Qu'est-ce qu'un VPN? 1 Qu'est-ce qu'un VLJJJ PN?

VPN est l'acronyme de Virtual Private Network, ou rseau priv virtuel. Un VPN utilise l'Internet comme mcanisme de transport, en maintenant la scurit des donnes sur le VPN.

Mais c'est quoi, en vrai, un VPN?

Et bien il y a plusieurs rponses cette question. Cela dpends vraiment de l'apparence du rseau. En gnral, on dispose d'un rseau principal unique, avec des noeuds distants qui utilisent le VPN pour gagner un accs complet au rseau central. Les noeuds distants sont gnralement des bureaux loigns, ou des employs travaillant partir de chez eux. Il est aussi possible de relier deux rseaux plus petits (ou mme plus grands!) pour former un seul rseau encore plus grand.

Alors, a marche comment?

Pour simplifier, pour raliser un VPN, vous crez un tunnel scuris entre deux rseaux et l'utilisez pour router les datagrammes IP. Au cas ou vous seriez dj perdu, vous devriez lire Le Linux Networking Overview HOWTO pour vous informer au sujet des rseaux sous Linux.

Prire de ne pas m'en vouloir, mes schmas ASCII mriterait un peu plus de travail.

\ ---------

\ / / ---------

Rseau ______| Routeur |______\ Internet \_____| Routeur |______ Rseau Distant --------/ / | Client \ | \ / / --------| Serveur | Priv

Routeur Client ---------------------------------------------------| /-> 10.0.0.0/255.0.0.0 | |--> \ | |--> Tunnel>---\ | |--|----> Internet | | |

Rseau

172.16.0.0/255.240.0.0

Distant>---|--|--> 192.168.0.0/255.255.0.0 / 192.168.12.0 | | |

\-----> 0.0.0.0/0.0.0.0 --> Masquarade IP>--/

---------------------------------------------------Routeur Serveur ----------------------------------------------------

| |

/-> /--> Tunnel>--|-->

10.0.0.0/255.0.0.0 172.16.0.0/255.240.0.0

|--|----> Rseau | Priv

Internet>--|--| | | |

\--> 192.168.0.0/255.255.0.0 / |

172.16.0.0/12 192.168.0.0/16

\-----> 0.0.0.0/0.0.0.0 -----> /dev/null

---------------------------------------------------Le diagramme ci-dessus montre comment le rseau peut tre mis en place. Si vous ne savez pas ce qu'est la masquarade IP, vous ne devriez probablement pas tre ici. Allez lire Le Linux Networking Overview HOWTO et revenez une fois inform.

Le routeur client est une machine Linux tenant le rle de passerelle/firewall pour le rseau distant. Comme vous pouvez le voir, le rseau distant utilise le rseau local 192.168.12.0. Pour plus de simplicit dans le diagramme, j'ai laiss les informations de routage sur les routeurs. L'ide de base est de router le trafic destin aux rseaux privs (10.0.0.0, 172.16.0.0, et 192.168.0.0) via le tunnel. L'installation montre ici est une manire de le faire. C'est dire qu'alors que le rseau distant peut voir le rseau priv, le rseau priv ne peut pas ncessairement voir le rseau distant. Pour que ceci arrive, il faut spcifier que les routes sont bidirectionnelles.

Vous devriez aussi remarquer sur le schma que tout le trafic sortant du routeur client apparat comme en provenant, c'est dire qu'il porte toujours la mme adresse IP. Vous pouvez router les valeurs vritables de l'intrieur de votre rseau, mais cela induit une grande diversit de problmes de scurit.

2.2 SSH et PPP

Le systme que je dcris pour implmenter un VPN utilise SSH et PPP. Schmatiquement, je me sers de ssh pour crer une connexion protge par tunnel, puis utilise pppd pour y dmarrer le trafic TCP/IP. C'est ainsi que le tunnel est mis en place.

Le vritable truc pour faire fonctionner ssh et pppd ensemble correctement est l'utilitaire crit par Arpad Magosanyi qui permet la redirection de l'entre et de la sortie standard vers un pseudo tty. Ceci permets pppd de parler au travers de ssh comme s'il s'agissait d'une liaison srie. Du ct du serveur, pppd est lanc comme interpreteur de commande utilisateur dans la session ssh, compltant le lien. Aprs cela, tout ce qu'il reste a faire est de raliser le routage.

2.3 Systmes VPN alternatifs

Il y a bien sur d'autres moyens de mettre en place un VPN, dont voici quelques exemples.

PPTP

PPTP est un protocole Microsoft pour les VPN. Il est support sous Linux, mais est connu pour avoir de nombreux problmes de scurit. Je ne dcris pas ici la manire de l'utiliser, tant donn que ce thme est couvert par Linux VPN Masquerade HOWTO.

IPSec
IPSec est un ensemble de protocoles diffrents de SSH. Franchement, je n'en connais pas normment son sujet. De fait, si quelqu'un veut m'aider d'une description, je lui en serais trs reconnaissant. Encore une fois, je ne dcris pas comment l'utiliser tant donn que le Linux VPN Masquerade HOWTO couvre le sujet.

CIPE
CIPE est un systme de chiffrement au niveau noyau probablement mieux adapt aux dispositifs d'entreprise. Vous pourrez en savoir plus sur la page de CIPE. J'envisage de m'y intresser plus srieusement, et aurais donc peut tre plus d'informations son sujet bientt.

Exercice: architecture d'un rseau d'entreprise

13.1. Architecture globale du rseau - 13.2. Connexions du rseau administration - commercial 13.3. Connexions btiment fabrication - commande - 13.4. Connexion globale de rseau - 13.5. Un autre point de vue: mlange de protocoles sur le rseau Voyons un cas concret de l'architecture d'une installation rseau (appareils mettre en oeuvre) dans une entreprise. Ce chapitre rassemble pratiquement l'ensemble du cours hardware 2, sauf le paramtrage des appareils rseaux. Comme exercice, 2 btiments connecter distants de 80 mtres (pas de chance, une route au milieu donc un rseau sans fils). Chaque btiment dispose de deux tages avec 2 dpartements diffrents (soit 4 dpartements). Je veux absolument des niveaux de scurit (hardware) pour que chaque PC d'un dpartement ne puissent (sauf autorisation par station de travail) se connecter sur un autre dpartement. En hardware, seules deux solutions sont donc utilisables, les routeur firewall et les switchs administrables. Cette solution de protection sera en pratique couple avec des protections logicielles qui sont repris dans les autres cours "Technicien PC / Rseau" comme le cours Windows. Les dpartements sont
1. Btiment 1: 80 PC de fabrication (pas d'accs INTERNET) et 1 serveur avec un logiciel ddi. Distance maximum avec le serveur 100 mtres que nous appellerons Fabrication. Ce dpartement rassemble la fabrication, les stocks, gestion des transports, ... C'est le dpartement protger. Un arrt d'usine de 1 heure cote nettement plus chre l'entreprise qu'un arrt de 2 jours de la comptabilit.

2. Btiment 1: 10 ordinateurs de gestion de commandes et 1 serveur ddi. Certains d'entre eux peuvent avoir accs au service du serveur de la fabrication sur un rayon de 30 mtres. Pas d'accs INTERNET, ni vers le btiment 2. Nous appellerons ce dpartement commande 3. Btiment 2: 10 PC administratifs: direction, comptabilit, sur un rayon de 30 mtres. Noue appellerons ce dpartement Administration 4. Btiment 2: 10 commerciaux. et services divers sur un rayon de 30 mtres. Nous appellerons ce dpartement commercial.

Le btiment 2 abrite un petit serveur de fichier (documents Word, Excel, ...) et un serveur d'application (comptabilit), appel serveur administratif. Certains PC peuvent avoir accs au serveur "gestion de commande". Le btiment 2 (administration et commercial) doit avoir un accs scuris sur INTERNET via une ligne ADSL. Il doit tre possible pour les commerciaux de se connecter au serveur de l'entreprise distance via INTERNET. Donnez le schma de l'installation reprenant les serveurs, concentrateurs utiliss (hub, switch, routeur, nombre de ports), types de liaisons, cbles droits ou croiss, Dans le cas o vous utilisez un HUB ou un switch, expliquez. Je ne demande pas explicitement la marque et l'appareil de chaque concentrateur. Attention qu'un switch de 80 ports, ce n'est pas courant, manageable? L'installation du rseau doit tre complte, pensez aux scurits installer (protections lectriques, sauvegarde) et aux types de serveurs utiliss. Je ne parle pas de scurit via mots de passe, mais bien par des paramtrages TCP/IP ou des matriels informatiques: c'est nettement plus sr. Comme le matriel informatique rseau peut tomber en panne, le matriel doit tre standardis (par exemple les switch) pour que l'on puisse utiliser un minimum de matriel de rserve: maximum de concentrateurs de mme type et capacit pour l'ensemble du rseau pour n'utiliser qu'un appareil de remplacement pour toute l'entreprise. Je ne demande pas les paramtrages des appareils, juste la structure du rseau ethernet. Ne vous occupez pas trop du budget, mais choisissez les caractristiques en gestionnaire informatique responsable (pas la peine d'utiliser de l'Ethernet Gigabit sur fibre optique pour connecter les stations).

13.1. L'architecture globale.

Pour faciliter la mise en place de l'architecture de notre rseau, examinons les appareils mettre en oeuvre. Nous utiliserons les dessins suivants pour faciliter l'analyse du schma global du rseau.

Serveur rseau

Switch manageable: autoriser (ou Switch (prfrable) ou Hub bloquer) certaines connexion de PC vers Ethernet (ici un des1024d de PC (ou plutt de groupes de PC), en plus Dlink 24 ports 10/100) des mots de passe sessions utilisateurs grs par le systme d'exploitation

Routeur sans fils Wifi, utilisable comme routeur et comme pont. Nous pourrions utiliser un simple switch sans fils dans notre cas.

Un cble RJ 45 crois

modem Un firewall - VPN permet le routeur partage de la connexion ADSL. Il Internet et l'accs de peut tre l'extrieur au rseau de utilis l'entreprise comme simple modem en mode pont

Routeur firewall intgr permet de scuris les connexions en bloquant certains ports et / ou certaines plages d'adresses.

un simple routeur

NAS pour la sauvegarde de fichiers Un dpartement avec les PC associs

UPS: protection lectrique Sauvegarde sur bande SDLT par onduleur Analysons le problme en fonction des diffrentes parties et des sens de communication autorises. Ceci va scinder le problme et envisager en gros les appareils utiliser au niveau connexion, routage et scurit.

Les dpartements administration et commerciaux ne sont pas trs diffrents. Ils utilisent tous deux: INTERNET (ce sont les seuls), les mmes serveurs (un serveur de fichier et un petit serveur d'application). Par contre, un ordinateur de l'administration doit pouvoir se connecter sur le dpartement commande (mais pas sur le dpartement fabrication), le dpartement commercial ne peut en aucun cas se connecter sur les dpartements commande et fabrication. L'accs d'INTERNET vers les serveurs du btiment 2 (administration et commercial) nous oblige utiliser un firewall VPN pour la connexion INTERNET (ici un srie 100 de symantec) et un modem ADSL (ici un tornado 812 utilis en pont. Avec les 20 PC repris dans le btiment 2, il n'y a pas besoin d'un appareil trs puissant, mais suffisamment scuris. Comme l'accs de l'extrieur est possible, la connexion doit tre de type IP fixe. Ceci nous donne une bonne marche de manoeuvre pour les connexions.

En noir les communications autorises (mme avec des blocages), en rouge celles qu'il faut bloquer. Ca donne une bonne ide de la structure globale de l'installation. La route entre les deux btiments va nous bloquer avec une liaison sur cuivre ou fibre optique. Nous devrons dj utiliser une liaison sans fils, de type WIFI 802.11G 54 Mb/s. Comme les vitesses de communications ne sont pas trop importantes, l'utilisation de 100 base T (ventuellement 1000 Base T pour les serveurs) est suffisante pour l'ensemble du rseau.

13.2. Connexion dpartement administratif et commercial

La connexion entre administration et commercial doit laisser passer certaines communications (mais pas toutes). En plus, ils utilisent les mmes serveurs. Nous pouvons utiliser soit deux classes d'adresses diffrentes (d'o l'emploi de routeurs pour relier les 2 dpartements), soit un switch manageable (et donc bloquer ou autoriser certaines connexions) en utilisant la mme classe d'adresses IP. Utiliser 2 routeurs pour les communication complexe le paramtrage. Choissions la solution mme classe d'adresse (par exemple 192.168.10.X) pour l'ensemble des deux dpartements et bloquons les accs au niveau d'un switch manageable.

Les dpartements utilisent un serveur d'application et un petit serveur de fichier. Comme serveur de fichier, pour rduire les cots, utilisons un NAS. Comme nous devons connecter 20 PC + 1 serveur +1 NAS + 1 connexion btiment 1, l'appareil reprsenter (20 ports + 2 Giga) serait insuffisant mais nous pourrions utiliser un switch 8 ports additionnels. Les NAS sont rarement en 1000 Base T. Pour la connexion vers le deuxime btiment nous devons utiliser une connexion sans fils. Comme le btiment 2 peut avoir la connexion vers le dpartement commande (pas vers la fabrication) nous allons utiliser des classes d'adresses diffrentes pour le btiment 1. Ceci ncessite l'emploi d'un routeur. Comme la connexion doit tre scuris (bloque partir du btiment 1 vers 2) plus l'interdiction de connexion INTERNET vers le btiment 2, utilisons un routeur firewall et un routeur 802.11B en pont. Dans ce cas, le firewall ne va pas tre utilis pour bloquer des ports: dans un rseau interne, les ports dynamiques (1024 - 65535) sont utiliss de manire alatoire pour les communications rseaux internes, nous ne pouvons pas les bloquer. Nous allons uniquement bloquer les communications sur les plages d'adresses. Par exemple bloquer les communications de l'adresse IP du VPN vers le btiment 2. Une autre solution pour bloquer l'accs "Fabrication" - "administratif" serait de scuris le rseau sans fils en fonction des adresses mac des PC du dpartement administration, voire scurit des rseaux sans fils dans la rubrique How to? Voici notre schmas matriel rseau pour le btiment 2.

13.3. Connexion Btiment fabrication - commande

Les communications usine vers commande sont interdites. Seules les communications commandes vers usines sont autorises (sous certaines rserves). Nous avons de nouveau 2 possibilits d'utilisation des classes d'adresses IP. Soit deux classes diffrentes avec l'emploi de routeur, soit la mme classe d'adresse avec un switch manageable (au choix).

Cas 1: utilisation de 2 classes d'adresses diffrentes.

L'utilisation d'un routeur (et donc 2 classes d'adresses) va augmenter la scurit. L'utilisation d'un routeur avec firewall n'est pas obligatoire puisque la communication bidirectionnelle ncessite deux routeurs alors que nous utilisons la communication uniquement de commande vers fabrication. Ceci empche dj l'usine de se connecter vers le dpartement commande. La scurit partir d'Internet est dj assure pour rappel avec le VPN et le firewall plac la sortie du btiment administratif vers le routeur WIFI. De mme, pour les communications du btiment 1 vers le btiment 2, nous pouvons soit utiliser un routeur WIFI en mode pont et un firewall (cas ci-dessous), soit un routeur WIFI sans firewall. La scurit est de toute faon assure par le firewall de l'autre ct de la liaison sans fils.

Le nombre de switch 24 ports pour la partie fabrication a volontairement t rduite pour la clart du schma. Il nous en faudrait minimum 4, voire 5 pour avoir des lignes de rserves. L'utilisation d'un seul switch de 96 ports pourrait poser des problmes de longueur de cbles et en cas de panne de ce seul appareil, toute la fabrication serait bloque. L'utilisation de multiples switch 24 ports permet d'en avoir 1 de rserve pour l'ensemble du btiment. Le serveur fabrication doit tre raccord sur le premier switch de la fabrication L'utilisation d'un routeur firewall entre le switch et la connexion WIFI 802.11B n'est pas ncessaire si un firewall est install de l'autre ct. Ils feraient double emploi (ce qui n'est pas trop grave) mais obligerait une configuration plus complexe de l'infrastructure.

Cas 2: utilisation d'une mme classe d'adresse avec switch manageable.

Dans ce cas, tous les PC sont dans la mme classe d'adresse, l'utilisation d'un routeur (ou routeur - firewall) n'est plus ncessaire entre les deux dpartements., c'est le switch manageable qui va accepter ou bloquer les communications. Dans ce cas (et contrairement la solution prcdente), on peut bloquer les communications de manire hardware entre les PC des commandes et les PC de fabrication).

Cette solution est nettement plus chre (mais plus scurise). Elle permet nanmoins de raccorder les serveurs en 1000 base T sur le switch manageable. Les distances entre chaque PC, serveurs et concentrateurs sont respectes puisque qu'en 100 base T en 1000 base T, la distance maximum est de 100 mtres. Pour rappel, les switch manageables travaillent gnralement avec les adresses MAC. En cas de panne d'un PC avec change standard (ce qui se fait en pratique pour minimiser l'arrt), on risque de devoir reprogrammer le switch. Ce n'est pas forcment du niveau de tous les techniciens de maintenance d'usine (sans compter les mots de passe administrateurs pour paramtrer le switch). Par contre, certains modles acceptent le regroupement de station suivant le protocole IGMP.

13.4. Connexions globales du rseau

Il ne reste plus qu' relier les 2 rseaux de l'entreprise et positionner nos scurits (UPS et sauvegarde) et choisir les serveurs. Les serveurs utiliss pour le btiment 2 et les commandes sont en fait de petits serveurs. Par contre, le serveur utilis en fabrication est un serveur d'application muscl (avec logiciel ddi) de type bi-processeur. Pour des raisons de scurit des donnes, nous utilisons des serveurs SCSI RAID 1 ou mieux RAID 5. Plus le processeur est gros plus il consomme. L'UPS (de type On-Line de prfrence) devra tre en rapport. Pour rappel, la puissance de l'UPS = puissance consomme par le serveur X 1,6. Pour un serveur consommant 800 W (cran compris), la puissance de l'UPS est donc de 800X1,6=1280 W.

Pour la sauvegarde des donnes, nous utiliserons des bandes de type DAT ou Super DLT pour les capacits de ces technologies, mais galement au niveau vitesse de sauvegarde.

13.5. Un autre point de vue de cette connexion: mlange de protocoles.

Dans les montages ci-dessus, nous avons utilis exclusivement le protocole TCP/IP. Il en existe 2 autres: l'IPX et le NetBeui. Le NetBeui n'est pas routable, l'IPX (utilis principalement par les rseaux NOVELL), oui. Le schma suivant va mlang des protocoles. Pour accder un serveur, le PC doit utiliser le mme protocole (mais il peut en utiliser plusieurs en mme temps). Dans le cas du btiment 2 administratif, comme on utilise Internet, TCP/IP est obligatoire. Par contre, dans le btiment 1 (commande et fabrication), INTERNET est interdit en sortie comme en entre (intrusion). Nous allons nettement rduire le nombre d'appareils en utilisant dans le btiment 1 uniquement le protocole IPX et pour le btiment 2, les PC qui doivent se connecter sur la partie commande utiliserons IPX et TCP/IP. Cette faon de procder bloquera toutes les tentatives d'intrusion directes d'Internet vers le btiment 1. Par contre, la connexion du dpartement commande vers Fabrication (et vis versa) sera uniquement bloqu par les droits de sessions et les communications pourront galement passer du btiment 1 vers les PC IPX du btiment 2. Il suffit de bloquer les partages dans le btiment 2 en IPX.

Dans ce cas, nous remplaons un switch manageable par un simple switch (avec d'autres du mme type utiliss sur l'ensemble du rseau) et plus aucun firewall dans l'ensemble du rseau ( part le VPN pour INTERNET). Cette solution n'est pas envisager pour une usine de 500 PC, mais bien pour des moyennes structures.

13.6. Les erreurs et remarques de l'examen

Aprs correction, je reprend les erreurs de l'architecture du rseau. Sont reprises ici quelques remarques et erreurs de l'examen.
1. Rseau btiment 2: 2 classes d'adresses IP diffrentes pour administratif et commerciaux relis tous deux sur les ports d'entre du VPN (connexion INTERNET correcte) mais pas de routeur entre les deux. Dans ce fait, pas d'interconnexion entre les 2 groupes de PC mais plus grave, 1 seul dpartement sur les 2 aura accs au serveur et au NAS. Bref, l'infrastructure rseau du btiment 2 ne fonctionne pas. 2. 2 classes d'adresses diffrentes pour commande et fabrication. Les PC commandes branchs sur un routeur 16 port (suis pas sr que cela existe) et branch sur un HUB 8 port qui est reli sur 5 hub 24 ports pour la fabrication. Comme le serveur Fabrication est une application ddie, on prsume que les PC ne se connecteront pas entre eux mais tous vers le serveur leur tour avec quelques problmes de collisions (le serveur rpondra chacun son tour, ce qui peut tre correct). Par contre, l'utilisation d'un

Hub comme tte de pont entre le routeur commande et les diffrents HUB fabrication va directement ralentir l'ensemble du rseau ethernet. 3. Utilisation de 2 firewall (1 de chaque ct du pont WIFI sans fils), configuration de l'architecture du rseau plus complexe, peut tre remplac par une scurit de type WPA-2