Yonel Grusson.

Slides:



Advertisements
Présentations similaires
Semaine 5 Couche Liaison de données Cours préparé par Marc Aubé
Advertisements

Mais vous comprenez qu’il s’agit d’une « tromperie ».
Sécurité informatique
ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6
Module Architectures et Administration des réseaux
Les protocoles réseau.
Distance inter-locuteur
1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août
Les numéros 70 –
Les numéros
– VLAN et VTP. Sommaire 1)VLAN* 1)VTP** *Virtual Local Area Network **VLAN Trunk Protocol.
Firewall sous Linux Netfilter / iptables.
DUDIN Aymeric MARINO Andrès
Guillaume CACHO Pierre-Louis BROUCHUD
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec
Architecture de réseaux
Réseaux Privés Virtuels
LES TRIANGLES 1. Définitions 2. Constructions 3. Propriétés.
Cours Présenté par …………..
La méthodologie………………………………………………………….. p3 Les résultats
Configuration d'un commutateur HP Procurve 2500
Introduction aux réseaux
SECURITE DU SYSTEME D’INFORMATION (SSI)
Segmentation VLAN A Guyancourt le
Module 10 : Prise en charge des utilisateurs distants
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Présentation générale
Chef de projet : COUDERC Antoine Equipe : DELMON - GENIEZ - LACROIX
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
Virtual Local Area Network
Mise en place d'un serveur SSL
Introduction RADIUS (Remote Authentication Dial-In User Service)
Virtual Private Network
Yonel Grusson.
Logiciel gratuit à télécharger à cette adresse :
Les chiffres & les nombres
Linux – les VPN.
Année universitaire Réalisé par: Dr. Aymen Ayari Cours Réseaux étendus LATRI 3 1.
Le Modele OSI.
MAGIE Réalisé par Mons. RITTER J-P Le 24 octobre 2004.
Aire d’une figure par encadrement
Les NAC Network Access Control
VPN - SSL Alexandre Duboys Des Termes IUP MIC 3 Jean Fesquet
MAGIE Réalisé par Mons. RITTER J-P Le 24 octobre 2004.
Vue d'ensemble Configuration d'adresses IP
Adressage internet utilisé par le protocole IP (Internet Protocol)
IPSec : IP Security Protocole fournissant un mécanisme de
1/65 微距摄影 美丽的微距摄影 Encore une belle leçon de Macrophotographies venant du Soleil Levant Louis.
SECURITE DES RESEAUX WIFI
Annexe Résultats provinciaux comparés à la moyenne canadienne
Sommaire Dans ce chapitre, nous aborderons :
Le protocole d’authentification
Virtual Private Network (VPN)
La formation des maîtres et la manifestation de la compétence professionnelle à intégrer les technologies de l'information et des communications (TIC)
Réseau Infrastructure Partage ressources Protocole Sécurité.
Les réseaux locaux virtuels : VLAN
Expose sur « logiciel teamviewer »
ARP Le protocole ARP Pour qui utilise-t-on le protocole ARP ? ou
(\> LordLogs </) VIA 09/12/2010
Introduction La technique des VLANs (Virtual Local Area Network) permet de donner au réseau l’architecture logique souhaitée par l’administrateur, en le.
Yonel Grusson.
IPSec Formation.
Yonel Grusson.
Vitual Private Network
SIRVIN Alexis RIVIERE Mathieu VERRIERE Arthur
Gestion d’actifs  Telnet  SSH  Trunk  Vlans  Langage IOS.
Formation diff avancée Ca va être bien ;).  Simplex: Unidirectionel  Full duplex: dans les deux sens  Half duplex: dans les deux sens, mais pas en.
LES VLANS Présenté par : ATCHOM SANDJI DANIEL.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Transcription de la présentation:

Yonel Grusson

L'INTERCONNEXION DES RESEAUX Yonel Grusson

Introduction La protection et la sécurité des données échangées sur les réseaux publics et locaux doit être complétée par la maîtrise du trafic des informations qui les traversent. Yonel Grusson

Introduction PLAN Le Virtual Local Area Network (VLAN) avec l'aide de Roger SANCHEZ du Certa Le Virtual Private Network (VPN) Les techniques du filtrage Le routage filtrant Le pare-feu (Firewall) Le serveur NAT (Network Adress Translation) Le serveur Proxy Notion de "Zone Démilitarisée" (DMZ) Yonel Grusson

Le VLAN L'idée du VLAN est de regrouper des machines d'un réseau local et de limiter la diffusion des informations qu'entre les membres de ce groupe de machines. On parlera de réseau virtuel car les machines restent physiquement connectés aux autres machines. Le "dispatching" des trames est assuré par les appareils d'interconnexion du réseau commuté. Yonel Grusson

Le VLAN A G F E C D B I H VLAN 1 : A, C, E, G, I VLAN 2 : B, D, F, H SWITCH Yonel Grusson

Le VLAN Les postes appartenant au même Vlan peuvent communiquer entre eux. Les Switchs ne diffusant pas les trames ARP entre les VLAN. Un Vlan définira donc un domaine de Broadcast Comment des postes de VLAN différents peuvent communiquer ? Sans l'utilisation d'interface 802.1q, des postes qui sont dans des domaines de Broadcast (Vlan) différents pourront communiquer entre eux par l’intermédiaire d’un routeur. Yonel Grusson

Le VLAN A C D B SWITCH R S Routeur VLAN 1 : A, C, R Réseau IP : IP1 VLAN 2 : B, D, S Réseau IP : IP2 SWITCH R S Routeur Remarque : Les VLAN doivent définir des réseaux IP différents Yonel Grusson

1 VLAN = 1 regroupement de ports Le VLAN Il y a 3 façons de déterminer l'appartenance à un VLAN : Les VLAN par port (VLAN de niveau 1) : L'appartenance d'une interface réseau à un VLAN est déterminée par sa connexion sur un port du commutateur (dépendance géographique). 1 VLAN = 1 regroupement de ports Yonel Grusson

1 VLAN = 1 regroupement d'adresses MAC Le VLAN Il y a 3 façons de déterminer l'appartenance à un VLAN : Les VLAN par adresse MAC (VLAN de niveau 2) : L'appartenance au VLAN est ici déterminée par l'adresse MAC de l'interface (indépendance géographique – portable par exemple). 1 VLAN = 1 regroupement d'adresses MAC Yonel Grusson

1 VLAN = 1 regroupement d'adresses de niveau 3 Le VLAN Il y a 3 façons de déterminer l'appartenance à un VLAN : Les VLAN par adresse de niveau 3 -IP par exemple- (VLAN de niveau 3) : Le regroupement se fait ici sur l'adresse de niveau 3 ou supérieur. 1 VLAN = 1 regroupement d'adresses de niveau 3 Yonel Grusson

Le VLAN – La norme 802.1Q La norme Ethernet 802.1Q date de décembre 1998 avec une amélioration en 2003. Elle définit, normalise et organise la notion de VLAN. L'implantation de cette norme est encore récente. Peu d'interface réseau la prennent en compte, en conséquence elle est mise en œuvre par les commutateurs qui offrent souvent des fonctionnalités propriétaires. Yonel Grusson

Le VLAN – La norme 802.1Q Cette norme définit explicitement les VLAN par port (port-based VLAN). Dans ce contexte l'appartenance à un VLAN se fait par l'association du port à ce VLAN. La norme peut être mise en œuvre par l'interface réseau ou le commutateur. Par conséquent un port ne peut appartenir qu'a un seul VLAN sauf si le port est un port d'interconnexion et si le port est associé à une interface normalisée 802.1q. Yonel Grusson

Interface compatible 802.1q Interface Non compatible 802.1q Le VLAN – La norme 802.1Q Port A Port C Port G Port D Port B Port E Port F Commutateur 2 Interface compatible 802.1q Port H Interface Non compatible 802.1q Port I Commutateur 1 Vlan 1 : A, F et E Vlan 2 : C et D Vlan 3 : H et I Port B d'interconnexion appartient aux Vlan 1 et 2 Port G connecté sur une machine 802.1q appartient aux Vlan 2 et 3 Les appareils reconnaissants la norme 802.1q sont dits "Vlan informé" (Vlan aware) dans le cas contraire "Vlan non-informé" (Vlan unaware) Yonel Grusson

Le VLAN – La norme 802.1Q La norme Ethernet 802.1Q définit 3 types de trame Ethernet : La trame non étiquetée (Untagged frame) La trame ne contient aucun information d'appartenance à un VLAN. Étiquette implicite sur le contenu (@MAC, IP) ou le port de rattachement. @ MAC Destination @ Mac Source Longueur Ou Type Données FCS 6 octets 2 octets 46 a 1500 octets 4 octets Rappel trame Ethernet II et 802.3 Yonel Grusson

Le VLAN – La norme 802.1Q La trame étiquetée (Tagged frame) La trame étiquetée d'un priorité (Priority-Tagged frame) Ces trames contiennent une information, étiquette explicite, d'appartenance à un VLAN @ MAC Destination @ Mac Source TPID Données FCS 6 octets 2 octets 42 a 1500 octets 4 octets TCI-Tag Longueur Ou Type Yonel Grusson

Le VLAN – La norme 802.1Q Priorité CFI VID 3 bits 1 bit 12 bits VLAN Tag @ MAC Destination @ Mac Source TPID Données FCS 6 octets 2 octets 42 a 1500 octets 4 octets TCI-Tag Longueur Ou Type TPID (VLAN Tag Protocol Identifier) :Valeur fixée à (8100)h, identificateur de la trame 802.1Q Yonel Grusson

Le VLAN – La norme 802.1Q Priorité CFI VID 3 bits 1 bit 12 bits Priorité : Il est possible d'affecter 8 niveaux de priorité à la trame. Champ utilisé aussi en dehors des Vlan. Fonctionnalité décrite dans la norme 802.1p. CFI (Canonical Format Identifier) : = 1 pour les réseaux 802.3 ; = 0 pour Token Ring VID (Vlan Identifier) : Permet d'identifier un VLAN afin d'y affecter la trame. Yonel Grusson

Le VLAN – La norme 802.1Q Un commutateur VLAN-Informé gérera les VLAN à l'aide de 3 structure de données : La table habituelle Port / @Mac qui enregistre l'adresse Mac de l'interface connectée au port. La table Port / VLAN qui enregistre l'appartenance d'un port à un ou plusieurs VLAN. Une file d'attente pour gérer les priorités Yonel Grusson

Le VLAN – La norme 802.1Q Le VLAN est défini par l'administrateur au niveau du commutateur qui dans ce cas doit être manageable en général à l'aide d'un navigateur Web et/ou un client Telnet. Première étape : Création d'un VLAN en lui affectant un identificateur (VID) associé parfois à un nom. Yonel Grusson

Le VLAN – La norme 802.1Q Deuxième étape : Affectation des ports aux VLAN. Ainsi un port, vis à vis d'un VLAN*, peut être : Exclu du VLAN (No) Non Etiqueté (Untagged). Le port est associé à un seul VLAN * Un port peut être également fermé (forbid) ; dans ce cas aucun trafic n'est envoyé sur ce port par le commutateur. Yonel Grusson

Le VLAN – La norme 802.1Q Deuxième étape : Affectation des ports aux VLAN : Étiqueté (Tagged). Les trames qui entrent et sortent par ce type de port sont marquées par un champs 802.1Q. Un port "Tagged" peut appartenir à plusieurs VLAN. Un port étiqueté doit être relié soit à une interface réseau 802.1q soit à un autre port étiqueté (interconnexion de switchs) Yonel Grusson

Le VLAN – La norme 802.1Q L'interconnexion de plusieurs commutateurs "contenant" des VLAN peut être : Statique c'est à dire créée manuellement par l'administrateur Dynamique, la création se fait à la suite d'un échange d'information entre les commutateurs. Ce type de création se fait à l'aide du protocole GVRP qui doit être activé sur le commutateur. Yonel Grusson

Le VLAN – La norme 802.1Q Quelques règles : Une trame doit être associée à un VLAN et à un seul Un commutateur peut gérer plusieurs VLAN Un VLAN peut s'étendre sur plusieurs commutateurs Un port peut être rattaché à plusieurs VLAN Un station peut communiquer avec plusieurs VLAN avec une interface 802.1q. Yonel Grusson

VLAN - Exemples 1 2 3 4 5 6 A B C D Assignation des ports – Solution Untagged Port Default_Vlan Rouge Bleu 1 No Untagged 2 3 4 5 6 Déclaration des VLAN Nom VID Default_VLAN 1 ROUGE 2 BLEU 3 Un seul "Untagged" par ligne Yonel Grusson

VLAN - Exemples 1 2 3 4 5 6 A C B D Assignation des ports Solution Untagged Premier commutateur Port Default_Vlan Rouge Bleu 1 No Untagged 2 3 4 5 6 1 2 3 4 5 6 A C B D Second commutateur Port Default_Vlan Rouge Bleu 1 No Untagged 2 3 4 5 6 Yonel Grusson

VLAN - Exemples Assignation des ports : Solution entièrement "Untagged" Les configurations précédentes montrent 2 VLAN complètement indépendants. Le trafic d'un VLAN ne "croise" jamais celui de l'autre. On peut noter que dans cette configuration, il est possible d'associer un sous-réseau IP à chaque VLAN et mettre en place un routeur pour faire communiquer les deux VLAN. Yonel Grusson

VLAN - Exemples Assignation des ports : Solution entièrement "Untagged" Attention de ne pas mettre deux interconnexions sur le même VLAN au risque de créer une boucle et d'entraîner un disfonctionnement du commutateur. Pour éviter ce problème, il faut activer le Spanning Tree. Yonel Grusson

VLAN - Exemples 1 2 3 4 5 6 A C B D Assignation des ports Port des stations : Untagged Interconnexion : Tagged Premier commutateur Port Default_Vlan Rouge Bleu 1 No Tagged 2 Untagged 3 4 5 6 1 2 3 4 5 6 A C B D Second commutateur Port Default_Vlan Rouge Bleu 1 No Unagged 2 Tagged 3 4 Untagged 5 6 Yonel Grusson

VLAN - Exemples Assignation des ports : Port des stations sont déclarés Untagged Ports d'interconnexion sont déclarés Tagged Dans cette solution les stations ne peuvent appartenir qu'a un seul VLAN Les trames sont étiquetées par les ports d'interconnexion Yonel Grusson

VLAN - Exemples 1 2 3 4 5 6 A C B D Assignation des ports Solution Tagged Premier commutateur Port Default_Vlan Rouge Bleu 1 No Tagged 2 3 Untagged 4 5 6 1 2 3 4 5 6 A C B D Second commutateur Port Default_Vlan Rouge Bleu 1 No Tagged 2 3 4 Untagged 5 6 Yonel Grusson

VLAN - Exemples Assignation des ports : Tous les ports sont déclarés Tagged Dans cette solution les stations : doivent être configurées 802.1Q peuvent accéder à plusieurs VLAN Yonel Grusson

VLAN - Exemples 1 2 3 4 5 6 C B D E A Assignation des ports Accès au serveur (A) Premier commutateur Port Default_Vlan Rouge Bleu 1 No Tagged 2 Untagged 3 4 5 6 1 2 3 4 5 6 C B D E A Second commutateur Port Default_Vlan Rouge Bleu 1 No Untagged 2 Tagged 3 4 5 6 Yonel Grusson

VLAN - Exemples Assignation des ports : Accès au serveur En général les serveurs doivent être accessibles par toutes les stations. Les serveurs doivent donc appartenir à tous les VLAN. On peut noter ici qu'il est aussi possible de sécuriser un réseau en rattachant le ou les serveurs à un VLAN particulier. Yonel Grusson

VLAN - Exemples Notion de port TRUNKING : Un TRUNK permet d'associer plusieurs liens d'interconnexion entre 2 commutateurs. Le trafic est réparti sur les liens du TRUNK ce qui améliore de débit L'ensemble des liens du TRUNK est vu par l'administrateur comme un seul lien. Yonel Grusson

VLAN - Exemples 1 2 3 4 5 6 A C B D Trunk Yonel Grusson

Exemple de configuration d'un Switch HP Procurve 2524 Le VLAN Exemple de configuration d'un Switch HP Procurve 2524 Fibre optique Switchs stackés Connexion au Switch à l'aide d'un navigateur Yonel Grusson

Informations sur le système Le VLAN Informations sur le système Utilisation de Telnet Yonel Grusson

Liste des Vlan existants Assignation des ports au VLan Le VLAN Liste des Vlan existants Créer un VLan Assignation des ports au VLan Yonel Grusson

Le VLAN Intérêts du VLAN Le trafic est contrôlé. Le déplacement d'une machine d'un VLAN à un autre se fait simplement par la configuration du commutateur. Alors qu'un séparation physique des LAN oblige à modifier le câblage (jarretières). Inconvénients Augmentation du travail d'administration. Matériels plus coûteux, doivent coopérés entre eux. Les protocoles sont souvent propriétaires. Yonel Grusson

Le VPN Le Virtual Private Network (VPN) trouve son origine dans la recherche d'une interconnexion sécurisée des réseaux locaux au travers des réseaux publics, en particulier de l'Internet (où l'information circule en clair). A l'heure actuelle les VPN se placent surtout dans le contexte de l'Internet. Note : La technique traditionnelle pour construire un réseau privé est d'utiliser des lignes spécialisée (louée), Numeris ou le RTC (cf. cours sur les réseaux de transports) Yonel Grusson

Le VPN Qu'est-ce qu'un VPN ? Un VPN va consister à transmettre les données portées par un protocole (TCP/IP en général) par l'intermédiaire d'un autre protocole. On parlera de protocole de "tunneling" (tunnel) qui : après avoir authentifié les deux extrémités, permettra de créer un chemin virtuel du client vers le serveur, puis de faire transiter les données après les avoir cryptées et compressées. Yonel Grusson

Le VPN Le VPN doit donc assurer : L'authentification, en remplaçant ou sécurisant les protocoles qui ne chiffrent pas l'authentification (HTTP par exemple) L'intégrité La confidentialité (cryptage) La protection contre le rejeu (gestion des clés) Éventuellement affecter une @IP au client Éventuellement la compression Yonel Grusson

Le VPN Les applications traditionnelles des VPN sont : L'accès à l'Intranet d'une entreprise depuis l'extérieur (commerciaux en déplacement Interconnexion de 2 réseaux locaux (sites) d'une organisation La sécurisation des échanges dans les relations commerciales clients/fournisseurs. Note : Il également possible d'installer un VPN au sein d'un réseau strictement local. Yonel Grusson

Le VPN VPN d'accès Connexion d'un client mobile Réseau local Tunnel Client VPN Serveur VPN Tunnel Réseau local Internet ou autre réseau public Connexion d'un client mobile Yonel Grusson

Interconnexion de 2 (ou plus) réseaux locaux Le VPN VPN interconnexion de sites Réseau local Internet ou autre réseau public Tunnel Interconnexion de 2 (ou plus) réseaux locaux Yonel Grusson

Le VPN VPN interconnexion de sites Réseau Public P1 P2 P3 192.168.1.0/24 P3 P2 P1 192.168.1.1 192.168.2.0/24 192.168.2.1 200.8.120.12 140.15.40.1 Client VPN Serveur VPN Réseau Public Yonel Grusson

Le VPN Les composants d'un VPN Le client VPN initie une connexion vers un serveur VPN. Ce client peut être : Une station (par exemple un poste mobile qui de l'extérieur crée un VPN avec son entreprise) Un routeur qui initie un VPN avec un autre routeur. Dans ce cas toutes les stations du réseau local utiliseront le tunnel. Yonel Grusson

Le VPN Les composants d'un VPN Serveur VPN qui accepte les demandes des clients VPN. Symétriquement le serveur peut donc fournir un : VPN Accès distant (pour un poste "isolé") VPN routeur à routeur Yonel Grusson

Le VPN Les composants d'un VPN Le tunnel est la portion de connexion dans laquelle les données sont encapsulées. Les tunnels VPN peuvent être établis selon 2 modes : Le mode volontaire qui correspond à un tunnel entre un client et un serveur VPN. Yonel Grusson

Le VPN Les composants d'un VPN Le mode obligatoire qui est établi par : un fournisseur d'accès qui intercepte la demande du client et fait passer ses données dans le tunnel établi. L'entreprise entre 2 LAN (routeur à routeur) Dans ces situations le client ne peut pas éviter le tunnel et n'est pas obliger de posséder le "client VPN". Yonel Grusson

Le VPN Les protocoles de tunneling 7 - Application 6 - Présentation SSH 7 - Application 6 - Présentation 5 - Session 4 - Transport 3 - Réseau 2 - Liaison 1 - Physique SSL/TLS IPSEC PPTP, L2TP sous PPP Yonel Grusson

Le VPN Les quatre principaux protocoles de VPN sont : Au niveau de la couche 2 (liaison) PPTP : Point to Point Tunnelling Protocole (consortium : Microsoft, 3Com, etc..) soutenu et utilisé par les systèmes Microsoft. L2F : Layer Two Forwarding (Cisco) (protocole obsolète) L2TP : Layer Two Tunnelling Protocol (de l'IETF – Internet Ingineering Task Force), évolution de PPTP et L2F. Yonel Grusson

Le VPN PPTP et L2TP s'appuie sur PPP (Point to Point Protocol) PPP encapsule les paquets IP, IPX et NetBeui et permet de transférer les données sur une liaison synchrone et asynchrone. Il est full duplex et assure l'ordre d'arrivée des paquets. PPP utilise la trame HDLC (cf. cours liaison) Microsoft utilise L2TP en association avec IPSec Yonel Grusson

Le VPN Les quatre principaux protocoles de VPN sont : Au niveau de la couche 3 (réseau) IPSec : IP Sécurity (de IETF) intégrée à la norme IPv6, il est compatible IPv4. IPSec est basé essentiellement sur 4 modules : Internet Key Exchange (IKE) qui prend en charge la gestion et l'échange des clés utilisées pour le cryptage IPComp qui compresse le paquet avant sont chiffrement Yonel Grusson

Le VPN Au niveau de la couche 3 (réseau) IPSec : IP Sécurity (de IETF) est basé essentiellement sur 4 modules : Encapsulation Security Payload (ESP) qui authentifie et chiffre les paquets Authentification Header (AH) qui permet seulement d'authentifier les paquets. Ici, l'authentification permet d'éviter l'altération des paquets pendant la transmission avant d'être retransmis (rejeu). Il ne s'agit de l'authentification de l'émetteur et du destinataire (rôle module IKE). Yonel Grusson

Le VPN Au niveau de la couche 3 (IPSec) Les modules ESP et AH authentifient, la différence est qu'ESP crypte en plus. Le transport des données peut se faire selon 2 modes : Mode Transport qui protège les données de la trame IP sans toucher l'en-tête (pas présenté ici) Mode Tunnel qui encapsule tous les champs de la trame dans une autre trame Yonel Grusson

Le VPN Au niveau de la couche 3 (IPSec – Mode Tunnel) Module IKE (Internet Key Exchange) Si la trame doit être cryptée le processus commence par un processus d'authentification des partenaires qui peut se faire à l'aide : De certificats signés par une autorité tiers D'une négociation (handshake) entre les 2 partenaires (absence d'autorité tiers) Utilisation d'un serveur d'authentification (Radius) Yonel Grusson

Le VPN Au niveau de la couche 3 (IPSec – Mode Tunnel) Module AH (Authentification Header) Données En-tête IP En-tête TCP Trame initiale AH Nouvel En-tête IP Données En-tête TCP Authentifié sauf les champs modifiables de la trame. Yonel Grusson

Le VPN Au niveau de la couche 3 (IPSec – Mode Tunnel) Module ESP (Encapsulation Security Payload) Données En-tête IP En-tête TCP Trame initiale En-tête ESP Nouvel En-tête IP Authentifié Données En-tête TCP Fin ESP Authentifi. Crypté Yonel Grusson

Le VPN Au niveau de la couche 3 (réseau) IPSec est compatible IPv4 et est utilisable aujourd'hui avec tous les systèmes réseau. Il pose néanmoins encore quelques problèmes : Difficulté de la mise en œuvre. Incompatibilité avec la fonction NAT. Difficulté voire impossibilité de passer au travers des firewall. Yonel Grusson

Le VPN Résumé Les protocoles de tunnelling : Authentifient les extrémités qui établissent le tunnel. Échangent des clés de cryptage. Englobent les données ainsi que l'enveloppe de protocole générée par une pile de protocoles puis les chiffrent les compressent et les traitent comme des données pour un autre protocole. Yonel Grusson

Le VPN Résumé Protocole de Tunnelling Enveloppe et Données En-tête du de la première pile de protocoles Protocole de Tunnelling Données cryptées et compressées En-tête du protocole de tunnelling Yonel Grusson

Les techniques du filtrage Le filtrage consiste à intercepter et interpréter les trames au niveau d'une couche (TCP, IP, application,…) et à leur appliquer des règles pour les stopper ou les laisser passer. Le filtrage intervient sur les informations du protocole de la couche et rarement sur les données elles-mêmes. Ainsi, il sera possible d'interdire tous les téléchargements par FTP (ports 20 et 21), mais s'ils sont autorisés le filtre n'arrêtera pas un virus. Yonel Grusson

Les techniques du filtrage On peut noter les techniques suivantes dans le filtrage : Tout est interdit sauf…. Tout est autorisé sauf… Utilisation d'une liste noire (ce qui est dans la liste est interdit) Utilisation d'une liste blanche (ce qui est dans la liste est autorisé) Yonel Grusson

Les techniques du filtrage Le filtrage est assuré essentiellement par : Le routeur filtrant Le Pare Feu ou Firewall Le Serveur NAT (Network Adress Translation) Le Serveur Proxy Ces fonctions sont assurées : Soit par une machine dédiée avec un système d'exploitation de type Linux ou Windows 200x Server. Yonel Grusson

Les techniques du filtrage Soit par un appareil spécifique qui intègre souvent plusieurs fonctions Exemple chez le constructeur Cisco Les routeurs à services intégrés (ISR) Cisco sont fournis avec le cryptage et l’accélération matériels VPN, la version 2.0 de Router & Security Device Manager (SDM) pour une gestion simplifiée et intuitive et un pare-feu VPN basé sur Cisco IOS (Extrait de la documentation Cisco) Yonel Grusson

Les techniques du filtrage Le ROUTEUR FILTRANT Un routeur ne filtre pas il aiguille les trames reçues sur une interface vers une autre ; il est transparent. Il est possible de lui ajouter une fonction de filtrage. Ce filtre n'intervient qu'au niveau des transport (TCP) et réseau (IP). Il filtrera donc sur les adresses IP et/ou les ports des trames qui arrivent sur chacune de ses interfaces Yonel Grusson

Les techniques du filtrage Routeur filtrant sous Windows 2003 Server Yonel Grusson

Les techniques du filtrage Yonel Grusson

Les techniques du filtrage Le PARE-FEU (ou FIREWALL) Il se caractérise par : Sa portabilité Il contrôle le trafic en analysant les données contenues dans les couches 3,4 et 7. Sa situation Le pare-feu est un dispositif qui protège l'entreprise des intrusions extérieures. Il doit donc y avoir autant de pare-feux que de "portes" sur l'extérieur, c'est un élément frontal. Yonel Grusson

Les techniques du filtrage Le passage par le pare-feu pour entrer dans l'entreprise (dans une moindre mesure pour en sortir) doit être obligatoire. Ceci doit être imposé par l'architecture du réseau (câblage) et non par une configuration du poste client. Réseau local Pare-feu Poste client Le pare-feu a obligatoirement plusieurs interfaces réseau Yonel Grusson

Les techniques du filtrage Le filtrage peut porter sur : les adresses IP, les protocoles (TCP, UDP, Telnet, etc.), les numéros de port Les applications (passerelle applicative). Dans ce cas le pare-feu s'intéresse à la nature des données échangées. Un anti-virus et un IDS (Intrusion Detection System) peuvent-être placés à ce niveau. Note : Un pare-feu est évidemment envisageable entre deux réseaux locaux d'une même entreprise. Yonel Grusson

Les techniques du filtrage Certaines applications fixent des numéros de port de façon dynamique et aléatoire (FTP par exemple). Certains firewalls sont capables de s'adapter à ce type de configuration : On parlera d'un filtrage dynamique. Yonel Grusson

Les techniques du filtrage Le Serveur NAT (Network Adress Translation) Devant le manque d'adresses IP disponibles beaucoup d'entreprises disposent de quelques (voire une) adresses publiques et utilisent des adresses IP privées pour leur réseau local (cf. cours TCP/IP). Ces adresses : Ne sont pas routables sur Internet Évitent les intrusions sur le réseau local Yonel Grusson

Les techniques du filtrage Le serveur NAT va permettre de "translater" les adresses privées en adresses publiques pour que les utilisateurs puissent se connecter sur Internet. Le serveur NAT de base Avec NAT il y a une affectation statique à raison d'une d'adresse privée pour une adresse publique. Il y a donc autant d'adresses publiques que privées. Yonel Grusson

Les techniques du filtrage Le serveur NAT dynamique L'adresse publique est affectée dynamiquement à une adresse privée au moment de la connexion. Il n'y a pas d'affectation statique. Si le nombre d'adresses privées est inférieur au nombre d'adresses publiques (ce qui est très souvent le cas) aucune machine ne pourra accéder à Internet lorsque tous les adresses publiques auront été distribuées. Yonel Grusson

Les techniques du filtrage Le serveur NAPT (Network Adress and Port Translation) Cette méthode consiste à translater l'adresse IP et le numéro du port de l'application visée. B LAN Internet NAT A IP B Port A Port B IP A Port' A IP' A Yonel Grusson

Les techniques du filtrage Le serveur PROXY Le serveur PROXY se situe au niveau des protocoles applicatifs (HTTP, FTP, etc.) ; on parlera ainsi d'un Proxy Web ou proxy HTTP. Le serveur Proxy est un serveur mandataire ; En d'autres termes l'application (navigateur par exemple) va lui transmettre sa demande qu'il redirigera après contrôle vers son destinataire. Il peut y avoir plusieurs proxy Yonel Grusson

Les techniques du filtrage Les principales fonctions d'un Proxy : Mise en Cache. Le proxy sauvegarde les pages visitées afin de les redonner plus rapidement. Le filtrage. Le filtre concerne les requêtes de l'application (URL, Port par exemple). Le filtrage peut porter sur le contenu (mots-clés en général) reçu par le proxy avant de le retransmettre au client. L'authentification du client Yonel Grusson

Les techniques du filtrage La situation du serveur Proxy sur le réseau n'est pas indifférente Internet P1 P2 Proxy 1 Proxy 2 Passerelle (Routeur Pare-Feu) L'utilisateur peut passer outre le Proxy 1 en modifiant la configuration de l'application cliente. Par contre le passage par le Proxy 2 est rendu obligatoire de par sa situation. Yonel Grusson

Les techniques du filtrage Conclusion Chaque technique présentée assure une fonction particulière et est supportée ici par un serveur. On se rend compte également que certaines fonctions se retrouvent plusieurs fois (filtrage adresses IP et ports dans le pare-feu et le routeur filtrant par exemple). Matériellement ces serveurs se retrouvent dans des propositions commerciales qui "mélangent" ces fonctions. Yonel Grusson

Zone "démilitarisée" (DMZ) La DMZ permet de sortir du réseau local les serveurs ayant un accès public. La DMZ est une zone tampon entre l'Internet et le réseau local. Ces serveurs possèdent en général des adresses IP publiques (elles peuvent être aussi privées) alors que le réseau local possède des adresses privées. Ainsi la DMZ est accessible depuis l'Internet et le réseau local. Par contre les trames provenant de l'Internet ne circulent pas sur le réseau local. Yonel Grusson

Zone "démilitarisée" (DMZ) Réseau local (Adressage IP en général privé) Autres serveurs ServeurMail Serveur DNS Serveur Web DMZ Routeur Proxy Pare-Feu NAPT Internet Ad_IP publiques Les serveurs ont une Ad_IP publiques Ad_IP privée Yonel Grusson