infrastructure so a
TRANSCRIPT
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 1/49
1
Patrick GIRARD - Architectures Réseaux pour les SOA
Nouvelles Architectures RéseauxOrientées Services
ISMIN – 2010
Système d’Information
Patrick Girard
[email protected] / [email protected]
Instructeur Certifié depuis Octobre 2001 – Glasgow LTS - CCAI (CCNA: CSCO10362533) – Copenhague 2001CCNP 1 (BSCI) 7/2004; CCNP2 (ISCWN) 10/2009; CCNP 3 (BCMSN) 8/2005 – Birmingham UCE
Network Security I (NS1) 2/2006 – Birmingham UCENetwork Security II (NS2) 7/2006 - Glasgow LTS
Cisco Airespace Wireless (CAIAM) 3/2006 – Nice/Maidenhead/Amsterdam – DaclemACSE OmniSwitch R6 – 11/2006 - Brest Alcatel University
Patrick GIRARD - Architectures Réseaux pour les SOA
IAAI : Schéma général
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 2/49
2
Patrick GIRARD - Architectures Réseaux pour les SOA
IAAI : Architecture sécurisée
Présentation de l'infrastructure
Sécurité interne et externe
Services AAA (NoCat, Web-auth)
Services DNS, LDAP, DHCP, NTP, Syslog
Service de fichier, SAMBA
Services Mail, Webmail, Web, Web sécurisé
Services VPN en mode tunnel (GRE+IPSEC)
Services VPN en mode client
Patrick GIRARD - Architectures Réseaux pour les SOA
IAAI : Architecture sécurisée
Les trois zones : Externe, Interne, DMZ
Mise en œuvre des services AAA
Mise en œuvre des services communs
Service de Messagerie IMAP
Service d’accès distant : Extranet, VPN
Mise en œuvre des services auxiliaires
Filtrage d’accès et surveillance desconnexions
Politique antivirale et filtrage de ports(couche 4)
Nomadisme, mobilité, intégration des services
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 3/49
3
Patrick GIRARD - Architectures Réseaux pour les SOA
Sécurisation Externe
Zone Interne, Externe et DMZ
Contrôle en voie entrante par ACL, Dyn-ACL
Contrôle en voie sortante par NAT, PAT
Services d’Audit
Journalisation, alertes de sécurité, sondes etoutils d’évaluation des vulnérabilités
Patrick GIRARD - Architectures Réseaux pour les SOA
Sécurisation Externe
Zone Interne, Externe et DMZ
Contrôle en voie entrante par ACL, Dyn-ACL
Contrôle en voie sortante par NAT, PATServices d’Audit
Journalisation, alertes de sécurité, sondes etoutils d’évaluation des vulnérabilités
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 4/49
4
Patrick GIRARD - Architectures Réseaux pour les SOA
Sécurisation Interne
Rappels : Segmentation en VLAN, subnets,routage inter-vlan
VLAN Natif, VLAN d’administration, VLAN fermede serveurs
Filtrage interne : access-lists symétriques etasymétriques, filtrage de ports
Patrick GIRARD - Architectures Réseaux pour les SOA
Filtrage de
TramesEtiquetagede Trames
Limitation desdomainesde diffusion
Filtrage entreVLANs
Mise en œuvre de la sécurité LAN
Segmentation en VLAN
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 5/49
5
Patrick GIRARD - Architectures Réseaux pour les SOA
Mise en œuvre de la sécurité LAN
Segmentation en VLAN
Patrick GIRARD - Architectures Réseaux pour les SOA
Technologie ad-hoc qui sert à interconnecter descommutateurs (backbone) supportant plusieursVLAN
Place un identificateur unique en tête de chaquetrame qui entre sur le réseau fédérateur(backbone – câblage vertical)
Retire cet identificateur de l’en-tête de tramequand elle entre dans le réseau de distribution(câblage horizontal)
Technologie ad-hoc normalisée en IEE 802.1 q
Segmentation en VLAN
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 6/49
6
Patrick GIRARD - Architectures Réseaux pour les SOA
Commutateurs couche 3
Commutateurs 802.1Q – Exemple 24 ports Giga
Ils possèdent un module de routage embarqué
Les interfaces de routage (couche 3) sontvirtuelles (par exemple 4096 sur 3550)
interface vlan 10
ip address 10.10.3.1 255.255.0.0
ip access-group MySecure inLes routes sont en général statiques
ip route 10.10.0.0 255.255.0.0 vlan 10
Segmentation en VLAN
Intérêt : routage à la vitesse du lien (Giga) par ASICs
Patrick GIRARD - Architectures Réseaux pour les SOA
Configuration des commutateurs 802.1Q
Configuration des commutateurs L3
int range fa0/1 – 8
switchport access vlan 10
int range fa0/9 – 16
switchport access vlan 20
int gi0/1switchport mode trunk
int range fa0/1 – 8
switchport access vlan 10
int range fa0/9 – 16switchport access vlan 20
int vlan 10ip address 10.10.10.254 255.255.255.0
int vlan 20
ip address 10.10.20.254 255.255.255.0
Segmentation en VLAN
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 7/49
7
Patrick GIRARD - Architectures Réseaux pour les SOA
Sécurisation Interne
Rappels : Segmentation en VLAN, subnets,routage inter-vlan
VLAN Natif, VLAN d’administration, VLANferme de serveurs
Filtrage interne : access-lists symétriques etasymétriques, filtrage de ports
Patrick GIRARD - Architectures Réseaux pour les SOA
Gestion des VLAN
Attaques possibles sur les VLAN Inondation MAC
Double encapsulation
Attaques ARP Attaque Spanning-Tree
=> Absolument RIEN sur le VLAN natif (nontagué – en général VLAN 1)
=> Mot de passe sur STP
=> Flood Guard…
=> 802.1X (cf demain)
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 8/49
8
Patrick GIRARD - Architectures Réseaux pour les SOA
Sécurisation Interne
Rappels : Segmentation en VLAN, subnets,routage inter-vlan
VLAN Natif, VLAN d’administration, VLAN fermede serveurs
Filtrage interne : access-lists symétriques etasymétriques, filtrage de ports
Patrick GIRARD - Architectures Réseaux pour les SOA
Filtrage interneConfiguration des commutateurs L3
Configuration des routeurs (sous-interfaces)
int vlan 10
ip address 10.10.10.254 255.255.255.0
ip access-group MySecureRule10 in
int vlan 20ip address 10.10.20.254 255.255.255.0
ip access-group MySecureRule20 in
int fa0/0.10
encapsulation dot1q 10
ip address 10.10.10.254 255.255.255.0
ip access-group MySecureRule10 in
int fa0/0.20
encapsulation dot1q 20
ip address 10.10.20.254 255.255.255.0
ip access-group MySecureRule20 in
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 9/49
9
Patrick GIRARD - Architectures Réseaux pour les SOA
Le pare-feu assure en général plusieurs fonctionsqui contribuent à sécuriser le réseau interne pourdes attaques issues de l’extérieur (environ 20%des problèmes)
Routeur
Passerelle filtrante
Translateur d’adresses
Le pare-feu ne sert à rien pour se protéger des
attaques internes
Firewall
Patrick GIRARD - Architectures Réseaux pour les SOA
Zones : Externe, Interne, DMZ
Un routeur délimite trois types de zones (externe, DMZ,interne)
Chaque zone est associée à un niveau de sécurité : exemplenameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 DMZ security10
Chaque paquet circulant d’une zone plus sécurisée vers unezone moins sécurisée est autorisé par défaut, sauf mentioncontraire
Chaque paquet circulant d’une zone moins sécurisée vers unezone plus sécurisée est interdit par défaut, sauf mentioncontraire
Les réponses à des connexions d’une zone plus sécurisée versune zone moins sécurisée sont acceptées
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 10/49
10
Patrick GIRARD - Architectures Réseaux pour les SOA
Le pare-feu est un routeur … configuré pour nerouter que les réseaux pertinents
route outside 0.0.0.0 0.0.0.0 147.94.112.129 1
route inside 10.1.0.0 255.255.0.0 10.254.254.2 1
route inside 10.10.0.0 255.255.0.0 10.254.254.2 1
route inside 10.100.0.0 255.255.0.0 10.254.254.2 1
route inside 10.101.0.0 255.255.0.0 10.254.254.2 1route inside 10.102.0.0 255.255.0.0 10.254.254.2 1
…
Firewall
Patrick GIRARD - Architectures Réseaux pour les SOA
acl DmztoPix permit udp host Dns host SyslogSrv eq syslogacl DmztoPix permit udp host PicoLibre host SyslogSrv eq syslog
acl DmztoPix permit udp host Web host SyslogSrv eq syslog
access-list OutsidetoPix permit tcp any host WebSrv eq www
access-list OutsidetoPix permit tcp host xx host WebSrv eq ssh
access-list OutsidetoPix permit tcp host xx host WebSrv eq ftp
InsidetoPix
Le pare-feu filtre les paquets qui viennent de l’extérieur …
… de la DMZ …
… et de l’intérieur.
Firewall
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 11/49
11
Patrick GIRARD - Architectures Réseaux pour les SOA
Le pare-feu filtre les paquets entrants
access-list OutsidetoPix permit tcp any host WebSrv eq wwwaccess-list OutsidetoPix permit tcp host xx host WebSrv eq sshaccess-list OutsidetoPix permit tcp host xx host WebSrv eq ftpaccess-list OutsidetoPix permit tcp any host PicoLibreSrv eq ftp-dataaccess-list OutsidetoPix permit tcp any host PicoLibreSrv eq ftpaccess-list OutsidetoPix permit tcp any host PicoLibreSrv eq sshaccess-list OutsidetoPix permit tcp any host PicoLibreSrv eq wwwaccess-list OutsidetoPix permit tcp any host PicoLibreSrv eq 8080 ...
Le trafic entrant venant de l’extérieur ne peutaccéder qu’aux serveurs de la DMZ et uniquementà travers les protocoles qui correspondent auxservices offerts !
Firewall
Patrick GIRARD - Architectures Réseaux pour les SOA
Le pare-feu filtre les paquets issus de la DMZaccess-list DmztoPix permit udp host Dns host SyslogSrv eq syslogaccess-list DmztoPix permit udp host Web host SyslogSrv eq syslogaccess-list DmztoPix permit udp host PicoLibre host SyslogSrv eq syslog
access-list DmztoPix deny udp host Dns 10.0.0.0 255.0.0.0 eq domainaccess-list DmztoPix deny udp host Web 10.0.0.0 255.0.0.0 eq domainaccess-list DmztoPix deny udp host PicoLibre 10.0.0.0 255.0.0.0 eqdomainaccess-list DmztoPix permit udp host Dns any eq domainaccess-list DmztoPix permit udp host Web any eq domainaccess-list DmztoPix permit udp host PicoLibre any eq domainaccess-list DmztoPix deny tcp host Web 10.0.0.0 255.0.0.0 eq wwwaccess-list DmztoPix deny tcp host PicoLibre 10.0.0.0 255.0.0.0 eq wwwaccess-list DmztoPix permit tcp host Web any eq wwwaccess-list DmztoPix permit tcp host PicoLibre any eq www
Les serveurs font le boulot pour l’extérieur pas pour la
zone interne (pas de rebond !).
Firewall
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 12/49
12
Patrick GIRARD - Architectures Réseaux pour les SOA
Network Address Translation - Principe
Système qui associe une adresse IP (en généralprivée) du réseau interne à une adresse IP (engénéral publique) choisie parmi un pool
d’adresses disponiblesLes machines du réseau interne n’ont jamaisbesoin de toutes accéder à l’Internet en mêmetemps, donc il faut beaucoup moins d’adressespubliques que de machines
Network Address Translation - Objet
Historiquement : Résoudre le problème dumanque d’adresses IP disponibles
Firewall
Patrick GIRARD - Architectures Réseaux pour les SOA
NAT - Effet
De fait, les adresses internes sont masquées par
le NAT et ne peuvent être connues à l’extérieurDe plus, si les adresses internes sont privéeselles sont « non routables »
Le système enregistre la correspondance adresseréelle / adresse translatée et modifie pour chaquepaquet sortant l’adresse réelle par l’adressetranslatée et pour chaque paquet entrantl’adresse translatée par l’adresse réelle
Les adresses des serveurs publics conserventtoujours la même correspondance (static)
Firewall
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 13/49
13
Patrick GIRARD - Architectures Réseaux pour les SOA
NAT – Exemple IAAI
global (outside) 1 147.94.112.146-147.94.112.190global (outside) 1 147.94.112.145global (DMZ) 1 192.168.0.50-192.168.0.250nat (inside) 1 10.0.0.0 255.0.0.0 0 0nat (DMZ) 1 192.168.0.0 255.255.255.0 0 0static (DMZ,outside) WebSrv Web netmask 255.255.255.255 0 0static (DMZ,outside) DnsSrv Dns netmask 255.255.255.255 0 0static (DMZ,outside) PicoLibreSrv PicoLibre
netmask 255.255.255.255 0 0static (inside,DMZ) SyslogSrv Syslog
netmask 255.255.255.255 0 0
Firewall
Patrick GIRARD - Architectures Réseaux pour les SOA
NAT, et la sécurité
Ce dispositif n’a pas été conçu pour sécuriserun réseau, mais se comporte de fait commeun élément de sécurité qui protège le réseauinterne
A l’IAAI il y a du NAT entre le réseau interneet la DMZ entre la DMZ et le réseau externe etentre le réseau interne et le réseau externe
Firewall
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 14/49
14
Patrick GIRARD - Architectures Réseaux pour les SOA
EXEMPLEBrazil# show xlateGlobal 147.94.112.170 Local 10.100.7.151Global 147.94.112.155 Local 10.10.100.10Global 147.94.112.189 Local 10.100.101.3Global 147.94.112.163 Local 10.10.200.50Global 192.168.0.122 Local 10.100.151.1Global 147.94.112.173 Local 10.100.151.1Global 147.94.112.159 Local 10.100.100.5Global 147.94.112.150 Local 10.10.100.2Global WebSrv Local WebGlobal 147.94.112.169 Local 10.100.100.2
Global 147.94.112.147 Local 10.100.100.1Global 147.94.112.188 Local 10.100.100.9Global 147.94.112.157 Local 10.100.100.11Global 192.168.0.120 Local 10.10.100.1Global 147.94.112.148 Local 10.1.7.2
Firewall
CfgBrazil01.txt
Patrick GIRARD - Architectures Réseaux pour les SOA
Sécurisation Externe
Zone Interne, Externe et DMZ
Contrôle en voie entrante par ACL, Dyn-ACL
Contrôle en voie sortante par NAT, PATServices d’Audit
Journalisation, alertes de sécurité, sondes etoutils d’évaluation des vulnérabilités
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 15/49
15
Patrick GIRARD - Architectures Réseaux pour les SOA
ip inspect name SecurePolicy tcpip inspect name SecurePolicy udpip inspect name SecurePolicy icmpip inspect name DMZSecurity tcp
interface FastEthernet0/1ip address 81.255.255.49 255.255.255.240ip access-group Outside inip nat outsideip inspect SecurePolicy out
ip access-list extended Outsidepermit gre host 81.255.255.65 host 81.255.255.49permit gre host 81.255.255.81 host 81.255.255.49permit tcp any host 81.255.255.53 eq www
Nota Bene : prendre un routeur 2811 !
Contrôle en voie entrante
Patrick GIRARD - Architectures Réseaux pour les SOA
Sécurisation Externe
Zone Interne, Externe et DMZ
Contrôle en voie entrante par ACL, Dyn-ACL
Contrôle en voie sortante par NAT, PATServices d’Audit
Journalisation, alertes de sécurité, sondes etoutils d’évaluation des vulnérabilités
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 16/49
16
Patrick GIRARD - Architectures Réseaux pour les SOA
Sécurisation Externe
Zone Interne, Externe et DMZ
Contrôle en voie entrante par ACL, Dyn-ACL
Contrôle en voie sortante par NAT, PAT
Services d’Audit
Journalisation, alertes de sécurité, sondes etoutils d’évaluation des vulnérabilités
Patrick GIRARD - Architectures Réseaux pour les SOA
Sécurisation Externe
Zone Interne, Externe et DMZ
Contrôle en voie entrante par ACL, Dyn-ACL
Contrôle en voie sortante par NAT, PATServices d’Audit
Journalisation, alertes de sécurité, sondeset outils d’évaluation des vulnérabilités
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 17/49
17
Patrick GIRARD - Architectures Réseaux pour les SOA
Architecture sécurisée
Les trois zones : Externe, Interne, DMZ
Mise en œuvre des services AAA
Mise en œuvre des services communs
Service de Messagerie IMAP
Service d’accès distant : Extranet, VPN
Mise en œuvre des services auxiliaires
Filtrage d’accès et surveillance des
connexionsPolitique antivirale et filtrage de ports(couche 4)
Nomadisme, mobilité, intégration des services
Patrick GIRARD - Architectures Réseaux pour les SOA
Authentification, Autorisation, Comptabilité
Radius : Remote Address Dial-In User Service Authentification & Autorisation couplés
UDP, non connecté
Client NAS <- Connexion Cryptée (shared key) -> Serveur AAA
Mode négocié : PAP, CHAP, EAP MS-CHAP, rlogin…
TACACS+ Authentification, Autorisation, Comptabilité découplés
TCP
Client NAS <- Connexion Cryptée (shared key) -> Serveur AAA
Mode négocié : PAP, CHAP, EAP MS-CHAP, rlogin, KERBEROS…
KERBEROS Authentification
Client <- crypté (shared key) -> NAS <- crypté (shared key) -> Kerberos
UDP, non connecté
Mode Kerberos (peut être intégré au login : transparent)
Système de Single Sign On (SSO)
Notions de Royaumes et Domaines
Mise en œuvre des services AAA
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 18/49
18
Patrick GIRARD - Architectures Réseaux pour les SOA
Architecture sécurisée
Les trois zones : Externe, Interne, DMZ
Mise en œuvre des services AAA
Mise en œuvre des services communs
Service de Messagerie IMAP
Service d’accès distant : Extranet, VPN
Mise en œuvre des services auxiliaires
Filtrage d’accès et surveillance des
connexionsPolitique antivirale et filtrage de ports(couche 4)
Nomadisme, mobilité, intégration des services
Patrick GIRARD - Architectures Réseaux pour les SOA
Services communs
Service de fichiers
=> Partage, groupes de travail, collaboratif
=> Comptes mobiles
=> Nomadisme (extranet, ftp, accès VPN)
=> Sauvegarde
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 19/49
19
Patrick GIRARD - Architectures Réseaux pour les SOA
Architecture sécurisée
Les trois zones : Externe, Interne, DMZ
Mise en œuvre des services AAA
Mise en œuvre des services communs
Service de Messagerie IMAP
Service d’accès distant : Extranet, VPN
Mise en œuvre des services auxiliaires
Filtrage d’accès et surveillance des
connexionsPolitique antivirale et filtrage de ports(couche 4)
Nomadisme, mobilité, intégration des services
Patrick GIRARD - Architectures Réseaux pour les SOA
Utilisateur
MTA
Utilisateur
UA
MTA MTA
UAP2 : RFC 822 / MIME
P1: SMTP
P3: POP / IMAP
Service de Messagerie IMAP
Mail Transport Agent
User Agent
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 20/49
20
Patrick GIRARD - Architectures Réseaux pour les SOA
POP
Post Office Protocol
Protocole de retrait de message entre UA etMTA
Les messages sont retirés du serveur etchargés dans des répertoires locaux
L’utilisateur cependant peut choisir de laisserune copie du message sur le serveur
Avantages : le serveur a besoin d’un espace
disque suffisant pour enregistrer les messagesle temps qu’ils soient retirés.
Inconvénients : tout se passe sur la machine locale
Si le débit de connexion est faible et s’il y a beaucoup demessages …
Patrick GIRARD - Architectures Réseaux pour les SOA
IMAP
Internet Message Access Protocol (1986)
Protocole de retrait de message entre UA etMTA
Le serveur est un serveur de fichiers
L’utilisateur consulte les messages, mais ne lescharge pas en local
Inconvénients : Le serveur doit être un « vrai » serveur de fichiers, car il
enregistre et conserve les messages de tous les utilisateurs.
Il faut organiser les « boîtes » avec plusieurs types d’ utilisateurset des modérateurs :
> Ceux qui peuvent lire, écrire et effacer les messages> Ceux qui peuvent lire et écrire les messages> Ceux qui peuvent seulement lire les messages
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 21/49
21
Patrick GIRARD - Architectures Réseaux pour les SOA
IMAP
Avantages :Rapidité de la consultation (seuls les en têtes sont transférés pourconsultation en local)
Idéal pour partager des messages : l’utilisateur peut s’abonner àdes « boîtes », selon ses droits.Exemple : [email protected] est un boîte que tous les utilisateurspeuvent lire (un ou plusieurs modérateurs peuvent effacer).
Un message est envoyé à [email protected], c’est une invitation à unesoirée avec un plan et une photographie attachés. Il pèse 452Ko.
Il y a 164 personnes dans la liste « tous ».Avec POP il est envoyé à tous les membres de la « liste tous ».Le serveur doit donc enregistrer 75 Mo de données (164 fois lamême chose).Avec IMAP, LE message est déposé dans la « boîte tous »(=452Ko).
Patrick GIRARD - Architectures Réseaux pour les SOA
Relais de messagerie
Dépose de message d’un serveur à un autre, ou à partir du mêmeserveur.
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 22/49
22
Patrick GIRARD - Architectures Réseaux pour les SOA
Relais de messagerie
Envoie d’un message vers un autre domaine : NON car relaisouvert.
Patrick GIRARD - Architectures Réseaux pour les SOA
Relais de messagerie
Envoie d’un message vers un autre domaine : OUIsi l’émetteur est authentifié (SMTP AUTH).
Ainsi, un spammer ne peut utiliser le service pour envoyer desmessages vers d’autres domaines.
Cela évite au serveur de messagerie de se retrouver en « listenoire ».
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 23/49
23
Patrick GIRARD - Architectures Réseaux pour les SOA
Service WebMail
Envoie d’un message vers un autre domaine : OUIcar l’émetteur se connecte sur un service WebMail
Un spammer ne peut utiliser le service pour envoyer desmessages vers d’autres domaines, car il doit s’authentifier.
Le texte du message transite via HTTP de l’utilisateur au serveurWebMail, puis via SMTP de ce serveur vers le serveur destinateur.
=> le service ne peut être assimilé à un relais ouvert.
HTTP
Patrick GIRARD - Architectures Réseaux pour les SOA
Architecture service mail iaai
Exim associé à des modules antivirus et anti-spam
Cyrus avec un module PAM (Plugable Auth. Module)
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 24/49
24
Patrick GIRARD - Architectures Réseaux pour les SOA
Architecture sécurisée
Les trois zones : Externe, Interne, DMZ
Mise en œuvre des services AAA
Mise en œuvre des services communs
Service de Messagerie IMAP
Service d’accès distant : Extranet, VPN
Mise en œuvre des services auxiliaires
Filtrage d’accès et surveillance des
connexionsPolitique antivirale et filtrage de ports(couche 4)
Nomadisme, mobilité, intégration des services
Patrick GIRARD - Architectures Réseaux pour les SOA
Extranet, VPN
Extranet Connexion aux ressources internes via un portail sécurisé
Accès https
Services ftp, mail, Webmail
VPN Client installé sur la station de travail de l’utilisateur
Notion de groupe, mot de passe de groupe
La connexion est configurée pour aboutir sur une PasserelleApplicative - Terminal Server (RPC)
- ou XDMCP
Les fichiers de configuration sont publiés sur le site (accèsrestreint)
Le terminateur VPN est configuré
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 25/49
25
Patrick GIRARD - Architectures Réseaux pour les SOA
Architecture sécurisée
Les trois zones : Externe, Interne, DMZ
Mise en œuvre des services AAA
Mise en œuvre des services communs
Service de Messagerie IMAP
Service d’accès distant : Extranet, VPN
Mise en œuvre des services auxiliaires
Filtrage d’accès et surveillance des
connexionsPolitique antivirale et filtrage de ports(couche 4)
Nomadisme, mobilité, intégration des services
Patrick GIRARD - Architectures Réseaux pour les SOA
Mise en œuvre des services auxiliaires
Boot PXE Bios verrouillé – Seul boot possible : sur réseau
Service DHCP
Nom de la machine – Adresse MAC – Adresse IP dans LDAP
Service ePolicy
Première action de la machine : mise à jour des signatures
Service Ghost
Les images des différentes configurations sont conservées
En cas de problème : écrasement de m’image courante
=> Redémarrage de la machine en 25 minutes environ
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 26/49
26
Patrick GIRARD - Architectures Réseaux pour les SOA
Architecture sécurisée
Les trois zones : Externe, Interne, DMZ
Mise en œuvre des services AAA
Mise en œuvre des services communs
Service de Messagerie IMAP
Service d’accès distant : Extranet, VPN
Mise en œuvre des services auxiliaires
Filtrage d’accès et surveillance des
connexionsPolitique antivirale et filtrage de ports(couche 4)
Nomadisme, mobilité, intégration des services
Patrick GIRARD - Architectures Réseaux pour les SOA
Access ListsMise en œuvre de la sécurité LAN
Filtrage d’accès
Une ACL est une règle de filtrage définie sur une interface derouteur ou (switch L3) qui opère sur les couches 3 et 4
Chaque paquet entrant est comparé avec les conditions de larègle : si elles sont vérifiées, la commande associée à la règleest exécutée, sinon le paquet est comparée à l’ACL suivante.Si aucune ACL n’a « matché », le paquet est rejeté.
Les conditions peuvent être de différents types :adresse source (ACL simple)adresse source et/ou adresse destinationport …
Les actions sont permit ou deny (ou log, limitation detrafic…)
L’ACL est appliquée à une interface et une direction : in ou
out (Firewall : toujours in)
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 27/49
27
Patrick GIRARD - Architectures Réseaux pour les SOA
Algorithmede filtrage
Access ListsMise en œuvre de la
sécurité LAN
Filtrage d’accès
Patrick GIRARD - Architectures Réseaux pour les SOA
Mise en œuvre de la sécurité LAN
Bits de Masque
générique
Access Lists
Filtrage d’accès
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 28/49
28
Patrick GIRARD - Architectures Réseaux pour les SOA
Liste de Contrôle d’Accès standard (1-99)Host 172.167.12.49 = 172.167.12.49 0.0.0.0
any = 0.0.0.0 255.255.255.255
Permettre l'acheminement du trafic du réseau d'origine 172.16.0.0
access-list 1 permit 172.16.0.0 0.0.255.255
"deny any" implicite -> (access-list 1 deny 0.0.0.0 255.255.255.255)
interface ethernet 0ip access-group 1 out
interface ethernet 1ip access-group 1 out
Refuser un hôte particulier
access-list 2 deny host 172.16.4.13access-list 2 permit 0.0.0.0 255.255.255.255
"deny any" implicite -> (access-list 2 deny 0.0.0.0 255.255.255.255)
interface ethernet 0ip access-group 2 in
Filtrage d’accès
Patrick GIRARD - Architectures Réseaux pour les SOA
Liste de Contrôle d’Accès Étendues (100-199)
Filtrage d’accès
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 29/49
29
Patrick GIRARD - Architectures Réseaux pour les SOA
Refuser l'acheminement via E0 du trafic Telnet issu duréseau 172.16.4.0 et autoriser l'acheminement de toutautre trafic
access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any"deny any any" implicite -> (access-list 101 deny ip
0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255)
interface ethernet 0ip access-group 101 in
Liste de Contrôle d’Accès Étendues (100-199)
Filtrage d’accès
Patrick GIRARD - Architectures Réseaux pour les SOA
Place desACLs
Refuser l’acheminement des donnéesdu routeur A vers le routeur D
Règle : placerle filtre au
plus près del’émetteur
Filtrage d’accès
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 30/49
30
Patrick GIRARD - Architectures Réseaux pour les SOA
Signification de l’ access-list :
access-list 101 permit tcp 134.14.112.64 0.0.0.31
134.14.112.128 0.0.0.31eq 23 established
access-list 101 deny ip 134.14.112.64 0.0.0.31134.14.112.128 0.0.0.31
access-list 101 permit ip anyany
ACLs - Exercice
Filtrage d’accès
Patrick GIRARD - Architectures Réseaux pour les SOA
Signification de l’ access-list :access-list 101 permit tcp 134.14.112.64 0.0.0.31 134.14.112.128 0.0.0.31
eq 23 establishedaccess-list 101 deny ip 134.14.112.64 0.0.0.31 134.14.112.128 0.0.0.31access-list 101 permit ip any any
Le masque générique est00000000.00000000.00000000.00011111 = 0.0.0.31
Tous les bits à « 0 » sont testés, donc seuls les 5 derniers bits du dernier octetd’adresse peuvent avoir des valeurs indifférentes.Nous avons visiblement à faire avec un réseau classe B subneté sur 27 bits, dontles sous-réseaux 134.14.112.64 et 134.14.112.128 sont filtrés par l’ACL.
Première ligne : tout le trafic TCP / TELNET (port 23) est autorisé entre le réseau134.14.112.64 et le réseau 134.14.112.128 s’il est déjà établi (established),c'est-à-dire si le paquet est une réponse à une connexion établie précédemment.Deuxième ligne : tout autre trafic entre le réseau 134.14.112.64 et le réseau134.14.112.128 est interdit.Troisième ligne : tous les autres trafics sont autorisés.(Ligne implicite : tous les autres trafics sont interdits.)
ACLs – Exercice - Solution
Il s’agit d’un filtrage asymétrique entre deux réseaux
Filtrage d’accès
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 31/49
31
Patrick GIRARD - Architectures Réseaux pour les SOA
Architecture sécurisée
Les trois zones : Externe, Interne, DMZ
Mise en œuvre des services AAA
Mise en œuvre des services communs
Service de Messagerie IMAP
Service d’accès distant : Extranet, VPN
Mise en œuvre des services auxiliaires
Filtrage d’accès et surveillance des
connexionsPolitique antivirale et filtrage de ports(couche 4)
Nomadisme, mobilité, intégration des services
Patrick GIRARD - Architectures Réseaux pour les SOA
Architecture sécurisée
Les trois zones : Externe, Interne, DMZ
Mise en œuvre des services AAA
Mise en œuvre des services communs
Service de Messagerie IMAP
Service d’accès distant : Extranet, VPN
Mise en œuvre des services auxiliaires
Filtrage d’accès et surveillance desconnexions
Politique antivirale et filtrage de ports(couche 4)
Nomadisme, mobilité, intégration des services
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 32/49
32
Patrick GIRARD - Architectures Réseaux pour les SOA
Architecture IAAIServicescomplets
pour 165 Stations deTravail, 14Serveurs,2 Firewalls,2 SwitchsL3, 10Switchs L2
Réseaux WIFI &Invités
PAS deNAC, PAS de 802.1X
PAS deCryptage
Patrick GIRARD - Architectures Réseaux pour les SOA
Compléments de cours
Couche d'accès : fournit des connexions auxhôtes sur un réseau Ethernet local.
Couche de distribution : permet d'interconnecter
les petits réseaux locaux.Couche principale : connexion haut débit entreles périphériques de la couche de distribution.
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 33/49
33
Patrick GIRARD - Architectures Réseaux pour les SOA
Le groupe de protocoles
Start
Web AuthIPSecL2TP
NoneStatic WEP802.1xWPAWPA2
OKDHCP
Layer 3
Layer 2
Le groupe de protocoles Layer 2 / Layer 3 pourl’authentification
Patrick GIRARD - Architectures Réseaux pour les SOA
EAP
802.1x
WPA WPA2
WEP TKIP AES
Session Key
TLS
Microsoft
TTLS
Funk
PEAP
Microsoft/Cisco/RSA
Encryption
Authentication
CertificateCredentials
Username/Password
Other
Future
Future
Le contexte 802.1x
Protocole d’Authentification Extensible
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 34/49
34
Patrick GIRARD - Architectures Réseaux pour les SOA
PKI – Distribution de clés publiques
CertificateAuthority (CA)
CA’s private key
Nom d’utilisateur
Clé publique
Informations CA
Signature du CA
CertificatX.509 de PC 1
CACert
CA’s public key
PC 2
Serial Number
Dates de validité2
1
3
Hash &Comparaison
4
Vérification d’identité
Patrick GIRARD - Architectures Réseaux pour les SOA
PKI – Vérification d’identité
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 35/49
35
Patrick GIRARD - Architectures Réseaux pour les SOA
PKI – Transmission de données
PC 2
Cryptage avec laclé publique de
PC1
PC 1
Décryptageavec la cléprivée de
PC1
(*&dg9SV#.s16%&rs05n`~g
(*&dg9SV#.s16%&rs05n`~g
Messagesecret …
PC 2 utilise PKI pour transmettre vers PC1 …
Transmission ducertificat de PC2et des données
cryptées
Réception desdonnées
cryptées et
vérification ducertificat de PC2
Messagesecret …
Enveloppe cachetée
Patrick GIRARD - Architectures Réseaux pour les SOA
EAP-TLS Digital Certificates
ServerX.509
Certificate
CAX.509
Certificate
CAX.509
Certificate
CA
RADIUS
ClientX.509
Certificate
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 36/49
36
Patrick GIRARD - Architectures Réseaux pour les SOA
EAP-PEAP-MSCHAPv2 Digital Certificates
ServerX.509
Certificate
CAX.509
Certificate
CAX.509
Certificate
CA
RADIUS
Username/
Password
Patrick GIRARD - Architectures Réseaux pour les SOA
EAP-PEAP-MSCHAPv2
Open Authentication
Association
AAA
MSCHAPv2 Exchange
EAP Request IdentityEAP Request Identity Response
Request EAP-PEAP & Certificate Presentation
TLS Negotiation Start
TLS Negotiation Done
Response EAP-PEAP
EAP Request Authentication Type
EAP Request Authentication Type Response
MSCHAPv2 Exchange Success
Data
Authentication orRADIUS/EAP
Server
Supplicant orClient
Request Connection
EAP Request Identity
EAP Request Identity ResponseTLS Tunnel
Authenticator orController
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 37/49
37
Patrick GIRARD - Architectures Réseaux pour les SOA
Compléments de cours
Couche d'accès : fournit des connexions auxhôtes sur un réseau Ethernet local.
Couche de distribution : permetd'interconnecter les petits réseaux locaux.
Couche principale : connexion haut débit entreles périphériques de la couche de distribution.
Patrick GIRARD - Architectures Réseaux pour les SOA
IPSec
Complexe ! De nombreux protocoles
De nombreux concepts
Pourquoi ? C’est un mécanisme de négociation…
… pas un procédé de sécurité
Adapté de IPv6 sur IPv4
Conséquence De nombreux réglages & configurations
et une certaine incrédulité quand cela marche.
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 38/49
38
Patrick GIRARD - Architectures Réseaux pour les SOA
IPSec – Les protocoles
AH - Authentication Header ?
ESP - Encapsulating Security Payload ?
MD5, SHA1 – Message Digest, SecureHash ?
DES, 3DES, AES – Data EncryptionStandard ?
IKE, ISAKMP… - Internet Key Exchange
?
Patrick GIRARD - Architectures Réseaux pour les SOA
IPSec – Les protocoles
AH - Authentication Header Authentification
ESP - Encapsulating Security Payload ?
MD5, SHA1 – Message Digest, SecureHash ?
DES, 3DES, AES – Data EncryptionStandard ?
IKE, ISAKMP… - Internet Key Exchange
?
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 39/49
39
Patrick GIRARD - Architectures Réseaux pour les SOA
IPSec – Les protocoles
AH - Authentication Header Authentification
ESP - Encapsulating Security Payload Cryptage (+ Authentification optionnelle)
MD5, SHA1 – Message Digest, SecureHash ?
DES, 3DES, AES – Data EncryptionStandard ?
IKE, ISAKMP… - Internet Key Exchange
?
Patrick GIRARD - Architectures Réseaux pour les SOA
IPSec – Les protocoles
AH - Authentication Header Authentification
ESP - Encapsulating Security Payload Cryptage (+ Authentification optionnelle)
MD5, SHA1 – Message Digest, SecureHash Algorithmes de hachage
DES, 3DES, AES – Data EncryptionStandard ?
IKE, ISAKMP… - Internet Key Exchange
?
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 40/49
40
Patrick GIRARD - Architectures Réseaux pour les SOA
IPSec – Les protocoles
AH - Authentication Header Authentification
ESP - Encapsulating Security Payload Cryptage (+ Authentification optionnelle)
MD5, SHA1 – Message Digest, SecureHash Algorithmes de hachage
DES, 3DES, AES – Data EncryptionStandard Algorithmes de cryptage
IKE, ISAKMP… - Internet Key Exchange
?
Patrick GIRARD - Architectures Réseaux pour les SOA
IPSec – Les protocoles
AH - Authentication Header Authentification
ESP - Encapsulating Security Payload Cryptage (+ Authentification optionnelle)
MD5, SHA1 – Message Digest, SecureHash Algorithmes de hachage
DES, 3DES, AES – Data EncryptionStandard Algorithmes de cryptage
IKE, ISAKMP… - Internet Key Exchange
Gestion de l’échange de clés
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 41/49
41
Patrick GIRARD - Architectures Réseaux pour les SOA
IPSec – Les protocoles
AH - Authentication Header Authentification
ESP - Encapsulating Security Payload Cryptage (+ Authentification optionnelle)
MD5, SHA1 – Message Digest, SecureHash Algorithmes de hachage
DES, 3DES, AES – Data EncryptionStandard Algorithmes de cryptage
IKE, ISAKMP… - Internet Key Exchange
Gestion de l’échange de clés
Patrick GIRARD - Architectures Réseaux pour les SOA
IPSec – Les modes
Mode Transport Les données sont cryptées
Les informations IP ne sont pas cryptées
PC1 -------- PC2
Mode Tunnel Les données ET les informations IP sont
cryptées
PC1 <-> Routeur 1 -- Routeur 2 <-> PC2
Mode principal et mode agressif Dans la phase 1 négociation ISAKMP le mode
agressif divise le nombre d’étapes par 2
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 42/49
42
Patrick GIRARD - Architectures Réseaux pour les SOA
Isakmp & IKE
Internet Security Association and KeyManagement Protocol
IKE Phase 1 <=> La Security Association ISAKMP
IKE Phase 2 <= > Les SA AH et ESP
Security Association Algorithme de chiffrement
Algorithme d’authentification
Clé de session partagée
Une SA dans chaque sens !
Chaque SA est identifiée par Security Parameter Index etIP du partenaire
Patrick GIRARD - Architectures Réseaux pour les SOA
IPSec – Paquet IP
Champs du paquet IPv4 TOS, drapeaux (flg) et décalage fragment peuvent changer
Durée de vie (TTL) décroît à chaque passage de routeur
=> Contrôle d’en tête (Header Checksum) changeVers Hlen
flg
Données Transportées
Adresse IP Destination
RemplissageOptions (éventuelles)
TTL Protocole C ontrôle d'en Tête
Adresse IP Source
TOS Longueur Totale
Identification Décalage frag.
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 43/49
43
Patrick GIRARD - Architectures Réseaux pour les SOA
IPSec – Paquet IP
Champs du paquet IPv4 TOS, drapeaux (flg) et décalage fragment peuvent changer
Durée de vie (TTL) décroît à chaque passage de routeur
=> Contrôle d’en tête (Header Checksum) change
Vers Hlen
flg
Données Transportées
Adresse IP Destination
RemplissageOptions (éventuelles)
TTL Protocole C ontrôle d'en Tête
Adresse IP Source
TOS Longueur Totale
Identification Décalage frag.
Les champs variables ne sont pas pris en comptepar la fonction de hachage.
Patrick GIRARD - Architectures Réseaux pour les SOA
IPSec – Paquet IP
Champs Protocole Indique le type de protocole de l’en tête suivant
Par exemple : Protocole
DonnéesVers Hlen
flg
Données Transportées
Adresse IP Destination
RemplissageOptions (éventuelles)
TTL Protocole C ontrôle d'en Tête
Adresse IP Source
TOS Longueur Totale
Identification Décalage frag.
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 44/49
44
Patrick GIRARD - Architectures Réseaux pour les SOA
IPSec – Paquet IP
Champs Protocole Indique le type de protocole de l’en tête suivant
Par exemple : Protocole = TCPDonnées = Segment TCP
Vers Hlen
flg
TOS Longueur Totale
Identification Décalage frag.
TTL TCP Contrôle d'en Tête
Adresse IP Source
Adresse IP Destination
RemplissageOptions (éventuelles)
Segment TCP
Patrick GIRARD - Architectures Réseaux pour les SOA
IPSec – En tête AH
Champs de l’en tête AH Suivant : protocole suivant (en tête suivant) Longueur (mots de 32 bits) de l’en tête AH (+ condensat) – 2 Réservé : 16 bits à zéro
SPI : Security Parameters Index – Identifiant de « session » Numéro de séquence : identification de chaque paquet Données d’authentification : « condensat » produit par la
fonction de hachage choisie
Suivant Long AH Réservé
SPI - Identifiant
Numéro de séquence
Données d'authentificationCondensat (Hash) produit par hachage
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 45/49
45
Patrick GIRARD - Architectures Réseaux pour les SOA
AH en Mode Transport
Patrick GIRARD - Architectures Réseaux pour les SOA
AH en Mode Tunnel
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 46/49
46
Patrick GIRARD - Architectures Réseaux pour les SOA
ESP en Mode Transport
Vers Hlen
flg
En-queue ESP
Authentification ESP
A u t h e n t i f i é
TOS Longueur Totale
Identification Décalage frag.
TTL ESP Contrôle d'en Tête
Adresse IP Source
Adresse IP Destination
Options (éventuelles) Rempl issage
Segment TCP Crypté
En tête ESP
ESP peut aussi être utilisé en mode TunnelESP et AH peuvent être combinés
Patrick GIRARD - Architectures Réseaux pour les SOA
Configuration IPSEC Clés partagées
R(cfg)# crypto isakmp enable
R(cfg)# crypto isakmp policy 110 ;Isakmp priority
R(cfg-isakmp)# authentication pre-share
R(cfg-isakmp)# encryption aes ;IKE encrytion
R(cfg-isakmp)# group 2 ;Diffie-HellmanR(cfg-isakmp)# hash sha ;Hash algorithm => exit
R(cfg)# crypto isakmp key MonPasse address 172.30.2.2
R(cfg)# crypto ipsec transform-set MonSet esp-aes esp-sha-hmac
R(cfg)# crypto map MaMap 10 ipsec-isakmp
R(cfg-crypto-map)# match address TrafficPrive
R(cfg-crypto-map)# set transform-set MonSet
R(cfg-crypto-map)# set peer 172.30.2.2 => exit
R(cfg)# interface FAstEthernet 0/1
R(cfg-interface )# crypto map MaMap
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 47/49
47
Patrick GIRARD - Architectures Réseaux pour les SOA
Couche principale (Backbone)
Couche d'accès : fournit des connexions auxhôtes sur un réseau Ethernet local.
Couche de distribution : permet d'interconnecterles petits réseaux locaux.
Couche principale : connexion haut débit entreles périphériques de la couche de distribution.
Patrick GIRARD - Architectures Réseaux pour les SOA
Tunnels GRE
Generic Routing Encapsulation
IP sur IP
Configurationint tunnel 0
tunnel source s0/0/0
tunnel destination 147.94.112.131
ip address 10.33.102.1 255.255.255.0
int tunnel 1
tunnel source s0/0/0
tunnel destination 147.94.112.137
ip address 10.33.103.1 255.255.255.0
Configuration
R(cfg)# access-list TrafficPrive permit gre host 172.30.1.1
host 172.30.2.2
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 48/49
48
Patrick GIRARD - Architectures Réseaux pour les SOA
Sécurisation des Tunnels GRE
Configuration
# ip extended access-list TrafficPrive
permit gre host 147.94.112.129 host 147.94.112.137
Patrick GIRARD - Architectures Réseaux pour les SOA
A vos claviersConfigurer le scenario suivant
5/16/2018 Infrastructure So A - slidepdf.com
http://slidepdf.com/reader/full/infrastructure-so-a 49/49
Patrick GIRARD - Architectures Réseaux pour les SOA
A vos claviersConfigurer le scenario suivant
Votre opérateur vous a donné le réseau : 147.94.112.128 / 28
Configurez les routeurs opérateurs (centraux) – Procotole EIGRP
Configurez les routeurs Paris, Lyon et Marseille – Protocole OSPF area 0
Service de Firewall sur le routeur Paris avec Zone Interne et DMZ
Service DHCP centralisé sur le serveur DHCP de la DMZ
Service NTP – Serveur Routeur Paris (Stratum 3)
Service syslog (serveur en zone interne)
Service DNS Interne (Zone Interne) et Externe (DMZ)
Service AAA Radius
Service Web (DMZ)
Tunnel GRE Paris <-> Marseille & Tunnel GRE Paris <-> Lyon
Sécurisation des tunnels en IPSEC – clés partagés : Intech
Sécurité interne : 20 -> 10 et 30 -> 10 interdits,
10 autorisé partout, 20<->30 autorisé