SIIEE :Architectures, réseaux et sécurité dans l’EPLE EOLE (Ensemble Ouvert Libre Evolutif)

Remerciements à P. Danel - directeur du CRDP d’auvergne - CTICE de l’académie de clermont-Fd. D. Busson - directeur du Centre Informatique Académique de Clermont-Fd. L. Bourdot - Chef de projet EOLE - CTIAD de Dijon. M.Affre - Chef du bureau DA A3. Ministère de l’Education Nationale. Pour leur soutien et leur confiance. F. Alcaraz - Conseil Régional d’Auvergne et le groupe technique “resauv” chargé de la mise en place du réseau régional d’Auvergne (coopération enseignement supérieur , santé, recherche, enseignement secondaire …) Pour le partenariat qu’ils ont contribué à instaurer. Les auteurs : AM Bondi- responsable informatique CRDP d’auvergne - DATICE G Chaideyrou - responsable équipe réseaux - CIA Clermont-Fd

SIIEE :Architectures, réseaux et sécurité dans l’EPLE Textes de références : - lettre conjointe DA / DT adressée aux recteurs le 5 Avril 2002 : “SIIEE” - comprenant une annexe “recommendations en terme de sécurité - SIIEE” - comprenant une note de cadrage “SIIEE”. la présentation suivante s’appuie sur ces textes, et utilise EOLE (AMON) à titre d’exemple. EOLE (Ensemble Ouvert Libre Evolutif)

préambule Le contexte en EPLE: critères “ethniques” : diverses communautés. Critères “topologiques” : contraintes géographiques. Les “réticences”: sécuriser = “empécher de travailler ?” = “espionner ?” = “niveller ?” attitudes “nombrilistes” , syndrome de la “bonbonnière” , syndrome du “mécanicien” … Le résultat attendu: un extranet EPLE qui : réponde à tous les besoins … et prévoit l’imprévisible !!!

EOLE : préambule EOLE est un concept organisé autour de “modules”: Module AMON : pare-feu. * Module VPN (chiffrement) * Module messagerie * ... Cette présentation concerne principalement le module AMON (… et VPN…)

Plan de la présentation EPLE: l’existant. Politique de sécurité / zones de confiance. Architecture EOLE (AMON). principes de migration. Les règles de communication inter-zones. EOLE : l’approche technique - adresses. Bilan provisoire / discussion

EPLE : l’existant.

Numeris 1 Numeris 2 Problèmatique : Mais devant: Réseau académique Fournisseur d’accès Internet Réseau régional ? Problèmatique : ¤ Migration vers des nouvelles technologies (BLR, ADSL, RR ...). Evolutions en respectant l’existant Réseau administratif 10.xx.yy.0 (24/8) Mais devant: ¤ garantir la sécurité de l’EPLE ¤ aider au respect de la loi pour la protection des mineurs 10.xx.1yy.0 (24/8) Réseaux pédagogiques ¤ rendre un meilleur service (optimisation BP, mutualisation …)

Qu’apporte EOLE (AMON) ? Intégrer de nouvelles solutions (BLR, ADSL, RR ...) garantir la sécurité de l’EPLE - responsabilités juridiques ? rendre un meilleur service (optimisation BP, mutualisation …) respect de l’existant Banaliser la méthode de raccordement de l’EPLE vers l’exterieur. Pare-feu , logiciels de protection des mineurs … services réseaux cache (DNS, proxy FTP, HTTP …) intégration sur mesure

EOLE (pare-feu AMON) Une approche de la sécurité de l’EPLE par définition de zones de confiance

EOLE : zones et niveaux de sécurité “la rue” : lieu ouvert , accessible depuis le monde entier, la rue offre un niveau de sécurité très faible. On peut y faire les meilleures comme les pires rencontres. “la cour” : lieu protégé de la rue, c ’est un lieu de partage et d’échange. On s’y promène sans grande crainte, mais une certaine prudence reste de mise … on peut y cotoyer des inconnus, … dument invités ou non. “Les maisons” : les habitants d’une maison sont clairement identifiés. A part eux, personne n’est habilité à rentrer dans une maison sans y être invité. Dans chaque maison, on se sent en sécurité.

EOLE : zones et niveaux de sécurité “la rue” : lieu ouvert , accessible depuis le monde entier, la rue offre un niveau de sécurité très faible. On peut y faire les meilleures comme les pires rencontres. “la rue” “maison” ADM “la cour” “la cour” : lieu protégé de la rue, c ’est un lieu de passage, partage et échange. On s’y promène sans grande crainte, mais une certaine prudence reste de mise … on peut y cotoyer des inconnus, … dument invités ou non. “Les maisons” : les habitants d’une maison sont clairement identifiés. A part eux, personne n’est habilité à rentrer dans une maison sans y être invité. Dans chaque maison, on se sent en sécurité. “maison” PEDAGOGIUE Autre “maison” Eole est le garant de l’application de cette “POLITIQUE de SECURITE conformement aux “recommendations en terme de sécurité - SIIEE” du 5 Avril 2002

EOLE : zones et niveaux de sécurité “la rue” Mettre en place des zones et niveaux de sécurité n’a pas pour but d’empecher le dialogue entre des partenaires. “maison” ADM “la cour” Mais au contraire, de permettre à des partenaires de dialoguer en toute confiance. “maison” PEDAGOGIUE Autre “maison”

EOLE : un concept évolutif une réponse homogène pour l’académie qui répond aux besoins d’aujourd’hui. un concept générique, mais qui sait s’adapter aux cas particulier Une architecture qui peut s’étendre par adjonction de nouveaux boitiers EOLE

1 EOLE ou 2 EOLEs ? Réseau Réseau(x) pédagogique(s) “maison” ADM L’administration, l’intendance ... PEDAGOGIQUE Les salles de classe “La rue” Réseau Réseau(x) pédagogique(s) Visible du mode entier “maison” Greta ou autres reseaux greta ADM “La cour” Visible par l’Education Nationale Visible uniquement dans l’établissement

1 EOLE ou 2 EOLEs ? Par adjonction de nouveaux EOLE , on traite propement la cohabition d’un établissement avec : - l’eventuel GRETA hebergé … et éclaté entre etablissements. - l’eventuel réseau d’un IEN localisé dans l’etablissement... - l’eventuelle présence d’un CDDP … - l’eventuelle présence d’un reseau issu du projet d’une collectivité - un établissement “éclaté” sur plusieurs sites.

EOLE (pare-feu AMON) Approche par les flux de communication: Quelles sont les règles de passage d’une zone à l’autre ?

1 etablissement “éclaté” “La rue” Visible du mode entier “maison” ADM L’administration, ... “maison” ADM autre batiment Réseau ADM ADM Communication chiffrée “La cour” Visible par l’Education Nationale Réseau(x) pédagogique(s) “maison” PEDAGOGIQUE Les salles de classe “maison” PEDAGOGIQUE Visible uniquement dans l’établissement

Ou bien : + chiffrement éventuel (voir AGRIATES) “La rue” “La rue” + chiffrement éventuel (voir AGRIATES) Visible du mode entier “maison” ADM L’administration, ... “maison” ADM autre batiment Réseau ADM ADM “La cour” “La cour” Visible par l’Education Nationale Réseau(x) pédagogique(s) “maison” PEDAGOGIQUE Les salles de classe “maison” PEDAGOGIQUE Visible uniquement dans l’établissement

Où installer EOLE ? - Dans un local sûr, au point d’interconnexion de tous les réseaux de l’etablissement. - Dans une armoire informatique - avec une alimentation secourue.

Comment passer de la situation actuelle à l’architecture EOLE ? EOLE (pare-feu AMON) Comment passer de la situation actuelle à l’architecture EOLE ?

Avant EOLE Numeris 1 Numeris 2 Réseau académique Fournisseur d’accès Internet Réseau régional ? Réseau administratif 10.xx.yy.0 (24/8) Site partagé avec : GRETA ? IEN ? CIO ? CDDP ? Projets de Collectivités ? 10.xx.1yy.0 (24/8) Réseaux pédagogiques

Après EOLE E O L E Réseau académique Fournisseur d’accès Internet Réseau régional ? “La rue” Zone d’accueil (non sécurisée) “la cour” Zone de partage et d’échange sécurisée Réseau administratif E O L E “Maison” autres réseaux Autres réseaux pédagogiques (greta, collectivité…) “maison” greta “Maison” ADM “Maison” PEDAGOGIQUE Réseaux pédagogiques

Après EOLE E O L E Réseau académique Fournisseur d’accès Internet Réseau régional ? “la rue” Web etablissement (adm + pédagogie), BCDI, RLR , messageries , serveurs FTP, etc ... Teleac ,GEP , etc … E O L E “maison” greta “maison” ADM “la cour” Micros élèves et enseignants, serveurs de fichiers, authentification et droits d’accès, etc ... “maison” PEDAGOGIQUE “maison” Autres réseaux

Depuis réseaux Pedago Réseau académique Fournisseur d’accès Internet Réseau régional “la rue” Acces Internet Acces sites disciplinaires “maison” ADM “la cour” Depuis réseaux Pedago “maison” PEDAGOGIQUE Acces BCDI, RLR, web serveur antivirus généralisé, etc ...

Depuis réseau Adm Réseau académique Fournisseur d’accès Internet Réseau régional “la rue” Acces Internet, courrier, teleac, etc ... Depuis réseau Adm Acces BCDI, RLR, web etc ... “maison” ADM “la cour” “maison” PEDAGOGIQUE

Depuis zone de partage “la cour” Réseau académique Fournisseur d’accès Internet Réseau régional “la rue” Depuis zone de partage “la cour” “maison” ADM “la cour “maison” PEDAGOGIQUE Pas de “remontée” = protection des utilisateurs

Depuis l’exterieur Réseau académique Fournisseur d’accès Internet Réseau régional “la rue” Depuis l’exterieur Acces tres reglementé. Telemaintenances ... Acces reglementé. Professeurs depuis l’exterieur consultations depuis l’exterieur “maison” ADM “La cour” “maison” PEDAGOGIQUE Pas de “remontée” = protection des utilisateurs

-> tout en optimisant les coûts EOLE: Que fait-il ? - garant de l’application d’une politique de sécurité. (Qui peut faire quoi ? Comment?) - garant des chemins empruntés par une communication. (données confidentielles / données publiques) -> tout en optimisant les coûts

Exemple (très simplifié ) de décisions prises par EOLE. EOLE: Que fait-il ? Exemple (très simplifié ) de décisions prises par EOLE. - le cas d’un “proxy”

Fournisseur d’accès Internet 2 Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 Que dit la politique de sécurité ? Si c’est autorisé, je traite. Sinon, je préviens que c’est pas autorisé. N’aurais-je pas déjà répondu à la même question ? (syndrome de Rantanplan ) “la rue” OUI ! Je sais ! (c’est lucky luke !) “maison” ADM “La cour” question réponse “maison” PEDAGOGIQUE

Fournisseur d’accès Internet 2 Réseau académique Fournisseur d’accès Internet Fournisseur d’accès Internet 2 N’aurais-je pas déjà répondu à la même question ? (syndrome de Rantanplan) “la rue” NON ! Tant pis, je ferai mieux la prochaine fois “maison” ADM “La cour” question “maison” PEDAGOGIQUE

Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès “la rue” question A qui vais-je poser la question ? “maison” ADM “La cour” question Ça s’adresse à un autre établissement “maison” PEDAGOGIQUE

Ça s’adresse à un serveur sur Internet Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “la rue” question A qui vais-je poser la question ? “maison” ADM “La cour” question Ça s’adresse à un serveur sur Internet “maison” PEDAGOGIQUE

Ça mérite une certaine confidentialité (par exemple : mail) Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “la rue” question A qui vais-je poser la question ? “maison” ADM “La cour” question Ça mérite une certaine confidentialité (par exemple : mail) “maison” PEDAGOGIQUE

Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès OK, merci. Je le note. Comme ça, je saurai répondre si quelqu’un me pose à nouveau cette question. réponse EOLE a une mémoire d’éléphant ! “la rue” question réponse Tiens ! Voilà ce que tu as demandé si 10 élèves demandent la même page, Eole n’ira la chercher qu’une seule fois. “maison” ADM “La cour” question “maison” PEDAGOGIQUE

EOLE: stratégie pour un réseau régional Exemple de situation actuelle : - 1 réseau type privatif - 1 réseau “provider” Exemple de situation cible: - 1 réseau régional

Fournisseur Réseau d’accès académique Internet Exemple: - consultation web SNCF - acces forum public etc … Données “grand public”. Accès Internet. Données “sensibles” Accès Extranet EN “la rue” “maison” ADM “la cour” Exemple: - un mail entre le chef d’etablissement et le rectorat, citant un nom d’élève mineur. - Un fichier type GEP - acces à une ressource d’un autre EPLE “maison” PEDAGOGIQUE

Réseau académique Fournisseur d’accès Internet Réseau régional Données “sensibles” Accès Extranet EN “tuyau” chiffré entre les partenaires E.N. Données “grand public”. Accès Internet. “la rue” “maison” ADM “la cour” “maison” PEDAGOGIQUE

Réseau régional Données “sensibles” Accès Extranet EN “la rue” Données “sensibles” Accès Extranet EN Données “grand public”. Accès Internet. “maison” ADM “la cour” “tuyau” chiffré entre les partenaires E.N. “maison” PEDAGOGIQUE

les translations d’adresses EOLE (pare-feu AMON) Approche technique : les zones d’adresses - les translations d’adresses l’adressage IP

Zone Internet Zone Extranet E.N. (adresses privées Réseau académique Zone Internet Fournisseur d’accès Internet Réseau régional Translation NAT ou PAT Zone Extranet E.N. (adresses privées RFC 1918 nationales) greta Translation PAT Zone pédagogique (adresses privées locales EPLE)

Zone Internet Zone Extranet E.N. (adresses privées Autre alternative Réseau académique Fournisseur d’accès Internet Zone Internet Translation NAT ou PAT Zone Extranet E.N. (adresses privées RFC 1918 nationales) Réseau régional (MPLS / VPN) greta Translation PAT Zone pédagogique (adresses privées locales EPLE)

visibles nationalement: Réseau académique Fournisseur d’accès Internet Réseau régional Zone Internet Adresses IP visibles nationalement: 2 EPLE différents = 2 zones d’adresses différentes. Translation NAT ou PAT Adresses IP publiques (uniques) greta Translation PAT Adresses IP locales: identiques dans tous les EPLE

EOLE (pare-feu AMON) 10.N°dep.x.0 10.100+N°dep.x.0 Proposition d’adressage IP: chaque académie est propriétaire des adresses 10.N°dep.x.0 10.100+N°dep.x.0 chaque académie peut découper cet espace au mieux de ses intérêts. Pour les plus grosses académies, si cet espace ne suffit vraiment pas, une “rallonge” peut etre accordée. 192.168.220.0 à 192.168.239.0 est libre pour les établissements.

EOLE (pare-feu AMON) Chaque académie est libre du découpage optimal de ces adresses. Exemples d’affectation d’adresses : - pour des EPLE (politique “généreuse” / “économe”)

visibles nationalement: Réseau académique Fournisseur d’accès Internet Réseau régional Zone Internet Adresses IP visibles nationalement: 2 EPLE différents = 2 zones d’adresses différentes. Translation NAT ou PAT Adresses IP publiques (uniques) greta Translation PAT Adresses IP locales: identiques dans tous les EPLE

Réseau académique Fournisseur d’accès Internet Réseau régional Zone Internet Etablissement scolaire (politique généreuse) Translation NAT ou PAT 246 (251 …) “la rue” 10.1xx.yy.192 (26/6) 250 245 247 (248,249) Réserve: (non affectée) de 10.1xx.yy.128 à 191 : 64 @ de 10.xx.yy.144 à 255 : 112 @ ADM 10.xx.yy.0 (25/7) Greta 10.xx.yy.128 (28/4) “la cour” 10.1xx.yy.0 (25/7) 126 126 Translation PAT 143 ( + 192.168.220.0 à 192.168.223.0 ) 192.168.224.0 192.168.231.0 (21/11) 231.246 192.168.232.0 à 192.168.239.0 239.246

Zone Internet 64 @ 16 @ 128 @ 128 @ 2048 @ Env 1700 @ 512 @ Réseau académique Fournisseur d’accès Internet Réseau régional Zone Internet Etablissement scolaire (politique généreuse 512 @) Translation NAT ou PAT 64 @ Réserve: (non affectée) de 10.1xx.yy.128 à 191 : 64 @ de 10.xx.yy.144 à 255 : 112 @ “la rue” 10.1xx.yy.192 (26/6) 16 @ 128 @ 128 @ “maison” ADM 10.xx.yy.0 (25/7) Greta 10.xx.yy.128 (28/4) “la cour” 10.1xx.yy.0 (25/7) Translation PAT 2048 @ Env 1700 @ 512 @ “maison” PEDAGOGIQUE 192.168.224.0 à 192.168.231.0 (21/11) Autre “maison” 192.168.232.0 à 192.168.239.0 ( + 192.168.220.0 à 192.168.223.0 )

Zone Internet 16 @ 16 @ 64 @ 64 @ 2048 @ Env 1700 @ 512 @ Réseau académique Fournisseur d’accès Internet Réseau régional Zone Internet Etablissement scolaire (politique restrictive 256 @) Translation NAT ou PAT 16 @ Réserve: (non affectée) de 10.xx.yy.160 à 255 : 96 @ “la rue” 10.xx.yy.128 (28/4) 16 @ 64 @ 64 @ “maison” ADM 10.xx.yy.0 (26/6) Greta 10.xx.yy.144 (28/4) “la cour” 10.xx.yy.64 (26/6) Translation PAT 2048 @ Env 1700 @ 512 @ “maison” PEDAGOGIQUE 192.168.224.0 à 192.168.231.0 (21/11) Autre “maison” 192.168.232.0 à 192.168.239.0 ( + 192.168.220.0 à 192.168.223.0 )

EOLE : adresses de la “rue” 2 cas de figure : - l’académie possède des adresses publiques pour ses EPLE -> OK - l’académie n’utilise pas d’adresses publiques pour ses EPLE. -> 10.x.y.z

EOLE : l’insécurité dans la “rue” ;-) Attention : notre responsabilité peut être engagée dans la rue !!! => appliquer des règles strictes sur tous les équipements de la rue : - seul interlocuteur physique: les passerelles EOLE (AMON). - pas de rebond possible. - pas d’altération des tables de routage possible.

EOLE : l’insécurité dans la “rue” ;-) => nécessité d’écrire (nationalement?) les règles à respecter par tout équipement de FAI intégré à la “rue”. => nécessité d’imposer la “politique de sécurité E.N. de la rue” à tous les FAI d’un EPLE

EOLE (pare-feu AMON) Exemples d’affectation d’adresses : - pour des petits sites (IEN) en travail administratif uniquement.

EOLE obligatoire pour la confidentialité !!! EOLE (pare-feu AMON) prévoir 16 (ou 32 ?) adresses 10.x.y.z partagées en deux : la rue + maison administrative. EOLE obligatoire pour la confidentialité !!!

Zone Internet 8 @ 8 @ Réseau académique Fournisseur d’accès Internet Réseau régional Zone Internet IEN Translation NAT ou PAT 8 @ “la rue” 10.1xx.yy.zz (29/3) 8 @ “maison” ADM 10.xx.yy.zz (29/3)

Exemples d’affectation d’adresses : EOLE (pare-feu AMON) Exemples d’affectation d’adresses : - pour des petits sites (CIO) en travail administratif + accueil de public.

Zone Internet 8 @ 8 @ 2048 @ Réseau académique Fournisseur d’accès Réseau régional Zone Internet CIO Translation NAT ou PAT 8 @ “la rue” 10.1xx.yy.zz (29/3) 8 @ “maison” ADM 10.xx.yy.zz (29/3) Translation PAT 2048 @ public 192.168.224.0 à 192.168.231.0 (21/11)

EOLE (pare-feu AMON) Exemples d’affectation d’adresses : - un EPLE + un CDDP sur le même site géographique.

2 EOLEs (AMON) Visible du mode entier Réseau “maison” ADM L’administration, l’intendance ... PEDAGOGIQUE Les salles de classe “La rue” Réseau Réseau(x) pédagogique(s) Visible du mode entier “maison” CDDP pedagogique admin. “La cour” Visible par l’Education Nationale Visible uniquement dans l’établissement

2 EOLEs (AMON) Visible du mode entier Réseau ADM CDDP 10.1xx.yy.192 (26/6) Visible du mode entier 10.xx.yy.0 (25/7) 10.xx.yy.128 (27/5) Réseau ADM 10.1xx.yy.0 (25/7) CDDP Visible par l’Education Nationale Réseau(x) pédagogique(s) 192.168.224.0 à 192.168.231.0 192.168.224.0 à 192.168.231.0 Visible uniquement dans l’établissement

EOLE : souplesse de l’adressage S’adapte aux particularités du site: - contraintes géographiques. - cohabitation EPLE / IEN /CIO /CDDP... - habitudes de travail de l’EPLE. (voir exemples d’organisations des zones pédagogiques)

EOLE : souplesse de l’adressage En résumé: - les pages precedentes donnent un exemple d’organisation par zone. - d’autres découpages pourraient être viables (exemple : “apprenants” , “enseignants”, “encadrement” “partenaires”). -mais tous doivent s’accorder sur un point: 10.x.y.0 et 10.100+x.y.0 sont propres à un site. 192.168.220.0 à 239.0 sont libres pour l’etablissement.

Organisation de zones pédagogiques l’architecture type. une variante plus élaborée. Une organisation calquant l’existant. le cas particulier de SLIS

l’architecture type. Le réseau pédagogique forme un ensemble : “la rue” “maison” ADM “la cour” Le réseau pédagogique forme un ensemble : 192.168.224.0 : enseignement tertiaire 192.168.225.0 : enseignement général 192.168.226.0 : enseignement technique “maison” PEDAGOGIQUE Serveurs (authentification, logiciels et espaces de travail) IACA, etc ... Stations de travail enseignants, elèves

Une variante plus élaborée. “la rue” Visible de la rue “maison” ADM “la cour publique” Ex: serveur de consultation de notes, absences “la cour privée” Exemple: serveur de saisie des notes, absences, “maison” PEDAGOGIQUE Visible par l’administration et la pédagogie. Serveurs (authentification, logiciels et espaces de travail) IACA, etc ... Stations de travail enseignants, elèves

Une architecture calquant l’existant INTERNET “maison” ADM “réseau partagée acces à Internet” tertiaire général ...

Une architecture calquant l’existant “la rue” “maison” ADM cour publique “réseau partagée acces à Internet” tertiaire Devient une “cour privée” général ...

Le cas particulier de SLIS / SLAES ... Certaines fonctions de SLIS font double emploi avec celles d’EOLE. -> éviter de faire 2 fois la même chose par le même type de moyen. Par nature, SLIS gère un plan d’adresses qui lui est propre. -> SLIS et EOLE vont “co-exister” plutot que “cohabiter”

Le monde PEDAGOGIQUE selon SLIS Réseau académique Fournisseur d’accès Internet Réseau régional Responsabilité académique (politique nationale / académique / locale de sécurité ) “la rue” Acces Internet Responsabilité établissement “maison” ADM “la cour” SLIS “maison” PEDAGOGIQUE eventuelle Le monde PEDAGOGIQUE selon SLIS

Le cas particulier de SLIS / SLAES ... Le transparent précédent présente une architecture cible vers laquelle il faut tendre si l’objectif est d’obtenir un extranet établissement. Pour les académies largement utilisatrices de SLIS, rien ne presse réellement.

Approche technique : - EOLE et la QoS IP EOLE (pare-feu AMON) Approche technique : - EOLE et la QoS IP

Réseau régional Données “sensibles” Accès Extranet EN “la rue” Données “sensibles” Accès Extranet EN Données “grand public”. Accès Internet. “maison” ADM “la cour” “tuyau” chiffré entre les partenaires E.N. “maison” PEDAGOGIQUE

Réseau régional Données “grand public”. Accès Internet. Données “sensibles” Accès Extranet EN Applications de gestion EN Internet Télé-assistance Voix / vidéo Réseau régional Conditions de trafic Qualité de Services “la rue”

4 approches classiques possibles : EOLE et la QoS. 4 approches classiques possibles : 1° Policy Based Routing 2° “IntServ” 3° “Diffserv” 4°Approche hybride

EOLE: QoS PBR. on définie une architecture de réseau telle qu’il soit possible d’agir sur les conditions de traffic par altération des décisions de routage: analyse basée sur @IP S, @IP D, n° ports. “ip policy” en terminologie CISCO

EOLE: QoS PBR. Pour aller vers un destinataire, il existe plusieurs routes disponible. Chaque route offre une qualité de service différente.

Réseau régional avec QoS Exemple d’une politique PBR Réseau régional avec QoS Si source = administratif alors suivre chemin x Si source = pédagogie alors suivre chemin y Si type trafic = web alors suivre chemin z “la rue” 10.1xx.yy.192 (26/6) Si type trafic = téléphonie alors suivre chemin w Si type trafic = télé-mnt alors suivre chemin t ADM 10.xx.yy.0 (25/7) Greta 10.1xx.yy.128 (28/4) “la cour” 10.1xx.yy.0 (25/7) Translation PAT 192.168.224.0 à 192.168.231.0 (21/11) 192.168.232.0 à 192.168.239.0 ( + 192.168.220.0 à 192.168.223.0 )

Réseau régional avec QoS Autre approche PBR Réseau régional avec QoS Si type trafic = crypté alors suivre chemin x “la rue” 10.1xx.yy.192 (26/6) Si type trafic = non crypté alors suivre chemin y ADM 10.xx.yy.0 (25/7) Greta 10.1xx.yy.128 (28/4) “la cour” 10.1xx.yy.0 (25/7) Translation PAT 192.168.224.0 à 192.168.231.0 (21/11) 192.168.232.0 à 192.168.239.0 ( + 192.168.220.0 à 192.168.223.0 )

EOLE: QoS PBR: les avantages - “relativement” simple. - utilisable en général même sur des équipements d’entrée de gamme. - a le mérite d’exister ! Seule solution sur un réseau n‘offrant pas de QoS native. - rien à prévoir dans EOLE, sauf le routage !!!

EOLE: QoS PBR: les limites - programmation réalisée par l’équipement d’accès au réseau. - pas de souplesse. - peu évolutif. - possibilités limitées. - résultats “approximatifs”.

EOLE: QoS “intserv” approche flux par flux (RSVP) par reservation de ressources. c’est à dire que l’utilisateur voit le réseau comme un fournisseur de ressources, et que la charge de la réservation lui revient. Possibililité de signalisation.

avis personnel : -> assez mal adapté à EOLE. EOLE: QoS “intserv” avis personnel : -> assez mal adapté à EOLE.

EOLE: QoS “diffserv”(rfc2475) Approche par le réseau : On classifie les flux, le réseau reconnaît chaque flux comme appartenant à une classe et il provisionne en conséquence. La gestion est locale , nœud par nœud. -> visions propriétaires, + difficultés pour l’exhaustivité.

Réseau régional avec QoS Approche “diffserv” Réseau régional avec QoS Entente préalable avec le fournisseur du RR pour la définition de classes de service Classes traditionnelles: “premium” “Gold” “Silver” “Bronze” “la rue” 10.1xx.yy.192 (26/6) EOLE analyse le trafic et le place dans la bonne classe. ADM 10.xx.yy.0 (25/7) Greta 10.1xx.yy.128 (28/4) “la cour” 10.1xx.yy.0 (25/7) Translation PAT 192.168.224.0 à 192.168.231.0 (21/11) 192.168.232.0 à 192.168.239.0 ( + 192.168.220.0 à 192.168.223.0 )

Diffserv : classes Agit selon le Marquage du champ DSCP (ex TOS IPV4)

Diffserv : notions de SLA/TCA Client Réseau Diffserv Négociation et agrément d’un SLA / TCA TCA : Traffic Conditioning Agreement : définit comment le trafic du client sera traité par Diffserv. (marquage, “shaping”, …) SLA : Service Level Agrement : contrat entre client et fournisseur qui spécifie le type de service que l’utilisateur DEVRAIT se voir offrir . Un SLA peut contenir des règles définies dans un TCA.

DiffServ : architecture Service Level Agrement client provider EOLE Equipement du fournisseur 2) adapter le trafic au contrat 4) “Per Hop Behavior” 3) vérifier le trafic + provisionner + agréger les trafics 5) reformater le flux selon le contrat 1) identifier et marquer les flux

DiffServ : les classes EF PHB (Expedit Forwarding - Per Hop Behavior) RFC 2598 - prévu pour le trafic “temps réel” - DSCP : 101110 -définie une bande passante maximum limitée, en controlant la latence, la gigue et les pertes , tout en évitant d’affamer les autres classes.

DiffServ : les classes AF PHB (Assured Forwarding - Per Hop Behavior) RFC 2597 - 4 classes de services (AF1,AF2,AF3,AF4) - DSCP : AF1 : 001dd0 AF2 : 010dd0 AF3 : 011dd0 AF4 : 100dd0 dd : 01 taux de perte accepté faible dd : 10 taux de perte accepté moyen dd : 11 fort taux de perte accepté

EOLE: “Diffserv”: les avantages - Très souple. - très évolutif. - Eole participe activement à la QoS. - semble être l’approche d’avenir.

EOLE: “Diffserv”: inconvénients - négociation complexe avec le fournisseur (SLA - TCA) - gestion du champ DSCP à prévoir dans EOLE.

EOLE: approche hybride de la QoS - consiste à mélanger les 3 autres approches. -> avis personnel : assez mal adapté à EOLE .

Approche technique : - EOLE et VPN EOLE (pare-feu AMON) Approche technique : - EOLE et VPN

EOLE et VPN 2 objectifs majeurs: - - offrir une continuité d’adressage à l’EN par application du RFC 1918. - garantir la confidentialité des échanges

Qu’apporte le VPN à EOLE ? Permet des connexions point à point entre 2 EPLE de France (“extranet EN” permettant à un EPLE de consulter en toute sécurité des données situées dans un autre EPLE) permet d’assurer la confidentialité des échanges (et l’authentification) Transport d’un plan d’adresses client “au dessus d”un réseau public où d’un réseau construit sur un autre plan d’adresses. Par chiffrement des informations transmises.

Réseau régional Données “sensibles” Accès Extranet EN “la rue” Données “sensibles” Accès Extranet EN Données “grand public”. Accès Internet. “maison” ADM “la cour” “tuyau” chiffré entre les partenaires E.N. “maison” PEDAGOGIQUE

Pré-requis pour construire un réseau VPN : 1 Un plan d’adresses unique et cohérent !!! Il a été élaboré des 1997 , et doit être accepté partout avant de pouvoir créer un réseau VPN entre EPLE (projet AGRIATES)

Pré-requis pour construire un réseau VPN : 2 Le respect de la législation française et communautaire: www.scssi.gouv.fr/fr/ c’est le cas pour RACINE. C’est à faire pour AGRIATES.

Les réseaux VPN de l’education nationale RACINE : relie depuis Mars 2001 les académies et sites centraux. AGRIATES : basé sur EOLE, reliera les EPLE et l’académie. AGRIATES + RACINE = réponse globale de l’Education Nationale

AGRIATES AGRIATES AGRIATES Inter-operabilité confidentialité AGRIATES Réseau d’ Accès et de Consolidation des INtranets de l’ Education Inter-operabilité confidentialité AGRIATES AGRIATES Sécurité PKI RACINE + PKI AGRIATES

EOLE : résumé Le modèle théorique proposé : - nous garantit l’indépendance vis à vis des FAI (RENATER y compris) - nous garantit l’inter-opérabilité. (RACINE - AGRIATES) - nous garantit l’évolutivité.

EOLE : résumé des résumés ! Sans un plan d’adresse unique et cohérent sur l’ensemble de l’E.N. , tout ceci devient caduc. Ce plan était déjà officieusement employé par certaines académies. => nous devons donc l’enteriner pour continuer.

EOLE : résumé des résumés ! AGRIATES RACINE EOLE (AMON) “Donnez-moi un bon plan d’adresses, et j’interconnecterai le monde …”

Le RFC 1918 ne permet pas de traiter les écoles comme les EPLE. EOLE : et les écoles ? Le RFC 1918 ne permet pas de traiter les écoles comme les EPLE. - l’architecture décrite pour les EPLE reste pertinente (rue,cour, maisons) - mais il ne sera pas possible de créer un “extranet” des écoles via VPN

EOLE : et les écoles ? RACINE : un VPN pour tous les rectorats : COURAGEUX !!! AGRIATES: un VPN pour tous les EPLE : TEMERAIRE !!! XXXXX: un VPN pour toutes les écoles : SUICIDAIRE !!!

Avec beaucoup de moyens !!! EOLE : et les écoles ? Seul un VPN réduit à quelques écoles (une circonscription) pourrait être techniquement envisageable. Avec beaucoup de moyens !!!

… un jour ... EOLE : et si ça “coince” ? Le plan d’adresses IP V4 (32 bits) n’est certes pas inépuisable. Mais seule la téléphonie IP pourra vraisemblablement l’épuiser. … et certainement nous contraindre à passer à IP V6 (128 bits) . … un jour ...

exemples de migration vers EOLE EPLE connecté à l’intranet académique EPLE connecté à l’intranet académique + un fournisseur d’acces privé. EPLE “hétérogène” : plusieurs connexions vers des fournisseurs privés.

Avant EOLE Numeris 1 Numeris 2 Fournisseur Réseau d’accès académique Hypothèse 1: Connexion adm via réseau académique Connexion ped via réseau académique Fournisseur d’accès Internet + eventuellement connexion via un provider Réseau administratif 10.xx.yy.0 (24/8) 10.1xx.yy.0 (24/8) Réseaux pédagogiques

Avec EOLE Numeris 1 Numeris 2 Fournisseur Réseau d’accès académique Internet Numeris 1 Numeris 2 “la rue” 10.1xx.yy.192 (26/6) 1) création de l’espace d’accueil Réseau administratif 10.xx.yy.0 (24/8) 2) mise en place d’EOLE “maison” PEDAGOGIQUE 192.168.224.0 à 192.168.231.0 (21/11) 3) paramétrage du (des) réseau(x) pédagogie Réseaux pédagogiques

Avec EOLE Numeris 2 Fournisseur Réseau d’accès académique Internet “la rue” 10.1xx.yy.192 (26/6) 4) on supprime un routeur et sa liaison (peu importe lequel …) et on re-paramètre le réseau administratif. Réseau administratif 10.xx.yy.0 (25/7) 5) connexion du réseau administratif sur EOLE “maison” PEDAGOGIQUE 192.168.224.0 à 192.168.231.0 (21/11) Réseaux pédagogiques

adressage non conforme Avant EOLE Hypothèse 2: Connexion adm via réseau académique Connexion pedago via provider seul Réseau académique Fournisseur d’accès Internet Numeris 1 Numeris ou ADSL Réseau administratif 10.xx.yy.0 (24/8) 10.1xx.yy.0 (24/8) ou adressage non conforme Réseaux pédagogiques

adressage non conforme Avant EOLE Hypothèse 2: Connexion adm via réseau académique Connexion pedago via provider seul Réseau académique Fournisseur d’accès Internet Numeris 1 Numeris ou ADSL “la rue” 10.1xx.yy.192 (26/6) 1) création de l’espace d’accueil Réseau administratif 10.xx.yy.0 (24/8) 2) mise en place d’EOLE 10.1xx.yy.0 (24/8) ou adressage non conforme 3) paramétrage du réseau administratif Réseaux pédagogiques

Avant EOLE Numeris 1 Numeris ou ADSL Fournisseur Réseau d’accès Hypothèse 2: Connexion adm via réseau académique Connexion pedago via provider seul Réseau académique Fournisseur d’accès Internet Numeris 1 Numeris ou ADSL “la rue” 10.1xx.yy.192 (26/6) 4) raccorder le (s) provider (s) Réseau administratif 10.xx.yy.0 (24/8) “maison” PEDAGOGIQUE 192.168.224.0 à 192.168.231.0 (21/11) 5) re-paramétrage le(s) reseau(x) pédagogique(s) Réseaux pédagogiques

Avant EOLE Numeris 1 Numeris ou ADSL Réseau académique Fournisseur Hypothèse 3: situation “hétérogène” Réseau académique Fournisseur d’accès Internet 1) Fédérer les arrivées reseau en un point Numeris 1 Numeris ou ADSL Réseau administratif 10.xx.yy.0 (24/8) 2) Fédérer les réseaux internes en un point Ramener la situation à l’hypothèse 2. 10.1xx.yy.0 (24/8) ou adressage non conforme 10.1xx.yy.0 (24/8) ou adressage non conforme 10.1xx.yy.0 (24/8) ou adressage non conforme Réseaux pédagogiques

EOLE: bilan provisoire Un enjeu majeur (une OBLIGATION) pour l’avenir. - à cause de l’évolution technologique des réseaux de communication. - à cause de l’implication des collectivités locales dans le choix des solutions. - pour éviter les solutions anarchiques et les gaspillages dans l’EPLE.

EOLE : état des déploiements L’ EOLE de référence en Auvergne: le CRDP d’auvergne (adm, ped + cour) > 200 stations , accès clients /serveurs avec la cour , Bases de données ORACLE, TSE, serveurs web visibles d’internet , photothèque, liaison extranet avec les CDDP ... => qualification du modèle en forte charge.

EOLE : état des déploiements 4 EOLE adm, ped + cour en EPLE => ont servi à la validation de la méthode d’audit préalable à l’installation.

EOLE : état des déploiements 1 réalisation intégrant un greta éclaté sur 3 sites en cours de finalisation. => sert à valider la pertinence générale du modèle d’interconnexion, au delà du clivage “administratif/pédagogie” traditionnel.

EOLE : état des déploiements 30 EOLEs prévus à court terme. => la robustesse du modèle est maintenant éprouvée.

EOLE : la suite ? pb : comment passer de la phase expérimentale à une généralisation: Quels objectifs ? -> Quel périmètre ? Quels moyens ?

ANNEXES

EOLE : Les pré-requis (d’ordre général) La sensibilisation de l’établissement. Une situation “saine” : administration clairement séparée de la pédagogie. Au besoin , accord avec d’autres partenaires pour assainer l’existant : Greta, ... Une étude “sur mesure” pour définir la méthode à employer pour la mise en oeuvre.

EOLE : Les pré-requis (d’ordre technique) Un cablage permettant de fédérer en un local commun sécurisé: - les arrivées de reseaux publics de l’etablissement. (NUMERIS, ADSL, etc… - le reseau administratif - le(s) réseau(x) pédagogique(s) armoire de brassage équipée:electricité, etc

EOLE : un exemple de chantier complexe. Impliquant 3 gros établissements : - Lycée Ambroise Brugiere - Clermont-Fd - Lycée Chamalières - Lycée La Fayette - Clermont-Fd traitant la problématique des GRETAs

EOLE : un exemple de chantier complexe. Incluant : un réseau extranet existant E.N. des accès providers internet commerciaux des solutions locales existantes d’échange entre partenaires (GRETA) ménageant la mise à disposition d’un réseau régional.

Chamalières Ambroise Brugière ADSL ADSL ADSL RNIS RNIS Ped Ped Ped Ped RTC + RNIS + ? Greta Adm Greta Adm Ped RTC + RNIS + ? RNIS ADSL RNIS ADSL La fayette ADSL RNIS RTC + RNIS + ? Ped Ped Greta Adm Ped + tout ce que l’on ignore !!! RNIS ADSL

Coût ? Sécurité ? Supervision ? Assistance ? ADSL ADSL ADSL RNIS RNIS RTC + RNIS + ? RTC + RNIS + ? RNIS ADSL RNIS ADSL ADSL RNIS RTC + RNIS + ? Coût ? Sécurité ? Supervision ? Assistance ? RNIS ADSL

Chamalières Ambroise Brugière ADSL ADSL ADSL RNIS RNIS Ped Ped Ped Ped RTC + RNIS + ? Greta Adm Greta Adm Ped RTC + RNIS + ? RNIS ADSL RNIS ADSL La fayette ADSL RNIS RTC + RNIS + ? Ped Ped Greta Adm Ped L’existant RNIS ADSL

Chamalières Ambroise Brugière ADSL RNIS Ped Ped Ped Ped RTC + RNIS + ? Greta Adm Greta Adm Ped RTC + RNIS + ? ADSL RNIS ADSL La fayette “la rue” ADSL RNIS RTC + RNIS + ? Ped Ped RNIS ADSL ADSL Greta Adm Ped Phase 1: “la rue” RNIS ADSL

Phase 2 : “assainissement” Chamalières Ambroise Brugière ADSL RNIS Greta Ped Ped Ped Ped RTC + RNIS + ? Adm Greta Adm Ped RTC + RNIS + ? ADSL RNIS ADSL La fayette “la rue” ADSL RNIS RTC + RNIS + ? Ped Ped RNIS ADSL ADSL Greta Adm Ped Phase 2 : “assainissement” RNIS ADSL

Phase 2: “simplification” Chamalières Ambroise Brugière ADSL RNIS Ped Ped Ped Ped Adm Greta Adm Ped ADSL RNIS ADSL La fayette “la rue” ADSL RNIS Ped Ped RNIS ADSL ADSL Adm Ped Phase 2: “simplification” RNIS ADSL

Phase 3: “toutes les rues” Chamalières Ambroise Brugière ADSL Ped Ped “la rue” Ped Ped Adm Greta Adm Ped ADSL RNIS ADSL La fayette “la rue” ADSL “la rue” Ped Ped RNIS ADSL ADSL Adm Ped ADSL RNIS Phase 3: “toutes les rues”

Chamalières Ambroise Brugière Greta Ped Ped Ped Greta Ped Adm Greta “la rue” Ped Greta Ped Adm Greta adm Adm Greta adm ADSL RNIS ADSL La fayette “la rue” “la rue” Ped Greta Ped RNIS ADSL ADSL Adm Greta adm ADSL RNIS Phase 4 : “les Gretas” ADSL

Chamalières Ambroise Brugière Ped Greta Ped Ped Greta Ped Adm Greta “la rue” “la rue” Ped Greta Ped Ped Greta Ped Adm Greta adm Adm Greta adm Réseau régional La fayette “la rue” Ped Greta Ped Adm Greta adm Phase 5: “champagne !!!”

Chamalières Ambroise Brugière ADSL ADSL ADSL RNIS RNIS Ped Ped Ped Ped RTC + RNIS + ? Greta Adm Greta Adm Ped RTC + RNIS + ? RNIS ADSL RNIS ADSL La fayette ADSL RNIS RTC + RNIS + ? Ped Ped Greta Adm Ped Résumé : comment passer du ... RNIS ADSL

ADSL ADSL ADSL RNIS RNIS RTC + RNIS + ? RTC + RNIS + ? RNIS ADSL RNIS ADSL ADSL RNIS RTC + RNIS + ? Résumé : système D... RNIS ADSL

à une architecture mature … “la rue” “la rue” Réseau régional “la rue” Résumé : à une architecture mature …

EOLE : de l’utilité de la cour. Exemple : le CRDP d’auvergne. Incluant : un réseau extranet existant E.N. 5 sites : CRDP + 4 CDDP ménageant la mise à disposition d’un réseau régional.

EOLE AU CRDP D ’AUVERGNE LES RESEAUX / le découpage en zones. LES SERVEURS et leur localisation. LES FLUX sécurisés par EOLE.

Fournisseur d’accès Fournisseur d’accès Internet 2 Internet 1 “maison” ADMINISTRATIVE CRDP “maison” PEDAGOGIQUE “La cour” “la rue” Réseau Académique Fournisseur d’accès Internet 2 Fournisseur d’accès Internet 1 “maison” PEDAGOGIQUE ADMINISTRATIVE “La cour” “la rue” “la rue” “maison” PEDAGOGIQUE “La cour” “maison” ADMINISTRATIVE CDDP CDDP

CDDP Réseau académique Fournisseur d’accès Internet 1 “maison” PEDAGOGIQUE ADMINISTRATIVE Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” telnet Agent antivirus ftp HTTP Clients TSE Messagerie Agent antivirus HTTP ftp HTTP ftp Messagerie Agent antivirus ftp Clients TSE Messagerie HTTP telnet CDDP

CRDP Réseau académique Fournisseur d’accès Internet 1 telnet “la rue” HTTP ftp Messagerie gestion Clients TSE INTERNET Agent antivirus ftp ftp Agent antivirus HTTP Messagerie authentification “maison” PEDAGO “La cour” INTERNET gestion Messagerie HTTP telnet Clients TSE ftp Agent antivirus INTERNET gestion Messagerie “maison” ADMINISTRATIF HTTP HTTP authentification telnet Client serveur CRDP

CRDP Réseau académique Fournisseur d’accès Internet 1 “la rue” HTTP Recup régulière des signatures virales authentification “maison” PEDAGO “La cour” HTTP Serveur anti-virus (FSECURE) HTTP “maison” ADMINISTRATIF authentification Client serveur Scrutation à l’initialisation puis toute les heures CRDP

CRDP Réseau académique Fournisseur d’accès Internet 1 “la rue” SMTP authentification “maison” PEDAGO “La cour” POP3/IMAP4/SMTP Serveur mail Netscape POP3/IMAP4/SMTP “maison” ADMINISTRATIF authentification Client serveur CRDP

CRDP Réseau académique Fournisseur d’accès Internet 1 “la rue” Clients TSE des CDDP authentification “maison” PEDAGO “La cour” Clients TSE BD compta Oracle + serveur TSE “maison” ADMINISTRATIF authentification Client serveur CRDP

Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès “maison” PEDAGOGIQUE ADMINISTRATIVE Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” Serveur de gestion Oracle serveur TSE serveur web photothèque nationale serveur documentaire serveur web crdp serveur messagerie serveur de màj Antivirus Serveur d ’authentification serveur démonstration IACA serveur photothèque serveur commercialisation CRDP

Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès “maison” PEDAGOGIQUE ADMINISTRATIVE Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” Serveur d ’authentification serveur démonstration IACA clients TSE vers BD Oracle serveur de màj Antivirus serveur ftp serveur web CDDP

départ de François Michelin - 16 Mai 2002 - interview la Montagne LA BOITE à OUTILS … on ne peut pas ergoter et polémiquer quand on regarde une réalité technique et pratique. Ce qui n’est pas le cas lorsque l’on reste au niveau des idées: on se bouffe le nez. Par contre, Quand vous allez sur le terrain, vous voyez la machine, vous rencontrez un “oeuvier”qui vous dit “c’est comme cela qu’il faut faire…” Les faits et la vérité sont plus grands que nous. … départ de François Michelin - 16 Mai 2002 - interview la Montagne

Format d’un datagramme IP 4 8 16 19 24 31 VERS HLEN Type de service Longueur totale Identification Flags Offset fragment Durée de vie Protocole Somme de contrôle Header Adresse IP Source Adresse IP Destination Options IP (eventuellement) Padding Données . . .

Marquage des datagrammes TOS DATA

Diff Serv Code Point (DSCP) TOS Precedence DSCP CU Réservé. (prévu pour la notification de congestion