La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

CONCEPTION DUNE INFRASTRUCTURE DE SERVICE RESEAU WINDOWS 2003.

Présentations similaires


Présentation au sujet: "CONCEPTION DUNE INFRASTRUCTURE DE SERVICE RESEAU WINDOWS 2003."— Transcription de la présentation:

1 CONCEPTION DUNE INFRASTRUCTURE DE SERVICE RESEAU WINDOWS 2003

2 OBJECTIFS Les objectifs de la conception dune Infrastructure réseau : Les objectifs de la conception dune Infrastructure réseau : Disponibilité Disponibilité permet de sassurer quun service réseau est présent et fonctionnel la plupart du temps. Certains services doivent avoir une disponibilité de 100%. La plupart des services que lon va rencontrer sont moins exigeant cependant. permet de sassurer quun service réseau est présent et fonctionnel la plupart du temps. Certains services doivent avoir une disponibilité de 100%. La plupart des services que lon va rencontrer sont moins exigeant cependant. Performance Performance permet dassurer une réponse rapide aux demandes utilisateurs, que ce soit en période dutilisation Normal ou extrême. permet dassurer une réponse rapide aux demandes utilisateurs, que ce soit en période dutilisation Normal ou extrême. Sécurisation Sécurisation Permet la gestion de la sécurité du service Permet la gestion de la sécurité du service

3 OBJECTIFS Les solutions à apporter pour répondre à un objectif permettent également de répondre au second objectif. Outre lamélioration des capacités physiques des serveurs sur lesquels tournent les services (principalement par lajout de mémoires physiques, espaces disques, processeurs), la première action à prendre est le doublement du serveur, soit par lajout dun second serveur, soit par la mise en place dun cluster. Les solutions à apporter pour répondre à un objectif permettent également de répondre au second objectif. Outre lamélioration des capacités physiques des serveurs sur lesquels tournent les services (principalement par lajout de mémoires physiques, espaces disques, processeurs), la première action à prendre est le doublement du serveur, soit par lajout dun second serveur, soit par la mise en place dun cluster.

4 DHCP Voici quelques fonctionnalités du service DHCP sous Windows 2000/2003/2003 : Voici quelques fonctionnalités du service DHCP sous Windows 2000/2003/2003 : Conforme au RFC 951, 2131, 2132 Conforme au RFC 951, 2131, 2132 Intégration à AD Intégration à AD Option Microsoft spécifique (désactivation Netbios, libération du bail DHCP à larrêt de lordinateur) Option Microsoft spécifique (désactivation Netbios, libération du bail DHCP à larrêt de lordinateur) Support MADCAP (Multicast Address Dynamic Client Allocation Protocol) Support MADCAP (Multicast Address Dynamic Client Allocation Protocol) Intégration aux services RRAS, DNS et AD Intégration aux services RRAS, DNS et AD clients max clients max.

5 DHCP Les solutions à envisager pour la disponibilité sont : Les solutions à envisager pour la disponibilité sont : Agent relais sur les réseaux ne disposant pas de routeurs compatible avec la RFC 1542 Agent relais sur les réseaux ne disposant pas de routeurs compatible avec la RFC 1542 Lemplacement des serveurs Lemplacement des serveurs Règle des 80/20 Règle des 80/20 Doublement des serveurs, soit par lajout de serveurs, soit par cluster Doublement des serveurs, soit par lajout de serveurs, soit par cluster

6 DHCP Sécurisation : Sécurisation : Autorisation AD Autorisation AD Existence de groupes dans AD (administrateur DHCP et utilisateur DHCP) Existence de groupes dans AD (administrateur DHCP et utilisateur DHCP)

7 DHCP Les solutions à envisager pour la performance sont : Les solutions à envisager pour la performance sont : Serveur multirésident Serveur multirésident Processeurs Processeurs Mémoire vive Mémoire vive Disques rapides Disques rapides Cartes réseaux rapides Cartes réseaux rapides Durée du bail DHCP Durée du bail DHCP Distribué, Centralisé, Combiné Distribué, Centralisé, Combiné

8 DNS Voici quelques fonctionnalités du service DNS sous Windows 2000/2003 : Voici quelques fonctionnalités du service DNS sous Windows 2000/2003 : Résolution FQDN Résolution FQDN Résolution de Nom Netbios par WINS (créer une zone DNS spécifique, puis configurer les options WINS) Résolution de Nom Netbios par WINS (créer une zone DNS spécifique, puis configurer les options WINS) Intégration AD Intégration AD Interopérabilité avec des systèmes DNS existant (BIND et NT4) Interopérabilité avec des systèmes DNS existant (BIND et NT4) Intégration aux services WINS, DHCP et AD Intégration aux services WINS, DHCP et AD

9 DNS Les solutions à envisager pour la disponibilité sont : Les solutions à envisager pour la disponibilité sont : Lemplacement des serveurs Lemplacement des serveurs Doublement des serveurs, soit par lajout de serveurs, soit par cluster Doublement des serveurs, soit par lajout de serveurs, soit par cluster Zones déléguées Zones déléguées

10 DNS Sécurisation : Sécurisation : Mise à jour sécurisé DDNS (nécessite des zones intégrées AD) Mise à jour sécurisé DDNS (nécessite des zones intégrées AD) Modification des droits dans AD (conteneur de zone) Modification des droits dans AD (conteneur de zone) MAJ à partir du protocole DHCP MAJ à partir du protocole DHCP MAJ à partir des clients DHCP MAJ à partir des clients DHCP La sécurisation sous entend également lautomatisation de la création des enregistrements, ce qui évite toutes erreurs humaines La sécurisation sous entend également lautomatisation de la création des enregistrements, ce qui évite toutes erreurs humaines

11 DNS Les solutions à envisager pour la performance sont : Les solutions à envisager pour la performance sont : Serveur cache Serveur cache Processeurs Processeurs Mémoire vive Mémoire vive Disques rapides Disques rapides Cartes réseaux rapides Cartes réseaux rapides Zones déléguées Zones déléguées Répartition dune zone sur plusieurs serveurs Répartition dune zone sur plusieurs serveurs

12 DNS BIND 4.9.6BIND 8.1.2BIND 8.2.1NT4W2K W2K3 DDNSNonSupporté NonSupporté IXFRNon SupportéNonSupporté Enregistrement SRV Supporté NonSupporté UnicodeNon SupportéNonSupporté

13 WINS Voici quelques fonctionnalités du service WINS sous Windows 2000/2003 : Voici quelques fonctionnalités du service WINS sous Windows 2000/2003 : Conforme au RFC 1001, 1002 Conforme au RFC 1001, 1002 Enregistrement en mode rafale Enregistrement en mode rafale Administration sécurisé et centralisé Administration sécurisé et centralisé Prise en charge multi serveurs Prise en charge multi serveurs Intégration aux services RRAS et DNS Intégration aux services RRAS et DNS

14 WINS Les solutions à envisager pour la disponibilité sont : Les solutions à envisager pour la disponibilité sont : Proxy WINS pour les clients Non Microsoft (clé dans le registre) Proxy WINS pour les clients Non Microsoft (clé dans le registre) Lemplacement des serveurs Lemplacement des serveurs Doublement des serveurs, soit par lajout de serveurs, soit par cluster Doublement des serveurs, soit par lajout de serveurs, soit par cluster

15 WINS Les solutions à envisager pour la performance sont : Les solutions à envisager pour la performance sont : Processeurs Processeurs Mémoire vive Mémoire vive Disques rapides Disques rapides Cartes réseaux rapides Cartes réseaux rapides Duplication WINS (HUB and SPOKE) Duplication WINS (HUB and SPOKE) Mode Rafale Mode Rafale clients/serveur clients/serveur

16 NAT Voici quelques fonctionnalités du service NAT sous Windows 2000/2003 : Voici quelques fonctionnalités du service NAT sous Windows 2000/2003 : Transposition dadresses publiques et privées Transposition dadresses publiques et privées Fourniture de configuration IP aux clients Fourniture de configuration IP aux clients Résolution DNS Résolution DNS Protection des ressources internes Protection des ressources internes Intégration au service DHCP Intégration au service DHCP Ne gère pas : SNMP, LDAP, COM, DCOM, Kerberos V5, RPC, IPSec Ne gère pas : SNMP, LDAP, COM, DCOM, Kerberos V5, RPC, IPSec

17 NAT Les solutions à envisager pour la disponibilité sont : Les solutions à envisager pour la disponibilité sont : Lemplacement des serveurs Lemplacement des serveurs Doublement des serveurs, soit par lajout de serveurs, soit par cluster Doublement des serveurs, soit par lajout de serveurs, soit par cluster

18 NAT Sécurisation : Sécurisation : Filtrage IP Filtrage IP Redirection de port Redirection de port Sécurité accrue à laide de VPN Sécurité accrue à laide de VPN

19 NAT Les solutions à envisager pour la performance sont : Les solutions à envisager pour la performance sont : Serveur cache Serveur cache Processeurs Processeurs Mémoire vive Mémoire vive Disques rapides Disques rapides Cartes réseaux rapides Cartes réseaux rapides Lignes WAN permanentes et multiples Lignes WAN permanentes et multiples

20 PROXY SERVER 2.0 ISA SERVER Voici quelques fonctionnalités du service Proxy Server 2.0 sous Windows 2000/2003 : Voici quelques fonctionnalités du service Proxy Server 2.0 sous Windows 2000/2003 : Protection du réseau privé Protection du réseau privé Limitation du trafic Internet Limitation du trafic Internet Mise en cache du trafic FTP et http Mise en cache du trafic FTP et http Prise en charge Winsock, AD, IP et IPX/SPX Prise en charge Winsock, AD, IP et IPX/SPX Intégration IPSec, RRAS et AD Intégration IPSec, RRAS et AD

21 PROXY SERVER 2.0 ISA SERVER Les solutions à envisager pour la disponibilité sont : Les solutions à envisager pour la disponibilité sont : Lemplacement des serveurs Lemplacement des serveurs Doublement des serveurs, soit par lajout de serveurs, soit par cluster. Dans le cas de Proxy Server, on parle de groupe de serveur, ou de grappe Doublement des serveurs, soit par lajout de serveurs, soit par cluster. Dans le cas de Proxy Server, on parle de groupe de serveur, ou de grappe

22 PROXY SERVER 2.0 ISA SERVER Sécurisation : Sécurisation : Limitation de laccès à Internet Limitation de laccès à Internet Identification des sous-réseaux filtrés Identification des sous-réseaux filtrés Filtrage de paquets Filtrage de paquets Filtrage de domaines (trafic sortant) Filtrage de domaines (trafic sortant) Publication de sites Web (limitation du trafic entrant) Publication de sites Web (limitation du trafic entrant)

23 PROXY SERVER 2.0 ISA SERVER Les solutions à envisager pour la performance sont : Les solutions à envisager pour la performance sont : Processeurs Processeurs Mémoire vive Mémoire vive Disques rapides Disques rapides Cartes réseaux rapides Cartes réseaux rapides Hiérarchisation des grappes ou des serveurs Hiérarchisation des grappes ou des serveurs Cache Passif ou Actif Cache Passif ou Actif Configurer le round robin sur le serveur DNS Configurer le round robin sur le serveur DNS

24 RRAS Voici quelques fonctionnalités du service RRAS sous Windows 2000/2003 : Voici quelques fonctionnalités du service RRAS sous Windows 2000/2003 : Sécurisation du réseau privé Sécurisation du réseau privé Intégration aux infrastructures réseaux existantes Intégration aux infrastructures réseaux existantes Restriction du trafic entre Internet et un réseau privé Restriction du trafic entre Internet et un réseau privé Support de plusieurs protocoles Support de plusieurs protocoles Support RIP, OSPF et IGMP (routage Multicast) Support RIP, OSPF et IGMP (routage Multicast) Support de technologie WAN (modem, RNIS, X.25) Support de technologie WAN (modem, RNIS, X.25) Support de protocoles de sécurité standard (PAP, SPAP, CHAP, MS- CHAP, MS-CHAP v2, EAP-TLS) Support de protocoles de sécurité standard (PAP, SPAP, CHAP, MS- CHAP, MS-CHAP v2, EAP-TLS) Interopérabilité Interopérabilité Agent Relais DHCP Agent Relais DHCP Intégration DHCP, DNS, WINS, RADIUS, IPSec et AD Intégration DHCP, DNS, WINS, RADIUS, IPSec et AD

25 RRAS Les solutions à envisager pour la disponibilité sont : Les solutions à envisager pour la disponibilité sont : Lemplacement des serveurs Lemplacement des serveurs Doublement des serveurs, soit par lajout de serveurs, soit par cluster. Doublement des serveurs, soit par lajout de serveurs, soit par cluster. Dédier les serveurs Dédier les serveurs Assurer une redondance des chemins réseaux Assurer une redondance des chemins réseaux

26 RRAS Sécurisation : Sécurisation : Filtrage de paquets Filtrage de paquets Mise en place de tunnel supportant IPSec (L2TP) Mise en place de tunnel supportant IPSec (L2TP) Mise en place de tunnel VPN (PPTP et L2TP) Mise en place de tunnel VPN (PPTP et L2TP) Authentification prise en compte dans les protocoles de routages Authentification prise en compte dans les protocoles de routages Choix des protocoles dauthentification Choix des protocoles dauthentification Méthode de cryptage (MPPE ou IPSec) Méthode de cryptage (MPPE ou IPSec) Stratégie daccès distant Stratégie daccès distant Authentification centralisée à laide de RADIUS Authentification centralisée à laide de RADIUS

27 RRAS Les solutions à envisager pour la performance sont : Les solutions à envisager pour la performance sont : Processeurs Processeurs Mémoire vive Mémoire vive Disques rapides Disques rapides Cartes réseaux rapides Cartes réseaux rapides Multiple accès réseaux Multiple accès réseaux

28 RADIUS Voici quelques fonctionnalités du service RADIUS sous Windows 2000/2003 : Voici quelques fonctionnalités du service RADIUS sous Windows 2000/2003 : Séparation du service dauthentification et daccès distant Séparation du service dauthentification et daccès distant Gère la connectivité des clients daccès distant Gère la connectivité des clients daccès distant Intégration à AD ou à un domaine NT4 Intégration à AD ou à un domaine NT4 Interopérabilité Interopérabilité Intégration RRAS, IPSec, AD et domaine NT4 Intégration RRAS, IPSec, AD et domaine NT4

29 RADIUS Les solutions à envisager pour la disponibilité sont : Les solutions à envisager pour la disponibilité sont : Lemplacement des serveurs Lemplacement des serveurs Doublement des serveurs, soit par lajout de serveurs, soit par cluster. Doublement des serveurs, soit par lajout de serveurs, soit par cluster.

30 RADIUS Sécurisation : Sécurisation : Restriction des accès distants au réseau privé Restriction des accès distants au réseau privé Authentification des clients RAS Authentification des clients RAS Cryptage du trafic des clients RAS Cryptage du trafic des clients RAS

31 RADIUS Les solutions à envisager pour la performance sont : Les solutions à envisager pour la performance sont : Processeurs Processeurs Mémoire vive Mémoire vive Disques rapides Disques rapides Cartes réseaux rapides Cartes réseaux rapides

32 NOTES IPSec est un protocole, pas un service. Il est décomposé en 2 protocoles : Authentication Headers (AH) ett Encapsulated Security Payload (ESP). AH fournit lauthentification et lintégrité des données. ESP assure le chiffrement des données. Il consomme beaucoup de ressources en calcul. IPSec est un protocole, pas un service. Il est décomposé en 2 protocoles : Authentication Headers (AH) ett Encapsulated Security Payload (ESP). AH fournit lauthentification et lintégrité des données. ESP assure le chiffrement des données. Il consomme beaucoup de ressources en calcul.

33 NOTES IPSec peut être mis en place dans un domaine Windows 2000/2003 ou sur une machine Windows 2000/2003 en utilisant les paramètres de sécurité local. Attention, on ne peut pas utiliser IPSec avec des OS antérieurs à Windows 2000/2003. IPSec peut être mis en place dans un domaine Windows 2000/2003 ou sur une machine Windows 2000/2003 en utilisant les paramètres de sécurité local. Attention, on ne peut pas utiliser IPSec avec des OS antérieurs à Windows 2000/2003.

34 NOTES Les méthodes dauthenfication IPSec sont basé sur Kerberos v5, linfrastructure à clé publique, et les clés pré-partagées. Les méthodes dauthenfication IPSec sont basé sur Kerberos v5, linfrastructure à clé publique, et les clés pré-partagées. Lagent qui gère IPSec se nomme LSASS.EXE. Lagent qui gère IPSec se nomme LSASS.EXE. Avant toutes transmissions de données, IPSec doit mettre en place un Association de sécurité (Security Association - SA). La SA va définir les paramètres de la communication. Avant toutes transmissions de données, IPSec doit mettre en place un Association de sécurité (Security Association - SA). La SA va définir les paramètres de la communication.

35 NOTES Algorithme de chiffrement : Algorithme de chiffrement : 3DES, 128-bit – Fournit la plus grande sécurité au détriment de la rapidité. 3DES, 128-bit – Fournit la plus grande sécurité au détriment de la rapidité. DES, 56-bit – Fournit de bonnes performances. DES, 56-bit – Fournit de bonnes performances. DES, 40-bit – Fournit de bonnes performances avec calcul rapide. DES, 40-bit – Fournit de bonnes performances avec calcul rapide.

36 NOTES Protocoles dauthentification: Protocoles dauthentification: MD5, 128 bits – (message digest 5). Moins sur que SHA, mais plus rapide MD5, 128 bits – (message digest 5). Moins sur que SHA, mais plus rapide SHA, 160 bits – (secure hash algorithm). Fournit un mécanisme plus sûr que MD5 mais aussi plus lourd à calculer SHA, 160 bits – (secure hash algorithm). Fournit un mécanisme plus sûr que MD5 mais aussi plus lourd à calculer

37 NOTES Groupes Diffie-Hellman: Groupes Diffie-Hellman: Groupe 1 – Bas, 768 bits. Groupe 1 – Bas, 768 bits. Groupe 2 – Moyen, 1024 bits. Groupe 2 – Moyen, 1024 bits.

38 NOTES ProtectionAuthentificationChiffrementGroupe Diffie-Hellman 4 (la plus haute)SHA-1 (160 bits)3DES1024 bits 3MD5 (128 bits)3DES1024 bits 2SHA-1 (160 bits)DES768 bits 1 (la plus basse)MD5 (128 bits)DES768 bits

39 NOTES PPP supporte les protocoles de sécurité suivant : PPP supporte les protocoles de sécurité suivant : EAP (Extensible Authentication Protocol) – Permet aux clients et aux serveurs de négocier le protocole à utiliser (dont certificat, cartes à puce,…). EAP (Extensible Authentication Protocol) – Permet aux clients et aux serveurs de négocier le protocole à utiliser (dont certificat, cartes à puce,…). MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) nécessite un client Windows 2000/2003 (version 2), ou des clients 9X/NT4 (version 1). MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) nécessite un client Windows 2000/2003 (version 2), ou des clients 9X/NT4 (version 1). CHAP (Challenge Handshake Authentication Protocol) – plus performant que PAP et SPAP, ne transmet pas le mot de passe en clair. Convient aux clients MAC et UNIX CHAP (Challenge Handshake Authentication Protocol) – plus performant que PAP et SPAP, ne transmet pas le mot de passe en clair. Convient aux clients MAC et UNIX SPAP (Shiva Password Authentication Protocol) – Plus performant que PAP, il est supporté uniquement dans le but de garder une compatibilité avec les anciens systèmes client SHIVA. SPAP (Shiva Password Authentication Protocol) – Plus performant que PAP, il est supporté uniquement dans le but de garder une compatibilité avec les anciens systèmes client SHIVA. PAP (Password Authentication Protocol) – Utilise une authentification à laide dun mot de passe non crypté. A utiliser si les clients ne supporte pas de meilleur protocole PAP (Password Authentication Protocol) – Utilise une authentification à laide dun mot de passe non crypté. A utiliser si les clients ne supporte pas de meilleur protocole

40 NOTES TCO (Total Cost of Ownership) TCO (Total Cost of Ownership)


Télécharger ppt "CONCEPTION DUNE INFRASTRUCTURE DE SERVICE RESEAU WINDOWS 2003."

Présentations similaires


Annonces Google