J'ai consacré un article précédent à la structuration de mon réseau local. La topologie retenue se base sur l'utilisation d'un routeur filtrant qui assurera la connexion entre les différents sous-réseaux et l'accès à Internet. Le présent article a pour but de détailler les besoins couverts par cette machine et d'établir son cahier des charges.
La topologie du réseau local définie précédemment implique que le routeur dispose des interfaces réseau suivantes, qui disposeront chacune de leur propre contrôleur :
| N° | Nom | Type | Utilisation |
|---|---|---|---|
| 0 | EXT | ethernet 10/100 | Connexion externe (internet) |
| 1 | DMZ | ethernet 10/100 | Serveurs publics |
| 2 | SRV | ethernet 10/100 | Serveurs privés |
| 3 | LAN | ethernet 10/100 | Stations de travail (fiables) |
| 4 | OTH | ethernet 10/100 | Autres machines (non fiables) |
| 5 | WRL | Wifi 802.11 b/g | Machines nomades |
La variante topologique rassemblant les sous-réseaux LAN et OTH est également envisageable. Dans ce cas, la politique d'accès mise en place devra alors assurer un filtrage assurant la différenciation des utilisateurs et applications.
Le routeur devra également disposer des connecteurs suivants :
| N° | Nom | Type | Utilisation |
|---|---|---|---|
| 6a | CON | VGA + PS/2 | Connexion locale console (écran et clavier) |
| 6b | CON | Port série RS232 (DB9) | Connexion locale console (série) |
| 7 | USB | USB 1.1/2.0 | Support pour stockage externe |
| 8 | MDM | Port série RS232 (DB9) | Connexion modem (lien de secours) |
Le port console [6] sera indispensable à l'administration locale de la machine. Il pourra s'agir d'un couple de connecteurs VGA et PS/2 permettant de connecter directement une KVM [6a] ou un simple port série permettant de connecter un terminal [6b].
De même, un port USB [7] sera nécessaire au transfert de données direct sur des périphériques de type clé USB. Cette fonctionnalité sera par exemple utilisée pour le transfert de fichiers de configuration ou la récupération de journaux système.
Enfin, un port série RS232 [8] pourra être ajouté afin de permettre de disposer d'un lien de secours en cas de rupture de la connexion internet principale [0]. Dans ce cas, le routeur devra pouvoir assurer l'établissement d'une liaison PPP de secours automatiquement.
Le rôle principal du routeur sera d'assurer l'interconnexion des sous-réseaux locaux et l'accès à Internet. Il n'est par contre pas destiné à assurer le routage entre grands réseaux. Les fonctions de routage nécessaires se limitent donc au routage interne d'un réseau ne disposant que d'une seule connexion Internet. Le support de protocoles de routage externe de type BGP n'est donc pas nécessaire ici. Il est à noter que le réseau local ne disposera que d'une adresse IP publique. Le routeur devra donc assurer la translation d'adresses (SNAT).
Le routeur sera garant de la sécurité d'accès au réseau local en assurant un contrôle d'accès strict et un filtrage de paquet à état.
Bien qu'un filtrage de paquet à état classique soit envisageable, un filtrage plus fin basé sur une identification des connexions par utilisateur et application lui sera préférable. Il sera par contre obligatoire si la variante topologique est retenue.
Le routeur sera relié à Internet via une connexion ADSL "grand public". Son interface externe se verra donc attibuer une adresse IP dynamique. La passerelle devra donc obligatoirement supporter la configuration de son interface externe via DHCP, y compris la configuration DNS. De plus, pour que le réseau soit en permanence accessible facilement de l'extérieur, elle devra intégrer un client DDNS.
Les machines formant les sous-réseaux locaux pourront selon leur nature être configurées de manière statique ou dynamique. La passerelle devra donc intégrer un serveur DHCP assurant la configuration dynamique des stations de travail du réseau local.
Certains utilisateurs du réseau local ont besoin d'accéder à leurs données privées lors de leur déplacements. Le routeur devra donc offrir des possibilités de connexion au réseau local par VPN.
De par ses fonctions d'interconnexion et de sécurisation des différents sous-réseaux locaux, le routeur est un élément critique. Par conséquent, sa disponibilité et sa fiabilité imposent l'usage exclusif de logiciels libres. L'utilisation de logiciels propriétaires reviendrait en effet à accorder une confiance aveugle à un éditeur tiers car sans possibilité d'audit, rien ne peut garantir la fiabilité ni la sécurité du système.
De plus, la rapidité de réaction des développeurs libres face à une faille de sécurité et la qualité du logiciel libre en général dépassent largement les offres propriétaires.
Le routeur fonctionnera donc obligatoirement sous un système libre. Il sera possible d'opter pour un système de type OpenBSD connu pour son haut niveau de sécurité ou pour un système GNU/Linux offrant de meilleures capacités de filtrage (délégation des règles de filtrage en espace utilisateur) et une réactivité plus élevée.
Le système utilisé par le routeur devra pouvoir être facilement mis à jour afin de corriger au plus vite d'éventuelles failles de sécurité ou plus simplement ajouter par la suite de nouvelles fonctionnalités ou le support de nouveaux protocoles réseau. La mise à jour devra pouvoir se faire localement sans intervention physique telle que l'ouverture de la machine ou le remplacement de carte mémoire.
Encore une fois, le routeur devra se baser sur un systàme libre. En effet, une solution propriétaire ne pourra être considérée comme pérenne car la disponibilité des mises à jour (correction de failles ou ajout de fonctionnalités) dépend du bon vouloir de son éditeur.
Le système devra pouvoir être configuré intégralement en mode console via son port [6]. Il devra donc être entièrement configurable en mode texte ou semi-graphique, par l'intermédiaire d'une interface spécifique ou directement par édition de fichiers de configuration. Les fichiers de configuration devront donc être humainement lisibles, c'est à dire en texte clair (ASCII).
Il pourra également être administré à distance via une connection SSH ou un mécanisme similaire. Toutefois, cette fonctionnalité devra être désactivable par l'administrateur pour des raisons de sécurité.
Dans le cas ou le port console retiendrait la solution [6b], le paramétrage du routeur implique l'utilisation d'un terminal de type ordinateur portable qui ne sera pas fixé dans la baie. Le routeur devra alors disposer d'un écran LCD et de touches en façade permettant de consulter diverses informations, régler certains paramètres (configuration du port série par exemple) et assurer des tâches d'administration simples. Ceci permettra d'éviter un nombre important de manipulations de materiel pour assurer la maintenance du routeur au quotidien, par exemple la lecture des journaux système.
Le routeur devra naturellement tenir des journaux reflétant l'activité du système (connexions établies et refusées, listes noires, etc).
Le routeur sera placé dans une baie informatique. Il devra devra donc être au format rack 19 pouces 1 unité idéalement ou 2 unités au maximum et ne pourra excéder 600 mm de profondeur. Les connecteurs réseau et le port USB [7] devront être placés en façade. Si la solution [6a] est retenue pour le port CON, ses connecteurs devront être placés en face arrière. Si la solution [6b] est retenue, le connecteur DB9 ainsi que l'écran et les touches associées seront placés en façade.
Le routeur devra être alimenté par une prise secteur 2 pôles + terre sans avoir recours à un transformateur externe. Son connecteur d'alimentation se trouvera en face arrière.
Le routeur devra enfin afficher un design sobre et agréable à l'oeil.
La tension secteur (220v à 240v, 50 Hz) fournie à la machine sera ondulée, il n'est donc pas necessaire qu'elle intègre de système de batteries de secours.
Etant donné qu'il fonctionnera en permanence, le routeur devra se montrer relativement économe en énergie. Sa consommation électrique devra être inférieure à 40 watts.
Il est préférable que le routeur soit non-ventilé afin de réduire son niveau sonore au maximum.
La baie étant hébergée dans un local domestique ventilé mais non climatisé, le routeur devra supporter un fonctionnement dans une plage de température pouvant varier de 15°C à 45°C.
Le routeur n'est pas prévu pour une production en série ni conçu comme une solution à bas coût. Il ne s'agit donc pas d'un critère déterminant ici. Toutefois, il serait préférable que le côut de réalisation de la machine reste inférieur à 1000 euros.
 |
 |