thematic
 ACCUEIL
 LISTE DE DIFFUSION
 MENTIONS LEGALES
 ARCHIVES / N°
Reseaux74
 PRÉSENTATION
 Réseaux74

 La publication "technique/spécialisée" du CITIC 74 (Centre de l’Informatique et des TIC de Haute-Savoie).

 RÉSEAUX74

 Éditorial
Le CRI est à votre écoute depuis huit ans !


 Haut débit
Le haut débit pour tous, c’est pour bientôt !


 PingOO IGWAn
Un nouveau PingOO pour allier rapidité et sécurité


 PingOO IGWAn
Un PingOO routeur sécurisé pour l’ADSL


 Réseaux, sécurité et haute-disponibilité - Partie 2
Un réseau : c’est bien ; un réseau qui fonctionne tout le temps : c’est mieux !


TÉLÉCHARGEABLE
(Format PDF - 219.9 ko)


RÉSEAUX74 > 2002 > N°14 Décembre 2002 >

PingOO IGWAn
Un PingOO routeur sécurisé pour l’ADSL

UN NOUVEAU TYPE DE ROUTEUR POUR PINGOO

PingOO IGWan - Internet Gateway to Wan (Routeur ADSL, VPN et Firewall) est né d’une forte demande de nos utilisateurs qui désiraient avoir des connexions rapides et une meilleure maîtrise des coûts de connexion. Pour répondre complètement à cette demande, le CRI a développé une solution, encore en phase expérimentale, fondée entièrement sur des logiciels libres et des standards ouverts.

QU’EST CE QUE L’ADSL ?

La technologie ADSL (Asymetric Digital Subscriber Line) permet de faire transiter sur une simple ligne téléphonique des données numériques avec un débit pouvant atteindre le Mbits/s (1 000 000 de bits/s), voire plus dans un avenir proche, et dans la mesure où la ligne ne dépasse pas 6 km. Cette limite en distance ne permet pas de distribuer l’ADSL à l’intégralité de la population. Actuellement 80 % de la population pourrait bénéficier d’une couverture ADSL (contre 60 % uniquement en Haute-Savoie).

L’ADSL utilise un principe asymétrique pour le transfert des données. En effet, le débit pour la voie descendante (ce que vous récupérez depuis l’extérieur) est plus important que celui de la voie montante (ce que vous envoyez vers l’extérieur). Les débits actuellement commercialisés sont :

Voie Montante Voie descendante
64 kbits/s 128 kbits/s
128 kbits/s 512 kbits/s
256 kbits/s 1024 kbits/s

Outre le débit qui est nettement plus important qu’une connexion RTC (avec un modem classique à la norme V90 nous avons des débits en voie montante de 33,6 kbits/s et en voie descendante de 56 kbits/s) ou qu’une connexion RNIS (en voie montante ou descendante : 64 kbits/s), l’ADSL a la particularité d’avoir une tarification de type forfaitaire (connexion illimitée) et ce quel que soit le nombre de données transférées (pas de surcoût en cas de gros transferts). L’usager est à même de prévoir ses coûts de connexion à l’avance et cela évite les mauvaises surprises à la reception de la facture téléphonique.

Dans une offre ADSL nous avons deux acteurs. Le premier est le "fournisseur de connexion", celui qui va vous permettre de vous relier "physiquement" au réseau. Aujourd’hui en France, il n’en existe qu’un seul et c’est France Télécom. Le deuxième est le fournisseur d’accès Internet (FAI), qui vous permet d’accéder à Internet et vous offre différents services, tels que la messagerie ou de l’hébergement web. Il en existe plusieurs mais ils ne sont pas forcément présents partout.

ADSL ET LA SÉCURITÉ

Le fait de se connecter à Internet quelle que soit la méthode, entraîne des risques de piratage de sa propre machine. En vous connectant, votre FAI vous affecte une adresse qui rend votre machine visible du monde entier. Dans une connexion classique (RTC ou RNIS), le problème se pose moins puisqu’en général, vous restez connecté moins longtemps et à un débit assez bas. Par contre l’aspect forfaitaire de l’ADSL (on reste connecté très longtemps voire en permanence) et son débit (votre machine peut répondre plus vite aux requêtes) attire fortement les pirates.

Très peu de personnes se soucient de la sécurité de leur machine, pourtant par défaut la majorité d’entre elles ne sont pas sécurisées. Que ce soit le mot de passe administrateur qui n’existe pas ou des failles de sécurité des services qui tournent dessus, personne n’est réellement conscient des risques, tant qu’il n’a pas été victime d’une agression. Les pirates cherchent des failles de sécurité pour s’introduire sur la machine. Dans le meilleur des cas, seules des données confidentielles peuvent être lues (ses messages, son compte en banque, ses photos ou vidéos personnelles), mais il y a des scenarii plus graves, comme la possibilité au pirate de modifier les fichiers, d’y introduire des virus, de supprimer les données, ou d’utiliser la machine pour aller pirater une machine plus importante à ses yeux et d’en faire porter la responsabilité au "piraté".

VPN & FIREWALL

Pour remédier aux problèmes de sécurité, nos avons mis en place dans notre solution un Firewall (pare-feu). Cet outil permet de filtrer les éventuelles attaques venant de l’extérieur.

Afin de relier le réseau de l’établissement au réseau du CRI, et ce de manière sécurisée et confidentielle, nous avons mis en place ce que l’on appelle un VPN (Virtual Private Network, Réseau Privé Virtuel). D’ordinaire, pour relier deux réseaux distants et y faire transiter des données qui peuvent être confidentielles, on utilise des liaisons spé-cialisées, des liaisons RNIS ou d’autres technologies. Dans le cas d’une connexion ADSL, le seul moyen de faire la même chose est d’utiliser un VPN parce que le seul lien qui existe entre les deux réseaux, est le réseau Internet.

Toutes les données à destination du réseau du CRI sont cryptées par le routeur PingOO IGWan et décryptées par le serveur VPN au CRI (voir schéma ci-dessous). Aucune distinction n’est faite quant au type de données, le cryptage est fait "à la volée", le seul critère de sélection correspond à l’adresse de destination des données et non à leur contenu.

(JPEG)

Le cryptage utilise le principe de clés asymétriques, avec une clé publique (connue de tous) qui permet de crypter des données, et une clé privée (connue par le serveur VPN ou le PingOO IGWan) qui permet le décryptage. A l’installation du routeur, nous faisons un échange de clés publiques pour que les deux machines puissent crypter avec la clé publique de l’autre.

EXPÉRIMENTATION

L’expérimentation a débuté le 16 octobre avec un seul établissement, et elle continue avec une dizaine d’établissements jusqu’à fin 2002. Les premiers retours que nous avons eus sont très satisfaisants, aussi bien sur la rapidité de la connexion, qu’au point de vue de la liaison virtuelle avec le CRI.

DÉPLOIEMENT

Afin de satisfaire un maximum d’établissements, le CRI a travaillé sur un processus d’installation rapide des routeurs. Le déploiement officiel débutera en janvier 2003.

Sébastien DELCROIX,
Centre de Ressources Informatiques de Haute-Savoie.

 ACTUALITÉ
 SITES RÉFÉRENCÉS
 Linuxfr

 Fil RSS de Linuxfr

 Formats-Ouverts.org

 Fil RSS sur les formats ouverts

 SPIP

 Système de Publication pour l’Internet sous licence de logiciel libre (GPL)...

Copyright © 2005 Centre de Ressources Informatiques de Haute-Savoie - webmaster@thematic74.fr
Site web entièrement basé sur SPIP, logiciel libre de gestion de contenu collaborative.