Impression Couleur TR3 1112

RseauxEvolutions topologiques des

rseaux locaux

Plan Infrastructures dentreprises

Routeurs et Firewall Topologie et DMZ Proxy

Du concentrateur la commutation Hubs et switchs Rseaux locaux virtuels (VLAN) Introduction la Qos

Authentification niveau 2

VPN PPTP IPSEC

IntranetClient

Internet

Virus

Bloquer les virus

Non professionnel

Contrler laccs aux sites gourmands en bande passanteContrler les informations non professionnelles

Professionnel

Accs aux applications mtier garantiUtilisation de la bande passante optimise

Interdire les accs non autoriss

Piratage

PostesUtilisateurs

?Secure

Gateway

Moyens de scurisation

Scurit en couches (couches TCP/IP) implmentes en plusieurs points du rseau

Filtres de paquets entrants (routeur, couche 3)

Fonctions SPI et NAT (pare-feu, couche 4)SPI: Stateful packet Inspection

1. Physique

3. IP (rseau)2. Liaison de donnes

7. Application4. TCP & UDP (transport)

Filtrage statique / routeur

Filtrage effectu sur le niveau rseau adresses IP et numros de ports TCP ou UDP

Travail au niveau de la pile IP du routeur Souvent inadapt pour les protocoles grant les ports dynamiquement

(Peer to Peer, FTP, H323, )

Filtrage de paquets au moyen de listes ACL (Access Control Lists)

Les donnes TCP/IP segmentes en paquets Couche 3 & 4 du modle TCP/IP

Examen du contenu des paquets et application de certaines rgles Transmission du paquet Suppression du paquet Logs Retour dinformations lmetteur

Technologie trs rpandue au dbut dinternet: cest la premire ligne de dfense

Trs utilise encore dans les routeurs: TP Cisco

Routeur = routage statique, routage dynamique RIP, OSPF, BGP. Plus tard dans le cours et en TP.

Types dACLs ACL standards et tendues (CISCO)

Adresse source Adresse destination Ports Fonctionnement : inspection de chaque paquet

Remarque : traitement de linformation rapide Exemple dACL standard routeur CISCO

Autoriser les paquets (permit) Interdire les paquets (deny)

ACL tendu (Cisco)

access-list 10 permit any 192.168.10.0access-list 10 permit any 192.168.20.0access-list 10 deny any 192.168.30.0

access-list numro-liste-accs {deny|permit} protocole \adresse-source masque-source [oprateur port] \adresse-destination masque-destination [oprateur port] [log]

access-list 101 permit udp any host 192.9.200.1 eq domain

Stateful Protocol Inspection : la rgle dpend des informationscontenues dans les enttes IP, UDP, TCP, ICMP du paquet ET despaquets qui sont passs avant. Il y a donc un suivi desconnexions.

Inspection dun premier paquet autoris (par le routeur): Une entre est cre dans une table (nouvelle connexion)

Fonctionnement de linspection de paquets avec suivi de ltat de connexion (SPI) (1/2)

Fonctionnement de linspection de paquets avecsuivi de ltat de connexion (SPI) (2/2)

Examen de len-tte du paquet Adresses source et destination Type de protocole (TCP, UDP, ICMP) Ports source et destination Flags (SYN, ACK, FIN, RST)

Comparaison aux rgles de contrle du trafic Exemple: Ne laisser passer que le trafic HTTP

Gnralement, le pare-feu autorise les connexions vers l'extrieur => entre dans la table d'tat =>les paquets entrants (retours de requtes) appartenant ces

connexions ne sont pas filtrs

tat du module conntrack :

NEW

ESTABLISHED

TCP SYN

TCP SYN + ACK

TCP ACK

tat ESTABLISHED pou r le protocole TCP parti r dici

TCP ACK

TCP RST

UDP requte DNS

UDP rponse DNS

Ex : Module Netfilter LINUX(Commande iptables)

NEW : une nouvelle connexion est tablie.

ESTABLISHED : la connexion analyse a dj t tablie

RELATED : la connexion est en relation avec une autre connexion dj tablie (par exemple, une connexion de donne de type..).

INVALID : le paquet n'appartient aucune des trois catgories prcdentes.

Tracking de connexion FTP

modprobe ip_conntrack_ftp

iptables -t filter -A OUTPUT -o eth0 -p tcp \--dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -t filter -A INPUT -i eth0 -p tcp \--sport ftp -m state --state ESTABLISHED -j ACCEPT

iptables -t filter -A INPUT -i eth0 -p tcp --sport 20 -m state \--state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 20 -m state \--state ESTABLISHED -j ACCEPT

eth1eth0

Rgles de filtrage / Pare-feux Rgles balayes dans lordre croissant

Ncessit de mettre les rgles les plus utilises au dbut (performance)

Ncessit de mettre les rgles les plus restrictives avant les autres (ex.: si une machine certains droits et le rseau auquel elle appartient ne les a pas)

Interdire tout trafic vers le pare-feu Rgle implicite interdisant tout trafic ne correspondant pas une

rgle explicite

Interface graphique pour iptables/netfilter: fwbuilder

Fonction orientes Firewall sur les routeurs

Dans loption FFS se trouve le CBAC (Context-Based Access Control => contrle daccs contextuel)

Filtrage dynamique Entres dynamiques pour les flux de rponses des connexions

TCP, UDP, ICMP Non ncessit de laisser des ports ouverts de manire statique

(les ports restent ouverts uniquement le temps de la session) Suivi des numros de squence TCP

Surveillance des numros de squence des paquets entrants et sortants pour suivre les flux de communication

Protection contre les attaques man in the middle et les piratages de session

Ex : Option Firewall Feature Set (FFS) sur un routeur priphrique (CISCO) (1/3)

Suivi de ltat des sessions Suivi des sessions TCP demi-ouvertes, ouvertes et fermes

pour viter les attaques SYN Flood Numros de session et dbits de transmission doivent tre

compris dans des seuils dfinis par ladministrateur

Journalisation des sessions Dates et heures Htes source et destination Ports Nombre total doctets transmis


Suivi dapplications spcifiques (exemple de protocoles)

CU-SeeMe (port 7648): visioconfrence PTP

FTP (port 21)

H.323 (ports 1720, 1719 et ports dynamiques variables): communication multimdia (VoIP, vido, audio)

ICMP: dpannage de problmes (administrateur) + utilis par les pirates => ne laisser passer que les messages ICMP gnrs lintrieur du rseau

MCGP (Media Control Gateway Protocol, port 2427) : VoIP

MSRPC (Microsoft Remote Procedure Call Protocol, port 135) : communication de processus inter-systmes

Blocage des applets Java Le routeur peut tre configur pour filtrer ou refuser les applets Java

Support de VPN Nombre de tunnels dpend du Firewall. Ex: 4 tunnels, 25 tunnels, etc


EX. de fonctionnalits avances

Limitations des pare-feux

Ne peut empcher des utilisateurs ou attaquants utilisant des modems daccder lintrieur du rseau

Ne peut empcher une mauvaise utilisation des mots de passe (non respect de la stratgie de mots de passe par les utilisateurs)

Concentration du trafic en un seul point = goulet dtranglement = source de panne fatale

Translation dadresse: NAT

NAT statique Mme adresse IP publique une adresse IP prive donne Ex : serveur WEB

NAT dynamique Associe une adresse IP prive une adresse publique alatoire

tire d'un groupe (pool)

PAT (Port Address translation) Associe une seule adresse publique plusieurs adresses

prives en utilisant divers ports Rappel : 65 535 ports TCP sont supports par adresse IP

Filtrage et NAT sur Linux

nat PREROUTING

nat POSTROUTING route?

filter FORWARD

filter INPUT

route?

filter OUTPUT

nat OUTPUT

Processus local

Rseau Rseau

Scurit avec NAT

Plus difficile pour un attaquant de :

Dterminer la topologie du rseau et le type de connectivit de l'entreprise cible

Identifier le nombre de systmes qui s'excutent sur le rseau

Identifier le type des machines et leurs systmes d'exploitation

Raliser des attaques de type dni de service (Ex : SYN Flood, scan de ports, injection de paquets)

Inconvnients de NAT Connexions UDP mal gres

Estimation du temps o la connexion doit rester ouverte

D'autres protocoles sont mal grs Kerberos, X Windows, rsh (remote shell), SIP (Session

Initiation Protocol)

Systmes de chiffrement et d'authentification Ces systmes sont bass sur l'intgrit des paquets

Or NAT modifie ces paquets

Journalisation complique Mise en corrlation des journaux demande d'intgrer les

traductions ralises par NAT

Problme de partage d'adresse avec PAT Authentification auprs d'une ressource extrieure protge

(tous les utilisateurs partageant la mme adresse risquent de pouvoir utiliser cette ressource)

Types de pare-feux Pare-feu personnel

Peut-tre intgr au systme (Windows, Mac) Ex Windows => dans le panneau de configuration

Pare-feu personnel (2/4)

Pare-feu personnel (3/4)

Windows XP :netsh firewall set icmpsetting 8 enableVista, Seven: netsh advfirewall firewall add rule name= ping entrant ok protocol=icmpv4:8,0 dir=in action=allow

Pare feu personnel (Seven)

Types de pare-feux Pare-feu tout en un: intgrent les fonctionnalits suivantes:

Routeur Commutateur ethernet Point daccs sans fil pare-feu

Pare-feu pour bureau de taille moyenne Ex : CISCO PIX 501 ou 506 F50 Netasq

Pare-feu dentreprise Ex : CISCO PIX 515, ASA F200 Netasq

Diffrences entre les gammes de pare-feu Nombre de connexions supportes Capacit CPU, mmoire (RAM ou flash) Souvent modulaires Nombre de DMZ Nombre de tunnels simultans Bande passante dans tunnels.



Du concentrateur la commutation Hubs et switchs Rseaux locaux virtuels Introduction la Qos


VPN PPTP IPSEC

Zone dmilitarise (DMZ, Demilitarized Zone)

Zone du rseau interne isole (entre la zone publique et la zone prive) Serveur web Serveur de messagerie Serveur FTP Serveur DNS (donnes publiques, donnes internes) ...

Cela permet au trafic venant dinternet daller dans cette zone, mais pas de pntrer ailleurs sur le rseau interne

Possibilit dauditer le trafic chang avec la DMZ

Possibilit de placer un systme de dtection dintrusion

Localisation et fonction dune DMZRseau dentreprise interne (priv)

Pare-feu

Internet

Serveur FTP

Serveur web

Serveur de messagerie152.77.128.103

public

Zone dmilitarise (DMZ)Serveur DNS152.77.128.104

Routeur

152.77.128.1

192.168.2.1

192.168.2.10

209.164.3.1

209.164.3.2

Autre architecture avec DMZRseau dentreprise interne (priv)

Pare-feu

Internet

Serveur FTP

Serveur web

Serveur de messagerie

public

Zone dmilitarise (DMZ)

Serveur DNS

RouteurPare-feu





VPN PPTP IPSEC

Proxy Proxy = passerelle applicative Exemple: proxy/cache FTP , proxy/cache HTTP

Proxy classique: Les clients sont adapts pour communiquer avec le proxy avec un protocolespcifique: SOCKS rfc1928,proxy web rfc3040

Proxy transparent pas de modification des clients applicatifs

le proxy intercepte les communications

Quelques proxys: Squid (libre) Microsoft Proxy server Proxy implments dans serveurs Web (IIS, apache)

3- caching load balancer4- Serveurs Web

1- Navigateurs2- Proxy-cache

Conclusion

Couche rseau Filtres de paquets (routeur)

limine des adresses indsirables

Couche transport Inspection des paquets SPI (pare-feu)

Identifie les connexions autorises (sollicites) Traduction d'adresse

Le rseau interne est invisible de l'extrieur

Couche application Inspection des donnes (pare-feu proxy)

Chaque mthode seule est insuffisante=> Leur combinaison offre un bon niveau de protections

Plan

Infrastructures dentreprises Routeurs et Firewall Topologie et DMZ Proxy

Du concentrateur la commutation Hubs et switchs Rseaux locaux virtuels: VLAN Introduction la Qos


VPN PPTP IPSEC

Architecture traditionnelle

Hubs, switchs, Routeurs

Contraintes Les sous-rseaux sont lis aux switchs (ou hubs) Les utilisateurs sont groups gographiquement Peu de scurit sur un segment Plan d'adressage peut tre difficile La mobilit entrane obligatoirement un changement d'adresse

HUB (rpteur multiport)

Mode de fonctionnement Reoit une trame sur un port Retransmet la trame sur tous les ports restants

simule la diffusion sur un segment de cble.

Caractristiques Ne permet qu une transmission la fois

collision si deux machines mettent en mme temps Tous les ports fonctionnent la mme vitesse Dlai de l ordre de la s.

Switch

Mode de fonctionnement Fonctionne sur la couche 2 Peut recevoir et transmettre plusieurs

trames simultanment Procde l apprentissage et au filtrage

des trames sur la base des adresses MAC srialise les trames destination d un mme port Si une destination ne peut tre localise, la trame est retransmise

sur tous les ports. Caractristiques

des buffers sur tous les ports en entre et en sortie Supporte le full-duplex avec contrle de flux Supporte des ports diffrents dbits simultanment Implmente ou pas le Spanning-tree (voir plus loin) fonctionnement

cut -through, store and forward bloquant ou non-bloquant (bus interne)

propage les broadcasts sur tous les ports restants

Auto-negociation (FastEthernet) Base sur des impulsions Exemple ci-contre: 10 ou 100M

Choix dbit Choix Half-duplex/full-duplex

Cbles UTP cat.5, cat.6 Ordre de ngociation

1000BASE-T full duplex 1000BASE-T half duplex 100BASE-T2 full duplex 100BASE-TX full duplex 100BASE-T2 half duplex 100BASE-T4 100BASE-TX half duplex 10BASE-T full duplex 10BASE-T half duplex

Impulsions de test d intgrit sur lien 10 base T

16 ms

16 ms

FLP=Fast Link Pulse sur lien Fast Ethernet

Le rseau local commut

Utilisation de commutateurs: switchs Domaines de collisions rduits Dbit ddi et non plus partag Intelligence dans le port du

commutateur

Utilisation de ces proprits pour : Crer des regroupements logiques

des utilisateurs Centraliser l'administration

Ncessit dun routeur pour la communication inter-rseau

Dbit de 100M

Par connexion

Qu est ce qu un rseau virtuel: VLAN

Trois ncessits pour introduire le concept Limiter les domaines de broadcast Garantir la scurit Permettre la mobilit des utilisateurs

Les rseaux virtuels s appuient sur la commutation pour donner de la flexibilit aux rseaux locaux

Le VLAN est un rseau LOGIQUE

Plusieurs types de VLAN

VLAN niveau 1

Groupe de ports

VLAN niveau 2

Groupe dadresses MAC

VLAN 2

12345678

VLAN 1

Ports

VLAN 2VLAN 1

00000C 1DDFAA0A0A1D 0FFFAB010000 DCFABA

0000AA ABABAB010101 FCCCFC00FB68 AEFACC

Chaque adresse Macappartient un seulVLAN,Plusieurs VLAN par portautoris

VLAN 1ire GENERATION


VLAN niveau 3

Sous-rseaux protocolaire(IP)

VLAN 1

VLAN 2

Sous-rseau IP 193.54.157.4

Sous-rseau IP 193.54.157.8

VLAN 2 imee GENERATION


Rcapitulatif

Vlan niveau 1: par port Vlan niveau 2: par adresse Mac Vlan niveau 3: par adresse IP ou par

protocole Vlan niveau 4: voir plus loin dans le

cours, par authentification.

Ex : VLAN de niveau 2

la table de commutation duswitch asssocie chaque portune ou plusieurs adresses MACqui sont les adresses de la oudes machines connectes surce port.

VLAN niveau 1 (par port)

VLAN niveau 2 (par @MAC)

M17

1 2 3 4 5 6 70

M1 M2 M3

M4 M5 M6

M10 M11 M12

VLAN 1 VLAN 2

M7 M8 M9

VLAN 1 = M1, M2, M3, M4, M5, M6 et M17VLAN 2 = M7, M8, M9, M10, M11, M12 et M18

VLAN 1 = M1, M2, M3, M4 et M17VLAN 2 = M7, M8, M9, M10, M11, M12 et M18

+ M5 et M6

M18

Extension des VLANS Interconnexion des commutateurs

1re solution

Il faut un port ddi pour chaque VLAN sur chaque commutateur

Solution coteuseManque de souplesse

1 2 3 4 5 6 70

1 2 3 4 5 6 70

VLAN 1 VLAN 2

Interconnexion des VLANS (2)

2me solution

On peut sur certains commutateurs dfinir des ports multi-VLANS

1 2 3 4 5 6 7 0

1 2 3 4 5 6 7 0

VLAN 1 & VLAN2

Le rle des routeurs dans les VLANS

Un commutateur ne peut pas router un paquet entre deux rseaux et, par consquent, entre deux VLANS.

Un routeur est ncessaire.

La diffusion (broadcast) est limite au VLAN.

Architecture classique

Un switch central collecte les trames en provenance des switchs utilisateurs

Un routeur est charg de la communication entre les VLANS

ROUTEUR

SWITCH 1

SWITCH 2

Dfinition de sous-interfaces

Si le routeur le permet :

dfinition de sous-interfaceschacune appartenant un VLAN diffrent.

Ex: Cisco!interface FastEthernet 0/0.1ip address 192.5.5.1 255.255.255.0!interface FastEthernet 0/0.2ip address 205.7.5.0 255.255.255.0

VLAN 1 VLAN 2 VLAN 3

PORT 1 PORT 2 8 PORT 9 12

Le port 1 est un port TRUNK multi-VLAN

PC 1A IP = 192.5.5.11 /24

PC 1B IP = 207.5.5.13/24

FastEthernet 0/0

Administration des VLANS

Marquage des trames sur les liens TRUNK Norme 802.1Q (encapsulation dot1q sur Cisco) Protocoles propritaires (ISL: Inter switch Link: cisco)

Exemple de la norme 802.1Q sur Ethernet.

3 Bits utiliss pour le CoS(802.1P User Priority)

Couche 2802.1Q

1234567

0 Best Effort DataMedium Priority

Data

High Priority DataCall Signaling

Video Conferencing

Voice BearerReservedReserved

CoS Application

FCSDATAVLAN TAG4 BytesVLAN TAG

4 BytesSADASFDPREAM.Type/Len

VLAN ID12 bits

VLAN ID12 bits

CFI1bitCFI1bitPRIPRI

Tag Protocol ID0x8100


Cas classique, switch Cisco

SW#vlan databaseSW(vlan)#vlan 2 name vlan_pc

exitSW(config)#int fastEthernet 0/10SW(config-if)# switchport mode access SW(config-if)# switchport access vlan 2

ATTENTION: Vlan 1 : vlan par dfaut sur cisco !!!

Trame non tagueTrame non tague SWTrame sortante du port (egress):Non tague

Trame entrante (ingress):-Si tag Vlan 2: ?-Sans tag: tag avec Vlan 2-Si tag autre Vlan: ignore

Cas de la VoIp, switch Cisco

SW(config-if)#switchport trunk encapsulation dot1qswitch port mode trunkswitch trunk native vlan 12switch trunk allowed vlan 6

Trame non tagueTrame non tague

IP PhoneIP Phone

Trame tague VLAN 6Trame tague VLAN 6

SW

Trame sortante du port (egress):- Si Tag 6: reste avec tag 6- Si Tag 12: part sans TagTrame entrante (ingress):-Si Tag avec Vlan 6: on garde le tag 6-Si non taggue: taggue avec Vlan 12-Si autre valeur de Tag: ignore

Cas des Vlans dynamiques Exemple avec VTP (Vlan trunk Protocol)

Dmonstration

Protection par mot de passe possible

Exemples de commandes: SW(config)#vtp ?

domain Set the name of the VTP administrative domain file Configure IFS filesystem file where VTP configuration is stored interface Configure interface as the preferred source for the VTP IP updater

address. mode Configure VTP device mode password Set the password for the VTP administrative domain pruning Set the administrative domain to permit pruning version Set the administrative domain to VTP version

Pb de la redondance des liensChemins redondants et absence de Spanning Tree: Quel est donc le problme ?

00-90-27-76-5D-FE

A

sw1

sw2

00-90-27-76-96-93

pc1

pc2

A Concentrateur

00-90-27-76-5D-FE

00-90-27-76-96-93

A sw1

Larry

pc1

pc2

A

00-90-27-76-5D-FE

Concentrateur

pc1 envoie une trame Ethernet pc2.

Les commutateurs sw1 et sw2 voient tous deux la trame et enregistrent l'adresse MAC de pc1 dans leurs tables de commutation.

Table des adresses d'originePort 1 : 00-90-27-76-96-93


sw2

00-90-27-76-96-93

00-90-27-76-5D-FE



A

sw1

sw2

A

1

1 2

00-90-27-76-96-93

00-90-27-76-5D-FE

Concentrateur

Aucun des deux commutateurs ne possde l'adresse MAC de destination dans sa table.

Ils diffusent donc la trame vers tous les ports.

pc2

pc1


A

sw1

sw2

A

1

1 2

00-90-27-76-96-93

00-90-27-76-5D-FE

Concentrateur

Table des adresses d'originePort 1 : 00-90-27-76-96-93Port A : 00-90-27-76-96-93

Le commutateur sw1 apprend, tort, que l'adresse d'origine 00-90-27-76-96-93 se situe sur le port A.

pc2

pc1



A sw1

sw2

A

1

1 2

00-90-27-76-96-93

00-90-27-76-5D-FE

Concentrateur

Le commutateur sw2 apprend lui aussi, tort, que l'adresse origine 00-90-27-76-96-93 se situe sur le port A.

pc2

pc1

Table des adresses d'originePort A : 00-90-27-76-96-93

A

sw1

sw2

A

1

1 2

00-90-27-76-96-93Concentrateur

Table des adresses d'originePort A : 00-90-27-76-96-93

Dornavant, lorsque pc2 envoie une trame pc1, celle-ci est reue par sw1 qui ignore celle-ci.

pc2

pc1

Cas des trames de diffusion

A

sw1

sw2

pc1

A

1

1 2

00-90-27-76-96-93

00-90-27-76-5D-FE

Concentrateur

pc1 envoie une trame de broadcast de couche 2, comparable une requte ARP.

pc2

A

sw1

sw2

pc1

A

1

1 2

00-90-27-76-96-93

00-90-27-76-5D-FE

Concentrateur

La trame de broadcast tant de couche 2, les deux commutateurs, sw1 et sw2 la diffusent vers tous les ports, y compris leur port A.

pc2

Les deux commutateurs reoivent le mme broadcast, mais sur un port diffrent. Ils diffusent tous deux la trame de broadcast en double vers leurs autres ports.

Les commutateurs diffusent nouveau le mme broadcast vers leurs autres ports, ce qui a pour effet de gnrer des trames en double; c'est ce que l'on appelle une tempte de broadcast !

Pour rappel, les broadcasts de couche 2 ne sont pas seulement des grands consommateurs de bande passante du rseau. Ils doivent en outre tre traits par chaque hte. Cela peut avoir une incidence ngative sur le rseau, au point de le rendre totalement inutilisable.

Protocole " spanning tree "

Lien de secours

Il fait partie de la norme 802.1d. Le principe est simple : construire une arborescence sans boucle partir

d'un point identifi, connu sous le nom de racine. Les chemins redondants sont autoriss, mais un seul peut tre le chemin

actif.

L'algorithme " spanning tree " (STA) est utilis pour calculer un chemin exempt de boucle.

Les trames " spanning tree ", appeles units BPDU (Bridge Protocol Data Units), sont envoyes et reues par tous les commutateurs du rseau intervalles rguliers. Elles servent en outre dterminer la topologie " spanning tree ".

Une instance distincte du protocole STP s'excute dans chaque VLAN configur.

Protocole " spanning tree "

Explication des tats STP

Les tats ont t dfinis au dpart, puis ils ont t modifis par le protocole STP.. Blocage Ecoute Apprentissage Transmission Dsactiv

Il est possible de configurer les ports du serveur de sorte qu'ils passent automatiquement en mode de transmission STP





VPN PPTP IPSEC

SiSiSiSi

WAN

O a ton besoin de QOS

Central Campus Remote Branch

Contrle dadmission des paquets

Traffic shaping Fragmentation niveau 2

Contrle dadmission des paquets

Traffic shaping Fragmentation niveau 2

Agence distante Rgles de distribution

niveau 3 Gestion de queues

multiples Traitement de la

congestion

Rgles de distribution niveau 3

Gestion de queues multiples

Traitement de la congestion

Agence centraleAgence centrale Accs vers lextrieurAccs vers lextrieur QoSWANQoSWAN

Dbits Classification Voix ou

DonnesGestion de queues

multiples sur ports avec Ordi et Tlphones


Donnes Gestion de queues



Donnes Gestion de queues


Problmatique en 3 niveaux

Classer les flux

Marquer les flux

Appliquer des rglesde gestion du trafic

Rappel: structure Couches 2 & 3

VersionIHL Long

IPV4 classique: 3 bits de poids fort appel IP Prcdence(Diffuseur doivent utiliser 6 bits de DSCP et 2 bits de contrle de flux)

Layer 3IPV4

ID Offset TTL Proto FCS IP-SA IP-DA DataToS1 Octet

077 12233445566

IP Precedence

DSCP

Contrle FluxPour DSCP

FCSDATAVLAN TAG4 BytesVLAN TAG

4 BytesSADASFDPREAM.Type/Len

VLAN ID12 bits

VLAN ID12 bits

CFI1bitCFI1bitPRIPRI



1234567

0 Best Effort DataMedium Priority

Data

High Priority DataCall Signaling

Video Conferencing

Voice BearerReservedReservedCoS

Application

PRI: 3bits

Valeurs Diff-Serv

AF43AF43

AF33AF33

AF23AF23

AF13AF13

101110

High Drop Prt

High Drop Prt

000000

DSCPDSCPBE1BE1BE2BE2BE3BE3BEBEAF11AF12AF12AF13AF13AF21AF22AF22AF23AF23AF31AF32AF32AF33AF33AF41AF42AF42AF43AF43EF

DecimalDecimal22446600

101212141418202022222628283030343636383846

BinaryBinary000010000010000100000100000110000110000000000000001010001100001100001110001110010010010100010100010110010110011010011100011100011110011110100010100100100100100110100110101110

IP PRECIP PREC00000000111112222233333444445

BinaryBinary000000000000000000000000001001001001001010010010010010011011011011011100100100100100101

VersionIHL Long ID Offset TTL Proto FCS IP-SA IP-DA DataToS1 Octet

077 12233445566

IP Prcdence

DSCP

ContrleFlux

Pour DSCP

Type de flux DiffServ Codepoint DSCP Nom commercial

Trafic rseau (routage, contrle)

CS7, CS6 56, 48 Critical/network

Voix EF 46 Premium

Visio confrence AF41, AF42, AF43

34, 36, 38 Platinium

Signalisation voix

AF31, AF32, AF33

26, 28, 30 Gold

Critique AF21, AF22, AF23

18, 20, 22 Silver

Prioritaire AF11, AF12, AF13

10, 12, 14 Bronze

Standard CS0 0 Best effort

Classification (confiance)

Un quipement est dit de confiance (trusted) sil classifie correctement les paquets

La classification doit tre fait le plus tt possible

La frontire de confiance est dlimite par des quipements de confiance

1 et 2 sont optimums, 3 est acceptable (le switch daccs ne gre pas la QOS)

Remarque: Si on veut plutt une classification par VLAN: Qos sur Cos Si plutt une classification par application: Qos sur DCSP

SiSi

SiSi

SiSi

SiSi

terminaisons Accs Distribution Noyau WAN Agg.

Frontire de confiance

1

2

3

Valeurs de Cos dun PC modifier

COS = 5COS = 5

COS = 0

COS = 5COS = 5

COS = XCOS = X

IP PhoneIP PhoneNon conserve: le switch de lIP Phone change

la valeur de Cos 0

Non conserve: le switch de lIP Phone change

la valeur de Cos 0

set port qos trust-ext _____Seulement appliqu au port PC Ethernet du switch de lIP Phone

set port qos trust ____Applique au port en question lune des lois suivantes: untrusted (default), trust-cos, trust-ipprec, trust-dscp

Sur les ports des 6k, on peut ajouter des ACL pour paramtrer le niveau de confiance

Congestion WAN.

100 meg / 128 kb/s en sortie: srialisation des paquets dentre plus vite quen sortie

Les paquets sont placs dans des queues ( queued ) le temps de traitement de la srialisation sur le lien bas dbit

Router

128k Uplink10/100m

WAN

QueuedQueued

Congestion LAN

1G /100 meg : mmes problmes de srialisation que prcdemment: paquets placs dans des queues

Switch daccs

100 Meg Link1 Gig Link

Switch de distrib.

QueuedQueued

Congestion de queue de transmission Les queues multiples

permettent de traiter les queues contenant un trafic plus important

Suppression possible seulement dans les queues de type BE

Queue Mgr

RR/WRR/PQQueue Scheduler

Queue 2Queue 2Queue 1

VoiceVoiceData

Round Robin, Weighted Round

Robin ou Priority Queuing utiliss pour

classifier les diffrentes queues

Round Robin, Weighted Round

Robin ou Priority Queuing utiliss pour

classifier les diffrentes queues

Les files dattente

FIFO (First In First Out). Cest le principe du best effort ( la queue leu leu!). Traffic Shaping : un trafic erratique est liss en temporisant les pics de

trafic. Policing : les pics de trafic sont crts. Priorit (SPQ pour Strict Priority Queuing) : tant quil y a des paquets

prioritaires dans la file dattente, ils seront traits avant de passer aux autres moins prioritaires (ambulance).

WFQ (Weighted Fair Queuing). Priorit certains trafics par rapport dautres (les ESF aux remontes mcaniques) ssi congestion. WRR(Weighted Round Robin)

RED (Random Early Detection) intervient avant la congestion. Des paquets sont alatoirement rejets lorsquon sapproche de la congestion.

WRED (Weighted RED) et ERED (Enhanced RED) permettent de slectionner les flux en fonction de priorits (precedence, dscp) qui dterminent le rejet des paquets

SFQ (Stochastic Fairness Queueing) : N paquets de chaque file dattente sont traits avant de passer la prochaine file dattente. Chaque file correspond un flux, et N est toujours le mme, quel que soit la file dattente, donc quel que soit le flux.

Port InPkts 1549-9216 OutPkts 1549-9216

Port InPkts 1549-9216 OutPkts 1549-9216Fa3/2 0 0

Port Tx-Bytes-Queue-1 Tx-Bytes-Queue-2 Tx-Bytes-Queue-3 Tx-Bytes-Queue-4Fa3/2 0 0 0 0

Port Tx-Drops-Queue-1 Tx-Drops-Queue-2 Tx-Drops-Queue-3 Tx-Drops-Queue-4Fa3/2 1122 0 0 0

Port Rx-No-Pkt-Buff RxPauseFrames TxPauseFrames PauseFramesDropFa3/2 0 0 0 0

Application: queues de transmission sur Cisco

Queue Mgr

RR/WRR/PQQueue Scheduler

Queue 2Queue 2

VoiceVoiceData

Queue 1Queue 1Ex: Catalyst 3550: show mls qos int statistics fa3/2

Ex: Catalyst 3550 4 queues de transmission (1P3Q2T or 4Q2T) 802.1p, DSCP et Qos base sur les ACL Trust DSCP, et CoS (policy maps) Peut appliquer DSCP ou CoS par port

(marked/rewrite ou unmarked) Translation (map) depuis CoS vers DSCP ou DSCP

vers CoS POE: Power On Ethernet, pour alimentation Commutation niveau 3

SiSi

65006500

35503550 35503550

65006500

35503550

Cisco Catalyst : Exemple 1

mls qos map cos-dscp 0 10 18 26 34 46 48 56mls qos!class-map match-all ftpmatch protocol ftp!policy-map my_Policyclass ftpshape average 32000!interface GigabitEthernet0/1ip address 10.33.1.1 255.255.0.0service-policy output my_policy

Limitation de bande passante par shappingSiSi

65006500

35503550 35503550

65006500

35503550


access-list 102 permit tcp any any eq 20access-list 102 permit tcp any any eq 21!interface GigabitEthernet0/1ip address 10.33.1.1 255.255.0.0rate-limit output access-group 102

25600000 4000000 8000000 conform-action transmitexceed-action drop

Limitation de bande passante avec rate-limitSiSi

65006500

35503550 35503550

65006500

35503550

Sur linterface Giga 0/1: pour le trafic ftp (ici access-list 101 ou 102): - Limitation 25,6 Mbit/s, Rafale Max 8Moctets/s- Transmission du paquet si paquet conforme- Action si non conforme: drop


class-map match-all datamatch access-group 102class-map match-all videomatch access-group 103class-map match-all basicmatch access-group 104!policy-map my_Policyclass video set ip precedence 5class dataset ip precedence 1 class basic set ip precedence 0!interface GigabitEthernet0/1ip address 10.33.1.1 255.255.0.0service-policy output my_policy

Priorisation des trafficsSiSi

65006500

35503550 35503550

65006500

35503550

Marquage des paquets

- 8 valeurs de precedence possibles- 64 valeurs de DSCP possibles

Les paquets marqus ip precedence ou ip dscp sont traits dans les files dattente de type WRED

- 8 valeurs de marquage COS possibles (marquage COS quand un paquet quitte un routeur pour aller sur un switch qui traite le COS pour la gestion de la QoS)

On classe les flux dans des class-map en fonction de

leur access-list

On place une valeur dip precedence pour marquer le flux et pouvoir appliquer

la Qos sur le rseau

On applique la policy-map en sortie dinterface

Qos: L2 to L3 / L3 to L2On diffrencie les trames entrantes en fonction de leur valeur de COS.

Suivant la class-map, on met une valeur de DSCP dans lentte IP

On applique les rgles l2 to l3 sur linterface voulue, dans le sens

input

On diffrencie les paquets IP entrants en fonction de leur valeur

de DSCP.

Suivant la class-map, on met une valeur de COS dans ltiquette de

la trame

On applique les rgles l3 to l2 sur linterface voulue, dans le sens

output

Bande passante ncessaire: exemple VoIP et codec utilis

CODECCODEC Sampling RateSampling Rate Voice Payloadin BytesVoice Payload

in BytesPackets per

SecondPackets per

SecondBandwidth per

ConversionBandwidth per

ConversionG.711G.711 20 msec20 msec 160160 5050 80 kbps80 kbps

240240 33332020 5050

G.711G.711G.729AG.729AG.729AG.729A

30 msec30 msec20 msec20 msec30 msec30 msec 3030 3333

74 kbps74 kbps24 kbps24 kbps19 kbps19 kbps

CODECCODEC 801.Q Ethernet+ 32 L2 Bytes

801.Q Ethernet+ 32 L2 Bytes

MLP+ 13 L2 Bytes

MLP+ 13 L2 Bytes

Frame-Relay+ 8 L2 BytesFrame-Relay+ 8 L2 Bytes

ATM+ Variable L2 Bytes

(Cell Padding)

ATM+ Variable L2 Bytes

(Cell Padding)G.711 at 50 ppsG.711 at 50 pps 93 kbps93 kbps 86 kbps86 kbps 84 kbps84 kbps 106 kbps106 kbps

78 kbps78 kbps 77 kbps77 kbps

30 kbps30 kbps 28 kbps28 kbps

G.711 at 33 ppsG.711 at 33 pps

G.729A at 50 ppsG.729A at 50 ppsG.729A at 33 ppsG.729A at 33 pps

83 kbps83 kbps

37 kbps37 kbps27 kbps27 kbps 22 kbps22 kbps 21 kbps21 kbps

84 kbps84 kbps

43 kbps43 kbps28 kbps28 kbps

Mthode de calcul plus prcise: ajout de lenttecouche 2 en fonction de la technologie




Authentification niveau 2 Gnralits EAP

VPN PPTP IPSEC

Gnralits Contexte

802.1X: standard mis en place 2001 par lIEEE Fait partie du groupe des protocoles IEEE 802 (802.1). Besoin dauthentification ds laccs physique au rseau (trs

important dans le domaine du WIFI, o les cls de cryptage WEP ne sont pas trs efficaces, do lide dune authentification physique ds les bornes).

Norme dveloppe aussi pour les VLAN. LIEEE souhaitait donc standardiser un mcanisme de relais

dauthentification au niveau 2.

Objectif Autoriser laccs physique un rseau local aprs une phase

dauthentification, peu importe le systme de transmission utilis.

Mcanisme dauthentification de laccs au rseau devant tre fait avant mme tout autre mcanisme dauto-configuration tel que DHCP.

Le 802.1x va apporter des avantages considrables au niveau de ladministration du rseau, notamment par laffectation dynamique des VLAN en fonction des caractristiques de cette authentification.

Gnralits

Principe Gnral

Le 802.1x utilise le un protocole EAP (Extensible Authentification Protocol) Le standard sappuie sur des mcanismes dauthentification existants.

Il se base sur 3 entits

Ethernet / 802.11 IP/UDP

EAPoL (EAP Over LAN) Radius

Extensible Authentication Protocole

Mthode EAP spcifique

SupplicantAuthentificateur

Serveurdauthentification

EAP

EAP : PPP Extensible Authentification Protocol Extension du protocole PPP. Normalis dans la RFC 2284 par l'IETF.

Le dbut de l'authentification peut se faire soit l'initiative du systme authentifier, soit par le systme authentificateur, par le biais d'une requte.

Avant que l'authentification soit complte, seul le trafic EAP est autoris transiter.

SupplicantAuthentificateur

Paquets EAP rencapsulsdans format adapt

Paquets EAP

EAPOL

Exemple filaire + MD5 (type 4)

Requte initiale Envoye par lauthentificateur

Composition du paquet EAP

Les diffrents types de trames EAP sont les suivants: 0 : EAP-Packet 1: EAP-Start (authentification demand par le client) 2: EAP-Logoff (fermeture du port contrle demande par le

client) 3: EAP-PolKey (si mise en uvre dun dispositif de chiffrement

ex. 802.11) 4: EAPOL-Encapsulated-ASF-Alert

http://standards.ieee.org/getieee802/download/802.1X-2001.pdf

Type 888E

Entte MAC

Version 2

type longueur Message EAP Adr. Dest. Adr. Src.

Entte 802.1x (EAPoL)

Quelques mthodes EAP LEAP: Lightweight EAP. Implmentation propritaire soutenue par

Cisco. Mthode utilisant des mots de passe (pb longueur mots de passe)

EAP MD5: Acceptable en filaire interdite en WIFI

EAP/PEAP : Tunnel chiffr + Autre mthode EAP dans le tunnel. Dabord cration du tunnel puis EAP/TLS par exemple.

EAP/TLS : Tunnel chiffr + Authentification par certificats (2). Mthode trs rpandue . Le supplicant et le serveur doivent tre reconnus, sinon dconnexion. Utilise des clefs publiques. Seul protocole devant tre implment pour avoir un matriel lablis WPA ou WPA2.

EAP/SIM : mthode EAP pour client GSM EAP/AKA: carte SIM dans le cas de lUMTS .

Scnario EAP/TLS

Client Hello

Envoi certificatserveur

- Envoi certificat client

- Vrification certificat Serveur

- Gnration clef session

Numro de Vlan envoy dans rponse du serveur RadiusTunnel-Type=VLAN (13)Tunnel-Medium-Type=802 (6)Tunnel-Private-Group-ID=

Affectation dynamique des Vlans

Authentificateur

VLAN Ingnierie

VLAN ComptabilitVLAN Direction

VLAN Invit

Postes wifi

Postes filaires

Radius

Plan

Infrastructures dentreprises Routeurs et Firewall Topologie et DMZ Proxy



VPN PPTP IPSEC

Quest ce quun VPN VPN: Virtual Private Network Ex: VPN site site VPN Client distant Site Quels sont les mthodes et

protocoles dauthentification ? PPTP (Microsoft): utilise MPPE

pour encrypter.

L2TP: Layer 2 Tunneling Protocol: utilisation de certificats, et duprotocole IPsec pour encrypter.

Problme de la route par dfaut dans un VPN !

PPTP

R se a u d e tra n sp o rt

O u v e rtu re d u n e se s s io n T C P su r le s e rv e u r P P T P

N g o c ia tio n d e s p a ra m tre s d u tu n n e l P P T P C e lia iso n d e c o n tr le se ra m a in te n u e d u ra n t to u te le x is te n c e d u tu n n e l 1 7 2 3

P P P L in k C o n tro l : N g o c ia tio n d e la lia iso n P P P , m th o d e d a u th e n tific a tio n e t d e c o m p re ss io n E x M sC H A P V 2

A u th e n tific a tio n C H A P (e n v o i d u n c h a lle n g e = n o m b re a l a to ire ) R p o n se (c h a lle n g e c o n d e n s p a r le m o t d e p a sse ) A c c e p ta tio n d u se rv e u r

c h a lle n g e

R e p o n se = F (c h a lle n g e , p a s sw d )

O K

N g o c ia tio n d e s p a ra m tre s IP

N g o c ia tio n d u m o d e d e c o m p re ss io n e t o u c r yp ta g e

D A T A

P P P L in k C o n tro l : F in d e se s s io n P P P

1 7 2 3 F e rm e tu re d u tu n n e l P P T P

T u n n e l e n m o d e

d a ta g ra m m e

IPSEC

Trois protocoles Ngociation de paramtres:

IKE (Internet Key exchange) : port 500

Connexion scurise en mode transport : port 50

Connexion scurise en mode tunnel : port 51

IKE

PHASE 1: Ngociation des cls pour la cration dun tunnel scuris

A lintrieur du premier tunnel,

PHASE 2 :Ngociation des paramtres des tunnels utiliss pour le transport effectif des donnes

Mode transport et mode tunnel

Mode transport : Seules les donnes du paquet sont rencapsules

Mode tunnel : la totalit du paquet est rencapsule

Entte IP Donnes

DonnesEntte IP Entte IPSECEntte IP

code de scurit

Entte IP Donnes

Entte IP DonnesEntte IPSECEntte IP

code de scurit

Deux types de codes de scurit

Code de type AH : Authentication Header

Deux types de codes de scurit

Code de type ESP : Encapsulation security payload

Documents

Impression Couleur TR3 1112