Cours-asi4-outils1

Disponible uniquement sur Etudier
  • Pages : 16 (3966 mots )
  • Téléchargement(s) : 0
  • Publié le : 12 décembre 2011
Lire le document complet
Aperçu du document
Éléments d'infrastructure réseaux

ELEMENTS D'INFRASTRUCTURES RESEAUX
Nicolas Prunier

slides originaux de Cédric Foll & Paul Tavernier

Plan


Les VLAN Les Firewalls Les IDS
− − −





HIDS NIDS IPS



Les proxys Les reverse proxys Réflexions autour d'architectures de sécurité
2





INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 Les VLAN


Rappel sur les switchs
− −

Équipement de niveau 2. Il «connaît» pour chacun de ses ports, la liste des équipements reliés en niveau 2, c'est à dire les adresses MAC La connaissance de la liste de ces adresses MAC se fait par apprentissage au fur et à mesure des trames Quand il reçoit un paquet, il regarde l'adresse de niveau 2 de destination (i.e. adresse MAC) et transmet lepaquet sur le port où se trouve la machine avec cette adresse MAC Il n'a (théoriquement) aucune connaissance des adresses IP
3

− −



INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011

Rappel sur les routeurs


Un routeur permet de relier (au moins) deux (sous-)réseaux différents. C'est à dire deux classes d'adresses différentes Il reçoit un paquet sur uneinterface et en consultant sa table de routage le transmet sur une autre On dit qu'un routeur «adosse» des domaines de broadcast





INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011

4

Exemple de commande sur un routeur cisco
rrgi1#show arp Protocol  Address          Age (min)  Hardware Addr   Type    InterfaceInternet  172.30.205.125        230   000b.5fe7.8180  ARPA    Vlan99 Internet  172.30.205.124          ­   000b.5fe7.8a80  ARPA    Vlan99 Internet  172.30.195.116          9   0030.0589.f54c  ARPA   Vlan5 Internet  172.30.195.100          1   0006.5b26.16e0  ARPA   Vlan5 Internet  172.30.192.103          ­   0800.46db.f2d3  ARPA Internet  172.30.192.100          ­   0800.46dc.7d36  ARPA Internet  172.30.192.101          ­   0800.46da.c7de  ARPA

INSA ASI4 - CM -OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011

5

Un réseau hier

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011

6

Problèmes


Je veux placer dans la salle machine/baie du réseau 192.168.2.0/24 un serveur du réseau 192.168.1.0/24.
− −

Il faut tirer un câble jusqu'au réseau 192.168.2.0/24. Ou déplacer physiquement le serveur



Si l'ondésire subnetter un réseau, il faut acheter un nouveau routeur s'il n'y a plus de port libre sur celui existant

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011

7

Les VLAN


Concept


Les VLAN permettent de faire coexister de manière étanche plusieurs domaines de broadcast sur un même switch. Simplifier le brassage. «Comment changer un poste de réseau sans avoirà déplacer le poste» ? Ne pas multiplier le nombre de routeurs. Ne pas multiplier le nombre de ports sur les routeurs et firewalls. Subnetter facilement. Rentabiliser l'investissement des switches
8



Buts:
− − − − −

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011

VLAN sur un switch


Les ports 1 et 2 sont configurés en VLAN1. Le port 3 est configuré enVLAN2. 10.0.0.1 et 10.0.0.2 peuvent communiquer (ils appartiennent au même VLAN). Les postes sur le VLAN 1 (bleu) ne peuvent joindre ceux du VLAN 2 (rouge).







INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011

9

Le réseau d'hier....aujourd'hui!

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011

10

Notion de lien 802.1Q (ou«port tagging»)


Un lien 802.1q ou TRUNK (terminologie cisco) ou « Tagged Link » permet de faire transiter plusieurs VLAN sur un lien physique. Afin de savoir à quel VLAN appartient une trame d'un lien 802.1q, un «tag» est ajouté sur la couche 2.



INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011

11

Comparaison trame Ethernet & Trame...
tracking img