Les réseaux des EPLEFPA. Architectures & Recommandations

Transcription

1 Architectures & Recommandations Chantier national DRTIC Décembre 2009

2 Architecture des réseaux en EPLEFPA

3

4 Table des matières 1 Préambule Objectifs Limites Structures des EPLEFPA Infrastructure physique des réseaux Locaux techniques Technologies câblées Technologies sans fil Recommandations Éléments actifs Les hubs Switch ou commutateur Les ponts Les routeurs Les équipements «Box» ou «triple play» Les éléments actifs Wifi Recommandations Infrastructure logique des réseaux Protocoles réseaux Adressage IP Introduction à IPV Segmentation Les Vlan ou réseaux virtuels Recommandations Interconnexion des réseaux de l EPL MAN/WAN RPV/VPN Technologies VPN Les différentes solutions VPN Recommandations Sécurité des réseaux Notions de sécurité informatique Authentification Recommandations Firewall Recommandations Filtrage Internet Recommandations Sécuriser les accès nomades au réseau local Recommandations Surveillance & Analyse réseau Recommandations Sites de références Site du réseau Sites des distributions...78

5

6 5 1 Préambule L architecture des réseaux en EPLEFPA constitue un domaine de réflexion de la première importance qui conditionne les usages et la qualité de service du système d information qui se caractérise principalement par : des informations variées appartenant généralement à deux grands domaines : les données administratives au caractère parfois confidentiel et les données pédagogiques. de nombreuses familles d usagers : administratifs, enseignants, apprenant de la formation initiale ou continue, titulaires ou vacataires, parents d élèves, institutionnels etc. Les groupes d utilisateurs sont donc très hétérogènes, difficulté à laquelle s ajoute la présence d élèves et d apprentis mineurs. Une ouverture importante vers de nombreux interlocuteurs institutionnels dont au premier lieu le Ministère de l'agriculture, de l Alimentation et de la Pêche mais également les Conseils Régionaux, le Ministère des Finances, le Ministère de l Éducation Nationale, etc. L importance prise par le système d information de l EPL, son ouverture, la complexité croissante des réseaux ont fait émerger la nécessité de rédiger un guide à destination des établissements. 1.1 Objectifs Le premier objectif de ce guide est d aborder tous les aspects d un réseau local en réalisant un état de l art qui permettra aux membres de la commission TIM de l établissement de comprendre les éléments théoriques de base nécessaires à une prise de décision. Le second objectif est d établir des recommandations à l attention des EPLEFPA. Chaque domaine, abordé sous forme d un chapitre, sera conclu par des recommandations permettant de rendre ce guide plus opérationnel. Ce document pourra également servir de document de référence dans les discussions avec leurs partenaires et plus particulièrement les Conseils Régionaux en tant que propriétaires des infrastructures. Ce guide est le résultat d un groupe de travail DRTIC dont l expérience en matière d architecture réseaux est diverse. Sur la base des technologies actuelles et d observations effectuées dans les EPL de différentes régions, il devrait donc permettre de : Éclairer des choix : permettre à l utilisateur de faire le tour des solutions techniques existantes afin d effectuer des choix en toute connaissance de cause. Établir des recommandations : celles formulées dans ce guide n ont pas de valeurs impératives mais constituent des orientations retenues parce qu éprouvées dans les établissements, cohérent avec le Système d Information de l Enseignement Agricole et respectant la Politique de Sécurité des Systèmes d Information du MAAP. Limiter les coûts : La vocation de ce document est aussi de permettre la mise en place de solutions avec des coûts limités. Elles sont donc souvent issues du monde du logiciel libre.

7 6 1.2 Limites Ce guide n a pas vocation à être exhaustif ni à apporter une solution à tous les problèmes, mais à assurer un minimum d appui technique à la prise de décision dans une structure de type EPLEFPA. Le secteur des TIC évolue rapidement et conduit à une obsolescence plus ou moins rapide des documents imprimés. Une version électronique sera tenue à jour régulièrement et publiée sur le portail des TICEs initié par le réseau des DRTIC : Elle sera complétée régulièrement par des fiches techniques permettant la mise en œuvre des recommandations faites dans ce guide Politiques des Régions Les Conseils Régionaux ont la responsabilité des infrastructures des établissements et assurent le financement des équipements. A ce titre, ils sont des partenaires incontournables dans le domaine de l architecture des réseaux. Certaines Régions possèdent déjà des schémas directeurs dans ce domaine ou sont porteurs de projets qui ont des répercussions directes sur l architecture des réseaux. Il peut s agir, par exemple, du déploiement d un Environnement Numérique de Travail, du choix d un Fournisseur d Accès à Internet, d une solution de sécurité, etc. Il convient donc de préciser que les préconisations de ce guide sont à adapter au contexte régional Autonomie des EPLEFPA Le conseil d administration d un EPLEFPA a toute latitude pour conduire un projet d infrastructure de son réseau. Dans ce cas, ce guide doit lui permettre de prendre des orientations cohérentes avec les orientations nationales du Ministère tout en ne perdant pas de vue son contexte régional. 1.3 Structures des EPLEFPA La constitution des établissements est généralement la suivante : Le siège de l établissement est le Lycée d Enseignement Général et Technologique Agricole (LEGTA) ou le Lycée Professionnel Agricole (LPA) le plus important. Il comprend plusieurs centres constitutifs qui peuvent être, outre le lycée siège, un ou plusieurs autres lycées, un ou plusieurs Centres de Formations Professionnelle et de Promotion Agricole (CFPPA), un ou plusieurs Centres de Formation d Apprentis (CFA) et une ou plusieurs exploitations agricoles ou ateliers technologiques. Les centres constitutifs d un EPLEFPA peuvent êtres situés géographiquement sur un seul site ou réparti sur plusieurs dans un même département. Il existe une grande hétérogénéité dans la taille des établissements dont le plus petit est constitué d un LPA d une centaine élèves, et le plus important de 3 lycées, 2 CFA, 2 CFPPA, 2 exploitations agricoles, et. 2 ateliers technologiques. La taille d un EPLEFPA, le nombre de ses centres constitutifs, leur importance, leur public ainsi que leur répartition géographique ainsi que leurs répartitions géographiques impactent directement l infrastructure de son réseau et influent sur ses besoins en terme de sécurité des systèmes d informations. Les trois chapitres suivants présentent les principaux types d infrastructures des réseaux des EPLEFPA en fonctions de leurs principales typologies.

8 EPLEFPA mono-site mono-réseau C est le cas le plus simple en terme d infrastructure et d administration du réseau. Cette typologie d établissement tend à disparaître.

9 EPLEFPA mono-site multi-réseaux : Cette typologie d établissement tend à se développer sur les établissements mono-site et multi-centre afin de mieux sécuriser le réseau et de répondre de façon plus efficace aux exigences de la politique de sécurité des systèmes d information du Ministère.

10 EPLEFPA multi-sites multi-réseaux <Cette typologie tend à se développer de façon importante sous l impulsion d une politique ministérielle visant à regrouper les établissements d enseignement agricole au sein de structures d EPLEFPA départementaux. Elle fait appel à des techniques complexes de gestion et de sécurisation des réseaux qui impliquent la présence d équipes locales compétentes.

11 10 2 Infrastructure physique des réseaux 2.1 Locaux techniques Salles serveurs La salle serveur est le cœur du système d information. Elle est indispensable au sein d un établissement et doit être strictement réservée à cet usage. Sa conception fait appel à de nombreux savoir-faire et se caractérise par un environnement multi-technique (électricité, climatisation, incendie, contrôle d accès, report des alarmes, procédures, ). C est pourquoi un soin très particulier doit être apporté dans sa mise en œuvre. Alimentation électrique Bien que le courant fourni s avère généralement de bonne qualité, les équipements informatiques demeurent néanmoins sensibles à diverses perturbations électriques (sautes de tension, surcharge, courant de fuite, ). Il est fortement recommandé de fiabiliser ces alimentations par des équipements assurant une alimentation électrique stabilisée, filtrée et continue afin d éliminer la plupart des anomalies du réseau souvent à l origine des pannes, incidents, voir arrêt total de la production informatique.. Aussi il est important de penser à : fournir une alimentation électrique indépendante à la salle serveur (directement à l arrivée EDF), équiper la salle ou à défaut chaque serveur d un onduleur. fournir si possible aux postes utilisateurs une alimentation indépendante du courant domestique. Vérifier les branchements individuels régulièrement (radiateurs, cafetières, multiprises ). Informer les usagers des risques pour leurs propres fichiers. Les onduleurs il fournit un courant de rechange en cas de coupure grâce à ses batteries. La durée du secours est bien sûr proportionnelle à la taille de ses batteries et inversement proportionnelle à la consommation des appareils qui lui sont attribués (de quelques minutes à quelques heures). il régule le courant (sous-tension, surtension, mais aussi écarts de fréquence ). Tous les onduleurs ne sont pas aussi performants. Un gros onduleur utilisé pour plusieurs machines est généralement plus performant que plusieurs petits pour un même coût. lorsque la coupure se prolonge plus de quelques minutes, il peut ordonner aux serveurs de fermer proprement tous leurs services, évitant ainsi des pertes de données. L onduleur comme ses batteries doit être minutieusement et régulièrement vérifié. Beaucoup d onduleurs sont maintenant accessibles par le réseau et peuvent être contrôlés régulièrement depuis une console d administration, il faut donc vérifier que les dispositions nécessaires ont été prises. Climatisation La climatisation est un élément fondamental de la sécurité des systèmes d information. Les serveurs sont conçus pour fonctionner dans une plage de températures dite «ambiance de bureau». Au delà, soit ils.s arrêtent, soit ils risquent la panne grave. La fourniture de climatisation doit assurer le refroidissement des configurations informatiques hébergées 24 h sur 24. Toute panne sur la chaîne climatique peut provoquer une hausse de température très rapide qui peut s avérer fatale pour certains composants sensibles. il est donc très important que les salles soient correctement équipées de climatiseur de puissance suffisante. En cas d arrêt de la climatisation la température augmente rapidement. Il peut donc s avérer nécessaire qu elles soient équipées de systèmes d alerte (thermostat indépendant) et de procédures et contrats de maintenances associés.

12 11 L incendie La protection contre le risque incendie est partie intégrante de l environnement des salles informatiques. Un court-circuit dans un passage de câbles et un incendie risque de détruire en quelques instants la salle machine.. Il faut prendre en compte que ce lieu reste généralement à l abri des allers et venues ce qui permet le développement discret d un incendie.. La lutte contre l incendie comporte trois volets : la prévention, la détection, l extinction. Parmi les points sensibles, on retrouve : la sensibilisation, la formation et les exercices, le contrôle régulier des équipements de détection et de lutte, les reports d alarmes, les procédures Les accès Un autre point sensible de l environnement des salles informatiques est la gestion des flux humains. Les entrées et sorties dans une salle informatique et dans les locaux techniques doivent être strictement limitées aux personnels habilités. Ce flux plus ou moins permanent est à considérer comme source potentielle de dysfonctionnements, qu ils soient volontaires ou involontaires. Toute autre forme d accès doit se faire sous la responsabilité et en présence d un agent habilité. Il convient d informer tous les intervenants potentiels du caractère sensible des zones dans lesquelles ils sont amenés à intervenir. Les précautions de sécurité regrouper le matériel le plus sensible dans les zones les mieux protégées, ces locaux doivent être isolés des réseaux de servitudes. (eau, électricité, ascenseurs ), sortir les supports de sauvegarde des locaux, si possible du bâtiment, contrôler l accès par des systèmes à clé, cartes, digicodes, faciles à utiliser et maintenus opérationnels. Bilan des points de vigilance sécurité du bâtiment sécurité d accès sécurité intrusion sécurité incendie sécurité électrique sécurité climatique Locaux techniques Les locaux techniques constituent les nœuds secondaires du réseau informatique en assurant les connexions des équipements terminaux d un ou plusieurs étages. Ils hébergent les baies de brassage, les équipements actifs du réseau et parfois les sous répartiteurs téléphoniques. Les baies de brassage contiennent l arrivée de toutes les prises informatiques de la zone desservie ainsi que les hubs (concentrateurs) ou switchs (commutateurs) sur lesquelles elles sont connectées. Elles sont reliées entre elles ainsi qu à la salle serveur par des rocades. Ces locaux sont donc des éléments essentiels du réseau local et représentent un point de vulnérabilité significatif. Au même titre que la salle serveur, ils doivent faire l objet d une attention particulière sur certains points. Les recommandations édictées précédemment pour la salle serveur s appliquent de la même manière aux locaux techniques dans les domaines de l alimentation électrique, des onduleurs et du contrôle des accès.

13 Technologies câblées Ethernet Pour relier les diverses entités d un réseau, plusieurs supports physiques de transmission de données peuvent être utilisés. La plus répandue de ces possibilités est l utilisation de câbles. Il existe de nombreux types de câbles, mais on distingue généralement : l le câble coaxial, l les paires torsadées, l llla fibre optique Le câble coaxial Le câble coaxial a longtemps été le câblage de prédilection, pour la simple raison qu il est peu coûteux et facilement manipulable (poids, flexibilité, ). Il est aujourd hui en voie de disparition. Il en existe principalement deux types : Câblage 10Base2 - coaxial Ethernet fin C est un câble coaxial fin (diamètre 6 mm) et flexible, d une impédance de 50 W blindé. Les stations sont connectées suivant une topologie en bus grâce à un connecteur en T appelé BNC. La longueur maximale du segment est de 185 m et permet de connecter 30 stations avec une bande passante de 10 Mbps. Câblage 10Base5 - coaxial Ethernet épais ou "jaune" C est un câble coaxial épais (diamètre 12 mm) et peu flexible, d une impédance de 50 W. Les stations ou les concentrateurs (hubs) se connectent suivant une topologie bus, par l intermédiaire d un «transceiver» et d un câble de descente. La longueur maximale d un tronçon est de 500 m et sa bande passante 10 Mbps Il était donc employé très souvent comme câble principal (backbone) pour relier des petits réseaux dont les ordinateurs sont connectés avec du 10Base Le câble paires torsadées La paire torsadée est adaptée à la mise en réseau local d un parc sur une distance réduite (<100 m) avec un budget limité et une connectique simple. Il constitue aujourd hui la très grande majorité des réseaux locaux. Dans sa forme la plus simple, le câble à paire torsadée (en anglais Twisted-pair cable) est constitué de brins de cuivre entrelacés en torsade et recouverts d isolants. Un câble est souvent fabriqué à partir de plusieurs paires torsadées regroupées et placées à l intérieur de la gaine protectrice. L entrelacement permet de supprimer les bruits (interférences électriques) dus aux paires adjacentes ou autres sources (moteurs, relais, courants forts). Les câbles à paires torsadées sont souvent blindés afin de limiter les interférences. Le blindage peut être appliqué individuellement aux paires ou à l ensemble des paires. Dans ce dernier cas on parle d écrantage. Suivant le blindage, il existe différents types de paires torsadées : paire torsadée non blindée (UTP Unshielded Twisted Pair) : câble sans blindage protecteur, paire torsadée écrantée (FTP Foiled Twisted Pair) : câble où les paires torsadées ont un blindage général assuré par un écran (feuille d aluminium) disposé entre les paires et la gaine extérieure, paire torsadée écrantée et blindée (SFTP Shielded and Foiled Twisted Pair) : câble ayant un double écran (feuille métallisée et tresse) autour des paires, paire torsadée blindée et générale blindée (SSTP Shielded and Shielded Twisted Pair) : câble où chaque paire est blindée et il y a en plus un écran entre les 4 paires et la gaine extérieure. Ces différents types de câbles ont une impédance de 100 ou 120 ohms. Les câbles à paires torsadées sont standardisés en diverses catégories d intégrité du signal. Ces différentes catégories sont ratifiées régulièrement par les autorités de normalisation et notamment la norme française NF/EN , elle même issue de la norme ISO 11801, définissant le câblage structuré.

14 13 Catégorie 1 La catégorie 1 est un type de câblage abandonné. Cette catégorie de câble était destinée aux communications téléphoniques. Cette norme n est plus d actualité. Catégorie 2 La catégorie 2 est un type de câblage abandonné. Cette catégorie de câble permettait la transmission de données à 4 Mbit/s avec une bande passante de 2 MHz, notamment pour les réseaux de type Token Ring. Catégorie 3 La catégorie 3 est un type de câblage permettant une bande passante de 16 MHz. Ce type de câble de nos jours ne sert principalement plus qu à la téléphonie sur le marché commercial, aussi bien pour les lignes analogiques que numériques. Il est également utilisé pour les réseaux Ethernet (10 Mbps) et Fast Ethernet (100 Mbps). Ce type de câblage est en cours d abandon par les opérateurs au bénéfice de câbles de catégorie 5e ou supérieure, pour la transmission de la voix comme des données. Catégorie 4 La catégorie 4 est un type de câblage permettant une bande passante de 20 MHz. Ce standard fut principalement utilisé pour les réseaux Token Ring à 16 Mbps ou les réseaux 10BASE-T. Il fut rapidement remplacé par les catégories 5 et 5e. Catégorie 5 La catégorie 5 est un type de câblage permettant une bande passante de 100 MHz et un débit de 100 Mbps. Ce standard permet l utilisation du 100BASE-TX ainsi que diverses applications de téléphonie ou de réseaux (Token ring, ATM). Catégorie 5e La catégorie 5e (enhanced) est un type de câblage permettant une bande passante de 150 MHz et un débit 1 G-bit/s. La norme est une amélioration de la catégorie 5. Elle est aujourd hui la plus fréquente. Catégorie 6 La catégorie 6 est un type de câblage permettant de transmettre des données à des fréquences jusqu à 250 MHz et à des débits théoriques ne dépassant pas 1 Gbit/s Catégorie 6a Ratifiée en 2008, la norme 6a est une extension de la catégorie 6 avec une bande passante de 500 MHz permettant un débit théorique de 10G-bit/s. Catégorie 7 La catégorie 7 permet la transmission de données à des débits allant jusqu à 10 Gbits/s et à des fréquences ne dépassant pas 600 MHz. Attention : Les réseaux de type Ethernet n acceptent pas de liens supérieurs à 100 mètres! (quelles que soient la famille et la catégorie du câblage). Les connecteurs doivent être en adéquation avec les câbles utilisés, notamment au niveau du blindage. Pour une utilisation extérieure, il existe des qualités de câbles appropriées La fibre optique Une fibre optique est un câble contenant plusieurs brins constitués d un fil en verre ou en plastique très fin qui a la propriété de conduire la lumière et sert dans les transmissions d images, voix et données informatiques. C est un câblage possédant de nombreux avantages. Légèreté, immunité aux perturbations électromagnétiques, faible atténuation, tolérance aux débits élevés, largeur de bande de quelques dizaines de mégahertz à plusieurs gigahertz.

15 14 Le câblage optique est particulièrement adapté à la liaison entre répartiteurs (liaison centrale entre plusieurs bâtiments, appelé backbone, ou en français épine dorsale) car elle permet des connexions sur des longues distances (de quelques mètres à 60 km dans le cas de fibre monomode). Les fibres optiques peuvent être classées en deux catégories selon le diamètre de leur cœur et la longueur d onde utilisée : Les fibres multimodes sont les plus anciennes sur le marché. Elles ont pour caractéristique de transporter plusieurs modes (trajets lumineux), ce qui entraîne une dispersion du signal proportionnelle à la longueur de la fibre. En conséquence, elles sont principalement utilisées dans des liaisons inter bâtiments avec des débits de 100 Mbps ou 1 Gbps et sur des distances de 100 m à 3 km. Elles sont caractérisées par un diamètre de cœur de 50 ou 62,5 µm. Les fibres monomodes, plus fines, sont préférées pour de plus longues distances et/ou de plus hauts débits. Leur cœur très fin n admet ainsi qu un mode de propagation, le plus direct possible c est-à-dire dans l axe de la fibre. Les pertes sont donc minimes que ce soit pour de très haut débits ou de très longues distances. Les fibres monomodes sont de ce fait adaptées aux longues distances comme pour les lignes intercontinentales. Ces fibres monomodes sont caractérisées par un diamètre de cœur de 9 µm. Elles sont également caractérisées par des types de connecteurs différents dont les principaux sont : ST et FC (section ronde à visser) MIC (section rectangulaire clipsable) SC (section carrée clipsable) LC (petite section carrée clipsable) MTRJ (petite section carrée clipsable) CPL Les Courants Porteurs en Ligne sont des technologies qui visent à faire passer de l information à bas débit ou haut débit sur les lignes électriques en utilisant des techniques de modulation. Selon les pays, les institutions, les sociétés, les courants porteurs en ligne se retrouvent sous plusieurs mots-clés différents : CPL (Courants Porteurs en Ligne) PLC (Power Line Communications) PLT (Power Line Telecommunication) PPC (Power Plus Communications) Le principe des CPL consiste à superposer au signal électrique de 50 Hz un autre signal à plus haute fréquence (bande 1,6 à 30 Mhz) et de faible énergie. Ce deuxième signal se propage sur l installation électrique et peut être reçu et décodé à distance. Ainsi le signal CPL est reçu par tout récepteur CPL qui se trouve sur la même phase d un même réseau électrique. Dans un immeuble, le câble d alimentation électrique unique va se ramifier en un nombre important de distributions secondaires. Et le raisonnement est le même à l échelle du quartier ou de la ville. Il en découle une diffusion du signal qui a deux effets négatifs : la diminution de la force du signal à chaque division, le partage de la bande passante par tous les appareils, la propagation difficilement contrôlable des données dans des lieux qui ne sont pas forcément ceux que l on souhaite. Les moteurs électriques et les alimentations d ordinateurs génèrent de violentes perturbations sur les réseaux électriques. La perturbation est déjà l ennemi des réseaux Ethernet classiques, avec le CPL, elle peut apparaître et disparaître à tout moment et à tout endroit, sans qu il soit facilement possible de relier son apparition avec le fonctionnement d un appareil donné. Dès lors, il est nécessaire de faire appel à

16 15 une technologie de signal particulièrement robuste. Schématiquement, le signal est transmis par plusieurs trames concurrentes émises sur plusieurs fréquences. On garde le meilleur à l arrivée. On distingue logiquement deux types de CPL : outdoor : à l extérieur des constructions. C est l une des réponses possibles à la desserte des localités et des habitations isolées, non desservies par l ADSL. Cette technologie est utilisée à l étranger, mais en France, la législation n autorise pas encore un fournisseur d énergie à être aussi opérateur de télécommunication. indoor : à l utilisation dans un bâtiment professionnel qui est alors directement concurrente du Wi-Fi, on peut rajouter l utilisation familiale, a priori plus souple et plus intuitive que le WI-Fi. Il suffit généralement de brancher le modem sur une prise du secteur et d y connecter son PC. Encore très récent, le CPL se décline en un grand nombre de technologies propriétaires. Les équipements commercialisés à ce jour pour le grand public sont basés sur des technologies Homeplug ou DS2, qui sont incompatibles entre elles. Le HomePlug est le plus répandu, mais limité par sa faible performance (14 Mbps théoriques, 6 à 7 réels). Les évolutions récentes permettent des débits théoriques de 85 à 200 Mbps Autres (xdsl ) Les technologies dites ligne d abonné numérique, en anglais Digital Subscriber Line ou DSL ou encore xdsl, regroupent l ensemble des technologies mises en place pour un transport numérique de l information sur une simple ligne de raccordement téléphonique. Les lignes téléphoniques permettent de diffuser des ondes comprises dans un spectre de fréquences dont la voix n utilise qu une partie très restreinte. L idée est de mettre à profit la partie non utilisée du spectre pour transporter des données. Il existe un grand nombre de types de DSL dont les principaux sont l ADSL et le SDSL. Ces technologies sont principalement utilisées par les opérateurs pour connecter leurs abonnés au WEB. Le préfixe A pour Asymétrique et S pour Symétrique décrit le rapport entre bande passante ascendante, de l utilisateur vers le réseau, (upload) et bande passante descendante, du réseau vers l utilisateur, (download). L ADSL a un upload beaucoup plus faible que le download tandis que pour le SDSL les deux bandes passantes sont égales. La première convient donc bien pour un utilisateur du web, tandis que la seconde permet d envisager l émission de données nécessaires par exemple à l hébergement d un serveur web ou à l interconnexion de deux sites distants. La technologie VDSL (Very high bit-rate DSL) est également répandue. Elle permet d atteindre de très hauts débits de 13 à 55,2 Mbps. Cette technologie permet d établir des connexions réseau local sans déployer de câblage dédié. il suffit d utiliser des installations téléphoniques existantes. Dans ce cas, il faut utiliser un boîtier répartiteur à la racine du réseau téléphonique, et un boîtier client (modem VDSL) au niveau de chaque prise de téléphone, lui adjoignant ainsi une prise RJ45. L usage le plus fréquent et le plus intéressant du VDSL consiste à raccorder deux points distants quand la distance excède les 100 m maxi des réseaux Ethernet et que l installation téléphonique est existante. On appelle cela un pont VDSL. Dans ce cas, on utilise une installation basée sur une interface serveur à une extrémité du fil téléphonique, et une interface client à l autre extrémité. Chaque boîtier est relié à un réseau Ethernet par un connecteur RJ45. Pour cet usage, on utilise un VDSL symétrique, avec un débit de 5, 10, 15, 18 ou 34 Mbps, selon la distance, qui peut atteindre 1,5 km. Son successeur, le VDSL2 permet d atteindre 50 Mbps symétrique et une distance allant jusqu à 3 km. Les autres technologies xdsl sont : IDSL (ISDN DSL, variante orientée données de l ISDN [Numéris]) ReADSL (Reach Extended DDSL), augmente la portée de l ADSL HDSL (High Bit Rate DSL) et G. SHDSL, ancêtre du SDSL, RADSL (Rate Adaptive DSL) G-Lite, ADSL à bas débit ne nécessitant pas de filtres, DSM (Dynamic Spectrum Management), concurrent du VDSL.

17 Technologies sans fil Les techniques de réseau sans fil sont classifiées en fonction de leurs usages et de leurs portées : WPAN (Wireless Personal Area Networks) ou réseaux sans fils personnels comme le Bluetooth ou l infrarouge. WLAN (Wireless Local Area Networks) ou réseaux sans fils locaux comme le Wi-Fi ou l Hyperlan. WMAN (Wireless Metropolitan Area Networks) ou réseaux sans fils métropolitains connus sous le nom de BLR (Boucle Locale Radio) ou de WiMax. WWAN (Wireless Wide Area Networks) ou réseaux sans fils nationaux comme le GSM, le GPRS et l UMTS (3G) Bluetooth ( ) Le Bluetooth est une technologie de réseau personnel sans fil (noté WPAN pour Wireless Personal Area Network), qui utilise une technologie radio courte distance destinée à simplifier les connexions entre les appareils électroniques. Elle est conçue dans le but de remplacer les câbles entre les ordinateurs et leurs principaux périphériques (PDA, imprimantes, téléphone, ) et succéder à la peu pratique technologie IrDa (liaison infrarouge). Elle permet actuellement d obtenir des débits de l ordre de 1 Mbps, avec une portée d une dizaine de mètres environ. Afin d échanger des données, les appareils doivent se connaître. Cette opération se nomme l appariement et se fait en lançant la découverte à partir d un appareil et en échangeant un code. Ensuite les codes sont mémorisés sur les deux appareils, et il suffit que l un d entre eux demande le raccordement et que l autre l accepte pour que les données puissent être échangées. Il est toutefois important de signaler que la compatibilité entre marques est assez imparfaite et que certains appareils ne parviennent pas à se raccorder à d autres. Dans la pratique, le Bluetooth est principalement intégré à des appareils fonctionnant sur batterie et désirant échanger une faible quantité de données sur une courte distance : téléphones portables (presque généralisé), où il sert essentiellement à la liaison avec une oreillette ou à l échange de fichiers, ordinateurs portables, essentiellement pour communiquer avec les téléphones portables (pour servir de MODEM, pour sauvegarder les carnets d adresses, pour l envoi de SMS, etc.), périphériques divers, comme des claviers, pour faciliter la saisie sur les appareils qui en sont dépourvus, périphériques spécialisés, comme des appareils à électrocardiogramme, qui peuvent communiquer sans fil avec l ordinateur du médecin WUSB ( ) Le Wireless USB est, comme le Bluetooth, une technologie de réseau personnel sans fil courte distance.destinée à simplifier les connexions entre les appareils électroniques. Elle est conçue dans le but de compléter ou de remplacer les liaisons filaires USB classiques. Elle permet d obtenir des débits théoriques, décroissants selon la distance, compris entre 110 et 480 Mbps, avec une portée d une dizaine de mètres. Cette technologie ne perturbe pas le Bluetooth et traverse mieux les obstacles grâce à une gamme de.fréquences comprises entre 3,1 et 10,6 Ghz. Elle permet de gérer jusqu à 127 périphériques WLAN (802.11) La norme IEEE est un standard international décrivant les caractéristiques d un réseau local sans fil (WLAN). En france, elle est plus connue sous le nom de marque déposée «Wi-Fi» alors que dans d autres pays de tels réseaux sont correctement nommés WLAN (Wireless LAN). Grâce au Wi-Fi, il est possible de créer des réseaux locaux sans fil à haut débit. Dans la pratique, le Wi-Fi permet de relier des ordinateurs portables, des machines de bureau, des assistants personnels (PDA), des objets communicants ou même des périphériques à une liaison haut débit (de 11 à 300 Mbit/s théoriques) sur un rayon de plusieurs dizaines de mètres en intérieur (généralement entre une vingtaine et une cinquan-

18 17 taine de mètres). Dans un environnement ouvert, la portée peut atteindre plusieurs centaines de mètres voire dans des conditions optimales plusieurs dizaines de kilomètres avec des antennes directionnelles Le mode infrastructure Le réseau sans fil est fondé sur une architecture cellulaire où chaque terminal client appelé BSS (Basic Service Set) est contrôlé par un point d accès (Access Point), le tout formant un réseau appelé ESS (Extended Service Set). Les points d accès peuvent être reliés entre eux pour permettre à un terminal de passer de l un à l autre tout en restant sur le même réseau local (concept du roaming). Pour s identifier auprès d un réseau sans fil, les ordinateurs utilisent son identifiant de réseau (SSID). Le point d accès, souvent appelé «borne WIFI» se comporte comme un concentrateur sur un réseau filaire. Chaque terminal sans fil reçoit donc tout le trafic transitant par cette borne. Si ce terminal scrute simultanément plusieurs canaux, il recevra alors le trafic de tous les réseaux qui l entourent. Dans ce mode la bande passante est partagée par tous les utilisateurs Le mode ad-hoc Il s agit d un mode point à point entre des équipements sans fil. C est un mode de fonctionnement qui permet de connecter directement les ordinateurs équipés d une carte Wi-Fi, sans utiliser un matériel tiers tel qu un point d accès. Il est idéal pour interconnecter rapidement des machines entre elles sans matériel supplémentaire. Sa mise en place se borne à configurer les machines en mode Ad-Hoc, à la sélection d un canal (fréquence) et d un nom de réseau (SSID) commun à tous. Grâce à l ajout d un simple logiciel de routage dynamique (OLSR, AODV ), il est possible de créer des réseaux maillés autonomes (mesh networks) dans lesquels la portée ne se limite pas à ses voisins car tous les participants jouent le rôle du routeur Les différentes normes Wi-Fi La norme IEEE initiale est déclinée en un certain nombre de normes dérivées afin de répondre à des objectifs d interopérabilité ou de sécurité. Les principales sont, à ce jour, les normes IEEE a, IEEE b, IEEE g, IEEE i, et IEEE n. Toutefois, l utilisation de certains canaux est soumise aux législations nationales a : Elle utilise la bande de fréquence des 5 GHz et autorise un débit théorique de 54 Mbps. La législation française n autorise cette bande de fréquence qu en intérieur pour des puissances d émission inférieures à 100 mw b : Adoptée en 1999, elle permet d atteindre un débit théorique de 11 Mbps avec une portée pouvant atteindre plusieurs centaines de mètres en environnement dégagé. Elle utilise la bande de fréquence des 2,4 Ghz sur 14 canaux de transmission différents, dont trois seulement sont utilisables simultanément au débit maximal. Elle permet ainsi à plusieurs réseaux de cohabiter au même endroit, sans interférence g : Elle permet un débit théorique de 54 Mbps dans la bande de fréquence des 2.4Ghz. Elle est compatible avec la norme IEEE b permettant ainsi aux équipements 802,11g de fonctionner en environnement b, avec une dégradation des performances n : Cette norme est en cours de déploiement en Elle utilise également la bande de fréquence des 2.4Ghz et reste compatible avec les normes b et g. Le débit théorique atteint les. 600 Mbps (débit réel de 100 Mbps dans un rayon de 90 mètres) grâce aux technologies MIMO (Multiple- Input Multiple-Output) et OFDM (Orthogonal Frequency Division Multiplexing). Il faut noter que des équipements qualifiés de «pré-n» sont disponibles depuis 2006 : ce sont des équipements qui mettent en œuvre une technique MIMO d une façon propriétaire, sans rapport avec la norme n. Cette norme sait combiner jusqu à 8 canaux, ce qui permettrait en théorie d atteindre une capacité totale effective de presque 1 Gbps.

19 f : Elle met l accent sur une meilleure interopérabilité des produits en proposant le protocole Inter- Access point roaming protocol pour permettre à un utilisateur itinérant de changer de point d accès de façon transparente lors d un déplacement, quelles que soient les marques des points d accès présents dans l infrastructure réseau. Cette capacité est appelée «roaming» i : Elle met l accent sur la sécurité en proposant des mécanismes de contrôle d intégrité, d authentification et de chiffrement. Elle s appuie sur l AES (Advanced Encryption Standard) et propose un chiffrement des communications pour les transmissions utilisant les standards a, b et g Limites et risques Les principales limites des technologies relevant de la famille des normes dites «wi-fi»concernent la sécurité des transmissions et les risques sanitaires. De par sa technologie le Wi-Fi est un protocole qui diffuse les données par radio vers toutes les stations qui sont aux alentours, ce qui la rend très simple à écouter. Un utilisateur mal intentionné peut se placer dans le périmètre des équipements du réseau afin de récupérer les informations qui lui permettront d avoir accès au réseau. La sensibilité au brouillage est une autre vulnérabilité induite par la technologie des réseaux sans fil. Cet aspect est traité en détail au chapitre «6.5 Sécuriser les accès nomades au réseau local». Le Wi-Fi est au cœur des interrogations quant à l impact des radio fréquences sur la santé de l homme. Les ondes émises par les équipements Wi-Fi sont d une puissance vingt fois moindre que celles émises par les téléphones mobiles qui sont généralement tenus à proximité immédiate du cerveau, ce qui n est pas le cas des équipements Wi-Fi à l exception des téléphones Wi-Fi. La densité de puissance d un signal étant inversement proportionnelle au carré de la distance, elle décroit rapidement. Plusieurs organismes ont réalisé des études au sujet de l effet sur la santé du Wi-Fi. L agence française de sécurité sanitaire de l environnement et du travail (AFSSET) synthétise les connaissances scientifiques actuelles sur son site Elle a rendu 15 octobre 2009, à la demande du gouvernement, un rapport intitulé «Les radiofréquences : mise à jour de l expertise relative aux radiofréquences» contenant un ensemble d avis et disponible au téléchargement sur son site WMAN (802.16x) La BLR (Boucle Locale Radio) fait partie des réseaux sans fil de type WMAN (Wireless Metropolitan Area Networks). C est une technologie sans fil capable de relier les opérateurs à leurs clients grâce aux ondes radio sur des distances de plusieurs kilomètres. Elle est plus connue sous son nom commercial WiMax qui est un acronyme pour Worldwide Interoperability for Microwave Access). Les réseaux sans fil de ce type répondent à une famille de norme IEEE qui permet des débits de l ordre de 70 Mbps avec une portée théorique pouvant atteindre une centaine de kilomètres. Cette technologie est utilisée à la fois pour les réseaux de transport et de collecte, et pour les réseaux de desserte souvent en lieu et place de l ADSL. Son déploiement sur le territoire national est en cours sous l impulsion des collectivités territoriales avec comme objectif principal la couverture en haut débit des zones peu ou mal couvertes par l ADSL. La sous-norme e, en cours d adoption, ajoutera de la mobilité à la norme actuelle IEEE WWAN Réseaux de téléphonie mobile Le déploiement et l évolution des réseaux de téléphonie mobile permet d ajouter des services de transport de données à la voix offrant ainsi la possibilité de connecter un terminal informatique à Internet. L usage principal consiste à connecter un ordinateur portable au réseau Internet soit en utilisant un téléphone portable comme modem, soit en disposant d une clef USB équipée d une carte SIM d un opérateur ou en utilisant un ordinateur portable pré-équipé d une carte SIM intégrée, Le développement de cette technologie est classifiée en «Générations» accompagnées d acronymes dont les principaux sont :

20 19 2G GSM : Global System for Mobile Communication. Cette génération a vu l explosion de la téléphonie mobile pour laquelle elle a été conçu. Elle ne permettait le transport de données qu à de faibles débits d environ 9,6 Kbps. 2.5G GPRS : General Packet Radio Service. C est une extension du GSM permettant la transmission de données par paquets autorisant ainsi des débits plus élevés, adaptés à de petits volumes de données. Le débit téhorique est de 171 Kbps, mais excéde rarement les 50 Kbps réels. 2.75G EDGE : Enhanced Data Rate for GSM Evolution. C est à nouveau une extension de la norme GSM qui permet d élever les débits en utilisant les infrastructures existantes avant l arrivée des réseaux de 3 e génération. Elle est particulièrement présente dans les zones rurales à faible densité d abonnés. Le débit théorique est de 384 Kbps, mais dépend de la qualité du lien radio. 3G UMTS : Universal Mobile Telecommunications System. Cette nouvelle génération utilise des bandes de fréquences différentes des réseaux précédents afin d atteindre des débits autorisant l usage d applications multimédias et l accès à Internet haut débit. Les débits théoriques s échelonnent entre 144 Kbps lors d une utilisation mobile et 2 Mbps lors d un usage fixe. 3G + HSDPA : High Speed Downlink Packet Access. C est une évolution logicielle de l UMTS qui permet d améliorer de façon significative la qualité du lien radio descendant. Elle permet actuellement d atteindre des débits théoriques atteignant 14,4 Mbps en download et 384 Kbps en Upload. En 2008 en France, son déploiement est en cours et principalement réalisé dans les zones à forte densité d abonnés. 4G OFDM : Orthogonal Frequency Division Multiplexing. Cette nouvelle génération est en cours d étude. Les premiers téléphones 4G devraient apparaître en 2009 et les premiers réseaux en 2010 au Japon où des tests ont permis d atteindre des débits de l ordre du Gbps. 2.4 Recommandations Les recommandations effectués dans ce chapitre sont cohérentes avec la politique de sécurité des systèmes d information (PSSI) édictée par le Ministère et qui s impose aux établissements d enseignement Les locaux Chaque site hébergeant des serveurs doit être équipé d une salle dédiée à cet usage et répondre au minimum aux critères suivants : Accès limités strictement au personnel nécessaire. La salle serveur est un local fermé dont l accès est contrôlé par un système de clef ou de code. Les fenêtres sont équipées de barreaux. Une procédure définit qui peut y accéder et sous quelles conditions. La climatisation est indispensable au bon fonctionnement des équipements contenus dans la salle et permet d accroitre leur durée de vie. Elle doit être dimensionnée correctement en fonction du volume de la pièce et du nombre de serveurs qu elle pourrait accueillir. Elle doit également faire l objet de vérifications régulières et d un contrat de maintenance permettant sa remise en fonction dans des délais courts. Sécurité incendie. La salle serveur doit être équipée d un système de détection d incendie contrôlé et testé régulièrement. Aucun stockage de matériaux inflammables, notamment des cartons ou du papier, ne devra encombrer ce local. L alimentation électrique devra être indépendante des autres circuits du bâtiment. Elle sera secourue par un onduleur permettant d assurer le fonctionnement des équipements pour une durée au minimum équivalente au temps nécessaire à l arrêt des serveurs. A défaut, chaque serveur sera équipé de son propre onduleur. Quelle que soit la solution retenue, des procédures de tests réguliers seront mises en place et les équipements de secours feront l objet de contrats de maintenance. Les locaux techniques sous-répartiteurs hébergeant les éléments actifs du réseau répondront, dans la mesure du possible et en fonction de leur importance, aux mêmes règles que la salle serveur. Au minimum, il seront situés dans des locaux fermés qui ne seront jamais en libre accès.

21 20 Dans le cas d un nombre faible de connexions, le sous répartiteur se présentera sous la forme d un coffret mural situé dans une salle dédiée à d autres usages. Cette armoire sera fermée à clef et uniquement accessible au personnel habilité Le câblage réseau Les projets de création, de modification ou d extension du réseau local d un établissement privilégieront systématiquement les solutions basées sur la pose d un câblage qui permet des débits plus élevés, une meilleure qualité de service ainsi qu une pérennité plus importante Intérieur bâtiments Les câbles en cuivre de type paires torsadées seront privilégiés. Ils seront de préférence écrantés et blindés (SFTP) et appartiendront au minimum à la catégorie 5e qui permet une bande passante de 1 Gbit/s. La réalisation devra être confiée à une société spécialisée, qui est la seule à connaître toutes les contraintes physiques et techniques des réseaux informatiques et notamment celle liées à la qualité des terres informatiques, de la soudure des écrans de blindage, du cheminement des courants faibles, etc. Elle devra remettre un cahier de recettes comportant les mesures de l ensemble du câblage et des prises posées permettant de garantir le respect des normes. Dans la mesure du possible, chaque bâtiment hébergera un local technique fermé par étage abritant les baies de brassage et les éléments actifs. Ces dernières seront reliées entre elles par des rocades cuivres ou fibres optiques multimodes permettant un débit minimum d 1 Gbit/s. L utilisation de la technologie des courants porteurs en ligne (CPL) est à réserver strictement à un usage temporaire concernant un nombre restreint de postes de travail. L usage d une technologie sans fil peut être envisagée en raison de son faible coût et de sa simplicité de pose. Il est toutefois important d intégrer le fait qu elle est nettement moins performante, fiable et sure. Pour atteindre un niveau de qualité satisfaisant, il est vivement conseillé de recourir aux services de professionnels de ce secteur, d autant plus qu il est caractérisé par une grande différence de qualité et donc de tarif des équipements. Lorsque le Wifi est retenu, la préférence ira à la mise en œuvre d équipement de qualité répondant à la norme n qui reste compatible avec les équipements plus anciens de type b et g. Dans tous les cas, les réseaux installés devront être sécurisés conformément aux recommandations qui seront effectués dans les chapitres suivants Liens inter bâtiments Contrairement aux usages internes, les câbles sont à proscrire en raison de la faible longueur qu ils autorisent (< 100 m) ainsi que leur sensibilité aux rayonnements électromagnétiques et donc aux orages. Le seul cas pour le quel cette solution sera envisageable concerne la récupération d un ancien câble enterré permettant d éviter les importants coûts liés aux travaux qui pourraient êtres nécessaires comme le creusement d une tranchée. Il suffit alors de récupérer une paire téléphonique existante et de l utiliser avec des équipements répondant à la norme VDSL ou VDSL2 qui permettent un débit allant jusqu à 50 Mbps sur une distance maximale d environ 3 km. Dans tous les autres cas, les fibres optiques seront privilégiés. Elles seront du type multi modes et multi brins permettant un débit allant jusqu à 1 Gbps sur une distance pouvant atteindre 3 km. Le nombre de brins sera défini en fonction du nombre de connexions à mettre en œuvre, sachant que chacune d entre elle nécessite 2 brins. Le coût d installation d un pont en fibre optique n est pas proportionnel au nombre de fibres mais plutôt à la main d œuvre. Il est donc intéressant et utile de prévoir une fibre surdimensionnée de ce point de vue. Dans la mesure du possible, toutes les fibres optiques de l établissement seront équipées du même type de connecteur afin de permettre une uniformité des équipements au niveau des baies de brassage et des éléments actifs. Encore plus que pour le câblage cuivre, la réalisation devra être confiée à une société spécialisée, qui est la seule à connaître toutes les contraintes physiques et techniques des fibres optiques. Elle devra bien évidemment remettre un cahier de recettes comportant toutes les mesures garantissant la qualité de la liaison.

22 21 Lorsqu il n existe pas de voie permettant la pose de fibre entre deux bâtiments et que la récupération de paires téléphoniques existantes n est pas possible, des travaux de génie civil s imposent, mais leur coût est souvent prohibitif. Dans ce cas, il est possible de recourir à une technologie sans fil permettant de relier les deux bâtiments par un pont Wifi. Cette technologie utilise généralement des antennes directionnelles extérieures montées en vis à vis qui permettent de relier entre elles deux bornes Wifi connectées à deux réseaux locaux. Il existe dans ce domaine une offre très variée avec un grand éventail de qualité, de performance et de tarifs des équipements d où l importance de recourir aux services de professionnels. Comme dans le cas des points d accès, il est conseillé de choisir des équipements en fonction de leurs qualités plutôt que de leurs prix et répondant à la norme n. Certains équipements permettent aujourd hui de relier de façon satisfaisante des bâtiments séparés de plus de 10 km. Les ponts Wifi demandent particulièrement à être sécurisés conformément aux recommandations qui seront effectués dans les chapitres suivants dans la mesure où ils sont assez simples à écouter 3 Éléments actifs Les éléments actifs sont les éléments constitutifs des réseaux : ils permettent l inter-connexion des équipements informatiques d un réseau local. Les principaux équipements mis en place dans les réseaux locaux sont : Les concentrateurs (hubs), permettant de connecter entre eux plusieurs hôtes sur un même bus avec un partage de la bande passante. Les commutateurs (switchs) permettent de relier divers éléments tout en segmentant la bande passante du réseau. Les ponts (bridges), permettent de relier des réseaux locaux distants en relayant la totalité du trafic. Les routeurs, permettent de relier plusieurs réseaux locaux entre eux ou avec Internet. Les autres équipements de connexion (bornes wifi, triple play, ) 3.1 Les hubs Ils permettent la connexion de plusieurs équipements sur un local réseau local en répercutant les données émises par une station vers toutes les autres. Cette gamme d éléments se contente de relayer toutes les trames de données vers tous les ports et ce sont les équipements connectés qui décodent l en-tête des trames pour savoir si elles leurs sont destinées. En utilisant un concentrateur, chaque équipement qui lui est attaché partage le même domaine de diffusion, le même domaine de collision et la même bande passante. Comme dans tout segment de réseau Ethernet, une seule des machines connectées peut y transmettre à la fois. Dans le cas contraire, une collision se produit, les machines concernées doivent retransmettre leurs trames après avoir attendu un temps calculé aléatoirement par chaque émetteur. Ce mode de fonctionnement pose un réel problème car dès que le nombre d ordinateurs connectés augmente, le taux de collision augmente en proportion, réduisant la vitesse effective du réseau. Pour cette raison, les HUB sont en voie de disparition au profit des Switch dans les réseaux actuels. 3.2 Switch ou commutateur Un commutateur réseau (en anglais, switch) est un équipement qui relie entre eux plusieurs segments (câbles ou fibres) d un réseau local et donc les équipements qui y sont connectés. Il se présente le plus souvent, comme les concentrateurs, sous la forme d un boîtier disposant de plusieurs (entre 4 et 100) ports Ethernet.