Interconnexion des sites · La DSI souhaite profiter de cette interconnexion des 3 sites pour...
Transcript of Interconnexion des sites · La DSI souhaite profiter de cette interconnexion des 3 sites pour...
GROUPE 1A – NANTES
Interconnexion des sites d’APC et supervision
Interconnecter les sites d’APC en utilisant un VPN/IPSec et superviser l’ensemble
ESPADA Alexandre, GIROD Patrick, CHARLES Jean-Michel, COUPPEY Julia
18/12/2014
PPE 4 Nantes ConnectCorp
2
PPE 4 : Interconnexion des sites d’APC et
supervision
Sommaire
1. SUJET ....................................................................................................................................................... 3
2. TABLEAU DE GANT ................................................................................................................................... 4
3. LES SOLUTIONS D’INTERCONNEXION ....................................................................................................... 5
4. VPN .......................................................................................................................................................... 6
5. MPLS ........................................................................................................................................................ 8
6. TABLEAU COMPARATIF DES SOLUTIONS ................................................................................................ 10
7. ARCHITECTURE ...................................................................................................................................... 11
8. INSTALLATION DU SERVEUR DE SUPERVISION ....................................................................................... 12
9. TEST DU VPN .......................................................................................................................................... 14
10. INSTALLATION DU VPN IPSEC ................................................................................................................ 16
PPE 4 Nantes ConnectCorp
3
1. Sujet
1.1. Objectif(s)
Dans un but d’uniformisation du Système d’Information (S.I.) d’APC et de réduction de la multiplication des applications métiers, la DSI a décidé d’interconnecter les 3 sites d’APC pour en former qu’un seul réseau logique ce qui permettra une rationalisation de la gestion des ressources informatiques partagées. Dans l’objectif d’assurer une continuité de service, la DSI du groupe souhaite superviser son infrastructure système et réseau.
1.2. Expression des besoins
Jusqu’à maintenant, les échanges d’informations se font uniquement par mail. Le système de gestion de l’entreprise est installé à l’identique sur les trois sites sans aucune synchronisation. Ce qui engendre des données non cohérentes. Cette situation gène les dirigeants dans la prise de décision lors de la gestion des projets. Vous êtes invités à participer à un projet d’unification du SI en interconnectant les 3 sites d’APC en formant un seul réseau logique et un seul système de gestion d’entreprise qui sera installé au siège.
La DSI souhaite profiter de cette interconnexion des 3 sites pour installer un système de supervision centralisé au siège.
Direction
de Lyon
Site de
Grenoble Site de
Casablanca
Site de
Nantes
s
PPE 4 Nantes ConnectCorp
4
2. Tableau de Gant
Tableau de Gant
Temps en heures
Date Séance 1
28/11/2014 Séance 2
04/12/2014 Séance 3
11/12/2014 Séance 4
18/12/2014 Membre 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
Explication du projet
Etude de la solution Ligne Spécialisée
Patrick
Etude de la solution VPN
Alex
Etude de la solution MPLS
Julia
Etude interfaces WAN
J-M
Architecture J-M
Comparatif des solutions
Test du VPN
J-M Julia
Mise en place du VPN
Installation Serveur de Supervision
Ajout des éléments à superviser
Alex
Test de la supervision
Documen-tation
PPE 4 Nantes ConnectCorp
5
3. Les Solutions d’interconnexion
3.1. Ligne Spécialisée Une ligne spécialisée est une liaison physique exclusive entre deux sites ou bâtiments distants. Sa mise en place et son exploitation sont assurées par un opérateur de télécommunication.
3.1.1. Avantages :
- Haute sécurité dû à l’exclusivité point-à-point de la liaison
- Un accès rapide permanent non limité en temps de communication.
- Une vitesse de transmission symétrique dans le sens transmission et réception, qui est adapté aux besoins de l'entreprise (transmission de mail, transmission de fichiers).
- Une disponibilité garantie, les communications étant totalement indépendantes du trafic téléphonique.
- Une facturation forfaitaire indépendante du volume et de la durée de vos transmissions de données ou d'appels téléphoniques.
- Généralement garantie d’intervention rapide en cas de panne
3.1.2. Inconvénients :
- Le débit proposé par ce service est en général très bas. Les débits offerts vont du moyen débit (2,4 Kbits/s à 48 Kbits/s) au plus haut débit (128 à 2048Kbits/s).
- Le coût de ce service est très élevé. Il faut compter environ 2000€ pour l'installation de la LS. Il faut de plus rajouter le forfait mensuel qui est fonction de la distance entre les deux bouts de la LS et du type de LS installé. Pour avoir un ordre de grandeur, une LS à 64 kbps coûte entre 600 et 1400€ d'abonnement mensuel, et les prix grimpent de façon exponentielle lorsque le débit augmente.
PPE 4 Nantes ConnectCorp
6
4. VPN 4.1. Fonctionnement
La connexion entre les ordinateurs est gérée de façon transparente par le logiciel de VPN, créant un tunnel
les deux sites :
Les ordinateurs connectés au VPN sont ainsi sur le même réseau local (virtuel), ce qui permet d’éviter des
restrictions sur le réseau (pare-feux, proxies).
4.2. Intérêt
4.2.1. Gestion du réseau
Un VPN permet d'accéder à des ordinateurs distants comme si l'on était physiquement sur le réseau local, on a
donc accès au réseau interne de l’entreprise.
Un VPN dispose généralement d'une passerelle permettant d'accéder à l'extérieur, ce qui permet de changer
l'adresse IP source de ses connexions, rendant plus difficile l'identification de l'ordinateur émetteur.
Cependant, l'infrastructure de VPN dispose d’éléments d’informations permettant de déterminer les actions
réalisées par les machines présentes au sein du réseau. Cela permet aussi de changer l'identification
géographique d'un utilisateur, pour accéder à des services disponible uniquement sur site.
L’utilisation d’un VPN est connue pour simplifier la configuration de routeurs.
En effet, cela permet que les nœuds du réseau qui doivent se parler soient tous sur le même réseau virtuel, et
ce quelle que soit la topologie physique existante.
4.2.2. Chiffrement
Les connexions VPN ne sont pas nécessairement chiffrées. Cependant il est possible que des éléments sur le
réseau puissent accéder au trafic du VPN, ce qui peut être dangereux dans le cadre d’échange de données
sensibles.
PPE 4 Nantes ConnectCorp
7
4.3. Protocoles utilisés :
Les principaux protocoles permettant de créer des VPN sont :
L2TP : (Layer Two Tunneling Protocol) il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPTP
(recommandé pour les utilisateurs nomades).
IPsec : est un protocole de niveau 3 permettant de transporter des données chiffrées pour les réseaux IP. Il
est comme un cadre de standards ouverts pour assurer des communications privées et protégées sur des
réseaux IP, par l'utilisation d’algorithme de sécurité cryptographiques.
SSL/TLS : offre une très bonne solution de tunnelisation. L'avantage de cette solution est de permettre
l'utilisation d'un navigateur Web comme client VPN.
OpenVPN : Bien qu'il fonctionne mieux sur un port UDP, il peut être configuré pour fonctionner sur
n'importe quel port, y compris le port TCP 443. Donc, il est impossible de dire s'il utilise la norme HTTP sur SSL,
il est donc extrêmement difficile à bloquer.
DPI : (Deep Packet Inspection) est l'activité pour un équipement d'infrastructure de réseau d'analyser le
contenu (au-delà de l'en-tête) d'un paquet réseau (paquet IP le plus souvent) de façon à en tirer des
statistiques, à filtrer ceux-ci ou à détecter des intrusions, du spam ou tout autre contenu prédéfini.
PPE 4 Nantes ConnectCorp
8
5. MPLS 5.1. Fonctionnement
La technologie MPLS consiste à doter les trames circulant sur le réseau d'une étiquette (label) servant à
indiquer aux routeurs le chemin que la donnée doit emprunter.
Ces chemins peuvent être établis de façon manuelle (par un administrateur) ou de façon automatique (par un
protocole de signalisation).
MPLS combine donc les principes du routage (IP) avec les principes de la commutation. Le routage du paquet se
fait à l’entrée du nuage et la commutation se fait à l’intérieur du nuage.
Dans un réseau MPLS on définit 3 types de routeurs :
CE : Customer Edge => routeur client
PE / LER : Provider Edge / Label Edge Router => point d’entrée sur le réseau MPLS
LSR : Label Switching Router => routeur de cœur de réseau
Nuage : réseau MPLS
Le routeur d'entrée reçoit le paquet labellisé, il identifie le prochain saut (LSR suivant), il met à jour le label et
l’envoie au nœud suivant.
Le label est une étiquette de 20 bits insérée dans un paquet :
Calcul : port d’entrée => @IP destination => label => port de sortie
InPort IpDest label OutPort
Eth1 82.10.234.0/16 L1 Eth4
On peut créer une étiquette en fonction de plusieurs critères :
- Selon la topologie (adresses IP)
- Selon le flux
- Selon le trafic
- Envoi au nœud suivant
PPE 4 Nantes ConnectCorp
9
5.2. Avantages
Production de profit
Suivi de l’´evolution d’IP
Souplesse
Neutralité vis à vis des couches adjacentes
Utilisation de l’existant
Evolutivité
Possibilité de mesures précises
5.3. Inconvénients
Manque d’homogénéité des équipements
Sous dimensionnement des routeurs MPLS
Difficulté à remplacer les réseaux existants
5.4. Prix
Liaison à 2Mb/s, symétrique, entre 2 sites, chez Orange : environ 1000euros TTC par mois
Accès au réseau
Qualité de service minimale
Accès secouru
Services supplémentaires en option
Augmentation de débit à la demande
MPLS est une technologie qui nécessite un abonnement à un Fournisseur d’Accès Internet.
Liens :
Schéma dynamique :
http://www.securite-
informatique.gouv.fr/autoformations/securite_reseaux_2/co/secu_reseau_2_CH04_UC02.html
http://igm.univ-mlv.fr/~dr/XPOSE2010/LesVPNMPLS/doc/[IR3][Xpose]-bdavenel-VPN_MPLS.pdf
PPE 4 Nantes ConnectCorp
10
6. Tableau Comparatif des Solutions
Critères Liaison spécialisée VPN MPLS
Fonctionnement Liaison physique point
à point Réseau privé virtuel sur l’internet public
Réseau privé d’un FAI
Facilité d’installation Difficile à installer Très facile Très facile
Facilité de configuration
Facile à configurer Facile à configurer
Facile avec un protocole de
signalisation puis géré par l’opérateur
Débit
Très bas - moyen débit (2,4
Kbits/s à 48 Kbits/s) - haut débit (128 à
2048Kbits/s)
Jusqu’à 50Mbits/s Faible à très élevé
De 512 Kbits/s à 100 Mbits/s
Sécurité Très haute
Selon les besoins, les protocoles L2TP, IPsec, SSL/TLS, et OpenVPN sont bien sécurisés.
Sécurité garantie
Prix
Installation : 2000€ Forfait Mensuel : 256Kbits/s : 360 € 2 Mbits/s : 1275 €
VPN IPSec : 26€HT/mois/site VPN/MPLS : 10€HT/mois/site VPN/SSL : 50€HT/mois/site
Liaison SDSL : 99€/mois
Liaison Fibre Optique : 649€/mois
Liaison ADSL : 39€/mois
Solution choisie : VPN IPSec
7. Architecture
Nuage
IPsec VPN
WAN 1 (P1)
WAN 2 (P2)
DMZ 1 (P6)
LAN 1 (P3)LAN
DMZ
RI
ZyXEL USG 100
RVPN
Site distant
8. Installation du serveur de supervision
8.1. Installation de la machine virtuelle Connexion à la plateforme avec vSphere
Carte réseau de la machine en 10.30.200.89 Passerelle : 10.30.200.254 DNS en 10.30.200.200 Cocher valider les paramètres en quittant Remarque : Lors de la première connexion, il faut installer des mises à jour, donc le temps des téléchargements, remettre la carte réseau en DHCP, puis la remettre dans le même réseau que la plateforme.
On exporte l’image disque du serveur vers le datastore de vSphere
Configuration > Stockage > Parcourir la banque de données (clic droit)
Créer la machine virtuelle avec l’ISO d’Eyes Of Network (EON) sous le système Linux RedHat 6 Entreprise 64bits
Remarque : Cocher la case « Connecter lors de la mise sous tension »
8.2. Installation du serveur de supervision
Sélectionnez « skip » puis « enter »
Au prochain affichage choisissez « suivant »
Ensuite sélectionnez « french » puis « suivant ».
Clavier : « fr-latinX»(latin9 intègre la touche €), choisir « suivant »
Sélection du media de stockage : « Périphérique de stockage basique »
Sélectionner Oui abandonner toutes les données
Nom d’hôte : ServSupervision Attention de bien cliquer sur la case « Configurer le réseau » avant de faire suivant Configurer le réseau :
Système eth0 > modifier > Paramètres IPv4 Méthode : Manuel
Adresse : 10.30.200.230 Masque : 255.255.255.0 Passerelle : 10.30.200.254 DNS : 10.30.200.200
Cocher « Connecter Automatiquement » « Appliquer… »
« Suivant »
PPE 4 Nantes ConnectCorp
13
Mot de passe root : sio2r@PPE
Utiliser tout l’espace, puis « suivant » Ecrire les modifications sur le disque
Minimal Choisir : « Personnaliser ultérieurement »
« Suivant »
Maintenant redémarrer le système
8.3. Interface Web d EON
Aller sur l’interface Web : 10.30.200.230
Pseudo et mot de passe par défaut : admin admin
Modifie l’utilisateur administration : Pseudo : root Mot de passe : sio2r@PPE
PPE 4 Nantes ConnectCorp
14
9. Test du VPN
9.1. Un point sur Zyxel
Entre deux lignes ADSL pour des besoins plus important en terme de débit.
Les ports WAN peuvent être configurés pour prendre uniquement en charge des plages d’adresses IP et/ou des
services spécifiés.
La configuration orientée objet permet à l'administrateur réseau de définir la sécurité dans le réseau et ce de
manière individuelle pour chaque utilisateur. Les technologies VPN intégrées (IPSec, SSL, L2TP) offrent une
grande flexibilité de connexion aux agences et utilisateurs distants.
Offrant un débit VPN allant jusqu'à 50 Mbps, le ZyWALL USG 100 est un concentrateur idéal pour relier des
sites distants.
La solution VPN hybride IPSec et SSL-VPN permet d'accéder au réseau à distance de manière sécurisée.
9.2. Points forts du ZyXEL USG 100
Débit maximum de 225 Mbps pour les connexions pare-feu SPI, testé au laboratoire (test basé sur RFC 2544 - UDP, 1518 octets).
Débit maximum de 90 Mbps pour les connexions VPN, testé au laboratoire (test basé sur RFC 2544 - AES, UDP, 1424 octets).
Il est possible d'établir 2 connexions WAN max. vers l'Internet.
50 tunnels simultanés au maximum pour les connexions VPN IPSec.
25 connexions utilisateur SSL simultanées max.
PPE 4 Nantes ConnectCorp
15
9.3. Les 2 ports WAN (Dual WAN)
Les 2 ports WAN Ethernet Gigabit prennent en charge deux connexions haut débit, soit en mode équilibrage de
charge, soit en mode basculement.
Le mode équilibrage de charge fournit un débit maximal, en utilisant les deux connexions WAN pour
répartir le trafic entre les deux connexions haut débit, éventuellement entre différents fournisseurs
d'accès.
Une charge équilibrée du réseau permet d’éviter les temps d’arrêt et permet au personnel, d’accéder
en toute sécurité à votre réseau via Internet à l’aide d’un seul routeur
En mode basculement, le second port WAN peut être configuré pour assurer une connexion de
secours en cas d'interruption de service sur votre connexion principale, vous disposez ainsi d'une
seconde garantie de fiabilité.
Vous pouvez définir manuellement le pourcentage de bande passante du WAN
Avantages Inconvénient Débit
1 Port accès Internet (WAN 1)
+ 1 Port Accès VPN
(WAN 2)
Séparation des accès pour une meilleure sécurité (mode équilibrage)
Pas de possibilité de basculement en cas d’interruption de service
- Configuration manuelle possible
- Débit maximal pour le VPN de 50Mbps
1 Port avec accès Internet et VPN
(WAN 1)
Le WAN 2 peut être configuré pour assurer une connexion de secours en cas d'interruption de service (mode basculement)
Menace d’intrusion extérieure plus élevé
- Débit maximal de 225Mbps
PPE 4 Nantes ConnectCorp
16
10. Installation du VPN IPSec Le tunnel VPN passera par l’interface WAN 2. L’adresse des interfaces WAN sur le routeur Nantes sera 192.168.99.2 et sur le routeur de Lyon 192.168.99.1. Le WAN2 sera renommé en VPNversLYON. Matériel nécessaire :
- 1 boîtier Zyxel USG 100 initialisés (réglages usine)
- 1 Poste avec Windows XP (connecté en administrateur)
- Accès internet depuis XP
10.1. Principes de configuration
La configuration IPSEC doit être effectuée de la même façon sur les deux dispositifs de sécurité.
Lors de la création d’un tunnel VPN IPSEC, ce dernier se monte en 2 phases successives:
Phase 1 : Echange de clés (IKE : Internet Key Exchange) : authentification et encryption
Phase 2 : Création de la SA (Security Association) (il est possible d’avoir plusieurs SA sur une même « phase1 »
Dans la configuration des USG, il est possible (et très souhaitable !) de travailler sur des objets que
nous allons nommer et sur lesquels nous allons pouvoir travailler. Si l’un de ces objets change de
propriété (ex : changement d’adresse IP), il ne sera ainsi pas nécessaire de modifier toutes les
connexions sur lesquelles il intervient mais simplement sur sa propriété « adresse IP ».
1. Création adresse Il faut donc créer un objet « LYON_VPN » sur chacun des routeurs en utilisant le bouton « add » dans le menu
PPE 4 Nantes ConnectCorp
17
2. De même avec « NANTES_VPN»
Dans le champ Network figure l’adresse du réseau local
3. Sélectionnez dans le menu de droite puis cliquez sur l’onglet VPN Gateway
Dans VPN Gateway Name, on choisit un nom.
Dans My Address > Interface, on sélectionne la WAN2 (VPNversLYON) et dans Peer Gateway Address> Static
Address Primary, on sélectionne l’adresse du WAN2 du routeur à atteindre, soit Lyon.
PPE 4 Nantes ConnectCorp
18
Enfin dans Authentication>Pre-Shared Key on met la clé commune secrète.
4. Après validation de votre configuration, ré-éditez-la et activez en haut à gauche de l’écran.
Des paramètres cachés apparaissent :
DES : Data Encryption System. C’est un protocole symétrique de cryptage (qui utilise la même clé de cryptage
et de décryptage (« motdepassesecret » ici !))
MD5 : (Message Digest 5) est une fonction mathématique appelée fonction de hachage cryptographique qui
calcule, à partir d'un fichier numérique, son empreinte numérique.
Le résultat est une valeur de 128 bits (ou 32 caractères hexadécimaux). C’est le même principe que la clé RIB ou
la clé sur votre numéro de sécurité sociale.
A la fin de la phase 1, les deux dispositifs USG possèdent une clé commune secrète qu’ils peuvent utiliser pour
crypter et décrypter leurs données avec un maximum de sécurité.
PPE 4 Nantes ConnectCorp
19
10.2. Mise en place de la phase 2 : Etablissement de la SA (Security Association)
Dans les onglets du VPN, choisissez maintenant « VPN Connection »
5. Ajoutez une nouvelle connexion
On sélectionne une connexion site-to-site. Dans VPN Gateway, on sélectionne le nom choisit précedemment. Et
dans Policy, on met le réseau local (NANTES) et le réseau distant (LYON).
6. Après validation de votre configuration, ré-éditez-la et activez en haut à gauche de l’écran.
Des paramètres cachés apparaissent :
PPE 4 Nantes ConnectCorp
20
Wikipédia : « Le protocole ESP permet de combiner, à volonté, plusieurs services de sécurité comme la confidentialité des données par l'utilisation d'un système de chiffrement; l'authentification du paquet et de son émetteur (l'adresse source du paquet est celle de l'émetteur); l'intégrité des données (aucune altération volontaire ou non du paquet durant le transport) et l'unicité du paquet (pas de rejeu).
Par opposition à l'Authentication Header (AH), qui ajoute seulement un en-tête supplémentaire au paquet IP, ESP chiffre les données puis les encapsule. »
SHA : Secure Hash Algorithm Fonction de Hachage (comme MD5 vue précédemment).
10.3. Création d’une route entre les réseaux LAN pour utiliser le tunnel
7. Dans le menu Network / Routing, ajoutez une route :
Dans, Source Address on sélectionne le réseau local (NANTES_VPN) et dans Destination Address on sélectionne
le réseau à atteindre (LYON_VPN)
Dans la partie Next-hop, on sélectionne en type VPN Tunnel, et dans VPN Tunnel on met le nom de la VPN
connection définie plus tôt.
Il ne reste plus qu’à activer la connexion VPN.
Dans le menu VPN / IPSEC, choisissez VPN Connection
PPE 4 Nantes ConnectCorp
21
8. Activez la connexion VPN après l’avoir sélectionnée en cliquant sur
Si tout se passe bien, le pictogramme indique que la connexion VPN est active.
10.4. Test de la connexion VPN
On ping deux postes chacun dans le réseau Nantes et le réseau Lyon.
11. Supervision
11.1. Le service SNMPD
Configuration de la communauté d’EoN:
Dans le menu Administration, Généralités/snmp changer le nom par défaut de la communauté par
APCintra :
Configuration de SNMP sur les hôtes :
Afin de pouvoir superviser les hôtes voulus, Il est obligatoire d’activer le protocole SNMP sur ces
derniers mais il faut aussi intégrer le nom de communauté EoN sur tous les hôtes à supervise.
Comme vu plus haut, nous utiliserons la communauté APCintra.
Pour les équipements Cisco :
>enable
#configuration terminal
#(config)snmp-server community APCintra
Le contact prédéfini dans EoN se nomme admin, on définira une adresse mail sur ce profil afin de
recevoir les alertes en cas d’arrêt ou de panne.
Menu Administration, Nagios/configuration, suiver le lien Contacts :
PPE 4 Nantes ConnectCorp
22
Le lien admin permet de configurer ce contact :
Nous retrouvons les paramètres de notification, notamment :
- "Host Notification On" : Notification liées à l’équipement
- "Service Notification On" : Notification liées à un service
Cliquer sur Edit afin de saisir l’adresse mail voulue.
11.2. Ajout d’un hôte
Menu Administration, Nagios/équipements (ou Menu Administration, Nagios/configuration, lien
Network).
Ajout d’un équipement :
- Utiliser le lien "Add A New Child Host" et renseigner les
informations : Host Name, Host Description, Address, Display Name
- Utiliser le bouton "Add Host" pour ajouter l’hôte à la communauté.
- sélectionner la catégorie Inheritance, et choisissez le Template
"GENERIC_HOST" :
PPE 4 Nantes ConnectCorp
23
Valider avec le bouton "Add Template".
Transfert d’un équipement dans Nagios Utiliser le lien Tools en haut à droite.
Utiliser le lien Exporter :
cliquer sur le bouton Restart (Job) afin d’actualiser les hôtes supervisés dans la communauté :
Attendre le message Export Job ... Successfully :
Il est indispensable de faire cette manipulation à chaque fois que vous ajoutez ou supprimez des
hôtes dans la communauté. Parfois, il arrive que le job ne redémarre pas : il faut vérifier que l’hôte
est disponible sur le réseau et qu’il dispose d’un Template adapté (par défaut mettre
« GENERIC_HOST »)
Vue de l’équipement dans Nagios
Dans le menu Disponibilités, Évènements/vue équipements :
Après avoir redémarré votre job, le serveur doit normalement être apparu et être opérationnel
comme ci-dessous
Si l'état du serveur que vous avez ajouté est "Status : PENDING", il faut cliquer sur PENDING pour
faire apparaitre une fenêtre qui permet de relancer la commande de supervision de l'équipement à
l'aide du bouton "submit command for 1 host".
PPE 4 Nantes ConnectCorp
24
Un Template, un service, un Template de service,