Vous êtes sur la page 1sur 23

volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC

1
volution de larchitecture de
rseau avec garde-barrire, VPN,
accs distants
Marie-Claude QUIDOZ & Catherine GRENET
CNRS/UREC
JRES 2003
Lille, 20 novembre 2003
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
2
Introduction
Introduction
Situation actuelle
volutions
Attaques
Besoins
Nouvelle architecture rseau
Ralisations pratiques
VPN
Des problmes encore en suspens
Point de vue dun laboratoire du CNRS
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
3
Situation des annes
Situation des annes
2000
2000
Nous sommes totalement dpendants
De la disponibilit des quipements informatiques
Du rseau interne et de la connexion Internet
Notre Internet a chang
Rseau acadmique -> Rseau universel
Malheureusement nos rseaux et nos accs Renater ont t
conus en 94-95 pour un Internet acadmique familial
Recommandations darchitecture de rseau avec
filtrages pour amliorer la scurit
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
4
Architecture rseau recommande : rappel
Architecture rseau recommande : rappel
WEB
MAIL
DNS
.
Base de
donnes
publique
R2
Internet
Zone semi-ouverte Zone interne
Entit 1
Entit N
Administration
Serveurs internes
R1 R2
Utile si et seulement si des mcanismes de filtrage sont mis en place
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
5
Situation actuelle
Situation actuelle
Mise en place progressive
Au niveau du laboratoire, institut, campus,
Avec un routeur, un garde-barrire, avec ipchains,
Avec un nombre de zones variables (au minimum 2)
Avec une politique de contrle daccs de + en + stricte
De nombreux points positifs
Limiter le nombre de piratages et leurs consquences
Prendre en compte plus facilement de nouveaux besoins
Amliorer le dialogue au sein du laboratoire
Mais la situation volue
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
6
volutions des attaques
volutions des attaques
Au niveau contrle daccs
But : profiter des faiblesses du contrle daccs mis en place
Exemple : installation de chevaux de troie sur un port non
filtr ; forger une trame avec SYN=1 et RST=1
Moyen de protection : limiter les ports ouverts et considrer
les connexions dans leur contexte
Au niveau application
But : contourner les politiques de contrle daccs
Exemple : exploitation dune vulnrabilit dun service (buffer
overflow) ; utilisation non conforme dun service
Moyen de protection : appliquer les correctifs, intercepter les
connexions et examiner le contenu des paquets
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
7
Modes de filtrage
Modes de filtrage
Analyse approfondie du contenu du paquet
- pour : bonne protection / virus, P2P,
- contre : technologie trs rcente - pas de recul
Passerelle
applicative
Mmorisation de ltat des connexions
- pour : moins de ports ouverts - FTP, H.323,
- contre : application spcifique
Filtre de paquets
tats
Rcriture des paquets - 2 connexions
- pour : bon niveau de scurit
- contre : 1 proxy par application ; lourd
Proxy
Simple examen dentte IP, TCP, UDP
- pour : simple et rapide
- contre : laisse de nombreux ports ouverts
Filtre de paquets
sans tat
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
8
Quelques conseils pour faire un choix
Quelques conseils pour faire un choix
Pas de rponse unique
Dpend principalement des applications utilises
Cependant un consensus existe
Certaines faiblesses pour les filtres de paquets statiques
Corriges avec les filtres de paquets dynamiques
Actuellement le must semble tre le filtrage applicatif
Apporte une protection beaucoup plus fine / applications
Cest LA rponse aux attaques actuelles
Est-ce que ce sera la rponse aux attaques de demain ?
Attention aux effets de modes !
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
9
volutions des besoins
volutions des besoins
Pour pallier le manque
dadresses IP
Pour faciliter lcriture du routage
et du filtrage
Cration dun rseau priv sur
une infrastructure publique
Dplacement physique des
machines, accs distance
Pour scurit, performance,
administration
NAT, PAT Translation
dadresses
VPN Interconnexion
de sites distants
SSL/TLS, SSH
VPN
802.1X
Nomadisme
802.1Q Segmentation
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
10
Nouvelle architecture rseau
Nouvelle architecture rseau
Zone semi-ouverte
(services externes)
DNS
externe
HTTP
FTP
anonyme
SMTP
DNS
interne
Zone semi-ouverte authentifie
(services accessibles par authentification forte)
POPS
SSH
(relais)
HTTPS
SMTP/TLS
R GB
C
IMAPS
BD
publiques
Services
communs
Serveur calcul ou
dapplications
Serveur
sauvegardes
HTTP
interne
Serveur
de log
Serveur de
domaine NT
Serveur
fichiers
Serveur
NIS
Zone interne
(services internes)
Rseau administration
Entit 1
Visiteurs (portables, )
Salles de TP
Entit N
LDAP
Serveur de calcul
LDAPS
POP
IMAP
STUNNEL
FTP
interne
X
X
SMTP
I
N
T
E
R
N
E
T
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
11
Configuration type
Configuration type
C/R
Entit N
Entit 1
Zone
semi-ouverte
R GB
Rseau du laboratoire
Rseau de loprateur :
- Rseau de campus
- Rseau mtropolitain
- Rseau rgional
-
Serveurs
internes
Zone interne
Zone
semi-ouverte
authentifie
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
12
Rseau non segment connect par un
Rseau non segment connect par un
commutateur Ethernet
commutateur Ethernet
Poste
serveur
Poste
client
INTERNET
Laboratoire
Sans garde-barrire
Avec un garde-barrire
Poste
client
INTERNET
Routeur
Garde-barrire
Poste
serveur
Commutateur Ethernet
Routeur
Commutateur Ethernet
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
13
Rseau non segment connect par un
Rseau non segment connect par un
routeur
routeur
IP 2 ports
IP 2 ports
Poste
serveur
Poste
client
INTERNET
Routeur
Commutateur Ethernet
Laboratoire
Sans garde-barrire Avec un garde-barrire
Poste
client
INTERNET
Routeur
Commutateur Ethernet
Garde-barrire
Poste
serveur
Routeur Routeur
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
14
Rseau segment connect par un
Rseau segment connect par un
routeur
routeur
IP
IP
multiport
multiport
(1)
(1)
INTERNET
Routeur
Laboratoire
Sans garde-barrire
Routeur
Avec un garde-barrire (mode pont)
Serveurs
Internet
Serveurs
internes
Postes
clients
INTERNET
Routeur
Routeur
Serveurs
Internet
Serveurs
Internes
Postes
clients
Garde-barrire
IP 1
IP 2
IP 1
IP 2
IP !
IP "
IP !
IP "
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
15
Rseau segment connect par un
Rseau segment connect par un
routeur
routeur
IP
IP
multiport
multiport
(2)
(2)
INTERNET
Routeur
Laboratoire
Sans garde-barrire
Routeur
Serveurs
Internet
Serveurs
internes
Postes
clients
Avec un garde-barrire (mode routeur)
INTERNET
Routeur
Routeur
Serveurs
Internet
Serveurs
internes
Postes
clients
Garde-barrire
IP 1
IP 2
IP !
IP "
IP 1
IP 2
IP A
IP B
IP !
IP "
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
16
Rseau segment connect par un commutateur
Rseau segment connect par un commutateur
Ethernet
Ethernet
Poste
serveur
Poste
client
INTERNET
Routeur
Commutateur Ethernet
Laboratoire
Sans garde-barrire
Avec un garde-barrire (mode pont)
VLAN 1 VLAN 2
Poste
serveur
Poste
client
INTERNET
Routeur
Commutateur Ethernet
VLAN 1 VLAN 2
Garde-barrire
Transport de VLAN 802.1Q
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
17
Et les VPN ?
Et les VPN ?
C/R
Entit N
Entit 1
Zone
semi-ouverte
R GB
Rseau du laboratoire
Rseau de loprateur :
- Rseau de campus
- Rseau mtropolitain
- Rseau rgional
-
Serveurs
internes
Zone interne
Zone
semi-ouverte
authentifie
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
18
Architecture rseau avec VPN : les questions
Architecture rseau avec VPN : les questions
Adressage
Quelles adresses IP pour le site ou la machine distante ?
Sous-rseau distinct, plage dadresses dans le rseau du labo
Contrle daccs
Veut-on faire du contrle daccs entre le site ou la machine distante
et le rseau interne ?
Dpend du niveau de confiance accord aux machines distantes
Problme diffrent pour les sites distants et les itinrants
Accs Internet
Le site ou la machine distante accde-t-il Internet par lintermdiaire
du laboratoire ou par son propre accs ?
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
19
VPN : accs Internet
VPN : accs Internet
Serveur
VPN
Rseau du
laboratoire
Internet
Serveur
VPN
Rseau du
laboratoire
Internet
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
20
VPN : une proposition darchitecture
VPN : une proposition darchitecture
Adressage : sous-rseau IP distinct
Contrle daccs :
Se rserver la possibilit den faire
Ne peut se faire quen sortie du tunnel, aprs dchiffrement
Accs Internet :
Sites distants :
Choisir plutt laccs indpendant (par le rseau public)
Itinrants :
Choisir plutt laccs par le laboratoire ( travers le tunnel)
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
21
VPN : choix du type dquipement
VPN : choix du type dquipement
Routeur, garde-barrire ou quipement ddi ?
Routeur ou garde-barrire :
Simplification du routage
Le contrle daccs en sortie du tunnel est fait par le mme
quipement
quipement ddi :
O le placer dans le rseau ?
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
22
Nouvelle architecture rseau avec botier VPN
Nouvelle architecture rseau avec botier VPN
Serveurs
accessibles
de lInternet
R GB
Rseau du laboratoire
VPN
Rseau de
loprateur
Vers rseau
interne
volution de larchitecture de rseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
23
Des problmes encore en suspens
Des problmes encore en suspens
Grilles de calcul
Applications spcifiques
Multicast
Visioconfrence
Application typique / ports
Matriel ddi / visio sur poste de travail
Borne sans fil
Hot spot , extension dun rseau,
Problme de scurit et darchitecture
Une nouvelle architecture de rseau en 2004 ?

Vous aimerez peut-être aussi