Download - L'INTERCONNEXION DES RESEAUX
Yonel Grusson 1
Les RESEAUX
Yonel Grusson 2
L'INTERCONNEXION DES RESEAUX
Yonel Grusson 3
Introduction
La protection et la sécurité des données
échangées sur les réseaux publics et locaux
doit être complétée par la maîtrise du trafic
des informations qui les traversent.
Yonel Grusson 4
PLANLe Virtual Local Area Network (VLAN) avec l'aide de
Roger SANCHEZ du Certa
Le Virtual Private Network (VPN)Les techniques du filtrage
Le routage filtrantLe pare-feu (Firewall)Le serveur NAT (Network Adress Translation)Le serveur Proxy
Notion de "Zone Démilitarisée" (DMZ)
Introduction
Yonel Grusson 5
Le VLAN
• L'idée du VLAN est de regrouper des machines d'un réseau local et de limiter la diffusion des informations qu'entre les membres de ce groupe de machines.
• On parlera de réseau virtuel car les machines restent physiquement connectés aux autres machines.
• Le "dispatching" des trames est assuré par les appareils d'interconnexion du réseau commuté.
Yonel Grusson 6
Le VLAN
A
G F
E
C
DB
I H
VLAN 1 : A, C, E, G, I
VLAN 2 : B, D, F, H
SWITCH
Yonel Grusson 7
Les postes appartenant au même Vlan peuvent communiquer entre eux. Les Switchs ne diffusant pas les trames ARP entre les VLAN. Un Vlan définira donc un domaine de Broadcast
Comment des postes de VLAN différents peuvent communiquer ? Sans l'utilisation d'interface 802.1q, des postes qui sont dans des domaines de Broadcast (Vlan) différents pourront communiquer entre eux par l’intermédiaire d’un routeur.
Le VLAN
Yonel Grusson 8
Le VLAN
A
C
DB
VLAN 1 : A, C, RRéseau IP : IP1
VLAN 2 : B, D, SRéseau IP : IP2
SWITCH
R S
Routeur
Remarque : Les VLAN doivent définir des réseaux IP différents
Yonel Grusson 9
Il y a 3 façons de déterminer l'appartenance à
un VLAN :
Les VLAN par port (VLAN de niveau 1) :
L'appartenance d'une interface réseau à un
VLAN est déterminée par sa connexion sur
un port du commutateur (dépendance
géographique).
1 VLAN = 1 regroupement de ports
Le VLAN
Yonel Grusson 10
Il y a 3 façons de déterminer l'appartenance à
un VLAN :
Les VLAN par adresse MAC (VLAN de
niveau 2) : L'appartenance au VLAN est ici
déterminée par l'adresse MAC de l'interface
(indépendance géographique – portable par
exemple).
1 VLAN = 1 regroupement d'adresses MAC
Le VLAN
Yonel Grusson 11
Il y a 3 façons de déterminer l'appartenance à
un VLAN :
Les VLAN par adresse de niveau 3 -IP par
exemple- (VLAN de niveau 3) : Le
regroupement se fait ici sur l'adresse de
niveau 3 ou supérieur.
1 VLAN = 1 regroupement d'adresses de niveau 3
Le VLAN
Yonel Grusson 12
La norme Ethernet 802.1Q date de décembre 1998 avec une amélioration en 2003. Elle définit, normalise et organise la notion de VLAN.
L'implantation de cette norme est encore récente. Peu d'interface réseau la prennent en compte, en conséquence elle est mise en œuvre par les commutateurs qui offrent souvent des fonctionnalités propriétaires.
Le VLAN – La norme 802.1Q
Yonel Grusson 13
Cette norme définit explicitement les VLAN par port (port-based VLAN). Dans ce contexte l'appartenance à un VLAN se fait par l'association du port à ce VLAN.
La norme peut être mise en œuvre par l'interface réseau ou le commutateur.
Par conséquent un port ne peut appartenir qu'a un seul VLAN sauf si le port est un port d'interconnexion et si le port est associé à une interface normalisée 802.1q.
Le VLAN – La norme 802.1Q
Yonel Grusson 14
Le VLAN – La norme 802.1Q
Vlan 1 : A, F et E
Vlan 2 : C et D
Vlan 3 : H et I
Port B d'interconnexion appartient aux Vlan 1 et 2
Port G connecté sur une machine 802.1q appartient aux Vlan 2 et 3
Les appareils reconnaissants la norme 802.1q sont dits "Vlan informé" (Vlan aware) dans le cas contraire "Vlan non-informé" (Vlan unaware)
Port A
Port C
Port G
Port D
Port B
Port E
Port F
Commutateur 2
Interface compatible 802.1q
Port H
Interface Non compatible 802.1q
Port I
Commutateur 1
Yonel Grusson 15
La norme Ethernet 802.1Q définit 3 types de trame Ethernet :
La trame non étiquetée (Untagged frame)La trame ne contient aucun information d'appartenance à un VLAN. Étiquette implicite sur le contenu (@MAC, IP) ou le port de rattachement.
Le VLAN – La norme 802.1Q
@ MAC
Destination
@ Mac
Source
Longueur
Ou TypeDonnées FCS
6 octets 6 octets 2 octets 46 a 1500 octets 4 octets
Rappel trame Ethernet II et 802.3
Yonel Grusson 16
La trame étiquetée (Tagged frame)
La trame étiquetée d'un priorité (Priority-Tagged frame)Ces trames contiennent une information, étiquette explicite, d'appartenance à un VLAN
Le VLAN – La norme 802.1Q
@ MAC
Destination
@ Mac
SourceTPID Données FCS
6 octets 6 octets 2 octets 42 a 1500 octets 4 octets
TCI-Tag
2 octets
Longueur
Ou Type
2 octets
Yonel Grusson 17
TPID (VLAN Tag Protocol Identifier) :Valeur fixée à
(8100)h, identificateur de la trame 802.1Q
Le VLAN – La norme 802.1Q
Priorité CFI VID
3 bits 1 bit 12 bits
VLAN Tag
@ MAC
Destination
@ Mac
SourceTPID Données FCS
6 octets 6 octets 2 octets 42 a 1500 octets 4 octets
TCI-Tag
2 octets
Longueur
Ou Type
2 octets
Yonel Grusson 18
Priorité : Il est possible d'affecter 8 niveaux de priorité
à la trame. Champ utilisé aussi en dehors des Vlan.
Fonctionnalité décrite dans la norme 802.1p.
CFI (Canonical Format Identifier) : = 1 pour les
réseaux 802.3 ; = 0 pour Token Ring
VID (Vlan Identifier) : Permet d'identifier un VLAN
afin d'y affecter la trame.
Le VLAN – La norme 802.1Q
Priorité CFI VID
3 bits 1 bit 12 bits
Yonel Grusson 19
Le VLAN – La norme 802.1Q
Un commutateur VLAN-Informé gérera les VLAN à l'aide de 3 structure de données : La table habituelle Port / @Mac qui
enregistre l'adresse Mac de l'interface connectée au port.
La table Port / VLAN qui enregistre l'appartenance d'un port à un ou plusieurs VLAN.
Une file d'attente pour gérer les priorités
Yonel Grusson 20
Le VLAN est défini par l'administrateur au
niveau du commutateur qui dans ce cas doit
être manageable en général à l'aide d'un
navigateur Web et/ou un client Telnet.
Première étape :
Création d'un VLAN en lui affectant un
identificateur (VID) associé parfois à un
nom.
Le VLAN – La norme 802.1Q
Yonel Grusson 21
Le VLAN – La norme 802.1QDeuxième étape :
Affectation des ports aux VLAN. Ainsi un port, vis à vis d'un VLAN*, peut être :
• Exclu du VLAN (No)
• Non Etiqueté (Untagged). Le port est associé à un seul VLAN
* Un port peut être également fermé (forbid) ; dans ce cas aucun trafic n'est envoyé sur ce port par le commutateur.
Yonel Grusson 22
Le VLAN – La norme 802.1QDeuxième étape :
Affectation des ports aux VLAN :
• Étiqueté (Tagged). Les trames qui entrent et sortent par ce type de port sont marquées par un champs 802.1Q.Un port "Tagged" peut appartenir à plusieurs VLAN. Un port étiqueté doit être relié soit à une interface réseau 802.1q soit à un autre port étiqueté (interconnexion de switchs)
Yonel Grusson 23
L'interconnexion de plusieurs commutateurs "contenant" des VLAN peut être :
Statique c'est à dire créée manuellement par l'administrateur
Dynamique, la création se fait à la suite d'un échange d'information entre les commutateurs. Ce type de création se fait à l'aide du protocole GVRP qui doit être activé sur le commutateur.
Le VLAN – La norme 802.1Q
Yonel Grusson 24
Quelques règles :
Une trame doit être associée à un VLAN et à un seul
Un commutateur peut gérer plusieurs VLAN
Un VLAN peut s'étendre sur plusieurs commutateurs
Un port peut être rattaché à plusieurs VLAN
Un station peut communiquer avec plusieurs VLAN avec une interface 802.1q.
Le VLAN – La norme 802.1Q
Yonel Grusson 25
VLAN - Exemples
1 2 3 4 5 6
A
B
C
D
Nom VID
Default_VLAN 1
ROUGE 2
BLEU 3
Déclaration des VLAN
Assignation des ports – Solution Untagged
Port Default_Vlan Rouge Bleu
1 No No Untagged
2 No Untagged No
3 No Untagged No
4 No No Untagged
5 Untagged No No
6 Untagged No No
Un seul "Untagged" par ligne
Yonel Grusson 26
VLAN - Exemples
1 2 3 4 5 6
A C
1 2 3 4 5 6
B D
Assignation des ports
Solution UntaggedPort Default_Vlan Rouge Bleu
1 No Untagged No
2 No Untagged No
3 No No Untagged
4 No No Untagged
5 Untagged No No
6 Untagged No No
Second commutateur
Port Default_Vlan Rouge Bleu
1 No No Untagged
2 No Untagged No
3 No Untagged No
4 No No Untagged
5 Untagged No No
6 Untagged No No
Premier commutateur
Yonel Grusson 27
Assignation des ports :
Solution entièrement "Untagged"
Les configurations précédentes montrent 2 VLAN complètement indépendants. Le trafic d'un VLAN ne "croise" jamais celui de l'autre.
On peut noter que dans cette configuration, il est possible d'associer un sous-réseau IP à chaque VLAN et mettre en place un routeur pour faire communiquer les deux VLAN.
VLAN - Exemples
Yonel Grusson 28
Assignation des ports :
Solution entièrement "Untagged"
Attention de ne pas mettre deux interconnexions sur le même VLAN au risque de créer une boucle et d'entraîner un disfonctionnement du commutateur.Pour éviter ce problème, il faut activer le Spanning Tree.
VLAN - Exemples
Yonel Grusson 29
VLAN - Exemples
1 2 3 4 5 6
A C
1 2 3 4 5 6
B D
Assignation des ports
Port des stations : Untagged
Interconnexion : Tagged
Port Default_Vlan Rouge Bleu
1 No Tagged Tagged
2 No Untagged No
3 Untagged No No
4 No No Untagged
5 Untagged No No
6 Untagged No No
Second commutateur
Port Default_Vlan Rouge Bleu
1 No No Unagged
2 No Tagged Tagged
3 No Unagged No
4 Untagged No No
5 Untagged No No
6 Untagged No No
Premier commutateur
Yonel Grusson 30
Assignation des ports :
Port des stations sont déclarés Untagged
Ports d'interconnexion sont déclarés Tagged
Dans cette solution les stations ne peuvent appartenir qu'a un seul VLAN
Les trames sont étiquetées par les ports d'interconnexion
VLAN - Exemples
Yonel Grusson 31
VLAN - Exemples
1 2 3 4 5 6
A C
1 2 3 4 5 6
B D
Assignation des ports
Solution Tagged Port Default_Vlan Rouge Bleu
1 No Tagged Tagged
2 No Tagged No
3 Untagged No No
4 No No Tagged
5 Untagged No No
6 Untagged No No
Second commutateur
Port Default_Vlan Rouge Bleu
1 No No Tagged
2 No Tagged Tagged
3 No Tagged No
4 Untagged No No
5 Untagged No No
6 Untagged No No
Premier commutateur
Yonel Grusson 32
Assignation des ports :
Tous les ports sont déclarés Tagged
Dans cette solution les stations :
doivent être configurées 802.1Q
peuvent accéder à plusieurs VLAN
VLAN - Exemples
Yonel Grusson 33
VLAN - ExemplesAssignation des ports
Accès au serveur (A) Port Default_Vlan Rouge Bleu
1 No Tagged Tagged
2 Untagged Tagged Tagged
3 Untagged No No
4 No No Untagged
5 Untagged No No
6 No Untagged No
Second commutateur
Port Default_Vlan Rouge Bleu
1 No No Untagged
2 No Tagged Tagged
3 No Untagged No
4 Untagged No No
5 Untagged No No
6 Untagged No No
Premier commutateur
1 2 3 4 5 6
C
1 2 3 4 5 6
B D
EA
Yonel Grusson 34
Assignation des ports : Accès au serveur
En général les serveurs doivent être accessibles par toutes les stations. Les serveurs doivent donc appartenir à tous les VLAN.
On peut noter ici qu'il est aussi possible de sécuriser un réseau en rattachant le ou les serveurs à un VLAN particulier.
VLAN - Exemples
Yonel Grusson 35
Notion de port TRUNKING :
Un TRUNK permet d'associer plusieurs liens
d'interconnexion entre 2 commutateurs.
Le trafic est réparti sur les liens du TRUNK ce
qui améliore de débit
L'ensemble des liens du TRUNK est vu par
l'administrateur comme un seul lien.
VLAN - Exemples
Yonel Grusson 36
VLAN - Exemples
1 2 3 4 5 6
A C
1 2 3 4 5 6
B D
Trunk
Yonel Grusson 37
Exemple de configuration d'un Switch HP Procurve 2524
Le VLAN
Connexion au Switch à l'aide d'un navigateur
Fibre optique Switchs stackés
Yonel Grusson 38
Le VLAN
Utilisation de Telnet
Informations sur le système
Yonel Grusson 39
Le VLAN
Liste des Vlan existantsCréer un VLan
Assignation des ports au VLan
Yonel Grusson 40
• Intérêts du VLAN– Le trafic est contrôlé.– Le déplacement d'une machine d'un VLAN à un
autre se fait simplement par la configuration du commutateur. Alors qu'un séparation physique des LAN oblige à modifier le câblage (jarretières).
• Inconvénients– Augmentation du travail d'administration.– Matériels plus coûteux, doivent coopérés entre eux.
Les protocoles sont souvent propriétaires.
Le VLAN
Yonel Grusson 41
Le VPN
Le Virtual Private Network (VPN) trouve son origine dans la recherche d'une interconnexion sécurisée des réseaux locaux au travers des réseaux publics, en particulier de l'Internet (où l'information circule en clair).
A l'heure actuelle les VPN se placent surtout dans le contexte de l'Internet.
Note : La technique traditionnelle pour construire un réseau privé est d'utiliser des lignes spécialisée (louée), Numeris ou le RTC (cf. cours sur les réseaux de transports)
Yonel Grusson 42
Le VPNQu'est-ce qu'un VPN ?Un VPN va consister à transmettre les données
portées par un protocole (TCP/IP en général) par l'intermédiaire d'un autre protocole.
On parlera de protocole de "tunneling" (tunnel) qui : après avoir authentifié les deux extrémités, permettra de créer un chemin virtuel du
client vers le serveur, puis de faire transiter les données après les
avoir cryptées et compressées.
Yonel Grusson 43
Le VPN doit donc assurer : L'authentification, en remplaçant ou
sécurisant les protocoles qui ne chiffrent pas l'authentification (HTTP par exemple)
L'intégrité La confidentialité (cryptage) La protection contre le rejeu (gestion des clés) Éventuellement affecter une @IP au client Éventuellement la compression
Le VPN
Yonel Grusson 44
Le VPNLes applications traditionnelles des VPN sont :
L'accès à l'Intranet d'une entreprise depuis l'extérieur (commerciaux en déplacement
Interconnexion de 2 réseaux locaux (sites) d'une organisation
La sécurisation des échanges dans les relations commerciales clients/fournisseurs.
Note : Il également possible d'installer un VPN au sein d'un réseau strictement local.
Yonel Grusson 45
Le VPNVPN d'accès
Connexion d'un client mobile
Internet ou autreréseau public
Tunnel
Client VPN
Réseau
local
Serveur VPN
Yonel Grusson 46
Le VPNVPN interconnexion de sites
Interconnexion de 2 (ou plus) réseaux locaux
Réseau
local
Internet ou autreréseau public
TunnelRéseau
local
Yonel Grusson 47
Le VPN
VPN interconnexion de sites
192.168.1.0/24
P3
P2
P1
192.168.1.1
192.168.2.0/24
P3
P2
P1
192.168.2.1200.8.120.12140.15.40.1
Clien
t VP
N
Serveu
r VP
N
Réseau Public
Yonel Grusson 48
Le VPN
Les composants d'un VPNLe client VPN initie une connexion vers un
serveur VPN. Ce client peut être :Une station (par exemple un poste mobile
qui de l'extérieur crée un VPN avec son entreprise)
Un routeur qui initie un VPN avec un autre routeur. Dans ce cas toutes les stations du réseau local utiliseront le tunnel.
Yonel Grusson 49
Le VPN
Les composants d'un VPN
Serveur VPN qui accepte les demandes des
clients VPN. Symétriquement le serveur peut
donc fournir un :
VPN Accès distant (pour un poste "isolé")
VPN routeur à routeur
Yonel Grusson 50
Le VPN
Les composants d'un VPN
Le tunnel est la portion de connexion dans
laquelle les données sont encapsulées. Les
tunnels VPN peuvent être établis selon 2
modes :
Le mode volontaire qui correspond à un
tunnel entre un client et un serveur VPN.
Yonel Grusson 51
Le VPN
Les composants d'un VPN
Le mode obligatoire qui est établi par : un fournisseur d'accès qui intercepte la
demande du client et fait passer ses données dans le tunnel établi.
L'entreprise entre 2 LAN (routeur à routeur)
Dans ces situations le client ne peut pas éviter le tunnel et n'est pas obliger de posséder le "client VPN".
Yonel Grusson 52
Les protocoles de tunneling
Le VPN
7 - Application
6 - Présentation
5 - Session
4 - Transport
3 - Réseau
2 - Liaison
1 - Physique
PPTP, L2TP sous PPP
IPSEC
SSL/TLS
SSH
Yonel Grusson 53
Le VPN
Les quatre principaux protocoles de VPN sont :Au niveau de la couche 2 (liaison)
PPTP : Point to Point Tunnelling Protocole (consortium : Microsoft, 3Com, etc..) soutenu et utilisé par les systèmes Microsoft.
L2F : Layer Two Forwarding (Cisco) (protocole obsolète)
L2TP : Layer Two Tunnelling Protocol (de l'IETF – Internet Ingineering Task Force), évolution de PPTP et L2F.
Yonel Grusson 54
PPTP et L2TP s'appuie sur PPP (Point to Point Protocol)
PPP encapsule les paquets IP, IPX et NetBeui et permet de transférer les données sur une liaison synchrone et asynchrone. Il est full duplex et assure l'ordre d'arrivée des paquets.
PPP utilise la trame HDLC (cf. cours liaison)
Microsoft utilise L2TP en association avec IPSec
Le VPN
Yonel Grusson 55
Le VPN
Les quatre principaux protocoles de VPN sont :Au niveau de la couche 3 (réseau)
IPSec : IP Sécurity (de IETF) intégrée à la norme IPv6, il est compatible IPv4. IPSec est basé essentiellement sur 4 modules :Internet Key Exchange (IKE) qui prend
en charge la gestion et l'échange des clés utilisées pour le cryptage
IPComp qui compresse le paquet avant sont chiffrement
Yonel Grusson 56
Le VPNAu niveau de la couche 3 (réseau)
IPSec : IP Sécurity (de IETF) est basé essentiellement sur 4 modules :Encapsulation Security Payload (ESP) qui
authentifie et chiffre les paquetsAuthentification Header (AH) qui permet
seulement d'authentifier les paquets.Ici, l'authentification permet d'éviter l'altération des
paquets pendant la transmission avant d'être retransmis (rejeu).
Il ne s'agit de l'authentification de l'émetteur et du destinataire (rôle module IKE).
Yonel Grusson 57
Le VPN
Au niveau de la couche 3 (IPSec)
Les modules ESP et AH authentifient, la différence est qu'ESP crypte en plus.
Le transport des données peut se faire selon 2 modes :
Mode Transport qui protège les données de la
trame IP sans toucher l'en-tête (pas présenté ici)
Mode Tunnel qui encapsule tous les champs de la trame dans une autre trame
Yonel Grusson 58
Le VPNAu niveau de la couche 3 (IPSec – Mode Tunnel)
Module IKE (Internet Key Exchange)Si la trame doit être cryptée le processus
commence par un processus d'authentification des partenaires qui peut se faire à l'aide :De certificats signés par une autorité tiers D'une négociation (handshake) entre les 2
partenaires (absence d'autorité tiers)Utilisation d'un serveur d'authentification
(Radius)
Yonel Grusson 59
Le VPN
Au niveau de la couche 3 (IPSec – Mode Tunnel)
Module AH (Authentification Header)
Trame initiale
Authentifié sauf les champs modifiables de la trame.
DonnéesEn-tête IP En-tête TCP
AHNouvel
En-tête IPDonnéesEn-tête IP En-tête TCP
Yonel Grusson 60
Le VPN
Au niveau de la couche 3 (IPSec – Mode Tunnel)
Module ESP (Encapsulation Security Payload)
Trame initialeDonnéesEn-tête IP En-tête TCP
En-tête
ESP
Nouvel
En-tête IP
Authentifié
DonnéesEn-tête IP En-tête TCP Fin ESPDonnées
Authentifi.
Crypté
Yonel Grusson 61
Le VPN
Au niveau de la couche 3 (réseau)
IPSec est compatible IPv4 et est utilisable aujourd'hui avec tous les systèmes réseau. Il pose néanmoins encore quelques problèmes :
Difficulté de la mise en œuvre.
Incompatibilité avec la fonction NAT.
Difficulté voire impossibilité de passer au travers des firewall.
Yonel Grusson 62
Le VPN
Résumé
Les protocoles de tunnelling :Authentifient les extrémités qui établissent
le tunnel.Échangent des clés de cryptage.Englobent les données ainsi que l'enveloppe
de protocole générée par une pile de protocoles puis les chiffrent les compressent et les traitent comme des données pour un autre protocole.
Yonel Grusson 63
Le VPN
Résumé
Enveloppe et Données de la première pile de protocoles
Protocole de TunnellingDonnées cryptées et compressées
En-tête du protocole de tunnelling
Yonel Grusson 64
Les techniques du filtrage
Le filtrage consiste à intercepter et interpréter les trames au niveau d'une couche (TCP, IP, application,…) et à leur appliquer des règles pour les stopper ou les laisser passer. Le filtrage intervient sur les informations du protocole de la couche et rarement sur les données elles-mêmes. Ainsi, il sera possible d'interdire tous les téléchargements par FTP (ports 20 et 21), mais s'ils sont autorisés le filtre n'arrêtera pas un virus.
Yonel Grusson 65
Les techniques du filtrage
On peut noter les techniques suivantes dans le filtrage :
– Tout est interdit sauf….
– Tout est autorisé sauf…
– Utilisation d'une liste noire (ce qui est dans la liste est interdit)
– Utilisation d'une liste blanche (ce qui est dans la liste est autorisé)
Yonel Grusson 66
Les techniques du filtrage
Le filtrage est assuré essentiellement par :Le routeur filtrantLe Pare Feu ou FirewallLe Serveur NAT (Network Adress Translation)Le Serveur Proxy
Ces fonctions sont assurées :Soit par une machine dédiée avec un
système d'exploitation de type Linux ou Windows 200x Server.
Yonel Grusson 67
Les techniques du filtrageSoit par un appareil spécifique
qui intègre souvent plusieurs fonctionsExemple chez le constructeur Cisco
Les routeurs à services intégrés (ISR) Cisco sont fournis avec le cryptage et l’accélération matériels VPN, la version 2.0 de Router & Security Device Manager (SDM) pour une gestion simplifiée et intuitive et un pare-feu VPN basé sur Cisco IOS
(Extrait de la documentation Cisco)
Yonel Grusson 68
Les techniques du filtrage
Le ROUTEUR FILTRANT
Un routeur ne filtre pas il aiguille les trames reçues sur une interface vers une autre ; il est transparent.
Il est possible de lui ajouter une fonction de filtrage. Ce filtre n'intervient qu'au niveau des transport (TCP) et réseau (IP). Il filtrera donc sur les adresses IP et/ou les ports des trames qui arrivent sur chacune de ses interfaces
Yonel Grusson 69
Les techniques du filtrageRouteur filtrant sous Windows 2003 Server
Yonel Grusson 70
Les techniques du filtrage
Yonel Grusson 71
Les techniques du filtrageLe PARE-FEU (ou FIREWALL)Il se caractérise par :
Sa portabilitéIl contrôle le trafic en analysant les données contenues dans les couches 3,4 et 7.
Sa situationLe pare-feu est un dispositif qui protège l'entreprise des intrusions extérieures. Il doit donc y avoir autant de pare-feux que de "portes" sur l'extérieur, c'est un élément frontal.
Yonel Grusson 72
Les techniques du filtrageLe passage par le pare-feu pour entrer dans
l'entreprise (dans une moindre mesure pour en sortir) doit être obligatoire. Ceci doit être imposé par l'architecture du réseau (câblage) et non par une configuration du poste client.
Réseau local
Pare-feu
Posteclient
Le pare-feu a obligatoirement plusieurs interfaces réseau
Yonel Grusson 73
Les techniques du filtrageLe filtrage peut porter sur :
les adresses IP, les protocoles (TCP, UDP, Telnet, etc.), les numéros de portLes applications (passerelle applicative).
Dans ce cas le pare-feu s'intéresse à la nature des données échangées. Un anti-virus et un IDS (Intrusion Detection System) peuvent-être placés à ce niveau.
Note : Un pare-feu est évidemment envisageable entre deux réseaux locaux d'une même entreprise.
Yonel Grusson 74
Les techniques du filtrage
Certaines applications fixent des numéros de port de façon dynamique et aléatoire (FTP par exemple). Certains firewalls sont capables de s'adapter à ce type de configuration : On parlera d'un filtrage dynamique.
Yonel Grusson 75
Les techniques du filtrage
Le Serveur NAT (Network Adress Translation)
Devant le manque d'adresses IP disponibles beaucoup d'entreprises disposent de quelques (voire une) adresses publiques et utilisent des adresses IP privées pour leur réseau local (cf.
cours TCP/IP).
Ces adresses :Ne sont pas routables sur InternetÉvitent les intrusions sur le réseau local
Yonel Grusson 76
Les techniques du filtrage
Le serveur NAT va permettre de "translater" les adresses privées en adresses publiques pour que les utilisateurs puissent se connecter sur Internet.
Le serveur NAT de base
Avec NAT il y a une affectation statique à raison d'une d'adresse privée pour une adresse publique. Il y a donc autant d'adresses publiques que privées.
Yonel Grusson 77
Les techniques du filtrage
Le serveur NAT dynamique
L'adresse publique est affectée dynamiquement à une adresse privée au moment de la connexion. Il n'y a pas d'affectation statique.
Si le nombre d'adresses privées est inférieur au nombre d'adresses publiques (ce qui est très souvent le cas) aucune machine ne pourra accéder à Internet lorsque tous les adresses publiques auront été distribuées.
Yonel Grusson 78
Les techniques du filtrageLe serveur NAPT (Network Adress and Port Translation)
Cette méthode consiste à translater l'adresse IP et le numéro du port de l'application visée.
BLAN InternetNATA
IP B Port A Port BIP A IP B Port' A Port BIP' A IP B Port' A Port BIP' A
IP B Port' APort BIP' AIP B Port APort BIP AIP B Port APort BIP A
Yonel Grusson 79
Les techniques du filtrage
Le serveur PROXY
Le serveur PROXY se situe au niveau des protocoles applicatifs (HTTP, FTP, etc.) ; on parlera ainsi d'un Proxy Web ou proxy HTTP.
Le serveur Proxy est un serveur mandataire ; En d'autres termes l'application (navigateur par exemple) va lui transmettre sa demande qu'il redirigera après contrôle vers son destinataire.
Il peut y avoir plusieurs proxy
Yonel Grusson 80
Les principales fonctions d'un Proxy :Mise en Cache. Le proxy sauvegarde les pages
visitées afin de les redonner plus rapidement.Le filtrage. Le filtre concerne les requêtes de
l'application (URL, Port par exemple). Le filtrage peut porter sur le contenu (mots-clés en général) reçu par le proxy avant de le retransmettre au client.
L'authentification du client
Les techniques du filtrage
Yonel Grusson 81
Les techniques du filtrage
La situation du serveur Proxy sur le réseau n'est pas indifférente
Internet
P1 P2
Proxy 1
Proxy 2Passerelle(RouteurPare-Feu)
L'utilisateur peut passer outre le Proxy 1 en modifiant la configuration de l'application cliente.Par contre le passage par le Proxy 2 est rendu obligatoire de par sa situation.
Yonel Grusson 82
Conclusion
Chaque technique présentée assure une fonction particulière et est supportée ici par un serveur.
On se rend compte également que certaines fonctions se retrouvent plusieurs fois (filtrage adresses IP et ports dans le pare-feu et le routeur filtrant par exemple).
Matériellement ces serveurs se retrouvent dans des propositions commerciales qui "mélangent" ces fonctions.
Les techniques du filtrage
Yonel Grusson 83
Zone "démilitarisée" (DMZ) La DMZ permet de sortir du réseau local les
serveurs ayant un accès public. La DMZ est une zone tampon entre l'Internet et le réseau local.
Ces serveurs possèdent en général des adresses IP publiques (elles peuvent être aussi privées) alors que le réseau local possède des adresses privées.
Ainsi la DMZ est accessible depuis l'Internet et le réseau local. Par contre les trames provenant de l'Internet ne circulent pas sur le réseau local.
Yonel Grusson 84
Zone "démilitarisée" (DMZ)
Réseau local
(Adressage IP en général
privé)
Au
tres serveu
rs
Serveu
rM
ail
Serveu
r D
NS
Serveu
r W
eb
DMZ
Routeur
Proxy
Pare-Feu
NAPT
InternetAd_IP publiques
Les serveurs ont une Ad_IP publiques
Ad_IP privée