Admin Poste Client Gest Access

Administration des postes
et
gestion des accès
SN2
Jean-Christophe FORTON
Administration des postes et gestion des accès
SOMMAIRE
1. Les VPNs
2. Les di érents types de VPN
3. Les protocoles utilisés pour les VPN
4. Implémentation d’une solution VPN
5. Pourquoi l’administration des postes
6. Simple Network Management Protocol
7. La Management Information Base (MIB)
2
ff
Sommaire
Les VPNs
3
Les VPNs
Un VPN ou RPV (réseau privé virtuel) est une technique permettant à
un ou plusieurs postes distants de communiquer de manière sure.
Il permet d'utiliser les infrastructures publiques (Internet).
Ce type de liaison est apparu suite à un besoin croissant des
entreprises de relier les di érents sites de façon simple et économique.
Jusqu'à l'avènement des VPN, les sociétés devaient utiliser des
liaisons Transpac, ou des lignes louées (LS).
Les VPN ont permis de démocratiser ce type de liaison.
ff
Les VPNs
5
Les VPNs
Un réseau VPN repose sur un protocole appelé "protocole de
tunneling".
Ce protocole permet de faire circuler les informations de l'entreprise
de façon cryptée d'un bout à l'autre du tunnel.
Les utilisateurs ont l'impression de se connecter directement sur le
réseau de leur entreprise.
Le tunneling consiste à construire un chemin virtuel après avoir
identi é l'émetteur et le destinataire.
La source chi re les données et les achemine en empruntant ce
chemin virtuel.
6
fi
ff
Les VPNs
Pour assurer un accès aisé et peu coûteux aux intranets / extranets
d'entreprise, les VPN d'accès simulent un réseau privé.
Ils utilisent en réalité une infrastructure d'accès partagé, comme
Internet.
Les données à transmettre peuvent être prises en charge par un
protocole di érent d'IP.
Dans ce cas, le protocole de tunneling encapsule les données en
ajoutant un en-tête.
Le tunneling est l'ensemble des processus d'encapsulation, de
transmission et de désencapsulation.
7
ff
Les VPNs
Les principaux avantages d'un VPN :
• Sécurité : assure des communications sécurisées et chi rées;
• Simplicité : utilise les circuits de télécommunication classiques;
• Économie : utilise Internet en tant que média principal de
transport, ce qui évite les coûts liés à une ligne dédiée.
8
Les VPNs
Les contraintes d'un VPN :
Le principe d'un VPN est d'être transparent pour les utilisateurs et pour les
applications y ayant accès. Il doit être capable de mettre en oeuvre les
fonctionnalités suivantes :
• Authenti cation d'utilisateur : seuls les utilisateurs autorisés doivent avoir accès
au canal VPN;
• Chi rement des données : lors de leur transport sur Internet, les données
doivent être protégées par un chi rement e cace;
• Gestion de clés : les clés de chi rement pour le client et le serveur doivent
pouvoir être générées et régénérées (pertes, vols, licenciement);
• Prise en charge multi protocoles : la solution VPN doit supporter les protocoles
les plus utilisés sur Internet (en particulier IP).
9
ff
fi
ff
ff
Sommaire
Les di érents types de VPN
10
ff
Suivant les besoins, on référence 3 types de VPN :
• Le VPN d'accès;
• L'intranet VPN;
• L'extranet VPN.
11
ff
Le VPN d'accès :
Il est utilisé pour permettre à des utilisateurs itinérants d'accéder
au réseau de leur entreprise.
L'utilisateur se sert d'une connexion Internet a n d'établir une
liaison sécurisée.
12
ff
L'intranet VPN :
Il est utilisé pour relier deux ou plusieurs intranets entre eux.
Utile au sein d'une entreprise possédant plusieurs sites distants.
Utilisée pour le partage de données, de ressources, exploitation de
serveurs distants… comme à l’école :)
13
ff
L'intranet VPN :
14
ff
L'extranet VPN :
Une entreprise peut utiliser le VPN pour communiquer avec ses
clients et ses partenaires.
Elle ouvre alors son réseau local à ces derniers et il est nécessaire
d'avoir une authenti cation forte des utilisateurs, ainsi qu'une trace
des di érents accès.
Souvent, seule une partie des ressources est partagée, ce qui
nécessite une gestion rigoureuse des espaces d'échange.
15
ff
ff
fi
L'extranet VPN :
16
ff
Sommaire
Les protocoles utilisés pour les VPN
17
Les protocoles utilisés dans le cadre d'un VPN sont de 2 types,
suivant le niveau OSI:
•Les protocoles de niveau 2 comme PPTP ou L2TP.
•Les protocoles de niveau 3 comme IPsec ou MLPS
18
PPP (Point to Point Protocol)
PPP est un protocole qui permet de transférer des données en full
duplex et garantit l'ordre d'arrivée des paquets.
Il encapsule les paquets dans des trames PPP, puis transmet ces
paquets encapsulés au travers de la liaison point à point.
PPP est employé généralement entre un client d'accès à distance
et un serveur d'accès réseau. (eg. accès internet)
PPP n'est pas sécurisé mais sert de support aux protocoles PPTP
ou L2TP.
19
PPTP (Point to Point Tunneling Protocol)
Le principe du protocole PPTP est de créer des paquets et de les
encapsuler dans des paquets IP.
Le tunnel PPTP se caractérise par :
• une initialisation du client ;
• une connexion de contrôle entre le client et le serveur ;
• la clôture du tunnel par le serveur.
20
L2TP (Layer Two Tunneling Protocol)
L2TP est issu de la convergence des protocoles PPTP et L2F
(Layer Two Forwarding).
Il est développé et évalué conjointement par Cisco, Microsoft,
3Com ainsi que d'autres acteurs du marché des réseaux.
Il permet l'encapsulation des paquets PPP au niveau des couches
2 (Frame Relay et Atm) et 3 (IP).
Lorsqu'il est con guré pour transporter les données sur IP, L2TP
peut être utilisé pour faire du tunneling sur Internet.
21
fi
IPSec
Le réseau IPv4 étant largement déployé et la migration vers IPv6
étant inévitable mais longue, il est intéressant de développer des
techniques de protection des données communes à IPv4 et IPv6.
Ces mécanismes sont couramment désignés par le terme IPSec
pour IP Security Protocols.
IPSec est basé sur deux mécanismes:
• AH → Authenti cation Header
• ESP → Encapsulating Security Payload
22
fi
Authenti cation Header
AH vise à assurer l'intégrité et l'authenticité des paquets IP.
Il ne fournit par contre aucune con dentialité !
Encapsulating Security Payload
ESP peut aussi permettre l'authenti cation des données mais est
principalement utilisé pour le chi rement des informations.
Bien qu'indépendants, ces deux mécanismes sont presque
toujours utilisés conjointement.
23
fi
La gestion des clefs
Les protocoles sécurisés ont recours à des algorithmes de
chi rement et ont donc besoin de clefs.
Un des problèmes principaux dans ce cas est la gestion de ces clefs.
Ces di érentes tâches sont dévolues à des protocoles spéci ques à
savoir :
• ISAKMP (Internet Security Association and Key Management
Protocol)
• IKE (Internet Key Exchange)
24
ff
ff
IPSec peut fonctionner :
• dans un mode transport hôte à hôte
• dans un mode tunnel réseau.
25
Mode transport
Dans le mode transport, ce sont uniquement les données
transférées (le payload du paquet IP) qui sont chi rées et/ou
authenti ées.
Le reste du paquet IP est inchangé et de ce fait le routage des
paquets n'est pas modi é.
Cependant, les adresses IP ne pouvant pas être modi ées sans
corrompre le hash de l'en-tête AH généré par IPSec, pour traverser
un NAT il faut avoir recours à l'encapsulation NAT-T.
26
fi
fi
Mode tunnel
En mode tunnel, c'est la totalité du paquet IP qui est chi ré et/ou
authenti é.
Le paquet est ensuite encapsulé dans un nouveau paquet IP avec
une nouvelle en-tête IP.
Au contraire du mode transport, ce mode supporte donc bien la
traversée de NAT.
27
fi
SSL (Secure Socket Layer) —> TLS (Transport Layer Security)
SSL est un protocole de niveau 4 utilisé par une application pour
établir un canal de communication sécurisé avec une autre
application.
SSL a deux grandes fonctionnalités :
• l'authenti cation du serveur et du client à l'établissement de la
connexion ;
• le chi rement des données durant la connexion.
28
ff
fi
Sommaire
Implémentation d’une solution VPN
29
Implémentations logicielles
Racoon, s'intègre au noyau Linux et permet de gérer les authenti cations
suivantes:
• Mot de passe de groupe (tous les utilisateurs ont le même mdp)
• Login / password
• Certi cats x509
OpenVPN, s'installe comme paquetage et permet de gérer les
authenti cations suivantes:
• Certi cats SSL
• Login / password
30
fi
fi
fi
Implémentations logicielles
EJBCA (Enterprise Java Bean Certi cates Authority), est certainement la
PKI la plus aboutie (gratuite) et permet de gérer :
• La création de certi cats;
• Le renouvellement ;
• Certi cats x509 ;
• SCEP (Simple Certi cates Enrollment Protocol)
• OCSP (Open Certi cates Status Protocol)
31
fi
fi
fi
fi
Implémentations matérielles
• Zyxel VPN100
• Cisco ASA5505
• Juniper SRX100
32
Distributions dédiées et gratuites
Monowall
PfSense
IpCop
33
Sommaire
Pourquoi l’administration des postes ?
34
Pourquoi l’administration des postes
Comment connaître l'état d'un équipement réseau, d'un système
ou d'une application ?
Comment con gurer à distance ?
Comment faire de la gestion / supervision de masse ?
Comment centraliser ces informations ?
(Security Information Management)
35
fi
La gestion et la surveillance du réseau et des services sont primordiaux.
Complexité et hétérogénéité imposent des standards pour réduire les coûts.
Les methodes ad-hoc ne su sent pas à assurer le suivi:
ping ;
traceroute ;
netstat ;
telnet ;
interface web sur les matériels ;
whois ;
...
36
ffi
Les di érents éléments à prendre en compte
Gestion des fautes : récupérer, isoler, réparer les fautes ;
Gestion de l’utilisation : suivi de l'utilisation des ressources ;
Gestion des con gurations : déploiement et maintenance de la
con guration des ressources ;
Gestion de la performance : repose sur la surveillance et le
contrôle des ressources ;
Gestion de la sécurité : protection des informations et contrôle des
accès.
37
fi
ff
fi
Un système d'exploitation enregistre des informations sur son
fonctionnement
• /var/log → les journaux
• /proc → indicateurs sur le matériel
• /dev → périphériques connectés
Comment récupérer ces informations ?
38
Un équipement enregistre des informations sur son fonctionnement
• nombre de connexions ;
• nombre de paquets reçus / transmis / jetés ;
• utilisation CPU / mémoire ;
• quantité de toner / papier disponible ;
• température de fonctionnement ;
• ...
39
Une application enregistre des informations sur son
fonctionnement
• bugs / erreurs ;
• logs ;
• nombre de threads / processus ;
• temps de réponse ;
• …
40
Sommaire
Simple Network Management Protocol
41
La première version de SNMP (SNMPv1) a été conçue n 1980.
Sa conception permettait de gérer la plupart des contraintes que nous
avons dé nies dans la partie précédente.
Elle possède les problèmes suivants :
• manque de hiérarchie;
• peu de codes d’erreur et de noti cations;
• faibles performances;
• sécurité laxiste;
• etc…
42
fi
fi
Les limitations de SNMPv1 déclenche le développement de SNMPv2:
• SNMPv2p (historique):
améliorations sur les opérations du protocole existantes, ajout de nouvelles
opérations, de nouveaux types de données.
• SNMPv2c (community):
Amélioration des opérations et types de SNMPv2p
Utilise la sécurité par chaîne de caractères ''community''.
• SNMPv2u (expérimental):
Utilise les opérations et types de SNMPv2c
Sécurité basée sur les usagers
43
La version la plus utilisée est SNMPv2c
Introduction en 1997 de SNMPv3.
Avantages de SNMPv3:
• sécurité plus importante
• gestion hiérarchisée
Inconvénients de SNMPv3:
• complexité énorme
• di cultés d’implémentation
• mise en œuvre délicate
44
ffi
SNMP exploite les capacités du protocole de transport UDP :
• Chaque trame possède une adresse source et une adresse
destination
• Un checksum optionnel qui couvre l'entête et les données de la
trame.
• Deux ports sont désignés pour l'utilisation de SNMP :
Port 161 pour les requêtes à un agent SNMP.
Port 162 pour l'écoute des alarmes destinées à la station
d'administration.
45
Le protocole SNMP se base sur le fait qu’il existe une station de
gestion réseau, le manager, dont le rôle est de contrôler le réseau
et de communiquer via ce protocole avec un agent.
L’agent est de manière générale une interface SNMP embarquée
sur le matériel destiné à être administré à distance.
46
47
Les commandes suivantes sont émises par le manager à destination d'un
agent :
• get-request
• get-next-request
• set-request
Elles attendent toutes une réponse get-response de la part de l'agent.
Les traps sont des alertes.

Elle sont toujours émises par l'agent à destination du manager, et n'attendent
pas de réponse.
48
Sommaire
La Management Information Base (MIB)
49
La MIB est l'ensemble des informations structurées sur une entité
réseau qui peuvent être récupérées et / ou modi ées.
Elle est structurée de la sorte:
50
Structure de la MIB
Elle est organisée hiérarchiquement, de la même façon que l'arborescence
des domaines Internet.
Elle contient une partie:
• commune à tous les agents SNMP en général;
• commune à tous les agents SNMP de même type;
• spéci que à chaque constructeur.
Elle peut contenir des scalaires (valeurs uniques) ou des tableaux de
scalaires.
La structure est normalisée ainsi que les appellations des diverses rubriques.
51
fi
Accès à un élément
La structure de la MIB est hiérarchique : les informations sont
regroupées en arbre.
Chaque information a un Object Identi er (OID):
• une suite de chi res séparés par des points (identi ant unique);
• un nom indiqué dans le document qui décrit la MIB.
52
ff
53

Admin Poste Client Gest Access

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Admin Poste Client Gest Access

Transféré par

Droits d'auteur :

Formats disponibles

Administration des postes

Les di érents types de VPN

Les protocoles utilisés pour les VPN

Implémentation d’une solution VPN

Pourquoi l’administration des postes ?

Comment récupérer ces informations ?

Simple Network Management Protocol

Les traps sont des alertes.

La Management Information Base (MIB)

Vous aimerez peut-être aussi