CONCEPTION D’UNE INFRASTRUCTURE DE SERVICE RESEAU WINDOWS 2003

OBJECTIFS Les objectifs de la conception d’une Infrastructure réseau : Disponibilité permet de s’assurer qu’un service réseau est présent et fonctionnel la plupart du temps. Certains services doivent avoir une disponibilité de 100%. La plupart des services que l’on va rencontrer sont moins exigeant cependant. Performance permet d’assurer une réponse rapide aux demandes utilisateurs, que ce soit en période d’utilisation Normal ou extrême. Sécurisation Permet la gestion de la sécurité du service

OBJECTIFS Les solutions à apporter pour répondre à un objectif permettent également de répondre au second objectif. Outre l’amélioration des capacités physiques des serveurs sur lesquels tournent les services (principalement par l’ajout de mémoires physiques, espaces disques, processeurs), la première action à prendre est le doublement du serveur, soit par l’ajout d’un second serveur, soit par la mise en place d’un cluster.

DHCP Voici quelques fonctionnalités du service DHCP sous Windows 2000/2003/2003 : Conforme au RFC 951, 2131, 2132 Intégration à AD Option Microsoft spécifique (désactivation Netbios, libération du bail DHCP à l’arrêt de l’ordinateur) Support MADCAP (Multicast Address Dynamic Client Allocation Protocol) Intégration aux services RRAS, DNS et AD 10 000 clients max.

DHCP Les solutions à envisager pour la disponibilité sont : Agent relais sur les réseaux ne disposant pas de routeurs compatible avec la RFC 1542 L’emplacement des serveurs Règle des 80/20 Doublement des serveurs, soit par l’ajout de serveurs, soit par cluster

DHCP Sécurisation : Autorisation AD Existence de groupes dans AD (administrateur DHCP et utilisateur DHCP)

DHCP Les solutions à envisager pour la performance sont : Serveur multirésident Processeurs Mémoire vive Disques rapides Cartes réseaux rapides Durée du bail DHCP Distribué, Centralisé, Combiné

DNS Voici quelques fonctionnalités du service DNS sous Windows 2000/2003 : Résolution FQDN Résolution de Nom Netbios par WINS (créer une zone DNS spécifique, puis configurer les options WINS) Intégration AD Interopérabilité avec des systèmes DNS existant (BIND et NT4) Intégration aux services WINS, DHCP et AD

DNS Les solutions à envisager pour la disponibilité sont : L’emplacement des serveurs Doublement des serveurs, soit par l’ajout de serveurs, soit par cluster Zones déléguées

DNS Sécurisation : Mise à jour sécurisé DDNS (nécessite des zones intégrées AD) Modification des droits dans AD (conteneur de zone) MAJ à partir du protocole DHCP MAJ à partir des clients DHCP La sécurisation sous entend également l’automatisation de la création des enregistrements, ce qui évite toutes erreurs humaines

DNS Les solutions à envisager pour la performance sont : Serveur cache Processeurs Mémoire vive Disques rapides Cartes réseaux rapides Zones déléguées Répartition d’une zone sur plusieurs serveurs

DNS BIND 4.9.6 BIND 8.1.2 BIND 8.2.1 NT4 W2K W2K3 DDNS Non Supporté IXFR Enregistrement SRV Unicode

WINS Voici quelques fonctionnalités du service WINS sous Windows 2000/2003 : Conforme au RFC 1001, 1002 Enregistrement en mode rafale Administration sécurisé et centralisé Prise en charge multi serveurs Intégration aux services RRAS et DNS

WINS Les solutions à envisager pour la disponibilité sont : Proxy WINS pour les clients Non Microsoft (clé dans le registre) L’emplacement des serveurs Doublement des serveurs, soit par l’ajout de serveurs, soit par cluster

WINS Les solutions à envisager pour la performance sont : Processeurs Mémoire vive Disques rapides Cartes réseaux rapides Duplication WINS (HUB and SPOKE) Mode Rafale 10 000 clients/serveur

NAT Voici quelques fonctionnalités du service NAT sous Windows 2000/2003 : Transposition d’adresses publiques et privées Fourniture de configuration IP aux clients Résolution DNS Protection des ressources internes Intégration au service DHCP Ne gère pas : SNMP, LDAP, COM, DCOM, Kerberos V5, RPC, IPSec

NAT Les solutions à envisager pour la disponibilité sont : L’emplacement des serveurs Doublement des serveurs, soit par l’ajout de serveurs, soit par cluster

NAT Sécurisation : Filtrage IP Redirection de port Sécurité accrue à l’aide de VPN

NAT Les solutions à envisager pour la performance sont : Serveur cache Processeurs Mémoire vive Disques rapides Cartes réseaux rapides Lignes WAN permanentes et multiples

PROXY SERVER 2.0 ISA SERVER Voici quelques fonctionnalités du service Proxy Server 2.0 sous Windows 2000/2003 : Protection du réseau privé Limitation du trafic Internet Mise en cache du trafic FTP et http Prise en charge Winsock, AD, IP et IPX/SPX Intégration IPSec, RRAS et AD

PROXY SERVER 2.0 ISA SERVER Les solutions à envisager pour la disponibilité sont : L’emplacement des serveurs Doublement des serveurs, soit par l’ajout de serveurs, soit par cluster. Dans le cas de Proxy Server, on parle de groupe de serveur, ou de grappe

PROXY SERVER 2.0 ISA SERVER Sécurisation : Limitation de l’accès à Internet Identification des sous-réseaux filtrés Filtrage de paquets Filtrage de domaines (trafic sortant) Publication de sites Web (limitation du trafic entrant)

PROXY SERVER 2.0 ISA SERVER Les solutions à envisager pour la performance sont : Processeurs Mémoire vive Disques rapides Cartes réseaux rapides Hiérarchisation des grappes ou des serveurs Cache Passif ou Actif Configurer le round robin sur le serveur DNS

RRAS Voici quelques fonctionnalités du service RRAS sous Windows 2000/2003 : Sécurisation du réseau privé Intégration aux infrastructures réseaux existantes Restriction du trafic entre Internet et un réseau privé Support de plusieurs protocoles Support RIP, OSPF et IGMP (routage Multicast) Support de technologie WAN (modem, RNIS, X.25) Support de protocoles de sécurité standard (PAP, SPAP, CHAP, MS-CHAP, MS-CHAP v2, EAP-TLS) Interopérabilité Agent Relais DHCP Intégration DHCP, DNS, WINS, RADIUS, IPSec et AD

RRAS Les solutions à envisager pour la disponibilité sont : L’emplacement des serveurs Doublement des serveurs, soit par l’ajout de serveurs, soit par cluster. Dédier les serveurs Assurer une redondance des chemins réseaux

RRAS Sécurisation : Filtrage de paquets Mise en place de tunnel supportant IPSec (L2TP) Mise en place de tunnel VPN (PPTP et L2TP) Authentification prise en compte dans les protocoles de routages Choix des protocoles d’authentification Méthode de cryptage (MPPE ou IPSec) Stratégie d’accès distant Authentification centralisée à l’aide de RADIUS

RRAS Les solutions à envisager pour la performance sont : Processeurs Mémoire vive Disques rapides Cartes réseaux rapides Multiple accès réseaux

RADIUS Voici quelques fonctionnalités du service RADIUS sous Windows 2000/2003 : Séparation du service d’authentification et d’accès distant Gère la connectivité des clients d’accès distant Intégration à AD ou à un domaine NT4 Interopérabilité Intégration RRAS, IPSec, AD et domaine NT4

RADIUS Les solutions à envisager pour la disponibilité sont : L’emplacement des serveurs Doublement des serveurs, soit par l’ajout de serveurs, soit par cluster.

RADIUS Sécurisation : Restriction des accès distants au réseau privé Authentification des clients RAS Cryptage du trafic des clients RAS

RADIUS Les solutions à envisager pour la performance sont : Processeurs Mémoire vive Disques rapides Cartes réseaux rapides

NOTES IPSec est un protocole, pas un service. Il est décomposé en 2 protocoles : Authentication Headers (AH) ett Encapsulated Security Payload (ESP). AH fournit l’authentification et l’intégrité des données. ESP assure le chiffrement des données. Il consomme beaucoup de ressources en calcul.

NOTES IPSec peut être mis en place dans un domaine Windows 2000/2003 ou sur une machine Windows 2000/2003 en utilisant les paramètres de sécurité local. Attention, on ne peut pas utiliser IPSec avec des OS antérieurs à Windows 2000/2003.

NOTES Les méthodes d’authenfication IPSec sont basé sur Kerberos v5, l’infrastructure à clé publique, et les clés pré-partagées. L’agent qui gère IPSec se nomme LSASS.EXE. Avant toutes transmissions de données, IPSec doit mettre en place un Association de sécurité (Security Association - SA). La SA va définir les paramètres de la communication.

NOTES Algorithme de chiffrement : 3DES, 128-bit – Fournit la plus grande sécurité au détriment de la rapidité. DES, 56-bit – Fournit de bonnes performances. DES, 40-bit – Fournit de bonnes performances avec calcul rapide.

NOTES Protocoles d’authentification: MD5, 128 bits – (message digest 5). Moins sur que SHA, mais plus rapide SHA, 160 bits – (secure hash algorithm). Fournit un mécanisme plus sûr que MD5 mais aussi plus lourd à calculer

NOTES Groupes Diffie-Hellman: Groupe 1 – Bas, 768 bits. Groupe 2 – Moyen, 1024 bits.

NOTES Protection Authentification Chiffrement Groupe Diffie-Hellman 4 (la plus haute) SHA-1 (160 bits) 3DES 1024 bits 3 MD5 (128 bits) 2 DES 768 bits 1 (la plus basse)

NOTES PPP supporte les protocoles de sécurité suivant : EAP (Extensible Authentication Protocol) – Permet aux clients et aux serveurs de négocier le protocole à utiliser (dont certificat, cartes à puce,…). MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) nécessite un client Windows 2000/2003 (version 2), ou des clients 9X/NT4 (version 1). CHAP (Challenge Handshake Authentication Protocol) – plus performant que PAP et SPAP, ne transmet pas le mot de passe en clair. Convient aux clients MAC et UNIX SPAP (Shiva Password Authentication Protocol) – Plus performant que PAP, il est supporté uniquement dans le but de garder une compatibilité avec les anciens systèmes client SHIVA . PAP (Password Authentication Protocol) – Utilise une authentification à l’aide d’un mot de passe non crypté. A utiliser si les clients ne supporte pas de meilleur protocole

NOTES TCO (Total Cost of Ownership)