Les réseaux virtuels

Les réseaux virtuels Pourquoi? VLAN : Virtual LAN Avec ATM VPN: Virtual Private Network -PPTP -L2TP -IPSEC

Virtual LAN On a un dilemme: o Protocoles orientés diffusion (CSMA/CD) o Très «plats», pas hiérarchisés, rapides mais coûteux en bande passante o Protocoles orientés point à point (unicast IP) o Très structurés hiérarchiquement, peu coûteux en bande passante mais assez lent (routage) Définir des domaines de broadcast «virtuels» au niveau des commutateurs (switchs)

Réseaux virtuels: pourquoi? Créer des groupes de travail indépendamment de la localisation géographique. On regroupe dans un même réseau (Ethernet commuté ou IP) les stations qui travaillent ensemble (groupe de travail - workgroup). Conséquences : Les applications «groupe de travail» : -Qui ont besoin de découvrir les serveurs (contrôleur de domaine, voisinage réseau, imprimantes, serveur DHCP, zone Mac,...) -Et ces serveurs qui ont besoin d'émettre des messages vers toutes les du groupe de travail -Utilisent les broadcasts Ethernet ou IP Le groupe qui a les mêmes besoins de sécurité : stations -Contrôle l'accès entrant sur le réseau à la frontière du réseau (routeur d'accès) -Est assuré de la confidentialité par rapport à l'extérieur du groupe car il n'y a pas diffusion à l'extérieur du réseau

Réseaux virtuels: principes.regrouper «logiquement» un groupe de stations dispersées géographiquement -Dans un même réseau: Ethernet IP ou... Buts : -Utilisation d'applications «groupe de travail» -Sécurité -Contrôle de bande passante -Noms et adresses IP -Mobilité: Déplacer les utilisateurs par reconfigration des équipements Plusieurs techniques suivant les buts, LAN ou WAN ou... -VLAN -VPN

Liée à l apparition des commutateurs VLAN Historiquement les ponts premier équipement pour segmenter Les sociétés s organisent autour du groupe de travail Donc besoins de débits élevés entre PC et Serveurs Besoins de reconfiguration en fonction des modifications de flux Le 80/20 n est plus valable (80% intérieur) Le réseau virtuel va créer un groupe d utilisateurs indépendamment de leur position géographique mais de manière a organiser les flux

VLAN (suite) Les Startups détournent la norme 802.10 en rajoutant 4 octets en entête (taging) IEEE a défini la norme 802.1q (échange de tables MAC entre commutateurs) Spanning tree 802.1d reconfiguration du réseau Architecture basée sur des commutateurs Ethernet Un bon outil d administration est nécessaire pour positionner chacun des postes de travail et serveurs sur le bon VLAN Lorsque un commutateur reçoit une trame Ethernet venant d une machine, pour savoir vers quelles stations il doit la rediffuser il faut qu'il sache le numéro de VLAN dont la machine est membre. II faut qu'il trouve cette information dans la trame. -IEEE802.1Q est activé entre Commutateurs ayant des VLAN.Champ type Eth : 8100.Champ numéro de VLAN: 12 bits (4096).Niveau de priorité. 3 bits QoS.Informations de la trame initiale

3 types de trames IEEE802.1q et 1p pouvant traverser un switch «VLAN-aware» o o o Trame non taggée o absence d'en-tête (TIPD+TCI) après adresse MAC source Trame taggée de priorité o VID=0 => Pas signifiant. Ne transporte que des infos de priorité. Du point de vue du processus de transmission, elle est généré comme une trame non taggée Trame taggée de VLAN TIPD=0x8100, CFI=0 et VID entre 1 et 4094. Administration locale ou via SNMP pour collecter les informations MIB. o Différentes entités à gérer o gestion du pont o MAC associées à chaque pont / port o processus de transmission / filtrage du relais MAC o protocole de pontage o GARP (Generic Attribute Registration Protocol) De nombreuses solutions propriétaires proposées par les vendeurs.

Les Switches ETHERNET apportent Bande passante élargie sécurité accrue (pas sniffer) technologie adaptée aux architectures filaires actuelles la commutation est hardware donc rapide Technique 1: Store and forward Qui impose de recevoir entièrement la trame avant de décider de la réémettre, c est le mode traditionnel de tous les matériels d interconnexion: pont routeur, passerelle.. Technique 2: On the fly Qui préconise de commencer la retransmission dès que l on est en possession des éléments nécessaires (Mac destinataire au minimum)

Switch ETHERNET Sécurité car il n y a plus possibilité de voir un trafic qui ne nous concerne pas La baisse d administrabilité qui en résulte a été compensée par l insertion de sondes logicielles RMON et SNMP par port dans la plupart des switches. Une meilleure performance car chacun a une bande apparente de 10Mb/s (ou de 100Mb/s) Prix supérieur et inadéquation aux usages en étoile (flux concentrés sur un serveur) Pose le problème des broadcasts (réglé par VLAN)

Réseaux virtuels: VLAN Virtual LAN But: créer un réseau virtuel de niveau 2 (couches OSI) -Un domaine de broadcast (Ethernet) Possible avec des commutateurs Ethernet -Pas avec des hubs -Intelligence dans les commutateurs (et routeurs ) Différents types de VLAN s -Par ports (de commutateur) : niveau 1 -Par adresse MAC (Ethernet) : niveau 2 -Suivant la valeur d'autres champs: niveau 3. Protocole, @ IP,...

Réseaux virtuels: VLAN par ports ou niveau 1 Chaque port de commutateur est affecté à un VLAN (si des concentrateurs sont connectés à un port du commutateur toutes les machines vont appartenir au même VLAN). Diffusion -Les équipements Ethernet et/ou commutateur-routeur font en sorte que :.Quand on envoie un broadcast il est envoyé seulement sur les ports Ethernet appartenant à un VLAN donné mais pas vers les autres stations connectés du commutateur. Remarque: -Cette segmentation peut aussi être réalisée par brassage manuel dans le local technique où sont les commutateurs...dans certains cas seulement

Réseaux virtuels: VLAN par @ MAC ou niveau 2 -Chaque station peut appartenir à un VLAN suivant son adresse MAC -Des stations connectées par l intermédiaire d un concentrateur ou à un réseau en bus sur un port du commutateur peuvent appartenir a des VLAN différents. -Administration plus lourde (logiciel constructeur) -Répertorier et tenir à jour des tables avec toutes les adresses MAC

Avantages VLAN @MAC / port VLAN par port ou par @ MAC -Des stations sur des hubs peuvent appartenir à différents VLANs.Mais la diffusion n'est pas sélective selon les branches des hubs -On peut avoir des stations qui sont déplacées (déménagement ou mobiles) sans besoin de reconfiguration -On peut identifier chaque station avec son numéro de carte Ethernet.Sécurité accrue.si adresse MAC inconnue: appartient au VLAN «visiteurs» Désavantages VLAN par @ Mac -Administration plus lourde.répertorier et tenir à jour des tables avec toutes les adresses MAC -Si utilisateur change sa carte Ethernet : modification de configuration

Réseaux virtuels: VLAN niveau 3 Affecter les trames Ethernet dans un VLAN différent selon des champs que l'on trouve dans la trame : Analyse protocolaire de niveau 3 (Problème si DHCP) -Soit on regarde le protocole transporté Champ type Ethernet : protocole: IP, IPX, Appletalk, - Soit l adresse de niveau 3 origine (adresse IP origine: sous-réseau). Soit éventuellement le contenu..mais ce n'est pas du routage Peut être utile quand de nombreux protocoles sont utilisés sur un même réseau -Support des «anciennes applications» -Mais de moins en moins utilisé Le commutateur reconnaît automatiquement tel numéro de réseau IP ou IPX dès les premières trames émises par la station et l affecte à un VLAN (logiquement de niveau 3) Vlan «policy-based» Vlan «ponts spanning tree»

Commutateurs : Réseaux virtuels: VLAN -Ils conservent leurs fonctions de base: commutation, sans diffusion inutile -Certains peuvent ne pas avoir de fonctionnalité VLAN -Dans les exemples précédents les commutateurs ont la fonctionnalité d'accepter plusieurs adresses Ethernet et VLAN par port: ce n'est pas toujours le cas Routeurs : -Peuvent supporter 802.IQ. Si non, il faut autant de ports Ethernet que de VLAN pour que le routeur route les flux des différents VLAN vers Internet. Exemple de VLANs dans un laboratoire -Un VLAN par équipe de recherche pour stations de travail individuelles -Toutes les machines de test des différentes équipes sur un autre VLAN -Et enfin les serveurs locaux et les serveurs Internet sur un 3ième VLAN

Réseaux virtuels: VLAN Le travail d'administration de VLAN n'est pas négligeable! -Il faut bien connaître le réseau ( et être plusieurs à le connaître: problème absence ) -Il faut un outil d'administration Théorie: on peut utiliser des commutateurs de différents constructeurs: 802.1 Q.En pratique: commutateurs homogènes, avec un outil d'administration fourni par le constructeur.les VLAN sont des réseaux virtuels pour LAN -Pas pour MAN ou WAN

L ère des VLAN Protocoles de communication entre switches maillage et sécurité des switches entre eux Si des stations sont directement sur le réseau d interconnexion, les protocoles devront être standardisés. L avenir c est la constitution des réseaux via un outil d administration et non plus via un branchement physique (niveaux 2 ou 3). Ce qui entraîne mobilité/souplesse des changements

Appartenance à un VLAN La détermination du VLAN d appartenance ne peut se faire qu à la source et il faut propager cette information aux switches destinataires Créer des tables d adresses MAC dans chaque switch et les diffuser régulièrement pour propager les informations d appartenance à un VLAN Ajouter un champ dans chaque trame frame tagging 802.10 (cisco) 802.1q (les autres constructeurs) L approche réseau d interconnexion de type bloc X25 (limites), FR (peu soutenu) ATM (la solution)

Conclusions sur les VLAN Lorsque une station vient d être connectée au réseau, le commutateur met un certain temps avant de pouvoir identifier son appartenance Lorsqu une liaison intercommutateur est rompue, recalculer la route prend également du temps Des effets de bord apparaissent également lorsqu on déplace une station d un commutateur à un autre Pour éviter ces dysfonctionnements il est souvent utile de désactiver le spanning tree sur les ports accueillant stations et serveurs de ce fait l arbre est plus petit. Aujourd hui les VLAN sont en plein expansion et très utilisés dans les entreprises ou il y a des personnes ressources pour assurer l administration.

Réseaux virtuels: ATM (vu dans le cours ATM) Utilisation de VPs ATM pour interconnecter des bâtiments (LAN) ou des sites (WAN) : -Réseaux Ethernet ou ATM -Réseaux principalement sur IP -Fonctions :.Sécurité: appelé aussi VPN ATM.Garantie de qualité de service (débit / VP) -Exemple: service ATM de Renater

Réseaux virtuels: VPN : but -Terme générique qui regroupe plusieurs techniques Relier 2 réseaux distants (ou une station et un réseau) via un réseau ouvert (Internet) en garantissant :.Les services de VLAN pour IP : même réseau logique IP. Etendre le réseau interne.des services des sécurité :.Confidentialité des informations transmises (cryptage des données).intégrité des données (données non modifiées par un tiers).authentification de l'émetteur et du destinataire (au sens station ou routeur).sans rechercher une qualité de service particulière (débit...) Eviter des infrastructures dédiées à base de LS qui sont onéreuses -Réduction de coût en utilisant un réseau WAN partagé Utilisation du tunneling (tunnelisation)

Réseaux virtuels: VPN : tunnels un tunnel transporte des données entre 2 points sans que les éléments entre les points «perturbent» ce transport -Réseau de transport: transparent.entre 2 réseaux ou entre station-serveur

Réseaux virtuels: VPN : tunnels Encapsulation En entrée de tunnel: données insérées (encapsulées) dans un paquet du protocole de tunnelisation -En sortie: données extraites: retrouvent leur forme initiale -Tunnel IP véhiculant des datagrammes IP.Entête -@ IP Origine: @ IP entrée du tunnel -@ IP Destinatrice.@ IP sortie du tunnel (Protocole GRE).Données: datagramme initial IP -Entête.@ IP station origine- @ IP station destinatrice + Données Plusieurs méthodes et protocoles -PPTP (RFC2637) -L2F (RFC2341) ou L2TP (RFC2661) -ou IPSEC

PPP : Point to Point Protocol Réseaux virtuels: VPN : PPP -Permet de transporter des datagrammes IP sur une liaison point à point (RTC, LS par exemple) -Mais aussi d'autres protocoles que IP -Fonctionnalités supplémentaires :.Authentification des extrémités : PAP ou CHAP -Avant tout transfert de données.chiffrement des données (confidentialité et intégrité).adressage IP dynamique.compression

PAP ou CHAP PAP Password Authentication Protocol. Protocole conçu par Cisco, pour la connexion avec identification sur un serveur. Le problème est que le mot de passe voyage «en clair»... D'où l'existence de CHAP. CHAP Challenge-Handshake Authentication Protocol. Protocole permettant de s'identifier auprès d'un serveur et d'y ouvrir une session en évitant de faire voyager son mot de passe en clair sur le réseau.

PPP Le protocole "Point to Point Protocol" (PPP) fournit une méthode normalisée de transport de datagrammes entre deux points d'un réseau. Il est décomposé en trois parties, accomplissant chacune un rôle précis : Une encapsulation des datagrammes multi-protocoles. Un protocole de contrôle de liaison (LCP) pour l'établissement, la configuration et la vérification de la connexion. Un groupe de protocoles de contrôle (NCP) pour l'établissement et la configuration des protocoles de différentes couches réseaux. Le but du PPP est de fournir un moyen simple de transporter des paquets entre deux hôtes, au travers de réseaux hétérogènes (LANs - WANs...).

PPP dans le modèle OSI Sur le plan technique PPP agit au sein de la couche de liaison de donnée, qui est la seconde couche inférieur du modèle OSI. Il y enclenche la couche réseau situé au-dessus et qui abrite le protocole IP permettant de transmettre les datagrammes. FTP TFTP Telnet Web TCP UDP IP SLIP modem/rnis PPP Couche physique conjoncteur FT

Réseaux virtuels: VPN : PPTP PPTP : Point-to-Point Tunneling Protocol.Origine Microsoft.VPN surtout sur réseau commuté pour accès particulier -Station isolée / LAN entreprise.encapsulation IP, IPX,...? PPP? GRE? IP -Pas uniquement IP La station isolée semble appartenir au LAN de l'entreprise -Elle peut avoir une adresse IP dans le sous-réseau IP du LAN, comme si elle était une station du réseau interne -Elle voit les autres stations du LAN comme si elle était connectée sur le LAN -Elle a les mêmes droits d'accès aux ressources du LAN qu'une station du LAN (serveurs de fichiers, imprimantes,...) -Elle utilisera la sortie Internet de l'entreprise pour accéder à l'internet

Réseaux virtuels: VPN : PPTP Le chemin entre la station et le LAN est sécurisé -En utilisant les fonctions optionnelles de PPP -Authentification -Chiffrement Mais il faut bien con figurer le serveur PPTP pour que des stations pirates ne puissent pas se connecter sur le LAN (sécurité maximum avec la fonction rappel).serveur PPTP.Client PPTP -Serveur NT, 2000, Linux,... -Serveur d'accès PPTP dédié ou Routeur spécialisé -Windows NT, 2000, XP, 95/98..., Linux, Mac,...

L2TP : Layer 2 Tunneling Protocol Réseaux virtuels: VPN : L2TP -Réunion de PPTP et L2F (CISCO) RFC2661 peut être utilisé pour faire du tunnelling sur Internet lorsqu il transporte de l IP -C est un protocole de n2 qui encapsule des trames PPP pour les envoyer sur des réseaux IP, X25, FR ou ATM. Il devrait remplacer PPTP 2 cas de configuration possibles : -Tunnel direct entre client et serveur -Tunnel entre le FAI et le serveur Sécurité -Utilisation possible des fonctions de PPP -Pour protéger le tunnel lui même, il est conseillé d utiliser IPSec

IPsec : une architecture sécurisée pour IP Introduction Pour sécuriser les échanges ayant lieu sur un réseau TCP/IP, il existe plusieurs approches : - niveau applicatif (PGP) - niveau transport (protocoles TLS/SSL, SSH) - niveau physique (boîtiers chiffrant). IPsec vise à sécuriser les échanges au niveau de la couche réseau. Le réseau IPv4 étant largement déployé et la migration complète vers IPv6 nécessitant encore beaucoup de temps, il est vite apparu intéressant de définir des mécanismes de sécurité qui soient communs à la fois à IPv4 et IPv6. Ces mécanismes sont couramment désignés par le terme IPsec pour IP Security Protocols..Sécurisation des échanges au niveau IP et chaque datagramme est authentifié et/ou chiffré.peut-être mis en oeuvre sur tout équipement IP: Routeur, serveur, station de travail,....peut-être mis en oeuvre de bout en bout ou sur un tronçon du chemin

IPsec fournit donc : - confidentialité et protection contre l'analyse du trafic, - authentification des données (et de leur origine), - intégrité des données (en mode non connecté), - protection contre le rejeu (numéro de séquence aléatoire), - contrôle d'accès. IPsec est une extension de sécurité pour le protocole Internet IP. Il peut être mis en œuvre sur tous les équipements du réseau et de nombreux fournisseurs l'intègrent désormais dans leurs produits (Pix, routeurs..).

. Principaux protocoles d entêtes rajoutés: -AH: Authentication Header Réseaux virtuels: VPN : IPSec -ESP : Encapsulation Security Payload.Datagramme avec AH -Entête IP -AH- (Entête TCP/UDP -Données) en clair.ah (Authentication Header) fournit intégrité et authentification mais pas la confidentialité (encryption des données) -SPI: Security Parameter Index. SA (Security Association).Index d'une table qui pointe sur tout ce qui est nécessaire au récepteur pour interpréter cette entête: algo de crypto utilisés.pour l authentification MD5 ou SHA-1 -Numéro de séquence aléatoire évite le rejeu du datagramme

Réseaux virtuels: VPN : IPSec Datagramme avec ESP -Entête IP -Entête ESP -(Entête TCP/UDP -Données) chiffrés - [Authentication ESP] Entête ESP (Encapsulation Security Payload) idem AH + confidentialité -SPI: Security Parameter Index SA (Security Association) -Numéro de séquence Confidentialité basée sur algorithme DES (56 bits) ou 3DES.AH inclut l'entête IP et la protège pas ESP.Utilisé en mode tunnel pour la signature (pas AH) 2 Modes d'utilisation -Mode transport -Mode tunnel

Sécurité et IP Deux modes : IPSec en mode transport En En tête IP IP En En tête IPSec En En tête TCP Données IPSec en mode tunnel En En tête IP IP En En tête IPSec En En tête IP IP En En tête TCP Données

Mode transport Réseaux virtuels: VPN : modes IPSec -L'entête IP d'origine n'est pas contenue dans l' encapsulation -Entête IP -AH -Entête TCP -Données -Entête IP -ESP -(Entête TCP -Données) chiffrées -Entête IP -AH -ESP -(Entête TCP -Données) chiffrés Mode tunnel -Entête IP (nouveau) -AH -Entête IP (origine) - Entête TCP -Données -Entête IP (nouveau) -ESP -(Entête IP (origine) - Entête TCP -Données) chiffrées- [Authen ESP]

Authentification Header AH Mode tunnel transport En En tête IP IP En En tête TCP Données En En tête IPSec En En tête tête AH IP IP En En tête AH IP IP En En tête TCP Données Authentification

Encapsulating Security Playload ESP Mode tunnel transport En En tête IP IP En En tête TCP TCP Données En En tête IP IP En En tête ESP IP IP En En tête ESP IP IP En En tête TCP Données Final ESP Final ESP Chiffrement Authentification

SA : Security Association. L association de sécurité IPsec est une connexion qui fournit des services de sécurité au trafic qu elle transporte. Pour utiliser des clés de cryptographie, les 2 extrémités doivent se mettre d accord. Pour chaque connexion 1 ou 2 SA (une pour AH et une pour ESP). SA c est des algorithmes ou clés d authentification (MD5..) de chiffrement (DES ) et précise la durée de vie des clés. SAD : pour gérer les associations de sécurité actives, on utilise une base de données des associations de sécurité (Security Association Database, SAD). Elle contient tous les paramètres relatifs à chaque SA et sera consultée pour savoir comment traiter chaque paquet reçu ou à émettre. SPD : les protections offertes par IPsec sont basées sur des choix définis dans une base de données de politique de sécurité (Security Policy Databas, SPD) ou autorité de certification. IKE : Internet Key Exchange procédures de management et fournitures de clés.

Principe du fonctionnement SA / SAD /SPD

Mode transport et mode tunnel Le mode transport prend un flux de niveau transport (couche de niveau 4 du modèle OSI) et réalise les mécanismes de signature et de chiffrement puis transmet les données à la couche IP. Dans ce mode, l'insertion de la couche IPsec est transparente entre TCP et IP. TCP envoie ses données vers IPsec comme il les enverrait vers IPv4. L'inconvénient de ce mode réside dans le fait que l'en-tête extérieur est produit par la couche IP c'est-à-dire sans masquage d'adresse. De plus, le fait de terminer les traitements par la couche IP ne permet pas de garantir la non-utilisation des options IP potentiellement dangereuses. L'intérêt de ce mode réside dans une relative facilité de mise en œuvre. Dans le mode tunnel, les données envoyées par l'application traversent la pile de protocole jusqu'à la couche IP incluse, puis sont envoyées vers le module IPsec. L'encapsulation IPsec en mode tunnel permet le masquage d'adresses et la sécurité dans le transport..

Le mode tunnel est utilisé entre deux passerelles de sécurité (routeur, firewall, ) alors que le mode transport se situe entre deux hôtes.

Conclusions Forces et faiblesses du cadre protocolaire IPsec Avantages : - Modèle de sécurité flexible et non exhaustif basé sur une boîte à outils modulaire - Possibilité d'instaurer plusieurs crans de sécurité : chiffrement faible ou fort et/ou authentification - Services de sécurité totalement transparent pour les applications - Gestion des clés Manuellement avec clés publiques ou clés secrètes Avec IKE Internet Key Exchange: Management et fournitures des clés pour que les 2 extrémités se mettent d accord (protocoles, algorithmes, clés,.) Inconvénients : - Mécanismes de sécurité trop nombreux, engendrant un système complexe - Ipsec avec AH ne peut faire du NAT, il faut utiliser ESP

Conclusions - L'interaction du protocole IKE avec les infrastructures à clé publique (PKI) est possible mais il se normalise lentement. - Les outils d'administration centralisée des règles de sécurité (Security Policies) font défaut. - Entorses propriétaires nuisibles à l'interopérabilité (Cisco ) - IPsec est limité à l'instauration de VPN entre hôtes (passerelles-serveurs). Le protocole orienté client-serveur IPSRA (IPsec Remote Access) devra s'imposer face à PPTP ou L2TP.