====== Différences ======
Cette page vous affiche les différences entre la révision choisie et la version actuelle de la page.
|
architecture:reseaux_telecommunications [2015/01/12 09:52] r.doiteau créée |
architecture:reseaux_telecommunications [2019/05/11 14:35] (Version actuelle) |
||
|---|---|---|---|
| Ligne 78: | Ligne 78: | ||
| === Vunérabilités === | === Vunérabilités === | ||
| - | Absences de contrôles sur les addreses MAC | + | Absences de contrôles sur les adresses MAC |
| Menaces d'une machine sur port libre | Menaces d'une machine sur port libre | ||
| - | Usurpation de l'addrese IP | + | Usurpation de l’adresse IP |
| Absences de filtrage de trames | Absences de filtrage de trames | ||
| Ligne 121: | Ligne 121: | ||
| + | ==== OSI ==== | ||
| + | Les VLANS sont de niveaux deux, pour une communication, il faut effectuer du routage intervlan,par un routeur de niveau trois. | ||
| + | ==== Encapsulation ==== | ||
| + | {{ :architecture:trunk.png?600 |}} | ||
| + | ==== VTP ==== | ||
| + | **Statique :** | ||
| + | Configuration manuelle des interfaces | ||
| + | |||
| + | **VTP :** | ||
| + | |||
| + | Domaine VTP | ||
| + | |||
| + | Propagation des VLANS sur tous les commutateurs du domaine | ||
| + | |||
| + | Rôles VTP | ||
| + | |||
| + | Server Mode : création des VLAN et propagation des informations | ||
| + | |||
| + | Client Mode : Reçoit les VLANS, et créer les VLANS sur l’équipement | ||
| + | |||
| + | === STP === | ||
| + | |||
| + | Circulation en boucle des trames et multiplication <=> Tempêtes de broadcast | ||
| + | |||
| + | ===STP :=== | ||
| + | |||
| + | * Crée un chemin sans boucle basé sur le chemin le plus court | ||
| + | * Choix du chemin en fonction de la somme des coûts de liens entre les commutateurs | ||
| + | * Les coûts sont basés sur la vitesse des ports | ||
| + | |||
| + | STP échange régulièrement des informations (BPDU, Bridge Protocol DATA Unit) afin qu'une éventuelle modification de topologie puisse être adaptée sans boucle. | ||
| + | |||
| + | |||
| + | ===États des ports=== | ||
| + | |||
| + | * listening : le commutateur « écoute » les BPDU et détermine la topologie réseau ; | ||
| + | * learning : le commutateur construit une table faisant correspondre les adresses MAC aux numéros des ports ; | ||
| + | * forwarding : un port reçoit et envoie des données, opération normale ; | ||
| + | * blocking : un port provoquant une boucle, aucune donnée n'est envoyée ou reçue mais le port peut passer en mode forwarding si un autre lien tombe ; | ||
| + | * disabled : désactivé, un administrateur peut manuellement désactiver un port s'il le souhaite. | ||
| + | |||
| + | ===Détermination des ports racine=== | ||
| + | |||
| + | - Élection d'un commutateur maître | ||
| + | - Tous les commutateurs émettent des BPDU | ||
| + | - L'identification utilisé (Bridge ID) est la concaténation de la priorité (2 octets) et de l'adresse MAC (6 octets) | ||
| + | - Celui qui est le plus petit BPDU gagne l'élection | ||
| + | - Une fois le maître désigné, envoie de BPDU | ||
| + | - Le sports désignés sont en FORWARDING | ||
| + | |||
| + | |||
| + | ===== Standard IEEE 802.1X ===== | ||
| + | |||
| + | ==== Architecture AAA ==== | ||
| + | |||
| + | Centralisation des accès au réseau interne depuis plusieurs sources | ||
| + | |||
| + | Serveur d'accès distant (RAS) | ||
| + | |||
| + | Passerelle VPN, Commutateur, Point d'accès Wifi | ||
| + | |||
| + | **Authentification :** | ||
| + | |||
| + | identification et authentification des utilisateur | ||
| + | |||
| + | **Authorization :** | ||
| + | |||
| + | gestion des droits d’accès des utilisateurs | ||
| + | |||
| + | **Accounting :** | ||
| + | |||
| + | traçabilité des actions effectués par les utilisateurs | ||
| + | |||
| + | |||
| + | Quatre types d'entités interagissent: | ||
| + | |||
| + | * Utilisateur | ||
| + | * Organisation de base de cet utilisateur | ||
| + | * Serveur AAA | ||
| + | * L’équipement réseau | ||
| + | |||
| + | {{ :architecture:archi_aaa.jpg |}} | ||
| + | |||
| + | **RADIUS, TACAS+** | ||
| + | |||
| + | === RADIUS === | ||
| + | |||
| + | |||
| + | * Protocole de niveau 7 | ||
| + | * Assurer l'authentification des utilisateur | ||
| + | * Gérer la traçabilité des connexions | ||
| + | |||
| + | |||
| + | Port UDP 1812 | ||
| + | |||
| + | |||
| + | ===== VPN ===== | ||
| + | |||
| + | ==== Problématique ==== | ||
| + | |||
| + | Comment garantir la sécurité du transport des données au travers des réseaux non sûr => Internet | ||
| + | |||
| + | **VPN poste à site** | ||
| + | |||
| + | L'une des extrémités est un poste, accédant directement au réseau public. | ||
| + | |||
| + | L'autre extrémité une passerelle, interconnectant le réseau public et le réseau privé de l'organisme | ||
| + | |||
| + | Tunnel monter de façon permanente | ||
| + | |||
| + | **VPN site à site** | ||
| + | |||
| + | Les deux extrémités sont des passerelle interconnectant les sites | ||
| + | |||
| + | Dés que la communication est terminé, le tunnel est démonté | ||
| + | |||
| + | passerelle <=> passerelle | ||
| + | |||
| + | routeur ou firewal <=> routeur ou firewall | ||
| + | |||
| + | ===== Protocoles ===== | ||
| + | |||
| + | ==== VPN de niveau 2 === | ||
| + | |||
| + | === PPP === | ||
| + | |||
| + | Liaison permet de full duplex et garantit l'ordre d'arrivé des paquets | ||
| + | |||
| + | PPP => via PAP | ||
| + | |||
| + | PAP : Password Authentification Protocol | ||
| + | |||
| + | Le mot de passe passe en clair sur le réseau | ||
| + | |||
| + | === PPTP === | ||
| + | |||
| + | Deux canaux de communication | ||
| + | |||
| + | Un canal de contrôle pour la gestion du lien | ||
| + | |||
| + | Un canal pour le transport des datas | ||
| + | |||
| + | PPTP => MS-CHAP | ||
| + | |||
| + | Microsoft CHAP : grandes vulnérabilités => MS-CHAPv2 | ||
| + | |||
| + | Envoi non simultané des hash LAN Manager et NTLM | ||
| + | |||
| + | Renouvellement de la clé de chiffrement MPPE | ||
| + | |||
| + | Chiffrement XOR des paquets => transformation booléennes par le ou exclusif | ||
| + | |||
| + | === L2F === | ||
| + | |||
| + | Layer 2 Fowarding | ||
| + | |||
| + | Protocole obsolète | ||
| + | |||
| + | Permet d'encapsuler des trames PPP entre un serveur distant et un serveur L2F | ||
| + | |||
| + | === L2TP === | ||
| + | |||
| + | Permet d'encapsuler des trames PPP pour les envoyer dur des réseaux IP, X25, Frame, Relay ou ATM | ||
| + | |||
| + | Fusion des deux protocoles PPTP et L2F | ||
| + | |||
| + | Attention pas de chiffrement des datas | ||
| + | |||
| + | Encapsulation des trames PPP dans des messages UDP | ||
| + | |||
| + | Un concentrateur LAC (L2TP Access Concentrator) permet l'encapsulater | ||
| + | |||
| + | Un serveur L2TP déencapsule les trames | ||
| + | |||
| + | {{ :architecture:l2tp.png |}} | ||
| + | |||
| + | **Inconvénients** | ||
| + | |||
| + | Encapsulation Lourde => en-tête de 14 octets | ||
| + | |||
| + | Aucune confidentialité des données n'ai assuré | ||
| + | |||
| + | |||
| + | ==== VPN de niveau 3 ==== | ||
| + | |||
| + | === MPLS === | ||
| + | |||
| + | Protocole de niveau 2.5 de communication de paquets par étiquette (label) => notion de routage + étiquetage | ||
| + | |||
| + | Permet de faire cohabiter sur une même infrastructure réseau (liens, routeurs) plusieurs services (données, voix, vidéo,...) et plusieurs protocoles (IPv4, IPv6...) | ||
| + | |||
| + | L'over-head est insérée entre l'en-tête de niveau 2 et 3, sans autre modification de la trame | ||
| + | |||
| + | ** Principe de communication *** | ||
| + | |||
| + | Les routeurs de bord, commutent au centre | ||
| + | |||
| + | //Commutateur MPLS sont souvent appelés routeurs// | ||
| + | |||
| + | Routeur CE => Label => Routeur PE | ||
| + | |||
| + | Les trames sont taguées d’où la notion de réseaux virtuels | ||
| + | |||
| + | {{ :architecture:mpls.png |}} | ||
| + | |||
| + | ** Création de cloisonnement logique ** | ||
| + | |||
| + | Routeur virtuel VRF | ||
| + | |||
| + | Selon une table de routage prédéfinies en fonction des clients | ||
| + | |||
| + | Définition des routes entre les tables | ||
| + | |||
| + | Tout ce qui n'est pas autorisé et explicitement refusé | ||
| + | |||
| + | ** Étiquette ** | ||
| + | |||
| + | Label de 64 bits qui indique ce que l'on peut **router** et vers quelles **destinations** | ||
| + | |||
| + | {{ :architecture:mpls2.png |}} | ||
| + | |||
| + | **MPLS vs IPsec** | ||
| + | |||
| + | MPLS offre un service de contrôle d'accès au réseau, mais n'assure pas la confidentialité ni l'intégrité des données échangées sur le réseaux traversées. | ||
| + | |||
| + | IPsec offre des services de confidentialité de de contrôle d'intégrité basés sur la cryptologie | ||
| + | |||
| + | ** Les deux approches peuvent être menées simultanément** | ||
| + | |||
| + | |||
| + | === IPsec === | ||
| + | |||
| + | PKI | ||
| + | |||
| + | AH | ||
| + | |||
| + | ESP | ||
| + | |||
| + | SPI | ||
| + | |||
| + | 2 phases : | ||
| + | |||
| + | - Établissement | ||
| + | |||
| + | - Négociation | ||
| + | |||
| + | Mode Transport et Tunnel | ||
| + | |||
| + | Mises en cascade et surencapsulation | ||
| + | |||
| + | === SSL/TLS === | ||
| + | |||
| + | Protocole de niveau 5 (session) et de niveau 6 (présentation) | ||
| + | |||
| + | Cette suite protocolaire fournit des services de sécurité : | ||
| + | |||
| + | confidentialité : chiffrement des données | ||
| + | |||
| + | Intégrité: contrôle d'intégrité, anti-modification, anti répudiation | ||
| + | |||
| + | Authentification : authentification serveur, authentification client (optionnelle) | ||
| + | |||
| + | SSL est composé de 4 protocoles : | ||
| + | |||
| + | * Niveau 5 | ||
| + | * Record Layer Protocol (RLP) | ||
| + | |||
| + | * Niveau 6 | ||
| + | * Handshake Protocol (HP) | ||
| + | * Change Cipher Spec Protocol (CCSP) | ||
| + | * Alert Protocol (AP) | ||
| + | |||
| + | SSL v3 permet l'authentification mutuelle (client et serveur) | ||
| + | |||
| + | ** Nouveau Besoin ** | ||
| + | |||
| + | VPN est un réseau lourd à mettre en œuvre et à maintenir, consommateur de ressources | ||
| + | |||
| + | VPN SSL/TLS | ||
| + | |||
| + | SSL et TLS sont implémentés nativement dans les principaux système et logiciels du marché | ||
| + | |||
| + | SSL/TLS est trés utilisé pour sécuriser la plupart des protocoles anciens: | ||
| + | |||
| + | HTTPs, POP3s, SMTPs | ||
