Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Xavier
Carcelle
273
Figure 10.16
274
Linstallation dun rewall matriel doit se faire sur la machine connecte Internet, lidal tant une machine ddie, telle la passerelle daccs dnie prcdemment (voir gure 10.17).
Modem PC
Rseau lectrique
Figure 10.17
VPN et PPPoE
Le seul moyen de garantir une totale scurit dun rseau CPL consiste, comme expliqu au chapitre 4, recourir un VPN (Virtual Private Network). Lutilisation dun serveur dauthentication nest ncessaire que dans le cas o le rseau doit tre fortement scuris. Lauthentication permet, comme son nom lindique,
275
dauthentier de manire able tout utilisateur voulant se connecter au rseau. Le protocole dauthentication le plus utilis est RADIUS (Remote Authentication Dial-In User Server), dont une version gratuite, appele freeradius, est disponible ladresse http://
www.freeradius.org.
Pour scuriser un rseau de manire encore plus able, un VPN est indispensable. Par le biais de mcanismes dauthentication et de chiffrement, le VPN permet de scuriser compltement les liaisons du rseau CPL. IPsec est le protocole le plus utilis actuellement dans les VPN. Lutilisation dun VPN IPsec demande toutefois des machines assez puissantes. Elle exige en outre des machines clientes quelles disposent de la conguration ncessaire de leur client VPN. Lutilisation de serveurs dauthentication ou de serveurs VPN ncessite lajout des fonctionnalits correspondantes au niveau dune passerelle spcique, dans le cas o la passerelle daccs Internet incorpore dj un serveur DHCP et un routeur NAT, comme illustr la gure 10.18.
Internet Modem Passerelle avec serveur VPN + serveur dauthentification RADIUS + Serveur DHCP + NAT VPN
Rseau CPL
Station intrus
Figure 10.18
276
Une autre mthode permettant damliorer la scurit du rseau CPL et du rseau local IP consiste mettre en place un serveur PPPoE et un serveur RADIUS associ. Cette technique permet de mettre en place des tunnels IP entre les machines connectes au rseau local CPL et la passerelle Internet, ces clients tant authentis sur le serveur RADIUS. Si un intrus parvient se connecter un rseau local CPL, il ne peut utiliser le rseau local tant quil nest pas connect au serveur PPPoE et au serveur RADIUS sur la passerelle. La station de lintrus ne peut donc ni accder aux autres machines connectes au rseau CPL, ni accder Internet par lintermdiaire de la passerelle du rseau CPL. La gure 10.19 illustre la notion de tunnels PPPoE, constitus entre les machines clientes et la passerelle Internet, qui permettent de scuriser les changes entre la passerelle (et Internet) et ces machines clientes.
Internet Passerelle avec serveur PPPoE + serveur dauthentification RADIUS + Serveur DHCP + NAT Modem Tunnels PPPoE
Rseau CPL
Station intrus
Figure 10.19
Cette technique de scurisation fonde sur les tunnels PPPoE est largement utilise par les FAI pour garantir la sparation entre les diffrents clients daccs Internet, mais elle peut tre tout aussi bien applique un rseau CPL domestique ou professionnel.
277
Modem PC
Rseau lectrique
278
La gure 10.21 illustre un rseau domestique CPL dans lequel cest un quipement multifonction (routeur/modem xDSL/CPL) qui est connect Internet.
Internet
Rseau lectrique
PC
Figure 10.21
Linconvnient de ce dernier type de topologie est que lquipement CPL ne possde que rarement un pare-feu, permettant de bloquer diffrents types de tracs et dempcher les attaques sur le rseau, ou un VPN. Dans la topologie o une machine ddie est utilise pour la connexion Internet, nimporte quel logiciel de rewalling ou de serveur VPN peut tre installe pour protger le rseau.
279
@IP : 10.0.0.3
Rseau lectrique
@IP : 10.0.0.2
280
Adresses DNS Les adresses DNS sont donnes par le fournisseur daccs Internet, sauf dans le cas o un DNS local est prsent dans le rseau domestique.
Internet
Modem
@IP : 10.0.0.3
Rseau lectrique
Routeur CPL
@IP : 10.0.0.4
@IP : 10.0.0.2
281
Dans le cas o les fonctionnalits NAT et DHCP ne sont pas incorpores dans le modem Internet ou lInternetBox qui sert de passerelle daccs Internet, il est toujours possible de les utiliser mais en congurant une machine ddie jouant le rle de passerelle, comme illustr la gure 10.24.
Internet
@IP : 10.0.0.3 InternetBox Fonctions Routeur, NAT, Serveur DHCP @IP Passerelle Internet : 193.253.51.23 @IP Passerelle Interface Ethernet : 10.0.0.1
Rseau lectrique
@IP : 10.0.0.4
Figure 10.24
Architecture dun rseau CPL domestique avec passerelle daccs Internet ddie