Au fil des années, j'ai assemblé quelques ordinateurs pour mes besoins personnels. Ainsi, depuis mon premier 286 jusqu'à ma fameuse station de travail "Polaris", les cartes et autres périphériques de récupération n'ont cessé de migrer d'une configuration à l'autre pour former petit à petit un réseau personnel assez sommaire et anarchique. L'accès internet dont je disposais se limitait à une connexion RTC utilisée surtout en fin de soirée, le coût des communications téléphoniques n'étant pas négligeable pour un étudiant.
L'évolution des offres internet et de ma situation professionnelle m'ont depuis permis de faire évoluer mon réseau. Je dispose maintenant d'une liaison internet par câble et d'un routeur d'entrée de gamme (Netgear RP614) assurant un filtrage basique et les fonctions de translation d'adresse.
J'ai décidé de passer à l'étape suivante en intégrant mes propres serveurs de courriel et de pages Internet dans mon réseau local. C'était l'occasion de restructurer ce réseau personnel et de me pencher un peu plus sérieusement sur la question de sa sécurisation.
Le réseau se compose majoritairement de machines fixes (bureau ou serveurs), mais comprend aussi des ordinateurs portables et probablement dans l'avenir des machines embarquées (PDA ou autres). Bien que la majorité des machines soient de type PC x86, le réseau comprend un iMac G4 et intégrera probablement à terme des architectures différentes de type AMD64, Sparc, embarqué ARM ou Coldfire, etc... Afin de minimiser la place occupée par les ordinateurs, la plupart d'entre eux ont été recarossés dans des boîtiers rack 19 pouces courts montés dans une baie 30U et accessibles via un commutateur KVM.
Toutes les machines du réseau utilisent exclusivement des logiciels libres (oui, même le Mac) afin de garantir fiabilité, perrénité, confort d'utilisation et maîtrise de l'environnement. Il est toutefois prévu que le réseau puisse héberger occasionnellement des machines extérieures fonctionnant sous des environnements propriétaires type Mac OS ou MS Windows.
De part la taille du réseau et l'usage qui en est fait, les taux de transfert nécessaires sont relativement modestes. Les transferts entre stations de travail sont pratiquement nuls. Les taux de transfert maximums sont atteints lors de la lecture sur une station de travail d'un fichier vidéo stocké sur un serveur de fichier local. Ceci nécessite dans le pire des cas 2 Mb/s par station de travail. Un commutateur ou un concentrateur ethernet 100 Mb/s semble donc largement suffisant en première approche.
Les stations de travail disposant chacune d'un système de fichier propre, la mise en place d'un système de sauvegarde centralisé sera nécessaire dans l'avenir. En supposant qu'il soit nécessaire de transférer intégralement 15 arborescences de 15 Go chacune sans compression vers un serveur de sauvegarde (ce qui semble au dessus des besoins réels), le transfert sur un réseau 100 Mb/s (soit 50 Mb/s réel maximum) demanderait 10:14'24", donc réalisable en une seule nuit. La connexion du réseau local en ethernet 10/100 (même non commuté) est donc suffisante.
Toutefois, si les espaces personnels des utilisateurs venaient à être centralisés sur un même serveur, il pourrait s'avérer nécessaire de prévoir une liaison Gigabit entre ce serveur et les stations de travail afin d'assurer un taux de transfert correct à plusieurs utilisateurs manipulant de gros fichiers au même moment (dans le cas de retouche d'image ou d'édition audio/vidéo par exemple).
La liaison Internet offre actuellement un taux de transfert de ??? Kb/s en upload et 512 Kb/s en download. Elle évoluera au maximum vers une liaison à 1 Mb/s en upload et 20 Mb/s en download. La encore, le volume sera aisément supporté par une liaison ethernet 10/100 Mb/s.
Bien que toutes les machines actuelles utilisent des liaisons filaires, il est certain que le réseau doive intégrer un point d'accès sans fil afin d'héberger des machines extérieures, des PDA, etc...
Le réseau intégrera des machines dédiées offrant les services nécessaires à ses utilisateurs. Certains services sont privés et accessibles uniquement depuis le réseau local. D'autres sont accessibles depuis l'extérieur, y compris parfois par des visiteurs.
Bien que chaque station de travail du réseau local possède sa propre arborescence, le réseau doit offrir un espace de stockage centralisé pour partager des données telles que des fichiers musicaux (acquis légalement et à usage strictement personnel, faut-il le préciser?), ou des données personnelles auxquelles les utilisateurs souhaitent avoir accès depuis n'importe quelle station du réseau. Il est possible à terme que tous les répertoires personnels des utilisateurs soient stockés intégralement sur un serveur central, bien que ceci ne représente pas un véritable besoin à l'heure actuelle.
L'intégralité des données des utilisateurs (publiques comme privées) doivent être régulièrement sauvegardées pour prévenir leur perte suite à une défaillance matérielle, un sinistre, une attaque du réseau ou une simple erreur de manipulation.
Les utilisateurs du réseau devront naturellement pouvoir imprimer les résultats de leurs travaux ou divers documents de travail. Suivant la nature des documents et l'usage qui en est prévu, chaque utilisateur peut préférer utiliser une imprimante particulière du réseau (laser monochrome, jet d'encre couleur, etc...)
Afin de simplifier la configuration des stations de travail, un serveur d'information doit fournir un système d'authentification centralisé et un service de résolution de noms. Il n'est pas exclu qu'un serveur NTP soit également mis en service afin de synchroniser correctement les machines du réseau.
De part la présence sur le réseau de machines mobiles, le réseau doit fournir un serveur DHCP évitant de reconfigurer les machines hébergées temporairement sur le réseau. Etendre son usage aux stations de travail fixes permet également de faciliter leur administration.
Un compte de courrier électronique sera mis à disposition des utilisateurs (y compris externes) du réseau. Les boites aux lettres seront accessibles via les protocoles standards POP3 et IMAP. Le support d'une interface de type Web-mail mérite encore réflexion.
Les utilisateurs (y compris externes) du réseau pourront publier leurs travaux sur le serveur de pages internet (HTTP) du réseau. La mise en place d'un système de gestion de contenu n'a pas encore été pleinement étudiée à l'heure actuelle. Le service HTTP sera complété par la présence d'un serveur de transfert de fichiers (FTP) permettant la mise à disposition de fichiers plus volumineux (logiciels libres par exemple).
Les machines du réseau seront réparties en plusieurs sous-réseaux ou segments suivant leur fonction. Ces différents segments seront connectés entre eux par l'intermédiaire d'une passerelle ou d'un routeur filtrant. Cette passerelle devra donc disposer d'une interface réseau distincte pour chaque segment.
Les segments seront établis de la manière suivante :
Le segment 0 ne contiendra que le "modem" câble ou ADSL. Les segments 1 à 4 disposeront chacun d'un commutateur ou concentrateur ethernet 10/100 assurant les connexions entre les machines, tandis que le segment 5 se limitera à un point d'accès Wifi.
La disctinction entre les machines fiables et non fiables est faite en fonction des logiciels implantés sur ces machines et des utilisateurs qui les exploitent. Seules les machines équipées exclusivement de logiciels libres et accessibles uniquement à des utilisateurs de confiance sont considérées comme fiables.
Ces machines ne présentent pas de véritable danger pour les serveurs du réseau et pourront accéder à tous les services privés. A l'inverse, les machines non fiables peuvent exécuter des logiciels propriétaires dont rien ne garantit qu'ils sont exempts de fonctions "malveillantes" cachées, ou être exploitées par des utilisateurs mal intentionnés. Elles ne pourront donc accéder qu'à certaines fonctionnalités des serveurs privés, voire ne pas y accéder du tout.
Les machines nomades sont des stations de travail, des portables ou des ultra-portables se connectant au réseau par liaison sans fil. Ceci comprend les ordinateurs ou assistants personnels de diverses personnes amenées à se connecter occasionnellement au réseau. Les machines de cette catégorie sont donc assimilées aux machines non fiables.
Dans cette variante, toutes les stations sont considérées comme potentiellement dangereuses. Nous pouvons en effet penser qu'aucune machine n'est entièrement fiable dans la mesure où il peut exister des microcodes incontrôlables sur les stations de travail (BIOS par exemple), et qu'un utilisateur peut négliger la sécurisation de sa machine. Cette distinction pose aussi un problème concernant des attaques locales (disponibilité de prises réseau libres sur le segment 3 par exemple). La distinction entre machines fiables et non fiables n'a donc plus lieu d'être. Dans ce cas, il est tout à fait concevable de regrouper les segments 3 et 4. Toutefois, il faudra alors obligatoirement mettre en place une politique de sécurité très fine basée sur une distinction des utilisateurs et applications, et plus simplement un filtrage par machine.
En retenant cette seconde variante, nous disposerons des segments suivants :
La technologie IPv4 est vieillissante et l'explosion des besoins de communication entre machines rend imminente la pénurie d'adresses 32 bits. Toutefois, l'utilisation d'adresses IPv6 est aujourd'hui encore assez marginale et le réseau local mis en place utilisera donc IPv4 jusqu'à ce que ce choix doive réellement être remis en cause.
Le réseau décrit ici sera exploité principalement par un petit nombre d'utilisateurs locaux et n'offrira que peu de services au monde extérieur. De plus, une partie de ces services sera hébergée par un prestataire exterieur pouvant garantir un taux de disponibilité bien supérieur à celui que l'on peut attendre d'une liaison par càble ou ADSL. Ce réseau ne disposera donc que d'une ou deux adresses publiques et ses machines utiliseront des classes d'adresses privées. Le routeur filtrant sur lequel repose le réseau assurera la translation d'adresses (NAT).
Les machines sont toute concentrées dans un même lieu physique. Une méthode d'adressage prenant en compte la localisation des machines n'a donc ici aucune utilité.
Le nombre de machines utilisées sur ce réseau étant assez faible, une plage d'adresses de classe C serait amplement suffisante. Toutefois, ces machines sont cloisonnées en différents segments et il sera préférable d'assigner une classe différente à chacun d'eux pour faciliter le routage.
Bien que la majorité des segments comprenne des machines différenciées et ne necessitent donc à priori aucune attention particulière en ce qui concerne l'adressage, ce n'est pas le cas de tous. En effet, il est fortement probable que le routeur filtrant utilisé ne dispose pas de 6 interfaces réseau différentes dont au moins 2 en gigabit, ce qui serait pourtant nécessaire pour couvrir le cas d'une segmentation complète avec un serveur de fichiers centralisant tous les répertoires personnels des utilisateurs.
Ce cas présente alors un segment où cohabitent des stations de travail, des serveurs et des materiels particuliers tels que des imprimantes réseau. Il est donc important de différencier des plages d'adresses statiques et dynamiques, et confortable de classer les adresses par type d'équipement.
Il n'est actuellement pas prévu que le réseau compte plus de 5 serveurs, 10 stations de travail et 20 équipements particuliers (imprimantes réseau ou autres). Toutefois, l'évolution des technologies et des besoins étant ce qu'il est, le plan d'adressage défini ici offrira une marge de manoeuvre assez large.
Les points exposés ci-dessus permettent de définir l'adressage de la manière suivante. Chaque segment utilisera une classe C privée distincte 192.168.N.0/24 où N est le numéro du segment. Le segment 0 est particulier car il s'agit simplement d'une interface réseau du routeur connectée à un "modem" câble ou ADSL. Dans le cas d'un segment 2/3, la classe utilisée sera 192.168.2.0/24. Dans chaque segment, les machines seront adressées par type selon une classification donnée ci-dessous. Les plages d'adresses ainsi allouées sont suffisamment larges pour couvrir une augmentation importante des besoins. De plus, elles permettent au besoin de pouvoir sous-adresser le réseau par type de matériel sans modification de l'adressage.
| Début | Fin | Taille | CIDR | Matériel | Exemples | ||
|---|---|---|---|---|---|---|---|
| 0x01 | 1 | 0x0E | 14 | 14 | .0/28 | Infrastructure | Routeurs, switchs, onduleurs |
| 0x11 | 17 | 0x1E | 30 | 14 | .16/28 | Réservé | |
| 0x21 | 33 | 0x3E | 62 | 30 | .32/27 | Serveurs | DNS, SMTP, HTTP, NFS |
| 0x41 | 65 | 0x7E | 126 | 62 | .64/26 | Périphériques réseau | Imprimantes, fax |
| 0x81 | 129 | 0xFE | 254 | 126 | .128/25 | Stations de travail | PC, Mac, Sparc |
Cette classification permettra de fixer simplement l'adresse de nouveaux matériels réseau sans aboutir à la dispersion des ressources dans une jungle d'adresses IP. De plus, on évitera les collisions possibles entre les adresses fixes des périphériques et les plages d'adresses dynamiques allouées par un serveur DHCP.
Dans un réseau ainsi constitué, on ne devrait normalement pas avoir à se soucier de l'adresse allouée à l'une des stations de travail étant donné qu'une telle machine n'est pas sensée offrir de service sur le réseau. Toutefois, si l'on souhaite disposer de stations de travail avec des adresses fixes, on pourra diviser la dernière plage, soit en la scindant en 192.168.N.128/26 et 192.168.N.192/26, soit en allouant les IP fixes des stations de travail en descendant à partir de 192.168.N.254 et en réduisant la plage dynamique en conséquence. Par exemple .254, .253, .252 fixes et une plage dynamique de .129 à .251.
 |
 |