inconvénient est la latence (temps de réponse) des connexions qui est rédhibitoire pour des applications interactives. Les technologies de téléphonie mobile : grâce à la convergence et à l augmentation des débits, ces technologies sont de plus en plus utilisées pour accéder à Internet. Elles ont l avantage d être fiables, robustes mais elles restent souvent coûteuses et assez complexes à mettre en oeuvre, ce qui les réserve plutôt à des usages de type nomade. Demain, la fibre optique. La fibre optique fait son entrée dans la partie desserte des abonnés. Le FTTx (Fiber To The ) permet d augmenter le débit offert au grand public et aux professionnels en s affranchissant des opérateurs du réseau téléphonique traditionnel. En France, plusieurs grands projets urbains sont en cours (Pau, Bordeaux, Paris, ). Le FTTx est également utilisé ponctuellement pour desservir des

44 43 entreprises, mais les coûts restent encore très élevés. C est une alternative qui devrait très probablement connaître un essor important au cours des prochaines années Notion de qualité du service (GTR, débits ) La qualité de service de la ligne internet est désormais cruciale, surtout dans le cadre de son utilisation comme service d interconnexion des réseaux locaux d un EPL. Une interruption de service paralyse quasiment complètement le système d information de l établissement. Le débit n est qu un des indicateurs de performance d une connexion à prendre en compte. Les principaux paramètres à considérer sont : Le débit théorique. C est la quantité de données transmise pendant une unité de temps. Elles est exprimée en kbit/s ou Mbit/s. La garantie du débit. Les offres commerciales sont souvent exprimées en débit théorique qui correspond souvent à un débit maximum rarement atteint. Il existe des offres dites de débits garantis d un coût supérieur. La latence ou délai de transmission. C est le temps nécessaire à la traversée du réseau. Elle s exprime en millième de secondes. La gigue ou variation du délai. C est l écart entre les délais de transmission des différents paquets. Elle s exprime en millième de secondes. Le taux d erreur. C est le pourcentage de paquets de données perdus ou altérés sur le total de paquets envoyés La GTR (garantie de temps de réponse). C est la durée contractuelle sur laquelle l opérateur s engage à répondre et/ou à rétablir la liaison. Le taux de disponibilité du réseau, exprimé en pourcentage. La facilité de contact de la maintenance. La capacité d évolution technologique de l infrastructure. 5.2 RPV/VPN Les EPL sont de plus en plus souvent structurés autour de plusieurs sites géographiques distants de plusieurs kilomètres. Les applications et les systèmes distribués font désormais partie intégrante de leur système d information. Il faut donc assurer leur accès sécurisé au sein de toutes les structures de l établissement. La première solution pour répondre à ce besoin de communication sécurisée consiste à relier les réseaux distants à l aide de liaisons spécialisées. Si elles sont sûres et fiables, le coût des solutions de ce type est trop élevé. Il est beaucoup plus économique d utiliser Internet comme support de transmission sous réserve de le sécuriser fortement en mettant en oeuvre un réseau privé virtuel (RPV), plus connu sous le sigle anglais de VPN (Virtual Private Network) Présentation du concept Cette solution consiste à utiliser Internet comme support de transmission avec un protocole d encapsulation (tunneling en anglais) pour transmettre les données entre deux sites distants. Des données très sensibles peuvent être amenées à transiter sur le VPN (données personnelles, financières, notes ). Elles doivent donc être transmises sans souci de confidentialité ni d intégrité. Des techniques de cryptographie sont mises en oeuvre à cette fin. Elles permettent une authentification au niveau des paquets pour s assurer de la validité des données, de l identification de leur source ainsi que de leur non-répudiation en faisant généralement appel à des dispositifs de signatures numériques ajoutées aux paquets. La technologie actuelle en matière de cryptographie permet d assurer un niveau de sécurité maximal. Ce réseau est dit virtuel car il relie deux réseaux locaux par une liaison à faible coût (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d autre du VPN peuvent comprendre et exploiter les données transmises. Il existe 3 grandes catégories de VPN Standard.

45 Accès nomades Ce type d accès est fréquemment nommé VPN HtoG pour Host to Gateway ou VPN Roadwarrior. Il est utilisé pour accéder à certaines ressources prédéfinies d un établissement sans y être physiquement présent. Il permet ainsi à un utilisateur isolé de se connecter, via Internet, au réseau de son établissement lors d un déplacement ou depuis son domicile. L utilisation de ce type de VPN est généralement possible avec les accès Internet standards des fournisseurs d accès. Il existe deux cas : La gestion du VPN par un opérateur. L utilisateur demande au fournisseur d accès de lui établir une connexion cryptée vers le serveur distant. Il se connecte alors sur le serveur d accès de l opérateur et c est ce dernier qui établit la connexion cryptée entre le réseau de l établissement et l utilisateur distant. C est une offre commerciale généralement assez onéreuse. L utilisateur possède son propre logiciel client et il établit directement la communication cryptée avec le serveur VPN situé sur le réseau local de l établissement. Cette solution nécessite que chaque utilisateur dispose du logiciel permettant d établir le tunnel de communication. Dans tous les cas, ce type d utilisation impose la mise en place d une authentification forte des usagers. Elle peut se faire par une vérification "login/mot de passe" de qualité, par un dispositif de jetons sécurisés avec mots de passe aléatoires, par un dispositif de question secrète ou par certificats numériques Accès de site à site Ce type d accès est fréquemment nommé VPN GtoG pour Gateway to Gateway ou VPN de transport. Il relie deux ou plusieurs réseaux locaux d une même structure (par exemple les réseaux des sites d un EPL). Il permet d éviter de recourir à des lignes dédiées très onéreuses. Avec ce type de VPN, l établissement possède virtuellement un seul et même réseau local dont les communications inter sites passent par Internet. Comme pour les VPN nomades, Il existe deux cas : La gestion du VPN par un opérateur. Tous les sites appartenant à ce réseau virtuel doivent être opérés par le même fournisseur d accès qui assure alors son bon fonctionnement. La gestion locale du VPN. Dans ce cas tous les sites sont équipés d une même solution de dispositif de gestion du VPN, qu elle soit matérielle ou logicielle Accès Extranet Ce type de VPN concerne les établissements ou structures désireux d ouvrir en partie leur système d information à des partenaires externes. Ils ouvrent alors leur réseau local à ces derniers. Dans ce cas surtout, l administrateur du VPN doit pouvoir tracer les utilisateurs externes sur le réseau et gérer les droits de chacun sur celui-ci. Ces VPN sont principalement utilisés dans le cadre du commerce électronique pour permettre aux clients, fournisseurs ou partenaires d accéder à certaines données d une entreprise. Presque tous les sites «e-commerce» ainsi que les banques, offrent ce type de connexion sécurisée à leurs clients. Dans le cadre d un établissement, les accès des agences comptables peuvent être mis dans cette catégorie. Les solutions techniques mises en œuvre dans le cadre de ce type d accès sont les mêmes que pour les deux autres type de VPN Cohabitation de VPN Il est de plus en plus fréquent qu une structure offre des services de VPN nomade pour son personnel, des services de VPN de transport pour ses sites distants et soit client de VPN Extranet de partenaires. Par exemple, un EPL peut offrir un service d accès nomade pour la gestion des notes directement par les enseignants, relier tous ses sites et antennes par un VPN de transport dans le cadre de l usage des LGA et être en même temps client du VPN Magellan du MINEFI (cf. illustrations chapitre 1). Il est important que l établissement s attache à vérifier auprès de son fournisseur d accès que sa connexion Internet ainsi que celles de ses utilisateurs distants offrent un maximum de compatibilité avec les solutions VPN choisies.

46 Technologies VPN Les technologies VPN s appuient sur des protocoles normalisés que nous pouvons classer en trois catégories en fonction du niveau de la couche TCP/IP auquel ils interviennent : Les protocoles de niveau 2 comme Pptp et L2tp. Les protocoles de niveau 3 comme IPsec ou Mpls. Les protocoles de niveau 4 comme SSL Protocoles de niveau PPTP Pptp (Point to Point Tunnelling Protocol) est défini par la Rfc C est un protocole qui utilise une connexion point à point à travers un réseau IP pour créer un réseau privé virtuel. Pour ce faire, il ouvre deux canaux de communication entre un client et un serveur : Un canal pour le contrôle et la gestion du lien. Un canal transportant le trafic du réseau privé au niveau IP et s appuyant sur le protocole Gre (Generic Routing Encapsulation). Le tunnel est créé en trois phases de connexion : Le client effectue d abord une connexion de type Ppp avec son fournisseur d accès Internet. Elle permet ainsi de faire circuler des données sur Internet. Une seconde connexion dial-up est alors établie avec le serveur VPN PPTP. Elle permet d encapsuler les paquets Ppp dans des datagrammes IP formant ainsi le tunnel Pptp. Tout trafic client conçu pour Internet emprunte la connexion Ppp normale, alors que le trafic conçu pour le réseau privé distant, passe par le tunnel Pptp. La clôture du tunnel est assurée par le serveur en fin de communication. Cette solution de VPN nomade est développée par Microsoft et intégrée dans toutes ses versions de Windows. Elle s appuie sur plusieurs algorithmes propriétaires de Microsoft pour la compression (Mppc), le chiffrement des données (Mppe) et l authentification des utilisateurs (Ms-Chap). De par son intégration native dans la sphère Windows, elle est très employée par les solutions commerciales L2TP L2tp (Layer 2 Tunneling Protocol) est défini par la Rfc C est une évolution du protocole Pptp qui permet la gestion de VPN de transport. Il est développé conjointement par Microsoft et plusieurs acteurs clés du marché des réseaux. Il permet d établir un tunnel de niveau 2 capable de transporter n importe quel protocole de niveau supérieur. Le tunnel ainsi établi transporte simultanément plusieurs connexions. Il repose sur deux concepts : Concentrateurs d accès L2tp (Lac). C est l équipement qui initie le tunnel VPN. Il fournit un support physique aux connexions L2tp et transfère le trafic vers le serveur réseau L2tp (LNS) qui constitue l autre extrémité du tunnel. Serveur réseau L2tp (Lns). C est l équipement qui termine la connexion VPN L2tp et qui gère le protocole L2tp côté serveur. Par conception, les serveurs réseau Lns ne peuvent avoir qu une seule interface de réseau local (Lan) ou étendu (Wan), ce qui est une limite de cette technologie. Ce sont eux qui sont responsable de l authentification du tunnel. En mode VPN nomade, il est nécessaire pour le client (Lac) d établir autant de tunnels VPN que de serveurs (Lns) à contacter. De plus, ce protocole n intègre pas directement le chiffrement des données. C est pourquoi l utilisation conjointe d IPsec et L2tp est préconisée par les acteurs de la sécurité des réseaux.

47 Protocoles de niveau Ipsec IPsec (IP Security) est défini par la Rfc C est un ensemble de protocoles qui vise à sécuriser l échange de données sur les réseaux IP quelle qu en soit la version. Internet utilise massivement la version 4 du protocole IP (Ipv4) et la migration vers la version 6 (Ipv6) est actuellement en cours. IPsec est basé sur deux mécanismes pour la gestion des données (souvent utilisés conjointement) et un troisième pour l échange des clefs de chiffrement : l Authentication Header (AH), assure l authentification et l intégrité, mais Il ne fournit aucune confidentialité car les données transmises ne sont pas encodées. Il utilise un mode transport. l Encapsulating Security Payload (ESP), assure l authentification, l intégrité et la confidentialité des données. Il utilise un mode tunnel. Pour l échange de clés, le IKE (Internet Key Exchange) permet de gérer les échanges ou les associations entre protocoles de sécurité. Une communication protégée à l aide d IPsec est appelée une SA (Security Association soit association de sécurité). Chaque SA gère l ensemble des paramètres nécessaires au bon fonctionnement d un tunnel (les protocoles AH et/ou ESP, mode tunnel ou transport, les algorithmes de sécurité utilisés, les clés utilisées, ) Chaque SA est unidirectionnelle. Une communication classique, protégée dans les deux sens, requiert donc deux associations. On parle alors d un paquet de SA (bundle). IPsec utilise une base de données des associations de sécurité (SAD) pour gérer les SA actives. Elle contient tous les paramètres de chaque SA et est consultée pour savoir comment traiter chaque paquet reçu ou à émettre. IPsec utilise une base de données de politique de sécurité (SPD) qui contient l ensemble des choix de sécurité et permet de décider, pour chaque paquet, s il faut ou non apporter des services de sécurité, s il est autorisé à passer ou doit être rejeté. IPsec a recours à des algorithmes cryptographiques et utilise donc des clefs qu il doit être en mesure de générer, distribuer, stocker et supprimer. Il utilise à cette fin le protocole «Internet Key Exchange» (IKE) qui fournit des mécanismes d authentification et d échange de clef adaptés à l ensemble des situations qui peuvent se présenter sur Internet. IPsec utilise deux modes de fonctionnement : Le mode transport qui est utilisé en mode VPN nomade. Dans ce mode, la couche IPsec s insère de façon transparente entre la couche TCP et la couche IP. TCP envoie ses données vers IPsec comme il les enverrait vers IP. Ce mode est un peu moins sûr, dans la mesure où la couche IP n est pas masquée, mais il est plus simple à mettre en oeuvre. Le mode tunnel qui est utilisé en mode VPN transport (GtoG) entre deux Firewall ou routeurs. Dans ce mode, les données envoyées par l application traversent la pile de protocoles jusqu à la couche IP incluse, puis sont envoyées vers le module IPsec. C est un mode très sûr car le masquage d adresses est complet Mpls (Multi protocol label switching) Le protocole Mpls fut initialement développé pour donner une plus grande puissance aux commutateurs IP en accélérant le routage sur Internet. En effet, pour chaque paquet, les routeurs doivent analyser l adresse de destination contenue dans l en-tête de niveau 3 puis consulter une table de routage pour déterminer sur quelle interface il doit sortir. Le principe de base de Mpls est la commutation de labels qui sont de simples nombres entiers insérés entre les en-têtes de niveaux 2 et 3. Les routeurs permutent alors ces labels tout au long du réseau jusqu à destination, sans avoir besoin de consulter les en-têtes IP ni les tables de routage. C est un protocole utilisé par les opérateurs de réseaux. Il est défini par la Rfc Les tunnels sont créés entre les routeurs Mpls d extrémités appartenant à l opérateur et dédiés à des groupes fermés d abonnés, qui constituent ainsi des VPN opérateurs.

48 Protocole de niveau 4 SSL (Secure Sockets Layer) Les VPN de ce type s appuient sur le protocole SSL qui est couramment utilisé pour la sécurisation des échanges sur Internet. Il est implémenté en standard dans tous les navigateurs Internet, ce qui présente le gros avantage d être déjà présent sur tous les postes clients. Les solutions VPN basées sur ce protocole sont plus simples à mettre en oeuvre que leurs concurrentes. SSL est un protocole de niveau 4 (transport) qui est utilisé à l origine par une application pour établir un canal de communication sécurisé avec une autre application. Il s insère, comme IPsec en mode transport, entre les couches TCP et IP. Il offre deux grands services que sont, l authentification du serveur et du client à l établissement de la connexion puis le chiffrement des données durant la communication. Son utilisation SSL-VPN est flexible dans le choix du chiffrement et de l authentification qui peut être basée sur des mots de passe fixes, des jetons ou encore des certificats numériques. Ce type de VPN a l avantage d être simple à utiliser et de ne pas nécessiter d installation de logiciels ou de hardwares spécifiques. 5.4 Les différentes solutions VPN Il existe trois grandes familles de solutions VPN : Les offres VPN des opérateurs Ce sont des solutions basées sur le protocole Mpls ou Mpls/IPsec. Tous les grands fournisseurs d accès du marché français sont en mesure d offrir ce type de service qui oblige cependant à ce que tous les sites du VPN soient connectés par leur intermédiaire Les solutions commerciales Elles sont principalement sous la forme de boîtiers dédiés à cette fonction, mais on les trouve également en version logiciel à installer sur des serveurs. Tous les grands acteurs du monde des réseaux et/ou de la sécurité possèdent des offres de ce type. Elles sont très souvent basées sur les protocoles IPsec ou SSL installées sur des noyaux «Linux» sécurisés et administrables par le biais d interfaces Web. Ce sont également quasi systématiquement des firewalls et des routeurs. A la demande du marché, ces boitiers intègrent de plus en plus souvent, sous forme d options payantes, des fonctions complémentaires comme le filtrage anti-virus, anti-spam, la détection d intrusion, etc Les solutions logiciel libre. Elles existent sous la forme de distributions dédiées, généralement basées sur la version BSD de Linux, et utilisant majoritairement les mécanismes d IPsec. Elles sont développées et maintenues par les communautés du monde du libre ou parfois par de grandes institutions publiques. C est d ailleurs le cas du Ministère de l Education Nationale avec les solution AMON et EOLE. Comme pour les solutions commerciales, à qui elles servent d ailleurs souvent de base, elles peuvent intégrer, sous forme de modules complémentaires, toutes les fonctionnalités liées à la sécurité et au contrôle des réseaux. Les deux solutions libres les plus utilisées dans le monde de l enseignement sont IpCop et PfSense.

49 Recommandations Support d interconnexion La structuration des établissements en EPLEFPA multi sites impose de prévoir leur interconnexion. La solution la plus efficace et la plus sécurisée consiste à mettre en place de liaisons dédiées couramment appelées liaisons louées par les opérateurs, mais leurs coûts sont très élevés. Cet aspect nous conduit à recommander l utilisation des liaisons Internet comme support d interconnexion des différents sites de l EPL. L usage d Internet pose de gros problème de confidentialité et de sécurité dans la mesure ou c est un réseau public ou l information circule en clair. Son usage impose donc la mise en œuvre d une solution de type RPV (VPN) permettant de garantir la sécurité et la confidentialité des échanges entre les réseaux de l établissement. L usage d Internet pour interconnecter des réseaux locaux génère des flux d informations émises sensiblement égaux aux flux d informations reçues. Les liaisons Internet de type ADSL ne sont donc pas adaptées à ce cas et doivent être remplacées par des liaisons de type SDSL qui offrent un débit identique en émission comme en réception. L utilisation de connexion par fibre optique sera également envisageable dans le futur. L utilisation d Internet comme support d un réseau privé virtuel impose bien évidemment que chacun des sites soit directement adressable sur Internet et que chaque connexion SDSL soit assortie d une ou plusieurs adresses IP fixes. Une attention particulière devra être apportée à la qualité de la liaison Internet en terme de garantie de service. Il sera indispensable de souscrire une offre SDSL dont le débit est garanti par l opérateur. En effet, la plupart des débits annoncés dans le cadre des offres commerciales sont des débits crêtes (maximum) ne faisant l objet d aucune obligation contractuelle. Dans le même esprit, il faudra définir précisément le temps de rétablissement maximum de la liaison en cas de coupure grâce à une clause communément appelée GTR (Garantie du Temps de Rétablissement) dans les contrats des opérateurs. En résumé, une liaison SDSL à débit garanti de 4 Mbps avec une GTR de 4 heures doit constituer une cible raisonnable à atteindre sur les sites principaux des EPLEFPA Type de Réseau Privé Virtuel La mise en place de RPV entre les sites d un même EPL ainsi qu entre des utilisateurs nomades et le réseau de l établissement est impérative Les RPV inter sites Les réseaux privés virtuels permettant l interconnexion des sites d un établissements seront impérativement de niveau 3. Les opérateurs offrent souvent des solutions clefs en main intéressantes basées pour la plupart sur le protocole Mpls. Toutefois, les connexions Internet des établissements sont pour la plupart gérées dans le cadre de marchés publics régionaux conduisant à des changements réguliers d opérateurs. Les solutions de ce type sont donc à éviter. Nous recommandons la mise en œuvre de réseaux privés virtuels de niveau 3 basés sur le protocole IpSec à partir d équipements installés dans l établissement Les RPV nomades L accès à des ressources de l établissement depuis Internet par des postes isolés s effectuera impérativement par une solution de RPV de niveau 3 ou 4 permettant d établir une connexion sécurisée avec l équipement cité au paragraphe précédent. Dans le cas d une solution technique gérée par l établissement, nous recommandons l usage du logiciel libre et gratuit OpenVpn qui permet l utilisation de postes nomades Windows, Linux ou MacOS.

50 Solutions techniques Les réseaux privés virtuels sont ordinairement gérés par les Firewall mis en place pour sécuriser l accès à Internet. Ces dispositifs sont souvent de type tout en un et centralisent toutes les fonctions liées à la gestion d Internet (RPV, Proxy, filtrage, ). Comme nous l avons vu précédemment, il en existe principalement deux grands types, des solutions commerciales généralement sous forme de boitier dédié appelé «appliance» et des solutions issues du monde du logiciel libre. Un certain nombre de régions ont pris en charge la sécurisation de l accès Internet dans le cadre d un marché régional souvent connexe à celui des liaisons Internet. Dans ce cas, ils ont souvent déployé des boitiers «appliance» qui permettent toujours la mise en œuvre de RPV. L établissement doit alors se retourner vers l opérateur de la solution pour lui faire configurer ses liaisons inter-sites et ses accès nomades. D autres régions ont choisi d utiliser les solutions logiciels libres finalisées et utilisées par le Ministère de l Éducation Nationale et qui permettent également la mise en place de tous les types de RPV. Enfin, pour les établissements qui ne sont pas intégrés dans un dispositif régional, nous recommandons l usage des solutions logiciels libres et gratuites dont les deux principaux représentants sont IpCop et PfSense. Elles permettent toutes deux la mise en œuvre de RPV IpSec de site à site ainsi que la gestion d accès nomades à partir d OpenVPN. De plus, ce sont des solutions éprouvées et complètes permettant, au même titre que les solutions commerciales, la gestion de tous les aspects liés à la sécurité des accès Internet. Elles nécessitent toutefois la formation d un administrateur en capacité de les paramétrer. A ce jour, la solution PfSense est plus puissante et permet une gestion plus fine mais présente l inconvénient de ne pas être traduite en français et de nécessiter un administrateur de réseau compétent. La solution IpCop est quand à elle traduite et plus simple à paramétrer. Elle est donc conseillée dans les établissements de petite ou moyenne taille disposant d un administrateur peu ou pas spécialisé dans le monde des réseaux et de leur sécurisation. 6 Sécurité des réseaux 6.1 Notions de sécurité informatique La sécurité Informatique a pour principal objectif la protection de l information contenue dans les systèmes et des services permettant d y accéder contre les désastres, les erreurs et les manipulations illicites. La mise en place d une politique de sécurité des systèmes d information (PSSI) consiste à identifier ce qui doit être protégé et comprendre les risques encourus afin de mettre en place les bonnes parades en identifiant les solutions organisationnelles, en choisissant les bonnes solutions techniques puis en contrôlant régulièrement sa mise en œuvre Les principes l Le point faible : la sécurité peut être comparée à une chaîne tributaire de son maillon le plus faible et doit donc être abordée dans sa globalité en prenant en compte les aspects humains, organisationnels, techniques et réglementaires. l La proportionnalité : le niveau et le coût de la protection doivent correspondre à l importance et à la valeur de l information à protéger pour la durée strictement nécessaire Les critères de sécurité La sécurité informatique repose essentiellement sur quatre critères universellement reconnus qui permettent de définir pleinement les besoins : La confidentialité : l information ne peut être divulguée qu aux personnes autorisées, La disponibilité : l information doit être accessible aux personnes autorisées quand elle leur est utile,

51 50 L intégrité : l information doit être exacte, complète et n avoir fait l objet d aucune modification non autorisée, La preuve : les accès à l information sécurisée doivent être tracés et conservés de façon exploitable L évaluation et l analyse des risques Avant de sécuriser, il convient de déterminer quelles sont les informations sensibles dont dispose l établissement ainsi que leurs degrés respectifs de sensibilité au regard des critères précédemment énoncés. Cette première étape réalisée, il est alors important d identifier correctement les menaces pouvant peser sur les informations sensibles identifiées. Les plus fréquentes auxquelles un système d information puisse être confronté sont : Un utilisateur du système : une grande partie des problèmes de sécurité informatique est généralement dû à une erreur d utilisation, Une personne malveillante : une personne externe ou interne qui accède à des données ou à des programmes à des fins étrangères aux besoins du système d information (usage commercial, sabotage, ), Un programme malveillant : un logiciel destiné à nuire, à abuser des ressources du système ou à accéder à des données non autorisées (virus, chevaux de Troie, ), Un sinistre : vol, incendie, dégât des eaux, mauvaise manipulation ou malveillance entraînant une perte de matériel et/ou de données Les objectifs et la politique de sécurité A l issue de l étape d identification et d analyse des risques, il faut définir ses objectifs en matière de PSSI. Ils permettent d identifier et de fixer des priorités dans les actions à mener, les organisations et les procédures à mettre en place pour prévenir les risques énoncés. Le respect de la PSSI du Ministère de l Agriculture et de la Pêche est le préalable à la déclinaison d une politique locale. Les principaux axes concernent en général : La sensibilisation et la formation des utilisateurs Le respect des règles juridiques (CNIL, droits d auteur, ) La sécurité physique des locaux et des matériels La gestion des droits d accès aux locaux, aux données, au réseau, Les procédures de sauvegarde, de gestion des mots de passe, L organisation des équipes informatiques, de la maintenance, Les procédures de contrôle Le choix et la mise en œuvre des principaux dispositifs techniques comme les antivirus, les Firewall, les détecteurs d intrusion, les tunnels VPN, le cryptage des données, Enfin, il faut toujours considérer que la sécurité d un système d information n est jamais acquise, qu aucune solution technique n est pérenne et que les erreurs humaines sont toujours possibles. Les chapitres suivants abordent les différents aspects spécifiques à la sécurisation des réseaux informatiques. 6.2 Authentification Définition/Enjeux D une manière générale, l authentification est la procédure qui consiste, pour un système informatique, à vérifier l identité d une entité (personne, ordinateur ), afin d autoriser l accès de cette entité à des ressources (systèmes, réseaux, applications ).

52 51 Dans ce chapitre, nous nous concentrerons sur l authentification d un individu, l identification d un élément matériel (ordinateur, imprimante, ). Ses autorisations d accès à un réseau sont étudiées par ailleurs (adresse IP, DHCP, Firewall, ) Nous retiendrons donc la définition suivante : L authentification permet de vérifier l identité d un individu, a l instar des contrôles d identités de la vie courante (aéroport, douanes, ), mais sur un système informatique. L analogie avec un contrôle douanier, nous permet de bien comprendre la distinction entre les termes identification, authentification et autorisation : l identification consiste à présenter ses papiers d identité l authentification consiste à vérifier la validité de ces papiers (auprès d une base nationale), à un contrôle visuel (correspondance des photos) l autorisation de passer la douane est accordée ou non, selon le résultat de l authentification. La mise en œuvre d un système d authentification permet principalement d assurer : La confidentialité : seuls les utilisateurs habilités doivent pouvoir prendre connaissance d une information ou accéder à une fonctionnalité particulière, L intégrité et la non-répudiation, qui s appuie essentiellement sur la signature électronique (quel que soit son procédé) et garantit l envoi et la réception d une transmission, La traçabilité : historique et auteur des interventions, La lutte contre les intrusions : hacking, usurpation d identité, Un certain confort : personnalisation d interface, L intérêt de l authentification est indéniable, mais sa mise en pratique n est pas une évidence. Il existe de nombreux systèmes différents, que nous présenterons plus loin et qui doivent faire face aux risques suivants : La falsification L oubli ou perte des informations d identification Le contournement du système Signalons immédiatement que le facteur humain est la principale faille d un système d authentification. Par exemple, un utilisateur confronté à une multiplicité d identifiants et mots de passe sera tenté de les écrire sur des supports accessibles à tous Schéma général

53 52 1. Le demandeur demande l accès à la ressource 2. L authentificateur demande une identification 3. Le demandeur prépare les informations d identification (hachage, cryptage) 4. Le demandeur envoie les informations d identification 5. l authentificateur vérifie l identité, par exemple auprès d une 3e entité ou d une base de données 6. L authentificateur confirme l authentification et donne l autorisation d accès à la ressource 7. Le demandeur accède à la ressource Cryptage et authentification Le schéma précédent montre qu il y a : D une part des échanges d informations entre les différents acteurs du système d authentification. Le risque est alors, qu un de ces échanges soit intercepté. Le risque est particulièrement important lors de la transmission des informations d identification. D autre part, les informations complémentaires nécessaires aux opérations de vérification sont stockées par exemple dans une base de données. L accès à ces données par une personne malveillante serait catastrophique pour le système. Pour ces deux raisons, à partir d une certaine exigence de sécurité, les systèmes d authentification sont généralement couplés à une ou des méthodes de cryptage visant à rendre impossible la lecture directe des informations stockées ou circulant sur les réseaux. Trois méthodes de cryptage sont principalement employées : Le cryptage symétrique (ex :kerberos) Le cryptage asymétrique (ex : PGP) Le hachage, qui est une méthode destructive (ex : MD5 ou SHA) Types d authentification On distingue plusieurs types d authentification : Authentification simple : elle ne repose que sur un seul élément, généralement un mot de passe (qui se traduit souvent par le nom d un enfant ou de l animal domestique préféré). Elle n offre qu une illusion d authentification et donc quasiment aucune sécurité. Authentification simple élaborée : basée sur le processus nom d utilisateur/mot de passe. Elle reste la plus courante et consiste à définir un nom utilisateur et un mot de passe associé permettant l accès à un espace de travail (cas typique des serveurs de fichiers). Authentification «forte» : les techniques d authentification dites «fortes» combinent l utilisation de protocoles d authentification et d éléments logiciels ou matériels permettant leur mise en œuvre : mots de passe jetables intégrant une composante horaire, mots de passe jetables (type S/Key, par logiciel ou calculette), certificats numériques, cartes à puce et token USB. Authentification Biométrique : La biométrie est une technique globale visant à établir l identité d une personne en mesurant une de ses caractéristiques physiques. Il peut y avoir plusieurs types de caractéristiques physiques, mais toutes doivent être infalsifiables et uniques pour pouvoir être représentatives d un et un seul individu Authentification unique L authentification unique ou, en anglais, Single Sign-On (SSO), permet à un utilisateur de ne procéder qu à une seule authentification pour accéder à plusieurs applications informatiques. Ce mode d authentification centralise tous les accès applicatifs sur une seule identification, restreignant ainsi les référentiels d authentification.

54 53 Il y a trois approches pour sa mise en œuvre : Approche centralisée : l authentification se fait via une base de données centralisée, ou plus fréquemment un annuaire de la famille LDAP, comme dans la plupart des systèmes d exploitation serveur (Active Directory, e-directory, openldap) ou les web-sso (LemonLDAP) Approche fédérative : l authentification est répartie sur plusieurs entités dont chacune gère une partie des données de l utilisateur mais la partage avec ses entités partenaires. Dans ce système, chaque utilisateur peut posséder plusieurs comptes et chaque entité conserve la maîtrise de sa propre politique de sécurité. Un exemple illustrant ce type d authentification pourrait être un ensemble de sites marchands indépendants d un point de vue commercial et organisationnel mais offrant des services complémentaires comme la location d une voiture au travers du site web d une compagnie aérienne. Liberty alliance est certainement le plus connu. Approche coopérative : l utilisateur d un service s authentifie auprès de l entité à laquelle il appartient et c est elle qui fournira au service partenaire les attributs dont il a besoin pour lui donner l accès à ses ressources. Dans ce modèle, chaque partenaire gère sa propre politique de sécurité. Les systèmes les plus connus sont Shibboleth et Central Authentification Service (CAS) Méthodes d authentification Authentification de base Informations pour l identification : mot de passe ou Login + mot de passe Authentification : Vérification du couple login/mot de passe par comparaison avec ces mêmes informations stockées, lors de la création du compte, dans un fichier texte ou une base de données. Cryptage : Aucun Atouts Inconvénients - Très simple à mettre en place - Vulnérable à l interception de trame, car mot de passe en clair Authentification digest Informations pour l identification : login + mot de passe hachés, par exemple avec MD5 ou SHA Authentification : Le hachage est comparé avec le hachage stocké, lors de la création du compte, dans un fichier texte ou une base de données. Cryptage : MD5, SHA, hachage non réversible, cela signifie par exemple qu on ne peut pas retrouver un mot de passe oublié Atouts - Simple à mettre en place - le mot de passe n est pas divulgué, ni stocké en clair et le hachage (non réversible) ne permet pas de retrouver en cas d interception du message. Inconvénients - protection contre l interception fictive, car au lieu du mot de passe, c est le hachage qui est intercepté et qui peut être réutilisé Radius Informations pour l identification : login + mot de passe hachés. Authentification : Le hachage est comparé avec le hachage stocké, lors de la création du compte, dans une base de données. Cryptage : Hachage Atouts - gestion centralisées des utilisateurs - interfaçage avec de multiples bases de données. Inconvénients - Pas d avantages par rapport à l authentification digest, si ce n est la normalisation du protocole NTLM (NT Lan Manager) Informations pour l identification : En 3 temps : Envoi du login et hachage (128 bits) du mot de passe sans l envoyer Réceptionne un nonce (nombre aléatoire) transmis par le serveur d authentification. Crypte le nonce avec le hachage du mot de passe et le transmet au serveur.

55 54 Authentification : A partir du login, le mot de passe haché de l utilisateur, stocké lors de la création du compte dans la base SAM, est retrouvé, puis crypté avec le nonce. Le résultat est comparé au résultat transmis. Cryptage : Hachage 128 bit Atouts - mot de passe non divulgué - natif sur les systèmes windows. Inconvénients PGP, SSH, SSL Informations pour l identification : Certificat (clé publique) Authentification : Le certificat peut être vérifié auprès d une autorité de certification. Les réponses sont cryptées avec la clé publique et ne pourront par conséquent être décryptées qu avec la clé privée. Cette dernière n étant qu en possession du client, le décryptage assure l identité. Généralement, le premier échange consiste à partager une clé de session (symétrique) qui servira à chiffrer les messages ultérieurs, car l utilisation du cryptage asymétrique est relativement lent et n est réservé qu au cryptage de la clé de session ou de la signature d un message. Cryptage : Cryptage asymétrique (RSA) et symétrique (clé de session) Atouts - mot de passe non divulgué - l utilisateur est maître de ces certificats et unique détenteur de la clé privée. Inconvénients - les clés publiques doivent être distribuées à toute les entités en communication Kerberos Informations pour l identification et authentification : Le client demande un ticket auprès d un centre de distribution de clés appelé KDC (Key Distribution Center) Ce ticket accompagné d une clé de session sont transmis au client. Ils sont cryptés avec sa clé privée, l ensemble des clés privées des clients étant stockées sur le KDC. Le KDC fournit également cette clé de session à un serveur nommé TGS (ci-après). Elles est évidemment cryptée avec la clé privée du TGS. le décryptage du ticket et de la clé de session assure l authentification du client. le client peut alors contacter le service d émission de tickets, le TGS (Ticket-Granting Service), et doit lui fournir la clé de session cryptée avec la clé privée du TGS reçue précédemment du KDC. Le décryptage de cette clé permettra d authentifier le TGS. Le TGS pourra alors fournir des tickets pour divers services sur présentation du ticket reçu du KDC, le client reçoit de la même façon qu avec le KDC une nouvelle clé de session et un ticket destinés au service désiré. le client contacte le service en lui fournissant le ticket et la clé de session obtenus du TGS. Cryptage : Cryptage symétrique : clé privée et génération de clés de session Atouts - durée de validité des tickets limitée - natif à partir de windows 2000 et multi-système - Gestion centralisée des clés - permet la mise en place d un SSO, en effet avec une seule authentification et pour la durée de validité du ticket fourni par le kdc, le client peut accéder à différents services. Inconvénients - Nécessite la synchronisation des horloges. - ensemble des clés privées stocké en un lieu unique. L exposition du KDC au web est risqué, par conséquent Kerberos est plutôt déstiné aux intranets - problème de compatibilités, par exemple il n existe pas d implémentation de kerberos avec ssh sous windows CAS (Central Authentification Service) C est un système d authentification unique (SSO) pour le web développé par l université de Yale, qui ne gère que l authentification au sens strict, que ce soit en local ou proxy (cas des portails). Il est implémenté sous forme de servlets (applications JAVA). Sa distribution est composée du serveur CAS, des clients CAS et des librairies et documentations. Comme Kerberos, il y a la notion de tickets (qui ne transportent aucune information) appelés opaque handles «. Deux tickets sont nécessaires au fonctionnement de base : le TGC (Ticket Granting cookie) qui est un cookie de session transmis par le serveur CAS au navigateur du client lors de la phase de login, via HTTPS, le ST (Service Ticket) qui authentifie une personne pour une application web donnée.

56 55 Si il y a utilisation d un proxy CAS, deux autres tickets sont nécessaires : le PGT (Proxy-Granting-Ticket) envoyé par le serveur CAS à une application web proxy CAS permettant à celui-ci de demander au serveur de générer un Proxy Ticket pour une application tierce et une personne identifiée. Le PT (Proxy Ticket), qui authentifie une personne pour une application distante et dont l utilisateur n a pas l accès direct. Le service ayant besoin de l authentification est en relation directe avec le serveur CAS lors de la validation du ticket, ce qui rend possible l utilisation de ce mécanisme pour transporter des informations comme les droits, les attributs (exemple de Shibbolet) SHIBBOLETH C est un mécanisme de propagation d identités et un produit open source, conçu pour répondre aux besoins des communautés de l enseignement supérieur. Il s appuie sur n importe quel système d authentification web déployé dans l établissement : Sso web (CAS par exemple), Kerberos, mod_auth d Apache C est aussi une extension de la norme SAML (Security Assertion Markup Langage) qui est un ensemble de spécifications définissant la manière dont des services peuvent s échanger des informations de sécurité (authentification, autorisation, attributs), indépendamment des technologies utilisées par chacun de ces services (comme SSO, LDAP, Kerberos, etc), lui permettant ainsi d améliorer ses fonctionnalités de fédération d identités. Il s interface avec la plupart des référentiels (LDAP par exemple) pour récupérer les attributs des utilisateurs, via des connecteurs JDBC (Java DataBase Connectivity) et JNDI (Java Naming and Directory Interface) EAP C est un mécanisme d identification universel, dont la signification est Extensible Authentication Protocol (EAP). Il est fréquemment utilisé dans les réseaux sans fil. Comme son nom l indique, c est un protocole qui définit un format spécifique d échange de trames d authentification sur le réseau et qui est extensible. C est à dire qu il comporte des méthodes d authentification prédéfinies (MD5, OTP, Generic Token Card, ) mais que d autres peuvent y être ajoutées sans qu il soit nécessaire de changer de protocole. Il permet à chaque extrémité de demander l authentification pour établir la communication. Le protocole EAP est communément utilisé avec les points d accès réseau compatible 802.1X (AP ou Switch). Les standards wifi WPA et WPA2 utilisent impérativement ce protocole comme mécanisme d identification Biométrie L empreinte digitale : c est le dessin représenté par les crêtes et sillons de l épiderme qui est unique et différent pour chaque individu, et dont on extrait les principales caractéristiques en numérisant par capteurs optiques ou ultrasoniques qui sont eux-mêmes dotés de moyens de mesure (battements cardiaques, dimensions, etc..) vérifiant la vraisemblance de l échantillon examiné. L Iris : la personne place son œil face à la caméra qui numérise le dessin de l iris formé d une infinité de points (spécifiques à chaque œil et à chaque individu, l oeil droit étant différent du gauche). C est donc une technique très fiable sur le fond, mais soumise à une variation suivant les reflets liés à l exposition et la distance oeil/caméra. Cette numérisation s effectue en noir et blanc, et n est donc pasn détériorée par l âge. La rétine : c est un balayage de la rétine effectué à très coute distance (moins de trente centimètres et donc contraignant), qui s appuie sur le dessin formé par les vaisseaux sanguins, unique aussi pour chaque œil et chaque individu et non soumis à changement lors de la vieillesse. la reconnaissance vocale : c est un ensemble de facteurs physiologiques et comportementaux. De nouvelles technologies sont à l étude, comme l ADN, la plus fiable mais qui verra difficilement le jour pour des raisons identitaires.

57 Faut-il toujours s authentifier? Si s authentifier est une exigence de sécurité imposée par une entité (site web, société, application, ), l individu qui s authentifie doit être à même de juger de la pertinence du système et d identifier lui-même, avec certitude, son interlocuteur. Par conséquent, accepter un système d authentification qui exige des informations personnelles ne doit pas être systématique mais accordé uniquement si l interlocuteur est connu et les mesures mises en place proportionnelles aux risques courus Recommandations Les recommandations relatives à l authentification s entendent dans le cadre de l application de la politique de sécurité des systèmes d information (PSSI) du MAAP pour les accès relevant de la compétence de l établissement. Les accès depuis internet se feront impérativement dans le cadre des réseaux privés virtuels abordés au chapitre 5 concernant l interconnexion des réseaux. Les accès depuis des périphériques nomades seront gérés selon les recommandations effectuées au chapitre 6.5 relatif à la sécurisation des accès nomades. Le mode d authentification retenu dans le cadre des postes du réseau local de l établissement sera du type authentification élaborée. Chaque utilisateur possédera un identifiant unique et personnel associé à un mot de passe répondant strictement aux critères définis dans la PSSI du ministère. L authentification sera assurée exclusivement par un ou plusieurs serveurs suivant la configuration du réseau local. Ce qui signifie que les postes utilisateurs n hébergeront aucun compte utilisateur autre que celui d administrateur nécessaire à son installation et à sa configuration. Toutefois, les ordinateurs portables amenés à fonctionner en dehors du réseau local, posséderont bien évidemment un compte utilisateur local qui devra également répondre aux critères de la PSSI. Ce type d équipement pourra également utiliser avantageusement un dispositif d authentification forte de type biométrique comme les lecteurs d empreintes digitales qui les équipent fréquemment. Les serveurs d authentification utilisent des annuaires comportant toutes les informations sur les utilisateurs ainsi que leur mots de passe sous forme chiffrés. Ils sont interrogés par les postes clients au moment de l ouverture d une session. Les établissements utilisent actuellement différents types d annuaire ce qui conduit à la double recommandation suivante : La famille commerciale MicroSoft Windows basée sur les annuaires de type Active Directory exploitant le protocole Kerberos. La famille issue du monde du logiciel libre basée sur les annuaires de type LDAP ou sur le logiciel libre samba et exploitant les protocoles SSL, TLS ou Kerberos. En résumé, l authentification doit impérativement être centralisée sur des serveurs d annuaire, basée sur un couple identifiant/mot de passe unique pour chaque utilisateur, strictement personnel, respectant les critères de la PSSI et ne circulant pas en clair sur le réseau local. 6.3 Firewall Concepts/Enjeux Tous les établissements possèdent un réseau local et disposent d un accès à Internet pour communiquer avec l extérieur. Cette ouverture est une porte permettant potentiellement de pénétrer le réseau local pour y accomplir des actions non désirées. Le Firewall est un dispositif matériel ou logiciel qui permet de séparer des réseaux puis de définir et de contrôler des règles de communication entre eux. En français, le terme de pare-feu est utilisé. Il symbolise une porte ou un mur empêchant les flammes de se propager vers des zones à protéger. Il est habituellement représenté sur les schémas informatiques par un mur de briques.

58 57 Cet outil permet de sécuriser au maximum le réseau local de l établissement en détectant les tentatives d intrusion pour y parer au mieux, mais également en restreignant les accès entre les sous-réseaux, quand il en existe, et Internet. C est donc une véritable tour de contrôle du trafic qui permet de s assurer que l utilisation des réseaux correspond à celle pour laquelle ils ont été prévus Principes de fonctionnement Le pare-feu contrôle le trafic entre différentes zones de différents niveaux de confiance en filtrant les flux de données qui transitent entre elles. Les zones les plus courantes sont : Le réseau local totalement contrôlé (confiance élevée) : zone du réseau local pour laquelle les règles de sécurité sont définies et appliquées (accès aux ordinateurs, logiciels installés, mots de passe ). Dans un établissement, cette zone correspond habituellement au réseau administratif. Elle peut également concerner la totalité du réseau local dans la mesure où une politique de sécurité y est appliquée. Le réseau local partiellement contrôlé (confiance partielle) : zone du réseau local pour laquelle l application des règles de sécurité ne peut être totalement garantie. Dans un établissement, cette zone correspond habituellement au réseau pédagogique. La DMZ (zone à risque) : ce sigle qui signifie DeMilitarized Zone, désigne une zone isolée sur le réseau local hébergeant des applications mises à disposition du public. Elle fait ainsi office de «zone tampon» entre le réseau à protéger et le réseau hostile et accueille habituellement des serveurs qui ont besoin d être accessibles de l extérieur (web, messagerie, ftp ). Le réseau sans fil (confiance faible) : ce type de réseau peut, par définition, être écouté à distance. Le contrôle d accès y est donc très délicat à mettre en œuvre, ce qui nécessite son isolement vis à vis du réseau local. Le réseau Internet (confiance nulle) Le pare-feu filtre les échanges entre les zones grâce à des règles définies par la politique de sécurité de l établissement. Il existe principalement deux types de politique de sécurité : «Tout ce qui n est pas explicitement autorisé est interdit», seules les communications ayant été explicitement déclarées sont autorisées. «Tout ce qui n est pas explicitement interdit est autorisé», seules les communications ayant été explicitement déclarées sont interdites. La première politique est la plus sûre, mais la plus lourde à gérer car il faut définir de façon précise et exhaustive les besoins en communication. La mise en œuvre de la politique choisie s appuie habituellement sur trois règles prédéfinies qui permettent : D autoriser la demande de connexion (allow) ; De bloquer la demande de connexion (deny) ; De rejeter la demande de connexion sans en avertir l émetteur (drop). Ce filtrage peut s effectuer selon plusieurs critères dont les plus courants sont : L origine ou la destination (adresse IP, ports, protocoles, carte réseau ) Les options contenues dans les données (fragmentation, validité ) Les données elles-mêmes (taille, correspondance à un motif, ) Les utilisateurs.

59 Types de filtrages Firewall personnel Lorsque la zone protégée se limite à l ordinateur sur lequel il est installé, on parle de Firewall personnel. Il contrôle alors l accès au réseau des applications installées sur la machine, protège des attaques du type cheval de Troie et empêche l ouverture non sollicitée d applications. Il est installé par défaut sur les principaux systèmes d exploitation récents (XP, Vista, Linux, Mac OsX) Firewall Stateless C est le plus ancien des systèmes de filtrage des pare-feu. Il fonctionne sur un principe de «Filtrage simple des paquets». Il analyse chaque paquet de chaque zone du Firewall et le compare à une liste préconfigurée de règles. Ce système est relativement lourd à gérer pour l administrateur qui est rapidement obligé de définir un grand nombre de règles qui sont autant d ouvertures potentielles. De plus, il est relativement sensible à certains types d attaques qui saturent les capacités de traitement du pare-feu Firewall stateful C est une amélioration du système de filtrage précédent. Il fonctionne sur un principe de «Filtrage dynamique paquets» ou de «Filtrage de paquets avec état». Il ajoute au filtrage simple des paquets un contrôle de cohérence avec l état des connexions en cours sur le pare-feu ainsi qu une vérification sur l ordre des paquets à l intérieur de chacune d elles. Ce système est plus performant que le filtrage simple de paquets mais il ne protège pas contre des attaques dirigées vers les failles de sécurité applicatives qui représentent une part importante des risques. Enfin les protocoles maison utilisant plusieurs flux de données ne passeront pas, puisque le système de filtrage dynamique n aura pas connaissance du protocole Firewall Applicatifs C est un système de filtrage réalisé au niveau de la couche Application. Il vérifie la conformité du paquet avec le protocole attendu. Il permet, par exemple, de vérifier que seul du HTTP passe par le port TCP 80. Ce mode de fonctionnement suppose donc une bonne connaissance des applications présentes sur le réseau ainsi que de la manière dont elles structurent les données échangées (ports, etc.). Les pare-feu applicatifs sont également appelés passerelles applicatives ou proxys applicatifs. La finesse d analyse des paquets rend ce système performant mais très gourmand en temps de calcul dès que le débit devient très important. Ce type de pare-feu doit connaitre toutes les règles des protocoles qu il doit filtrer, ce qui peut poser des problèmes d adaptabilité à de nouvelles applications Firewall identifiants C est un système de filtrage qui s appuie sur l identification des utilisateurs associés aux connexions qu il filtre. Ce système récent permet à l administrateur d utiliser comme critère de filtrage les noms des utilisateurs en lieu et place des traditionnelles adresses IP Extension des fonctionnalités Les pare-feu récents embarquent de plus en plus de fonctionnalités avancées visant à les transformer en des produits réseaux «tout en un». Elles sont souvent proposées sous forme d options pour les produits commerciaux ou sous forme d «add-on» pour les solutions logiciels libres. Les options les plus courantes sont : Filtre anti-spam, Filtre antivirus, anti-spyware, Serveurs de VPN IPsec, PPTP, L2TP, Identification des connexions, Serveurs de connexions (telnet, SSH), de transfert de fichier (SCP), Interface de configuration Web, Serveur mandataire («proxy» en anglais), Filtrage des URL accessibles,

60 59 Portail captif, Système de détection d intrusion («IDS» en anglais), Système de prévention d intrusion («IPS» en anglais), Familles de Pare-feu Solutions matérielles Elles se trouvent principalement sous deux formes : De petits boîtiers dédiés à cette fonction, alors appelés «Appliances», fabriqués et commercialisés par des sociétés spécialisées dans la sécurité des réseaux informatiques. Intégrées de façon plus ou moins avancée dans les routeurs des grands constructeurs d équipements de connexion aux réseaux. Elles fonctionnent sur le principe de la «boîte noire» avec une intégration parfaite au matériel. Leur configuration est alors réalisée à l aide d une interface propriétaire plus ou moins ardue, mais qui présente l avantage d intégrer parfaitement les autres fonctionnalités du boîtier. De plus, ces solutions étant propriétaires et très liées au matériel, les constructeurs ont toute latitude pour produire des système de codes «signés» rendant ainsi ces Firewall très sûrs. En revanche, il faut savoir que l on est totalement dépendant du constructeur du matériel pour les mises à jour, les fonctionnalités, l interface, ce qui est assez contraignant. Par exemple, si une fonctionnalité nous intéresse et qu elle n est pas implémentée par le constructeur, son utilisation est totalement impossible. Enfin, la compatibilité entre matériels de différents constructeurs, notamment en ce qui concerne les fonctions de VPN (réseau privé virtuel) est quasiment nulle. Il est donc indispensable de bien déterminer à l avance ses besoins et de choisir le matériel avec soin Solutions logicielles Ces solutions sont développées dans le but d être installées sur des serveurs ordinaires comportant plusieurs cartes réseau et utilisés comme Firewall. Il existe bien évidemment des logiciels commerciaux développés et commercialisés par les principaux acteurs du marché du logiciel et de la sécurité informatique. L audience de cette gamme de produit reste toutefois limitée dans la mesure où les solutions matérielles évoquées ci dessus leur sont très souvent préférées. La très grande majorité des pare-feu logicielle sont des versions libres fonctionnant sous Linux. En effet, ce système d exploitation (OS) offre une sécurité réseau plus élevée et un contrôle plus adéquat en embarquant de façon native un Firewall au niveau de son noyau. Les principaux pare-feu libres sous Linux sont : Ipchains avec le noyau Linux 2.2 Iptables/Netfilter sous Linux 2.4 & 2.6 Packet Filter (PF) sous Linux BSD IP Filter (IPF) sous Linux BSD et Solaris IP Firewall (IPFW) sous FreeBSD NuFW extension de NetFilter Ces outils offrent un niveau de sécurité très élevé, mais leur configuration n est pas très conviviale et nécessite l acquisition de compétences importantes. Cet inconvénient important a conduit la communauté des développeurs de logiciels libres à mettre au point des distributions Linux dédiées qui sont administrées et configurées par le biais d interfaces Web conviviales. Les principales sont à ce jour : SmoothWall : Cette distribution libre est conçue pour offrir toutes les fonctionnalités d un Firewall tout en fonctionnant sur une architecture de type PC. Il en existe aujourd hui plusieurs déclinaisons, dont certaines commerciales. On la trouve également sous forme de boitiers Appliances.

61 60 IPCop : Cette distribution est issue de SmoothWall, mais se développe désormais indépendamment avec une philosophie différente. Elle gère la zone Internet, une zone LAN, une DMZ, une zone Wifi et peut assurer les fonctions de serveur VPN, Proxy, DHCP, DNS, NTP. De nombreux modules complémentaires (Addons) lui permettent également d effectuer du contrôle de trafic, d accès, de contenus, etc. Elle n existe que sous la forme gratuite et présente l avantage d exister en version française. m0n0wall : Elle est basée sur la version FreeBSD de Linux et assure toutes les tâches d un Firewall sur un PC. Sa configuration est réalisée au démarrage par des pages PHP puis stockée au format XML. Elle gère également les VPN et embarque en plus un portail captif. On la trouve également sous forme de carte électronique et de boitiers Appliances. PfSense : C est une distribution libre et gratuite dérivée de m0n0wall. En plus des fonction de routage et de Pare feu, elle intègre sous forme de paquets un grand nombre de fonctionnalités complémentaires dont un portail captif. Elle n existe qu en version anglaise. Dans le monde du logiciel libre et à coté de ces versions Linux très populaires, il existe quelques Firewall libres fonctionnant sous Windows comme ISafer Recommandations Configuration générale Comme nous venons de le voir, le Firewall permet d administrer de façon précise les flux circulant entre les différentes parties d un réseau et plus particulièrement entre le réseau local et Internet. Sa présence est donc absolument impérative dans chaque établissement disposant d un accès à Internet. Il sera du type Firewall Stateful et interdira strictement toute connexion en provenance d Internet et à destination d un poste ou d un serveur du réseau local. Il permettra les connexions sortantes en interdisant, suivant une politique définie localement, certains protocoles comme ceux liés à l utilisation des logiciels de Peer To Peer (emule, ) ou des messageries instantanées (MSN, ). La stratégie la plus adaptée consiste à n autoriser que la navigation internet, la messagerie, les VPN, puis à ouvrir d autres usages suite aux réclamations justifiées des utilisateurs. Lorsqu un réseau Wifi existe dans l établissement, il est séparé du réseau câblé conformément au recommandations du chapitre 4 et les flux transitent par une interface dédié du Firewall qui les contrôle et leur applique les règles définies localement. Lorsqu un serveur de l établissement doit être accessible depuis le réseau Internet sans passer par l entremise d un serveur de VPN (cf. chapitre 5), il doit être impérativement positionné dans la zone appelée DMZ. Les usages de ce type doivent toutefois être limités dans la mesure où ils accroissent de façon significative le trafic sur la liaison Internet de l établissement au détriment des usages habituels. Pour ce type de service, il est recommandé de prévoir un hébergement externe Solutions techniques Comme nous l avons déjà vu notamment au chapitre 5, les Firewall intègrent généralement un grand nombre d autres fonctions et appartiennent principalement à deux grandes familles, les solutions commerciales généralement sous forme de boitier dédié appelé «appliance» et les solutions issues du monde du logiciel libre. Un certain nombre de région ont pris en charge la sécurisation de l accès Internet dans le cadre d un marché régional souvent connexe à celui des liaisons Internet. Dans ce cas, ils ont souvent déployé des solutions du type «appliance» et l établissement doit alors se retourner vers l opérateur pour lui demander de les configurer. Dans les régions qui ont choisi d utiliser les solutions logiciels libres finalisées et utilisées par le Ministère de l Éducation Nationale, l établissement assume généralement lui même le paramétrage de la fonction Firewall. Enfin, pour les établissements qui ne sont pas intégrés dans un des dispositifs précédents, nous recommandons l usage des solutions logiciels libres et gratuites dont les deux principaux représentant sont IpCop et PfSense qui sont des solutions éprouvées et complètes permettant, au même titre que les solutions com-

62 61 merciales, la gestion de tous les aspects liés à la sécurité des accès Internet. Elles nécessitent toutefois la formation d un administrateur en capacité de les paramétrer. Pour ce qui concerne la fonction de Firewall de ces deux distributions, la principale différence consiste dans la finesse du paramétrage possible. IpCop est en mesure de gérer plusieurs LAN et plusieurs liaisons Internet mais en les considérant comme un ensemble de réseaux de confiance (vert) et un ensemble de réseaux dangereux (rouge). Les règles sont alors définies entre ces ensembles et non entre les interfaces. Dans ce cas, nous recommandons l usage de l add-on «BOT» qui permet de définir ces règles de façon simple et conviviale. PfSense est une solution plus puissante qui permet la mise en place de règles entre n importe laquelle des interfaces du Firewall, ce qui peut conduire rapisement à une grande complexité. L autre différence majeure concerne l interface et la documentation qui n existent qu en version anglaise pour la distribution PfSense alors qu elle est traduite pour ce qui concerne IpCop. Les deux solutions permettent également la gestion d une zone démilitarisée (DMZ) ainsi que d une zone WIFI. En cohérence avec les recommandations du chapitre 5, la distribution PfSense est plutôt adaptée aux établissements importants comportant plusieurs sous réseaux (VLAN niveau 3) et souhaitant mettre en place une gestion précise des flux. Il faudra toutefois disposer d un informaticien familié du monde des réseaux. La distribution IpCop sera quand à elle privilégiée dans les établissements souhaitant une gestion plus simple des flux et ne disposant pas d un administrateur spécialiste des réseaux. 6.4 Filtrage Internet Concept Le filtrage d Internet est un ensemble de techniques visant à limiter l accès à certains sites sur le réseau Internet. Cette limitation d accès peut servir à empêcher des usages illégaux, à protéger les mineurs de certains contenus inappropriés, à limiter la navigation à un usage professionnel mais également parfois à censurer certains contenus. La mise en place de solutions de filtrage fait désormais partie des outils de bases indispensables à la protection du système d information, au même titre que les pare-feu ou antivirus Aspects juridiques Le droit français reconnaît 3 régimes de responsabilités lors d activités scolaires en ligne : La responsabilité administrative, dans ce cas l Etat est reconnu responsable lorsqu une faute de service à l origine du préjudice est prouvée. Une faute de service résulte d une mauvaise organisation ou d un fonctionnement défectueux, c est à dire une faute que n importe quel fonctionnaire aurait commise dans les mêmes conditions. A titre d exemple, la violation par un établissement scolaire d une règle de droit ou une négligence, une erreur, une omission dans le fonctionnement du service sont des situations qui engagent la responsabilité administrative. La responsabilité civile, dans ce cas l Etat est indirectement reconnu responsable lorsqu une faute personnelle d un enseignant ou d un personnel de la communauté éducative à l origine du préjudice est prouvée. La faute personnelle correspond au fait commis à l occasion du service, mais qui peut se détacher de la fonction. La faute résulte non pas du dysfonctionnement du service, mais du comportement individuel de l agent public, de son humeur ou de sa volonté, de sorte qu un autre agent dans les même circonstances aurait pu agir autrement. La responsabilité pénale, elle est engagée lorsqu un agent public commet une infraction définie au Code pénal. Dans ce cas il ne s agit plus de faute de service ou personnelle mais de contravention, délit ou crime selon la gravité des faits.

63 62 L administrateur du réseau a l obligation d installer et de maintenir en fonctionnement des dispositifs de filtrage pour limiter l accès à des contenus illégaux et doit conserver les fichiers de journalisation (appelés log) pendant une durée d un an. Le ministère de l Education Nationale édite le site «légamédia» dédié au droit sur Internet en milieu..scolaire, Les besoins de filtrages Internet est un ensemble inorganisé d informations de valeurs et de niveaux très variables dont certaines sont totalement illégales au regard du droit Français. Ces dernières doivent être inaccessibles depuis le réseau de l établissement, ce qui implique la présence de dispositifs de filtrage des accès au Net. Pour toutes les autres informations, le besoin de filtrage dépend d un ensemble de paramètres que l on peut définir de la façon suivante : Les contenus (légalité, objectifs pédagogiques, travail à accomplir, utilité professionnelle, etc.) Les modalités de travail (classes, groupes, CDI, administration, travail personnel, etc.) Les utilisateurs (Mineurs, élèves majeurs, apprentis, enseignants, administratifs, etc.) Les besoins de filtrage sont donc multiples et nécessitent une réflexion préalable qui permettra d aboutir à une politique cohérente concernant TOUS les usagers du réseau de l établissement en fonction des critères pré-cités. La mise en place d une charte d utilisation d Internet connue de tous est un moyen efficace d éducation à l utilisation du réseau ainsi qu un outil de prévention des risques. La nécessité d un contrôle des accès Internet en milieu scolaire est une évidence. Elle passe par la mise en œuvre de dispositifs techniques plus ou moins complexes qui doivent êtres connus de tous et accompagnés d actions visant à la connaissance et au respect des lois Le principe technique Proxy Pour pouvoir filtrer les requêtes effectuées par un utilisateur depuis un ordinateur du LAN vers Internet il faut disposer d un intermédiaire capable de l analyser. C est le serveur mandataire, couramment appelé Proxy. Le Proxy est donc un serveur informatique qui a pour fonction de relayer des requêtes entre un poste client et un serveur sur Internet. Ils permet d assurer les fonctions suivantes : la mémoire cache qui permet d accélérer la navigation ; la journalisation des requêtes qui permet la surveillance ; la sécurité et l anonymat des postes du réseau local ; le filtrage des requêtes. Il en existe deux grande familles. La première, appelée Proxy générique, sert principalement d intermédiaire pour les requêtes relatives à la navigation sur Internet et fonctionne donc principalement avec les protocoles de la famille http, https et ftp. La seconde, appelée Proxy SOCKS, est beaucoup moins courante mais elle élargit ses fonctions de mandataire aux protocoles de messageries, messageries instantanées, etc. Les Proxy peuvent fonctionner en mode transparent, c est à dire intercepter et traiter automatiquement toutes les requêtes d un réseau local, ou en mode explicite qui nécessite une configuration du navigateur des postes clients. La plupart d entre eux permettent également de demander aux utilisateurs de s authentifier avant la navigation, ou pour certains, de récupérer les informations d authentification auprès du réseau local. Le Proxy est un élément clef de la sécurisation des systèmes d information qui est très souvent intégré aux solutions de sécurisation du réseau qu elles soient matérielles, logicielles ou sous forme de distributions Linux dédiées.

64 Les types de filtrages Le filtrage des accès peut être réalisé suivant différents critères : IP/DNS : Les technologies employées peuvent être le blocage des adresses IP par un routeur et la redirection par un DNS. Le filtrage peut être fait sur des adresses de machines, sur des noms de domaine, ou bien sur des numéros de port correspondant à des protocoles connus pour la communication distribuée entre applications. Le filtrage peut être réalisé avec des pare-feu ou des proxys. Contenu : Le filtre de contenu permet de contrôler l utilisation de l Internet et de bloquer l accès à des millions de sites classés par catégories. On peut ainsi augmenter la productivité, minimiser les risques de poursuites, préserver la bande passante et prévenir les attaques en bloquant les fichiers automatiquement téléchargés tels que Java, ActiveX ou encore les cookies. Black List/White List : Une liste noire est un ensemble de dossiers classés par catégories tels que forums, blogs, et bien d autres, dans lesquels on trouve des listes de noms de domaines ou de pages web auxquels l accès est bloqué. La liste blanche quant à elle est le contraire, on y trouve les sites et pages web auxquels les usagers ont accès. Mots clefs : Le mécanisme de filtrage empêche l accès aux pages dont l adresse et/ou le texte contiennent certains mots. Les «listes noires» comprennent par exemple des mots relatifs à la sexualité, au jeu en ligne ou au racisme. La méthode comporte le risque d un taux élevé de faux positifs (par exemple, si un centre de formation veut interdire les sites pornographiques à ses apprenants et que, pour cela, il interdit l accès aux pages contenant des mots relatifs à la sexualité, il risque aussi de bloquer l accès à des informations médicales) Les outils de filtrage Solutions matérielles Comme pour les Firewall vus au chapitre précédent, elles fonctionnent sur le principe de la «boîte noire» avec une intégration parfaite au matériel. La fonction de serveur mandataire et de filtrage est intégrée avec les autres fonctions de sécurité sur le même boîtier. La configuration est alors réalisée à l aide d une interface propriétaire intégrant parfaitement toutes les fonctionnalités de la solution. Les outils de ce type sont bien évidemment propriétaires liant l établissement à un constructeur en terme de mises à jour, de fonctionnalités, d interfaces, etc. La très grande majorité des boîtiers de sécurisation de réseaux de tous les grands fabricants et éditeurs de ce secteur intègre, souvent sous forme d option, un serveur Proxy et des solutions de filtrage des accès Solutions logicielles Ce type de solution peut être installé localement sur un poste, comme dans le cadre des logiciels de contrôle parental, ou des serveurs mandataires permettant ainsi de traiter la totalité des requêtes émises depuis un réseau local. Nous ne traiterons ici que de la seconde famille. Il existe un très grand nombre de logiciels commerciaux développés et commercialisés par les principaux acteurs du marché du logiciel et de la sécurité informatique. Ils présentent en général les mêmes avantages et inconvénients que les solutions matérielles évoquées ci dessus. La plupart des distributions Linux dédiées à la sécurité informatique et qui sont évoquées au chapitre sur les Firewall intègrent un serveur mandataire et des fonctions de filtrage. Elles utilisent quasiment toutes les outils de la famille Squid, SquidGuard et DansGuardian qui sont libres et distribués selon les termes de la licence GNU GPL. Squid est un Proxy capable d utiliser les protocoles FTP, HTTP, Gopher, et HTTPS. Il intègre toutes les fonctionnalités d un serveur mandataire traditionnel (cache, filtrage, journalisation, ) et permet de gérer l authentification au sein des réseaux de types Microsoft. SquidGuard est un outil permettant de filtrer les requêtes suivant un ensemble de règles (URL, horaires, utilisateurs, type de fichiers, ). Il utilise, pour le filtrage des URL, le principe des listes blanches et listes noires et notamment celles tenues à jour par l université de Toulouse. Si l utilisateur essaie de se connecter à un site contenu dans une liste noire, il est redirigé vers une page prédéfinie par l administrateur.

65 64 DansGuardian est un système de contrôle de contenu qui s exécute sous Linux et Unix, en conjonction avec Squid. Il utilise plusieurs méthodes paramétrables pour déterminer si une page web doit être bloquée. Parmi elles ; un système de pondération détecte des mots interdits dans une page, et lui assigne un score en fonction de la gravité et du nombre de mots détectés. DansGuardian bloque alors les pages dont le score dépasse un certain seuil. Il est également en mesure d utiliser des listes noires d URL Logs (cf. analyse réseau) Traces/Archivages Un fichier log est un fichier journal au format texte qui pour chaque page vue sur un site (pour le cas d un fichier log d un serveur httpd) enregistre un certain nombre d informations (Nom d utilisateur, adresse IP, fichier atteint (hit), date, heure, ). Ces informations sont stockées sur une ligne. Chaque ligne représente un accès ou à une tentative d accès à une page d un site Recommandations Obligations légales L établissement assume la responsabilité des élèves qui lui sont confiés. «Il doit veiller à ce que ces derniers ne soient pas exposés à subir des dommages, et n en causent pas à autrui, qu il s agisse d autres usagers ou tiers au service». Cela vaut pour l ensemble des activités prises en charge par l établissement dont l usage de l Internet. De cette obligation de surveillance découle le règlement intérieur de l établissement qui doit fixer de manière simple et exhaustive les modalités de surveillance des élèves dans le respect des droits et obligations de chacun. Dans les établissements, la responsabilité administrative incombe principalement au chef d établissement, qui en tant que représentant légal doit assurer le bon ordre, la sécurité des biens et des personnes, l application du règlement intérieur ou l organisation du personnel lors des activités en ligne. A cette fin, le conseil d administration de l EPLEFPA votera une charte d utilisation de l Internet élaborée par l établissement et qui sera annexée au règlement intérieur. En complément, l administrateur du réseau a l obligation d installer et de maintenir en fonctionnement des dispositifs de filtrage pour limiter l accès à des contenus illégaux et doit conserver les fichiers de journalisation pendant une durée d un an. Ce dispositif technique concerne la totalité du personnel ainsi que tous les apprenants utilisant l accès Internet de l établissement. La présence d un dispositif de filtrage et d archivage des accès Internet complété par une charte informatique est donc absolument impérative dans chaque établissement. Des ressources internet relatives aux aspects juridiques des TICE sont à votre disposition : Le réseau des DRTIC tient à jour une rubrique nommée «Leg@TICE» sur son portail internet : educagri.fr/ Le ministère de l Éducation Nationale tient à jour un site Web de veille juridique : education.fr/legamedia/ Nous recommandons de sensibiliser tous les personnels de l établissement à l existence de ces sites afin qu ils puissent se tenir informés des responsabilités qui leur incombent au regard de l usage d Internet Solutions techniques Comme nous l avons déjà vu dans les chapitres précédents, les solutions de sécurisation des réseaux intègrent généralement un grand nombre d autres fonctions et en particulier celles liées au filtrage des accès Internet couramment appelés «Proxy».

66 65 Les régions qui ont pris en charge la sécurisation de l accès Internet ont souvent déployé des solutions du type «appliance» et l établissement doit alors se retourner vers l opérateur de cet équipement pour s assurer des conditions de mise œuvre du filtrage et de l historisation des accès. Dans les régions qui ont choisi d utiliser les solutions logiciels libres finalisées et utilisées par le Ministère de l Éducation Nationale, l établissement assume généralement lui même le paramétrage de cet équipement. Enfin, pour les établissements qui ne sont pas intégrés dans un des dispositifs précédent, nous recommandons l usage des solutions logiciels libres et gratuites basées sur le proxy «Squid» et son complément «Squid- Guard» en le paramétrant pour qu il effectue un filtrage basé sur l utilisation des listes noires (Blacklist) maintenues pour le compte du Ministère de l Éducation Nationale par l université de Toulouse. Ces listes sont par ailleurs également intégrables à certaines solutions commerciales. Elles sont accessibles sur : En totale cohérence avec les recommandations effectuées dans les chapitres relatifs aux dispositifs de sécurisation d Internet, nous conseillons de recourir aux deux principales distributions issues du logiciel libre que sont IpCop et PfSense. Pour ce qui concerne les fonctions de Proxy et de filtrage, ces deux distributions sont très proches dans la mesure où elles s appuient les mêmes outils Squid et SquidGuard. Ils sont intégrés à la solution PfSense au niveau des packages complémentaires. Concernant IpCop, nous recommandons l usage des add-on «adv_proxy» et «url_filter» qui permettent un paramétrage plus convivial et détaillé. En ce qui concerne les fonctions de proxy et de filtrage des accès, la solution IpCop est plus simple à mettre en œuvre et offre le même niveau de puissance que la PfSense. Nos recommandations entre ces deux outils seront donc plus basées sur leurs autres fonctions et donc dans la continuité des autres chapitres : La distribution PfSense n existe qu en version anglaise. Elle est plutôt adaptée aux établissements important comportant plusieurs sous réseaux et disposant d un informaticien familié du monde des réseaux. La distribution IpCop est quant à elle plus adaptée aux établissements souhaitant une gestion plus simple et ne disposant pas d un administrateur spécialiste des réseaux. 6.5 Sécuriser les accès nomades au réseau local La notion d accès nomade aux ressources d un réseau local revêt plusieurs aspects. Ce nomadisme peut concerner un ordinateur portable physiquement présent sur le site géographique ou un ordinateur distant. Dans ce second cas, la solution est abordée au chapitre 5 avec les VPN d accès nomade. Pour les ordinateurs portables, on peut distinguer : Les portables de l établissement potentiellement utilisables en tous lieux, Les portables personnels des apprenants et des personnels de la communauté éducative, Les portables des personnes de passage et extérieures à l établissement. L acceptation ou non d offrir ces accès relève d un choix local, mais la demande de ce type de service est de plus en plus forte. Dans ce chapitre, le terme d ordinateur portable est à prendre au sens très large du terme et recouvre toutes les formes de terminaux d accès mobiles (portables, tablettes, Pda, ) La connexion La première condition d un accès nomade est la possibilité d établir une liaison entre le réseau local et l ordinateur portable. Il existe deux cas de figure : L accès grâce à une connexion filaire. L accès par une connexion sans fil.

67 66 Les aspects physiques de ces types de liaisons sont abordés dans les chapitres précédents et nous allons désormais traiter de leur sécurisation Sécurisation Sur un réseau local, le danger vient souvent de l intérieur. Avec la multiplication des ordinateurs portables, il est de plus en plus difficile de connaître et de maîtriser les machines qui se connectent. Les principales motivations d une intrusion sur un réseau local peuvent se classer en trois familles : compromettre des postes du réseau local, utiliser l accès Internet, récupérer des informations. Pour limiter ces risques, il faut remplir les conditions suivantes : avoir le contrôle et la maîtrise du réseau filaire, avoir le contrôle et la maîtrise du ou des réseaux sans fils, maîtriser le système qui permettra d authentifier les usagers Sécuriser le réseau filaire Les ordinateurs fixes connectés au réseau local sont contrôlés et, en principe, sûrs. L administrateur en a la maîtrise, peut les contrôler, et gère les droits des utilisateurs. Par contre, les ordinateurs portables échappent facilement à son contrôle, surtout pour ceux n appartenant pas à l établissement. Les utilisateurs peuvent en faire ce qu il veulent et les connecter sans autorisation sur une prise. Ce type de machines, parfois compromises, peuvent infecter par l intérieur un réseau local. Il est donc indispensable de prendre quelques précautions : en restreignant la distribution d adresses DHCP sur le réseau local, en ne brassant que les prises nécessaires, en gérant l accès au réseau grâce aux dispositifs de contrôle qu implémentent les switchs récents, en connectant les nomades sur un réseau différent, qui ne donne accès qu à quelques ressources clairement identifiées. Pour mettre en place un contrôle d accès simple sur un réseau local filaire, il faut utiliser les adresses MAC pour vérifier si les stations sont connues, autorisées et les diriger sur le bon réseau et/ou VLAN (cf. chapitre 4) grâce aux fonctionnalités des switchs qui le permettent (cf. chapitre 3) Sécuriser le réseau Wifi Le Wi-Fi est une solution intéressante, qui apporte une réponse simple aux problèmes de connectivité dans les établissements, à l heure où le nombre d ordinateurs portables croît rapidement. Or, ce système ne s arrête pas aux portes que l on souhaiterait et offre de nombreuses failles permettant de s introduire sur le réseau local. Il est donc vital de respecter un certain nombre de règles de base pour tenter de minimiser ces risques et notamment : savoir quelles machines sont connectées au réseau, quels utilisateurs sont authentifiés, et être sûr des ressources auxquelles ils accèdent Choisir une politique d accès A ce stade, l établissement doit choisir une politique d accès à son réseau pour les stations nomades, typiquement les portables. Cette politique permettra de définir les moyens techniques et humains à mettre en œuvre. Les stations inconnues peuvent êtres autorisées à se connecter au réseau filaire ou au réseau Wifi et redirigées dans un Lan invités avec des ressources restreintes. Si elles sont interdites, ils faut définir une procédure pour les autoriser : qui autorise qui, sur quel réseau, pour quelles ressources, dans quelles conditions, pour quelle durée,

68 67 Elles peuvent également être purement et simplement interdites, auquel cas il faudra s assurer de l étanchéité complète du réseau Les règles de base Savoir qui est présent sur votre réseau La connaissance des clients présents sur un réseau est un élément fondamental, mais l utilisation des adresses IP ou des adresses MAC ne constituent pas un moyen efficace car elles peuvent très facilement être usurpées. C est évidemment un point très sensible sur les réseaux sans fils, mais également sur un réseau filaire. Il existe différentes techniques permettant d authentifier les postes sur un réseau qui vont du simple couple identifiant/mot de passe à la biométrie. La méthode la plus simple consiste à utiliser de façon plus ou moins sophistiquée le couple «identifiant/mot de passe».elle peut être considérée comme suffisamment sûre, à la condition que le mot de passe ne soit pas trop simple et qu il ne soit pas facilement interceptable, c est-à-dire récupérable en clair par une écoute passive. Cette méthode n est à l évidence pas suffisante dans le cadre des réseaux sans fil. La méthode sans doute la plus aboutie consiste à utiliser des certificats numériques sur les serveurs, mais aussi sur les clients. Chaque certificat contient une partie publique et une partie privée. La partie publique peut être récupérée par tout tiers désirant entrer en contact avec le possesseur du certificat, la partie privée doit rester confidentielle et chacune contient une clé de chiffrement. Cette méthode offre une garantie très élevée mais nécessite un dispositif assez lourd car il faut créer un certificat par client, maintenir une base de donnée des certificats autorisés et des certificats révoqués. Il est possible sur les clients de remplacer le certificat par l usage d une carte à puce qui est un dispositif très proche du certificat et tout aussi lourd à gérer. Les dispositifs d authentification biométrique (cf. Chapitre 6.2) offrent de très fortes garanties de sécurité mais leur implantation sur les terminaux nomades demeurent pour l instant trop faible pour pouvoir envisager de baser une politique de sécurité sur cette technologie Protéger les données échangées Les données circulant sur le réseau peuvent être écoutées assez simplement, notamment dans le cadre d un réseau sans fil. Les informations interceptables ont une valeur relative comprise entre un intérêt nul et un intérêt stratégique, comme par exemple les données d un login autorisé. Le principe de base consiste à chiffrer les échanges, en restant conscient qu aucun chiffrement n est totalement fiable. Ce n est qu une question de temps et de moyens. La durée de vie d une information sensible doit, si possible, être inférieur au temps nécessaire pour la découvrir Les solutions techniques Comme nous venons de le voir, la première étape consiste à connecter physiquement la station cliente au réseau local par l intermédiaire d une liaison filaire ou d une liaison radio. La suite de ce chapitre traitera plus particulièrement des solutions concernant concernant les réseaux Wifi dans la mesure ou les solutions techniques permettant la sécurisation d un accès filaire sont abordées aux chapitres 3 et 4 de ce document Points d accès au réseau 802.1X La norme IEEE 802.1X est un standard qui définit les mécanismes permettant de contrôler l accès aux équipements actifs d un réseau qu il soit filaire ou radio. Elle permet d authentifier un utilisateur grâce à un serveur d authentification avant de lui accorder ou non l accès au réseau. Lorsque le client se connecte à un port Ethernet ou s attache à un point d accès sans fil, l accès au LAN lui est fermé, seul le trafic avec le serveur d authentification est autorisé. Le port ne pourra s ouvrir sur le LAN que si l authentification réussie. Cette norme repose donc sur trois acteurs qui doivent l implémenter : Un client appelé supplicant (Linux, Mac OSX, Windows depuis XPSP1) L élément actif appelé «authenticator» (Switch, Borne Wifi)

69 68 Un serveur d authentification (Généralement RADIUS) En plus de l authentification des utilisateurs, le protocole 802.1X est utilisé dans les réseaux sans fil comme support pour l échange des clefs utilisées par les dispositifs de chiffrement de la communication : WEP : (Wired Equivalent Privacy). Cette méthode est basée sur une solution de clé de chiffrement statique partagée par tous les membres d un même réseau Wi-Fi, avec un algorithme de chiffrement relativement faible. Il suffit de disposer de quelques dizaines de minutes avec quelques petits outils logiciels présents sur le Web pour venir à bout de cette protection en identifiant la clé de chiffrement. C est la technique utilisée par la presque totalité des «Box» grand public fournies par les opérateurs. Elle n est pas adaptée aux environnements professionnels. WPA : (Wifi Protected Access). Avec la découverte rapide des failles de WEP, et alors même que l élaboration d une norme destinée à sécuriser les réseaux sans fils était en cours, il a fallu mettre en place au plus vite un procédé de secours. Le WPA, issu des travaux non encore aboutis de la norme i, est arrivé sur le marché. C est un ensemble de rustines logicielles, destiné à boucher les plus gros trous de sécurité du WEP, tout en ayant comme contrainte de pouvoir fonctionner sur le matériel existant. Il a donc été conçu pour pouvoir être exploité sur du matériel WEP. Le WPA est un compromis acceptable, surtout si l on doit intégrer à son réseau du matériel ancien, ne supportant pas les méthodes de chiffrement préconisées par la norme i. WPA2 : C est l appellation commerciale de la norme i (cf. chapitre 2). Cette norme a été finalisée en 2004 et se trouve donc implémentée sur des points d accès conçu à partir de cette date. Elle impose le support d AES («Advanced Encryption Standard») qui est un standard de chiffrement basé sur un algorithme de chiffrement symétrique. WPA comme WPA2 peuvent s utiliser de deux manières : Mode «personnel» : Ce mode est préconisé pour les particuliers disposant d un petit réseau peu stratégique et fait appel à une clé de chiffrement partagée, la PSK (Pre Shared Key). Cette clé, au contraire de WEP, ne sert pas directement au chiffrement des données. Elle sert de base à la création de clés dérivées, qui sont non seulement différentes pour chaque session (deux utilisateurs d un même réseau, même s ils disposent de la même PSK, utiliseront des clés de session différentes), mais encore d un usage limité dans le temps. Ces clés sont renégociées fréquemment en cours de session, ce qui rend leur découverte nettement plus difficile. Le temps nécessaire pour identifier une clef risque d être supérieur à sa durée de vie. Le point faible réside dans le fait que tous les utilisateurs du point d accès connaissent cette phrase qui de fait devient de moins en moins secrète C est une solution tout à fait acceptable dans le cas d un réseau sans fil de taille peu importante et ne permettant pas l accès à des données ou des serveurs stratégiques. Comme pour les mots de passe, il est toutefois important d utiliser une PSK non évidente. En effet, la clé est une suite numérique, calculée à partir d une «phrase secrète» en ASCII et du SSID du point d accès. Il faut donc éviter une phrase trop simple comme votre nom, votre date de naissance, un nom commun Mode «entreprise» : Ce mode s appuie sur la norme 802.1X abordée précédemment pour l authentification avancées des utilisateurs et nécessite donc de faire appel à un système d authentification centralisé ainsi qu à des points d accès supportant cette norme. Il n y a aucun secret partagé, tout le système cryptographique est construit pendant et après le processus d authentification. Lorsque le client est correctement authentifié par le serveur, ce dernier lui envoie une clef principale uniquement connue d eux deux et valable que pour la session en cours. Le client et le serveur calculent alors une nouvelle clef appelée PMK qui est transmise au point d accès et n est valable que pour cette session avec ce client. Le point d accès n a pas connaissance de la clef principale. La PMK permet alors au client et au point d accès de calculer 4 nouvelles clefs temporelles utilisées pour sécuriser différents types de paquets pendant leurs échanges. Ce dispositif complexe assure un niveau de sécurité extrêmement élevé.

70 69 En résumé : La station cliente entre en contact avec le point d accès en utilisant une des normes de connexion sans fil de la famille Cette dernière s appuie alors sur les mécanismes 802.1X pour permettre ou non l accès au réseau local. Ce dispositif repose sur le protocole EAP (Extensible Authentication Protocol) pour le transport des informations nécessaires à l authentification suivant le mode choisi. Il en existe 5 officiellement retenus par WPA et WPA2 dont les deux principaux sont : TLS (Transport Layer Security) : Ce protocole est en fait la version 3.1 du fameux SSL dont il est le successeur. Il utilise une infrastructure de clefs publiques pour sécuriser l identification entre le client et le serveur. Dans ce mode, les deux acteurs chacun d un certificat x509. PEAP (Protected EAP) : Dans ce mode seul le serveur dispose d un certificat. L authentification du client est assurée par un challenge de type login/password. Dans la grande majorité des cas, les échanges entre le point d accès s appuient sur le protocole RADIUS, que nous aborderons un peu plus loin et sur UDP/IP Authentification RADIUS Le protocole Radius n est pas la seule norme d authentification mais il est devenu le standard de fait pour la centralisation des données d authentification sur les réseaux sans fil. La signification de cet acronyme est «Remote Authentication Dial-In User». Il a été conçu par les fournisseurs d accès Internet afin de leur permettre d authentifier à partir d une base centralisée des utilisateurs se connectant via des accès RTC à des serveurs différents. Il normalise le transport des informations d authentification entre le serveur hébergeant la base des utilisateurs et un client RADIUS qui est un point d accès sans fil, un firewall, un commutateur ou un dispositif d accès distant. Un poste client demande un accès à un client RADIUS, par exemple une borne Wifi. Elle se charge alors de lui demander des informations d identification comme un nom et un mot de passe. A partir des réponses du poste client, elle construit une requête dite «Access Request» et la transmet à son serveur RADIUS qui

71 70 vérifie s il possède suffisamment d informations pour réaliser l authentification. Dans la négative, le serveur demande à son client (ici, la borne) des informations complémentaires par un dispositif nommé «access challange». Plusieurs cycles «access Request access Challange» s enchainent jusqu à ce que le serveur dispose de tous les éléments qui lui sont nécessaires. Il autorise alors (Access Accept) ou rejette (Access Reject) l accès. Plusieurs serveurs RADIUS peuvent être chaîner par un dispositif dit de Proxy-Radius. Il n héberge pas nécessairement la base utilisateur et peu traiter les authentifications en accèdant à des serveurs externes, par exemple un serveur Active Directory ou un serveur LDAP. L identification RADIUS peut être enrichie d autre fonctionnalités grâce à l usage d attributs complémentaires dans les paquets. Elle permet par exemple de définir un temps de connexion maximum, un time-out ou encore une adresse IP Portail captif Un portail captif est un dispositif qui intercepte la totalité des paquets provenant d un poste client, quels que soient leur destination jusqu à ce que l utilisateur ouvre le navigateur Web. Il est alors redirigé de force sur une page Web du portail captif pour s y authentifier. Le portail peut alors réaliser lui même cette phase d authentification ou la déporter sur un serveur dont c est le rôle (AD, LDAP, RADIUS, ). Il autorise alors ou non le poste client à accéder à Internet ou aux ressources d un réseau local. C est un dispositif principalement utilisé dans le cadre des réseaux Wifi mais elle est également envisageable sur un réseau filaire. Il existe aujourd hui un nombre important de distributions Linux dédiées à cette fonction. Elles sont principalement issues de quatre grandes familles qui sont ChilliSpot, M0n0wall, nocat et WiFiDog. Les principaux fabricants de point d accès intègrent désormais des offres de portail captif dans leurs routeurs wifi. Au-delà de l authentification, les portails captifs sont également utilisés à des fins d accounting et de facturation sur des points d accès publics Recommandations Politique d accès La première étape de la sécurisation des accès nomades consiste à définir une politique de sécurité afin de pouvoir effectuer des choix techniques judicieux. Il faut commencer par identifier les risques potentiels liés à l éventuelle connexion de postes non identifiés sur le réseaux de l établissement en fonction de l accessibilité des locaux, des modes d organisation, des ressources accessibles, etc. Cette première phase consiste en l identification : des éléments à protéger comme les matériels, logiciels ou données sensibles ou confidentielles, des attaques éventuelles comme la dégradation liée aux virus, aux chevaux de Troie, aux vers ou autres parasites propagés par des postes non contrôlés, de l éventualité d actes de dégradation ou de piratage volontaire, des risques d écoute des informations transitant sur le réseau. Il faudra ensuite choisir une approche de sécurité pour le réseau local visant à déterminer pour les postes de l établissement comme pour les postes nomades si l on n autorise qui à accéder à quoi et sous quelles conditions. Cette étape devra prendre en compte tous les types de matériels (fixes, nomades ), de personnels (enseignants, apprenants, passagers, ), de réseaux (câblé, sans fil). C est de cette politique de sécurité que découleront les choix techniques permettant de pallier les défaillances de sécurité afin de mettre en œuvre les dispositifs appropriés en fonction des moyens humains et financiers de l établissement.

72 Réseaux câblés Nous effectuons les recommandations suivantes : Les prises accessibles et non utilisées dans les locaux ne doivent pas être brassées sur les éléments actifs du réseau. Les baies de brassage ainsi que les locaux techniques doivent être fermées et accessibles uniquement aux personnes habilitées (cf. chap. 2) Les switchs doivent être paramétrés pour utiliser des VLAN statiques de niveau 1 permettant de refuser la connexion d une station dont l adresse MAC est inconnue. Ce point nécessite de mettre en place un matériel administrable et compatible avec la norme 802.1q conformément aux recommandations du chapitre 2. Cette méthode est relativement coûteuse en terme d administration, surtout sur un réseau important, mais permet un niveau de sécurité très largement suffisant dans le cadre d un établissement. Une alternative à l alinéa précédent, plus adaptée aux réseaux de taille importante, consiste à mettre en place des VLAN de niveau 1 avec attribution dynamique en s appuyant sur la mise en œuvre du protocole 802.1x qui est couplé à un procédé d authentification. Dans ce cas, le switch enverra à un serveur d authentification RADIUS l adresse MAC de la station connectée à un port, en guise de «login/password». Le serveur Radius interroge sa base de données pour valider ou refuser les éléments fournis puis transmet la réponse accompagnée d un numéro de VLAN au switch qui connecte alors la station dans le bon réseau virtuel ou maintient le port fermé. Il faut s assurer que les switch sont en mesure de réaliser cette opération. Avec cette méthode, la gestion des postes autorisés est centralisée au niveau du serveur RADIUS et donc beaucoup plus simple. Il est possible de renforcer la sécurité en utilisant d autres paramètres que l adresse MAC comme par exemple un identifiant et un mot de passe ou un certificat x509. Cela nécessitera toutefois la mise en œuvre d une partie logicielle (supplicant) sur chaque station, ce qui alourdit considérablement l administration en apportant un niveau de sécurité qui ne se justifie pas dans le cadre d un établissement d enseignement Réseaux sans fils Nous effectuons les recommandations suivantes : Mettre en place le réseau des points d accès sans fil sur un VLAN séparé (cf chapitre 5). Utiliser un plan d adressage IP différent de celui du restant du réseau (cf chapitre 4) Le réseau sans fil aboutit impérativement sur une interface dédiée du Firewall de l établissement. De cette façon, le réseau sans fil est considéré comme un réseau public. Vérifiez régulièrement que tous les dispositifs sans fil ont les versions de firmware les plus récentes. Veiller à ce que les point d accès ne soient pas visibles ni accessibles aux personnes non autorisées. En effet, ces équipements sont équipés d un bouton de réinitialisation. Assigner des mots de passe forts sur les comptes d administration des points d accès et les configurer pour qu ils ne soient pas administrable depuis le réseau sans fil. Ne pas diffuser le SSID. Cette fonctionnalité vous permet d éviter que des portables détectent automatiquement votre réseau sans fil et puissent être tentés de s y connecter. Utiliser des points d accès répondant à la norme 802.1i appelé également appelée WPA2 Enterprise. Mettre en œuvre un portail captif couplé à un serveur d authentification de type RADIUS. La mise en œuvre d une sécurité basée sur l utilisation de clefs WEP ou WPA est par conséquence à bannir absolument. Les autres recommandations dépendent directement des choix effectués au niveau de la politique de sécurité ainsi que du type Firewall, de Proxy et de serveurs d authentification. Les deux solutions préconisées dans les chapitres précédents offrent un portail captif et fonctionnent avec un serveur RADIUS Portail Captif et serveur RADIUS La technique du portail captif intercepte tous les paquets émis par une station quelles que soient leurs destinations jusqu à ce que l utilisateur ouvre son navigateur web et essaie d accéder à Internet. Le naviga-

73 72 teur est alors redirigé vers une page web qui demande une authentification qui sera gérée par un serveur RADIUS dans le cadre de nos établissements. En pleine cohérence avec les recommandations effectuées dans les chapitres relatifs aux dispositifs de sécurisation d Internet, nous conseillons de recourir aux deux principales distributions issues du logiciel libre que sont IpCop et PfSense. La fonction de portail captif et d authentification de type RADIUS est intégré de façon native dans la solution PfSense. Une documentation précise ainsi qu un tutoriel détaillé sont accessibles depuis la page «documentation» du site Sur la distribution IpCop, il faut recourir à l installation de l Add-on nommé «CopSpot» téléchargeable sur le site En ce qui concerne la fonction de portail captif et d authentification des utilisateurs ou des stations par le biais d un serveur RADIUS, la solution Pfsense est plus simple à mettre en œuvre, mais dans tous les cas, il faudra installer et paramétrer le serveur d authentification RADIUS. Les serveurs MicroSoft Windows de version 2003 ou supérieur sont nativement conçus pour assurer ce rôle. De plus, ils sont très massivement présents dans nos établissements, ce qui nous conduit à en recommander l usage pour cette fonction afin d éviter l acquisition et le paramétrage de matériel et de logiciels supplémentaires. Le tutoriel détaillé de mise en œuvre de la solution PfSense/RADIUS cité plus haut se base par ailleurs sur cette famille de serveur. Dans le cas où l établissement ne dispose pas de serveur de ce type, nous recommandons l usage du serveur libre et gratuit FreeRadius téléchargeable à l adresse Surveillance & Analyse réseau La surveillance réseau n évoque pas toujours la même chose pour tout le monde. Pour certains, c est une surveillance en temps réel du réseau avec des outils d analyse des protocoles. Pour d autres, il s agit d enregistrer dans une base de données les éléments de l architecture réseau pour créer ensuite des graphiques représentant la topologie et le trafic. Dans tous les cas, c est un secteur d activité pour lequel les outils utilisés sont très variés, le but étant l assistance de l administrateur pour surveiller et assurer le bon fonctionnement des réseaux. Le terme anglo-saxon employé est monitoring réseau. Il comprend en plus de la surveillance des actions de modification de configuration, d installation distante, ou de gestion de comptes Objectifs de la surveillance La surveillance réseau consiste en la collecte d informations sur la disponibilité et les performances des différents équipements d un réseau (routeur, switch, serveur, etc...). Ces informations vont par la suite être utilisées pour construire des graphes afin de visualiser les performances ou alerter les administrateurs d un dysfonctionnement par mail ou SMS Il sera possible également de prévoir d exécuter des actions programmées : redémarrage d un service ou coupure d un accès au réseau en cas d attaque Domaines de l administration réseau L OSI définit cinq domaines fonctionnels de l administration réseau : La gestion des pannes : permet la détection, la localisation, la réparation de pannes et le retour à une situation normale dans l environnement. La comptabilité : permet de connaître la charge des éléments du réseau. Ceci permet alors de réguler les ressources de tous les utilisateurs pour les adapter aux besoins. L audit des performances : Permet d évaluer les performances des ressources du système et leur efficacité. Les performances d un réseau sont évaluées à partir de quatre paramètres : le temps de réponse, le débit, le taux d erreur par bit et la disponibilité.

74 73 La gestion de la sécurité : une des fonctions de gestion concerne le contrôle et la distribution des informations utilisées pour la sécurité. Les ressources du réseau seront accessibles seulement aux utilisateurs autorisés. Les erreurs d accès peuvent être enregistrées pour ensuite être analysées ou provoquer des alertes. La gestion des configurations : permet d identifier et de paramétrer les éléments du réseau. Les procédures requises pour gérer une configuration sont la collecte d informations, le contrôle de l état du système, la sauvegarde de l état des périphériques dans un historique Le protocole de supervision SNMP Principe Le principal protocole utilisé pour obtenir des données concernant les équipements est appelé SNMP. Il permet aux administrateurs réseaux de gérer des équipements et de diagnostiquer des problèmes. Le sigle SNMP signifie Simple Network Management Protocol et la quasi-totalité des constructeurs d équipements réseaux l implémentent de façon native. Il est défini par l IETF dans la RFC 1157 (mai 1990) et il est le protocole le plus employé pour superviser les réseaux. C est un protocole qui se situe sur les couches 5,6,7 du modèle OSI et fonctionne en s appuyant sur le protocole UDP. Sa structure principale est simple, elle comprend : Un serveur/superviseur (NMS : Network management stations) chargé d interroger les éléments du réseau pour connaître leur état et chargé de centraliser les informations recueillies. Des agents : ils sont installés sur les éléments du réseau à surveiller (serveur, routeur, switch) et en surveillent les éléments (température, charge du cpu, etc. ). Ils répondent aux requêtes du superviseur. Une base de données (virtuelle) MIB (Management Information Base) placée sur les équipements et qui permet une présentation claire et humainement compréhensible de tout les paramètres surveillés Température, etc. ) Un protocole : SNMP, pour interroger ou modifier les agents et leur MIB depuis la console de supervision. SNMP s appuie sur UDP pour fonctionner et utilise les ports 161 côté serveur et 162 côté client. Un agent proxy qui sert de passerelle vers des équipements ou des réseaux ne supportant pas SNMP en relayant et traduisant les requêtes du superviseur SNMP. Un Analyseur RMON : RMON est un standard pour l analyse de trafic et la collecte de paquets depuis plusieurs segment distants. SNMP, Agent proxy, RMON Source : Un périphérique réseau (routeur, switch, pare-feu, ) fait tourner un agent SNMP qui répond aux requêtes du réseau. L agent SNMP fournit un grand nombre d identifiants d objets (Object Identifiers ou OID). Un OID est une paire clé-valeur unique. L agent SNMP remplit ces valeurs et fait en sorte qu elles soient.

75 74 disponibles. Un manager SNMP (ou client SNMP) peut effectuer des requêtes aux agents avec ses paires clé-valeur à propos d informations spécifiques. Les OID SNMP peuvent être lus ou écrits. Notons qu il est rare d écrire des informations sur un périphérique SNMP. Le SNMP est surtout utilisé par de nombreuses applications de management pour contrôler l état des périphériques réseaux (comme une interface graphique administrative pour les switchs). Un système d authentification basique existe dans le SNMP ; il permet au manager d envoyer un community name (qui est en fait un mot de passe en clair) pour autoriser la lecture ou l écriture des OID. La plupart des périphériques utilisent le community name non sécurisé «public». Les communications SNMP se font via les ports UDP 161 et La MIB Si on travaille sur le SNMP, on est rapidement confronté aux MIB (Management Information Base). Au premier coup d œil, une MIB peut paraître très complexe mais s avère très simple en réalité. Les OID sont numériques et globaux. Un OID est très similaire à une adresse IPv6 et les différents fabricants ont différents préfixes, chaque fabricant a sa gamme de produit (un autre préfixe) et ainsi de suite. Les OID peuvent très vite être long et il est compliqué pour un humain de se rappeler la signification de cet ensemble de nombres. C est pour cela qu une méthode a été mise au point pour traduire un OID numérique dans une forme lisible pour un humain. Cette carte de traduction est stockée dans un fichier texte appelé Management Information Base ou MIB. Vous n avez pas besoin d un MIB pour utiliser SNMP ou effectuer des requêtes sur des périphériques SNMP mais sans la MIB, vous n allez pas savoir facilement ce que signifient les données retournées par le périphérique. Dans certains cas, c est facile comme le nom de l hôte, l usage des disques ou les informations d état des ports. Dans d autres cas, cela peut être plus difficile et une MIB peut être d une grande aide. Notez qu il est assez inhabituel pour la plupart des applications d écrire des requêtes uniquement numériques. La plupart des applications permettent l installation de MIB complémentaires. Cette installation consiste à placer les MIB à un endroit où l application cliente SNMP peut les trouver pour effectuer la traduction Utilisation de SNMP Les techniques de supervision avec SNMP peuvent être utilisées de deux manières distinctes : le polling et les traps. Le polling consiste simplement à envoyer une requête à intervalles réguliers pour obtenir une valeur particulière. Cette technique est appelée «vérification active». Vous pouvez, par programme ou script, vérifier si les valeurs sont correctes. Si la requête échoue, il est possible qu il y ait un problème avec le périphérique. Cependant, vu que le SNMP s appuie sur UDP, il est conseillé de réitérer la requête pour confirmer le problème (surtout dans le cas d une vérification au travers d Internet). Les traps consistent à faire de la vérification passive, en gros, on configure l agent SNMP pour qu il contacte un autre agent SNMP en cas de problème. C est-à-dire que l on peut configurer un périphérique réseau (comme un routeur) pour qu il envoie un trap SNMP lors de certains événements. Par exemple, le routeur peut envoyer un trap lorsqu il détecte que la ligne est coupée (down). Quand un événement trap apparait, l agent sur le périphérique va envoyer le trap vers une destination pré-configurée communément appelée trap host. Le trap host possède son propre agent SNMP qui va accepter et traiter les traps lorsqu ils arrivent. Le traitement des traps est effectués par des trap handlers. Le handler peut faire ce qui est approprié pour répondre au trap, comme envoyer un courriel d alerte. Il existe actuellement 3 versions différentes du protocole SNMP : SNMP v1 (RFC 1155, 1157 et 1212). SNMP v2c (RFC 1901 à 1908). SNMP v3 (RFC 3411 à 3418). La co-existence des trois versions est détaillée dans la RFC Pour interroger une MIB, la superviseur (NMS) dispose de commandes permettant d envoyer des requêtes ou de recueillir des réponses : getrequest demande les informations sur un objet géré par l agent SNMP

76 75 getnextrequest demande les informations sur l objet suivant (dont on ne connait pas forcément le nom) setrequest modifie l état d une variable SNMP getresponse permet à l agent SNMP d envoyer une réponse à une requête de la station d administration trap met en oeuvre un mécanisme d alarme permettant à un équipement réseau d informer la station d administration en cas de problème. Il existe un grand nombre d utilitaires permettant de recueillir des informations SNMP. Sous Linux, netsnmp est courant. Sous Windows, Getif propose une interface graphique relativement simple à utiliser et permettant d accéder à un grand nombre d informations Les langages de monitoring RMON C est une extension de la MIB qui permet de surveiller et de diagnostiquer un réseau à distance. Le but de cette norme est de récolter des statistiques sur l état global du réseau, sur la fréquentation, la qualité du signal, la performance des composants alors que les autres MIB sont plutôt orientés sur le diagnostic matériel des équipements. La version 1 de RMON peut étudier l activité du réseau jusqu au niveau 2 du modèle OSI et jusqu au niveau 7 pour la version WMI (Windows Management Instrumentation) de Microsoft WMI est un système de gestion interne de Windows qui prend en charge la surveillance et le contrôle de ressources système via un ensemble d interfaces. WMI contient une librairie d objets pouvant être interrogés via des scripts VBS, Windows Script Host (WSH). Ces scripts peuvent aussi bien interroger le matériel sur sa charge CPU, son adresse Ip, etc. mais il peut aussi modifier certains paramètres du système d exploitation Netflow (Cisco) C est un protocole de monitoring développé par Cisco et qui est libre, il peut donc être adapté à d autres environnements (FreeBSD par exemple). Cette technologie a pour but d optimiser les ressources utilisées via des statistiques et des analyses concernant le trafic et aussi de détecter les pannes. Netflow répertorie le flux des paquets IP pendant leur progression à travers l interface depuis le routeur. Chaque flux est unique et identifié par sept critères (adresse IP source, adresse IP de destination, numéro de port source (TCP/UDP), numéro de port de destination (TCP/UDP), type de protocole de couche 3 (IP/ ICMP), type de service (ToS) et interface logique d entrée. Toute variation dans ces critères distingue un flux d un autre. Cisco NetFlow peut collecter les informations sur une base très granulaire et les analyser dans des rapports Les outils de monitoring Les outils de monitoring libres ou commerciaux sont généralement de deux types : des outils de supervision, qui surveillent et analysent l état des équipements du réseau (Nagios, HP Openview). Ils sont généralement plus centrés sur le matériel, les équipements. des outils d analyse surtout destinés à étudier le trafic (métrologie). Ils établissent notamment des statistiques sur les protocoles utilisés, sur le débit du trafic, etc. (par exemple MRTG, Cacti). Ces deux types d approches sont complémentaires, l étude du trafic circulant via un outil tel que MRTG par exemple permet de voir si le trafic dans son ensemble est normal, si il n y a pas de rupture accidentelle. Il offre ainsi une vue d ensemble du débit, des protocoles utilisés. En cas de problème, un outil tel que Nagios permet de voir précisément quel est l équipement en cause (switch, routeur) et ainsi d agir. En complément, un outil propriétaire tel que Cisco Network Assistant permet d avoir à distance la main sur le matériel en question pour remettre un bonne configuration, ou pour établir un diagnostic plus précis.

77 76 Enfin, ces différents types d approches peuvent être réunies autour d une solution intégrée comme par exemple le logiciel Centreon qui est un outil de supervision et de configuration bâtie autour de Nagios Les principes de la surveillance Détermination de l accessibilité des hôtes du réseau Supervision des services sur des hôtes hors fonction ou inaccessibles. Le but principal de cette fonction est de superviser des services qui tournent sur ou sont proposés par des hôtes physiques ou des équipements du réseau. Si un hôte ou un équipement du réseau s arrête, tous les services qu il offre s arrêtent avec lui. Pratiquement, ceci consiste à envoyer un ping à l hôte et à vérifier si une réponse est retournée. Supervision d hôtes locaux. Ce sont ceux qui se trouvent sur le même segment de réseau ce qui en rend le contrôle assez simple puisqu il n y a pas de routeurs entre l hôte chargé de la supervision et les autres hôtes du réseau local. Hôtes distants. Ce sont ceux qui se trouvent sur un segment de réseau différent de celui du superviseur. Dans cette configuration, certains hôtes sont plus éloignés que d autres, ce qui conduit à mettre en place un arbre de dépendance des hôtes pour leur configuration. Rupture de la continuité du réseau. Le diagnostic des ruptures de la continuité du réseau aide les administrateurs à trouver et résoudre plus rapidement des dysfonctionnement. Il n est pas toujours possible de trouver la cause exacte d un problème, mais la localisation des hôtes en défaut peut aider au diagnostic. Les notifications. La vérification régulière de l ensemble des services sur un parc configuré permet de générer des alertes régulières. Lorsqu un hôte ou un service demeure dans un état de non-ok, une une première notification est envoyée. Si après un intervalle de temps, le problème n est toujours pas réglé, une autre notification sera envoyée et continuera ainsi jusqu à ce que le problème soit résolu ou acquitté Outils de création de graphiques Ces outils fournissent des graphiques d à peu près tous les points sensibles des équipements supervisés et permettent une analyse plus simple de l état global du parc. Exemple : Trafic réseaux de plusieurs sites.

78 77 Le rôle d un tel outil est d informer rapidement un administrateur sur l état des lignes de son réseau et si il est couplé avec un outil de supervision, d être averti en cas de surcharge ou de coupure sur un segment. Dans l exemple ci-dessus, le graphe indique l endroit exact de la coupure en précisant la machine affectée. Il permet également d anticiper les évolutions à prévoir grâce à une vision synthétique de la consommation de bande passante sur le réseau L analyse L analyse d un réseau consiste à utiliser un dispositif technique permettant d écouter le trafic, de le capturer puis de l analyser afin de permettre un diagnostique très fin de son réseau. Ce dispositif est communément appelé «analyseur réseau», mais également analyseur de trames ou sniffer en anglais. Cette prouesse est rendu possible dans un réseau non commuté par le fait que les données sont envoyées à toutes les machines du réseau. Dans le cadre d un fonctionnement normal, les machines ignorent les paquets qui ne leur sont pas destinés. Ainsi, en utilisant l interface réseau dans un mode spécifique appelé promiscuous, il est possible d écouter tout le trafic passant par un adaptateur réseau (carte réseau ethernet, carte réseau Wifi, etc.). Un analyseur est un outil permettant par ce biais d étudier le trafic d un réseau. Il sert généralement aux administrateurs pour diagnostiquer les problèmes sur leur réseau ainsi que pour connaître le trafic qui y circule. Malheureusement, comme tous les outils d administration, le sniffer peut également servir à une personne malveillante ayant un accès physique au réseau pour collecter des informations. La grande majorité des protocoles Internet font transiter les informations en clair, c est-à-dire de manière non chiffrée. Ainsi, lorsqu un utilisateur du réseau consulte sa messagerie via le protocole POP ou IMAP, ou bien surfe sur internet sur des sites dont l adresse ne commence pas par HTTPS, toutes les informations envoyées ou reçues peuvent être interceptées. C est comme cela que des analyseurs ont été mis au point par des pirates afin de récupérer les mots de passe circulant dans le flux réseau. Ce risque est encore plus important sur les réseaux sans fil car il est difficile de confiner les ondes hertziennes dans un périmètre délimité, si bien que des personnes malveillantes peuvent écouter le trafic en étant simplement dans le voisinage et utiliser des utilitaires spécifiques afin de s introduire dans un réseau mal sécurisé. Les analyseurs de réseaux sont donc des assistants précieux de l administrateur en lui permettant de vérifier de façon très précise le niveau de sécurité de son réseau, sous réserve que l administrateur en question possède les compétences pointues indispensables à l usage de ce type d outil Recommandations Logiciel de supervision Au sein d un établissement, nous recommandons l usage d un logiciel de supervision issue du monde du logiciel libre permettant de surveiller le fonctionnement et les performances de tous les éléments de son réseau mais également des principaux serveurs. Les équipements du réseau ainsi que les serveurs amenés à être surveillés devront impérativement implémenter le protocole SNMP et ce dernier devra bien évidemment être activé. Dans un souci de simplicité et de performance, nous conseillons de recourir à CACTI, qui est un logiciel libre et gratuit qui fonctionne sur un serveur Linux/Apache/MySql/PhP et qui est un compromis raisonnable entre la puissance et la complexité. Il n en reste pas moins un outil qui nécessite de bonnes connaissances en terme de système et de réseau. Il permet une représentation graphique du statut de périphériques réseau utilisant SNMP, mais également de développer grâce à des scripts (Bash, PHP, Perl, ) des fonctions avancées. Les données sont ensuite récoltées auprès des agents SNMP ou des scripts locaux. CACTI est entièrement basé sur le principe de modèles (Templates) qui permettent de créer de manière générique les graphiques que l on souhaite. C est un système précieux lorsque de nombreuses données identiques doivent être observées, mais qui peut se révéler fastidieux à configurer lorsque les données sont hétérogènes.

79 78 Cacti génère les graphiques dynamiquement, à partir des fichiers de données RRDTool, à chaque affichage d une page dans l interface Web, ce qui permet d effectuer une supervision en temps réel des élémrnts du réseau. L outil et sa documentation (en anglais) sont disponibles en téléchargement libre sur le site : Pour les établissements souhaitant mettre en place une supervision avancée et disposant d un administrateur expérimenté, le déploiement de la solution libre CENTREON est recommandée. L outil et sa documentation sont disponibles en téléchargement libre sur le site : Analyseurs Au sein d un établissement, nous recommandons l usage d un logiciel de supervision issue du monde du logiciel libre fonctionnant sur un PC ordinaire et permettant d effectuer une analyse des flux transitant sur le réseau local à des fins de diagnostique mais également de supervision et de contrôle du niveau de sécurité. L utilisation d outil de ce type d outil nécessite de la part de l administrateur de solides connaissances dans le domaine des réseaux, des protocoles et des normes. Une formation préalable est en général souhaitable. Nous recommandons l utilisation du logiciel libre et gratuit Wireshark, anciennement appelé Ethereal qui permet grâce à la capture du trafic du réseau d analyser à ce jour 759 protocoles différents. Wireshark est multiplate-forme, il fonctionne parfaitement sous Windows, Mac OS X et Linux. L outil et sa documentation sont disponibles en téléchargement libre sur le site : Il n existe à ce jour pas de version française de ce produit, toutefois des tutoriels en français sont disponibles en quantité sur Internet. 7 Sites de références 7.1 Site du réseau Ce guide est disponible dans une version régulièrement mise à jour sur : Il est complété par des fiches techniques et de la documentation. 7.2 Sites des distributions IpCop Site officiel : Site des extensions :

80 PfSense Site officiel : Forums : Sites complémentaires Site francophone dédié aux distributions Linux sécurisées : Forums francophone pour IpCop & PfSense :

81