Upload
yespapasavsabien
View
269
Download
7
Embed Size (px)
Citation preview
RseauxEvolutions topologiques des
rseaux locaux
Plan Infrastructures dentreprises
Routeurs et Firewall Topologie et DMZ Proxy
Du concentrateur la commutation Hubs et switchs Rseaux locaux virtuels (VLAN) Introduction la Qos
Authentification niveau 2
VPN PPTP IPSEC
IntranetClient
Internet
Virus
Bloquer les virus
Non professionnel
Contrler laccs aux sites gourmands en bande passanteContrler les informations non professionnelles
Professionnel
Accs aux applications mtier garantiUtilisation de la bande passante optimise
Interdire les accs non autoriss
Piratage
PostesUtilisateurs
?Secure
Gateway
Moyens de scurisation
Scurit en couches (couches TCP/IP) implmentes en plusieurs points du rseau
Filtres de paquets entrants (routeur, couche 3)
Fonctions SPI et NAT (pare-feu, couche 4)SPI: Stateful packet Inspection
1. Physique
3. IP (rseau)2. Liaison de donnes
7. Application4. TCP & UDP (transport)
Filtrage statique / routeur
Filtrage effectu sur le niveau rseau adresses IP et numros de ports TCP ou UDP
Travail au niveau de la pile IP du routeur Souvent inadapt pour les protocoles grant les ports dynamiquement
(Peer to Peer, FTP, H323, )
Filtrage de paquets au moyen de listes ACL (Access Control Lists)
Les donnes TCP/IP segmentes en paquets Couche 3 & 4 du modle TCP/IP
Examen du contenu des paquets et application de certaines rgles Transmission du paquet Suppression du paquet Logs Retour dinformations lmetteur
Technologie trs rpandue au dbut dinternet: cest la premire ligne de dfense
Trs utilise encore dans les routeurs: TP Cisco
Routeur = routage statique, routage dynamique RIP, OSPF, BGP. Plus tard dans le cours et en TP.
Types dACLs ACL standards et tendues (CISCO)
Adresse source Adresse destination Ports Fonctionnement : inspection de chaque paquet
Remarque : traitement de linformation rapide Exemple dACL standard routeur CISCO
Autoriser les paquets (permit) Interdire les paquets (deny)
ACL tendu (Cisco)
access-list 10 permit any 192.168.10.0access-list 10 permit any 192.168.20.0access-list 10 deny any 192.168.30.0
access-list numro-liste-accs {deny|permit} protocole \adresse-source masque-source [oprateur port] \adresse-destination masque-destination [oprateur port] [log]
access-list 101 permit udp any host 192.9.200.1 eq domain
Stateful Protocol Inspection : la rgle dpend des informationscontenues dans les enttes IP, UDP, TCP, ICMP du paquet ET despaquets qui sont passs avant. Il y a donc un suivi desconnexions.
Inspection dun premier paquet autoris (par le routeur): Une entre est cre dans une table (nouvelle connexion)
Fonctionnement de linspection de paquets avec suivi de ltat de connexion (SPI) (1/2)
Fonctionnement de linspection de paquets avecsuivi de ltat de connexion (SPI) (2/2)
Examen de len-tte du paquet Adresses source et destination Type de protocole (TCP, UDP, ICMP) Ports source et destination Flags (SYN, ACK, FIN, RST)
Comparaison aux rgles de contrle du trafic Exemple: Ne laisser passer que le trafic HTTP
Gnralement, le pare-feu autorise les connexions vers l'extrieur => entre dans la table d'tat =>les paquets entrants (retours de requtes) appartenant ces
connexions ne sont pas filtrs
tat du module conntrack :
NEW
ESTABLISHED
TCP SYN
TCP SYN + ACK
TCP ACK
tat ESTABLISHED pou r le protocole TCP parti r dici
TCP ACK
TCP RST
UDP requte DNS
UDP rponse DNS
Ex : Module Netfilter LINUX(Commande iptables)
NEW : une nouvelle connexion est tablie.
ESTABLISHED : la connexion analyse a dj t tablie
RELATED : la connexion est en relation avec une autre connexion dj tablie (par exemple, une connexion de donne de type..).
INVALID : le paquet n'appartient aucune des trois catgories prcdentes.
Tracking de connexion FTP
modprobe ip_conntrack_ftp
iptables -t filter -A OUTPUT -o eth0 -p tcp \--dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp \--sport ftp -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp --sport 20 -m state \--state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 20 -m state \--state ESTABLISHED -j ACCEPT
eth1eth0
Rgles de filtrage / Pare-feux Rgles balayes dans lordre croissant
Ncessit de mettre les rgles les plus utilises au dbut (performance)
Ncessit de mettre les rgles les plus restrictives avant les autres (ex.: si une machine certains droits et le rseau auquel elle appartient ne les a pas)
Interdire tout trafic vers le pare-feu Rgle implicite interdisant tout trafic ne correspondant pas une
rgle explicite
Interface graphique pour iptables/netfilter: fwbuilder
Fonction orientes Firewall sur les routeurs
Dans loption FFS se trouve le CBAC (Context-Based Access Control => contrle daccs contextuel)
Filtrage dynamique Entres dynamiques pour les flux de rponses des connexions
TCP, UDP, ICMP Non ncessit de laisser des ports ouverts de manire statique
(les ports restent ouverts uniquement le temps de la session) Suivi des numros de squence TCP
Surveillance des numros de squence des paquets entrants et sortants pour suivre les flux de communication
Protection contre les attaques man in the middle et les piratages de session
Ex : Option Firewall Feature Set (FFS) sur un routeur priphrique (CISCO) (1/3)
Suivi de ltat des sessions Suivi des sessions TCP demi-ouvertes, ouvertes et fermes
pour viter les attaques SYN Flood Numros de session et dbits de transmission doivent tre
compris dans des seuils dfinis par ladministrateur
Journalisation des sessions Dates et heures Htes source et destination Ports Nombre total doctets transmis
Ex : Option Firewall Feature Set (FFS) sur un routeur priphrique (CISCO) (2/3)
Suivi dapplications spcifiques (exemple de protocoles)
CU-SeeMe (port 7648): visioconfrence PTP
FTP (port 21)
H.323 (ports 1720, 1719 et ports dynamiques variables): communication multimdia (VoIP, vido, audio)
ICMP: dpannage de problmes (administrateur) + utilis par les pirates => ne laisser passer que les messages ICMP gnrs lintrieur du rseau
MCGP (Media Control Gateway Protocol, port 2427) : VoIP
MSRPC (Microsoft Remote Procedure Call Protocol, port 135) : communication de processus inter-systmes
Blocage des applets Java Le routeur peut tre configur pour filtrer ou refuser les applets Java
Support de VPN Nombre de tunnels dpend du Firewall. Ex: 4 tunnels, 25 tunnels, etc
Ex : Option Firewall Feature Set (FFS) sur un routeur priphrique (CISCO) (3/3)
EX. de fonctionnalits avances
Limitations des pare-feux
Ne peut empcher des utilisateurs ou attaquants utilisant des modems daccder lintrieur du rseau
Ne peut empcher une mauvaise utilisation des mots de passe (non respect de la stratgie de mots de passe par les utilisateurs)
Concentration du trafic en un seul point = goulet dtranglement = source de panne fatale
Translation dadresse: NAT
NAT statique Mme adresse IP publique une adresse IP prive donne Ex : serveur WEB
NAT dynamique Associe une adresse IP prive une adresse publique alatoire
tire d'un groupe (pool)
PAT (Port Address translation) Associe une seule adresse publique plusieurs adresses
prives en utilisant divers ports Rappel : 65 535 ports TCP sont supports par adresse IP
Filtrage et NAT sur Linux
nat PREROUTING
nat POSTROUTING route?
filter FORWARD
filter INPUT
route?
filter OUTPUT
nat OUTPUT
Processus local
Rseau Rseau
Scurit avec NAT
Plus difficile pour un attaquant de :
Dterminer la topologie du rseau et le type de connectivit de l'entreprise cible
Identifier le nombre de systmes qui s'excutent sur le rseau
Identifier le type des machines et leurs systmes d'exploitation
Raliser des attaques de type dni de service (Ex : SYN Flood, scan de ports, injection de paquets)
Inconvnients de NAT Connexions UDP mal gres
Estimation du temps o la connexion doit rester ouverte
D'autres protocoles sont mal grs Kerberos, X Windows, rsh (remote shell), SIP (Session
Initiation Protocol)
Systmes de chiffrement et d'authentification Ces systmes sont bass sur l'intgrit des paquets
Or NAT modifie ces paquets
Journalisation complique Mise en corrlation des journaux demande d'intgrer les
traductions ralises par NAT
Problme de partage d'adresse avec PAT Authentification auprs d'une ressource extrieure protge
(tous les utilisateurs partageant la mme adresse risquent de pouvoir utiliser cette ressource)
Types de pare-feux Pare-feu personnel
Peut-tre intgr au systme (Windows, Mac) Ex Windows => dans le panneau de configuration
Pare-feu personnel (2/4)
Pare-feu personnel (3/4)
Windows XP :netsh firewall set icmpsetting 8 enableVista, Seven: netsh advfirewall firewall add rule name= ping entrant ok protocol=icmpv4:8,0 dir=in action=allow
Pare feu personnel (Seven)
Types de pare-feux Pare-feu tout en un: intgrent les fonctionnalits suivantes:
Routeur Commutateur ethernet Point daccs sans fil pare-feu
Pare-feu pour bureau de taille moyenne Ex : CISCO PIX 501 ou 506 F50 Netasq
Pare-feu dentreprise Ex : CISCO PIX 515, ASA F200 Netasq
Diffrences entre les gammes de pare-feu Nombre de connexions supportes Capacit CPU, mmoire (RAM ou flash) Souvent modulaires Nombre de DMZ Nombre de tunnels simultans Bande passante dans tunnels.
Plan Infrastructures dentreprises
Routeurs et Firewall Topologie et DMZ Proxy
Du concentrateur la commutation Hubs et switchs Rseaux locaux virtuels Introduction la Qos
Authentification niveau 2
VPN PPTP IPSEC
Zone dmilitarise (DMZ, Demilitarized Zone)
Zone du rseau interne isole (entre la zone publique et la zone prive) Serveur web Serveur de messagerie Serveur FTP Serveur DNS (donnes publiques, donnes internes) ...
Cela permet au trafic venant dinternet daller dans cette zone, mais pas de pntrer ailleurs sur le rseau interne
Possibilit dauditer le trafic chang avec la DMZ
Possibilit de placer un systme de dtection dintrusion
Localisation et fonction dune DMZRseau dentreprise interne (priv)
Pare-feu
Internet
Serveur FTP
Serveur web
Serveur de messagerie152.77.128.103
public
Zone dmilitarise (DMZ)Serveur DNS152.77.128.104
Routeur
152.77.128.1
192.168.2.1
192.168.2.10
209.164.3.1
209.164.3.2
Autre architecture avec DMZRseau dentreprise interne (priv)
Pare-feu
Internet
Serveur FTP
Serveur web
Serveur de messagerie
public
Zone dmilitarise (DMZ)
Serveur DNS
RouteurPare-feu
Plan Infrastructures dentreprises
Routeurs et Firewall Topologie et DMZ Proxy
Du concentrateur la commutation Hubs et switchs Rseaux locaux virtuels Introduction la Qos
Authentification niveau 2
VPN PPTP IPSEC
Proxy Proxy = passerelle applicative Exemple: proxy/cache FTP , proxy/cache HTTP
Proxy classique: Les clients sont adapts pour communiquer avec le proxy avec un protocolespcifique: SOCKS rfc1928,proxy web rfc3040
Proxy transparent pas de modification des clients applicatifs
le proxy intercepte les communications
Quelques proxys: Squid (libre) Microsoft Proxy server Proxy implments dans serveurs Web (IIS, apache)
3- caching load balancer4- Serveurs Web
1- Navigateurs2- Proxy-cache
Conclusion
Couche rseau Filtres de paquets (routeur)
limine des adresses indsirables
Couche transport Inspection des paquets SPI (pare-feu)
Identifie les connexions autorises (sollicites) Traduction d'adresse
Le rseau interne est invisible de l'extrieur
Couche application Inspection des donnes (pare-feu proxy)
Chaque mthode seule est insuffisante=> Leur combinaison offre un bon niveau de protections
Plan
Infrastructures dentreprises Routeurs et Firewall Topologie et DMZ Proxy
Du concentrateur la commutation Hubs et switchs Rseaux locaux virtuels: VLAN Introduction la Qos
Authentification niveau 2
VPN PPTP IPSEC
Architecture traditionnelle
Hubs, switchs, Routeurs
Contraintes Les sous-rseaux sont lis aux switchs (ou hubs) Les utilisateurs sont groups gographiquement Peu de scurit sur un segment Plan d'adressage peut tre difficile La mobilit entrane obligatoirement un changement d'adresse
HUB (rpteur multiport)
Mode de fonctionnement Reoit une trame sur un port Retransmet la trame sur tous les ports restants
simule la diffusion sur un segment de cble.
Caractristiques Ne permet qu une transmission la fois
collision si deux machines mettent en mme temps Tous les ports fonctionnent la mme vitesse Dlai de l ordre de la s.
Switch
Mode de fonctionnement Fonctionne sur la couche 2 Peut recevoir et transmettre plusieurs
trames simultanment Procde l apprentissage et au filtrage
des trames sur la base des adresses MAC srialise les trames destination d un mme port Si une destination ne peut tre localise, la trame est retransmise
sur tous les ports. Caractristiques
des buffers sur tous les ports en entre et en sortie Supporte le full-duplex avec contrle de flux Supporte des ports diffrents dbits simultanment Implmente ou pas le Spanning-tree (voir plus loin) fonctionnement
cut -through, store and forward bloquant ou non-bloquant (bus interne)
propage les broadcasts sur tous les ports restants
Auto-negociation (FastEthernet) Base sur des impulsions Exemple ci-contre: 10 ou 100M
Choix dbit Choix Half-duplex/full-duplex
Cbles UTP cat.5, cat.6 Ordre de ngociation
1000BASE-T full duplex 1000BASE-T half duplex 100BASE-T2 full duplex 100BASE-TX full duplex 100BASE-T2 half duplex 100BASE-T4 100BASE-TX half duplex 10BASE-T full duplex 10BASE-T half duplex
Impulsions de test d intgrit sur lien 10 base T
16 ms
16 ms
FLP=Fast Link Pulse sur lien Fast Ethernet
Le rseau local commut
Utilisation de commutateurs: switchs Domaines de collisions rduits Dbit ddi et non plus partag Intelligence dans le port du
commutateur
Utilisation de ces proprits pour : Crer des regroupements logiques
des utilisateurs Centraliser l'administration
Ncessit dun routeur pour la communication inter-rseau
Dbit de 100M
Par connexion
Qu est ce qu un rseau virtuel: VLAN
Trois ncessits pour introduire le concept Limiter les domaines de broadcast Garantir la scurit Permettre la mobilit des utilisateurs
Les rseaux virtuels s appuient sur la commutation pour donner de la flexibilit aux rseaux locaux
Le VLAN est un rseau LOGIQUE
Plusieurs types de VLAN
VLAN niveau 1
Groupe de ports
VLAN niveau 2
Groupe dadresses MAC
VLAN 2
12345678
VLAN 1
Ports
VLAN 2VLAN 1
00000C 1DDFAA0A0A1D 0FFFAB010000 DCFABA
0000AA ABABAB010101 FCCCFC00FB68 AEFACC
Chaque adresse Macappartient un seulVLAN,Plusieurs VLAN par portautoris
VLAN 1ire GENERATION
Groupe dadresses MAC
VLAN niveau 3
Sous-rseaux protocolaire(IP)
VLAN 1
VLAN 2
Sous-rseau IP 193.54.157.4
Sous-rseau IP 193.54.157.8
VLAN 2 imee GENERATION
Groupe dadresses MAC
Rcapitulatif
Vlan niveau 1: par port Vlan niveau 2: par adresse Mac Vlan niveau 3: par adresse IP ou par
protocole Vlan niveau 4: voir plus loin dans le
cours, par authentification.
Ex : VLAN de niveau 2
la table de commutation duswitch asssocie chaque portune ou plusieurs adresses MACqui sont les adresses de la oudes machines connectes surce port.
VLAN niveau 1 (par port)
VLAN niveau 2 (par @MAC)
M17
1 2 3 4 5 6 70
M1 M2 M3
M4 M5 M6
M10 M11 M12
VLAN 1 VLAN 2
M7 M8 M9
VLAN 1 = M1, M2, M3, M4, M5, M6 et M17VLAN 2 = M7, M8, M9, M10, M11, M12 et M18
VLAN 1 = M1, M2, M3, M4 et M17VLAN 2 = M7, M8, M9, M10, M11, M12 et M18
+ M5 et M6
M18
Extension des VLANS Interconnexion des commutateurs
1re solution
Il faut un port ddi pour chaque VLAN sur chaque commutateur
Solution coteuseManque de souplesse
1 2 3 4 5 6 70
1 2 3 4 5 6 70
VLAN 1 VLAN 2
Interconnexion des VLANS (2)
2me solution
On peut sur certains commutateurs dfinir des ports multi-VLANS
1 2 3 4 5 6 7 0
1 2 3 4 5 6 7 0
VLAN 1 & VLAN2
Le rle des routeurs dans les VLANS
Un commutateur ne peut pas router un paquet entre deux rseaux et, par consquent, entre deux VLANS.
Un routeur est ncessaire.
La diffusion (broadcast) est limite au VLAN.
Architecture classique
Un switch central collecte les trames en provenance des switchs utilisateurs
Un routeur est charg de la communication entre les VLANS
ROUTEUR
SWITCH 1
SWITCH 2
Dfinition de sous-interfaces
Si le routeur le permet :
dfinition de sous-interfaceschacune appartenant un VLAN diffrent.
Ex: Cisco!interface FastEthernet 0/0.1ip address 192.5.5.1 255.255.255.0!interface FastEthernet 0/0.2ip address 205.7.5.0 255.255.255.0
VLAN 1 VLAN 2 VLAN 3
PORT 1 PORT 2 8 PORT 9 12
Le port 1 est un port TRUNK multi-VLAN
PC 1A IP = 192.5.5.11 /24
PC 1B IP = 207.5.5.13/24
FastEthernet 0/0
Administration des VLANS
Marquage des trames sur les liens TRUNK Norme 802.1Q (encapsulation dot1q sur Cisco) Protocoles propritaires (ISL: Inter switch Link: cisco)
Exemple de la norme 802.1Q sur Ethernet.
3 Bits utiliss pour le CoS(802.1P User Priority)
Couche 2802.1Q
1234567
0 Best Effort DataMedium Priority
Data
High Priority DataCall Signaling
Video Conferencing
Voice BearerReservedReserved
CoS Application
FCSDATAVLAN TAG4 BytesVLAN TAG
4 BytesSADASFDPREAM.Type/Len
VLAN ID12 bits
VLAN ID12 bits
CFI1bitCFI1bitPRIPRI
Tag Protocol ID0x8100
Tag Protocol ID0x8100
Cas classique, switch Cisco
SW#vlan databaseSW(vlan)#vlan 2 name vlan_pc
exitSW(config)#int fastEthernet 0/10SW(config-if)# switchport mode access SW(config-if)# switchport access vlan 2
ATTENTION: Vlan 1 : vlan par dfaut sur cisco !!!
Trame non tagueTrame non tague SWTrame sortante du port (egress):Non tague
Trame entrante (ingress):-Si tag Vlan 2: ?-Sans tag: tag avec Vlan 2-Si tag autre Vlan: ignore
Cas de la VoIp, switch Cisco
SW(config-if)#switchport trunk encapsulation dot1qswitch port mode trunkswitch trunk native vlan 12switch trunk allowed vlan 6
Trame non tagueTrame non tague
IP PhoneIP Phone
Trame tague VLAN 6Trame tague VLAN 6
SW
Trame sortante du port (egress):- Si Tag 6: reste avec tag 6- Si Tag 12: part sans TagTrame entrante (ingress):-Si Tag avec Vlan 6: on garde le tag 6-Si non taggue: taggue avec Vlan 12-Si autre valeur de Tag: ignore
Cas des Vlans dynamiques Exemple avec VTP (Vlan trunk Protocol)
Dmonstration
Protection par mot de passe possible
Exemples de commandes: SW(config)#vtp ?
domain Set the name of the VTP administrative domain file Configure IFS filesystem file where VTP configuration is stored interface Configure interface as the preferred source for the VTP IP updater
address. mode Configure VTP device mode password Set the password for the VTP administrative domain pruning Set the administrative domain to permit pruning version Set the administrative domain to VTP version
Pb de la redondance des liensChemins redondants et absence de Spanning Tree: Quel est donc le problme ?
00-90-27-76-5D-FE
A
sw1
sw2
00-90-27-76-96-93
pc1
pc2
A Concentrateur
00-90-27-76-5D-FE
00-90-27-76-96-93
A sw1
Larry
pc1
pc2
A
00-90-27-76-5D-FE
Concentrateur
pc1 envoie une trame Ethernet pc2.
Les commutateurs sw1 et sw2 voient tous deux la trame et enregistrent l'adresse MAC de pc1 dans leurs tables de commutation.
Table des adresses d'originePort 1 : 00-90-27-76-96-93
Table des adresses d'originePort 1 : 00-90-27-76-96-93
sw2
00-90-27-76-96-93
00-90-27-76-5D-FE
Table des adresses d'originePort 1 : 00-90-27-76-96-93
Table des adresses d'originePort 1 : 00-90-27-76-96-93
A
sw1
sw2
A
1
1 2
00-90-27-76-96-93
00-90-27-76-5D-FE
Concentrateur
Aucun des deux commutateurs ne possde l'adresse MAC de destination dans sa table.
Ils diffusent donc la trame vers tous les ports.
pc2
pc1
Table des adresses d'originePort 1 : 00-90-27-76-96-93
A
sw1
sw2
A
1
1 2
00-90-27-76-96-93
00-90-27-76-5D-FE
Concentrateur
Table des adresses d'originePort 1 : 00-90-27-76-96-93Port A : 00-90-27-76-96-93
Le commutateur sw1 apprend, tort, que l'adresse d'origine 00-90-27-76-96-93 se situe sur le port A.
pc2
pc1
Table des adresses d'originePort 1 : 00-90-27-76-96-93Port A : 00-90-27-76-96-93
Table des adresses d'originePort 1 : 00-90-27-76-96-93Port A : 00-90-27-76-96-93
A sw1
sw2
A
1
1 2
00-90-27-76-96-93
00-90-27-76-5D-FE
Concentrateur
Le commutateur sw2 apprend lui aussi, tort, que l'adresse origine 00-90-27-76-96-93 se situe sur le port A.
pc2
pc1
Table des adresses d'originePort A : 00-90-27-76-96-93
A
sw1
sw2
A
1
1 2
00-90-27-76-96-93Concentrateur
Table des adresses d'originePort A : 00-90-27-76-96-93
Dornavant, lorsque pc2 envoie une trame pc1, celle-ci est reue par sw1 qui ignore celle-ci.
pc2
pc1
Cas des trames de diffusion
A
sw1
sw2
pc1
A
1
1 2
00-90-27-76-96-93
00-90-27-76-5D-FE
Concentrateur
pc1 envoie une trame de broadcast de couche 2, comparable une requte ARP.
pc2
A
sw1
sw2
pc1
A
1
1 2
00-90-27-76-96-93
00-90-27-76-5D-FE
Concentrateur
La trame de broadcast tant de couche 2, les deux commutateurs, sw1 et sw2 la diffusent vers tous les ports, y compris leur port A.
pc2
Les deux commutateurs reoivent le mme broadcast, mais sur un port diffrent. Ils diffusent tous deux la trame de broadcast en double vers leurs autres ports.
Les commutateurs diffusent nouveau le mme broadcast vers leurs autres ports, ce qui a pour effet de gnrer des trames en double; c'est ce que l'on appelle une tempte de broadcast !
Pour rappel, les broadcasts de couche 2 ne sont pas seulement des grands consommateurs de bande passante du rseau. Ils doivent en outre tre traits par chaque hte. Cela peut avoir une incidence ngative sur le rseau, au point de le rendre totalement inutilisable.
Protocole " spanning tree "
Lien de secours
Il fait partie de la norme 802.1d. Le principe est simple : construire une arborescence sans boucle partir
d'un point identifi, connu sous le nom de racine. Les chemins redondants sont autoriss, mais un seul peut tre le chemin
actif.
L'algorithme " spanning tree " (STA) est utilis pour calculer un chemin exempt de boucle.
Les trames " spanning tree ", appeles units BPDU (Bridge Protocol Data Units), sont envoyes et reues par tous les commutateurs du rseau intervalles rguliers. Elles servent en outre dterminer la topologie " spanning tree ".
Une instance distincte du protocole STP s'excute dans chaque VLAN configur.
Protocole " spanning tree "
Explication des tats STP
Les tats ont t dfinis au dpart, puis ils ont t modifis par le protocole STP.. Blocage Ecoute Apprentissage Transmission Dsactiv
Il est possible de configurer les ports du serveur de sorte qu'ils passent automatiquement en mode de transmission STP
Plan Infrastructures dentreprises
Routeurs et Firewall Topologie et DMZ Proxy
Du concentrateur la commutation Hubs et switchs Rseaux locaux virtuels: VLAN Introduction la Qos
Authentification niveau 2
VPN PPTP IPSEC
SiSiSiSi
WAN
O a ton besoin de QOS
Central Campus Remote Branch
Contrle dadmission des paquets
Traffic shaping Fragmentation niveau 2
Contrle dadmission des paquets
Traffic shaping Fragmentation niveau 2
Agence distante Rgles de distribution
niveau 3 Gestion de queues
multiples Traitement de la
congestion
Rgles de distribution niveau 3
Gestion de queues multiples
Traitement de la congestion
Agence centraleAgence centrale Accs vers lextrieurAccs vers lextrieur QoSWANQoSWAN
Dbits Classification Voix ou
DonnesGestion de queues
multiples sur ports avec Ordi et Tlphones
Dbits Classification Voix ou
Donnes Gestion de queues
multiples sur ports avec Ordi et Tlphones
Dbits Classification Voix ou
Donnes Gestion de queues
multiples sur ports avec Ordi et Tlphones
Problmatique en 3 niveaux
Classer les flux
Marquer les flux
Appliquer des rglesde gestion du trafic
Rappel: structure Couches 2 & 3
VersionIHL Long
IPV4 classique: 3 bits de poids fort appel IP Prcdence(Diffuseur doivent utiliser 6 bits de DSCP et 2 bits de contrle de flux)
Layer 3IPV4
ID Offset TTL Proto FCS IP-SA IP-DA DataToS1 Octet
077 12233445566
IP Precedence
DSCP
Contrle FluxPour DSCP
FCSDATAVLAN TAG4 BytesVLAN TAG
4 BytesSADASFDPREAM.Type/Len
VLAN ID12 bits
VLAN ID12 bits
CFI1bitCFI1bitPRIPRI
Tag Protocol ID0x8100
Tag Protocol ID0x8100
1234567
0 Best Effort DataMedium Priority
Data
High Priority DataCall Signaling
Video Conferencing
Voice BearerReservedReservedCoS
Application
PRI: 3bits
Valeurs Diff-Serv
AF43AF43
AF33AF33
AF23AF23
AF13AF13
101110
High Drop Prt
High Drop Prt
000000
DSCPDSCPBE1BE1BE2BE2BE3BE3BEBEAF11AF12AF12AF13AF13AF21AF22AF22AF23AF23AF31AF32AF32AF33AF33AF41AF42AF42AF43AF43EF
DecimalDecimal22446600
101212141418202022222628283030343636383846
BinaryBinary000010000010000100000100000110000110000000000000001010001100001100001110001110010010010100010100010110010110011010011100011100011110011110100010100100100100100110100110101110
IP PRECIP PREC00000000111112222233333444445
BinaryBinary000000000000000000000000001001001001001010010010010010011011011011011100100100100100101
VersionIHL Long ID Offset TTL Proto FCS IP-SA IP-DA DataToS1 Octet
077 12233445566
IP Prcdence
DSCP
ContrleFlux
Pour DSCP
Type de flux DiffServ Codepoint DSCP Nom commercial
Trafic rseau (routage, contrle)
CS7, CS6 56, 48 Critical/network
Voix EF 46 Premium
Visio confrence AF41, AF42, AF43
34, 36, 38 Platinium
Signalisation voix
AF31, AF32, AF33
26, 28, 30 Gold
Critique AF21, AF22, AF23
18, 20, 22 Silver
Prioritaire AF11, AF12, AF13
10, 12, 14 Bronze
Standard CS0 0 Best effort
Classification (confiance)
Un quipement est dit de confiance (trusted) sil classifie correctement les paquets
La classification doit tre fait le plus tt possible
La frontire de confiance est dlimite par des quipements de confiance
1 et 2 sont optimums, 3 est acceptable (le switch daccs ne gre pas la QOS)
Remarque: Si on veut plutt une classification par VLAN: Qos sur Cos Si plutt une classification par application: Qos sur DCSP
SiSi
SiSi
SiSi
SiSi
terminaisons Accs Distribution Noyau WAN Agg.
Frontire de confiance
1
2
3
Valeurs de Cos dun PC modifier
COS = 5COS = 5
COS = 0
COS = 5COS = 5
COS = XCOS = X
IP PhoneIP PhoneNon conserve: le switch de lIP Phone change
la valeur de Cos 0
Non conserve: le switch de lIP Phone change
la valeur de Cos 0
set port qos trust-ext _____Seulement appliqu au port PC Ethernet du switch de lIP Phone
set port qos trust ____Applique au port en question lune des lois suivantes: untrusted (default), trust-cos, trust-ipprec, trust-dscp
Sur les ports des 6k, on peut ajouter des ACL pour paramtrer le niveau de confiance
Congestion WAN.
100 meg / 128 kb/s en sortie: srialisation des paquets dentre plus vite quen sortie
Les paquets sont placs dans des queues ( queued ) le temps de traitement de la srialisation sur le lien bas dbit
Router
128k Uplink10/100m
WAN
QueuedQueued
Congestion LAN
1G /100 meg : mmes problmes de srialisation que prcdemment: paquets placs dans des queues
Switch daccs
100 Meg Link1 Gig Link
Switch de distrib.
QueuedQueued
Congestion de queue de transmission Les queues multiples
permettent de traiter les queues contenant un trafic plus important
Suppression possible seulement dans les queues de type BE
Queue Mgr
RR/WRR/PQQueue Scheduler
Queue 2Queue 2Queue 1
VoiceVoiceData
Round Robin, Weighted Round
Robin ou Priority Queuing utiliss pour
classifier les diffrentes queues
Round Robin, Weighted Round
Robin ou Priority Queuing utiliss pour
classifier les diffrentes queues
Les files dattente
FIFO (First In First Out). Cest le principe du best effort ( la queue leu leu!). Traffic Shaping : un trafic erratique est liss en temporisant les pics de
trafic. Policing : les pics de trafic sont crts. Priorit (SPQ pour Strict Priority Queuing) : tant quil y a des paquets
prioritaires dans la file dattente, ils seront traits avant de passer aux autres moins prioritaires (ambulance).
WFQ (Weighted Fair Queuing). Priorit certains trafics par rapport dautres (les ESF aux remontes mcaniques) ssi congestion. WRR(Weighted Round Robin)
RED (Random Early Detection) intervient avant la congestion. Des paquets sont alatoirement rejets lorsquon sapproche de la congestion.
WRED (Weighted RED) et ERED (Enhanced RED) permettent de slectionner les flux en fonction de priorits (precedence, dscp) qui dterminent le rejet des paquets
SFQ (Stochastic Fairness Queueing) : N paquets de chaque file dattente sont traits avant de passer la prochaine file dattente. Chaque file correspond un flux, et N est toujours le mme, quel que soit la file dattente, donc quel que soit le flux.
Port InPkts 1549-9216 OutPkts 1549-9216
Port InPkts 1549-9216 OutPkts 1549-9216Fa3/2 0 0
Port Tx-Bytes-Queue-1 Tx-Bytes-Queue-2 Tx-Bytes-Queue-3 Tx-Bytes-Queue-4Fa3/2 0 0 0 0
Port Tx-Drops-Queue-1 Tx-Drops-Queue-2 Tx-Drops-Queue-3 Tx-Drops-Queue-4Fa3/2 1122 0 0 0
Port Rx-No-Pkt-Buff RxPauseFrames TxPauseFrames PauseFramesDropFa3/2 0 0 0 0
Application: queues de transmission sur Cisco
Queue Mgr
RR/WRR/PQQueue Scheduler
Queue 2Queue 2
VoiceVoiceData
Queue 1Queue 1Ex: Catalyst 3550: show mls qos int statistics fa3/2
Ex: Catalyst 3550 4 queues de transmission (1P3Q2T or 4Q2T) 802.1p, DSCP et Qos base sur les ACL Trust DSCP, et CoS (policy maps) Peut appliquer DSCP ou CoS par port
(marked/rewrite ou unmarked) Translation (map) depuis CoS vers DSCP ou DSCP
vers CoS POE: Power On Ethernet, pour alimentation Commutation niveau 3
SiSi
65006500
35503550 35503550
65006500
35503550
Cisco Catalyst : Exemple 1
mls qos map cos-dscp 0 10 18 26 34 46 48 56mls qos!class-map match-all ftpmatch protocol ftp!policy-map my_Policyclass ftpshape average 32000!interface GigabitEthernet0/1ip address 10.33.1.1 255.255.0.0service-policy output my_policy
Limitation de bande passante par shappingSiSi
65006500
35503550 35503550
65006500
35503550
Cisco Catalyst : Exemple 2
access-list 102 permit tcp any any eq 20access-list 102 permit tcp any any eq 21!interface GigabitEthernet0/1ip address 10.33.1.1 255.255.0.0rate-limit output access-group 102
25600000 4000000 8000000 conform-action transmitexceed-action drop
Limitation de bande passante avec rate-limitSiSi
65006500
35503550 35503550
65006500
35503550
Sur linterface Giga 0/1: pour le trafic ftp (ici access-list 101 ou 102): - Limitation 25,6 Mbit/s, Rafale Max 8Moctets/s- Transmission du paquet si paquet conforme- Action si non conforme: drop
Cisco Catalyst : Exemple 3
class-map match-all datamatch access-group 102class-map match-all videomatch access-group 103class-map match-all basicmatch access-group 104!policy-map my_Policyclass video set ip precedence 5class dataset ip precedence 1 class basic set ip precedence 0!interface GigabitEthernet0/1ip address 10.33.1.1 255.255.0.0service-policy output my_policy
Priorisation des trafficsSiSi
65006500
35503550 35503550
65006500
35503550
Marquage des paquets
- 8 valeurs de precedence possibles- 64 valeurs de DSCP possibles
Les paquets marqus ip precedence ou ip dscp sont traits dans les files dattente de type WRED
- 8 valeurs de marquage COS possibles (marquage COS quand un paquet quitte un routeur pour aller sur un switch qui traite le COS pour la gestion de la QoS)
On classe les flux dans des class-map en fonction de
leur access-list
On place une valeur dip precedence pour marquer le flux et pouvoir appliquer
la Qos sur le rseau
On applique la policy-map en sortie dinterface
Qos: L2 to L3 / L3 to L2On diffrencie les trames entrantes en fonction de leur valeur de COS.
Suivant la class-map, on met une valeur de DSCP dans lentte IP
On applique les rgles l2 to l3 sur linterface voulue, dans le sens
input
On diffrencie les paquets IP entrants en fonction de leur valeur
de DSCP.
Suivant la class-map, on met une valeur de COS dans ltiquette de
la trame
On applique les rgles l3 to l2 sur linterface voulue, dans le sens
output
Bande passante ncessaire: exemple VoIP et codec utilis
CODECCODEC Sampling RateSampling Rate Voice Payloadin BytesVoice Payload
in BytesPackets per
SecondPackets per
SecondBandwidth per
ConversionBandwidth per
ConversionG.711G.711 20 msec20 msec 160160 5050 80 kbps80 kbps
240240 33332020 5050
G.711G.711G.729AG.729AG.729AG.729A
30 msec30 msec20 msec20 msec30 msec30 msec 3030 3333
74 kbps74 kbps24 kbps24 kbps19 kbps19 kbps
CODECCODEC 801.Q Ethernet+ 32 L2 Bytes
801.Q Ethernet+ 32 L2 Bytes
MLP+ 13 L2 Bytes
MLP+ 13 L2 Bytes
Frame-Relay+ 8 L2 BytesFrame-Relay+ 8 L2 Bytes
ATM+ Variable L2 Bytes
(Cell Padding)
ATM+ Variable L2 Bytes
(Cell Padding)G.711 at 50 ppsG.711 at 50 pps 93 kbps93 kbps 86 kbps86 kbps 84 kbps84 kbps 106 kbps106 kbps
78 kbps78 kbps 77 kbps77 kbps
30 kbps30 kbps 28 kbps28 kbps
G.711 at 33 ppsG.711 at 33 pps
G.729A at 50 ppsG.729A at 50 ppsG.729A at 33 ppsG.729A at 33 pps
83 kbps83 kbps
37 kbps37 kbps27 kbps27 kbps 22 kbps22 kbps 21 kbps21 kbps
84 kbps84 kbps
43 kbps43 kbps28 kbps28 kbps
Mthode de calcul plus prcise: ajout de lenttecouche 2 en fonction de la technologie
Plan Infrastructures dentreprises
Routeurs et Firewall Topologie et DMZ Proxy
Du concentrateur la commutation Hubs et switchs Rseaux locaux virtuels: VLAN Introduction la Qos
Authentification niveau 2 Gnralits EAP
VPN PPTP IPSEC
Gnralits Contexte
802.1X: standard mis en place 2001 par lIEEE Fait partie du groupe des protocoles IEEE 802 (802.1). Besoin dauthentification ds laccs physique au rseau (trs
important dans le domaine du WIFI, o les cls de cryptage WEP ne sont pas trs efficaces, do lide dune authentification physique ds les bornes).
Norme dveloppe aussi pour les VLAN. LIEEE souhaitait donc standardiser un mcanisme de relais
dauthentification au niveau 2.
Objectif Autoriser laccs physique un rseau local aprs une phase
dauthentification, peu importe le systme de transmission utilis.
Mcanisme dauthentification de laccs au rseau devant tre fait avant mme tout autre mcanisme dauto-configuration tel que DHCP.
Le 802.1x va apporter des avantages considrables au niveau de ladministration du rseau, notamment par laffectation dynamique des VLAN en fonction des caractristiques de cette authentification.
Gnralits
Principe Gnral
Le 802.1x utilise le un protocole EAP (Extensible Authentification Protocol) Le standard sappuie sur des mcanismes dauthentification existants.
Il se base sur 3 entits
Ethernet / 802.11 IP/UDP
EAPoL (EAP Over LAN) Radius
Extensible Authentication Protocole
Mthode EAP spcifique
SupplicantAuthentificateur
Serveurdauthentification
EAP
EAP : PPP Extensible Authentification Protocol Extension du protocole PPP. Normalis dans la RFC 2284 par l'IETF.
Le dbut de l'authentification peut se faire soit l'initiative du systme authentifier, soit par le systme authentificateur, par le biais d'une requte.
Avant que l'authentification soit complte, seul le trafic EAP est autoris transiter.
SupplicantAuthentificateur
Paquets EAP rencapsulsdans format adapt
Paquets EAP
EAPOL
Exemple filaire + MD5 (type 4)
Requte initiale Envoye par lauthentificateur
Composition du paquet EAP
Les diffrents types de trames EAP sont les suivants: 0 : EAP-Packet 1: EAP-Start (authentification demand par le client) 2: EAP-Logoff (fermeture du port contrle demande par le
client) 3: EAP-PolKey (si mise en uvre dun dispositif de chiffrement
ex. 802.11) 4: EAPOL-Encapsulated-ASF-Alert
http://standards.ieee.org/getieee802/download/802.1X-2001.pdf
Type 888E
Entte MAC
Version 2
type longueur Message EAP Adr. Dest. Adr. Src.
Entte 802.1x (EAPoL)
Quelques mthodes EAP LEAP: Lightweight EAP. Implmentation propritaire soutenue par
Cisco. Mthode utilisant des mots de passe (pb longueur mots de passe)
EAP MD5: Acceptable en filaire interdite en WIFI
EAP/PEAP : Tunnel chiffr + Autre mthode EAP dans le tunnel. Dabord cration du tunnel puis EAP/TLS par exemple.
EAP/TLS : Tunnel chiffr + Authentification par certificats (2). Mthode trs rpandue . Le supplicant et le serveur doivent tre reconnus, sinon dconnexion. Utilise des clefs publiques. Seul protocole devant tre implment pour avoir un matriel lablis WPA ou WPA2.
EAP/SIM : mthode EAP pour client GSM EAP/AKA: carte SIM dans le cas de lUMTS .
Scnario EAP/TLS
Client Hello
Envoi certificatserveur
- Envoi certificat client
- Vrification certificat Serveur
- Gnration clef session
Numro de Vlan envoy dans rponse du serveur RadiusTunnel-Type=VLAN (13)Tunnel-Medium-Type=802 (6)Tunnel-Private-Group-ID=
Affectation dynamique des Vlans
Authentificateur
VLAN Ingnierie
VLAN ComptabilitVLAN Direction
VLAN Invit
Postes wifi
Postes filaires
Radius
Plan
Infrastructures dentreprises Routeurs et Firewall Topologie et DMZ Proxy
Du concentrateur la commutation Hubs et switchs Rseaux locaux virtuels Introduction la Qos
Authentification niveau 2
VPN PPTP IPSEC
Quest ce quun VPN VPN: Virtual Private Network Ex: VPN site site VPN Client distant Site Quels sont les mthodes et
protocoles dauthentification ? PPTP (Microsoft): utilise MPPE
pour encrypter.
L2TP: Layer 2 Tunneling Protocol: utilisation de certificats, et duprotocole IPsec pour encrypter.
Problme de la route par dfaut dans un VPN !
PPTP
R se a u d e tra n sp o rt
O u v e rtu re d u n e se s s io n T C P su r le s e rv e u r P P T P
N g o c ia tio n d e s p a ra m tre s d u tu n n e l P P T P C e lia iso n d e c o n tr le se ra m a in te n u e d u ra n t to u te le x is te n c e d u tu n n e l 1 7 2 3
P P P L in k C o n tro l : N g o c ia tio n d e la lia iso n P P P , m th o d e d a u th e n tific a tio n e t d e c o m p re ss io n E x M sC H A P V 2
A u th e n tific a tio n C H A P (e n v o i d u n c h a lle n g e = n o m b re a l a to ire ) R p o n se (c h a lle n g e c o n d e n s p a r le m o t d e p a sse ) A c c e p ta tio n d u se rv e u r
c h a lle n g e
R e p o n se = F (c h a lle n g e , p a s sw d )
O K
N g o c ia tio n d e s p a ra m tre s IP
N g o c ia tio n d u m o d e d e c o m p re ss io n e t o u c r yp ta g e
D A T A
P P P L in k C o n tro l : F in d e se s s io n P P P
1 7 2 3 F e rm e tu re d u tu n n e l P P T P
T u n n e l e n m o d e
d a ta g ra m m e
IPSEC
Trois protocoles Ngociation de paramtres:
IKE (Internet Key exchange) : port 500
Connexion scurise en mode transport : port 50
Connexion scurise en mode tunnel : port 51
IKE
PHASE 1: Ngociation des cls pour la cration dun tunnel scuris
A lintrieur du premier tunnel,
PHASE 2 :Ngociation des paramtres des tunnels utiliss pour le transport effectif des donnes
Mode transport et mode tunnel
Mode transport : Seules les donnes du paquet sont rencapsules
Mode tunnel : la totalit du paquet est rencapsule
Entte IP Donnes
DonnesEntte IP Entte IPSECEntte IP
code de scurit
Entte IP Donnes
Entte IP DonnesEntte IPSECEntte IP
code de scurit
Deux types de codes de scurit
Code de type AH : Authentication Header
Deux types de codes de scurit
Code de type ESP : Encapsulation security payload