Éléments d'infrastructure réseaux ELEMENTS D'INFRASTRUCTURES RESEAUX Nicolas Pr

Éléments d'infrastructure réseaux ELEMENTS D'INFRASTRUCTURES RESEAUX Nicolas Prunier slides originaux de Cédric Foll & Paul Tavernier INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 2 Plan Les VLAN Les Firewalls Les IDS −HIDS −NIDS −IPS Les proxys Les reverse proxys Réflexions autour d'architectures de sécurité INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 3 Les VLAN Rappel sur les switchs −Équipement de niveau 2. −Il «connaît» pour chacun de ses ports, la liste des équipements reliés en niveau 2, c'est à dire les adresses MAC −La connaissance de la liste de ces adresses MAC se fait par apprentissage au fur et à mesure des trames −Quand il reçoit un paquet, il regarde l'adresse de niveau 2 de destination (i.e. adresse MAC) et transmet le paquet sur le port où se trouve la machine avec cette adresse MAC −Il n'a (théoriquement) aucune connaissance des adresses IP INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 4 Rappel sur les routeurs Un routeur permet de relier (au moins) deux (sous-)réseaux différents. C'est à dire deux classes d'adresses différentes Il reçoit un paquet sur une interface et en consultant sa table de routage le transmet sur une autre On dit qu'un routeur «adosse» des domaines de broadcast INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 5 Exemple de commande sur un routeur cisco rrgi1#show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 172.30.205.125 230 000b.5fe7.8180 ARPA Vlan99 Internet 172.30.205.124 ­ 000b.5fe7.8a80 ARPA Vlan99 Internet 172.30.195.116 9 0030.0589.f54c ARPA Vlan5 Internet 172.30.195.100 1 0006.5b26.16e0 ARPA Vlan5 Internet 172.30.192.103 ­ 0800.46db.f2d3 ARPA Internet 172.30.192.100 ­ 0800.46dc.7d36 ARPA Internet 172.30.192.101 ­ 0800.46da.c7de ARPA INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 6 Un réseau hier INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 7 Problèmes Je veux placer dans la salle machine/baie du réseau 192.168.2.0/24 un serveur du réseau 192.168.1.0/24. −Il faut tirer un câble jusqu'au réseau 192.168.2.0/24. −Ou déplacer physiquement le serveur Si l'on désire subnetter un réseau, il faut acheter un nouveau routeur s'il n'y a plus de port libre sur celui existant INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 8 Les VLAN Concept −Les VLAN permettent de faire coexister de manière étanche plusieurs domaines de broadcast sur un même switch. Buts: −Simplifier le brassage. «Comment changer un poste de réseau sans avoir à déplacer le poste» ? −Ne pas multiplier le nombre de routeurs. −Ne pas multiplier le nombre de ports sur les routeurs et firewalls. −Subnetter facilement. −Rentabiliser l'investissement des switches INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 9 VLAN sur un switch Les ports 1 et 2 sont configurés en VLAN1. Le port 3 est configuré en VLAN2. 10.0.0.1 et 10.0.0.2 peuvent communiquer (ils appartiennent au même VLAN). Les postes sur le VLAN 1 (bleu) ne peuvent joindre ceux du VLAN 2 (rouge). INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 10 Le réseau d'hier....aujourd'hui! INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 11 Notion de lien 802.1Q (ou «port tagging») Un lien 802.1q ou TRUNK (terminologie cisco) ou « Tagged Link » permet de faire transiter plusieurs VLAN sur un lien physique. Afin de savoir à quel VLAN appartient une trame d'un lien 802.1q, un «tag» est ajouté sur la couche 2. INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 12 Comparaison trame Ethernet & Trame taggée Ethernet Ethernet 802.1Q INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 13 Le même réseau avec un trunk Pour simplifier, un seul switch est représenté, mais des liens 802.1q peuvent se propager de switch en switch INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 14 Les switchs de niveau 3 Ils permettent de faire du routage Inter-VLAN Ils ont des adresses IP comme des routeurs (1 par VLAN) La différence entre routeur et switch niveau 3 est faible. −Ils sont mono-protocole (Ethernet!) −Ils sont plus “performants” que les routeurs (CEF chez Cisco). Le premier paquet remonte par le moteur de routage, les suivants sont commutés au niveau2. −Les possibilités de routage sont plus “limitées”. INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 15 Comment-on les configure ? Les switchs L2 −A configurer sur chaque port: A quel VLAN appartient-il ? Si c'est un TRUNK, quels sont les VLANS propagés? Quel est mon VLAN natif (trames Ethernet non taggées) Les switchs L3 −Pareil & ajouter une IP par VLAN (comme sur un routeur, on ajoute une IP par interface logique) Il est possible d'automatiser la propagation des VLAN vers les switchs d'extrémité −GVRP −VTP (propriétaire CISCO) INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 16 Comment-on les configure? Native VLAN X −Sur un lien «tagged», il spécifie que les trames non taggées appartiennent au VLAN X. En général c'est le VLAN 1 si rien n'est déclaré. L'utilisation de ce VLAN est à éviter pour isoler les ports non configurés. Private/Isolated VLAN −Mécanismes permettant à deux ports d'un VLAN de ne pas pouvoir communiquer Typiquement empêche les machines d'un même LAN de se voir. Les oblige à passer par leur gateway Peut-être réalisé aussi par des ACL spécifiques (VLAN MAPS chez Cisco) INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 17 Exemple de conf sur switch cisco Sur ce port arrivent des trames non taggées membre du VLAN 600 interface GigabitEthernet0/1 switchport access vlan 600 switchport mode access Sur ce port les trames sont taggées et les VLANS 600 à 610 peuvent transiter interface GigabitEthernet0/2 switchport trunk encapsulation dot1q switchport trunk allowed vlan 600-610 switchport mode trunk INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 18 Un réseau typique  Les switchs d'extrémité possèdent un port de cascade en mode «tagged» et tous les autres sont configurés avec un VLAN donné (sur lesquels sont branchés les serveurs, PC)  Ils sont reliés directement (ou en cascade) aux switchs de niveau 3 « de coeur » effectuant SEUL le routage inter-VLAN.  La redondance est assurée en doublant les liens et en créant des boucles entre les switchs −Le Spanning Tree Protocol (STP) est chargé d'empêcher les boucles en désactivant certains chemins. −STP est un peu un équivalent du routage dynamique pour le niveau 2. −Des technologies propriétaires (plus performantes) sont déployées dans les switches modernes (Flexlink chez Cisco) INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 19 Routage inter-VLAN Aujourd'hui un routeur/Firewall n'a plus besoin que d'une interface physique s'il supporte les liens « 802.1q » −La trame entre avec un tag indiquant qu'elle appartient au VLAN X et ressort en indiquant qu'elle appartient au VLAN Y. Windows et Linux supportent le routage inter-VLAN de même que la plupart des routeurs et firewalls propriétaires. INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 20 Routage inter-VLAN sous Linux Activer le coeur de routage: # echo 1 > /proc/sys/net/ipv4/ip_forward Chargement du module noyau de VLAN: # modprobe 8021q Création des VLAN 100 et VLAN 200 # vconfig add eth0 100 # vconfig add eth0 200 INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 21 Routage inter-VLAN sous Linux Attribution d'adresses IP: −# ifconfig eth0.100 192.168.1.1 −# ifconfig eth0.200 192.168.2.1 Au final: −Sur eth0 la machine est capable de recevoir un trunk contenant les VLAN 100 et 200 −Elle est capable de router 192.168.1.0/24 et 192.168.2.0/24, les paquets rentrent et sortent sur la même interface mais avec un tag 802.1q différent. −Les paquets non taggés arrivent sur eth0, on lui attribue en général une adresse IP dédiée au management. INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 22 Routage inter-VLAN INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 23 Infrastructure de sécurité « If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology....» Bruce Schneier INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 24 Les Firewalls A quoi ça sert ? −Élément permettant de trier parmi les flux réseaux, en bloquant certains, en autorisant d'autres 2 grandes familles de firewalls −Firewall personnel Protège la machine sur laquelle il est installé. Traite les applications locales et leurs demandes d'accès au réseau −Firewall réseau Effectue le routage inter-zones tout en appliquant des règles de filtrage. En général, il se place en coupure entre les zones de niveau de sécurité diffèrents (LAN / Datacenter / DMZ / Internet). INSA uploads/Ingenierie_Lourd/ element-d-infrastructrure-reseau.pdf

Tags
Ingénierie nicolas prunier tavernier réseau routage
Documents similaires
  • 18
  • 0
  • 0
Afficher les détails des licences
Licence et utilisation
Gratuit pour un usage personnel Attribution requise
Partager