Embed Size (px)
Citation preview
CONCEPTION CONCEPTION D’UNE D’UNE
INFRASTRUCTURE INFRASTRUCTURE
DE SERVICE DE SERVICE RESEAU RESEAU
WINDOWS 2003WINDOWS 2003
OBJECTIFSOBJECTIFS Les objectifs de la conception d’une Les objectifs de la conception d’une
Infrastructure réseau :Infrastructure réseau : DisponibilitéDisponibilité
permet de s’assurer qu’un service réseau est présent permet de s’assurer qu’un service réseau est présent et fonctionnel la plupart du temps. Certains services et fonctionnel la plupart du temps. Certains services doivent avoir une disponibilité de 100%. La plupart doivent avoir une disponibilité de 100%. La plupart des services que l’on va rencontrer sont moins des services que l’on va rencontrer sont moins exigeant cependant.exigeant cependant.
PerformancePerformance permet d’assurer une réponse rapide aux demandes permet d’assurer une réponse rapide aux demandes
utilisateurs, que ce soit en période d’utilisation utilisateurs, que ce soit en période d’utilisation Normal ou extrême. Normal ou extrême.
SécurisationSécurisation Permet la gestion de la sécurité du servicePermet la gestion de la sécurité du service
OBJECTIFSOBJECTIFS Les solutions à apporter pour répondre Les solutions à apporter pour répondre
à un objectif permettent également de à un objectif permettent également de répondre au second objectif. Outre répondre au second objectif. Outre l’amélioration des capacités physiques l’amélioration des capacités physiques des serveurs sur lesquels tournent les des serveurs sur lesquels tournent les services (principalement par l’ajout de services (principalement par l’ajout de mémoires physiques, espaces disques, mémoires physiques, espaces disques, processeurs), la première action à processeurs), la première action à prendre est le doublement du serveur, prendre est le doublement du serveur, soit par l’ajout d’un second serveur, soit soit par l’ajout d’un second serveur, soit par la mise en place d’un cluster. par la mise en place d’un cluster.
DHCPDHCP
Voici quelques fonctionnalités du service Voici quelques fonctionnalités du service DHCP sous Windows 2000/2003/2003 :DHCP sous Windows 2000/2003/2003 : Conforme au RFC 951, 2131, 2132Conforme au RFC 951, 2131, 2132 Intégration à ADIntégration à AD Option Microsoft spécifique (désactivation Option Microsoft spécifique (désactivation
Netbios, libération du bail DHCP à l’arrêt de Netbios, libération du bail DHCP à l’arrêt de l’ordinateur)l’ordinateur)
Support MADCAP (Multicast Address Dynamic Support MADCAP (Multicast Address Dynamic Client Allocation Protocol)Client Allocation Protocol)
Intégration aux services RRAS, DNS et ADIntégration aux services RRAS, DNS et AD 10 000 clients max.10 000 clients max.
DHCPDHCP
Les solutions à envisager pour la Les solutions à envisager pour la disponibilité sont :disponibilité sont : Agent relais sur les réseaux ne Agent relais sur les réseaux ne
disposant pas de routeurs compatible disposant pas de routeurs compatible avec la RFC 1542avec la RFC 1542
L’emplacement des serveursL’emplacement des serveurs Règle des 80/20Règle des 80/20 Doublement des serveurs, soit par Doublement des serveurs, soit par
l’ajout de serveurs, soit par cluster l’ajout de serveurs, soit par cluster
DHCPDHCP
Sécurisation :Sécurisation : Autorisation ADAutorisation AD Existence de groupes dans AD Existence de groupes dans AD
(administrateur DHCP et utilisateur (administrateur DHCP et utilisateur DHCP)DHCP)
DHCPDHCP
Les solutions à envisager pour la Les solutions à envisager pour la performance sont :performance sont : Serveur multirésidentServeur multirésident ProcesseursProcesseurs Mémoire viveMémoire vive Disques rapidesDisques rapides Cartes réseaux rapidesCartes réseaux rapides Durée du bail DHCP Durée du bail DHCP Distribué, Centralisé, CombinéDistribué, Centralisé, Combiné
DNSDNS
Voici quelques fonctionnalités du Voici quelques fonctionnalités du service DNS sous Windows 2000/2003 :service DNS sous Windows 2000/2003 : Résolution FQDNRésolution FQDN Résolution de Nom Netbios par WINS Résolution de Nom Netbios par WINS
(créer une zone DNS spécifique, puis (créer une zone DNS spécifique, puis configurer les options WINS)configurer les options WINS)
Intégration ADIntégration AD Interopérabilité avec des systèmes DNS Interopérabilité avec des systèmes DNS
existant (BIND et NT4)existant (BIND et NT4) Intégration aux services WINS, DHCP et ADIntégration aux services WINS, DHCP et AD
DNSDNS
Les solutions à envisager pour la Les solutions à envisager pour la disponibilité sont :disponibilité sont : L’emplacement des serveursL’emplacement des serveurs Doublement des serveurs, soit par Doublement des serveurs, soit par
l’ajout de serveurs, soit par clusterl’ajout de serveurs, soit par cluster Zones déléguéesZones déléguées
DNSDNS
Sécurisation :Sécurisation : Mise à jour sécurisé DDNS (nécessite des Mise à jour sécurisé DDNS (nécessite des
zones intégrées AD)zones intégrées AD) Modification des droits dans AD Modification des droits dans AD
(conteneur de zone)(conteneur de zone) MAJ à partir du protocole DHCPMAJ à partir du protocole DHCP MAJ à partir des clients DHCPMAJ à partir des clients DHCP La sécurisation sous entend également La sécurisation sous entend également
l’automatisation de la création des l’automatisation de la création des enregistrements, ce qui évite toutes enregistrements, ce qui évite toutes erreurs humaineserreurs humaines
DNSDNS
Les solutions à envisager pour la Les solutions à envisager pour la performance sont :performance sont : Serveur cacheServeur cache ProcesseursProcesseurs Mémoire viveMémoire vive Disques rapidesDisques rapides Cartes réseaux rapidesCartes réseaux rapides Zones déléguéesZones déléguées Répartition d’une zone sur plusieurs Répartition d’une zone sur plusieurs
serveursserveurs
DNSDNSBIND 4.9.6 BIND 8.1.2 BIND 8.2.1 NT4 W2K
W2K3
DDNS Non Supporté Supporté Non Supporté
IXFR Non Non Supporté Non Supporté
EnregistrementSRV
Supporté Supporté Supporté Non Supporté
Unicode Non Non Supporté Non Supporté
WINSWINS
Voici quelques fonctionnalités du Voici quelques fonctionnalités du service WINS sous Windows service WINS sous Windows 2000/2003 :2000/2003 : Conforme au RFC 1001, 1002Conforme au RFC 1001, 1002 Enregistrement en mode rafaleEnregistrement en mode rafale Administration sécurisé et centraliséAdministration sécurisé et centralisé Prise en charge multi serveursPrise en charge multi serveurs Intégration aux services RRAS et DNSIntégration aux services RRAS et DNS
WINSWINS
Les solutions à envisager pour la Les solutions à envisager pour la disponibilité sont :disponibilité sont : Proxy WINS pour les clients Non Proxy WINS pour les clients Non
Microsoft (clé dans le registre)Microsoft (clé dans le registre) L’emplacement des serveursL’emplacement des serveurs Doublement des serveurs, soit par Doublement des serveurs, soit par
l’ajout de serveurs, soit par clusterl’ajout de serveurs, soit par cluster
WINSWINS
Les solutions à envisager pour la Les solutions à envisager pour la performance sont :performance sont : ProcesseursProcesseurs Mémoire viveMémoire vive Disques rapidesDisques rapides Cartes réseaux rapidesCartes réseaux rapides Duplication WINS (HUB and SPOKE)Duplication WINS (HUB and SPOKE) Mode RafaleMode Rafale 10 000 clients/serveur10 000 clients/serveur
NATNAT
Voici quelques fonctionnalités du Voici quelques fonctionnalités du service NAT sous Windows 2000/2003 :service NAT sous Windows 2000/2003 : Transposition d’adresses publiques et Transposition d’adresses publiques et
privéesprivées Fourniture de configuration IP aux clientsFourniture de configuration IP aux clients Résolution DNSRésolution DNS Protection des ressources internesProtection des ressources internes Intégration au service DHCPIntégration au service DHCP Ne gère pas : SNMP, LDAP, COM, DCOM, Ne gère pas : SNMP, LDAP, COM, DCOM,
Kerberos V5, RPC, IPSecKerberos V5, RPC, IPSec
NATNAT
Les solutions à envisager pour la Les solutions à envisager pour la disponibilité sont :disponibilité sont : L’emplacement des serveursL’emplacement des serveurs Doublement des serveurs, soit par Doublement des serveurs, soit par
l’ajout de serveurs, soit par cluster l’ajout de serveurs, soit par cluster
NATNAT
Sécurisation :Sécurisation : Filtrage IPFiltrage IP Redirection de portRedirection de port Sécurité accrue à l’aide de VPNSécurité accrue à l’aide de VPN
NATNAT
Les solutions à envisager pour la Les solutions à envisager pour la performance sont :performance sont : Serveur cacheServeur cache ProcesseursProcesseurs Mémoire viveMémoire vive Disques rapidesDisques rapides Cartes réseaux rapidesCartes réseaux rapides Lignes WAN permanentes et multiples Lignes WAN permanentes et multiples
PROXY SERVER 2.0 PROXY SERVER 2.0 ISA SERVERISA SERVER
Voici quelques fonctionnalités du Voici quelques fonctionnalités du service Proxy Server 2.0 sous service Proxy Server 2.0 sous Windows 2000/2003 :Windows 2000/2003 : Protection du réseau privéProtection du réseau privé Limitation du trafic InternetLimitation du trafic Internet Mise en cache du trafic FTP et httpMise en cache du trafic FTP et http Prise en charge Winsock, AD, IP et Prise en charge Winsock, AD, IP et
IPX/SPXIPX/SPX Intégration IPSec, RRAS et AD Intégration IPSec, RRAS et AD
PROXY SERVER 2.0 PROXY SERVER 2.0 ISA SERVERISA SERVER
Les solutions à envisager pour la Les solutions à envisager pour la disponibilité sont :disponibilité sont : L’emplacement des serveursL’emplacement des serveurs Doublement des serveurs, soit par Doublement des serveurs, soit par
l’ajout de serveurs, soit par cluster. l’ajout de serveurs, soit par cluster. Dans le cas de Proxy Server, on parle Dans le cas de Proxy Server, on parle de groupe de serveur, ou de grappe de groupe de serveur, ou de grappe
PROXY SERVER 2.0 PROXY SERVER 2.0 ISA SERVERISA SERVER
Sécurisation :Sécurisation : Limitation de l’accès à InternetLimitation de l’accès à Internet Identification des sous-réseaux filtrésIdentification des sous-réseaux filtrés Filtrage de paquetsFiltrage de paquets Filtrage de domaines (trafic sortant)Filtrage de domaines (trafic sortant) Publication de sites Web (limitation du Publication de sites Web (limitation du
trafic entrant) trafic entrant)
PROXY SERVER 2.0 PROXY SERVER 2.0 ISA SERVERISA SERVER
Les solutions à envisager pour la Les solutions à envisager pour la performance sont :performance sont : ProcesseursProcesseurs Mémoire viveMémoire vive Disques rapidesDisques rapides Cartes réseaux rapidesCartes réseaux rapides Hiérarchisation des grappes ou des Hiérarchisation des grappes ou des
serveursserveurs Cache Passif ou ActifCache Passif ou Actif Configurer le round robin sur le serveur Configurer le round robin sur le serveur
DNS DNS
RRASRRAS Voici quelques fonctionnalités du service RRAS Voici quelques fonctionnalités du service RRAS
sous Windows 2000/2003 :sous Windows 2000/2003 : Sécurisation du réseau privéSécurisation du réseau privé Intégration aux infrastructures réseaux existantesIntégration aux infrastructures réseaux existantes Restriction du trafic entre Internet et un réseau privéRestriction du trafic entre Internet et un réseau privé Support de plusieurs protocolesSupport de plusieurs protocoles Support RIP, OSPF et IGMP (routage Multicast)Support RIP, OSPF et IGMP (routage Multicast) Support de technologie WAN (modem, RNIS, X.25)Support de technologie WAN (modem, RNIS, X.25) Support de protocoles de sécurité standard (PAP, SPAP, Support de protocoles de sécurité standard (PAP, SPAP,
CHAP, MS-CHAP, MS-CHAP v2, EAP-TLS)CHAP, MS-CHAP, MS-CHAP v2, EAP-TLS) InteropérabilitéInteropérabilité Agent Relais DHCPAgent Relais DHCP Intégration DHCP, DNS, WINS, RADIUS, IPSec et ADIntégration DHCP, DNS, WINS, RADIUS, IPSec et AD
RRASRRAS
Les solutions à envisager pour la Les solutions à envisager pour la disponibilité sont :disponibilité sont : L’emplacement des serveursL’emplacement des serveurs Doublement des serveurs, soit par Doublement des serveurs, soit par
l’ajout de serveurs, soit par cluster. l’ajout de serveurs, soit par cluster. Dédier les serveursDédier les serveurs Assurer une redondance des chemins Assurer une redondance des chemins
réseauxréseaux
RRASRRAS
Sécurisation :Sécurisation : Filtrage de paquetsFiltrage de paquets Mise en place de tunnel supportant IPSec Mise en place de tunnel supportant IPSec
(L2TP)(L2TP) Mise en place de tunnel VPN (PPTP et L2TP)Mise en place de tunnel VPN (PPTP et L2TP) Authentification prise en compte dans les Authentification prise en compte dans les
protocoles de routagesprotocoles de routages Choix des protocoles d’authentificationChoix des protocoles d’authentification Méthode de cryptage (MPPE ou IPSec)Méthode de cryptage (MPPE ou IPSec) Stratégie d’accès distantStratégie d’accès distant Authentification centralisée à l’aide de RADIUS Authentification centralisée à l’aide de RADIUS
RRASRRAS
Les solutions à envisager pour la Les solutions à envisager pour la performance sont :performance sont : ProcesseursProcesseurs Mémoire viveMémoire vive Disques rapidesDisques rapides Cartes réseaux rapidesCartes réseaux rapides Multiple accès réseaux Multiple accès réseaux
RADIUSRADIUS
Voici quelques fonctionnalités du service Voici quelques fonctionnalités du service RADIUS sous Windows 2000/2003 :RADIUS sous Windows 2000/2003 : Séparation du service d’authentification et Séparation du service d’authentification et
d’accès distantd’accès distant Gère la connectivité des clients d’accès Gère la connectivité des clients d’accès
distantdistant Intégration à AD ou à un domaine NT4Intégration à AD ou à un domaine NT4 InteropérabilitéInteropérabilité Intégration RRAS, IPSec, AD et domaine Intégration RRAS, IPSec, AD et domaine
NT4NT4
RADIUSRADIUS
Les solutions à envisager pour la Les solutions à envisager pour la disponibilité sont :disponibilité sont : L’emplacement des serveursL’emplacement des serveurs Doublement des serveurs, soit par Doublement des serveurs, soit par
l’ajout de serveurs, soit par cluster. l’ajout de serveurs, soit par cluster.
RADIUSRADIUS
Sécurisation :Sécurisation : Restriction des accès distants au réseau Restriction des accès distants au réseau
privéprivé Authentification des clients RASAuthentification des clients RAS Cryptage du trafic des clients RAS Cryptage du trafic des clients RAS
RADIUSRADIUS
Les solutions à envisager pour la Les solutions à envisager pour la performance sont :performance sont : ProcesseursProcesseurs Mémoire viveMémoire vive Disques rapidesDisques rapides Cartes réseaux rapides Cartes réseaux rapides
NOTESNOTES
IPSec est un protocole, pas un IPSec est un protocole, pas un service. Il est décomposé en 2 service. Il est décomposé en 2 protocoles : Authentication Headers protocoles : Authentication Headers (AH) ett Encapsulated Security (AH) ett Encapsulated Security Payload (ESP). AH fournit Payload (ESP). AH fournit l’authentification et l’intégrité des l’authentification et l’intégrité des données. ESP assure le chiffrement données. ESP assure le chiffrement des données. Il consomme beaucoup des données. Il consomme beaucoup de ressources en calcul. de ressources en calcul.
NOTESNOTES
IPSec peut être mis en place dans un IPSec peut être mis en place dans un domaine Windows 2000/2003 ou sur domaine Windows 2000/2003 ou sur une machine Windows 2000/2003 en une machine Windows 2000/2003 en utilisant les paramètres de sécurité utilisant les paramètres de sécurité local. Attention, on ne peut pas local. Attention, on ne peut pas utiliser IPSec avec des OS antérieurs utiliser IPSec avec des OS antérieurs à Windows 2000/2003.à Windows 2000/2003.
NOTESNOTES
Les méthodes d’authenfication IPSec sont Les méthodes d’authenfication IPSec sont basé sur Kerberos v5, l’infrastructure à basé sur Kerberos v5, l’infrastructure à clé publique, et les clés pré-partagées. clé publique, et les clés pré-partagées.
L’agent qui gère IPSec se nomme L’agent qui gère IPSec se nomme LSASS.EXE.LSASS.EXE.
Avant toutes transmissions de données, Avant toutes transmissions de données, IPSec doit mettre en place un Association IPSec doit mettre en place un Association de sécurité (Security Association - SA). de sécurité (Security Association - SA). La SA va définir les paramètres de la La SA va définir les paramètres de la communication.communication.
NOTESNOTES
Algorithme de chiffrement : Algorithme de chiffrement : 3DES, 128-bit – Fournit la plus 3DES, 128-bit – Fournit la plus
grande sécurité au détriment de la grande sécurité au détriment de la rapidité.rapidité.
DES, 56-bit – Fournit de bonnes DES, 56-bit – Fournit de bonnes performances. performances.
DES, 40-bit – Fournit de bonnes DES, 40-bit – Fournit de bonnes performances avec calcul rapide. performances avec calcul rapide.
NOTESNOTES
Protocoles d’authentification: Protocoles d’authentification: MD5, 128 bits – (message digest 5). MD5, 128 bits – (message digest 5).
Moins sur que SHA, mais plus rapide Moins sur que SHA, mais plus rapide SHA, 160 bits – (secure hash SHA, 160 bits – (secure hash
algorithm). Fournit un mécanisme algorithm). Fournit un mécanisme plus sûr que MD5 mais aussi plus plus sûr que MD5 mais aussi plus lourd à calculerlourd à calculer
NOTESNOTES
Groupes Diffie-Hellman: Groupes Diffie-Hellman: Groupe 1 – Bas, 768 bits. Groupe 1 – Bas, 768 bits. Groupe 2 – Moyen, 1024 bits.Groupe 2 – Moyen, 1024 bits.
NOTESNOTESProtection Authentification Chiffrement Groupe Diffie-Hellman
4 (la plus haute) SHA-1 (160 bits) 3DES 1024 bits
3 MD5 (128 bits) 3DES 1024 bits
2 SHA-1 (160 bits) DES 768 bits
1 (la plus basse) MD5 (128 bits) DES 768 bits
NOTESNOTES PPP supporte les protocoles de sécurité suivant : PPP supporte les protocoles de sécurité suivant :
EAPEAP (Extensible Authentication Protocol) – Permet aux (Extensible Authentication Protocol) – Permet aux clients et aux serveurs de négocier le protocole à utiliser clients et aux serveurs de négocier le protocole à utiliser (dont certificat, cartes à puce,…). (dont certificat, cartes à puce,…).
MS-CHAPMS-CHAP (Microsoft Challenge Handshake (Microsoft Challenge Handshake Authentication Protocol) nécessite un client Windows Authentication Protocol) nécessite un client Windows 2000/2003 (version 2), ou des clients 9X/NT4 (version 1). 2000/2003 (version 2), ou des clients 9X/NT4 (version 1).
CHAPCHAP (Challenge Handshake Authentication Protocol) – (Challenge Handshake Authentication Protocol) – plus performant que PAP et SPAP, ne transmet pas le mot plus performant que PAP et SPAP, ne transmet pas le mot de passe en clair. Convient aux clients MAC et UNIXde passe en clair. Convient aux clients MAC et UNIX
SPAPSPAP (Shiva Password Authentication Protocol) – Plus (Shiva Password Authentication Protocol) – Plus performant que PAP, il est supporté uniquement dans le performant que PAP, il est supporté uniquement dans le but de garder une compatibilité avec les anciens systèmes but de garder une compatibilité avec les anciens systèmes client SHIVA .client SHIVA .
PAPPAP (Password Authentication Protocol) – Utilise une (Password Authentication Protocol) – Utilise une authentification à l’aide d’un mot de passe non crypté. A authentification à l’aide d’un mot de passe non crypté. A utiliser si les clients ne supporte pas de meilleur utiliser si les clients ne supporte pas de meilleur protocoleprotocole
NOTESNOTES
TCO (Total Cost of Ownership)TCO (Total Cost of Ownership)
