Académique Documents
Professionnel Documents
Culture Documents
Architectures &
Recommandations
http://drtic.educagri.fr/
Dcembre 2009
1 Prambule..........................................................................................................................................15
1.1 Objectifs.................................................................................................................................................15
1.2 Limites....................................................................................................................................................16
1.3 Structures des EPLEFPA..........................................................................................................................16
2 Infrastructure physique des rseaux.........................................................................................10
2.1 Locaux techniques.................................................................................................................................10
2.2 Technologies cbles.............................................................................................................................12
2.3 Technologies sans fil..............................................................................................................................16
2.4 Recommandations..................................................................................................................................19
3 lments actifs..................................................................................................................................21
3.1 Les hubs..................................................................................................................................................21
3.2 Switch ou commutateur.........................................................................................................................21
3.3 Les ponts................................................................................................................................................25
3.4 Les routeurs............................................................................................................................................25
3.5 Les quipements Box ou triple play................................................................................................26
3.6 Les lments actifs Wifi..........................................................................................................................27
3.7 Recommandations..................................................................................................................................28
4 Infrastructure logique des rseaux............................................................................................30
4.1 Protocoles rseaux.................................................................................................................................30
4.2 Adressage IP...........................................................................................................................................33
4.3 Introduction IPV6................................................................................................................................35
4.4 Segmentation..........................................................................................................................................36
4.5 Les Vlan ou rseaux virtuels...................................................................................................................37
4.6 Recommandations.............................................................................................................................39
5 Interconnexion des rseaux de lEPL.........................................................................................41
5.1 MAN/WAN.............................................................................................................................................41
5.2 RPV/VPN................................................................................................................................................43
5.3 Technologies VPN..................................................................................................................................45
5.4 Les diffrentes solutions VPN.................................................................................................................47
5.5 Recommandations.............................................................................................................................48
6 Scurit des rseaux........................................................................................................................49
6.1 Notions de scurit informatique...........................................................................................................49
6.2 Authentification......................................................................................................................................50
6.2.8 Recommandations........................................................................................................................56
6.3 Firewall...................................................................................................................................................56
6.3.5 Recommandations........................................................................................................................60
6.4 Filtrage Internet......................................................................................................................................61
6.4.8 Recommandations........................................................................................................................64
6.5 Scuriser les accs nomades au rseau local..........................................................................................65
6.5.7 Recommandations........................................................................................................................70
6.6 Surveillance & Analyse rseau................................................................................................................72
6.6.8 Recommandations........................................................................................................................77
7 Sites de rfrences...........................................................................................................................78
7.1 Site du rseau.........................................................................................................................................78
7.2 Sites des distributions.............................................................................................................................78
1 Prambule
Larchitecture des rseaux en EPLEFPA constitue un domaine de rflexion de la premire importance qui
conditionne les usages et la qualit de service du systme dinformation qui se caractrise principalement
par:
des informations varies appartenant gnralement deux grands domaines: les donnes administratives
au caractre parfois confidentiel et les donnes pdagogiques.
de nombreuses familles dusagers: administratifs, enseignants, apprenant de la formation initiale ou continue, titulaires ou vacataires, parents dlves, institutionnelsetc. Les groupes dutilisateurs sont donc trs
htrognes, difficult laquelle sajoute la prsence dlves et dapprentis mineurs.
Une ouverture importante vers de nombreux interlocuteurs institutionnels dont au premier lieu le Ministre de l'Agriculture, de lAlimentation et de la Pche mais galement les Conseils Rgionaux, le Ministre
des Finances, le Ministre de lducation Nationale,etc.
Limportance prise par le systme dinformation de lEPL, son ouverture, la complexit croissante des
rseaux ont fait merger la ncessit de rdiger un guide destination des tablissements.
1.1 Objectifs
Le premier objectif de ce guide est daborder tous les aspects dun rseau local en ralisant un tat de lart
qui permettra aux membres de la commission TIM de ltablissement de comprendre les lments thoriques de base ncessaires une prise de dcision.
Le second objectif est dtablir des recommandations lattention des EPLEFPA. Chaque domaine, abord
sous forme dun chapitre, sera conclu par des recommandations permettant de rendre ce guide plus oprationnel.
Ce document pourra galement servir de document de rfrence dans les discussions avec leurs partenaires et plus particulirement les Conseils Rgionaux en tant que propritaires des infrastructures.
Ce guide est le rsultat dun groupe de travail DRTIC dont lexprience en matire darchitecture rseaux
est diverse. Sur la base des technologies actuelles et dobservations effectues dans les EPL de diffrentes
rgions, il devrait donc permettre de:
clairer des choix: permettre lutilisateur de faire le tour des solutions techniques existantes afin deffectuer des choix en toute connaissance de cause.
tablir des recommandations: celles formules dans ce guide nont pas de valeurs impratives mais
constituent des orientations retenues parce quprouves dans les tablissements, cohrent avec le Systme dInformation de lEnseignement Agricole et respectant la Politique de Scurit des Systmes dInformation du MAAP. Limiter les cots: La vocation de ce document est aussi de permettre la mise en place de
solutions avec des cots limits. Elles sont donc souvent issues du monde du logiciel libre.
1.2 Limites
Ce guide na pas vocation tre exhaustif ni apporter une solution tous les problmes, mais assurer un
minimum dappui technique la prise de dcision dans une structure de type EPLEFPA.
Le secteur des TIC volue rapidement et conduit une obsolescence plus ou moins rapide des documents
imprims. Une version lectronique sera tenue jour rgulirement et publie sur le portail des TICEs initi
par le rseau des DRTIC: http://drtic.educagri.fr/
Elle sera complte rgulirement par des fiches techniques permettant la mise en uvre des recommandations faites dans ce guide.
1.2.1 Politiques des Rgions
Les Conseils Rgionaux ont la responsabilit des infrastructures des tablissements et assurent le financement des quipements. A ce titre, ils sont des partenaires incontournables dans le domaine de larchitecture des rseaux.
Certaines Rgions possdent dj des schmas directeurs dans ce domaine ou sont porteurs de projets qui
ont des rpercussions directes sur larchitecture des rseaux. Il peut sagir, par exemple, du dploiement
dun Environnement Numrique de Travail, du choix dun Fournisseur dAccs Internet, dune solution
de scurit,etc.
Il convient donc de prciser que les prconisations de ce guide sont adapter au contexte rgional.
1.2.2 Autonomie des EPLEFPA
Le conseil dadministration dun EPLEFPA a toute latitude pour conduire un projet dinfrastructure de son
rseau. Dans ce cas, ce guide doit lui permettre de prendre des orientations cohrentes avec les orientations nationales du Ministre tout en ne perdant pas de vue son contexte rgional.
10
Alimentation lectrique
Bien que le courant fourni savre gnralement de bonne qualit, les quipements informatiques
demeurent nanmoins sensibles diverses perturbations lectriques (sautes de tension, surcharge,
courant de fuite,). Il est fortement recommand de fiabiliser ces alimentations par des quipements
assurant une alimentation lectrique stabilise, filtre et continue afin dliminer la plupart des anomalies du rseau souvent lorigine des pannes, incidents, voir arrt total de la production informatique..
Aussi il est important de penser :
fournir une alimentation lectrique indpendante la salle serveur (directement larrive EDF),
quiper la salle ou dfaut chaque serveur dun onduleur.
fournir si possible aux postes utilisateurs une alimentation indpendante du courant domestique. Vrifier
les branchements individuels rgulirement (radiateurs, cafetires, multiprises). Informer les usagers des
risques pour leurs propres fichiers.
Les onduleurs
il fournit un courant de rechange en cas de coupure grce ses batteries. La dure du secours est bien sr
proportionnelle la taille de ses batteries et inversement proportionnelle la consommation des appareils
qui lui sont attribus (de quelques minutes quelques heures).
il rgule le courant (sous-tension, surtension, mais aussi carts de frquence). Tous les onduleurs ne
sont pas aussi performants. Un gros onduleur utilis pour plusieurs machines est gnralement plus performant que plusieurs petits pour un mme cot.
lorsque la coupure se prolonge plus de quelques minutes, il peut ordonner aux serveurs de fermer proprement tous leurs services, vitant ainsi des pertes de donnes.
Londuleur comme ses batteries doit tre minutieusement et rgulirement vrifi. Beaucoup donduleurs
sont maintenant accessibles par le rseau et peuvent tre contrls rgulirement depuis une console dadministration, il faut donc vrifier que les dispositions ncessaires ont t prises.
Climatisation
La climatisation est un lment fondamental de la scurit des systmes dinformation. Les serveurs sont
conus pour fonctionner dans une plage de tempratures dite ambiance de bureau . Au del, soit ils
sarrtent, soit ils risquent la panne grave.
La fourniture de climatisation doit assurer le refroidissement des configurations informatiques hberges
24h sur 24. Toute panne sur la chane climatique peut provoquer une hausse de temprature trs rapide
qui peut savrer fatale pour certains composants sensibles. il est donc trs important que les salles soient
correctement quipes de climatiseur de puissance suffisante.
En cas darrt de la climatisation la temprature augmente rapidement. Il peut donc savrer ncessaire
quelles soient quipes de systmes dalerte (thermostat indpendant) et de procdures et contrats de
maintenances associs.
11
Lincendie
La protection contre le risque incendie est partie intgrante de lenvironnement des salles informatiques. Un
court-circuit dans un passage de cbles et un incendie risque de dtruire en quelques instants la salle machine..
Il faut prendre en compte que ce lieu reste gnralement labri des allers et venues ce qui permet le dveloppement discret dun incendie.
.
La lutte contre lincendie comporte trois volets:
la prvention,
la dtection,
lextinction.
Parmi les points sensibles, on retrouve:
la sensibilisation, la formation et les exercices,
le contrle rgulier des quipements de dtection et de lutte,
les reports dalarmes,
les procdures
Les accs
Un autre point sensible de lenvironnement des salles informatiques est la gestion des flux humains. Les
entres et sorties dans une salle informatique et dans les locaux techniques doivent tre strictement limites aux personnels habilits. Ce flux plus ou moins permanent est considrer comme source potentielle
de dysfonctionnements, quils soient volontaires ou involontaires. Toute autre forme daccs doit se faire
sous la responsabilit et en prsence dun agent habilit. Il convient dinformer tous les intervenants potentiels du caractre sensible des zones dans lesquelles ils sont amens intervenir.
Les prcautions de scurit
regrouper le matriel le plus sensible dans les zones les mieux protges,
ces locaux doivent tre isols des rseaux de servitudes. (eau, lectricit, ascenseurs),
sortir les supports de sauvegarde des locaux, si possible du btiment,
contrler laccs par des systmes cl, cartes, digicodes, faciles utiliser et maintenus oprationnels.
Bilan des points de vigilance
scurit du btiment
scurit daccs
scurit intrusion
scurit incendie
scurit lectrique
scurit climatique
2.1.2 Locaux techniques
Les locaux techniques constituent les nuds secondaires du rseau informatique en assurant les connexions
des quipements terminaux dun ou plusieurs tages. Ils hbergent les baies de brassage, les quipements
actifs du rseau et parfois les sous rpartiteurs tlphoniques.
Les baies de brassage contiennent larrive de toutes les prises informatiques de la zone desservie ainsi que
les hubs (concentrateurs) ou switchs (commutateurs) sur lesquelles elles sont connectes. Elles sont relies
entre elles ainsi qu la salle serveur par des rocades.
Ces locaux sont donc des lments essentiels du rseau local et reprsentent un point de vulnrabilit significatif. Au mme titre que la salle serveur, ils doivent faire lobjet dune attention particulire sur certains
points.
Les recommandations dictes prcdemment pour la salle serveur sappliquent de la mme manire aux
locaux techniques dans les domaines de lalimentation lectrique, des onduleurs et du contrle des accs.
12
13
Catgorie 1
La catgorie 1 est un type de cblage abandonn. Cette catgorie de cble tait destine aux communications tlphoniques. Cette norme nest plus dactualit.
Catgorie 2
La catgorie 2 est un type de cblage abandonn. Cette catgorie de cble permettait la transmission de
donnes 4 Mbit/s avec une bande passante de 2MHz, notamment pour les rseaux de type Token Ring.
Catgorie 3
La catgorie 3 est un type de cblage permettant une bande passante de 16MHz. Ce type de cble de nos
jours ne sert principalement plus qu la tlphonie sur le march commercial, aussi bien pour les lignes
analogiques que numriques. Il est galement utilis pour les rseaux Ethernet (10 Mbps) et Fast Ethernet
(100 Mbps). Ce type de cblage est en cours dabandon par les oprateurs au bnfice de cbles de catgorie 5e ou suprieure, pour la transmission de la voix comme des donnes.
Catgorie 4
La catgorie 4 est un type de cblage permettant une bande passante de 20MHz. Ce standard fut principalement utilis pour les rseaux Token Ring 16 Mbps ou les rseaux 10BASE-T. Il fut rapidement remplac
par les catgories 5 et 5e.
Catgorie 5
La catgorie 5 est un type de cblage permettant une bande passante de 100MHz et un dbit de 100 Mbps.
Ce standard permet lutilisation du 100BASE-TX ainsi que diverses applications de tlphonie ou de rseaux
(Token ring, ATM).
Catgorie 5e
La catgorie 5e (enhanced) est un type de cblage permettant une bande passante de 150MHz et un dbit
1 G-bit/s. La norme est une amlioration de la catgorie 5. Elle est aujourdhui la plus frquente.
Catgorie 6
La catgorie 6 est un type de cblage permettant de transmettre des donnes des frquences jusqu
250MHz et des dbits thoriques ne dpassant pas 1 Gbit/s
Catgorie 6a
Ratifie en 2008, la norme 6a est une extension de la catgorie 6 avec une bande passante de 500MHz
permettant un dbit thorique de 10G-bit/s.
Catgorie 7
La catgorie 7 permet la transmission de donnes des dbits allant jusqu 10 Gbits/s et des frquences
ne dpassant pas 600MHz.
Attention :
Les rseaux de type Ethernet nacceptent pas de liens suprieurs 100 mtres! (quelles que soient la
famille et la catgorie du cblage). Les connecteurs doivent tre en adquation avec les cbles utiliss,
notamment au niveau du blindage. Pour une utilisation extrieure, il existe des qualits de cbles appropries.
2.2.1.3 La fibre optique
Une fibre optique est un cble contenant plusieurs brins constitus dun fil en verre ou en plastique trs
fin qui a la proprit de conduire la lumire et sert dans les transmissions dimages, voix et donnes informatiques. Cest un cblage possdant de nombreux avantages. Lgret, immunit aux perturbations lectromagntiques, faible attnuation, tolrance aux dbits levs, largeur de bande de quelques dizaines de
mgahertz plusieurs gigahertz.
14
Le cblage optique est particulirement adapt la liaison entre rpartiteurs (liaison centrale entre plusieurs btiments, appel backbone, ou en franais pine dorsale) car elle permet des connexions sur des
longues distances (de quelques mtres 60km dans le cas de fibre monomode).
Les fibres optiques peuvent tre classes en deux catgories selon le diamtre de leur cur et la longueur
donde utilise:
Les fibres multimodes sont les plus anciennes sur le march. Elles ont pour caractristique de transporter
plusieurs modes (trajets lumineux), ce qui entrane une dispersion du signal proportionnelle la longueur
de la fibre. En consquence, elles sont principalement utilises dans des liaisons inter btiments avec des
dbits de 100 Mbps ou 1 Gbps et sur des distances de 100m 3km. Elles sont caractrises par un diamtre de cur de 50 ou 62,5m.
Les fibres monomodes, plus fines, sont prfres pour de plus longues distances et/ou de plus hauts dbits.
Leur cur trs fin nadmet ainsi quun mode de propagation, le plus direct possible cest--dire dans laxe
de la fibre. Les pertes sont donc minimes que ce soit pour de trs haut dbits ou de trs longues distances.
Les fibres monomodes sont de ce fait adaptes aux longues distances comme pour les lignes intercontinentales. Ces fibres monomodes sont caractrises par un diamtre de cur de 9m.
Elles sont galement caractrises par des types de connecteurs diffrents dont les principaux sont:
ST et FC (section ronde visser)
MIC (section rectangulaire clipsable)
SC (section carre clipsable)
LC (petite section carre clipsable)
MTRJ (petite section carre clipsable).
2.2.2 CPL
Les Courants Porteurs en Ligne sont des technologies qui visent faire passer de linformation bas dbit
ou haut dbit sur les lignes lectriques en utilisant des techniques de modulation. Selon les pays, les institutions, les socits, les courants porteurs en lignese retrouvent sous plusieurs mots-cls diffrents:
CPL (Courants Porteurs en Ligne)
PLC (Power Line Communications)
PLT (Power Line Telecommunication)
PPC (Power Plus Communications)
Le principe des CPL consiste superposer au signal lectrique de 50Hz un autre signal plus haute frquence (bande 1,6 30Mhz) et de faible nergie. Ce deuxime signal se propage sur linstallation lectrique et peut tre reu et dcod distance. Ainsi le signal CPL est reu par tout rcepteur CPL qui se
trouve sur la mme phase dun mme rseau lectrique.
Dans un immeuble, le cble dalimentation lectrique unique va se ramifier en un nombre important de
distributions secondaires. Et le raisonnement est le mme lchelle du quartier ou de la ville. Il en dcoule
une diffusion du signal qui a deux effets ngatifs:
la diminution de la force du signal chaque division,
le partage de la bande passante par tous les appareils,
la propagation difficilement contrlable des donnes dans des lieux qui ne sont pas forcment ceux que
lon souhaite.
Les moteurs lectriques et les alimentations dordinateurs gnrent de violentes perturbations sur les
rseaux lectriques. La perturbation est dj lennemi des rseaux Ethernet classiques, avec le CPL, elle
peut apparatre et disparatre tout moment et tout endroit, sans quil soit facilement possible de relier
son apparition avec le fonctionnement dun appareil donn. Ds lors, il est ncessaire de faire appel
15
une technologie de signal particulirement robuste. Schmatiquement, le signal est transmis par plusieurs
trames concurrentes mises sur plusieurs frquences. On garde le meilleur larrive.
On distingue logiquement deux types de CPL:
outdoor: lextrieur des constructions. Cest lune des rponses possibles la desserte des localits et des
habitations isoles, non desservies par lADSL. Cette technologie est utilise ltranger, mais en France, la lgislation nautorise pas encore un fournisseur dnergie tre aussi oprateur de tlcommunication.
indoor: lutilisation dans un btiment professionnel qui est alors directement concurrente du Wi-Fi, on
peut rajouter lutilisation familiale, a priori plus souple et plus intuitive que le WI-Fi. Il suffit gnralement
de brancher le modem sur une prise du secteur et dy connecter son PC.
Encore trs rcent, le CPL se dcline en un grand nombre de technologies propritaires. Les quipements
commercialiss ce jour pour le grand public sont bass sur des technologies Homeplug ou DS2, qui sont
incompatibles entre elles. Le HomePlug est le plus rpandu, mais limit par sa faible performance (14 Mbps
thoriques, 6 7 rels). Les volutions rcentes permettent des dbits thoriques de 85 200 Mbps.
2.2.3 Autres (xDSL)
Les technologies dites ligne dabonn numrique, en anglais Digital Subscriber Line ou DSL ou encore
xDSL, regroupent lensemble des technologies mises en place pour un transport numrique de linformation sur une simple ligne de raccordement tlphonique. Les lignes tlphoniques permettent de diffuser
des ondes comprises dans un spectre de frquences dont la voix nutilise quune partie trs restreinte.
Lide est de mettre profit la partie non utilise du spectre pour transporter des donnes.
Il existe un grand nombre de types de DSL dont les principaux sont lADSL et le SDSL. Ces technologies
sont principalement utilises par les oprateurs pour connecter leurs abonns au WEB. Le prfixe A pour
Asymtrique et S pour Symtrique dcrit le rapport entre bande passante ascendante, de lutilisateur vers
le rseau, (upload) et bande passante descendante, du rseau vers lutilisateur, (download). LADSL a un
upload beaucoup plus faible que le download tandis que pour le SDSL les deux bandes passantes sont
gales. La premire convient donc bien pour un utilisateur du web, tandis que la seconde permet denvisager lmission de donnes ncessaires par exemple lhbergement dun serveur web ou linterconnexion de deux sites distants.
La technologie VDSL (Very high bit-rate DSL) est galement rpandue. Elle permet datteindre de trs hauts
dbits de 13 55,2Mbps.
Cette technologie permet dtablir des connexions rseau local sans dployer de cblage ddi. il suffit
dutiliser des installations tlphoniques existantes. Dans ce cas, il faut utiliser un botier rpartiteur la
racine du rseau tlphonique, et un botier client (modem VDSL) au niveau de chaque prise de tlphone,
lui adjoignant ainsi une prise RJ45.
Lusage le plus frquent et le plus intressant du VDSL consiste raccorder deux points distants quand
la distance excde les 100m maxi des rseaux Ethernet et que linstallation tlphonique est existante.
On appelle cela un pont VDSL. Dans ce cas, on utilise une installation base sur une interface serveur
une extrmit du fil tlphonique, et une interface client lautre extrmit. Chaque botier est reli un
rseau Ethernet par un connecteur RJ45. Pour cet usage, on utilise un VDSL symtrique, avec un dbit de
5, 10, 15, 18 ou 34 Mbps, selon la distance, qui peut atteindre 1,5km. Son successeur, le VDSL2 permet
datteindre 50 Mbps symtrique et une distance allant jusqu 3km.
Les autres technologies xDSL sont:
IDSL (ISDN DSL, variante oriente donnes de lISDN [Numris])
ReADSL (Reach Extended DDSL), augmente la porte de lADSL
HDSL (High Bit Rate DSL) et G. SHDSL, anctre du SDSL,
RADSL (Rate Adaptive DSL)
G-Lite, ADSL bas dbit ne ncessitant pas de filtres,
DSM (Dynamic Spectrum Management), concurrent du VDSL.
16
17
taine de mtres). Dans un environnement ouvert, la porte peut atteindre plusieurs centaines de mtres
voire dans des conditions optimales plusieurs dizaines de kilomtres avec des antennes directionnelles.
2.3.3.1 Le mode infrastructure
Le rseau sans fil est fond sur une architecture cellulaire o chaque terminal client appel BSS (Basic Service Set) est contrl par un point daccs (Access Point), le tout formant un rseau appel ESS (Extended
Service Set). Les points daccs peuvent tre relis entre eux pour permettre un terminal de passer de
lun lautre tout en restant sur le mme rseau local (concept du roaming). Pour sidentifier auprs dun
rseau sans fil, les ordinateurs utilisent son identifiant de rseau (SSID).
Le point daccs, souvent appel borne WIFI se comporte comme un concentrateur sur un rseau filaire.
Chaque terminal sans fil reoit donc tout le trafic transitant par cette borne. Si ce terminal scrute simultanment plusieurs canaux, il recevra alors le trafic de tous les rseaux qui lentourent. Dans ce mode la bande
passante est partage par tous les utilisateurs.
2.3.3.2 Le mode ad-hoc
Il sagit dun mode point point entre des quipements sans fil. Cest un mode de fonctionnement qui
permet de connecter directement les ordinateurs quips dune carte Wi-Fi, sans utiliser un matriel tiers
tel quun point daccs. Il est idal pour interconnecter rapidement des machines entre elles sans matriel
supplmentaire. Sa mise en place se borne configurer les machines en mode Ad-Hoc, la slection dun
canal (frquence) et dun nom de rseau (SSID) commun tous.
Grce lajout dun simple logiciel de routage dynamique (OLSR, AODV), il est possible de crer des
rseaux maills autonomes (mesh networks) dans lesquels la porte ne se limite pas ses voisins car tous
les participants jouent le rle du routeur.
2.3.3.3 Les diffrentes normes Wi-Fi
La norme IEEE 802.11 initiale est dcline en un certain nombre de normes drives afin de rpondre des
objectifs dinteroprabilit ou de scurit. Les principales sont, ce jour, les normes IEEE 802.11a, IEEE
802.11b, IEEE 802.11g, IEEE 802.11i, et IEEE 802.11n.
Toutefois, lutilisation de certains canaux est soumise aux lgislations nationales
802.11a: Elle utilise la bande de frquence des 5 GHz et autorise un dbit thorique de 54 Mbps. La lgislation franaise nautorise cette bande de frquence quen intrieur pour des puissances dmission infrieures 100mW.
802.11b: Adopte en 1999, elle permet datteindre un dbit thorique de 11 Mbps avec une porte pouvant atteindre plusieurs centaines de mtres en environnement dgag. Elle utilise la bande de frquence
des 2,4 Ghz sur 14 canaux de transmission diffrents, dont trois seulement sont utilisables simultanment
au dbit maximal. Elle permet ainsi plusieurs rseaux de cohabiter au mme endroit, sans interfrence.
802.11g: Elle permet un dbit thorique de 54 Mbps dans la bande de frquence des 2.4Ghz. Elle est compatible avec la norme IEEE 802.11b permettant ainsi aux quipements 802,11g de fonctionner en environnement 802.11b, avec une dgradation des performances.
802.11n: Cette norme est en cours de dploiement en 2008. Elle utilise galement la bande de frquence des 2.4Ghz et reste compatible avec les normes 802.11b et 802.11g. Le dbit thorique atteint les.
600 Mbps (dbit rel de 100 Mbps dans un rayon de 90 mtres) grce aux technologies MIMO (MultipleInput Multiple-Output) et OFDM (Orthogonal Frequency Division Multiplexing).
Il faut noter que des quipements qualifis de pr-N sont disponibles depuis 2006: ce sont des quipements qui mettent en uvre une technique MIMO dune faon propritaire, sans rapport avec la norme
802.11n.
Cette norme sait combiner jusqu 8 canaux, ce qui permettrait en thorie datteindre une capacit totale
effective de presque 1 Gbps.
18
802.11f: Elle met laccent sur une meilleure interoprabilit des produits en proposant le protocole InterAccess point roaming protocol pour permettre un utilisateur itinrant de changer de point daccs de
faon transparente lors dun dplacement, quelles que soient les marques des points daccs prsents dans
linfrastructure rseau. Cette capacit est appele roaming.
802.11i: Elle met laccent sur la scurit en proposant des mcanismes de contrle dintgrit, dauthentification et de chiffrement. Elle sappuie sur lAES (Advanced Encryption Standard) et propose un chiffrement
des communications pour les transmissions utilisant les standards 802.11a, 802.11b et 802.11g.
2.3.3.4 Limites et risques
Les principales limites des technologies relevant de la famille des normes 802.11 dites wi-ficoncernent la
scurit des transmissions et les risques sanitaires.
De par sa technologie le Wi-Fi est un protocole qui diffuse les donnes par radio vers toutes les stations qui
sont aux alentours, ce qui la rend trs simple couter. Un utilisateur mal intentionn peut se placer dans le
primtre des quipements du rseau afin de rcuprer les informations qui lui permettront davoir accs
au rseau. La sensibilit au brouillage est une autre vulnrabilit induite par la technologie des rseaux sans
fil. Cet aspect est trait en dtail au chapitre 6.5 Scuriser les accs nomades au rseau local.
Le Wi-Fi est au cur des interrogations quant limpact des radio frquences sur la sant de lhomme. Les
ondes mises par les quipements Wi-Fi sont dune puissance vingt fois moindre que celles mises par les
tlphones mobiles qui sont gnralement tenus proximit immdiate du cerveau, ce qui nest pas le cas
des quipements Wi-Fi lexception des tlphones Wi-Fi. La densit de puissance dun signal tant inversement proportionnelle au carr de la distance, elle dcroit rapidement.
Plusieurs organismes ont ralis des tudes au sujet de leffet sur la sant du Wi-Fi. Lagence franaise
de scurit sanitaire de lenvironnement et du travail (AFSSET) synthtise les connaissances scientifiques
actuelles sur son site http://www.afsset.fr/. Elle a rendu 15octobre 2009, la demande du gouvernement,
un rapport intitul Les radiofrquences: mise jour de lexpertise relative aux radiofrquences contenant un ensemble davis et disponible au tlchargement sur son site.
2.3.4 WMAN (802.16x)
La BLR (Boucle Locale Radio) fait partie des rseaux sans fil de type WMAN (Wireless Metropolitan Area
Networks). Cest une technologie sans fil capable de relier les oprateurs leurs clients grce aux ondes
radio sur des distances de plusieurs kilomtres. Elle est plus connue sous son nom commercial WiMax qui
est un acronyme pour Worldwide Interoperability for Microwave Access).
Les rseaux sans fil de ce type rpondent une famille de norme IEEE 802.16 qui permet des dbits de
lordre de 70 Mbps avec une porte thorique pouvant atteindre une centaine de kilomtres. Cette technologie est utilise la fois pour les rseaux de transport et de collecte, et pour les rseaux de desserte
souvent en lieu et place de lADSL. Son dploiement sur le territoire national est en cours sous limpulsion
des collectivits territoriales avec comme objectif principal la couverture en haut dbit des zones peu ou
mal couvertes par lADSL.
La sous-norme 802.16e, en cours dadoption, ajoutera de la mobilit la norme actuelle IEEE 802.16.
2.3.5 WWAN Rseaux de tlphonie mobile
Le dploiement et lvolution des rseaux de tlphonie mobile permet dajouter des services de transport
de donnes la voix offrant ainsi la possibilit de connecter un terminal informatique Internet.
Lusage principal consiste connecter un ordinateur portable au rseau Internet soit en utilisant un tlphone portable comme modem, soit en disposant dune clef USB quipe dune carte SIM dun oprateur
ou en utilisant un ordinateur portable pr-quip dune carte SIM intgre,
Le dveloppement de cette technologie est classifie en Gnrations accompagnes dacronymes dont
les principaux sont:
19
2G GSM: Global System for Mobile Communication. Cette gnration a vu lexplosion de la tlphonie
mobile pour laquelle elle a t conu. Elle ne permettait le transport de donnes qu de faibles dbits
denviron 9,6 Kbps.
2.5G GPRS: General Packet Radio Service. Cest une extension du GSM permettant la transmission de
donnes par paquets autorisant ainsi des dbits plus levs, adapts de petits volumes de donnes. Le
dbit thorique est de 171 Kbps, mais excde rarement les 50 Kbps rels.
2.75G EDGE: Enhanced Data Rate for GSM Evolution. Cest nouveau une extension de la norme GSM
qui permet dlever les dbits en utilisant les infrastructures existantes avant larrive des rseaux de 3e
gnration. Elle est particulirement prsente dans les zones rurales faible densit dabonns. Le dbit
thorique est de 384 Kbps, mais dpend de la qualit du lien radio.
3G UMTS: Universal Mobile Telecommunications System. Cette nouvelle gnration utilise des bandes
de frquences diffrentes des rseaux prcdents afin datteindre des dbits autorisant lusage dapplications multimdias et laccs Internet haut dbit. Les dbits thoriques schelonnent entre 144 Kbps lors
dune utilisation mobile et 2 Mbps lors dun usage fixe.
3G + HSDPA: High Speed Downlink Packet Access. Cest une volution logicielle de lUMTS qui
permet damliorer de faon significative la qualit du lien radio descendant. Elle permet actuellement
datteindre des dbits thoriques atteignant 14,4 Mbps en download et 384 Kbps en Upload. En 2008 en
France, son dploiement est en cours et principalement ralis dans les zones forte densit dabonns.
4G OFDM: Orthogonal Frequency Division Multiplexing. Cette nouvelle gnration est en cours dtude.
Les premiers tlphones 4G devraient apparatre en 2009 et les premiers rseaux en 2010 au Japon o des
tests ont permis datteindre des dbits de lordre du Gbps.
2.4 Recommandations
Les recommandations effectus dans ce chapitre sont cohrentes avec la politique de scurit des systmes
dinformation (PSSI) dicte par le Ministre et qui simpose aux tablissements denseignement.
2.4.1 Les locaux
Chaque site hbergeant des serveurs doit tre quip dune salle ddie cet usage et rpondre au minimum aux critres suivants:
Accs limits strictement au personnel ncessaire. La salle serveur est un local ferm dont laccs est
contrl par un systme de clef ou de code. Les fentres sont quipes de barreaux. Une procdure dfinit
qui peut y accder et sous quelles conditions.
La climatisation est indispensable au bon fonctionnement des quipements contenus dans la salle et permet daccroitre leur dure de vie. Elle doit tre dimensionne correctement en fonction du volume de la
pice et du nombre de serveurs quelle pourrait accueillir. Elle doit galement faire lobjet de vrifications
rgulires et dun contrat de maintenance permettant sa remise en fonction dans des dlais courts.
Scurit incendie. La salle serveur doit tre quipe dun systme de dtection dincendie contrl et
test rgulirement. Aucun stockage de matriaux inflammables, notamment des cartons ou du papier, ne
devra encombrer ce local.
Lalimentation lectrique devra tre indpendante des autres circuits du btiment. Elle sera secourue
par un onduleur permettant dassurer le fonctionnement des quipements pour une dure au minimum
quivalente au temps ncessaire larrt des serveurs. A dfaut, chaque serveur sera quip de son propre
onduleur. Quelle que soit la solution retenue, des procdures de tests rguliers seront mises en place et les
quipements de secours feront lobjet de contrats de maintenance.
Les locaux techniques sous-rpartiteurs hbergeant les lments actifs du rseau rpondront, dans la
mesure du possible et en fonction de leur importance, aux mmes rgles que la salle serveur. Au minimum,
il seront situs dans des locaux ferms qui ne seront jamais en libre accs.
20
Dans le cas dun nombre faible de connexions, le sous rpartiteur se prsentera sous la forme dun coffret
mural situ dans une salle ddie dautres usages. Cette armoire sera ferme clef et uniquement accessible au personnel habilit.
2.4.2 Le cblage rseau
Les projets de cration, de modification ou dextension du rseau local dun tablissement privilgieront
systmatiquement les solutions bases sur la pose dun cblage qui permet des dbits plus levs, une
meilleure qualit de service ainsi quune prennit plus importante.
2.4.2.1 Intrieur btiments
Les cbles en cuivre de type paires torsades seront privilgis. Ils seront de prfrence crants et blinds
(SFTP) et appartiendront au minimum la catgorie 5e qui permet une bande passante de 1 Gbit/s.
La ralisation devra tre confie une socit spcialise, qui est la seule connatre toutes les contraintes
physiques et techniques des rseaux informatiques et notamment celle lies la qualit des terres informatiques, de la soudure des crans de blindage, du cheminement des courants faibles,etc. Elle devra remettre
un cahier de recettes comportant les mesures de lensemble du cblage et des prises poses permettant de
garantir le respect des normes.
Dans la mesure du possible, chaque btiment hbergera un local technique ferm par tage abritant les
baies de brassage et les lments actifs. Ces dernires seront relies entre elles par des rocades cuivres ou
fibres optiques multimodes permettant un dbit minimum d1 Gbit/s.
Lutilisation de la technologie des courants porteurs en ligne (CPL) est rserver strictement un usage
temporaire concernant un nombre restreint de postes de travail.
Lusage dune technologie sans fil peut tre envisage en raison de son faible cot et de sa simplicit de
pose. Il est toutefois important dintgrer le fait quelle est nettement moins performante, fiable et sure.
Pour atteindre un niveau de qualit satisfaisant, il est vivement conseill de recourir aux services de professionnels de ce secteur, dautant plus quil est caractris par une grande diffrence de qualit et donc de
tarif des quipements.
Lorsque le Wifi est retenu, la prfrence ira la mise en uvre dquipement de qualit rpondant la
norme 802.11n qui reste compatible avec les quipements plus anciens de type 802.11 b et g.
Dans tous les cas, les rseaux installs devront tre scuriss conformment aux recommandations qui
seront effectus dans les chapitres suivants.
2.4.2.2 Liens inter btiments
Contrairement aux usages internes, les cbles sont proscrire en raison de la faible longueur quils autorisent (< 100m) ainsi que leur sensibilit aux rayonnements lectromagntiques et donc aux orages. Le
seul cas pour le quel cette solution sera envisageable concerne la rcupration dun ancien cble enterr
permettant dviter les importants cots lis aux travaux qui pourraient tres ncessaires comme le creusement dune tranche. Il suffit alors de rcuprer une paire tlphonique existante et de lutiliser avec des
quipements rpondant la norme VDSL ou VDSL2 qui permettent un dbit allant jusqu 50 Mbps sur une
distance maximale denviron 3km.
Dans tous les autres cas, les fibres optiques seront privilgis. Elles seront du type multi modes et multi
brins permettant un dbit allant jusqu 1 Gbps sur une distance pouvant atteindre 3km. Le nombre de
brins sera dfini en fonction du nombre de connexions mettre en uvre, sachant que chacune dentre
elle ncessite 2 brins. Le cot dinstallation dun pont en fibre optique nest pas proportionnel au nombre
de fibres mais plutt la main duvre. Il est donc intressant et utile de prvoir une fibre surdimensionne
de ce point de vue. Dans la mesure du possible, toutes les fibres optiques de ltablissement seront quipes du mme type de connecteur afin de permettre une uniformit des quipements au niveau des baies
de brassage et des lments actifs.
Encore plus que pour le cblage cuivre, la ralisation devra tre confie une socit spcialise, qui est
la seule connatre toutes les contraintes physiques et techniques des fibres optiques. Elle devra bien videmment remettre un cahier de recettes comportant toutes les mesures garantissant la qualit de la liaison.
21
Lorsquil nexiste pas de voie permettant la pose de fibre entre deux btiments et que la rcupration de
paires tlphoniques existantes nest pas possible, des travaux de gnie civil simposent, mais leur cot est
souvent prohibitif. Dans ce cas, il est possible de recourir une technologie sans fil permettant de relier les
deux btiments par un pont Wifi.
Cette technologie utilise gnralement des antennes directionnelles extrieures montes en vis vis qui
permettent de relier entre elles deux bornes Wifi connectes deux rseaux locaux. Il existe dans ce
domaine une offre trs varie avec un grand ventail de qualit, de performance et de tarifs des quipements do limportance de recourir aux services de professionnels. Comme dans le cas des points daccs,
il est conseill de choisir des quipements en fonction de leurs qualits plutt que de leurs prix et rpondant la norme 802.11n. Certains quipements permettent aujourdhui de relier de faon satisfaisante des
btiments spars de plus de 10km.
Les ponts Wifi demandent particulirement tre scuriss conformment aux recommandations qui
seront effectus dans les chapitres suivants dans la mesure o ils sont assez simples couter
3 lments actifs
Les lments actifs sont les lments constitutifs des rseaux: ils permettent linter-connexion des quipements informatiques dun rseau local.
Les principaux quipements mis en place dans les rseaux locaux sont:
Les concentrateurs (hubs), permettant de connecter entre eux plusieurs htes sur un mme bus avec un
partage de la bande passante.
Les commutateurs (switchs) permettent de relier divers lments tout en segmentant la bande passante
du rseau.
Les ponts (bridges), permettent de relier des rseaux locaux distants en relayant la totalit du trafic.
Les routeurs, permettent de relier plusieurs rseaux locaux entre eux ou avec Internet.
Les autres quipements de connexion (bornes wifi, triple play,)
22
Contrairement au hub, un commutateur ne se contente pas de reproduire sur tous les ports chaque trame
de donnes quil reoit. Il sait dterminer vers quel port elle doit tre relaye en fonction de ladresse de
destination quelle contient. Ce mode de fonctionnement rduit considrablement le trafic sur lensemble
du rseau local en faisant de chacun de ses ports un segment diffrent avec un domaine de collision spar.
Ils peuvent tre chains entre eux afin dtendre simplement la taille du rseau local, thoriquement sans
limite de nombre.
Les commutateurs fonctionnent au niveau des couches 1, 2 et parfois 3 et suprieurs du modle OSI (cf.
chapitre 4). Certains modles sont administrables de faon pouvoir paramtrer les fonctions avances
quils embarquent.
3.2.1 Les niveaux de commutations
Les oprations de commutations effectues par un switch peuvent tres ralises au niveau 2 du modle
OSI sur la base des adresses MAC. Le switch est alors dit de niveau 2. Ces oprations sont galement ralisable au niveau 3 du mme modle sur la base des adresses IP, il est alors dit de niveau 3.
Certains modles sont appels de niveau 4. Cest un terme commercial sans relle rfrence avec le modle
OSI. Ils permettent gnralement de bloquer lutilisation du rseau par certaines applications en dcodant
compltement le message transmis, notamment au niveau des ports TCP et UDP utiliss.
3.2.2 Switchs administrables
Un switch manageable (administrable) est un modle qui permet, gnralement grce une interface de
type WEB, de grer les paramtres de communication des ports, deffectuer des oprations de surveillance,
de diagnostic, de maintenance ainsi que de mettre en uvre des fonctionnalits avances comme la mise
en place de rseaux virtuels (VLAN cf. chapitre 4).
Les versions les plus volues disposent de protocoles leur permettant dchanger leurs informations afin
doptimiser le fonctionnement du rseau local ou den centraliser la gestion. Linterface dadministration
offre souvent la possibilit deffecteur la sauvegarde et la restauration de la configuration.
Lusage des fonctionnalits avances, dont certaines relvent dun format propritaire, oblige souvent
mettre en place une gamme de matriel cohrente et issue du mme fabricant.
23
24
Jumbo Frame
Les Jumbo Frame sont des trames de donnes 6 fois plus importantes que la normale (1518 octets). Les
Jumbo Frame atteignent donc: 6 x 1518 =9108 octets, soit 8,8Ko. Ce qui permet, quand deux ordinateurs
senvoient de grandes quantits de donnes, de rduire limpact de la vitesse de commutation du switch sur
le dbit de transmission et surtout de rduire limpact de cette communication sur le transit des donnes
dans le rseau entier. En effet, le switch est beaucoup moins sollicit (6 fois moins) et peut donc soccuper
des autres dialogues. Cette fonction est trs intressante dans les rseaux encombrs.
Protocole de routage
Protocole de dialogue entre lments actifs RIP (V1, V2) et OSPF V2. Le support de protocole de routage
permet le dialogue entre lments actifs, qui schangent alors des informations (table dadressage, carte
du rseau,etc.) afin dacclrer les dcouvertes du rseau et ainsi damliorer la dcouverte de la topologie
des lments dun rseau, et donc la rapidit des transports de donnes sur le rseau.
Spanning Tree
Le Spanning Tree est un protocole dinterconnexion standardis par les normes 802.1D, 802.1W et 802.1S
Le Spanning Tree est une fonction qui permet dviter les phnomnes de bouclage (dans un rseau complexe ou avec des redondances dquipement) qui peuvent provoquer un effondrement du rseau.
Power over Ethernet
Le PoE ou norme 802.3af permet de faire passer une tension de 48 V pour une puissance de 12W sur le
cable Ethernet. Elle utilise une paire de fils inutiliss sur les 4 que contient un cble UTP ou STP afin dalimenter lectriquement certains appareils du rseau comme les tlphones IP.
3.2.4 Caractristiques physiques
3.2.4.1 La gestion des ports
A la diffrence des hubs, la majorit des switchs peuvent utiliser le mode Full duplex. La communication
entre les switchs rcents et les priphriques qui leurs sont connects est en mode full duplex, cest
dire bi-directionnelle. Le Switch vrifie automatiquement si le priphrique connect est compatible avec
ce mode de transmission. Cette fonction est souvent reprise sous le terme Auto Ngociation.
La presque totalit des modles sont souvent dits Auto MDI/MDIX,ce qui signifie que chaque port va
dtecter automatiquement le croisement des cbles pour la connexion Ethernet. Dans certains modles
ancien, un port muni dun bouton poussoir, reprend la fonction manuellement.
3.2.4.2 Larchitecture interne
Un commutateur, un hub ou un routeur peut se dcomposer en deux parties:
Un backplane (fond de panier en franais).
Un ensemble de port dentres/sorties.
Les ports sont interconnects par lintermdiaire du fond de panier qui est en quelque sorte la carte mre
de lquipement sur laquelle se trouvent tous les composants (processeur, mmoire vive, mmoire morte)
ncessaires au fonctionnement du systme dexploitation spcialis (par exemple IOS pour les routeurs
CISCO). Il gre laiguillage des paquets entre les ports dentres et de sorties ainsi que la gestion de la
congestion.
Ces lments sont prendre en compte dans le choix dun quipement appel grer un trafic important,
car ils influent directement sur le niveau de performance global du rseau. Ainsi un routeur peut jouer sur
plusieurs points pour augmenter ses performances:
La vitesse dinterconnexion du fond de panier.
La taille des mmoires.
La capacit de routage et de service des interfaces.
25
26
de faire la correspondance entre ladresse de destination et la sortie prendre. Exemple de traitement dans
le cas dun routeur IP:
Un paquet est rcupr sur la file dentre.
Ladresse IP de destination du paquet est utilise conjointement avec la table de routage pour dterminer
le prochain routeur (prochain saut) ou si la destination est atteinte.
Len-tte du paquet est mis jour pour y inscrire des informations de traitement comme le nombre de
sauts effectus.
Le paquet est mis dans la file de sortie choisie puis il est expdi.
27
Ce type dquipement est apparu en 2002 et est aujourdhui devenu la norme pour les offres grand public
de tous les oprateurs, offres qui sont dites triple play dans la mesure o elles intgrent laccs Internet,
la tlphonie et la tlvision.
3.5.5 Fonctionnement
Les Box sont des matriels intgrant de nombreuses connexions et fonctionnalits. Elles permettent la
connexion Internet en mode ADSL par lintermdiaire dune prise tlphonique et grent cet accs en
intgrant des fonctionnalits de routeur. Elles peuvent galement tre paramtres comme des ponts.
La quasi totalit des Box intgre un petit switch permettant la connexion de plusieurs quipements en
mode Ethernet ou en CPL mais galement une interface Wifi pour leur permettre de se comporter comme
un point daccs.
Les Box sont quipes de fonctions logiciels plus ou moins sophistiques, accessibles en mode WEB, pour
la gestion des fonctions de filtrage pare-feu, de routage, daccs Wifi et dadministration.
28
3.7 Recommandations
3.7.1 Les commutateurs (switchs)
Lutilisation des Hubs sur les rseaux dtablissement est dsormais proscrire et le remplacement de
matriels de ce type qui seraient encore en service est prvoir. De la mme faon les switchs non administrables ne correspondent plus aux besoins des gros tablissements et devront tre remplacs afin de pouvoir mettre en uvre les recommandations relatives la segmentation et la scurit des rseaux locaux.
Il nest pas dans les attributions de ce guide de prconiser un type prcis de matriel et encore moins une
marque, nanmoins il sera prfrable que les quipements actifs du rseau soient de la mme gamme dun
mme fabricant. En effet, limplmentation de certaines normes nest pas toujours exactement la mme
dun constructeur lautre, ce qui peut engendrer des dysfonctionnements sur un rseau local. De plus, la
cohrence globale des switchs permet ladministrateur du rseau de navoir travailler quavec une seule
interface dadministration diminuant ainsi le risque derreur.
Tous les lments actifs du rseau de ltablissement devront dsormais tre administrables et rpondre au
minimum aux normes suivantes:
Commutation de niveau 2 (OSI)
29
30
Les fonctionnalits supplmentaires comme le contrle daccs aux ports (802,1x) appel aussi WPA Enterprise, la QoS (802,11e) ou le roaming (802,11f) seront tudier au cas par cas en fonction du projet de
rseau, du niveau de scurit souhait et des types dusage.
La mise en place dun rseau sans fil ncessite une tude pralable minutieuse en fonction des usages
prvus, des types dutilisateurs mais aussi de lenvironnement physique et lectro-magntique auxquels
les ondes radio sont trs sensibles. Il est recommand de faire procder des tests pralables du matriel
envisag afin de vrifier la porte et la qualit de la bande passante dans lenvironnement rel.
Il sera trs important de dfinir prcisment le nombre potentiel dutilisateurs simultans par point daccs. Ce facteur est dterminant dans la mesure o les stations connectes une mme borne partagent
une mme bande passante ce qui provoque une dgradation rapide du dbit offert avec laugmentation du
nombre de postes.
Niveau
Couche
Application
Prsentation
Session
Transport
Rseau
Liaison
Physique
Fonctionnalit
1. La couche physique est compose du support physique (dit aussi mdium, canal de transmission ou circuits de donnes), ainsi que des quipements terminaux et intermdiaires, tel que le modem par exemple.
Elle est charge de la transmission effective des signaux entre les matriels. Son service est typiquement
limit lmission et la rception dun bit ou dun train de bits continus.
2. La couche liaison de donnes gre les communications entre 2 machines adjacentes, directement relies
entre elles par un support physique et conditionne les bits bruts de la couche physique en trames de donnes. La couche liaison de donnes est galement charge du contrle derreurs afin que les bits de donnes reus soient identiques ceux qui ont t envoys.
3. La couche rseau gre les communications de bout en bout, gnralement entre machines(routage et
adressage des paquets) et est charge dadresser les messages et de convertir les adresses et noms logiques
en adresses physiques. Elle dtermine aussi litinraire emprunter de lordinateur source lordinateur
destination, en fonction des conditions du rseau, de la priorit du service et dun certain nombre de fac-
31
teurs. Elle gre aussi les problmes de trafic comme la communication, lacheminement et lencombrement
des paquets de donnes sur le rseau et les sous-rseaux.
4. La couche transport gre les communications de bout en bout entre processus (programmes en cours
dexcution) et garantit la bonne livraison des messages, sans erreur, dans lordre et sans perte ni doublon.
A la rception, la couche transport dsencapsule et rassemble les messages dorigine puis met un accus
de rception.
5. La couche session gre la synchronisation des changes et des transactions, permet louverture et la fermeture de sessions. Elle assure les fonctions complmentaires ncessaires ltablissement de la communication entre deux applications sur le rseau (identification, scurit,), de mme que la synchronisation
des tches utilisateurs et de contrler le dialogue tabli entre deux processus de communication.
6. La couche prsentation est charge du codage des donnes applicatives, prcisment de la conversion
entre donnes manipules au niveau applicatif et chanes doctets effectivement transmises. La couche prsentation gre cette reprsentation universelle des donnes changes par des systmes ouverts. Il existe
plusieurs faons de reprsenter des donnes, par exemple, lASCII et lEBCDIC pour les fichiers texte.
Elle utilise un langage commun comprhensible par tous les nuds du rseau, et dtermine la forme sous
laquelle schangent les donnes entre les ordinateurs du rseau. Ct mission, elle convertit les donnes
du format transmis par la couche application en un format intermdiaire, admis de tous.
7. La couche application est le point daccs aux services rseaux, elle na pas de service propre spcifique
et entrant dans la porte de la norme. Cette couche, appele ALS pour Application Layer Structure, est la
fentre par laquelle les processus dapplication accdent aux services du rseau. Normalise sous ISO 9545
qui dfinit la composante communication, elle reprsente les services qui prennent en charge les applications utilisateur.
Ces 7 couches sont parfois rparties en 2 groupes:
Les 4 couches infrieures sont plutt orientes communication et sont typiquement fournies par un systme dexploitation
Les 3 couches suprieures sont plutt orientes application et ralises par des bibliothques ou des programmes spcifiques. Dans le monde IP, ces 3 couches sont rarement distingues et les fonctions de ces
couches sont considres comme partie intgrante du protocole applicatif.
4.1.2 Le modle TCP/IP
Un peu dhistorique: le DARPA (Defense Advanced Research Projects Agency) agence du ministre de
dfense amricain, finana des universitaires pour mettre au point un rseau ferm, scuris, en remplacement du rseau tlphonique qui tait une passoire dinformations secrtes (les annes 1960-1970 sont
celles de la guerre froide avec les pays de lest). Le rseau ARPANET vit le jour et fut lanctre dInternet.
TCP/IP est un modle reprsentant lensemble des rgles de communication sur Internet (avec un grand I),
en parlant du rseau mondial et ne pas confondre avec internet (petit i) qui est une des couches de ce
modle. TCP et IP sont aussi les deux principaux protocoles de ce modle.
Comparaison des modles OSI et TCP/IP
Modle TCP/IP
Application
Modle OSI
Application
Principaux Protocoles
HTTP, DNS, FTP, SSL, SSH,Telnet, Pop, etc..
Format
Messages
TCP, UDP
IP, ICMP, RIP, ARP, RARP, OSPF, ...
Segments
Paquets
Prsentation
Transport
Internet
Rseaux physiques
Session
Transport
Rseau
Liaison
Ethernet, PPP, ...
Physique
Paires cuivres, Fibres optiques, ...
Trames
32
33
Cest le protocole alternatif TCP pour les applications ncessitant des transferts rapides, comme la vido,
la voix sur IP,
Il fonctionne en mode non connect en offrant un service de datagrammes qui ne garantit ni la remise ni
lordre des paquets conomisant ainsi des ressources et du temps de traitement.
SPX: Sequenced Packet Exchange (change de paquets squencs).
Ce protocole de niveau 4 a t dvelopp par la socit Novell, en complment du protocole IPX assez
largement abandonn.
4.2 Adressage IP
Prambule: Tout quipement connect un rseau est identifi de manire unique par son adresse physique. Cest ladresse MAC. Cest une suite de 48 bits soit 6 octets gnralement inscrite sur la carte rseau
par son constructeur.
Les postes sont connects des rseaux locaux communiquant entre eux, do la ncessit dutiliser des
adresses logiques distinctes des physiques afin de pouvoir identifier une machine sur un rseau distant.
Ladresse IP est cette adresse logique qui identifie chaque ordinateur connect Internet, ou plus prcisment linterface avec le rseau de tout matriel (ordinateur, routeur, imprimante,) connect un rseau
informatique utilisant le protocole IP.
Il existe deux versions:
La version 4 (IPV4) o ladresse IP est compose de quatre octets (32 bits). Cest celle qui est majoritairement utilise sur les rseaux locaux. Elle prsente toutefois linconvnient majeur de noffrir que 4milliards dadresses. Lpuisement de ces adresses est prvu pour 2010,
Dans la version 6 (IPV6), ladresse IP comporte seize octets (128 bits). Cette version est actuellement utilise par les oprateurs de tlcommunication sur les rseaux dinfrastructure. Lavantage de cette version
est le grand nombre dadresses possibles: 3,4 X 1038 adresses.
4.2.1 Adressage IPV4
Les adresses IP sont des nombres de 32 bits qui contiennent 2 champs de longueur variable:
Un identificateur de rseau (NET-ID): toutes les machines dun mme rseau physique doivent possder
le mme identificateur de rseau pour pouvoir communiquer entre elles. Tous les rseaux inter-connects
doivent possder un identificateur unique.
Un identificateur dhte (HOST-ID): un quipement connect sur un rseau TCP/IP est appel hte. Il
identifie de faon unique une station de travail, un serveur, un routeur ou tout autre priphrique TCP/IP
au sein dun mme rseau.
La concatnation de ces deux champs constitue une adresse IP unique de 32 bits sur le rseau. La limite
entre le NET-ID et le HOST-ID est dtermine par le masque de sous rseau. Pour des aspects pratiques,
les adresses 32 bits sont divises en 4 octets de huit bits qui sont ensuite convertis en nombres dcimaux
pouvant prendre des valeurs comprises entre 0 et 255. Ce format est appel la notation dcimale pointe.
Ex: 192.168.1.1
Chaque adresse IP est complte par un masque de rseau qui permet de dfinir clairement la partie identifiant le rseau de celle identifiant lhte. Il indique le nombre de bits partir de la gauche qui constituent
ladresse rseau et peut tre exprim sous deux formes:
not aprs ladresse IP et dans le mme format. Ex: 192.168.1.1/255.255.255.0
not/n aprs ladresse IP o n reprsente le nombre de bits composant le NET-ID en notation dcimale.
Ex: 192.168.1.1/24 (Net-ID =192.168.1)<<
34
Lidentificateur de lhte est, quant lui constitu du reste des bits situs droite de ladresse IP. Ex:
192.168.1.1/24 (Host-ID =1)
Sur un mme rseau local, la premire et la dernire adresse ne sont pas utilisables par un hte car elles ont
une signification particulire. La premire rfrence le rseau lui-mme et la dernire rfrence tous les
ordinateurs de ce rseau. Elle est appele adresse de diffusion (broadcast address).
Exemple pour ladresse 192.168.1.1/24 ladresse rseau est 192.168.1.0 et ladresse de broadcast sera
192.168.1.255
Le nombre dhtes adressables sur un rseau local dpend donc de la taille de son masque et se calcule par
la formule 2 (32-n) 2 o n est la longueur du masque. Dans notre exemple 192.168.1.1 ==> 2(32-24)-2 =
254 adresses
Lorsque un hte cherche communiquer avec une machine situe sur un autre rseau (Net-ID diffrent),
il doit alors connatre ladresse dun routeur sur son rseau local et sadresser lui. Cest ce qui est indiqu
comme passerelle par dfaut dans les paramtres de lhte. Dans le cas o plusieurs routeurs sont prsents
sur le rseau, il est alors ncessaire de spcifier plusieurs passerelles possibles. Il faut alors ajouter des
indications dans la table de routage pour indiquer quelle passerelle utiliser pour chaque rseau atteindre.
Avant 1993, sur Internet, les masques de sous rseau ntaient pas utilises et les adresses IP taient rparties en classes qui dfinissaient automatiquement la longueur du champ NET-ID.
Classe
A
B
C
D
E
Type dadresse
Grands Rseaux
Moyens rseaux
Petits rseaux
Diffusion
Rserv
Adresse rseau
Prfixe
NET-ID
binaire
0
8 bits
10
16 bits
110
24 bits
1110
11110
sur
de
24 bits
16 bits
8 bits
0.0.0.0
128.0.0.0
192.0.0.0
224.0.0.0
240.0.0.0
Adresse locale
127.255.255.255
191.255.255.255
223.255.255.255
239.255.255.255
255.255.255.255
Avec ce systme, les bits du prfixe dterminent la classe de ladresse, et pour les classes A C la limite
entre adresse rseau et adresse locale se dduit, sans que lon ait besoin dutiliser un masque de rseau; la
limite est fixe et situe entre deux octets.
En 1993, la croissance de lInternet a conduit utiliser une autre mthode appele CIDR (Classless InterDomain Routin, soit routage entre domaines sans classe) pour dfinir et attribuer des adresses IP, dans
laquelle la limite entre adresse rseau et adresse locale est variable grce lajout du masque. Un bloc
dadresses CIDR est dsign sous la forme:
128.211.168.0/21
Dans cet exemple, 128.211.168.0 est la premire adresse du bloc. 21 est le nombre de bits du masque
et reprsente ladresse du rseau (NET-ID). Il y a donc 11 bits pour ladresse locale (HOST-ID), soit 211-2
=2046 adresses qui vont de 128.211.168.1 128.211.175.254.
Des blocs dadresses sont par convention rservs pour les rseaux locaux privs:
Adresses prives
10/8
172.16/12
192.168/16
Adresse du rseau
10.0.0.0
172.16.0.0
192.168.0.0
Adresse de diffusion
10.255.255.255
172.31.255.255
192.168.255.255
Ces adresses ne sont utilisables qu lintrieur dun rseau local et ne peuvent pas tre routes sur Internet.
Enfin dautres adresses IP ont une signification particulire:
adresse source par dfaut
0.0.0.X
adresse destination par dfaut
0.0.0.0
adresse de bouclage des htes
127.0.0.1
35
36
Le support de la mobilit: il a t introduit ds la conception dIPv6. Les donnes destines une machine
qui a t dplace sont automatiquement retransmises vers sa nouvelle position, son nouveau lieu de
connexion, lchelle plantaire.
lauthentification et le chiffrement: IP v.6 intgre IPSec (protocole de cration de tunnel IP avec chiffrement), qui garantit un contexte scuris par dfaut.
qualit de service: IPV6 permet une gestion de flux tiquets avec des priorits et offre des garanties sur
le dlai maximal de transmission.
Les adresses IPv6 sont codes sur 128 bits diviss en 8 groupes de 16 bits reprsents par 4 chiffres hexadcimaux et spars par :. Les masques reprennent la notation CIDR de la version 4 du protocole IP cest
dire sous la forme: adresse/longueur de prfixe.
Exemple dadresse: 5800:10C3: E3C3: F1AA: 48E3: D923: D494: AAFF/96,
La reprsentation IPv6 peut encore tre simplifie en supprimant les zros en tte dans chaque bloc de.
16 bits. Cependant, chaque bloc doit avoir au moins un chiffre individuel. Par exemple, avec la suppression du zro en en-tte, la reprsentation de ladresse 21DA: 00D3: 0000: 2F3B: 02AA: 00FF: FE28: 9C5A
devient 21DA: D3::2F3B: 2AA: FF: FE28: 9C5A
Certains types dadresses contiennent de longues squences de zros. Pour simplifier la reprsentation
dIPv6, une squence contigu de 0 par blocs de 16 bits sont mis zro dans le format hexadcimal deux
point pour tre compresse en :: .
4.4 Segmentation
Sur le rseau local dun tablissement, chaque hte peut potentiellement communiquer avec nimporte quel
autre, ce qui peut aller lencontre des rgles de scurit dfinies. Il convient donc de prvoir des dispositifs
permettant de sparer les communications autorises de celles qui ne le sont pas. Ces dispositifs peuvent
intervenir aux diffrents niveaux du modle OSI en contrlant les flux du niveau physique au niveau applicatif. Lorsquils interviennent sur lune des trois couches basses, on parle de segmentation du rseau.
La segmentation dun rseau local a galement comme effet den amliorer les performances en diminuant
le trafic par segment.
4.4.1 Segmentation physique
Au niveau de la couche physique, la segmentation consiste grer plusieurs rseaux locaux physiquement
distincts. Cest la mthode la plus ancienne et la plus sre, mais elle manque de souplesse et engendre des
cots dinfrastructure et dadministration levs.
Dans cette situation chaque hte ne peut communiquer quavec ceux connects au mme rseau local et
toute drogation cette rgle impose la mise en place de systmes filtrants dinterconnexions de rseau
comme des Firewalls. Cest une solution en voie de disparition.
Lvolution des switchs permet dsormais de grer une sparation efficace des rseaux de faon plus
souple en affectant un rseau chaque prise, comme nous le verrons plus loin dans ce chapitre (cf. VLAN
niveau 1).
4.4.2 Segmentation liaison
Au niveau de la couche liaison, la segmentation consiste grer plusieurs rseaux locaux grce aux adresses
MAC identifiant de faon unique chaque hte.
Dans cette situation chaque hte ne peut communiquer quavec ceux dont les adresses MAC sont autorises par le switch auquel il est connect, comme nous le verrons plus loin dans ce chapitre (cf. VLAN
niveau 2).
37
Masque
255.255.255.192 ou /26
255.255.255.192 ou /26
255.255.255.192 ou /26
255.255.255.192 ou /26
Premier hte
192.168.1.1
192.168.1.65
192.168.1.129
192.168.1.193
Dernier hte
192.168.1.62
192.168.1.126
192.168.1.190
192.168.1.254
Masque
255.255.255.12 ou /25
255.255.255.192 ou /26
255.255.255.192 ou /26
Premier hte
192.168.1.1
192.168.1.129
192.168.1.193
Dernier hte
192.168.1.126
192.168.1.190
192.168.1.254
38
39
4.6 Recommandations
4.6.1 Protocoles rseaux
Comme nous venons de le voir, les protocoles rseaux spcifient un ensemble de rgles structures en
couches pour permettre la communication entre diffrents quipements. Afin de sy retrouver, ils sont classs au sein de familles ou de piles dont les principales sont AppleTalk, Bonjour, IPX/SPX, SNA, TCP/IP,
Les rseaux des tablissements devront utiliser exclusivement la pile de protocole TCP/IP lexclusion de
tout autre. Les quipements qui utiliseraient encore des familles diffrentes devront tre reprs et reconfigurs ou remplacs. Une attention particulire sera apporte aux photocopieurs numriques connects qui
embarquent souvent toutes les piles de protocoles connues. Une analyse du rseau local (cf. chapitre 6.6)
permettra de sassurer de la propret du rseau local.
4.6.2 Adressage IP
Au sein de la pile TCP/IP, il existe dsormais des normes du protocole IP qui grent la couche rseau. La
version 4, aujourdhui trs largement majoritaire sur les rseaux locaux et la version 6 trs utilise sur les
rseaux des oprateurs. Cette dernire permet surtout doffrir un trs grand nombre dadresses (1038)
pour viter un manque sur le rseau Internet public.
Sur le rseau local dun tablissement, ce problme nexiste pas et ladoption de la nouvelle version IP ne se
justifie nullement. En consquence, tous les EPLEFPA utiliseront exclusivement un plan dadressage en IP
V4 conforme celui prconis par le CNERTA dans le cadre des logiciels de gestion administrative (LGA).
Le masque est positionn 24 bits et le rseau local respecte alors le plan suivant:
10. (numro de dpartement). (numro de site). (numro de station)/24
Par exemple: 10.33.10.1/24
Ce plan dadressage autorise 254 stations connectes sur le rseau ce qui peut savrer trop juste dans
un certain nombre dtablissements. Dans ce cas le plan dadressage sera alors dcoup en sous-rseaux
suivant les types dusages en respectant le modle suivant:
Administratif: 10.33.10.1/24
Pdagogique: 10.33.11.1/24
Rseau Wifi: 10.33.12.1/24
etc
Le respect de cette rgle permet de crer potentiellement 10 sous rseaux de 254 stations chacun. Dans
tous les cas, la mise en place dun rseau sans fil se fera imprativement dans un sous-rseau spcifique.
Dans tous les cas, lutilisation de plusieurs sous-rseaux IP sur un mme rseau local oblige le segmenter
par la mise en place de rseaux virtuels ou VLAN.
Les adresses IP des lments actifs, des serveurs et des priphriques permanents (Imprimantes, NAS,)
seront fixes et attribus manuellement lors de linstallation.
Les adresses IP des stations de travail de chaque rseau ou sous-rseau pourront tre distribues par un
serveur DHCP aprs vrification de ladresse MAC et sous rserve que le traage des connexions internet
soit ralis avec le nom dutilisateur et non pas ladresse du poste.
4.6.3 Segmentation et rseaux virtuels (VLAN)
Comme nous lavons vu dans la partie thorique de ce chapitre, la segmentation dun rseau local a pour
vocation den amliorer la scurit et/ou les performances. Tous les tablissements denseignement ne sont
pas confronts aux mmes difficults ni au mmes besoins, principalement en fonction de leur importance.
Ils peuvent tre classs en deux grandes catgories:
Les petits tablissements o le nombre dutilisateurs et de postes permet un contrle efficace des accs
aux diffrentes ressources sur la base dune authentification classique auprs dun serveur dannuaire ou
de domaine. Sur les structures de ce type, le rseau local ne risque pas la saturation en terme dadresses ou
de performances.
40
Les tablissements importants o le nombre dutilisateurs et de postes ne permet pas un contrle efficace
de laccs aux ressources prsentes sur le rseau local. Sur les structures de ce type, les 254 adresses disponibles par dfaut ne suffisent pas et la performance du rseau peut se dgrader sil nest pas configur
de faon optimale.
Cette situation nous conduit effectuer deux recommandations diffrentes concernant le rseau local
Ethernet. En revanche et dans tous les cas, la mise en place dun rseau Wifi se fera avec une stricte segmentation par rapport au rseau local
4.6.3.1 Rseaux de moins de 200 postes
Les rseaux locaux de cette importance ne ncessitent pas de segmentation lie une pnurie dadresses
ou de performance. Toutefois, pour des raisons de scurit, nous recommandons la sparation des parties
administratives et pdagogiques du rseau local par la mise en uvre de deux rseaux virtuels (VLAN) de
niveau 1 couramment appels Port Based VLAN.
Dans cette configuration, chaque port sur chaque switch est affect au rseau pdagogique ou au rseau
administratif ou aux deux. Ce type de solution est la meilleure des trois types de VLAN du point de vue de
la scurit, de la performance et du cot financier. Elle ncessite toutefois un paramtrage de chaque port
par ladministrateur du rseau, ce qui nest pas trs pnalisant sur des LAN de cette taille.
Lintgration dun troisime sous-rseau ddi la connexion de point daccs Wifi est simple et rapide
raliser.
Les switchs ncessaires la mise en place de cette configuration doivent assurer une commutation de
niveau 2, tre administrables et rpondre aux normes 802.1Q, 802,1X.
4.6.3.2 Rseaux de plus de 200 postes
Les rseaux locaux de cette importance peuvent connatre des problmes de pnurie dadresses, de performance et de scurit. Nous recommandons la sparation des parties administratives et pdagogiques
du rseau local par la mise en uvre dau moins deux rseaux virtuels (VLAN) de niveau 3 et de type sous
rseau IP (cf. chapitre 4.7.2). Chaque sous-rseau ainsi cr peut contenir 254 stations.
Dans cette configuration, chaque rseau virtuel se voit attribu une plage dadresse spcifique. Ladresse
attribue un priphrique dfini le VLAN auquel il appartient indpendamment du port physique auquel
il est connect. Chaque station ne peut alors communiquer quavec celle de son VLAN et doit contacter
un routeur pour atteindre un autre VLAN. Le routeur doit permettre la gestion des rgles rgissant les
changes entre les diffrents VLAN du rseau local. Ladministration des switchs est trs simple puisque la
gestion de la scurit est alors reporte sur le Routeur.
Ce type de solution ncessite lacquisition de switchs plus coteux et la mise en place dun dispositif de
filtrage (Firewall) des flux et dauthentification des stations. Il offre en revanche une trs grande capacit
de croissance et dvolution.
Les switchs ncessaires la mise en place de cette configuration doivent assurer une commutation de
niveau 3, tre administrables et rpondre aux normes 802.1x et 802,1Q. Ils implmentent souvent des
fonctions volues, comme les ACL par exemple, permettant une gestion plus fine de lutilisation du rseau
local en terme de scurit et de performance.
4.6.3.3 volution darchitecture
Un rseau local segment par des VLAN de niveau 1 peut tre amen crotre de telle sorte quil doive faire
face une pnurie dadresse. Dans ce cas, la mise en place dun VLAN de niveau 3 conservant larchitecture
en place est possible.
Dans ce cas, il sera ncessaire de changer le plan dadressage global de ltablissement et de mettre en
place un commutateur de niveau 3 au cur du rseau. Sur les switch de niveau 2 dj en place, il sera alors
indispensable dassurer une cohrence sans faille au niveau de chaque port afin qu un numro de VLAN
de niveau 1 soit associ un VLAN de niveau 3.
La mise en place dune solution mixte de ce type ncessite une grande rigueur dans le gestion du rseau
et savre un peu lourde administrer, mais elle permet une volution progressive et limite les cots en
permettant dviter le remplacement de tous les switch de niveau 2.
41
5.1 MAN/WAN
La classification des rseaux doprateurs utiliss pour linterconnexion des sites repose essentiellement
sur la distance. Par convention, on parle de MAN (Metropolitan Area Network) lorsque la distance est comprise entre la centaine de mtres et quelques kilomtres. Les techniques utilises sont gnralement les
fibres optiques ou les ondes radios (Wi-Fi/WiMax).
Lorsque la distance est au-del de quelques kilomtres, on utilise alors le terme de WAN (Wide Area
Network) qui sont grs par les grands oprateurs.
5.1.1 Technologies des WAN
5.1.1.1 Ligne loue ou ligne spcialise
Ce type de lignes est une liaison point point entre le rseau local du client et celui de loprateur. Elle est
alors exclusivement utilise par le trafic client. Les sites distants sont alors relis entre eux par des liaisons
ddies et le rseau de loprateur.
Cette technologie est fiable et sre mais son cot est gnralement trs lev.
5.1.1.2 Circuit commut
Les connexions de ce type sont connues en France sous le terme de liaisons RNIS (ISDN en anglais) ou
NUMERIS. Elles fonctionnent suivant le principe de la commutation de circuit comme des liaisons tlphoniques classiques et utilisent les protocoles HDLC ou PPP.
La facturation est ralise en fonction de la dure de communication, ce qui gnre des cots trop levs
pour une utilisation permanente.
5.1.1.3 Commutation de paquets
Cette technologie utilise les rseaux de transport de donnes de grands oprateurs qui peuvent ainsi garantir les dbits et la qualit. Les connexions de ce type utilisent principalement les protocoles Frame Relay,
ATM, MPLS,. Elles ne sont quasiment plus utilises pour la desserte des abonns.
5.1.1.4 Internet
Le rseau Internet offre dsormais une couverture importante du territoire ainsi quune qualit et des
dbits de bon niveau. Son important dploiement a permis datteindre des cots trs largement infrieurs
aux autres solutions.
42
Il devient la solution dinterconnexion des sites moyennant la mise en oeuvre dun rseau priv virtuel (cf.
5.2, 5.3 et 5.4). Cette technologie logicielle utilise le chiffrement et dautres techniques pour donner limpression de disposer de son propre rseau priv tout en utilisant le rseau Internet.
Cette solution, qui tend supplanter toutes les autres grce son faible cot, confre cependant une qualit de service moindre.
Linterconnexion de sites via le rseau Internet ne peut tre envisage que sur des liaisons haut dbit qui
utilisent gnralement les technologies DSL (cf. chapitre 2) sur des lignes tlphoniques et peuvent donc
tre dployes rapidement et moindre cot. Elles ont toutefois des inconvnients: la porte est limite
quelques kilomtres, et le dbit dpend grandement de la longueur et de la qualit de la ligne.
Les offres les plus frquentes sont lADSL et le SDSL:
ADSL et ses variantes. LADSL (asymetric DSL) est la variante la plus rpandue: elle offre un assez bon
compromis entre performances et cot. Elle est bien adapte une clientle grand public. Toutefois,
lADSL souffre de plusieurs dfauts:
la distance maximale entre le rpartiteur de loprateur et le client est denviron 5 6 kilomtres ce qui
rend certaines lignes non ligibles,
le dbit est limit 8 Mbit/s, valeur possible uniquement sur les lignes courtes, souvent infrieures 2km,
le dbit est asymtrique: les donnes circulent plus rapidement vers labonn (download) que vers Internet (upload). Le dbit en upload est gnralement 4 fois plus faible que celui en download.
Lasymtrie des voies de transport est donc parfaitement adapte la navigation sur Internet o lon reoit
beaucoup dinformations pour trs peu dmissions.
En zone urbaine, lADSL2 +permet de pallier certains de ces dfauts. Cest une version amliore de lADSL
qui utilise une bande de frquence largie. Elle permet un dbit maximal dune vingtaine de Mbit/s. Mais
plus la ligne est longue, plus le gain de dbit par rapport lADSL se rduit jusqu devenir insignifiant
partir de 3km.
SDSL (symetric DSL): LADSL nest plus pertinente lorsque lon est appel envoyer soit-mme un gros
volume de donnes, ce qui est le cas pour linterconnexion de sites distants ou lhbergement de serveurs
ou services Internet. Il convient alors de se tourner vers les offres SDSL ou SHDSL, voire les lignes loues.
Les technologies de DSL symtrique offrent un mme dbit en download et en upload. Elles permettent,
aujourdhui et sous conditions dligibilit, doffrir des dbits symtriques compris entre 1 et 8 Mbit/s.
Contrairement lADSL, le SDSL ne rserve pas une partie de la bande passante pour le transport de la voix
tlphonique et ne peut donc pas tre dploye avec une liaison tlphonique standard.
5.1.1.5 Autres (XDSL, Wimax, FTTx)
Dans certains cas particuliers, les oprateurs peuvent tre amens proposer des technologies alternatives
pour la connexion haut dbit Internet:
Les liaisons sans fil de type Wifi ou Wimax. Elles sont abordes au chapitre 2.3.3 et 2.3.4 du prsent
document.
Les liaisons VDSL et VDSL2 qui, avec une bande de frquence plus large et un encodage plus efficace,
offrent des dbits symtriques trs levs, mais sur de courtes distances.
Le satellite est une offre un peu part dont le principal avantage est la disponibilit sur lensemble du
territoire. Laccs peut tre mono ou bidirectionnel et permet un dbit de 1 ou 2 Mbit/s pour un cot raisonnable. Son principal inconvnient est la latence (temps de rponse) des connexions qui est rdhibitoire
pour des applications interactives.
Les technologies de tlphonie mobile: grce la convergence et laugmentation des dbits, ces technologies sont de plus en plus utilises pour accder Internet. Elles ont lavantage dtre fiables, robustes
mais elles restent souvent coteuses et assez complexes mettre en oeuvre, ce qui les rserve plutt des
usages de type nomade.
Demain, la fibre optique. La fibre optique fait son entre dans la partie desserte des abonns. Le FTTx
(Fiber To The) permet daugmenter le dbit offert au grand public et aux professionnels en saffranchissant des oprateurs du rseau tlphonique traditionnel. En France, plusieurs grands projets urbains
sont en cours (Pau, Bordeaux, Paris,). Le FTTx est galement utilis ponctuellement pour desservir des
43
entreprises, mais les cots restent encore trs levs. Cest une alternative qui devrait trs probablement
connatre un essor important au cours des prochaines annes.
5.1.1.6 Notion de qualit du service (GTR, dbits)
La qualit de service de la ligne internet est dsormais cruciale, surtout dans le cadre de son utilisation
comme service dinterconnexion des rseaux locaux dun EPL. Une interruption de service paralyse quasiment compltement le systme dinformation de ltablissement.
Le dbit nest quun des indicateurs de performance dune connexion prendre en compte. Les principaux
paramtres considrer sont:
Le dbit thorique. Cest la quantit de donnes transmise pendant une unit de temps. Elles est exprime en kbit/s ou Mbit/s.
La garantie du dbit. Les offres commerciales sont souvent exprimes en dbit thorique qui correspond
souvent un dbit maximum rarement atteint. Il existe des offres dites de dbits garantis dun cot suprieur.
La latence ou dlai de transmission. Cest le temps ncessaire la traverse du rseau. Elle sexprime en
millime de secondes.
La gigue ou variation du dlai. Cest lcart entre les dlais de transmission des diffrents paquets. Elle
sexprime en millime de secondes.
Le taux derreur. Cest le pourcentage de paquets de donnes perdus ou altrs sur le total de paquets
envoys
La GTR (garantie de temps de rponse). Cest la dure contractuelle sur laquelle loprateur sengage
rpondre et/ou rtablir la liaison.
Le taux de disponibilit du rseau, exprim en pourcentage.
La facilit de contact de la maintenance.
La capacit dvolution technologique de linfrastructure.
5.2 RPV/VPN
Les EPL sont de plus en plus souvent structurs autour de plusieurs sites gographiques distants de plusieurs
kilomtres. Les applications et les systmes distribus font dsormais partie intgrante de leur systme dinformation. Il faut donc assurer leur accs scuris au sein de toutes les structures de ltablissement.
La premire solution pour rpondre ce besoin de communication scurise consiste relier les rseaux
distants laide de liaisons spcialises. Si elles sont sres et fiables, le cot des solutions de ce type est
trop lev.
Il est beaucoup plus conomique dutiliser Internet comme support de transmission sous rserve de le
scuriser fortement en mettant en oeuvre un rseau priv virtuel (RPV), plus connu sous le sigle anglais de
VPN (Virtual Private Network)
5.2.1 Prsentation du concept
Cette solution consiste utiliser Internet comme support de transmission avec un protocole dencapsulation (tunneling en anglais) pour transmettre les donnes entre deux sites distants.
Des donnes trs sensibles peuvent tre amenes transiter sur le VPN (donnes personnelles, financires,
notes). Elles doivent donc tre transmises sans souci de confidentialit ni dintgrit. Des techniques de
cryptographie sont mises en oeuvre cette fin. Elles permettent une authentification au niveau des paquets
pour sassurer de la validit des donnes, de lidentification de leur source ainsi que de leur non-rpudiation
en faisant gnralement appel des dispositifs de signatures numriques ajoutes aux paquets. La technologie actuelle en matire de cryptographie permet dassurer un niveau de scurit maximal.
Ce rseau est dit virtuel car il relie deux rseaux locaux par une liaison faible cot (Internet), et priv car
seuls les ordinateurs des rseaux locaux de part et dautre du VPN peuvent comprendre et exploiter les
donnes transmises. Il existe 3 grandes catgories de VPN Standard.
44
45
46
47
48
5.5 Recommandations
5.5.1 Support dinterconnexion
La structuration des tablissements en EPLEFPA multi sites impose de prvoir leur interconnexion. La solution la plus efficace et la plus scurise consiste mettre en place de liaisons ddies couramment appeles
liaisons loues par les oprateurs, mais leurs cots sont trs levs.
Cet aspect nous conduit recommander lutilisation des liaisons Internet comme support dinterconnexion
des diffrents sites de lEPL. Lusage dInternet pose de gros problme de confidentialit et de scurit
dans la mesure ou cest un rseau public ou linformation circule en clair. Son usage impose donc la mise
en uvre dune solution de type RPV (VPN) permettant de garantir la scurit et la confidentialit des
changes entre les rseaux de ltablissement.
Lusage dInternet pour interconnecter des rseaux locaux gnre des flux dinformations mises sensiblement gaux aux flux dinformations reues. Les liaisons Internet de type ADSL ne sont donc pas adaptes
ce cas et doivent tre remplaces par des liaisons de type SDSL qui offrent un dbit identique en mission
comme en rception. Lutilisation de connexion par fibre optique sera galement envisageable dans le
futur.
Lutilisation dInternet comme support dun rseau priv virtuel impose bien videmment que chacun des
sites soit directement adressable sur Internet et que chaque connexion SDSL soit assortie dune ou plusieurs adresses IP fixes.
Une attention particulire devra tre apporte la qualit de la liaison Internet en terme de garantie de
service. Il sera indispensable de souscrire une offre SDSL dont le dbit est garanti par loprateur. En effet,
la plupart des dbits annoncs dans le cadre des offres commerciales sont des dbits crtes (maximum)
ne faisant lobjet daucune obligation contractuelle. Dans le mme esprit, il faudra dfinir prcisment le
temps de rtablissement maximum de la liaison en cas de coupure grce une clause communment appele GTR (Garantie du Temps de Rtablissement) dans les contrats des oprateurs.
En rsum, une liaison SDSL dbit garanti de 4 Mbps avec une GTR de 4heures doit constituer une cible
raisonnable atteindre sur les sites principaux des EPLEFPA.
5.5.2 Type de Rseau Priv Virtuel
La mise en place de RPV entre les sites dun mme EPL ainsi quentre des utilisateurs nomades et le rseau
de ltablissement est imprative.
5.5.2.1 Les RPV inter sites
Les rseaux privs virtuels permettant linterconnexion des sites dun tablissements seront imprativement de niveau 3.
Les oprateurs offrent souvent des solutions clefs en main intressantes bases pour la plupart sur le protocole Mpls. Toutefois, les connexions Internet des tablissements sont pour la plupart gres dans le cadre
de marchs publics rgionaux conduisant des changements rguliers doprateurs. Les solutions de ce
type sont donc viter.
Nous recommandons la mise en uvre de rseaux privs virtuels de niveau 3 bass sur le protocole IpSec
partir dquipements installs dans ltablissement.
5.5.2.2 Les RPV nomades
Laccs des ressources de ltablissement depuis Internet par des postes isols seffectuera imprativement par une solution de RPV de niveau 3 ou 4 permettant dtablir une connexion scurise avec lquipement cit au paragraphe prcdent.
Dans le cas dune solution technique gre par ltablissement, nous recommandons lusage du logiciel
libre et gratuit OpenVpn qui permet lutilisation de postes nomades Windows, Linux ou MacOS.
49
50
Lintgrit: linformation doit tre exacte, complte et navoir fait lobjet daucune modification non
autorise,
La preuve: les accs linformation scurise doivent tre tracs et conservs de faon exploitable.
6.1.3 Lvaluation et lanalyse des risques
Avant de scuriser, il convient de dterminer quelles sont les informations sensibles dont dispose ltablissement ainsi que leurs degrs respectifs de sensibilit au regard des critres prcdemment noncs.
Cette premire tape ralise, il est alors important didentifier correctement les menaces pouvant peser
sur les informations sensibles identifies. Les plus frquentes auxquelles un systme dinformation puisse
tre confront sont:
Un utilisateur du systme: une grande partie des problmes de scurit informatique est gnralement
d une erreur dutilisation,
Une personne malveillante: une personne externe ou interne qui accde des donnes ou des programmes des fins trangres aux besoins du systme dinformation (usage commercial, sabotage,),
Un programme malveillant: un logiciel destin nuire, abuser des ressources du systme ou accder
des donnes non autorises (virus, chevaux de Troie,),
Un sinistre: vol, incendie, dgt des eaux, mauvaise manipulation ou malveillance entranant une perte
de matriel et/ou de donnes.
6.1.4 Les objectifs et la politique de scurit
A lissue de ltape didentification et danalyse des risques, il faut dfinir ses objectifs en matire de PSSI. Ils
permettent didentifier et de fixer des priorits dans les actions mener, les organisations et les procdures
mettre en place pour prvenir les risques noncs.
Le respect de la PSSI du Ministre de lAgriculture et de la Pche est le pralable la dclinaison dune
politique locale.
Les principaux axes concernent en gnral:
La sensibilisation et la formation des utilisateurs
Le respect des rgles juridiques (CNIL, droits dauteur,)
La scurit physique des locaux et des matriels
La gestion des droits daccs aux locaux, aux donnes, au rseau,
Les procdures de sauvegarde, de gestion des mots de passe,
Lorganisation des quipes informatiques, de la maintenance,
Les procdures de contrle
Le choix et la mise en uvre des principaux dispositifs techniques comme les antivirus, les Firewall, les
dtecteurs dintrusion, les tunnels VPN, le cryptage des donnes,
Enfin, il faut toujours considrer que la scurit dun systme dinformation nest jamais acquise, quaucune
solution technique nest prenne et que les erreurs humaines sont toujours possibles.
Les chapitres suivants abordent les diffrents aspects spcifiques la scurisation des rseaux informatiques.
6.2 Authentification
6.2.1 Dfinition/Enjeux
Dune manire gnrale, lauthentification est la procdure qui consiste, pour un systme informatique,
vrifier lidentit dune entit (personne, ordinateur), afin dautoriser laccs de cette entit des ressources (systmes, rseaux, applications).
51
Dans ce chapitre, nous nous concentrerons sur lauthentification dun individu, lidentification dun lment matriel (ordinateur, imprimante,). Ses autorisations daccs un rseau sont tudies par ailleurs
(adresse IP, DHCP, Firewall,)
Nous retiendrons donc la dfinition suivante: Lauthentification permet de vrifier lidentit dun individu,
a linstar des contrles didentits de la vie courante (aroport, douanes,), mais sur un systme informatique.
Lanalogie avec un contrle douanier, nous permet de bien comprendre la distinction entre les termes
identification, authentification et autorisation:
lidentification consiste prsenter ses papiers didentit
lauthentification consiste vrifier la validit de ces papiers (auprs dune base nationale), un contrle
visuel (correspondance des photos)
lautorisation de passer la douane est accorde ou non, selon le rsultat de lauthentification.
La mise en uvre dun systme dauthentification permet principalement dassurer:
La confidentialit: seuls les utilisateurs habilits doivent pouvoir prendre connaissance dune information
ou accder une fonctionnalit particulire,
Lintgrit et la non-rpudiation, qui sappuie essentiellement sur la signature lectronique (quel que soit
son procd) et garantit lenvoi et la rception dune transmission,
La traabilit: historique et auteur des interventions,
La lutte contre les intrusions: hacking, usurpation didentit,
Un certain confort: personnalisation dinterface,
Lintrt de lauthentification est indniable, mais sa mise en pratique nest pas une vidence. Il existe de
nombreux systmes diffrents, que nous prsenterons plus loin et qui doivent faire face aux risques suivants:
La falsification
Loubli ou perte des informations didentification
Le contournement du systme
Signalons immdiatement que le facteur humain est la principale faille dun systme dauthentification. Par
exemple, un utilisateur confront une multiplicit didentifiants et mots de passe sera tent de les crire
sur des supports accessibles tous.
6.2.2 Schma gnral
52
1.
2.
3.
4.
5.
6.
7.
53
Inconvnients
- Vulnrable linterception de trame, car mot de passe en clair.
6.2.6.3 Radius
Informations pour lidentification: login +mot de passe hachs.
Authentification: Le hachage est compar avec le hachage stock, lors de la cration du compte, dans une
base de donnes.
Cryptage: Hachage
Atouts
- gestion centralises des utilisateurs
- interfaage avec de multiples bases de donnes.
Inconvnients
- Pas davantages par rapport lauthentification digest, si ce nest la normalisation du protocole.
54
Authentification: A partir du login, le mot de passe hach de lutilisateur, stock lors de la cration du
compte dans la base SAM, est retrouv, puis crypt avec le nonce. Le rsultat est compar au rsultat transmis.
Cryptage: Hachage 128 bit
Atouts
- mot de passe non divulgu
- natif sur les systmes windows.
Inconvnients
6.2.6.6 Kerberos
Informations pour lidentificationet authentification:
Le client demande un ticket auprs dun centre de distribution de cls appel KDC (Key Distribution
Center)
Ce ticket accompagn dune cl de session sont transmis au client. Ils sont crypts avec sa cl prive,
lensemble des cls prives des clients tant stockes sur le KDC. Le KDC fournit galement cette cl de
session un serveur nomm TGS (ci-aprs). Elles est videmment crypte avec la cl prive du TGS.
le dcryptage du ticket et de la cl de session assure lauthentification du client.
le client peut alors contacter le service dmission de tickets, le TGS (Ticket-Granting Service), et doit lui
fournir la cl de session crypte avec la cl prive du TGS reue prcdemment du KDC. Le dcryptage de
cette cl permettra dauthentifier le TGS. Le TGS pourra alors fournir des tickets pour divers services sur
prsentation du ticket reu du KDC,
le client reoit de la mme faon quavec le KDC une nouvelle cl de session et un ticket destins au
service dsir.
le client contacte le service en lui fournissant le ticket et la cl de session obtenus du TGS.
Cryptage: Cryptage symtrique: cl prive et gnration de cls de session
Atouts
- dure de validit des tickets limite
- natif partir de windows 2000 et multi-systme
- Gestion centralise des cls
- permet la mise en place dun SSO, en effet avec une seule authentification
et pour la dure de validit du ticket fourni par le kdc, le client peut accder diffrents services.
Inconvnients
- Ncessite la synchronisation des horloges.
- ensemble des cls prives stock en un lieu unique. Lexposition du KDC au web est risqu, par consquent Kerberos est
plutt dstin aux intranets
- problme de compatibilits, par exemple il nexiste pas dimplmentation de kerberos avec ssh sous windows.
55
56
6.2.8 Recommandations
Les recommandations relatives lauthentification sentendent dans le cadre de lapplication de la politique
de scurit des systmes dinformation (PSSI) du MAAP pour les accs relevant de la comptence de ltablissement.
Les accs depuis internet se feront imprativement dans le cadre des rseaux privs virtuels abords au
chapitre 5 concernant linterconnexion des rseaux.
Les accs depuis des priphriques nomades seront grs selon les recommandations effectues au chapitre 6.5 relatif la scurisation des accs nomades.
Le mode dauthentification retenu dans le cadre des postes du rseau local de ltablissement sera du type
authentification labore. Chaque utilisateur possdera un identifiant unique et personnel associ un mot
de passe rpondant strictement aux critres dfinis dans la PSSI du ministre.
Lauthentification sera assure exclusivement par un ou plusieurs serveurs suivant la configuration du
rseau local. Ce qui signifie que les postes utilisateurs nhbergeront aucun compte utilisateur autre que
celui dadministrateur ncessaire son installation et sa configuration. Toutefois, les ordinateurs portables
amens fonctionner en dehors du rseau local, possderont bien videmment un compte utilisateur local
qui devra galement rpondre aux critres de la PSSI. Ce type dquipement pourra galement utiliser avantageusement un dispositif dauthentification forte de type biomtrique comme les lecteurs dempreintes
digitales qui les quipent frquemment.
Les serveurs dauthentification utilisent des annuaires comportant toutes les informations sur les utilisateurs ainsi que leur mots de passe sous forme chiffrs. Ils sont interrogs par les postes clients au moment
de louverture dune session. Les tablissements utilisent actuellement diffrents types dannuaire ce qui
conduit la double recommandation suivante:
La famille commerciale MicroSoft Windows base sur les annuaires de type Active Directory exploitant
le protocole Kerberos.
La famille issue du monde du logiciel libre base sur les annuaires de type LDAP ou sur le logiciel libre
samba et exploitant les protocoles SSL, TLS ou Kerberos.
En rsum, lauthentification doit imprativement tre centralise sur des serveurs dannuaire, base sur
un couple identifiant/mot de passe unique pour chaque utilisateur, strictement personnel, respectant les
critres de la PSSI et ne circulant pas en clair sur le rseau local.
6.3 Firewall
6.3.1 Concepts/Enjeux
Tous les tablissements possdent un rseau local et disposent dun accs Internet pour communiquer
avec lextrieur. Cette ouverture est une porte permettant potentiellement de pntrer le rseau local pour
y accomplir des actions non dsires.
Le Firewall est un dispositif matriel ou logiciel qui permet de sparer des rseaux puis de dfinir et de
contrler des rgles de communication entre eux. En franais, le terme de pare-feu est utilis. Il symbolise
une porte ou un mur empchant les flammes de se propager vers des zones protger. Il est habituellement reprsent sur les schmas informatiques par un mur de briques.
57
Cet outil permet de scuriser au maximum le rseau local de ltablissement en dtectant les tentatives
dintrusion pour y parer au mieux, mais galement en restreignant les accs entre les sous-rseaux, quand
il en existe, et Internet. Cest donc une vritable tour de contrle du trafic qui permet de sassurer que
lutilisation des rseaux correspond celle pour laquelle ils ont t prvus.
6.3.2 Principes de fonctionnement
Le pare-feu contrle le trafic entre diffrentes zones de diffrents niveaux de confiance en filtrant les flux
de donnes qui transitent entre elles. Les zones les plus courantes sont:
Le rseau local totalement contrl (confiance leve): zone du rseau local pour laquelle les rgles de
scurit sont dfinies et appliques (accs aux ordinateurs, logiciels installs, mots de passe). Dans un
tablissement, cette zone correspond habituellement au rseau administratif. Elle peut galement concerner la totalit du rseau local dans la mesure o une politique de scurit y est applique.
Le rseau local partiellement contrl (confiance partielle): zone du rseau local pour laquelle lapplication des rgles de scurit ne peut tre totalement garantie. Dans un tablissement, cette zone correspond
habituellement au rseau pdagogique.
La DMZ (zone risque): ce sigle qui signifie DeMilitarized Zone, dsigne une zone isole sur le rseau
local hbergeant des applications mises disposition du public. Elle fait ainsi office de zone tampon
entre le rseau protger et le rseau hostile et accueille habituellement des serveurs qui ont besoin dtre
accessibles de lextrieur (web, messagerie, ftp).
Le rseau sans fil (confiance faible): ce type de rseau peut, par dfinition, tre cout distance. Le
contrle daccs y est donc trs dlicat mettre en uvre, ce qui ncessite son isolement vis vis du rseau
local.
Le rseau Internet (confiance nulle)
Le pare-feu filtre les changes entre les zones grce des rgles dfinies par la politique de scurit de
ltablissement. Il existe principalement deux types de politique de scurit:
Tout ce qui nest pas explicitement autoris est interdit, seules les communications ayant t explicitement dclares sont autorises.
Tout ce qui nest pas explicitement interdit est autoris, seules les communications ayant t explicitement dclares sont interdites.
La premire politique est la plus sre, mais la plus lourde grer car il faut dfinir de faon prcise et
exhaustive les besoins en communication.
La mise en uvre de la politique choisie sappuie habituellement sur trois rgles prdfinies qui permettent:
Dautoriser la demande de connexion (allow);
De bloquer la demande de connexion (deny);
De rejeter la demande de connexion sans en avertir lmetteur (drop).
Ce filtrage peut seffectuer selon plusieurs critres dont les plus courants sont:
Lorigine ou la destination (adresse IP, ports, protocoles, carte rseau)
Les options contenues dans les donnes (fragmentation, validit)
Les donnes elles-mmes (taille, correspondance un motif,)
Les utilisateurs.
58
59
Portail captif,
Systme de dtection dintrusion (IDS en anglais),
Systme de prvention dintrusion (IPS en anglais),
60
IPCop: Cette distribution est issue de SmoothWall, mais se dveloppe dsormais indpendamment avec
une philosophie diffrente. Elle gre la zone Internet, une zone LAN, une DMZ, une zone Wifi et peut
assurer les fonctions de serveur VPN, Proxy, DHCP, DNS, NTP. De nombreux modules complmentaires
(Addons) lui permettent galement deffectuer du contrle de trafic, daccs, de contenus,etc. Elle nexiste
que sous la forme gratuite et prsente lavantage dexister en version franaise.
m0n0wall: Elle est base sur la version FreeBSD de Linux et assure toutes les tches dun Firewall sur un
PC. Sa configuration est ralise au dmarrage par des pages PHP puis stocke au format XML. Elle gre
galement les VPN et embarque en plus un portail captif. On la trouve galement sous forme de carte lectronique et de boitiers Appliances.
PfSense: Cest une distribution libre et gratuite drive de m0n0wall. En plus des fonction de routage et
de Pare feu, elle intgre sous forme de paquets un grand nombre de fonctionnalits complmentaires dont
un portail captif. Elle nexiste quen version anglaise.
Dans le monde du logiciel libre et cot de ces versions Linux trs populaires, il existe quelques Firewall
libres fonctionnant sous Windows comme ISafer.
6.3.5 Recommandations
6.3.5.1 Configuration gnrale
Comme nous venons de le voir, le Firewall permet dadministrer de faon prcise les flux circulant entre
les diffrentes parties dun rseau et plus particulirement entre le rseau local et Internet.
Sa prsence est donc absolument imprative dans chaque tablissement disposant dun accs Internet. Il
sera du type Firewall Stateful et interdira strictement toute connexion en provenance dInternet et destination dun poste ou dun serveur du rseau local. Il permettra les connexions sortantes en interdisant,
suivant une politique dfinie localement, certains protocoles comme ceux lis lutilisation des logiciels de
Peer To Peer (emule,) ou des messageries instantanes (MSN,). La stratgie la plus adapte consiste
nautoriser que la navigation internet, la messagerie, les VPN, puis ouvrir dautres usages suite aux rclamations justifies des utilisateurs.
Lorsquun rseau Wifi existe dans ltablissement, il est spar du rseau cbl conformment au recommandations du chapitre 4 et les flux transitent par une interface ddi du Firewall qui les contrle et leur
applique les rgles dfinies localement.
Lorsquun serveur de ltablissement doit tre accessible depuis le rseau Internet sans passer par lentremise dun serveur de VPN (cf. chapitre 5), il doit tre imprativement positionn dans la zone appele
DMZ. Les usages de ce type doivent toutefois tre limits dans la mesure o ils accroissent de faon significative le trafic sur la liaison Internet de ltablissement au dtriment des usages habituels. Pour ce type de
service, il est recommand de prvoir un hbergement externe.
6.3.5.2 Solutions techniques
Comme nous lavons dj vu notamment au chapitre 5, les Firewall intgrent gnralement un grand
nombre dautres fonctions et appartiennent principalement deux grandes familles, les solutions commerciales gnralement sous forme de boitier ddi appel appliance et les solutions issues du monde du
logiciel libre.
Un certain nombre de rgion ont pris en charge la scurisation de laccs Internet dans le cadre dun march rgional souvent connexe celui des liaisons Internet. Dans ce cas, ils ont souvent dploy des solutions du type appliance et ltablissement doit alors se retourner vers loprateur pour lui demander de
les configurer.
Dans les rgions qui ont choisi dutiliser les solutions logiciels libres finalises et utilises par le Ministre
de lducation Nationale, ltablissement assume gnralement lui mme le paramtrage de la fonction
Firewall.
Enfin, pour les tablissements qui ne sont pas intgrs dans un des dispositifs prcdents, nous recommandons lusage des solutions logiciels libres et gratuites dont les deux principaux reprsentant sont IpCop et
PfSense qui sont des solutions prouves et compltes permettant, au mme titre que les solutions com-
61
merciales, la gestion de tous les aspects lis la scurit des accs Internet. Elles ncessitent toutefois la
formation dun administrateur en capacit de les paramtrer.
Pour ce qui concerne la fonction de Firewall de ces deux distributions, la principale diffrence consiste
dans la finesse du paramtrage possible. IpCop est en mesure de grer plusieurs LAN et plusieurs liaisons
Internet mais en les considrant comme un ensemble de rseaux de confiance (vert) et un ensemble de
rseaux dangereux (rouge). Les rgles sont alors dfinies entre ces ensembles et non entre les interfaces.
Dans ce cas, nous recommandons lusage de ladd-on BOT qui permet de dfinir ces rgles de faon
simple et conviviale.
PfSense est une solution plus puissante qui permet la mise en place de rgles entre nimporte laquelle des
interfaces du Firewall, ce qui peut conduire rapisement une grande complexit.
Lautre diffrence majeure concerne linterface et la documentation qui nexistent quen version anglaise
pour la distribution PfSense alors quelle est traduite pour ce qui concerne IpCop.
Les deux solutions permettent galement la gestion dune zone dmilitarise (DMZ) ainsi que dune zone
WIFI.
En cohrence avec les recommandations du chapitre 5, la distribution PfSense est plutt adapte aux tablissements importants comportant plusieurs sous rseaux (VLAN niveau 3) et souhaitant mettre en place
une gestion prcise des flux. Il faudra toutefois disposer dun informaticien famili du monde des rseaux.
La distribution IpCop sera quand elle privilgie dans les tablissements souhaitant une gestion plus
simple des flux et ne disposant pas dun administrateur spcialiste des rseaux.
62
63
64
DansGuardian est un systme de contrle de contenu qui sexcute sous Linux et Unix, en conjonction
avec Squid. Il utilise plusieurs mthodes paramtrables pour dterminer si une page web doit tre bloque.
Parmi elles; un systme de pondration dtecte des mots interdits dans une page, et lui assigne un score en
fonction de la gravit et du nombre de mots dtects. DansGuardian bloque alors les pages dont le score
dpasse un certain seuil. Il est galement en mesure dutiliser des listes noires dURL.
6.4.7 Logs (cf. analyse rseau) Traces/Archivages
Un fichier log est un fichier journal au format texte qui pour chaque page vue sur un site (pour le cas dun
fichier log dun serveur httpd) enregistre un certain nombre dinformations (Nom dutilisateur, adresse IP,
fichier atteint (hit), date, heure,). Ces informations sont stockes sur une ligne. Chaque ligne reprsente
un accs ou une tentative daccs une page dun site.
6.4.8 Recommandations
6.4.8.1 Obligations lgales
Ltablissement assume la responsabilit des lves qui lui sont confis. Il doit veiller ce que ces derniers
ne soient pas exposs subir des dommages, et nen causent pas autrui, quil sagisse dautres usagers ou
tiers au service. Cela vaut pour lensemble des activits prises en charge par ltablissement dont lusage
de lInternet. De cette obligation de surveillance dcoule le rglement intrieur de ltablissement qui doit
fixer de manire simple et exhaustive les modalits de surveillance des lves dans le respect des droits et
obligations de chacun.
Dans les tablissements, la responsabilit administrative incombe principalement au chef dtablissement,
qui en tant que reprsentant lgal doit assurer le bon ordre, la scurit des biens et des personnes, lapplication du rglement intrieur ou lorganisation du personnel lors des activits en ligne. A cette fin, le conseil
dadministration de lEPLEFPA votera une charte dutilisation de lInternet labore par ltablissement et
qui sera annexe au rglement intrieur.
En complment, ladministrateur du rseau a lobligation dinstaller et de maintenir en fonctionnement des
dispositifs de filtrage pour limiter laccs des contenus illgaux et doit conserver les fichiers de journalisation pendant une dure dun an. Ce dispositif technique concerne la totalit du personnel ainsi que tous
les apprenants utilisant laccs Internet de ltablissement.
La prsence dun dispositif de filtrage et darchivage des accs Internet complt par une charte informatique est donc absolument imprative dans chaque tablissement.
Des ressources internet relatives aux aspects juridiques des TICE sont votre disposition:
Le rseau des DRTIC tient jour une rubrique nomme Leg@TICE sur son portail internet: http://drtic.
educagri.fr/
Le ministre de lducation Nationale tient jour un site Web de veille juridique: http://www.educnet.
education.fr/legamedia/
Nous recommandons de sensibiliser tous les personnels de ltablissement lexistence de ces sites afin
quils puissent se tenir informs des responsabilits qui leur incombent au regard de lusage dInternet.
6.4.8.2 Solutions techniques
Comme nous lavons dj vu dans les chapitres prcdents, les solutions de scurisation des rseaux intgrent gnralement un grand nombre dautres fonctions et en particulier celles lies au filtrage des accs
Internet couramment appels Proxy.
65
Les rgions qui ont pris en charge la scurisation de laccs Internet ont souvent dploy des solutions du
type appliance et ltablissement doit alors se retourner vers loprateur de cet quipement pour sassurer des conditions de mise uvre du filtrage et de lhistorisation des accs.
Dans les rgions qui ont choisi dutiliser les solutions logiciels libres finalises et utilises par le Ministre de
lducation Nationale, ltablissement assume gnralement lui mme le paramtrage de cet quipement.
Enfin, pour les tablissements qui ne sont pas intgrs dans un des dispositifs prcdent, nous recommandons lusage des solutions logiciels libres et gratuites bases sur le proxy Squid et son complment SquidGuard en le paramtrant pour quil effectue un filtrage bas sur lutilisation des listes noires (Blacklist)
maintenues pour le compte du Ministre de lducation Nationale par luniversit de Toulouse. Ces listes
sont par ailleurs galement intgrables certaines solutions commerciales. Elles sont accessibles sur:
http://cri.univ-tlse1.fr/blacklists/
En totale cohrence avec les recommandations effectues dans les chapitres relatifs aux dispositifs de scurisation dInternet, nous conseillons de recourir aux deux principales distributions issues du logiciel libre
que sont IpCop et PfSense.
Pour ce qui concerne les fonctions de Proxy et de filtrage, ces deux distributions sont trs proches dans
la mesure o elles sappuient les mmes outils Squid et SquidGuard. Ils sont intgrs la solution PfSense
au niveau des packages complmentaires. Concernant IpCop, nous recommandons lusage des add-on
adv_proxy et url_filter qui permettent un paramtrage plus convivial et dtaill.
En ce qui concerne les fonctions de proxy et de filtrage des accs, la solution IpCop est plus simple mettre
en uvre et offre le mme niveau de puissance que la PfSense. Nos recommandations entre ces deux outils
seront donc plus bases sur leurs autres fonctions et donc dans la continuit des autres chapitres:
La distribution PfSense nexiste quen version anglaise. Elle est plutt adapte aux tablissements important comportant plusieurs sous rseaux et disposant dun informaticien famili du monde des rseaux.
La distribution IpCop est quant elle plus adapte aux tablissements souhaitant une gestion plus simple
et ne disposant pas dun administrateur spcialiste des rseaux.
66
Les aspects physiques de ces types de liaisons sont abords dans les chapitres prcdents et nous allons
dsormais traiter de leur scurisation.
6.5.2 Scurisation
Sur un rseau local, le danger vient souvent de lintrieur. Avec la multiplication des ordinateurs portables,
il est de plus en plus difficile de connatre et de matriser les machines qui se connectent. Les principales
motivations dune intrusion sur un rseau local peuvent se classer en trois familles:
compromettre des postes du rseau local,
utiliser laccs Internet,
rcuprer des informations.
Pour limiter ces risques, il faut remplir les conditions suivantes:
avoir le contrle et la matrise du rseau filaire,
avoir le contrle et la matrise du ou des rseaux sans fils,
matriser le systme qui permettra dauthentifier les usagers.
6.5.2.1 Scuriser le rseau filaire
Les ordinateurs fixes connects au rseau local sont contrls et, en principe, srs. Ladministrateur en a la
matrise, peut les contrler, et gre les droits des utilisateurs.
Par contre, les ordinateurs portables chappent facilement son contrle, surtout pour ceux nappartenant
pas ltablissement. Les utilisateurs peuvent en faire ce quil veulent et les connecter sans autorisation sur
une prise. Ce type de machines, parfois compromises, peuvent infecter par lintrieur un rseau local. Il est
donc indispensable de prendre quelques prcautions:
en restreignant la distribution dadresses DHCP sur le rseau local,
en ne brassant que les prises ncessaires,
en grant laccs au rseau grce aux dispositifs de contrle quimplmentent les switchs rcents,
en connectant les nomades sur un rseau diffrent, qui ne donne accs qu quelques ressources clairement identifies.
Pour mettre en place un contrle daccs simple sur un rseau local filaire, il faut utiliser les adresses MAC
pour vrifier si les stations sont connues, autorises et les diriger sur le bon rseau et/ou VLAN (cf. chapitre
4) grce aux fonctionnalits des switchs qui le permettent (cf. chapitre 3).
6.5.2.2 Scuriser le rseau Wifi
Le Wi-Fi est une solution intressante, qui apporte une rponse simple aux problmes de connectivit dans
les tablissements, lheure o le nombre dordinateurs portables crot rapidement. Or, ce systme ne
sarrte pas aux portes que lon souhaiterait et offre de nombreuses failles permettant de sintroduire sur
le rseau local. Il est donc vital de respecter un certain nombre de rgles de base pour tenter de minimiser
ces risques et notamment:
savoir quelles machines sont connectes au rseau,
quels utilisateurs sont authentifis,
et tre sr des ressources auxquelles ils accdent.
6.5.3 Choisir une politique daccs
A ce stade, ltablissement doit choisir une politique daccs son rseau pour les stations nomades, typiquement les portables. Cette politique permettra de dfinir les moyens techniques et humains mettre en
uvre.
Les stations inconnues peuvent tres autorises se connecter au rseau filaire ou au rseau Wifi et rediriges dans un Lan invits avec des ressources restreintes.
Si elles sont interdites, ils faut dfinir une procdure pour les autoriser: qui autorise qui, sur quel rseau,
pour quelles ressources, dans quelles conditions, pour quelle dure,
67
Elles peuvent galement tre purement et simplement interdites, auquel cas il faudra sassurer de ltanchit complte du rseau.
6.5.4 Les rgles de base
6.5.4.1 Savoir qui est prsent sur votre rseau
La connaissance des clients prsents sur un rseau est un lment fondamental, mais lutilisation des adresses
IP ou des adresses MAC ne constituent pas un moyen efficace car elles peuvent trs facilement tre usurpes.
Cest videmment un point trs sensible sur les rseaux sans fils, mais galement sur un rseau filaire.
Il existe diffrentes techniques permettant dauthentifier les postes sur un rseau qui vont du simple couple
identifiant/mot de passe la biomtrie.
La mthode la plus simple consiste utiliser de faon plus ou moins sophistique le couple identifiant/mot
de passe.Elle peut tre considre comme suffisamment sre, la condition que le mot de passe ne soit
pas trop simple et quil ne soit pas facilement interceptable, cest--dire rcuprable en clair par une coute
passive. Cette mthode nest lvidence pas suffisante dans le cadre des rseaux sans fil.
La mthode sans doute la plus aboutie consiste utiliser des certificats numriques sur les serveurs, mais
aussi sur les clients. Chaque certificat contient une partie publique et une partie prive. La partie publique
peut tre rcupre par tout tiers dsirant entrer en contact avec le possesseur du certificat, la partie prive
doit rester confidentielle et chacune contient une cl de chiffrement. Cette mthode offre une garantie trs
leve mais ncessite un dispositif assez lourd car il faut crer un certificat par client, maintenir une base
de donne des certificats autoriss et des certificats rvoqus.
Il est possible sur les clients de remplacer le certificat par lusage dune carte puce qui est un dispositif
trs proche du certificat et tout aussi lourd grer.
Les dispositifs dauthentification biomtrique (cf. Chapitre 6.2) offrent de trs fortes garanties de scurit
mais leur implantation sur les terminaux nomades demeurent pour linstant trop faible pour pouvoir envisager de baser une politique de scurit sur cette technologie.
6.5.4.2 Protger les donnes changes
Les donnes circulant sur le rseau peuvent tre coutes assez simplement, notamment dans le cadre dun
rseau sans fil. Les informations interceptables ont une valeur relative comprise entre un intrt nul et un
intrt stratgique, comme par exemple les donnes dun login autoris.
Le principe de base consiste chiffrer les changes, en restant conscient quaucun chiffrement nest totalement fiable. Ce nest quune question de temps et de moyens. La dure de vie dune information sensible
doit, si possible, tre infrieur au temps ncessaire pour la dcouvrir.
6.5.5 Les solutions techniques
Comme nous venons de le voir, la premire tape consiste connecter physiquement la station cliente au
rseau local par lintermdiaire dune liaison filaire ou dune liaison radio. La suite de ce chapitre traitera
plus particulirement des solutions concernant concernant les rseaux Wifi dans la mesure ou les solutions
techniques permettant la scurisation dun accs filaire sont abordes aux chapitres 3 et 4 de ce document.
6.5.5.1 Points daccs au rseau 802.1X
La norme IEEE 802.1X est un standard qui dfinit les mcanismes permettant de contrler laccs aux
quipements actifs dun rseau quil soit filaire ou radio. Elle permet dauthentifier un utilisateur grce un
serveur dauthentification avant de lui accorder ou non laccs au rseau.
Lorsque le client se connecte un port Ethernet ou sattache un point daccs sans fil, laccs au LAN lui
est ferm, seul le trafic avec le serveur dauthentification est autoris. Le port ne pourra souvrir sur le LAN
que si lauthentification russie. Cette norme repose donc sur trois acteurs qui doivent limplmenter:
Un client appel supplicant (Linux, Mac OSX, Windows depuis XPSP1)
Llment actif appel authenticator (Switch, Borne Wifi)
68
69
En rsum:
La station cliente entre en contact avec le point daccs en utilisant une des normes de connexion sans
fil de la famille 802.11. Cette dernire sappuie alors sur les mcanismes 802.1X pour permettre ou non
laccs au rseau local.
Ce dispositif repose sur le protocole EAP (Extensible Authentication Protocol) pour le transport des informations ncessaires lauthentification suivant le mode choisi. Il en existe 5 officiellement retenus par
WPA et WPA2 dont les deux principaux sont:
TLS (Transport Layer Security): Ce protocole est en fait la version 3.1 du fameux SSL dont il est le successeur. Il utilise une infrastructure de clefs publiques pour scuriser lidentification entre le client et le
serveur. Dans ce mode, les deux acteurs chacun dun certificat x509.
PEAP (Protected EAP): Dans ce mode seul le serveur dispose dun certificat. Lauthentification du client
est assure par un challenge de type login/password.
Dans la grande majorit des cas, les changes entre le point daccs sappuient sur le protocole RADIUS,
que nous aborderons un peu plus loin et sur UDP/IP
6.5.5.2 Authentification RADIUS
Le protocole Radius nest pas la seule norme dauthentification mais il est devenu le standard de fait pour
la centralisation des donnes dauthentification sur les rseaux sans fil. La signification de cet acronyme est
Remote Authentication Dial-In User.
Il a t conu par les fournisseurs daccs Internet afin de leur permettre dauthentifier partir dune base
centralise des utilisateurs se connectant via des accs RTC des serveurs diffrents. Il normalise le transport des informations dauthentification entre le serveur hbergeant la base des utilisateurs et un client
RADIUS qui est un point daccs sans fil, un firewall, un commutateur ou un dispositif daccs distant.
Un poste client demande un accs un client RADIUS, par exemple une borne Wifi. Elle se charge alors de
lui demander des informations didentification comme un nom et un mot de passe. A partir des rponses
du poste client, elle construit une requte dite Access Request et la transmet son serveur RADIUS qui
70
vrifie sil possde suffisamment dinformations pour raliser lauthentification. Dans la ngative, le serveur
demande son client (ici, la borne) des informations complmentaires par un dispositif nomm access
challange. Plusieurs cycles access Request access Challange senchainent jusqu ce que le serveur
dispose de tous les lments qui lui sont ncessaires. Il autorise alors (Access Accept) ou rejette (Access
Reject) laccs.
Plusieurs serveurs RADIUS peuvent tre chaner par un dispositif dit de Proxy-Radius. Il nhberge pas
ncessairement la base utilisateur et peu traiter les authentifications en accdant des serveurs externes,
par exemple un serveur Active Directory ou un serveur LDAP.
Lidentification RADIUS peut tre enrichie dautre fonctionnalits grce lusage dattributs complmentaires dans les paquets. Elle permet par exemple de dfinir un temps de connexion maximum, un time-out
ou encore une adresse IP.
6.5.6 Portail captif
Un portail captif est un dispositif qui intercepte la totalit des paquets provenant dun poste client, quels
que soient leur destination jusqu ce que lutilisateur ouvre le navigateur Web. Il est alors redirig de force
sur une page Web du portail captif pour sy authentifier.
Le portail peut alors raliser lui mme cette phase dauthentification ou la dporter sur un serveur dont
cest le rle (AD, LDAP, RADIUS,). Il autorise alors ou non le poste client accder Internet ou aux
ressources dun rseau local.
Cest un dispositif principalement utilis dans le cadre des rseaux Wifi mais elle est galement envisageable sur un rseau filaire.
Il existe aujourdhui un nombre important de distributions Linux ddies cette fonction. Elles sont principalement issues de quatre grandes familles qui sont ChilliSpot, M0n0wall, noCat et WiFiDog.
Les principaux fabricants de point daccs intgrent dsormais des offres de portail captif dans leurs routeurs wifi.
Au-del de lauthentification, les portails captifs sont galement utiliss des fins daccounting et de facturation sur des points daccs publics.
6.5.7 Recommandations
6.5.7.1 Politique daccs
La premire tape de la scurisation des accs nomades consiste dfinir une politique de scurit afin
de pouvoir effectuer des choix techniques judicieux. Il faut commencer par identifier les risques potentiels lis lventuelle connexion de postes non identifis sur le rseaux de ltablissement en fonction de
laccessibilit des locaux, des modes dorganisation, des ressources accessibles,etc. Cette premire phase
consiste en lidentification:
des lments protger comme les matriels, logiciels ou donnes sensibles ou confidentielles,
des attaques ventuelles comme la dgradation lie aux virus, aux chevaux de Troie, aux vers ou autres
parasites propags par des postes non contrls,
de lventualit dactes de dgradation ou de piratage volontaire,
des risques dcoute des informations transitant sur le rseau.
Il faudra ensuite choisir une approche de scurit pour le rseau local visant dterminer pour les postes
de ltablissement comme pour les postes nomades si lon nautorise qui accder quoi et sous quelles
conditions. Cette tape devra prendre en compte tous les types de matriels (fixes, nomades), de personnels (enseignants, apprenants, passagers,) , de rseaux (cbl, sans fil).
Cest de cette politique de scurit que dcouleront les choix techniques permettant de pallier les
dfaillances de scurit afin de mettre en uvre les dispositifs appropris en fonction des moyens humains
et financiers de ltablissement.
71
72
teur est alors redirig vers une page web qui demande une authentification qui sera gre par un serveur
RADIUS dans le cadre de nos tablissements.
En pleine cohrence avec les recommandations effectues dans les chapitres relatifs aux dispositifs de
scurisation dInternet, nous conseillons de recourir aux deux principales distributions issues du logiciel
libre que sont IpCop et PfSense.
La fonction de portail captif et dauthentification de type RADIUS est intgr de faon native dans la solution PfSense. Une documentation prcise ainsi quun tutoriel dtaill sont accessibles depuis la page documentation du site http://www.pfsense.org
Sur la distribution IpCop, il faut recourir linstallation de lAdd-on nomm CopSpot tlchargeable sur
le site http://www.ban-solms.de
En ce qui concerne la fonction de portail captif et dauthentification des utilisateurs ou des stations par le
biais dun serveur RADIUS, la solution Pfsense est plus simple mettre en uvre, mais dans tous les cas, il
faudra installer et paramtrer le serveur dauthentification RADIUS.
Les serveurs MicroSoft Windows de version 2003 ou suprieur sont nativement conus pour assurer ce
rle. De plus, ils sont trs massivement prsents dans nos tablissements, ce qui nous conduit en recommander lusage pour cette fonction afin dviter lacquisition et le paramtrage de matriel et de logiciels
supplmentaires. Le tutoriel dtaill de mise en uvre de la solution PfSense/RADIUS cit plus haut se base
par ailleurs sur cette famille de serveur.
Dans le cas o ltablissement ne dispose pas de serveur de ce type, nous recommandons lusage du serveur
libre et gratuit FreeRadius tlchargeable ladresse http://freeradius.org/
73
La gestion de la scurit: une des fonctions de gestion concerne le contrle et la distribution des informations utilises pour la scurit. Les ressources du rseau seront accessibles seulement aux utilisateurs autoriss. Les erreurs daccs peuvent tre enregistres pour ensuite tre analyses ou provoquer des alertes.
La gestion des configurations: permet didentifier et de paramtrer les lments du rseau. Les procdures requises pour grer une configuration sont la collecte dinformations, le contrle de ltat du systme, la sauvegarde de ltat des priphriques dans un historique.
6.6.3 Le protocole de supervision SNMP
6.6.3.1 Principe
Le principal protocole utilis pour obtenir des donnes concernant les quipements est appel SNMP. Il
permet aux administrateurs rseaux de grer des quipements et de diagnostiquer des problmes.
Le sigle SNMP signifie Simple Network Management Protocol et la quasi-totalit des constructeurs dquipements rseaux limplmentent de faon native. Il est dfini par lIETF dans la RFC 1157 (mai1990) et il
est le protocole le plus employ pour superviser les rseaux.
Cest un protocole qui se situe sur les couches 5,6,7 du modle OSI et fonctionne en sappuyant sur le protocole UDP. Sa structure principale est simple, elle comprend:
Un serveur/superviseur (NMS: Network management stations) charg dinterroger les lments du rseau
pour connatre leur tat et charg de centraliser les informations recueillies.
Des agents: ils sont installs sur les lments du rseau surveiller (serveur, routeur, switch) et en surveillent les lments (temprature, charge du cpu,etc.). Ils rpondent aux requtes du superviseur.
Une base de donnes (virtuelle) MIB (Management Information Base) place sur les quipements et qui
permet une prsentation claire et humainement comprhensible de tout les paramtres surveills (CPU,.
@IP, Temprature,etc.)
Un protocole: SNMP, pour interroger ou modifier les agents et leur MIB depuis la console de supervision.
SNMP sappuie sur UDP pour fonctionner et utilise les ports 161 ct serveur et 162 ct client.
Un agent proxy qui sert de passerelle vers des quipements ou des rseaux ne supportant pas SNMP en
relayant et traduisant les requtes du superviseur SNMP.
Un Analyseur RMON: RMON est un standard pour lanalyse de trafic et la collecte de paquets depuis
plusieurs segment distants.
Source: www.cisco.com
Un priphrique rseau (routeur, switch, pare-feu,) fait tourner un agent SNMP qui rpond aux requtes
du rseau. Lagent SNMP fournit un grand nombre didentifiants dobjets (Object Identifiers ou OID).
Un OID est une paire cl-valeur unique. Lagent SNMP remplit ces valeurs et fait en sorte quelles soient.
74
disponibles. Un manager SNMP (ou client SNMP) peut effectuer des requtes aux agents avec ses paires
cl-valeur propos dinformations spcifiques. Les OID SNMP peuvent tre lus ou crits.
Notons quil est rare dcrire des informations sur un priphrique SNMP. Le SNMP est surtout utilis par
de nombreuses applications de management pour contrler ltat des priphriques rseaux (comme une
interface graphique administrative pour les switchs). Un systme dauthentification basique existe dans le
SNMP; il permet au manager denvoyer un community name (qui est en fait un mot de passe en clair) pour
autoriser la lecture ou lcriture des OID. La plupart des priphriques utilisent le community name non
scuris public. Les communications SNMP se font via les ports UDP 161 et 162.
6.6.3.2 La MIB
Si on travaille sur le SNMP, on est rapidement confront aux MIB (Management Information Base). Au premier coup dil, une MIB peut paratre trs complexe mais savre trs simple en ralit.
Les OID sont numriques et globaux. Un OID est trs similaire une adresse IPv6 et les diffrents fabricants
ont diffrents prfixes, chaque fabricant a sa gamme de produit (un autre prfixe) et ainsi de suite. Les
OID peuvent trs vite tre long et il est compliqu pour un humain de se rappeler la signification de cet
ensemble de nombres.
Cest pour cela quune mthode a t mise au point pour traduire un OID numrique dans une forme lisible
pour un humain. Cette carte de traduction est stocke dans un fichier texte appel Management Information Base ou MIB.
Vous navez pas besoin dun MIB pour utiliser SNMP ou effectuer des requtes sur des priphriques SNMP
mais sans la MIB, vous nallez pas savoir facilement ce que signifient les donnes retournes par le priphrique. Dans certains cas, cest facile comme le nom de lhte, lusage des disques ou les informations dtat
des ports. Dans dautres cas, cela peut tre plus difficile et une MIB peut tre dune grande aide. Notez quil
est assez inhabituel pour la plupart des applications dcrire des requtes uniquement numriques. La plupart des applications permettent linstallation de MIB complmentaires. Cette installation consiste placer
les MIB un endroit o lapplication cliente SNMP peut les trouver pour effectuer la traduction.
6.6.3.3 Utilisation de SNMP
Les techniques de supervision avec SNMP peuvent tre utilises de deux manires distinctes: le polling et
les traps.
Le polling consiste simplement envoyer une requte intervalles rguliers pour obtenir une valeur particulire. Cette technique est appele vrification active. Vous pouvez, par programme ou script, vrifier si
les valeurs sont correctes. Si la requte choue, il est possible quil y ait un problme avec le priphrique.
Cependant, vu que le SNMP sappuie sur UDP, il est conseill de ritrer la requte pour confirmer le problme (surtout dans le cas dune vrification au travers dInternet).
Les traps consistent faire de la vrification passive, en gros, on configure lagent SNMP pour quil contacte
un autre agent SNMP en cas de problme. Cest--dire que lon peut configurer un priphrique rseau
(comme un routeur) pour quil envoie un trap SNMP lors de certains vnements. Par exemple, le routeur
peut envoyer un trap lorsquil dtecte que la ligne est coupe (down). Quand un vnement trap apparait,
lagent sur le priphrique va envoyer le trap vers une destination pr-configure communment appele
trap host. Le trap host possde son propre agent SNMP qui va accepter et traiter les traps lorsquils arrivent.
Le traitement des traps est effectus par des trap handlers. Le handler peut faire ce qui est appropri pour
rpondre au trap, comme envoyer un courriel dalerte.
Il existe actuellement 3 versions diffrentes du protocole SNMP:
SNMP v1 (RFC 1155, 1157 et 1212).
SNMP v2c (RFC 1901 1908).
SNMP v3 (RFC 3411 3418).
La co-existence des trois versions est dtaille dans la RFC 3584.
Pour interroger une MIB, la superviseur (NMS) dispose de commandes permettant denvoyer des requtes
ou de recueillir des rponses:
getRequest demande les informations sur un objet gr par lagent SNMP
75
getNextRequest demande les informations sur lobjet suivant (dont on ne connait pas forcment le nom)
setRequest modifie ltat dune variable SNMP
getResponse permet lagent SNMP denvoyer une rponse une requte de la station dadministration
trap met en oeuvre un mcanisme dalarme permettant un quipement rseau dinformer la station
dadministration en cas de problme.
Il existe un grand nombre dutilitaires permettant de recueillir des informations SNMP. Sous Linux, netsnmp est courant. Sous Windows, Getif propose une interface graphique relativement simple utiliser et
permettant daccder un grand nombre dinformations.
6.6.4 Les langages de monitoring
6.6.4.1 RMON
Cest une extension de la MIB qui permet de surveiller et de diagnostiquer un rseau distance. Le but de
cette norme est de rcolter des statistiques sur ltat global du rseau, sur la frquentation, la qualit du
signal, la performance des composants alors que les autres MIB sont plutt orients sur le diagnostic matriel des quipements. La version 1 de RMON peut tudier lactivit du rseau jusquau niveau 2 du modle
OSI et jusquau niveau 7 pour la version 2.
6.6.4.2 WMI (Windows Management Instrumentation) de Microsoft
WMI est un systme de gestion interne de Windows qui prend en charge la surveillance et le contrle de
ressources systme via un ensemble dinterfaces. WMI contient une librairie dobjets pouvant tre interrogs via des scripts VBS, Windows Script Host (WSH). Ces scripts peuvent aussi bien interroger le matriel
sur sa charge CPU, son adresse Ip,etc. mais il peut aussi modifier certains paramtres du systme dexploitation.
6.6.4.3 Netflow (Cisco)
Cest un protocole de monitoring dvelopp par Cisco et qui est libre, il peut donc tre adapt dautres
environnements (FreeBSD par exemple).
Cette technologie a pour but doptimiser les ressources utilises via des statistiques et des analyses concernant le trafic et aussi de dtecter les pannes. Netflow rpertorie le flux des paquets IP pendant leur progression travers linterface depuis le routeur.
Chaque flux est unique et identifi par sept critres (adresse IP source, adresse IP de destination, numro
de port source (TCP/UDP), numro de port de destination (TCP/UDP), type de protocole de couche 3 (IP/
ICMP), type de service (ToS) et interface logique dentre.
Toute variation dans ces critres distingue un flux dun autre. Cisco NetFlow peut collecter les informations sur une base trs granulaire et les analyser dans des rapports.
6.6.5 Les outils de monitoring
Les outils de monitoring libres ou commerciaux sont gnralement de deux types:
des outils de supervision, qui surveillent et analysent ltat des quipements du rseau (Nagios, HP Openview). Ils sont gnralement plus centrs sur le matriel, les quipements.
des outils danalyse surtout destins tudier le trafic (mtrologie). Ils tablissent notamment des statistiques sur les protocoles utiliss, sur le dbit du trafic,etc. (par exemple MRTG, Cacti).
Ces deux types dapproches sont complmentaires, ltude du trafic circulant via un outil tel que MRTG par
exemple permet de voir si le trafic dans son ensemble est normal, si il ny a pas de rupture accidentelle. Il
offre ainsi une vue densemble du dbit, des protocoles utiliss. En cas de problme, un outil tel que Nagios
permet de voir prcisment quel est lquipement en cause (switch, routeur) et ainsi dagir.
En complment, un outil propritaire tel que Cisco Network Assistant permet davoir distance la main sur
le matriel en question pour remettre un bonne configuration, ou pour tablir un diagnostic plus prcis.
76
Enfin, ces diffrents types dapproches peuvent tre runies autour dune solution intgre comme par
exemple le logiciel Centreon qui est un outil de supervision et de configuration btie autour de Nagios.
6.6.6 Les principes de la surveillance
6.6.6.1 Dtermination de laccessibilit des htes du rseau
Supervision des services sur des htes hors fonction ou inaccessibles. Le but principal de cette fonction
est de superviser des services qui tournent sur ou sont proposs par des htes physiques ou des quipements du rseau. Si un hte ou un quipement du rseau sarrte, tous les services quil offre sarrtent
avec lui. Pratiquement, ceci consiste envoyer un ping lhte et vrifier si une rponse est retourne.
Supervision dhtes locaux. Ce sont ceux qui se trouvent sur le mme segment de rseau ce qui en rend
le contrle assez simple puisquil ny a pas de routeurs entre lhte charg de la supervision et les autres
htes du rseau local.
Htes distants. Ce sont ceux qui se trouvent sur un segment de rseau diffrent de celui du superviseur.
Dans cette configuration, certains htes sont plus loigns que dautres, ce qui conduit mettre en place
un arbre de dpendance des htes pour leur configuration.
Rupture de la continuit du rseau. Le diagnostic des ruptures de la continuit du rseau aide les administrateurs trouver et rsoudre plus rapidement des dysfonctionnement. Il nest pas toujours possible de
trouver la cause exacte dun problme, mais la localisation des htes en dfaut peut aider au diagnostic.
Les notifications. La vrification rgulire de lensemble des services sur un parc configur permet de
gnrer des alertes rgulires. Lorsquun hte ou un service demeure dans un tat de non-OK, une une
premire notification est envoye. Si aprs un intervalle de temps, le problme nest toujours pas rgl,
une autre notification sera envoye et continuera ainsi jusqu ce que le problme soit rsolu ou acquitt.
6.6.6.2 Outils de cration de graphiques
Ces outils fournissent des graphiques d peu prs tous les points sensibles des quipements superviss et
permettent une analyse plus simple de ltat global du parc.
Exemple: Trafic rseaux de plusieurs sites.
77
Le rle dun tel outil est dinformer rapidement un administrateur sur ltat des lignes de son rseau et si il
est coupl avec un outil de supervision, dtre averti en cas de surcharge ou de coupure sur un segment.
Dans lexemple ci-dessus, le graphe indique lendroit exact de la coupure en prcisant la machine affecte.
Il permet galement danticiper les volutions prvoir grce une vision synthtique de la consommation
de bande passante sur le rseau.
6.6.7 Lanalyse
Lanalyse dun rseau consiste utiliser un dispositif technique permettant dcouter le trafic, de le capturer puis de lanalyser afin de permettre un diagnostique trs fin de son rseau. Ce dispositif est communment appel analyseur rseau, mais galement analyseur de trames ou sniffer en anglais.
Cette prouesse est rendu possible dans un rseau non commut par le fait que les donnes sont envoyes
toutes les machines du rseau. Dans le cadre dun fonctionnement normal, les machines ignorent les
paquets qui ne leur sont pas destins. Ainsi, en utilisant linterface rseau dans un mode spcifique appel
promiscuous, il est possible dcouter tout le trafic passant par un adaptateur rseau (carte rseau ethernet,
carte rseau Wifi,etc.).
Un analyseur est un outil permettant par ce biais dtudier le trafic dun rseau. Il sert gnralement aux
administrateurs pour diagnostiquer les problmes sur leur rseau ainsi que pour connatre le trafic qui y
circule. Malheureusement, comme tous les outils dadministration, le sniffer peut galement servir une
personne malveillante ayant un accs physique au rseau pour collecter des informations.
La grande majorit des protocoles Internet font transiter les informations en clair, cest--dire de manire
non chiffre. Ainsi, lorsquun utilisateur du rseau consulte sa messagerie via le protocole POP ou IMAP,
ou bien surfe sur internet sur des sites dont ladresse ne commence pas par HTTPS, toutes les informations
envoyes ou reues peuvent tre interceptes. Cest comme cela que des analyseurs ont t mis au point
par des pirates afin de rcuprer les mots de passe circulant dans le flux rseau.
Ce risque est encore plus important sur les rseaux sans fil car il est difficile de confiner les ondes hertziennes dans un primtre dlimit, si bien que des personnes malveillantes peuvent couter le trafic en
tant simplement dans le voisinage et utiliser des utilitaires spcifiques afin de sintroduire dans un rseau
mal scuris.
Les analyseurs de rseaux sont donc des assistants prcieux de ladministrateur en lui permettant de vrifier
de faon trs prcise le niveau de scurit de son rseau, sous rserve que ladministrateur en question
possde les comptences pointues indispensables lusage de ce type doutil.
6.6.8 Recommandations
6.6.8.1 Logiciel de supervision
Au sein dun tablissement, nous recommandons lusage dun logiciel de supervision issue du monde du
logiciel libre permettant de surveiller le fonctionnement et les performances de tous les lments de son
rseau mais galement des principaux serveurs.
Les quipements du rseau ainsi que les serveurs amens tre surveills devront imprativement implmenter le protocole SNMP et ce dernier devra bien videmment tre activ.
Dans un souci de simplicit et de performance, nous conseillons de recourir CACTI, qui est un logiciel
libre et gratuit qui fonctionne sur un serveur Linux/Apache/MySql/PhP et qui est un compromis raisonnable entre la puissance et la complexit. Il nen reste pas moins un outil qui ncessite de bonnes connaissances en terme de systme et de rseau.
Il permet une reprsentation graphique du statut de priphriques rseau utilisant SNMP, mais galement
de dvelopper grce des scripts (Bash, PHP, Perl,) des fonctions avances. Les donnes sont ensuite
rcoltes auprs des agents SNMP ou des scripts locaux.
CACTI est entirement bas sur le principe de modles (Templates) qui permettent de crer de manire
gnrique les graphiques que lon souhaite. Cest un systme prcieux lorsque de nombreuses donnes
identiques doivent tre observes, mais qui peut se rvler fastidieux configurer lorsque les donnes sont
htrognes.
78
Cacti gnre les graphiques dynamiquement, partir des fichiers de donnes RRDTool, chaque affichage
dune page dans linterface Web, ce qui permet deffectuer une supervision en temps rel des lmrnts du
rseau.
Loutil et sa documentation (en anglais) sont disponibles en tlchargement libre sur le site:
http://www.cacti.net/
Pour les tablissements souhaitant mettre en place une supervision avance et disposant dun administrateur expriment, le dploiement de la solution libre CENTREON est recommande.
Loutil et sa documentation sont disponibles en tlchargement libre sur le site:
http://www.centreon.com/fr/
6.6.8.2 Analyseurs
Au sein dun tablissement, nous recommandons lusage dun logiciel de supervision issue du monde du
logiciel libre fonctionnant sur un PC ordinaire et permettant deffectuer une analyse des flux transitant
sur le rseau local des fins de diagnostique mais galement de supervision et de contrle du niveau de
scurit.
Lutilisation doutil de ce type doutil ncessite de la part de ladministrateur de solides connaissances dans
le domaine des rseaux, des protocoles et des normes. Une formation pralable est en gnral souhaitable.
Nous recommandons lutilisation du logiciel libre et gratuit Wireshark, anciennement appel Ethereal qui
permet grce la capture du trafic du rseau danalyser ce jour 759 protocoles diffrents. Wireshark est
multiplate-forme, il fonctionne parfaitement sous Windows, Mac OS X et Linux.
Loutil et sa documentation sont disponibles en tlchargement libre sur le site:
http://www.wireshark.org/
Il nexiste ce jour pas de version franaise de ce produit, toutefois des tutoriels en franais sont disponibles en quantit sur Internet.
7 Sites de rfrences
7.1 Site du rseau
Ce guide est disponible dans une version rgulirement mise jour sur:
http://drtic.educagri.fr/
Il est complt par des fiches techniques et de la documentation.
79
7.2.2 PfSense
Site officiel: http://www.pfsense.org/
Forums: http://forum.pfsense.org/
7.3
Sites complmentaires