1 SIIEE :Architectures, réseaux et sécurité dans l’EPLE EOLE (Ensemble Ouvert Libre Evolutif)

1

SIIEE :Architectures, réseaux et sécurité dans l’EPLE

EOLE (Ensemble Ouvert Libre Evolutif)

2

Remerciements à

• P. Danel - directeur du CRDP d’auvergne - CTICE de l’académie de clermont-Fd.

• D. Busson - directeur du Centre Informatique Académique de Clermont-Fd.

• L. Bourdot - Chef de projet EOLE - CTIAD de Dijon.

• M.Affre - Chef du bureau DA A3. Ministère de l’Education Nationale.

• Pour leur soutien et leur confiance.

• F. Alcaraz - Conseil Régional d’Auvergne

• et le groupe technique “resauv” chargé de la mise en place du réseau régional d’Auvergne (coopération enseignement supérieur , santé, recherche, enseignement secondaire …)

• Pour le partenariat qu’ils ont contribué à instaurer.

• Les auteurs : AM Bondi- responsable informatique CRDP d’auvergne - DATICE G Chaideyrou - responsable équipe réseaux - CIA Clermont-Fd

3

SIIEE :Architectures, réseaux et sécurité dans l’EPLE

EOLE (Ensemble Ouvert Libre Evolutif)

Textes de références :

- lettre conjointe DA / DT adressée aux recteurs le 5 Avril 2002 : “SIIEE”- comprenant une annexe “recommendations en terme de sécurité - SIIEE”- comprenant une note de cadrage “SIIEE”.

la présentation suivante s’appuie sur ces textes, et utilise EOLE (AMON) à titre d’exemple.

4

préambule

• Le contexte en EPLE:• critères “ethniques” : diverses communautés.

• Critères “topologiques” : contraintes géographiques.

• Les “réticences”:sécuriser = “empécher de travailler ?” = “espionner ?” = “niveller ?” attitudes “nombrilistes” , syndrome de la “bonbonnière” , syndrome du “mécanicien” …

• Le résultat attendu: un extranet EPLE qui :• réponde à tous les besoins … et prévoit l’imprévisible !!!

5

EOLE : préambule

Module AMON : pare-feu.Module AMON : pare-feu.

* Module VPN (chiffrement)* Module messagerie* ...

Cette présentation concerne principalement le module AMON (… et VPN…)

EOLE est un concept organisé autour de “modules”:

6

Plan de la présentation

• EPLE: l’existant.

• Politique de sécurité / zones de confiance.

• Architecture EOLE (AMON).

• principes de migration.

• Les règles de communication inter-zones.

• EOLE : l’approche technique - adresses.

• Bilan provisoire / discussion

7

EPLE : l’existant.

8

10.xx.yy.0(24/8)

10.xx.1yy.0(24/8)

Réseauxpédagogiques

Réseauadministratif

Fournisseurd’accèsInternet

Réseau régional?

Problèmatique :

¤ Migration vers des nouvelles technologies (BLR, ADSL, RR ...). Evolutions en respectant l’existant

¤ garantir la sécurité de l’EPLE

¤ aider au respect de la loi pour la

protection des mineurs ¤ rendre un meilleur service(optimisation BP, mutualisation …)

Réseauacadémique

Numeris 1 Numeris 2

Mais devant:

9

Qu’apporte EOLE (AMON) ?

• Intégrer de nouvelles solutions (BLR, ADSL, RR ...)

• garantir la sécurité de l’EPLE - responsabilités

juridiques ?• rendre un meilleur service

(optimisation BP, mutualisation …)

• respect de l’existant

• Banaliser la méthode de raccordement de l’EPLE vers l’exterieur.

• Pare-feu , logiciels de protection des mineurs …

• services réseaux cache (DNS, proxy FTP, HTTP …)

• intégration sur mesure

10

EOLE (pare-feu AMON)

Une approche de la sécurité de l’EPLE par définition de zones de

confiance

11

EOLE : zones et niveaux de sécurité“la rue” : lieu ouvert , accessible depuis le monde entier, la rue offre un niveau de sécurité très faible. On peut y faire les meilleures comme les pires rencontres.

“la cour” : lieu protégé de la rue, c ’est un lieu de partage et d’échange. On s’y promène sans grande crainte, mais une certaine prudence reste de mise … on peut y cotoyer des inconnus, … dument invités ou non.

“Les maisons” : les habitants d’une maison sont clairement identifiés. A part eux, personne n’est habilité à rentrer dans une maison sans y être invité.Dans chaque maison, on se sent en sécurité.

12

EOLE : zones et niveaux de sécurité

“la cour”“maison”

ADM

“la rue”

“maison”PEDAGOGIUE

Autre “maison”

“la rue” : lieu ouvert , accessible depuis le monde entier, la rue offre un niveau de sécurité très faible. On peut y faire les meilleures comme les pires rencontres.

“la cour” : lieu protégé de la rue, c ’est un lieu de passage, partage et échange. On s’y promène sans grande crainte, mais une certaine prudence reste de mise … on peut y cotoyer des inconnus, … dument invités ou non.

“Les maisons” : les habitants d’une maison sont clairement identifiés. A part eux, personne n’est habilité à rentrer dans une maison sans y être invité.Dans chaque maison, on se sent en sécurité.

Eole est le garant de l’application de cette “POLITIQUE de SECURITE conformement aux “recommendations en terme de sécurité - SIIEE” du 5 Avril 2002

13

EOLE : zones et niveaux de sécurité

“la cour”“maison”

ADM

“la rue”

“maison”PEDAGOGIUE

Autre “maison”

Mettre en place des zones et niveaux de sécurité n’a pas pour but d’empecher le dialogue entre des partenaires.

Mais au contraire, de permettre à des partenaires dedialoguer en toute confiance.

14

EOLE : un concept évolutif

• une réponse homogène pour l’académie qui répond aux besoins d’aujourd’hui.

• un concept générique, mais qui sait s’adapter aux cas particulier

• Une architecture qui peut s’étendre par adjonction de nouveaux boitiers EOLE

15

1 EOLE ou 2 EOLEs ?

“La cour”

“maison”ADM

L’administration,l’intendance ...

“maison”PEDAGOGIQUE

Les salles de classe

“La rue”

RéseauADM

Réseau(x) pédagogique(s)

“maison”Greta

ou autres reseaux

“maison”greta

ADM

Visible par l’Education Nationale

Visible uniquement dans l’établissement

Visible du mode entier

16

1 EOLE ou 2 EOLEs ?

Par adjonction de nouveaux EOLE , on traite propementla cohabition d’un établissement avec :

- l’eventuel GRETA hebergé … et éclaté entre etablissements.- l’eventuel réseau d’un IEN localisé dans l’etablissement...- l’eventuelle présence d’un CDDP …- l’eventuelle présence d’un reseau issu du projet d’une collectivité- un établissement “éclaté” sur plusieurs sites.

17


Approche par les flux de communication:

Quelles sont les règles de passage d’une zone à l’autre ?

18

1 etablissement “éclaté”

“La cour”

“maison”ADM

L’administration,...



“La rue”

RéseauADM



“maison”ADM

autre batiment

ADM




Communication chiffrée

19

Ou bien :

“La cour”

“maison”ADM

L’administration,...



“La rue”

RéseauADM



“maison”ADM

autre batiment

ADM



Visible du mode entier “La rue”

“La cour”

+ chiffrement éventuel(voir AGRIATES)

20

Où installer EOLE ?

- Dans un local sûr, au point d’interconnexion de tous les réseaux

de l’etablissement.

- Dans une armoire informatique

- avec une alimentation secourue.

21


Comment passer de la situation actuelle

à

l’architecture EOLE ?

22

10.xx.yy.0(24/8)

10.xx.1yy.0(24/8)




Réseau régional?

Réseauacadémique

Numeris 1 Numeris 2

Avant EOLE

Site partagé avec :

GRETA ?

IEN ?

CIO ?

CDDP ?

Projets de Collectivités ?

23

“La rue”Zone d’accueil(non sécurisée)

“la cour”

Zone de partageet d’échangesécurisée

EOLE

“Maison”autres réseaux

Autres réseauxpédagogiques(greta, collectivité…)

“maison”greta

“Maison”ADM

“Maison”PEDAGOGIQUE

Réseauacadémique


Réseau régional?



Après EOLE

24

“maison”ADM


Réseauacadémique


Réseau régional?

“la cour”

“la rue”

EOLE

“maison”Autres réseaux

“maison”greta

Teleac ,GEP ,etc …

Web etablissement (adm + pédagogie),BCDI, RLR , messageries , serveurs FTP,etc ...

Micros élèves et enseignants,serveurs de fichiers, authentification et droitsd’accès, etc ...

Après EOLE

25

“maison”ADM


Réseauacadémique


Réseau régional

“la cour”

“la rue”

Depuis réseaux Pedago

AccesInternet

Acces sitesdisciplinaires

Acces BCDI, RLR, webserveur antivirus généralisé, etc ...

26

“maison”ADM


Réseauacadémique


Réseau régional

“la cour”

“la rue”

Depuis réseau Adm

Acces Internet,courrier,teleac,etc ...

Acces BCDI, RLR, web etc ...

27

“maison”ADM


Réseauacadémique


Réseau régional

“la cour

“la rue”

Depuis zone de partage“la cour”

Pas de “remontée” = protection des utilisateurs

28

“maison”ADM


Réseauacadémique


Réseau régional

“La cour”

“la rue”Depuis l’exterieur

Acces tres reglementé.Telemaintenances ...

Acces reglementé.Professeurs depuis l’exterieurconsultations depuis l’exterieur

Pas de “remontée” = protection des utilisateurs

29

EOLE: Que fait-il ?

- garant de l’application d’une politique de sécurité.

(Qui peut faire quoi ? Comment?)

- garant des chemins empruntés par une communication.

(données confidentielles / données publiques)

-> tout en optimisant les coûts

30

EOLE: Que fait-il ?

Exemple (très simplifié ) de décisions prises par EOLE.

- le cas d’un “proxy”

31

“maison”ADM


Réseauacadémique

Fournisseurd’accès

Internet 1

Fournisseur d’accès

Internet 2

“La cour”

“la rue”

ques

tion

N’aurais-je pas déjà répondu à la même question ?

(syndrome de Rantanplan )

OUI ! Je sais !(c’est lucky luke !)

réponse

Que dit la politique de sécurité ?Si c’est autorisé, je traite.

Sinon, je préviens que c’est pas autorisé.

32

“maison”ADM


Réseauacadémique


Fournisseur d’accès

Internet 2

“La cour”

“la rue”

ques

tion

N’aurais-je pas déjà répondu à la même question ?

(syndrome de Rantanplan)

NON !Tant pis, je ferai mieux

la prochaine fois

33

“maison”ADM


Réseauacadémique


Internet 1


Internet 2

“La cour”

“la rue”

ques

tion

A qui vais-je poser la question ?

Ça s’adresse à un autre établissement

ques

tion

34

“maison”ADM


Réseauacadémique


Internet 1


Internet 2

“La cour”

“la rue”

ques

tion


Ça s’adresse à un serveur sur Internet

ques

tion

35

“maison”ADM


Réseauacadémique


Internet 1


Internet 2

“La cour”

“la rue”

ques

tion


Ça mérite une certaine confidentialité

(par exemple : mail)

ques

tion

36

“maison”ADM


Réseauacadémique


Internet 1


Internet 2

“La cour”

“la rue”

ques

tion

ques

tion

ré po n se

OK, merci. Je le note. Comme ça, je saurai répondre

si quelqu’un me pose à nouveau cette question.

EOLE a une mémoire d’éléphant !

réponseTiens ! Voilà ce que

tu as demandé

si 10 élèves demandent la même page,Eole n’ira la chercher qu’une seule fois.

37

EOLE: stratégie pour un réseau régional

Exemple de situation actuelle :- 1 réseau type privatif- 1 réseau “provider”

Exemple de situation cible:

- 1 réseau régional

38

Exemple:- un mail entre le chef d’etablissementet le rectorat, citant un nom d’élève mineur.- Un fichier type GEP- acces à une ressource d’un autre EPLE

“maison”ADM


Réseauacadémique


“la cour”

“la rue”

Exemple:- consultation web SNCF- acces forum publicetc …

Données “grand public”.Accès Internet.

Données “sensibles”Accès Extranet EN

39

“maison”ADM


Réseauacadémique


Réseau régional

“la cour”

“la rue”



“tuyau” chiffré entre lespartenaires E.N.

40

“maison”ADM


Réseau régional

“la cour”

“la rue”




41


Approche technique :

les zones d’adresses

-

les translations d’adresses

-

l’adressage IP

42

Zone ExtranetE.N.(adresses privéesRFC 1918 nationales)

Réseauacadémique


Réseau régional

greta

Zonepédagogique(adressesprivées locales EPLE)

Zone Internet

TranslationPAT

TranslationNAT

ouPAT

43

Zone ExtranetE.N.(adresses privéesRFC 1918 nationales)

Réseauacadémique


Réseau régional(MPLS / VPN)

greta

Zonepédagogique(adressesprivées locales EPLE)

Zone Internet

TranslationPAT

TranslationNAT

ouPAT

Autre alternative

44

Réseauacadémique


Réseau régional

greta

Zone Internet

TranslationPAT

TranslationNAT

ouPAT

Adresses IPpubliques(uniques)

Adresses IPvisibles nationalement:

2 EPLE différents =

2 zones d’adresses différentes.

Adresses IPlocales:

identiques dans

tous les EPLE

45


Proposition d’adressage IP:

chaque académie est propriétaire des adresses

10.N°dep.x.0

10.100+N°dep.x.0chaque académie peut découper cet espace au

mieux de ses intérêts.Pour les plus grosses académies, si cet espace ne suffit

vraiment pas, une “rallonge” peut etre accordée.

192.168.220.0 à 192.168.239.0 est libre pour les établissements.

46


Chaque académie est libre du découpage optimal de ces adresses.

Exemples d’affectation d’adresses :

- pour des EPLE

(politique “généreuse” / “économe”)

47

Réseauacadémique


Réseau régional

greta

Zone Internet

TranslationPAT

TranslationNAT

ouPAT

Adresses IPpubliques(uniques)

Adresses IPvisibles nationalement:

2 EPLE différents =

2 zones d’adresses différentes.

Adresses IPlocales:

identiques dans

tous les EPLE

48

Réseauacadémique


Réseau régionalZone Internet

TranslationPAT

TranslationNAT

ouPAT

ADM10.xx.yy.0

(25/7)126 “la cour”

10.1xx.yy.0(25/7)

126

246 (251 …)

“la rue”10.1xx.yy.192

(26/6)

250245 247 (248,249)

( + 192.168.220.0à192.168.223.0 )

192.168.224.0à

192.168.231.0(21/11)

231.

246

Greta10.xx.yy.128

(28/4)143

192.168.232.0à

192.168.239.0

239.246

Réserve: (non affectée)

de 10.1xx.yy.128 à 191 : 64 @de 10.xx.yy.144 à 255 : 112 @

Etablissementscolaire(politique généreuse)

49


de 10.1xx.yy.128 à 191 : 64 @de 10.xx.yy.144 à 255 : 112 @

“maison”ADM

10.xx.yy.0(25/7)

“maison” PEDAGOGIQUE

192.168.224.0à

192.168.231.0(21/11)

Réseauacadémique


Réseau régional

“la cour”10.1xx.yy.0

(25/7)


(26/6)

Autre “maison”

192.168.232.0à

192.168.239.0

Greta10.xx.yy.128

(28/4)

Zone Internet

TranslationPAT

TranslationNAT

ouPAT

( + 192.168.220.0à192.168.223.0 )

128 @16 @

64 @

128 @

2048 @512 @

Env 1700 @

Etablissementscolaire(politique généreuse512 @)

50


de 10.xx.yy.160 à 255 : 96 @

“maison”ADM

10.xx.yy.0(26/6)


192.168.224.0à

192.168.231.0(21/11)

Réseauacadémique


Réseau régional

“la cour”10.xx.yy.64

(26/6)

“la rue”10.xx.yy.128

(28/4)

Autre “maison”

192.168.232.0à

192.168.239.0

Greta10.xx.yy.144

(28/4)

Zone Internet

TranslationPAT

TranslationNAT

ouPAT

( + 192.168.220.0à192.168.223.0 )

64 @16 @

16 @

64 @

2048 @512 @

Env 1700 @

Etablissementscolaire(politique restrictive256 @)

51

EOLE : adresses de la “rue”

2 cas de figure :

- l’académie possède des adresses publiques pour ses EPLE -> OK

- l’académie n’utilise pas d’adresses publiques pour ses EPLE. -> 10.x.y.z

52

EOLE : l’insécurité dans la “rue” ;-)

Attention : notre responsabilité peut être engagée dans la rue !!!

=> appliquer des règles strictes sur tous les équipements de la rue :

- seul interlocuteur physique: les passerelles EOLE (AMON).

- pas de rebond possible.

- pas d’altération des tables de routage possible.

53

EOLE : l’insécurité dans la “rue” ;-)

=> nécessité d’écrire (nationalement?) les règles à

respecter par tout équipement de FAI intégré à la “rue”.

=> nécessité d’imposer la “politique de sécurité E.N. de la rue” à tous les

FAI d’un EPLE

54



- pour des petits sites (IEN)en travail administratif uniquement.

55


prévoir 16 (ou 32 ?) adresses 10.x.y.z partagées en deux : la rue + maison

administrative.

EOLE obligatoire pour la confidentialité !!!

56

“maison”ADM

10.xx.yy.zz(29/3)

Réseauacadémique


Réseau régional

“la rue”10.1xx.yy.zz

(29/3)

Zone Internet

TranslationNAT

ouPAT

8 @

8 @

IEN

57



- pour des petits sites (CIO)en travail administratif + accueil de

public.

58

“maison”ADM

10.xx.yy.zz(29/3)

Réseauacadémique


Réseau régional

“la rue”10.1xx.yy.zz

(29/3)

Zone Internet

TranslationNAT

ouPAT

8 @

8 @

CIO

public192.168.224.0

à192.168.231.0

(21/11)

2048 @

TranslationPAT

59



- un EPLE + un CDDP

sur le même site géographique.

60

2 EOLEs (AMON)

“La cour”

“maison”ADM

L’administration,l’intendance ...



“La rue”

RéseauADM


“maison”CDDP

pedagogique

“maison”CDDPadmin.




61

2 EOLEs (AMON)

10.1xx.yy.0(25/7)

10.xx.yy.0(25/7)

192.168.224.0à

192.168.231.0

10.1xx.yy.192(26/6)

RéseauADM


192.168.224.0à

192.168.231.0

10.xx.yy.128(27/5)




CDDP

62

EOLE : souplesse de l’adressage

S’adapte aux particularités du site:

- contraintes géographiques.

- cohabitation EPLE / IEN /CIO /CDDP...

- habitudes de travail de l’EPLE.

(voir exemples d’organisations des zones pédagogiques)

63

EOLE : souplesse de l’adressage

En résumé:- les pages precedentes donnent un exemple

d’organisation par zone.

- d’autres découpages pourraient être viables (exemple : “apprenants” , “enseignants”, “encadrement”

“partenaires”).

-mais tous doivent s’accorder sur un point:

10.x.y.0 et 10.100+x.y.0 sont propres à un site.

192.168.220.0 à 239.0 sont libres pour l’etablissement.

64

Organisation de zones pédagogiques

• l’architecture type.

• une variante plus élaborée.

• Une organisation calquant l’existant.

• le cas particulier de SLIS

65

“maison”ADM


“la cour”

“la rue”

Le réseau pédagogique forme un ensemble :

192.168.224.0 : enseignement tertiaire192.168.225.0 : enseignement général192.168.226.0 : enseignement techniqueServeurs

(authentification, logiciels et espaces de travail)

IACA, etc ... Stations de travail enseignants, elèves

l’architecture type.

66

“maison”ADM


“la cour publique”

“la rue”

Serveurs (authentification, logiciels et espaces de travail)

IACA, etc ... Stations de travail enseignants, elèves

Une variante plus élaborée.

“la cour privée”

Visible de la rue

Exemple: serveurde saisie des notes,absences,

Visible par l’administration et la pédagogie.

Ex: serveurde consultationde notes,absences

67

tertiaire

Une architecture calquantl’existant

général

...

“réseau partagéeacces à Internet”

INTERNET

“maison”ADM

68

“maison”ADM

tertiaire

cour publique

“la rue”Une architecture calquantl’existant

général

...

“réseau partagéeacces à Internet”

Devient une “cour privée”

69

Le cas particulier de SLIS / SLAES ...

• Certaines fonctions de SLIS font double emploi avec celles d’EOLE.-> éviter de faire 2 fois la même chose par le même type de moyen.

• Par nature, SLIS gère un plan d’adresses qui lui est propre.-> SLIS et EOLE vont “co-exister” plutot que “cohabiter”

70

“maison”ADM


eventuelle

Réseauacadémique


Réseau régional

“la cour”

“la rue”

AccesInternet

Le monde PEDAGOGIQUE

selon SLIS

SLIS

Responsabilité académique(politique nationale / académique / locale de sécurité )

Responsabilité établissement

71

Le cas particulier de SLIS / SLAES ...

• Le transparent précédent présente une architecture cible vers laquelle il faut tendre si l’objectif est d’obtenir un extranet établissement.

• Pour les académies largement utilisatrices de SLIS, rien ne presse réellement.

72



-

EOLE et la QoS IP

73

“maison”ADM


Réseau régional

“la cour”

“la rue” Données “grand public”.Accès Internet.



74

Internet

Réseau régional

“la rue”



Applications de gestion EN

Voix / vidéo

Télé-assistance

Conditions de traficQualité de Services

75

EOLE et la QoS.

4 approches classiques possibles :

1° Policy Based Routing

2° “IntServ”

3° “Diffserv”

4°Approche hybride

76

EOLE: QoS PBR.

on définie une architecture de réseau telle qu’il soit possible d’agir sur les

conditions de traffic par altération des décisions de routage:

analyse basée sur @IP S, @IP D, n° ports.

“ip policy” en terminologie CISCO

77

EOLE: QoS PBR.

Pour aller vers un destinataire, il existe plusieurs routes disponible.Chaque route offre une qualité de

service différente.

78

Réseau régional avec QoS

TranslationPAT

ADM10.xx.yy.0

(25/7)


(25/7)


(26/6)

( + 192.168.220.0à192.168.223.0 )

192.168.224.0à

192.168.231.0(21/11)

Greta10.1xx.yy.128

(28/4)

192.168.232.0à

192.168.239.0

Exemple d’une politique PBRSi source = administratifalors suivre chemin x

Si source = pédagogiealors suivre chemin y

Si type trafic = webalors suivre chemin z

Si type trafic = téléphoniealors suivre chemin w

Si type trafic = télé-mntalors suivre chemin t

79


TranslationPAT

ADM10.xx.yy.0

(25/7)


(25/7)


(26/6)

( + 192.168.220.0à192.168.223.0 )

192.168.224.0à

192.168.231.0(21/11)

Greta10.1xx.yy.128

(28/4)

192.168.232.0à

192.168.239.0

Autre approche PBR

Si type trafic = crypté alors suivre chemin x

Si type trafic = non cryptéalors suivre chemin y

80

EOLE: QoS PBR: les avantages

- “relativement” simple.

- utilisable en général même sur des équipements d’entrée de gamme.

- a le mérite d’exister ! Seule solution sur un réseau n‘offrant pas de QoS

native.

- rien à prévoir dans EOLE, sauf le routage !!!

81

EOLE: QoS PBR: les limites

- programmation réalisée par l’équipement d’accès au réseau.

- pas de souplesse.

- peu évolutif.- possibilités limitées.

- résultats “approximatifs”.

82

EOLE: QoS “intserv”

approche flux par flux (RSVP) par reservation de ressources.

c’est à dire que l’utilisateur voit le réseau comme un fournisseur de ressources, et que la charge de la

réservation lui revient.

Possibililité de signalisation.

83

EOLE: QoS “intserv”

avis personnel :

-> assez mal adapté à EOLE.

84

EOLE: QoS “diffserv”(rfc2475)

Approche par le réseau : On classifie les flux, le réseau reconnaît chaque

flux comme appartenant à une classe et il provisionne en conséquence.

La gestion est locale , nœud par nœud.

-> visions propriétaires, + difficultés pour l’exhaustivité.

85


TranslationPAT

ADM10.xx.yy.0

(25/7)


(25/7)


(26/6)

( + 192.168.220.0à192.168.223.0 )

192.168.224.0à

192.168.231.0(21/11)

Greta10.1xx.yy.128

(28/4)

192.168.232.0à

192.168.239.0

Approche “diffserv” Entente préalable avec le fournisseur du RR

pour la définition de classes de serviceClasses traditionnelles:

“premium”“Gold”“Silver”“Bronze”

EOLE analyse le trafic et le place dansla bonne classe.

86

Diffserv : classes

Agit selon le Marquage du champ DSCP (ex TOS IPV4)

87

Diffserv : notions de SLA/TCA

Client Réseau Diffserv

Négociation et agrément d’un SLA / TCA

TCA : Traffic Conditioning Agreement : définit comment le trafic du client sera traité par Diffserv. (marquage, “shaping”, …) SLA : Service Level Agrement : contrat entre client et fournisseurqui spécifie le type de service que l’utilisateur DEVRAIT se voiroffrir . Un SLA peut contenir des règles définies dans un TCA.

88

DiffServ : architecture

clientproviderEOLE

Equipementdu fournisseur

Service Level Agrement

1) identifier et marquer les flux

2) adapter le trafic au contrat

3) vérifier le trafic + provisionner+ agréger les trafics

4) “Per Hop Behavior”

5) reformaterle flux selon le contrat

89

DiffServ : les classes

EF PHB (Expedit Forwarding - Per Hop Behavior)

RFC 2598

- prévu pour le trafic “temps réel”

- DSCP : 101110

-définie une bande passante maximum limitée, en controlant la latence, la gigue et les pertes , tout en évitant d’affamer les autres classes.

90

DiffServ : les classesAF PHB (Assured Forwarding - Per Hop Behavior)RFC 2597- 4 classes de services (AF1,AF2,AF3,AF4)- DSCP : AF1 : 001dd0AF2 : 010dd0AF3 : 011dd0AF4 : 100dd0

dd : 01 taux de perte accepté faibledd : 10 taux de perte accepté moyendd : 11 fort taux de perte accepté

91

EOLE: “Diffserv”: les avantages

- Très souple.- très évolutif.

- Eole participe activement à la QoS.

- semble être l’approche d’avenir.

92

EOLE: “Diffserv”: inconvénients

- négociation complexe avec le fournisseur (SLA - TCA)

- gestion du champ DSCP à prévoir dans EOLE.

93

EOLE: approche hybride de la QoS

- consiste à mélanger les 3 autres approches.

-> avis personnel : assez mal adapté à EOLE .

94



-

EOLE et VPN

95

EOLE et VPN

2 objectifs majeurs:

-

- offrir une continuité d’adressage à l’EN par application du RFC 1918.

- garantir la confidentialité des échanges

96

Qu’apporte le VPN à EOLE ?

• Permet des connexions point à point entre 2 EPLE de France (“extranet EN” permettant à un EPLE de consulter en toute sécurité des données situées dans un autre EPLE)

• permet d’assurer la confidentialité des échanges (et l’authentification)

• Transport d’un plan d’adresses client “au dessus d”un réseau public où d’un réseau construit sur un autre plan d’adresses.

• Par chiffrement des informations transmises.

97

“maison”ADM


Réseau régional

“la cour”

“la rue” Données “grand public”.Accès Internet.



98

Pré-requis pour construire unréseau VPN : 1

Un plan d’adresses unique et cohérent !!!

Il a été élaboré des 1997 , et doit être accepté partout avant de pouvoir créer un réseau VPN entre EPLE

(projet AGRIATES)

99

Pré-requis pour construire unréseau VPN : 2

Le respect de la législation française et communautaire:

www.scssi.gouv.fr/fr/

c’est le cas pour RACINE.

C’est à faire pour AGRIATES.

100

Les réseaux VPN de l’education nationale

RACINE : relie depuis Mars 2001 les académies et sites centraux.

AGRIATES : basé sur EOLE, reliera les EPLE et l’académie.

AGRIATES + RACINE = réponse globale de l’Education Nationale

101

Réseau d’Accès et de Consolidation des INtranets de l’Education

AGRIATES

AGRIATES

AGRIATES

AGRIATESAGRIATES

Inter-operabilité confidentialité

Sécurité

PKI RACINE

+

PKI AGRIATES

102

EOLE : résumé

Le modèle théorique proposé :

- nous garantit l’indépendance vis à vis des FAI (RENATER y compris)

- nous garantit l’inter-opérabilité. (RACINE - AGRIATES)

- nous garantit l’évolutivité.

103

EOLE : résumé des résumés !

Sans un plan d’adresse unique et cohérent sur l’ensemble de l’E.N. ,

tout ceci devient caduc.

Ce plan était déjà officieusement employé par certaines académies.

=> nous devons donc l’enteriner pour continuer.

104“Donnez-moi un bon plan d’adresses, et j’interconnecterai le monde …”

EOLE : résumé des résumés !

105

EOLE : et les écoles ?

Le RFC 1918 ne permet pas de traiter les écoles comme les EPLE.

- l’architecture décrite pour les EPLE reste pertinente (rue,cour, maisons)

- mais il ne sera pas possible de créer un “extranet” des écoles via VPN

106


RACINE : un VPN pour tous les rectorats : COURAGEUX !!!

AGRIATES: un VPN pour tous les EPLE :TEMERAIRE !!!

XXXXX: un VPN pour toutes les écoles :SUICIDAIRE !!!

107


Seul un VPN réduit à quelques écoles (une circonscription) pourrait être

techniquement envisageable.

Avec beaucoup de moyens !!!

108

EOLE : et si ça “coince” ?

Le plan d’adresses IP V4 (32 bits) n’est certes pas inépuisable.

Mais seule la téléphonie IP pourra vraisemblablement l’épuiser.

… et certainement nous contraindre à passer à IP V6 (128 bits) .

… un jour ...

109

exemples de migration vers EOLE

• EPLE connecté à l’intranet académique

• EPLE connecté à l’intranet académique + un fournisseur d’acces privé.

• EPLE “hétérogène” : plusieurs connexions vers des fournisseurs privés.

110

10.xx.yy.0(24/8)

10.1xx.yy.0(24/8)



Avant EOLE Réseau

académique

Numeris 1 Numeris 2

Hypothèse 1:

Connexion adm via réseau académiqueConnexion ped via réseau académique


+ eventuellement connexion via un provider

111

10.xx.yy.0(24/8)



Réseauacadémique

Numeris 1 Numeris 2

Avec EOLE


(26/6)


192.168.224.0à

192.168.231.0(21/11)


1) création de l’espace d’accueil

2) mise en place d’EOLE

3) paramétrage du (des) réseau(x)pédagogie

112

10.xx.yy.0(25/7)



Réseauacadémique

Numeris 2

Avec EOLE


(26/6)


192.168.224.0à

192.168.231.0(21/11)


4) on supprime un routeur et sa liaison (peu importe lequel …) et onre-paramètre le réseau administratif.

5) connexion du réseau administratifsur EOLE

113

10.xx.yy.0(24/8)

10.1xx.yy.0(24/8)

ouadressage non conforme



Avant EOLE Réseau

académique

Numeris 1 Numeris ou ADSL

Hypothèse 2:

Connexion adm via réseau académiqueConnexion pedago via provider seul


114

10.xx.yy.0(24/8)

10.1xx.yy.0(24/8)




Avant EOLE Réseau

académique


Hypothèse 2:




(26/6) 1) création de l’espace d’accueil

2) mise en place d’EOLE

3) paramétrage du réseauadministratif

115

10.xx.yy.0(24/8)


192.168.224.0à

192.168.231.0(21/11)



Avant EOLE Réseau

académique


Hypothèse 2:




(26/6) 4) raccorder le (s) provider (s)

5) re-paramétrage le(s) reseau(x)pédagogique(s)

116

10.xx.yy.0(24/8)

10.1xx.yy.0(24/8)




Avant EOLE Réseau

académique


Hypothèse 3:

situation “hétérogène”


10.1xx.yy.0(24/8)


10.1xx.yy.0(24/8)


1) Fédérer les arrivéesreseau en un point

2) Fédérer les réseauxinternes en un point

Ramener la situation à l’hypothèse 2.

117

EOLE: bilan provisoire

• Un enjeu majeur (une OBLIGATION) pour l’avenir.

• - à cause de l’évolution technologique des réseaux de communication.

• - à cause de l’implication des collectivités locales dans le choix des solutions.

• - pour éviter les solutions anarchiques et les gaspillages dans l’EPLE.

118

EOLE : état des déploiements

• L’ EOLE de référence en Auvergne: le CRDP d’auvergne (adm, ped + cour)

• > 200 stations , accès clients /serveurs avec la cour , Bases de données ORACLE, TSE, serveurs web visibles d’internet , photothèque, liaison extranet avec les CDDP ...

• => qualification du modèle en forte charge.

119


• 4 EOLE adm, ped + cour en EPLE

• => ont servi à la validation de la méthode d’audit préalable à l’installation.

120


• 1 réalisation intégrant un greta éclaté sur 3 sites en cours de finalisation.

• => sert à valider la pertinence générale du modèle d’interconnexion, au delà du clivage “administratif/pédagogie” traditionnel.

121


• 30 EOLEs prévus à court terme.

• => la robustesse du modèle est maintenant éprouvée.

122

EOLE : la suite ?

• pb : comment passer de la phase expérimentale à une généralisation:

• Quels objectifs ? -> Quel périmètre ?

• Quels moyens ?

123

ANNEXES

124

EOLE : Les pré-requis (d’ordre général)

• La sensibilisation de l’établissement.

• Une situation “saine” : administration clairement séparée de la pédagogie.

• Au besoin , accord avec d’autres partenaires pour assainer l’existant : Greta, ...

• Une étude “sur mesure” pour définir la méthode à employer pour la mise en oeuvre.

125

EOLE : Les pré-requis (d’ordre technique)

• Un cablage permettant de fédérer en un local commun sécurisé:- les arrivées de reseaux publics de l’etablissement. (NUMERIS, ADSL, etc…- le reseau administratif- le(s) réseau(x) pédagogique(s)

• armoire de brassage équipée:electricité, etc

126

EOLE : un exemple de chantier complexe.

• Impliquant 3 gros établissements :- Lycée Ambroise Brugiere - Clermont-Fd- Lycée Chamalières- Lycée La Fayette - Clermont-Fd

• traitant la problématique des GRETAs

127

EOLE : un exemple de chantier complexe.

• Incluant :• un réseau extranet existant E.N.

• des accès providers internet commerciaux

• des solutions locales existantes d’échange entre partenaires (GRETA)

• ménageant la mise à disposition d’un réseau régional.

128

Ped

Adm

Ped

Greta

RNIS

ADSL ADSL

ADSL

RNIS

Chamalières

Ped

Adm

Ped

Ped

RNIS

ADSL

ADSL

Ambroise Brugière

RNIS

Greta

Ped

Adm

Ped

Ped

RNIS

ADSL

ADSL

RNIS

Greta

La fayette

RTC + RNIS + ?

RTC + RNIS + ?

RTC + RNIS + ?

+tout ce que l’on ignore !!!

129

RNIS

ADSL ADSL

ADSL

RNIS

RNIS

ADSL

ADSL

RNIS

RNIS

ADSL

ADSL

RNIS

RTC + RNIS + ?

RTC + RNIS + ?

RTC + RNIS + ?Coût ?Sécurité ?Supervision ?Assistance ?

130

Ped

Adm

Ped

Greta

RNIS

ADSL ADSL

ADSL

RNIS

Chamalières

Ped

Adm

Ped

Ped

RNIS

ADSL

ADSL

Ambroise Brugière

RNIS

Greta

Ped

Adm

Ped

Ped

RNIS

ADSL

ADSL

RNIS

Greta

La fayette

RTC + RNIS + ?

RTC + RNIS + ?

RTC + RNIS + ?

L’existant

131

Ped

Adm

Ped

Greta

RNIS ADSLADSL

Chamalières

Ped

Adm

Ped

Ped

RNIS

ADSL

ADSL

Ambroise Brugière

RNIS

Greta

Ped

Adm

Ped

Ped

RNIS

ADSL

ADSL

RNIS

Greta

La fayette

RTC + RNIS + ?

RTC + RNIS + ?

RTC + RNIS + ?

Phase 1: “la rue”

“la rue”

ADSL

132

Ped

Adm

Ped

Greta

RNIS ADSLADSL

Chamalières

Ped

Adm

Ped

Ped

RNIS

ADSL

ADSL

Ambroise Brugière

RNIS

Greta

Ped

Adm

Ped

Ped

RNIS

ADSL

ADSL

RNIS

Greta

La fayette

RTC + RNIS + ?

RTC + RNIS + ?

RTC + RNIS + ?

Phase 2 : “assainissement”

“la rue”

ADSL

133

Ped

Adm

Ped

Greta

RNIS ADSLADSL

Chamalières

Ped

Adm

Ped

Ped

RNIS

ADSL

ADSL

Ambroise Brugière

RNIS

Ped

Adm

Ped

Ped

RNIS

ADSL

ADSL

RNIS

La fayette

Phase 2: “simplification”

“la rue”

ADSL

134

Ped

Adm

Ped

Greta

RNIS ADSLADSL

Chamalières

Ped

Adm

Ped

PedRNIS

ADSL

ADSL

Ambroise Brugière

Ped

Adm

Ped

PedRNIS

ADSL

ADSL

La fayette

Phase 3: “toutes les rues”

“la rue”

ADSL

“la rue”

“la rue”

135

Ped

Adm

GretaPed

Gretaadm

RNIS ADSLADSL

Chamalières

Ped

Adm

GretaPed

GretaadmRNIS

ADSL

ADSL

Ambroise Brugière

Ped

Adm

GretaPed

Greta admRNIS

ADSL

ADSL

La fayette

Phase 4 : “les Gretas”

“la rue”

“la rue”

“la rue”

136

Chamalières

Ped

Adm

GretaPed

Gretaadm

Ambroise Brugière

Ped

Adm

GretaPed

Greta adm

La fayette

Phase 5: “champagne !!!”

“la rue”

“la rue”

Ped

Adm

GretaPed

Gretaadm

“la rue”

Réseau régional

137

Ped

Adm

Ped

Greta

RNIS

ADSL ADSL

ADSL

RNIS

Chamalières

Ped

Adm

Ped

Ped

RNIS

ADSL

ADSL

Ambroise Brugière

RNIS

Greta

Ped

Adm

Ped

Ped

RNIS

ADSL

ADSL

RNIS

Greta

La fayette

RTC + RNIS + ?

RTC + RNIS + ?

RTC + RNIS + ?

Résumé : comment passer du ...

138

RNIS

ADSL ADSL

ADSL

RNIS

RNIS

ADSL

ADSL

RNIS

RNIS

ADSL

ADSL

RNIS

RTC + RNIS + ?

RTC + RNIS + ?

RTC + RNIS + ?

Résumé : système D...

139

“la rue”

“la rue”

“la rue”

Réseau régional

Résumé : à une architecture mature …

140

EOLE : de l’utilité de la cour.Exemple : le CRDP d’auvergne.

• Incluant :

• un réseau extranet existant E.N.

• 5 sites : CRDP + 4 CDDP

• ménageant la mise à disposition d’un réseau régional.

141

EOLE AU CRDP D ’AUVERGNE

• LES RESEAUX / le découpage en zones.

• LES SERVEURS et leur localisation.

• LES FLUX sécurisés par EOLE.

142

“maison”ADMINISTRATIVE

“maison”PEDAGOGIQUE“La cour”

“la rue”



“La cour”

“la rue”



“La cour”

“la rue”

CDDP CDDP

CRDP


Internet 1


Internet 2

Réseau Académique

143

teln

et

ftp “maison”PEDAGOGIQUE


Réseauacadémique


Internet 1


Internet 2

“La cour”

“la rue”

HTT

P

HTTP Clie

nts T

SE

Cli

ents

TSE

HT

TP

HTTP

Messagerie M

essa

gerie

M

essa

gerie

CDDP

Age

nt a

ntiv

irus

Agent

antiv

irus

Agent antivirus

ftp

ftp

ftp te

lnet

144

“maison”PEDAGO

“maison”ADMINISTRATIF

Réseauacadémique


Internet 1


Internet 2

“La cour”

“la rue”

INTE

RNET

IN

TE

RN

ET

INTERNET ge

stion

gestion

gestion M

essa

gerie

Messagerie

Messagerie

Messagerie H

TTP

HTTP

HTTP

HT

TP

auth

entif

icat

ion

auth

entif

icat

ion

Client

serv

eur

HTT

P

ftp

telnet

telnet

teln

et

ftp C

lients TSE

Clients TSE

ftp

Age

nt a

ntiv

irus

Age

nt a

ntiv

irus

Agent antivirus

CRDP

ftp

145

“maison”PEDAGO


Réseauacadémique


Internet 1


Internet 2

“La cour”

“la rue”

auth

entif

icat

ion

auth

entif

icat

ion

Client

serv

eur

CRDP

Serveur anti-virus(FSECURE)

HTTP

Recup régulière des signatures virales

HTTP

HTTP

Scrutation à l’initialisation puis toute les heures

146

“maison”PEDAGO


Réseauacadémique


Internet 1


Internet 2

“La cour”

“la rue”

auth

entif

icat

ion

auth

entif

icat

ion

Client

serv

eur

CRDP

Serveur mailNetscape

POP3/IMAP4/SMTP

POP3/IMAP4/SMTP

SMTP

147

“maison”PEDAGO


Réseauacadémique


Internet 1


Internet 2

“La cour”

“la rue”

auth

entif

icat

ion

auth

entif

icat

ion

Client

serv

eur

CRDP

BD comptaOracle+serveur TSE

Clients TSE

Clients TSE des CDDP

148



Réseauacadémique


Internet 1


Internet 2

“La cour”

“la rue”

Serveur de gestion Oracle

serveur TSE

serveur web photothèque nationale

serveur documentaire

serveur web crdp

serveur messagerie

serveur de màj Antivirus

Serveur d ’authentification

serveur démonstration IACA


serveur photothèque

serveur commercialisationCRDP

149



Réseauacadémique


Internet 1


Internet 2

“La cour”

“la rue”


serveur démonstration IACA


clients TSE vers BD Oracle

CDDP

serveur de màj Antivirus

serveur ftp

serveur web

150

LA BOITE à OUTILS

… on ne peut pas ergoter et polémiquer quand on regarde une réalité technique et pratique. Ce qui n’est pas le cas lorsque l’on reste au niveau des idées: on se bouffe le nez. Par contre, Quand

vous allez sur le terrain, vous voyez la machine, vous rencontrez un “oeuvier”qui vous dit “c’est comme cela qu’il faut faire…”

Les faits et la vérité sont plus grands que nous. …

départ de François Michelin - 16 Mai 2002 - interview la Montagne

151

0 24

8 16 31

Type de service Longueur totale

Identification Offset fragment

Adresse IP Source

Adresse IP Destination

Options IP (eventuellement)

4

VERS HLEN

19

Flags

Durée de vie

Protocole Somme de contrôle Header

Padding

Données

. . .

Format d’un datagramme IP

152

Marquage des datagrammes

TOS DATA

153

Diff Serv Code Point (DSCP)

DSCP CU

TOS

Precedence

Réservé.(prévu pour lanotification decongestion

1 SIIEE :Architectures, réseaux et sécurité dans l’EPLE EOLE (Ensemble Ouvert Libre Evolutif)

Documents

Transcript of 1 SIIEE :Architectures, réseaux et sécurité dans l’EPLE EOLE (Ensemble Ouvert Libre Evolutif)