La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

CONCEPTION D’UNE INFRASTRUCTURE DE SERVICE RESEAU WINDOWS 2003

Publié parBernardine Pouliquen Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "CONCEPTION D’UNE INFRASTRUCTURE DE SERVICE RESEAU WINDOWS 2003"— Transcription de la présentation:

1 CONCEPTION D’UNE INFRASTRUCTURE DE SERVICE RESEAU WINDOWS 2003

2 OBJECTIFS Les objectifs de la conception d’une Infrastructure réseau :
Disponibilité permet de s’assurer qu’un service réseau est présent et fonctionnel la plupart du temps. Certains services doivent avoir une disponibilité de 100%. La plupart des services que l’on va rencontrer sont moins exigeant cependant. Performance permet d’assurer une réponse rapide aux demandes utilisateurs, que ce soit en période d’utilisation Normal ou extrême. Sécurisation Permet la gestion de la sécurité du service

3 OBJECTIFS Les solutions à apporter pour répondre à un objectif permettent également de répondre au second objectif. Outre l’amélioration des capacités physiques des serveurs sur lesquels tournent les services (principalement par l’ajout de mémoires physiques, espaces disques, processeurs), la première action à prendre est le doublement du serveur, soit par l’ajout d’un second serveur, soit par la mise en place d’un cluster.

4 DHCP Voici quelques fonctionnalités du service DHCP sous Windows 2000/2003/2003 : Conforme au RFC 951, 2131, 2132 Intégration à AD Option Microsoft spécifique (désactivation Netbios, libération du bail DHCP à l’arrêt de l’ordinateur) Support MADCAP (Multicast Address Dynamic Client Allocation Protocol) Intégration aux services RRAS, DNS et AD clients max.

5 DHCP Les solutions à envisager pour la disponibilité sont :
Agent relais sur les réseaux ne disposant pas de routeurs compatible avec la RFC 1542 L’emplacement des serveurs Règle des 80/20 Doublement des serveurs, soit par l’ajout de serveurs, soit par cluster

6 DHCP Sécurisation : Autorisation AD
Existence de groupes dans AD (administrateur DHCP et utilisateur DHCP)

7 DHCP Les solutions à envisager pour la performance sont :
Serveur multirésident Processeurs Mémoire vive Disques rapides Cartes réseaux rapides Durée du bail DHCP Distribué, Centralisé, Combiné

8 DNS Voici quelques fonctionnalités du service DNS sous Windows 2000/2003 : Résolution FQDN Résolution de Nom Netbios par WINS (créer une zone DNS spécifique, puis configurer les options WINS) Intégration AD Interopérabilité avec des systèmes DNS existant (BIND et NT4) Intégration aux services WINS, DHCP et AD

9 DNS Les solutions à envisager pour la disponibilité sont :
L’emplacement des serveurs Doublement des serveurs, soit par l’ajout de serveurs, soit par cluster Zones déléguées

10 DNS Sécurisation : Mise à jour sécurisé DDNS (nécessite des zones intégrées AD) Modification des droits dans AD (conteneur de zone) MAJ à partir du protocole DHCP MAJ à partir des clients DHCP La sécurisation sous entend également l’automatisation de la création des enregistrements, ce qui évite toutes erreurs humaines

11 DNS Les solutions à envisager pour la performance sont : Serveur cache
Processeurs Mémoire vive Disques rapides Cartes réseaux rapides Zones déléguées Répartition d’une zone sur plusieurs serveurs

12 DNS BIND 4.9.6 BIND 8.1.2 BIND 8.2.1 NT4 W2K W2K3 DDNS Non Supporté
IXFR Enregistrement SRV Unicode

13 WINS Voici quelques fonctionnalités du service WINS sous Windows 2000/2003 : Conforme au RFC 1001, 1002 Enregistrement en mode rafale Administration sécurisé et centralisé Prise en charge multi serveurs Intégration aux services RRAS et DNS

14 WINS Les solutions à envisager pour la disponibilité sont :
Proxy WINS pour les clients Non Microsoft (clé dans le registre) L’emplacement des serveurs Doublement des serveurs, soit par l’ajout de serveurs, soit par cluster

15 WINS Les solutions à envisager pour la performance sont : Processeurs
Mémoire vive Disques rapides Cartes réseaux rapides Duplication WINS (HUB and SPOKE) Mode Rafale 10 000 clients/serveur

16 NAT Voici quelques fonctionnalités du service NAT sous Windows 2000/2003 : Transposition d’adresses publiques et privées Fourniture de configuration IP aux clients Résolution DNS Protection des ressources internes Intégration au service DHCP Ne gère pas : SNMP, LDAP, COM, DCOM, Kerberos V5, RPC, IPSec

17 NAT Les solutions à envisager pour la disponibilité sont :
L’emplacement des serveurs Doublement des serveurs, soit par l’ajout de serveurs, soit par cluster

18 NAT Sécurisation : Filtrage IP Redirection de port
Sécurité accrue à l’aide de VPN

19 NAT Les solutions à envisager pour la performance sont : Serveur cache
Processeurs Mémoire vive Disques rapides Cartes réseaux rapides Lignes WAN permanentes et multiples

20 PROXY SERVER 2.0 ISA SERVER
Voici quelques fonctionnalités du service Proxy Server 2.0 sous Windows 2000/2003 : Protection du réseau privé Limitation du trafic Internet Mise en cache du trafic FTP et http Prise en charge Winsock, AD, IP et IPX/SPX Intégration IPSec, RRAS et AD

21 PROXY SERVER 2.0 ISA SERVER
Les solutions à envisager pour la disponibilité sont : L’emplacement des serveurs Doublement des serveurs, soit par l’ajout de serveurs, soit par cluster. Dans le cas de Proxy Server, on parle de groupe de serveur, ou de grappe

22 PROXY SERVER 2.0 ISA SERVER
Sécurisation : Limitation de l’accès à Internet Identification des sous-réseaux filtrés Filtrage de paquets Filtrage de domaines (trafic sortant) Publication de sites Web (limitation du trafic entrant)

23 PROXY SERVER 2.0 ISA SERVER
Les solutions à envisager pour la performance sont : Processeurs Mémoire vive Disques rapides Cartes réseaux rapides Hiérarchisation des grappes ou des serveurs Cache Passif ou Actif Configurer le round robin sur le serveur DNS

24 RRAS Voici quelques fonctionnalités du service RRAS sous Windows 2000/2003 : Sécurisation du réseau privé Intégration aux infrastructures réseaux existantes Restriction du trafic entre Internet et un réseau privé Support de plusieurs protocoles Support RIP, OSPF et IGMP (routage Multicast) Support de technologie WAN (modem, RNIS, X.25) Support de protocoles de sécurité standard (PAP, SPAP, CHAP, MS-CHAP, MS-CHAP v2, EAP-TLS) Interopérabilité Agent Relais DHCP Intégration DHCP, DNS, WINS, RADIUS, IPSec et AD

25 RRAS Les solutions à envisager pour la disponibilité sont :
L’emplacement des serveurs Doublement des serveurs, soit par l’ajout de serveurs, soit par cluster. Dédier les serveurs Assurer une redondance des chemins réseaux

26 RRAS Sécurisation : Filtrage de paquets
Mise en place de tunnel supportant IPSec (L2TP) Mise en place de tunnel VPN (PPTP et L2TP) Authentification prise en compte dans les protocoles de routages Choix des protocoles d’authentification Méthode de cryptage (MPPE ou IPSec) Stratégie d’accès distant Authentification centralisée à l’aide de RADIUS

27 RRAS Les solutions à envisager pour la performance sont : Processeurs
Mémoire vive Disques rapides Cartes réseaux rapides Multiple accès réseaux

28 RADIUS Voici quelques fonctionnalités du service RADIUS sous Windows 2000/2003 : Séparation du service d’authentification et d’accès distant Gère la connectivité des clients d’accès distant Intégration à AD ou à un domaine NT4 Interopérabilité Intégration RRAS, IPSec, AD et domaine NT4

29 RADIUS Les solutions à envisager pour la disponibilité sont :
L’emplacement des serveurs Doublement des serveurs, soit par l’ajout de serveurs, soit par cluster.

30 RADIUS Sécurisation : Restriction des accès distants au réseau privé
Authentification des clients RAS Cryptage du trafic des clients RAS

31 RADIUS Les solutions à envisager pour la performance sont :
Processeurs Mémoire vive Disques rapides Cartes réseaux rapides

32 NOTES IPSec est un protocole, pas un service. Il est décomposé en 2 protocoles : Authentication Headers (AH) ett Encapsulated Security Payload (ESP). AH fournit l’authentification et l’intégrité des données. ESP assure le chiffrement des données. Il consomme beaucoup de ressources en calcul.

33 NOTES IPSec peut être mis en place dans un domaine Windows 2000/2003 ou sur une machine Windows 2000/2003 en utilisant les paramètres de sécurité local. Attention, on ne peut pas utiliser IPSec avec des OS antérieurs à Windows 2000/2003.

34 NOTES Les méthodes d’authenfication IPSec sont basé sur Kerberos v5, l’infrastructure à clé publique, et les clés pré-partagées. L’agent qui gère IPSec se nomme LSASS.EXE. Avant toutes transmissions de données, IPSec doit mettre en place un Association de sécurité (Security Association - SA). La SA va définir les paramètres de la communication.

35 NOTES Algorithme de chiffrement :
3DES, 128-bit – Fournit la plus grande sécurité au détriment de la rapidité. DES, 56-bit – Fournit de bonnes performances. DES, 40-bit – Fournit de bonnes performances avec calcul rapide.

36 NOTES Protocoles d’authentification:
MD5, 128 bits – (message digest 5). Moins sur que SHA, mais plus rapide SHA, 160 bits – (secure hash algorithm). Fournit un mécanisme plus sûr que MD5 mais aussi plus lourd à calculer

37 NOTES Groupes Diffie-Hellman: Groupe 1 – Bas, 768 bits.
Groupe 2 – Moyen, 1024 bits.

38 NOTES Protection Authentification Chiffrement Groupe Diffie-Hellman
4 (la plus haute) SHA-1 (160 bits) 3DES 1024 bits 3 MD5 (128 bits) 2 DES 768 bits 1 (la plus basse)

39 NOTES PPP supporte les protocoles de sécurité suivant :
EAP (Extensible Authentication Protocol) – Permet aux clients et aux serveurs de négocier le protocole à utiliser (dont certificat, cartes à puce,…). MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) nécessite un client Windows 2000/2003 (version 2), ou des clients 9X/NT4 (version 1). CHAP (Challenge Handshake Authentication Protocol) – plus performant que PAP et SPAP, ne transmet pas le mot de passe en clair. Convient aux clients MAC et UNIX SPAP (Shiva Password Authentication Protocol) – Plus performant que PAP, il est supporté uniquement dans le but de garder une compatibilité avec les anciens systèmes client SHIVA . PAP (Password Authentication Protocol) – Utilise une authentification à l’aide d’un mot de passe non crypté. A utiliser si les clients ne supporte pas de meilleur protocole

40 NOTES TCO (Total Cost of Ownership)

Télécharger ppt "CONCEPTION D’UNE INFRASTRUCTURE DE SERVICE RESEAU WINDOWS 2003"

Présentations similaires

Sécurité informatique

Sécurité informatique
Active Directory Windows 2003 Server

Active Directory Windows 2003 Server
Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix

Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix
Page d accueil.

Page d accueil.
Protection du réseau périphérique avec ISA 2004

Protection du réseau périphérique avec ISA 2004
Client Mac dans un réseau Wifi d’entreprise sécurisé

Client Mac dans un réseau Wifi d’entreprise sécurisé
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité

– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
W O R L D W I D E L E A D E R I N S E C U R I N G T H E I N T E R N E T VPN et Solutions pour lentreprise David Lassalle Khaled Bouadi.

W O R L D W I D E L E A D E R I N S E C U R I N G T H E I N T E R N E T VPN et Solutions pour lentreprise David Lassalle Khaled Bouadi.
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Guillaume CACHO Pierre-Louis BROUCHUD

Guillaume CACHO Pierre-Louis BROUCHUD
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001

ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
Module 10 : Gestion et analyse de l'accès réseau

Module 10 : Gestion et analyse de l'accès réseau
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.

Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Module 2 : Allocation de l'adressage IP à l'aide du protocole DHCP

Module 2 : Allocation de l'adressage IP à l'aide du protocole DHCP
Module 9 : Configuration de l'accès réseau

Module 9 : Configuration de l'accès réseau
Réseaux Privés Virtuels

Réseaux Privés Virtuels
Configuration de Windows Server 2008 Active Directory

Configuration de Windows Server 2008 Active Directory
SMC2804WBRP-G Routeur sans fil Barricade g 2.4GHz 54Mbps avec port imprimante USB SMC2804WBRP-G www.smc.com.

SMC2804WBRP-G Routeur sans fil Barricade g 2.4GHz 54Mbps avec port imprimante USB SMC2804WBRP-G
Active Directory Windows 2003 Server

Active Directory Windows 2003 Server

Présentations similaires

Annonces Google