JSF

Journe Sans-Fil Journe Sans-Fil

Grenoble

Architecture scurise de niveau 3 : VPN Patrick.Petit@grenet.fr

JSF

Journe Sans-Fil Journe Sans-Fil

Plan

Contexte Solution technique dploye Cot du dploiement Exploitation de la solution Statistiques dutilisation Bilan de la solution et avenir

JSF

Journe Sans-Fil Journe Sans-Fil

Contexte

JSF Dploiement acadmie de Grenoble

Journe Sans-Fil Journe Sans-Fil

Contexte
5 Universits (UJF, UPMF, Stendhal, INPG, Savoie)
60 000 tudiants, 5 000 personnels Plusieurs campus mutualiss

5 CRI + 1 Service Inter-U

Des centres de ressources informatiques dans les Universits Un inter-U fdrateur (Rseau mtropolitain sur Grenoble)

Le CNRS puis le CROUS de lacadmie ont rejoint linfrastructure existante

JSF

Journe Sans-Fil Journe Sans-Fil

Solution technique dploye

JSF Dploiement : comment a marche ?

Journe Sans-Fil Journe Sans-Fil

Les bornes prsentent un SSID ouvert Lutilisateur se voit affecter une adresse IP prive Lutilisateur accde :
aux concentrateurs VPN de son tablissement qui lauthentifie au site Web Inter-U de diffusion du logiciel client VPN-IPSec

Authentification/Chiffrement : solution VPN IPSec

On ne peut rien faire sans sauthentifier On tablit un tunnel chiffr pour scuriser les changes sans-fil

Suivi des connexions

la solution retenue offre une traabilit complte des connexions

Raccordement des campus distants avec des tunnels

JSF

Journe Sans-Fil Journe Sans-Fil

Principe darchitecture technique sans-fil campus

Routeur inter-U Vers rseaux extrieurs, Renater Et le reste du monde Routeur organisme 1 Serveurs Radius/ldap

Serveurs Radius/Ldap Concentrateur VPN Serveur DHCP

Routeur organisme i Concentrateur VPN Routeur organisme 2

Filtrage trafic Sans-fil/VPN

Filtrage trafic Sans-fil/VPN

Serveur DHCP

Rseaux filaire organisme 1 VLAN sans-fil organisme 1

Rseaux filaire organisme i VLAN sans-fil organisme i

JSF

Journe Sans-Fil Journe Sans-Fil

Scnario de connexion VPN-IPSec

Routeur inter-U Vers rseaux extrieurs, Renater Et le reste du monde Serveurs Radius/ldap Concentrateur VPN Routeur organisme 1 Routeur organisme 2

Serveurs Radius/Ldap Concentrateur VPN Serveur DHCP

Serveur DHCP

PC organisme 1

PC organisme 2

JSF

Journe Sans-Fil Journe Sans-Fil

Annuaire dtablissement
DSIGU
HARPEGE (SGBD)

Grenoble 1
Rplicat LDAP
Connecteur Radius

Free radius VPN

users

Grenoble 2 / INPG
LDAP
Rplicat LDAP

users

Free radius

VPN

Grenoble 1 Grenoble 2 Grenoble 3

Grenoble 3
Rplicat LDAP

Cisco ACS

VPN

IMAG
APOGEE (SGBD)

Free radius
Connecteur Radius

LDAP

users

VPN

JSF

Journe Sans-Fil Journe Sans-Fil

Mode de gestion des utilisateurs hors tablissements

Pour les confrences suivant les tablissements :

cration de comptes temporaires sur les serveurs radius. une cl partage en WPA ou WPA2 est mise disposition des participants (restriction des services),

Pour le CROUS de lacadmie

ct utilisateurs: les BTS sont enregistrs dans un annuaire indpendant.

JSF Dploiement acadmie de Grenoble

Journe Sans-Fil Journe Sans-Fil

Dploiement au coup par coup Chaque tablissement

dploie ses sites en fonction des demandes et du budget ralise lidentification/authentification de ses utilisateurs gre et supervise son rseau sans-fil

Une solution technique commune : VPN IPSec

JSF

Journe Sans-Fil Journe Sans-Fil

Politique de scurit du rseau sans-fil

Chaque tablissement a sa politique de scurit :

Restriction des services accessibles suivant le type de population :
tudiants, personnels, enseignants/chercheurs, accs rserv uniquement la population de ltablissement, accs ouvert tous quelque soit ltablissement.

Restrictions horaires dans certains cas (nuit, weekend)

JSF

Journe Sans-Fil Journe Sans-Fil

Cot du dploiement

JSF

Les cots de la solution

Journe Sans-Fil Journe Sans-Fil

Cots (hors dploiement des bornes)

Serveurs d'authentification Serveur Dell 860 1 200 ACS Cisco 5 000 Clients VPN Cisco multi-plateformes gratuits Concentrateur VPN 3030 : 13 000 (1 500 connexions) Bornes Cisco AP1121G : 530

JSF

Journe Sans-Fil Journe Sans-Fil

Exemples de cot matriel

Universit Joseph Fourier: minimum 158 000

200 bornes (Cisco AP1121) 4 concentrateurs VPN

Universit Pierre Mends France: minimun 39 500

50 bornes (Cisco AP1120B, AP1121G, AP1130AG) 1 concentrateur VPN

Universit de Savoie: minimum 116 600

171 bornes dployes (AP Cisco 1231g/1130g) 2 concentrateurs VPN 3020

JSF

Journe Sans-Fil Journe Sans-Fil

Budget de dploiement des CROUS pour lacadmie

CCTP ralis par une socit extrieure 1re tranche CROUS Grenoble et Chambry
Projet pour 1 050 chambres ralis au 1er semestre 2007 Gnie Civil et fibre optique : 27 000 Cblage et quipements actifs : 150 000
84 bornes et 2 contrleurs de bornes

2me tranche CROUS Grenoble

Projet pour 1 300 chambres en cours de dploiement Gnie Civil et fibre optique : 35 000 Cblage et quipements actifs : 136 000
91 bornes et 1 contrleur de bornes

JSF

Journe Sans-Fil Journe Sans-Fil

Exploitation de la solution

JSF

Journe Sans-Fil Journe Sans-Fil

Gestion des quipements

Temps de maintenance des botiers VPN quasi nul Tester les nouvelles rvisions des clients, des surprises sont toujours possibles (dboires avec Vista) Les bornes sont supervises par des scripts Etude dune solution de gestion centralise des bornes

JSF

Journe Sans-Fil Journe Sans-Fil

Support et assistance

Assistance aux tudiants pour la configuration du client VPN

Un guichet sur le campus : ouvert 20h/semaine Trois guichets sur des sites distants sur Grenoble : ouverts 2h/semaine .

Assistance informatique pour les tudiants, la DSI Grenoble Universits : ouvert du lundi au vendredi de 9h 17h non-stop Mise en place dun service Web commun entre les diffrents tablissements pour : la configuration de laccs nomade la diffusion dune carte de couverture sans-fil

JSF

Journe Sans-Fil Journe Sans-Fil

Statistiques dassistance

Nombre dinterventions pour la configuration du client

VPN durant la priode du 04/09/06 au 31/01/07 : 1 081 VPN par jour lassistance informatique

En moyenne 5 interventions de configuration de client Nombre de consultations de la page daide VPN Wifi

entre le 20/11/2006 et le 23/02/2007 : 594

Le temps dinstallation du client VPN :

5 minutes dans le meilleur des cas en moyenne 20 minutes si des logiciels entrent en conflit

(pare feu, antivirus, systme instable) 30 minutes voire plus si ltudiant ne connat pas son login et/ou son mot de passe

JSF

Journe Sans-Fil Journe Sans-Fil

Moyens humains mis en oeuvre

Ingnierie de mise en place

1 ETP pour lensemble des tablissements

Exploitation quotidienne
Assistance : 1 ETP + roulement de 5 tudiants ( 1 ETP)
Ils ont pour tche la production des ressources prsentes sur le site de lassistance informatique tudiant. Lassistance prend en charge les tudiants pour : le bureau virtuel, ENT, LMS, Wifi, messagerie, bureautique, hard,

Gestion des bornes : 1 ETP pour lensemble des tablissements

JSF

Journe Sans-Fil Journe Sans-Fil

Statistiques dutilisation

JSF

Journe Sans-Fil Journe Sans-Fil

Statistiques dutilisation du rseau

La mtrologie est la charge de chaque tablissement Universit Joseph Fourier: 200 bornes (Cisco AP1121) 4 concentrateurs VPN Depuis 2005, 2 715 tudiants et 464 personnels/invits diffrents
22/01/2007 Total des connexions Personnels & Invits Total des connexions des Etudiants Total de toutes les connexions 2004 0 35 35 2005 2 909 4 902 7 811 2006 28 603 87 374 115 977 2007 3 205 9 420 12 625 Total 34 717 101 731 136 448 % 34,13 % 74,56 % 100,00 %

JSF

Journe Sans-Fil Journe Sans-Fil

Statistiques suite

Universit Pierre Mends France: 50 bornes (Cisco AP1120B, AP1121G, AP1130AG) 1 concentrateur VPN
13/06/2007 2004 3 061 2005 27 621 2006 88 676 2007 82 802 Total 202 160

Total de toutes les connexions

Institut National Polytechnique de Grenoble : nombre de bornes non recenses 1 concentrateur VPN
23/01/2007 Total de toutes les connexions Nombre rel dutilisateurs 2004 130 26 2005 1 362 68 2006 22 994 632 2007 2 974 249 Total 27460

JSF

Journe Sans-Fil Journe Sans-Fil

Statistiques suite

Universit de Savoie:
171 bornes dployes (AP Cisco 1231g/1130g) 2 concentrateurs VPN 3020 en quilibrage de charge et redondance 4 215 utilisateurs diffrents depuis mai 2005 4 sites couverts :
Annecy, Chambry, Jacob Bellecombette, Le Bourget

Zones les plus frquentes :

Salles de runion, amphis, salles de cours, lieux de vie (accueil, caftria, couloirs amnags)

JSF

Journe Sans-Fil Journe Sans-Fil

Bilan de la solution et avenir

JSF Solution retenue pour le dploiement

Journe Sans-Fil Journe Sans-Fil

Avantages
Possibilit de connexion dans tous les campus de lacadmie Homognit de la solution retenue Confidentialit des changes garantie Scurit des rseaux conventionnels garantie Respect de la charte dutilisation du rseau Solution utilisable en nomade quelque soit le rseau utilis (sans-fil mais aussi adsl, ethernet, rtc)

JSF Solution retenue pour le dploiement

Journe Sans-Fil Journe Sans-Fil

Inconvnients
Installation dun logiciel sur les postes clients (tlchargement du client, droits dinstallation, conflits avec des applications tierces) Gestion lourde de lidentification/authentification des utilisateurs le dploiement nest pas immdiat (mise jour de lannuaire) Gestion dun visiteur/invit Serveur VPN = goulot d'tranglement :
en terme de performances (chiffrement), en terme de fiabilit (redondance possible).

Impossibilit de monter un tunnel VPN dans un tunnel VPN Un rseau sans-fil ouvert peut facilement tre paralys Restreint un usage interne aux Universits Grenobloises Savoie Les agressions de vol larrach avec ou sans violence sont courantes, surtout en priode nocturne

JSF

Journe Sans-Fil Journe Sans-Fil

Autres mthodes daccs sans fil

Aucune autre mthode daccs sans fil nest en production au niveau des Universits Grenobloises et de Savoie Il nen reste pas moins que de nombreux tests ont t raliss et que pour linstant :
soit la traabilit offerte nest pas satisfaisante soit lusage nest pas confortable pour lutilisateur

JSF

Journe Sans-Fil Journe Sans-Fil

Accs sans fil pour du Web

Cahier des chargesprcis : 90 % des besoins

des nomades sont de type Web pur

Simple en manipulation Accs Web pur Trace des utilisateurs

Plusieurs types de solutions ont t tudis dans

ce cadre :

Taxonomie propritaire des solutions testes : Lapproche Proxy avec Auto dtection (sans client) Lapproche Proxy Transparent (sans client) Lapproche WEB-VPN-SSL (client lger) Lapproche portail captif (sans client)

JSF

Journe Sans-Fil Journe Sans-Fil

Intgration Eduroam

On a t partie prenante au dbut dArredu prcurseur Eduroam en France, et on continue de suivre le projet Nous sommes convaincus de lapport de la proxification radius Lauthentification en 802.11i ou WPA2 reste en suspens concernant
la traabilit la configuration des postes nomades

JSF

Journe Sans-Fil Journe Sans-Fil

Lavenir

Rflexion sur la salubrit des postes (patchs + antivirus) Dployer une solution pour un meilleur accueil des invits avec comme contrainte la traabilit Aller vers Eduroam