Nouvelles technologies

Transcription

1 Nouvelles technologies Thierry Blanc Jean Marc Chartres EDF : Eric Ghibaudo 15 DECEMBRE

2 Les Nouveaux outils Sans Fil Etats des lieux Préconisations 3 Catégories -1- Wifi -2- Portables(tél) -3- CPL 2 2

3 Quelques chiffres Maintenant, l Informatique à la portée de tous. 10 millions de connexions à Internet (juin 2003) : communes sur n ont pas accès au H débit. 1er trimestre 2004 aux USA Machines auditées Nbre de Spyware découverts : et cela fait 27,8/Machines (Sources Earthlink/Webroot Software 3 3

4 Les Avantages du WIFI Avantages Métiers La simplicité de mise en œuvre. Le gain de souplesse et de mobilité. Information en ligne disponible en permanence. 4 4

5 Avantages du Wifi (suite) Avantages opérationnels Coûts des investissements réseaux réduits. Adaptabilité du réseau plus aisé. Facilité de déplacements du réseau vers un nouveau site. Mise en œuvre facile chez soi 5 5

6 Risques avec le wifi Un grand nombre de réseaux sans fil déployés à ce jour aucune sécurité 6 6

7 Les Dangers du Wifi, les principaux L écoute clandestine des données transmises L interception et la modification des données L usurpation Le freeloading Le refus de service 7 7

8 Conclusion Wifi Déployer la technologie réseau sans fil mais : Mesurer les risques Etudier sa stratégie Utiliser la sécurité de base Cryptage Wep (petits réseaux, chez soi) MAC Address Utiliser la technologie VPN (Réseau privé virtuel) 8 8

9 Conclusion Wifi(suite) Les réseaux sans fil nécessitent de l attention. Il faut les surveiller. Les considérer comme des points d entrée pour les attaquants. Il faut les sécuriser. Les mettre dans une DMZ. Auditer et rechercher Ne pas négliger Mettre en place des solutions réputées X, i 9 9

10 Nouveaux outils performants Téléphone mobile Clé USB Disque portable (grande capacité) 10 10

11 CPL Courant Porteur en ligne 11 11

12 Le Signal (Principe) 12 12

13 Normes Concernant les CPL. Pas encore de norme spécifique. ni de standard

14 Sécurité Puissance du signal : Faible Distance maximum 200 à 300 mètres. Le compteur n arrête pas le cpl Rôle de la phase (couplage) 14 14

15 Sécurité (suite) Sécurisation du réseau local : 2 aspects Risques dus au réseau CPL. Risques encourus par l ouverture vers Internet. Analyse et Administration Possibilité d analyser le réseau CPL. Idem pour l administration

16 Avantages & Inconvénients Avantages Simplicité de mise en œuvre Progressivitéet souplesse Mobilité Economie Inconvénients Portée du système Bande passante partagée Pas de standard Coût des équipements 16 16

17 CPL Conclusion Le CPL se profile à la fois : Une alternative Un Complément au Wifi Le CPL va se développer en Le CPL n'est pas une technologie figée

18 CPL Indoor/Outdoor Schéma source 01net 18 18

19 CPL Indoor/Outdoor (Fin) Outdoor 19 19

20 Perturbation des communications 1 - Brouillage 2 En cas de destruction des moyens de communication Thierry Blanc Clusir déc

21 21 21

22 Rappels sur la technologie GSM Les applications du brouillage en GSM Les inconvénients du brouillage Les techniques de brouillage 7 types de brouilleurs Exemples de produits Le brouillage en GSM 22 22

23 Quelques chiffres Bande MHz pour l émission depuis les stations mobiles Bande MHz pour l émission depuis les stations fixes et la variante DCS (dont les bandes de fréquence sont et ), née récemment pour éviter une saturation des fréquences autour de 900 MHz. Taille des cellules: 200 m à 35 km Plus d 1 milliards de terminaux GSM dans le monde Débit : Le brouillage en GSM GSM : 9,6 kbps GPRS : Débit théorique de 115 kbit/s, en pratique débit de 40 kbit/s, 80 kbit/s parait réalisable UMTS : 144 kb/s milieu rural extérieur, 384 kb/s en urbain extérieur, 2 Mb/s pour faible distance 23 23

24 GSM : Global System for Mobile Communications Le système GSM a été conçu pour permettre la transmission vocale. Afin d'économiser le spectre hertzien, les opérateurs découpent leur zone de couverture en cellules hexagonales contiguës qui se voient allouer des fréquences de manière judicieuse. Ainsi, des cellules suffisamment éloignées les unes des autres, peuvent réutiliser les mêmes fréquences sans aucun brouillage même si deux communications - l'une s'effectuant dans une cellule et la deuxième dans une autre cellule - utilisent la même fréquence. Chaque cellule est contrôlée par une station de base (BTS) qui communique avec les différents terminaux mobiles présents dans cette cellule. Le brouillage en GSM 24 24

25 Les besoins exprimés dans les salles de spectacles sont : Pour les représentants des salles de spectacles et les fabricants, l enjeu est avant tout l élimination des nuisances, volontaires ou non, liées à la sonnerie des mobiles, afin d assurer la tranquillité des spectateurs, et éventuellement des acteurs. Les opérateurs reconnaissent ce besoin mais jugent que les appareils de type brouilleur ou filtre représente une solution disproportionnée. Selon un représentant de salles de spectacles, il s agit également d éviter des incidents plus sérieux qui peuvent être causés par les troubles liés au mobiles dans les salles de spectacles, notamment en cas d intervention du personnel de salle. Un fabricant mentionne également la protection du matériel électronique des salles de spectacles contre les interférences. Le brouillage en GSM 25 25

26 Autres besoins exprimés : Sécurité : prisons, tribunaux, commissariats, environnements explosifs Confort: certains fabricants ont également cité d autres types d établissements susceptibles d être intéressés par leurs produits pour une utilisation de confort (outre les salles de spectacles, les bibliothèques, les lieux de culte, les salles de conférences, les établissements scolaires, les musées, ) Le brouillage en GSM 26 26

27 Selon l avis général, ils permettent d assurer la tranquillité et le confort lors d un spectacle, en cas d oubli, volontaire ou non, par certains spectateurs d éteindre leur téléphone mobile. Le brouillage en GSM 27 27

28 Une gêne pour les utilisateurs de mobiles et une baisse de la qualité de service voire la création de trous de couverture involontaires à proximité des salles où sont installés les appareils, notamment en raison de problèmes liés au confinement, constituant une entrave à la liberté de communication. L impossibilité d émettre un appel d urgence. L impossibilité de recevoir un message urgent (médecins, personnels d astreinte, parents, ). Sur ce point les représentants de salles de spectacles estiment qu il est possible aux personnels d astreinte de communiquer à leurs correspondants le numéro de la salle de spectacle et de prévenir le personnel d accueil, comme cela se faisait avant la généralisation de l usage des téléphones mobiles. Le brouillage en GSM 28 28

29 Autres inconvénients : Un risque de prolifération de ces appareils en dehors des lieux autorisés, pouvant créer des trous importants de couverture, voire des problèmes de sécurité (6 acteurs). Un utilisateur se croit joignable alors qu il ne l est pas. Le brouillage en GSM 29 29

30 Le brouilleur permet de protéger un environnement précis en le mettant hors d atteinte des émetteurs ou réémetteurs des opérateurs de téléphonie mobile. Les communications sont aiguillées vers le répondeur ou la boîte vocale du correspondant. Le marché est vaste, il représente tous les lieux où les gens se plaignent des utilisateurs de téléphones mobiles : cinémas, théâtres, salles de conférence, restaurants, etc... Le marché estimé est de pièces par an et il en coûtera environ 6000 euros pour protéger une salle de cinéma contre les sonneries intempestives. Le brouillage en GSM 30 30

31 Trois solutions pour bloquer les communications mobiles La plus radicale est celle des appareils appelés «barbouilleurs» : ces émetteurs utilisent, en permanence, la même fréquence que les relais téléphoniques. La moins agressive repose sur des «répéteurs» ; elle permet de passer un appel d'urgence depuis un portable, tout en interdisant l'arrivée d'appels dits entrants. Cette solution est celle qui doit être utilisée en principe par les cinémas et les salles de spectacle. Entre ces deux extrêmes, il y a les brouilleurs proprement dits. Ces systèmes bloquent la communication entre un mobile et le relais de l'opérateur grâce à l'émission d'un signal parasite, quel que soit le sens de la communication, mais seulement lorsqu'un appel est détecté. Ce dernier dispositif est celui qui doit équiper les prisons. Il est déjà en place à la maison d'arrêt de Rouen et à la Santé, à Paris. Le brouillage en GSM 31 31

32 Type 1 : Appareil émettant en continu du bruit brouillant les bandes de fréquences GSM/UMTS. Type 2 : Appareil n émettant du bruit que lorsqu ils détectent un mobile dans le périmètre couvert. Type 3 : Appareil n émettant du bruit que lorsqu ils détectent un mobile sur le point de communiquer dans le périmètre couvert. Type 4 : Appareil envoyant un message aux mobiles afin qu ils basculent en état restreint, dont les limitations peuvent être définies au cas par cas. Le brouillage en GSM 32 32

33 Type 5 : Appareil captant les émissions des stations de base les plus proches, décodant l en-tête BCCH et renvoyant les émissions en modifiant cet en-tête de façon à obliger les mobiles à basculer dans un état restreint. Possibilité d être activés ou désactivés à distance par les opérateurs Type 6 : Appareil détectant les mobiles qui sont sur le point de communiquer et avertissant l opérateur concerné en lui demandant de filtrer la communication. Type 7 : Appareil s identifiant sur le réseau de l opérateur, émettant un signal de type BCCH large bande contenant une information sur le brouillage en cours à destination de l opérateur (1 opérateur) Le brouillage en GSM 33 33

34 Brouilleurs de téléphone portable Pro (GSM) Appareil cellulaire portatif de brouillage permettant de créer des interférences entre le combiné et la base de tout type de système cellulaire. Silencieux, facile à utiliser et sans installation complexe, cet appareil stop l'utilisation du téléphone dans les 3 minutes qui suivent la détection. Portée efficace : un rayon de 5 à 15 mètres suivant le type et la localisation du système cellulaire. Coût : environ 700 Le brouillage en GSM 34 34

35 Brouilleurs de téléphone portable Pro (GSM) - suite Convient à tout lieux ou l usage du portable est déconseillé ou interdit tels que hôpitaux, centres médicaux, théâtres, cinémas, musées, galerie d art, bibliothèque, établissements scolaires, salles de conférences, bureaux etc... Coût : environ 1200 Le brouillage en GSM 35 35

36 Au regard des différentes réactions que suscite le brouillage, une réflexion s impose afin de mettre tout le monde d accord sur cette technique indispensable aux uns et défavorable aux autres. Cette tache pourrait être confiée aux opérateurs de télécoms qui offriraient alors de nouveaux services à leurs clients. Le brouillage en GSM 36 36

37 Une association Télécoms Sans Frontières 37

38 Présentation T.S.F. Les missions de T.S.F. à travers le monde Présentation vidéo Les moyens techniques mis en œuvre Sources 38 38

39 Présentation de T.S.F. Une ONG spécialisée en Télécoms d urgence Coordination des secours : Optimiser l efficacité des interventions Soutient aux populations sinistrées Créer un lien avec le reste du monde 39 39

40 Les missions de T.S.F. à travers le monde Les missions d urgence Les missions de solidarité 40 40

41 Les missions d urgence 41 41

42 Les missions de solidarité Amérique Latine et Caraïbes : - Assistance aux «Femmes Unies pour la Sécurité Alimentaire» - Télédiagnostic par Visio Emergency au Nicaragua - Centres Communautaires de Télécommunications Mobiles - Programmes d initiation à l informatique. Cambodge : - Agricam : la téléphonie mobile au service du développement agricole Angola : - Evaluation des besoins en télécommunications pour la reconstruction du pays, après 27 ans de guerre civile

43 Les moyens Techniques Appareils mobiles de communications satellitaires. Couverture : 98% du globe. Partenaire : Immarsat, France Telecom Mini M GAN M4 Regional BGAN Visio Emergency 43 43

44 Le Mini M Téléphonie mobile à 4800 bps Télécopie, transmission données, à 2400 bps Principal avantage : légèreté 44 44

45 GAN M4 Accès au réseau téléphonique Débit de 128 kbps pour la transmission de données, images fixes animées, visio conférence. Connexion Mobile Packet Data Service qui permet de rester connecté en permanence

46 Regional BGAN Transfert de données à 144 kbps Coût inférieur au M4 1.6 kg Autonomie : 1 heure en transmission, 36 heure en standby 46 46

47 Visio Emergency Transmission en direct par satellite d images filmées. Evaluation visuelle pour les PC des ONG Coordination entre siège et terrain Campagnes de sensibilisation et de collecte de dons

48 Nouvelles Technologies LA VIRTUALISATION Jean-Marc CHARTRES - Clusir déc

49 Le challenge Solution Quelle solution adopter? traditionnelle, coûteuse, à base de multiples appliances issus de différents constructeurs et éditeurs, et des moyens d administration hétérogènes La solution de virtualisation permet de délivrer des centaines de services sur un seul équipement, avec une interface d administration unique et homogène

50 Qu est-ce que la virtualisation? Séparation des fonctions de la réalité physique : Les services auparavant délivrés par de multiples équipements et solutions dédiés sont alors déployés sur un socle physique unique. Les caractéristiques des environnements dédiés sont conservées : garantie de performances, d isolation, d indépendance des environnements virtualisés. Objectifs : Générer des économies : Investissement : réduction nb. équipements, rationalisation. Récurrent : harmonisation compétences, automatisation des tâches d exploitation. Simplifier les infrastructures, faciliter l évolutivité

51 Éléments de scénario Virtualisation 51 51

52 Éléments de scénario Virtualisation Serveur et infrastructure virtuelle 52 52

53 Virtualiser une infrastructure de sécurité 53 53

54 Les points clés de la virtualisation Une solution de virtualisation doit fournir les services suivants : Environnement dédié pour chaque contexte virtuel : Table de routage Instance propre de firewall, VPN, routeur, IDP, load balancer, Fichiers de configuration et version de code indépendants Mise à jour indépendante Protection et isolation de chaque contexte virtuel : Allocation de ressources matérielles Garantie de performances/niveau de service Administration indépendante/délégation Ajout de services à chaud, sans interruption ni intervention physique Parallèle avec : Les solutions de virtualisation de serveurs (ex.: VmWare) Les réseaux MPLS (VPN/VRF) 54 54

55 Sans virtualisation Mutualisation : Virtualisation des profils d administration uniquement Pas de protection entre instances virtuelles : 1 seule instance pour tous les contextes virtuels. Pas de garantie de niveaux de service : Pas de réservation/garantie de ressources matérielles. DoS impacte tous les environnements virtualisés. Pas de gestion de versions/mises à jour granulaire : Une mise à jour de version s applique à toutes les instances virtuelles

56 Virtual Service Architecture (VSA) Virtual Service Switch (VSS) Virtual Service Modules (VSM) Center Point Server (CPS) Réseau L3 routeur Inkra 4000 Châssis 14 slots Évolutivité Inkra 1500 Configuration fixe Moindre coût Sécurité Firewall IDP VPN SSL Performances Continuité de service SLB GSLB Administration centralisée Configuration, provisionning et déploiement. Alarmes, logs, stats Out-of-band management Multi-utilisateurs. Profils d administration. WebUI et CLI. Interface SOAP/XML 56 56

57 Virtualiser avec Inkra Extraction des fonctions et virtualisation au sein de Rack Virtuels utilisant des ressources dédiées Support de multiples Racks Virtuels sur une même plate-forme matérielle Administration centralisée. Déploiements instantanés

58 VSS 4000 : performances Virtualisation Inkra 4000 Nb. max. de racks virtuels (VR) 1000 Nb. max. de VLANs 4K Nb. max. de modules (VSMs) par VR 32 Racks virtuels transparents (niveau 2) Oui (FW, IDP) Firewall Sessions concurrentes Nouvelles sessions par seconde Performances du firewall 20 Gbps VPN IPSec Performances Triple-DES (168 bits) 2,750 Mbps Tunnels VPN Site -à-site 44,000 Tunnels VPN accès distants 44,000 IDP Débit supporté avec 10 règles Débit supporté avec 800 règles Partage de charge serveurs 12 Gbps 7.2 Gbps Débit supporté (Mbps) 20 Gbps Connexions par second Connexions simultanées Nb. max. de serveurs par ferme (par instance de module) Nb. max. de fermes (par instance de module) Accélération SSL Débit supporté (Mbps) Connections par seconde Max Sessions

59 L architecture virtualisée Inkra HardWall : garantie d intégrité & de ressources dédiées à chaque Rack virtuel: bande passante, CPU, mémoire, Modifications des topologies, configurations, versions de modules, sans interruption de service VR1 WAN HardWall VR2 Site HardWall VR3 MAN Rack Virtuel de niveau 2 (transparent) ou 3 (routeur), indépendamment de l équipement Open rack permet l intégration d équipements externes à l environnement de virtualisation 59 59

60 Racks Virtuels (VRs) Un Rack Virtuel (VR) reprend la topologie d une infrastructure de sécurité : Analogie avec la notion de racks d équipements physiques. Un VR est un conteneur pour de multiples services : Il peut contenir jusqu à 32 modules de services (VSMs) : Il doit au moins contenir un VSM. Un VR peut-être : Transparent : niveau 2. Mêmes sous réseaux IP sur chacune de ses interfaces. Support de paquets de multicast (ex. : IPX/SPX, AppleTalk, annonces VRRP, paquets Hello OSPF ) et filtrage des types Ethernet. Non-transparent : niveau 3. Un VR dispose d un niveau de performances garanti : 1 VR = 1 VRF 60 60

61 Exemples de Racks Virtuels (1/2) 61 61

62 Exemples de Racks Virtuels (2/2) 62 62

63 Rack Virtuel 100% dynamique Changements dynamiques de topologie et de configuration sans interruption de service. Chaque Virtual Rack (VR) et, à l intérieur, chaque instance de module de service (VSM), disposent de sa propre configuration indépendante. Jusqu à 32 VSMs par VR, dans n importe quel ordre. Cohabitation de différentes versions d un même VSM au sein d un même VR. Service A Virtual Service Modules (VSM) Virtual Rack A Virtual Rack Ports sontdes mini-routeurs L3 Service B Virtual Rack B Packet trace : -Sur tout le VR. -Sur une interface de VSM. Service C Virtual Rack C 63 63

64 Mise à jour transparente de topologie 1. Un nouveau VR est déploy é, à base de la topologie v1.0 contenant un simple module (VSM) firewall. Le trafic traverse le VR. Version initiale déployée : Template v Une mise à niveau est réalisée vers une topologie v2.0 contenant en plus un SLB. Le trafic continue de circuler à travers l ancienne topologie, sans interruption ; tandis que les nouveaux flux passent à travers la nouvelle topologie, incluant le nouveau VSM SLB. Mise à jour en cours : Template v Les connexions existantes continuent de traverser la topologie originelle jusqu à ce qu elles se terminent naturellement ou soient coupées de force par la politique de sécurité (timeout ou limite inférieur de nombre de connexions existantes). 4. Une fois la mise à jour complète effectuée, toutes les données circulent via la nouvelle topologie. Mise à jour achevée : Template v

65 Mise à jour transparente de module FW v1.0 SLB v1.0 Topologie initiale du VR : SLB VSM v1.0 SLB v1.1 FW v La topologie initiale du VR actif contient un module de FW et un module de partage de charge SLB VSM en version 1.0. Le trafic circule au travers du VR. 2. On initie une mise à jour du module SLB VSM (v1.0 -> v1.1) Les flux existants continuent de circuler, sans interruption, au travers du VR contenant la version 1.0 du module SLB VSM. Seules les nouvelles connexions sont traitées par le module SLB VSM v1.1. SLB v1.0 Mise à jour du VSM en cours vers SLB VSM v Les flux existant continuent de circuler via l ancien chemin tant qu ils ne sont pas naturellement terminés ou forcés à s interrompre par la politique configurée par l administrateur (après une certaine durée ou un nombre minimum de flux atteint). FW v1.0 SLB v1.1 Mise à jour effective du VSM : SLB VSM v Une fois la mise à jour du VSM totalement achevée, tous les flux sont traités par la nouvelle version du module SLB VSM

66 OpenRack TM Permet de connecter n importe quel équipement externe à l intérieur d un Rack Virtuel, ou entre Racks Virtuels : Simplification de la migration. Permet de se conformer à la politique de sécurité de l entreprise (ex. : bi-technologie de firewalls). Permet à l équipement externe de bénéficier des fonctionnalités du Virtual Rack : Changement de topologie sans interruption de service. HardWall. Monitoring/Comptabilité. VR 3 Boîtier externe (Antivirus, cache, etc.) Serveurs Web intranet 66 66

67 VR Système/VR d organisation Un rack système est généralement partagé par une plusieurs clients/départements : Un VR système contient uniquement un module VSM Router : on l appellera toujours un routeur système. Un rack d organisation est généralement dédié à un client, département ou service IP : Un VR d organisation peut contenir n importe lequel des modules VSMs. Routeurs système et d organisation peuvent router entre 2 interfaces externes. Un VR d organisation peut être : Directement connecté en interne à un VR système. Connecté à un autre VR d organisation par un lien externe ou un VLAN. Org-A VR1 VLAN Org-A VR2 Port de VR System Rack Org-B VR1 Lien externe Org-B VR

68 Nouvelles technologies Thierry Blanc Jean Marc Chartres EDF : Eric Ghibaudo 68 68