Guide Reseaux

Les rseaux des EPLEFPA
Architectures &
Recommandations
Chantier national DRTIC
http://drtic.educagri.fr/
Dcembre 2009
Architecture des rseaux en EPLEFPA
Table des matires
1 Prambule..........................................................................................................................................15
1.1 Objectifs.................................................................................................................................................15
1.2 Limites....................................................................................................................................................16
1.3 Structures des EPLEFPA..........................................................................................................................16
2 Infrastructure physique des rseaux.........................................................................................10
2.1 Locaux techniques.................................................................................................................................10
2.2 Technologies cbles.............................................................................................................................12
2.3 Technologies sans fil..............................................................................................................................16
2.4 Recommandations..................................................................................................................................19
3 lments actifs..................................................................................................................................21
3.1 Les hubs..................................................................................................................................................21
3.2 Switch ou commutateur.........................................................................................................................21
3.3 Les ponts................................................................................................................................................25
3.4 Les routeurs............................................................................................................................................25
3.5 Les quipements Box ou triple play................................................................................................26
3.6 Les lments actifs Wifi..........................................................................................................................27
3.7 Recommandations..................................................................................................................................28
4 Infrastructure logique des rseaux............................................................................................30
4.1 Protocoles rseaux.................................................................................................................................30
4.2 Adressage IP...........................................................................................................................................33
4.3 Introduction IPV6................................................................................................................................35
4.4 Segmentation..........................................................................................................................................36
4.5 Les Vlan ou rseaux virtuels...................................................................................................................37
4.6 Recommandations.............................................................................................................................39
5 Interconnexion des rseaux de lEPL.........................................................................................41
5.1 MAN/WAN.............................................................................................................................................41
5.2 RPV/VPN................................................................................................................................................43
5.3 Technologies VPN..................................................................................................................................45
5.4 Les diffrentes solutions VPN.................................................................................................................47
5.5 Recommandations.............................................................................................................................48
6 Scurit des rseaux........................................................................................................................49
6.1 Notions de scurit informatique...........................................................................................................49
6.2 Authentification......................................................................................................................................50
6.2.8 Recommandations........................................................................................................................56
6.3 Firewall...................................................................................................................................................56
6.4 Filtrage Internet......................................................................................................................................61
6.5 Scuriser les accs nomades au rseau local..........................................................................................65
6.6 Surveillance & Analyse rseau................................................................................................................72
7 Sites de rfrences...........................................................................................................................78
7.1 Site du rseau.........................................................................................................................................78
7.2 Sites des distributions.............................................................................................................................78
1 Prambule
Larchitecture des rseaux en EPLEFPA constitue un domaine de rflexion de la premire importance qui
conditionne les usages et la qualit de service du systme dinformation qui se caractrise principalement
par:
des informations varies appartenant gnralement deux grands domaines: les donnes administratives
au caractre parfois confidentiel et les donnes pdagogiques.
de nombreuses familles dusagers: administratifs, enseignants, apprenant de la formation initiale ou continue, titulaires ou vacataires, parents dlves, institutionnelsetc. Les groupes dutilisateurs sont donc trs
htrognes, difficult laquelle sajoute la prsence dlves et dapprentis mineurs.
Une ouverture importante vers de nombreux interlocuteurs institutionnels dont au premier lieu le Ministre de l'Agriculture, de lAlimentation et de la Pche mais galement les Conseils Rgionaux, le Ministre
des Finances, le Ministre de lducation Nationale,etc.
Limportance prise par le systme dinformation de lEPL, son ouverture, la complexit croissante des
rseaux ont fait merger la ncessit de rdiger un guide destination des tablissements.
1.1 Objectifs
Le premier objectif de ce guide est daborder tous les aspects dun rseau local en ralisant un tat de lart
qui permettra aux membres de la commission TIM de ltablissement de comprendre les lments thoriques de base ncessaires une prise de dcision.
Le second objectif est dtablir des recommandations lattention des EPLEFPA. Chaque domaine, abord
sous forme dun chapitre, sera conclu par des recommandations permettant de rendre ce guide plus oprationnel.
Ce document pourra galement servir de document de rfrence dans les discussions avec leurs partenaires et plus particulirement les Conseils Rgionaux en tant que propritaires des infrastructures.
Ce guide est le rsultat dun groupe de travail DRTIC dont lexprience en matire darchitecture rseaux
est diverse. Sur la base des technologies actuelles et dobservations effectues dans les EPL de diffrentes
rgions, il devrait donc permettre de:
clairer des choix: permettre lutilisateur de faire le tour des solutions techniques existantes afin deffectuer des choix en toute connaissance de cause.
tablir des recommandations: celles formules dans ce guide nont pas de valeurs impratives mais
constituent des orientations retenues parce quprouves dans les tablissements, cohrent avec le Systme dInformation de lEnseignement Agricole et respectant la Politique de Scurit des Systmes dInformation du MAAP. Limiter les cots: La vocation de ce document est aussi de permettre la mise en place de
solutions avec des cots limits. Elles sont donc souvent issues du monde du logiciel libre.
1.2 Limites
Ce guide na pas vocation tre exhaustif ni apporter une solution tous les problmes, mais assurer un
minimum dappui technique la prise de dcision dans une structure de type EPLEFPA.
Le secteur des TIC volue rapidement et conduit une obsolescence plus ou moins rapide des documents
imprims. Une version lectronique sera tenue jour rgulirement et publie sur le portail des TICEs initi
par le rseau des DRTIC: http://drtic.educagri.fr/
Elle sera complte rgulirement par des fiches techniques permettant la mise en uvre des recommandations faites dans ce guide.
1.2.1 Politiques des Rgions
Les Conseils Rgionaux ont la responsabilit des infrastructures des tablissements et assurent le financement des quipements. A ce titre, ils sont des partenaires incontournables dans le domaine de larchitecture des rseaux.
Certaines Rgions possdent dj des schmas directeurs dans ce domaine ou sont porteurs de projets qui
ont des rpercussions directes sur larchitecture des rseaux. Il peut sagir, par exemple, du dploiement
dun Environnement Numrique de Travail, du choix dun Fournisseur dAccs Internet, dune solution
de scurit,etc.
Il convient donc de prciser que les prconisations de ce guide sont adapter au contexte rgional.
1.2.2 Autonomie des EPLEFPA
Le conseil dadministration dun EPLEFPA a toute latitude pour conduire un projet dinfrastructure de son
rseau. Dans ce cas, ce guide doit lui permettre de prendre des orientations cohrentes avec les orientations nationales du Ministre tout en ne perdant pas de vue son contexte rgional.
1.3 Structures des EPLEFPA

La constitution des tablissements est gnralement la suivante: Le sige de ltablissement est le Lyce
dEnseignement Gnral et Technologique Agricole (LEGTA) ou le Lyce Professionnel Agricole (LPA) le
plus important.
Il comprend plusieurs centres constitutifs qui peuvent tre, outre le lyce sige, un ou plusieurs autres
lyces, un ou plusieurs Centres de Formations Professionnelle et de Promotion Agricole (CFPPA), un ou
plusieurs Centres de Formation dApprentis (CFA) et une ou plusieurs exploitations agricoles ou ateliers
technologiques.
Les centres constitutifs dun EPLEFPA peuvent tres situs gographiquement sur un seul site ou rparti
sur plusieurs dans un mme dpartement.
Il existe une grande htrognit dans la taille des tablissements dont le plus petit est constitu dun
LPA dune centaine lves, et le plus important de 3 lyces, 2 CFA, 2 CFPPA, 2 exploitations agricoles, et.
2 ateliers technologiques.
La taille dun EPLEFPA, le nombre de ses centres constitutifs, leur importance, leur public ainsi que leur
rpartition gographique ainsi que leurs rpartitions gographiques impactent directement linfrastructure
de son rseau et influent sur ses besoins en terme de scurit des systmes dinformations.
Les trois chapitres suivants prsentent les principaux types dinfrastructures des rseaux des EPLEFPA en
fonctions de leurs principales typologies.
1.3.1 EPLEFPA mono-site mono-rseau

Cest le cas le plus simple en terme dinfrastructure et dadministration du rseau. Cette typologie dtablissement tend disparatre.
1.3.2 EPLEFPA mono-site multi-rseaux:

Cette typologie dtablissement tend se dvelopper sur les tablissements mono-site et multi-centre afin
de mieux scuriser le rseau et de rpondre de faon plus efficace aux exigences de la politique de scurit
des systmes dinformation du Ministre.
1.3.3 EPLEFPA multi-sites multi-rseaux

<Cette typologie tend se dvelopper de faon importante sous limpulsion dune politique ministrielle
visant regrouper les tablissements denseignement agricole au sein de structures dEPLEFPA dpartementaux. Elle fait appel des techniques complexes de gestion et de scurisation des rseaux qui impliquent la prsence dquipes locales comptentes.
10
2 Infrastructure physique des rseaux

2.1 Locaux techniques
2.1.1 Salles serveurs
La salle serveur est le cur du systme dinformation. Elle est indispensable au sein dun tablissement
et doit tre strictement rserve cet usage. Sa conception fait appel de nombreux savoir-faire et se
caractrise par un environnement multi-technique (lectricit, climatisation, incendie, contrle daccs,
report des alarmes, procdures,). Cest pourquoi un soin trs particulier doit tre apport dans sa mise
en uvre.
Alimentation lectrique
Bien que le courant fourni savre gnralement de bonne qualit, les quipements informatiques
demeurent nanmoins sensibles diverses perturbations lectriques (sautes de tension, surcharge,
courant de fuite,). Il est fortement recommand de fiabiliser ces alimentations par des quipements
assurant une alimentation lectrique stabilise, filtre et continue afin dliminer la plupart des anomalies du rseau souvent lorigine des pannes, incidents, voir arrt total de la production informatique..
Aussi il est important de penser :
fournir une alimentation lectrique indpendante la salle serveur (directement larrive EDF),
quiper la salle ou dfaut chaque serveur dun onduleur.
fournir si possible aux postes utilisateurs une alimentation indpendante du courant domestique. Vrifier
les branchements individuels rgulirement (radiateurs, cafetires, multiprises). Informer les usagers des
risques pour leurs propres fichiers.
Les onduleurs
il fournit un courant de rechange en cas de coupure grce ses batteries. La dure du secours est bien sr
proportionnelle la taille de ses batteries et inversement proportionnelle la consommation des appareils
qui lui sont attribus (de quelques minutes quelques heures).
il rgule le courant (sous-tension, surtension, mais aussi carts de frquence). Tous les onduleurs ne
sont pas aussi performants. Un gros onduleur utilis pour plusieurs machines est gnralement plus performant que plusieurs petits pour un mme cot.
lorsque la coupure se prolonge plus de quelques minutes, il peut ordonner aux serveurs de fermer proprement tous leurs services, vitant ainsi des pertes de donnes.
Londuleur comme ses batteries doit tre minutieusement et rgulirement vrifi. Beaucoup donduleurs
sont maintenant accessibles par le rseau et peuvent tre contrls rgulirement depuis une console dadministration, il faut donc vrifier que les dispositions ncessaires ont t prises.
Climatisation
La climatisation est un lment fondamental de la scurit des systmes dinformation. Les serveurs sont
conus pour fonctionner dans une plage de tempratures dite ambiance de bureau . Au del, soit ils
sarrtent, soit ils risquent la panne grave.
La fourniture de climatisation doit assurer le refroidissement des configurations informatiques hberges
24h sur 24. Toute panne sur la chane climatique peut provoquer une hausse de temprature trs rapide
qui peut savrer fatale pour certains composants sensibles. il est donc trs important que les salles soient
correctement quipes de climatiseur de puissance suffisante.
En cas darrt de la climatisation la temprature augmente rapidement. Il peut donc savrer ncessaire
quelles soient quipes de systmes dalerte (thermostat indpendant) et de procdures et contrats de
maintenances associs.
11
Lincendie
La protection contre le risque incendie est partie intgrante de lenvironnement des salles informatiques. Un
court-circuit dans un passage de cbles et un incendie risque de dtruire en quelques instants la salle machine..
Il faut prendre en compte que ce lieu reste gnralement labri des allers et venues ce qui permet le dveloppement discret dun incendie.
.
La lutte contre lincendie comporte trois volets:
la prvention,
la dtection,
lextinction.
Parmi les points sensibles, on retrouve:
la sensibilisation, la formation et les exercices,
le contrle rgulier des quipements de dtection et de lutte,
les reports dalarmes,
les procdures
Les accs
Un autre point sensible de lenvironnement des salles informatiques est la gestion des flux humains. Les
entres et sorties dans une salle informatique et dans les locaux techniques doivent tre strictement limites aux personnels habilits. Ce flux plus ou moins permanent est considrer comme source potentielle
de dysfonctionnements, quils soient volontaires ou involontaires. Toute autre forme daccs doit se faire
sous la responsabilit et en prsence dun agent habilit. Il convient dinformer tous les intervenants potentiels du caractre sensible des zones dans lesquelles ils sont amens intervenir.
Les prcautions de scurit
regrouper le matriel le plus sensible dans les zones les mieux protges,
ces locaux doivent tre isols des rseaux de servitudes. (eau, lectricit, ascenseurs),
sortir les supports de sauvegarde des locaux, si possible du btiment,
contrler laccs par des systmes cl, cartes, digicodes, faciles utiliser et maintenus oprationnels.
Bilan des points de vigilance
scurit du btiment
scurit daccs
scurit intrusion
scurit incendie
scurit lectrique
scurit climatique
2.1.2 Locaux techniques
Les locaux techniques constituent les nuds secondaires du rseau informatique en assurant les connexions
des quipements terminaux dun ou plusieurs tages. Ils hbergent les baies de brassage, les quipements
actifs du rseau et parfois les sous rpartiteurs tlphoniques.
Les baies de brassage contiennent larrive de toutes les prises informatiques de la zone desservie ainsi que
les hubs (concentrateurs) ou switchs (commutateurs) sur lesquelles elles sont connectes. Elles sont relies
entre elles ainsi qu la salle serveur par des rocades.
Ces locaux sont donc des lments essentiels du rseau local et reprsentent un point de vulnrabilit significatif. Au mme titre que la salle serveur, ils doivent faire lobjet dune attention particulire sur certains
points.
Les recommandations dictes prcdemment pour la salle serveur sappliquent de la mme manire aux
locaux techniques dans les domaines de lalimentation lectrique, des onduleurs et du contrle des accs.
12
2.2 Technologies cbles

2.2.1 Ethernet
Pour relier les diverses entits dun rseau, plusieurs supports physiques de transmission de donnes peuvent tre utiliss. La plus rpandue de ces possibilits est lutilisation de cbles. Il existe de nombreux types
de cbles, mais on distingue gnralement:
l le cble coaxial,
l les paires torsades,
l llLa fibre optique.
2.2.1.1 Le cble coaxial
Le cble coaxial a longtemps t le cblage de prdilection, pour la simple raison quil est peu coteux et
facilement manipulable (poids, flexibilit,). Il est aujourdhui en voie de disparition. Il en existe principalement deux types:
Cblage 10Base2 - coaxial Ethernet fin
Cest un cble coaxial fin (diamtre 6mm) et flexible, dune impdance de 50W blind. Les stations sont
connectes suivant une topologie en bus grce un connecteur en T appel BNC. La longueur maximale
du segment est de 185m et permet de connecter 30 stations avec une bande passante de 10 Mbps.
Cblage 10Base5 - coaxial Ethernet pais ou "jaune"
Cest un cble coaxial pais (diamtre 12mm) et peu flexible, dune impdance de 50W. Les stations ou
les concentrateurs (hubs) se connectent suivant une topologie bus, par lintermdiaire dun transceiver
et dun cble de descente. La longueur maximale dun tronon est de 500m et sa bande passante 10 Mbps
Il tait donc employ trs souvent comme cble principal (backbone) pour relier des petits rseaux dont
les ordinateurs sont connects avec du 10Base2.
2.2.1.2 Le cble paires torsades
La paire torsade est adapte la mise en rseau local dun parc sur une distance rduite (<100m) avec
un budget limit et une connectique simple. Il constitue aujourdhui la trs grande majorit des rseaux
locaux.
Dans sa forme la plus simple, le cble paire torsade (en anglais Twisted-pair cable) est constitu de brins
de cuivre entrelacs en torsade et recouverts disolants. Un cble est souvent fabriqu partir de plusieurs
paires torsades regroupes et places lintrieur de la gaine protectrice. Lentrelacement permet de supprimer les bruits (interfrences lectriques) dus aux paires adjacentes ou autres sources (moteurs, relais,
courants forts).
Les cbles paires torsades sont souvent blinds afin de limiter les interfrences. Le blindage peut tre
appliqu individuellement aux paires ou lensemble des paires. Dans ce dernier cas on parle dcrantage.
Suivant le blindage, il existe diffrents types de paires torsades:
paire torsade non blinde (UTP Unshielded Twisted Pair): cble sans blindage protecteur,
paire torsade crante (FTP Foiled Twisted Pair): cble o les paires torsades ont un blindage gnral
assur par un cran (feuille daluminium) dispos entre les paires et la gaine extrieure,
paire torsade crante et blinde (SFTP Shielded and Foiled Twisted Pair): cble ayant un double cran
(feuille mtallise et tresse) autour des paires,
paire torsade blinde et gnrale blinde (SSTP Shielded and Shielded Twisted Pair): cble o chaque
paire est blinde et il y a en plus un cran entre les 4 paires et la gaine extrieure.
Ces diffrents types de cbles ont une impdance de 100 ou 120 ohms.
Les cbles paires torsades sont standardiss en diverses catgories dintgrit du signal. Ces diffrentes
catgories sont ratifies rgulirement par les autorits de normalisation et notamment la norme franaise
NF/EN 50173-1, elle mme issue de la norme ISO 11801, dfinissant le cblage structur.
13
Catgorie 1
La catgorie 1 est un type de cblage abandonn. Cette catgorie de cble tait destine aux communications tlphoniques. Cette norme nest plus dactualit.
Catgorie 2
La catgorie 2 est un type de cblage abandonn. Cette catgorie de cble permettait la transmission de
donnes 4 Mbit/s avec une bande passante de 2MHz, notamment pour les rseaux de type Token Ring.
Catgorie 3
La catgorie 3 est un type de cblage permettant une bande passante de 16MHz. Ce type de cble de nos
jours ne sert principalement plus qu la tlphonie sur le march commercial, aussi bien pour les lignes
analogiques que numriques. Il est galement utilis pour les rseaux Ethernet (10 Mbps) et Fast Ethernet
(100 Mbps). Ce type de cblage est en cours dabandon par les oprateurs au bnfice de cbles de catgorie 5e ou suprieure, pour la transmission de la voix comme des donnes.
Catgorie 4
La catgorie 4 est un type de cblage permettant une bande passante de 20MHz. Ce standard fut principalement utilis pour les rseaux Token Ring 16 Mbps ou les rseaux 10BASE-T. Il fut rapidement remplac
par les catgories 5 et 5e.
Catgorie 5
La catgorie 5 est un type de cblage permettant une bande passante de 100MHz et un dbit de 100 Mbps.
Ce standard permet lutilisation du 100BASE-TX ainsi que diverses applications de tlphonie ou de rseaux
(Token ring, ATM).
Catgorie 5e
La catgorie 5e (enhanced) est un type de cblage permettant une bande passante de 150MHz et un dbit
1 G-bit/s. La norme est une amlioration de la catgorie 5. Elle est aujourdhui la plus frquente.
Catgorie 6
La catgorie 6 est un type de cblage permettant de transmettre des donnes des frquences jusqu
250MHz et des dbits thoriques ne dpassant pas 1 Gbit/s
Catgorie 6a
Ratifie en 2008, la norme 6a est une extension de la catgorie 6 avec une bande passante de 500MHz
permettant un dbit thorique de 10G-bit/s.
Catgorie 7
La catgorie 7 permet la transmission de donnes des dbits allant jusqu 10 Gbits/s et des frquences
ne dpassant pas 600MHz.
Attention :
Les rseaux de type Ethernet nacceptent pas de liens suprieurs 100 mtres! (quelles que soient la
famille et la catgorie du cblage). Les connecteurs doivent tre en adquation avec les cbles utiliss,
notamment au niveau du blindage. Pour une utilisation extrieure, il existe des qualits de cbles appropries.
2.2.1.3 La fibre optique
Une fibre optique est un cble contenant plusieurs brins constitus dun fil en verre ou en plastique trs
fin qui a la proprit de conduire la lumire et sert dans les transmissions dimages, voix et donnes informatiques. Cest un cblage possdant de nombreux avantages. Lgret, immunit aux perturbations lectromagntiques, faible attnuation, tolrance aux dbits levs, largeur de bande de quelques dizaines de
mgahertz plusieurs gigahertz.
14
Le cblage optique est particulirement adapt la liaison entre rpartiteurs (liaison centrale entre plusieurs btiments, appel backbone, ou en franais pine dorsale) car elle permet des connexions sur des
longues distances (de quelques mtres 60km dans le cas de fibre monomode).
Les fibres optiques peuvent tre classes en deux catgories selon le diamtre de leur cur et la longueur
donde utilise:
Les fibres multimodes sont les plus anciennes sur le march. Elles ont pour caractristique de transporter
plusieurs modes (trajets lumineux), ce qui entrane une dispersion du signal proportionnelle la longueur
de la fibre. En consquence, elles sont principalement utilises dans des liaisons inter btiments avec des
dbits de 100 Mbps ou 1 Gbps et sur des distances de 100m 3km. Elles sont caractrises par un diamtre de cur de 50 ou 62,5m.
Les fibres monomodes, plus fines, sont prfres pour de plus longues distances et/ou de plus hauts dbits.
Leur cur trs fin nadmet ainsi quun mode de propagation, le plus direct possible cest--dire dans laxe
de la fibre. Les pertes sont donc minimes que ce soit pour de trs haut dbits ou de trs longues distances.
Les fibres monomodes sont de ce fait adaptes aux longues distances comme pour les lignes intercontinentales. Ces fibres monomodes sont caractrises par un diamtre de cur de 9m.
Elles sont galement caractrises par des types de connecteurs diffrents dont les principaux sont:
ST et FC (section ronde visser)
MIC (section rectangulaire clipsable)
SC (section carre clipsable)
LC (petite section carre clipsable)
MTRJ (petite section carre clipsable).
2.2.2 CPL
Les Courants Porteurs en Ligne sont des technologies qui visent faire passer de linformation bas dbit
ou haut dbit sur les lignes lectriques en utilisant des techniques de modulation. Selon les pays, les institutions, les socits, les courants porteurs en lignese retrouvent sous plusieurs mots-cls diffrents:
CPL (Courants Porteurs en Ligne)
PLC (Power Line Communications)
PLT (Power Line Telecommunication)
PPC (Power Plus Communications)
Le principe des CPL consiste superposer au signal lectrique de 50Hz un autre signal plus haute frquence (bande 1,6 30Mhz) et de faible nergie. Ce deuxime signal se propage sur linstallation lectrique et peut tre reu et dcod distance. Ainsi le signal CPL est reu par tout rcepteur CPL qui se
trouve sur la mme phase dun mme rseau lectrique.
Dans un immeuble, le cble dalimentation lectrique unique va se ramifier en un nombre important de
distributions secondaires. Et le raisonnement est le mme lchelle du quartier ou de la ville. Il en dcoule
une diffusion du signal qui a deux effets ngatifs:
la diminution de la force du signal chaque division,
le partage de la bande passante par tous les appareils,
la propagation difficilement contrlable des donnes dans des lieux qui ne sont pas forcment ceux que
lon souhaite.
Les moteurs lectriques et les alimentations dordinateurs gnrent de violentes perturbations sur les
rseaux lectriques. La perturbation est dj lennemi des rseaux Ethernet classiques, avec le CPL, elle
peut apparatre et disparatre tout moment et tout endroit, sans quil soit facilement possible de relier
son apparition avec le fonctionnement dun appareil donn. Ds lors, il est ncessaire de faire appel
15
une technologie de signal particulirement robuste. Schmatiquement, le signal est transmis par plusieurs
trames concurrentes mises sur plusieurs frquences. On garde le meilleur larrive.
On distingue logiquement deux types de CPL:
outdoor: lextrieur des constructions. Cest lune des rponses possibles la desserte des localits et des
habitations isoles, non desservies par lADSL. Cette technologie est utilise ltranger, mais en France, la lgislation nautorise pas encore un fournisseur dnergie tre aussi oprateur de tlcommunication.
indoor: lutilisation dans un btiment professionnel qui est alors directement concurrente du Wi-Fi, on
peut rajouter lutilisation familiale, a priori plus souple et plus intuitive que le WI-Fi. Il suffit gnralement
de brancher le modem sur une prise du secteur et dy connecter son PC.
Encore trs rcent, le CPL se dcline en un grand nombre de technologies propritaires. Les quipements
commercialiss ce jour pour le grand public sont bass sur des technologies Homeplug ou DS2, qui sont
incompatibles entre elles. Le HomePlug est le plus rpandu, mais limit par sa faible performance (14 Mbps
thoriques, 6 7 rels). Les volutions rcentes permettent des dbits thoriques de 85 200 Mbps.
2.2.3 Autres (xDSL)
Les technologies dites ligne dabonn numrique, en anglais Digital Subscriber Line ou DSL ou encore
xDSL, regroupent lensemble des technologies mises en place pour un transport numrique de linformation sur une simple ligne de raccordement tlphonique. Les lignes tlphoniques permettent de diffuser
des ondes comprises dans un spectre de frquences dont la voix nutilise quune partie trs restreinte.
Lide est de mettre profit la partie non utilise du spectre pour transporter des donnes.
Il existe un grand nombre de types de DSL dont les principaux sont lADSL et le SDSL. Ces technologies
sont principalement utilises par les oprateurs pour connecter leurs abonns au WEB. Le prfixe A pour
Asymtrique et S pour Symtrique dcrit le rapport entre bande passante ascendante, de lutilisateur vers
le rseau, (upload) et bande passante descendante, du rseau vers lutilisateur, (download). LADSL a un
upload beaucoup plus faible que le download tandis que pour le SDSL les deux bandes passantes sont
gales. La premire convient donc bien pour un utilisateur du web, tandis que la seconde permet denvisager lmission de donnes ncessaires par exemple lhbergement dun serveur web ou linterconnexion de deux sites distants.
La technologie VDSL (Very high bit-rate DSL) est galement rpandue. Elle permet datteindre de trs hauts
dbits de 13 55,2Mbps.
Cette technologie permet dtablir des connexions rseau local sans dployer de cblage ddi. il suffit
dutiliser des installations tlphoniques existantes. Dans ce cas, il faut utiliser un botier rpartiteur la
racine du rseau tlphonique, et un botier client (modem VDSL) au niveau de chaque prise de tlphone,
lui adjoignant ainsi une prise RJ45.
Lusage le plus frquent et le plus intressant du VDSL consiste raccorder deux points distants quand
la distance excde les 100m maxi des rseaux Ethernet et que linstallation tlphonique est existante.
On appelle cela un pont VDSL. Dans ce cas, on utilise une installation base sur une interface serveur
une extrmit du fil tlphonique, et une interface client lautre extrmit. Chaque botier est reli un
rseau Ethernet par un connecteur RJ45. Pour cet usage, on utilise un VDSL symtrique, avec un dbit de
5, 10, 15, 18 ou 34 Mbps, selon la distance, qui peut atteindre 1,5km. Son successeur, le VDSL2 permet
datteindre 50 Mbps symtrique et une distance allant jusqu 3km.
Les autres technologies xDSL sont:
IDSL (ISDN DSL, variante oriente donnes de lISDN [Numris])
ReADSL (Reach Extended DDSL), augmente la porte de lADSL
HDSL (High Bit Rate DSL) et G. SHDSL, anctre du SDSL,
RADSL (Rate Adaptive DSL)
G-Lite, ADSL bas dbit ne ncessitant pas de filtres,
DSM (Dynamic Spectrum Management), concurrent du VDSL.
16
2.3 Technologies sans fil

Les techniques de rseau sans fil sont classifies en fonction de leurs usages et de leurs portes:
WPAN (Wireless Personal Area Networks) ou rseaux sans fils personnels comme le Bluetooth ou linfrarouge.
WLAN (Wireless Local Area Networks) ou rseaux sans fils locaux comme le Wi-Fi ou lHyperlan.
WMAN (Wireless Metropolitan Area Networks) ou rseaux sans fils mtropolitains connus sous le nom de
BLR (Boucle Locale Radio) ou de WiMax.
WWAN (Wireless Wide Area Networks) ou rseaux sans fils nationaux comme le GSM, le GPRS et lUMTS
(3G).
2.3.1 Bluetooth (802.15.1)
Le Bluetooth est une technologie de rseau personnel sans fil (not WPAN pour Wireless Personal Area
Network), qui utilise une technologie radio courte distance destine simplifier les connexions entre les
appareils lectroniques. Elle est conue dans le but de remplacer les cbles entre les ordinateurs et leurs
principaux priphriques (PDA, imprimantes, tlphone,) et succder la peu pratique technologie IrDa
(liaison infrarouge). Elle permet actuellement dobtenir des dbits de lordre de 1 Mbps, avec une porte
dune dizaine de mtres environ.
Afin dchanger des donnes, les appareils doivent se connatre. Cette opration se nomme lappariement
et se fait en lanant la dcouverte partir dun appareil et en changeant un code. Ensuite les codes sont
mmoriss sur les deux appareils, et il suffit que lun dentre eux demande le raccordement et que lautre
laccepte pour que les donnes puissent tre changes. Il est toutefois important de signaler que la compatibilit entre marques est assez imparfaite et que certains appareils ne parviennent pas se raccorder
dautres.
Dans la pratique, le Bluetooth est principalement intgr des appareils fonctionnant sur batterie et dsirant changer une faible quantit de donnes sur une courte distance:
tlphones portables (presque gnralis), o il sert essentiellement la liaison avec une oreillette ou
lchange de fichiers,
ordinateurs portables, essentiellement pour communiquer avec les tlphones portables (pour servir de
MODEM, pour sauvegarder les carnets dadresses, pour lenvoi de SMS,etc.),
priphriques divers, comme des claviers, pour faciliter la saisie sur les appareils qui en sont dpourvus,
priphriques spcialiss, comme des appareils lectrocardiogramme, qui peuvent communiquer sans
fil avec lordinateur du mdecin.
2.3.2 WUSB (802.15.3)
Le Wireless USB est, comme le Bluetooth, une technologie de rseau personnel sans fil courte distance
destine simplifier les connexions entre les appareils lectroniques. Elle est conue dans le but de complter ou de remplacer les liaisons filaires USB classiques. Elle permet dobtenir des dbits thoriques,
dcroissants selon la distance, compris entre 110 et 480 Mbps, avec une porte dune dizaine de mtres.
Cette technologie ne perturbe pas le Bluetooth et traverse mieux les obstacles grce une gamme de
frquences comprises entre 3,1 et 10,6 Ghz. Elle permet de grer jusqu 127 priphriques.
2.3.3 WLAN (802.11)
La norme IEEE 802.11 est un standard international dcrivant les caractristiques dun rseau local sans fil
(WLAN). En france, elle est plus connue sous le nom de marque dpose Wi-Fi alors que dans dautres
pays de tels rseaux sont correctement nomms WLAN (Wireless LAN).
Grce au Wi-Fi, il est possible de crer des rseaux locaux sans fil haut dbit. Dans la pratique, le Wi-Fi
permet de relier des ordinateurs portables, des machines de bureau, des assistants personnels (PDA), des
objets communicants ou mme des priphriques une liaison haut dbit (de 11 300 Mbit/s thoriques)
sur un rayon de plusieurs dizaines de mtres en intrieur (gnralement entre une vingtaine et une cinquan-
17
taine de mtres). Dans un environnement ouvert, la porte peut atteindre plusieurs centaines de mtres
voire dans des conditions optimales plusieurs dizaines de kilomtres avec des antennes directionnelles.
2.3.3.1 Le mode infrastructure
Le rseau sans fil est fond sur une architecture cellulaire o chaque terminal client appel BSS (Basic Service Set) est contrl par un point daccs (Access Point), le tout formant un rseau appel ESS (Extended
Service Set). Les points daccs peuvent tre relis entre eux pour permettre un terminal de passer de
lun lautre tout en restant sur le mme rseau local (concept du roaming). Pour sidentifier auprs dun
rseau sans fil, les ordinateurs utilisent son identifiant de rseau (SSID).
Le point daccs, souvent appel borne WIFI se comporte comme un concentrateur sur un rseau filaire.
Chaque terminal sans fil reoit donc tout le trafic transitant par cette borne. Si ce terminal scrute simultanment plusieurs canaux, il recevra alors le trafic de tous les rseaux qui lentourent. Dans ce mode la bande
passante est partage par tous les utilisateurs.
2.3.3.2 Le mode ad-hoc
Il sagit dun mode point point entre des quipements sans fil. Cest un mode de fonctionnement qui
permet de connecter directement les ordinateurs quips dune carte Wi-Fi, sans utiliser un matriel tiers
tel quun point daccs. Il est idal pour interconnecter rapidement des machines entre elles sans matriel
supplmentaire. Sa mise en place se borne configurer les machines en mode Ad-Hoc, la slection dun
canal (frquence) et dun nom de rseau (SSID) commun tous.
Grce lajout dun simple logiciel de routage dynamique (OLSR, AODV), il est possible de crer des
rseaux maills autonomes (mesh networks) dans lesquels la porte ne se limite pas ses voisins car tous
les participants jouent le rle du routeur.
2.3.3.3 Les diffrentes normes Wi-Fi
La norme IEEE 802.11 initiale est dcline en un certain nombre de normes drives afin de rpondre des
objectifs dinteroprabilit ou de scurit. Les principales sont, ce jour, les normes IEEE 802.11a, IEEE
802.11b, IEEE 802.11g, IEEE 802.11i, et IEEE 802.11n.
Toutefois, lutilisation de certains canaux est soumise aux lgislations nationales
802.11a: Elle utilise la bande de frquence des 5 GHz et autorise un dbit thorique de 54 Mbps. La lgislation franaise nautorise cette bande de frquence quen intrieur pour des puissances dmission infrieures 100mW.
802.11b: Adopte en 1999, elle permet datteindre un dbit thorique de 11 Mbps avec une porte pouvant atteindre plusieurs centaines de mtres en environnement dgag. Elle utilise la bande de frquence
des 2,4 Ghz sur 14 canaux de transmission diffrents, dont trois seulement sont utilisables simultanment
au dbit maximal. Elle permet ainsi plusieurs rseaux de cohabiter au mme endroit, sans interfrence.
802.11g: Elle permet un dbit thorique de 54 Mbps dans la bande de frquence des 2.4Ghz. Elle est compatible avec la norme IEEE 802.11b permettant ainsi aux quipements 802,11g de fonctionner en environnement 802.11b, avec une dgradation des performances.
802.11n: Cette norme est en cours de dploiement en 2008. Elle utilise galement la bande de frquence des 2.4Ghz et reste compatible avec les normes 802.11b et 802.11g. Le dbit thorique atteint les.
600 Mbps (dbit rel de 100 Mbps dans un rayon de 90 mtres) grce aux technologies MIMO (MultipleInput Multiple-Output) et OFDM (Orthogonal Frequency Division Multiplexing).
Il faut noter que des quipements qualifis de pr-N sont disponibles depuis 2006: ce sont des quipements qui mettent en uvre une technique MIMO dune faon propritaire, sans rapport avec la norme
802.11n.
Cette norme sait combiner jusqu 8 canaux, ce qui permettrait en thorie datteindre une capacit totale
effective de presque 1 Gbps.
18
802.11f: Elle met laccent sur une meilleure interoprabilit des produits en proposant le protocole InterAccess point roaming protocol pour permettre un utilisateur itinrant de changer de point daccs de
faon transparente lors dun dplacement, quelles que soient les marques des points daccs prsents dans
linfrastructure rseau. Cette capacit est appele roaming.
802.11i: Elle met laccent sur la scurit en proposant des mcanismes de contrle dintgrit, dauthentification et de chiffrement. Elle sappuie sur lAES (Advanced Encryption Standard) et propose un chiffrement
des communications pour les transmissions utilisant les standards 802.11a, 802.11b et 802.11g.
2.3.3.4 Limites et risques
Les principales limites des technologies relevant de la famille des normes 802.11 dites wi-ficoncernent la
scurit des transmissions et les risques sanitaires.
De par sa technologie le Wi-Fi est un protocole qui diffuse les donnes par radio vers toutes les stations qui
sont aux alentours, ce qui la rend trs simple couter. Un utilisateur mal intentionn peut se placer dans le
primtre des quipements du rseau afin de rcuprer les informations qui lui permettront davoir accs
au rseau. La sensibilit au brouillage est une autre vulnrabilit induite par la technologie des rseaux sans
fil. Cet aspect est trait en dtail au chapitre 6.5 Scuriser les accs nomades au rseau local.
Le Wi-Fi est au cur des interrogations quant limpact des radio frquences sur la sant de lhomme. Les
ondes mises par les quipements Wi-Fi sont dune puissance vingt fois moindre que celles mises par les
tlphones mobiles qui sont gnralement tenus proximit immdiate du cerveau, ce qui nest pas le cas
des quipements Wi-Fi lexception des tlphones Wi-Fi. La densit de puissance dun signal tant inversement proportionnelle au carr de la distance, elle dcroit rapidement.
Plusieurs organismes ont ralis des tudes au sujet de leffet sur la sant du Wi-Fi. Lagence franaise
de scurit sanitaire de lenvironnement et du travail (AFSSET) synthtise les connaissances scientifiques
actuelles sur son site http://www.afsset.fr/. Elle a rendu 15octobre 2009, la demande du gouvernement,
un rapport intitul Les radiofrquences: mise jour de lexpertise relative aux radiofrquences contenant un ensemble davis et disponible au tlchargement sur son site.
2.3.4 WMAN (802.16x)
La BLR (Boucle Locale Radio) fait partie des rseaux sans fil de type WMAN (Wireless Metropolitan Area
Networks). Cest une technologie sans fil capable de relier les oprateurs leurs clients grce aux ondes
radio sur des distances de plusieurs kilomtres. Elle est plus connue sous son nom commercial WiMax qui
est un acronyme pour Worldwide Interoperability for Microwave Access).
Les rseaux sans fil de ce type rpondent une famille de norme IEEE 802.16 qui permet des dbits de
lordre de 70 Mbps avec une porte thorique pouvant atteindre une centaine de kilomtres. Cette technologie est utilise la fois pour les rseaux de transport et de collecte, et pour les rseaux de desserte
souvent en lieu et place de lADSL. Son dploiement sur le territoire national est en cours sous limpulsion
des collectivits territoriales avec comme objectif principal la couverture en haut dbit des zones peu ou
mal couvertes par lADSL.
La sous-norme 802.16e, en cours dadoption, ajoutera de la mobilit la norme actuelle IEEE 802.16.
2.3.5 WWAN Rseaux de tlphonie mobile
Le dploiement et lvolution des rseaux de tlphonie mobile permet dajouter des services de transport
de donnes la voix offrant ainsi la possibilit de connecter un terminal informatique Internet.
Lusage principal consiste connecter un ordinateur portable au rseau Internet soit en utilisant un tlphone portable comme modem, soit en disposant dune clef USB quipe dune carte SIM dun oprateur
ou en utilisant un ordinateur portable pr-quip dune carte SIM intgre,
Le dveloppement de cette technologie est classifie en Gnrations accompagnes dacronymes dont
les principaux sont:
19
2G GSM: Global System for Mobile Communication. Cette gnration a vu lexplosion de la tlphonie
mobile pour laquelle elle a t conu. Elle ne permettait le transport de donnes qu de faibles dbits
denviron 9,6 Kbps.
2.5G GPRS: General Packet Radio Service. Cest une extension du GSM permettant la transmission de
donnes par paquets autorisant ainsi des dbits plus levs, adapts de petits volumes de donnes. Le
dbit thorique est de 171 Kbps, mais excde rarement les 50 Kbps rels.
2.75G EDGE: Enhanced Data Rate for GSM Evolution. Cest nouveau une extension de la norme GSM
qui permet dlever les dbits en utilisant les infrastructures existantes avant larrive des rseaux de 3e
gnration. Elle est particulirement prsente dans les zones rurales faible densit dabonns. Le dbit
thorique est de 384 Kbps, mais dpend de la qualit du lien radio.
3G UMTS: Universal Mobile Telecommunications System. Cette nouvelle gnration utilise des bandes
de frquences diffrentes des rseaux prcdents afin datteindre des dbits autorisant lusage dapplications multimdias et laccs Internet haut dbit. Les dbits thoriques schelonnent entre 144 Kbps lors
dune utilisation mobile et 2 Mbps lors dun usage fixe.
3G + HSDPA: High Speed Downlink Packet Access. Cest une volution logicielle de lUMTS qui
permet damliorer de faon significative la qualit du lien radio descendant. Elle permet actuellement
datteindre des dbits thoriques atteignant 14,4 Mbps en download et 384 Kbps en Upload. En 2008 en
France, son dploiement est en cours et principalement ralis dans les zones forte densit dabonns.
4G OFDM: Orthogonal Frequency Division Multiplexing. Cette nouvelle gnration est en cours dtude.
Les premiers tlphones 4G devraient apparatre en 2009 et les premiers rseaux en 2010 au Japon o des
tests ont permis datteindre des dbits de lordre du Gbps.
2.4 Recommandations
Les recommandations effectus dans ce chapitre sont cohrentes avec la politique de scurit des systmes
dinformation (PSSI) dicte par le Ministre et qui simpose aux tablissements denseignement.
2.4.1 Les locaux
Chaque site hbergeant des serveurs doit tre quip dune salle ddie cet usage et rpondre au minimum aux critres suivants:
Accs limits strictement au personnel ncessaire. La salle serveur est un local ferm dont laccs est
contrl par un systme de clef ou de code. Les fentres sont quipes de barreaux. Une procdure dfinit
qui peut y accder et sous quelles conditions.
La climatisation est indispensable au bon fonctionnement des quipements contenus dans la salle et permet daccroitre leur dure de vie. Elle doit tre dimensionne correctement en fonction du volume de la
pice et du nombre de serveurs quelle pourrait accueillir. Elle doit galement faire lobjet de vrifications
rgulires et dun contrat de maintenance permettant sa remise en fonction dans des dlais courts.
Scurit incendie. La salle serveur doit tre quipe dun systme de dtection dincendie contrl et
test rgulirement. Aucun stockage de matriaux inflammables, notamment des cartons ou du papier, ne
devra encombrer ce local.
Lalimentation lectrique devra tre indpendante des autres circuits du btiment. Elle sera secourue
par un onduleur permettant dassurer le fonctionnement des quipements pour une dure au minimum
quivalente au temps ncessaire larrt des serveurs. A dfaut, chaque serveur sera quip de son propre
onduleur. Quelle que soit la solution retenue, des procdures de tests rguliers seront mises en place et les
quipements de secours feront lobjet de contrats de maintenance.
Les locaux techniques sous-rpartiteurs hbergeant les lments actifs du rseau rpondront, dans la
mesure du possible et en fonction de leur importance, aux mmes rgles que la salle serveur. Au minimum,
il seront situs dans des locaux ferms qui ne seront jamais en libre accs.
20
Dans le cas dun nombre faible de connexions, le sous rpartiteur se prsentera sous la forme dun coffret
mural situ dans une salle ddie dautres usages. Cette armoire sera ferme clef et uniquement accessible au personnel habilit.
2.4.2 Le cblage rseau
Les projets de cration, de modification ou dextension du rseau local dun tablissement privilgieront
systmatiquement les solutions bases sur la pose dun cblage qui permet des dbits plus levs, une
meilleure qualit de service ainsi quune prennit plus importante.
2.4.2.1 Intrieur btiments
Les cbles en cuivre de type paires torsades seront privilgis. Ils seront de prfrence crants et blinds
(SFTP) et appartiendront au minimum la catgorie 5e qui permet une bande passante de 1 Gbit/s.
La ralisation devra tre confie une socit spcialise, qui est la seule connatre toutes les contraintes
physiques et techniques des rseaux informatiques et notamment celle lies la qualit des terres informatiques, de la soudure des crans de blindage, du cheminement des courants faibles,etc. Elle devra remettre
un cahier de recettes comportant les mesures de lensemble du cblage et des prises poses permettant de
garantir le respect des normes.
Dans la mesure du possible, chaque btiment hbergera un local technique ferm par tage abritant les
baies de brassage et les lments actifs. Ces dernires seront relies entre elles par des rocades cuivres ou
fibres optiques multimodes permettant un dbit minimum d1 Gbit/s.
Lutilisation de la technologie des courants porteurs en ligne (CPL) est rserver strictement un usage
temporaire concernant un nombre restreint de postes de travail.
Lusage dune technologie sans fil peut tre envisage en raison de son faible cot et de sa simplicit de
pose. Il est toutefois important dintgrer le fait quelle est nettement moins performante, fiable et sure.
Pour atteindre un niveau de qualit satisfaisant, il est vivement conseill de recourir aux services de professionnels de ce secteur, dautant plus quil est caractris par une grande diffrence de qualit et donc de
tarif des quipements.
Lorsque le Wifi est retenu, la prfrence ira la mise en uvre dquipement de qualit rpondant la
norme 802.11n qui reste compatible avec les quipements plus anciens de type 802.11 b et g.
Dans tous les cas, les rseaux installs devront tre scuriss conformment aux recommandations qui
seront effectus dans les chapitres suivants.
2.4.2.2 Liens inter btiments
Contrairement aux usages internes, les cbles sont proscrire en raison de la faible longueur quils autorisent (< 100m) ainsi que leur sensibilit aux rayonnements lectromagntiques et donc aux orages. Le
seul cas pour le quel cette solution sera envisageable concerne la rcupration dun ancien cble enterr
permettant dviter les importants cots lis aux travaux qui pourraient tres ncessaires comme le creusement dune tranche. Il suffit alors de rcuprer une paire tlphonique existante et de lutiliser avec des
quipements rpondant la norme VDSL ou VDSL2 qui permettent un dbit allant jusqu 50 Mbps sur une
distance maximale denviron 3km.
Dans tous les autres cas, les fibres optiques seront privilgis. Elles seront du type multi modes et multi
brins permettant un dbit allant jusqu 1 Gbps sur une distance pouvant atteindre 3km. Le nombre de
brins sera dfini en fonction du nombre de connexions mettre en uvre, sachant que chacune dentre
elle ncessite 2 brins. Le cot dinstallation dun pont en fibre optique nest pas proportionnel au nombre
de fibres mais plutt la main duvre. Il est donc intressant et utile de prvoir une fibre surdimensionne
de ce point de vue. Dans la mesure du possible, toutes les fibres optiques de ltablissement seront quipes du mme type de connecteur afin de permettre une uniformit des quipements au niveau des baies
de brassage et des lments actifs.
Encore plus que pour le cblage cuivre, la ralisation devra tre confie une socit spcialise, qui est
la seule connatre toutes les contraintes physiques et techniques des fibres optiques. Elle devra bien videmment remettre un cahier de recettes comportant toutes les mesures garantissant la qualit de la liaison.
21
Lorsquil nexiste pas de voie permettant la pose de fibre entre deux btiments et que la rcupration de
paires tlphoniques existantes nest pas possible, des travaux de gnie civil simposent, mais leur cot est
souvent prohibitif. Dans ce cas, il est possible de recourir une technologie sans fil permettant de relier les
deux btiments par un pont Wifi.
Cette technologie utilise gnralement des antennes directionnelles extrieures montes en vis vis qui
permettent de relier entre elles deux bornes Wifi connectes deux rseaux locaux. Il existe dans ce
domaine une offre trs varie avec un grand ventail de qualit, de performance et de tarifs des quipements do limportance de recourir aux services de professionnels. Comme dans le cas des points daccs,
il est conseill de choisir des quipements en fonction de leurs qualits plutt que de leurs prix et rpondant la norme 802.11n. Certains quipements permettent aujourdhui de relier de faon satisfaisante des
btiments spars de plus de 10km.
Les ponts Wifi demandent particulirement tre scuriss conformment aux recommandations qui
seront effectus dans les chapitres suivants dans la mesure o ils sont assez simples couter
3 lments actifs
Les lments actifs sont les lments constitutifs des rseaux: ils permettent linter-connexion des quipements informatiques dun rseau local.
Les principaux quipements mis en place dans les rseaux locaux sont:
Les concentrateurs (hubs), permettant de connecter entre eux plusieurs htes sur un mme bus avec un
partage de la bande passante.
Les commutateurs (switchs) permettent de relier divers lments tout en segmentant la bande passante
du rseau.
Les ponts (bridges), permettent de relier des rseaux locaux distants en relayant la totalit du trafic.
Les routeurs, permettent de relier plusieurs rseaux locaux entre eux ou avec Internet.
Les autres quipements de connexion (bornes wifi, triple play,)
3.1 Les hubs

Ils permettent la connexion de plusieurs quipements sur un local rseau local en rpercutant les donnes
mises par une station vers toutes les autres.
Cette gamme dlments se contente de relayer toutes les trames de donnes vers tous les ports et ce sont
les quipements connects qui dcodent len-tte des trames pour savoir si elles leurs sont destines.
En utilisant un concentrateur, chaque quipement qui lui est attach partage le mme domaine de diffusion, le mme domaine de collision et la mme bande passante. Comme dans tout segment de rseau
Ethernet, une seule des machines connectes peut y transmettre la fois. Dans le cas contraire, une collision se produit, les machines concernes doivent retransmettre leurs trames aprs avoir attendu un temps
calcul alatoirement par chaque metteur. Ce mode de fonctionnement pose un rel problme car ds
que le nombre dordinateurs connects augmente, le taux de collision augmente en proportion, rduisant
la vitesse effective du rseau.
Pour cette raison, les HUB sont en voie de disparition au profit des Switch dans les rseaux actuels.
3.2 Switch ou commutateur

Un commutateur rseau (en anglais, switch) est un quipement qui relie entre eux plusieurs segments
(cbles ou fibres) dun rseau local et donc les quipements qui y sont connects. Il se prsente le plus
souvent, comme les concentrateurs, sous la forme dun botier disposant de plusieurs (entre 4 et 100) ports
Ethernet.
22
Contrairement au hub, un commutateur ne se contente pas de reproduire sur tous les ports chaque trame
de donnes quil reoit. Il sait dterminer vers quel port elle doit tre relaye en fonction de ladresse de
destination quelle contient. Ce mode de fonctionnement rduit considrablement le trafic sur lensemble
du rseau local en faisant de chacun de ses ports un segment diffrent avec un domaine de collision spar.
Ils peuvent tre chains entre eux afin dtendre simplement la taille du rseau local, thoriquement sans
limite de nombre.
Les commutateurs fonctionnent au niveau des couches 1, 2 et parfois 3 et suprieurs du modle OSI (cf.
chapitre 4). Certains modles sont administrables de faon pouvoir paramtrer les fonctions avances
quils embarquent.
3.2.1 Les niveaux de commutations
Les oprations de commutations effectues par un switch peuvent tres ralises au niveau 2 du modle
OSI sur la base des adresses MAC. Le switch est alors dit de niveau 2. Ces oprations sont galement ralisable au niveau 3 du mme modle sur la base des adresses IP, il est alors dit de niveau 3.
Certains modles sont appels de niveau 4. Cest un terme commercial sans relle rfrence avec le modle
OSI. Ils permettent gnralement de bloquer lutilisation du rseau par certaines applications en dcodant
compltement le message transmis, notamment au niveau des ports TCP et UDP utiliss.
3.2.2 Switchs administrables
Un switch manageable (administrable) est un modle qui permet, gnralement grce une interface de
type WEB, de grer les paramtres de communication des ports, deffectuer des oprations de surveillance,
de diagnostic, de maintenance ainsi que de mettre en uvre des fonctionnalits avances comme la mise
en place de rseaux virtuels (VLAN cf. chapitre 4).
Les versions les plus volues disposent de protocoles leur permettant dchanger leurs informations afin
doptimiser le fonctionnement du rseau local ou den centraliser la gestion. Linterface dadministration
offre souvent la possibilit deffecteur la sauvegarde et la restauration de la configuration.
Lusage des fonctionnalits avances, dont certaines relvent dun format propritaire, oblige souvent
mettre en place une gamme de matriel cohrente et issue du mme fabricant.
23
3.2.3 Les fonctions avances

Les switch dentre de gamme se limitent la plupart du temps commuter au niveau 2 les trames dun port
un autre. Plus on monte vers la gamme professionnelle et plus le nombre et la sophistication des fonctions
avances sont importantes. Les principales sont:
VLAN: Virtual Local Area Network
Les VLAN, ou rseaux virtuels, consistent crer des sous-ensembles du rseau plus ou moins tanches
entre eux. Bien que tous les ordinateurs soient connects sur le mme switch ou sur le mme rseau
physique, ils ne pourront communiquer quavec ceux appartenant au mme sous ensemble ou un sous
ensemble autoris.
Les VLAN sont abords en dtail au chapitre 4 de ce guide.
QoS: Quality of Service
La QoS, ou qualit de service, est standardise par la norme 802.1P. Cest un dispositif de gestion des
priorits.
Les QoS permettent de donner des priorits un flux de donne ou de rserver des pourcentages de la
bande passante totale du rseau certains ordinateurs ou certains services, et ce afin de conserver un
rseau fonctionnel mme si les montes en charge, les demandes de certains ordinateurs ou de services
augmentent dmesurment. Chaque lment du rseau physique ou logique continuera bnficier dassez de bande passante pour fonctionner.
Port Trunking, ou agrgation de lien
Normalis en 802.3AD et dnomm Link Aggregation Control Protocol (LACP), le Port Trunking, ou agrgation de lien, est la facult de regrouper plusieurs ports afin den crer un ayant des capacits trs importantes, la bande passante tant dmultiplie. Cette fonction est communment utilise pour crer des liens
interswitchs aux dbits augments.
24
Jumbo Frame
Les Jumbo Frame sont des trames de donnes 6 fois plus importantes que la normale (1518 octets). Les
Jumbo Frame atteignent donc: 6 x 1518 =9108 octets, soit 8,8Ko. Ce qui permet, quand deux ordinateurs
senvoient de grandes quantits de donnes, de rduire limpact de la vitesse de commutation du switch sur
le dbit de transmission et surtout de rduire limpact de cette communication sur le transit des donnes
dans le rseau entier. En effet, le switch est beaucoup moins sollicit (6 fois moins) et peut donc soccuper
des autres dialogues. Cette fonction est trs intressante dans les rseaux encombrs.
Protocole de routage
Protocole de dialogue entre lments actifs RIP (V1, V2) et OSPF V2. Le support de protocole de routage
permet le dialogue entre lments actifs, qui schangent alors des informations (table dadressage, carte
du rseau,etc.) afin dacclrer les dcouvertes du rseau et ainsi damliorer la dcouverte de la topologie
des lments dun rseau, et donc la rapidit des transports de donnes sur le rseau.
Spanning Tree
Le Spanning Tree est un protocole dinterconnexion standardis par les normes 802.1D, 802.1W et 802.1S
Le Spanning Tree est une fonction qui permet dviter les phnomnes de bouclage (dans un rseau complexe ou avec des redondances dquipement) qui peuvent provoquer un effondrement du rseau.
Power over Ethernet
Le PoE ou norme 802.3af permet de faire passer une tension de 48 V pour une puissance de 12W sur le
cable Ethernet. Elle utilise une paire de fils inutiliss sur les 4 que contient un cble UTP ou STP afin dalimenter lectriquement certains appareils du rseau comme les tlphones IP.
3.2.4 Caractristiques physiques
3.2.4.1 La gestion des ports
A la diffrence des hubs, la majorit des switchs peuvent utiliser le mode Full duplex. La communication
entre les switchs rcents et les priphriques qui leurs sont connects est en mode full duplex, cest
dire bi-directionnelle. Le Switch vrifie automatiquement si le priphrique connect est compatible avec
ce mode de transmission. Cette fonction est souvent reprise sous le terme Auto Ngociation.
La presque totalit des modles sont souvent dits Auto MDI/MDIX,ce qui signifie que chaque port va
dtecter automatiquement le croisement des cbles pour la connexion Ethernet. Dans certains modles
ancien, un port muni dun bouton poussoir, reprend la fonction manuellement.
3.2.4.2 Larchitecture interne
Un commutateur, un hub ou un routeur peut se dcomposer en deux parties:
Un backplane (fond de panier en franais).
Un ensemble de port dentres/sorties.
Les ports sont interconnects par lintermdiaire du fond de panier qui est en quelque sorte la carte mre
de lquipement sur laquelle se trouvent tous les composants (processeur, mmoire vive, mmoire morte)
ncessaires au fonctionnement du systme dexploitation spcialis (par exemple IOS pour les routeurs
CISCO). Il gre laiguillage des paquets entre les ports dentres et de sorties ainsi que la gestion de la
congestion.
Ces lments sont prendre en compte dans le choix dun quipement appel grer un trafic important,
car ils influent directement sur le niveau de performance global du rseau. Ainsi un routeur peut jouer sur
plusieurs points pour augmenter ses performances:
La vitesse dinterconnexion du fond de panier.
La taille des mmoires.
La capacit de routage et de service des interfaces.
25
3.3 Les ponts

Le pont (Bridge en anglais) est un quipement permettant de relier entre eux deux rseaux utilisant le
mme protocole, mais physiquement spars et qui peuvent tre ou non de mme technologie physique.
3.3.1 Fonctionnement
Le pont fonctionne au niveau de la couche 2 du modle OSI. Il possde en principe deux interfaces physiques distinctes correspondant au deux rseaux relier. Lorsquil reoit une trame sur une interface, il en
analyse les adresses MAC dorigine et de destination, puis les compare ses tables internes afin didentifier
de quel cts du pont sont situs lmetteur et le rcepteur de la dite trame. Sils sont situs sur la mme
interface, la trame est ignore, dans le cas contraire, elle est relaye vers la seconde interface.
Le pont se diffrencie dun simple rpteur car il ne transmet que les trames destines au segment de
rseau distant. Il se diffrencie galement du switch car il convertit le format physique de la transmission.
Enfin, il se diffrencie des routeurs car son intervention se limite au niveau de la couche 2.
3.3.2 Particularits
Certains ponts intgrent des fonctionnalits permettant de mettre en place un filtrage entre les deux segments du rseau quils relient. Ils prennent alors le nom de ponts filtrants. Dans ce cas, ils sont la plupart
du temps intgrs des routeurs ou des Firewall (par exemple Netfilter, IpFirewall, Packet Filter).
La plupart des routeurs modernes intgre la possibilit dtre configur en mode Bridge, cest dire
comme un pont. Dans le cas dun routeur daccs Internet, cette possibilit permet de grer les fonctions
de routage et de scurit au niveau dun pare-feu distinct.
3.4 Les routeurs

Les hub et switch permettent de connecter des appareils faisant partie dune mme classe dadresse sur un
mme rseau local, alors que les routeurs ont vocation inter connecter diffrents LAN (distants ou non)
utilisant diffrentes classes dadresses.
Deux stations dun mme rseau ou sous-rseau peuvent communiquer directement entre elles ou grce
un quipement de niveau 2 (hub ou switch).
Deux stations de rseaux diffrents ne peuvent communiquer entre elles que par lintermdiaire dun routeur.
Dans les tablissements, la plupart des routeurs sont utiliss pour connecter le rseau local Internet.
Les fonctions de routage se situent au niveau de la couche 3 du modle OSI (cf. chapitre 4.1). Seules les
informations destines au rseau suivant sont routes. Dans le cas dune connexion Internet celles transitant sur le rseau local ne sont pas transmises lextrieur.
Le routeur masque les adresses du rseau local au regard dInternet. Il utilise une technologie NAT/PAT
(Network adress translation/port adress translation) pour acheminer les donnes vers ladresse prive qui
est affecte au PC.
Les routeurs sont paramtrables et intgrent souvent des fonctionnalits avances, par exemple celles
dvolues au Firewall (cf. chapitre 6.3), permettant de bloquer certaines connexions.
3.4.2 Le traitement des paquets
Pour effectuer le traitement des paquets, un routeur met en place des files dattente sur les entres et les
sorties, ainsi les files dentres sont utilises pour la commutation, le routage, la classification et les files de
sorties pour lordonnancement, mais le vrai coeur du routeur cest sa table de routage, cest elle qui permet
26
de faire la correspondance entre ladresse de destination et la sortie prendre. Exemple de traitement dans
le cas dun routeur IP:
Un paquet est rcupr sur la file dentre.
Ladresse IP de destination du paquet est utilise conjointement avec la table de routage pour dterminer
le prochain routeur (prochain saut) ou si la destination est atteinte.
Len-tte du paquet est mis jour pour y inscrire des informations de traitement comme le nombre de
sauts effectus.
Le paquet est mis dans la file de sortie choisie puis il est expdi.
3.4.3 Les algorithmes de routage

Pour pouvoir transmettre un paquet vers la bonne sortie, un routeur a besoin dune table de routage jour,
pour cela il utilise un algorithme de routage. Le but dun algorithme de routage est de calculer une route
entre un nud source et un nud destination selon certains critres, et dans certains cas, de permettre la
diffusion des informations ncessaires ce calcul. Ainsi un algorithme de routage doit pouvoir rpondre
un ou plusieurs objectifs:
Rpartition des ressources du rseau, cest--dire viter que certains liens soient surchargs alors que
dautres restent inutiliss.
Assurer une qualit de service, cest--dire que lalgorithme de routage doit trouver le meilleur chemin
possible entre la source et la destination pour satisfaire les critres de qualit imposs.
Excution rapide de lalgorithme pour que le rseau puisse accepter le maximum de requtes.
Pour fonctionner ces algorithmes doivent avoir un calcul de route optimis ainsi quun protocole dchanges
dinformation entre nuds (cest le protocole de routage). Pour cela il existe actuellement 2 mthodes, le
distance vector route et le link state.
Le distance vector route: chaque nud connat la distance (cot dun lien) vers les nuds adjacents et
diffuse cette information tous ses voisins. Ces informations sur les distances ne sont stockes que si elles
sont meilleures que celles dj connues.
Le link state: Le principe consiste distribuer les informations sur la topologie du rseau tous les nuds
de manire ce que chaque nud calcule sa table de routage.
3.4.4 Protocoles de routage actuels
Il existe principalement 2 protocoles de routage interne utiliss actuellement. Ils permettent aux routeurs
dchanger entre eux les informations qui leur sont ncessaires pour assurer un routage optimal.
RIP (Routing Information Protocol): protocole de routage IP cr luniversit de Berkeley de type distance vector. Chaque routeur communique aux autres la totalit de sa table de routage et la distance avec
un rseau compt en nombre de sauts. Mais ce protocole est limit 15 sauts et ne prend pas en compte
la qualit des transmissions.
OSPF (Open Shortest Path First): protocole de routage de type link state qui permet de calculer le
meilleur chemin en terme de qualit.
3.5 Les quipements Box ou triple play

Les quipements de ce type sont fournis par les fournisseurs daccs Internet (FAI) afin de connecter leurs
abonns et de pouvoir leur offrir laccs un bouquet de services complmentaires comme la tlphonie
sur IP et la tlvision haute dfinition.
27
Ce type dquipement est apparu en 2002 et est aujourdhui devenu la norme pour les offres grand public
de tous les oprateurs, offres qui sont dites triple play dans la mesure o elles intgrent laccs Internet,
la tlphonie et la tlvision.
Les Box sont des matriels intgrant de nombreuses connexions et fonctionnalits. Elles permettent la
connexion Internet en mode ADSL par lintermdiaire dune prise tlphonique et grent cet accs en
intgrant des fonctionnalits de routeur. Elles peuvent galement tre paramtres comme des ponts.
La quasi totalit des Box intgre un petit switch permettant la connexion de plusieurs quipements en
mode Ethernet ou en CPL mais galement une interface Wifi pour leur permettre de se comporter comme
un point daccs.
Les Box sont quipes de fonctions logiciels plus ou moins sophistiques, accessibles en mode WEB, pour
la gestion des fonctions de filtrage pare-feu, de routage, daccs Wifi et dadministration.
3.6 Les lments actifs Wifi

La fonction principale des lments actifs Wifi est de convertir les trames de niveau 2 du modle OSI provenant dun rseau Ethernet en signaux radio analogiques destins des priphriques radio via une antenne.
Les caractristiques principales dun lment actif sont sa puissance dmission et sa sensibilit en rception (puissance minimale admissible pour interprter les donnes et assurer la liaison), toutes deux exprimes en mW ou dBm.
Les lments actifs des rseaux sans fil de type Wifi sont de deux types:
les Points daccs ("Access Point" en anglais) qui permettent dinter-connecter plusieurs priphriques
sans-fil un rseau local ou Internet.
Les cartes Wifi qui permettent de connecter un priphrique un rseau sans fil.
3.6.1 Les points daccs (AP)
Le rle des points daccs est similaire celui des hubs dans les rseaux cbls en permettant aux stations
quipes de cartes Wi-Fi dobtenir une connexion au rseau.
La connexion entre le point daccs et un priphrique sans fil est appele association. Les trames dinformation envoyes par un client sont rmises vers leurs destinataires sur le rseau local ou sur Internet.
Le support physique tant les ondes radio, toutes les stations en mesure de capter le signal peuvent recevoir les trames mises quelles soient destinataires ou non, do lanalogie avec le hub.
Les points daccs sont ncessaires lorsque les rseaux sans fil fonctionnant en mode infrastructure. Ils
contiennent en fait une carte Wi-Fi, une ou plusieurs antennes et un logiciel de gestion ddi qui permet de
fournir des services supplmentaires comme la scurit des communications et lidentification des autres
quipements connects. Il est donc parfaitement possible de transformer un ordinateur quip dune carte
Wi-Fi en point daccs en y ajoutant des programmes.
La norme Wi-Fi tant entirement compatible avec la norme Ethernet des rseaux filaires, on a la possibilit
de connecter un point daccs sur le rseau filaire en mode pont ou en mode routeur. Les points daccs
sont gnralement quips dun modem ADSL, dun switch et dun routeur. Ils peuvent donc tre utilis
comme:
un simple pont entre un rseau sans fil et un LAN,
un routeur entre un rseau sans fil et un LAN,
un routeur daccs Internet depuis un rseau sans fil.
Les points daccs peuvent tres relis entre eux afin dtendre la zone couverte. Cette liaison peut tre
constitue dun cble reliant directement deux points daccs, par un rseau local filaire ou mme par un
pont sans fil.
28
3.6.2 Les cartes Wi-Fi

Ce terme dsigne les priphriques actifs wifi intgrs un priphrique client pour lui permettre de
joindre un rseau radio. Elles jouent exactement le mme rle que les cartes rseaux traditionnelles la
diffrence quelles sont quipes ou relies une antenne.
On peut les trouver en diffrents formats:
intgres dans les ordinateurs portables,
au format PCMCIA, notamment sur les portables anciens ou sur les Box,
au format PCI pour les ordinateurs de bureau,
sous forme de clefs USB,
3.6.3 Les antennes

Lantenne est un lment dterminant de la qualit dune liaison sans fil. Son type doit tre choisi en fonction du rle quelle devra assurer, cest dire les interactions souhaites avec les autres lments WiFi. Lantenne intgre un point daccs ou une carte WiFi peut gnralement tre remplace par une antenne
externe plus puissante relie par un cble dantenne.
Il existe principalement deux grandes familles dantennes:
Les omnidirectionnelles: Ce type dantenne rayonne dans toute les directions la fois. Elles sont employes
lorsque les stations peuvent tre situes nimporte o par rapport au point daccs. En revanche, la distance
maximale entre lAP et les stations reste limit. Ce sont les antennes quipant par dfaut les bornes et les
cartes wifi.
Les directionnelles: Elles offrent un fort gain, cest--dire quelles peuvent capter un signal plus grande
distance quune antenne omnidirectionnelle, mais suivant un angle de couverture restreint correspondant
la direction vers laquelle elles sont pointes. En gnral, plus le gain est fort, plus la zone couverte est
rtrcie mais la distance importante.
Typiquement, les antennes directionnelles sont employes pour crer des ponts o deux points daccs
Wi-Fi sont associs lun lautre pour relier deux LAN distants. Ce type de lien permet de couvrir des distances allant dune centaine de mtres plusieurs kilomtres.
Pour valuer les performances dune antenne, on se base sur des abaques qui indiquent le gain exprim
bBi. Cette valeur correspond au gain ncessaire appliquer lantenne pour quelle atteigne les caractristiques de lantenne thorique parfaite.
3.7 Recommandations
3.7.1 Les commutateurs (switchs)
Lutilisation des Hubs sur les rseaux dtablissement est dsormais proscrire et le remplacement de
matriels de ce type qui seraient encore en service est prvoir. De la mme faon les switchs non administrables ne correspondent plus aux besoins des gros tablissements et devront tre remplacs afin de pouvoir mettre en uvre les recommandations relatives la segmentation et la scurit des rseaux locaux.
Il nest pas dans les attributions de ce guide de prconiser un type prcis de matriel et encore moins une
marque, nanmoins il sera prfrable que les quipements actifs du rseau soient de la mme gamme dun
mme fabricant. En effet, limplmentation de certaines normes nest pas toujours exactement la mme
dun constructeur lautre, ce qui peut engendrer des dysfonctionnements sur un rseau local. De plus, la
cohrence globale des switchs permet ladministrateur du rseau de navoir travailler quavec une seule
interface dadministration diminuant ainsi le risque derreur.
Tous les lments actifs du rseau de ltablissement devront dsormais tre administrables et rpondre au
minimum aux normes suivantes:
Commutation de niveau 2 (OSI)
29
IEEE 802.1d (Spanning Tree)

IEEE 802.1Q (VLAN)
IEEE 802.3u (100Mbps) ou IEEE 802.3ab (1Gbps) en fonction des besoins
Les fonctionnalits supplmentaires comme le contrle daccs aux ports (802,1x), la QoS (802,1p), la
supervision (SNMP) ou encore lalimentation sur Ethernet (POE) seront tudier au cas par cas en fonction du projet de rseau, du niveau de scurit souhait et des volutions futures (tlphonie IP,). De la
mme faon, le niveau de commutation choisi (2 ou 3) le sera en fonction du niveau de VLAN dsir (cf.
chapitre 4).
Lors de ltude pralable lachat des quipements, il sera trs important de prendre en compte le volume
de donnes potentiellement trait par chaque switch mis en service. Ce facteur est dterminant pour valuer la gamme de matriel choisir en terme de performances grce aux paramtres principaux suivants:
Capacit de commutation gnralement exprime en Gbps
Le nombre dadresses MAC grables
Le nombre de VLAN paramtrables
3.7.2 Les Ponts
Le guide neffectue pas de recommandation pour ce type de matriel. En effet, comme nous lavons vu prcdemment, un pont est un quipement permettant dassurer linterconnexion entre diffrents segments
dun rseau local, en gnral lorsque linfrastructure existante ne permet pas une connexion directe.
Dans ce cas le pont utilise gnralement une infrastructure sans fil de type Wifi ou cble de type VDSL.
Son usage est donc limit au sein dun tablissement et nest envisag que pour rpondre une problmatique particulire qui ncessite une tude pralable.
3.7.3 Les routeurs
Comme nous lavons vu prcdemment, un routeur est un quipement permettant linterconnexion de
rseaux situs dans diffrentes classes dadresses, quils soient locaux ou distants.
Nous entendons, pour ce chapitre, le terme de routeur comme lquipement permettant de relier le rseau
local au rseau Internet. En effet, linterconnexion de sous rseaux dun mme rseau local sera abord
dans les chapitre 4 et 6,3 relatifs aux VLAN et aux Firewall.
Les tablissements sont connects Internet grce des quipements fournis par les FAI (fournisseurs
daccs internet) dans le cadre de marchs publics grs par les Conseil Rgionaux. Ce guide nest donc
pas en mesure deffectuer des recommandations en ce domaine.
Il est toutefois frquent quun tablissement procde la mise en place dune seconde ligne Internet titre
de secours ou pour de petites annexes. Dans ces cas, nous recommandons dviter absolument de recourir
au routeurs des offres grand public dites triple play et qui sont communment appeles Box. Ces
quipements noffrent pas le niveau de scurit requis dans un tablissement denseignement ni les garanties de dbits sur les lignes qui leurs sont associes. Les principaux FAI disposent doffres professionnelles
adaptes ce type de besoins.
3.7.4 Les points daccs Wifi
Il nest pas dans les attributions de ce guide de prconiser un type prcis de matriel et encore moins une
marque. Dans la mesure du possible, ltablissement sattachera ce que les points daccs Wifi soit de la
mme gamme dun mme fabricant afin de garantir au mieux la qualit global du rseau sans fil et simplifier
le plus possible le travail de ladministrateur du rseau et de diminuer le risque derreur.
Tous les points daccs sans fil du rseau de ltablissement devront dsormais rpondre au minimum aux
normes suivantes:
802.11 n (540 Mbps 50m <d <125m): norme compatible b et g
802,11 i (WPA 2): Authentification & chiffrement
30
Les fonctionnalits supplmentaires comme le contrle daccs aux ports (802,1x) appel aussi WPA Enterprise, la QoS (802,11e) ou le roaming (802,11f) seront tudier au cas par cas en fonction du projet de
rseau, du niveau de scurit souhait et des types dusage.
La mise en place dun rseau sans fil ncessite une tude pralable minutieuse en fonction des usages
prvus, des types dutilisateurs mais aussi de lenvironnement physique et lectro-magntique auxquels
les ondes radio sont trs sensibles. Il est recommand de faire procder des tests pralables du matriel
envisag afin de vrifier la porte et la qualit de la bande passante dans lenvironnement rel.
Il sera trs important de dfinir prcisment le nombre potentiel dutilisateurs simultans par point daccs. Ce facteur est dterminant dans la mesure o les stations connectes une mme borne partagent
une mme bande passante ce qui provoque une dgradation rapide du dbit offert avec laugmentation du
nombre de postes.
4 Infrastructure logique des rseaux

4.1 Protocoles rseaux
4.1.1 L ISO et le modle OSI
LISO (International Organization for Standardization, soit Organisation internationale de normalisation),
rseau dinstituts nationaux de normalisation de 157 pays situ Genve, est le plus grand producteur et
diteur mondial de normes internationales.
Pour permettre une communication entre les diffrents rseaux htrognes, lISO a dvelopp un modle
en couches appel modle OSI (Open Systems Interconnection) rfrenc ISO 7498.
Les informations transitent sur le rseau sous la forme dun signal lectrique qui doit tre trait par diffrents processus afin daboutir une information dfinitive. Le modle OSI permet de structurer les tapes
de cette transformation travers la notion de couche. Chacune dentre elles effectue une tche prcise et
dans un ordre prcis.
Le modle OSI comporte 7 couches:
Niveau
Couche
Application
Prsentation
Session
Transport
Rseau
Liaison
Physique
Fonctionnalit
Normaliser laspect des applications

Conventions de codification et compression des donnes
Structuration et synchronisation du dialogue entre 2 applications
changes de paquets dinformations entre 2 processus
Contrle de lacheminement des paquets entre 2 htes
Transmission de trames entre 2 machines et contrle daccs au mdium physique
Transmission de bits sur un mdium physique
1. La couche physique est compose du support physique (dit aussi mdium, canal de transmission ou circuits de donnes), ainsi que des quipements terminaux et intermdiaires, tel que le modem par exemple.
Elle est charge de la transmission effective des signaux entre les matriels. Son service est typiquement
limit lmission et la rception dun bit ou dun train de bits continus.
2. La couche liaison de donnes gre les communications entre 2 machines adjacentes, directement relies
entre elles par un support physique et conditionne les bits bruts de la couche physique en trames de donnes. La couche liaison de donnes est galement charge du contrle derreurs afin que les bits de donnes reus soient identiques ceux qui ont t envoys.
3. La couche rseau gre les communications de bout en bout, gnralement entre machines(routage et
adressage des paquets) et est charge dadresser les messages et de convertir les adresses et noms logiques
en adresses physiques. Elle dtermine aussi litinraire emprunter de lordinateur source lordinateur
destination, en fonction des conditions du rseau, de la priorit du service et dun certain nombre de fac-
31
teurs. Elle gre aussi les problmes de trafic comme la communication, lacheminement et lencombrement
des paquets de donnes sur le rseau et les sous-rseaux.
4. La couche transport gre les communications de bout en bout entre processus (programmes en cours
dexcution) et garantit la bonne livraison des messages, sans erreur, dans lordre et sans perte ni doublon.
A la rception, la couche transport dsencapsule et rassemble les messages dorigine puis met un accus
de rception.
5. La couche session gre la synchronisation des changes et des transactions, permet louverture et la fermeture de sessions. Elle assure les fonctions complmentaires ncessaires ltablissement de la communication entre deux applications sur le rseau (identification, scurit,), de mme que la synchronisation
des tches utilisateurs et de contrler le dialogue tabli entre deux processus de communication.
6. La couche prsentation est charge du codage des donnes applicatives, prcisment de la conversion
entre donnes manipules au niveau applicatif et chanes doctets effectivement transmises. La couche prsentation gre cette reprsentation universelle des donnes changes par des systmes ouverts. Il existe
plusieurs faons de reprsenter des donnes, par exemple, lASCII et lEBCDIC pour les fichiers texte.
Elle utilise un langage commun comprhensible par tous les nuds du rseau, et dtermine la forme sous
laquelle schangent les donnes entre les ordinateurs du rseau. Ct mission, elle convertit les donnes
du format transmis par la couche application en un format intermdiaire, admis de tous.
7. La couche application est le point daccs aux services rseaux, elle na pas de service propre spcifique
et entrant dans la porte de la norme. Cette couche, appele ALS pour Application Layer Structure, est la
fentre par laquelle les processus dapplication accdent aux services du rseau. Normalise sous ISO 9545
qui dfinit la composante communication, elle reprsente les services qui prennent en charge les applications utilisateur.
Ces 7 couches sont parfois rparties en 2 groupes:
Les 4 couches infrieures sont plutt orientes communication et sont typiquement fournies par un systme dexploitation
Les 3 couches suprieures sont plutt orientes application et ralises par des bibliothques ou des programmes spcifiques. Dans le monde IP, ces 3 couches sont rarement distingues et les fonctions de ces
couches sont considres comme partie intgrante du protocole applicatif.
4.1.2 Le modle TCP/IP
Un peu dhistorique: le DARPA (Defense Advanced Research Projects Agency) agence du ministre de
dfense amricain, finana des universitaires pour mettre au point un rseau ferm, scuris, en remplacement du rseau tlphonique qui tait une passoire dinformations secrtes (les annes 1960-1970 sont
celles de la guerre froide avec les pays de lest). Le rseau ARPANET vit le jour et fut lanctre dInternet.
TCP/IP est un modle reprsentant lensemble des rgles de communication sur Internet (avec un grand I),
en parlant du rseau mondial et ne pas confondre avec internet (petit i) qui est une des couches de ce
modle. TCP et IP sont aussi les deux principaux protocoles de ce modle.
Comparaison des modles OSI et TCP/IP
Modle TCP/IP
Application
Modle OSI
Application
Principaux Protocoles
HTTP, DNS, FTP, SSL, SSH,Telnet, Pop, etc..
Format
Messages
TCP, UDP
IP, ICMP, RIP, ARP, RARP, OSPF, ...
Segments
Paquets
Prsentation
Transport
Internet
Rseaux physiques
Session
Transport
Rseau
Liaison
Ethernet, PPP, ...
Physique
Paires cuivres, Fibres optiques, ...
Trames
32
4.1.3 Les principaux protocoles du modle TCP/IP

Niveau Physique
Ethernet: protocole de niveau 2 plus connu sous le standard IEEE 802.3.
Il permet lidentification de chaque hte grce son adresse physique appele adresse MAC et assure la
gestion de la transmission des donnes sur le support physique auquel toutes les machines accdent simultanment en rception comme en mission suivant un principe appel CSMA-CD (Carrier Sense Multiple
Access with Collision Detection). Il a t ramnag plusieurs reprises afin de mieux supporter les hauts
dbits ncessaires aux applications et les quipements rcents. Cest aujourdhui le standard de fait pour
laccs au rseau local.
PPP: Point-to-point Protocol (protocole point point). Ce protocole de niveau 2 est le standard pour laccs Internet via une ligne tlphonique. Il est massivement utilis pour les connexions Internet ADSL.
Niveau Rseau
IP: Internet Protocol (protocole internet)
IP est le principal protocole de niveau 3 du modle TCP/IP qui fournit un systme dadressage unique pour
lensemble des quipements connects. Il encapsule les donnes reues de la couche suprieure dans des
paquets puis en assure lacheminement.
ICMP: Internet Control Message Protocol (protocole de message de contrle sur Internet).
Ce protocole de niveau 3 permet le contrle des erreurs de transmission sur Internet. Il complte le protocole IP qui ne gre pas cet aspect. Il est totalement transparent pour les applications et les utilisateurs. Les
applications ping et tracert sappuient sur ce protocole.
ARP: Address Resolution Protocol (protocole de rsolution dadresse).
Ce protocole assure la concordance entre les adresses Ip (niveau 3) attribues aux machines et leurs
adresses physiques relles (MAC niveau 2).
RARP: Reverse ARP (protocole ARP invers).
Ce protocole est essentiellement utilis par des stations de type terminal qui souhaitent connatre leur
adresse IP.
SNMP: Simple Network Management Protocol (protocole simple dadministration de rseau).
Ce protocole de niveau 3 permet des administrateurs de superviser les quipements prsents sur un
rseau local.
RIP: Routing Information Protocol (protocole dinformation de routage).
Cest un protocole de niveau 3 qui permet aux routeurs de communiquer entre eux pour dterminer la
route optimale dun message.
IPX: Internetwork Packet Exchange (change de paquets inter-rseaux).
Ce protocole de niveau 3 a t cr par Novell qui la abandonn au profit de IP.
Niveau Transport
TCP: Transmission Control Protocol (protocole de contrle de transmission).
Cest un protocole de transport (niveau 4) qui assure un change de donnes fiables entre deux htes
distants en mode connect. Il garantit lordre et la remise des paquets, il en vrifie lintgrit et assure la
retransmission des segments altrs ou perdus par le rseau lors de leur transmission. Cette qualit est
consommatrice de ressources car chaque segment fait lobjet dun accus de rception.
UDP: User Datagram Protocol (protocole de datagrammes utilisateur).
33
Cest le protocole alternatif TCP pour les applications ncessitant des transferts rapides, comme la vido,
la voix sur IP,
Il fonctionne en mode non connect en offrant un service de datagrammes qui ne garantit ni la remise ni
lordre des paquets conomisant ainsi des ressources et du temps de traitement.
SPX: Sequenced Packet Exchange (change de paquets squencs).
Ce protocole de niveau 4 a t dvelopp par la socit Novell, en complment du protocole IPX assez
largement abandonn.
4.2 Adressage IP
Prambule: Tout quipement connect un rseau est identifi de manire unique par son adresse physique. Cest ladresse MAC. Cest une suite de 48 bits soit 6 octets gnralement inscrite sur la carte rseau
par son constructeur.
Les postes sont connects des rseaux locaux communiquant entre eux, do la ncessit dutiliser des
adresses logiques distinctes des physiques afin de pouvoir identifier une machine sur un rseau distant.
Ladresse IP est cette adresse logique qui identifie chaque ordinateur connect Internet, ou plus prcisment linterface avec le rseau de tout matriel (ordinateur, routeur, imprimante,) connect un rseau
informatique utilisant le protocole IP.
Il existe deux versions:
La version 4 (IPV4) o ladresse IP est compose de quatre octets (32 bits). Cest celle qui est majoritairement utilise sur les rseaux locaux. Elle prsente toutefois linconvnient majeur de noffrir que 4milliards dadresses. Lpuisement de ces adresses est prvu pour 2010,
Dans la version 6 (IPV6), ladresse IP comporte seize octets (128 bits). Cette version est actuellement utilise par les oprateurs de tlcommunication sur les rseaux dinfrastructure. Lavantage de cette version
est le grand nombre dadresses possibles: 3,4 X 1038 adresses.
4.2.1 Adressage IPV4
Les adresses IP sont des nombres de 32 bits qui contiennent 2 champs de longueur variable:
Un identificateur de rseau (NET-ID): toutes les machines dun mme rseau physique doivent possder
le mme identificateur de rseau pour pouvoir communiquer entre elles. Tous les rseaux inter-connects
doivent possder un identificateur unique.
Un identificateur dhte (HOST-ID): un quipement connect sur un rseau TCP/IP est appel hte. Il
identifie de faon unique une station de travail, un serveur, un routeur ou tout autre priphrique TCP/IP
au sein dun mme rseau.
La concatnation de ces deux champs constitue une adresse IP unique de 32 bits sur le rseau. La limite
entre le NET-ID et le HOST-ID est dtermine par le masque de sous rseau. Pour des aspects pratiques,
les adresses 32 bits sont divises en 4 octets de huit bits qui sont ensuite convertis en nombres dcimaux
pouvant prendre des valeurs comprises entre 0 et 255. Ce format est appel la notation dcimale pointe.
Ex: 192.168.1.1
Chaque adresse IP est complte par un masque de rseau qui permet de dfinir clairement la partie identifiant le rseau de celle identifiant lhte. Il indique le nombre de bits partir de la gauche qui constituent
ladresse rseau et peut tre exprim sous deux formes:
not aprs ladresse IP et dans le mme format. Ex: 192.168.1.1/255.255.255.0
not/n aprs ladresse IP o n reprsente le nombre de bits composant le NET-ID en notation dcimale.
Ex: 192.168.1.1/24 (Net-ID =192.168.1)<<
34
Lidentificateur de lhte est, quant lui constitu du reste des bits situs droite de ladresse IP. Ex:
192.168.1.1/24 (Host-ID =1)
Sur un mme rseau local, la premire et la dernire adresse ne sont pas utilisables par un hte car elles ont
une signification particulire. La premire rfrence le rseau lui-mme et la dernire rfrence tous les
ordinateurs de ce rseau. Elle est appele adresse de diffusion (broadcast address).
Exemple pour ladresse 192.168.1.1/24 ladresse rseau est 192.168.1.0 et ladresse de broadcast sera
192.168.1.255
Le nombre dhtes adressables sur un rseau local dpend donc de la taille de son masque et se calcule par
la formule 2 (32-n) 2 o n est la longueur du masque. Dans notre exemple 192.168.1.1 ==> 2(32-24)-2 =
254 adresses
Lorsque un hte cherche communiquer avec une machine situe sur un autre rseau (Net-ID diffrent),
il doit alors connatre ladresse dun routeur sur son rseau local et sadresser lui. Cest ce qui est indiqu
comme passerelle par dfaut dans les paramtres de lhte. Dans le cas o plusieurs routeurs sont prsents
sur le rseau, il est alors ncessaire de spcifier plusieurs passerelles possibles. Il faut alors ajouter des
indications dans la table de routage pour indiquer quelle passerelle utiliser pour chaque rseau atteindre.
Avant 1993, sur Internet, les masques de sous rseau ntaient pas utilises et les adresses IP taient rparties en classes qui dfinissaient automatiquement la longueur du champ NET-ID.
Classe
A
B
C
D
E
Type dadresse
Grands Rseaux
Moyens rseaux
Petits rseaux
Diffusion
Rserv
Adresse rseau
Prfixe
NET-ID
binaire
0
8 bits
10
16 bits
110
24 bits
1110
11110
sur
de
24 bits
16 bits
8 bits
0.0.0.0
128.0.0.0
192.0.0.0
224.0.0.0
240.0.0.0
Adresse locale
127.255.255.255
191.255.255.255
223.255.255.255
239.255.255.255
255.255.255.255
Avec ce systme, les bits du prfixe dterminent la classe de ladresse, et pour les classes A C la limite
entre adresse rseau et adresse locale se dduit, sans que lon ait besoin dutiliser un masque de rseau; la
limite est fixe et situe entre deux octets.
En 1993, la croissance de lInternet a conduit utiliser une autre mthode appele CIDR (Classless InterDomain Routin, soit routage entre domaines sans classe) pour dfinir et attribuer des adresses IP, dans
laquelle la limite entre adresse rseau et adresse locale est variable grce lajout du masque. Un bloc
dadresses CIDR est dsign sous la forme:
128.211.168.0/21
Dans cet exemple, 128.211.168.0 est la premire adresse du bloc. 21 est le nombre de bits du masque
et reprsente ladresse du rseau (NET-ID). Il y a donc 11 bits pour ladresse locale (HOST-ID), soit 211-2
=2046 adresses qui vont de 128.211.168.1 128.211.175.254.
Des blocs dadresses sont par convention rservs pour les rseaux locaux privs:
Adresses prives
10/8
172.16/12
192.168/16
Adresse du rseau
10.0.0.0
172.16.0.0
192.168.0.0
Adresse de diffusion
10.255.255.255
172.31.255.255
192.168.255.255
Ces adresses ne sont utilisables qu lintrieur dun rseau local et ne peuvent pas tre routes sur Internet.
Enfin dautres adresses IP ont une signification particulire:
adresse source par dfaut
0.0.0.X
adresse destination par dfaut
0.0.0.0
adresse de bouclage des htes
127.0.0.1
35
4.2.2 Adressage statique

En IP V4, nous avons vu que chaque hte doit disposer dau moins trois paramtres pour pouvoir communiquer, savoir une adresse IP de 32 octets, un masque de rseau et ladresse dune passerelle permettant
la communication vers un autre rseau.
Dans le systme dadressage statique (ou fixe), ladministrateur doit paramtrer manuellement chaque hte
de son rseau local. Ce systme comporte principalement deux inconvnients:
Sur des rseaux importants, le paramtrage manuel gnre une charge de travail importante et multiplie
les risques derreurs.
Les adresses IP attribues ne sont plus disponibles mme lorsque les htes sont teints ou dconnects
du rseau, ce qui peut poser des problmes de manque de ressources.
Le principal avantage rside dans le fait que chaque hte est identifiable de faon prcise et permanente
grce son adresse IP, ce qui peut simplifier le travail dadministration.
4.2.3 Adressage dynamique DHCP
Ladressage dynamique est gr par le protocole DHCP (Dynamic Host Configuration Protocol) qui a pour
vocation dassigner automatiquement aux htes de son rseau local, les paramtres rseaux ncessaires
son fonctionnement. Il allge ainsi la charge de travail de ladministrateur et permet de grer potentiellement un nombre dhtes suprieur au nombre dadresses rellement disponibles. Les serveurs DHCP
peuvent tres:
internes au rseau local
Ladministrateur installe le service DHCP sur un serveur, et dfinit une plage dadresse IP et une dure de
vie pour les adresses distribues appele bail. Il configure ensuite les postes de faon ce quils utilisent ce
protocole. Quand un hte ne sest pas connect pendant une dure suprieure au bail, ladresse IP qui lui
avait t attribue redevient disponible pour les autres stations.
externe au rseau local
Les fournisseurs daccs Internet (FAI) utilisent ce protocole pour fournir aux routeurs installs chez
leurs clients une ou des adresses IP publiques permettant linterconnexion dun poste ou dun rseau local
avec le rseau Internet. Cest lICANN (Internet Corporation For Assigned Names and Numbers) qui assure
lattribution des adresses IP publiques du rseau Internet aux oprateurs. Elles seront affectes, le temps
dune connexion, ses clients.
4.3 Introduction IPV6

Comme nous lavons dj vu, ladressage IPV4 sur 32 bits se rvle insuffisant et sa saturation devrait arriver
dans les quelques annes venir. Pour contourner cet cueil, un nouvelle version dIP, dite IPV6, a vu le
jour en 1998 sous le n de RFC 2460. Elle est en cours de dploiement chez les oprateurs de rseau.
Les principaux apports de cette nouvelle version sont:
Un plus grand espace dadressage, cest la plus flagrante volution mise en avant lorsquon parle dIPv6.
Les adresses sont codes sur 128 bits permettant ainsi dadresser un milliard de rseaux, ce qui autorisera
le dploiement de nouvelles applications qui ncessitent des communications de bout en bout (tlphonie
mobile, vidoconfrence, applications en temps rel).
Un en-tte simplifi et efficace: len-tte IPv6 est de taille fixe. Alors que les options den-tte IPv4 taient
examines par tous les nuds intermdiaires dune communication, les extensions IPv6 ne seront gres
que par les quipements terminaux. Les quipements intermdiaires sont donc dchargs dune partie des
traitements et la gestion des paquets errons est dlgue aux couches suprieures telles TCP ou UDP ce
qui rend le routage plus simple et plus rapide.
Lautoconfiguration: elle met en uvre un certain nombre de nouveaux protocoles associs IPv6 (protocole de dcouverte des voisins, nouvelle version dICMP). Lauto configuration permet un quipement de devenir compltement plug and play. Il suffit de connecter physiquement la machine pour
quelle acquire une adresse IPv6 et une route par dfaut.
36
Le support de la mobilit: il a t introduit ds la conception dIPv6. Les donnes destines une machine
qui a t dplace sont automatiquement retransmises vers sa nouvelle position, son nouveau lieu de
connexion, lchelle plantaire.
lauthentification et le chiffrement: IP v.6 intgre IPSec (protocole de cration de tunnel IP avec chiffrement), qui garantit un contexte scuris par dfaut.
qualit de service: IPV6 permet une gestion de flux tiquets avec des priorits et offre des garanties sur
le dlai maximal de transmission.
Les adresses IPv6 sont codes sur 128 bits diviss en 8 groupes de 16 bits reprsents par 4 chiffres hexadcimaux et spars par :. Les masques reprennent la notation CIDR de la version 4 du protocole IP cest
dire sous la forme: adresse/longueur de prfixe.
Exemple dadresse: 5800:10C3: E3C3: F1AA: 48E3: D923: D494: AAFF/96,
La reprsentation IPv6 peut encore tre simplifie en supprimant les zros en tte dans chaque bloc de.
16 bits. Cependant, chaque bloc doit avoir au moins un chiffre individuel. Par exemple, avec la suppression du zro en en-tte, la reprsentation de ladresse 21DA: 00D3: 0000: 2F3B: 02AA: 00FF: FE28: 9C5A
devient 21DA: D3::2F3B: 2AA: FF: FE28: 9C5A
Certains types dadresses contiennent de longues squences de zros. Pour simplifier la reprsentation
dIPv6, une squence contigu de 0 par blocs de 16 bits sont mis zro dans le format hexadcimal deux
point pour tre compresse en :: .
4.4 Segmentation
Sur le rseau local dun tablissement, chaque hte peut potentiellement communiquer avec nimporte quel
autre, ce qui peut aller lencontre des rgles de scurit dfinies. Il convient donc de prvoir des dispositifs
permettant de sparer les communications autorises de celles qui ne le sont pas. Ces dispositifs peuvent
intervenir aux diffrents niveaux du modle OSI en contrlant les flux du niveau physique au niveau applicatif. Lorsquils interviennent sur lune des trois couches basses, on parle de segmentation du rseau.
La segmentation dun rseau local a galement comme effet den amliorer les performances en diminuant
le trafic par segment.
4.4.1 Segmentation physique
Au niveau de la couche physique, la segmentation consiste grer plusieurs rseaux locaux physiquement
distincts. Cest la mthode la plus ancienne et la plus sre, mais elle manque de souplesse et engendre des
cots dinfrastructure et dadministration levs.
Dans cette situation chaque hte ne peut communiquer quavec ceux connects au mme rseau local et
toute drogation cette rgle impose la mise en place de systmes filtrants dinterconnexions de rseau
comme des Firewalls. Cest une solution en voie de disparition.
Lvolution des switchs permet dsormais de grer une sparation efficace des rseaux de faon plus
souple en affectant un rseau chaque prise, comme nous le verrons plus loin dans ce chapitre (cf. VLAN
niveau 1).
4.4.2 Segmentation liaison
Au niveau de la couche liaison, la segmentation consiste grer plusieurs rseaux locaux grce aux adresses
MAC identifiant de faon unique chaque hte.
Dans cette situation chaque hte ne peut communiquer quavec ceux dont les adresses MAC sont autorises par le switch auquel il est connect, comme nous le verrons plus loin dans ce chapitre (cf. VLAN
niveau 2).
37
4.4.3 Segmentation en sous-rseaux IP

Au niveau de la couche rseau, la segmentation consiste grer plusieurs rseaux IP diffrents grce
lusage de plages dadresses prives distinctes ou en modifiant le masque des adresses IP pour faire varier
le HOST-ID et crer ainsi de nouveaux rseaux.
Pour la seconde mthode, il faut rcuprer un certain nombre de bits en en-tte de ladresse locale (HOSTID) pour complter ladresse du rseau (NET-ID) et constituer ainsi des adresses de nouveaux rseaux. Dans
cette situation chaque hte ne peut communiquer quavec ceux appartenant au mme rseau. Il ne peut
joindre les htes des autres rseaux que par lintermdiaire dun dispositif de routage (cf. VLAN niveau 3).
On a vu que adresseIP=adresserseau +adresselocale et que le masque dfinissait le nombre de bits affects ladresse rseau.
Pour ladressage IP avec sous-rseau, on rcupre donc une partie de ladresse locale pour crer celle du
sous rseau. Ainsi, adresseIP=adresserseau +adressesous-rseau +adresselocale, et le masque dfinit le
nombre de bits affects adresserseau +adressesous-rseau.
Il faut dimensionner ce sous-adressage en fonction des besoins. n bits dadresse sous-rseau correspondent
2n sous-rseaux, et diminuent dautant le nombre de stations par sous-rseau.
Pour exemple, le rseau 192.168.1.0 de masque 255.255.255.0 ou/24 comportant 254 adresses peut tre
dcompos en quatre sous-rseaux de 62 adresses.
Cela donne:
Sous-Rseau
192.168.1.0
192.168.1.64
192.168.1.128
192.168.1.192
Masque
255.255.255.192 ou /26
255.255.255.192 ou /26
255.255.255.192 ou /26
255.255.255.192 ou /26
Premier hte
192.168.1.1
192.168.1.65
192.168.1.129
192.168.1.193
Dernier hte
192.168.1.62
192.168.1.126
192.168.1.190
192.168.1.254
ou en 1 sous-rseau de 126 adresses et 2 de 62 adresses; cela donne:

Sous-Rseau
192.168.1.0
192.168.1.128
192.168.1.192
Masque
255.255.255.12 ou /25
255.255.255.192 ou /26
255.255.255.192 ou /26
Premier hte
192.168.1.1
192.168.1.129
192.168.1.193
Dernier hte
192.168.1.126
192.168.1.190
192.168.1.254
4.5 Les Vlan ou rseaux virtuels

Le rseau VLAN (Virtual Local Area Network), ou rseau local virtuel est un domaine de diffusion, ce qui
veut dire quune information mise par une station nest reue que par les stations appartenant ce Vlan.
Il regroupe un ensemble de machines de faon logique et non physique. Il permet de constituer autant
de rseaux logiques que lon dsire sur une seule infrastructure physique. Ces rseaux logiques auront le
mme comportement que des rseaux physiques.
Un lien physique unique peut supporter le trafic de plusieurs rseaux virtuels; il prend alors le nom de
lien trunk. Cest typiquement le cas dun lien entre deux commutateurs ou entre un commutateur et un
routeur.
Ses avantages principaux sont la rduction du trafic de diffusion, une grande souplesse dans les modifications de larchitecture logique sans modification de linfrastructure physique, et un gain significatif en
terme de scurit.
Les VLAN sont dfinis par les standards IEEE 802.1D, 802.1p, 802.1Q et 802.10. Il est extrmement important de sassurer que les lments actifs implmentent les mmes normes avant de se lancer dans la mise
en place de VLAN.
Il en existe trois principales typologies selon le niveau OSI (cf. Segmentation):
38
4.5.1 VLAN niveau 1 (par port)

Appel Port-Based VLAN en anglais. Chaque port du commutateur est associ un Vlan particulier. La station qui sy trouve connecte ne peux alors communiquer quavec celles connectes un port appartenant
au mme VLAN.
Certains ports peuvent tre dits tagus. Ce mcanisme qui peut tre statique ou dynamique modifie les
trames pour identifier leur VLAN dappartenance. Il est dfini par la norme 802.1Q. Un port tagu peut
vhiculer les trames de plusieurs VLAN
Dans cette configuration, le dplacement dune station de travail, ncessite une intervention de configuration des Vlan sur les commutateurs concerns. De plus, limplmentation de cette technologie nest pas
toujours exactement la mme dun constructeur lautre ce qui oblige une cohrence complte des lments actifs prsents sur son rseau local.
En revanche, cette technologie permet une bonne isolation des stations par VLAN ainsi quun niveau de
performance lev.
4.5.2 VLAN niveau 2 (par adresse Ethernet)
Appel VLAN MAC ou MAC Address-Based VLAN en anglais. Les rseaux virtuels de ce type associent
les adresses MAC des htes un VLAN. Une station ne peut alors communiquer quavec celles dont les
adresses MAC sont identifies comme appartenant au mme VLAN. Chaque Vlan possde donc une table
des adresses mac des htes lui appartenant.
Le changement demplacement dune station est alors totalement transparent, mais le travail de gestion des
tables dadressage est fastidieux. La scurit est plus faible que sur un VLAN de niveau 1 dans la mesure o
il est sensible lusurpation dadresses MAC (MAC address spoofing).
4.5.3 VLAN niveau 3
Cette dnomination est en ralit un abus de langage puisque cette technique consiste raliser une segmentation du rseau local par sous rseau IP ou par protocole, comme nous lavons vu au chapitre prcdent (segmentation). Chaque hte ne peut alors communiquer quavec les stations appartenant au mme
rseau IP ou utilisant le mme protocole.
Lutilisation de plusieurs rseaux ou protocoles permet donc de crer automatiquement plusieurs VLAN
sans intervention sur les lments actifs du rseau. Il suffit de configurer ladresse IP ou le protocole dun
poste client pour quil appartienne automatiquement un VLAN donn. Les deux principaux types de
VLAN de niveau 3 sont donc:
par protocole: Ce serait le cas dun rseau ayant plusieurs systmes dexploitations (Microsoft, Novell,
MACetc..) avec par exemple, dun ct le protocole TCP/IP et de lautre IPX/SPX.
Par rseau IP: Chaque rseau cre automatiquement un VLAN. Par exemple la station 192.168.1.2/25
peut communiquer avec la 192.168.1.12/25 mais ne le pourra pas avec la 192.168.1.201/25.
Les VLAN de niveau 3 sont les plus simples administrer. En revanche, ils sont plus lents que les VLAN
de niveau 1 et 2, car chaque switch effectue des oprations de routage en analysant les paquets jusquau
niveau 3 ou parfois 4 pour connatre son Vlan dappartenance. Il faut donc des quipements plus coteux (commutateurs de niveau 3 ou routeurs).
La scurit est galement plus faible que celle des VLAN de niveau 1 et 2 cause de la relative simplicit de
mise en uvre de lusurpation dadresse IP (IP spoofing).
Enfin, une attention particulire doit tre apporte lutilisation danciennes gnrations de protocole
comme NetBEUI par exemple, qui sont parfois encore prsentes sur certaines stations du rseau local et
qui ne peuvent pas tre utilises sur ce type de VLAN car ils ne sont pas routables.
39
4.6 Recommandations
4.6.1 Protocoles rseaux
Comme nous venons de le voir, les protocoles rseaux spcifient un ensemble de rgles structures en
couches pour permettre la communication entre diffrents quipements. Afin de sy retrouver, ils sont classs au sein de familles ou de piles dont les principales sont AppleTalk, Bonjour, IPX/SPX, SNA, TCP/IP,
Les rseaux des tablissements devront utiliser exclusivement la pile de protocole TCP/IP lexclusion de
tout autre. Les quipements qui utiliseraient encore des familles diffrentes devront tre reprs et reconfigurs ou remplacs. Une attention particulire sera apporte aux photocopieurs numriques connects qui
embarquent souvent toutes les piles de protocoles connues. Une analyse du rseau local (cf. chapitre 6.6)
permettra de sassurer de la propret du rseau local.
4.6.2 Adressage IP
Au sein de la pile TCP/IP, il existe dsormais des normes du protocole IP qui grent la couche rseau. La
version 4, aujourdhui trs largement majoritaire sur les rseaux locaux et la version 6 trs utilise sur les
rseaux des oprateurs. Cette dernire permet surtout doffrir un trs grand nombre dadresses (1038)
pour viter un manque sur le rseau Internet public.
Sur le rseau local dun tablissement, ce problme nexiste pas et ladoption de la nouvelle version IP ne se
justifie nullement. En consquence, tous les EPLEFPA utiliseront exclusivement un plan dadressage en IP
V4 conforme celui prconis par le CNERTA dans le cadre des logiciels de gestion administrative (LGA).
Le masque est positionn 24 bits et le rseau local respecte alors le plan suivant:
10. (numro de dpartement). (numro de site). (numro de station)/24
Par exemple: 10.33.10.1/24
Ce plan dadressage autorise 254 stations connectes sur le rseau ce qui peut savrer trop juste dans
un certain nombre dtablissements. Dans ce cas le plan dadressage sera alors dcoup en sous-rseaux
suivant les types dusages en respectant le modle suivant:
Administratif: 10.33.10.1/24
Pdagogique: 10.33.11.1/24
Rseau Wifi: 10.33.12.1/24
etc
Le respect de cette rgle permet de crer potentiellement 10 sous rseaux de 254 stations chacun. Dans
tous les cas, la mise en place dun rseau sans fil se fera imprativement dans un sous-rseau spcifique.
Dans tous les cas, lutilisation de plusieurs sous-rseaux IP sur un mme rseau local oblige le segmenter
par la mise en place de rseaux virtuels ou VLAN.
Les adresses IP des lments actifs, des serveurs et des priphriques permanents (Imprimantes, NAS,)
seront fixes et attribus manuellement lors de linstallation.
Les adresses IP des stations de travail de chaque rseau ou sous-rseau pourront tre distribues par un
serveur DHCP aprs vrification de ladresse MAC et sous rserve que le traage des connexions internet
soit ralis avec le nom dutilisateur et non pas ladresse du poste.
4.6.3 Segmentation et rseaux virtuels (VLAN)
Comme nous lavons vu dans la partie thorique de ce chapitre, la segmentation dun rseau local a pour
vocation den amliorer la scurit et/ou les performances. Tous les tablissements denseignement ne sont
pas confronts aux mmes difficults ni au mmes besoins, principalement en fonction de leur importance.
Ils peuvent tre classs en deux grandes catgories:
Les petits tablissements o le nombre dutilisateurs et de postes permet un contrle efficace des accs
aux diffrentes ressources sur la base dune authentification classique auprs dun serveur dannuaire ou
de domaine. Sur les structures de ce type, le rseau local ne risque pas la saturation en terme dadresses ou
de performances.
40
Les tablissements importants o le nombre dutilisateurs et de postes ne permet pas un contrle efficace
de laccs aux ressources prsentes sur le rseau local. Sur les structures de ce type, les 254 adresses disponibles par dfaut ne suffisent pas et la performance du rseau peut se dgrader sil nest pas configur
de faon optimale.
Cette situation nous conduit effectuer deux recommandations diffrentes concernant le rseau local
Ethernet. En revanche et dans tous les cas, la mise en place dun rseau Wifi se fera avec une stricte segmentation par rapport au rseau local
4.6.3.1 Rseaux de moins de 200 postes
Les rseaux locaux de cette importance ne ncessitent pas de segmentation lie une pnurie dadresses
ou de performance. Toutefois, pour des raisons de scurit, nous recommandons la sparation des parties
administratives et pdagogiques du rseau local par la mise en uvre de deux rseaux virtuels (VLAN) de
niveau 1 couramment appels Port Based VLAN.
Dans cette configuration, chaque port sur chaque switch est affect au rseau pdagogique ou au rseau
administratif ou aux deux. Ce type de solution est la meilleure des trois types de VLAN du point de vue de
la scurit, de la performance et du cot financier. Elle ncessite toutefois un paramtrage de chaque port
par ladministrateur du rseau, ce qui nest pas trs pnalisant sur des LAN de cette taille.
Lintgration dun troisime sous-rseau ddi la connexion de point daccs Wifi est simple et rapide
raliser.
Les switchs ncessaires la mise en place de cette configuration doivent assurer une commutation de
niveau 2, tre administrables et rpondre aux normes 802.1Q, 802,1X.
4.6.3.2 Rseaux de plus de 200 postes
Les rseaux locaux de cette importance peuvent connatre des problmes de pnurie dadresses, de performance et de scurit. Nous recommandons la sparation des parties administratives et pdagogiques
du rseau local par la mise en uvre dau moins deux rseaux virtuels (VLAN) de niveau 3 et de type sous
rseau IP (cf. chapitre 4.7.2). Chaque sous-rseau ainsi cr peut contenir 254 stations.
Dans cette configuration, chaque rseau virtuel se voit attribu une plage dadresse spcifique. Ladresse
attribue un priphrique dfini le VLAN auquel il appartient indpendamment du port physique auquel
il est connect. Chaque station ne peut alors communiquer quavec celle de son VLAN et doit contacter
un routeur pour atteindre un autre VLAN. Le routeur doit permettre la gestion des rgles rgissant les
changes entre les diffrents VLAN du rseau local. Ladministration des switchs est trs simple puisque la
gestion de la scurit est alors reporte sur le Routeur.
Ce type de solution ncessite lacquisition de switchs plus coteux et la mise en place dun dispositif de
filtrage (Firewall) des flux et dauthentification des stations. Il offre en revanche une trs grande capacit
de croissance et dvolution.
Les switchs ncessaires la mise en place de cette configuration doivent assurer une commutation de
niveau 3, tre administrables et rpondre aux normes 802.1x et 802,1Q. Ils implmentent souvent des
fonctions volues, comme les ACL par exemple, permettant une gestion plus fine de lutilisation du rseau
local en terme de scurit et de performance.
4.6.3.3 volution darchitecture
Un rseau local segment par des VLAN de niveau 1 peut tre amen crotre de telle sorte quil doive faire
face une pnurie dadresse. Dans ce cas, la mise en place dun VLAN de niveau 3 conservant larchitecture
en place est possible.
Dans ce cas, il sera ncessaire de changer le plan dadressage global de ltablissement et de mettre en
place un commutateur de niveau 3 au cur du rseau. Sur les switch de niveau 2 dj en place, il sera alors
indispensable dassurer une cohrence sans faille au niveau de chaque port afin qu un numro de VLAN
de niveau 1 soit associ un VLAN de niveau 3.
La mise en place dune solution mixte de ce type ncessite une grande rigueur dans le gestion du rseau
et savre un peu lourde administrer, mais elle permet une volution progressive et limite les cots en
permettant dviter le remplacement de tous les switch de niveau 2.
41
4.6.3.4 Rseaux Wifi

Dans tous les cas de figure, le dploiement dun rseau sans fil de type Wifi sur un tablissement fera lobjet
dune stricte segmentation par rapport au rseau local en place.
Pour dvidentes raisons de scurit, les points daccs ainsi que les stations seront placs dans un sousrseau IP spcifique et connects aux ressource dInternet ou du rseau local par lintermdiaire dun
Firewall ou dun commutateur permettant la gestion de la scurit (802.1x) comme expos au chapitre 6.
Dans la mesure du possible, les points daccs seront connects au rseau local par lintermdiaire dun
cblage physiquement distinct ou par la mise en uvre dun VLAN de niveau 1.
5 Interconnexion des rseaux de lEPL

Lorsquun EPLEFPA est compos de plusieurs sites gographiques distincts, il savre ncessaire dinter
connecter les rseaux locaux pour permettre le partage des outils informatiques comme les Logiciels de
Gestion Administrative.
La distance sparant les diffrents centres est habituellement de plusieurs kilomtres. Il est alors indispensable de faire appel aux services dun oprateur qui se charge de lacheminement des donnes via ses
infrastructures de rseaux mtropolitains (MAN) ou de rseaux tendus (WAN).
5.1 MAN/WAN
La classification des rseaux doprateurs utiliss pour linterconnexion des sites repose essentiellement
sur la distance. Par convention, on parle de MAN (Metropolitan Area Network) lorsque la distance est comprise entre la centaine de mtres et quelques kilomtres. Les techniques utilises sont gnralement les
fibres optiques ou les ondes radios (Wi-Fi/WiMax).
Lorsque la distance est au-del de quelques kilomtres, on utilise alors le terme de WAN (Wide Area
Network) qui sont grs par les grands oprateurs.
5.1.1 Technologies des WAN
5.1.1.1 Ligne loue ou ligne spcialise
Ce type de lignes est une liaison point point entre le rseau local du client et celui de loprateur. Elle est
alors exclusivement utilise par le trafic client. Les sites distants sont alors relis entre eux par des liaisons
ddies et le rseau de loprateur.
Cette technologie est fiable et sre mais son cot est gnralement trs lev.
5.1.1.2 Circuit commut
Les connexions de ce type sont connues en France sous le terme de liaisons RNIS (ISDN en anglais) ou
NUMERIS. Elles fonctionnent suivant le principe de la commutation de circuit comme des liaisons tlphoniques classiques et utilisent les protocoles HDLC ou PPP.
La facturation est ralise en fonction de la dure de communication, ce qui gnre des cots trop levs
pour une utilisation permanente.
5.1.1.3 Commutation de paquets
Cette technologie utilise les rseaux de transport de donnes de grands oprateurs qui peuvent ainsi garantir les dbits et la qualit. Les connexions de ce type utilisent principalement les protocoles Frame Relay,
ATM, MPLS,. Elles ne sont quasiment plus utilises pour la desserte des abonns.
5.1.1.4 Internet
Le rseau Internet offre dsormais une couverture importante du territoire ainsi quune qualit et des
dbits de bon niveau. Son important dploiement a permis datteindre des cots trs largement infrieurs
aux autres solutions.
42
Il devient la solution dinterconnexion des sites moyennant la mise en oeuvre dun rseau priv virtuel (cf.
5.2, 5.3 et 5.4). Cette technologie logicielle utilise le chiffrement et dautres techniques pour donner limpression de disposer de son propre rseau priv tout en utilisant le rseau Internet.
Cette solution, qui tend supplanter toutes les autres grce son faible cot, confre cependant une qualit de service moindre.
Linterconnexion de sites via le rseau Internet ne peut tre envisage que sur des liaisons haut dbit qui
utilisent gnralement les technologies DSL (cf. chapitre 2) sur des lignes tlphoniques et peuvent donc
tre dployes rapidement et moindre cot. Elles ont toutefois des inconvnients: la porte est limite
quelques kilomtres, et le dbit dpend grandement de la longueur et de la qualit de la ligne.
Les offres les plus frquentes sont lADSL et le SDSL:
ADSL et ses variantes. LADSL (asymetric DSL) est la variante la plus rpandue: elle offre un assez bon
compromis entre performances et cot. Elle est bien adapte une clientle grand public. Toutefois,
lADSL souffre de plusieurs dfauts:
la distance maximale entre le rpartiteur de loprateur et le client est denviron 5 6 kilomtres ce qui
rend certaines lignes non ligibles,
le dbit est limit 8 Mbit/s, valeur possible uniquement sur les lignes courtes, souvent infrieures 2km,
le dbit est asymtrique: les donnes circulent plus rapidement vers labonn (download) que vers Internet (upload). Le dbit en upload est gnralement 4 fois plus faible que celui en download.
Lasymtrie des voies de transport est donc parfaitement adapte la navigation sur Internet o lon reoit
beaucoup dinformations pour trs peu dmissions.
En zone urbaine, lADSL2 +permet de pallier certains de ces dfauts. Cest une version amliore de lADSL
qui utilise une bande de frquence largie. Elle permet un dbit maximal dune vingtaine de Mbit/s. Mais
plus la ligne est longue, plus le gain de dbit par rapport lADSL se rduit jusqu devenir insignifiant
partir de 3km.
SDSL (symetric DSL): LADSL nest plus pertinente lorsque lon est appel envoyer soit-mme un gros
volume de donnes, ce qui est le cas pour linterconnexion de sites distants ou lhbergement de serveurs
ou services Internet. Il convient alors de se tourner vers les offres SDSL ou SHDSL, voire les lignes loues.
Les technologies de DSL symtrique offrent un mme dbit en download et en upload. Elles permettent,
aujourdhui et sous conditions dligibilit, doffrir des dbits symtriques compris entre 1 et 8 Mbit/s.
Contrairement lADSL, le SDSL ne rserve pas une partie de la bande passante pour le transport de la voix
tlphonique et ne peut donc pas tre dploye avec une liaison tlphonique standard.
5.1.1.5 Autres (XDSL, Wimax, FTTx)
Dans certains cas particuliers, les oprateurs peuvent tre amens proposer des technologies alternatives
pour la connexion haut dbit Internet:
Les liaisons sans fil de type Wifi ou Wimax. Elles sont abordes au chapitre 2.3.3 et 2.3.4 du prsent
document.
Les liaisons VDSL et VDSL2 qui, avec une bande de frquence plus large et un encodage plus efficace,
offrent des dbits symtriques trs levs, mais sur de courtes distances.
Le satellite est une offre un peu part dont le principal avantage est la disponibilit sur lensemble du
territoire. Laccs peut tre mono ou bidirectionnel et permet un dbit de 1 ou 2 Mbit/s pour un cot raisonnable. Son principal inconvnient est la latence (temps de rponse) des connexions qui est rdhibitoire
pour des applications interactives.
Les technologies de tlphonie mobile: grce la convergence et laugmentation des dbits, ces technologies sont de plus en plus utilises pour accder Internet. Elles ont lavantage dtre fiables, robustes
mais elles restent souvent coteuses et assez complexes mettre en oeuvre, ce qui les rserve plutt des
usages de type nomade.
Demain, la fibre optique. La fibre optique fait son entre dans la partie desserte des abonns. Le FTTx
(Fiber To The) permet daugmenter le dbit offert au grand public et aux professionnels en saffranchissant des oprateurs du rseau tlphonique traditionnel. En France, plusieurs grands projets urbains
sont en cours (Pau, Bordeaux, Paris,). Le FTTx est galement utilis ponctuellement pour desservir des
43
entreprises, mais les cots restent encore trs levs. Cest une alternative qui devrait trs probablement
connatre un essor important au cours des prochaines annes.
5.1.1.6 Notion de qualit du service (GTR, dbits)
La qualit de service de la ligne internet est dsormais cruciale, surtout dans le cadre de son utilisation
comme service dinterconnexion des rseaux locaux dun EPL. Une interruption de service paralyse quasiment compltement le systme dinformation de ltablissement.
Le dbit nest quun des indicateurs de performance dune connexion prendre en compte. Les principaux
paramtres considrer sont:
Le dbit thorique. Cest la quantit de donnes transmise pendant une unit de temps. Elles est exprime en kbit/s ou Mbit/s.
La garantie du dbit. Les offres commerciales sont souvent exprimes en dbit thorique qui correspond
souvent un dbit maximum rarement atteint. Il existe des offres dites de dbits garantis dun cot suprieur.
La latence ou dlai de transmission. Cest le temps ncessaire la traverse du rseau. Elle sexprime en
millime de secondes.
La gigue ou variation du dlai. Cest lcart entre les dlais de transmission des diffrents paquets. Elle
sexprime en millime de secondes.
Le taux derreur. Cest le pourcentage de paquets de donnes perdus ou altrs sur le total de paquets
envoys
La GTR (garantie de temps de rponse). Cest la dure contractuelle sur laquelle loprateur sengage
rpondre et/ou rtablir la liaison.
Le taux de disponibilit du rseau, exprim en pourcentage.
La facilit de contact de la maintenance.
La capacit dvolution technologique de linfrastructure.
5.2 RPV/VPN
Les EPL sont de plus en plus souvent structurs autour de plusieurs sites gographiques distants de plusieurs
kilomtres. Les applications et les systmes distribus font dsormais partie intgrante de leur systme dinformation. Il faut donc assurer leur accs scuris au sein de toutes les structures de ltablissement.
La premire solution pour rpondre ce besoin de communication scurise consiste relier les rseaux
distants laide de liaisons spcialises. Si elles sont sres et fiables, le cot des solutions de ce type est
trop lev.
Il est beaucoup plus conomique dutiliser Internet comme support de transmission sous rserve de le
scuriser fortement en mettant en oeuvre un rseau priv virtuel (RPV), plus connu sous le sigle anglais de
VPN (Virtual Private Network)
5.2.1 Prsentation du concept
Cette solution consiste utiliser Internet comme support de transmission avec un protocole dencapsulation (tunneling en anglais) pour transmettre les donnes entre deux sites distants.
Des donnes trs sensibles peuvent tre amenes transiter sur le VPN (donnes personnelles, financires,
notes). Elles doivent donc tre transmises sans souci de confidentialit ni dintgrit. Des techniques de
cryptographie sont mises en oeuvre cette fin. Elles permettent une authentification au niveau des paquets
pour sassurer de la validit des donnes, de lidentification de leur source ainsi que de leur non-rpudiation
en faisant gnralement appel des dispositifs de signatures numriques ajoutes aux paquets. La technologie actuelle en matire de cryptographie permet dassurer un niveau de scurit maximal.
Ce rseau est dit virtuel car il relie deux rseaux locaux par une liaison faible cot (Internet), et priv car
seuls les ordinateurs des rseaux locaux de part et dautre du VPN peuvent comprendre et exploiter les
donnes transmises. Il existe 3 grandes catgories de VPN Standard.
44
5.2.2 Accs nomades

Ce type daccs est frquemment nomm VPN HtoG pour Host to Gateway ou VPN Roadwarrior. Il est utilis pour accder certaines ressources prdfinies dun tablissement sans y tre physiquement prsent.
Il permet ainsi un utilisateur isol de se connecter, via Internet, au rseau de son tablissement lors dun
dplacement ou depuis son domicile. Lutilisation de ce type de VPN est gnralement possible avec les
accs Internet standards des fournisseurs daccs. Il existe deux cas:
La gestion du VPN par un oprateur. Lutilisateur demande au fournisseur daccs de lui tablir une
connexion crypte vers le serveur distant. Il se connecte alors sur le serveur daccs de loprateur et cest
ce dernier qui tablit la connexion crypte entre le rseau de ltablissement et lutilisateur distant. Cest
une offre commerciale gnralement assez onreuse.
Lutilisateur possde son propre logiciel client et il tablit directement la communication crypte avec
le serveur VPN situ sur le rseau local de ltablissement. Cette solution ncessite que chaque utilisateur
dispose du logiciel permettant dtablir le tunnel de communication.
Dans tous les cas, ce type dutilisation impose la mise en place dune authentification forte des usagers. Elle
peut se faire par une vrification "login/mot de passe" de qualit, par un dispositif de jetons scuriss avec
mots de passe alatoires, par un dispositif de question secrte ou par certificats numriques.
5.2.3 Accs de site site
Ce type daccs est frquemment nomm VPN GtoG pour Gateway to Gateway ou VPN de transport. Il
relie deux ou plusieurs rseaux locaux dune mme structure (par exemple les rseaux des sites dun EPL).
Il permet dviter de recourir des lignes ddies trs onreuses. Avec ce type de VPN, ltablissement possde virtuellement un seul et mme rseau local dont les communications inter sites passent par Internet.
Comme pour les VPN nomades, Il existe deux cas:
La gestion du VPN par un oprateur. Tous les sites appartenant ce rseau virtuel doivent tre oprs par
le mme fournisseur daccs qui assure alors son bon fonctionnement.
La gestion locale du VPN. Dans ce cas tous les sites sont quips dune mme solution de dispositif de
gestion du VPN, quelle soit matrielle ou logicielle.
5.2.4 Accs Extranet
Ce type de VPN concerne les tablissements ou structures dsireux douvrir en partie leur systme dinformation des partenaires externes. Ils ouvrent alors leur rseau local ces derniers. Dans ce cas surtout,
ladministrateur du VPN doit pouvoir tracer les utilisateurs externes sur le rseau et grer les droits de
chacun sur celui-ci.
Ces VPN sont principalement utiliss dans le cadre du commerce lectronique pour permettre aux clients,
fournisseurs ou partenaires daccder certaines donnes dune entreprise. Presque tous les sites e-commerce ainsi que les banques, offrent ce type de connexion scurise leurs clients.
Dans le cadre dun tablissement, les accs des agences comptables peuvent tre mis dans cette catgorie.
Les solutions techniques mises en uvre dans le cadre de ce type daccs sont les mmes que pour les deux
autres type de VPN.
5.2.5 Cohabitation de VPN
Il est de plus en plus frquent quune structure offre des services de VPN nomade pour son personnel, des
services de VPN de transport pour ses sites distants et soit client de VPN Extranet de partenaires.
Par exemple, un EPL peut offrir un service daccs nomade pour la gestion des notes directement par les
enseignants, relier tous ses sites et antennes par un VPN de transport dans le cadre de lusage des LGA et
tre en mme temps client du VPN Magellan du MINEFI (cf. illustrations chapitre 1).
Il est important que ltablissement sattache vrifier auprs de son fournisseur daccs que sa connexion
Internet ainsi que celles de ses utilisateurs distants offrent un maximum de compatibilit avec les solutions
VPN choisies.
45
5.3 Technologies VPN

Les technologies VPN sappuient sur des protocoles normaliss que nous pouvons classer en trois catgories en fonction du niveau de la couche TCP/IP auquel ils interviennent:
Les protocoles de niveau 2 comme Pptp et L2tp.
Les protocoles de niveau 3 comme IPsec ou Mpls.
Les protocoles de niveau 4 comme SSL.
5.3.1 Protocoles de niveau 2
5.3.1.1 PPTP
Pptp (Point to Point Tunnelling Protocol) est dfini par la Rfc 2637. Cest un protocole qui utilise une
connexion point point travers un rseau IP pour crer un rseau priv virtuel. Pour ce faire, il ouvre
deux canaux de communication entre un client et un serveur:
Un canal pour le contrle et la gestion du lien.
Un canal transportant le trafic du rseau priv au niveau IP et sappuyant sur le protocole Gre (Generic
Routing Encapsulation).
Le tunnel est cr en trois phases de connexion:
Le client effectue dabord une connexion de type Ppp avec son fournisseur daccs Internet. Elle permet
ainsi de faire circuler des donnes sur Internet.
Une seconde connexion dial-up est alors tablie avec le serveur VPN PPTP. Elle permet dencapsuler les
paquets Ppp dans des datagrammes IP formant ainsi le tunnel Pptp. Tout trafic client conu pour Internet
emprunte la connexion Ppp normale, alors que le trafic conu pour le rseau priv distant, passe par le
tunnel Pptp.
La clture du tunnel est assure par le serveur en fin de communication.
Cette solution de VPN nomade est dveloppe par Microsoft et intgre dans toutes ses versions de Windows. Elle sappuie sur plusieurs algorithmes propritaires de Microsoft pour la compression (Mppc), le
chiffrement des donnes (Mppe) et lauthentification des utilisateurs (Ms-Chap). De par son intgration
native dans la sphre Windows, elle est trs employe par les solutions commerciales.
5.3.1.2 L2TP
L2tp (Layer 2 Tunneling Protocol) est dfini par la Rfc 2661. Cest une volution du protocole Pptp qui
permet la gestion de VPN de transport. Il est dvelopp conjointement par Microsoft et plusieurs acteurs
cls du march des rseaux.
Il permet dtablir un tunnel de niveau 2 capable de transporter nimporte quel protocole de niveau suprieur. Le tunnel ainsi tabli transporte simultanment plusieurs connexions. Il repose sur deux concepts:
Concentrateurs daccs L2tp (Lac). Cest lquipement qui initie le tunnel VPN. Il fournit un support
physique aux connexions L2tp et transfre le trafic vers le serveur rseau L2tp (LNS) qui constitue lautre
extrmit du tunnel.
Serveur rseau L2tp (Lns). Cest lquipement qui termine la connexion VPN L2tp et qui gre le protocole L2tp ct serveur. Par conception, les serveurs rseau Lns ne peuvent avoir quune seule interface
de rseau local (Lan) ou tendu (Wan), ce qui est une limite de cette technologie. Ce sont eux qui sont
responsable de lauthentification du tunnel.
En mode VPN nomade, il est ncessaire pour le client (Lac) dtablir autant de tunnels VPN que de serveurs
(Lns) contacter. De plus, ce protocole nintgre pas directement le chiffrement des donnes. Cest pourquoi lutilisation conjointe dIPsec et L2tp est prconise par les acteurs de la scurit des rseaux.
46
5.3.2 Protocoles de niveau 3

5.3.2.1 Ipsec
IPsec (IP Security) est dfini par la Rfc 4301. Cest un ensemble de protocoles qui vise scuriser lchange
de donnes sur les rseaux IP quelle quen soit la version. Internet utilise massivement la version 4 du protocole IP (Ipv4) et la migration vers la version 6 (Ipv6) est actuellement en cours.
IPsec est bas sur deux mcanismes pour la gestion des donnes (souvent utiliss conjointement) et un
troisime pour lchange des clefs de chiffrement:
lAuthentication Header (AH), assure lauthentification et lintgrit, mais Il ne fournit aucune confidentialit car les donnes transmises ne sont pas encodes. Il utilise un mode transport.
lEncapsulating Security Payload (ESP), assure lauthentification, lintgrit et la confidentialit des donnes. Il utilise un mode tunnel.
Pour lchange de cls, le IKE (Internet Key Exchange) permet de grer les changes ou les associations
entre protocoles de scurit.
Une communication protge laide dIPsec est appele une SA (Security Association soit association de
scurit). Chaque SA gre lensemble des paramtres ncessaires au bon fonctionnement dun tunnel (les
protocoles AH et/ou ESP, mode tunnel ou transport, les algorithmes de scurit utiliss, les cls utilises,)
Chaque SA est unidirectionnelle. Une communication classique, protge dans les deux sens, requiert donc
deux associations. On parle alors dun paquet de SA (bundle).
IPsec utilise une base de donnes des associations de scurit (SAD) pour grer les SA actives. Elle contient
tous les paramtres de chaque SA et est consulte pour savoir comment traiter chaque paquet reu ou
mettre.
IPsec utilise une base de donnes de politique de scurit (SPD) qui contient lensemble des choix de scurit et permet de dcider, pour chaque paquet, sil faut ou non apporter des services de scurit, sil est
autoris passer ou doit tre rejet.
IPsec a recours des algorithmes cryptographiques et utilise donc des clefs quil doit tre en mesure de
gnrer, distribuer, stocker et supprimer. Il utilise cette fin le protocole Internet Key Exchange (IKE)
qui fournit des mcanismes dauthentification et dchange de clef adapts lensemble des situations qui
peuvent se prsenter sur Internet.
IPsec utilise deux modes de fonctionnement:
Le mode transport qui est utilis en mode VPN nomade. Dans ce mode, la couche IPsec sinsre de faon
transparente entre la couche TCP et la couche IP. TCP envoie ses donnes vers IPsec comme il les enverrait
vers IP. Ce mode est un peu moins sr, dans la mesure o la couche IP nest pas masque, mais il est plus
simple mettre en oeuvre.
Le mode tunnel qui est utilis en mode VPN transport (GtoG) entre deux Firewall ou routeurs. Dans ce
mode, les donnes envoyes par lapplication traversent la pile de protocoles jusqu la couche IP incluse,
puis sont envoyes vers le module IPsec. Cest un mode trs sr car le masquage dadresses est complet.
5.3.2.2 Mpls (Multi protocol label switching)
Le protocole Mpls fut initialement dvelopp pour donner une plus grande puissance aux commutateurs
IP en acclrant le routage sur Internet.
En effet, pour chaque paquet, les routeurs doivent analyser ladresse de destination contenue dans len-tte
de niveau 3 puis consulter une table de routage pour dterminer sur quelle interface il doit sortir.
Le principe de base de Mpls est la commutation de labels qui sont de simples nombres entiers insrs entre
les en-ttes de niveaux 2 et 3. Les routeurs permutent alors ces labels tout au long du rseau jusqu destination, sans avoir besoin de consulter les en-ttes IP ni les tables de routage.
Cest un protocole utilis par les oprateurs de rseaux. Il est dfini par la Rfc 2547. Les tunnels sont crs
entre les routeurs Mpls dextrmits appartenant loprateur et ddis des groupes ferms dabonns,
qui constituent ainsi des VPN oprateurs.
47
5.3.3 Protocole de niveau 4 SSL (Secure Sockets Layer)

Les VPN de ce type sappuient sur le protocole SSL qui est couramment utilis pour la scurisation des
changes sur Internet. Il est implment en standard dans tous les navigateurs Internet, ce qui prsente le
gros avantage dtre dj prsent sur tous les postes clients. Les solutions VPN bases sur ce protocole sont
plus simples mettre en oeuvre que leurs concurrentes.
SSL est un protocole de niveau 4 (transport) qui est utilis lorigine par une application pour tablir un
canal de communication scuris avec une autre application. Il sinsre, comme IPsec en mode transport,
entre les couches TCP et IP.
Il offre deux grands services que sont, lauthentification du serveur et du client ltablissement de la
connexion puis le chiffrement des donnes durant la communication.
Son utilisation SSL-VPN est flexible dans le choix du chiffrement et de lauthentification qui peut tre base
sur des mots de passe fixes, des jetons ou encore des certificats numriques.
Ce type de VPN a lavantage dtre simple utiliser et de ne pas ncessiter dinstallation de logiciels ou de
hardwares spcifiques.
5.4 Les diffrentes solutions VPN

Il existe trois grandes familles de solutions VPN:
5.4.1 Les offres VPN des oprateurs
Ce sont des solutions bases sur le protocole Mpls ou Mpls/IPsec. Tous les grands fournisseurs daccs du
march franais sont en mesure doffrir ce type de service qui oblige cependant ce que tous les sites du
VPN soient connects par leur intermdiaire.
5.4.2 Les solutions commerciales
Elles sont principalement sous la forme de botiers ddis cette fonction, mais on les trouve galement en
version logiciel installer sur des serveurs. Tous les grands acteurs du monde des rseaux et/ou de la scurit possdent des offres de ce type. Elles sont trs souvent bases sur les protocoles IPsec ou SSL installes
sur des noyaux Linux scuriss et administrables par le biais dinterfaces Web. Ce sont galement quasi
systmatiquement des firewalls et des routeurs. A la demande du march, ces boitiers intgrent de plus en
plus souvent, sous forme doptions payantes, des fonctions complmentaires comme le filtrage anti-virus,
anti-spam, la dtection dintrusion,etc.
5.4.3 Les solutions logiciel libre.
Elles existent sous la forme de distributions ddies, gnralement bases sur la version BSD de Linux, et
utilisant majoritairement les mcanismes dIPsec. Elles sont dveloppes et maintenues par les communauts du monde du libre ou parfois par de grandes institutions publiques. Cest dailleurs le cas du Ministre
de lEducation Nationale avec les solution AMON et EOLE. Comme pour les solutions commerciales, qui
elles servent dailleurs souvent de base, elles peuvent intgrer, sous forme de modules complmentaires,
toutes les fonctionnalits lies la scurit et au contrle des rseaux. Les deux solutions libres les plus
utilises dans le monde de lenseignement sont IpCop et PfSense.
48
5.5 Recommandations
5.5.1 Support dinterconnexion
La structuration des tablissements en EPLEFPA multi sites impose de prvoir leur interconnexion. La solution la plus efficace et la plus scurise consiste mettre en place de liaisons ddies couramment appeles
liaisons loues par les oprateurs, mais leurs cots sont trs levs.
Cet aspect nous conduit recommander lutilisation des liaisons Internet comme support dinterconnexion
des diffrents sites de lEPL. Lusage dInternet pose de gros problme de confidentialit et de scurit
dans la mesure ou cest un rseau public ou linformation circule en clair. Son usage impose donc la mise
en uvre dune solution de type RPV (VPN) permettant de garantir la scurit et la confidentialit des
changes entre les rseaux de ltablissement.
Lusage dInternet pour interconnecter des rseaux locaux gnre des flux dinformations mises sensiblement gaux aux flux dinformations reues. Les liaisons Internet de type ADSL ne sont donc pas adaptes
ce cas et doivent tre remplaces par des liaisons de type SDSL qui offrent un dbit identique en mission
comme en rception. Lutilisation de connexion par fibre optique sera galement envisageable dans le
futur.
Lutilisation dInternet comme support dun rseau priv virtuel impose bien videmment que chacun des
sites soit directement adressable sur Internet et que chaque connexion SDSL soit assortie dune ou plusieurs adresses IP fixes.
Une attention particulire devra tre apporte la qualit de la liaison Internet en terme de garantie de
service. Il sera indispensable de souscrire une offre SDSL dont le dbit est garanti par loprateur. En effet,
la plupart des dbits annoncs dans le cadre des offres commerciales sont des dbits crtes (maximum)
ne faisant lobjet daucune obligation contractuelle. Dans le mme esprit, il faudra dfinir prcisment le
temps de rtablissement maximum de la liaison en cas de coupure grce une clause communment appele GTR (Garantie du Temps de Rtablissement) dans les contrats des oprateurs.
En rsum, une liaison SDSL dbit garanti de 4 Mbps avec une GTR de 4heures doit constituer une cible
raisonnable atteindre sur les sites principaux des EPLEFPA.
5.5.2 Type de Rseau Priv Virtuel
La mise en place de RPV entre les sites dun mme EPL ainsi quentre des utilisateurs nomades et le rseau
de ltablissement est imprative.
5.5.2.1 Les RPV inter sites
Les rseaux privs virtuels permettant linterconnexion des sites dun tablissements seront imprativement de niveau 3.
Les oprateurs offrent souvent des solutions clefs en main intressantes bases pour la plupart sur le protocole Mpls. Toutefois, les connexions Internet des tablissements sont pour la plupart gres dans le cadre
de marchs publics rgionaux conduisant des changements rguliers doprateurs. Les solutions de ce
type sont donc viter.
Nous recommandons la mise en uvre de rseaux privs virtuels de niveau 3 bass sur le protocole IpSec
partir dquipements installs dans ltablissement.
5.5.2.2 Les RPV nomades
Laccs des ressources de ltablissement depuis Internet par des postes isols seffectuera imprativement par une solution de RPV de niveau 3 ou 4 permettant dtablir une connexion scurise avec lquipement cit au paragraphe prcdent.
Dans le cas dune solution technique gre par ltablissement, nous recommandons lusage du logiciel
libre et gratuit OpenVpn qui permet lutilisation de postes nomades Windows, Linux ou MacOS.
49
5.5.3 Solutions techniques

Les rseaux privs virtuels sont ordinairement grs par les Firewall mis en place pour scuriser laccs
Internet. Ces dispositifs sont souvent de type tout en un et centralisent toutes les fonctions lies la
gestion dInternet (RPV, Proxy, filtrage,). Comme nous lavons vu prcdemment, il en existe principalement deux grands types, des solutions commerciales gnralement sous forme de boitier ddi appel
appliance et des solutions issues du monde du logiciel libre.
Un certain nombre de rgions ont pris en charge la scurisation de laccs Internet dans le cadre dun march rgional souvent connexe celui des liaisons Internet. Dans ce cas, ils ont souvent dploy des boitiers
appliance qui permettent toujours la mise en uvre de RPV. Ltablissement doit alors se retourner vers
loprateur de la solution pour lui faire configurer ses liaisons inter-sites et ses accs nomades.
Dautres rgions ont choisi dutiliser les solutions logiciels libres finalises et utilises par le Ministre de
lducation Nationale et qui permettent galement la mise en place de tous les types de RPV.
Enfin, pour les tablissements qui ne sont pas intgrs dans un dispositif rgional, nous recommandons
lusage des solutions logiciels libres et gratuites dont les deux principaux reprsentants sont IpCop et
PfSense. Elles permettent toutes deux la mise en uvre de RPV IpSec de site site ainsi que la gestion daccs nomades partir dOpenVPN. De plus, ce sont des solutions prouves et compltes permettant, au
mme titre que les solutions commerciales, la gestion de tous les aspects lis la scurit des accs Internet. Elles ncessitent toutefois la formation dun administrateur en capacit de les paramtrer.
A ce jour, la solution PfSense est plus puissante et permet une gestion plus fine mais prsente linconvnient de ne pas tre traduite en franais et de ncessiter un administrateur de rseau comptent.
La solution IpCop est quand elle traduite et plus simple paramtrer. Elle est donc conseille dans les tablissements de petite ou moyenne taille disposant dun administrateur peu ou pas spcialis dans le monde
des rseaux et de leur scurisation.
6 Scurit des rseaux

6.1 Notions de scurit informatique
La scurit Informatique a pour principal objectif la protection de linformation contenue dans les systmes
et des services permettant dy accder contre les dsastres, les erreurs et les manipulations illicites.
La mise en place dune politique de scurit des systmes dinformation (PSSI) consiste identifier ce qui
doit tre protg et comprendre les risques encourus afin de mettre en place les bonnes parades en identifiant les solutions organisationnelles, en choisissant les bonnes solutions techniques puis en contrlant
rgulirement sa mise en uvre.
6.1.1 Les principes
l Le point faible: la scurit peut tre compare une chane tributaire de son maillon le plus faible et
doit donc tre aborde dans sa globalit en prenant en compte les aspects humains, organisationnels, techniques et rglementaires.
l La proportionnalit: le niveau et le cot de la protection doivent correspondre limportance et la
valeur de linformation protger pour la dure strictement ncessaire.
6.1.2 Les critres de scurit
La scurit informatique repose essentiellement sur quatre critres universellement reconnus qui permettent de dfinir pleinement les besoins:
La confidentialit: linformation ne peut tre divulgue quaux personnes autorises,
La disponibilit: linformation doit tre accessible aux personnes autorises quand elle leur est utile,
50
Lintgrit: linformation doit tre exacte, complte et navoir fait lobjet daucune modification non
autorise,
La preuve: les accs linformation scurise doivent tre tracs et conservs de faon exploitable.
6.1.3 Lvaluation et lanalyse des risques
Avant de scuriser, il convient de dterminer quelles sont les informations sensibles dont dispose ltablissement ainsi que leurs degrs respectifs de sensibilit au regard des critres prcdemment noncs.
Cette premire tape ralise, il est alors important didentifier correctement les menaces pouvant peser
sur les informations sensibles identifies. Les plus frquentes auxquelles un systme dinformation puisse
tre confront sont:
Un utilisateur du systme: une grande partie des problmes de scurit informatique est gnralement
d une erreur dutilisation,
Une personne malveillante: une personne externe ou interne qui accde des donnes ou des programmes des fins trangres aux besoins du systme dinformation (usage commercial, sabotage,),
Un programme malveillant: un logiciel destin nuire, abuser des ressources du systme ou accder
des donnes non autorises (virus, chevaux de Troie,),
Un sinistre: vol, incendie, dgt des eaux, mauvaise manipulation ou malveillance entranant une perte
de matriel et/ou de donnes.
6.1.4 Les objectifs et la politique de scurit
A lissue de ltape didentification et danalyse des risques, il faut dfinir ses objectifs en matire de PSSI. Ils
permettent didentifier et de fixer des priorits dans les actions mener, les organisations et les procdures
mettre en place pour prvenir les risques noncs.
Le respect de la PSSI du Ministre de lAgriculture et de la Pche est le pralable la dclinaison dune
politique locale.
Les principaux axes concernent en gnral:
La sensibilisation et la formation des utilisateurs
Le respect des rgles juridiques (CNIL, droits dauteur,)
La scurit physique des locaux et des matriels
La gestion des droits daccs aux locaux, aux donnes, au rseau,
Les procdures de sauvegarde, de gestion des mots de passe,
Lorganisation des quipes informatiques, de la maintenance,
Les procdures de contrle
Le choix et la mise en uvre des principaux dispositifs techniques comme les antivirus, les Firewall, les
dtecteurs dintrusion, les tunnels VPN, le cryptage des donnes,
Enfin, il faut toujours considrer que la scurit dun systme dinformation nest jamais acquise, quaucune
solution technique nest prenne et que les erreurs humaines sont toujours possibles.
Les chapitres suivants abordent les diffrents aspects spcifiques la scurisation des rseaux informatiques.
6.2 Authentification
6.2.1 Dfinition/Enjeux
Dune manire gnrale, lauthentification est la procdure qui consiste, pour un systme informatique,
vrifier lidentit dune entit (personne, ordinateur), afin dautoriser laccs de cette entit des ressources (systmes, rseaux, applications).
51
Dans ce chapitre, nous nous concentrerons sur lauthentification dun individu, lidentification dun lment matriel (ordinateur, imprimante,). Ses autorisations daccs un rseau sont tudies par ailleurs
(adresse IP, DHCP, Firewall,)
Nous retiendrons donc la dfinition suivante: Lauthentification permet de vrifier lidentit dun individu,
a linstar des contrles didentits de la vie courante (aroport, douanes,), mais sur un systme informatique.
Lanalogie avec un contrle douanier, nous permet de bien comprendre la distinction entre les termes
identification, authentification et autorisation:
lidentification consiste prsenter ses papiers didentit
lauthentification consiste vrifier la validit de ces papiers (auprs dune base nationale), un contrle
visuel (correspondance des photos)
lautorisation de passer la douane est accorde ou non, selon le rsultat de lauthentification.
La mise en uvre dun systme dauthentification permet principalement dassurer:
La confidentialit: seuls les utilisateurs habilits doivent pouvoir prendre connaissance dune information
ou accder une fonctionnalit particulire,
Lintgrit et la non-rpudiation, qui sappuie essentiellement sur la signature lectronique (quel que soit
son procd) et garantit lenvoi et la rception dune transmission,
La traabilit: historique et auteur des interventions,
La lutte contre les intrusions: hacking, usurpation didentit,
Un certain confort: personnalisation dinterface,
Lintrt de lauthentification est indniable, mais sa mise en pratique nest pas une vidence. Il existe de
nombreux systmes diffrents, que nous prsenterons plus loin et qui doivent faire face aux risques suivants:
La falsification
Loubli ou perte des informations didentification
Le contournement du systme
Signalons immdiatement que le facteur humain est la principale faille dun systme dauthentification. Par
exemple, un utilisateur confront une multiplicit didentifiants et mots de passe sera tent de les crire
sur des supports accessibles tous.
6.2.2 Schma gnral
52
1.
2.
3.
4.
5.
6.
7.
Le demandeur demande laccs la ressource

Lauthentificateur demande une identification
Le demandeur prpare les informations didentification (hachage, cryptage)
Le demandeur envoie les informations didentification
lauthentificateur vrifie lidentit, par exemple auprs dune 3e entit ou dune base de donnes
Lauthentificateur confirme lauthentification et donne lautorisation daccs la ressource
Le demandeur accde la ressource
6.2.3 Cryptage et authentification

Le schma prcdent montre quil y a:
Dune part des changes dinformations entre les diffrents acteurs du systme dauthentification. Le
risque est alors, quun de ces changes soit intercept. Le risque est particulirement important lors de la
transmission des informations didentification.
Dautre part, les informations complmentaires ncessaires aux oprations de vrification sont stockes
par exemple dans une base de donnes. Laccs ces donnes par une personne malveillante serait catastrophique pour le systme.
Pour ces deux raisons, partir dune certaine exigence de scurit, les systmes dauthentification sont
gnralement coupls une ou des mthodes de cryptage visant rendre impossible la lecture directe des
informations stockes ou circulant sur les rseaux.
Trois mthodes de cryptage sont principalement employes:
Le cryptage symtrique (ex:kerberos)
Le cryptage asymtrique (ex: PGP)
Le hachage, qui est une mthode destructive (ex: MD5 ou SHA)
6.2.4 Types dauthentification
On distingue plusieurs types dauthentification:
Authentification simple: elle ne repose que sur un seul lment, gnralement un mot de passe (qui se
traduit souvent par le nom dun enfant ou de lanimal domestique prfr). Elle noffre quune illusion dauthentification et donc quasiment aucune scurit.
Authentification simple labore: base sur le processus nom dutilisateur/mot de passe. Elle reste la plus
courante et consiste dfinir un nom utilisateur et un mot de passe associ permettant laccs un espace
de travail (cas typique des serveurs de fichiers).
Authentification forte: les techniques dauthentification dites fortes combinent lutilisation de protocoles dauthentification et dlments logiciels ou matriels permettant leur mise en uvre:
mots de passe jetables intgrant une composante horaire,
mots de passe jetables (type S/Key, par logiciel ou calculette),
certificats numriques,
cartes puce et token USB.
Authentification Biomtrique: La biomtrie est une technique globale visant tablir lidentit dune personne en mesurant une de ses caractristiques physiques. Il peut y avoir plusieurs types de caractristiques
physiques, mais toutes doivent tre infalsifiables et uniques pour pouvoir tre reprsentatives dun et un
seul individu.
6.2.5 Authentification unique
Lauthentification unique ou, en anglais, Single Sign-On (SSO), permet un utilisateur de ne procder qu
une seule authentification pour accder plusieurs applications informatiques. Ce mode dauthentification
centralise tous les accs applicatifs sur une seule identification, restreignant ainsi les rfrentiels dauthentification.
53
Il y a trois approches pour sa mise en uvre:

Approche centralise: lauthentification se fait via une base de donnes centralise, ou plus frquemment
un annuaire de la famille LDAP, comme dans la plupart des systmes dexploitation serveur (Active Directory, e-directory, openLDAP) ou les web-sso (LemonLDAP)
Approche fdrative: lauthentification est rpartie sur plusieurs entits dont chacune gre une partie
des donnes de lutilisateur mais la partage avec ses entits partenaires. Dans ce systme, chaque utilisateur
peut possder plusieurs comptes et chaque entit conserve la matrise de sa propre politique de scurit.
Un exemple illustrant ce type dauthentification pourrait tre un ensemble de sites marchands indpendants dun point de vue commercial et organisationnel mais offrant des services complmentaires comme
la location dune voiture au travers du site web dune compagnie arienne. Liberty alliance est certainement le plus connu.
Approche cooprative: lutilisateur dun service sauthentifie auprs de lentit laquelle il appartient
et cest elle qui fournira au service partenaire les attributs dont il a besoin pour lui donner laccs ses
ressources. Dans ce modle, chaque partenaire gre sa propre politique de scurit. Les systmes les plus
connus sont Shibboleth et Central Authentification Service (CAS)
6.2.6 Mthodes dauthentification
6.2.6.1 Authentification de base
Informations pour lidentification: mot de passe ou Login +mot de passe
Authentification: Vrification du couple login/mot de passe par comparaison avec ces mmes informations
stockes, lors de la cration du compte, dans un fichier texte ou une base de donnes.
Cryptage: Aucun
Atouts
- Trs simple mettre en place
Inconvnients
- Vulnrable linterception de trame, car mot de passe en clair.
6.2.6.2 Authentification digest

Informations pour lidentification: login +mot de passe hachs, par exemple avec MD5 ou SHA
Authentification: Le hachage est compar avec le hachage stock, lors de la cration du compte, dans un
fichier texte ou une base de donnes.
Cryptage: MD5, SHA, hachage non rversible, cela signifie par exemple quon ne peut pas retrouver un
mot de passe oubli
Atouts
Inconvnients
- Simple mettre en place
- protection contre linterception fictive, car au lieu du mot de passe, cest
- le mot de passe nest pas divulgu, ni stock en clair et le le hachage qui est intercept et qui peut tre rutilis.
hachage (non rversible) ne permet pas de retrouver en cas
dinterception du message.
6.2.6.3 Radius
Informations pour lidentification: login +mot de passe hachs.
Authentification: Le hachage est compar avec le hachage stock, lors de la cration du compte, dans une
base de donnes.
Cryptage: Hachage
Atouts
- gestion centralises des utilisateurs
- interfaage avec de multiples bases de donnes.
Inconvnients
- Pas davantages par rapport lauthentification digest, si ce nest la normalisation du protocole.
6.2.6.4 NTLM (NT Lan Manager)

Informations pour lidentification:
En 3 temps:
Envoi du login et hachage (128 bits) du mot de passe sans lenvoyer
Rceptionne un nonce (nombre alatoire) transmis par le serveur dauthentification.
Crypte le nonce avec le hachage du mot de passe et le transmet au serveur.
54
Authentification: A partir du login, le mot de passe hach de lutilisateur, stock lors de la cration du
compte dans la base SAM, est retrouv, puis crypt avec le nonce. Le rsultat est compar au rsultat transmis.
Cryptage: Hachage 128 bit
Atouts
- mot de passe non divulgu
- natif sur les systmes windows.
Inconvnients
6.2.6.5 PGP, SSH, SSL

Informations pour lidentification: Certificat (cl publique)
Authentification: Le certificat peut tre vrifi auprs dune autorit de certification.
Les rponses sont cryptes avec la cl publique et ne pourront par consquent tre dcryptes quavec la
cl prive. Cette dernire ntant quen possession du client, le dcryptage assure lidentit.
Gnralement, le premier change consiste partager une cl de session (symtrique) qui servira chiffrer
les messages ultrieurs, car lutilisation du cryptage asymtrique est relativement lent et nest rserv quau
cryptage de la cl de session ou de la signature dun message.
Cryptage: Cryptage asymtrique (RSA) et symtrique (cl de session)
Atouts
Inconvnients
- mot de passe non divulgu
- les cls publiques doivent tre distribues toute les entits en commu- lutilisateur est matre de ces certificats et unique dtenteur nication.
de la cl prive.
6.2.6.6 Kerberos
Informations pour lidentificationet authentification:
Le client demande un ticket auprs dun centre de distribution de cls appel KDC (Key Distribution
Center)
Ce ticket accompagn dune cl de session sont transmis au client. Ils sont crypts avec sa cl prive,
lensemble des cls prives des clients tant stockes sur le KDC. Le KDC fournit galement cette cl de
session un serveur nomm TGS (ci-aprs). Elles est videmment crypte avec la cl prive du TGS.
le dcryptage du ticket et de la cl de session assure lauthentification du client.
le client peut alors contacter le service dmission de tickets, le TGS (Ticket-Granting Service), et doit lui
fournir la cl de session crypte avec la cl prive du TGS reue prcdemment du KDC. Le dcryptage de
cette cl permettra dauthentifier le TGS. Le TGS pourra alors fournir des tickets pour divers services sur
prsentation du ticket reu du KDC,
le client reoit de la mme faon quavec le KDC une nouvelle cl de session et un ticket destins au
service dsir.
le client contacte le service en lui fournissant le ticket et la cl de session obtenus du TGS.
Cryptage: Cryptage symtrique: cl prive et gnration de cls de session
Atouts
- dure de validit des tickets limite
- natif partir de windows 2000 et multi-systme
- Gestion centralise des cls
- permet la mise en place dun SSO, en effet avec une seule authentification
et pour la dure de validit du ticket fourni par le kdc, le client peut accder diffrents services.
Inconvnients
- Ncessite la synchronisation des horloges.
- ensemble des cls prives stock en un lieu unique. Lexposition du KDC au web est risqu, par consquent Kerberos est
plutt dstin aux intranets
- problme de compatibilits, par exemple il nexiste pas dimplmentation de kerberos avec ssh sous windows.
6.2.6.7 CAS (Central Authentification Service)

Cest un systme dauthentification unique (SSO) pour le web dvelopp par luniversit de Yale, qui ne
gre que lauthentification au sens strict, que ce soit en local ou proxy (cas des portails). Il est implment
sous forme de servlets (applications JAVA). Sa distribution est compose du serveur CAS, des clients CAS
et des librairies et documentations.
Comme Kerberos, il y a la notion de tickets (qui ne transportent aucune information) appels opaque
handles . Deux tickets sont ncessaires au fonctionnement de base:
le TGC (Ticket Granting cookie) qui est un cookie de session transmis par le serveur CAS au navigateur
du client lors de la phase de login, via HTTPS,
le ST (Service Ticket) qui authentifie une personne pour une application web donne.
55
Si il y a utilisation dun proxy CAS, deux autres tickets sont ncessaires:

le PGT (Proxy-Granting-Ticket) envoy par le serveur CAS une application web proxy CAS permettant
celui-ci de demander au serveur de gnrer un Proxy Ticket pour une application tierce et une personne
identifie.
Le PT (Proxy Ticket), qui authentifie une personne pour une application distante et dont lutilisateur na
pas laccs direct.
Le service ayant besoin de lauthentification est en relation directe avec le serveur CAS lors de la validation
du ticket, ce qui rend possible lutilisation de ce mcanisme pour transporter des informations comme les
droits, les attributs (exemple de Shibbolet).
6.2.6.8 SHIBBOLETH
Cest un mcanisme de propagation didentits et un produit open source, conu pour rpondre aux
besoins des communauts de lenseignement suprieur. Il sappuie sur nimporte quel systme dauthentification web dploy dans ltablissement: Sso web (CAS par exemple), Kerberos, mod_auth dApache
Cest aussi une extension de la norme SAML (Security Assertion Markup Langage) qui est un ensemble de
spcifications dfinissant la manire dont des services peuvent schanger des informations de scurit
(authentification, autorisation, attributs), indpendamment des technologies utilises par chacun de ces
services (comme SSO, LDAP, Kerberos,etc), lui permettant ainsi damliorer ses fonctionnalits de fdration didentits.
Il sinterface avec la plupart des rfrentiels (LDAP par exemple) pour rcuprer les attributs des utilisateurs, via des connecteurs JDBC (Java DataBase Connectivity) et JNDI (Java Naming and Directory Interface).
6.2.6.9 EAP
Cest un mcanisme didentification universel, dont la signification est Extensible Authentication Protocol
(EAP). Il est frquemment utilis dans les rseaux sans fil.
Comme son nom lindique, cest un protocole qui dfinit un format spcifique dchange de trames dauthentification sur le rseau et qui est extensible. Cest dire quil comporte des mthodes dauthentification prdfinies (MD5, OTP, Generic Token Card,) mais que dautres peuvent y tre ajoutes sans quil
soit ncessaire de changer de protocole.
Il permet chaque extrmit de demander lauthentification pour tablir la communication. Le protocole
EAP est communment utilis avec les points daccs rseau compatible 802.1X (AP ou Switch). Les standards wifi WPA et WPA2 utilisent imprativement ce protocole comme mcanisme didentification.
6.2.6.10 Biomtrie
Lempreinte digitale: cest le dessin reprsent par les crtes et sillons de lpiderme qui est unique et
diffrent pour chaque individu, et dont on extrait les principales caractristiques en numrisant par capteurs optiques ou ultrasoniques qui sont eux-mmes dots de moyens de mesure (battements cardiaques,
dimensions,etc..) vrifiant la vraisemblance de lchantillon examin.
LIris: la personne place son il face la camra qui numrise le dessin de liris form dune infinit de
points (spcifiques chaque il et chaque individu, loeil droit tant diffrent du gauche). Cest donc
une technique trs fiable sur le fond, mais soumise une variation suivant les reflets lis lexposition et la
distance oeil/camra. Cette numrisation seffectue en noir et blanc, et nest donc pasn dtriore par lge.
La rtine: cest un balayage de la rtine effectu trs coute distance (moins de trente centimtres et
donc contraignant), qui sappuie sur le dessin form par les vaisseaux sanguins, unique aussi pour chaque
il et chaque individu et non soumis changement lors de la vieillesse.
la reconnaissance vocale: cest un ensemble de facteurs physiologiques et comportementaux.
De nouvelles technologies sont ltude, comme lADN, la plus fiable mais qui verra difficilement le jour
pour des raisons identitaires.
56
6.2.7 Faut-il toujours sauthentifier?

Si sauthentifier est une exigence de scurit impose par une entit (site web, socit, application,),
lindividu qui sauthentifie doit tre mme de juger de la pertinence du systme et didentifier lui-mme,
avec certitude, son interlocuteur.
Par consquent, accepter un systme dauthentification qui exige des informations personnelles ne doit
pas tre systmatique mais accord uniquement si linterlocuteur est connu et les mesures mises en place
proportionnelles aux risques courus.
6.2.8 Recommandations
Les recommandations relatives lauthentification sentendent dans le cadre de lapplication de la politique
de scurit des systmes dinformation (PSSI) du MAAP pour les accs relevant de la comptence de ltablissement.
Les accs depuis internet se feront imprativement dans le cadre des rseaux privs virtuels abords au
chapitre 5 concernant linterconnexion des rseaux.
Les accs depuis des priphriques nomades seront grs selon les recommandations effectues au chapitre 6.5 relatif la scurisation des accs nomades.
Le mode dauthentification retenu dans le cadre des postes du rseau local de ltablissement sera du type
authentification labore. Chaque utilisateur possdera un identifiant unique et personnel associ un mot
de passe rpondant strictement aux critres dfinis dans la PSSI du ministre.
Lauthentification sera assure exclusivement par un ou plusieurs serveurs suivant la configuration du
rseau local. Ce qui signifie que les postes utilisateurs nhbergeront aucun compte utilisateur autre que
celui dadministrateur ncessaire son installation et sa configuration. Toutefois, les ordinateurs portables
amens fonctionner en dehors du rseau local, possderont bien videmment un compte utilisateur local
qui devra galement rpondre aux critres de la PSSI. Ce type dquipement pourra galement utiliser avantageusement un dispositif dauthentification forte de type biomtrique comme les lecteurs dempreintes
digitales qui les quipent frquemment.
Les serveurs dauthentification utilisent des annuaires comportant toutes les informations sur les utilisateurs ainsi que leur mots de passe sous forme chiffrs. Ils sont interrogs par les postes clients au moment
de louverture dune session. Les tablissements utilisent actuellement diffrents types dannuaire ce qui
conduit la double recommandation suivante:
La famille commerciale MicroSoft Windows base sur les annuaires de type Active Directory exploitant
le protocole Kerberos.
La famille issue du monde du logiciel libre base sur les annuaires de type LDAP ou sur le logiciel libre
samba et exploitant les protocoles SSL, TLS ou Kerberos.
En rsum, lauthentification doit imprativement tre centralise sur des serveurs dannuaire, base sur
un couple identifiant/mot de passe unique pour chaque utilisateur, strictement personnel, respectant les
critres de la PSSI et ne circulant pas en clair sur le rseau local.
6.3 Firewall
6.3.1 Concepts/Enjeux
Tous les tablissements possdent un rseau local et disposent dun accs Internet pour communiquer
avec lextrieur. Cette ouverture est une porte permettant potentiellement de pntrer le rseau local pour
y accomplir des actions non dsires.
Le Firewall est un dispositif matriel ou logiciel qui permet de sparer des rseaux puis de dfinir et de
contrler des rgles de communication entre eux. En franais, le terme de pare-feu est utilis. Il symbolise
une porte ou un mur empchant les flammes de se propager vers des zones protger. Il est habituellement reprsent sur les schmas informatiques par un mur de briques.
57
Cet outil permet de scuriser au maximum le rseau local de ltablissement en dtectant les tentatives
dintrusion pour y parer au mieux, mais galement en restreignant les accs entre les sous-rseaux, quand
il en existe, et Internet. Cest donc une vritable tour de contrle du trafic qui permet de sassurer que
lutilisation des rseaux correspond celle pour laquelle ils ont t prvus.
6.3.2 Principes de fonctionnement
Le pare-feu contrle le trafic entre diffrentes zones de diffrents niveaux de confiance en filtrant les flux
de donnes qui transitent entre elles. Les zones les plus courantes sont:
Le rseau local totalement contrl (confiance leve): zone du rseau local pour laquelle les rgles de
scurit sont dfinies et appliques (accs aux ordinateurs, logiciels installs, mots de passe). Dans un
tablissement, cette zone correspond habituellement au rseau administratif. Elle peut galement concerner la totalit du rseau local dans la mesure o une politique de scurit y est applique.
Le rseau local partiellement contrl (confiance partielle): zone du rseau local pour laquelle lapplication des rgles de scurit ne peut tre totalement garantie. Dans un tablissement, cette zone correspond
habituellement au rseau pdagogique.
La DMZ (zone risque): ce sigle qui signifie DeMilitarized Zone, dsigne une zone isole sur le rseau
local hbergeant des applications mises disposition du public. Elle fait ainsi office de zone tampon
entre le rseau protger et le rseau hostile et accueille habituellement des serveurs qui ont besoin dtre
accessibles de lextrieur (web, messagerie, ftp).
Le rseau sans fil (confiance faible): ce type de rseau peut, par dfinition, tre cout distance. Le
contrle daccs y est donc trs dlicat mettre en uvre, ce qui ncessite son isolement vis vis du rseau
local.
Le rseau Internet (confiance nulle)
Le pare-feu filtre les changes entre les zones grce des rgles dfinies par la politique de scurit de
ltablissement. Il existe principalement deux types de politique de scurit:
Tout ce qui nest pas explicitement autoris est interdit, seules les communications ayant t explicitement dclares sont autorises.
Tout ce qui nest pas explicitement interdit est autoris, seules les communications ayant t explicitement dclares sont interdites.
La premire politique est la plus sre, mais la plus lourde grer car il faut dfinir de faon prcise et
exhaustive les besoins en communication.
La mise en uvre de la politique choisie sappuie habituellement sur trois rgles prdfinies qui permettent:
Dautoriser la demande de connexion (allow);
De bloquer la demande de connexion (deny);
De rejeter la demande de connexion sans en avertir lmetteur (drop).
Ce filtrage peut seffectuer selon plusieurs critres dont les plus courants sont:
Lorigine ou la destination (adresse IP, ports, protocoles, carte rseau)
Les options contenues dans les donnes (fragmentation, validit)
Les donnes elles-mmes (taille, correspondance un motif,)
Les utilisateurs.
58
6.3.3 Types de filtrages

6.3.3.1 Firewall personnel
Lorsque la zone protge se limite lordinateur sur lequel il est install, on parle de Firewall personnel.
Il contrle alors laccs au rseau des applications installes sur la machine, protge des attaques du type
cheval de Troie et empche louverture non sollicite dapplications. Il est install par dfaut sur les principaux systmes dexploitation rcents (XP, Vista, Linux, Mac OsX).
6.3.3.2 Firewall Stateless
Cest le plus ancien des systmes de filtrage des pare-feu. Il fonctionne sur un principe de Filtrage simple
des paquets. Il analyse chaque paquet de chaque zone du Firewall et le compare une liste prconfigure
de rgles.
Ce systme est relativement lourd grer pour ladministrateur qui est rapidement oblig de dfinir un
grand nombre de rgles qui sont autant douvertures potentielles. De plus, il est relativement sensible
certains types dattaques qui saturent les capacits de traitement du pare-feu.
6.3.3.3 Firewall stateful
Cest une amlioration du systme de filtrage prcdent. Il fonctionne sur un principe de Filtrage dynamique paquets ou de Filtrage de paquets avec tat. Il ajoute au filtrage simple des paquets un contrle
de cohrence avec ltat des connexions en cours sur le pare-feu ainsi quune vrification sur lordre des
paquets lintrieur de chacune delles.
Ce systme est plus performant que le filtrage simple de paquets mais il ne protge pas contre des attaques
diriges vers les failles de scurit applicatives qui reprsentent une part importante des risques. Enfin les
protocoles maison utilisant plusieurs flux de donnes ne passeront pas, puisque le systme de filtrage dynamique naura pas connaissance du protocole.
6.3.3.4 Firewall Applicatifs
Cest un systme de filtrage ralis au niveau de la couche Application. Il vrifie la conformit du paquet
avec le protocole attendu. Il permet, par exemple, de vrifier que seul du HTTP passe par le port TCP
80. Ce mode de fonctionnement suppose donc une bonne connaissance des applications prsentes sur le
rseau ainsi que de la manire dont elles structurent les donnes changes (ports,etc.). Les pare-feu applicatifs sont galement appels passerelles applicatives ou proxys applicatifs.
La finesse danalyse des paquets rend ce systme performant mais trs gourmand en temps de calcul ds
que le dbit devient trs important. Ce type de pare-feu doit connaitre toutes les rgles des protocoles quil
doit filtrer, ce qui peut poser des problmes dadaptabilit de nouvelles applications.
6.3.3.5 Firewall identifiants
Cest un systme de filtrage qui sappuie sur lidentification des utilisateurs associs aux connexions quil
filtre. Ce systme rcent permet ladministrateur dutiliser comme critre de filtrage les noms des utilisateurs en lieu et place des traditionnelles adresses IP.
6.3.3.6 Extension des fonctionnalits
Les pare-feu rcents embarquent de plus en plus de fonctionnalits avances visant les transformer en des
produits rseaux tout en un. Elles sont souvent proposes sous forme doptions pour les produits commerciaux ou sous forme d add-on pour les solutions logiciels libres. Les options les plus courantes sont:
Filtre anti-spam,
Filtre antivirus, anti-spyware,
Serveurs de VPN IPsec, PPTP, L2TP,
Identification des connexions,
Serveurs de connexions (telnet, SSH), de transfert de fichier (SCP),
Interface de configuration Web,
Serveur mandataire (proxy en anglais),
Filtrage des URL accessibles,
59
Portail captif,
Systme de dtection dintrusion (IDS en anglais),
Systme de prvention dintrusion (IPS en anglais),
6.3.4 Familles de Pare-feu

6.3.4.1 Solutions matrielles
Elles se trouvent principalement sous deux formes:
De petits botiers ddis cette fonction, alors appels Appliances, fabriqus et commercialiss par des
socits spcialises dans la scurit des rseaux informatiques.
Intgres de faon plus ou moins avance dans les routeurs des grands constructeurs dquipements de
connexion aux rseaux.
Elles fonctionnent sur le principe de la bote noire avec une intgration parfaite au matriel. Leur configuration est alors ralise laide dune interface propritaire plus ou moins ardue, mais qui prsente lavantage dintgrer parfaitement les autres fonctionnalits du botier. De plus, ces solutions tant propritaires
et trs lies au matriel, les constructeurs ont toute latitude pour produire des systme de codes signs
rendant ainsi ces Firewall trs srs.
En revanche, il faut savoir que lon est totalement dpendant du constructeur du matriel pour les mises
jour, les fonctionnalits, linterface, ce qui est assez contraignant. Par exemple, si une fonctionnalit nous
intresse et quelle nest pas implmente par le constructeur, son utilisation est totalement impossible.
Enfin, la compatibilit entre matriels de diffrents constructeurs, notamment en ce qui concerne les fonctions de VPN (rseau priv virtuel) est quasiment nulle. Il est donc indispensable de bien dterminer
lavance ses besoins et de choisir le matriel avec soin.
6.3.4.2 Solutions logicielles
Ces solutions sont dveloppes dans le but dtre installes sur des serveurs ordinaires comportant plusieurs cartes rseau et utiliss comme Firewall.
Il existe bien videmment des logiciels commerciaux dvelopps et commercialiss par les principaux
acteurs du march du logiciel et de la scurit informatique. Laudience de cette gamme de produit reste
toutefois limite dans la mesure o les solutions matrielles voques ci dessus leur sont trs souvent prfres.
La trs grande majorit des pare-feu logicielle sont des versions libres fonctionnant sous Linux. En effet, ce
systme dexploitation (OS) offre une scurit rseau plus leve et un contrle plus adquat en embarquant de faon native un Firewall au niveau de son noyau.
Les principaux pare-feu libres sous Linux sont:
Ipchains avec le noyau Linux 2.2
Iptables/Netfilter sous Linux 2.4 & 2.6
Packet Filter (PF) sous Linux BSD
IP Filter (IPF) sous Linux BSD et Solaris
IP Firewall (IPFW) sous FreeBSD
NuFW extension de NetFilter
Ces outils offrent un niveau de scurit trs lev, mais leur configuration nest pas trs conviviale et ncessite lacquisition de comptences importantes.
Cet inconvnient important a conduit la communaut des dveloppeurs de logiciels libres mettre au
point des distributions Linux ddies qui sont administres et configures par le biais dinterfaces Web
conviviales. Les principales sont ce jour:
SmoothWall: Cette distribution libre est conue pour offrir toutes les fonctionnalits dun Firewall tout
en fonctionnant sur une architecture de type PC. Il en existe aujourdhui plusieurs dclinaisons, dont certaines commerciales. On la trouve galement sous forme de boitiers Appliances.
60
IPCop: Cette distribution est issue de SmoothWall, mais se dveloppe dsormais indpendamment avec
une philosophie diffrente. Elle gre la zone Internet, une zone LAN, une DMZ, une zone Wifi et peut
assurer les fonctions de serveur VPN, Proxy, DHCP, DNS, NTP. De nombreux modules complmentaires
(Addons) lui permettent galement deffectuer du contrle de trafic, daccs, de contenus,etc. Elle nexiste
que sous la forme gratuite et prsente lavantage dexister en version franaise.
m0n0wall: Elle est base sur la version FreeBSD de Linux et assure toutes les tches dun Firewall sur un
PC. Sa configuration est ralise au dmarrage par des pages PHP puis stocke au format XML. Elle gre
galement les VPN et embarque en plus un portail captif. On la trouve galement sous forme de carte lectronique et de boitiers Appliances.
PfSense: Cest une distribution libre et gratuite drive de m0n0wall. En plus des fonction de routage et
de Pare feu, elle intgre sous forme de paquets un grand nombre de fonctionnalits complmentaires dont
un portail captif. Elle nexiste quen version anglaise.
Dans le monde du logiciel libre et cot de ces versions Linux trs populaires, il existe quelques Firewall
libres fonctionnant sous Windows comme ISafer.
6.3.5.1 Configuration gnrale
Comme nous venons de le voir, le Firewall permet dadministrer de faon prcise les flux circulant entre
les diffrentes parties dun rseau et plus particulirement entre le rseau local et Internet.
Sa prsence est donc absolument imprative dans chaque tablissement disposant dun accs Internet. Il
sera du type Firewall Stateful et interdira strictement toute connexion en provenance dInternet et destination dun poste ou dun serveur du rseau local. Il permettra les connexions sortantes en interdisant,
suivant une politique dfinie localement, certains protocoles comme ceux lis lutilisation des logiciels de
Peer To Peer (emule,) ou des messageries instantanes (MSN,). La stratgie la plus adapte consiste
nautoriser que la navigation internet, la messagerie, les VPN, puis ouvrir dautres usages suite aux rclamations justifies des utilisateurs.
Lorsquun rseau Wifi existe dans ltablissement, il est spar du rseau cbl conformment au recommandations du chapitre 4 et les flux transitent par une interface ddi du Firewall qui les contrle et leur
applique les rgles dfinies localement.
Lorsquun serveur de ltablissement doit tre accessible depuis le rseau Internet sans passer par lentremise dun serveur de VPN (cf. chapitre 5), il doit tre imprativement positionn dans la zone appele
DMZ. Les usages de ce type doivent toutefois tre limits dans la mesure o ils accroissent de faon significative le trafic sur la liaison Internet de ltablissement au dtriment des usages habituels. Pour ce type de
service, il est recommand de prvoir un hbergement externe.
6.3.5.2 Solutions techniques
Comme nous lavons dj vu notamment au chapitre 5, les Firewall intgrent gnralement un grand
nombre dautres fonctions et appartiennent principalement deux grandes familles, les solutions commerciales gnralement sous forme de boitier ddi appel appliance et les solutions issues du monde du
logiciel libre.
Un certain nombre de rgion ont pris en charge la scurisation de laccs Internet dans le cadre dun march rgional souvent connexe celui des liaisons Internet. Dans ce cas, ils ont souvent dploy des solutions du type appliance et ltablissement doit alors se retourner vers loprateur pour lui demander de
les configurer.
Dans les rgions qui ont choisi dutiliser les solutions logiciels libres finalises et utilises par le Ministre
de lducation Nationale, ltablissement assume gnralement lui mme le paramtrage de la fonction
Firewall.
Enfin, pour les tablissements qui ne sont pas intgrs dans un des dispositifs prcdents, nous recommandons lusage des solutions logiciels libres et gratuites dont les deux principaux reprsentant sont IpCop et
PfSense qui sont des solutions prouves et compltes permettant, au mme titre que les solutions com-
61
merciales, la gestion de tous les aspects lis la scurit des accs Internet. Elles ncessitent toutefois la
formation dun administrateur en capacit de les paramtrer.
Pour ce qui concerne la fonction de Firewall de ces deux distributions, la principale diffrence consiste
dans la finesse du paramtrage possible. IpCop est en mesure de grer plusieurs LAN et plusieurs liaisons
Internet mais en les considrant comme un ensemble de rseaux de confiance (vert) et un ensemble de
rseaux dangereux (rouge). Les rgles sont alors dfinies entre ces ensembles et non entre les interfaces.
Dans ce cas, nous recommandons lusage de ladd-on BOT qui permet de dfinir ces rgles de faon
simple et conviviale.
PfSense est une solution plus puissante qui permet la mise en place de rgles entre nimporte laquelle des
interfaces du Firewall, ce qui peut conduire rapisement une grande complexit.
Lautre diffrence majeure concerne linterface et la documentation qui nexistent quen version anglaise
pour la distribution PfSense alors quelle est traduite pour ce qui concerne IpCop.
Les deux solutions permettent galement la gestion dune zone dmilitarise (DMZ) ainsi que dune zone
WIFI.
En cohrence avec les recommandations du chapitre 5, la distribution PfSense est plutt adapte aux tablissements importants comportant plusieurs sous rseaux (VLAN niveau 3) et souhaitant mettre en place
une gestion prcise des flux. Il faudra toutefois disposer dun informaticien famili du monde des rseaux.
La distribution IpCop sera quand elle privilgie dans les tablissements souhaitant une gestion plus
simple des flux et ne disposant pas dun administrateur spcialiste des rseaux.
6.4 Filtrage Internet

6.4.1 Concept
Le filtrage dInternet est un ensemble de techniques visant limiter laccs certains sites sur le rseau
Internet.
Cette limitation daccs peut servir empcher des usages illgaux, protger les mineurs de certains
contenus inappropris, limiter la navigation un usage professionnel mais galement parfois censurer
certains contenus.
La mise en place de solutions de filtrage fait dsormais partie des outils de bases indispensables la protection du systme dinformation, au mme titre que les pare-feu ou antivirus.
6.4.2 Aspects juridiques
Le droit franais reconnat 3 rgimes de responsabilits lors dactivits scolaires en ligne:
La responsabilit administrative, dans ce cas lEtat est reconnu responsable lorsquune faute de service
lorigine du prjudice est prouve. Une faute de service rsulte dune mauvaise organisation ou dun fonctionnement dfectueux, cest dire une faute que nimporte quel fonctionnaire aurait commise dans les
mmes conditions. A titre dexemple, la violation par un tablissement scolaire dune rgle de droit ou une
ngligence, une erreur, une omission dans le fonctionnement du service sont des situations qui engagent
la responsabilit administrative.
La responsabilit civile, dans ce cas lEtat est indirectement reconnu responsable lorsquune faute personnelle dun enseignant ou dun personnel de la communaut ducative lorigine du prjudice est prouve.
La faute personnelle correspond au fait commis loccasion du service, mais qui peut se dtacher de la
fonction. La faute rsulte non pas du dysfonctionnement du service, mais du comportement individuel de
lagent public, de son humeur ou de sa volont, de sorte quun autre agent dans les mme circonstances
aurait pu agir autrement.
La responsabilit pnale, elle est engage lorsquun agent public commet une infraction dfinie au Code
pnal. Dans ce cas il ne sagit plus de faute de service ou personnelle mais de contravention, dlit ou crime
selon la gravit des faits.
62
Ladministrateur du rseau a lobligation dinstaller et de maintenir en fonctionnement des dispositifs de

filtrage pour limiter laccs des contenus illgaux et doit conserver les fichiers de journalisation (appels
log) pendant une dure dun an.
Le ministre de lEducation Nationale dite le site lgamdia ddi au droit sur Internet en milieu scolaire,
http://www.educnet.education.fr/legamedia/
6.4.3 Les besoins de filtrages
Internet est un ensemble inorganis dinformations de valeurs et de niveaux trs variables dont certaines
sont totalement illgales au regard du droit Franais. Ces dernires doivent tre inaccessibles depuis le
rseau de ltablissement, ce qui implique la prsence de dispositifs de filtrage des accs au Net.
Pour toutes les autres informations, le besoin de filtrage dpend dun ensemble de paramtres que lon
peut dfinir de la faon suivante:
Les contenus (lgalit, objectifs pdagogiques, travail accomplir, utilit professionnelle,etc.)
Les modalits de travail (classes, groupes, CDI, administration, travail personnel,etc.)
Les utilisateurs (Mineurs, lves majeurs, apprentis, enseignants, administratifs,etc.)
Les besoins de filtrage sont donc multiples et ncessitent une rflexion pralable qui permettra daboutir
une politique cohrente concernant TOUS les usagers du rseau de ltablissement en fonction des critres
pr-cits.
La mise en place dune charte dutilisation dInternet connue de tous est un moyen efficace dducation
lutilisation du rseau ainsi quun outil de prvention des risques.
La ncessit dun contrle des accs Internet en milieu scolaire est une vidence. Elle passe par la mise en
uvre de dispositifs techniques plus ou moins complexes qui doivent tres connus de tous et accompagns dactions visant la connaissance et au respect des lois.
6.4.4 Le principe technique Proxy
Pour pouvoir filtrer les requtes effectues par un utilisateur depuis un ordinateur du LAN vers Internet
il faut disposer dun intermdiaire capable de lanalyser. Cest le serveur mandataire, couramment appel
Proxy.
Le Proxy est donc un serveur informatique qui a pour fonction de relayer des requtes entre un poste client
et un serveur sur Internet. Ils permet dassurer les fonctions suivantes:
la mmoire cache qui permet dacclrer la navigation;
la journalisation des requtes qui permet la surveillance;
la scurit et lanonymat des postes du rseau local;
le filtrage des requtes.
Il en existe deux grande familles. La premire, appele Proxy gnrique, sert principalement dintermdiaire pour les requtes relatives la navigation sur Internet et fonctionne donc principalement avec les
protocoles de la famille http, https et ftp. La seconde, appele Proxy SOCKS, est beaucoup moins courante
mais elle largit ses fonctions de mandataire aux protocoles de messageries, messageries instantanes,etc.
Les Proxy peuvent fonctionner en mode transparent, cest dire intercepter et traiter automatiquement
toutes les requtes dun rseau local, ou en mode explicite qui ncessite une configuration du navigateur
des postes clients.
La plupart dentre eux permettent galement de demander aux utilisateurs de sauthentifier avant la navigation, ou pour certains, de rcuprer les informations dauthentification auprs du rseau local.
Le Proxy est un lment clef de la scurisation des systmes dinformation qui est trs souvent intgr aux
solutions de scurisation du rseau quelles soient matrielles, logicielles ou sous forme de distributions
Linux ddies.
63
6.4.5 Les types de filtrages

Le filtrage des accs peut tre ralis suivant diffrents critres:
IP/DNS: Les technologies employes peuvent tre le blocage des adresses IP par un routeur et la redirection par un DNS. Le filtrage peut tre fait sur des adresses de machines, sur des noms de domaine, ou bien
sur des numros de port correspondant des protocoles connus pour la communication distribue entre
applications. Le filtrage peut tre ralis avec des pare-feu ou des proxys.
Contenu: Le filtre de contenu permet de contrler lutilisation de lInternet et de bloquer laccs des
millions de sites classs par catgories. On peut ainsi augmenter la productivit, minimiser les risques de
poursuites, prserver la bande passante et prvenir les attaques en bloquant les fichiers automatiquement
tlchargs tels que Java, ActiveX ou encore les cookies.
Black List/White List: Une liste noire est un ensemble de dossiers classs par catgories tels que forums,
blogs, et bien dautres, dans lesquels on trouve des listes de noms de domaines ou de pages web auxquels
laccs est bloqu. La liste blanche quant elle est le contraire, on y trouve les sites et pages web auxquels
les usagers ont accs.
Mots clefs: Le mcanisme de filtrage empche laccs aux pages dont ladresse et/ou le texte contiennent
certains mots. Les listes noires comprennent par exemple des mots relatifs la sexualit, au jeu en ligne
ou au racisme. La mthode comporte le risque dun taux lev de faux positifs (par exemple, si un centre
de formation veut interdire les sites pornographiques ses apprenants et que, pour cela, il interdit laccs
aux pages contenant des mots relatifs la sexualit, il risque aussi de bloquer laccs des informations
mdicales).
6.4.6 Les outils de filtrage
6.4.6.1 Solutions matrielles
Comme pour les Firewall vus au chapitre prcdent, elles fonctionnent sur le principe de la bote noire
avec une intgration parfaite au matriel. La fonction de serveur mandataire et de filtrage est intgre avec
les autres fonctions de scurit sur le mme botier. La configuration est alors ralise laide dune interface propritaire intgrant parfaitement toutes les fonctionnalits de la solution.
Les outils de ce type sont bien videmment propritaires liant ltablissement un constructeur en terme
de mises jour, de fonctionnalits, dinterfaces,etc. La trs grande majorit des botiers de scurisation
de rseaux de tous les grands fabricants et diteurs de ce secteur intgre, souvent sous forme doption, un
serveur Proxy et des solutions de filtrage des accs.
6.4.6.2 Solutions logicielles
Ce type de solution peut tre install localement sur un poste, comme dans le cadre des logiciels de
contrle parental, ou des serveurs mandataires permettant ainsi de traiter la totalit des requtes mises
depuis un rseau local. Nous ne traiterons ici que de la seconde famille.
Il existe un trs grand nombre de logiciels commerciaux dvelopps et commercialiss par les principaux
acteurs du march du logiciel et de la scurit informatique. Ils prsentent en gnral les mmes avantages
et inconvnients que les solutions matrielles voques ci dessus.
La plupart des distributions Linux ddies la scurit informatique et qui sont voques au chapitre sur
les Firewall intgrent un serveur mandataire et des fonctions de filtrage. Elles utilisent quasiment toutes les
outils de la famille Squid, SquidGuard et DansGuardian qui sont libres et distribus selon les termes de la
licence GNU GPL.
Squid est un Proxy capable dutiliser les protocoles FTP, HTTP, Gopher, et HTTPS. Il intgre toutes les
fonctionnalits dun serveur mandataire traditionnel (cache, filtrage, journalisation,) et permet de grer
lauthentification au sein des rseaux de types Microsoft.
SquidGuard est un outil permettant de filtrer les requtes suivant un ensemble de rgles (URL, horaires,
utilisateurs, type de fichiers,). Il utilise, pour le filtrage des URL, le principe des listes blanches et listes
noires et notamment celles tenues jour par luniversit de Toulouse. Si lutilisateur essaie de se connecter
un site contenu dans une liste noire, il est redirig vers une page prdfinie par ladministrateur.
64
DansGuardian est un systme de contrle de contenu qui sexcute sous Linux et Unix, en conjonction
avec Squid. Il utilise plusieurs mthodes paramtrables pour dterminer si une page web doit tre bloque.
Parmi elles; un systme de pondration dtecte des mots interdits dans une page, et lui assigne un score en
fonction de la gravit et du nombre de mots dtects. DansGuardian bloque alors les pages dont le score
dpasse un certain seuil. Il est galement en mesure dutiliser des listes noires dURL.
6.4.7 Logs (cf. analyse rseau) Traces/Archivages
Un fichier log est un fichier journal au format texte qui pour chaque page vue sur un site (pour le cas dun
fichier log dun serveur httpd) enregistre un certain nombre dinformations (Nom dutilisateur, adresse IP,
fichier atteint (hit), date, heure,). Ces informations sont stockes sur une ligne. Chaque ligne reprsente
un accs ou une tentative daccs une page dun site.
6.4.8.1 Obligations lgales
Ltablissement assume la responsabilit des lves qui lui sont confis. Il doit veiller ce que ces derniers
ne soient pas exposs subir des dommages, et nen causent pas autrui, quil sagisse dautres usagers ou
tiers au service. Cela vaut pour lensemble des activits prises en charge par ltablissement dont lusage
de lInternet. De cette obligation de surveillance dcoule le rglement intrieur de ltablissement qui doit
fixer de manire simple et exhaustive les modalits de surveillance des lves dans le respect des droits et
obligations de chacun.
Dans les tablissements, la responsabilit administrative incombe principalement au chef dtablissement,
qui en tant que reprsentant lgal doit assurer le bon ordre, la scurit des biens et des personnes, lapplication du rglement intrieur ou lorganisation du personnel lors des activits en ligne. A cette fin, le conseil
dadministration de lEPLEFPA votera une charte dutilisation de lInternet labore par ltablissement et
qui sera annexe au rglement intrieur.
En complment, ladministrateur du rseau a lobligation dinstaller et de maintenir en fonctionnement des
dispositifs de filtrage pour limiter laccs des contenus illgaux et doit conserver les fichiers de journalisation pendant une dure dun an. Ce dispositif technique concerne la totalit du personnel ainsi que tous
les apprenants utilisant laccs Internet de ltablissement.
La prsence dun dispositif de filtrage et darchivage des accs Internet complt par une charte informatique est donc absolument imprative dans chaque tablissement.
Des ressources internet relatives aux aspects juridiques des TICE sont votre disposition:
Le rseau des DRTIC tient jour une rubrique nomme Leg@TICE sur son portail internet: http://drtic.
educagri.fr/
Le ministre de lducation Nationale tient jour un site Web de veille juridique: http://www.educnet.
education.fr/legamedia/
Nous recommandons de sensibiliser tous les personnels de ltablissement lexistence de ces sites afin
quils puissent se tenir informs des responsabilits qui leur incombent au regard de lusage dInternet.
6.4.8.2 Solutions techniques
Comme nous lavons dj vu dans les chapitres prcdents, les solutions de scurisation des rseaux intgrent gnralement un grand nombre dautres fonctions et en particulier celles lies au filtrage des accs
Internet couramment appels Proxy.
65
Les rgions qui ont pris en charge la scurisation de laccs Internet ont souvent dploy des solutions du
type appliance et ltablissement doit alors se retourner vers loprateur de cet quipement pour sassurer des conditions de mise uvre du filtrage et de lhistorisation des accs.
Dans les rgions qui ont choisi dutiliser les solutions logiciels libres finalises et utilises par le Ministre de
lducation Nationale, ltablissement assume gnralement lui mme le paramtrage de cet quipement.
Enfin, pour les tablissements qui ne sont pas intgrs dans un des dispositifs prcdent, nous recommandons lusage des solutions logiciels libres et gratuites bases sur le proxy Squid et son complment SquidGuard en le paramtrant pour quil effectue un filtrage bas sur lutilisation des listes noires (Blacklist)
maintenues pour le compte du Ministre de lducation Nationale par luniversit de Toulouse. Ces listes
sont par ailleurs galement intgrables certaines solutions commerciales. Elles sont accessibles sur:
http://cri.univ-tlse1.fr/blacklists/
En totale cohrence avec les recommandations effectues dans les chapitres relatifs aux dispositifs de scurisation dInternet, nous conseillons de recourir aux deux principales distributions issues du logiciel libre
que sont IpCop et PfSense.
Pour ce qui concerne les fonctions de Proxy et de filtrage, ces deux distributions sont trs proches dans
la mesure o elles sappuient les mmes outils Squid et SquidGuard. Ils sont intgrs la solution PfSense
au niveau des packages complmentaires. Concernant IpCop, nous recommandons lusage des add-on
adv_proxy et url_filter qui permettent un paramtrage plus convivial et dtaill.
En ce qui concerne les fonctions de proxy et de filtrage des accs, la solution IpCop est plus simple mettre
en uvre et offre le mme niveau de puissance que la PfSense. Nos recommandations entre ces deux outils
seront donc plus bases sur leurs autres fonctions et donc dans la continuit des autres chapitres:
La distribution PfSense nexiste quen version anglaise. Elle est plutt adapte aux tablissements important comportant plusieurs sous rseaux et disposant dun informaticien famili du monde des rseaux.
La distribution IpCop est quant elle plus adapte aux tablissements souhaitant une gestion plus simple
et ne disposant pas dun administrateur spcialiste des rseaux.
6.5 Scuriser les accs nomades au rseau local

La notion daccs nomade aux ressources dun rseau local revt plusieurs aspects. Ce nomadisme peut
concerner un ordinateur portable physiquement prsent sur le site gographique ou un ordinateur distant.
Dans ce second cas, la solution est aborde au chapitre 5 avec les VPN daccs nomade.
Pour les ordinateurs portables, on peut distinguer:
Les portables de ltablissement potentiellement utilisables en tous lieux,
Les portables personnels des apprenants et des personnels de la communaut ducative,
Les portables des personnes de passage et extrieures ltablissement.
Lacceptation ou non doffrir ces accs relve dun choix local, mais la demande de ce type de service est
de plus en plus forte. Dans ce chapitre, le terme dordinateur portable est prendre au sens trs large du
terme et recouvre toutes les formes de terminaux daccs mobiles (portables, tablettes, Pda,)
6.5.1 La connexion
La premire condition dun accs nomade est la possibilit dtablir une liaison entre le rseau local et lordinateur portable. Il existe deux cas de figure:
Laccs grce une connexion filaire.
Laccs par une connexion sans fil.
66
Les aspects physiques de ces types de liaisons sont abords dans les chapitres prcdents et nous allons
dsormais traiter de leur scurisation.
6.5.2 Scurisation
Sur un rseau local, le danger vient souvent de lintrieur. Avec la multiplication des ordinateurs portables,
il est de plus en plus difficile de connatre et de matriser les machines qui se connectent. Les principales
motivations dune intrusion sur un rseau local peuvent se classer en trois familles:
compromettre des postes du rseau local,
utiliser laccs Internet,
rcuprer des informations.
Pour limiter ces risques, il faut remplir les conditions suivantes:
avoir le contrle et la matrise du rseau filaire,
avoir le contrle et la matrise du ou des rseaux sans fils,
matriser le systme qui permettra dauthentifier les usagers.
6.5.2.1 Scuriser le rseau filaire
Les ordinateurs fixes connects au rseau local sont contrls et, en principe, srs. Ladministrateur en a la
matrise, peut les contrler, et gre les droits des utilisateurs.
Par contre, les ordinateurs portables chappent facilement son contrle, surtout pour ceux nappartenant
pas ltablissement. Les utilisateurs peuvent en faire ce quil veulent et les connecter sans autorisation sur
une prise. Ce type de machines, parfois compromises, peuvent infecter par lintrieur un rseau local. Il est
donc indispensable de prendre quelques prcautions:
en restreignant la distribution dadresses DHCP sur le rseau local,
en ne brassant que les prises ncessaires,
en grant laccs au rseau grce aux dispositifs de contrle quimplmentent les switchs rcents,
en connectant les nomades sur un rseau diffrent, qui ne donne accs qu quelques ressources clairement identifies.
Pour mettre en place un contrle daccs simple sur un rseau local filaire, il faut utiliser les adresses MAC
pour vrifier si les stations sont connues, autorises et les diriger sur le bon rseau et/ou VLAN (cf. chapitre
4) grce aux fonctionnalits des switchs qui le permettent (cf. chapitre 3).
6.5.2.2 Scuriser le rseau Wifi
Le Wi-Fi est une solution intressante, qui apporte une rponse simple aux problmes de connectivit dans
les tablissements, lheure o le nombre dordinateurs portables crot rapidement. Or, ce systme ne
sarrte pas aux portes que lon souhaiterait et offre de nombreuses failles permettant de sintroduire sur
le rseau local. Il est donc vital de respecter un certain nombre de rgles de base pour tenter de minimiser
ces risques et notamment:
savoir quelles machines sont connectes au rseau,
quels utilisateurs sont authentifis,
et tre sr des ressources auxquelles ils accdent.
6.5.3 Choisir une politique daccs
A ce stade, ltablissement doit choisir une politique daccs son rseau pour les stations nomades, typiquement les portables. Cette politique permettra de dfinir les moyens techniques et humains mettre en
uvre.
Les stations inconnues peuvent tres autorises se connecter au rseau filaire ou au rseau Wifi et rediriges dans un Lan invits avec des ressources restreintes.
Si elles sont interdites, ils faut dfinir une procdure pour les autoriser: qui autorise qui, sur quel rseau,
pour quelles ressources, dans quelles conditions, pour quelle dure,
67
Elles peuvent galement tre purement et simplement interdites, auquel cas il faudra sassurer de ltanchit complte du rseau.
6.5.4 Les rgles de base
6.5.4.1 Savoir qui est prsent sur votre rseau
La connaissance des clients prsents sur un rseau est un lment fondamental, mais lutilisation des adresses
IP ou des adresses MAC ne constituent pas un moyen efficace car elles peuvent trs facilement tre usurpes.
Cest videmment un point trs sensible sur les rseaux sans fils, mais galement sur un rseau filaire.
Il existe diffrentes techniques permettant dauthentifier les postes sur un rseau qui vont du simple couple
identifiant/mot de passe la biomtrie.
La mthode la plus simple consiste utiliser de faon plus ou moins sophistique le couple identifiant/mot
de passe.Elle peut tre considre comme suffisamment sre, la condition que le mot de passe ne soit
pas trop simple et quil ne soit pas facilement interceptable, cest--dire rcuprable en clair par une coute
passive. Cette mthode nest lvidence pas suffisante dans le cadre des rseaux sans fil.
La mthode sans doute la plus aboutie consiste utiliser des certificats numriques sur les serveurs, mais
aussi sur les clients. Chaque certificat contient une partie publique et une partie prive. La partie publique
peut tre rcupre par tout tiers dsirant entrer en contact avec le possesseur du certificat, la partie prive
doit rester confidentielle et chacune contient une cl de chiffrement. Cette mthode offre une garantie trs
leve mais ncessite un dispositif assez lourd car il faut crer un certificat par client, maintenir une base
de donne des certificats autoriss et des certificats rvoqus.
Il est possible sur les clients de remplacer le certificat par lusage dune carte puce qui est un dispositif
trs proche du certificat et tout aussi lourd grer.
Les dispositifs dauthentification biomtrique (cf. Chapitre 6.2) offrent de trs fortes garanties de scurit
mais leur implantation sur les terminaux nomades demeurent pour linstant trop faible pour pouvoir envisager de baser une politique de scurit sur cette technologie.
6.5.4.2 Protger les donnes changes
Les donnes circulant sur le rseau peuvent tre coutes assez simplement, notamment dans le cadre dun
rseau sans fil. Les informations interceptables ont une valeur relative comprise entre un intrt nul et un
intrt stratgique, comme par exemple les donnes dun login autoris.
Le principe de base consiste chiffrer les changes, en restant conscient quaucun chiffrement nest totalement fiable. Ce nest quune question de temps et de moyens. La dure de vie dune information sensible
doit, si possible, tre infrieur au temps ncessaire pour la dcouvrir.
6.5.5 Les solutions techniques
Comme nous venons de le voir, la premire tape consiste connecter physiquement la station cliente au
rseau local par lintermdiaire dune liaison filaire ou dune liaison radio. La suite de ce chapitre traitera
plus particulirement des solutions concernant concernant les rseaux Wifi dans la mesure ou les solutions
techniques permettant la scurisation dun accs filaire sont abordes aux chapitres 3 et 4 de ce document.
6.5.5.1 Points daccs au rseau 802.1X
La norme IEEE 802.1X est un standard qui dfinit les mcanismes permettant de contrler laccs aux
quipements actifs dun rseau quil soit filaire ou radio. Elle permet dauthentifier un utilisateur grce un
serveur dauthentification avant de lui accorder ou non laccs au rseau.
Lorsque le client se connecte un port Ethernet ou sattache un point daccs sans fil, laccs au LAN lui
est ferm, seul le trafic avec le serveur dauthentification est autoris. Le port ne pourra souvrir sur le LAN
que si lauthentification russie. Cette norme repose donc sur trois acteurs qui doivent limplmenter:
Un client appel supplicant (Linux, Mac OSX, Windows depuis XPSP1)
Llment actif appel authenticator (Switch, Borne Wifi)
68
Un serveur dauthentification (Gnralement RADIUS)

En plus de lauthentification des utilisateurs, le protocole 802.1X est utilis dans les rseaux sans fil comme
support pour lchange des clefs utilises par les dispositifs de chiffrement de la communication:
WEP: (Wired Equivalent Privacy). Cette mthode est base sur une solution de cl de chiffrement statique
partage par tous les membres dun mme rseau Wi-Fi, avec un algorithme de chiffrement relativement
faible. Il suffit de disposer de quelques dizaines de minutes avec quelques petits outils logiciels prsents
sur le Web pour venir bout de cette protection en identifiant la cl de chiffrement. Cest la technique
utilise par la presque totalit des Box grand public fournies par les oprateurs. Elle nest pas adapte aux
environnements professionnels.
WPA: (Wifi Protected Access). Avec la dcouverte rapide des failles de WEP, et alors mme que llaboration dune norme destine scuriser les rseaux sans fils tait en cours, il a fallu mettre en place au plus
vite un procd de secours. Le WPA, issu des travaux non encore aboutis de la norme 802.11i, est arriv
sur le march. Cest un ensemble de rustines logicielles, destin boucher les plus gros trous de scurit du
WEP, tout en ayant comme contrainte de pouvoir fonctionner sur le matriel existant. Il a donc t conu
pour pouvoir tre exploit sur du matriel WEP. Le WPA est un compromis acceptable, surtout si lon doit
intgrer son rseau du matriel ancien, ne supportant pas les mthodes de chiffrement prconises par
la norme 802.11i.
WPA2: Cest lappellation commerciale de la norme 802.11i (cf. chapitre 2). Cette norme a t finalise
en 2004 et se trouve donc implmente sur des points daccs conu partir de cette date. Elle impose
le support dAES (Advanced Encryption Standard) qui est un standard de chiffrement bas sur un algorithme de chiffrement symtrique.
WPA comme WPA2 peuvent sutiliser de deux manires:
Mode personnel: Ce mode est prconis pour les particuliers disposant dun petit rseau peu stratgique et fait appel une cl de chiffrement partage, la PSK (Pre Shared Key). Cette cl, au contraire de
WEP, ne sert pas directement au chiffrement des donnes. Elle sert de base la cration de cls drives,
qui sont non seulement diffrentes pour chaque session (deux utilisateurs dun mme rseau, mme sils
disposent de la mme PSK, utiliseront des cls de session diffrentes), mais encore dun usage limit dans
le temps. Ces cls sont rengocies frquemment en cours de session, ce qui rend leur dcouverte nettement plus difficile. Le temps ncessaire pour identifier une clef risque dtre suprieur sa dure de vie. Le
point faible rside dans le fait que tous les utilisateurs du point daccs connaissent cette phrase qui de fait
devient de moins en moins secrte
Cest une solution tout fait acceptable dans le cas dun rseau sans fil de taille peu importante et ne permettant pas laccs des donnes ou des serveurs stratgiques. Comme pour les mots de passe, il est toutefois important dutiliser une PSK non vidente. En effet, la cl est une suite numrique, calcule partir
dune phrase secrte en ASCII et du SSID du point daccs. Il faut donc viter une phrase trop simple
comme votre nom, votre date de naissance, un nom commun
Mode entreprise: Ce mode sappuie sur la norme 802.1X aborde prcdemment pour lauthentification avances des utilisateurs et ncessite donc de faire appel un systme dauthentification centralis
ainsi qu des points daccs supportant cette norme. Il ny a aucun secret partag, tout le systme cryptographique est construit pendant et aprs le processus dauthentification.
Lorsque le client est correctement authentifi par le serveur, ce dernier lui envoie une clef principale uniquement connue deux deux et valable que pour la session en cours. Le client et le serveur calculent alors
une nouvelle clef appele PMK qui est transmise au point daccs et nest valable que pour cette session
avec ce client. Le point daccs na pas connaissance de la clef principale. La PMK permet alors au client
et au point daccs de calculer 4 nouvelles clefs temporelles utilises pour scuriser diffrents types de
paquets pendant leurs changes. Ce dispositif complexe assure un niveau de scurit extrmement lev.
69
En rsum:
La station cliente entre en contact avec le point daccs en utilisant une des normes de connexion sans
fil de la famille 802.11. Cette dernire sappuie alors sur les mcanismes 802.1X pour permettre ou non
laccs au rseau local.
Ce dispositif repose sur le protocole EAP (Extensible Authentication Protocol) pour le transport des informations ncessaires lauthentification suivant le mode choisi. Il en existe 5 officiellement retenus par
WPA et WPA2 dont les deux principaux sont:
TLS (Transport Layer Security): Ce protocole est en fait la version 3.1 du fameux SSL dont il est le successeur. Il utilise une infrastructure de clefs publiques pour scuriser lidentification entre le client et le
serveur. Dans ce mode, les deux acteurs chacun dun certificat x509.
PEAP (Protected EAP): Dans ce mode seul le serveur dispose dun certificat. Lauthentification du client
est assure par un challenge de type login/password.
Dans la grande majorit des cas, les changes entre le point daccs sappuient sur le protocole RADIUS,
que nous aborderons un peu plus loin et sur UDP/IP
6.5.5.2 Authentification RADIUS
Le protocole Radius nest pas la seule norme dauthentification mais il est devenu le standard de fait pour
la centralisation des donnes dauthentification sur les rseaux sans fil. La signification de cet acronyme est
Remote Authentication Dial-In User.
Il a t conu par les fournisseurs daccs Internet afin de leur permettre dauthentifier partir dune base
centralise des utilisateurs se connectant via des accs RTC des serveurs diffrents. Il normalise le transport des informations dauthentification entre le serveur hbergeant la base des utilisateurs et un client
RADIUS qui est un point daccs sans fil, un firewall, un commutateur ou un dispositif daccs distant.
Un poste client demande un accs un client RADIUS, par exemple une borne Wifi. Elle se charge alors de
lui demander des informations didentification comme un nom et un mot de passe. A partir des rponses
du poste client, elle construit une requte dite Access Request et la transmet son serveur RADIUS qui
70
vrifie sil possde suffisamment dinformations pour raliser lauthentification. Dans la ngative, le serveur
demande son client (ici, la borne) des informations complmentaires par un dispositif nomm access
challange. Plusieurs cycles access Request access Challange senchainent jusqu ce que le serveur
dispose de tous les lments qui lui sont ncessaires. Il autorise alors (Access Accept) ou rejette (Access
Reject) laccs.
Plusieurs serveurs RADIUS peuvent tre chaner par un dispositif dit de Proxy-Radius. Il nhberge pas
ncessairement la base utilisateur et peu traiter les authentifications en accdant des serveurs externes,
par exemple un serveur Active Directory ou un serveur LDAP.
Lidentification RADIUS peut tre enrichie dautre fonctionnalits grce lusage dattributs complmentaires dans les paquets. Elle permet par exemple de dfinir un temps de connexion maximum, un time-out
ou encore une adresse IP.
6.5.6 Portail captif
Un portail captif est un dispositif qui intercepte la totalit des paquets provenant dun poste client, quels
que soient leur destination jusqu ce que lutilisateur ouvre le navigateur Web. Il est alors redirig de force
sur une page Web du portail captif pour sy authentifier.
Le portail peut alors raliser lui mme cette phase dauthentification ou la dporter sur un serveur dont
cest le rle (AD, LDAP, RADIUS,). Il autorise alors ou non le poste client accder Internet ou aux
ressources dun rseau local.
Cest un dispositif principalement utilis dans le cadre des rseaux Wifi mais elle est galement envisageable sur un rseau filaire.
Il existe aujourdhui un nombre important de distributions Linux ddies cette fonction. Elles sont principalement issues de quatre grandes familles qui sont ChilliSpot, M0n0wall, noCat et WiFiDog.
Les principaux fabricants de point daccs intgrent dsormais des offres de portail captif dans leurs routeurs wifi.
Au-del de lauthentification, les portails captifs sont galement utiliss des fins daccounting et de facturation sur des points daccs publics.
6.5.7.1 Politique daccs
La premire tape de la scurisation des accs nomades consiste dfinir une politique de scurit afin
de pouvoir effectuer des choix techniques judicieux. Il faut commencer par identifier les risques potentiels lis lventuelle connexion de postes non identifis sur le rseaux de ltablissement en fonction de
laccessibilit des locaux, des modes dorganisation, des ressources accessibles,etc. Cette premire phase
consiste en lidentification:
des lments protger comme les matriels, logiciels ou donnes sensibles ou confidentielles,
des attaques ventuelles comme la dgradation lie aux virus, aux chevaux de Troie, aux vers ou autres
parasites propags par des postes non contrls,
de lventualit dactes de dgradation ou de piratage volontaire,
des risques dcoute des informations transitant sur le rseau.
Il faudra ensuite choisir une approche de scurit pour le rseau local visant dterminer pour les postes
de ltablissement comme pour les postes nomades si lon nautorise qui accder quoi et sous quelles
conditions. Cette tape devra prendre en compte tous les types de matriels (fixes, nomades), de personnels (enseignants, apprenants, passagers,) , de rseaux (cbl, sans fil).
Cest de cette politique de scurit que dcouleront les choix techniques permettant de pallier les
dfaillances de scurit afin de mettre en uvre les dispositifs appropris en fonction des moyens humains
et financiers de ltablissement.
71
6.5.7.2 Rseaux cbls

Nous effectuons les recommandations suivantes:
Les prises accessibles et non utilises dans les locaux ne doivent pas tre brasses sur les lments actifs
du rseau.
Les baies de brassage ainsi que les locaux techniques doivent tre fermes et accessibles uniquement aux
personnes habilites (cf. chap. 2)
Les switchs doivent tre paramtrs pour utiliser des VLAN statiques de niveau 1 permettant de refuser la
connexion dune station dont ladresse MAC est inconnue. Ce point ncessite de mettre en place un matriel administrable et compatible avec la norme 802.1q conformment aux recommandations du chapitre 2.
Cette mthode est relativement coteuse en terme dadministration, surtout sur un rseau important, mais
permet un niveau de scurit trs largement suffisant dans le cadre dun tablissement.
Une alternative lalina prcdent, plus adapte aux rseaux de taille importante, consiste mettre en
place des VLAN de niveau 1 avec attribution dynamique en sappuyant sur la mise en uvre du protocole
802.1x qui est coupl un procd dauthentification. Dans ce cas, le switch enverra un serveur dauthentification RADIUS ladresse MAC de la station connecte un port, en guise de login/password. Le
serveur Radius interroge sa base de donnes pour valider ou refuser les lments fournis puis transmet la
rponse accompagne dun numro de VLAN au switch qui connecte alors la station dans le bon rseau
virtuel ou maintient le port ferm. Il faut sassurer que les switch sont en mesure de raliser cette opration.
Avec cette mthode, la gestion des postes autoriss est centralise au niveau du serveur RADIUS et donc
beaucoup plus simple.
Il est possible de renforcer la scurit en utilisant dautres paramtres que ladresse MAC comme par
exemple un identifiant et un mot de passe ou un certificat x509. Cela ncessitera toutefois la mise en uvre
dune partie logicielle (supplicant) sur chaque station, ce qui alourdit considrablement ladministration
en apportant un niveau de scurit qui ne se justifie pas dans le cadre dun tablissement denseignement.
6.5.7.3 Rseaux sans fils
Nous effectuons les recommandations suivantes:
Mettre en place le rseau des points daccs sans fil sur un VLAN spar (cf chapitre 5).
Utiliser un plan dadressage IP diffrent de celui du restant du rseau (cf chapitre 4)
Le rseau sans fil aboutit imprativement sur une interface ddie du Firewall de ltablissement. De cette
faon, le rseau sans fil est considr comme un rseau public.
Vrifiez rgulirement que tous les dispositifs sans fil ont les versions de firmware les plus rcentes.
Veiller ce que les point daccs ne soient pas visibles ni accessibles aux personnes non autorises. En
effet, ces quipements sont quips dun bouton de rinitialisation.
Assigner des mots de passe forts sur les comptes dadministration des points daccs et les configurer
pour quils ne soient pas administrable depuis le rseau sans fil.
Ne pas diffuser le SSID. Cette fonctionnalit vous permet dviter que des portables dtectent automatiquement votre rseau sans fil et puissent tre tents de sy connecter.
Utiliser des points daccs rpondant la norme 802.1i appel galement appele WPA2 Enterprise.
Mettre en uvre un portail captif coupl un serveur dauthentification de type RADIUS.
La mise en uvre dune scurit base sur lutilisation de clefs WEP ou WPA est par consquence bannir
absolument.
Les autres recommandations dpendent directement des choix effectus au niveau de la politique de scurit ainsi que du type Firewall, de Proxy et de serveurs dauthentification. Les deux solutions prconises
dans les chapitres prcdents offrent un portail captif et fonctionnent avec un serveur RADIUS.
6.5.7.4 Portail Captif et serveur RADIUS
La technique du portail captif intercepte tous les paquets mis par une station quelles que soient leurs
destinations jusqu ce que lutilisateur ouvre son navigateur web et essaie daccder Internet. Le naviga-
72
teur est alors redirig vers une page web qui demande une authentification qui sera gre par un serveur
RADIUS dans le cadre de nos tablissements.
En pleine cohrence avec les recommandations effectues dans les chapitres relatifs aux dispositifs de
scurisation dInternet, nous conseillons de recourir aux deux principales distributions issues du logiciel
libre que sont IpCop et PfSense.
La fonction de portail captif et dauthentification de type RADIUS est intgr de faon native dans la solution PfSense. Une documentation prcise ainsi quun tutoriel dtaill sont accessibles depuis la page documentation du site http://www.pfsense.org
Sur la distribution IpCop, il faut recourir linstallation de lAdd-on nomm CopSpot tlchargeable sur
le site http://www.ban-solms.de
En ce qui concerne la fonction de portail captif et dauthentification des utilisateurs ou des stations par le
biais dun serveur RADIUS, la solution Pfsense est plus simple mettre en uvre, mais dans tous les cas, il
faudra installer et paramtrer le serveur dauthentification RADIUS.
Les serveurs MicroSoft Windows de version 2003 ou suprieur sont nativement conus pour assurer ce
rle. De plus, ils sont trs massivement prsents dans nos tablissements, ce qui nous conduit en recommander lusage pour cette fonction afin dviter lacquisition et le paramtrage de matriel et de logiciels
supplmentaires. Le tutoriel dtaill de mise en uvre de la solution PfSense/RADIUS cit plus haut se base
par ailleurs sur cette famille de serveur.
Dans le cas o ltablissement ne dispose pas de serveur de ce type, nous recommandons lusage du serveur
libre et gratuit FreeRadius tlchargeable ladresse http://freeradius.org/
6.6 Surveillance & Analyse rseau

La surveillance rseau nvoque pas toujours la mme chose pour tout le monde. Pour certains, cest une
surveillance en temps rel du rseau avec des outils danalyse des protocoles. Pour dautres, il sagit denregistrer dans une base de donnes les lments de larchitecture rseau pour crer ensuite des graphiques
reprsentant la topologie et le trafic. Dans tous les cas, cest un secteur dactivit pour lequel les outils
utiliss sont trs varis, le but tant lassistance de ladministrateur pour surveiller et assurer le bon fonctionnement des rseaux.
Le terme anglo-saxon employ est monitoring rseau. Il comprend en plus de la surveillance des actions de
modification de configuration, dinstallation distante, ou de gestion de comptes.
6.6.1 Objectifs de la surveillance
La surveillance rseau consiste en la collecte dinformations sur la disponibilit et les performances des
diffrents quipements dun rseau (routeur, switch, serveur,etc...).
Ces informations vont par la suite tre utilises pour construire des graphes afin de visualiser les performances ou alerter les administrateurs dun dysfonctionnement par mail ou SMS
Il sera possible galement de prvoir dexcuter des actions programmes: redmarrage dun service ou
coupure dun accs au rseau en cas dattaque.
6.6.2 Domaines de ladministration rseau
LOSI dfinit cinq domaines fonctionnels de ladministration rseau:
La gestion des pannes: permet la dtection, la localisation, la rparation de pannes et le retour une
situation normale dans lenvironnement.
La comptabilit: permet de connatre la charge des lments du rseau. Ceci permet alors de rguler les
ressources de tous les utilisateurs pour les adapter aux besoins.
Laudit des performances: Permet dvaluer les performances des ressources du systme et leur efficacit.
Les performances dun rseau sont values partir de quatre paramtres: le temps de rponse, le dbit, le
taux derreur par bit et la disponibilit.
73
La gestion de la scurit: une des fonctions de gestion concerne le contrle et la distribution des informations utilises pour la scurit. Les ressources du rseau seront accessibles seulement aux utilisateurs autoriss. Les erreurs daccs peuvent tre enregistres pour ensuite tre analyses ou provoquer des alertes.
La gestion des configurations: permet didentifier et de paramtrer les lments du rseau. Les procdures requises pour grer une configuration sont la collecte dinformations, le contrle de ltat du systme, la sauvegarde de ltat des priphriques dans un historique.
6.6.3 Le protocole de supervision SNMP
6.6.3.1 Principe
Le principal protocole utilis pour obtenir des donnes concernant les quipements est appel SNMP. Il
permet aux administrateurs rseaux de grer des quipements et de diagnostiquer des problmes.
Le sigle SNMP signifie Simple Network Management Protocol et la quasi-totalit des constructeurs dquipements rseaux limplmentent de faon native. Il est dfini par lIETF dans la RFC 1157 (mai1990) et il
est le protocole le plus employ pour superviser les rseaux.
Cest un protocole qui se situe sur les couches 5,6,7 du modle OSI et fonctionne en sappuyant sur le protocole UDP. Sa structure principale est simple, elle comprend:
Un serveur/superviseur (NMS: Network management stations) charg dinterroger les lments du rseau
pour connatre leur tat et charg de centraliser les informations recueillies.
Des agents: ils sont installs sur les lments du rseau surveiller (serveur, routeur, switch) et en surveillent les lments (temprature, charge du cpu,etc.). Ils rpondent aux requtes du superviseur.
Une base de donnes (virtuelle) MIB (Management Information Base) place sur les quipements et qui
permet une prsentation claire et humainement comprhensible de tout les paramtres surveills (CPU,.
@IP, Temprature,etc.)
Un protocole: SNMP, pour interroger ou modifier les agents et leur MIB depuis la console de supervision.
SNMP sappuie sur UDP pour fonctionner et utilise les ports 161 ct serveur et 162 ct client.
Un agent proxy qui sert de passerelle vers des quipements ou des rseaux ne supportant pas SNMP en
relayant et traduisant les requtes du superviseur SNMP.
Un Analyseur RMON: RMON est un standard pour lanalyse de trafic et la collecte de paquets depuis
plusieurs segment distants.
SNMP, Agent proxy, RMON
Source: www.cisco.com
Un priphrique rseau (routeur, switch, pare-feu,) fait tourner un agent SNMP qui rpond aux requtes
du rseau. Lagent SNMP fournit un grand nombre didentifiants dobjets (Object Identifiers ou OID).
Un OID est une paire cl-valeur unique. Lagent SNMP remplit ces valeurs et fait en sorte quelles soient.
74
disponibles. Un manager SNMP (ou client SNMP) peut effectuer des requtes aux agents avec ses paires
cl-valeur propos dinformations spcifiques. Les OID SNMP peuvent tre lus ou crits.
Notons quil est rare dcrire des informations sur un priphrique SNMP. Le SNMP est surtout utilis par
de nombreuses applications de management pour contrler ltat des priphriques rseaux (comme une
interface graphique administrative pour les switchs). Un systme dauthentification basique existe dans le
SNMP; il permet au manager denvoyer un community name (qui est en fait un mot de passe en clair) pour
autoriser la lecture ou lcriture des OID. La plupart des priphriques utilisent le community name non
scuris public. Les communications SNMP se font via les ports UDP 161 et 162.
6.6.3.2 La MIB
Si on travaille sur le SNMP, on est rapidement confront aux MIB (Management Information Base). Au premier coup dil, une MIB peut paratre trs complexe mais savre trs simple en ralit.
Les OID sont numriques et globaux. Un OID est trs similaire une adresse IPv6 et les diffrents fabricants
ont diffrents prfixes, chaque fabricant a sa gamme de produit (un autre prfixe) et ainsi de suite. Les
OID peuvent trs vite tre long et il est compliqu pour un humain de se rappeler la signification de cet
ensemble de nombres.
Cest pour cela quune mthode a t mise au point pour traduire un OID numrique dans une forme lisible
pour un humain. Cette carte de traduction est stocke dans un fichier texte appel Management Information Base ou MIB.
Vous navez pas besoin dun MIB pour utiliser SNMP ou effectuer des requtes sur des priphriques SNMP
mais sans la MIB, vous nallez pas savoir facilement ce que signifient les donnes retournes par le priphrique. Dans certains cas, cest facile comme le nom de lhte, lusage des disques ou les informations dtat
des ports. Dans dautres cas, cela peut tre plus difficile et une MIB peut tre dune grande aide. Notez quil
est assez inhabituel pour la plupart des applications dcrire des requtes uniquement numriques. La plupart des applications permettent linstallation de MIB complmentaires. Cette installation consiste placer
les MIB un endroit o lapplication cliente SNMP peut les trouver pour effectuer la traduction.
6.6.3.3 Utilisation de SNMP
Les techniques de supervision avec SNMP peuvent tre utilises de deux manires distinctes: le polling et
les traps.
Le polling consiste simplement envoyer une requte intervalles rguliers pour obtenir une valeur particulire. Cette technique est appele vrification active. Vous pouvez, par programme ou script, vrifier si
les valeurs sont correctes. Si la requte choue, il est possible quil y ait un problme avec le priphrique.
Cependant, vu que le SNMP sappuie sur UDP, il est conseill de ritrer la requte pour confirmer le problme (surtout dans le cas dune vrification au travers dInternet).
Les traps consistent faire de la vrification passive, en gros, on configure lagent SNMP pour quil contacte
un autre agent SNMP en cas de problme. Cest--dire que lon peut configurer un priphrique rseau
(comme un routeur) pour quil envoie un trap SNMP lors de certains vnements. Par exemple, le routeur
peut envoyer un trap lorsquil dtecte que la ligne est coupe (down). Quand un vnement trap apparait,
lagent sur le priphrique va envoyer le trap vers une destination pr-configure communment appele
trap host. Le trap host possde son propre agent SNMP qui va accepter et traiter les traps lorsquils arrivent.
Le traitement des traps est effectus par des trap handlers. Le handler peut faire ce qui est appropri pour
rpondre au trap, comme envoyer un courriel dalerte.
Il existe actuellement 3 versions diffrentes du protocole SNMP:
SNMP v1 (RFC 1155, 1157 et 1212).
SNMP v2c (RFC 1901 1908).
SNMP v3 (RFC 3411 3418).
La co-existence des trois versions est dtaille dans la RFC 3584.
Pour interroger une MIB, la superviseur (NMS) dispose de commandes permettant denvoyer des requtes
ou de recueillir des rponses:
getRequest demande les informations sur un objet gr par lagent SNMP
75
getNextRequest demande les informations sur lobjet suivant (dont on ne connait pas forcment le nom)
setRequest modifie ltat dune variable SNMP
getResponse permet lagent SNMP denvoyer une rponse une requte de la station dadministration
trap met en oeuvre un mcanisme dalarme permettant un quipement rseau dinformer la station
dadministration en cas de problme.
Il existe un grand nombre dutilitaires permettant de recueillir des informations SNMP. Sous Linux, netsnmp est courant. Sous Windows, Getif propose une interface graphique relativement simple utiliser et
permettant daccder un grand nombre dinformations.
6.6.4 Les langages de monitoring
6.6.4.1 RMON
Cest une extension de la MIB qui permet de surveiller et de diagnostiquer un rseau distance. Le but de
cette norme est de rcolter des statistiques sur ltat global du rseau, sur la frquentation, la qualit du
signal, la performance des composants alors que les autres MIB sont plutt orients sur le diagnostic matriel des quipements. La version 1 de RMON peut tudier lactivit du rseau jusquau niveau 2 du modle
OSI et jusquau niveau 7 pour la version 2.
6.6.4.2 WMI (Windows Management Instrumentation) de Microsoft
WMI est un systme de gestion interne de Windows qui prend en charge la surveillance et le contrle de
ressources systme via un ensemble dinterfaces. WMI contient une librairie dobjets pouvant tre interrogs via des scripts VBS, Windows Script Host (WSH). Ces scripts peuvent aussi bien interroger le matriel
sur sa charge CPU, son adresse Ip,etc. mais il peut aussi modifier certains paramtres du systme dexploitation.
6.6.4.3 Netflow (Cisco)
Cest un protocole de monitoring dvelopp par Cisco et qui est libre, il peut donc tre adapt dautres
environnements (FreeBSD par exemple).
Cette technologie a pour but doptimiser les ressources utilises via des statistiques et des analyses concernant le trafic et aussi de dtecter les pannes. Netflow rpertorie le flux des paquets IP pendant leur progression travers linterface depuis le routeur.
Chaque flux est unique et identifi par sept critres (adresse IP source, adresse IP de destination, numro
de port source (TCP/UDP), numro de port de destination (TCP/UDP), type de protocole de couche 3 (IP/
ICMP), type de service (ToS) et interface logique dentre.
Toute variation dans ces critres distingue un flux dun autre. Cisco NetFlow peut collecter les informations sur une base trs granulaire et les analyser dans des rapports.
6.6.5 Les outils de monitoring
Les outils de monitoring libres ou commerciaux sont gnralement de deux types:
des outils de supervision, qui surveillent et analysent ltat des quipements du rseau (Nagios, HP Openview). Ils sont gnralement plus centrs sur le matriel, les quipements.
des outils danalyse surtout destins tudier le trafic (mtrologie). Ils tablissent notamment des statistiques sur les protocoles utiliss, sur le dbit du trafic,etc. (par exemple MRTG, Cacti).
Ces deux types dapproches sont complmentaires, ltude du trafic circulant via un outil tel que MRTG par
exemple permet de voir si le trafic dans son ensemble est normal, si il ny a pas de rupture accidentelle. Il
offre ainsi une vue densemble du dbit, des protocoles utiliss. En cas de problme, un outil tel que Nagios
permet de voir prcisment quel est lquipement en cause (switch, routeur) et ainsi dagir.
En complment, un outil propritaire tel que Cisco Network Assistant permet davoir distance la main sur
le matriel en question pour remettre un bonne configuration, ou pour tablir un diagnostic plus prcis.
76
Enfin, ces diffrents types dapproches peuvent tre runies autour dune solution intgre comme par
exemple le logiciel Centreon qui est un outil de supervision et de configuration btie autour de Nagios.
6.6.6 Les principes de la surveillance
6.6.6.1 Dtermination de laccessibilit des htes du rseau
Supervision des services sur des htes hors fonction ou inaccessibles. Le but principal de cette fonction
est de superviser des services qui tournent sur ou sont proposs par des htes physiques ou des quipements du rseau. Si un hte ou un quipement du rseau sarrte, tous les services quil offre sarrtent
avec lui. Pratiquement, ceci consiste envoyer un ping lhte et vrifier si une rponse est retourne.
Supervision dhtes locaux. Ce sont ceux qui se trouvent sur le mme segment de rseau ce qui en rend
le contrle assez simple puisquil ny a pas de routeurs entre lhte charg de la supervision et les autres
htes du rseau local.
Htes distants. Ce sont ceux qui se trouvent sur un segment de rseau diffrent de celui du superviseur.
Dans cette configuration, certains htes sont plus loigns que dautres, ce qui conduit mettre en place
un arbre de dpendance des htes pour leur configuration.
Rupture de la continuit du rseau. Le diagnostic des ruptures de la continuit du rseau aide les administrateurs trouver et rsoudre plus rapidement des dysfonctionnement. Il nest pas toujours possible de
trouver la cause exacte dun problme, mais la localisation des htes en dfaut peut aider au diagnostic.
Les notifications. La vrification rgulire de lensemble des services sur un parc configur permet de
gnrer des alertes rgulires. Lorsquun hte ou un service demeure dans un tat de non-OK, une une
premire notification est envoye. Si aprs un intervalle de temps, le problme nest toujours pas rgl,
une autre notification sera envoye et continuera ainsi jusqu ce que le problme soit rsolu ou acquitt.
6.6.6.2 Outils de cration de graphiques
Ces outils fournissent des graphiques d peu prs tous les points sensibles des quipements superviss et
permettent une analyse plus simple de ltat global du parc.
Exemple: Trafic rseaux de plusieurs sites.
77
Le rle dun tel outil est dinformer rapidement un administrateur sur ltat des lignes de son rseau et si il
est coupl avec un outil de supervision, dtre averti en cas de surcharge ou de coupure sur un segment.
Dans lexemple ci-dessus, le graphe indique lendroit exact de la coupure en prcisant la machine affecte.
Il permet galement danticiper les volutions prvoir grce une vision synthtique de la consommation
de bande passante sur le rseau.
6.6.7 Lanalyse
Lanalyse dun rseau consiste utiliser un dispositif technique permettant dcouter le trafic, de le capturer puis de lanalyser afin de permettre un diagnostique trs fin de son rseau. Ce dispositif est communment appel analyseur rseau, mais galement analyseur de trames ou sniffer en anglais.
Cette prouesse est rendu possible dans un rseau non commut par le fait que les donnes sont envoyes
toutes les machines du rseau. Dans le cadre dun fonctionnement normal, les machines ignorent les
paquets qui ne leur sont pas destins. Ainsi, en utilisant linterface rseau dans un mode spcifique appel
promiscuous, il est possible dcouter tout le trafic passant par un adaptateur rseau (carte rseau ethernet,
carte rseau Wifi,etc.).
Un analyseur est un outil permettant par ce biais dtudier le trafic dun rseau. Il sert gnralement aux
administrateurs pour diagnostiquer les problmes sur leur rseau ainsi que pour connatre le trafic qui y
circule. Malheureusement, comme tous les outils dadministration, le sniffer peut galement servir une
personne malveillante ayant un accs physique au rseau pour collecter des informations.
La grande majorit des protocoles Internet font transiter les informations en clair, cest--dire de manire
non chiffre. Ainsi, lorsquun utilisateur du rseau consulte sa messagerie via le protocole POP ou IMAP,
ou bien surfe sur internet sur des sites dont ladresse ne commence pas par HTTPS, toutes les informations
envoyes ou reues peuvent tre interceptes. Cest comme cela que des analyseurs ont t mis au point
par des pirates afin de rcuprer les mots de passe circulant dans le flux rseau.
Ce risque est encore plus important sur les rseaux sans fil car il est difficile de confiner les ondes hertziennes dans un primtre dlimit, si bien que des personnes malveillantes peuvent couter le trafic en
tant simplement dans le voisinage et utiliser des utilitaires spcifiques afin de sintroduire dans un rseau
mal scuris.
Les analyseurs de rseaux sont donc des assistants prcieux de ladministrateur en lui permettant de vrifier
de faon trs prcise le niveau de scurit de son rseau, sous rserve que ladministrateur en question
possde les comptences pointues indispensables lusage de ce type doutil.
6.6.8.1 Logiciel de supervision
Au sein dun tablissement, nous recommandons lusage dun logiciel de supervision issue du monde du
logiciel libre permettant de surveiller le fonctionnement et les performances de tous les lments de son
rseau mais galement des principaux serveurs.
Les quipements du rseau ainsi que les serveurs amens tre surveills devront imprativement implmenter le protocole SNMP et ce dernier devra bien videmment tre activ.
Dans un souci de simplicit et de performance, nous conseillons de recourir CACTI, qui est un logiciel
libre et gratuit qui fonctionne sur un serveur Linux/Apache/MySql/PhP et qui est un compromis raisonnable entre la puissance et la complexit. Il nen reste pas moins un outil qui ncessite de bonnes connaissances en terme de systme et de rseau.
Il permet une reprsentation graphique du statut de priphriques rseau utilisant SNMP, mais galement
de dvelopper grce des scripts (Bash, PHP, Perl,) des fonctions avances. Les donnes sont ensuite
rcoltes auprs des agents SNMP ou des scripts locaux.
CACTI est entirement bas sur le principe de modles (Templates) qui permettent de crer de manire
gnrique les graphiques que lon souhaite. Cest un systme prcieux lorsque de nombreuses donnes
identiques doivent tre observes, mais qui peut se rvler fastidieux configurer lorsque les donnes sont
htrognes.
78
Cacti gnre les graphiques dynamiquement, partir des fichiers de donnes RRDTool, chaque affichage
dune page dans linterface Web, ce qui permet deffectuer une supervision en temps rel des lmrnts du
rseau.
Loutil et sa documentation (en anglais) sont disponibles en tlchargement libre sur le site:
http://www.cacti.net/
Pour les tablissements souhaitant mettre en place une supervision avance et disposant dun administrateur expriment, le dploiement de la solution libre CENTREON est recommande.
Loutil et sa documentation sont disponibles en tlchargement libre sur le site:
http://www.centreon.com/fr/
6.6.8.2 Analyseurs
Au sein dun tablissement, nous recommandons lusage dun logiciel de supervision issue du monde du
logiciel libre fonctionnant sur un PC ordinaire et permettant deffectuer une analyse des flux transitant
sur le rseau local des fins de diagnostique mais galement de supervision et de contrle du niveau de
scurit.

Lutilisation doutil de ce type doutil ncessite de la part de ladministrateur de solides connaissances dans
le domaine des rseaux, des protocoles et des normes. Une formation pralable est en gnral souhaitable.
Nous recommandons lutilisation du logiciel libre et gratuit Wireshark, anciennement appel Ethereal qui
permet grce la capture du trafic du rseau danalyser ce jour 759 protocoles diffrents. Wireshark est
multiplate-forme, il fonctionne parfaitement sous Windows, Mac OS X et Linux.
Loutil et sa documentation sont disponibles en tlchargement libre sur le site:
http://www.wireshark.org/
Il nexiste ce jour pas de version franaise de ce produit, toutefois des tutoriels en franais sont disponibles en quantit sur Internet.
7 Sites de rfrences
7.1 Site du rseau
Ce guide est disponible dans une version rgulirement mise jour sur:
http://drtic.educagri.fr/
Il est complt par des fiches techniques et de la documentation.
7.2 Sites des distributions

7.2.1 IpCop
Site officiel: http://www.ipcop.org/
Site des extensions: http://www.ipcopaddons.org/
79
7.2.2 PfSense
Site officiel: http://www.pfsense.org/
Forums: http://forum.pfsense.org/
7.3
Sites complmentaires
Site francophone ddi aux distributions Linux scurises: http://www.ixus.fr/

Forums francophone pour IpCop & PfSense: http://forums.ixus.fr/

Guide Reseaux

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guide Reseaux

Transféré par

Droits d'auteur :

Formats disponibles

Les rseaux des EPLEFPA

Chantier national DRTIC

Architecture des rseaux en EPLEFPA

Table des matires

Les rseaux des EPLEFPA

Les rseaux des EPLEFPA

1.3 Structures des EPLEFPA

Les rseaux des EPLEFPA

1.3.1 EPLEFPA mono-site mono-rseau

Les rseaux des EPLEFPA

1.3.2 EPLEFPA mono-site multi-rseaux:

Les rseaux des EPLEFPA

1.3.3 EPLEFPA multi-sites multi-rseaux

Les rseaux des EPLEFPA

2 Infrastructure physique des rseaux

Les rseaux des EPLEFPA

Les rseaux des EPLEFPA

2.2 Technologies cbles

Les rseaux des EPLEFPA

Les rseaux des EPLEFPA

Les rseaux des EPLEFPA

Les rseaux des EPLEFPA

2.3 Technologies sans fil

Les rseaux des EPLEFPA

Les rseaux des EPLEFPA

Les rseaux des EPLEFPA

Les rseaux des EPLEFPA

Les rseaux des EPLEFPA

3.1 Les hubs

3.2 Switch ou commutateur

Les rseaux des EPLEFPA

Les rseaux des EPLEFPA

3.2.3 Les fonctions avances

Les rseaux des EPLEFPA

Les rseaux des EPLEFPA

3.3 Les ponts

3.4 Les routeurs

Les rseaux des EPLEFPA

3.4.3 Les algorithmes de routage

3.5 Les quipements Box ou triple play

Les rseaux des EPLEFPA

3.6 Les lments actifs Wifi

Les rseaux des EPLEFPA

3.6.2 Les cartes Wi-Fi

3.6.3 Les antennes

Les rseaux des EPLEFPA

IEEE 802.1d (Spanning Tree)

Les rseaux des EPLEFPA

4 Infrastructure logique des rseaux

Normaliser laspect des applications

Les rseaux des EPLEFPA

Les rseaux des EPLEFPA

4.1.3 Les principaux protocoles du modle TCP/IP

Les rseaux des EPLEFPA

Les rseaux des EPLEFPA

Les rseaux des EPLEFPA

4.2.2 Adressage statique

4.3 Introduction IPV6

Les rseaux des EPLEFPA

Les rseaux des EPLEFPA

4.4.3 Segmentation en sous-rseaux IP

ou en 1 sous-rseau de 126 adresses et 2 de 62 adresses; cela donne:

4.5 Les Vlan ou rseaux virtuels

Les rseaux des EPLEFPA