Chapitre 5 Architecture sécurisée

CHAPITRE 5 ARCHITECTURE SECURISEE ............................................................................................................ 1

I-ARCHITECTURE PHYSIQUE SECURISEE ............................................................................................................ 1
1-NORME DE CABLAGE ............................................................................................................................................. 1
a-câblage réseau ou pré-câblage VDI............................................................................................................. 2
b-câblage structuré (structure hiérarchisée) .................................................................................................. 3
2-COMMUTATEUR ................................................................................................................................................... 6
3-ROUTEUR ............................................................................................................................................................ 8
4-PAREFEU............................................................................................................................................................. 8
5-PROXY .............................................................................................................................................................. 10
6- SYSTEME DE PREVENTION/ DETECTION D’INTRUSION (IPS /IDS) ................................................................................. 11
II-ARCHITECTURE PROTOCOLAIRE SECURISEE................................................................................................. 12
1-VLAN .............................................................................................................................................................. 12
2-ZONE DMZ ....................................................................................................................................................... 14
3-VPN ................................................................................................................................................................ 16
4-STP ................................................................................................................................................................. 19
5-VTP (VLAN TRUNKING PROTOCOL) ...................................................................................................................... 20

I-Architecture physique sécurisée

1-Norme de câblage

1
Les normes de câblage concernent non seulement les performances de communication, mais
également des domaines comme le cheminement des câbles, la résistance au feu et la
compatibilité électromagnétique (CEM) avec les autres dispositifs électroniques.
a-câblage réseau ou pré-câblage VDI

Pré-câblage VDI (Voix Données Images) à l’intérieur ou entre les différents bâtiments.

Ce câblage utilise des normes (ISO/IEC 11801 – NF EN 50173 – ANSI EIA/TIA 568)

2
b-câblage structuré (structure hiérarchisée)

Pour câbler un réseau il faut s’assurer adopter un câblage hiérarchique comportant les éléments
suivant :

 TO : Telecommunication Outlet (prise de télécommunication)

3
  CD : Campus Distributor (répartiteur de campus)
 BD : Building Distributor (répartiteur de bâtiment)
 FD : Floor Distributor (répartiteur d’étage)
 CP : Consolidation Point (point de consolidation)
 …………. : Eléments facultatifs

Définition des liaisons

Câblage horizontal : câble reliant le répartiteur d’étage à la prise de télécommunication, par

l’intermédiaire éventuel d’un point de consolidation.

Câblage vertical également appelé « backbone » :

 câbles reliant les différents bâtiments d’un campus au répartiteur principal (CD)
 câbles reliant les répartiteurs d’étages (FD) au répartiteur de bâtiment (BD)

4
La norme spécifie que le câblage vertical ne doit pas dépasser 2000 m entre le répartiteur de campus
et le répartiteur d’étage (étendu à 3000 m en utilisant une fibre monomode).

Localisation des éléments fonctionnels et liaisons

Les liaisons internes au bâtiment adoptent la plupart du temps la topologie en étoile et sont réalisées
par l’intermédiaire de câbles à paires torsadées. La norme impose une longueur maximale de
câblage, entre la « machine » et le SWITCH, de 100 m. Cette distance est divisée en deux parties
distinctes : le câblage horizontal et les cordons d’équipement et de brassage.

Pour assurer une bonne liaison, des précautions de câblage doivent être respectées :

5
 • Le câble doit être déroulé (utiliser un dérouleur de câble)
• Eviter de marcher sur les câbles ou d’y déposer des objets lourds.
• Rayon de courbure minimal durant l’installation : 31 mm
• Rayon de courbure minimal, installation terminée : 62 mm
• Eviter de serrer les colliers de fixation, le câble doit pouvoir coulisser légèrement.
• Les courants forts et courants faibles doivent cheminer dans des conduits différents.
Des distances minimales doivent également être respectées entre les deux câblages.
Ces distances dépendent du type de câble utilisé (exemples : 5 cmminimum en
solution STP/FTP et 20 cm en UTP)
• Détorsadage des paires : 13 mm maximum en catégorie 5
• L’écran ou le blindage du câble doit être conservé au plus près
 possible de la connexion.
• Mise à la terre du blindage des câbles et des baies de brassage.

 Densité préconisée de pré-câblage des postes de travail potentiels :

 2 postes par bureau
 1 poste tous les 2,5 m
 1 poste pour 6 m2 utile

Connexion d’une embase RJ45 (modular plug femelle)

Il existe de nombreux modèles d’embases RJ45.

L’exemple proposé ci-dessous est une embase de catégorie 5 ne nécessitant pas l’utilisation d’outils
particuliers pour son câblage.

2-Commutateur

Un commutateur permet de :
 isoler le trafic des différents sous réseaux grâce à la mise en place de vlan.

6
 Tirer profit des chemins redondants présent grâce aux boucles réseau grâce au
protocole Spanning tree.

On distingue trois catégories de commutateurs :

 Commutateur d'accès : Permettent de connecter au réseau les utilisateurs et les
serveurs placés à la périphérie. Les commutateurs d’accès sont connectés au reste de
réseau grace aux commutateurs fédérateurs.
 Commutateurs fédérateurs (switch core): situé au centre du réseau, permettent de
de connecter les différentes commutateurs d’accès, et donc les sous réseaux. Ils
intègrent des fonctions de routage permettant d’acheminer les données entres les
différents sous réseaux.
 Commutateurs d’accès et fédérateurs (distribution) : permettent d’implémenter des
mécanismes de sécurité des flux réseaux.

7
i

3-Routeur

Un routeur permet de :

 Segmenter les réseaux ce qui permet de d’isoler les trafics interne et externe.
 Imposer des règles de passage de flux d’un sous réseau à un autre grâce au routage,
au routage inter-vlan et aux ACL définies par les administrateurs,
 Translater les adresses (NAT et PAT) qui permettent de masquer les adresses internes
des réseaux et par conséquence le plan d’adressage du réseau de l’entreprise.

4-Parefeu

Un pare-feu Logiciel ou Matériel offre différents niveaux de protection.comme :

 Filtrage des entrées de la carte réseau
 Filtrage statique de paquets
 Traduction d'adresses réseau (NAT)
 Inspection dynamique
 Analyse des circuits
 Filtrage applicatif

8
Les catégories de Pare-Feu sont :

 Pare-feu sans état ( stateless Firewall) : compare un paquet à une liste d’ACL ( cisco)
/ Policy (Juniper), filtres , règles ( rules)
 Fare-feu à état (statefull) : vérifie la conformité d’un paquet par qui est la suite,
précède ou la réponse d’un paquet de l’autre sens.

 Pare-feu Applicatif : vérifie la conformité d’un paquet à un protocole donné

(exemple : vérifie que seul le protocole http passe par le port 80).
Remarque : de plus en plus de protocole utilisent les tunnels TCP pour contourner le
filtrage par port.
Exemples : CBAC sur cisco IOS , Fixup inspect sur cisco PIX, NetFilter sur linux.

 Pare-feu personnel : installé sur machine de travail agissant comme pare-feu à état
(vérifie quel logiciel est à l’origine d’une donnée). Le but est de lutter contre les virus
informatiques et les logiciels espions (spyware).

 Un pare-feu identifiant : réalise l’identification des connexions passant à travers le

filtre IP. L'administrateur peut ainsi définir les règles de filtrage par utilisateur et non
plus par adresse IP ou adresse MAC, et ainsi suivre l'activité réseau par utilisateur.
Les méthodes adoptées sont :
o associations entre IP et utilisateurs
o associations entre adresse MAC et utilisateurs

 Portail captif : Intercepte les usagers d’un réseau afin de leur présenter une page
d’avertissement, une charte d’utilisation, une page d’authentifications. Il est utilisé
pour assurer la traçabilité.

9
Les réseaux d'entreprise comprennent généralement deux pare-feu distincts : le pare-feu du
périmètre et le pare-feu interne.

5-Proxy

Composant informatique qui joue l’intermédiaire entre deux entités pour faciliter ou
surveiller leurs échanges.
Dans le cas d’un réseau informatique le proxy est appelé Serveur mandataire.
Il permet de relayer les requêtes entre une fonction client placée dans le réseau local d’une
entreprise et une fonction serveur située dans l’internet.

Il assure :

 l’authentification des utilisateurs pour pouvoir accéder à l’extérieur,

 La journalisation et le filtrage des requêtes vers l’extérieur,
 Cache : Conserver les informations qui ont une probabilité de servir à temps
 L’accélération de la navigation (cache, compression, filtrage de publicités ou
contenu lourds.
 La journalisation des requêtes (logging)
 Le filtrage
 L’anonymat des utilisateurs internes du réseau ce qui complique la remontée vers
eux depuis l’extérieur du réseau.

10
 Remarque : La journalisation permet à un FAI de connaitre les habitudes de navigation
d’un utilisateur.
Exemple : SQUID (serveur open source), SSH Proxy , IMAP Proxy , SMAP

Proxy Cache : Améliorer les temps de réponse et économiser de la bande passante

6- Système de prévention/ Détection d’intrusion (IPS /IDS)

Un système de détection d'intrusion (ou IDS : Intrusion Detection System) est un mécanisme
destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte)
permettant ainsi d'avoir une action de prévention sur les risques d'intrusion.

Il existe deux grandes familles distinctes d’IDS :

 N-IDS (Network Based Intrusion Detection System) : assurent la sécurité au niveau du réseau.

11
  H-IDS (Host Based Intrusion Detection System) : assurent la sécurité au niveau des hôtes.

Le système de protection d'intrusion (Intrusion prevention system IPS), permet de détecter les
comportements suspects et les interdire l’accès.

II-Architecture protocolaire sécurisée

1-VLAN

VLAN (Virtual Local Array Network) segmentation logique d’un réseau locaux.

Les VLAN garanti :

 Améliorer la gestion du réseau.

 Optimiser la bande passante.
 Séparer les flux.
 Segmentation : réduire la taille d'un domaine de broadcast,
 Sécurité : permet de créer un ensemble logique isolé pour améliorer la sécurité. Le seul
moyen pour communiquer entre des machines appartenant à des VLAN différents est
alors de passer par un routeur.

12
13
2-Zone DMZ

Origine :

zone coréenne démilitarisée surveillée par 700 000 soldats nord-coréens et 410 000 soldats
sud-coréens1 aidés par la 2e division d’infanterie des États-Unis.
Une zone démilitarisée (demilitarized zone ou DMZ) est une zone géographique située entre
deux territoires occupés par des armées ou groupes d’armées alliées, où l’activité militaire
est interdite ou très fortement réduite, habituellement à la suite d'un traité de paix, un
armistice ou tout autre accord bilatéral ou multilatéral.

14
Une zone démilitarisée en informatique est un sous-réseau séparé du réseau local et isolé de
celui-ci et d'Internet (ou d'un autre réseau) par un pare-feu. Ce sous-réseau contient les
machines étant susceptibles d'être accédées depuis Internet, et qui n'ont pas besoin
d'accéder au réseau local.

Types : 1) DMZ avec un seul pare feu

2) DMZ avec double pare feu.

15
3-VPN

Un VPN (Virtual Private Network) une connexion inter-réseau permettant de relier deux réseaux
locaux différents par un protocole de tunnel.

Il redirige toutes les données transmises via un serveur VPN vers le destinataire.

Un système de VPN doit pouvoir mettre en œuvre les fonctionnalités suivantes :

16
  Authentification d’utilisateur : Seuls les utilisateurs autorisés doivent pouvoir s’identifier
sur le réseau virtuel. un historique des connexions et des actions effectuées sur le réseau
doit être conservé.
 Gestion d’adresses : Chaque client sur le réseau doit avoir une adresse privée. Cette
adresse privée doit rester confidentielle. Un nouveau client doit pourvoir se connecter
facilement au réseau et recevoir une adresse. Le destinataire ne peut voir que l'adresse IP
du serveur VPN mais pas l’adresse IP réelle.
 Cryptage des données : Tout le trafic réseau échangé est entièrement crypté.
 Gestion de clés : Les clés de cryptage pour le client et le serveur doivent pouvoir être
générées et régénérées.
 Prise en charge multiprotocole : La solution VPN doit supporter les protocoles les plus
utilisés sur les réseaux publics en particulier Ip.

Il existe 3 types des connexions VPN :

1. VPN d’accès

Le VPN d’accès est utilisé pour permettre à des utilisateurs itinérants d’accéder au réseau privé.
L’utilisateur se sert d’une connexion Internet pour établir la connexion VPN.

2. intranet VPN

L’intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est
particulièrement utile au sein d’une entreprise possédant plusieurs sites distants.

17
 3. extranet VPN

Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle ouvre
alors son réseau local à ces derniers. Dans Ce cadre, il est fondamental que l’administrateur du VPN
puisse tracer les clients sur le réseau et gérer les droits de chacun sur celui-ci.

Les principaux protocoles de tunneling sont les suivants :

 PPTP (Point-to-Point Tunneling Protocol) : un protocole de niveau 2 développé par Microsoft,
3Com, Ascend, US Robotics et ECI Telematics.
 L2F (Layer Two Forwarding) : un protocole de niveau 2 développé par Cisco, Northern Telecom et
Shiva. Il est désormais quasi-obsolète

18
 L2TP (Layer Two Tunneling Protocol) : est l'aboutissement des travaux de l'IETF (RFC 2661) pour
faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau
2s'appuyant sur PPP.
 IPSec : protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données
chiffrées pour les réseaux IP.
Exemple :

4-STP

Le Spanning Tree Protocol (aussi appelé STP) assure une topologie réseau sans boucle dans les LAN
avec redondance des liaisons. Il est défini dans la norme IEEE 802.1D.

19
5-VTP (VLAN Trunking Protocol)

Protocole de niveau 2 utilisé pour configurer et administrer les VLAN sur les périphériques
(commutateurs de niveau 2 et 3) Cisco. Il permet d'ajouter, renommer ou supprimer un ou plusieurs
vlans sur le seul switch maître et dans un domaine Vtp. Celui-ci propagera la modification de la
configuration aux switches clients du réseau.

Vtp permet ainsi d'éviter toute incohérence de configuration des vlans sur l'ensemble d'un réseau
local.

20
21
22