La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 SIIEE :Architectures, réseaux et sécurité dans l’EPLE EOLE (Ensemble Ouvert Libre Evolutif)

Présentations similaires


Présentation au sujet: "1 SIIEE :Architectures, réseaux et sécurité dans l’EPLE EOLE (Ensemble Ouvert Libre Evolutif)"— Transcription de la présentation:

1 1 SIIEE :Architectures, réseaux et sécurité dans l’EPLE EOLE (Ensemble Ouvert Libre Evolutif)

2 2 Remerciements à P. Danel - directeur du CRDP d’auvergne - CTICE de l’académie de clermont-Fd. D. Busson - directeur du Centre Informatique Académique de Clermont-Fd. L. Bourdot - Chef de projet EOLE - CTIAD de Dijon. M.Affre - Chef du bureau DA A3. Ministère de l’Education Nationale. Pour leur soutien et leur confiance. F. Alcaraz - Conseil Régional d’Auvergne et le groupe technique “resauv” chargé de la mise en place du réseau régional d’Auvergne (coopération enseignement supérieur, santé, recherche, enseignement secondaire …) Pour le partenariat qu’ils ont contribué à instaurer. Les auteurs : AM Bondi- responsable informatique CRDP d’auvergne - DATICE G Chaideyrou - responsable équipe réseaux - CIA Clermont-Fd

3 3 SIIEE :Architectures, réseaux et sécurité dans l’EPLE EOLE (Ensemble Ouvert Libre Evolutif) Textes de références : - lettre conjointe DA / DT adressée aux recteurs le 5 Avril 2002 : “SIIEE” - comprenant une annexe “recommendations en terme de sécurité - SIIEE” - comprenant une note de cadrage “SIIEE”. la présentation suivante s’appuie sur ces textes, et utilise EOLE (AMON) à titre d’exemple.

4 4 préambule Le contexte en EPLE: critères “ethniques” : diverses communautés. Critères “topologiques” : contraintes géographiques. Les “réticences”: sécuriser = “empécher de travailler ?” = “espionner ?” = “niveller ?” attitudes “nombrilistes”, syndrome de la “bonbonnière”, syndrome du “mécanicien” … Le résultat attendu: un extranet EPLE qui : réponde à tous les besoins … et prévoit l’imprévisible !!!

5 5 EOLE : préambule Module AMON : pare-feu. * Module VPN (chiffrement) * Module messagerie *... Cette présentation concerne principalement le module AMON (… et VPN…) EOLE est un concept organisé autour de “modules”:

6 6 Plan de la présentation EPLE: l’existant. Politique de sécurité / zones de confiance. Architecture EOLE (AMON). principes de migration. Les règles de communication inter-zones. EOLE : l’approche technique - adresses. Bilan provisoire / discussion

7 7 EPLE : l’existant.

8 8 10.xx.yy.0 (24/8) 10.xx.1yy.0 (24/8) Réseaux pédagogiques Réseau administratif Fournisseur d’accès Internet Réseau régional ? Problèmatique : ¤ Migration vers des nouvelles technologies (BLR, ADSL, RR...). Evolutions en respectant l’existant ¤ garantir la sécurité de l’EPLE ¤ aider au respect de la loi pour la protection des mineurs ¤ rendre un meilleur service (optimisation BP, mutualisation …) Réseau académique Numeris 1Numeris 2 Mais devant:

9 9 Qu’apporte EOLE (AMON) ? Intégrer de nouvelles solutions (BLR, ADSL, RR...) garantir la sécurité de l’EPLE - responsabilités juridiques ? rendre un meilleur service (optimisation BP, mutualisation …) respect de l’existant Banaliser la méthode de raccordement de l’EPLE vers l’exterieur. Pare-feu, logiciels de protection des mineurs … services réseaux cache (DNS, proxy FTP, HTTP …) intégration sur mesure

10 10 EOLE (pare-feu AMON) Une approche de la sécurité de l’EPLE par définition de zones de confiance

11 11 EOLE : zones et niveaux de sécurité “la rue” : lieu ouvert, accessible depuis le monde entier, la rue offre un niveau de sécurité très faible. On peut y faire les meilleures comme les pires rencontres. “la cour” : lieu protégé de la rue, c ’est un lieu de partage et d’échange. On s’y promène sans grande crainte, mais une certaine prudence reste de mise … on peut y cotoyer des inconnus, … dument invités ou non. “Les maisons” : les habitants d’une maison sont clairement identifiés. A part eux, personne n’est habilité à rentrer dans une maison sans y être invité. Dans chaque maison, on se sent en sécurité.

12 12 EOLE : zones et niveaux de sécurité “la cour” “maison” ADM “la rue” “maison” PEDAGOGIUE Autre “maison” “la rue” : lieu ouvert, accessible depuis le monde entier, la rue offre un niveau de sécurité très faible. On peut y faire les meilleures comme les pires rencontres. “la cour” : lieu protégé de la rue, c ’est un lieu de passage, partage et échange. On s’y promène sans grande crainte, mais une certaine prudence reste de mise … on peut y cotoyer des inconnus, … dument invités ou non. “Les maisons” : les habitants d’une maison sont clairement identifiés. A part eux, personne n’est habilité à rentrer dans une maison sans y être invité. Dans chaque maison, on se sent en sécurité. Eole est le garant de l’application de cette “POLITIQUE de SECURITE conformement aux “recommendations en terme de sécurité - SIIEE” du 5 Avril 2002

13 13 EOLE : zones et niveaux de sécurité “la cour” “maison” ADM “la rue” “maison” PEDAGOGIUE Autre “maison” Mettre en place des zones et niveaux de sécurité n’a pas pour but d’empecher le dialogue entre des partenaires. Mais au contraire, de permettre à des partenaires de dialoguer en toute confiance.

14 14 EOLE : un concept évolutif une réponse homogène pour l’académie qui répond aux besoins d’aujourd’hui. un concept générique, mais qui sait s’adapter aux cas particulier Une architecture qui peut s’étendre par adjonction de nouveaux boitiers EOLE

15 15 1 EOLE ou 2 EOLEs ? “La cour” “maison” ADM L’administration, l’intendance... “maison” PEDAGOGIQUE Les salles de classe “La rue” Réseau ADM Réseau(x) pédagogique(s) “maison” Greta ou autres reseaux “maison” greta ADM Visible par l’Education Nationale Visible uniquement dans l’établissement Visible du mode entier

16 16 1 EOLE ou 2 EOLEs ? Par adjonction de nouveaux EOLE, on traite propement la cohabition d’un établissement avec : - l’eventuel GRETA hebergé … et éclaté entre etablissements. - l’eventuel réseau d’un IEN localisé dans l’etablissement... - l’eventuelle présence d’un CDDP … - l’eventuelle présence d’un reseau issu du projet d’une collectivité - un établissement “éclaté” sur plusieurs sites.

17 17 EOLE (pare-feu AMON) Approche par les flux de communication: Quelles sont les règles de passage d’une zone à l’autre ?

18 18 1 etablissement “éclaté” “La cour” “maison” ADM L’administration,... “maison” PEDAGOGIQUE Les salles de classe “La rue” Réseau ADM Réseau(x) pédagogique(s) “maison” PEDAGOGIQUE “maison” ADM autre batiment ADM Visible par l’Education Nationale Visible uniquement dans l’établissement Visible du mode entier Communication chiffrée

19 19 Ou bien : “La cour” “maison” ADM L’administration,... “maison” PEDAGOGIQUE Les salles de classe “La rue” Réseau ADM Réseau(x) pédagogique(s) “maison” PEDAGOGIQUE “maison” ADM autre batiment ADM Visible par l’Education Nationale Visible uniquement dans l’établissement Visible du mode entier “La rue” “La cour” + chiffrement éventuel (voir AGRIATES)

20 20 Où installer EOLE ? - Dans un local sûr, au point d’interconnexion de tous les réseaux de l’etablissement. - Dans une armoire informatique - avec une alimentation secourue.

21 21 EOLE (pare-feu AMON) Comment passer de la situation actuelle à l’architecture EOLE ?

22 22 10.xx.yy.0 (24/8) 10.xx.1yy.0 (24/8) Réseaux pédagogiques Réseau administratif Fournisseur d’accès Internet Réseau régional ? Réseau académique Numeris 1Numeris 2 Avant EOLE Site partagé avec : GRETA ? IEN ? CIO ? CDDP ? Projets de Collectivités ?

23 23 “La rue” Zone d’accueil (non sécurisée) “la cour” Zone de partage et d’échange sécurisée EOLEEOLE “Maison” autres réseaux Autres réseaux pédagogiques (greta, collectivité…) “maison” greta “Maison” ADM “Maison” PEDAGOGIQUE Réseau académique Fournisseur d’accès Internet Réseau régional ? Réseaux pédagogiques Réseau administratif Après EOLE

24 24 “maison” ADM “maison” PEDAGOGIQUE Réseau académique Fournisseur d’accès Internet Réseau régional ? “la cour” “la rue” EOLEEOLE “maison” Autres réseaux “maison” greta Teleac,GEP, etc … Web etablissement (adm + pédagogie), BCDI, RLR, messageries, serveurs FTP, etc... Micros élèves et enseignants, serveurs de fichiers, authentification et droits d’accès, etc... Après EOLE

25 25 “maison” ADM “maison” PEDAGOGIQUE Réseau académique Fournisseur d’accès Internet Réseau régional “la cour” “la rue” Depuis réseaux Pedago Acces Internet Acces sites disciplinaires Acces BCDI, RLR, web serveur antivirus généralisé, etc...

26 26 “maison” ADM “maison” PEDAGOGIQUE Réseau académique Fournisseur d’accès Internet Réseau régional “la cour” “la rue” Depuis réseau Adm Acces Internet, courrier, teleac, etc... Acces BCDI, RLR, web etc...

27 27 “maison” ADM “maison” PEDAGOGIQUE Réseau académique Fournisseur d’accès Internet Réseau régional “la cour “la rue” Depuis zone de partage “la cour” Pas de “remontée” = protection des utilisateurs

28 28 “maison” ADM “maison” PEDAGOGIQUE Réseau académique Fournisseur d’accès Internet Réseau régional “La cour” “la rue” Depuis l’exterieur Acces tres reglementé. Telemaintenances... Acces reglementé. Professeurs depuis l’exterieur consultations depuis l’exterieur Pas de “remontée” = protection des utilisateurs

29 29 EOLE: Que fait-il ? - garant de l’application d’une politique de sécurité. (Qui peut faire quoi ? Comment?) - garant des chemins empruntés par une communication. (données confidentielles / données publiques) -> tout en optimisant les coûts

30 30 EOLE: Que fait-il ? Exemple (très simplifié ) de décisions prises par EOLE. - le cas d’un “proxy”

31 31 “maison” ADM “maison” PEDAGOGIQUE Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” question N’aurais-je pas déjà répondu à la même question ? (syndrome de Rantanplan ) OUI ! Je sais ! (c’est lucky luke !) réponse Que dit la politique de sécurité ? Si c’est autorisé, je traite. Sinon, je préviens que c’est pas autorisé.

32 32 “maison” ADM “maison” PEDAGOGIQUE Réseau académique Fournisseur d’accès Internet Fournisseur d’accès Internet 2 “La cour” “la rue” question N’aurais-je pas déjà répondu à la même question ? (syndrome de Rantanplan) NON ! Tant pis, je ferai mieux la prochaine fois

33 33 “maison” ADM “maison” PEDAGOGIQUE Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” question A qui vais-je poser la question ? Ça s’adresse à un autre établissement question

34 34 “maison” ADM “maison” PEDAGOGIQUE Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” question A qui vais-je poser la question ? Ça s’adresse à un serveur sur Internet question

35 35 “maison” ADM “maison” PEDAGOGIQUE Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” question A qui vais-je poser la question ? Ça mérite une certaine confidentialité (par exemple : mail) question

36 36 “maison” ADM “maison” PEDAGOGIQUE Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” question réponse OK, merci. Je le note. Comme ça, je saurai répondre si quelqu’un me pose à nouveau cette question. EOLE a une mémoire d’éléphant ! réponse Tiens ! Voilà ce que tu as demandé si 10 élèves demandent la même page, Eole n’ira la chercher qu’une seule fois.

37 37 EOLE: stratégie pour un réseau régional Exemple de situation actuelle : - 1 réseau type privatif - 1 réseau “provider” Exemple de situation cible: - 1 réseau régional

38 38 Exemple: - un mail entre le chef d’etablissement et le rectorat, citant un nom d’élève mineur. - Un fichier type GEP - acces à une ressource d’un autre EPLE “maison” ADM “maison” PEDAGOGIQUE Réseau académique Fournisseur d’accès Internet “la cour” “la rue” Exemple: - consultation web SNCF - acces forum public etc … Données “grand public”. Accès Internet. Données “sensibles” Accès Extranet EN

39 39 “maison” ADM “maison” PEDAGOGIQUE Réseau académique Fournisseur d’accès Internet Réseau régional “la cour” “la rue” Données “grand public”. Accès Internet. Données “sensibles” Accès Extranet EN “tuyau” chiffré entre les partenaires E.N.

40 40 “maison” ADM “maison” PEDAGOGIQUE Réseau régional “la cour” “la rue” Données “grand public”. Accès Internet. Données “sensibles” Accès Extranet EN “tuyau” chiffré entre les partenaires E.N.

41 41 EOLE (pare-feu AMON) Approche technique : les zones d’adresses - les translations d’adresses - l’adressage IP

42 42 Zone Extranet E.N. (adresses privées RFC 1918 nationales) Réseau académique Fournisseur d’accès Internet Réseau régional greta Zone pédagogique (adresses privées locales EPLE) Zone Internet Translation PAT Translation NAT ou PAT

43 43 Zone Extranet E.N. (adresses privées RFC 1918 nationales) Réseau académique Fournisseur d’accès Internet Réseau régional (MPLS / VPN) greta Zone pédagogique (adresses privées locales EPLE) Zone Internet Translation PAT Translation NAT ou PAT Autre alternative

44 44 Réseau académique Fournisseur d’accès Internet Réseau régional greta Zone Internet Translation PAT Translation NAT ou PAT Adresses IP publiques (uniques) Adresses IP visibles nationalement: 2 EPLE différents = 2 zones d’adresses différentes. Adresses IP locales: identiques dans tous les EPLE

45 45 EOLE (pare-feu AMON) Proposition d’adressage IP: chaque académie est propriétaire des adresses 10.N°dep.x N°dep.x.0 chaque académie peut découper cet espace au mieux de ses intérêts. Pour les plus grosses académies, si cet espace ne suffit vraiment pas, une “rallonge” peut etre accordée à est libre pour les établissements.

46 46 EOLE (pare-feu AMON) Chaque académie est libre du découpage optimal de ces adresses. Exemples d’affectation d’adresses : - pour des EPLE (politique “généreuse” / “économe”)

47 47 Réseau académique Fournisseur d’accès Internet Réseau régional greta Zone Internet Translation PAT Translation NAT ou PAT Adresses IP publiques (uniques) Adresses IP visibles nationalement: 2 EPLE différents = 2 zones d’adresses différentes. Adresses IP locales: identiques dans tous les EPLE

48 48 Réseau académique Fournisseur d’accès Internet Réseau régional Zone Internet Translation PAT Translation NAT ou PAT ADM 10.xx.yy.0 (25/7) 126 “la cour” 10.1xx.yy.0 (25/7) (251 …) “la rue” 10.1xx.yy.192 (26/6) (248,249) ( à ) à (21/11) Greta 10.xx.yy.128 (28/4) à Réserve: (non affectée) de 10.1xx.yy.128 à 191 : de 10.xx.yy.144 à 255 : Etablissement scolaire (politique généreuse)

49 49 Réserve: (non affectée) de 10.1xx.yy.128 à 191 : de 10.xx.yy.144 à 255 : “maison” ADM 10.xx.yy.0 (25/7) “maison” PEDAGOGIQUE à (21/11) Réseau académique Fournisseur d’accès Internet Réseau régional “la cour” 10.1xx.yy.0 (25/7) “la rue” 10.1xx.yy.192 (26/6) Autre “maison” à Greta 10.xx.yy.128 (28/4) Zone Internet Translation PAT Translation NAT ou PAT ( à Env Etablissement scolaire (politique généreuse

50 50 Réserve: (non affectée) de 10.xx.yy.160 à 255 : “maison” ADM 10.xx.yy.0 (26/6) “maison” PEDAGOGIQUE à (21/11) Réseau académique Fournisseur d’accès Internet Réseau régional “la cour” 10.xx.yy.64 (26/6) “la rue” 10.xx.yy.128 (28/4) Autre “maison” à Greta 10.xx.yy.144 (28/4) Zone Internet Translation PAT Translation NAT ou PAT ( à Env Etablissement scolaire (politique restrictive

51 51 EOLE : adresses de la “rue” 2 cas de figure : - l’académie possède des adresses publiques pour ses EPLE -> OK - l’académie n’utilise pas d’adresses publiques pour ses EPLE. -> 10.x.y.z

52 52 EOLE : l’insécurité dans la “rue” ;-) Attention : notre responsabilité peut être engagée dans la rue !!! => appliquer des règles strictes sur tous les équipements de la rue : - seul interlocuteur physique: les passerelles EOLE (AMON). - pas de rebond possible. - pas d’altération des tables de routage possible.

53 53 EOLE : l’insécurité dans la “rue” ;-) => nécessité d’écrire (nationalement?) les règles à respecter par tout équipement de FAI intégré à la “rue”. => nécessité d’imposer la “politique de sécurité E.N. de la rue” à tous les FAI d’un EPLE

54 54 EOLE (pare-feu AMON) Exemples d’affectation d’adresses : - pour des petits sites (IEN) en travail administratif uniquement.

55 55 EOLE (pare-feu AMON) prévoir 16 (ou 32 ?) adresses 10.x.y.z partagées en deux : la rue + maison administrative. EOLE obligatoire pour la confidentialité !!!

56 56 “maison” ADM 10.xx.yy.zz (29/3) Réseau académique Fournisseur d’accès Internet Réseau régional “la rue” 10.1xx.yy.zz (29/3) Zone Internet Translation NAT ou PAT IEN

57 57 EOLE (pare-feu AMON) Exemples d’affectation d’adresses : - pour des petits sites (CIO) en travail administratif + accueil de public.

58 58 “maison” ADM 10.xx.yy.zz (29/3) Réseau académique Fournisseur d’accès Internet Réseau régional “la rue” 10.1xx.yy.zz (29/3) Zone Internet Translation NAT ou PAT CIO public à (21/11) Translation PAT

59 59 EOLE (pare-feu AMON) Exemples d’affectation d’adresses : - un EPLE + un CDDP sur le même site géographique.

60 60 2 EOLEs (AMON) “La cour” “maison” ADM L’administration, l’intendance... “maison” PEDAGOGIQUE Les salles de classe “La rue” Réseau ADM Réseau(x) pédagogique(s) “maison” CDDP pedagogique “maison” CDDP admin. Visible par l’Education Nationale Visible uniquement dans l’établissement Visible du mode entier

61 61 2 EOLEs (AMON) 10.1xx.yy.0 (25/7) 10.xx.yy.0 (25/7) à xx.yy.192 (26/6) Réseau ADM Réseau(x) pédagogique(s) à xx.yy.128 (27/5) Visible par l’Education Nationale Visible uniquement dans l’établissement Visible du mode entier CDDP

62 62 EOLE : souplesse de l’adressage S’adapte aux particularités du site: - contraintes géographiques. - cohabitation EPLE / IEN /CIO /CDDP... - habitudes de travail de l’EPLE. (voir exemples d’organisations des zones pédagogiques)

63 63 EOLE : souplesse de l’adressage En résumé: - les pages precedentes donnent un exemple d’organisation par zone. - d’autres découpages pourraient être viables (exemple : “apprenants”, “enseignants”, “encadrement” “partenaires”). -mais tous doivent s’accorder sur un point: 10.x.y.0 et x.y.0 sont propres à un site à sont libres pour l’etablissement.

64 64 Organisation de zones pédagogiques l’architecture type. une variante plus élaborée. Une organisation calquant l’existant. le cas particulier de SLIS

65 65 “maison” ADM “maison” PEDAGOGIQUE “la cour” “la rue” Le réseau pédagogique forme un ensemble : : enseignement tertiaire : enseignement général : enseignement technique Serveurs (authentification, logiciels et espaces de travail) IACA, etc... Stations de travail enseignants, elèves l’architecture type.

66 66 “maison” ADM “maison” PEDAGOGIQUE “la cour publique” “la rue” Serveurs (authentification, logiciels et espaces de travail) IACA, etc... Stations de travail enseignants, elèves Une variante plus élaborée. “la cour privée” Visible de la rue Exemple: serveur de saisie des notes, absences, Visible par l’administration et la pédagogie. Ex: serveur de consultation de notes, absences

67 67 tertiaire Une architecture calquant l’existant général... “réseau partagée acces à Internet” INTERNET “maison” ADM

68 68 “maison” ADM tertiaire cour publique “la rue” Une architecture calquant l’existant général... “réseau partagée acces à Internet” Devient une “cour privée”

69 69 Le cas particulier de SLIS / SLAES... Certaines fonctions de SLIS font double emploi avec celles d’EOLE. -> éviter de faire 2 fois la même chose par le même type de moyen. Par nature, SLIS gère un plan d’adresses qui lui est propre. -> SLIS et EOLE vont “co-exister” plutot que “cohabiter”

70 70 “maison” ADM “maison” PEDAGOGIQUE eventuelle Réseau académique Fournisseur d’accès Internet Réseau régional “la cour” “la rue” Acces Internet Le monde PEDAGOGIQUE selon SLIS SLIS Responsabilité académique (politique nationale / académique / locale de sécurité ) Responsabilité établissement

71 71 Le cas particulier de SLIS / SLAES... Le transparent précédent présente une architecture cible vers laquelle il faut tendre si l’objectif est d’obtenir un extranet établissement. Pour les académies largement utilisatrices de SLIS, rien ne presse réellement.

72 72 EOLE (pare-feu AMON) Approche technique : - EOLE et la QoS IP

73 73 “maison” ADM “maison” PEDAGOGIQUE Réseau régional “la cour” “la rue” Données “grand public”. Accès Internet. Données “sensibles” Accès Extranet EN “tuyau” chiffré entre les partenaires E.N.

74 74 Internet Réseau régional “la rue” Données “grand public”. Accès Internet. Données “sensibles” Accès Extranet EN Applications de gestion EN Voix / vidéo Télé-assistance Conditions de trafic Qualité de Services

75 75 EOLE et la QoS. 4 approches classiques possibles : 1° Policy Based Routing 2° “IntServ” 3° “Diffserv” 4°Approche hybride

76 76 EOLE: QoS PBR. on définie une architecture de réseau telle qu’il soit possible d’agir sur les conditions de traffic par altération des décisions de routage: analyse basée D, n° ports. “ip policy” en terminologie CISCO

77 77 EOLE: QoS PBR. Pour aller vers un destinataire, il existe plusieurs routes disponible. Chaque route offre une qualité de service différente.

78 78 Réseau régional avec QoS Translation PAT ADM 10.xx.yy.0 (25/7) “la cour” 10.1xx.yy.0 (25/7) “la rue” 10.1xx.yy.192 (26/6) ( à ) à (21/11) Greta 10.1xx.yy.128 (28/4) à Exemple d’une politique PBR Si source = administratif alors suivre chemin x Si source = pédagogie alors suivre chemin y Si type trafic = web alors suivre chemin z Si type trafic = téléphonie alors suivre chemin w Si type trafic = télé-mnt alors suivre chemin t

79 79 Réseau régional avec QoS Translation PAT ADM 10.xx.yy.0 (25/7) “la cour” 10.1xx.yy.0 (25/7) “la rue” 10.1xx.yy.192 (26/6) ( à ) à (21/11) Greta 10.1xx.yy.128 (28/4) à Autre approche PBR Si type trafic = crypté alors suivre chemin x Si type trafic = non crypté alors suivre chemin y

80 80 EOLE: QoS PBR: les avantages - “relativement” simple. - utilisable en général même sur des équipements d’entrée de gamme. - a le mérite d’exister ! Seule solution sur un réseau n‘offrant pas de QoS native. - rien à prévoir dans EOLE, sauf le routage !!!

81 81 EOLE: QoS PBR: les limites - programmation réalisée par l’équipement d’accès au réseau. - pas de souplesse. - peu évolutif. - possibilités limitées. - résultats “approximatifs”.

82 82 EOLE: QoS “intserv” approche flux par flux (RSVP) par reservation de ressources. c’est à dire que l’utilisateur voit le réseau comme un fournisseur de ressources, et que la charge de la réservation lui revient. Possibililité de signalisation.

83 83 EOLE: QoS “intserv” avis personnel : -> assez mal adapté à EOLE.

84 84 EOLE: QoS “diffserv”(rfc2475) Approche par le réseau : On classifie les flux, le réseau reconnaît chaque flux comme appartenant à une classe et il provisionne en conséquence. La gestion est locale, nœud par nœud. -> visions propriétaires, + difficultés pour l’exhaustivité.

85 85 Réseau régional avec QoS Translation PAT ADM 10.xx.yy.0 (25/7) “la cour” 10.1xx.yy.0 (25/7) “la rue” 10.1xx.yy.192 (26/6) ( à ) à (21/11) Greta 10.1xx.yy.128 (28/4) à Approche “diffserv” Entente préalable avec le fournisseur du RR pour la définition de classes de service Classes traditionnelles: “premium” “Gold” “Silver” “Bronze” EOLE analyse le trafic et le place dans la bonne classe.

86 86 Diffserv : classes Agit selon le Marquage du champ DSCP (ex TOS IPV4)

87 87 Diffserv : notions de SLA/TCA ClientRéseau Diffserv Négociation et agrément d’un SLA / TCA TCA : Traffic Conditioning Agreement : définit comment le trafic du client sera traité par Diffserv. (marquage, “shaping”, …) SLA : Service Level Agrement : contrat entre client et fournisseur qui spécifie le type de service que l’utilisateur DEVRAIT se voir offrir. Un SLA peut contenir des règles définies dans un TCA.

88 88 DiffServ : architecture client provider EOLE Equipement du fournisseur Service Level Agrement 1) identifier et marquer les flux 2) adapter le trafic au contrat 3) vérifier le trafic + provisionner + agréger les trafics 4) “Per Hop Behavior” 5) reformater le flux selon le contrat

89 89 DiffServ : les classes EF PHB (Expedit Forwarding - Per Hop Behavior) RFC prévu pour le trafic “temps réel” - DSCP : définie une bande passante maximum limitée, en controlant la latence, la gigue et les pertes, tout en évitant d’affamer les autres classes.

90 90 DiffServ : les classes AF PHB (Assured Forwarding - Per Hop Behavior) RFC classes de services (AF1,AF2,AF3,AF4) - DSCP : AF1 : 001dd0 AF2 : 010dd0 AF3 : 011dd0 AF4 : 100dd0 dd : 01 taux de perte accepté faible dd : 10 taux de perte accepté moyen dd : 11 fort taux de perte accepté

91 91 EOLE: “Diffserv”: les avantages - Très souple. - très évolutif. - Eole participe activement à la QoS. - semble être l’approche d’avenir.

92 92 EOLE: “Diffserv”: inconvénients - négociation complexe avec le fournisseur (SLA - TCA) - gestion du champ DSCP à prévoir dans EOLE.

93 93 EOLE: approche hybride de la QoS - consiste à mélanger les 3 autres approches. -> avis personnel : assez mal adapté à EOLE.

94 94 EOLE (pare-feu AMON) Approche technique : - EOLE et VPN

95 95 EOLE et VPN 2 objectifs majeurs: - - offrir une continuité d’adressage à l’EN par application du RFC garantir la confidentialité des échanges

96 96 Qu’apporte le VPN à EOLE ? Permet des connexions point à point entre 2 EPLE de France (“extranet EN” permettant à un EPLE de consulter en toute sécurité des données situées dans un autre EPLE) permet d’assurer la confidentialité des échanges (et l’authentification) Transport d’un plan d’adresses client “au dessus d”un réseau public où d’un réseau construit sur un autre plan d’adresses. Par chiffrement des informations transmises.

97 97 “maison” ADM “maison” PEDAGOGIQUE Réseau régional “la cour” “la rue” Données “grand public”. Accès Internet. Données “sensibles” Accès Extranet EN “tuyau” chiffré entre les partenaires E.N.

98 98 Pré-requis pour construire un réseau VPN : 1 Un plan d’adresses unique et cohérent !!! Il a été élaboré des 1997, et doit être accepté partout avant de pouvoir créer un réseau VPN entre EPLE (projet AGRIATES)

99 99 Pré-requis pour construire un réseau VPN : 2 Le respect de la législation française et communautaire: c’est le cas pour RACINE. C’est à faire pour AGRIATES.

100 100 Les réseaux VPN de l’education nationale RACINE : relie depuis Mars 2001 les académies et sites centraux. AGRIATES : basé sur EOLE, reliera les EPLE et l’académie. AGRIATES + RACINE = réponse globale de l’Education Nationale

101 101 Réseau d’ Accès et de Consolidatio n des INtranets de l’ Education AGRIATES Inter-operabilité confidentialité Sécurité PKI RACINE + PKI AGRIATES

102 102 EOLE : résumé Le modèle théorique proposé : - nous garantit l’indépendance vis à vis des FAI (RENATER y compris) - nous garantit l’inter-opérabilité. (RACINE - AGRIATES) - nous garantit l’évolutivité.

103 103 EOLE : résumé des résumés ! Sans un plan d’adresse unique et cohérent sur l’ensemble de l’E.N., tout ceci devient caduc. Ce plan était déjà officieusement employé par certaines académies. => nous devons donc l’enteriner pour continuer.

104 104 “Donnez-moi un bon plan d’adresses, et j’interconnecterai le monde …” EOLE : résumé des résumés !

105 105 EOLE : et les écoles ? Le RFC 1918 ne permet pas de traiter les écoles comme les EPLE. - l’architecture décrite pour les EPLE reste pertinente (rue,cour, maisons) - mais il ne sera pas possible de créer un “extranet” des écoles via VPN

106 106 EOLE : et les écoles ? RACINE : un VPN pour tous les rectorats : COURAGEUX !!! AGRIATES: un VPN pour tous les EPLE : TEMERAIRE !!! XXXXX: un VPN pour toutes les écoles : SUICIDAIRE !!!

107 107 EOLE : et les écoles ? Seul un VPN réduit à quelques écoles (une circonscription) pourrait être techniquement envisageable. Avec beaucoup de moyens !!!

108 108 EOLE : et si ça “coince” ? Le plan d’adresses IP V4 (32 bits) n’est certes pas inépuisable. Mais seule la téléphonie IP pourra vraisemblablement l’épuiser. … et certainement nous contraindre à passer à IP V6 (128 bits). … un jour...

109 109 exemples de migration vers EOLE EPLE connecté à l’intranet académique EPLE connecté à l’intranet académique + un fournisseur d’acces privé. EPLE “hétérogène” : plusieurs connexions vers des fournisseurs privés.

110 xx.yy.0 (24/8) 10.1xx.yy.0 (24/8) Réseaux pédagogiques Réseau administratif Avant EOLE Réseau académique Numeris 1Numeris 2 Hypothèse 1: Connexion adm via réseau académique Connexion ped via réseau académique Fournisseur d’accès Internet + eventuellement connexion via un provider

111 xx.yy.0 (24/8) Réseaux pédagogiques Réseau administratif Réseau académique Numeris 1Numeris 2 Avec EOLE “la rue” 10.1xx.yy.192 (26/6) “maison” PEDAGOGIQUE à (21/11) Fournisseur d’accès Internet 1) création de l’espace d’accueil 2) mise en place d’EOLE 3) paramétrage du (des) réseau(x) pédagogie

112 xx.yy.0 (25/7) Réseaux pédagogiques Réseau administratif Réseau académique Numeris 2 Avec EOLE “la rue” 10.1xx.yy.192 (26/6) “maison” PEDAGOGIQUE à (21/11) Fournisseur d’accès Internet 4) on supprime un routeur et sa liaison (peu importe lequel …) et on re-paramètre le réseau administratif. 5) connexion du réseau administratif sur EOLE

113 xx.yy.0 (24/8) 10.1xx.yy.0 (24/8) ou adressage non conforme Réseaux pédagogiques Réseau administratif Avant EOLE Réseau académique Numeris 1 Numeris ou ADSL Hypothèse 2: Connexion adm via réseau académique Connexion pedago via provider seul Fournisseur d’accès Internet

114 xx.yy.0 (24/8) 10.1xx.yy.0 (24/8) ou adressage non conforme Réseaux pédagogiques Réseau administratif Avant EOLE Réseau académique Numeris 1 Numeris ou ADSL Hypothèse 2: Connexion adm via réseau académique Connexion pedago via provider seul Fournisseur d’accès Internet “la rue” 10.1xx.yy.192 (26/6) 1) création de l’espace d’accueil 2) mise en place d’EOLE 3) paramétrage du réseau administratif

115 xx.yy.0 (24/8) “maison” PEDAGOGIQUE à (21/11) Réseaux pédagogiques Réseau administratif Avant EOLE Réseau académique Numeris 1 Numeris ou ADSL Hypothèse 2: Connexion adm via réseau académique Connexion pedago via provider seul Fournisseur d’accès Internet “la rue” 10.1xx.yy.192 (26/6) 4) raccorder le (s) provider (s) 5) re-paramétrage le(s) reseau(x) pédagogique(s)

116 xx.yy.0 (24/8) 10.1xx.yy.0 (24/8) ou adressage non conforme Réseaux pédagogiques Réseau administratif Avant EOLE Réseau académique Numeris 1 Numeris ou ADSL Hypothèse 3: situation “hétérogène” Fournisseur d’accès Internet 10.1xx.yy.0 (24/8) ou adressage non conforme 10.1xx.yy.0 (24/8) ou adressage non conforme 1) Fédérer les arrivées reseau en un point 2) Fédérer les réseaux internes en un point Ramener la situation à l’hypothèse 2.

117 117 EOLE: bilan provisoire Un enjeu majeur (une OBLIGATION) pour l’avenir. - à cause de l’évolution technologique des réseaux de communication. - à cause de l’implication des collectivités locales dans le choix des solutions. - pour éviter les solutions anarchiques et les gaspillages dans l’EPLE.

118 118 EOLE : état des déploiements L’ EOLE de référence en Auvergne: le CRDP d’auvergne (adm, ped + cour) > 200 stations, accès clients /serveurs avec la cour, Bases de données ORACLE, TSE, serveurs web visibles d’internet, photothèque, liaison extranet avec les CDDP... => qualification du modèle en forte charge.

119 119 EOLE : état des déploiements 4 EOLE adm, ped + cour en EPLE => ont servi à la validation de la méthode d’audit préalable à l’installation.

120 120 EOLE : état des déploiements 1 réalisation intégrant un greta éclaté sur 3 sites en cours de finalisation. => sert à valider la pertinence générale du modèle d’interconnexion, au delà du clivage “administratif/pédagogie” traditionnel.

121 121 EOLE : état des déploiements 30 EOLEs prévus à court terme. => la robustesse du modèle est maintenant éprouvée.

122 122 EOLE : la suite ? pb : comment passer de la phase expérimentale à une généralisation: Quels objectifs ? -> Quel périmètre ? Quels moyens ?

123 123 ANNEXES

124 124 EOLE : Les pré-requis (d’ordre général) La sensibilisation de l’établissement. Une situation “saine” : administration clairement séparée de la pédagogie. Au besoin, accord avec d’autres partenaires pour assainer l’existant : Greta,... Une étude “sur mesure” pour définir la méthode à employer pour la mise en oeuvre.

125 125 EOLE : Les pré-requis (d’ordre technique) Un cablage permettant de fédérer en un local commun sécurisé: - les arrivées de reseaux publics de l’etablissement. (NUMERIS, ADSL, etc… - le reseau administratif - le(s) réseau(x) pédagogique(s) armoire de brassage équipée:electricité, etc

126 126 EOLE : un exemple de chantier complexe. Impliquant 3 gros établissements : - Lycée Ambroise Brugiere - Clermont-Fd - Lycée Chamalières - Lycée La Fayette - Clermont-Fd traitant la problématique des GRETAs

127 127 EOLE : un exemple de chantier complexe. Incluant : un réseau extranet existant E.N. des accès providers internet commerciaux des solutions locales existantes d’échange entre partenaires (GRETA) ménageant la mise à disposition d’un réseau régional.

128 128 Ped Adm Ped Greta RNIS ADSL RNIS Chamalières Ped Adm Ped RNIS ADSL Ambroise Brugière RNIS Greta Ped Adm Ped RNIS ADSL RNIS Greta La fayette RTC + RNIS + ? + tout ce que l’on ignore !!!

129 129 RNIS ADSL RNIS ADSL RNIS ADSL RNIS RTC + RNIS + ? Coût ? Sécurité ? Supervision ? Assistance ?

130 130 Ped Adm Ped Greta RNIS ADSL RNIS Chamalières Ped Adm Ped RNIS ADSL Ambroise Brugière RNIS Greta Ped Adm Ped RNIS ADSL RNIS Greta La fayette RTC + RNIS + ? L’existant

131 131 Ped Adm Ped Greta RNISADSL Chamalières Ped Adm Ped RNIS ADSL Ambroise Brugière RNIS Greta Ped Adm Ped RNIS ADSL RNIS Greta La fayette RTC + RNIS + ? Phase 1: “la rue” “la rue” ADSL

132 132 Ped Adm Ped Greta RNISADSL Chamalières Ped Adm Ped RNIS ADSL Ambroise Brugière RNIS Greta Ped Adm Ped RNIS ADSL RNIS Greta La fayette RTC + RNIS + ? Phase 2 : “assainissement” “la rue” ADSL

133 133 Ped Adm Ped Greta RNISADSL Chamalières Ped Adm Ped RNIS ADSL Ambroise Brugière RNIS Ped Adm Ped RNIS ADSL RNIS La fayette Phase 2: “simplification” “la rue” ADSL

134 134 Ped Adm Ped Greta RNISADSL Chamalières Ped Adm Ped RNIS ADSL Ambroise Brugière Ped Adm Ped RNIS ADSL La fayette Phase 3: “toutes les rues” “la rue” ADSL “la rue”

135 135 Ped Adm Greta Ped Greta adm RNISADSL Chamalières Ped Adm Greta Ped Greta adm RNIS ADSL Ambroise Brugière Ped Adm Greta Ped Greta adm RNIS ADSL La fayette Phase 4 : “les Gretas” “la rue”

136 136 Chamalières Ped Adm Greta Ped Greta adm Ambroise Brugière Ped Adm Greta Ped Greta adm La fayette Phase 5: “champagne !!!” “la rue” Ped Adm Greta Ped Greta adm “la rue” Réseau régional

137 137 Ped Adm Ped Greta RNIS ADSL RNIS Chamalières Ped Adm Ped RNIS ADSL Ambroise Brugière RNIS Greta Ped Adm Ped RNIS ADSL RNIS Greta La fayette RTC + RNIS + ? Résumé : comment passer du...

138 138 RNIS ADSL RNIS ADSL RNIS ADSL RNIS RTC + RNIS + ? Résumé : système D...

139 139 “la rue” Réseau régional Résumé : à une architecture mature …

140 140 EOLE : de l’utilité de la cour. Exemple : le CRDP d’auvergne. Incluant : un réseau extranet existant E.N. 5 sites : CRDP + 4 CDDP ménageant la mise à disposition d’un réseau régional.

141 141 EOLE AU CRDP D ’AUVERGNE LES RESEAUX / le découpage en zones. LES SERVEURS et leur localisation. LES FLUX sécurisés par EOLE.

142 142 “maison” ADMINISTRATIVE “maison” PEDAGOGIQUE “La cour” “la rue” “maison” PEDAGOGIQUE “maison” ADMINISTRATIVE “La cour” “la rue” “maison” PEDAGOGIQUE “maison” ADMINISTRATIVE “La cour” “la rue” CDDP CRDP Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 Réseau Académique

143 143 telnet ftp “maison” PEDAGOGIQUE “maison” ADMINISTRATIVE Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” HTTP Clients TSE HTTP Messagerie CDDP Agent antivirus ftp telnet

144 144 “maison” PEDAGO “maison” ADMINISTRATIF Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” INTERNET gestion Messagerie HTTP authentification Client serveur HTTP ftp telnet ftp Clients TSE ftp Agent antivirus CRDP ftp

145 145 “maison” PEDAGO “maison” ADMINISTRATIF Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” authentification Client serveur CRDP Serveur anti-virus (FSECURE) HTTP Recup régulière des signatures virales HTTP Scrutation à l’initialisation puis toute les heures

146 146 “maison” PEDAGO “maison” ADMINISTRATIF Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” authentification Client serveur CRDP Serveur mail Netscape POP3/IMAP4/SMTP SMTP

147 147 “maison” PEDAGO “maison” ADMINISTRATIF Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” authentification Client serveur CRDP BD compta Oracle + serveur TSE Clients TSE Clients TSE des CDDP

148 148 “maison” PEDAGOGIQUE “maison” ADMINISTRATIVE Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” Serveur de gestion Oracle serveur TSE serveur web photothèque nationale serveur documentaire serveur web crdp serveur messagerie serveur de màj Antivirus Serveur d ’authentification serveur démonstration IACA Serveur d ’authentification serveur photothèque serveur commercialisation CRDP

149 149 “maison” PEDAGOGIQUE “maison” ADMINISTRATIVE Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” Serveur d ’authentification serveur démonstration IACA Serveur d ’authentification clients TSE vers BD Oracle CDDP serveur de màj Antivirus serveur ftp serveur web

150 150 LA BOITE à OUTILS … on ne peut pas ergoter et polémiquer quand on regarde une réalité technique et pratique. Ce qui n’est pas le cas lorsque l’on reste au niveau des idées: on se bouffe le nez. Par contre, Quand vous allez sur le terrain, vous voyez la machine, vous rencontrez un “oeuvier”qui vous dit “c’est comme cela qu’il faut faire…” Les faits et la vérité sont plus grands que nous. … départ de François Michelin - 16 Mai interview la Montagne

151 Type de service Longueur totale IdentificationOffset fragment Adresse IP Source Adresse IP Destination Options IP (eventuellement) 4 VERS HLEN 19 Flags Durée de vie Protocole Somme de contrôle Header Padding Données... Format d’un datagramme IP

152 152 Marquage des datagrammes TOSDATA

153 153 Diff Serv Code Point (DSCP) DSCP CU TOS Precedence Réservé. (prévu pour la notification de congestion


Télécharger ppt "1 SIIEE :Architectures, réseaux et sécurité dans l’EPLE EOLE (Ensemble Ouvert Libre Evolutif)"

Présentations similaires


Annonces Google