Guide Reseaux

Les réseaux des EPLEFPA

Architectures &Recommandations

Chantier national DRTIC http://drtic.educagri.fr/ Décembre 2009

http://drtic.educagri.fr/

Architecture des réseaux en EPLEFPA

Table des matières

1 Préambule..........................................................................................................................................151.1.Objectifs.................................................................................................................................................151.2.Limites....................................................................................................................................................161.3.Structures.des.EPLEFPA..........................................................................................................................16

2 Infrastructure physique des réseaux.........................................................................................102.1.Locaux.techniques.................................................................................................................................102.2.Technologies.câblées.............................................................................................................................122.3.Technologies.sans.fil..............................................................................................................................162.4.Recommandations..................................................................................................................................19

3 Éléments actifs..................................................................................................................................213.1.Les.hubs..................................................................................................................................................213.2.Switch.ou.commutateur.........................................................................................................................213.3.Les.ponts................................................................................................................................................253.4.Les.routeurs............................................................................................................................................253.5.Les.équipements.«.Box.».ou.«.triple.play.»................................................................................................263.6.Les.éléments.actifs.Wifi..........................................................................................................................273.7.Recommandations..................................................................................................................................28

4 Infrastructure logique des réseaux............................................................................................304.1.Protocoles.réseaux.................................................................................................................................304.2.Adressage.IP...........................................................................................................................................334.3.Introduction.à.IPV6................................................................................................................................354.4.Segmentation..........................................................................................................................................364.5.Les.Vlan.ou.réseaux.virtuels...................................................................................................................37➜.4.6.Recommandations.............................................................................................................................39

5 Interconnexion des réseaux de l’EPL.........................................................................................415.1.MAN/WAN.............................................................................................................................................415.2.RPV/VPN................................................................................................................................................435.3.Technologies.VPN..................................................................................................................................455.4.Les.différentes.solutions.VPN.................................................................................................................47➜ 5.5.Recommandations.............................................................................................................................48

6 Sécurité des réseaux........................................................................................................................496.1.Notions.de.sécurité.informatique...........................................................................................................496.2.Authentification......................................................................................................................................50➜ 6.2.8 Recommandations........................................................................................................................566.3.Firewall...................................................................................................................................................56➜ 6.3.5 Recommandations........................................................................................................................606.4.Filtrage.Internet......................................................................................................................................61➜ 6.4.8 Recommandations........................................................................................................................646.5.Sécuriser.les.accès.nomades.au.réseau.local..........................................................................................65➜ 6.5.7 Recommandations........................................................................................................................706.6.Surveillance.&.Analyse.réseau................................................................................................................72➜ 6.6.8 Recommandations........................................................................................................................77

7 Sites de références...........................................................................................................................787.1.Site.du.réseau.........................................................................................................................................787.2.Sites.des.distributions.............................................................................................................................78

Les.réseaux.des.EPLEFPA

5

1 Préambule

L’architecture.des.réseaux.en.EPLEFPA.constitue.un.domaine.de.réflexion.de.la.première.importance.qui.conditionne.les.usages.et.la.qualité.de.service.du.système.d’information.qui.se.caractérise.principalement.par.:•.des.informations.variées.appartenant.généralement.à.deux.grands.domaines.:.les.données.administratives.au.caractère.parfois.confidentiel.et.les.données.pédagogiques.•.de.nombreuses.familles.d’usagers.:.administratifs,.enseignants,.apprenant.de.la.formation.initiale.ou.conti-nue,.titulaires.ou.vacataires,.parents.d’élèves,.institutionnels.etc..Les.groupes.d’utilisateurs.sont.donc.très.hétérogènes,.difficulté.à.laquelle.s’ajoute.la.présence.d’élèves.et.d’apprentis.mineurs.Une.ouverture.importante.vers.de.nombreux.interlocuteurs.institutionnels.dont.au.premier.lieu.le.Minis-tère.de.l'Agriculture,.de.l’Alimentation.et.de.la.Pêche.mais.également.les.Conseils.Régionaux,.le.Ministère.des.Finances,.le.Ministère.de.l’Éducation.Nationale,.etc.L’importance. prise. par. le. système. d’information. de. l’EPL,. son. ouverture,. la. complexité. croissante. des.réseaux.ont.fait.émerger.la.nécessité.de.rédiger.un.guide.à.destination.des.établissements.

1.1 Objectifs

Le.premier.objectif.de.ce.guide.est.d’aborder.tous.les.aspects.d’un.réseau.local.en.réalisant.un.état.de.l’art.qui.permettra.aux.membres.de.la.commission.TIM.de.l’établissement.de.comprendre.les.éléments.théo-riques.de.base.nécessaires.à.une.prise.de.décision.Le.second.objectif.est.d’établir.des.recommandations.à.l’attention.des.EPLEFPA..Chaque.domaine,.abordé.sous.forme.d’un.chapitre,.sera.conclu.par.des.recommandations.permettant.de.rendre.ce.guide.plus.opé-rationnel.Ce.document.pourra.également.servir.de.document.de.référence.dans. les.discussions.avec. leurs.parte-naires.et.plus.particulièrement.les.Conseils.Régionaux.en.tant.que.propriétaires.des.infrastructures.Ce.guide.est.le.résultat.d’un.groupe.de.travail.DRTIC.dont.l’expérience.en.matière.d’architecture.réseaux.est.diverse..Sur.la.base.des.technologies.actuelles.et.d’observations.effectuées.dans.les.EPL.de.différentes.régions,.il.devrait.donc.permettre.de.:

•.Éclairer.des.choix.:.permettre.à.l’utilisateur.de.faire.le.tour.des.solutions.techniques.existantes.afin.d’ef-fectuer.des.choix.en.toute.connaissance.de.cause.•. Établir. des. recommandations.:. celles. formulées. dans. ce. guide. n’ont. pas. de. valeurs. impératives. mais.constituent.des.orientations.retenues.parce.qu’éprouvées.dans. les.établissements,.cohérent.avec. le.Sys-tème.d’Information.de.l’Enseignement.Agricole.et.respectant.la.Politique.de.Sécurité.des.Systèmes.d’Infor-mation.du.MAAP..Limiter.les.coûts.:.La.vocation.de.ce.document.est.aussi.de.permettre.la.mise.en.place.de.solutions.avec.des.coûts.limités..Elles.sont.donc.souvent.issues.du.monde.du.logiciel.libre.


6

1.2 Limites

Ce.guide.n’a.pas.vocation.à.être.exhaustif.ni.à.apporter.une.solution.à.tous.les.problèmes,.mais.à.assurer.un.minimum.d’appui.technique.à.la.prise.de.décision.dans.une.structure.de.type.EPLEFPA.Le.secteur.des.TIC.évolue.rapidement.et.conduit.à.une.obsolescence.plus.ou.moins.rapide.des.documents.imprimés..Une.version.électronique.sera.tenue.à.jour.régulièrement.et.publiée.sur.le.portail.des.TICEs.initié.par.le.réseau.des.DRTIC.:.http://drtic.educagri.fr/Elle.sera.complétée.régulièrement.par.des.fiches.techniques.permettant.la.mise.en.œuvre.des.recomman-dations.faites.dans.ce.guide.

1.2.1 Politiques des Régions

Les.Conseils.Régionaux.ont.la.responsabilité.des.infrastructures.des.établissements.et.assurent.le.finance-ment.des.équipements..A.ce.titre,.ils.sont.des.partenaires.incontournables.dans.le.domaine.de.l’architec-ture.des.réseaux.Certaines.Régions.possèdent.déjà.des.schémas.directeurs.dans.ce.domaine.ou.sont.porteurs.de.projets.qui.ont.des.répercussions.directes.sur.l’architecture.des.réseaux..Il.peut.s’agir,.par.exemple,.du.déploiement.d’un.Environnement.Numérique.de.Travail,.du.choix.d’un.Fournisseur.d’Accès.à.Internet,.d’une.solution.de.sécurité,.etc.Il.convient.donc.de.préciser.que.les.préconisations.de.ce.guide.sont.à.adapter.au.contexte.régional.

1.2.2 Autonomie des EPLEFPA

Le.conseil.d’administration.d’un.EPLEFPA.a.toute.latitude.pour.conduire.un.projet.d’infrastructure.de.son.réseau..Dans.ce.cas,.ce.guide.doit.lui.permettre.de.prendre.des.orientations.cohérentes.avec.les.orienta-tions.nationales.du.Ministère.tout.en.ne.perdant.pas.de.vue.son.contexte.régional.

1.3 Structures des EPLEFPA

•.La.constitution.des.établissements.est.généralement.la.suivante.:.Le.siège.de.l’établissement.est.le.Lycée.d’Enseignement.Général.et.Technologique.Agricole•..(LEGTA).ou.le.Lycée.Professionnel.Agricole.(LPA).le.plus.important.•.Il.comprend.plusieurs.centres.constitutifs.qui.peuvent.être,.outre.le.lycée.siège,.un.ou.plusieurs.autres.lycées,.un.ou.plusieurs.Centres.de.Formations.Professionnelle.et.de.Promotion.Agricole.(CFPPA),.un.ou.plusieurs.Centres.de.Formation•..d’Apprentis.(CFA).et.une.ou.plusieurs.exploitations.agricoles.ou.ateliers.technologiques.•.Les.centres.constitutifs.d’un.EPLEFPA.peuvent.êtres.situés.géographiquement.sur.un.seul.site.ou.réparti.sur.plusieurs.dans.un.même.département.•.Il.existe.une.grande.hétérogénéité.dans.la.taille.des.établissements.dont.le.plus.petit.est.constitué.d’un.LPA.d’une.centaine.élèves,.et.le.plus.important.de.3.lycées,.2.CFA,.2.CFPPA,.2.exploitations.agricoles,.et.2.ateliers.technologiques.

La.taille.d’un.EPLEFPA,.le.nombre.de.ses.centres.constitutifs,.leur.importance,.leur.public.ainsi.que.leur.répartition.géographique.ainsi.que.leurs.répartitions.géographiques.impactent.directement.l’infrastructure.de.son.réseau.et.influent.sur.ses.besoins.en.terme.de.sécurité.des.systèmes.d’informations.

Les.trois.chapitres.suivants.présentent.les.principaux.types.d’infrastructures.des.réseaux.des.EPLEFPA.en.fonctions.de.leurs.principales.typologies.


7

1.3.1 EPLEFPA mono-site mono-réseau

C’est.le.cas.le.plus.simple.en.terme.d’infrastructure.et.d’administration.du.réseau..Cette.typologie.d’établis-sement.tend.à.disparaître.


8

1.3.2 EPLEFPA mono-site multi-réseaux :

Cette.typologie.d’établissement.tend.à.se.développer.sur.les.établissements.mono-site.et.multi-centre.afin.de.mieux.sécuriser.le.réseau.et.de.répondre.de.façon.plus.efficace.aux.exigences.de.la.politique.de.sécurité.des.systèmes.d’information.du.Ministère.


9

1.3.3 EPLEFPA multi-sites multi-réseaux

<Cette.typologie.tend.à.se.développer.de.façon.importante.sous.l’impulsion.d’une.politique.ministérielle.visant.à.regrouper. les.établissements.d’enseignement.agricole.au.sein.de.structures.d’EPLEFPA.départe-mentaux..Elle.fait.appel.à.des.techniques.complexes.de.gestion.et.de.sécurisation.des.réseaux.qui.impli-quent.la.présence.d’équipes.locales.compétentes.


10

2 Infrastructure physique des réseaux

2.1 Locaux techniques

2.1.1 Salles serveurs

La.salle.serveur.est. le.cœur.du.système.d’information..Elle.est. indispensable.au.sein.d’un.établissement.et.doit.être. strictement. réservée.à.cet.usage..Sa.conception. fait. appel.à.de.nombreux.savoir-faire.et. se.caractérise.par.un.environnement.multi-technique.(électricité,.climatisation,. incendie,.contrôle.d’accès,.report.des.alarmes,.procédures,…)..C’est.pourquoi.un.soin.très.particulier.doit.être.apporté.dans.sa.mise.en.œuvre.

Alimentation électriqueBien. que. le. courant. fourni. s’avère. généralement. de. bonne. qualité,. les. équipements. informatiques.demeurent. néanmoins. sensibles. à. diverses. perturbations. électriques. (sautes. de. tension,. surcharge,.courant. de. fuite,…).. Il. est. fortement. recommandé. de. fiabiliser. ces. alimentations. par. des. équipements.assurant.une.alimentation.électrique. stabilisée,. filtrée.et.continue.afin.d’éliminer. la.plupart.des.anoma-lies.du. réseau. souvent. à. l’origine.des.pannes,. incidents,. voir. arrêt. total.de. la.production. informatique...Aussi.il.est.important.de.penser.à.:•.fournir.une.alimentation.électrique.indépendante.à.la.salle.serveur.(directement.à.l’arrivée.EDF),•.équiper.la.salle.ou.à.défaut.chaque.serveur.d’un.onduleur.•.fournir.si.possible.aux.postes.utilisateurs.une.alimentation.indépendante.du.courant.domestique..Vérifier.les.branchements.individuels.régulièrement.(radiateurs,.cafetières,.multiprises…)..Informer.les.usagers.des.risques.pour.leurs.propres.fichiers.

Les onduleurs•.il.fournit.un.courant.de.rechange.en.cas.de.coupure.grâce.à.ses.batteries..La.durée.du.secours.est.bien.sûr.proportionnelle.à.la.taille.de.ses.batteries.et.inversement.proportionnelle.à.la.consommation.des.appareils.qui.lui.sont.attribués.(de.quelques.minutes.à.quelques.heures).•.il.régule.le.courant.(sous-tension,.surtension,.mais.aussi.écarts.de.fréquence…)..Tous.les.onduleurs.ne.sont.pas.aussi.performants..Un.gros.onduleur.utilisé.pour.plusieurs.machines.est.généralement.plus.perfor-mant.que.plusieurs.petits.pour.un.même.coût.•.lorsque.la.coupure.se.prolonge.plus.de.quelques.minutes,.il.peut.ordonner.aux.serveurs.de.fermer.pro-prement.tous.leurs.services,.évitant.ainsi.des.pertes.de.données.•.L’onduleur.comme.ses.batteries.doit.être.minutieusement.et.régulièrement.vérifié..Beaucoup.d’onduleurs.sont.maintenant.accessibles.par.le.réseau.et.peuvent.être.contrôlés.régulièrement.depuis.une.console.d’ad-ministration,.il.faut.donc.vérifier.que.les.dispositions.nécessaires.ont.été.prises.

ClimatisationLa.climatisation.est.un.élément.fondamental.de.la.sécurité.des.systèmes.d’information..Les.serveurs.sont.conçus.pour. fonctionner.dans.une.plage.de. températures.dite. «.ambiance.de.bureau.». ..Au.delà,. soit. ils..s’arrêtent,.soit.ils.risquent.la.panne.grave.La.fourniture.de.climatisation.doit.assurer.le.refroidissement.des.configurations.informatiques.hébergées.24.h.sur.24..Toute.panne.sur.la.chaîne.climatique.peut.provoquer.une.hausse.de.température.très.rapide.qui.peut.s’avérer.fatale.pour.certains.composants.sensibles..il.est.donc.très.important.que.les.salles.soient.correctement.équipées.de.climatiseur.de.puissance.suffisante.En.cas.d’arrêt.de. la.climatisation.la.température.augmente.rapidement.. Il.peut.donc.s’avérer.nécessaire.qu’elles.soient.équipées.de.systèmes.d’alerte.(thermostat. indépendant).et.de.procédures.et.contrats.de.maintenances.associés.


11

L’incendieLa.protection.contre.le.risque.incendie.est.partie.intégrante.de.l’environnement.des.salles.informatiques..Un.court-circuit.dans.un.passage.de.câbles.et.un.incendie.risque.de.détruire.en.quelques.instants.la.salle.machine...Il.faut.prendre.en.compte.que.ce.lieu.reste.généralement.à.l’abri.des.allers.et.venues.ce.qui.permet.le.déve-loppement.discret.d’un.incendie..La.lutte.contre.l’incendie.comporte.trois.volets.:•.la.prévention,•.la.détection,•.l’extinction.Parmi.les.points.sensibles,.on.retrouve.:•.la.sensibilisation,.la.formation.et.les.exercices,•.le.contrôle.régulier.des.équipements.de.détection.et.de.lutte,•.les.reports.d’alarmes,•.les.procédures…

Les accèsUn.autre.point.sensible.de.l’environnement.des.salles.informatiques.est.la.gestion.des.flux.humains..Les.entrées.et.sorties.dans.une.salle.informatique.et.dans.les.locaux.techniques.doivent.être.strictement.limi-tées.aux.personnels.habilités..Ce.flux.plus.ou.moins.permanent.est.à.considérer.comme.source.potentielle.de.dysfonctionnements,.qu’ils.soient.volontaires.ou.involontaires..Toute.autre.forme.d’accès.doit.se.faire.sous.la.responsabilité.et.en.présence.d’un.agent.habilité..Il.convient.d’informer.tous.les.intervenants.poten-tiels.du.caractère.sensible.des.zones.dans.lesquelles.ils.sont.amenés.à.intervenir.

Les précautions de sécurité•.regrouper.le.matériel.le.plus.sensible.dans.les.zones.les.mieux.protégées,•.ces.locaux.doivent.être.isolés.des.réseaux.de.servitudes..(eau,.électricité,.ascenseurs…),•.sortir.les.supports.de.sauvegarde.des.locaux,.si.possible.du.bâtiment,•.contrôler.l’accès.par.des.systèmes.à.clé,.cartes,.digicodes…,.faciles.à.utiliser.et.maintenus.opérationnels.

Bilan des points de vigilance•.sécurité.du.bâtiment•.sécurité.d’accès•.sécurité.intrusion•.sécurité.incendie•.sécurité.électrique•.sécurité.climatique

2.1.2 Locaux techniques

Les.locaux.techniques.constituent.les.nœuds.secondaires.du.réseau.informatique.en.assurant.les.connexions.des.équipements.terminaux.d’un.ou.plusieurs.étages..Ils.hébergent.les.baies.de.brassage,.les.équipements.actifs.du.réseau.et.parfois.les.sous.répartiteurs.téléphoniques.Les.baies.de.brassage.contiennent.l’arrivée.de.toutes.les.prises.informatiques.de.la.zone.desservie.ainsi.que.les.hubs.(concentrateurs).ou.switchs.(commutateurs).sur.lesquelles.elles.sont.connectées..Elles.sont.reliées.entre.elles.ainsi.qu’à.la.salle.serveur.par.des.rocades.Ces.locaux.sont.donc.des.éléments.essentiels.du.réseau.local.et.représentent.un.point.de.vulnérabilité.signi-ficatif..Au.même.titre.que.la.salle.serveur,.ils.doivent.faire.l’objet.d’une.attention.particulière.sur.certains.points.Les.recommandations.édictées.précédemment.pour.la.salle.serveur.s’appliquent.de.la.même.manière.aux.locaux.techniques.dans.les.domaines.de.l’alimentation.électrique,.des.onduleurs.et.du.contrôle.des.accès.


12

2.2 Technologies câblées

2.2.1 Ethernet

Pour.relier.les.diverses.entités.d’un.réseau,.plusieurs.supports.physiques.de.transmission.de.données.peu-vent.être.utilisés..La.plus.répandue.de.ces.possibilités.est.l’utilisation.de.câbles..Il.existe.de.nombreux.types.de.câbles,.mais.on.distingue.généralement.:l. le.câble.coaxial,l. les.paires.torsadées,l. llLa.fibre.optique.

2.2.1.1 Le câble coaxialLe.câble.coaxial.a.longtemps.été.le.câblage.de.prédilection,.pour.la.simple.raison.qu’il.est.peu.coûteux.et.facilement.manipulable.(poids,.flexibilité,…)..Il.est.aujourd’hui.en.voie.de.disparition..Il.en.existe.princi-palement.deux.types.:

•.Câblage.10Base2.-.coaxial.Ethernet.finC’est.un.câble.coaxial.fin.(diamètre.6.mm).et.flexible,.d’une.impédance.de.50.W.blindé..Les.stations.sont.connectées.suivant.une.topologie.en.bus.grâce.à.un.connecteur.en.T.appelé.BNC..La.longueur.maximale.du.segment.est.de.185.m.et.permet.de.connecter.30.stations.avec.une.bande.passante.de.10.Mbps.

•.Câblage.10Base5.-.coaxial.Ethernet.épais.ou."jaune"C’est.un.câble.coaxial.épais.(diamètre.12.mm).et.peu.flexible,.d’une.impédance.de.50.W..Les.stations.ou.les.concentrateurs.(hubs).se.connectent.suivant.une.topologie.bus,.par.l’intermédiaire.d’un.«.transceiver.».et.d’un.câble.de.descente..La.longueur.maximale.d’un.tronçon.est.de.500.m.et.sa.bande.passante.10.Mbps.Il.était.donc.employé.très.souvent.comme.câble.principal.(backbone).pour.relier.des.petits.réseaux.dont.les.ordinateurs.sont.connectés.avec.du.10Base2.

2.2.1.2 Le câble paires torsadéesLa.paire.torsadée.est.adaptée.à.la.mise.en.réseau.local.d’un.parc.sur.une.distance.réduite.(<100.m).avec.un.budget.limité.et.une.connectique.simple..Il.constitue.aujourd’hui.la.très.grande.majorité.des.réseaux.locaux.Dans.sa.forme.la.plus.simple,.le.câble.à.paire.torsadée.(en.anglais.Twisted-pair.cable).est.constitué.de.brins.de.cuivre.entrelacés.en.torsade.et.recouverts.d’isolants..Un.câble.est.souvent.fabriqué.à.partir.de.plusieurs.paires.torsadées.regroupées.et.placées.à.l’intérieur.de.la.gaine.protectrice..L’entrelacement.permet.de.sup-primer.les.bruits.(interférences.électriques).dus.aux.paires.adjacentes.ou.autres.sources.(moteurs,.relais,.courants.forts).Les.câbles.à.paires.torsadées.sont.souvent.blindés.afin.de.limiter.les.interférences..Le.blindage.peut.être.appliqué.individuellement.aux.paires.ou.à.l’ensemble.des.paires..Dans.ce.dernier.cas.on.parle.d’écrantage.

Suivant.le.blindage,.il.existe.différents.types.de.paires.torsadées.:•.paire.torsadée.non.blindée.(UTP.—.Unshielded.Twisted.Pair).:.câble.sans.blindage.protecteur,•.paire.torsadée.écrantée.(FTP.–.Foiled.Twisted.Pair).:.câble.où.les.paires.torsadées.ont.un.blindage.général.assuré.par.un.écran.(feuille.d’aluminium).disposé.entre.les.paires.et.la.gaine.extérieure,•.paire.torsadée.écrantée.et.blindée.(SFTP.–.Shielded.and.Foiled.Twisted.Pair).:.câble.ayant.un.double.écran.(feuille.métallisée.et.tresse).autour.des.paires,•.paire.torsadée.blindée.et.générale.blindée.(SSTP.–.Shielded.and.Shielded.Twisted.Pair).:.câble.où.chaque.paire.est.blindée.et.il.y.a.en.plus.un.écran.entre.les.4.paires.et.la.gaine.extérieure.Ces.différents.types.de.câbles.ont.une.impédance.de.100.ou.120.ohms.Les.câbles.à.paires.torsadées.sont.standardisés.en.diverses.catégories.d’intégrité.du.signal..Ces.différentes.catégories.sont.ratifiées.régulièrement.par.les.autorités.de.normalisation.et.notamment.la.norme.française.NF/EN.50173-1,.elle.même.issue.de.la.norme.ISO.11801,.définissant.le.câblage.structuré.


13

Catégorie.1La.catégorie.1.est.un.type.de.câblage.abandonné..Cette.catégorie.de.câble.était.destinée.aux.communica-tions.téléphoniques..Cette.norme.n’est.plus.d’actualité.

Catégorie.2La.catégorie.2.est.un.type.de.câblage.abandonné..Cette.catégorie.de.câble.permettait.la.transmission.de.données.à.4.Mbit/s.avec.une.bande.passante.de.2.MHz,.notamment.pour.les.réseaux.de.type.Token.Ring.

Catégorie.3La.catégorie.3.est.un.type.de.câblage.permettant.une.bande.passante.de.16.MHz..Ce.type.de.câble.de.nos.jours.ne.sert.principalement.plus.qu’à.la.téléphonie.sur.le.marché.commercial,.aussi.bien.pour.les.lignes.analogiques.que.numériques..Il.est.également.utilisé.pour.les.réseaux.Ethernet.(10.Mbps).et.Fast.Ethernet.(100.Mbps)..Ce.type.de.câblage.est.en.cours.d’abandon.par.les.opérateurs.au.bénéfice.de.câbles.de.catégo-rie.5e.ou.supérieure,.pour.la.transmission.de.la.voix.comme.des.données.

Catégorie.4La.catégorie.4.est.un.type.de.câblage.permettant.une.bande.passante.de.20.MHz..Ce.standard.fut.principa-lement.utilisé.pour.les.réseaux.Token.Ring.à.16.Mbps.ou.les.réseaux.10BASE-T..Il.fut.rapidement.remplacé.par.les.catégories.5.et.5e.

Catégorie.5La.catégorie.5.est.un.type.de.câblage.permettant.une.bande.passante.de.100.MHz.et.un.débit.de.100.Mbps..Ce.standard.permet.l’utilisation.du.100BASE-TX.ainsi.que.diverses.applications.de.téléphonie.ou.de.réseaux.(Token.ring,.ATM).

Catégorie.5eLa.catégorie.5e.(enhanced).est.un.type.de.câblage.permettant.une.bande.passante.de.150.MHz.et.un.débit.1.G-bit/s..La.norme.est.une.amélioration.de.la.catégorie.5..Elle.est.aujourd’hui.la.plus.fréquente.

Catégorie.6La.catégorie.6.est.un. type.de.câblage.permettant.de. transmettre.des.données.à.des. fréquences. jusqu’à.250.MHz.et.à.des.débits.théoriques.ne.dépassant.pas.1.Gbit/s

Catégorie.6aRatifiée.en.2008,.la.norme.6a.est.une.extension.de.la.catégorie.6.avec.une.bande.passante.de.500.MHz.permettant.un.débit.théorique.de.10G-bit/s.

Catégorie.7La.catégorie.7.permet.la.transmission.de.données.à.des.débits.allant.jusqu’à.10.Gbits/s.et.à.des.fréquences.ne.dépassant.pas.600.MHz.

Attention :Les.réseaux.de.type.Ethernet.n’acceptent.pas.de.liens.supérieurs.à.100.mètres.!.(quelles.que.soient.la.famille.et.la.catégorie.du.câblage)..Les.connecteurs.doivent.être.en.adéquation.avec.les.câbles.utilisés,.notamment.au.niveau.du.blindage..Pour.une.utilisation.extérieure,.il.existe.des.qualités.de.câbles.appro-priées.

2.2.1.3 La fibre optiqueUne.fibre.optique.est.un.câble.contenant.plusieurs.brins.constitués.d’un.fil.en.verre.ou.en.plastique.très.fin.qui.a.la.propriété.de.conduire.la.lumière.et.sert.dans.les.transmissions.d’images,.voix.et.données.infor-matiques..C’est.un.câblage.possédant.de.nombreux.avantages..Légèreté,.immunité.aux.perturbations.élec-tromagnétiques,.faible.atténuation,.tolérance.aux.débits.élevés,.largeur.de.bande.de.quelques.dizaines.de.mégahertz.à.plusieurs.gigahertz.


14

Le.câblage.optique.est.particulièrement.adapté.à. la. liaison.entre.répartiteurs.(liaison.centrale.entre.plu-sieurs.bâtiments,.appelé.backbone,.ou.en.français.épine.dorsale).car.elle.permet.des.connexions.sur.des.longues.distances.(de.quelques.mètres.à.60.km.dans.le.cas.de.fibre.monomode).Les.fibres.optiques.peuvent.être.classées.en.deux.catégories.selon.le.diamètre.de.leur.cœur.et.la.longueur.d’onde.utilisée.:

Les.fibres.multimodes.sont.les.plus.anciennes.sur.le.marché..Elles.ont.pour.caractéristique.de.transporter.plusieurs.modes.(trajets.lumineux),.ce.qui.entraîne.une.dispersion.du.signal.proportionnelle.à.la.longueur.de.la.fibre..En.conséquence,.elles.sont.principalement.utilisées.dans.des.liaisons.inter.bâtiments.avec.des.débits.de.100.Mbps.ou.1.Gbps.et.sur.des.distances.de.100.m.à.3.km..Elles.sont.caractérisées.par.un.dia-mètre.de.cœur.de.50.ou.62,5.µm.

Les.fibres.monomodes,.plus.fines,.sont.préférées.pour.de.plus.longues.distances.et/ou.de.plus.hauts.débits..Leur.cœur.très.fin.n’admet.ainsi.qu’un.mode.de.propagation,.le.plus.direct.possible.c’est-à-dire.dans.l’axe.de.la.fibre..Les.pertes.sont.donc.minimes.que.ce.soit.pour.de.très.haut.débits.ou.de.très.longues.distances..Les.fibres.monomodes.sont.de.ce.fait.adaptées.aux.longues.distances.comme.pour.les.lignes.intercontinen-tales..Ces.fibres.monomodes.sont.caractérisées.par.un.diamètre.de.cœur.de.9.µm.

Elles.sont.également.caractérisées.par.des.types.de.connecteurs.différents.dont.les.principaux.sont.:•.ST.et.FC.(section.ronde.à.visser)•.MIC.(section.rectangulaire.clipsable)•.SC.(section.carrée.clipsable)•.LC.(petite.section.carrée.clipsable)•.MTRJ.(petite.section.carrée.clipsable).

2.2.2 CPL

Les.Courants.Porteurs.en.Ligne.sont.des.technologies.qui.visent.à.faire.passer.de.l’information.à.bas.débit.ou.haut.débit.sur.les.lignes.électriques.en.utilisant.des.techniques.de.modulation..Selon.les.pays,.les.institu-tions,.les.sociétés,.les.courants.porteurs.en.ligne.se.retrouvent.sous.plusieurs.mots-clés.différents..:.•.CPL.(Courants.Porteurs.en.Ligne)•.PLC.(Power.Line.Communications)•.PLT.(Power.Line.Telecommunication)•.PPC.(Power.Plus.Communications)

Le.principe.des.CPL.consiste.à.superposer.au.signal.électrique.de.50.Hz.un.autre.signal.à.plus.haute.fré-quence.(bande.1,6.à.30.Mhz).et.de.faible.énergie..Ce.deuxième.signal.se.propage.sur.l’installation.élec-trique.et.peut.être.reçu.et.décodé.à.distance..Ainsi.le.signal.CPL.est.reçu.par.tout.récepteur.CPL.qui.se.trouve.sur.la.même.phase.d’un.même.réseau.électrique.

Dans.un.immeuble,.le.câble.d’alimentation.électrique.unique.va.se.ramifier.en.un.nombre.important.de.distributions.secondaires..Et.le.raisonnement.est.le.même.à.l’échelle.du.quartier.ou.de.la.ville..Il.en.découle.une.diffusion.du.signal.qui.a.deux.effets.négatifs.:•.la.diminution.de.la.force.du.signal.à.chaque.division,•.le.partage.de.la.bande.passante.par.tous.les.appareils,•.la.propagation.difficilement.contrôlable.des.données.dans.des.lieux.qui.ne.sont.pas.forcément.ceux.que.l’on.souhaite.

Les. moteurs. électriques. et. les. alimentations. d’ordinateurs. génèrent. de. violentes. perturbations. sur. les.réseaux.électriques..La.perturbation.est.déjà.l’ennemi.des.réseaux.Ethernet.classiques,.avec.le.CPL,.elle.peut.apparaître.et.disparaître.à.tout.moment.et.à.tout.endroit,.sans.qu’il.soit.facilement.possible.de.relier.son.apparition.avec. le. fonctionnement.d’un.appareil.donné..Dès. lors,. il. est.nécessaire.de. faire.appel.à.


15

une.technologie.de.signal.particulièrement.robuste..Schématiquement,.le.signal.est.transmis.par.plusieurs.trames.concurrentes.émises.sur.plusieurs.fréquences..On.garde.le.meilleur.à.l’arrivée.

On.distingue.logiquement.deux.types.de.CPL.:•.outdoor.:.à.l’extérieur.des.constructions..C’est.l’une.des.réponses.possibles.à.la.desserte.des.localités.et.des.habitations.isolées,.non.desservies.par.l’ADSL..Cette.technologie.est.utilisée.à.l’étranger,.mais.en.France,.la.légis-lation.n’autorise.pas.encore.un.fournisseur.d’énergie.à.être.aussi.opérateur.de.télécommunication.•.indoor.:.à.l’utilisation.dans.un.bâtiment.professionnel.qui.est.alors.directement.concurrente.du.Wi-Fi,.on.peut.rajouter.l’utilisation.familiale,.a.priori.plus.souple.et.plus.intuitive.que.le.WI-Fi..Il.suffit.généralement.de.brancher.le.modem.sur.une.prise.du.secteur.et.d’y.connecter.son.PC.

Encore.très.récent,.le.CPL.se.décline.en.un.grand.nombre.de.technologies.propriétaires..Les.équipements.commercialisés.à.ce.jour.pour.le.grand.public.sont.basés.sur.des.technologies.Homeplug.ou.DS2,.qui.sont.incompatibles.entre.elles..Le.HomePlug.est.le.plus.répandu,.mais.limité.par.sa.faible.performance.(14.Mbps.théoriques,.6.à.7.réels)..Les.évolutions.récentes.permettent.des.débits.théoriques.de.85.à.200.Mbps.

2.2.3 Autres (xDSL…)

Les. technologies.dites. ligne.d’abonné.numérique,. en. anglais.Digital. Subscriber. Line.ou.DSL.ou.encore.xDSL,.regroupent.l’ensemble.des.technologies.mises.en.place.pour.un.transport.numérique.de.l’informa-tion.sur.une.simple.ligne.de.raccordement.téléphonique..Les.lignes.téléphoniques.permettent.de.diffuser.des.ondes.comprises.dans.un.spectre.de. fréquences.dont. la.voix.n’utilise.qu’une.partie. très. restreinte..L’idée.est.de.mettre.à.profit.la.partie.non.utilisée.du.spectre.pour.transporter.des.données.Il.existe.un.grand.nombre.de.types.de.DSL.dont.les.principaux.sont.l’ADSL.et.le.SDSL..Ces.technologies.sont.principalement.utilisées.par.les.opérateurs.pour.connecter.leurs.abonnés.au.WEB..Le.préfixe.A.pour.Asymétrique.et.S.pour.Symétrique.décrit.le.rapport.entre.bande.passante.ascendante,.de.l’utilisateur.vers.le.réseau,.(upload).et.bande.passante.descendante,.du.réseau.vers.l’utilisateur,.(download)..L’ADSL.a.un.upload.beaucoup.plus. faible.que. le.download. tandis.que.pour. le.SDSL. les.deux.bandes.passantes. sont.égales..La.première.convient.donc.bien.pour.un.utilisateur.du.web,.tandis.que.la.seconde.permet.d’envi-sager.l’émission.de.données.nécessaires.par.exemple.à.l’hébergement.d’un.serveur.web.ou.à.l’intercon-nexion.de.deux.sites.distants.

La.technologie.VDSL.(Very high bit-rate DSL).est.également.répandue..Elle.permet.d’atteindre.de.très.hauts.débits.de.13.à.55,2.Mbps.Cette.technologie.permet.d’établir.des.connexions.réseau.local.sans.déployer.de.câblage.dédié.. il.suffit.d’utiliser.des.installations.téléphoniques.existantes..Dans.ce.cas,.il.faut.utiliser.un.boîtier.répartiteur.à.la.racine.du.réseau.téléphonique,.et.un.boîtier.client.(modem.VDSL).au.niveau.de.chaque.prise.de.téléphone,.lui.adjoignant.ainsi.une.prise.RJ45.L’usage.le.plus.fréquent.et. le.plus.intéressant.du.VDSL.consiste.à.raccorder.deux.points.distants.quand.la.distance.excède.les.100.m.maxi.des.réseaux.Ethernet.et.que.l’installation.téléphonique.est.existante..On.appelle.cela.un.pont.VDSL..Dans.ce.cas,.on.utilise.une.installation.basée.sur.une.interface.serveur.à.une.extrémité.du.fil.téléphonique,.et.une.interface.client.à.l’autre.extrémité..Chaque.boîtier.est.relié.à.un.réseau.Ethernet.par.un.connecteur.RJ45..Pour.cet.usage,.on.utilise.un.VDSL.symétrique,.avec.un.débit.de.5,.10,.15,.18.ou.34.Mbps,.selon.la.distance,.qui.peut.atteindre.1,5.km..Son.successeur,.le.VDSL2.permet.d’atteindre.50.Mbps.symétrique.et.une.distance.allant.jusqu’à.3.km.

Les.autres.technologies.xDSL.sont.:•.IDSL.(ISDN.DSL,.variante.orientée.données.de.l’ISDN.[Numéris])•.ReADSL.(Reach.Extended.DDSL),.augmente.la.portée.de.l’ADSL•.HDSL.(High.Bit.Rate.DSL).et.G..SHDSL,.ancêtre.du.SDSL,•.RADSL.(Rate.Adaptive.DSL)•.G-Lite,.ADSL.à.bas.débit.ne.nécessitant.pas.de.filtres,•.DSM.(Dynamic.Spectrum.Management),.concurrent.du.VDSL.


16

2.3 Technologies sans fil

Les.techniques.de.réseau.sans.fil.sont.classifiées.en.fonction.de.leurs.usages.et.de.leurs.portées.:•.WPAN.(Wireless.Personal.Area.Networks).ou.réseaux.sans.fils.personnels.comme.le.Bluetooth.ou.l’infra-rouge.•.WLAN.(Wireless.Local.Area.Networks).ou.réseaux.sans.fils.locaux.comme.le.Wi-Fi.ou.l’Hyperlan.•.WMAN.(Wireless.Metropolitan.Area.Networks).ou.réseaux.sans.fils.métropolitains.connus.sous.le.nom.de.BLR.(Boucle.Locale.Radio).ou.de.WiMax.•.WWAN.(Wireless.Wide.Area.Networks).ou.réseaux.sans.fils.nationaux.comme.le.GSM,.le.GPRS.et.l’UMTS.(3G).

2.3.1 Bluetooth (802.15.1)

Le.Bluetooth.est.une.technologie.de.réseau.personnel.sans.fil.(noté.WPAN.pour.Wireless.Personal.Area.Network),.qui.utilise.une.technologie.radio.courte.distance.destinée.à.simplifier.les.connexions.entre.les.appareils.électroniques..Elle.est.conçue.dans.le.but.de.remplacer.les.câbles.entre.les.ordinateurs.et.leurs.principaux.périphériques.(PDA,.imprimantes,.téléphone,…).et.succéder.à.la.peu.pratique.technologie.IrDa.(liaison.infrarouge)..Elle.permet.actuellement.d’obtenir.des.débits.de.l’ordre.de.1.Mbps,.avec.une.portée.d’une.dizaine.de.mètres.environ.Afin.d’échanger.des.données,.les.appareils.doivent.se.connaître..Cette.opération.se.nomme.l’appariement.et.se.fait.en.lançant.la.découverte.à.partir.d’un.appareil.et.en.échangeant.un.code..Ensuite.les.codes.sont.mémorisés.sur.les.deux.appareils,.et.il.suffit.que.l’un.d’entre.eux.demande.le.raccordement.et.que.l’autre.l’accepte.pour.que.les.données.puissent.être.échangées..Il.est.toutefois.important.de.signaler.que.la.com-patibilité.entre.marques.est.assez.imparfaite.et.que.certains.appareils.ne.parviennent.pas.à.se.raccorder.à.d’autres.Dans.la.pratique,.le.Bluetooth.est.principalement.intégré.à.des.appareils.fonctionnant.sur.batterie.et.dési-rant.échanger.une.faible.quantité.de.données.sur.une.courte.distance.:•.téléphones.portables.(presque.généralisé),.où.il.sert.essentiellement.à.la.liaison.avec.une.oreillette.ou.à.l’échange.de.fichiers,•.ordinateurs.portables,.essentiellement.pour.communiquer.avec.les.téléphones.portables.(pour.servir.de.MODEM,.pour.sauvegarder.les.carnets.d’adresses,.pour.l’envoi.de.SMS,.etc.),•.périphériques.divers,.comme.des.claviers,.pour.faciliter.la.saisie.sur.les.appareils.qui.en.sont.dépourvus,•.périphériques.spécialisés,.comme.des.appareils.à.électrocardiogramme,.qui.peuvent.communiquer.sans.fil.avec.l’ordinateur.du.médecin.

2.3.2 WUSB (802.15.3)

Le.Wireless.USB.est,.comme.le.Bluetooth,.une.technologie.de.réseau.personnel.sans.fil.courte.distance..destinée.à.simplifier.les.connexions.entre.les.appareils.électroniques..Elle.est.conçue.dans.le.but.de.com-pléter.ou.de. remplacer. les. liaisons. filaires.USB.classiques.. Elle.permet.d’obtenir.des.débits. théoriques,.décroissants.selon.la.distance,.compris.entre.110.et.480.Mbps,.avec.une.portée.d’une.dizaine.de.mètres.Cette. technologie.ne.perturbe.pas. le.Bluetooth.et. traverse.mieux. les.obstacles.grâce. à.une.gamme.de..fréquences.comprises.entre.3,1.et.10,6.Ghz..Elle.permet.de.gérer.jusqu’à.127.périphériques.

2.3.3 WLAN (802.11)

La.norme.IEEE.802.11.est.un.standard.international.décrivant.les.caractéristiques.d’un.réseau.local.sans.fil.(WLAN)..En.france,.elle.est.plus.connue.sous.le.nom.de.marque.déposée.«.Wi-Fi.».alors.que.dans.d’autres.pays.de.tels.réseaux.sont.correctement.nommés.WLAN.(Wireless.LAN).Grâce.au.Wi-Fi,.il.est.possible.de.créer.des.réseaux.locaux.sans.fil.à.haut.débit..Dans.la.pratique,.le.Wi-Fi.permet.de.relier.des.ordinateurs.portables,.des.machines.de.bureau,.des.assistants.personnels.(PDA),.des.objets.communicants.ou.même.des.périphériques.à.une.liaison.haut.débit.(de.11.à.300.Mbit/s.théoriques).sur.un.rayon.de.plusieurs.dizaines.de.mètres.en.intérieur.(généralement.entre.une.vingtaine.et.une.cinquan-


17

taine.de.mètres)..Dans.un.environnement.ouvert,.la.portée.peut.atteindre.plusieurs.centaines.de.mètres.voire.dans.des.conditions.optimales.plusieurs.dizaines.de.kilomètres.avec.des.antennes.directionnelles.

2.3.3.1 Le mode infrastructureLe.réseau.sans.fil.est.fondé.sur.une.architecture.cellulaire.où.chaque.terminal.client.appelé.BSS.(Basic.Ser-vice.Set).est.contrôlé.par.un.point.d’accès.(Access.Point),.le.tout.formant.un.réseau.appelé.ESS.(Extended.Service.Set)..Les.points.d’accès.peuvent.être.reliés.entre.eux.pour.permettre.à.un.terminal.de.passer.de.l’un.à.l’autre.tout.en.restant.sur.le.même.réseau.local.(concept.du.roaming)..Pour.s’identifier.auprès.d’un.réseau.sans.fil,.les.ordinateurs.utilisent.son.identifiant.de.réseau.(SSID).Le.point.d’accès,.souvent.appelé.«.borne.WIFI.».se.comporte.comme.un.concentrateur.sur.un.réseau.filaire..Chaque.terminal.sans.fil.reçoit.donc.tout.le.trafic.transitant.par.cette.borne..Si.ce.terminal.scrute.simultané-ment.plusieurs.canaux,.il.recevra.alors.le.trafic.de.tous.les.réseaux.qui.l’entourent..Dans.ce.mode.la.bande.passante.est.partagée.par.tous.les.utilisateurs.

2.3.3.2 Le mode ad-hocIl.s’agit.d’un.mode.point.à.point.entre.des.équipements.sans.fil..C’est.un.mode.de.fonctionnement.qui.permet.de.connecter.directement.les.ordinateurs.équipés.d’une.carte.Wi-Fi,.sans.utiliser.un.matériel.tiers.tel.qu’un.point.d’accès..Il.est.idéal.pour.interconnecter.rapidement.des.machines.entre.elles.sans.matériel.supplémentaire..Sa.mise.en.place.se.borne.à.configurer.les.machines.en.mode.Ad-Hoc,.à.la.sélection.d’un.canal.(fréquence).et.d’un.nom.de.réseau.(SSID).commun.à.tous.Grâce.à.l’ajout.d’un.simple.logiciel.de.routage.dynamique.(OLSR,.AODV…),.il.est.possible.de.créer.des.réseaux.maillés.autonomes.(mesh.networks).dans.lesquels.la.portée.ne.se.limite.pas.à.ses.voisins.car.tous.les.participants.jouent.le.rôle.du.routeur.

2.3.3.3 Les différentes normes Wi-FiLa.norme.IEEE.802.11.initiale.est.déclinée.en.un.certain.nombre.de.normes.dérivées.afin.de.répondre.à.des.objectifs.d’interopérabilité.ou.de.sécurité..Les.principales.sont,.à.ce.jour,.les.normes.IEEE.802.11a,.IEEE.802.11b,.IEEE.802.11g,.IEEE.802.11i,.et.IEEE.802.11n.Toutefois,.l’utilisation.de.certains.canaux.est.soumise.aux.législations.nationales

802.11a.:.Elle.utilise.la.bande.de.fréquence.des.5.GHz.et.autorise.un.débit.théorique.de.54.Mbps..La.légis-lation.française.n’autorise.cette.bande.de.fréquence.qu’en.intérieur.pour.des.puissances.d’émission.infé-rieures.à.100.mW.

802.11b.:.Adoptée.en.1999,.elle.permet.d’atteindre.un.débit.théorique.de.11.Mbps.avec.une.portée.pou-vant.atteindre.plusieurs.centaines.de.mètres.en.environnement.dégagé..Elle.utilise.la.bande.de.fréquence.des.2,4.Ghz.sur.14.canaux.de.transmission.différents,.dont.trois.seulement.sont.utilisables.simultanément.au.débit.maximal..Elle.permet.ainsi.à.plusieurs.réseaux.de.cohabiter.au.même.endroit,.sans.interférence.

802.11g.:.Elle.permet.un.débit.théorique.de.54.Mbps.dans.la.bande.de.fréquence.des.2.4Ghz..Elle.est.com-patible.avec.la.norme.IEEE.802.11b.permettant.ainsi.aux.équipements.802,11g.de.fonctionner.en.environ-nement.802.11b,.avec.une.dégradation.des.performances.

802.11n.:. Cette. norme. est. en. cours. de. déploiement. en. 2008.. Elle. utilise. également. la. bande. de. fré-quence.des.2.4Ghz.et.reste.compatible.avec.les.normes.802.11b.et.802.11g..Le.débit.théorique.atteint.les.600.Mbps.(débit.réel.de.100.Mbps.dans.un.rayon.de.90.mètres).grâce.aux.technologies.MIMO.(Multiple-Input.Multiple-Output).et.OFDM.(Orthogonal.Frequency.Division.Multiplexing).Il.faut.noter.que.des.équipements.qualifiés.de.«.pré-N.».sont.disponibles.depuis.2006.:.ce.sont.des.équipe-ments.qui.mettent.en.œuvre.une.technique.MIMO.d’une.façon.propriétaire,.sans.rapport.avec.la.norme.802.11n.Cette.norme.sait.combiner.jusqu’à.8.canaux,.ce.qui.permettrait.en.théorie.d’atteindre.une.capacité.totale.effective.de.presque.1.Gbps.


18

802.11f.:.Elle.met.l’accent.sur.une.meilleure.interopérabilité.des.produits.en.proposant.le.protocole.Inter-Access.point.roaming.protocol.pour.permettre.à.un.utilisateur.itinérant.de.changer.de.point.d’accès.de.façon.transparente.lors.d’un.déplacement,.quelles.que.soient.les.marques.des.points.d’accès.présents.dans.l’infrastructure.réseau..Cette.capacité.est.appelée.«.roaming.».

802.11i.:.Elle.met.l’accent.sur.la.sécurité.en.proposant.des.mécanismes.de.contrôle.d’intégrité,.d’authentifi-cation.et.de.chiffrement..Elle.s’appuie.sur.l’AES.(Advanced.Encryption.Standard).et.propose.un.chiffrement.des.communications.pour.les.transmissions.utilisant.les.standards.802.11a,.802.11b.et.802.11g.

2.3.3.4 Limites et risquesLes.principales.limites.des.technologies.relevant.de.la.famille.des.normes.802.11.dites.«.wi-fi.»concernent.la.sécurité.des.transmissions.et.les.risques.sanitaires.De.par.sa.technologie.le.Wi-Fi.est.un.protocole.qui.diffuse.les.données.par.radio.vers.toutes.les.stations.qui.sont.aux.alentours,.ce.qui.la.rend.très.simple.à.écouter..Un.utilisateur.mal.intentionné.peut.se.placer.dans.le.périmètre.des.équipements.du.réseau.afin.de.récupérer.les.informations.qui.lui.permettront.d’avoir.accès.au.réseau..La.sensibilité.au.brouillage.est.une.autre.vulnérabilité.induite.par.la.technologie.des.réseaux.sans.fil..Cet.aspect.est.traité.en.détail.au.chapitre.«.6.5.Sécuriser.les.accès.nomades.au.réseau.local.».Le.Wi-Fi.est.au.cœur.des.interrogations.quant.à.l’impact.des.radio.fréquences.sur.la.santé.de.l’homme..Les.ondes.émises.par.les.équipements.Wi-Fi.sont.d’une.puissance.vingt.fois.moindre.que.celles.émises.par.les.téléphones.mobiles.qui.sont.généralement.tenus.à.proximité.immédiate.du.cerveau,.ce.qui.n’est.pas.le.cas.des.équipements.Wi-Fi.à.l’exception.des.téléphones.Wi-Fi..La.densité.de.puissance.d’un.signal.étant.inver-sement.proportionnelle.au.carré.de.la.distance,.elle.décroit.rapidement.Plusieurs.organismes.ont. réalisé.des. études. au. sujet. de. l’effet. sur. la. santé.du.Wi-Fi.. L’agence. française.de.sécurité.sanitaire.de.l’environnement.et.du.travail.(AFSSET).synthétise.les.connaissances.scientifiques.actuelles.sur.son.site.http://www.afsset.fr/..Elle.a.rendu.15.octobre.2009,.à.la.demande.du.gouvernement,.un.rapport.intitulé.«.Les.radiofréquences.:.mise.à.jour.de.l’expertise.relative.aux.radiofréquences.».conte-nant.un.ensemble.d’avis.et.disponible.au.téléchargement.sur.son.site.

2.3.4 WMAN (802.16x)

La.BLR.(Boucle.Locale.Radio).fait.partie.des.réseaux.sans.fil.de.type.WMAN.(Wireless.Metropolitan.Area.Networks)..C’est.une.technologie.sans.fil.capable.de.relier.les.opérateurs.à.leurs.clients.grâce.aux.ondes.radio.sur.des.distances.de.plusieurs.kilomètres..Elle.est.plus.connue.sous.son.nom.commercial.WiMax.qui.est.un.acronyme.pour.Worldwide.Interoperability.for.Microwave.Access).Les.réseaux.sans.fil.de.ce.type.répondent.à.une.famille.de.norme.IEEE.802.16.qui.permet.des.débits.de.l’ordre.de.70.Mbps.avec.une.portée.théorique.pouvant.atteindre.une.centaine.de.kilomètres..Cette.tech-nologie.est.utilisée.à.la.fois.pour.les.réseaux.de.transport.et.de.collecte,.et.pour.les.réseaux.de.desserte.souvent.en.lieu.et.place.de.l’ADSL..Son.déploiement.sur.le.territoire.national.est.en.cours.sous.l’impulsion.des.collectivités.territoriales.avec.comme.objectif.principal.la.couverture.en.haut.débit.des.zones.peu.ou.mal.couvertes.par.l’ADSL.La.sous-norme.802.16e,.en.cours.d’adoption,.ajoutera.de.la.mobilité.à.la.norme.actuelle.IEEE.802.16.

2.3.5 WWAN – Réseaux de téléphonie mobile

Le.déploiement.et.l’évolution.des.réseaux.de.téléphonie.mobile.permet.d’ajouter.des.services.de.transport.de.données.à.la.voix.offrant.ainsi.la.possibilité.de.connecter.un.terminal.informatique.à.Internet.L’usage.principal.consiste.à.connecter.un.ordinateur.portable.au.réseau.Internet.soit.en.utilisant.un.télé-phone.portable.comme.modem,.soit.en.disposant.d’une.clef.USB.équipée.d’une.carte.SIM.d’un.opérateur.ou.en.utilisant.un.ordinateur.portable.pré-équipé.d’une.carte.SIM.intégrée,

Le.développement.de.cette.technologie.est.classifiée.en.«.Générations.».accompagnées.d’acronymes.dont.les.principaux.sont.:


19

•.2G.–.GSM.:.Global.System.for.Mobile.Communication..Cette.génération.a.vu.l’explosion.de.la.téléphonie.mobile.pour. laquelle.elle.a.été.conçu..Elle.ne.permettait. le. transport.de.données.qu’à.de.faibles.débits.d’environ.9,6.Kbps.•.2.5G.–.GPRS.:.General.Packet.Radio.Service..C’est.une.extension.du.GSM.permettant.la.transmission.de.données.par.paquets.autorisant.ainsi.des.débits.plus.élevés,.adaptés.à.de.petits.volumes.de.données..Le.débit.téhorique.est.de.171.Kbps,.mais.excéde.rarement.les.50.Kbps.réels.•.2.75G.–.EDGE.:.Enhanced.Data.Rate.for.GSM.Evolution..C’est.à.nouveau.une.extension.de.la.norme.GSM.qui.permet.d’élever.les.débits.en.utilisant.les.infrastructures.existantes.avant.l’arrivée.des.réseaux.de.3e.génération..Elle.est.particulièrement.présente.dans.les.zones.rurales.à.faible.densité.d’abonnés..Le.débit.théorique.est.de.384.Kbps,.mais.dépend.de.la.qualité.du.lien.radio.•.3G.–.UMTS.:.Universal.Mobile.Telecommunications.System..Cette.nouvelle.génération.utilise.des.bandes.de.fréquences.différentes.des.réseaux.précédents.afin.d’atteindre.des.débits.autorisant.l’usage.d’applica-tions.multimédias.et.l’accès.à.Internet.haut.débit..Les.débits.théoriques.s’échelonnent.entre.144.Kbps.lors.d’une.utilisation.mobile.et.2.Mbps.lors.d’un.usage.fixe.•. 3G. +.—. HSDPA.:. High. Speed. Downlink. Packet. Access.. C’est. une. évolution. logicielle. de. l’UMTS. qui.permet.d’améliorer.de. façon. significative. la.qualité.du. lien. radio.descendant..Elle.permet. actuellement.d’atteindre.des.débits.théoriques.atteignant.14,4.Mbps.en.download.et.384.Kbps.en.Upload..En.2008.en.France,.son.déploiement.est.en.cours.et.principalement.réalisé.dans.les.zones.à.forte.densité.d’abonnés.•.4G.–.OFDM.:.Orthogonal.Frequency.Division.Multiplexing..Cette.nouvelle.génération.est.en.cours.d’étude..Les.premiers.téléphones.4G.devraient.apparaître.en.2009.et.les.premiers.réseaux.en.2010.au.Japon.où.des.tests.ont.permis.d’atteindre.des.débits.de.l’ordre.du.Gbps.

2.4 Recommandations

Les.recommandations.effectués.dans.ce.chapitre.sont.cohérentes.avec.la.politique.de.sécurité.des.systèmes.d’information.(PSSI).édictée.par.le.Ministère.et.qui.s’impose.aux.établissements.d’enseignement.

2.4.1 Les locaux

Chaque.site.hébergeant.des.serveurs.doit.être.équipé.d’une.salle.dédiée.à.cet.usage.et.répondre.au.mini-mum.aux.critères.suivants.:

•.Accès. limités.strictement.au.personnel.nécessaire..La.salle.serveur.est.un.local. fermé.dont. l’accès.est.contrôlé.par.un.système.de.clef.ou.de.code..Les.fenêtres.sont.équipées.de.barreaux..Une.procédure.définit.qui.peut.y.accéder.et.sous.quelles.conditions.•.La.climatisation.est.indispensable.au.bon.fonctionnement.des.équipements.contenus.dans.la.salle.et.per-met.d’accroitre.leur.durée.de.vie..Elle.doit.être.dimensionnée.correctement.en.fonction.du.volume.de.la.pièce.et.du.nombre.de.serveurs.qu’elle.pourrait.accueillir..Elle.doit.également.faire.l’objet.de.vérifications.régulières.et.d’un.contrat.de.maintenance.permettant.sa.remise.en.fonction.dans.des.délais.courts.•.Sécurité.incendie..La.salle.serveur.doit.être.équipée.d’un.système.de.détection.d’incendie.contrôlé.et.testé.régulièrement..Aucun.stockage.de.matériaux.inflammables,.notamment.des.cartons.ou.du.papier,.ne.devra.encombrer.ce.local.•.L’alimentation.électrique.devra.être. indépendante.des.autres.circuits.du.bâtiment..Elle. sera. secourue.par.un.onduleur.permettant.d’assurer.le.fonctionnement.des.équipements.pour.une.durée.au.minimum.équivalente.au.temps.nécessaire.à.l’arrêt.des.serveurs..A.défaut,.chaque.serveur.sera.équipé.de.son.propre.onduleur..Quelle.que.soit.la.solution.retenue,.des.procédures.de.tests.réguliers.seront.mises.en.place.et.les.équipements.de.secours.feront.l’objet.de.contrats.de.maintenance.

Les. locaux. techniques. sous-répartiteurs. hébergeant. les. éléments. actifs. du. réseau. répondront,. dans. la.mesure.du.possible.et.en.fonction.de.leur.importance,.aux.mêmes.règles.que.la.salle.serveur..Au.minimum,.il.seront.situés.dans.des.locaux.fermés.qui.ne.seront.jamais.en.libre.accès.


20

Dans.le.cas.d’un.nombre.faible.de.connexions,.le.sous.répartiteur.se.présentera.sous.la.forme.d’un.coffret.mural.situé.dans.une.salle.dédiée.à.d’autres.usages..Cette.armoire.sera.fermée.à.clef.et.uniquement.acces-sible.au.personnel.habilité.

2.4.2 Le câblage réseau

Les.projets.de.création,.de.modification.ou.d’extension.du.réseau.local.d’un.établissement.privilégieront.systématiquement. les. solutions.basées. sur. la.pose.d’un.câblage.qui.permet.des.débits.plus.élevés,.une.meilleure.qualité.de.service.ainsi.qu’une.pérennité.plus.importante.

2.4.2.1 Intérieur bâtimentsLes.câbles.en.cuivre.de.type.paires.torsadées.seront.privilégiés..Ils.seront.de.préférence.écrantés.et.blindés.(SFTP).et.appartiendront.au.minimum.à.la.catégorie.5e.qui.permet.une.bande.passante.de.1.Gbit/s.La.réalisation.devra.être.confiée.à.une.société.spécialisée,.qui.est.la.seule.à.connaître.toutes.les.contraintes.physiques.et.techniques.des.réseaux.informatiques.et.notamment.celle.liées.à.la.qualité.des.terres.informa-tiques,.de.la.soudure.des.écrans.de.blindage,.du.cheminement.des.courants.faibles,.etc..Elle.devra.remettre.un.cahier.de.recettes.comportant.les.mesures.de.l’ensemble.du.câblage.et.des.prises.posées.permettant.de.garantir.le.respect.des.normes.Dans.la.mesure.du.possible,.chaque.bâtiment.hébergera.un.local.technique.fermé.par.étage.abritant.les.baies.de.brassage.et.les.éléments.actifs..Ces.dernières.seront.reliées.entre.elles.par.des.rocades.cuivres.ou.fibres.optiques.multimodes.permettant.un.débit.minimum.d’1.Gbit/s.L’utilisation.de.la.technologie.des.courants.porteurs.en.ligne.(CPL).est.à.réserver.strictement.à.un.usage.temporaire.concernant.un.nombre.restreint.de.postes.de.travail.L’usage.d’une.technologie.sans.fil.peut.être.envisagée.en.raison.de.son.faible.coût.et.de.sa.simplicité.de.pose..Il.est.toutefois.important.d’intégrer.le.fait.qu’elle.est.nettement.moins.performante,.fiable.et.sure..Pour.atteindre.un.niveau.de.qualité.satisfaisant,.il.est.vivement.conseillé.de.recourir.aux.services.de.profes-sionnels.de.ce.secteur,.d’autant.plus.qu’il.est.caractérisé.par.une.grande.différence.de.qualité.et.donc.de.tarif.des.équipements.Lorsque.le.Wifi.est.retenu,.la.préférence.ira.à.la.mise.en.œuvre.d’équipement.de.qualité.répondant.à.la.norme.802.11n.qui.reste.compatible.avec.les.équipements.plus.anciens.de.type.802.11.b.et.g.Dans. tous. les.cas,. les. réseaux. installés.devront.être. sécurisés.conformément.aux.recommandations.qui.seront.effectués.dans.les.chapitres.suivants.

2.4.2.2 Liens inter bâtimentsContrairement.aux.usages.internes,.les.câbles.sont.à.proscrire.en.raison.de.la.faible.longueur.qu’ils.auto-risent.(<.100.m).ainsi.que.leur.sensibilité.aux.rayonnements.électromagnétiques.et.donc.aux.orages..Le.seul.cas.pour.le.quel.cette.solution.sera.envisageable.concerne.la.récupération.d’un.ancien.câble.enterré.permettant.d’éviter.les.importants.coûts.liés.aux.travaux.qui.pourraient.êtres.nécessaires.comme.le.creuse-ment.d’une.tranchée..Il.suffit.alors.de.récupérer.une.paire.téléphonique.existante.et.de.l’utiliser.avec.des.équipements.répondant.à.la.norme.VDSL.ou.VDSL2.qui.permettent.un.débit.allant.jusqu’à.50.Mbps.sur.une.distance.maximale.d’environ.3.km.Dans.tous.les.autres.cas,.les.fibres.optiques.seront.privilégiés..Elles.seront.du.type.multi.modes.et.multi.brins.permettant.un.débit.allant.jusqu’à.1.Gbps.sur.une.distance.pouvant.atteindre.3.km..Le.nombre.de.brins.sera.défini.en.fonction.du.nombre.de.connexions.à.mettre.en.œuvre,.sachant.que.chacune.d’entre.elle.nécessite.2.brins..Le.coût.d’installation.d’un.pont.en.fibre.optique.n’est.pas.proportionnel.au.nombre.de.fibres.mais.plutôt.à.la.main.d’œuvre..Il.est.donc.intéressant.et.utile.de.prévoir.une.fibre.surdimensionnée.de.ce.point.de.vue..Dans.la.mesure.du.possible,.toutes.les.fibres.optiques.de.l’établissement.seront.équi-pées.du.même.type.de.connecteur.afin.de.permettre.une.uniformité.des.équipements.au.niveau.des.baies.de.brassage.et.des.éléments.actifs.Encore.plus.que.pour.le.câblage.cuivre,.la.réalisation.devra.être.confiée.à.une.société.spécialisée,.qui.est.la.seule.à.connaître.toutes.les.contraintes.physiques.et.techniques.des.fibres.optiques..Elle.devra.bien.évi-demment.remettre.un.cahier.de.recettes.comportant.toutes.les.mesures.garantissant.la.qualité.de.la.liaison.


21

Lorsqu’il.n’existe.pas.de.voie.permettant.la.pose.de.fibre.entre.deux.bâtiments.et.que.la.récupération.de.paires.téléphoniques.existantes.n’est.pas.possible,.des.travaux.de.génie.civil.s’imposent,.mais.leur.coût.est.souvent.prohibitif..Dans.ce.cas,.il.est.possible.de.recourir.à.une.technologie.sans.fil.permettant.de.relier.les.deux.bâtiments.par.un.pont.Wifi.Cette.technologie.utilise.généralement.des.antennes.directionnelles.extérieures.montées.en.vis.à.vis.qui.permettent.de. relier. entre.elles.deux.bornes.Wifi. connectées. à.deux. réseaux. locaux.. Il. existe.dans.ce.domaine.une.offre.très.variée.avec.un.grand.éventail.de.qualité,.de.performance.et.de.tarifs.des.équipe-ments.d’où.l’importance.de.recourir.aux.services.de.professionnels..Comme.dans.le.cas.des.points.d’accès,.il.est.conseillé.de.choisir.des.équipements.en.fonction.de.leurs.qualités.plutôt.que.de.leurs.prix.et.répon-dant.à.la.norme.802.11n..Certains.équipements.permettent.aujourd’hui.de.relier.de.façon.satisfaisante.des.bâtiments.séparés.de.plus.de.10.km.Les. ponts. Wifi. demandent. particulièrement. à. être. sécurisés. conformément. aux. recommandations. qui.seront.effectués.dans.les.chapitres.suivants.dans.la.mesure.où.ils.sont.assez.simples.à.écouter…

3 Éléments actifs

Les.éléments.actifs.sont.les.éléments.constitutifs.des.réseaux.:.ils.permettent.l’inter-connexion.des.équipe-ments.informatiques.d’un.réseau.local.Les.principaux.équipements.mis.en.place.dans.les.réseaux.locaux.sont.:.

•.Les.concentrateurs.(hubs),.permettant.de.connecter.entre.eux.plusieurs.hôtes.sur.un.même.bus.avec.un.partage.de.la.bande.passante.•.Les.commutateurs.(switchs).permettent.de.relier.divers.éléments.tout.en.segmentant.la.bande.passante.du.réseau.•.Les.ponts.(bridges),.permettent.de.relier.des.réseaux.locaux.distants.en.relayant.la.totalité.du.trafic.•.Les.routeurs,.permettent.de.relier.plusieurs.réseaux.locaux.entre.eux.ou.avec.Internet.•.Les.autres.équipements.de.connexion.(bornes.wifi,.triple.play,…)

3.1 Les hubs

Ils.permettent.la.connexion.de.plusieurs.équipements.sur.un.local.réseau.local.en.répercutant.les.données.émises.par.une.station.vers.toutes.les.autres.Cette.gamme.d’éléments.se.contente.de.relayer.toutes.les.trames.de.données.vers.tous.les.ports.et.ce.sont.les.équipements.connectés.qui.décodent.l’en-tête.des.trames.pour.savoir.si.elles.leurs.sont.destinées.En.utilisant.un.concentrateur,.chaque.équipement.qui. lui.est. attaché.partage. le.même.domaine.de.dif-fusion,.le.même.domaine.de.collision.et.la.même.bande.passante..Comme.dans.tout.segment.de.réseau.Ethernet,.une.seule.des.machines.connectées.peut.y.transmettre.à.la.fois..Dans.le.cas.contraire,.une.colli-sion.se.produit,.les.machines.concernées.doivent.retransmettre.leurs.trames.après.avoir.attendu.un.temps.calculé.aléatoirement.par.chaque.émetteur..Ce.mode.de.fonctionnement.pose.un.réel.problème.car.dès.que.le.nombre.d’ordinateurs.connectés.augmente,.le.taux.de.collision.augmente.en.proportion,.réduisant.la.vitesse.effective.du.réseau.Pour.cette.raison,.les.HUB.sont.en.voie.de.disparition.au.profit.des.Switch.dans.les.réseaux.actuels.

3.2 Switch ou commutateur

Un.commutateur. réseau. (en.anglais,. switch).est.un.équipement.qui. relie.entre.eux.plusieurs. segments.(câbles.ou.fibres).d’un.réseau.local.et.donc.les.équipements.qui.y.sont.connectés..Il.se.présente.le.plus.souvent,.comme.les.concentrateurs,.sous.la.forme.d’un.boîtier.disposant.de.plusieurs.(entre.4.et.100).ports.Ethernet.


22

Contrairement.au.hub,.un.commutateur.ne.se.contente.pas.de.reproduire.sur.tous.les.ports.chaque.trame.de.données.qu’il.reçoit..Il.sait.déterminer.vers.quel.port.elle.doit.être.relayée.en.fonction.de.l’adresse.de.destination.qu’elle.contient..Ce.mode.de.fonctionnement.réduit.considérablement.le.trafic.sur.l’ensemble.du.réseau.local.en.faisant.de.chacun.de.ses.ports.un.segment.différent.avec.un.domaine.de.collision.séparé..Ils.peuvent.être.chainés.entre.eux.afin.d’étendre.simplement.la.taille.du.réseau.local,.théoriquement.sans.limite.de.nombre.Les.commutateurs.fonctionnent.au.niveau.des.couches.1,.2.et.parfois.3.et.supérieurs.du.modèle.OSI.(cf..chapitre.4)..Certains.modèles.sont.administrables.de.façon.à.pouvoir.paramétrer.les.fonctions.avancées.qu’ils.embarquent.

3.2.1 Les niveaux de commutations

Les.opérations.de.commutations.effectuées.par.un.switch.peuvent.êtres.réalisées.au.niveau.2.du.modèle.OSI.sur.la.base.des.adresses.MAC..Le.switch.est.alors.dit.de.niveau.2..Ces.opérations.sont.également.réali-sable.au.niveau.3.du.même.modèle.sur.la.base.des.adresses.IP,.il.est.alors.dit.de.niveau.3.Certains.modèles.sont.appelés.de.niveau.4..C’est.un.terme.commercial.sans.réelle.référence.avec.le.modèle.OSI..Ils.permettent.généralement.de.bloquer.l’utilisation.du.réseau.par.certaines.applications.en.décodant.complètement.le.message.transmis,.notamment.au.niveau.des.ports.TCP.et.UDP.utilisés.

3.2.2 Switchs administrables

Un.switch.manageable.(administrable).est.un.modèle.qui.permet,.généralement.grâce.à.une.interface.de.type.WEB,.de.gérer.les.paramètres.de.communication.des.ports,.d’effectuer.des.opérations.de.surveillance,.de.diagnostic,.de.maintenance.ainsi.que.de.mettre.en.œuvre.des.fonctionnalités.avancées.comme.la.mise.en.place.de.réseaux.virtuels.(VLAN.cf..chapitre.4).

Les.versions.les.plus.évoluées.disposent.de.protocoles.leur.permettant.d’échanger.leurs.informations.afin.d’optimiser.le.fonctionnement.du.réseau.local.ou.d’en.centraliser.la.gestion..L’interface.d’administration.offre.souvent.la.possibilité.d’effecteur.la.sauvegarde.et.la.restauration.de.la.configuration.L’usage.des.fonctionnalités.avancées,.dont.certaines.relèvent.d’un.format.propriétaire,.oblige.souvent.à.mettre.en.place.une.gamme.de.matériel.cohérente.et.issue.du.même.fabricant.


23

3.2.3 Les fonctions avancées

Les.switch.d’entrée.de.gamme.se.limitent.la.plupart.du.temps.à.commuter.au.niveau.2.les.trames.d’un.port.à.un.autre..Plus.on.monte.vers.la.gamme.professionnelle.et.plus.le.nombre.et.la.sophistication.des.fonctions.avancées.sont.importantes..Les.principales.sont.:

VLAN : Virtual Local Area NetworkLes.VLAN,.ou.«.réseaux.virtuels.»,.consistent.à.créer.des.sous-ensembles.du.réseau.plus.ou.moins.étanches.entre. eux..Bien.que. tous. les.ordinateurs. soient. connectés. sur. le.même. switch.ou. sur. le.même. réseau.physique,.ils.ne.pourront.communiquer.qu’avec.ceux.appartenant.au.même.sous.ensemble.ou.à.un.sous.ensemble.autorisé.Les.VLAN.sont.abordés.en.détail.au.chapitre.4.de.ce.guide.

QoS : Quality of ServiceLa.QoS,.ou.«.qualité.de.service.»,.est.standardisée.par.la.norme.802.1P..C’est.un.dispositif.de.gestion.des.priorités.Les.QoS.permettent.de.donner.des.priorités.à.un.flux.de.donnée.ou.de.réserver.des.pourcentages.de.la.bande.passante.totale.du.réseau.à.certains.ordinateurs.ou.à.certains.services,.et.ce.afin.de.conserver.un.réseau.fonctionnel.même.si.les.montées.en.charge,.les.demandes.de.certains.ordinateurs.ou.de.services.augmentent.démesurément..Chaque.élément.du.réseau.physique.ou.logique.continuera.à.bénéficier.d’as-sez.de.bande.passante.pour.fonctionner.

Port Trunking, ou agrégation de lienNormalisé.en.802.3AD.et.dénommé.Link.Aggregation.Control.Protocol.(LACP),.le.Port.Trunking,.ou.«.agré-gation.de.lien.»,.est.la.faculté.de.regrouper.plusieurs.ports.afin.d’en.créer.un.ayant.des.capacités.très.impor-tantes,.la.bande.passante.étant.démultipliée..Cette.fonction.est.communément.utilisée.pour.créer.des.liens.interswitchs.aux.débits.augmentés.


24

Jumbo FrameLes.Jumbo.Frame.sont.des.trames.de.données.6.fois.plus.importantes.que.la.normale.(1.518.octets)..Les.Jumbo.Frame.atteignent.donc.:.6.x.1.518.=.9.108.octets,.soit.8,8.Ko..Ce.qui.permet,.quand.deux.ordinateurs.s’envoient.de.grandes.quantités.de.données,.de.réduire.l’impact.de.la.vitesse.de.commutation.du.switch.sur.le.débit.de.transmission.et.surtout.de.réduire.l’impact.de.cette.communication.sur.le.transit.des.données.dans.le.réseau.entier..En.effet,.le.switch.est.beaucoup.moins.sollicité.(6.fois.moins).et.peut.donc.s’occuper.des.autres.dialogues..Cette.fonction.est.très.intéressante.dans.les.réseaux.encombrés.

Protocole de routageProtocole.de.dialogue.entre.éléments.actifs.RIP.(V1,.V2).et.OSPF.V2..Le.support.de.protocole.de.routage.permet.le.dialogue.entre.éléments.actifs,.qui.s’échangent.alors.des.informations.(table.d’adressage,.carte.du.réseau,.etc.).afin.d’accélérer.les.découvertes.du.réseau.et.ainsi.d’améliorer.la.découverte.de.la.topologie.des.éléments.d’un.réseau,.et.donc.la.rapidité.des.transports.de.données.sur.le.réseau.

Spanning TreeLe.Spanning.Tree.est.un.protocole.d’interconnexion.standardisé.par.les.normes.802.1D,.802.1W.et.802.1S.Le.Spanning.Tree.est.une.fonction.qui.permet.d’éviter.les.phénomènes.de.bouclage.(dans.un.réseau.com-plexe.ou.avec.des.redondances.d’équipement).qui.peuvent.provoquer.un.effondrement.du.réseau.

Power over EthernetLe.PoE.ou.norme.802.3af.permet.de.faire.passer.une.tension.de.48.V.pour.une.puissance.de.12.W.sur.le.cable.Ethernet..Elle.utilise.une.paire.de.fils.inutilisés.sur.les.4.que.contient.un.câble.UTP.ou.STP.afin.d’ali-menter.électriquement.certains.appareils.du.réseau.comme.les.téléphones.IP.

3.2.4 Caractéristiques physiques

3.2.4.1 La gestion des portsA.la.différence.des.hubs,.la.majorité.des.switchs.peuvent.utiliser.le.mode.Full.duplex..La.communication.entre.les.switchs.récents.et.les.périphériques.qui.leurs.sont.connectés.est.en.mode.«.full.duplex.»,.c’est.à.dire.bi-directionnelle..Le.Switch.vérifie.automatiquement.si.le.périphérique.connecté.est.compatible.avec.ce.mode.de.transmission..Cette.fonction.est.souvent.reprise.sous.le.terme.«.Auto.Négociation.».La.presque.totalité.des.modèles.sont.souvent.dits.«.Auto.MDI/MDIX.»,ce.qui.signifie.que.chaque.port.va.détecter.automatiquement.le.croisement.des.câbles.pour.la.connexion.Ethernet..Dans.certains.modèles.ancien,.un.port.muni.d’un.bouton.poussoir,.reprend.la.fonction.manuellement.

3.2.4.2 L‘architecture interneUn.commutateur,.un.hub.ou.un.routeur.peut.se.décomposer.en.deux.parties.:•.Un.backplane.(fond.de.panier.en.français).•.Un.ensemble.de.port.d’entrées/sorties.

Les.ports.sont.interconnectés.par.l’intermédiaire.du.fond.de.panier.qui.est.en.quelque.sorte.la.carte.mère.de.l’équipement.sur.laquelle.se.trouvent.tous.les.composants.(processeur,.mémoire.vive,.mémoire.morte).nécessaires.au.fonctionnement.du.système.d’exploitation.spécialisé.(par.exemple.IOS.pour.les.routeurs.CISCO).. Il.gère. l’aiguillage.des.paquets.entre. les.ports.d’entrées.et.de.sorties.ainsi.que. la.gestion.de. la.congestion.Ces.éléments.sont.à.prendre.en.compte.dans.le.choix.d’un.équipement.appelé.à.gérer.un.trafic.important,.car.ils.influent.directement.sur.le.niveau.de.performance.global.du.réseau..Ainsi.un.routeur.peut.jouer.sur.plusieurs.points.pour.augmenter.ses.performances.:•.La.vitesse.d’interconnexion.du.fond.de.panier.•.La.taille.des.mémoires.•.La.capacité.de.routage.et.de.service.des.interfaces.•.…


25

3.3 Les ponts

Le.pont.(Bridge.en.anglais).est.un.équipement.permettant.de.relier.entre.eux.deux.réseaux.utilisant. le.même.protocole,.mais.physiquement.séparés.et.qui.peuvent.être.ou.non.de.même.technologie.physique.

3.3.1 Fonctionnement

Le.pont.fonctionne.au.niveau.de.la.couche.2.du.modèle.OSI..Il.possède.en.principe.deux.interfaces.phy-siques.distinctes.correspondant.au.deux.réseaux.à.relier..Lorsqu’il.reçoit.une.trame.sur.une.interface,.il.en.analyse.les.adresses.MAC.d’origine.et.de.destination,.puis.les.compare.à.ses.tables.internes.afin.d’identifier.de.quel.côtés.du.pont.sont.situés.l’émetteur.et.le.récepteur.de.la.dite.trame..S’ils.sont.situés.sur.la.même.interface,.la.trame.est.ignorée,.dans.le.cas.contraire,.elle.est.relayée.vers.la.seconde.interface.Le.pont. se.différencie.d’un.simple. répéteur.car. il.ne. transmet.que. les. trames.destinées.au. segment.de.réseau.distant..Il.se.différencie.également.du.switch.car.il.convertit.le.format.physique.de.la.transmission..Enfin,.il.se.différencie.des.routeurs.car.son.intervention.se.limite.au.niveau.de.la.couche.2.

3.3.2 Particularités

Certains.ponts.intègrent.des.fonctionnalités.permettant.de.mettre.en.place.un.filtrage.entre.les.deux.seg-ments.du.réseau.qu’ils.relient..Ils.prennent.alors.le.nom.de.«.ponts.filtrants.»..Dans.ce.cas,.ils.sont.la.plupart.du.temps.intégrés.à.des.routeurs.ou.des.Firewall.(par.exemple.Netfilter,.IpFirewall,.Packet.Filter…).La.plupart.des. routeurs.modernes. intègre. la.possibilité.d’être.configuré.en.mode. «.Bridge.»,.c’est. à.dire.comme.un.pont..Dans.le.cas.d’un.routeur.d’accès.à.Internet,.cette.possibilité.permet.de.gérer.les.fonctions.de.routage.et.de.sécurité.au.niveau.d’un.pare-feu.distinct.

3.4 Les routeurs

Les.hub.et.switch.permettent.de.connecter.des.appareils.faisant.partie.d’une.même.classe.d’adresse.sur.un.même.réseau.local,.alors.que.les.routeurs.ont.vocation.à.inter.connecter.différents.LAN.(distants.ou.non).utilisant.différentes.classes.d’adresses.Deux.stations.d’un.même.réseau.ou.sous-réseau.peuvent.communiquer.directement.entre.elles.ou.grâce.à.un.équipement.de.niveau.2.(hub.ou.switch).Deux.stations.de.réseaux.différents.ne.peuvent.communiquer.entre.elles.que.par.l’intermédiaire.d’un.rou-teur.Dans.les.établissements,.la.plupart.des.routeurs.sont.utilisés.pour.connecter.le.réseau.local.à.Internet.


Les.fonctions.de.routage.se.situent.au.niveau.de.la.couche.3.du.modèle.OSI.(cf..chapitre.4.1)..Seules.les.informations.destinées.au.réseau.suivant.sont.routées..Dans.le.cas.d’une.connexion.à.Internet.celles.transi-tant.sur.le.réseau.local.ne.sont.pas.transmises.à.l’extérieur.Le.routeur.masque.les.adresses.du.réseau.local.au.regard.d’Internet..Il.utilise.une.technologie.NAT/PAT.(Network.adress.translation/port.adress.translation).pour.acheminer.les.données.vers.l’adresse.privée.qui.est.affectée.au.PC.Les. routeurs. sont. paramétrables. et. intègrent. souvent. des. fonctionnalités. avancées,. par. exemple. celles.dévolues.au.Firewall.(cf..chapitre.6.3),.permettant.de.bloquer.certaines.connexions.

3.4.2 Le traitement des paquets

Pour.effectuer.le.traitement.des.paquets,.un.routeur.met.en.place.des.files.d’attente.sur.les.entrées.et.les.sorties,.ainsi.les.files.d’entrées.sont.utilisées.pour.la.commutation,.le.routage,.la.classification.et.les.files.de.sorties.pour.l’ordonnancement,.mais.le.vrai.coeur.du.routeur.c’est.sa.table.de.routage,.c’est.elle.qui.permet.


26

de.faire.la.correspondance.entre.l’adresse.de.destination.et.la.sortie.à.prendre..Exemple.de.traitement.dans.le.cas.d’un.routeur.IP.:•.Un.paquet.est.récupéré.sur.la.file.d’entrée.•.L’adresse.IP.de.destination.du.paquet.est.utilisée.conjointement.avec.la.table.de.routage.pour.déterminer.le.prochain.routeur.(prochain.saut).ou.si.la.destination.est.atteinte.•.L’en-tête.du.paquet.est.mis.à.jour.pour.y.inscrire.des.informations.de.traitement.comme.le.nombre.de.sauts.effectués.•.Le.paquet.est.mis.dans.la.file.de.sortie.choisie.puis.il.est.expédié.

3.4.3 Les algorithmes de routage

Pour.pouvoir.transmettre.un.paquet.vers.la.bonne.sortie,.un.routeur.a.besoin.d’une.table.de.routage.à.jour,.pour.cela.il.utilise.un.algorithme.de.routage..Le.but.d’un.algorithme.de.routage.est.de.calculer.une.route.entre.un.nœud.source.et.un.nœud.destination.selon.certains.critères,.et.dans.certains.cas,.de.permettre.la.diffusion.des.informations.nécessaires.à.ce.calcul..Ainsi.un.algorithme.de.routage.doit.pouvoir.répondre.à.un.ou.plusieurs.objectifs.:•.Répartition.des. ressources.du.réseau,.c’est-à-dire.éviter.que.certains. liens.soient.surchargés.alors.que.d’autres.restent.inutilisés.•.Assurer.une.qualité.de.service,.c’est-à-dire.que.l’algorithme.de.routage.doit.trouver.le.meilleur.chemin.possible.entre.la.source.et.la.destination.pour.satisfaire.les.critères.de.qualité.imposés.•.Exécution.rapide.de.l’algorithme.pour.que.le.réseau.puisse.accepter.le.maximum.de.requêtes.

Pour.fonctionner.ces.algorithmes.doivent.avoir.un.calcul.de.route.optimisé.ainsi.qu’un.protocole.d’échanges.d’information.entre.nœuds.(c’est.le.protocole.de.routage)..Pour.cela.il.existe.actuellement.2.méthodes,.le.distance.vector.route.et.le.link.state.•.Le.distance.vector.route.:.chaque.nœud.connaît.la.distance.(coût.d’un.lien).vers.les.nœuds.adjacents.et.diffuse.cette.information.à.tous.ses.voisins..Ces.informations.sur.les.distances.ne.sont.stockées.que.si.elles.sont.meilleures.que.celles.déjà.connues.•.Le.link.state.:.Le.principe.consiste.à.distribuer.les.informations.sur.la.topologie.du.réseau.à.tous.les.nœuds.de.manière.à.ce.que.chaque.nœud.calcule.sa.table.de.routage.

3.4.4 Protocoles de routage actuels

Il.existe.principalement.2.protocoles.de.routage.interne.utilisés.actuellement..Ils.permettent.aux.routeurs.d’échanger.entre.eux.les.informations.qui.leur.sont.nécessaires.pour.assurer.un.routage.optimal.•.RIP.(Routing.Information.Protocol).:.protocole.de.routage.IP.créé.à.l’université.de.Berkeley.de.type.dis-tance.vector..Chaque.routeur.communique.aux.autres.la.totalité.de.sa.table.de.routage.et.la.distance.avec.un.réseau.compté.en.nombre.de.sauts..Mais.ce.protocole.est.limité.à.15.sauts.et.ne.prend.pas.en.compte.la.qualité.des.transmissions.•. OSPF. (Open. Shortest. Path. First).:. protocole. de. routage. de. type. link. state. qui. permet. de. calculer. le.meilleur.chemin.en.terme.de.qualité.

3.5 Les équipements « Box » ou « triple play »

Les.équipements.de.ce.type.sont.fournis.par.les.fournisseurs.d’accès.à.Internet.(FAI).afin.de.connecter.leurs.abonnés.et.de.pouvoir.leur.offrir.l’accès.à.un.bouquet.de.services.complémentaires.comme.la.téléphonie.sur.IP.et.la.télévision.haute.définition.


27

Ce.type.d’équipement.est.apparu.en.2002.et.est.aujourd’hui.devenu.la.norme.pour.les.offres.grand.public.de.tous.les.opérateurs,.offres.qui.sont.dites.«.triple.play.».dans.la.mesure.où.elles.intègrent.l’accès.à.Internet,.la.téléphonie.et.la.télévision.


Les.Box. sont.des.matériels. intégrant.de.nombreuses. connexions.et. fonctionnalités.. Elles.permettent. la.connexion.à.Internet.en.mode.ADSL.par.l’intermédiaire.d’une.prise.téléphonique.et.gèrent.cet.accès.en.intégrant.des.fonctionnalités.de.routeur..Elles.peuvent.également.être.paramétrées.comme.des.ponts.La.quasi. totalité.des.Box. intègre.un.petit.switch.permettant. la.connexion.de.plusieurs.équipements.en.mode.Ethernet.ou.en.CPL.mais.également.une.interface.Wifi.pour.leur.permettre.de.se.comporter.comme.un.point.d’accès.Les.Box.sont.équipées.de.fonctions.logiciels.plus.ou.moins.sophistiquées,.accessibles.en.mode.WEB,.pour.la.gestion.des.fonctions.de.filtrage.pare-feu,.de.routage,.d’accès.Wifi.et.d’administration.

3.6 Les éléments actifs Wifi

La.fonction.principale.des.éléments.actifs.Wifi.est.de.convertir.les.trames.de.niveau.2.du.modèle.OSI.prove-nant.d’un.réseau.Ethernet.en.signaux.radio.analogiques.destinés.à.des.périphériques.radio.via.une.antenne.Les.caractéristiques.principales.d’un.élément.actif.sont.sa.puissance.d’émission.et.sa.sensibilité.en.récep-tion.(puissance.minimale.admissible.pour.interpréter.les.données.et.assurer.la.liaison),.toutes.deux.expri-mées.en.mW.ou.dBm.Les.éléments.actifs.des.réseaux.sans.fil.de.type.Wifi.sont.de.deux.types.:•.les.Points.d’accès.("Access.Point".en.anglais).qui.permettent.d’inter-connecter.plusieurs.périphériques.sans-fil.à.un.réseau.local.ou.à.Internet.•.Les.cartes.Wifi.qui.permettent.de.connecter.un.périphérique.à.un.réseau.sans.fil.

3.6.1 Les points d’accès (AP)

Le.rôle.des.points.d’accès.est.similaire.à.celui.des.hubs.dans.les.réseaux.câblés.en.permettant.aux.stations.équipées.de.cartes.Wi-Fi.d’obtenir.une.connexion.au.réseau.La.connexion.entre.le.point.d’accès.et.un.périphérique.sans.fil.est.appelée.association..Les.trames.d’in-formation.envoyées.par.un.client.sont.réémises.vers.leurs.destinataires.sur.le.réseau.local.ou.sur.Internet.Le.support.physique.étant.les.ondes.radio,.toutes.les.stations.en.mesure.de.capter.le.signal.peuvent.rece-voir.les.trames.émises.qu’elles.soient.destinataires.ou.non,.d’où.l’analogie.avec.le.hub.Les.points.d’accès.sont.nécessaires. lorsque. les.réseaux.sans. fil. fonctionnant.en.mode. infrastructure.. Ils.contiennent.en.fait.une.carte.Wi-Fi,.une.ou.plusieurs.antennes.et.un.logiciel.de.gestion.dédié.qui.permet.de.fournir.des.services.supplémentaires.comme.la.sécurité.des.communications.et.l’identification.des.autres.équipements.connectés..Il.est.donc.parfaitement.possible.de.transformer.un.ordinateur.équipé.d’une.carte.Wi-Fi.en.point.d’accès.en.y.ajoutant.des.programmes.

La.norme.Wi-Fi.étant.entièrement.compatible.avec.la.norme.Ethernet.des.réseaux.filaires,.on.a.la.possibilité.de.connecter.un.point.d’accès.sur.le.réseau.filaire.en.mode.pont.ou.en.mode.routeur..Les.points.d’accès.sont.généralement.équipés.d’un.modem.ADSL,.d’un.switch.et.d’un.routeur..Ils.peuvent.donc.être.utilisé.comme.:•.un.simple.pont.entre.un.réseau.sans.fil.et.un.LAN,•.un.routeur.entre.un.réseau.sans.fil.et.un.LAN,•.un.routeur.d’accès.à.Internet.depuis.un.réseau.sans.fil.

Les.points.d’accès.peuvent.êtres.reliés.entre.eux.afin.d’étendre.la.zone.couverte..Cette.liaison.peut.être.constituée.d’un.câble.reliant.directement.deux.points.d’accès,.par.un.réseau.local.filaire.ou.même.par.un.pont.sans.fil.


28

3.6.2 Les cartes Wi-Fi

Ce. terme.désigne. les.périphériques. actifs.wifi. intégrés. à.un.périphérique. client.pour. lui.permettre.de.joindre.un.réseau.radio..Elles.jouent.exactement.le.même.rôle.que.les.cartes.réseaux.traditionnelles.à.la.différence.qu’elles.sont.équipées.ou.reliées.à.une.antenne.On.peut.les.trouver.en.différents.formats.:•.intégrées.dans.les.ordinateurs.portables,•.au.format.PCMCIA,.notamment.sur.les.portables.anciens.ou.sur.les.Box,•.au.format.PCI.pour.les.ordinateurs.de.bureau,•.sous.forme.de.clefs.USB,•.…

3.6.3 Les antennes

L’antenne.est.un.élément.déterminant.de.la.qualité.d’une.liaison.sans.fil..Son.type.doit.être.choisi.en.fonc-tion.du.rôle.qu’elle.devra.assurer,.c’est.à.dire.les.interactions.souhaitées.avec.les.autres.éléments.WiFi..L’an-tenne.intégrée.à.un.point.d’accès.ou.à.une.carte.WiFi.peut.généralement.être.remplacée.par.une.antenne.externe.plus.puissante.reliée.par.un.câble.d’antenne.Il.existe.principalement.deux.grandes.familles.d’antennes.:•.Les.omnidirectionnelles.:.Ce.type.d’antenne.rayonne.dans.toute.les.directions.à.la.fois..Elles.sont.employées.lorsque.les.stations.peuvent.être.situées.n’importe.où.par.rapport.au.point.d’accès..En.revanche,.la.distance.maximale.entre.l’AP.et.les.stations.reste.limité..Ce.sont.les.antennes.équipant.par.défaut.les.bornes.et.les.cartes.wifi.•.Les.directionnelles.:.Elles.offrent.un.fort.gain,.c’est-à-dire.qu’elles.peuvent.capter.un.signal.à.plus.grande.distance.qu’une.antenne.omnidirectionnelle,.mais.suivant.un.angle.de.couverture.restreint.correspondant.à.la.direction.vers.laquelle.elles.sont.pointées..En.général,.plus.le.gain.est.fort,.plus.la.zone.couverte.est.rétrécie.mais.la.distance.importante.Typiquement,.les.antennes.directionnelles.sont.employées.pour.créer.des.ponts.où.deux.points.d’accès.Wi-Fi.sont.associés.l’un.à.l’autre.pour.relier.deux.LAN.distants..Ce.type.de.lien.permet.de.couvrir.des.dis-tances.allant.d’une.centaine.de.mètres.à.plusieurs.kilomètres.Pour.évaluer.les.performances.d’une.antenne,.on.se.base.sur.des.abaques.qui.indiquent.le.gain.exprimé.bBi..Cette.valeur.correspond.au.gain.nécessaire.à.appliquer.à.l’antenne.pour.qu’elle.atteigne.les.caractéris-tiques.de.l’antenne.théorique.parfaite.

3.7 Recommandations

3.7.1 Les commutateurs (switchs).L’utilisation. des. Hubs. sur. les. réseaux. d’établissement. est. désormais. à. proscrire. et. le. remplacement. de.matériels.de.ce.type.qui.seraient.encore.en.service.est.à.prévoir..De.la.même.façon.les.switchs.non.adminis-trables.ne.correspondent.plus.aux.besoins.des.gros.établissements.et.devront.être.remplacés.afin.de.pou-voir.mettre.en.œuvre.les.recommandations.relatives.à.la.segmentation.et.à.la.sécurité.des.réseaux.locaux.Il.n’est.pas.dans.les.attributions.de.ce.guide.de.préconiser.un.type.précis.de.matériel.et.encore.moins.une.marque,.néanmoins.il.sera.préférable.que.les.équipements.actifs.du.réseau.soient.de.la.même.gamme.d’un.même.fabricant..En.effet,. l’implémentation.de.certaines.normes.n’est.pas.toujours.exactement.la.même.d’un.constructeur.à.l’autre,.ce.qui.peut.engendrer.des.dysfonctionnements.sur.un.réseau.local..De.plus,.la.cohérence.globale.des.switchs.permet.à.l’administrateur.du.réseau.de.n’avoir.à.travailler.qu’avec.une.seule.interface.d’administration.diminuant.ainsi.le.risque.d’erreur.Tous.les.éléments.actifs.du.réseau.de.l’établissement.devront.désormais.être.administrables.et.répondre.au.minimum.aux.normes.suivantes.:•.Commutation.de.niveau.2.(OSI)


29

•.IEEE.802.1d.(Spanning.Tree)•.IEEE.802.1Q.(VLAN)•.IEEE.802.3u.(100Mbps).ou.IEEE.802.3ab.(1Gbps).en.fonction.des.besoins

Les. fonctionnalités. supplémentaires.comme. le.contrôle.d’accès.aux.ports. (802,1x),. la.QoS. (802,1p),. la.supervision.(SNMP).ou.encore.l’alimentation.sur.Ethernet.(POE).seront.à.étudier.au.cas.par.cas.en.fonc-tion.du.projet.de.réseau,.du.niveau.de.sécurité.souhaité.et.des.évolutions.futures.(téléphonie.IP,…)..De.la.même.façon,.le.niveau.de.commutation.choisi.(2.ou.3).le.sera.en.fonction.du.niveau.de.VLAN.désiré.(cf..chapitre.4).Lors.de.l’étude.préalable.à.l’achat.des.équipements,.il.sera.très.important.de.prendre.en.compte.le.volume.de.données.potentiellement.traité.par.chaque.switch.mis.en.service..Ce.facteur.est.déterminant.pour.éva-luer.la.gamme.de.matériel.à.choisir.en.terme.de.performances.grâce.aux.paramètres.principaux.suivants.:•.Capacité.de.commutation.généralement.exprimée.en.Gbps•.Le.nombre.d’adresses.MAC.gérables•.Le.nombre.de.VLAN.paramétrables

3.7.2 Les Ponts

Le.guide.n’effectue.pas.de.recommandation.pour.ce.type.de.matériel..En.effet,.comme.nous.l’avons.vu.pré-cédemment,.un.pont.est.un.équipement.permettant.d’assurer.l’interconnexion.entre.différents.segments.d’un.réseau.local,.en.général.lorsque.l’infrastructure.existante.ne.permet.pas.une.connexion.directe.Dans.ce.cas.le.pont.utilise.généralement.une.infrastructure.sans.fil.de.type.Wifi.ou.câblée.de.type.VDSL..Son.usage.est.donc.limité.au.sein.d’un.établissement.et.n’est.envisagé.que.pour.répondre.à.une.probléma-tique.particulière.qui.nécessite.une.étude.préalable.

3.7.3 Les routeurs

Comme.nous. l’avons.vu.précédemment,.un.routeur.est.un.équipement.permettant. l’interconnexion.de.réseaux.situés.dans.différentes.classes.d’adresses,.qu’ils.soient.locaux.ou.distants.Nous.entendons,.pour.ce.chapitre,.le.terme.de.routeur.comme.l’équipement.permettant.de.relier.le.réseau.local.au.réseau.Internet..En.effet,.l’interconnexion.de.sous.réseaux.d’un.même.réseau.local.sera.abordé.dans.les.chapitre.4.et.6,3.relatifs.aux.VLAN.et.aux.Firewall.Les.établissements. sont.connectés.à. Internet.grâce.à.des.équipements. fournis.par. les.FAI. (fournisseurs.d’accès.à.internet).dans.le.cadre.de.marchés.publics.gérés.par.les.Conseil.Régionaux..Ce.guide.n’est.donc.pas.en.mesure.d’effectuer.des.recommandations.en.ce.domaine.Il.est.toutefois.fréquent.qu’un.établissement.procède.à.la.mise.en.place.d’une.seconde.ligne.Internet.à.titre.de.secours.ou.pour.de.petites.annexes..Dans.ces.cas,.nous.recommandons.d’éviter.absolument.de.recourir.au.«.routeurs.».des.offres.grand.public.dites.«.triple.play.».et.qui.sont.communément.appelées.«.Box.»..Ces.équipements.n’offrent.pas.le.niveau.de.sécurité.requis.dans.un.établissement.d’enseignement.ni.les.garan-ties.de.débits.sur.les.lignes.qui.leurs.sont.associées..Les.principaux.FAI.disposent.d’offres.professionnelles.adaptées.à.ce.type.de.besoins.

3.7.4 Les points d‘accès Wifi

Il.n’est.pas.dans.les.attributions.de.ce.guide.de.préconiser.un.type.précis.de.matériel.et.encore.moins.une.marque..Dans.la.mesure.du.possible,.l’établissement.s’attachera.à.ce.que.les.points.d’accès.Wifi.soit.de.la.même.gamme.d’un.même.fabricant.afin.de.garantir.au.mieux.la.qualité.global.du.réseau.sans.fil.et.simplifier.le.plus.possible.le.travail.de.l’administrateur.du.réseau.et.de.diminuer.le.risque.d’erreur.Tous.les.points.d’accès.sans.fil.du.réseau.de.l’établissement.devront.désormais.répondre.au.minimum.aux.normes.suivantes.:•.802.11.n.(540.Mbps.–.50m.<.d.<.125m).:.norme.compatible.b.et.g•.802,11.i.(WPA.2).:.Authentification.&.chiffrement


30

Les.fonctionnalités.supplémentaires.comme.le.contrôle.d’accès.aux.ports.(802,1x).appelé.aussi.WPA.Enter-prise,.la.QoS.(802,11e).ou.le.roaming.(802,11f).seront.à.étudier.au.cas.par.cas.en.fonction.du.projet.de.réseau,.du.niveau.de.sécurité.souhaité.et.des.types.d’usage.La.mise.en.place.d’un. réseau. sans. fil.nécessite.une.étude.préalable.minutieuse.en. fonction.des.usages.prévus,.des. types.d’utilisateurs.mais.aussi.de. l’environnement.physique.et.électro-magnétique.auxquels.les.ondes.radio.sont.très.sensibles..Il.est.recommandé.de.faire.procéder.à.des.tests.préalables.du.matériel.envisagé.afin.de.vérifier.la.portée.et.la.qualité.de.la.bande.passante.dans.l’environnement.réel.Il.sera.très.important.de.définir.précisément.le.nombre.potentiel.d’utilisateurs.simultanés.par.point.d’ac-cès..Ce.facteur.est.déterminant.dans.la.mesure.où.les.stations.connectées.à.une.même.borne.partagent.une.même.bande.passante.ce.qui.provoque.une.dégradation.rapide.du.débit.offert.avec.l’augmentation.du.nombre.de.postes.

4 Infrastructure logique des réseaux

4.1 Protocoles réseaux

4.1.1 L‘ ISO et le modèle OSI

L’ISO.(International.Organization.for.Standardization,.soit.Organisation.internationale.de.normalisation),.réseau.d’instituts.nationaux.de.normalisation.de.157.pays.situé.à.Genève,.est.le.plus.grand.producteur.et.éditeur.mondial.de.normes.internationales.Pour.permettre.une.communication.entre.les.différents.réseaux.hétérogènes,.l’ISO.a.développé.un.modèle.en.couches.appelé.modèle.OSI.(Open.Systems.Interconnection).référencé.ISO.7498.Les.informations.transitent.sur.le.réseau.sous.la.forme.d’un.signal.électrique.qui.doit.être.traité.par.diffé-rents.processus.afin.d’aboutir.à.une.information.définitive..Le.modèle.OSI.permet.de.structurer.les.étapes.de.cette.transformation.à.travers.la.notion.de.couche..Chacune.d’entre.elles.effectue.une.tâche.précise.et.dans.un.ordre.précis.

Le.modèle.OSI.comporte.7.couches.:

Niveau Couche Fonctionnalité

7 Application Normaliser.l’aspect.des.applications6 Présentation Conventions.de.codification.et.compression.des.données5 Session Structuration.et.synchronisation.du.dialogue.entre.2.applications4 Transport Échanges.de.paquets.d’informations.entre.2.processus3 Réseau Contrôle.de.l’acheminement.des.paquets.entre.2.hôtes2 Liaison Transmission.de.trames.entre.2.machines.et.contrôle.d’accès.au.médium.physique1 Physique Transmission.de.bits.sur.un.médium.physique

1..La.couche.physique.est.composée.du.support.physique.(dit.aussi.médium,.canal.de.transmission.ou.cir-cuits.de.données),.ainsi.que.des.équipements.terminaux.et.intermédiaires,.tel.que.le.modem.par.exemple..Elle.est.chargée.de.la.transmission.effective.des.signaux.entre.les.matériels..Son.service.est.typiquement.limité.à.l’émission.et.la.réception.d’un.bit.ou.d’un.train.de.bits.continus.2..La.couche.liaison.de.données.gère.les.communications.entre.2.machines.adjacentes,.directement.reliées.entre.elles.par.un.support.physique.et.conditionne.les.bits.bruts.de.la.couche.physique.en.trames.de.don-nées..La.couche.liaison.de.données.est.également.chargée.du.contrôle.d’erreurs.afin.que.les.bits.de.don-nées.reçus.soient.identiques.à.ceux.qui.ont.été.envoyés.3..La.couche.réseau.gère.les.communications.de.bout.en.bout,.généralement.entre.machines.(routage.et.adressage.des.paquets).et.est.chargée.d’adresser.les.messages.et.de.convertir.les.adresses.et.noms.logiques.en.adresses.physiques..Elle.détermine.aussi.l’itinéraire.à.emprunter.de.l’ordinateur.source.à.l’ordinateur.destination,.en.fonction.des.conditions.du.réseau,.de.la.priorité.du.service.et.d’un.certain.nombre.de.fac-


31

teurs..Elle.gère.aussi.les.problèmes.de.trafic.comme.la.communication,.l’acheminement.et.l’encombrement.des.paquets.de.données.sur.le.réseau.et.les.sous-réseaux.4..La.couche.transport.gère.les.communications.de.bout.en.bout.entre.processus.(programmes.en.cours.d’exécution).et.garantit.la.bonne.livraison.des.messages,.sans.erreur,.dans.l’ordre.et.sans.perte.ni.doublon..A.la.réception,.la.couche.transport.désencapsule.et.rassemble.les.messages.d’origine.puis.émet.un.accusé.de.réception.5..La.couche.session.gère.la.synchronisation.des.échanges.et.des.transactions,.permet.l’ouverture.et.la.fer-meture.de.sessions..Elle.assure.les.fonctions.complémentaires.nécessaires.à.l’établissement.de.la.commu-nication.entre.deux.applications.sur.le.réseau.(identification,.sécurité,…),.de.même.que.la.synchronisation.des.tâches.utilisateurs.et.de.contrôler.le.dialogue.établi.entre.deux.processus.de.communication.6..La.couche.présentation.est.chargée.du.codage.des.données.applicatives,.précisément.de.la.conversion.entre.données.manipulées.au.niveau.applicatif.et.chaînes.d’octets.effectivement.transmises..La.couche.pré-sentation.gère.cette.représentation.universelle.des.données.échangées.par.des.systèmes.ouverts..Il.existe.plusieurs. façons.de. représenter.des.données,.par. exemple,. l’ASCII. et. l’EBCDIC.pour. les. fichiers. texte..Elle.utilise.un.langage.commun.compréhensible.par.tous.les.nœuds.du.réseau,.et.détermine.la.forme.sous.laquelle.s’échangent.les.données.entre.les.ordinateurs.du.réseau..Côté.émission,.elle.convertit.les.données.du.format.transmis.par.la.couche.application.en.un.format.intermédiaire,.admis.de.tous.7..La.couche.application.est.le.point.d’accès.aux.services.réseaux,.elle.n’a.pas.de.service.propre.spécifique.et.entrant.dans.la.portée.de.la.norme..Cette.couche,.appelée.ALS.pour.Application.Layer.Structure,.est.la.fenêtre.par.laquelle.les.processus.d’application.accèdent.aux.services.du.réseau..Normalisée.sous.ISO.9545.qui.définit.la.composante.communication,.elle.représente.les.services.qui.prennent.en.charge.les.applica-tions.utilisateur.

Ces.7.couches.sont.parfois.réparties.en.2.groupes.:•.Les.4.couches.inférieures.sont.plutôt.orientées.communication.et.sont.typiquement.fournies.par.un.sys-tème.d’exploitation•.Les.3.couches.supérieures.sont.plutôt.orientées.application.et.réalisées.par.des.bibliothèques.ou.des.pro-grammes.spécifiques..Dans.le.monde.IP,.ces.3.couches.sont.rarement.distinguées.et.les.fonctions.de.ces.couches.sont.considérées.comme.partie.intégrante.du.protocole.applicatif.

4.1.2 Le modèle TCP/IP

Un.peu.d’historique.:. le.DARPA. (Defense.Advanced.Research.Projects.Agency). agence.du.ministère.de.défense.américain,.finança.des.universitaires.pour.mettre.au.point.un.réseau.fermé,.sécurisé,.en.rempla-cement.du.réseau.téléphonique.qui.était.une.passoire.d’informations.secrètes.(les.années.1960-1970.sont.celles.de.la.guerre.froide.avec.les.pays.de.l’est)..Le.réseau.ARPANET.vit.le.jour.et.fut.l’ancêtre.d’Internet.

TCP/IP.est.un.modèle.représentant.l’ensemble.des.règles.de.communication.sur.Internet.(avec.un.grand.I),.en.parlant.du.réseau.mondial.—.et.à.ne.pas.confondre.avec.internet.(petit.i).qui.est.une.des.couches.de.ce.modèle..TCP.et.IP.sont.aussi.les.deux.principaux.protocoles.de.ce.modèle.

Comparaison des modèles OSI et TCP/IP

Modèle TCP/IP Modèle OSI Principaux Protocoles Format

Application. Application

Présentation

Session

HTTP,.DNS,.FTP,.SSL,.SSH,Telnet,.Pop,.etc.. Messages

Transport Transport TCP,.UDP Segments

Internet. Réseau IP,.ICMP,.RIP,.ARP,.RARP,.OSPF,.... Paquets

Réseaux.physiques

LiaisonEthernet,.PPP,....

PhysiquePaires.cuivres,.Fibres.optiques,....

Trames


32

4.1.3 Les principaux protocoles du modèle TCP/IP

Niveau Physique Ethernet.:.protocole.de.niveau.2.plus.connu.sous.le.standard.IEEE.802.3.Il.permet.l’identification.de.chaque.hôte.grâce.à.son.adresse.physique.appelée.adresse.MAC.et.assure.la.gestion.de.la.transmission.des.données.sur.le.support.physique.auquel.toutes.les.machines.accèdent.simul-tanément.en.réception.comme.en.émission.suivant.un.principe.appelé.CSMA-CD.(Carrier.Sense.Multiple.Access.with.Collision.Detection)..Il.a.été.réaménagé.à.plusieurs.reprises.afin.de.mieux.supporter.les.hauts.débits.nécessaires.aux.applications.et.les.équipements.récents..C’est.aujourd’hui.le.standard.de.fait.pour.l’accès.au.réseau.local.

PPP.:.Point-to-point.Protocol.(protocole.point.à.point)..Ce.protocole.de.niveau.2.est.le.standard.pour.l’ac-cès.à.Internet.via.une.ligne.téléphonique..Il.est.massivement.utilisé.pour.les.connexions.Internet.ADSL.

Niveau Réseau IP.:.Internet.Protocol.(protocole.internet)IP.est.le.principal.protocole.de.niveau.3.du.modèle.TCP/IP.qui.fournit.un.système.d’adressage.unique.pour.l’ensemble.des.équipements.connectés..Il.encapsule.les.données.reçues.de.la.couche.supérieure.dans.des.paquets.puis.en.assure.l’acheminement.

ICMP.:.Internet.Control.Message.Protocol.(protocole.de.message.de.contrôle.sur.Internet).Ce.protocole.de.niveau.3.permet.le.contrôle.des.erreurs.de.transmission.sur.Internet..Il.complète.le.proto-cole.IP.qui.ne.gère.pas.cet.aspect..Il.est.totalement.transparent.pour.les.applications.et.les.utilisateurs..Les.applications.ping.et.tracert.s’appuient.sur.ce.protocole.

ARP.:.Address.Resolution.Protocol.(protocole.de.résolution.d’adresse).Ce. protocole. assure. la. concordance. entre. les. adresses. Ip. (niveau. 3). attribuées. aux. machines. et. leurs.adresses.physiques.réelles.(MAC.—.niveau.2).

RARP.:.Reverse.ARP.(protocole.ARP.inversé).Ce.protocole.est.essentiellement.utilisé.par.des. stations.de. type. terminal.qui. souhaitent.connaître. leur.adresse.IP.

SNMP.:.Simple.Network.Management.Protocol.(protocole.simple.d’administration.de.réseau).Ce.protocole.de.niveau.3.permet. à.des. administrateurs.de. superviser. les.équipements.présents. sur.un.réseau.local.

RIP.:.Routing.Information.Protocol.(protocole.d’information.de.routage).C’est.un.protocole.de.niveau.3.qui.permet.aux.routeurs.de.communiquer.entre.eux.pour.déterminer.la.route.optimale.d’un.message.

IPX.:.Internetwork.Packet.Exchange.(échange.de.paquets.inter-réseaux).Ce.protocole.de.niveau.3.a.été.créé.par.Novell.qui.l’a.abandonné.au.profit.de.IP.

Niveau Transport TCP.:.Transmission.Control.Protocol.(protocole.de.contrôle.de.transmission).C’est.un.protocole.de. transport. (niveau.4).qui.assure.un.échange.de.données. fiables.entre.deux.hôtes.distants.en.mode.connecté..Il.garantit.l’ordre.et.la.remise.des.paquets,.il.en.vérifie.l’intégrité.et.assure.la.retransmission.des.segments.altérés.ou.perdus.par. le. réseau. lors.de. leur. transmission..Cette.qualité.est.consommatrice.de.ressources.car.chaque.segment.fait.l’objet.d’un.accusé.de.réception.

UDP.:.User.Datagram.Protocol.(protocole.de.datagrammes.utilisateur).


33

C’est.le.protocole.alternatif.à.TCP.pour.les.applications.nécessitant.des.transferts.rapides,.comme.la.vidéo,.la.voix.sur.IP,…Il.fonctionne.en.mode.non.connecté.en.offrant.un.service.de.datagrammes.qui.ne.garantit.ni.la.remise.ni.l’ordre.des.paquets.économisant.ainsi.des.ressources.et.du.temps.de.traitement.

SPX.:.Sequenced.Packet.Exchange.(échange.de.paquets.séquencés).Ce.protocole.de.niveau.4.a.été.développé.par.la.société.Novell,.en.complément.du.protocole.IPX.assez.largement.abandonné.

4.2 Adressage IP

Préambule.:.Tout.équipement.connecté.à.un.réseau.est.identifié.de.manière.unique.par.son.adresse.phy-sique..C’est.l’adresse.MAC..C’est.une.suite.de.48.bits.soit.6.octets.généralement.inscrite.sur.la.carte.réseau.par.son.constructeur.Les.postes.sont.connectés.à.des.réseaux.locaux.communiquant.entre.eux,.d’où.la.nécessité.d’utiliser.des.adresses.logiques.distinctes.des.physiques.afin.de.pouvoir.identifier.une.machine.sur.un.réseau.distant.L’adresse.IP.est.cette.adresse.logique.qui.identifie.chaque.ordinateur.connecté.à.Internet,.ou.plus.précisé-ment.l’interface.avec.le.réseau.de.tout.matériel.(ordinateur,.routeur,.imprimante,…).connecté.à.un.réseau.informatique.utilisant.le.protocole.IP.

Il.existe.deux.versions.:•.La.version.4.(IPV4).où.l’adresse.IP.est.composée.de.quatre.octets.(32.bits)..C’est.celle.qui.est.majoritai-rement.utilisée.sur.les.réseaux.locaux..Elle.présente.toutefois.l’inconvénient.majeur.de.n’offrir.que.4.mil-liards.d’adresses..L’épuisement.de.ces.adresses.est.prévu.pour.2010,•.Dans.la.version.6.(IPV6),.l’adresse.IP.comporte.seize.octets.(128.bits)..Cette.version.est.actuellement.uti-lisée.par.les.opérateurs.de.télécommunication.sur.les.réseaux.d’infrastructure..L’avantage.de.cette.version.est.le.grand.nombre.d’adresses.possibles.:.3,4.X.1038.adresses.

4.2.1 Adressage IPV4

Les.adresses.IP.sont.des.nombres.de.32.bits.qui.contiennent.2.champs.de.longueur.variable.:•.Un.identificateur.de.réseau.(NET-ID).:.toutes.les.machines.d’un.même.réseau.physique.doivent.posséder.le.même.identificateur.de.réseau.pour.pouvoir.communiquer.entre.elles..Tous.les.réseaux.inter-connectés.doivent.posséder.un.identificateur.unique.•.Un.identificateur.d’hôte.(HOST-ID).:.un.équipement.connecté.sur.un.réseau.TCP/IP.est.appelé.hôte..Il.identifie.de.façon.unique.une.station.de.travail,.un.serveur,.un.routeur.ou.tout.autre.périphérique.TCP/IP.au.sein.d’un.même.réseau.

La.concaténation.de.ces.deux.champs.constitue.une.adresse.IP.unique.de.32.bits.sur.le.réseau..La.limite.entre.le.NET-ID.et.le.HOST-ID.est.déterminée.par.le.masque.de.sous.réseau..Pour.des.aspects.pratiques,.les.adresses.32.bits.sont.divisées.en.4.octets.de.huit.bits.qui.sont.ensuite.convertis.en.nombres.décimaux.pouvant.prendre.des.valeurs.comprises.entre.0.et.255..Ce.format.est.appelé.la.notation.décimale.pointée..Ex.:.192.168.1.1

Chaque.adresse.IP.est.complétée.par.un.masque.de.réseau.qui.permet.de.définir.clairement.la.partie.iden-tifiant.le.réseau.de.celle.identifiant.l’hôte..Il.indique.le.nombre.de.bits.à.partir.de.la.gauche.qui.constituent.l’adresse.réseau.et.peut.être.exprimé.sous.deux.formes.:•.noté.après.l’adresse.IP.et.dans.le.même.format..Ex.:.192.168.1.1/255.255.255.0•.noté/n.après.l’adresse.IP.où.n.représente.le.nombre.de.bits.composant.le.NET-ID.en.notation.décimale..Ex.:.192.168.1.1/24.(Net-ID.=.192.168.1)<<


34

L’identificateur.de. l’hôte.est,.quant. à. lui. constitué.du. reste.des.bits. situés. à.droite.de. l’adresse. IP..Ex.:.192.168.1.1/24.(Host-ID.=.1)Sur.un.même.réseau.local,.la.première.et.la.dernière.adresse.ne.sont.pas.utilisables.par.un.hôte.car.elles.ont.une.signification.particulière..La.première.référence.le.réseau.lui-même.et.la.dernière.référence.tous.les.ordinateurs.de.ce.réseau..Elle.est.appelée.adresse.de.diffusion.(broadcast.address).Exemple. pour. l’adresse. 192.168.1.1/24. l’adresse. réseau. est. 192.168.1.0. et. l’adresse. de. broadcast. sera.192.168.1.255Le.nombre.d’hôtes.adressables.sur.un.réseau.local.dépend.donc.de.la.taille.de.son.masque.et.se.calcule.par.la.formule.2.(32-n).–.2.où.n.est.la.longueur.du.masque..Dans.notre.exemple.192.168.1.1.==>.2(32-24)-2.=.254.adressesLorsque.un.hôte.cherche.à.communiquer.avec.une.machine.située.sur.un.autre.réseau.(Net-ID.différent),.il.doit.alors.connaître.l’adresse.d’un.routeur.sur.son.réseau.local.et.s’adresser.à.lui..C’est.ce.qui.est.indiqué.comme.passerelle.par.défaut.dans.les.paramètres.de.l’hôte..Dans.le.cas.où.plusieurs.routeurs.sont.présents.sur. le. réseau,. il.est.alors.nécessaire.de.spécifier.plusieurs.passerelles.possibles.. Il. faut.alors.ajouter.des.indications.dans.la.table.de.routage.pour.indiquer.quelle.passerelle.utiliser.pour.chaque.réseau.à.atteindre.

Avant.1993,.sur.Internet,.les.masques.de.sous.réseau.n’étaient.pas.utilisées.et.les.adresses.IP.étaient.répar-ties.en.classes.qui.définissaient.automatiquement.la.longueur.du.champ.NET-ID.

Classe Type d’adresse Adresse réseau Adresse locale

Préfixebinaire

NET-ID sur de à

A Grands.Réseaux 0 8.bits 24.bits 0.0.0.0 127.255.255.255

B Moyens.réseaux 10 16.bits 16.bits 128.0.0.0 191.255.255.255

C Petits.réseaux 110 24.bits 8.bits 192.0.0.0 223.255.255.255

D Diffusion 1110 224.0.0.0 239.255.255.255

E Réservé 11110 240.0.0.0 255.255.255.255

Avec.ce.système,.les.bits.du.préfixe.déterminent.la.classe.de.l’adresse,.et.pour.les.classes.A.à.C.la.limite.entre.adresse.réseau.et.adresse.locale.se.déduit,.sans.que.l’on.ait.besoin.d’utiliser.un.masque.de.réseau.;.la.limite.est.fixe.et.située.entre.deux.octets.En.1993,.la.croissance.de.l’Internet.a.conduit.à.utiliser.une.autre.méthode.appelée.CIDR.(Classless.Inter-Domain.Routin,. soit. routage.entre.domaines.sans.classe).pour.définir.et.attribuer.des.adresses. IP,.dans.laquelle. la. limite.entre.adresse. réseau.et. adresse. locale.est.variable.grâce.à. l’ajout.du.masque..Un.bloc.d’adresses.CIDR.est.désigné.sous.la.forme.:128.211.168.0/21

Dans.cet.exemple,.128.211.168.0.est. la.première.adresse.du.bloc..21.est. le.nombre.de.bits.du.masque.et.représente.l’adresse.du.réseau.(NET-ID)..Il.y.a.donc.11.bits.pour.l’adresse.locale.(HOST-ID),.soit.211-2.=.2046.adresses.qui.vont.de.128.211.168.1.à.128.211.175.254.

Des.blocs.d’adresses.sont.par.convention.réservés.pour.les.réseaux.locaux.privés.:

Adresses privées Adresse du réseau Adresse de diffusion

10/8 10.0.0.0 10.255.255.255

172.16/12 172.16.0.0 172.31.255.255

192.168/16 192.168.0.0 192.168.255.255

Ces.adresses.ne.sont.utilisables.qu’à.l’intérieur.d’un.réseau.local.et.ne.peuvent.pas.être.routées.sur.Internet..Enfin.d’autres.adresses.IP.ont.une.signification.particulière.:•.adresse.source.par.défaut. . . 0.0.0.X•.adresse.destination.par.défaut. . 0.0.0.0•.adresse.de.bouclage.des.hôtes. . 127.0.0.1


35

4.2.2 Adressage statique

En.IP.V4,.nous.avons.vu.que.chaque.hôte.doit.disposer.d’au.moins.trois.paramètres.pour.pouvoir.commu-niquer,.à.savoir.une.adresse.IP.de.32.octets,.un.masque.de.réseau.et.l’adresse.d’une.passerelle.permettant.la.communication.vers.un.autre.réseau.Dans.le.système.d’adressage.statique.(ou.fixe),.l’administrateur.doit.paramétrer.manuellement.chaque.hôte.de.son.réseau.local..Ce.système.comporte.principalement.deux.inconvénients.:•.Sur.des.réseaux.importants,.le.paramétrage.manuel.génère.une.charge.de.travail.importante.et.multiplie.les.risques.d’erreurs.•.Les.adresses.IP.attribuées.ne.sont.plus.disponibles.même.lorsque.les.hôtes.sont.éteints.ou.déconnectés.du.réseau,.ce.qui.peut.poser.des.problèmes.de.manque.de.ressources.Le.principal.avantage.réside.dans.le.fait.que.chaque.hôte.est.identifiable.de.façon.précise.et.permanente.grâce.à.son.adresse.IP,.ce.qui.peut.simplifier.le.travail.d’administration.

4.2.3 Adressage dynamique – DHCP

L’adressage.dynamique.est.géré.par.le.protocole.DHCP.(Dynamic.Host.Configuration.Protocol).qui.a.pour.vocation.d’assigner.automatiquement.aux.hôtes.de.son.réseau.local,. les.paramètres.réseaux.nécessaires.à.son.fonctionnement..Il.allège.ainsi.la.charge.de.travail.de.l’administrateur.et.permet.de.gérer.potentiel-lement.un.nombre.d’hôtes. supérieur. au.nombre.d’adresses. réellement.disponibles.. Les. serveurs.DHCP.peuvent.êtres.:➤.internes.au.réseau.local. L’administrateur.installe.le.service.DHCP.sur.un.serveur,.et.définit.une.plage.d’adresse.IP.et.une.durée.de.vie.pour.les.adresses.distribuées.appelée.bail..Il.configure.ensuite.les.postes.de.façon.à.ce.qu’ils.utilisent.ce.protocole..Quand.un.hôte.ne.s’est.pas.connecté.pendant.une.durée.supérieure.au.bail,.l’adresse.IP.qui.lui.avait.été.attribuée.redevient.disponible.pour.les.autres.stations.➤.externe.au.réseau.local. Les.fournisseurs.d’accès.à.Internet.(FAI).utilisent.ce.protocole.pour.fournir.aux.routeurs.installés.chez.leurs.clients.une.ou.des.adresses.IP.publiques.permettant.l’interconnexion.d’un.poste.ou.d’un.réseau.local.avec.le.réseau.Internet..C’est.l’ICANN.(Internet.Corporation.For.Assigned.Names.and.Numbers).qui.assure.l’attribution.des.adresses.IP.publiques.du.réseau.Internet.aux.opérateurs..Elles.seront.affectées,.le.temps.d’une.connexion,.à.ses.clients.

4.3 Introduction à IPV6

Comme.nous.l’avons.déjà.vu,.l’adressage.IPV4.sur.32.bits.se.révèle.insuffisant.et.sa.saturation.devrait.arriver.dans.les.quelques.années.à.venir..Pour.contourner.cet.écueil,.un.nouvelle.version.d’IP,.dite.IPV6,.a.vu.le.jour.en.1998.sous.le.n°.de.RFC.2460..Elle.est.en.cours.de.déploiement.chez.les.opérateurs.de.réseau.Les.principaux.apports.de.cette.nouvelle.version.sont.:•.Un.plus.grand.espace.d’adressage,.c’est.la.plus.flagrante.évolution.mise.en.avant.lorsqu’on.parle.d’IPv6..Les.adresses.sont.codées.sur.128.bits.permettant.ainsi.d’adresser.un.milliard.de.réseaux,.ce.qui.autorisera.le.déploiement.de.nouvelles.applications.qui.nécessitent.des.communications.de.bout.en.bout.(téléphonie.mobile,.vidéoconférence,.applications.en.temps.réel).•.Un.en-tête.simplifié.et.efficace.:.l’en-tête.IPv6.est.de.taille.fixe..Alors.que.les.options.d’en-tête.IPv4.étaient.examinées.par.tous.les.nœuds.intermédiaires.d’une.communication,.les.extensions.IPv6.ne.seront.gérées.que.par.les.équipements.terminaux..Les.équipements.intermédiaires.sont.donc.déchargés.d’une.partie.des.traitements.et.la.gestion.des.paquets.erronés.est.déléguée.aux.couches.supérieures.telles.TCP.ou.UDP.ce.qui.rend.le.routage.plus.simple.et.plus.rapide.•.L’autoconfiguration.:.elle.met.en.œuvre.un.certain.nombre.de.nouveaux.protocoles.associés.à.IPv6.(pro-tocole.de.découverte.des.voisins,.nouvelle.version.d’ICMP…)..L’auto.configuration.permet.à.un.équipe-ment.de.devenir. complètement. «.plug. and.play.».. Il. suffit. de. connecter.physiquement. la.machine.pour.qu’elle.acquière.une.adresse.IPv6.et.une.route.par.défaut.


36

•.Le.support.de.la.mobilité.:.il.a.été.introduit.dès.la.conception.d’IPv6..Les.données.destinées.à.une.machine.qui. a. été. déplacée. sont. automatiquement. retransmises. vers. sa. nouvelle. position,. son. nouveau. lieu. de.connexion,.à.l’échelle.planétaire.•.l’authentification.et.le.chiffrement.:.IP.v.6.intègre.IPSec.(protocole.de.création.de.tunnel.IP.avec.chiffre-ment),.qui.garantit.un.contexte.sécurisé.par.défaut.•.qualité.de.service.:.IPV6.permet.une.gestion.de.flux.étiquetés.avec.des.priorités.et.offre.des.garanties.sur.le.délai.maximal.de.transmission.

Les.adresses.IPv6.sont.codées.sur.128.bits.divisés.en.8.groupes.de.16.bits.représentés.par.4.chiffres.hexa-décimaux.et.séparés.par.«.:.»..Les.masques.reprennent.la.notation.CIDR.de.la.version.4.du.protocole.IP.c’est.à.dire.sous.la.forme.:.«adresse/longueur.de.préfixe.».

Exemple.d’adresse.:.5800:10C3.:.E3C3.:.F1AA.:.48E3.:.D923.:.D494.:.AAFF/96,La.représentation.IPv6.peut.encore.être.simplifiée.en.supprimant.les.zéros.en.tête.dans.chaque.bloc.de.16.bits..Cependant,.chaque.bloc.doit.avoir.au.moins.un.chiffre.individuel..Par.exemple,.avec.la.suppres-sion.du.zéro.en.en-tête,.la.représentation.de.l’adresse.21DA.:.00D3.:.0000.:..2F3B.:.02AA.:.00FF.:.FE28.:.9C5A.devient.21DA.:.D3.::2F3B.:.2AA.:.FF.:.FE28.:.9C5ACertains. types.d’adresses.contiennent.de. longues. séquences.de.zéros..Pour. simplifier. la. représentation.d’IPv6,.une.séquence.contiguë.de.0.par.blocs.de.16.bits.sont.mis.à.zéro.dans.le.format.hexadécimal.«.deux.point.».pour.être.compressée.en.«.::.».

4.4 Segmentation

Sur.le.réseau.local.d’un.établissement,.chaque.hôte.peut.potentiellement.communiquer.avec.n’importe.quel.autre,.ce.qui.peut.aller.à.l’encontre.des.règles.de.sécurité.définies..Il.convient.donc.de.prévoir.des.dispositifs.permettant.de.séparer.les.communications.autorisées.de.celles.qui.ne.le.sont.pas..Ces.dispositifs.peuvent.intervenir.aux.différents.niveaux.du.modèle.OSI.en.contrôlant.les.flux.du.niveau.physique.au.niveau.applica-tif..Lorsqu’ils.interviennent.sur.l’une.des.trois.couches.basses,.on.parle.de.segmentation.du.réseau.La.segmentation.d’un.réseau.local.a.également.comme.effet.d’en.améliorer.les.performances.en.diminuant.le.trafic.par.segment.

4.4.1 Segmentation physique

Au.niveau.de.la.couche.physique,.la.segmentation.consiste.à.gérer.plusieurs.réseaux.locaux.physiquement.distincts..C’est.la.méthode.la.plus.ancienne.et.la.plus.sûre,.mais.elle.manque.de.souplesse.et.engendre.des.coûts.d’infrastructure.et.d’administration.élevés.Dans.cette.situation.chaque.hôte.ne.peut.communiquer.qu’avec.ceux.connectés.au.même.réseau.local.et.toute.dérogation.à.cette.règle.impose.la.mise.en.place.de.systèmes.filtrants.d’interconnexions.de.réseau.comme.des.Firewalls..C’est.une.solution.en.voie.de.disparition.L’évolution. des. switchs. permet. désormais. de. gérer. une. séparation. efficace. des. réseaux. de. façon. plus.souple.en.affectant.un.réseau.à.chaque.prise,.comme.nous.le.verrons.plus.loin.dans.ce.chapitre.(cf..VLAN.niveau.1).

4.4.2 Segmentation liaison

Au.niveau.de.la.couche.liaison,.la.segmentation.consiste.à.gérer.plusieurs.réseaux.locaux.grâce.aux.adresses.MAC.identifiant.de.façon.unique.chaque.hôte.Dans.cette.situation.chaque.hôte.ne.peut.communiquer.qu’avec.ceux.dont.les.adresses.MAC.sont.auto-risées.par.le.switch.auquel.il.est.connecté,.comme.nous.le.verrons.plus.loin.dans.ce.chapitre.(cf..VLAN.niveau.2).


37

4.4.3 Segmentation en sous-réseaux IP

Au.niveau.de. la.couche.réseau,. la.segmentation.consiste.à.gérer.plusieurs.réseaux.IP.différents.grâce.à.l’usage.de.plages.d’adresses.privées.distinctes.ou.en.modifiant.le.masque.des.adresses.IP.pour.faire.varier.le.HOST-ID.et.créer.ainsi.de.nouveaux.réseaux.Pour.la.seconde.méthode,.il.faut.récupérer.un.certain.nombre.de.bits.en.en-tête.de.l’adresse.locale.(HOST-ID).pour.compléter.l’adresse.du.réseau.(NET-ID).et.constituer.ainsi.des.adresses.de.nouveaux.réseaux..Dans.cette.situation.chaque.hôte.ne.peut.communiquer.qu’avec.ceux.appartenant.au.même.réseau..Il.ne.peut.joindre.les.hôtes.des.autres.réseaux.que.par.l’intermédiaire.d’un.dispositif.de.routage.(cf..VLAN.niveau.3).On.a.vu.que.adresse.IP.=.adresse.réseau.+.adresse.locale.et.que.le.masque.définissait.le.nombre.de.bits.affec-tés.à.l’adresse.réseau.Pour.l’adressage.IP.avec.sous-réseau,.on.récupère.donc.une.partie.de.l’adresse.locale.pour.créer.celle.du.sous.réseau..Ainsi,.adresse.IP.=.adresse.réseau.+.adresse.sous-réseau.+.adresse.locale,.et.le.masque.définit.le.nombre.de.bits.affectés.à.adresse.réseau.+.adresse.sous-réseau.

Il.faut.dimensionner.ce.sous-adressage.en.fonction.des.besoins..n.bits.d’adresse.sous-réseau.correspondent.à.2n.sous-réseaux,.et.diminuent.d’autant.le.nombre.de.stations.par.sous-réseau.Pour.exemple,.le.réseau.192.168.1.0.de.masque.255.255.255.0.ou/24.comportant.254.adresses.peut.être.décomposé.en.quatre.sous-réseaux.de.62.adresses.

Cela.donne.:

Sous-Réseau Masque Premier hôte Dernier hôte

192.168.1.0 255.255.255.192.ou./26 192.168.1.1 192.168.1.62

192.168.1.64 255.255.255.192.ou./26 192.168.1.65 192.168.1.126

192.168.1.128 255.255.255.192.ou./26 192.168.1.129 192.168.1.190

192.168.1.192 255.255.255.192.ou./26 192.168.1.193 192.168.1.254

ou.en.1.sous-réseau.de.126.adresses.et.2.de.62.adresses.;.cela.donne.:

Sous-Réseau Masque Premier hôte Dernier hôte

192.168.1.0 255.255.255.12..ou./25 192.168.1.1 192.168.1.126

192.168.1.128 255.255.255.192.ou./26 192.168.1.129 192.168.1.190

192.168.1.192 255.255.255.192.ou./26 192.168.1.193 192.168.1.254

4.5 Les Vlan ou réseaux virtuels

Le.réseau.VLAN.(Virtual.Local.Area.Network),.ou.réseau.local.virtuel.est.un.domaine.de.diffusion,.ce.qui.veut.dire.qu’une.information.émise.par.une.station.n’est.reçue.que.par.les.stations.appartenant.à.ce.Vlan..Il.regroupe.un.ensemble.de.machines.de.façon.logique.et.non.physique..Il.permet.de.constituer.autant.de.réseaux.logiques.que.l’on.désire.sur.une.seule.infrastructure.physique..Ces.réseaux.logiques.auront.le.même.comportement.que.des.réseaux.physiques.Un.lien.physique.unique.peut.supporter.le.trafic.de.plusieurs.réseaux.virtuels.;.il.prend.alors.le.nom.de.«.lien.trunk.»..C’est.typiquement.le.cas.d’un.lien.entre.deux.commutateurs.ou.entre.un.commutateur.et.un.routeur.Ses.avantages.principaux.sont.la.réduction.du.trafic.de.diffusion,.une.grande.souplesse.dans.les.modifi-cations.de.l’architecture.logique.sans.modification.de.l’infrastructure.physique,.et.un.gain.significatif.en.terme.de.sécurité.Les.VLAN.sont.définis.par.les.standards.IEEE.802.1D,.802.1p,.802.1Q.et.802.10..Il.est.extrêmement.impor-tant.de.s’assurer.que.les.éléments.actifs.implémentent.les.mêmes.normes.avant.de.se.lancer.dans.la.mise.en.place.de.VLAN.Il.en.existe.trois.principales.typologies.selon.le.niveau.OSI.(cf..Segmentation).:


38

4.5.1 VLAN niveau 1 (par port)

Appelé.Port-Based.VLAN.en.anglais..Chaque.port.du.commutateur.est.associé.à.un.Vlan.particulier..La.sta-tion.qui.s’y.trouve.connectée.ne.peux.alors.communiquer.qu’avec.celles.connectées.à.un.port.appartenant.au.même.VLAN.Certains.ports.peuvent.être.dits.«.tagués.»..Ce.mécanisme.qui.peut.être.statique.ou.dynamique.modifie.les.trames.pour.identifier.leur.VLAN.d’appartenance..Il.est.défini.par.la.norme.802.1Q..Un.port.tagué.peut.véhiculer.les.trames.de.plusieurs.VLANDans.cette.configuration,.le.déplacement.d’une.station.de.travail,.nécessite.une.intervention.de.configu-ration.des.Vlan.sur.les.commutateurs.concernés..De.plus,.l’implémentation.de.cette.technologie.n’est.pas.toujours.exactement.la.même.d’un.constructeur.à.l’autre.ce.qui.oblige.à.une.cohérence.complète.des.élé-ments.actifs.présents.sur.son.réseau.local.En.revanche,.cette.technologie.permet.une.bonne.isolation.des.stations.par.VLAN.ainsi.qu’un.niveau.de.performance.élevé.

4.5.2 VLAN niveau 2 (par adresse Ethernet)

Appelé. VLAN. MAC. ou. MAC. Address-Based. VLAN. en. anglais.. Les. réseaux. virtuels. de. ce. type. associent.les.adresses.MAC.des.hôtes.à.un.VLAN..Une.station.ne.peut.alors.communiquer.qu’avec.celles.dont.les.adresses.MAC.sont.identifiées.comme.appartenant.au.même.VLAN..Chaque.Vlan.possède.donc.une.table.des.adresses.mac.des.hôtes.lui.appartenant.Le.changement.d’emplacement.d’une.station.est.alors.totalement.transparent,.mais.le.travail.de.gestion.des.tables.d’adressage.est.fastidieux..La.sécurité.est.plus.faible.que.sur.un.VLAN.de.niveau.1.dans.la.mesure.où.il.est.sensible.à.l’usurpation.d’adresses.MAC.(MAC.address.spoofing).

4.5.3 VLAN niveau 3

Cette.dénomination.est.en.réalité.un.abus.de.langage.puisque.cette.technique.consiste.à.réaliser.une.seg-mentation.du.réseau.local.par.sous.réseau.IP.ou.par.protocole,.comme.nous.l’avons.vu.au.chapitre.précé-dent.(segmentation)..Chaque.hôte.ne.peut.alors.communiquer.qu’avec.les.stations.appartenant.au.même.réseau.IP.ou.utilisant.le.même.protocole.L’utilisation.de.plusieurs.réseaux.ou.protocoles.permet.donc.de.créer.automatiquement.plusieurs.VLAN.sans.intervention.sur.les.éléments.actifs.du.réseau..Il.suffit.de.configurer.l’adresse.IP.ou.le.protocole.d’un.poste.client.pour.qu’il. appartienne.automatiquement.à.un.VLAN.donné..Les.deux.principaux. types.de.VLAN.de.niveau.3.sont.donc.:•.par.protocole.:.Ce.serait.le.cas.d’un.réseau.ayant.plusieurs.systèmes.d’exploitations.(Microsoft,.Novell,.MAC.etc..).avec.par.exemple,.d’un.côté.le.protocole.TCP/IP.et.de.l’autre.IPX/SPX.•.Par.réseau.IP.:.Chaque.réseau.crée.automatiquement.un.VLAN..Par.exemple.la.station.192.168.1.2/25.peut.communiquer.avec.la.192.168.1.12/25.mais.ne.le.pourra.pas.avec.la.192.168.1.201/25.

Les.VLAN.de.niveau.3.sont.les.plus.simples.à.administrer..En.revanche,.ils.sont.plus.lents.que.les.VLAN.de.niveau.1.et.2,.car.chaque.switch.effectue.des.opérations.de.routage.en.analysant.les.paquets.jusqu’au.niveau.3.ou.parfois.4.pour.connaître.son.«.Vlan.».d’appartenance..Il.faut.donc.des.équipements.plus.coû-teux.(commutateurs.de.niveau.3.ou.routeurs).La.sécurité.est.également.plus.faible.que.celle.des.VLAN.de.niveau.1.et.2.à.cause.de.la.relative.simplicité.de.mise.en.œuvre.de.l’usurpation.d’adresse.IP.(IP.spoofing).

Enfin,. une. attention.particulière.doit. être. apportée. à. l’utilisation.d’anciennes. générations.de.protocole.comme.NetBEUI.par.exemple,.qui.sont.parfois.encore.présentes.sur.certaines.stations.du.réseau.local.et.qui.ne.peuvent.pas.être.utilisées.sur.ce.type.de.VLAN.car.ils.ne.sont.pas.routables.


39

➜.4.6 Recommandations

4.6.1 Protocoles réseaux

Comme.nous.venons.de.le.voir,. les.protocoles.réseaux.spécifient.un.ensemble.de.règles.structurées.en.couches.pour.permettre.la.communication.entre.différents.équipements..Afin.de.s’y.retrouver,.ils.sont.clas-sés.au.sein.de.familles.ou.de.piles.dont.les.principales.sont.AppleTalk,.Bonjour,.IPX/SPX,.SNA,.TCP/IP,…Les.réseaux.des.établissements.devront.utiliser.exclusivement.la.pile.de.protocole.TCP/IP.à.l’exclusion.de.tout.autre..Les.équipements.qui.utiliseraient.encore.des.familles.différentes.devront.être.repérés.et.reconfi-gurés.ou.remplacés..Une.attention.particulière.sera.apportée.aux.photocopieurs.numériques.connectés.qui.embarquent.souvent.toutes.les.piles.de.protocoles.connues..Une.analyse.du.réseau.local.(cf..chapitre.6.6).permettra.de.s’assurer.de.la.propreté.du.réseau.local.

4.6.2 Adressage IP

Au.sein.de.la.pile.TCP/IP,.il.existe.désormais.des.normes.du.protocole.IP.qui.gèrent.la.couche.réseau..La.version.4,.aujourd’hui.très.largement.majoritaire.sur.les.réseaux.locaux.et.la.version.6.très.utilisée.sur.les.réseaux.des.opérateurs..Cette.dernière.permet. surtout.d’offrir.un. très.grand.nombre.d’adresses. (1038).pour.éviter.un.manque.sur.le.réseau.Internet.public.Sur.le.réseau.local.d’un.établissement,.ce.problème.n’existe.pas.et.l’adoption.de.la.nouvelle.version.IP.ne.se.justifie.nullement..En.conséquence,.tous.les.EPLEFPA.utiliseront.exclusivement.un.plan.d’adressage.en.IP.V4.conforme.à.celui.préconisé.par.le.CNERTA.dans.le.cadre.des.logiciels.de.gestion.administrative.(LGA)..Le.masque.est.positionné.à.24.bits.et.le.réseau.local.respecte.alors.le.plan.suivant.:10..(numéro.de.département)..(numéro.de.site)..(numéro.de.station)/24Par.exemple.:.10.33.10.1/24. Ce.plan.d’adressage.autorise.254.stations.connectées.sur.le.réseau.ce.qui.peut.s’avérer.trop.juste.dans.un.certain.nombre.d’établissements..Dans.ce.cas.le.plan.d’adressage.sera.alors.découpé.en.sous-réseaux.suivant.les.types.d’usages.en.respectant.le.modèle.suivant.:Administratif.:.10.33.10.1/24Pédagogique.:.10.33.11.1/24Réseau.Wifi.:.10.33.12.1/24etc…

Le.respect.de.cette.règle.permet.de.créer.potentiellement.10.sous.réseaux.de.254.stations.chacun..Dans.tous.les.cas,.la.mise.en.place.d’un.réseau.sans.fil.se.fera.impérativement.dans.un.sous-réseau.spécifique..Dans.tous.les.cas,.l’utilisation.de.plusieurs.sous-réseaux.IP.sur.un.même.réseau.local.oblige.à.le.segmenter.par.la.mise.en.place.de.réseaux.virtuels.ou.VLAN.Les.adresses.IP.des.éléments.actifs,.des.serveurs.et.des.périphériques.permanents.(Imprimantes,.NAS,…).seront.fixes.et.attribués.manuellement.lors.de.l’installation.Les.adresses.IP.des.stations.de.travail.de.chaque.réseau.ou.sous-réseau.pourront.être.distribuées.par.un.serveur.DHCP.après.vérification.de.l’adresse.MAC.et.sous.réserve.que.le.traçage.des.connexions.internet.soit.réalisé.avec.le.nom.d’utilisateur.et.non.pas.l’adresse.du.poste.

4.6.3 Segmentation et réseaux virtuels (VLAN)

Comme.nous.l’avons.vu.dans.la.partie.théorique.de.ce.chapitre,.la.segmentation.d’un.réseau.local.a.pour.vocation.d’en.améliorer.la.sécurité.et/ou.les.performances..Tous.les.établissements.d’enseignement.ne.sont.pas.confrontés.aux.mêmes.difficultés.ni.au.mêmes.besoins,.principalement.en.fonction.de.leur.importance..Ils.peuvent.être.classés.en.deux.grandes.catégories.:•.Les.petits.établissements.où.le.nombre.d’utilisateurs.et.de.postes.permet.un.contrôle.efficace.des.accès.aux.différentes.ressources.sur.la.base.d’une.authentification.classique.auprès.d’un.serveur.d’annuaire.ou.de.domaine..Sur.les.structures.de.ce.type,.le.réseau.local.ne.risque.pas.la.saturation.en.terme.d’adresses.ou.de.performances.


40

•.Les.établissements.importants.où.le.nombre.d’utilisateurs.et.de.postes.ne.permet.pas.un.contrôle.efficace.de.l’accès.aux.ressources.présentes.sur.le.réseau.local..Sur.les.structures.de.ce.type,.les.254.adresses.dis-ponibles.par.défaut.ne.suffisent.pas.et.la.performance.du.réseau.peut.se.dégrader.s’il.n’est.pas.configuré.de.façon.optimale.

Cette. situation. nous. conduit. à. effectuer. deux. recommandations. différentes. concernant. le. réseau. local.Ethernet..En.revanche.et.dans.tous.les.cas,.la.mise.en.place.d’un.réseau.Wifi.se.fera.avec.une.stricte.seg-mentation.par.rapport.au.réseau.local

4.6.3.1 Réseaux de moins de 200 postesLes.réseaux.locaux.de.cette.importance.ne.nécessitent.pas.de.segmentation.liée.à.une.pénurie.d’adresses.ou.de.performance..Toutefois,.pour.des.raisons.de.sécurité,.nous.recommandons.la.séparation.des.parties.administratives.et.pédagogiques.du.réseau.local.par.la.mise.en.œuvre.de.deux.réseaux.virtuels.(VLAN).de.niveau.1.couramment.appelés.«.Port.Based.VLAN.»..Dans.cette.configuration,.chaque.port.sur.chaque.switch.est.affecté.au.réseau.pédagogique.ou.au.réseau.administratif.ou.aux.deux..Ce.type.de.solution.est.la.meilleure.des.trois.types.de.VLAN.du.point.de.vue.de.la.sécurité,.de.la.performance.et.du.coût.financier..Elle.nécessite.toutefois.un.paramétrage.de.chaque.port.par.l’administrateur.du.réseau,.ce.qui.n’est.pas.très.pénalisant.sur.des.LAN.de.cette.taille.L’intégration.d’un.troisième.sous-réseau.dédié.à.la.connexion.de.point.d’accès.Wifi.est.simple.et.rapide.à.réaliser.Les. switchs.nécessaires. à. la.mise.en.place.de.cette.configuration.doivent. assurer.une.commutation.de.niveau.2,.être.administrables.et.répondre.aux.normes.802.1Q,.802,1X.

4.6.3.2 Réseaux de plus de 200 postesLes.réseaux.locaux.de.cette.importance.peuvent.connaître.des.problèmes.de.pénurie.d’adresses,.de.per-formance.et.de.sécurité..Nous.recommandons.la.séparation.des.parties.administratives.et.pédagogiques.du.réseau.local.par.la.mise.en.œuvre.d’au.moins.deux.réseaux.virtuels.(VLAN).de.niveau.3.et.de.type.sous.réseau.IP.(cf..chapitre.4.7.2)..Chaque.sous-réseau.ainsi.créé.peut.contenir.254.stations.Dans.cette.configuration,.chaque.réseau.virtuel.se.voit.attribué.une.plage.d’adresse.spécifique..L’adresse.attribuée.à.un.périphérique.défini.le.VLAN.auquel.il.appartient.indépendamment.du.port.physique.auquel.il.est.connecté..Chaque.station.ne.peut.alors.communiquer.qu’avec.celle.de.son.VLAN.et.doit.contacter.un. routeur.pour. atteindre.un.autre.VLAN..Le. routeur.doit.permettre. la.gestion.des. règles. régissant. les.échanges.entre.les.différents.VLAN.du.réseau.local..L’administration.des.switchs.est.très.simple.puisque.la.gestion.de.la.sécurité.est.alors.reportée.sur.le.Routeur.Ce.type.de.solution.nécessite.l’acquisition.de.switchs.plus.coûteux.et.la.mise.en.place.d’un.dispositif.de.filtrage.(Firewall).des.flux.et.d’authentification.des.stations..Il.offre.en.revanche.une.très.grande.capacité.de.croissance.et.d’évolution.Les. switchs.nécessaires. à. la.mise.en.place.de.cette.configuration.doivent. assurer.une.commutation.de.niveau.3,.être.administrables.et. répondre.aux.normes.802.1x.et.802,1Q.. Ils. implémentent. souvent.des.fonctions.évoluées,.comme.les.ACL.par.exemple,.permettant.une.gestion.plus.fine.de.l’utilisation.du.réseau.local.en.terme.de.sécurité.et.de.performance.

4.6.3.3 Évolution d‘architectureUn.réseau.local.segmenté.par.des.VLAN.de.niveau.1.peut.être.amené.à.croître.de.telle.sorte.qu’il.doive.faire.face.à.une.pénurie.d’adresse..Dans.ce.cas,.la.mise.en.place.d’un.VLAN.de.niveau.3.conservant.l’architecture.en.place.est.possible.Dans.ce.cas,. il.sera.nécessaire.de.changer. le.plan.d’adressage.global.de. l’établissement.et.de.mettre.en.place.un.commutateur.de.niveau.3.au.cœur.du.réseau..Sur.les.switch.de.niveau.2.déjà.en.place,.il.sera.alors.indispensable.d’assurer.une.cohérence.sans.faille.au.niveau.de.chaque.port.afin.qu’à.un.numéro.de.VLAN.de.niveau.1.soit.associé.un.VLAN.de.niveau.3.La.mise.en.place.d’une.solution.mixte.de.ce.type.nécessite.une.grande.rigueur.dans.le.gestion.du.réseau.et.s’avère.un.peu.lourde.à.administrer,.mais.elle.permet.une.évolution.progressive.et.limite.les.coûts.en.permettant.d’éviter.le.remplacement.de.tous.les.switch.de.niveau.2.


41

4.6.3.4 Réseaux WifiDans.tous.les.cas.de.figure,.le.déploiement.d’un.réseau.sans.fil.de.type.Wifi.sur.un.établissement.fera.l’objet.d’une.stricte.segmentation.par.rapport.au.réseau.local.en.place.Pour.d’évidentes.raisons.de.sécurité,.les.points.d’accès.ainsi.que.les.stations.seront.placés.dans.un.sous-réseau. IP. spécifique. et. connectés. aux. ressource. d’Internet. ou. du. réseau. local. par. l’intermédiaire. d’un.Firewall.ou.d’un.commutateur.permettant.la.gestion.de.la.sécurité.(802.1x).comme.exposé.au.chapitre.6.Dans.la.mesure.du.possible,.les.points.d’accès.seront.connectés.au.réseau.local.par.l’intermédiaire.d’un.câblage.physiquement.distinct.ou.par.la.mise.en.œuvre.d’un.VLAN.de.niveau.1.

5 Interconnexion des réseaux de l‘EPL

Lorsqu’un.EPLEFPA.est.composé.de.plusieurs.sites.géographiques.distincts,. il. s’avère.nécessaire.d’inter.connecter.les.réseaux.locaux.pour.permettre.le.partage.des.outils.informatiques.comme.les.Logiciels.de.Gestion.Administrative.La.distance.séparant.les.différents.centres.est.habituellement.de.plusieurs.kilomètres..Il.est.alors.indispen-sable.de.faire.appel.aux.services.d’un.«.opérateur.».qui.se.charge.de.l’acheminement.des.données.via.ses.infrastructures.de.réseaux.métropolitains.(MAN).ou.de.réseaux.étendus.(WAN).

5.1 MAN/WAN

La.classification.des.réseaux.d’opérateurs.utilisés.pour.l’interconnexion.des.sites.repose.essentiellement.sur.la.distance..Par.convention,.on.parle.de.MAN.(Metropolitan.Area.Network).lorsque.la.distance.est.com-prise.entre.la.centaine.de.mètres.et.quelques.kilomètres..Les.techniques.utilisées.sont.généralement.les.fibres.optiques.ou.les.ondes.radios.(Wi-Fi/WiMax).Lorsque. la. distance. est. au-delà. de. quelques. kilomètres,. on. utilise. alors. le. terme. de. WAN. (Wide. Area.Network).qui.sont.gérés.par.les.grands.opérateurs.

5.1.1 Technologies des WAN

5.1.1.1 Ligne louée ou ligne spécialiséeCe.type.de.lignes.est.une.liaison.point.à.point.entre.le.réseau.local.du.client.et.celui.de.l’opérateur..Elle.est.alors.exclusivement.utilisée.par.le.trafic.client..Les.sites.distants.sont.alors.reliés.entre.eux.par.des.liaisons.dédiées.et.le.réseau.de.l’opérateur.Cette.technologie.est.fiable.et.sûre.mais.son.coût.est.généralement.très.élevé.

5.1.1.2 Circuit commutéLes.connexions.de.ce.type.sont.connues.en.France.sous.le.terme.de.liaisons.RNIS.(ISDN.en.anglais).ou.NUMERIS..Elles.fonctionnent.suivant.le.principe.de.la.commutation.de.circuit.comme.des.liaisons.télépho-niques.classiques.et.utilisent.les.protocoles.HDLC.ou.PPP.La.facturation.est.réalisée.en.fonction.de.la.durée.de.communication,.ce.qui.génère.des.coûts.trop.élevés.pour.une.utilisation.permanente.

5.1.1.3 Commutation de paquetsCette.technologie.utilise.les.réseaux.de.transport.de.données.de.grands.opérateurs.qui.peuvent.ainsi.garan-tir.les.débits.et.la.qualité..Les.connexions.de.ce.type.utilisent.principalement.les.protocoles.Frame.Relay,.ATM,.MPLS,…..Elles.ne.sont.quasiment.plus.utilisées.pour.la.desserte.des.abonnés.

5.1.1.4 InternetLe. réseau. Internet. offre. désormais. une. couverture. importante. du. territoire. ainsi. qu’une. qualité. et. des.débits.de.bon.niveau..Son.important.déploiement.a.permis.d’atteindre.des.coûts.très.largement.inférieurs.aux.autres.solutions.


42

Il.devient.la.solution.d’interconnexion.des.sites.moyennant.la.mise.en.oeuvre.d’un.réseau.privé.virtuel.(cf..5.2,.5.3.et.5.4)..Cette.technologie.logicielle.utilise.le.chiffrement.et.d’autres.techniques.pour.donner.l’im-pression.de.disposer.de.son.propre.réseau.privé.tout.en.utilisant.le.réseau.Internet.Cette.solution,.qui.tend.à.supplanter.toutes.les.autres.grâce.à.son.faible.coût,.confère.cependant.une.qua-lité.de.service.moindre.L’interconnexion.de.sites.via.le.réseau.Internet.ne.peut.être.envisagée.que.sur.des.liaisons.à.haut.débit.qui.utilisent.généralement.les.technologies.DSL.(cf..chapitre.2).sur.des.lignes.téléphoniques.et.peuvent.donc.être.déployées.rapidement.et.à.moindre.coût..Elles.ont.toutefois.des.inconvénients.:.la.portée.est.limitée.à.quelques.kilomètres,.et.le.débit.dépend.grandement.de.la.longueur.et.de.la.qualité.de.la.ligne.

Les.offres.les.plus.fréquentes.sont.l’ADSL.et.le.SDSL.:

•.ADSL.et.ses.variantes..L’ADSL.(asymetric.DSL).est.la.variante.la.plus.répandue.:.elle.offre.un.assez.bon.compromis. entre. performances. et. coût.. Elle. est. bien. adaptée. à. une. clientèle. grand. public.. Toutefois,.l’ADSL.souffre.de.plusieurs.défauts.:•.la.distance.maximale.entre.le.répartiteur.de.l’opérateur.et.le.client.est.d’environ.5.à.6.kilomètres.ce.qui.rend.certaines.lignes.non.éligibles,•.le.débit.est.limité.à.8.Mbit/s,.valeur.possible.uniquement.sur.les.lignes.courtes,.souvent.inférieures.à.2km,•.le.débit.est.asymétrique.:.les.données.circulent.plus.rapidement.vers.l’abonné.(download).que.vers.Inter-net.(upload)..Le.débit.en.upload.est.généralement.4.fois.plus.faible.que.celui.en.download.L’asymétrie.des.voies.de.transport.est.donc.parfaitement.adaptée.à.la.navigation.sur.Internet.où.l’on.reçoit.beaucoup.d’informations.pour.très.peu.d’émissions.En.zone.urbaine,.l’ADSL2.+.permet.de.pallier.certains.de.ces.défauts..C’est.une.version.améliorée.de.l’ADSL.qui.utilise.une.bande.de.fréquence.élargie..Elle.permet.un.débit.maximal.d’une.vingtaine.de.Mbit/s..Mais.plus.la.ligne.est.longue,.plus.le.gain.de.débit.par.rapport.à.l’ADSL.se.réduit.jusqu’à.devenir.insignifiant.à.partir.de.3.km.•.SDSL.(symetric.DSL).:.L’ADSL.n’est.plus.pertinente.lorsque.l’on.est.appelé.à.envoyer.soit-même.un.gros.volume.de.données,.ce.qui.est.le.cas.pour.l’interconnexion.de.sites.distants.ou.l’hébergement.de.serveurs.ou.services.Internet..Il.convient.alors.de.se.tourner.vers.les.offres.SDSL.ou.SHDSL,.voire.les.lignes.louées.Les.technologies.de.DSL.symétrique.offrent.un.même.débit.en.download.et.en.upload..Elles.permettent,.aujourd’hui.et.sous.conditions.d’éligibilité,.d’offrir.des.débits.symétriques.compris.entre.1.et.8.Mbit/s.Contrairement.à.l’ADSL,.le.SDSL.ne.réserve.pas.une.partie.de.la.bande.passante.pour.le.transport.de.la.voix.téléphonique.et.ne.peut.donc.pas.être.déployée.avec.une.liaison.téléphonique.standard.

5.1.1.5 Autres (XDSL, Wimax, FTTx…)Dans.certains.cas.particuliers,.les.opérateurs.peuvent.être.amenés.à.proposer.des.technologies.alternatives.pour.la.connexion.haut.débit.à.Internet.:•.Les. liaisons.sans. fil.de.type.Wifi.ou.Wimax..Elles.sont.abordées.au.chapitre.2.3.3.et.2.3.4.du.présent.document.•.Les.liaisons.VDSL.et.VDSL2.qui,.avec.une.bande.de.fréquence.plus.large.et.un.encodage.plus.efficace,.offrent.des.débits.symétriques.très.élevés,.mais.sur.de.courtes.distances.•.Le.satellite.est.une.offre.un.peu.à.part.dont.le.principal.avantage.est.la.disponibilité.sur.l’ensemble.du.territoire..L’accès.peut.être.mono.ou.bidirectionnel.et.permet.un.débit.de.1.ou.2.Mbit/s.pour.un.coût.rai-sonnable..Son.principal.inconvénient.est.la.latence.(temps.de.réponse).des.connexions.qui.est.rédhibitoire.pour.des.applications.interactives.•.Les.technologies.de.téléphonie.mobile.:.grâce.à.la.convergence.et.à.l’augmentation.des.débits,.ces.tech-nologies.sont.de.plus.en.plus.utilisées.pour.accéder.à.Internet..Elles.ont.l’avantage.d’être.fiables,.robustes.mais.elles.restent.souvent.coûteuses.et.assez.complexes.à.mettre.en.oeuvre,.ce.qui.les.réserve.plutôt.à.des.usages.de.type.nomade.•.Demain,.la.fibre.optique..La.fibre.optique.fait.son.entrée.dans.la.partie.desserte.des.abonnés..Le.FTTx.(Fiber.To.The…).permet.d’augmenter. le.débit.offert. au.grand.public.et. aux.professionnels.en.s’affran-chissant.des.opérateurs.du.réseau.téléphonique.traditionnel..En.France,.plusieurs.grands.projets.urbains.sont.en.cours.(Pau,.Bordeaux,.Paris,…)..Le.FTTx.est.également.utilisé.ponctuellement.pour.desservir.des.


43

entreprises,.mais.les.coûts.restent.encore.très.élevés..C’est.une.alternative.qui.devrait.très.probablement.connaître.un.essor.important.au.cours.des.prochaines.années.

5.1.1.6 Notion de qualité du service (GTR, débits…)La.qualité.de.service.de. la. ligne.internet.est.désormais.cruciale,.surtout.dans. le.cadre.de.son.utilisation.comme.service.d’interconnexion.des.réseaux.locaux.d’un.EPL..Une.interruption.de.service.paralyse.quasi-ment.complètement.le.système.d’information.de.l’établissement.Le.débit.n’est.qu’un.des.indicateurs.de.performance.d’une.connexion.à.prendre.en.compte..Les.principaux.paramètres.à.considérer.sont.:•.Le.débit.théorique..C’est.la.quantité.de.données.transmise.pendant.une.unité.de.temps..Elles.est.expri-mée.en.kbit/s.ou.Mbit/s.•.La.garantie.du.débit..Les.offres.commerciales.sont.souvent.exprimées.en.débit.théorique.qui.correspond.souvent.à.un.débit.maximum.rarement.atteint..Il.existe.des.offres.dites.de.débits.garantis.d’un.coût.supé-rieur.•.La.latence.ou.délai.de.transmission..C’est.le.temps.nécessaire.à.la.traversée.du.réseau..Elle.s’exprime.en.millième.de.secondes.•.La.gigue.ou.variation.du.délai..C’est.l’écart.entre.les.délais.de.transmission.des.différents.paquets..Elle.s’exprime.en.millième.de.secondes.•.Le.taux.d’erreur..C’est.le.pourcentage.de.paquets.de.données.perdus.ou.altérés.sur.le.total.de.paquets.envoyés•.La.GTR.(garantie.de.temps.de.réponse)..C’est.la.durée.contractuelle.sur.laquelle.l’opérateur.s’engage.à.répondre.et/ou.à.rétablir.la.liaison.•.Le.taux.de.disponibilité.du.réseau,.exprimé.en.pourcentage.•.La.facilité.de.contact.de.la.maintenance.•.La.capacité.d’évolution.technologique.de.l’infrastructure.

5.2 RPV/VPN

Les.EPL.sont.de.plus.en.plus.souvent.structurés.autour.de.plusieurs.sites.géographiques.distants.de.plusieurs.kilomètres..Les.applications.et.les.systèmes.distribués.font.désormais.partie.intégrante.de.leur.système.d’in-formation..Il.faut.donc.assurer.leur.accès.sécurisé.au.sein.de.toutes.les.structures.de.l’établissement.La.première.solution.pour.répondre.à.ce.besoin.de.communication.sécurisée.consiste.à.relier.les.réseaux.distants.à.l’aide.de.liaisons.spécialisées..Si.elles.sont.sûres.et.fiables,.le.coût.des.solutions.de.ce.type.est.trop.élevé.Il.est.beaucoup.plus.économique.d’utiliser. Internet.comme.support.de. transmission.sous.réserve.de. le.sécuriser.fortement.en.mettant.en.oeuvre.un.réseau.privé.virtuel.(RPV),.plus.connu.sous.le.sigle.anglais.de.VPN.(Virtual.Private.Network)

5.2.1 Présentation du concept

Cette.solution.consiste.à.utiliser.Internet.comme.support.de.transmission.avec.un.protocole.d’encapsula-tion.(tunneling.en.anglais).pour.transmettre.les.données.entre.deux.sites.distants.Des.données.très.sensibles.peuvent.être.amenées.à.transiter.sur.le.VPN.(données.personnelles,.financières,.notes…)..Elles.doivent.donc.être.transmises.sans.souci.de.confidentialité.ni.d’intégrité..Des.techniques.de.cryptographie.sont.mises.en.oeuvre.à.cette.fin..Elles.permettent.une.authentification.au.niveau.des.paquets.pour.s’assurer.de.la.validité.des.données,.de.l’identification.de.leur.source.ainsi.que.de.leur.non-répudiation.en.faisant.généralement.appel.à.des.dispositifs.de.signatures.numériques.ajoutées.aux.paquets..La.techno-logie.actuelle.en.matière.de.cryptographie.permet.d’assurer.un.niveau.de.sécurité.maximal.Ce.réseau.est.dit.virtuel.car.il.relie.deux.réseaux.locaux.par.une.liaison.à.faible.coût.(Internet),.et.privé.car.seuls.les.ordinateurs.des.réseaux.locaux.de.part.et.d’autre.du.VPN.peuvent.comprendre.et.exploiter.les.données.transmises..Il.existe.3.grandes.catégories.de.VPN.Standard.


44

5.2.2 Accès nomades

Ce.type.d’accès.est.fréquemment.nommé.VPN.HtoG.pour.Host.to.Gateway.ou.VPN.Roadwarrior..Il.est.uti-lisé.pour.accéder.à.certaines.ressources.prédéfinies.d’un.établissement.sans.y.être.physiquement.présent..Il.permet.ainsi.à.un.utilisateur.isolé.de.se.connecter,.via.Internet,.au.réseau.de.son.établissement.lors.d’un.déplacement.ou.depuis.son.domicile..L’utilisation.de.ce.type.de.VPN.est.généralement.possible.avec.les.accès.Internet.standards.des.fournisseurs.d’accès..Il.existe.deux.cas.:•. La. gestion. du. VPN. par. un. opérateur.. L’utilisateur. demande. au. fournisseur. d’accès. de. lui. établir. une.connexion.cryptée.vers.le.serveur.distant..Il.se.connecte.alors.sur.le.serveur.d’accès.de.l’opérateur.et.c’est.ce.dernier.qui.établit.la.connexion.cryptée.entre.le.réseau.de.l’établissement.et.l’utilisateur.distant..C’est.une.offre.commerciale.généralement.assez.onéreuse.•.L’utilisateur.possède.son.propre.logiciel.client.et.il.établit.directement.la.communication.cryptée.avec.le.serveur.VPN.situé.sur.le.réseau.local.de.l’établissement..Cette.solution.nécessite.que.chaque.utilisateur.dispose.du.logiciel.permettant.d’établir.le.tunnel.de.communication.Dans.tous.les.cas,.ce.type.d’utilisation.impose.la.mise.en.place.d’une.authentification.forte.des.usagers..Elle.peut.se.faire.par.une.vérification."login/mot.de.passe".de.qualité,.par.un.dispositif.de.jetons.sécurisés.avec.mots.de.passe.aléatoires,.par.un.dispositif.de.question.secrète.ou.par.certificats.numériques.

5.2.3 Accès de site à site

Ce.type.d’accès.est.fréquemment.nommé.VPN.GtoG.pour.Gateway.to.Gateway.ou.VPN.de.transport..Il.relie.deux.ou.plusieurs.réseaux.locaux.d’une.même.structure.(par.exemple.les.réseaux.des.sites.d’un.EPL)..Il.permet.d’éviter.de.recourir.à.des.lignes.dédiées.très.onéreuses..Avec.ce.type.de.VPN,.l’établissement.pos-sède.virtuellement.un.seul.et.même.réseau.local.dont.les.communications.inter.sites.passent.par.Internet.Comme.pour.les.VPN.nomades,.Il.existe.deux.cas.:•.La.gestion.du.VPN.par.un.opérateur..Tous.les.sites.appartenant.à.ce.réseau.virtuel.doivent.être.opérés.par.le.même.fournisseur.d’accès.qui.assure.alors.son.bon.fonctionnement.•.La.gestion.locale.du.VPN..Dans.ce.cas.tous.les.sites.sont.équipés.d’une.même.solution.de.dispositif.de.gestion.du.VPN,.qu’elle.soit.matérielle.ou.logicielle.

5.2.4 Accès Extranet

Ce.type.de.VPN.concerne.les.établissements.ou.structures.désireux.d’ouvrir.en.partie.leur.système.d’in-formation.à.des.partenaires.externes..Ils.ouvrent.alors.leur.réseau.local.à.ces.derniers..Dans.ce.cas.surtout,.l’administrateur.du.VPN.doit.pouvoir. tracer. les.utilisateurs.externes.sur. le. réseau.et.gérer. les.droits.de.chacun.sur.celui-ci.Ces.VPN.sont.principalement.utilisés.dans.le.cadre.du.commerce.électronique.pour.permettre.aux.clients,.fournisseurs.ou.partenaires.d’accéder.à.certaines.données.d’une.entreprise..Presque.tous.les.sites.«.e-com-merce.».ainsi.que.les.banques,.offrent.ce.type.de.connexion.sécurisée.à.leurs.clients.Dans.le.cadre.d’un.établissement,.les.accès.des.agences.comptables.peuvent.être.mis.dans.cette.catégorie.Les.solutions.techniques.mises.en.œuvre.dans.le.cadre.de.ce.type.d’accès.sont.les.mêmes.que.pour.les.deux.autres.type.de.VPN.

5.2.5 Cohabitation de VPN

Il.est.de.plus.en.plus.fréquent.qu’une.structure.offre.des.services.de.VPN.nomade.pour.son.personnel,.des.services.de.VPN.de.transport.pour.ses.sites.distants.et.soit.client.de.VPN.Extranet.de.partenaires.Par.exemple,.un.EPL.peut.offrir.un.service.d’accès.nomade.pour.la.gestion.des.notes.directement.par.les.enseignants,.relier.tous.ses.sites.et.antennes.par.un.VPN.de.transport.dans.le.cadre.de.l’usage.des.LGA.et.être.en.même.temps.client.du.VPN.Magellan.du.MINEFI.(cf..illustrations.chapitre.1).Il.est.important.que.l’établissement.s’attache.à.vérifier.auprès.de.son.fournisseur.d’accès.que.sa.connexion.Internet.ainsi.que.celles.de.ses.utilisateurs.distants.offrent.un.maximum.de.compatibilité.avec.les.solutions.VPN.choisies.


45

5.3 Technologies VPN

Les.technologies.VPN.s’appuient.sur.des.protocoles.normalisés.que.nous.pouvons.classer.en.trois.catégo-ries.en.fonction.du.niveau.de.la.couche.TCP/IP.auquel.ils.interviennent.:•.Les.protocoles.de.niveau.2.comme.Pptp.et.L2tp.•.Les.protocoles.de.niveau.3.comme.IPsec.ou.Mpls.•.Les.protocoles.de.niveau.4.comme.SSL.

5.3.1 Protocoles de niveau 2

5.3.1.1 PPTPPptp.(Point. to.Point.Tunnelling.Protocol).est.défini.par. la.Rfc.2637..C’est.un.protocole.qui.utilise.une.connexion.point.à.point.à.travers.un.réseau.IP.pour.créer.un.réseau.privé.virtuel..Pour.ce.faire,.il.ouvre.deux.canaux.de.communication.entre.un.client.et.un.serveur.:•.Un.canal.pour.le.contrôle.et.la.gestion.du.lien.•.Un.canal.transportant.le.trafic.du.réseau.privé.au.niveau.IP.et.s’appuyant.sur.le.protocole.Gre.(Generic.Routing.Encapsulation).

Le.tunnel.est.créé.en.trois.phases.de.connexion.:•.Le.client.effectue.d’abord.une.connexion.de.type.Ppp.avec.son.fournisseur.d’accès.Internet..Elle.permet.ainsi.de.faire.circuler.des.données.sur.Internet.•.Une.seconde.connexion.dial-up.est.alors.établie.avec.le.serveur.VPN.PPTP..Elle.permet.d’encapsuler.les.paquets.Ppp.dans.des.datagrammes.IP.formant.ainsi.le.tunnel.Pptp..Tout.trafic.client.conçu.pour.Internet.emprunte.la.connexion.Ppp.normale,.alors.que.le.trafic.conçu.pour.le.réseau.privé.distant,.passe.par.le.tunnel.Pptp.•.La.clôture.du.tunnel.est.assurée.par.le.serveur.en.fin.de.communication.

Cette.solution.de.VPN.nomade.est.développée.par.Microsoft.et.intégrée.dans.toutes.ses.versions.de.Win-dows..Elle.s’appuie.sur.plusieurs.algorithmes.propriétaires.de.Microsoft.pour.la.compression.(Mppc),.le.chiffrement.des.données.(Mppe).et. l’authentification.des.utilisateurs.(Ms-Chap)..De.par.son. intégration.native.dans.la.sphère.Windows,.elle.est.très.employée.par.les.solutions.commerciales.

5.3.1.2 L2TPL2tp.(Layer.2.Tunneling.Protocol).est.défini.par.la.Rfc.2661..C’est.une.évolution.du.protocole.Pptp.qui.permet.la.gestion.de.VPN.de.transport..Il.est.développé.conjointement.par.Microsoft.et.plusieurs.acteurs.clés.du.marché.des.réseaux.

Il.permet.d’établir.un.tunnel.de.niveau.2.capable.de.transporter.n’importe.quel.protocole.de.niveau.supé-rieur..Le.tunnel.ainsi.établi.transporte.simultanément.plusieurs.connexions..Il.repose.sur.deux.concepts.:•.Concentrateurs.d’accès.L2tp. (Lac)..C’est. l’équipement.qui. initie. le. tunnel.VPN.. Il. fournit.un.support.physique.aux.connexions.L2tp.et.transfère.le.trafic.vers.le.serveur.réseau.L2tp.(LNS).qui.constitue.l’autre.extrémité.du.tunnel.•.Serveur.réseau.L2tp.(Lns)..C’est.l’équipement.qui.termine.la.connexion.VPN.L2tp.et.qui.gère.le.proto-cole.L2tp.côté.serveur..Par.conception,.les.serveurs.réseau.Lns.ne.peuvent.avoir.qu’une.seule.interface.de.réseau.local.(Lan).ou.étendu.(Wan),.ce.qui.est.une.limite.de.cette.technologie..Ce.sont.eux.qui.sont.responsable.de.l’authentification.du.tunnel.En.mode.VPN.nomade,.il.est.nécessaire.pour.le.client.(Lac).d’établir.autant.de.tunnels.VPN.que.de.serveurs.(Lns).à.contacter..De.plus,.ce.protocole.n’intègre.pas.directement.le.chiffrement.des.données..C’est.pour-quoi.l’utilisation.conjointe.d’IPsec.et.L2tp.est.préconisée.par.les.acteurs.de.la.sécurité.des.réseaux.


46

5.3.2 Protocoles de niveau 3

5.3.2.1 Ipsec

IPsec.(IP.Security).est.défini.par.la.Rfc.4301..C’est.un.ensemble.de.protocoles.qui.vise.à.sécuriser.l’échange.de.données.sur.les.réseaux.IP.quelle.qu’en.soit.la.version..Internet.utilise.massivement.la.version.4.du.pro-tocole.IP.(Ipv4).et.la.migration.vers.la.version.6.(Ipv6).est.actuellement.en.cours.IPsec.est.basé.sur.deux.mécanismes.pour.la.gestion.des.données.(souvent.utilisés.conjointement).et.un.troisième.pour.l’échange.des.clefs.de.chiffrement.:•.l’Authentication.Header.(AH),.assure.l’authentification.et.l’intégrité,.mais.Il.ne.fournit.aucune.confidenti-alité.car.les.données.transmises.ne.sont.pas.encodées..Il.utilise.un.mode.transport.•.l’Encapsulating.Security.Payload.(ESP),.assure.l’authentification,.l’intégrité.et.la.confidentialité.des.don-nées..Il.utilise.un.mode.tunnel.•.Pour.l’échange.de.clés,.le.IKE.(Internet.Key.Exchange).permet.de.gérer.les.échanges.ou.les.associations.entre.protocoles.de.sécurité.Une.communication.protégée.à.l’aide.d’IPsec.est.appelée.une.SA.(Security.Association.soit.association.de.sécurité)..Chaque.SA.gère.l’ensemble.des.paramètres.nécessaires.au.bon.fonctionnement.d’un.tunnel.(les.protocoles.AH.et/ou.ESP,.mode.tunnel.ou.transport,.les.algorithmes.de.sécurité.utilisés,.les.clés.utilisées,…)Chaque.SA.est.unidirectionnelle..Une.communication.classique,.protégée.dans.les.deux.sens,.requiert.donc.deux.associations..On.parle.alors.d’un.paquet.de.SA.(bundle).IPsec.utilise.une.base.de.données.des.associations.de.sécurité.(SAD).pour.gérer.les.SA.actives..Elle.contient.tous.les.paramètres.de.chaque.SA.et.est.consultée.pour.savoir.comment.traiter.chaque.paquet.reçu.ou.à.émettre.IPsec.utilise.une.base.de.données.de.politique.de.sécurité.(SPD).qui.contient.l’ensemble.des.choix.de.sécu-rité.et.permet.de.décider,.pour.chaque.paquet,.s’il.faut.ou.non.apporter.des.services.de.sécurité,.s’il.est.autorisé.à.passer.ou.doit.être.rejeté.IPsec.a.recours.à.des.algorithmes.cryptographiques.et.utilise.donc.des.clefs.qu’il.doit.être.en.mesure.de.générer,.distribuer,.stocker.et.supprimer..Il.utilise.à.cette.fin.le.protocole.«.Internet.Key.Exchange.».(IKE).qui.fournit.des.mécanismes.d’authentification.et.d’échange.de.clef.adaptés.à.l’ensemble.des.situations.qui.peuvent.se.présenter.sur.Internet.

IPsec.utilise.deux.modes.de.fonctionnement.:•.Le.mode.transport.qui.est.utilisé.en.mode.VPN.nomade..Dans.ce.mode,.la.couche.IPsec.s’insère.de.façon.transparente.entre.la.couche.TCP.et.la.couche.IP..TCP.envoie.ses.données.vers.IPsec.comme.il.les.enverrait.vers.IP..Ce.mode.est.un.peu.moins.sûr,.dans.la.mesure.où.la.couche.IP.n’est.pas.masquée,.mais.il.est.plus.simple.à.mettre.en.oeuvre.•.Le.mode.tunnel.qui.est.utilisé.en.mode.VPN.transport.(GtoG).entre.deux.Firewall.ou.routeurs..Dans.ce.mode,.les.données.envoyées.par.l’application.traversent.la.pile.de.protocoles.jusqu’à.la.couche.IP.incluse,.puis.sont.envoyées.vers.le.module.IPsec..C’est.un.mode.très.sûr.car.le.masquage.d’adresses.est.complet.

5.3.2.2 Mpls (Multi protocol label switching)

Le.protocole.Mpls.fut.initialement.développé.pour.donner.une.plus.grande.puissance.aux.commutateurs.IP.en.accélérant.le.routage.sur.Internet.En.effet,.pour.chaque.paquet,.les.routeurs.doivent.analyser.l’adresse.de.destination.contenue.dans.l’en-tête.de.niveau.3.puis.consulter.une.table.de.routage.pour.déterminer.sur.quelle.interface.il.doit.sortir.Le.principe.de.base.de.Mpls.est.la.commutation.de.labels.qui.sont.de.simples.nombres.entiers.insérés.entre.les.en-têtes.de.niveaux.2.et.3..Les.routeurs.permutent.alors.ces.labels.tout.au.long.du.réseau.jusqu’à.desti-nation,.sans.avoir.besoin.de.consulter.les.en-têtes.IP.ni.les.tables.de.routage.C’est.un.protocole.utilisé.par.les.opérateurs.de.réseaux..Il.est.défini.par.la.Rfc.2547..Les.tunnels.sont.créés.entre.les.routeurs.Mpls.d’extrémités.appartenant.à.l’opérateur.et.dédiés.à.des.groupes.fermés.d’abonnés,.qui.constituent.ainsi.des.VPN.opérateurs.


47

5.3.3 Protocole de niveau 4 – SSL (Secure Sockets Layer)

Les.VPN.de.ce.type.s’appuient.sur. le.protocole.SSL.qui.est.couramment.utilisé.pour.la.sécurisation.des.échanges.sur.Internet..Il.est.implémenté.en.standard.dans.tous.les.navigateurs.Internet,.ce.qui.présente.le.gros.avantage.d’être.déjà.présent.sur.tous.les.postes.clients..Les.solutions.VPN.basées.sur.ce.protocole.sont.plus.simples.à.mettre.en.oeuvre.que.leurs.concurrentes.SSL.est.un.protocole.de.niveau.4.(transport).qui.est.utilisé.à.l’origine.par.une.application.pour.établir.un.canal.de.communication.sécurisé.avec.une.autre.application..Il.s’insère,.comme.IPsec.en.mode.transport,.entre.les.couches.TCP.et.IP.Il.offre.deux.grands. services.que. sont,. l’authentification.du. serveur.et.du.client. à. l’établissement.de. la.connexion.puis.le.chiffrement.des.données.durant.la.communication.Son.utilisation.SSL-VPN.est.flexible.dans.le.choix.du.chiffrement.et.de.l’authentification.qui.peut.être.basée.sur.des.mots.de.passe.fixes,.des.jetons.ou.encore.des.certificats.numériques.Ce.type.de.VPN.a.l’avantage.d’être.simple.à.utiliser.et.de.ne.pas.nécessiter.d’installation.de.logiciels.ou.de.hardwares.spécifiques.

5.4 Les différentes solutions VPN

Il.existe.trois.grandes.familles.de.solutions.VPN.:

5.4.1 Les offres VPN des opérateurs

Ce.sont.des.solutions.basées.sur.le.protocole.Mpls.ou.Mpls/IPsec..Tous.les.grands.fournisseurs.d’accès.du.marché.français.sont.en.mesure.d’offrir.ce.type.de.service.qui.oblige.cependant.à.ce.que.tous.les.sites.du.VPN.soient.connectés.par.leur.intermédiaire.

5.4.2 Les solutions commerciales

Elles.sont.principalement.sous.la.forme.de.boîtiers.dédiés.à.cette.fonction,.mais.on.les.trouve.également.en.version.logiciel.à.installer.sur.des.serveurs..Tous.les.grands.acteurs.du.monde.des.réseaux.et/ou.de.la.sécu-rité.possèdent.des.offres.de.ce.type..Elles.sont.très.souvent.basées.sur.les.protocoles.IPsec.ou.SSL.installées.sur.des.noyaux.«.Linux.».sécurisés.et.administrables.par.le.biais.d’interfaces.Web..Ce.sont.également.quasi.systématiquement.des.firewalls.et.des.routeurs..A.la.demande.du.marché,.ces.boitiers.intègrent.de.plus.en.plus.souvent,.sous.forme.d’options.payantes,.des.fonctions.complémentaires.comme.le.filtrage.anti-virus,.anti-spam,.la.détection.d’intrusion,.etc.

5.4.3 Les solutions logiciel libre.

Elles.existent.sous.la.forme.de.distributions.dédiées,.généralement.basées.sur.la.version.BSD.de.Linux,.et.utilisant.majoritairement.les.mécanismes.d’IPsec..Elles.sont.développées.et.maintenues.par.les.communau-tés.du.monde.du.libre.ou.parfois.par.de.grandes.institutions.publiques..C’est.d’ailleurs.le.cas.du.Ministère.de.l’Education.Nationale.avec.les.solution.AMON.et.EOLE..Comme.pour.les.solutions.commerciales,.à.qui.elles.servent.d’ailleurs.souvent.de.base,.elles.peuvent.intégrer,.sous.forme.de.modules.complémentaires,.toutes.les.fonctionnalités.liées.à.la.sécurité.et.au.contrôle.des.réseaux..Les.deux.solutions.libres.les.plus.utilisées.dans.le.monde.de.l’enseignement.sont.IpCop.et.PfSense.


48

➜.5.5 Recommandations

5.5.1 Support d‘interconnexion

La.structuration.des.établissements.en.EPLEFPA.multi.sites.impose.de.prévoir.leur.interconnexion..La.solu-tion.la.plus.efficace.et.la.plus.sécurisée.consiste.à.mettre.en.place.de.liaisons.dédiées.couramment.appelées.liaisons.louées.par.les.opérateurs,.mais.leurs.coûts.sont.très.élevés.Cet.aspect.nous.conduit.à.recommander.l’utilisation.des.liaisons.Internet.comme.support.d’interconnexion.des.différents.sites.de. l’EPL..L’usage.d’Internet.pose.de.gros.problème.de.confidentialité.et.de.sécurité.dans.la.mesure.ou.c’est.un.réseau.public.ou.l’information.circule.en.clair..Son.usage.impose.donc.la.mise.en.œuvre.d’une.solution.de. type.RPV.(VPN).permettant.de.garantir. la. sécurité.et. la.confidentialité.des.échanges.entre.les.réseaux.de.l’établissement.L’usage.d’Internet.pour.interconnecter.des.réseaux.locaux.génère.des.flux.d’informations.émises.sensible-ment.égaux.aux.flux.d’informations.reçues..Les.liaisons.Internet.de.type.ADSL.ne.sont.donc.pas.adaptées.à.ce.cas.et.doivent.être.remplacées.par.des.liaisons.de.type.SDSL.qui.offrent.un.débit.identique.en.émission.comme.en. réception.. L’utilisation.de.connexion.par. fibre.optique. sera.également.envisageable.dans. le.futur.L’utilisation.d’Internet.comme.support.d’un.réseau.privé.virtuel.impose.bien.évidemment.que.chacun.des.sites.soit.directement.adressable.sur.Internet.et.que.chaque.connexion.SDSL.soit.assortie.d’une.ou.plu-sieurs.adresses.IP.fixes.Une.attention.particulière.devra.être.apportée.à.la.qualité.de.la.liaison.Internet.en.terme.de.garantie.de.service..Il.sera.indispensable.de.souscrire.une.offre.SDSL.dont.le.débit.est.garanti.par.l’opérateur..En.effet,.la.plupart.des.débits.annoncés.dans.le.cadre.des.offres.commerciales.sont.des.débits.crêtes.(maximum).ne.faisant.l’objet.d’aucune.obligation.contractuelle..Dans.le.même.esprit,.il.faudra.définir.précisément.le.temps.de.rétablissement.maximum.de.la.liaison.en.cas.de.coupure.grâce.à.une.clause.communément.appe-lée.GTR.(Garantie.du.Temps.de.Rétablissement).dans.les.contrats.des.opérateurs.En.résumé,.une.liaison.SDSL.à.débit.garanti.de.4.Mbps.avec.une.GTR.de.4.heures.doit.constituer.une.cible.raisonnable.à.atteindre.sur.les.sites.principaux.des.EPLEFPA.

5.5.2 Type de Réseau Privé Virtuel

La.mise.en.place.de.RPV.entre.les.sites.d’un.même.EPL.ainsi.qu’entre.des.utilisateurs.nomades.et.le.réseau.de.l’établissement.est.impérative.

5.5.2.1 Les RPV inter sitesLes.réseaux.privés.virtuels.permettant. l’interconnexion.des.sites.d’un.établissements.seront. impérative-ment.de.niveau.3.Les.opérateurs.offrent.souvent.des.solutions.clefs.en.main.intéressantes.basées.pour.la.plupart.sur.le.proto-cole.Mpls..Toutefois,.les.connexions.Internet.des.établissements.sont.pour.la.plupart.gérées.dans.le.cadre.de.marchés.publics.régionaux.conduisant.à.des.changements.réguliers.d’opérateurs..Les.solutions.de.ce.type.sont.donc.à.éviter.Nous.recommandons.la.mise.en.œuvre.de.réseaux.privés.virtuels.de.niveau.3.basés.sur.le.protocole.IpSec.à.partir.d’équipements.installés.dans.l’établissement.

5.5.2.2 Les RPV nomadesL’accès.à.des.ressources.de.l’établissement.depuis.Internet.par.des.postes.isolés.s’effectuera.impérative-ment.par.une.solution.de.RPV.de.niveau.3.ou.4.permettant.d’établir.une.connexion.sécurisée.avec.l’équi-pement.cité.au.paragraphe.précédent.Dans. le.cas.d’une.solution.technique.gérée.par. l’établissement,.nous.recommandons. l’usage.du.logiciel.libre.et.gratuit.OpenVpn.qui.permet.l’utilisation.de.postes.nomades.Windows,.Linux.ou.MacOS.


49

5.5.3 Solutions techniques

Les.réseaux.privés.virtuels.sont.ordinairement.gérés.par.les.Firewall.mis.en.place.pour.sécuriser.l’accès.à. Internet..Ces.dispositifs.sont.souvent.de.type.tout.en.un.et.centralisent. toutes. les. fonctions. liées.à. la.gestion.d’Internet.(RPV,.Proxy,.filtrage,…)..Comme.nous.l’avons.vu.précédemment,.il.en.existe.principa-lement.deux.grands.types,.des.solutions.commerciales.généralement.sous.forme.de.boitier.dédié.appelé.«.appliance.».et.des.solutions.issues.du.monde.du.logiciel.libre.Un.certain.nombre.de.régions.ont.pris.en.charge.la.sécurisation.de.l’accès.Internet.dans.le.cadre.d’un.mar-ché.régional.souvent.connexe.à.celui.des.liaisons.Internet..Dans.ce.cas,.ils.ont.souvent.déployé.des.boitiers.«.appliance.».qui.permettent.toujours.la.mise.en.œuvre.de.RPV..L’établissement.doit.alors.se.retourner.vers.l’opérateur.de.la.solution.pour.lui.faire.configurer.ses.liaisons.inter-sites.et.ses.accès.nomades.D’autres.régions.ont.choisi.d’utiliser.les.solutions.logiciels.libres.finalisées.et.utilisées.par.le.Ministère.de.l’Éducation.Nationale.et.qui.permettent.également.la.mise.en.place.de.tous.les.types.de.RPV.Enfin,.pour.les.établissements.qui.ne.sont.pas.intégrés.dans.un.dispositif.régional,.nous.recommandons.l’usage. des. solutions. logiciels. libres. et. gratuites. dont. les. deux. principaux. représentants. sont. IpCop. et.PfSense..Elles.permettent.toutes.deux.la.mise.en.œuvre.de.RPV.IpSec.de.site.à.site.ainsi.que.la.gestion.d’ac-cès.nomades.à.partir.d’OpenVPN..De.plus,.ce.sont.des.solutions.éprouvées.et.complètes.permettant,.au.même.titre.que.les.solutions.commerciales,.la.gestion.de.tous.les.aspects.liés.à.la.sécurité.des.accès.Inter-net..Elles.nécessitent.toutefois.la.formation.d’un.administrateur.en.capacité.de.les.paramétrer.A.ce.jour,.la.solution.PfSense.est.plus.puissante.et.permet.une.gestion.plus.fine.mais.présente.l’inconvé-nient.de.ne.pas.être.traduite.en.français.et.de.nécessiter.un.administrateur.de.réseau.compétent.La.solution.IpCop.est.quand.à.elle.traduite.et.plus.simple.à.paramétrer..Elle.est.donc.conseillée.dans.les.éta-blissements.de.petite.ou.moyenne.taille.disposant.d’un.administrateur.peu.ou.pas.spécialisé.dans.le.monde.des.réseaux.et.de.leur.sécurisation.

6 Sécurité des réseaux

6.1 Notions de sécurité informatique

La.sécurité.Informatique.a.pour.principal.objectif.la.protection.de.l’information.contenue.dans.les.systèmes.et.des.services.permettant.d’y.accéder.contre.les.désastres,.les.erreurs.et.les.manipulations.illicites.La.mise.en.place.d’une.politique.de.sécurité.des.systèmes.d’information.(PSSI).consiste.à.identifier.ce.qui.doit.être.protégé.et.comprendre.les.risques.encourus.afin.de.mettre.en.place.les.bonnes.parades.en.iden-tifiant.les.solutions.organisationnelles,.en.choisissant.les.bonnes.solutions.techniques.puis.en.contrôlant.régulièrement.sa.mise.en.œuvre.

6.1.1 Les principes

l. Le.point.faible.:.la.sécurité.peut.être.comparée.à.une.chaîne.tributaire.de.son.maillon.le.plus.faible.et.doit.donc.être.abordée.dans.sa.globalité.en.prenant.en.compte.les.aspects.humains,.organisationnels,.tech-niques.et.réglementaires.l. La.proportionnalité.:. le.niveau.et. le.coût.de. la.protection.doivent.correspondre.à. l’importance.et.à. la.valeur.de.l’information.à.protéger.pour.la.durée.strictement.nécessaire.

6.1.2 Les critères de sécurité

La.sécurité.informatique.repose.essentiellement.sur.quatre.critères.universellement.reconnus.qui.permet-tent.de.définir.pleinement.les.besoins.:•.La.confidentialité.:.l’information.ne.peut.être.divulguée.qu’aux.personnes.autorisées,•.La.disponibilité.:.l’information.doit.être.accessible.aux.personnes.autorisées.quand.elle.leur.est.utile,


50

•. L’intégrité.:. l’information.doit. être. exacte,. complète. et. n’avoir. fait. l’objet. d’aucune.modification.non.autorisée,•.La.preuve.:.les.accès.à.l’information.sécurisée.doivent.être.tracés.et.conservés.de.façon.exploitable.

6.1.3 L‘évaluation et l‘analyse des risques

Avant.de.sécuriser,.il.convient.de.déterminer.quelles.sont.les.informations.sensibles.dont.dispose.l’établis-sement.ainsi.que.leurs.degrés.respectifs.de.sensibilité.au.regard.des.critères.précédemment.énoncés.Cette.première.étape.réalisée,.il.est.alors.important.d’identifier.correctement.les.menaces.pouvant.peser.sur.les.informations.sensibles.identifiées..Les.plus.fréquentes.auxquelles.un.système.d’information.puisse.être.confronté.sont.:•.Un.utilisateur.du.système.:.une.grande.partie.des.problèmes.de.sécurité.informatique.est.généralement.dû.à.une.erreur.d’utilisation,•.Une.personne.malveillante.:.une.personne.externe.ou.interne.qui.accède.à.des.données.ou.à.des.pro-grammes.à.des.fins.étrangères.aux.besoins.du.système.d’information.(usage.commercial,.sabotage,…),•.Un.programme.malveillant.:.un.logiciel.destiné.à.nuire,.à.abuser.des.ressources.du.système.ou.à.accéder.à.des.données.non.autorisées.(virus,.chevaux.de.Troie,…),•.Un.sinistre.:.vol,.incendie,.dégât.des.eaux,.mauvaise.manipulation.ou.malveillance.entraînant.une.perte.de.matériel.et/ou.de.données.

6.1.4 Les objectifs et la politique de sécurité

A.l’issue.de.l’étape.d’identification.et.d’analyse.des.risques,.il.faut.définir.ses.objectifs.en.matière.de.PSSI..Ils.permettent.d’identifier.et.de.fixer.des.priorités.dans.les.actions.à.mener,.les.organisations.et.les.procédures.à.mettre.en.place.pour.prévenir.les.risques.énoncés.Le.respect.de.la.PSSI.du.Ministère.de.l’Agriculture.et.de.la.Pêche.est.le.préalable.à.la.déclinaison.d’une.politique.locale.Les.principaux.axes.concernent.en.général.:•.La.sensibilisation.et.la.formation.des.utilisateurs•.Le.respect.des.règles.juridiques.(CNIL,.droits.d’auteur,…)•.La.sécurité.physique.des.locaux.et.des.matériels•.La.gestion.des.droits.d’accès.aux.locaux,.aux.données,.au.réseau,…•.Les.procédures.de.sauvegarde,.de.gestion.des.mots.de.passe,…•.L’organisation.des.équipes.informatiques,.de.la.maintenance,…•.Les.procédures.de.contrôle•.Le.choix.et.la.mise.en.œuvre.des.principaux.dispositifs.techniques.comme.les.antivirus,.les.Firewall,.les.détecteurs.d’intrusion,.les.tunnels.VPN,.le.cryptage.des.données,…•.…

Enfin,.il.faut.toujours.considérer.que.la.sécurité.d’un.système.d’information.n’est.jamais.acquise,.qu’aucune.solution.technique.n’est.pérenne.et.que.les.erreurs.humaines.sont.toujours.possibles.Les.chapitres. suivants.abordent. les.différents.aspects. spécifiques.à. la. sécurisation.des. réseaux. informa-tiques.

6.2 Authentification

6.2.1 Définition/Enjeux

D’une.manière.générale,. l’authentification.est.la.procédure.qui.consiste,.pour.un.système.informatique,.à.vérifier.l’identité.d’une.entité.(personne,.ordinateur…),.afin.d’autoriser.l’accès.de.cette.entité.à.des.res-sources.(systèmes,.réseaux,.applications…).


51

Dans.ce.chapitre,.nous.nous.concentrerons.sur.l’authentification.d’un.individu,.l’identification.d’un.élé-ment.matériel.(ordinateur,.imprimante,…)..Ses.autorisations.d’accès.à.un.réseau.sont.étudiées.par.ailleurs.(adresse.IP,.DHCP,.Firewall,…)Nous.retiendrons.donc.la.définition.suivante.:.L’authentification.permet.de.vérifier.l’identité.d’un.individu,.a.l’instar.des.contrôles.d’identités.de.la.vie.courante.(aéroport,.douanes,…),.mais.sur.un.système.informa-tique.L’analogie.avec.un.contrôle.douanier,.nous.permet.de.bien.comprendre. la.distinction.entre. les. termes.identification,.authentification.et.autorisation.:•.l’identification.consiste.à.présenter.ses.papiers.d’identité•.l’authentification.consiste.à.vérifier.la.validité.de.ces.papiers.(auprès.d’une.base.nationale),.à.un.contrôle.visuel.(correspondance.des.photos)•.l’autorisation.de.passer.la.douane.est.accordée.ou.non,.selon.le.résultat.de.l’authentification.

La.mise.en.œuvre.d’un.système.d’authentification.permet.principalement.d’assurer.:•.La.confidentialité.:.seuls.les.utilisateurs.habilités.doivent.pouvoir.prendre.connaissance.d’une.information.ou.accéder.à.une.fonctionnalité.particulière,•.L’intégrité.et.la.non-répudiation,.qui.s’appuie.essentiellement.sur.la.signature.électronique.(quel.que.soit.son.procédé).et.garantit.l’envoi.et.la.réception.d’une.transmission,•.La.traçabilité.:.historique.et.auteur.des.interventions,•.La.lutte.contre.les.intrusions.:.hacking,.usurpation.d’identité,•.Un.certain.confort.:.personnalisation.d’interface,•.…

L’intérêt.de.l’authentification.est.indéniable,.mais.sa.mise.en.pratique.n’est.pas.une.évidence..Il.existe.de.nombreux.systèmes.différents,.que.nous.présenterons.plus.loin.et.qui.doivent.faire.face.aux.risques.sui-vants.:•.La.falsification•.L’oubli.ou.perte.des.informations.d’identification•.Le.contournement.du.système

Signalons.immédiatement.que.le.facteur.humain.est.la.principale.faille.d’un.système.d’authentification..Par.exemple,.un.utilisateur.confronté.à.une.multiplicité.d’identifiants.et.mots.de.passe.sera.tenté.de.les.écrire.sur.des.supports.accessibles.à.tous.

6.2.2 Schéma général


52

1.. Le.demandeur.demande.l’accès.à.la.ressource2.. L’authentificateur.demande.une.identification3.. Le.demandeur.prépare.les.informations.d’identification.(hachage,.cryptage)4.. Le.demandeur.envoie.les.informations.d’identification5.. l’authentificateur.vérifie.l’identité,.par.exemple.auprès.d’une.3e.entité.ou.d’une.base.de.données6.. L’authentificateur.confirme.l’authentification.et.donne.l’autorisation.d’accès.à.la.ressource7.. Le.demandeur.accède.à.la.ressource

6.2.3 Cryptage et authentification

Le.schéma.précédent.montre.qu’il.y.a.:•.D’une.part.des.échanges.d’informations.entre. les.différents.acteurs.du. système.d’authentification..Le.risque.est.alors,.qu’un.de.ces.échanges.soit.intercepté..Le.risque.est.particulièrement.important.lors.de.la.transmission.des.informations.d’identification.•.D’autre.part,.les.informations.complémentaires.nécessaires.aux.opérations.de.vérification.sont.stockées.par.exemple.dans.une.base.de.données..L’accès.à.ces.données.par.une.personne.malveillante.serait.catas-trophique.pour.le.système.Pour.ces.deux.raisons,.à.partir.d’une.certaine.exigence.de.sécurité,.les.systèmes.d’authentification.sont.généralement.couplés.à.une.ou.des.méthodes.de.cryptage.visant.à.rendre.impossible.la.lecture.directe.des.informations.stockées.ou.circulant.sur.les.réseaux.Trois.méthodes.de.cryptage.sont.principalement.employées.:•.Le.cryptage.symétrique.(ex.:kerberos)•.Le.cryptage.asymétrique.(ex.:.PGP)•.Le.hachage,.qui.est.une.méthode.destructive.(ex.:.MD5.ou.SHA)

6.2.4 Types d‘authentification

On.distingue.plusieurs.types.d’authentification.:•.Authentification.simple.:.elle.ne.repose.que.sur.un.seul.élément,.généralement.un.mot.de.passe.(qui.se.traduit.souvent.par.le.nom.d’un.enfant.ou.de.l’animal.domestique.préféré)..Elle.n’offre.qu’une.illusion.d’au-thentification.et.donc.quasiment.aucune.sécurité.•.Authentification.simple.élaborée.:.basée.sur.le.processus.nom.d’utilisateur/mot.de.passe..Elle.reste.la.plus.courante.et.consiste.à.définir.un.nom.utilisateur.et.un.mot.de.passe.associé.permettant.l’accès.à.un.espace.de.travail.(cas.typique.des.serveurs.de.fichiers).•.Authentification.«.forte.».:.les.techniques.d’authentification.dites.«.fortes.».combinent.l’utilisation.de.proto-coles.d’authentification.et.d’éléments.logiciels.ou.matériels.permettant.leur.mise.en.œuvre.:•.mots.de.passe.jetables.intégrant.une.composante.horaire,•.mots.de.passe.jetables.(type.S/Key,.par.logiciel.ou.calculette),•.certificats.numériques,•.cartes.à.puce.et.token.USB.•.Authentification.Biométrique.:.La.biométrie.est.une.technique.globale.visant.à.établir.l’identité.d’une.per-sonne.en.mesurant.une.de.ses.caractéristiques.physiques..Il.peut.y.avoir.plusieurs.types.de.caractéristiques.physiques,.mais.toutes.doivent.être.infalsifiables.et.uniques.pour.pouvoir.être.représentatives.d’un.et.un.seul.individu.

6.2.5 Authentification unique

L’authentification.unique.ou,.en.anglais,.Single.Sign-On.(SSO),.permet.à.un.utilisateur.de.ne.procéder.qu’à.une.seule.authentification.pour.accéder.à.plusieurs.applications.informatiques..Ce.mode.d’authentification.centralise.tous.les.accès.applicatifs.sur.une.seule.identification,.restreignant.ainsi.les.référentiels.d’authen-tification.


53

Il.y.a.trois.approches.pour.sa.mise.en.œuvre.:•.Approche.centralisée.:.l’authentification.se.fait.via.une.base.de.données.centralisée,.ou.plus.fréquemment.un.annuaire.de.la.famille.LDAP,.comme.dans.la.plupart.des.systèmes.d’exploitation.serveur.(Active.Direc-tory,.e-directory,.openLDAP).ou.les.web-sso.(LemonLDAP)•.Approche.fédérative.:.l’authentification.est.répartie.sur.plusieurs.entités.dont.chacune.gère.une.partie.des.données.de.l’utilisateur.mais.la.partage.avec.ses.entités.partenaires..Dans.ce.système,.chaque.utilisateur.peut.posséder.plusieurs.comptes.et.chaque.entité.conserve.la.maîtrise.de.sa.propre.politique.de.sécurité..Un.exemple.illustrant.ce.type.d’authentification.pourrait.être.un.ensemble.de.sites.marchands.indépen-dants.d’un.point.de.vue.commercial.et.organisationnel.mais.offrant.des.services.complémentaires.comme.la.location.d’une.voiture.au.travers.du.site.web.d’une.compagnie.aérienne..Liberty.alliance.est.certaine-ment.le.plus.connu.•.Approche.coopérative.:.l’utilisateur.d’un.service.s’authentifie.auprès.de.l’entité.à.laquelle.il.appartient.et.c’est.elle.qui.fournira.au.service.partenaire.les.attributs.dont.il.a.besoin.pour.lui.donner.l’accès.à.ses.ressources..Dans.ce.modèle,.chaque.partenaire.gère.sa.propre.politique.de.sécurité..Les.systèmes.les.plus.connus.sont.Shibboleth.et.Central.Authentification.Service.(CAS)

6.2.6 Méthodes d‘authentification

6.2.6.1 Authentification de baseInformations.pour.l’identification.:.mot.de.passe.ou.Login.+.mot.de.passeAuthentification.:.Vérification.du.couple.login/mot.de.passe.par.comparaison.avec.ces.mêmes.informations.stockées,.lors.de.la.création.du.compte,.dans.un.fichier.texte.ou.une.base.de.données.Cryptage.:.Aucun

Atouts Inconvénients

-.Très.simple.à.mettre.en.place -.Vulnérable.à.l’interception.de.trame,.car.mot.de.passe.en.clair.

6.2.6.2 Authentification digestInformations.pour.l‘identification.:.login.+.mot.de.passe.hachés,.par.exemple.avec.MD5.ou.SHAAuthentification.:.Le.hachage.est.comparé.avec.le.hachage.stocké,.lors.de.la.création.du.compte,.dans.un.fichier.texte.ou.une.base.de.données.Cryptage.:.MD5,.SHA,.hachage.non.réversible,.cela.signifie.par.exemple.qu’on.ne.peut.pas.retrouver.un.mot.de.passe.oublié


-.Simple.à.mettre.en.place-. le.mot.de.passe.n’est.pas.divulgué,.ni. stocké. en.clair. et. le.hachage. (non. réversible).ne.permet.pas.de. retrouver. en.cas.d’interception.du.message.

-.protection.contre.l’interception.fictive,.car.au.lieu.du.mot.de.passe,.c’est.le.hachage.qui.est.intercepté.et.qui.peut.être.réutilisé.

6.2.6.3 RadiusInformations.pour.l‘identification.:.login.+.mot.de.passe.hachés.Authentification.:.Le.hachage.est.comparé.avec.le.hachage.stocké,.lors.de.la.création.du.compte,.dans.une.base.de.données.Cryptage.:.Hachage


-.gestion.centralisées.des.utilisateurs-.interfaçage.avec.de.multiples.bases.de.données.

-.Pas.d’avantages.par.rapport.à.l’authentification.digest,.si.ce.n’est.la.nor-malisation.du.protocole.

6.2.6.4 NTLM (NT Lan Manager)Informations.pour.l‘identification.:.En.3.temps.:•.Envoi.du.login.et.hachage.(128.bits).du.mot.de.passe.sans.l’envoyer•.Réceptionne.un.nonce.(nombre.aléatoire).transmis.par.le.serveur.d’authentification.•.Crypte.le.nonce.avec.le.hachage.du.mot.de.passe.et.le.transmet.au.serveur.


54

Authentification.:.A.partir.du. login,. le.mot.de.passe.haché.de. l’utilisateur,. stocké. lors.de. la.création.du.compte.dans.la.base.SAM,..est.retrouvé,.puis.crypté.avec.le.nonce..Le.résultat.est.comparé.au.résultat.trans-mis.Cryptage.:.Hachage.128.bit


-.mot.de.passe.non.divulgué-.natif.sur.les.systèmes.windows.

6.2.6.5 PGP, SSH, SSLInformations.pour.l‘identification.:.Certificat.(clé.publique)Authentification.:.Le.certificat.peut.être.vérifié.auprès.d’une.autorité.de.certification.Les.réponses.sont.cryptées.avec.la.clé.publique.et.ne.pourront.par.conséquent.être.décryptées.qu’avec.la.clé.privée..Cette.dernière.n’étant.qu’en.possession.du.client,.le.décryptage.assure.l’identité.Généralement,.le.premier.échange.consiste.à.partager.une.clé.de.session.(symétrique).qui.servira.à.chiffrer.les.messages.ultérieurs,.car.l’utilisation.du.cryptage.asymétrique.est.relativement.lent.et.n’est.réservé.qu’au.cryptage.de.la.clé.de.session.ou.de.la.signature.d’un.message.Cryptage.:.Cryptage.asymétrique.(RSA).et.symétrique.(clé.de.session)


-.mot.de.passe.non.divulgué-.l’utilisateur.est.maître.de.ces.certificats.et.unique.détenteur.de.la.clé.privée.

-.les.clés.publiques.doivent.être.distribuées.à.toute.les.entités.en.commu-nication.

6.2.6.6 KerberosInformations.pour.l‘identification.et.authentification.:•.Le.client.demande.un.ticket.auprès.d’un.centre.de.distribution.de.clés.appelé.KDC.(Key.Distribution.Center)•.Ce.ticket.accompagné.d’une.clé.de.session.sont.transmis.au.client..Ils.sont.cryptés.avec.sa.clé.privée,.l’ensemble.des.clés.privées.des.clients.étant.stockées.sur.le.KDC..Le.KDC.fournit.également.cette.clé.de.session.à.un.serveur.nommé.TGS.(ci-après)..Elles.est.évidemment.cryptée.avec.la.clé.privée.du.TGS.•.le.décryptage.du.ticket.et.de.la.clé.de.session.assure.l’authentification.du.client.•.le.client.peut.alors.contacter.le.service.d’émission.de.tickets,.le.TGS.(Ticket-Granting.Service),.et.doit.lui.fournir.la.clé.de.session.cryptée.avec.la.clé.privée.du.TGS.reçue.précédemment.du.KDC..Le.décryptage.de.cette.clé.permettra.d’authentifier.le.TGS..Le.TGS.pourra.alors.fournir.des.tickets.pour.divers.services.sur.présentation.du.ticket.reçu.du.KDC,•.le.client.reçoit.de.la.même.façon.qu’avec.le.KDC.une.nouvelle.clé.de.session.et.un.ticket.destinés.au.service.désiré.•.le.client.contacte.le.service.en.lui.fournissant.le.ticket.et.la.clé.de.session.obtenus.du.TGS.Cryptage.:.Cryptage.symétrique.:.clé.privée.et.génération.de.clés.de.session


-.durée.de.validité.des.tickets.limitée-.natif.à.partir.de.windows.2000.et.multi-système-.Gestion.centralisée.des.clés-.permet.la.mise.en.place.d’un.SSO,.en.effet.avec.une.seule.authentification.et.pour.la.durée.de.validité.du.ticket.fourni.par.le.kdc,.le.client.peut.accé-der.à.différents.services.

-.Nécessite.la.synchronisation.des.horloges.-.ensemble.des.clés.privées.stocké.en.un.lieu.unique..L’expo-sition.du.KDC.au.web.est.risqué,.par.conséquent.Kerberos.est.plutôt.déstiné.aux.intranets-.problème.de.compatibilités,.par.exemple.il.n’existe.pas.d’im-plémentation.de..kerberos.avec.ssh.sous.windows.

6.2.6.7 CAS (Central Authentification Service)C‘est.un.système.d‘authentification.unique.(SSO).pour.le.web.développé.par.l‘université.de.Yale,.qui.ne.gère.que.l‘authentification.au.sens.strict,.que.ce.soit.en.local.ou.proxy.(cas.des.portails)..Il.est.implémenté.sous.forme.de.servlets.(applications.JAVA)..Sa.distribution.est.composée.du.serveur.CAS,.des.clients.CAS.et.des.librairies.et.documentations.Comme.Kerberos,. il.y.a. la.notion.de.tickets.(qui.ne.transportent.aucune. information).appelés.„opaque.handles.«..Deux.tickets.sont.nécessaires.au.fonctionnement.de.base.:•.le.TGC.(Ticket.Granting.cookie).qui.est.un.cookie.de.session.transmis.par.le.serveur.CAS.au.navigateur.du.client.lors.de.la.phase.de.login,.via.HTTPS,•.le.ST.(Service.Ticket).qui.authentifie.une.personne.pour.une.application.web.donnée.


55

•.Si.il.y.a.utilisation.d’un.proxy.CAS,.deux.autres.tickets.sont.nécessaires.:•.le.PGT.(Proxy-Granting-Ticket).envoyé.par.le.serveur.CAS.à.une.application.web.proxy.CAS.permettant.à.celui-ci.de.demander.au.serveur.de.générer.un.Proxy.Ticket.pour.une.application.tierce.et.une.personne.identifiée.•.Le.PT.(Proxy.Ticket),.qui.authentifie.une.personne.pour.une.application.distante.et.dont.l’utilisateur.n’a.pas.l’accès.direct.Le.service.ayant.besoin.de.l’authentification.est.en.relation.directe.avec.le.serveur.CAS.lors.de.la.validation.du.ticket,.ce.qui.rend.possible.l’utilisation.de.ce.mécanisme.pour.transporter.des.informations.comme.les.droits,.les.attributs.(exemple.de.Shibbolet).

6.2.6.8 SHIBBOLETHC‘est. un. mécanisme. de. propagation. d‘identités. et. un. produit. open. source,. conçu. pour. répondre. aux.besoins.des.communautés.de.l‘enseignement.supérieur..Il.s‘appuie.sur.n‘importe.quel.système.d‘authenti-fication.web.déployé.dans.l‘établissement.:.Sso.web.(CAS.par.exemple),.Kerberos,.mod_auth.d‘Apache…C’est.aussi.une.extension.de.la.norme.SAML.(Security.Assertion.Markup.Langage).qui.est.un.ensemble.de.spécifications.définissant. la.manière.dont.des.services.peuvent.s’échanger.des. informations.de.sécurité.(authentification,.autorisation,.attributs),. indépendamment.des.technologies.utilisées.par.chacun.de.ces.services.(comme.SSO,.LDAP,.Kerberos,.etc),.lui.permettant.ainsi.d’améliorer.ses.fonctionnalités.de.fédéra-tion.d’identités.Il.s’interface.avec.la.plupart.des.référentiels.(LDAP.par.exemple).pour.récupérer.les.attributs.des.utilisa-teurs,.via.des.connecteurs.JDBC.(Java.DataBase.Connectivity).et.JNDI.(Java.Naming.and.Directory.Inter-face).

6.2.6.9 EAPC‘est.un.mécanisme.d‘identification.universel,.dont.la.signification.est.Extensible.Authentication.Protocol.(EAP)..Il.est.fréquemment.utilisé.dans.les.réseaux.sans.fil.Comme.son.nom.l’indique,.c’est.un.protocole.qui.définit.un.format.spécifique.d’échange.de.trames.d’au-thentification.sur.le.réseau.et.qui.est.extensible..C’est.à.dire.qu’il.comporte.des.méthodes.d’authentifica-tion.prédéfinies.(MD5,.OTP,.Generic.Token.Card,…).mais.que.d’autres.peuvent.y.être.ajoutées.sans.qu’il.soit.nécessaire.de.changer.de.protocole.Il.permet.à.chaque.extrémité.de.demander.l’authentification.pour.établir.la.communication..Le.protocole.EAP.est.communément.utilisé.avec.les.points.d’accès.réseau.compatible.802.1X.(AP.ou.Switch)..Les.stan-dards.wifi.WPA.et.WPA2.utilisent.impérativement.ce.protocole.comme.mécanisme.d’identification.

6.2.6.10 Biométrie•.L’empreinte.digitale.:.c’est.le.dessin.représenté.par.les.crêtes.et.sillons.de.l’épiderme.qui.est.unique.et.différent.pour.chaque.individu,.et.dont.on.extrait.les.principales.caractéristiques.en.numérisant.par.cap-teurs.optiques.ou.ultrasoniques.qui.sont.eux-mêmes.dotés.de.moyens.de.mesure.(battements.cardiaques,.dimensions,.etc..).vérifiant.la.vraisemblance.de.l’échantillon.examiné.•.L’Iris.:.la.personne.place.son.œil.face.à.la.caméra.qui.numérise.le.dessin.de.l’iris.formé.d’une.infinité.de.points.(spécifiques.à.chaque.œil.et.à.chaque.individu,.l’oeil.droit.étant.différent.du.gauche)..C’est.donc.une.technique.très.fiable.sur.le.fond,.mais.soumise.à.une.variation.suivant.les.reflets.liés.à.l’exposition.et.la.distance.oeil/caméra..Cette.numérisation.s’effectue.en.noir.et.blanc,.et.n’est.donc.pasn.détériorée.par.l’âge.•.La.rétine.:.c’est.un.balayage.de.la.rétine.effectué.à.très.coute.distance.(moins.de.trente.centimètres.et.donc.contraignant),.qui.s’appuie.sur.le.dessin.formé.par.les.vaisseaux.sanguins,.unique.aussi.pour.chaque.œil.et.chaque.individu.et.non.soumis.à.changement.lors.de.la.vieillesse.•.la.reconnaissance.vocale.:.c’est.un.ensemble.de.facteurs.physiologiques.et.comportementaux.•.De.nouvelles.technologies.sont.à.l’étude,.comme.l’ADN,.la.plus.fiable.mais.qui.verra.difficilement.le.jour.pour.des.raisons.identitaires.


56

6.2.7 Faut-il toujours s‘authentifier ?

Si.s‘authentifier.est.une.exigence.de.sécurité.imposée.par.une.entité.(site.web,.société,.application,…),.l‘individu.qui.s‘authentifie.doit.être.à.même.de.juger.de.la.pertinence.du.système.et.d‘identifier.lui-même,.avec.certitude,.son.interlocuteur.Par.conséquent,.accepter.un.système.d‘authentification.qui.exige.des.informations.personnelles.ne.doit.pas.être.systématique.mais.accordé.uniquement.si.l‘interlocuteur.est.connu.et.les.mesures.mises.en.place.proportionnelles.aux.risques.courus.

➜.6.2.8 Recommandations

Les.recommandations.relatives.à.l’authentification.s’entendent.dans.le.cadre.de.l’application.de.la.politique.de.sécurité.des.systèmes.d’information.(PSSI).du.MAAP.pour.les.accès.relevant.de.la.compétence.de.l’éta-blissement.Les.accès.depuis.internet.se.feront.impérativement.dans.le.cadre.des.réseaux.privés.virtuels.abordés.au.chapitre.5.concernant.l’interconnexion.des.réseaux.Les.accès.depuis.des.périphériques.nomades.seront.gérés.selon.les.recommandations.effectuées.au.cha-pitre.6.5.relatif.à.la.sécurisation.des.accès.nomades.Le.mode.d’authentification.retenu.dans.le.cadre.des.postes.du.réseau.local.de.l’établissement.sera.du.type.authentification.élaborée..Chaque.utilisateur.possédera.un.identifiant.unique.et.personnel.associé.à.un.mot.de.passe.répondant.strictement.aux.critères.définis.dans.la.PSSI.du.ministère.L’authentification. sera. assurée. exclusivement. par. un. ou. plusieurs. serveurs. suivant. la. configuration. du.réseau.local..Ce.qui.signifie.que.les.postes.utilisateurs.n’hébergeront.aucun.compte.utilisateur.autre.que.celui.d’administrateur.nécessaire.à.son.installation.et.à.sa.configuration..Toutefois,.les.ordinateurs.portables.amenés.à.fonctionner.en.dehors.du.réseau.local,.posséderont.bien.évidemment.un.compte.utilisateur.local.qui.devra.également.répondre.aux.critères.de.la.PSSI..Ce.type.d’équipement.pourra.également.utiliser.avan-tageusement.un.dispositif.d’authentification.forte.de.type.biométrique.comme.les.lecteurs.d’empreintes.digitales.qui.les.équipent.fréquemment.Les.serveurs.d’authentification.utilisent.des.annuaires.comportant. toutes. les. informations.sur. les.utilisa-teurs.ainsi.que.leur.mots.de.passe.sous.forme.chiffrés..Ils.sont.interrogés.par.les.postes.clients.au.moment.de.l’ouverture.d’une.session..Les.établissements.utilisent.actuellement.différents.types.d’annuaire.ce.qui.conduit.à.la.double.recommandation.suivante.:•.La.famille.commerciale.MicroSoft.Windows.basée.sur.les.annuaires.de.type.Active.Directory.exploitant.le.protocole.Kerberos.•.La.famille.issue.du.monde.du.logiciel.libre.basée.sur.les.annuaires.de.type.LDAP.ou.sur.le.logiciel.libre.samba.et.exploitant.les.protocoles.SSL,.TLS.ou.Kerberos.

En.résumé,.l’authentification.doit.impérativement.être.centralisée.sur.des.serveurs.d’annuaire,.basée.sur.un.couple.identifiant/mot.de.passe.unique.pour.chaque.utilisateur,.strictement.personnel,.respectant.les.critères.de.la.PSSI.et.ne.circulant.pas.en.clair.sur.le.réseau.local.

6.3 Firewall

6.3.1 Concepts/Enjeux

Tous.les.établissements.possèdent.un.réseau.local.et.disposent.d‘un.accès.à.Internet.pour.communiquer.avec.l‘extérieur..Cette.ouverture.est.une.porte.permettant.potentiellement.de.pénétrer.le.réseau.local.pour.y.accomplir.des.actions.non.désirées.Le.Firewall.est.un.dispositif.matériel.ou.logiciel.qui.permet.de.séparer.des.réseaux.puis.de.définir.et.de.contrôler.des.règles.de.communication.entre.eux..En.français,.le.terme.de.pare-feu.est.utilisé..Il.symbolise.une.porte.ou.un.mur.empêchant.les.flammes.de.se.propager.vers.des.zones.à.protéger..Il.est.habituelle-ment.représenté.sur.les.schémas.informatiques.par.un.mur.de.briques.


57

Cet.outil.permet.de.sécuriser.au.maximum.le.réseau.local.de.l‘établissement.en.détectant. les.tentatives.d‘intrusion.pour.y.parer.au.mieux,.mais.également.en.restreignant.les.accès.entre.les.sous-réseaux,.quand.il.en.existe,.et.Internet..C‘est.donc.une.véritable.tour.de.contrôle.du.trafic.qui.permet.de.s‘assurer.que.l‘utilisation.des.réseaux.correspond.à.celle.pour.laquelle.ils.ont.été.prévus.

6.3.2 Principes de fonctionnement

Le.pare-feu.contrôle.le.trafic.entre.différentes.zones.de.différents.niveaux.de.confiance.en.filtrant.les.flux.de.données.qui.transitent.entre.elles..Les.zones.les.plus.courantes.sont.:•.Le.réseau.local.totalement.contrôlé.(confiance.élevée).:.zone.du.réseau.local.pour.laquelle.les.règles.de.sécurité.sont.définies.et.appliquées.(accès.aux.ordinateurs,.logiciels.installés,.mots.de.passe…)..Dans.un.établissement,.cette.zone.correspond.habituellement.au.réseau.administratif..Elle.peut.également.concer-ner.la.totalité.du.réseau.local.dans.la.mesure.où.une.politique.de.sécurité.y.est.appliquée.•.Le.réseau.local.partiellement.contrôlé.(confiance.partielle).:.zone.du.réseau.local.pour.laquelle.l’applica-tion.des.règles.de.sécurité.ne.peut.être.totalement.garantie..Dans.un.établissement,.cette.zone.correspond.habituellement.au.réseau.pédagogique.•.La.DMZ.(zone.à.risque).:.ce.sigle.qui.signifie.DeMilitarized.Zone,.désigne.une.zone.isolée.sur.le.réseau.local.hébergeant.des.applications.mises.à.disposition.du.public..Elle. fait. ainsi.office.de. «.zone. tampon.».entre.le.réseau.à.protéger.et.le.réseau.hostile.et.accueille.habituellement.des.serveurs.qui.ont.besoin.d’être.accessibles.de.l’extérieur.(web,.messagerie,.ftp…).•.Le.réseau.sans.fil.(confiance.faible).:.ce.type.de.réseau.peut,.par.définition,.être.écouté.à.distance..Le.contrôle.d’accès.y.est.donc.très.délicat.à.mettre.en.œuvre,.ce.qui.nécessite.son.isolement.vis.à.vis.du.réseau.local.•.Le.réseau.Internet.(confiance.nulle)

Le.pare-feu.filtre.les.échanges.entre.les.zones.grâce.à.des.règles.définies.par.la.politique.de.sécurité.de.l’établissement..Il.existe.principalement.deux.types.de.politique.de.sécurité.:•.«.Tout.ce.qui.n’est.pas.explicitement.autorisé.est.interdit.»,.seules.les.communications.ayant.été.explicite-ment.déclarées.sont.autorisées.•.«.Tout.ce.qui.n’est.pas.explicitement.interdit.est.autorisé.»,.seules.les.communications.ayant.été.explici-tement.déclarées.sont.interdites.La.première.politique.est. la.plus.sûre,.mais. la.plus. lourde.à.gérer.car. il. faut.définir.de.façon.précise.et.exhaustive.les.besoins.en.communication.

La.mise.en.œuvre.de.la.politique.choisie.s’appuie.habituellement.sur.trois.règles.prédéfinies.qui.permettent.:•.D’autoriser.la.demande.de.connexion.(allow).;•.De.bloquer.la.demande.de.connexion.(deny).;•.De.rejeter.la.demande.de.connexion.sans.en.avertir.l’émetteur.(drop).

Ce.filtrage.peut.s’effectuer.selon.plusieurs.critères.dont.les.plus.courants.sont.:•.L’origine.ou.la.destination.(adresse.IP,.ports,.protocoles,.carte.réseau…)•.Les.options.contenues.dans.les.données.(fragmentation,.validité…)•.Les.données.elles-mêmes.(taille,.correspondance.à.un.motif,…)•.Les.utilisateurs.


58

6.3.3 Types de filtrages

6.3.3.1 Firewall personnelLorsque.la.zone.protégée.se.limite.à.l‘ordinateur.sur.lequel.il.est.installé,.on.parle.de.Firewall.personnel..Il.contrôle.alors.l‘accès.au.réseau.des.applications.installées.sur.la.machine,.protège.des.attaques.du.type.cheval.de.Troie.et.empêche.l‘ouverture.non.sollicitée.d‘applications..Il.est.installé.par.défaut.sur.les.princi-paux.systèmes.d‘exploitation.récents.(XP,.Vista,.Linux,.Mac.OsX).

6.3.3.2 Firewall StatelessC‘est.le.plus.ancien.des.systèmes.de.filtrage.des.pare-feu..Il.fonctionne.sur.un.principe.de.«.Filtrage.simple.des.paquets.»..Il.analyse.chaque.paquet.de.chaque.zone.du.Firewall.et.le.compare.à.une.liste.préconfigurée.de.règles.Ce.système.est.relativement.lourd.à.gérer.pour.l‘administrateur.qui.est.rapidement.obligé.de.définir.un.grand.nombre.de.règles.qui.sont.autant.d‘ouvertures.potentielles..De.plus,.il.est.relativement.sensible.à.certains.types.d‘attaques.qui.saturent.les.capacités.de.traitement.du.pare-feu.

6.3.3.3 Firewall statefulC‘est.une.amélioration.du.système.de.filtrage.précédent..Il.fonctionne.sur.un.principe.de.«.Filtrage.dyna-mique.paquets.».ou.de.«.Filtrage.de.paquets.avec.état.»..Il.ajoute.au.filtrage.simple.des.paquets.un.contrôle.de.cohérence.avec.l‘état.des.connexions.en.cours.sur.le.pare-feu.ainsi.qu‘une.vérification.sur.l‘ordre.des.paquets.à.l‘intérieur.de.chacune.d‘elles.Ce.système.est.plus.performant.que.le.filtrage.simple.de.paquets.mais.il.ne.protège.pas.contre.des.attaques.dirigées.vers.les.failles.de.sécurité.applicatives.qui.représentent.une.part.importante.des.risques..Enfin.les.protocoles.maison.utilisant.plusieurs.flux.de.données.ne.passeront.pas,.puisque.le.système.de.filtrage.dyna-mique.n‘aura.pas.connaissance.du.protocole.

6.3.3.4 Firewall ApplicatifsC‘est.un.système.de.filtrage.réalisé.au.niveau.de.la.couche.Application..Il.vérifie.la.conformité.du.paquet.avec. le.protocole.attendu.. Il.permet,.par.exemple,.de.vérifier.que.seul.du.HTTP.passe.par. le.port.TCP.80..Ce.mode.de.fonctionnement.suppose.donc.une.bonne.connaissance.des.applications.présentes.sur.le.réseau.ainsi.que.de.la.manière.dont.elles.structurent.les.données.échangées.(ports,.etc.)..Les.pare-feu.appli-catifs.sont.également.appelés.passerelles.applicatives.ou.proxys.applicatifs.La.finesse.d‘analyse.des.paquets.rend.ce.système.performant.mais.très.gourmand.en.temps.de.calcul.dès.que.le.débit.devient.très.important..Ce.type.de.pare-feu.doit.connaitre.toutes.les.règles.des.protocoles.qu‘il.doit.filtrer,.ce.qui.peut.poser.des.problèmes.d‘adaptabilité.à.de.nouvelles.applications.

6.3.3.5 Firewall identifiantsC‘est.un.système.de.filtrage.qui.s‘appuie.sur.l‘identification.des.utilisateurs.associés.aux.connexions.qu‘il.filtre..Ce.système.récent.permet.à.l‘administrateur.d‘utiliser.comme.critère.de.filtrage.les.noms.des.utilisa-teurs.en.lieu.et.place.des.traditionnelles.adresses.IP.

6.3.3.6 Extension des fonctionnalitésLes.pare-feu.récents.embarquent.de.plus.en.plus.de.fonctionnalités.avancées.visant.à.les.transformer.en.des.produits.réseaux.«.tout.en.un.»..Elles.sont.souvent.proposées.sous.forme.d‘options.pour.les.produits.com-merciaux.ou.sous.forme.d‘.«.add-on.».pour.les.solutions.logiciels.libres..Les.options.les.plus.courantes.sont.:•.Filtre.anti-spam,•.Filtre.antivirus,.anti-spyware,•.Serveurs.de.VPN.IPsec,.PPTP,.L2TP,•.Identification.des.connexions,•.Serveurs.de.connexions.(telnet,.SSH),.de.transfert.de.fichier.(SCP),•.Interface.de.configuration.Web,•.Serveur.mandataire.(«.proxy.».en.anglais),•.Filtrage.des.URL.accessibles,


59

•.Portail.captif,•.Système.de.détection.d’intrusion.(«.IDS.».en.anglais),•.Système.de.prévention.d’intrusion.(«.IPS.».en.anglais),•.…

6.3.4 Familles de Pare-feu

6.3.4.1 Solutions matérielles

Elles.se.trouvent.principalement.sous.deux.formes.:•.De.petits.boîtiers.dédiés.à.cette.fonction,.alors.appelés.«.Appliances.»,.fabriqués.et.commercialisés.par.des.sociétés.spécialisées.dans.la.sécurité.des.réseaux.informatiques.•.Intégrées.de.façon.plus.ou.moins.avancée.dans.les.routeurs.des.grands.constructeurs.d’équipements.de.connexion.aux.réseaux.Elles.fonctionnent.sur.le.principe.de.la.«.boîte.noire.».avec.une.intégration.parfaite.au.matériel..Leur.configu-ration.est.alors.réalisée.à.l’aide.d’une.interface.propriétaire.plus.ou.moins.ardue,.mais.qui.présente.l’avan-tage.d’intégrer.parfaitement.les.autres.fonctionnalités.du.boîtier..De.plus,.ces.solutions.étant.propriétaires.et.très.liées.au.matériel,.les.constructeurs.ont.toute.latitude.pour.produire.des.système.de.codes.«.signés.».rendant.ainsi.ces.Firewall.très.sûrs.En.revanche,.il.faut.savoir.que.l’on.est.totalement.dépendant.du.constructeur.du.matériel.pour.les.mises.à.jour,.les.fonctionnalités,.l’interface,.ce.qui.est.assez.contraignant..Par.exemple,.si.une.fonctionnalité.nous.intéresse.et.qu’elle.n’est.pas.implémentée.par.le.constructeur,.son.utilisation.est.totalement.impossible..Enfin,.la.compatibilité.entre.matériels.de.différents.constructeurs,.notamment.en.ce.qui.concerne.les.fonc-tions.de.VPN.(réseau.privé.virtuel).est.quasiment.nulle.. Il.est.donc. indispensable.de.bien.déterminer.à.l’avance.ses.besoins.et.de.choisir.le.matériel.avec.soin.

6.3.4.2 Solutions logicielles

Ces.solutions.sont.développées.dans.le.but.d‘être.installées.sur.des.serveurs.ordinaires.comportant.plu-sieurs.cartes.réseau.et.utilisés.comme.Firewall.Il. existe.bien.évidemment.des. logiciels.commerciaux.développés.et.commercialisés.par. les.principaux.acteurs.du.marché.du.logiciel.et.de.la.sécurité.informatique..L‘audience.de.cette.gamme.de.produit.reste.toutefois.limitée.dans.la.mesure.où.les.solutions.matérielles.évoquées.ci.dessus.leur.sont.très.souvent.pré-férées.La.très.grande.majorité.des.pare-feu.logicielle.sont.des.versions.libres.fonctionnant.sous.Linux..En.effet,.ce.système.d‘exploitation.(OS).offre.une.sécurité.réseau.plus.élevée.et.un.contrôle.plus.adéquat.en.embar-quant.de.façon.native.un.Firewall.au.niveau.de.son.noyau.Les.principaux.pare-feu.libres.sous.Linux.sont.:•.Ipchains.avec.le.noyau.Linux.2.2•.Iptables/Netfilter.sous.Linux.2.4.&.2.6•.Packet.Filter.(PF).sous.Linux.BSD•.IP.Filter.(IPF).sous.Linux.BSD.et.Solaris•.IP.Firewall.(IPFW).sous.FreeBSD•.NuFW.extension.de.NetFilterCes.outils.offrent.un.niveau.de.sécurité.très.élevé,.mais.leur.configuration.n’est.pas.très.conviviale.et.néces-site.l’acquisition.de.compétences.importantes.

Cet. inconvénient. important. a. conduit. la. communauté.des.développeurs.de. logiciels. libres. à.mettre. au.point.des.distributions.Linux.dédiées.qui.sont.administrées.et.configurées.par. le.biais.d’interfaces.Web.conviviales..Les.principales.sont.à.ce.jour.:•.SmoothWall.:.Cette.distribution.libre.est.conçue.pour.offrir.toutes.les.fonctionnalités.d’un.Firewall.tout.en.fonctionnant.sur.une.architecture.de.type.PC..Il.en.existe.aujourd’hui.plusieurs.déclinaisons,.dont.cer-taines.commerciales..On.la.trouve.également.sous.forme.de.boitiers.Appliances.


60

•.IPCop.:.Cette.distribution.est.issue.de.SmoothWall,.mais.se.développe.désormais.indépendamment.avec.une.philosophie.différente..Elle.gère. la.zone. Internet,.une.zone.LAN,.une.DMZ,.une.zone.Wifi.et.peut.assurer.les.fonctions.de.serveur.VPN,.Proxy,.DHCP,.DNS,.NTP..De.nombreux.modules.complémentaires.(Addons).lui.permettent.également.d’effectuer.du.contrôle.de.trafic,.d’accès,.de.contenus,.etc..Elle.n’existe.que.sous.la.forme.gratuite.et.présente.l’avantage.d’exister.en.version.française.•.m0n0wall.:.Elle.est.basée.sur.la.version.FreeBSD.de.Linux.et.assure.toutes.les.tâches.d’un.Firewall.sur.un.PC..Sa.configuration.est.réalisée.au.démarrage.par.des.pages.PHP.puis.stockée.au.format.XML..Elle.gère.également.les.VPN.et.embarque.en.plus.un.portail.captif..On.la.trouve.également.sous.forme.de.carte.élec-tronique.et.de.boitiers.Appliances.•.PfSense.:.C’est.une.distribution.libre.et.gratuite.dérivée.de.m0n0wall..En.plus.des.fonction.de.routage.et.de.Pare.feu,.elle.intègre.sous.forme.de.paquets.un.grand.nombre.de.fonctionnalités.complémentaires.dont.un.portail.captif..Elle.n’existe.qu’en.version.anglaise.Dans.le.monde.du.logiciel.libre.et.à.coté.de.ces.versions.Linux.très.populaires,.il.existe.quelques.Firewall.libres.fonctionnant.sous.Windows.comme.ISafer.


6.3.5.1 Configuration généraleComme.nous.venons.de.le.voir,.le.Firewall.permet.d’administrer.de.façon.précise.les.flux.circulant.entre.les.différentes.parties.d’un.réseau.et.plus.particulièrement.entre.le.réseau.local.et.Internet.

Sa.présence.est.donc.absolument.impérative.dans.chaque.établissement.disposant.d’un.accès.à.Internet..Il.sera.du.type.Firewall.Stateful.et.interdira.strictement.toute.connexion.en.provenance.d’Internet.et.à.des-tination.d’un.poste.ou.d’un.serveur.du.réseau.local..Il.permettra.les.connexions.sortantes.en.interdisant,.suivant.une.politique.définie.localement,.certains.protocoles.comme.ceux.liés.à.l’utilisation.des.logiciels.de.Peer.To.Peer.(emule,…).ou.des.messageries.instantanées.(MSN,…)..La.stratégie.la.plus.adaptée.consiste.à.n’autoriser.que.la.navigation.internet,.la.messagerie,.les.VPN,.puis.à.ouvrir.d’autres.usages.suite.aux.récla-mations.justifiées.des.utilisateurs.Lorsqu’un.réseau.Wifi.existe.dans.l’établissement,.il.est.séparé.du.réseau.câblé.conformément.au.recom-mandations.du.chapitre.4.et.les.flux.transitent.par.une.interface.dédié.du.Firewall.qui.les.contrôle.et.leur.applique.les.règles.définies.localement.Lorsqu’un.serveur.de. l’établissement.doit.être.accessible.depuis. le. réseau. Internet. sans.passer.par. l’en-tremise.d’un.serveur.de.VPN.(cf..chapitre.5),.il.doit.être.impérativement.positionné.dans.la.zone.appelée.DMZ..Les.usages.de.ce.type.doivent.toutefois.être.limités.dans.la.mesure.où.ils.accroissent.de.façon.signifi-cative.le.trafic.sur.la.liaison.Internet.de.l’établissement.au.détriment.des.usages.habituels..Pour.ce.type.de.service,.il.est.recommandé.de.prévoir.un.hébergement.externe.

6.3.5.2 Solutions techniquesComme. nous. l‘avons. déjà. vu. notamment. au. chapitre. 5,. les. Firewall. intègrent. généralement. un. grand.nombre.d‘autres.fonctions.et.appartiennent.principalement.à.deux.grandes.familles,.les.solutions.commer-ciales.généralement.sous.forme.de.boitier.dédié.appelé.«.appliance.».et.les.solutions.issues.du.monde.du.logiciel.libre.Un.certain.nombre.de.région.ont.pris.en.charge.la.sécurisation.de.l‘accès.Internet.dans.le.cadre.d‘un.mar-ché.régional.souvent.connexe.à.celui.des.liaisons.Internet..Dans.ce.cas,.ils.ont.souvent.déployé.des.solu-tions.du.type.«.appliance.».et.l‘établissement.doit.alors.se.retourner.vers.l‘opérateur.pour.lui.demander.de.les.configurer.Dans.les.régions.qui.ont.choisi.d‘utiliser.les.solutions.logiciels.libres.finalisées.et.utilisées.par.le.Ministère.de. l‘Éducation.Nationale,. l‘établissement.assume.généralement. lui.même. le.paramétrage.de. la. fonction.Firewall.Enfin,.pour.les.établissements.qui.ne.sont.pas.intégrés.dans.un.des.dispositifs.précédents,.nous.recomman-dons.l‘usage.des.solutions.logiciels.libres.et.gratuites.dont.les.deux.principaux.représentant.sont.IpCop.et.PfSense.qui.sont.des.solutions.éprouvées.et.complètes.permettant,.au.même.titre.que.les.solutions.com-


61

merciales,.la.gestion.de.tous.les.aspects.liés.à.la.sécurité.des.accès.Internet..Elles.nécessitent.toutefois.la.formation.d‘un.administrateur.en.capacité.de.les.paramétrer.Pour.ce.qui.concerne.la.fonction.de.Firewall.de.ces.deux.distributions,.la.principale.différence.consiste.dans.la.finesse.du.paramétrage.possible..IpCop.est.en.mesure.de.gérer.plusieurs.LAN.et.plusieurs.liaisons.Internet.mais.en.les.considérant.comme.un.ensemble.de.réseaux.de.confiance.(vert).et.un.ensemble.de.réseaux.dangereux.(rouge)..Les.règles.sont.alors.définies.entre.ces.ensembles.et.non.entre.les.interfaces..Dans.ce.cas,.nous. recommandons. l‘usage.de. l‘add-on. «.BOT.».qui.permet.de.définir.ces. règles.de. façon.simple.et.conviviale.PfSense.est.une.solution.plus.puissante.qui.permet.la.mise.en.place.de.règles.entre.n‘importe.laquelle.des.interfaces.du.Firewall,.ce.qui.peut.conduire.rapisement.à.une.grande.complexité.L‘autre.différence.majeure.concerne.l‘interface.et.la.documentation.qui.n‘existent.qu‘en.version.anglaise.pour.la.distribution.PfSense.alors.qu‘elle.est.traduite.pour.ce.qui.concerne.IpCop.Les.deux.solutions.permettent.également.la.gestion.d‘une.zone.démilitarisée.(DMZ).ainsi.que.d‘une.zone.WIFI.En.cohérence.avec.les.recommandations.du.chapitre.5,.la.distribution.PfSense.est.plutôt.adaptée.aux.éta-blissements.importants.comportant.plusieurs.sous.réseaux.(VLAN.niveau.3).et.souhaitant.mettre.en.place.une.gestion.précise.des.flux..Il.faudra.toutefois.disposer.d‘un.informaticien.familié.du.monde.des.réseaux.La. distribution. IpCop. sera. quand. à. elle. privilégiée. dans. les. établissements. souhaitant. une. gestion. plus.simple.des.flux.et.ne.disposant.pas.d‘un.administrateur.spécialiste.des.réseaux.

6.4 Filtrage Internet

6.4.1 Concept

Le.filtrage.d‘Internet.est.un.ensemble.de.techniques.visant.à.limiter.l‘accès.à.certains.sites.sur.le.réseau.Internet.Cette. limitation.d‘accès.peut. servir.à.empêcher.des.usages. illégaux,.à.protéger. les.mineurs.de.certains.contenus.inappropriés,.à.limiter.la.navigation.à.un.usage.professionnel.mais.également.parfois.à.censurer.certains.contenus.La.mise.en.place.de.solutions.de.filtrage.fait.désormais.partie.des.outils.de.bases.indispensables.à.la.protec-tion.du.système.d‘information,.au.même.titre.que.les.pare-feu.ou.antivirus.

6.4.2 Aspects juridiques

Le.droit.français.reconnaît.3.régimes.de.responsabilités.lors.d‘activités.scolaires.en.ligne.:

•.La.responsabilité.administrative,.dans.ce.cas.l’Etat.est.reconnu.responsable.lorsqu’une.faute.de.service.à.l’origine.du.préjudice.est.prouvée..Une.faute.de.service.résulte.d’une.mauvaise.organisation.ou.d’un.fonc-tionnement.défectueux,.c’est.à.dire.une.faute.que.n’importe.quel.fonctionnaire.aurait.commise.dans.les.mêmes.conditions..A.titre.d’exemple,.la.violation.par.un.établissement.scolaire.d’une.règle.de.droit.ou.une.négligence,.une.erreur,.une.omission.dans.le.fonctionnement.du.service.sont.des.situations.qui.engagent.la.responsabilité.administrative.•.La.responsabilité.civile,.dans.ce.cas.l’Etat.est.indirectement.reconnu.responsable.lorsqu’une.faute.person-nelle.d’un.enseignant.ou.d’un.personnel.de.la.communauté.éducative.à.l’origine.du.préjudice.est.prouvée..La.faute.personnelle.correspond.au.fait.commis.à.l’occasion.du.service,.mais.qui.peut.se.détacher.de.la.fonction..La.faute.résulte.non.pas.du.dysfonctionnement.du.service,.mais.du.comportement.individuel.de.l’agent.public,.de.son.humeur.ou.de.sa.volonté,.de.sorte.qu’un.autre.agent.dans.les.même.circonstances.aurait.pu.agir.autrement.•.La.responsabilité.pénale,.elle.est.engagée.lorsqu’un.agent.public.commet.une.infraction.définie.au.Code.pénal..Dans.ce.cas.il.ne.s’agit.plus.de.faute.de.service.ou.personnelle.mais.de.contravention,.délit.ou.crime.selon.la.gravité.des.faits.


62

L’administrateur.du.réseau.a.l’obligation.d’installer.et.de.maintenir.en.fonctionnement.des.dispositifs.de.filtrage.pour.limiter.l’accès.à.des.contenus.illégaux.et.doit.conserver.les.fichiers.de.journalisation.(appelés.log).pendant.une.durée.d’un.an.Le.ministère.de.l’Education.Nationale.édite.le.site.«.légamédia.».dédié.au.droit.sur.Internet.en.milieu..scolaire,.http://www.educnet.education.fr/legamedia/

6.4.3 Les besoins de filtrages

Internet.est.un.ensemble.inorganisé.d‘informations.de.valeurs.et.de.niveaux.très.variables.dont.certaines.sont. totalement. illégales.au. regard.du.droit.Français..Ces.dernières.doivent.être. inaccessibles.depuis. le.réseau.de.l‘établissement,.ce.qui.implique.la.présence.de.dispositifs.de.filtrage.des.accès.au.Net.Pour.toutes.les.autres.informations,. le.besoin.de.filtrage.dépend.d‘un.ensemble.de.paramètres.que.l‘on.peut.définir.de.la.façon.suivante.:•.Les.contenus.(légalité,.objectifs.pédagogiques,.travail.à.accomplir,.utilité.professionnelle,.etc.)•.Les.modalités.de.travail.(classes,.groupes,.CDI,.administration,.travail.personnel,.etc.)•.Les.utilisateurs.(Mineurs,.élèves.majeurs,.apprentis,.enseignants,.administratifs,.etc.)Les.besoins.de.filtrage.sont.donc.multiples.et.nécessitent.une.réflexion.préalable.qui.permettra.d’aboutir.à.une.politique.cohérente.concernant.TOUS.les.usagers.du.réseau.de.l’établissement.en.fonction.des.critères.pré-cités.La.mise.en.place.d’une.charte.d’utilisation.d’Internet.connue.de.tous.est.un.moyen.efficace.d’éducation.à.l’utilisation.du.réseau.ainsi.qu’un.outil.de.prévention.des.risques.La.nécessité.d’un.contrôle.des.accès.Internet.en.milieu.scolaire.est.une.évidence..Elle.passe.par.la.mise.en.œuvre.de.dispositifs.techniques.plus.ou.moins.complexes.qui.doivent.êtres.connus.de.tous.et.accompa-gnés.d’actions.visant.à.la.connaissance.et.au.respect.des.lois.

6.4.4 Le principe technique – Proxy

Pour.pouvoir.filtrer.les.requêtes.effectuées.par.un.utilisateur.depuis.un.ordinateur.du.LAN.vers.Internet.il.faut.disposer.d‘un.intermédiaire.capable.de.l‘analyser..C‘est.le.serveur.mandataire,.couramment.appelé.Proxy.Le.Proxy.est.donc.un.serveur.informatique.qui.a.pour.fonction.de.relayer.des.requêtes.entre.un.poste.client.et.un.serveur.sur.Internet..Ils.permet.d‘assurer.les.fonctions.suivantes.:•..la.mémoire.cache.qui.permet.d’accélérer.la.navigation.;•..la.journalisation.des.requêtes.qui.permet.la.surveillance.;•..la.sécurité.et.l’anonymat.des.postes.du.réseau.local.;•.le.filtrage.des.requêtes.

Il.en.existe.deux.grande.familles..La.première,.appelée.Proxy.générique,.sert.principalement.d’intermé-diaire.pour.les.requêtes.relatives.à.la.navigation.sur.Internet.et.fonctionne.donc.principalement.avec.les.protocoles.de.la.famille.http,.https.et.ftp..La.seconde,.appelée.Proxy.SOCKS,.est.beaucoup.moins.courante.mais.elle.élargit.ses.fonctions.de.mandataire.aux.protocoles.de.messageries,.messageries.instantanées,.etc.Les.Proxy.peuvent.fonctionner.en.mode.transparent,.c’est.à.dire.intercepter.et.traiter.automatiquement.toutes.les.requêtes.d’un.réseau.local,.ou.en.mode.explicite.qui.nécessite.une.configuration.du.navigateur.des.postes.clients.La.plupart.d’entre.eux.permettent.également.de.demander.aux.utilisateurs.de.s’authentifier.avant.la.naviga-tion,.ou.pour.certains,.de.récupérer.les.informations.d’authentification.auprès.du.réseau.local.Le.Proxy.est.un.élément.clef.de.la.sécurisation.des.systèmes.d’information.qui.est.très.souvent.intégré.aux.solutions.de.sécurisation.du.réseau.qu’elles.soient.matérielles,.logicielles.ou.sous.forme.de.distributions.Linux.dédiées.


63

6.4.5 Les types de filtrages

Le.filtrage.des.accès.peut.être.réalisé.suivant.différents.critères.:•.IP/DNS.:.Les.technologies.employées.peuvent.être.le.blocage.des.adresses.IP.par.un.routeur.et.la.redirec-tion.par.un.DNS..Le.filtrage.peut.être.fait.sur.des.adresses.de.machines,.sur.des.noms.de.domaine,.ou.bien.sur.des.numéros.de.port.correspondant.à.des.protocoles.connus.pour.la.communication.distribuée.entre.applications..Le.filtrage.peut.être.réalisé.avec.des.pare-feu.ou.des.proxys.•.Contenu.:.Le.filtre.de.contenu.permet.de.contrôler.l’utilisation.de.l’Internet.et.de.bloquer.l’accès.à.des.millions.de.sites.classés.par.catégories..On.peut.ainsi.augmenter.la.productivité,.minimiser.les.risques.de.poursuites,.préserver.la.bande.passante.et.prévenir.les.attaques.en.bloquant.les.fichiers.automatiquement.téléchargés.tels.que.Java,.ActiveX.ou.encore.les.cookies.•.Black.List/White.List.:.Une.liste.noire.est.un.ensemble.de.dossiers.classés.par.catégories.tels.que.forums,.blogs,.et.bien.d’autres,.dans.lesquels.on.trouve.des.listes.de.noms.de.domaines.ou.de.pages.web.auxquels.l’accès.est.bloqué..La.liste.blanche.quant.à.elle.est.le.contraire,.on.y.trouve.les.sites.et.pages.web.auxquels.les.usagers.ont.accès.•.Mots.clefs.:.Le.mécanisme.de.filtrage.empêche.l’accès.aux.pages.dont.l’adresse.et/ou.le.texte.contiennent.certains.mots..Les.«.listes.noires.».comprennent.par.exemple.des.mots.relatifs.à.la.sexualité,.au.jeu.en.ligne.ou.au.racisme..La.méthode.comporte.le.risque.d’un.taux.élevé.de.faux.positifs.(par.exemple,.si.un.centre.de.formation.veut.interdire.les.sites.pornographiques.à.ses.apprenants.et.que,.pour.cela,.il.interdit.l’accès.aux.pages.contenant.des.mots.relatifs.à.la.sexualité,.il.risque.aussi.de.bloquer.l’accès.à.des.informations.médicales).

6.4.6 Les outils de filtrage

6.4.6.1 Solutions matériellesComme.pour.les.Firewall.vus.au.chapitre.précédent,.elles.fonctionnent.sur.le.principe.de.la.«.boîte.noire.».avec.une.intégration.parfaite.au.matériel..La.fonction.de.serveur.mandataire.et.de.filtrage.est.intégrée.avec.les.autres.fonctions.de.sécurité.sur.le.même.boîtier..La.configuration.est.alors.réalisée.à.l‘aide.d‘une.inter-face.propriétaire.intégrant.parfaitement.toutes.les.fonctionnalités.de.la.solution.Les.outils.de.ce.type.sont.bien.évidemment.propriétaires.liant.l‘établissement.à.un.constructeur.en.terme.de.mises.à.jour,.de.fonctionnalités,.d‘interfaces,.etc..La.très.grande.majorité.des.boîtiers.de.sécurisation.de.réseaux.de.tous.les.grands.fabricants.et.éditeurs.de.ce.secteur.intègre,.souvent.sous.forme.d‘option,.un.serveur.Proxy.et.des.solutions.de.filtrage.des.accès.

6.4.6.2 Solutions logiciellesCe. type. de. solution. peut. être. installé. localement. sur. un. poste,. comme. dans. le. cadre. des. logiciels. de.contrôle.parental,.ou.des.serveurs.mandataires.permettant.ainsi.de.traiter.la.totalité.des.requêtes.émises.depuis.un.réseau.local..Nous.ne.traiterons.ici.que.de.la.seconde.famille.Il.existe.un.très.grand.nombre.de.logiciels.commerciaux.développés.et.commercialisés.par.les.principaux.acteurs.du.marché.du.logiciel.et.de.la.sécurité.informatique..Ils.présentent.en.général.les.mêmes.avantages.et.inconvénients.que.les.solutions.matérielles.évoquées.ci.dessus.La.plupart.des.distributions.Linux.dédiées.à.la.sécurité.informatique.et.qui.sont.évoquées.au.chapitre.sur.les.Firewall.intègrent.un.serveur.mandataire.et.des.fonctions.de.filtrage..Elles.utilisent.quasiment.toutes.les.outils.de.la.famille.Squid,.SquidGuard.et.DansGuardian.qui.sont.libres.et.distribués.selon.les.termes.de.la.licence.GNU.GPL.

•.Squid.est.un.Proxy.capable.d’utiliser.les.protocoles.FTP,.HTTP,.Gopher,.et.HTTPS..Il.intègre.toutes.les.fonctionnalités.d’un.serveur.mandataire.traditionnel.(cache,.filtrage,.journalisation,…).et.permet.de.gérer.l’authentification.au.sein.des.réseaux.de.types.Microsoft.•.SquidGuard.est.un.outil.permettant.de.filtrer.les.requêtes.suivant.un.ensemble.de.règles.(URL,.horaires,.utilisateurs,.type.de.fichiers,…)..Il.utilise,.pour.le.filtrage.des.URL,.le.principe.des.listes.blanches.et.listes.noires.et.notamment.celles.tenues.à.jour.par.l’université.de.Toulouse..Si.l’utilisateur.essaie.de.se.connecter.à.un.site.contenu.dans.une.liste.noire,.il.est.redirigé.vers.une.page.prédéfinie.par.l’administrateur.


64

•.DansGuardian.est.un.système.de.contrôle.de.contenu.qui.s’exécute.sous.Linux.et.Unix,.en.conjonction.avec.Squid..Il.utilise.plusieurs.méthodes.paramétrables.pour.déterminer.si.une.page.web.doit.être.bloquée..Parmi.elles.;.un.système.de.pondération.détecte.des.mots.interdits.dans.une.page,.et.lui.assigne.un.score.en.fonction.de.la.gravité.et.du.nombre.de.mots.détectés..DansGuardian.bloque.alors.les.pages.dont.le.score.dépasse.un.certain.seuil..Il.est.également.en.mesure.d’utiliser.des.listes.noires.d’URL.

6.4.7 Logs (cf. analyse réseau) – Traces/Archivages

Un.fichier.log.est.un.fichier.journal.au.format.texte.qui.pour.chaque.page.vue.sur.un.site.(pour.le.cas.d’un.fichier.log.d‘un.serveur.httpd).enregistre.un.certain.nombre.d’informations.(Nom.d‘utilisateur,.adresse.IP,.fichier.atteint.(hit),.date,.heure,…)..Ces.informations.sont.stockées.sur.une.ligne..Chaque.ligne.représente.un.accès.ou.à.une.tentative.d‘accès.à.une.page.d‘un.site.


6.4.8.1 Obligations légalesL’établissement.assume.la.responsabilité.des.élèves.qui.lui.sont.confiés..«.Il.doit.veiller.à.ce.que.ces.derniers.ne.soient.pas.exposés.à.subir.des.dommages,.et.n’en.causent.pas.à.autrui,.qu’il.s’agisse.d’autres.usagers.ou.tiers.au.service.»..Cela.vaut.pour.l’ensemble.des.activités.prises.en.charge.par.l’établissement.dont.l’usage.de.l’Internet..De.cette.obligation.de.surveillance.découle.le.règlement.intérieur.de.l’établissement.qui.doit.fixer.de.manière.simple.et.exhaustive.les.modalités.de.surveillance.des.élèves.dans.le.respect.des.droits.et.obligations.de.chacun.

Dans.les.établissements,.la.responsabilité.administrative.incombe.principalement.au.chef.d’établissement,.qui.en.tant.que.représentant.légal.doit.assurer.le.bon.ordre,.la.sécurité.des.biens.et.des.personnes,.l’applica-tion.du.règlement.intérieur.ou.l’organisation.du.personnel.lors.des.activités.en.ligne..A.cette.fin,.le.conseil.d’administration.de.l’EPLEFPA.votera.une.charte.d’utilisation.de.l’Internet.élaborée.par.l’établissement.et.qui.sera.annexée.au.règlement.intérieur.

En.complément,.l’administrateur.du.réseau.a.l’obligation.d’installer.et.de.maintenir.en.fonctionnement.des.dispositifs.de.filtrage.pour.limiter.l’accès.à.des.contenus.illégaux.et.doit.conserver.les.fichiers.de.journali-sation.pendant.une.durée.d’un.an..Ce.dispositif.technique.concerne.la.totalité.du.personnel.ainsi.que.tous.les.apprenants.utilisant.l’accès.Internet.de.l’établissement.

La.présence.d’un.dispositif.de.filtrage.et.d’archivage.des.accès.Internet.complété.par.une.charte.informa-tique.est.donc.absolument.impérative.dans.chaque.établissement.

Des.ressources.internet.relatives.aux.aspects.juridiques.des.TICE.sont.à.votre.disposition.:•.Le.réseau.des.DRTIC.tient.à.jour.une.rubrique.nommée.«.Leg@TICE.».sur.son.portail.internet.:.http://drtic.educagri.fr/•.Le.ministère.de.l’Éducation.Nationale.tient.à.jour.un.site.Web.de.veille.juridique.:.http://www.educnet.education.fr/legamedia/

Nous.recommandons.de.sensibiliser.tous.les.personnels.de.l’établissement.à.l’existence.de.ces.sites.afin.qu’ils.puissent.se.tenir.informés.des.responsabilités.qui.leur.incombent.au.regard.de.l’usage.d’Internet.

6.4.8.2 Solutions techniques

Comme.nous.l’avons.déjà.vu.dans.les.chapitres.précédents,.les.solutions.de.sécurisation.des.réseaux.intè-grent.généralement.un.grand.nombre.d’autres.fonctions.et.en.particulier.celles.liées.au.filtrage.des.accès.Internet.couramment.appelés.«.Proxy.».


65

Les.régions.qui.ont.pris.en.charge.la.sécurisation.de.l’accès.Internet.ont.souvent.déployé.des.solutions.du.type.«.appliance.».et.l’établissement.doit.alors.se.retourner.vers.l’opérateur.de.cet.équipement.pour.s’assu-rer.des.conditions.de.mise.œuvre.du.filtrage.et.de.l’historisation.des.accès.

Dans.les.régions.qui.ont.choisi.d’utiliser.les.solutions.logiciels.libres.finalisées.et.utilisées.par.le.Ministère.de.l’Éducation.Nationale,.l’établissement.assume.généralement.lui.même.le.paramétrage.de.cet.équipement.

Enfin,.pour.les.établissements.qui.ne.sont.pas.intégrés.dans.un.des.dispositifs.précédent,.nous.recomman-dons.l’usage.des.solutions.logiciels.libres.et.gratuites.basées.sur.le.proxy.«.Squid.».et.son.complément.«.Squid-Guard.».en.le.paramétrant.pour.qu’il.effectue.un.filtrage.basé.sur.l’utilisation.des.listes.noires.(Blacklist).maintenues.pour.le.compte.du.Ministère.de.l’Éducation.Nationale.par.l’université.de.Toulouse..Ces.listes.sont.par.ailleurs.également.intégrables.à.certaines.solutions.commerciales..Elles.sont.accessibles.sur.:•.http://cri.univ-tlse1.fr/blacklists/

En.totale.cohérence.avec.les.recommandations.effectuées.dans.les.chapitres.relatifs.aux.dispositifs.de.sécu-risation.d’Internet,.nous.conseillons.de.recourir.aux.deux.principales.distributions.issues.du.logiciel.libre.que.sont.IpCop.et.PfSense.

Pour.ce.qui.concerne.les.fonctions.de.Proxy.et.de.filtrage,.ces.deux.distributions.sont.très.proches.dans.la.mesure.où.elles.s’appuient.les.mêmes.outils.Squid.et.SquidGuard..Ils.sont.intégrés.à.la.solution.PfSense.au. niveau. des. packages. complémentaires.. Concernant. IpCop,. nous. recommandons. l’usage. des. add-on.«.adv_proxy.».et.«.url_filter.».qui.permettent.un.paramétrage.plus.convivial.et.détaillé.

En.ce.qui.concerne.les.fonctions.de.proxy.et.de.filtrage.des.accès,.la.solution.IpCop.est.plus.simple.à.mettre.en.œuvre.et.offre.le.même.niveau.de.puissance.que.la.PfSense..Nos.recommandations.entre.ces.deux.outils.seront.donc.plus.basées.sur.leurs.autres.fonctions.et.donc.dans.la.continuité.des.autres.chapitres.:

•.La.distribution.PfSense.n’existe.qu’en.version.anglaise..Elle.est.plutôt.adaptée.aux.établissements.impor-tant.comportant.plusieurs.sous.réseaux.et.disposant.d’un.informaticien.familié.du.monde.des.réseaux.•.La.distribution.IpCop.est.quant.à.elle.plus.adaptée.aux.établissements.souhaitant.une.gestion.plus.simple.et.ne.disposant.pas.d’un.administrateur.spécialiste.des.réseaux.

6.5 Sécuriser les accès nomades au réseau local

La.notion.d‘accès.nomade.aux.ressources.d‘un.réseau.local.revêt.plusieurs.aspects..Ce.nomadisme.peut.concerner.un.ordinateur.portable.physiquement.présent.sur.le.site.géographique.ou.un.ordinateur.distant..Dans.ce.second.cas,.la.solution.est.abordée.au.chapitre.5.avec.les.VPN.d‘accès.nomade.Pour.les.ordinateurs.portables,.on.peut.distinguer.:•.Les.portables.de.l’établissement.potentiellement.utilisables.en.tous.lieux,•.Les.portables.personnels.des.apprenants.et.des.personnels.de.la.communauté.éducative,•.Les.portables.des.personnes.de.passage.et.extérieures.à.l’établissement.L’acceptation.ou.non.d’offrir.ces.accès.relève.d’un.choix.local,.mais.la.demande.de.ce.type.de.service.est.de.plus.en.plus.forte..Dans.ce.chapitre,.le.terme.d’ordinateur.portable.est.à.prendre.au.sens.très.large.du.terme.et.recouvre.toutes.les.formes.de.terminaux.d’accès.mobiles.(portables,.tablettes,.Pda,…)

6.5.1 La connexion

La.première.condition.d‘un.accès.nomade.est.la.possibilité.d‘établir.une.liaison.entre.le.réseau.local.et.l‘or-dinateur.portable..Il.existe.deux.cas.de.figure.:•.L’accès.grâce.à.une.connexion.filaire.•.L’accès.par.une.connexion.sans.fil.


66

Les.aspects.physiques.de.ces.types.de.liaisons.sont.abordés.dans.les.chapitres.précédents.et.nous.allons.désormais.traiter.de.leur.sécurisation.

6.5.2 Sécurisation

Sur.un.réseau.local,.le.danger.vient.souvent.de.l‘intérieur..Avec.la.multiplication.des.ordinateurs.portables,.il.est.de.plus.en.plus.difficile.de.connaître.et.de.maîtriser.les.machines.qui.se.connectent..Les.principales.motivations.d‘une.intrusion.sur.un.réseau.local.peuvent.se.classer.en.trois.familles.:•.compromettre.des.postes.du.réseau.local,•.utiliser.l’accès.Internet,•.récupérer.des.informations.

Pour.limiter.ces.risques,.il.faut.remplir.les.conditions.suivantes.:•.avoir.le.contrôle.et.la.maîtrise.du.réseau.filaire,•.avoir.le.contrôle.et.la.maîtrise.du.ou.des.réseaux.sans.fils,•.maîtriser.le.système.qui.permettra.d’authentifier.les.usagers.

6.5.2.1 Sécuriser le réseau filaireLes.ordinateurs.fixes.connectés.au.réseau.local.sont.contrôlés.et,.en.principe,.sûrs..L‘administrateur.en.a.la.maîtrise,.peut.les.contrôler,.et.gère.les.droits.des.utilisateurs.Par.contre,.les.ordinateurs.portables.échappent.facilement.à.son.contrôle,.surtout.pour.ceux.n‘appartenant.pas.à.l‘établissement..Les.utilisateurs.peuvent.en.faire.ce.qu‘il.veulent.et.les.connecter.sans.autorisation.sur.une.prise..Ce.type.de.machines,.parfois.compromises,.peuvent.infecter.par.l‘intérieur.un.réseau.local..Il.est.donc.indispensable.de.prendre.quelques.précautions.:•.en.restreignant.la.distribution.d’adresses.DHCP.sur.le.réseau.local,•.en.ne.brassant.que.les.prises.nécessaires,•.en.gérant.l’accès.au.réseau.grâce.aux.dispositifs.de.contrôle.qu’implémentent.les.switchs.récents,•.en.connectant.les.nomades.sur.un.réseau.différent,.qui.ne.donne.accès.qu’à.quelques.ressources.claire-ment.identifiées.Pour.mettre.en.place.un.contrôle.d’accès.simple.sur.un.réseau.local.filaire,.il.faut.utiliser.les.adresses.MAC.pour.vérifier.si.les.stations.sont.connues,.autorisées.et.les.diriger.sur.le.bon.réseau.et/ou.VLAN.(cf..chapitre.4).grâce.aux.fonctionnalités.des.switchs.qui.le.permettent.(cf..chapitre.3).

6.5.2.2 Sécuriser le réseau Wifi

Le.Wi-Fi.est.une.solution.intéressante,.qui.apporte.une.réponse.simple.aux.problèmes.de.connectivité.dans.les.établissements,.à. l‘heure.où. le.nombre.d‘ordinateurs.portables.croît. rapidement..Or,.ce.système.ne.s‘arrête.pas.aux.portes.que.l‘on.souhaiterait.et.offre.de.nombreuses.failles.permettant.de.s‘introduire.sur.le.réseau.local..Il.est.donc.vital.de.respecter.un.certain.nombre.de.règles.de.base.pour.tenter.de.minimiser.ces.risques.et.notamment.:•.savoir.quelles.machines.sont.connectées.au.réseau,•.quels.utilisateurs.sont.authentifiés,•.et.être.sûr.des.ressources.auxquelles.ils.accèdent.

6.5.3 Choisir une politique d‘accès

A.ce.stade,.l‘établissement.doit.choisir.une.politique.d‘accès.à.son.réseau.pour.les.stations.nomades,.typi-quement.les.portables..Cette.politique.permettra.de.définir.les.moyens.techniques.et.humains.à.mettre.en.œuvre.Les.stations.inconnues.peuvent.êtres.autorisées.à.se.connecter.au.réseau.filaire.ou.au.réseau.Wifi.et.rediri-gées.dans.un.Lan.invités.avec.des.ressources.restreintes.Si.elles.sont.interdites,.ils.faut.définir.une.procédure.pour.les.autoriser.:.qui.autorise.qui,.sur.quel.réseau,.pour.quelles.ressources,.dans.quelles.conditions,.pour.quelle.durée,…


67

Elles.peuvent.également.être.purement.et.simplement.interdites,.auquel.cas.il.faudra.s‘assurer.de.l‘étan-chéité.complète.du.réseau.

6.5.4 Les règles de base

6.5.4.1 Savoir qui est présent sur votre réseau

La.connaissance.des.clients.présents.sur.un.réseau.est.un.élément.fondamental,.mais.l‘utilisation.des.adresses.IP.ou.des.adresses.MAC.ne.constituent.pas.un.moyen.efficace.car.elles.peuvent.très.facilement.être.usurpées..C‘est.évidemment.un.point.très.sensible.sur.les.réseaux.sans.fils,.mais.également.sur.un.réseau.filaire.Il.existe.différentes.techniques.permettant.d‘authentifier.les.postes.sur.un.réseau.qui.vont.du.simple.couple.identifiant/mot.de.passe.à.la.biométrie.La.méthode.la.plus.simple.consiste.à.utiliser.de.façon.plus.ou.moins.sophistiquée.le.couple.«.identifiant/mot.de.passe.».Elle.peut.être.considérée.comme.suffisamment.sûre,.à.la.condition.que.le.mot.de.passe.ne.soit.pas.trop.simple.et.qu‘il.ne.soit.pas.facilement.interceptable,.c‘est-à-dire.récupérable.en.clair.par.une.écoute.passive..Cette.méthode.n‘est.à.l‘évidence.pas.suffisante.dans.le.cadre.des.réseaux.sans.fil.La.méthode.sans.doute.la.plus.aboutie.consiste.à.utiliser.des.certificats.numériques.sur.les.serveurs,.mais.aussi.sur.les.clients..Chaque.certificat.contient.une.partie.publique.et.une.partie.privée..La.partie.publique.peut.être.récupérée.par.tout.tiers.désirant.entrer.en.contact.avec.le.possesseur.du.certificat,.la.partie.privée.doit.rester.confidentielle.et.chacune.contient.une.clé.de.chiffrement..Cette.méthode.offre.une.garantie.très.élevée.mais.nécessite.un.dispositif.assez.lourd.car.il.faut.créer.un.certificat.par.client,.maintenir.une.base.de.donnée.des.certificats.autorisés.et.des.certificats.révoqués.Il.est.possible.sur.les.clients.de.remplacer.le.certificat.par.l‘usage.d‘une.carte.à.puce.qui.est.un.dispositif.très.proche.du.certificat.et.tout.aussi.lourd.à.gérer.Les.dispositifs.d‘authentification.biométrique.(cf..Chapitre.6.2).offrent.de.très.fortes.garanties.de.sécurité.mais.leur.implantation.sur.les.terminaux.nomades.demeurent.pour.l‘instant.trop.faible.pour.pouvoir.envi-sager.de.baser.une.politique.de.sécurité.sur.cette.technologie.

6.5.4.2 Protéger les données échangées

Les.données.circulant.sur.le.réseau.peuvent.être.écoutées.assez.simplement,.notamment.dans.le.cadre.d’un.réseau.sans.fil..Les.informations.interceptables.ont.une.valeur.relative.comprise.entre.un.intérêt.nul.et.un.intérêt.stratégique,.comme.par.exemple.les.données.d‘un.login.autorisé.Le.principe.de.base.consiste.à.chiffrer.les.échanges,.en.restant.conscient.qu‘aucun.chiffrement.n‘est.tota-lement.fiable..Ce.n‘est.qu‘une.question.de.temps.et.de.moyens..La.durée.de.vie.d‘une.information.sensible.doit,.si.possible,.être.inférieur.au.temps.nécessaire.pour.la.découvrir.

6.5.5 Les solutions techniques

Comme.nous.venons.de.le.voir,.la.première.étape.consiste.à.connecter.physiquement.la.station.cliente.au.réseau.local.par.l‘intermédiaire.d‘une.liaison.filaire.ou.d‘une.liaison.radio..La.suite.de.ce.chapitre.traitera.plus.particulièrement.des.solutions.concernant.concernant.les.réseaux.Wifi.dans.la.mesure.ou.les.solutions.techniques.permettant.la.sécurisation.d‘un.accès.filaire.sont.abordées.aux.chapitres.3.et.4.de.ce.document.

6.5.5.1 Points d‘accès au réseau – 802.1XLa.norme. IEEE.802.1X.est. un. standard.qui. définit. les.mécanismes.permettant.de. contrôler. l‘accès. aux.équipements.actifs.d‘un.réseau.qu‘il.soit.filaire.ou.radio..Elle.permet.d‘authentifier.un.utilisateur.grâce.à.un.serveur.d‘authentification.avant.de.lui.accorder.ou.non.l‘accès.au.réseau.Lorsque.le.client.se.connecte.à.un.port.Ethernet.ou.s‘attache.à.un.point.d‘accès.sans.fil,.l‘accès.au.LAN.lui.est.fermé,.seul.le.trafic.avec.le.serveur.d‘authentification.est.autorisé..Le.port.ne.pourra.s‘ouvrir.sur.le.LAN.que.si.l‘authentification.réussie..Cette.norme.repose.donc.sur.trois.acteurs.qui.doivent.l‘implémenter.:•.Un.client.appelé.supplicant.(Linux,.Mac.OSX,.Windows.depuis.XPSP1)•.L’élément.actif.appelé.«.authenticator.».(Switch,.Borne.Wifi)


68

•.Un.serveur.d’authentification.(Généralement.RADIUS)

En.plus.de.l’authentification.des.utilisateurs,.le.protocole.802.1X.est.utilisé.dans.les.réseaux.sans.fil.comme.support.pour.l’échange.des.clefs.utilisées.par.les.dispositifs.de.chiffrement.de.la.communication.:

•.WEP.:.(Wired.Equivalent.Privacy)..Cette.méthode.est.basée.sur.une.solution.de.clé.de.chiffrement.statique.partagée.par.tous.les.membres.d’un.même.réseau.Wi-Fi,.avec.un.algorithme.de.chiffrement.relativement.faible..Il.suffit.de.disposer.de.quelques.dizaines.de.minutes.avec.quelques.petits.outils.logiciels.présents.sur.le.Web.pour.venir.à.bout.de.cette.protection.en.identifiant.la.clé.de.chiffrement..C’est.la.technique.utilisée.par.la.presque.totalité.des.«.Box.».grand.public.fournies.par.les.opérateurs..Elle.n’est.pas.adaptée.aux.environnements.professionnels.

•.WPA.:.(Wifi.Protected.Access)..Avec.la.découverte.rapide.des.failles.de.WEP,.et.alors.même.que.l’élabo-ration.d’une.norme.destinée.à.sécuriser.les.réseaux.sans.fils.était.en.cours,.il.a.fallu.mettre.en.place.au.plus.vite.un.procédé.de.secours..Le.WPA,.issu.des.travaux.non.encore.aboutis.de.la.norme.802.11i,.est.arrivé.sur.le.marché..C’est.un.ensemble.de.rustines.logicielles,.destiné.à.boucher.les.plus.gros.trous.de.sécurité.du.WEP,.tout.en.ayant.comme.contrainte.de.pouvoir.fonctionner.sur.le.matériel.existant..Il.a.donc.été.conçu.pour.pouvoir.être.exploité.sur.du.matériel.WEP..Le.WPA.est.un.compromis.acceptable,.surtout.si.l’on.doit.intégrer.à.son.réseau.du.matériel.ancien,.ne.supportant.pas.les.méthodes.de.chiffrement.préconisées.par.la.norme.802.11i.

•.WPA2.:.C’est.l’appellation.commerciale.de.la.norme.802.11i.(cf..chapitre.2)..Cette.norme.a.été.finalisée.en.2004.et.se.trouve.donc.implémentée.sur.des.points.d’accès.conçu.à.partir.de.cette.date..Elle.impose.le.support.d’AES.(«.Advanced.Encryption.Standard.»).qui.est.un.standard.de.chiffrement.basé.sur.un.algo-rithme.de.chiffrement.symétrique.

WPA.comme.WPA2.peuvent.s’utiliser.de.deux.manières.:

•.Mode.«.personnel.».:.Ce.mode.est.préconisé.pour.les.particuliers.disposant.d’un.petit.réseau.peu.straté-gique.et.fait.appel.à.une.clé.de.chiffrement.partagée,.la.PSK.(Pre.Shared.Key)..Cette.clé,.au.contraire.de.WEP,.ne.sert.pas.directement.au.chiffrement.des.données..Elle.sert.de.base.à.la.création.de.clés.dérivées,.qui.sont.non.seulement.différentes.pour.chaque.session.(deux.utilisateurs.d’un.même.réseau,.même.s’ils.disposent.de.la.même.PSK,.utiliseront.des.clés.de.session.différentes),.mais.encore.d’un.usage.limité.dans.le.temps..Ces.clés.sont.renégociées.fréquemment.en.cours.de.session,.ce.qui.rend.leur.découverte.nette-ment.plus.difficile..Le.temps.nécessaire.pour.identifier.une.clef.risque.d’être.supérieur.à.sa.durée.de.vie..Le.point.faible.réside.dans.le.fait.que.tous.les.utilisateurs.du.point.d’accès.connaissent.cette.phrase.qui.de.fait.devient.de.moins.en.moins.secrète…C’est.une.solution.tout.à.fait.acceptable.dans.le.cas.d’un.réseau.sans.fil.de.taille.peu.importante.et.ne.per-mettant.pas.l’accès.à.des.données.ou.des.serveurs.stratégiques..Comme.pour.les.mots.de.passe,.il.est.tou-tefois.important.d’utiliser.une.PSK.non.évidente..En.effet,.la.clé.est.une.suite.numérique,.calculée.à.partir.d’une.«.phrase.secrète.».en.ASCII.et.du.SSID.du.point.d’accès..Il.faut.donc.éviter.une.phrase.trop.simple.comme.votre.nom,.votre.date.de.naissance,.un.nom.commun…

•.Mode.«.entreprise.».:.Ce.mode.s’appuie.sur.la.norme.802.1X.abordée.précédemment.pour.l’authentifica-tion.avancées.des.utilisateurs.et.nécessite.donc.de.faire.appel.à.un.système.d’authentification.centralisé.ainsi.qu’à.des.points.d’accès.supportant.cette.norme..Il.n’y.a.aucun.secret.partagé,.tout.le.système.crypto-graphique.est.construit.pendant.et.après.le.processus.d’authentification.Lorsque.le.client.est.correctement.authentifié.par.le.serveur,.ce.dernier.lui.envoie.une.clef.principale.uni-quement.connue.d’eux.deux.et.valable.que.pour.la.session.en.cours..Le.client.et.le.serveur.calculent.alors.une.nouvelle.clef.appelée.PMK.qui.est.transmise.au.point.d’accès.et.n’est.valable.que.pour.cette.session.avec.ce.client..Le.point.d’accès.n’a.pas.connaissance.de.la.clef.principale..La.PMK.permet.alors.au.client.et.au.point.d’accès.de.calculer.4.nouvelles.clefs.temporelles.utilisées.pour.sécuriser.différents.types.de.paquets.pendant.leurs.échanges..Ce.dispositif.complexe.assure.un.niveau.de.sécurité.extrêmement.élevé.


69

En.résumé.:

La.station.cliente.entre.en.contact.avec.le.point.d’accès.en.utilisant.une.des.normes.de.connexion.sans.fil.de.la.famille.802.11..Cette.dernière.s’appuie.alors.sur.les.mécanismes.802.1X.pour.permettre.ou.non.l’accès.au.réseau.local.

Ce.dispositif.repose.sur.le.protocole.EAP.(Extensible.Authentication.Protocol).pour.le.transport.des.infor-mations.nécessaires.à. l’authentification.suivant. le.mode.choisi.. Il.en.existe.5.officiellement.retenus.par.WPA.et.WPA2.dont.les.deux.principaux.sont.:•.TLS.(Transport.Layer.Security).:.Ce.protocole.est.en.fait.la.version.3.1.du.fameux.SSL.dont.il.est.le.suc-cesseur..Il.utilise.une.infrastructure.de.clefs.publiques.pour.sécuriser.l’identification.entre.le.client.et.le.serveur..Dans.ce.mode,.les.deux.acteurs.chacun.d’un.certificat.x509.•.PEAP.(Protected.EAP).:.Dans.ce.mode.seul.le.serveur.dispose.d’un.certificat..L’authentification.du.client.est.assurée.par.un.challenge.de.type.login/password.

Dans.la.grande.majorité.des.cas,.les.échanges.entre.le.point.d’accès.s’appuient.sur.le.protocole.RADIUS,.que.nous.aborderons.un.peu.plus.loin.et.sur.UDP/IP

6.5.5.2 Authentification RADIUS

Le.protocole.Radius.n‘est.pas.la.seule.norme.d‘authentification.mais.il.est.devenu.le.standard.de.fait.pour.la.centralisation.des.données.d‘authentification.sur.les.réseaux.sans.fil..La.signification.de.cet.acronyme.est.«.Remote.Authentication.Dial-In.User.».Il.a.été.conçu.par.les.fournisseurs.d‘accès.Internet.afin.de.leur.permettre.d‘authentifier.à.partir.d‘une.base.centralisée.des.utilisateurs.se.connectant.via.des.accès.RTC.à.des.serveurs.différents..Il.normalise.le.trans-port.des. informations.d‘authentification.entre. le.serveur.hébergeant. la.base.des.utilisateurs.et.un.client.RADIUS.qui.est.un.point.d‘accès.sans.fil,.un.firewall,.un.commutateur.ou.un.dispositif.d‘accès.distant.Un.poste.client.demande.un.accès.à.un.client.RADIUS,.par.exemple.une.borne.Wifi..Elle.se.charge.alors.de.lui.demander.des.informations.d‘identification.comme.un.nom.et.un.mot.de.passe..A.partir.des.réponses.du.poste.client,.elle.construit.une.requête.dite.«.Access.Request.».et.la.transmet.à.son.serveur.RADIUS.qui.


70

vérifie.s‘il.possède.suffisamment.d‘informations.pour.réaliser.l‘authentification..Dans.la.négative,.le.serveur.demande.à.son.client.(ici,.la.borne).des.informations.complémentaires.par.un.dispositif.nommé.«.access.challange.»..Plusieurs.cycles.«.access.Request.–.access.Challange.».s‘enchainent.jusqu‘à.ce.que.le.serveur.dispose.de.tous.les.éléments.qui.lui.sont.nécessaires..Il.autorise.alors.(Access.Accept).ou.rejette.(Access.Reject).l‘accès.Plusieurs. serveurs.RADIUS.peuvent.être.chaîner.par.un.dispositif.dit.de.Proxy-Radius.. Il.n‘héberge.pas.nécessairement.la.base.utilisateur.et.peu.traiter.les.authentifications.en.accèdant.à.des.serveurs.externes,.par.exemple.un.serveur.Active.Directory.ou.un.serveur.LDAP.L‘identification.RADIUS.peut.être.enrichie.d‘autre.fonctionnalités.grâce.à.l‘usage.d‘attributs.complémen-taires.dans.les.paquets..Elle.permet.par.exemple.de.définir.un.temps.de.connexion.maximum,.un.time-out.ou.encore.une.adresse.IP.

6.5.6 Portail captif

Un.portail.captif.est.un.dispositif.qui.intercepte.la.totalité.des.paquets.provenant.d‘un.poste.client,.quels.que.soient.leur.destination.jusqu‘à.ce.que.l‘utilisateur.ouvre.le.navigateur.Web..Il.est.alors.redirigé.de.force.sur.une.page.Web.du.portail.captif.pour.s‘y.authentifier.Le.portail.peut.alors.réaliser.lui.même.cette.phase.d‘authentification.ou.la.déporter.sur.un.serveur.dont.c‘est.le.rôle.(AD,.LDAP,.RADIUS,…)..Il.autorise.alors.ou.non.le.poste.client.à.accéder.à.Internet.ou.aux.ressources.d‘un.réseau.local.C‘est.un.dispositif.principalement.utilisé.dans. le.cadre.des.réseaux.Wifi.mais.elle.est.également.envisa-geable.sur.un.réseau.filaire.Il.existe.aujourd‘hui.un.nombre.important.de.distributions.Linux.dédiées.à.cette.fonction..Elles.sont.prin-cipalement.issues.de.quatre.grandes.familles.qui.sont.ChilliSpot,.M0n0wall,.noCat.et.WiFiDog.Les.principaux.fabricants.de.point.d‘accès.intègrent.désormais.des.offres.de.portail.captif.dans.leurs.rou-teurs.wifi.Au-delà.de.l‘authentification,.les.portails.captifs.sont.également.utilisés.à.des.fins.d‘accounting.et.de.factu-ration.sur.des.points.d‘accès.publics.


6.5.7.1 Politique d‘accès

La.première.étape.de.la.sécurisation.des.accès.nomades.consiste.à.définir.une.politique.de.sécurité.afin.de.pouvoir.effectuer.des.choix.techniques.judicieux..Il.faut.commencer.par.identifier.les.risques.poten-tiels.liés.à.l‘éventuelle.connexion.de.postes.non.identifiés.sur.le.réseaux.de.l‘établissement.en.fonction.de.l‘accessibilité.des.locaux,.des.modes.d‘organisation,.des.ressources.accessibles,.etc..Cette.première.phase.consiste.en.l‘identification.:

•.des.éléments.à.protéger.comme.les.matériels,.logiciels.ou.données.sensibles.ou.confidentielles,•.des.attaques.éventuelles.comme.la.dégradation.liée.aux.virus,.aux.chevaux.de.Troie,.aux.vers.ou.autres.parasites.propagés.par.des.postes.non.contrôlés,•.de.l’éventualité.d’actes.de.dégradation.ou.de.piratage.volontaire,•.des.risques.d’écoute.des.informations.transitant.sur.le.réseau.

Il.faudra.ensuite.choisir.une.approche.de.sécurité.pour.le.réseau.local.visant.à.déterminer.pour.les.postes.de.l’établissement.comme.pour.les.postes.nomades.si.l’on.n’autorise.qui.à.accéder.à.quoi.et.sous.quelles.conditions..Cette.étape.devra.prendre.en.compte.tous.les.types.de.matériels.(fixes,.nomades…),.de.person-nels.(enseignants,.apprenants,.passagers,…).,.de.réseaux.(câblé,.sans.fil).C’est. de. cette. politique. de. sécurité. que. découleront. les. choix. techniques. permettant. de. pallier. les.défaillances.de.sécurité.afin.de.mettre.en.œuvre.les.dispositifs.appropriés.en.fonction.des.moyens.humains.et.financiers.de.l’établissement.


71

6.5.7.2 Réseaux câblésNous.effectuons.les.recommandations.suivantes.:

•.Les.prises.accessibles.et.non.utilisées.dans.les.locaux.ne.doivent.pas.être.brassées.sur.les.éléments.actifs.du.réseau.•.Les.baies.de.brassage.ainsi.que.les.locaux.techniques.doivent.être.fermées.et.accessibles.uniquement.aux.personnes.habilitées.(cf..chap..2)•.Les.switchs.doivent.être.paramétrés.pour.utiliser.des.VLAN.statiques.de.niveau.1.permettant.de.refuser.la.connexion.d’une.station.dont.l’adresse.MAC.est.inconnue..Ce.point.nécessite.de.mettre.en.place.un.maté-riel.administrable.et.compatible.avec.la.norme.802.1q.conformément.aux.recommandations.du.chapitre.2..Cette.méthode.est.relativement.coûteuse.en.terme.d’administration,.surtout.sur.un.réseau.important,.mais.permet.un.niveau.de.sécurité.très.largement.suffisant.dans.le.cadre.d’un.établissement.•.Une.alternative.à.l’alinéa.précédent,.plus.adaptée.aux.réseaux.de.taille.importante,.consiste.à.mettre.en.place.des.VLAN.de.niveau.1.avec.attribution.dynamique.en.s’appuyant.sur.la.mise.en.œuvre.du.protocole.802.1x.qui.est.couplé.à.un.procédé.d’authentification..Dans.ce.cas,.le.switch.enverra.à.un.serveur.d’au-thentification.RADIUS.l’adresse.MAC.de.la.station.connectée.à.un.port,.en.guise.de.«.login/password.»..Le.serveur.Radius.interroge.sa.base.de.données.pour.valider.ou.refuser.les.éléments.fournis.puis.transmet.la.réponse.accompagnée.d’un.numéro.de.VLAN.au.switch.qui.connecte.alors.la.station.dans.le.bon.réseau.virtuel.ou.maintient.le.port.fermé..Il.faut.s’assurer.que.les.switch.sont.en.mesure.de.réaliser.cette.opération..Avec.cette.méthode,.la.gestion.des.postes.autorisés.est.centralisée.au.niveau.du.serveur.RADIUS.et.donc.beaucoup.plus.simple.Il. est. possible. de. renforcer. la. sécurité. en. utilisant. d’autres. paramètres. que. l’adresse. MAC. comme. par.exemple.un.identifiant.et.un.mot.de.passe.ou.un.certificat.x509..Cela.nécessitera.toutefois.la.mise.en.œuvre.d’une.partie.logicielle.(supplicant).sur.chaque.station,.ce.qui.alourdit.considérablement.l’administration.en.apportant.un.niveau.de.sécurité.qui.ne.se.justifie.pas.dans.le.cadre.d’un.établissement.d’enseignement.

6.5.7.3 Réseaux sans filsNous.effectuons.les.recommandations.suivantes.:

•.Mettre.en.place.le.réseau.des.points.d’accès.sans.fil.sur.un.VLAN.séparé.(cf.chapitre.5).•.Utiliser.un.plan.d’adressage.IP.différent.de.celui.du.restant.du.réseau.(cf.chapitre.4)•.Le.réseau.sans.fil.aboutit.impérativement.sur.une.interface.dédiée.du.Firewall.de.l’établissement..De.cette.façon,.le.réseau.sans.fil.est.considéré.comme.un.réseau.public.•.Vérifiez.régulièrement.que.tous.les.dispositifs.sans.fil.ont.les.versions.de.firmware.les.plus.récentes.•.Veiller.à.ce.que.les.point.d’accès.ne.soient.pas.visibles.ni.accessibles.aux.personnes.non.autorisées..En.effet,.ces.équipements.sont.équipés.d’un.bouton.de.réinitialisation.•.Assigner.des.mots.de.passe.forts.sur.les.comptes.d’administration.des.points.d’accès.et.les.configurer.pour.qu’ils.ne.soient.pas.administrable.depuis.le.réseau.sans.fil.•.Ne.pas.diffuser.le.SSID..Cette.fonctionnalité.vous.permet.d’éviter.que.des.portables.détectent.automati-quement.votre.réseau.sans.fil.et.puissent.être.tentés.de.s’y.connecter.•.Utiliser.des.points.d’accès.répondant.à.la.norme.802.1i.appelé.également.appelée.WPA2.Enterprise.•.Mettre.en.œuvre.un.portail.captif.couplé.à.un.serveur.d’authentification.de.type.RADIUS.•.La.mise.en.œuvre.d’une.sécurité.basée.sur.l’utilisation.de.clefs.WEP.ou.WPA.est.par.conséquence.à.bannir.absolument.

Les.autres.recommandations.dépendent.directement.des.choix.effectués.au.niveau.de.la.politique.de.sécu-rité.ainsi.que.du.type.Firewall,.de.Proxy.et.de.serveurs.d’authentification..Les.deux.solutions.préconisées.dans.les.chapitres.précédents.offrent.un.portail.captif.et.fonctionnent.avec.un.serveur.RADIUS.

6.5.7.4 Portail Captif et serveur RADIUSLa.technique.du.portail.captif. intercepte.tous. les.paquets.émis.par.une.station.quelles.que.soient. leurs.destinations.jusqu’à.ce.que.l’utilisateur.ouvre.son.navigateur.web.et.essaie.d’accéder.à.Internet..Le.naviga-


72

teur.est.alors.redirigé.vers.une.page.web.qui.demande.une.authentification.qui.sera.gérée.par.un.serveur.RADIUS.dans.le.cadre.de.nos.établissements.En.pleine.cohérence. avec. les. recommandations. effectuées.dans. les. chapitres. relatifs. aux.dispositifs. de.sécurisation.d’Internet,.nous.conseillons.de.recourir.aux.deux.principales.distributions.issues.du.logiciel.libre.que.sont.IpCop.et.PfSense.La.fonction.de.portail.captif.et.d’authentification.de.type.RADIUS.est.intégré.de.façon.native.dans.la.solu-tion.PfSense..Une.documentation.précise.ainsi.qu’un.tutoriel.détaillé.sont.accessibles.depuis.la.page.«.docu-mentation.».du.site.http://www.pfsense.orgSur.la.distribution.IpCop,.il.faut.recourir.à.l’installation.de.l’Add-on.nommé.«.CopSpot.».téléchargeable.sur.le.site.http://www.ban-solms.deEn.ce.qui.concerne.la.fonction.de.portail.captif.et.d’authentification.des.utilisateurs.ou.des.stations.par.le.biais.d’un.serveur.RADIUS,.la.solution.Pfsense.est.plus.simple.à.mettre.en.œuvre,.mais.dans.tous.les.cas,.il.faudra.installer.et.paramétrer.le.serveur.d’authentification.RADIUS.Les.serveurs.MicroSoft.Windows.de.version.2003.ou.supérieur.sont.nativement.conçus.pour.assurer.ce.rôle..De.plus,.ils.sont.très.massivement.présents.dans.nos.établissements,.ce.qui.nous.conduit.à.en.recom-mander.l’usage.pour.cette.fonction.afin.d’éviter.l’acquisition.et.le.paramétrage.de.matériel.et.de.logiciels.supplémentaires..Le.tutoriel.détaillé.de.mise.en.œuvre.de.la.solution.PfSense/RADIUS.cité.plus.haut.se.base.par.ailleurs.sur.cette.famille.de.serveur.Dans.le.cas.où.l’établissement.ne.dispose.pas.de.serveur.de.ce.type,.nous.recommandons.l’usage.du.serveur.libre.et.gratuit.FreeRadius.téléchargeable.à.l’adresse.http://freeradius.org/

6.6 Surveillance & Analyse réseau

La.surveillance.réseau.n‘évoque.pas.toujours.la.même.chose.pour.tout.le.monde..Pour.certains,.c‘est.une.surveillance.en.temps.réel.du.réseau.avec.des.outils.d‘analyse.des.protocoles..Pour.d‘autres,.il.s‘agit.d‘en-registrer.dans.une.base.de.données.les.éléments.de.l‘architecture.réseau.pour.créer.ensuite.des.graphiques.représentant. la.topologie.et. le.trafic..Dans.tous.les.cas,.c‘est.un.secteur.d‘activité.pour.lequel. les.outils.utilisés.sont.très.variés,.le.but.étant.l‘assistance.de.l‘administrateur.pour.surveiller.et.assurer.le.bon.fonc-tionnement.des.réseaux.Le.terme.anglo-saxon.employé.est.monitoring.réseau..Il.comprend.en.plus.de.la.surveillance.des.actions.de.modification.de.configuration,.d‘installation.distante,.ou.de.gestion.de.comptes.

6.6.1 Objectifs de la surveillance

La.surveillance.réseau.consiste.en.la.collecte.d‘informations.sur. la.disponibilité.et. les.performances.des.différents.équipements.d‘un.réseau.(routeur,.switch,.serveur,.etc...).Ces.informations.vont.par.la.suite.être.utilisées.pour.construire.des.graphes.afin.de.visualiser.les.perfor-mances.ou.alerter.les.administrateurs.d‘un.dysfonctionnement.par.mail.ou.SMSIl.sera.possible.également.de.prévoir.d‘exécuter.des.actions.programmées.:.redémarrage.d‘un.service.ou.coupure.d‘un.accès.au.réseau.en.cas.d‘attaque.

6.6.2 Domaines de l‘administration réseau

L‘OSI.définit.cinq.domaines.fonctionnels.de.l‘administration.réseau.:•.La.gestion.des.pannes.:.permet. la.détection,. la. localisation,. la.réparation.de.pannes.et. le.retour.à.une.situation.normale.dans.l’environnement.•.La.comptabilité.:.permet.de.connaître.la.charge.des.éléments.du.réseau..Ceci.permet.alors.de.réguler.les.ressources.de.tous.les.utilisateurs.pour.les.adapter.aux.besoins.•.L’audit.des.performances.:.Permet.d’évaluer.les.performances.des.ressources.du.système.et.leur.efficacité..Les.performances.d’un.réseau.sont.évaluées.à.partir.de.quatre.paramètres.:.le.temps.de.réponse,.le.débit,.le.taux.d’erreur.par.bit.et.la.disponibilité.


73

•.La.gestion.de.la.sécurité.:.une.des.fonctions.de.gestion.concerne.le.contrôle.et.la.distribution.des.informa-tions.utilisées.pour.la.sécurité..Les.ressources.du.réseau.seront.accessibles.seulement.aux.utilisateurs.auto-risés..Les.erreurs.d’accès.peuvent.être.enregistrées.pour.ensuite.être.analysées.ou.provoquer.des.alertes.•.La.gestion.des.configurations.:.permet.d’identifier.et.de.paramétrer.les.éléments.du.réseau..Les.procé-dures.requises.pour.gérer.une.configuration.sont.la.collecte.d’informations,.le.contrôle.de.l’état.du.sys-tème,.la.sauvegarde.de.l’état.des.périphériques.dans.un.historique.

6.6.3 Le protocole de supervision SNMP

6.6.3.1 PrincipeLe.principal.protocole.utilisé.pour.obtenir.des.données.concernant.les.équipements.est.appelé.SNMP..Il.permet.aux.administrateurs.réseaux.de.gérer.des.équipements.et.de.diagnostiquer.des.problèmes.Le.sigle.SNMP.signifie.Simple.Network.Management.Protocol.et.la.quasi-totalité.des.constructeurs.d‘équi-pements.réseaux.l‘implémentent.de.façon.native..Il.est.défini.par.l‘IETF.dans.la.RFC.1157.(mai.1990).et.il.est.le.protocole.le.plus.employé.pour.superviser.les.réseaux.C’est.un.protocole.qui.se.situe.sur.les.couches.5,6,7.du.modèle.OSI.et.fonctionne.en.s’appuyant.sur.le.pro-tocole.UDP..Sa.structure.principale.est.simple,.elle.comprend.:

•.Un.serveur/superviseur.(NMS.:.Network.management.stations).chargé.d’interroger.les.éléments.du.réseau.pour.connaître.leur.état.et.chargé.de.centraliser.les.informations.recueillies.•.Des.agents.:.ils.sont.installés.sur.les.éléments.du.réseau.à.surveiller.(serveur,.routeur,.switch).et.en.sur-veillent.les.éléments.(température,.charge.du.cpu,.etc.…)..Ils.répondent.aux.requêtes.du.superviseur.•.Une.base.de.données.(virtuelle).MIB.(Management.Information.Base).placée.sur.les.équipements.et.qui.permet.une.présentation.claire.et.humainement.compréhensible.de.tout.les.paramètres.surveillés.(CPU,.@IP,.Température,.etc.…)•.Un.protocole.:.SNMP,.pour.interroger.ou.modifier.les.agents.et.leur.MIB.depuis.la.console.de.supervision..SNMP.s’appuie.sur.UDP.pour.fonctionner.et.utilise.les.ports.161.côté.serveur.et.162.côté.client.•.Un.agent.proxy.qui.sert.de.passerelle.vers.des.équipements.ou.des.réseaux.ne.supportant.pas.SNMP.en.relayant.et.traduisant.les.requêtes.du.superviseur.SNMP.•.Un.Analyseur.RMON.:.RMON.est.un.standard.pour. l’analyse.de.trafic.et. la.collecte.de.paquets.depuis.plusieurs.segment.distants.

SNMP, Agent proxy, RMON. Source.:.www.cisco.com

Un.périphérique.réseau.(routeur,.switch,.pare-feu,…).fait.tourner.un.agent.SNMP.qui.répond.aux.requêtes.du. réseau.. L’agent. SNMP. fournit. un. grand. nombre. d’identifiants. d’objets. (Object. Identifiers. ou. OID)..Un.OID.est.une.paire.clé-valeur.unique..L’agent.SNMP.remplit.ces.valeurs.et.fait.en.sorte.qu’elles.soient.


74

disponibles..Un.manager.SNMP.(ou.client.SNMP).peut.effectuer.des.requêtes.aux.agents.avec.ses.paires.clé-valeur.à.propos.d’informations.spécifiques..Les.OID.SNMP.peuvent.être.lus.ou.écrits.

Notons.qu’il.est.rare.d’écrire.des.informations.sur.un.périphérique.SNMP..Le.SNMP.est.surtout.utilisé.par.de.nombreuses.applications.de.management.pour.contrôler.l’état.des.périphériques.réseaux.(comme.une.interface.graphique.administrative.pour.les.switchs)..Un.système.d’authentification.basique.existe.dans.le.SNMP.;.il.permet.au.manager.d’envoyer.un.community.name.(qui.est.en.fait.un.mot.de.passe.en.clair).pour.autoriser.la.lecture.ou.l’écriture.des.OID..La.plupart.des.périphériques.utilisent.le.community.name.non.sécurisé.«.public.»..Les.communications.SNMP.se.font.via.les.ports.UDP.161.et.162.

6.6.3.2 La MIBSi.on.travaille.sur.le.SNMP,.on.est.rapidement.confronté.aux.MIB.(Management.Information.Base)..Au.pre-mier.coup.d‘œil,.une.MIB.peut.paraître.très.complexe.mais.s’avère.très.simple.en.réalité.Les.OID.sont.numériques.et.globaux..Un.OID.est.très.similaire.à.une.adresse.IPv6.et.les.différents.fabricants.ont.différents.préfixes,.chaque.fabricant.a.sa.gamme.de.produit.(un.autre.préfixe).et.ainsi.de.suite..Les.OID.peuvent.très.vite.être.long.et.il.est.compliqué.pour.un.humain.de.se.rappeler.la.signification.de.cet.ensemble.de.nombres.C‘est.pour.cela.qu‘une.méthode.a.été.mise.au.point.pour.traduire.un.OID.numérique.dans.une.forme.lisible.pour.un.humain..Cette.carte.de.traduction.est.stockée.dans.un.fichier.texte.appelé.Management.Informa-tion.Base.ou.MIB.Vous.n‘avez.pas.besoin.d‘un.MIB.pour.utiliser.SNMP.ou.effectuer.des.requêtes.sur.des.périphériques.SNMP.mais.sans.la.MIB,.vous.n‘allez.pas.savoir.facilement.ce.que.signifient.les.données.retournées.par.le.périphé-rique..Dans.certains.cas,.c‘est.facile.comme.le.nom.de.l‘hôte,.l‘usage.des.disques.ou.les.informations.d‘état.des.ports..Dans.d‘autres.cas,.cela.peut.être.plus.difficile.et.une.MIB.peut.être.d‘une.grande.aide..Notez.qu‘il.est.assez.inhabituel.pour.la.plupart.des.applications.d‘écrire.des.requêtes.uniquement.numériques..La.plu-part.des.applications.permettent.l‘installation.de.MIB.complémentaires..Cette.installation.consiste.à.placer.les.MIB.à.un.endroit.où.l‘application.cliente.SNMP.peut.les.trouver.pour.effectuer.la.traduction.

6.6.3.3 Utilisation de SNMPLes.techniques.de.supervision.avec.SNMP.peuvent.être.utilisées.de.deux.manières.distinctes.:.le.polling.et.les.traps.Le.polling.consiste.simplement.à.envoyer.une.requête.à.intervalles.réguliers.pour.obtenir.une.valeur.parti-culière..Cette.technique.est.appelée.«.vérification.active.»..Vous.pouvez,.par.programme.ou.script,.vérifier.si.les.valeurs.sont.correctes..Si.la.requête.échoue,.il.est.possible.qu‘il.y.ait.un.problème.avec.le.périphérique..Cependant,.vu.que.le.SNMP.s‘appuie.sur.UDP,.il.est.conseillé.de.réitérer.la.requête.pour.confirmer.le.pro-blème.(surtout.dans.le.cas.d‘une.vérification.au.travers.d‘Internet).Les.traps.consistent.à.faire.de.la.vérification.passive,.en.gros,.on.configure.l‘agent.SNMP.pour.qu‘il.contacte.un.autre.agent.SNMP.en.cas.de.problème..C‘est-à-dire.que. l‘on.peut.configurer.un.périphérique.réseau.(comme.un.routeur).pour.qu‘il.envoie.un.trap.SNMP.lors.de.certains.événements..Par.exemple,.le.routeur.peut.envoyer.un.trap.lorsqu‘il.détecte.que.la.ligne.est.coupée.(down)..Quand.un.événement.trap.apparait,.l‘agent.sur.le.périphérique.va.envoyer.le.trap.vers.une.destination.pré-configurée.communément.appelée.trap.host..Le.trap.host.possède.son.propre.agent.SNMP.qui.va.accepter.et.traiter.les.traps.lorsqu‘ils.arrivent..Le.traitement.des.traps.est.effectués.par.des.trap.handlers..Le.handler.peut.faire.ce.qui.est.approprié.pour.répondre.au.trap,.comme.envoyer.un.courriel.d‘alerte.

Il.existe.actuellement.3.versions.différentes.du.protocole.SNMP.:•.SNMP.v1.(RFC.1155,.1157.et.1212).•.SNMP.v2c.(RFC.1901.à.1908).•.SNMP.v3.(RFC.3411.à.3418).La.co-existence.des.trois.versions.est.détaillée.dans.la.RFC.3584.Pour.interroger.une.MIB,.la.superviseur.(NMS).dispose.de.commandes.permettant.d’envoyer.des.requêtes.ou.de.recueillir.des.réponses.:•.getRequest.demande.les.informations.sur.un.objet.géré.par.l’agent.SNMP


75

•.getNextRequest.demande.les.informations.sur.l’objet.suivant.(dont.on.ne.connait.pas.forcément.le.nom)•.setRequest.modifie.l’état.d’une.variable.SNMP•.getResponse.permet.à.l’agent.SNMP.d’envoyer.une.réponse.à.une.requête.de.la.station.d’administration•.trap.met.en.oeuvre.un.mécanisme.d’alarme.permettant.à.un.équipement.réseau.d’informer. la.station.d’administration.en.cas.de.problème.

Il.existe.un.grand.nombre.d’utilitaires.permettant.de.recueillir.des.informations.SNMP..Sous.Linux,.net-snmp.est.courant..Sous.Windows,.Getif.propose.une.interface.graphique.relativement.simple.à.utiliser.et.permettant.d’accéder.à.un.grand.nombre.d’informations.

6.6.4 Les langages de monitoring

6.6.4.1 RMONC’est.une.extension.de.la.MIB.qui.permet.de.surveiller.et.de.diagnostiquer.un.réseau.à.distance..Le.but.de.cette.norme.est.de.récolter.des.statistiques.sur.l’état.global.du.réseau,.sur.la.fréquentation,.la.qualité.du.signal,.la.performance.des.composants.alors.que.les.autres.MIB.sont.plutôt.orientés.sur.le.diagnostic.maté-riel.des.équipements..La.version.1.de.RMON.peut.étudier.l’activité.du.réseau.jusqu’au.niveau.2.du.modèle.OSI.et.jusqu‘au.niveau.7.pour.la.version.2.

6.6.4.2 WMI (Windows Management Instrumentation) de Microsoft WMI.est.un.système.de.gestion.interne.de.Windows.qui.prend.en.charge.la.surveillance.et.le.contrôle.de.ressources.système.via.un.ensemble.d’interfaces..WMI.contient.une.librairie.d’objets.pouvant.être.interro-gés.via.des.scripts.VBS,.Windows.Script.Host.(WSH)..Ces.scripts.peuvent.aussi.bien.interroger.le.matériel.sur.sa.charge.CPU,.son.adresse.Ip,.etc.….mais.il.peut.aussi.modifier.certains.paramètres.du.système.d’ex-ploitation.

6.6.4.3 Netflow (Cisco)C’est.un.protocole.de.monitoring.développé.par.Cisco.et.qui.est.libre,.il.peut.donc.être.adapté.à.d’autres.environnements.(FreeBSD.par.exemple).Cette.technologie.a.pour.but.d’optimiser.les.ressources.utilisées.via.des.statistiques.et.des.analyses.concer-nant.le.trafic.et.aussi.de.détecter.les.pannes..Netflow.répertorie.le.flux.des.paquets.IP.pendant.leur.progres-sion.à.travers.l’interface.depuis.le.routeur.Chaque.flux.est.unique.et.identifié.par.sept.critères.(adresse.IP.source,.adresse.IP.de.destination,.numéro.de.port.source.(TCP/UDP),.numéro.de.port.de.destination.(TCP/UDP),.type.de.protocole.de.couche.3.(IP/ICMP),.type.de.service.(ToS).et.interface.logique.d’entrée.Toute.variation.dans.ces.critères.distingue.un.flux.d’un.autre..Cisco.NetFlow.peut.collecter.les.informa-tions.sur.une.base.très.granulaire.et.les.analyser.dans.des.rapports.

6.6.5 Les outils de monitoring

Les.outils.de.monitoring.libres.ou.commerciaux.sont.généralement.de.deux.types.:•.des.outils.de.supervision,.qui.surveillent.et.analysent.l’état.des.équipements.du.réseau.(Nagios,.HP.Open-view)..Ils.sont.généralement.plus.centrés.sur.le.matériel,.les.équipements.•.des.outils.d’analyse.surtout.destinés.à.étudier.le.trafic.(métrologie)..Ils.établissent.notamment.des.statis-tiques.sur.les.protocoles.utilisés,.sur.le.débit.du.trafic,.etc.….(par.exemple.MRTG,.Cacti).

Ces.deux.types.d’approches.sont.complémentaires,.l’étude.du.trafic.circulant.via.un.outil.tel.que.MRTG.par.exemple.permet.de.voir.si.le.trafic.dans.son.ensemble.est.normal,.si.il.n’y.a.pas.de.rupture.accidentelle..Il.offre.ainsi.une.vue.d’ensemble.du.débit,.des.protocoles.utilisés..En.cas.de.problème,.un.outil.tel.que.Nagios.permet.de.voir.précisément.quel.est.l’équipement.en.cause.(switch,.routeur).et.ainsi.d’agir.En.complément,.un.outil.propriétaire.tel.que.Cisco.Network.Assistant.permet.d’avoir.à.distance.la.main.sur.le.matériel.en.question.pour.remettre.un.bonne.configuration,.ou.pour.établir.un.diagnostic.plus.précis.


76

Enfin,.ces.différents.types.d’approches.peuvent.être.réunies.autour.d’une.solution.intégrée.comme.par.exemple.le.logiciel.Centreon.qui.est.un.outil.de.supervision.et.de.configuration.bâtie.autour.de.Nagios.

6.6.6 Les principes de la surveillance

6.6.6.1 Détermination de l‘accessibilité des hôtes du réseau•.Supervision.des.services.sur.des.hôtes.hors.fonction.ou.inaccessibles..Le.but.principal.de.cette.fonction.est.de.superviser.des.services.qui.tournent.sur.ou.sont.proposés.par.des.hôtes.physiques.ou.des.équipe-ments.du.réseau..Si.un.hôte.ou.un.équipement.du.réseau.s’arrête,.tous.les.services.qu’il.offre.s’arrêtent.avec.lui..Pratiquement,.ceci.consiste.à.envoyer.un.ping.à.l’hôte.et.à.vérifier.si.une.réponse.est.retournée.•.Supervision.d’hôtes.locaux..Ce.sont.ceux.qui.se.trouvent.sur.le.même.segment.de.réseau.ce.qui.en.rend.le.contrôle.assez.simple.puisqu’il.n’y.a.pas.de.routeurs.entre.l’hôte.chargé.de.la.supervision.et.les.autres.hôtes.du.réseau.local.•.Hôtes.distants..Ce.sont.ceux.qui.se.trouvent.sur.un.segment.de.réseau.différent.de.celui.du.superviseur..Dans.cette.configuration,.certains.hôtes.sont.plus.éloignés.que.d’autres,.ce.qui.conduit.à.mettre.en.place.un.arbre.de.dépendance.des.hôtes.pour.leur.configuration.•.Rupture.de.la.continuité.du.réseau..Le.diagnostic.des.ruptures.de.la.continuité.du.réseau.aide.les.admi-nistrateurs.à.trouver.et.résoudre.plus.rapidement.des.dysfonctionnement..Il.n’est.pas.toujours.possible.de.trouver.la.cause.exacte.d’un.problème,.mais.la.localisation.des.hôtes.en.défaut.peut.aider.au.diagnostic.•.Les.notifications..La.vérification.régulière.de.l’ensemble.des.services.sur.un.parc.configuré.permet.de.générer.des.alertes.régulières..Lorsqu’un.hôte.ou.un.service.demeure.dans.un.état.de.non-OK,.une.une.première.notification.est.envoyée..Si.après.un.intervalle.de.temps,.le.problème.n’est.toujours.pas.réglé,.une.autre.notification.sera.envoyée.et.continuera.ainsi.jusqu’à.ce.que.le.problème.soit.résolu.ou.acquitté.

6.6.6.2 Outils de création de graphiquesCes.outils.fournissent.des.graphiques.d’à.peu.près.tous.les.points.sensibles.des.équipements.supervisés.et.permettent.une.analyse.plus.simple.de.l‘état.global.du.parc.

Exemple.:.Trafic.réseaux.de.plusieurs.sites.


77

Le.rôle.d‘un.tel.outil.est.d‘informer.rapidement.un.administrateur.sur.l‘état.des.lignes.de.son.réseau.et.si.il.est.couplé.avec.un.outil.de.supervision,.d‘être.averti.en.cas.de.surcharge.ou.de.coupure.sur.un.segment.Dans.l‘exemple.ci-dessus,.le.graphe.indique.l‘endroit.exact.de.la.coupure.en.précisant.la.machine.affectée..Il.permet.également.d‘anticiper.les.évolutions.à.prévoir.grâce.à.une.vision.synthétique.de.la.consommation.de.bande.passante.sur.le.réseau.

6.6.7 L‘analyse

L‘analyse.d‘un.réseau.consiste.à.utiliser.un.dispositif.technique.permettant.d‘écouter.le.trafic,.de.le.captu-rer.puis.de.l‘analyser.afin.de.permettre.un.diagnostique.très.fin.de.son.réseau..Ce.dispositif.est.communé-ment.appelé.«.analyseur.réseau.»,.mais.également.analyseur.de.trames.ou.sniffer.en.anglais.Cette.prouesse.est.rendu.possible.dans.un.réseau.non.commuté.par.le.fait.que.les.données.sont.envoyées.à. toutes. les.machines.du.réseau..Dans. le.cadre.d‘un. fonctionnement.normal,. les.machines. ignorent. les.paquets.qui.ne.leur.sont.pas.destinés..Ainsi,.en.utilisant.l‘interface.réseau.dans.un.mode.spécifique.appelé.promiscuous,.il.est.possible.d‘écouter.tout.le.trafic.passant.par.un.adaptateur.réseau.(carte.réseau.ethernet,.carte.réseau.Wifi,.etc.).Un.analyseur.est.un.outil.permettant.par.ce.biais.d‘étudier.le.trafic.d‘un.réseau..Il.sert.généralement.aux.administrateurs.pour.diagnostiquer.les.problèmes.sur.leur.réseau.ainsi.que.pour.connaître.le.trafic.qui.y.circule..Malheureusement,.comme.tous.les.outils.d‘administration,.le.sniffer.peut.également.servir.à.une.personne.malveillante.ayant.un.accès.physique.au.réseau.pour.collecter.des.informations.La.grande.majorité.des.protocoles.Internet.font.transiter.les.informations.en.clair,.c’est-à-dire.de.manière.non.chiffrée..Ainsi,.lorsqu’un.utilisateur.du.réseau.consulte.sa.messagerie.via.le.protocole.POP.ou.IMAP,.ou.bien.surfe.sur.internet.sur.des.sites.dont.l’adresse.ne.commence.pas.par.HTTPS,.toutes.les.informations.envoyées.ou.reçues.peuvent.être.interceptées..C’est.comme.cela.que.des.analyseurs.ont.été.mis.au.point.par.des.pirates.afin.de.récupérer.les.mots.de.passe.circulant.dans.le.flux.réseau.Ce.risque.est.encore.plus.important.sur.les.réseaux.sans.fil.car.il.est.difficile.de.confiner.les.ondes.hert-ziennes.dans.un.périmètre.délimité,.si.bien.que.des.personnes.malveillantes.peuvent.écouter.le.trafic.en.étant.simplement.dans.le.voisinage.et.utiliser.des.utilitaires.spécifiques.afin.de.s’introduire.dans.un.réseau.mal.sécurisé.Les.analyseurs.de.réseaux.sont.donc.des.assistants.précieux.de.l’administrateur.en.lui.permettant.de.vérifier.de.façon.très.précise.le.niveau.de.sécurité.de.son.réseau,.sous.réserve.que.l’administrateur.en.question.possède.les.compétences.pointues.indispensables.à.l’usage.de.ce.type.d’outil.


6.6.8.1 Logiciel de supervision

Au.sein.d‘un.établissement,.nous.recommandons.l‘usage.d‘un.logiciel.de.supervision.issue.du.monde.du.logiciel.libre.permettant.de.surveiller.le.fonctionnement.et.les.performances.de.tous.les.éléments.de.son.réseau.mais.également.des.principaux.serveurs.Les.équipements.du.réseau.ainsi.que.les.serveurs.amenés.à.être.surveillés.devront.impérativement.implé-menter.le.protocole.SNMP.et.ce.dernier.devra.bien.évidemment.être.activé.Dans.un.souci.de.simplicité.et.de.performance,.nous.conseillons.de.recourir.à.CACTI,.qui.est.un.logiciel.libre.et.gratuit.qui.fonctionne.sur.un.serveur.Linux/Apache/MySql/PhP.et.qui.est.un.compromis.raison-nable.entre.la.puissance.et.la.complexité..Il.n‘en.reste.pas.moins.un.outil.qui.nécessite.de.bonnes.connais-sances.en.terme.de.système.et.de.réseau.Il.permet.une.représentation.graphique.du.statut.de.périphériques.réseau.utilisant.SNMP,.mais.également.de.développer.grâce.à.des.scripts.(Bash,.PHP,.Perl,…).des.fonctions.avancées..Les.données.sont.ensuite.récoltées.auprès.des.agents.SNMP.ou.des.scripts.locaux.CACTI.est.entièrement.basé.sur.le.principe.de.modèles.(Templates).qui.permettent.de.créer.de.manière.générique.les.graphiques.que.l‘on.souhaite..C‘est.un.système.précieux.lorsque.de.nombreuses.données.identiques.doivent.être.observées,.mais.qui.peut.se.révéler.fastidieux.à.configurer.lorsque.les.données.sont.hétérogènes.


78

Cacti.génère.les.graphiques.dynamiquement,.à.partir.des.fichiers.de.données.RRDTool,.à.chaque.affichage.d‘une.page.dans.l‘interface.Web,.ce.qui.permet.d‘effectuer.une.supervision.en.temps.réel.des.élémrnts.du.réseau.

L’outil.et.sa.documentation.(en.anglais).sont.disponibles.en.téléchargement.libre.sur.le.site.:•.http://www.cacti.net/

Pour.les.établissements.souhaitant.mettre.en.place.une.supervision.avancée.et.disposant.d’un.administra-teur.expérimenté,.le.déploiement.de.la.solution.libre.CENTREON.est.recommandée.L’outil.et.sa.documentation.sont.disponibles.en.téléchargement.libre.sur.le.site.:•.http://www.centreon.com/fr/

6.6.8.2 Analyseurs

Au.sein.d’un.établissement,.nous.recommandons.l’usage.d’un.logiciel.de.supervision.issue.du.monde.du.logiciel. libre. fonctionnant.sur.un.PC.ordinaire.et.permettant.d’effectuer.une.analyse.des. flux. transitant.sur.le.réseau.local.à.des.fins.de.diagnostique.mais.également.de.supervision.et.de.contrôle.du.niveau.de.sécurité..L’utilisation.d’outil.de.ce.type.d’outil.nécessite.de.la.part.de.l’administrateur.de.solides.connaissances.dans.le.domaine.des.réseaux,.des.protocoles.et.des.normes..Une.formation.préalable.est.en.général.souhaitable.

Nous.recommandons.l’utilisation.du.logiciel.libre.et.gratuit.Wireshark,.anciennement.appelé.Ethereal.qui.permet.grâce.à.la.capture.du.trafic.du.réseau.d’analyser.à.ce.jour.759.protocoles.différents..Wireshark.est.multiplate-forme,.il.fonctionne.parfaitement.sous.Windows,.Mac.OS.X.et.Linux.

L’outil.et.sa.documentation.sont.disponibles.en.téléchargement.libre.sur.le.site.:•.http://www.wireshark.org/

Il.n’existe.à.ce.jour.pas.de.version.française.de.ce.produit,.toutefois.des.tutoriels.en.français.sont.dispo-nibles.en.quantité.sur.Internet.

7 Sites de références

7.1 Site du réseau

Ce.guide.est.disponible.dans.une.version.régulièrement.mise.à.jour.sur.:•.http://drtic.educagri.fr/Il.est.complété.par.des.fiches.techniques.et.de.la.documentation.

7.2 Sites des distributions

7.2.1 IpCop

•.Site.officiel.:.http://www.ipcop.org/•.Site.des.extensions.:.http://www.ipcopaddons.org/


79

7.2.2 PfSense

•.Site.officiel.:.http://www.pfsense.org/•.Forums.:.http://forum.pfsense.org/

7.3 Sites complémentaires

•.Site.francophone.dédié.aux.distributions.Linux.sécurisées.:.http://www.ixus.fr/•.Forums.francophone.pour.IpCop.&.PfSense.:.http://forums.ixus.fr/

Guide Reseaux

Documents

Transcript of Guide Reseaux