Professional Documents
Culture Documents
VPN est l'acronyme de Virtual Private Network, ou rseau priv virtuel. Un VPN utilise l'Internet comme mcanisme de transport, en maintenant la scurit des donnes sur le VPN.
Prire de ne pas m'en vouloir, mes schmas ASCII mriterait un peu plus de travail.
\ ---------
\ / / ---------
Rseau ______| Routeur |______\ Internet \_____| Routeur |______ Rseau Distant --------/ / | Client \ | \ / / --------| Serveur | Priv
Routeur Client ---------------------------------------------------| /-> 10.0.0.0/255.0.0.0 | |--> \ | |--> Tunnel>---\ | |--|----> Internet | | |
Rseau
172.16.0.0/255.240.0.0
| |
10.0.0.0/255.0.0.0 172.16.0.0/255.240.0.0
Internet>--|--| | | |
\--> 192.168.0.0/255.255.0.0 / |
172.16.0.0/12 192.168.0.0/16
---------------------------------------------------Le diagramme ci-dessus montre comment le rseau peut tre mis en place. Si vous ne savez pas ce qu'est la masquarade IP, vous ne devriez probablement pas tre ici. Allez lire Le Linux Networking Overview HOWTO et revenez une fois inform.
Le routeur client est une machine Linux tenant le rle de passerelle/firewall pour le rseau distant. Comme vous pouvez le voir, le rseau distant utilise le rseau local 192.168.12.0. Pour plus de simplicit dans le diagramme, j'ai laiss les informations de routage sur les routeurs. L'ide de base est de router le trafic destin aux rseaux privs (10.0.0.0, 172.16.0.0, et 192.168.0.0) via le tunnel. L'installation montre ici est une manire de le faire. C'est dire qu'alors que le rseau distant peut voir le rseau priv, le rseau priv ne peut pas ncessairement voir le rseau distant. Pour que ceci arrive, il faut spcifier que les routes sont bidirectionnelles.
Vous devriez aussi remarquer sur le schma que tout le trafic sortant du routeur client apparat comme en provenant, c'est dire qu'il porte toujours la mme adresse IP. Vous pouvez router les valeurs vritables de l'intrieur de votre rseau, mais cela induit une grande diversit de problmes de scurit.
Le vritable truc pour faire fonctionner ssh et pppd ensemble correctement est l'utilitaire crit par Arpad Magosanyi qui permet la redirection de l'entre et de la sortie standard vers un pseudo tty. Ceci permets pppd de parler au travers de ssh comme s'il s'agissait d'une liaison srie. Du ct du serveur, pppd est lanc comme interpreteur de commande utilisateur dans la session ssh, compltant le lien. Aprs cela, tout ce qu'il reste a faire est de raliser le routage.
PPTP
PPTP est un protocole Microsoft pour les VPN. Il est support sous Linux, mais est connu pour avoir de nombreux problmes de scurit. Je ne dcris pas ici la manire de l'utiliser, tant donn que ce thme est couvert par Linux VPN Masquerade HOWTO.
IPSec
IPSec est un ensemble de protocoles diffrents de SSH. Franchement, je n'en connais pas normment son sujet. De fait, si quelqu'un veut m'aider d'une description, je lui en serais trs reconnaissant. Encore une fois, je ne dcris pas comment l'utiliser tant donn que le Linux VPN Masquerade HOWTO couvre le sujet.
CIPE
CIPE est un systme de chiffrement au niveau noyau probablement mieux adapt aux dispositifs d'entreprise. Vous pourrez en savoir plus sur la page de CIPE. J'envisage de m'y intresser plus srieusement, et aurais donc peut tre plus d'informations son sujet bientt.
2. Btiment 1: 10 ordinateurs de gestion de commandes et 1 serveur ddi. Certains d'entre eux peuvent avoir accs au service du serveur de la fabrication sur un rayon de 30 mtres. Pas d'accs INTERNET, ni vers le btiment 2. Nous appellerons ce dpartement commande 3. Btiment 2: 10 PC administratifs: direction, comptabilit, sur un rayon de 30 mtres. Noue appellerons ce dpartement Administration 4. Btiment 2: 10 commerciaux. et services divers sur un rayon de 30 mtres. Nous appellerons ce dpartement commercial.
Le btiment 2 abrite un petit serveur de fichier (documents Word, Excel, ...) et un serveur d'application (comptabilit), appel serveur administratif. Certains PC peuvent avoir accs au serveur "gestion de commande". Le btiment 2 (administration et commercial) doit avoir un accs scuris sur INTERNET via une ligne ADSL. Il doit tre possible pour les commerciaux de se connecter au serveur de l'entreprise distance via INTERNET. Donnez le schma de l'installation reprenant les serveurs, concentrateurs utiliss (hub, switch, routeur, nombre de ports), types de liaisons, cbles droits ou croiss, Dans le cas o vous utilisez un HUB ou un switch, expliquez. Je ne demande pas explicitement la marque et l'appareil de chaque concentrateur. Attention qu'un switch de 80 ports, ce n'est pas courant, manageable? L'installation du rseau doit tre complte, pensez aux scurits installer (protections lectriques, sauvegarde) et aux types de serveurs utiliss. Je ne parle pas de scurit via mots de passe, mais bien par des paramtrages TCP/IP ou des matriels informatiques: c'est nettement plus sr. Comme le matriel informatique rseau peut tomber en panne, le matriel doit tre standardis (par exemple les switch) pour que l'on puisse utiliser un minimum de matriel de rserve: maximum de concentrateurs de mme type et capacit pour l'ensemble du rseau pour n'utiliser qu'un appareil de remplacement pour toute l'entreprise. Je ne demande pas les paramtrages des appareils, juste la structure du rseau ethernet. Ne vous occupez pas trop du budget, mais choisissez les caractristiques en gestionnaire informatique responsable (pas la peine d'utiliser de l'Ethernet Gigabit sur fibre optique pour connecter les stations).
Serveur rseau
Switch manageable: autoriser (ou Switch (prfrable) ou Hub bloquer) certaines connexion de PC vers Ethernet (ici un des1024d de PC (ou plutt de groupes de PC), en plus Dlink 24 ports 10/100) des mots de passe sessions utilisateurs grs par le systme d'exploitation
Routeur sans fils Wifi, utilisable comme routeur et comme pont. Nous pourrions utiliser un simple switch sans fils dans notre cas.
Un cble RJ 45 crois
modem Un firewall - VPN permet le routeur partage de la connexion ADSL. Il Internet et l'accs de peut tre l'extrieur au rseau de utilis l'entreprise comme simple modem en mode pont
Routeur firewall intgr permet de scuris les connexions en bloquant certains ports et / ou certaines plages d'adresses.
un simple routeur
UPS: protection lectrique Sauvegarde sur bande SDLT par onduleur Analysons le problme en fonction des diffrentes parties et des sens de communication autorises. Ceci va scinder le problme et envisager en gros les appareils utiliser au niveau connexion, routage et scurit.
Les dpartements administration et commerciaux ne sont pas trs diffrents. Ils utilisent tous deux: INTERNET (ce sont les seuls), les mmes serveurs (un serveur de fichier et un petit serveur d'application). Par contre, un ordinateur de l'administration doit pouvoir se connecter sur le dpartement commande (mais pas sur le dpartement fabrication), le dpartement commercial ne peut en aucun cas se connecter sur les dpartements commande et fabrication. L'accs d'INTERNET vers les serveurs du btiment 2 (administration et commercial) nous oblige utiliser un firewall VPN pour la connexion INTERNET (ici un srie 100 de symantec) et un modem ADSL (ici un tornado 812 utilis en pont. Avec les 20 PC repris dans le btiment 2, il n'y a pas besoin d'un appareil trs puissant, mais suffisamment scuris. Comme l'accs de l'extrieur est possible, la connexion doit tre de type IP fixe. Ceci nous donne une bonne marche de manoeuvre pour les connexions.
En noir les communications autorises (mme avec des blocages), en rouge celles qu'il faut bloquer. Ca donne une bonne ide de la structure globale de l'installation. La route entre les deux btiments va nous bloquer avec une liaison sur cuivre ou fibre optique. Nous devrons dj utiliser une liaison sans fils, de type WIFI 802.11G 54 Mb/s. Comme les vitesses de communications ne sont pas trop importantes, l'utilisation de 100 base T (ventuellement 1000 Base T pour les serveurs) est suffisante pour l'ensemble du rseau.
Les dpartements utilisent un serveur d'application et un petit serveur de fichier. Comme serveur de fichier, pour rduire les cots, utilisons un NAS. Comme nous devons connecter 20 PC + 1 serveur +1 NAS + 1 connexion btiment 1, l'appareil reprsenter (20 ports + 2 Giga) serait insuffisant mais nous pourrions utiliser un switch 8 ports additionnels. Les NAS sont rarement en 1000 Base T. Pour la connexion vers le deuxime btiment nous devons utiliser une connexion sans fils. Comme le btiment 2 peut avoir la connexion vers le dpartement commande (pas vers la fabrication) nous allons utiliser des classes d'adresses diffrentes pour le btiment 1. Ceci ncessite l'emploi d'un routeur. Comme la connexion doit tre scuris (bloque partir du btiment 1 vers 2) plus l'interdiction de connexion INTERNET vers le btiment 2, utilisons un routeur firewall et un routeur 802.11B en pont. Dans ce cas, le firewall ne va pas tre utilis pour bloquer des ports: dans un rseau interne, les ports dynamiques (1024 - 65535) sont utiliss de manire alatoire pour les communications rseaux internes, nous ne pouvons pas les bloquer. Nous allons uniquement bloquer les communications sur les plages d'adresses. Par exemple bloquer les communications de l'adresse IP du VPN vers le btiment 2. Une autre solution pour bloquer l'accs "Fabrication" - "administratif" serait de scuris le rseau sans fils en fonction des adresses mac des PC du dpartement administration, voire scurit des rseaux sans fils dans la rubrique How to? Voici notre schmas matriel rseau pour le btiment 2.
Le nombre de switch 24 ports pour la partie fabrication a volontairement t rduite pour la clart du schma. Il nous en faudrait minimum 4, voire 5 pour avoir des lignes de rserves. L'utilisation d'un seul switch de 96 ports pourrait poser des problmes de longueur de cbles et en cas de panne de ce seul appareil, toute la fabrication serait bloque. L'utilisation de multiples switch 24 ports permet d'en avoir 1 de rserve pour l'ensemble du btiment. Le serveur fabrication doit tre raccord sur le premier switch de la fabrication L'utilisation d'un routeur firewall entre le switch et la connexion WIFI 802.11B n'est pas ncessaire si un firewall est install de l'autre ct. Ils feraient double emploi (ce qui n'est pas trop grave) mais obligerait une configuration plus complexe de l'infrastructure.
Dans ce cas, tous les PC sont dans la mme classe d'adresse, l'utilisation d'un routeur (ou routeur - firewall) n'est plus ncessaire entre les deux dpartements., c'est le switch manageable qui va accepter ou bloquer les communications. Dans ce cas (et contrairement la solution prcdente), on peut bloquer les communications de manire hardware entre les PC des commandes et les PC de fabrication).
Cette solution est nettement plus chre (mais plus scurise). Elle permet nanmoins de raccorder les serveurs en 1000 base T sur le switch manageable. Les distances entre chaque PC, serveurs et concentrateurs sont respectes puisque qu'en 100 base T en 1000 base T, la distance maximum est de 100 mtres. Pour rappel, les switch manageables travaillent gnralement avec les adresses MAC. En cas de panne d'un PC avec change standard (ce qui se fait en pratique pour minimiser l'arrt), on risque de devoir reprogrammer le switch. Ce n'est pas forcment du niveau de tous les techniciens de maintenance d'usine (sans compter les mots de passe administrateurs pour paramtrer le switch). Par contre, certains modles acceptent le regroupement de station suivant le protocole IGMP.
Pour la sauvegarde des donnes, nous utiliserons des bandes de type DAT ou Super DLT pour les capacits de ces technologies, mais galement au niveau vitesse de sauvegarde.
Dans ce cas, nous remplaons un switch manageable par un simple switch (avec d'autres du mme type utiliss sur l'ensemble du rseau) et plus aucun firewall dans l'ensemble du rseau ( part le VPN pour INTERNET). Cette solution n'est pas envisager pour une usine de 500 PC, mais bien pour des moyennes structures.
Hub comme tte de pont entre le routeur commande et les diffrents HUB fabrication va directement ralentir l'ensemble du rseau ethernet. 3. Utilisation de 2 firewall (1 de chaque ct du pont WIFI sans fils), configuration de l'architecture du rseau plus complexe, peut tre remplac par une scurit de type WPA-2