Rseaux CPL par la pratique

Xavier

Carcelle

Avec la contribution de Davor Males et Guy Pujolle, et la collaboration de Olivier Salvatori

Groupe Eyrolles, 2006, ISBN : 2-212-11930-5, ISBN 13 : 978-2-212-11930-5

CPL domestique CHAPITRE 10

Figure 10.15

273

Bote de dialogue Proprits de Ethernet

Figure 10.16

Paramtres de conguration avancs de la connexion

274

Partie II PRATIQUE DES CPL

Linstallation dun rewall matriel doit se faire sur la machine connecte Internet, lidal tant une machine ddie, telle la passerelle daccs dnie prcdemment (voir gure 10.17).

Internet Passerelle dacs + firewall

Modem PC

Rseau lectrique

Figure 10.17

Rseau CPL avec passerelle daccs scurise par rewall

VPN et PPPoE
Le seul moyen de garantir une totale scurit dun rseau CPL consiste, comme expliqu au chapitre 4, recourir un VPN (Virtual Private Network). Lutilisation dun serveur dauthentication nest ncessaire que dans le cas o le rseau doit tre fortement scuris. Lauthentication permet, comme son nom lindique,

CPL domestique CHAPITRE 10

275

dauthentier de manire able tout utilisateur voulant se connecter au rseau. Le protocole dauthentication le plus utilis est RADIUS (Remote Authentication Dial-In User Server), dont une version gratuite, appele freeradius, est disponible ladresse http://
www.freeradius.org.

Pour scuriser un rseau de manire encore plus able, un VPN est indispensable. Par le biais de mcanismes dauthentication et de chiffrement, le VPN permet de scuriser compltement les liaisons du rseau CPL. IPsec est le protocole le plus utilis actuellement dans les VPN. Lutilisation dun VPN IPsec demande toutefois des machines assez puissantes. Elle exige en outre des machines clientes quelles disposent de la conguration ncessaire de leur client VPN. Lutilisation de serveurs dauthentication ou de serveurs VPN ncessite lajout des fonctionnalits correspondantes au niveau dune passerelle spcique, dans le cas o la passerelle daccs Internet incorpore dj un serveur DHCP et un routeur NAT, comme illustr la gure 10.18.

Internet Modem Passerelle avec serveur VPN + serveur dauthentification RADIUS + Serveur DHCP + NAT VPN

Rseau CPL

Station (Client PPPoE et RADIUS)

Station (Client PPPoE et RADIUS)

Station intrus

Figure 10.18

Rseau CPL avec passerelle scurise par VPN ou RADIUS

276

Partie II PRATIQUE DES CPL

Une autre mthode permettant damliorer la scurit du rseau CPL et du rseau local IP consiste mettre en place un serveur PPPoE et un serveur RADIUS associ. Cette technique permet de mettre en place des tunnels IP entre les machines connectes au rseau local CPL et la passerelle Internet, ces clients tant authentis sur le serveur RADIUS. Si un intrus parvient se connecter un rseau local CPL, il ne peut utiliser le rseau local tant quil nest pas connect au serveur PPPoE et au serveur RADIUS sur la passerelle. La station de lintrus ne peut donc ni accder aux autres machines connectes au rseau CPL, ni accder Internet par lintermdiaire de la passerelle du rseau CPL. La gure 10.19 illustre la notion de tunnels PPPoE, constitus entre les machines clientes et la passerelle Internet, qui permettent de scuriser les changes entre la passerelle (et Internet) et ces machines clientes.

Internet Passerelle avec serveur PPPoE + serveur dauthentification RADIUS + Serveur DHCP + NAT Modem Tunnels PPPoE

Rseau CPL

Station (Client PPPoE et RADIUS)

Station (Client PPPoE et RADIUS)

Station intrus

Figure 10.19

Rseau CPL avec passerelle scurise par serveurs PPPoE et RADIUS

Cette technique de scurisation fonde sur les tunnels PPPoE est largement utilise par les FAI pour garantir la sparation entre les diffrents clients daccs Internet, mais elle peut tre tout aussi bien applique un rseau CPL domestique ou professionnel.

CPL domestique CHAPITRE 10

277

Conguration dune passerelle Internet

Dans un rseau CPL, toute connexion Internet peut tre utilise : modem 56 K, RNIS, cble, ADSL, ADSL2+, satellite ou FTTH (Fiber to the Home). tant donn que la vitesse de transmission dun rseau CPL est comprise entre 1 et 14 Mbit/s pour HomePlug 1.0, 1 85 Mbit/s pour HomePlug Turbo et 1 200 Mbit/s pour HomePlug AV, les dbits des connexions Internet actuellement disponibles sont largement couverts. Les performances de HomePlug 1.0 peuvent engendrer des dbits utiles infrieurs ceux des dernires technologies ADSL, comme lADSL2+ (20 Mbit/s), mais ds que lon passe HomePlug Turbo (25 Mbit/s), ce nest plus un problme. La connexion Internet peut se faire de deux manires : soit en utilisant une machine ddie, soit en connectant directement lquipement CPL au modem daccs Internet ou lInternetBox, soit en utilisant directement un modem-routeur CPL. Dans le premier cas, une machine partage sa connexion, comme illustr la gure 10.20.
Figure 10.20

Connexion Internet par lintermdiaire dune machine ddie

Internet Machine ddie la connexion Internet

Modem PC

Rseau lectrique

278

Partie II PRATIQUE DES CPL

La gure 10.21 illustre un rseau domestique CPL dans lequel cest un quipement multifonction (routeur/modem xDSL/CPL) qui est connect Internet.

Internet

PC Modem routeur CPL

Rseau lectrique

PC

Figure 10.21

Connexion Internet par lintermdiaire dun modem-routeur CPL

Linconvnient de ce dernier type de topologie est que lquipement CPL ne possde que rarement un pare-feu, permettant de bloquer diffrents types de tracs et dempcher les attaques sur le rseau, ou un VPN. Dans la topologie o une machine ddie est utilise pour la connexion Internet, nimporte quel logiciel de rewalling ou de serveur VPN peut tre installe pour protger le rseau.

CPL domestique CHAPITRE 10

279

Partage de la connexion Internet

Pour partager une connexion Internet, deux protocoles sont utiliss, le NAT (Network Address Translation) et DHCP (Dynamic Host Conguration Protocol) : NAT permet de partager une connexion Internet entre plusieurs stations tout en utilisant ladresse IP donne par le fournisseur daccs (FAI). Une autre caractristique de NAT est quil permet de prvenir certaines attaques. Certains modems Internet dots de fonctionnalits de routeurs incorporent le NAT, mais il est possible de linstaller sur une machine ddie, connecte Internet. DHCP est un protocole client-serveur qui permet dallouer dynamiquement et pendant un certain temps (lease time, ou bail) les paramtres TCP/IP ncessaires une station pour se connecter au rseau. Les paramtres fournis par le serveur DHCP auprs de la station sont ladresse IP de la machine, le masque de sous-rseau, ladresse de la passerelle par dfaut et les adresses des serveurs de noms (DNS). DHCP offre une manire conviviale de congurer les stations, mais cette conguration peut aussi bien tre effectue manuellement en modiant directement les paramtres de la carte. En ce qui concerne les adresses IP, toutes les stations du rseau doivent avoir la mme adresse de rseau, par exemple 192.168.0.x ou 10.0.x.x, avec x compris entre 1 et 254 dans les deux cas, comme lillustre la gure 10.22.
Figure 10.22

Conguration des adresses IP du rseau domestique

@IP : 10.0.0.3

Rseau lectrique

@IP : 10.0.0.1 @IP : 10.0.0.4 Modem routeur CPL

@IP : 10.0.0.2

280

Partie II PRATIQUE DES CPL

Adresses DNS Les adresses DNS sont donnes par le fournisseur daccs Internet, sauf dans le cas o un DNS local est prsent dans le rseau domestique.

Conguration de NAT et DHCP

Larchitecture idale dun rseau domestique CPL est celle o le routeur CPL fait la fois ofce de routeur NAT et de serveur DHCP, le NAT permettant de partager la connexion Internet avec tous les quipements connects au rseau et le DHCP fournissant tous les paramtres permettant chaque quipement dtre connect au rseau. Ces fonctionnalits sont prsentes dans la plupart des modems-routeurs CPL destins au march domestique. Cette architecture idale est illustre la gure 10.23.
Figure 10.23

Architecture idale dun rseau CPL domestique

Internet

Modem

@IP : 10.0.0.3

Rseau lectrique

Routeur CPL

@IP Passerelle internet : 82.234.12.14

@IP : 10.0.0.4

@IP interface CPL : 10.0.0.1

@IP : 10.0.0.2

CPL domestique CHAPITRE 10

281

Dans le cas o les fonctionnalits NAT et DHCP ne sont pas incorpores dans le modem Internet ou lInternetBox qui sert de passerelle daccs Internet, il est toujours possible de les utiliser mais en congurant une machine ddie jouant le rle de passerelle, comme illustr la gure 10.24.

Internet

@IP : 10.0.0.3 InternetBox Fonctions Routeur, NAT, Serveur DHCP @IP Passerelle Internet : 193.253.51.23 @IP Passerelle Interface Ethernet : 10.0.0.1

Rseau lectrique

SetTopBox Vido @IP : 10.0.0.2

@IP : 10.0.0.4

Figure 10.24

Architecture dun rseau CPL domestique avec passerelle daccs Internet ddie