Proxy Proxy = passerelle applicative Exemple: proxy/cache FTP, proxy/cache HTTP. Conclusion. Plan. Couche réseau Filtres de paquets (routeur)



Documents pareils
Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Les réseaux de campus. F. Nolot

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

LES RESEAUX VIRTUELS VLAN

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Les Virtual LAN. F. Nolot 2008

Configurer ma Livebox Pro pour utiliser un serveur VPN

Bac Pro SEN Epreuve E2 Session Baccalauréat Professionnel SYSTEMES ELECTRONIQUES NUMERIQUES. Champ professionnel : Télécommunications et réseaux

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Sécurité GNU/Linux. Virtual Private Network

1 PfSense 1. Qu est-ce que c est

La qualité de service (QoS)

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

ProCurve Access Control Server 745wl

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

Figure 1a. Réseau intranet avec pare feu et NAT.

OneAccess 16xx EAD Ethernet Access Device / 1.0 / AH / Public

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

Pare-feu VPN sans fil N Cisco RV110W

Pare-feu VPN sans fil N Cisco RV120W

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

DIFF AVANCÉE. Samy.

Groupe Eyrolles, 2004, ISBN :

Le Multicast. A Guyancourt le

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Présentation du modèle OSI(Open Systems Interconnection)

Les réseaux /24 et x0.0/29 sont considérés comme publics

Configuration du matériel Cisco. Florian Duraffourg

2. DIFFÉRENTS TYPES DE RÉSEAUX

Présentation et portée du cours : CCNA Exploration v4.0

E4R : ÉTUDE DE CAS. Durée : 5 heures Coefficient : 5 CAS TRACE ÉLÉMENTS DE CORRECTION

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Cisco RV220W Network Security Firewall

Configuration des VLAN

Cisco RV220W Network Security Firewall

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

Programme formation pfsense Mars 2011 Cript Bretagne

Sécurité des réseaux sans fil

Réseaux Locaux Virtuels

Routeur VPN Wireless-N Cisco RV215W

Présentation et portée du cours : CCNA Exploration v4.0

Le protocole VTP. F. Nolot 2007

Cisco Certified Network Associate

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

GENERALITES. COURS TCP/IP Niveau 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

z Fiche d identité produit

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Le filtrage de niveau IP

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Projet PacketTracer en Labo, et Authentification Wi-Fi Serveur RADUIS (NPS)

Sécurité des réseaux Firewalls

Firewall Net Integrator Vue d ensemble

Mise en route d'un Routeur/Pare-Feu

MISE EN PLACE DU FIREWALL SHOREWALL

VLAN Trunking Protocol. F. Nolot

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Transmission ADSL. Dominique PRESENT Dépt S.R.C. - I.U.T. de Marne la Vallée

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Description des UE s du M2

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

Fonctions Réseau et Télécom. Haute Disponibilité

Administration des ressources informatiques

Modélisation Hiérarchique du Réseau. F. Nolot

CS REMOTE CARE - WEBDAV

Configuration de l'accès distant

Plan de cours. Fabien Soucy Bureau C3513

pfsense Manuel d Installation et d Utilisation du Logiciel

Administration de Réseaux d Entreprises

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Fiche d identité produit

VLAN Virtual LAN. Introduction. II) Le VLAN. 2.1) Les VLAN de niveau 1 (Port-based VLAN)

Mise en place des réseaux LAN interconnectés en

Rappels réseaux TCP/IP

Spécialiste Systèmes et Réseaux

Exercice Packet Tracer : configuration de réseaux locaux virtuels et d agrégations

Sécurité des réseaux wi fi

INTRUSION SUR INTERNET

acpro SEN TR firewall IPTABLES

Documentation : Réseau

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

TCP/IP, NAT/PAT et Firewall

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Entensys Corporation UserGate Proxy & Firewall Guide du revendeur

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Transcription:

Proxy Proxy = passerelle applicative Exemple: proxy/cache FTP, proxy/cache HTTP Proxy classique: Les clients sont adaptés pour communiquer avec le proxy avec un protocole spécifique: SOCKS rfc928, proxy web rfc3040 - Navigateurs 2- Proxy-cache 3- caching load balancer 4- Serveurs Web Proxy transparent pas de modification des clients applicatifs le proxy intercepte les communications Quelques proxys: Squid (libre) Microsoft Proxy server Proxy implémentés dans serveurs Web (IIS, apache) Conclusion Couche réseau Filtres de paquets (routeur) Élimine des adresses indésirables Couche transport Inspection des paquets SPI (pare-feu) Identifie les connexions autorisées (sollicitées) Traduction d'adresse Le réseau interne est invisible de l'extérieur Couche application Inspection des données (pare-feu proxy) Chaque méthode seule est insuffisante => Leur combinaison offre un bon niveau de protection Plan q q q Infrastructures d entreprises q Routeurs et Firewall q Topologie et DMZ q Proxy VPN q PPTP q IPSEC q VPNSSL Du concentrateur à la commutation q Hubs et switchs q Réseaux locaux virtuels q Introduction à la Qos q uthentification niveau 2

VPN: Virtual Private Network Différents types de VPN Ex: VPN site à site VPN hôte distant à Site - VPN avec logiciel client - VPN sans logiciel client (Navigateur + SSL) Protocoles pour VPN GRE, souvent remplacé par L2TP, tous deux développés par Cisco. PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com, scend, US Robotics et ECI Telematics. L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco Systems, Nortel et Shiva. Il est désormais quasi-obsolète. L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'ietf (RFC 393) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. IPsec est un protocole de niveau 3, issu des travaux de l'ietf, permettant de transporter des données chiffrées pour les réseaux IP. Protocoles pour VPN SSL/TLS offre une très bonne solution de tunnelisation. L'avantage de cette solution est d'utiliser un navigateur Web comme client VPN. SSH, initialement connu comme remplacement sécurisé de telnet, Permet de créer des tunnels pour faire passer des connexions de type TCP, permettant d'accéder ainsi de façon sûre à des services offerts sur un réseau protégé, sans créer un réseau privé virtuel au sens plein. Serveur RDP Connexion sur 27.0.0.:0000 Redirection vers le port 3389 du serveur RDP Tunnel ssh/ssl 2

VPN SSL: exemple de portail VPN Professionnels: MPLS En vert: liens et backbone MPLS En rouge: VPN En marron: VPN2 Plusieurs VPN possibles: VPN entre siège et sites VPN2 entre siège et autres sites Trois protocoles Négociation de paramètres: IPSEC Ø IKE (Internet Key exchange) : port 500 Ø Connexion sécurisée en mode transport : port 50 Ø Connexion sécurisée en mode tunnel : port 5 PHSE : Négociation des clés pour la création d un tunnel sécurisé l intérieur du premier tunnel, PHSE 2 : Négociation des paramètres des tunnels utilisés pour le transport effectif des données 3

Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs Réseaux locaux virtuels: VLN Introduction à la Qos uthentification niveau 2 rchitecture traditionnelle Hubs, switchs, Routeurs Réseau 3 Routeur Réseau 2 Réseau Contraintes Les sous-réseaux sont liés aux switchs (ou hubs) Les utilisateurs sont groupés géographiquement Peu de sécurité sur un segment Plan d'adressage peut être difficile La mobilité entraîne obligatoirement un changement d'adresse HUB (répéteur multiport) Mode de fonctionnement Reçoit une trame sur un port Retransmet la trame sur tous les ports restants simule la diffusion sur un segment de câble. Caractéristiques Ne permet qu une transmission à la fois collision si deux machines émettent en même temps Tous les ports fonctionnent à la même vitesse Délai de l ordre de la µs. 4

Switch Mode de fonctionnement Fonctionne sur la couche 2 Peut recevoir et transmettre plusieurs trames simultanément Procède à l apprentissage et au filtrage des trames sur la base des adresses MC sérialise les trames à destination d un même port Si une destination ne peut être localisée, la trame est retransmise sur tous les ports. Caractéristiques des buffers sur tous les ports en entrée et en sortie Supporte le full-duplex avec contrôle de flux Supporte des ports à différents débits simultanément Implémente ou pas le Spanning-tree (voir plus loin) fonctionnement cut-through, store and forward bloquant ou non-bloquant (bus interne) propage les broadcasts sur tous les ports restants uto-negociation (FastEthernet) Basée sur des impulsions Exemple ci-contre: 0 ou 00M Choix débit Choix Half-duplex/full-duplex Impulsions de test d intégrité sur lien 0 base T 6 ms Câbles UTP cat.5, cat.6 Ordre de négociation 000BSE-T full duplex 000BSE-T half duplex 00BSE-T2 full duplex 00BSE-TX full duplex 00BSE-T2 half duplex 00BSE-T4 00BSE-TX half duplex 0BSE-T full duplex 0BSE-T half duplex FLP=Fast Link Pulse sur lien Fast Ethernet 6 ms Le réseau local commuté Utilisation de commutateurs: switchs Domaines de collisions réduits Débit dédié et non plus partagé Intelligence dans le port du commutateur Débit de 00M Par connexion Utilisation de ces propriétés pour : Créer des regroupements logiques des utilisateurs Centraliser l'administration Nécessité d un routeur pour la communication inter-réseau 5

Qu est ce qu un réseau virtuel: VLN Trois nécessités pour introduire le concept des VLNs Limiter les domaines de broadcast Garantir la sécurité Permettre la mobilité des utilisateurs Les réseaux virtuels s appuient sur la commutation pour donner de la flexibilité aux réseaux locaux Le VLN est un réseau LOGIQUE Plusieurs types de VLN VLN ière GENERTION Groupe d adresses MC VLN niveau Groupe de ports VLN niveau 2 Groupe d adresses MC VLN 2 ièmee GENERTION Groupe d adresses MC VLN niveau 3 Sous-réseaux protocolaire(ip) VLN VLN 2 VLN VLN 2 VLN 2 3 Ports 4 5 6 7 8 0000 BBB 000 FCCCFC 00FB68 EFCC 00000C DDF 00D 0FFFB 00000 DCFB Chaque adresse Mac appartient à un seul VLN, Plusieurs VLN par port autorisé Sous-réseau IP 93.54.57.4 VLN 2 Sous-réseau IP 93.54.57.8 Ex : Différence entre niveaux et 2 la table de commutation du switch associe à chaque port une ou plusieurs adresses MC qui sont les adresses de la ou des machines connectées sur ce port. VLN VLN 2 M7 M8 VLN niveau (par port) VLN = M, M2, M3, M4, M5, M6 et M7 VLN 2 = M7, M8, M9, M0, M, M2 et M8 M M2 M3 0 2 3 4 5 6 7 M0 M M2 VLN niveau 2 (par @MC) VLN = M, M2, M3, M4 et M7 VLN 2 = M7, M8, M9, M0, M, M2 et M8 + M5 et M6 M4 M5 M6 M7 M8 M9 6

Extension des VLNS Interconnexion des commutateurs ère solution Il faut un port dédié pour chaque VLN sur chaque commutateur Solution coûteuse Manque de souplesse 0 2 3 4 5 6 7 VLN VLN 2 0 2 3 4 5 6 7 Interconnexion des VLNS (2) 2ème solution On peut sur certains commutateurs définir des ports multi-vlns Lien «trunk» chez Cisco Propagation de plusieurs VLN sur un même lien physique Exe: activation sur switch cisco: conf t interface f0/0 switchport mode trunk switchport trunk allowed vlan -2 end 0 VLN & VLN2 0 2 3 4 5 6 7 2 3 4 5 6 7 Le rôle des routeurs dans les VLNS Un commutateur ne peut pas router un paquet entre deux réseaux et, par conséquent, entre deux VLNS. Un routeur est nécessaire. La diffusion (broadcast) est limitée au VLN. 7

rchitecture classique Un switch central collecte les trames en provenance des switchs utilisateurs SWITCH Un routeur est chargé de la ROUTEUR communication entre les VLNS SWITCH 2 Définition de sous-interfaces Si le routeur le permet : définition de sous-interfaces chacune appartenant à un VLN différent. Ex: Cisco (config)#int fast 0/0. (config-subif)#encapsulation dotq vlan (config-subif)#ip address 92.5.5.254 255.255.255.0 (config-subif)#no shut FastEthernet 0/0 Encapsulation 802.q VLN 2 VLN 3 PORT 2 à 8 PORT 9 à 2 (config)#int fast 0/0.2 Port trunk (config-subif)#encapsulation dotq vlan 2 (config-subif)#ip address 207.5.5.254 255.255.255.0 (config-subif)#no shut PC IP = 92.5.5. /24 PC B IP = 207.5.5.3/24 PREM. dministration des VLNS Marquage des trames sur les liens TRUNK Norme 802.Q (encapsulation dotq sur Cisco) Protocoles propriétaires (ISL de cisco de moins en moins utilisé) Exemple de la norme 802.Q sur Ethernet. Couche 2 802.Q SFD D S VLN TG 4 Bytes Type /Len DT FCS Tag Protocol ID 0x800 PRI CFI bit VLN ID 2 bits 3 Bits utilisés pour le CoS (802.P User Priority) 8

Cas classique, switch Cisco SW Trame non taguée SW#vlan database SW(vlan)#vlan 2 name vlan_pc exit SW(config)#int fastethernet 0/0 SW(config-if)# switchport mode access SW(config-if)# switchport access vlan 2 Trame sortante du port (egress): Non taguée Trame entrante (ingress): - Si tag Vlan 2:? - Sans tag: tag avec Vlan 2 - Si tag autre Vlan: ignorée TTENTION: Vlan : vlan par défaut sur cisco!!! Cas de la VoIp, switch Cisco IP Phone Trame taguée VLN 6 Trame non taguée SW SW(config-if)# switchport trunk encapsulation dotq switch port mode trunk switch trunk native vlan 2 switch trunk allowed vlan 6 Trame sortante du port (egress): - Si Tag 6: reste avec tag 6 - Si Tag 2: part sans Tag Trame entrante (ingress): - Si Tag avec Vlan 6: on garde le tag 6 - Si non tagguée: tagguée avec Vlan 2 - Si autre valeur de Tag: ignorée Cas des Vlans dynamiques Exemple avec VTP (Vlan trunk Protocol) Démonstration Protection par mot de passe possible Exemples de commandes: SW(config)#vtp? domain Set the name of the VTP administrative domain file Configure IFS filesystem file where VTP configuration is stored interface Configure interface as the preferred source for the VTP IP updater address. mode Configure VTP device mode password Set the password for the VTP administrative domain pruning Set the administrative domain to permit pruning version Set the administrative domain to VTP version 9

Pb de la redondance des liens Chemins redondants et absence de Spanning Tree: Quel est donc le problème? sw pc pc envoie une trame Ethernet à. Les commutateurs sw et voient tous deux la trame et enregistrent l'adresse MC de pc dans leurs tables de commutation. Port : sw pc Larry Port : ucun des deux commutateurs ne possède l'adresse MC de destination dans sa table. à Ils diffusent donc la trame vers tous les ports. Port : sw pc 2 Port : 0

Le commutateur sw apprend, à tort, que l'adresse d'origine se situe sur le port. Port : Port : sw pc 2 Port : Le commutateur apprend lui aussi, à tort, que l'adresse origine se situe sur le port. sw pc 2 Port : Port : Port : Port : Dorénavant, lorsque envoie une trame à pc, celle-ci est reçue par sw qui ignore celle-ci. Port : sw pc 2 Port :

Cas des trames de diffusion pc envoie une trame de broadcast de couche 2, comparable à une requête RP. sw pc 2 La trame de broadcast étant de couche 2, les deux commutateurs, sw et la diffusent vers tous les ports, y compris leur port. sw pc 2 Les deux commutateurs reçoivent le même broadcast, mais sur un port différent. Ils diffusent tous deux la trame de broadcast en double vers leurs autres ports. Les commutateurs diffusent à nouveau le même broadcast vers leurs autres ports, ce qui a pour effet de générer des trames en double; c'est ce que l'on appelle une tempête de broadcast! Pour rappel, les broadcasts de couche 2 ne sont pas seulement des grands consommateurs de bande passante du réseau. Ils doivent en outre être traités par chaque hôte. Cela peut avoir une incidence négative sur le réseau, au point de le rendre totalement inutilisable. 2

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back