Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N 2012 – Yannick Pagot a

SOMMAIRE Introduction aux Routeurs de Services Unifiés Technologie D-Link Green USB Share Port Balance de charge et tolérance de panne Interface de gestion Web Vlans Travaux pratiques 2

Introduction aux Routeurs de Services Unifiés Points forts Toutes les interfaces Gigabit , DSR-250N 8 ports LAN Gigabit, DSR-500N et DSR-1000N 2 ports WAN Gigabit et 4 ports LAN Gigabit . Support le 802.1Q VLAN. Port USB : SharePort pour serveur d'imprimante et stockage, 3G WAN redondant (réf. DWM-152/156, uniquement sur le DSR-1000N). Dual WAN pour accomplir la bascule (failover) et l’équilibrage de charge Internet (load balancing). Portail captif pour le DSR-500N et DSR-1000N. Système de prévention d'intrusion (IPS). Stateful Packet Inspection (SPI). Filtrage de contenu Web. Prise en charge complète WiFi, 802.11 a / b / g / n pour le DSR-1000N et b / g / n pour le DSR-250N et DSR-500N. Prise en charge VPN, ( PPTP / L2TP / IPSec / SSL VPN). La technologie D-Link Green embarqués. Prise en charge d'IPv6. Stateful Packet Inspection (SPI) Firewall: Le Stateful Packet Inspection contrôle et bloque le paquet s'il ne satisfait pas un certain critère. Ce critère est de trouver une connexion existante à laquelle appartient le paquet. Le TCP SPI surveille toutes les ouvertures et fermetures de connexions TCP et il conserve dans une table interne toutes les caractéristiques des connexions en cours (ce sont les infos affichées quand on appuie sur le bouton Connexions dans l'onglet journal). Quand un paquet arrive (ou est envoyé par le PC): - s'il s'agit d'une ouverture ou d'une fermeture de connexion la table interne est mise à jour (ajout ou suppression d'une entrée) - s'il s'agit d'un autre paquet, le TCP SPI vérifie qu'il a bien une connexion en cours qui correspond à ce paquet. Si oui, le paquet est accepté, si non le paquet est bloqué (ce qui provoque une alerte TCP SPI dans le journal). Pour améliorer les performances, le TCP SPI gère un nombre d'entrée maximum et limité. Si le TCP SPI ne peut ajouter une entrée alors la nouvelle connexion est jetée (et provoque une alerte TCP SPI dans le journal). Le nombre d'entrées est de 64 actuellement, ce nombre sera augmanté dans la prochaine version. Avec des applications grosses consomatrices de connexions TCP (comme Edonkey/Emule) le nombre max d'entrées est atteint très rapidement. C'est possible qu'avec un serveur ce soit pareil si le serveur voit toutes les connexions des postes clients (c'est le cas avec ICS). En résumé, l'alerte que vous avez est: 1- soit une vraie alerte avec un paquet reçu qui ne correspond à aucune connexion ouverte 2- soit une fausse alerte si vous avez atteint la limite du nombre de connexions ouvertes simultanément Pour savoir dans quel cas vous êtes, plusieurs possibilités: - examiner le détail du paquet, s'il contient le S (SYN) flag c'est que vous êtes dans le 2ème cas - ouvrir la liste des connexions, si vous voyez un grand nombre de connexions ouvertes (64), vous êtes dans le 2ème cas - ouvrir la console (dans les options) et appuyer sur Driver Logs, si vous voyez apparaître des "CFull" vous êtes aussi dans le 2ème case. IPS: Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif, il détecte un balayage automatisé, l'IPS peut bloquer les ports automatiquement. Les IPS peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables à 100% et risquent même en cas de faux positif de bloquer du trafic légitime. 3 a

Introduction aux Routeurs de Services Unifiés Aperçu des caracteristiques et performances DSR-1000N 2 x ports WAN Gigabit, 4 x ports LAN Gigabit 130Mbps Débit Firewall 70Mbps Débit VPN 3DES/AES 60,000 Sessions simultanées 70/20 Tunnels IPSec/SSL VPN 64 Clients WiFi simultanées par SSID (Max. 4 SSIDs) DSR-500N 2 x Gigabit WAN ports, 4 x Gigabit LAN ports 70Mbps Débit Firewall 35Mbps Débit VPN 3DES/AES 30,000 Sessions simultanées 35/10 Tunnels IPSec/SSL VPN 32 Clients WiFi simultanées par SSID (Max. 4 SSIDs) 4

Introduction aux Routeurs de Services Unifiés Aperçu des performances DSR-250N 1 x ports WAN Gigabit, 8 x ports LAN Gigabit 45Mbps Débit Firewall 35Mbps Débit VPN 3DES/AES 20,000 Sessions simultanées 25/5 Tunnels IPSec/SSL VPN 16 Clients WiFi simultanées par SSID (Max. 4 SSIDs) 5

Introduction aux Routeurs de Services Unifiés Qu’est ce qu’un Firewall ? BUT: Empêcher que des intrus aient accès à vos ressources Seules les communications approuvées sont autorisées à passer entre les réseaux Les communications non autorisées sont bloquées et logguées Deux concepts: Ouvert par défaut – Interdire les communications souhaitées Fermé par défaut – Autoriser les communication souhaitées

Introduction aux Routeurs de Services Unifiés Comment prévenir les menaces externes? Système de prévention d'intrusion (IPS). Detection et prevention des intrusions en utilisant des signatures. Le traffic est analysé et est comparé à des modèles de trafic connus, correspondant à des attaques , des exploits ou des vulnerabitilités. Il est alors bloqué pour palier à la menace. Stateful Packet Inspection (SPI). Les connexions passantes par le firewall sont loggées et analysées. Une connexion qui ne sera pas commencée depuis une machine du réseau local est bloquée.

Introduction aux Routeurs de Services Unifiés Comment prévenir les menaces externes?

Introduction aux Routeurs de Services Unifiés Comment prévenir les menaces externes?

Introduction aux Routeurs de Services Unifiés Comment prévenir les menaces internes? IP/MAC Binding N’autorise le trafic sortant seulement si l’adresse IP correspond à l’adresse MAC enregistrée dans le DSR.

Introduction aux Routeurs de Services Unifiés Comment prévenir les menaces internes? Filtrage par mot clé Une URL contenant un mot clé bloqué ne sera pas accessible

Introduction aux Routeurs de Services Unifiés Comment prévenir les menaces internes? Filtrage de sites webs Une URL enregistrée dans le DSR ne sera pas non plus accessible Filtrage de contenu Autorise ou non le téléchargement de contrôle Active X, Cookies, Java

Firewall et securité Les DSR permettent: 13 De créer des règles Firewall (entrantes et sortantes). De personnaliser des services d’applications ALGs. De créer des règles de redirection de ports(Port Forwarding Rules). De faire du filtrage d’URL Website Filtering. De la prévention d’intrusion IPS(Intrusion Prevention System). Portail Captif pour gérer les accès WEB Tunnels VPN Vlans 13

Introduction aux Routeurs de Services Unifiés Zone demilitarisée (DMZ) Un sous-réseau séparé du réseau local et isolé de celui-ci par un pare-feu. Ce sous-réseau contient les machines étant susceptibles d'être accédées depuis Internet. Le réseau local est alors protégé si une attaque se produit sur une machine en DMZ

Introduction aux Routeurs de Services Unifiés Comment accéder aux ressources de manière sécurisée? Tunnel VPN (Virtual Private Network) BUT: Permettre à des utilisateurs d'accéder au réseau privé, de manière sécurisée Authentification forte des utilisateurs ou des dispositifs se connectant au réseau: Par vérification "login / mot de passe, par certificats numériques ou par clé partagée

Introduction aux Routeurs de Services Unifiés Comment accéder aux ressources de manière sécurisée? Tunnel VPN IPSEC Tunnel VPN Tunnel VPN Client nomade avec Logiciel Client IPSec -> Algorithmes de chiffrement: DES, 3DES, AES 128 bits… -> Clé Pré partagée -> Authentification optionnelle par Xauth (utilisation d’une base de donnée utilisateur externe Radius)

Introduction aux Routeurs de Services Unifiés Tunnel VPN PPTP Serveur PPTP Tunnel VPN PPTP Routeur avec option VPN PassThrough Client PPTP Microsoft -> Permet de connecter un PC Windows vers un serveur PPTP en utilisant un couple nom d’utilisateur/ mot de passe. -> Création d’une connexion réseau PPTP. -> Accès au réseau distant comme si le PC y était.

Introduction aux Routeurs de Services Unifiés Tunnel VPN L2TP OVER IPSEC Serveur IPSEC Tunnel L2TPoverIPSEC Antenne 3G Iphone/Android Permet d’avoir une double couche de sécurité (authentification CHAP avec L2TP et clé partagée avec IPSec) -> Accès au réseau distant comme si le dispositif mobile y était.

SOMMAIRE Introduction aux Routeurs de Services Unifiés Technologie D-Link Green USB Share Port Balance de charge et tolérance de panne Interface de gestion Web Vlans 19

Technologie D-Link Green Mode veille pour limiter sa consommation Contrôle de la longueur du câble utilisé. Sans ventilateur 20

Technologie D-Link Green WLAN sur plage horaire: Pourquoi utiliser le WiFi lorsqu’il n’y a pas d’utilisateurs? 21

SOMMAIRE Introduction aux Routeurs de Services Unifiés Technologie D-Link Green USB Share Port Balance de charge et tolérance de panne Interface de gestion Web Vlans 22

USB SharePort 23

SOMMAIRE Introduction aux Routeurs de Services Unifiés Technologie D-Link Green USB Share Port Balance de charge et tolérance de panne Interface de gestion Web Vlans 24

Tolérance de panne -Principe Disposer de plusieurs abonnement Internet avec différent FAI permettra d’éviter un point de coupure unique grâce à la tolérance de panne. FAI 1 FAI 2 Routeur de services unifiés Switch Utilisateurs Ferme de serveurs 25 a

Tolérance de panne -Configuration 26 a

La balance de charge - Principe Nécessite deux abonnements chez deux FAIs de préférence. BUT: Eviter les ralentissement sur le lien principal dans le cas de forte affluence sur le port de sortie ISP 2 ISP 1 Congestion Load Balancing Les DSR 500N et 1000N possèdent deux mécanisme pour la balance de charge : Round Robin: Alternance entre les deux WAN, pour toute nouvelle connexion vers l’extérieur. Spillover: un seul lien WAN utilisé pour toutes les connexions Des qu’un certain seuil de bande passante est depassé, les nouvelles connexions utiliserons le second lien WAN . DSR-1000N Office Network 27 a

La balance de charge - Configuration 28 a

SOMMAIRE Introduction aux Routeurs de Services Unifiés Technologie D-Link Green USB Share Port Balance de charge et tolérance de panne Interface de gestion Web Vlans 29

Interface de gestion Web Accès à l’interface de gestion Web Interface de gestion sécurisée HTTPS. Accès à l’ interface de management par le port WAN et LAN. Accès protégé via l’utilisation d’un nom d’utilisateur et d’un mot de passe. Adresse IP d’accès par défaut, https://192.168.10.1. 30

Interface de gestion Web Présentation de l’interface Web Onglets principaux Onglets secondaires Conseils / Aides Zone d’affichage principale 31

Interface de gestion Web Assistants de configuration: Internet, Wifi, VPN Le menu tout en un qui permet en quelques «clics» de pouvoir réaliser un paramétrage de base fonctionnel, pour Internet, le WiFi et un tunnel VPN. 32 a

VLANS – Réseaux virtuels 33

VLANS – Réseaux virtuels 34

Contrôle des accès Paramétrer différents réseaux sans fils pour des types d’utilisateurs différents Par exemple: SSID Employés SSID Guests Chacun sur un VLAN différents et une sécurité différente Gestion fine des accès: Portail captif – Accès par nom d’utilisateur et mot de passe Gestion de la bande passante par SSID

Contrôle des accès -EXEMPLE Différents SSID pour différents groupes d’utilisateurs: SSID “Employés” et VLAN pour employés SSIDs “Guest” & “Partner” et VLAN pour les invités et partenaires Activation du portail captif sur les SSID voulus + Donner les identifiants aux personnes 3. Différentes règles de firewall “Guest” : seulement Internet “Partner”: Internet et serveurs 4. Contrôle de la bande passante Internet DSR-1000N Server Farm 10M 1M 512K SSID: Employee VLAN: 10 Server Farm Internet 10M SSID: Partner VLAN: 50 Server Farm Internet 1M SSID: Guest VLAN: 60 X Server Farm Internet 512K Note: Only DSR-500N/1000N supports Captive Portal feature

Exemples Création de règles de filtrages, PAT Balance de charge Tolérance de panne 37

Redirection de port vers un serveur FTP Connectez-vous à l’interface de configuration Web, https://192.168.X.1 Authentifiez vous, login et mot de passe par défaut: admin / admin 38 a

Redirection de port vers un serveur FTP La redirection de port ou port forwarding consiste à rediriger des paquets réseaux reçus sur un port donné d'un ordinateur ou un équipement réseau vers un autre ordinateur ou équipement réseau sur un port donné. Cela permet entre autres de proposer à des ordinateurs extérieurs à un réseau d'accéder à des services répartis sur plusieurs ordinateurs de ce réseau. Il faudra tous d’abord créer un service si l’on décide de ne pas utiliser les services de bases proposés par le DSR. 39

Redirection de port vers un serveur FTP Création d’un nouveau service TCP ou UDP Début de la plage de port à translater Fin de la plage de port à translater 40

Redirection de port vers un serveur FTP Création de la règle 41

Redirection de port vers un serveur FTP Création de la règle 42

Exemples Création de règles de filtrages, PAT Balance de charge Tolérance de panne 43

Configuration de la balance de charge Cliquez sur Wan Mode 44 a 44

Configuration de la balance de charge Cochez la case 45 a 45

Cliquez sur Save Settings Configuration de la balance de charge Cliquez sur Save Settings 46 a 46

Exemples Création de règles de filtrages, PAT Balance de charge Tolérance de panne 47

Configuration de la tolérance de panne Configurer les deux interface WANs en client DHCP. 48 a

Configuration de la tolérance de panne 49 a

Sommaire Travaux Pratiques Tunnel VPN (IPSEC) Tunnel SSL Portail Captif 50

Merci! Questions ou commentaires ?