1 Déc

IP V6

Ou en est-on en 2019 https://lafibre.info/ipv6/ipv6-barometre-2019/

Intro

Si vous êtes sur ce site, vous faites du réseau et vous avez les bases en adressage IPV4. Sinon vous pouvez toujours vous rendre ici.

Vous savez donc aussi qu’il n’y a plus d’adresses IPV4 et que nous passons -lentement- à IP V6, un protocole né dans les années 80 !

Le problème du passage fut la compatibilité des matériels actifs, des STA (PC et SE, périphériques et autres outils connectés), mais aujourd’hui la plupart des matériels sont compatibles.

Reste l’infrastructure en place en V4, mais rien n’empêche un passage progressif. Les habitudes aussi sont un frein car personne ne veut taper un ping en V6, mais personne ne voit que cette pratique n’a plus de raison d’être en V6. Et pour ça il faut des compétences et ce n’est pas vraiment le cas encore.

Afin de vous familiariser avec ce concept, nous allons voir 3 points principaux :

L’adressage, le protocole et les mécanismes de gestion.

Pour des informations plus détaillées

Adressage

L’adresse est un élément essentiel dans un réseau de communication. L’adresse se doit d’être unique. Elle identifie un nœud dans le réseau. Dans le cas de l’Internet, elle a une fonction supplémentaire, elle sert à le localiser. La localisation est utilisée pour décider de la remise directe ou de la recherche d’un intermédiaire qui saura délivrer les datagrammes, selon le principe du routage en « saut par saut ». En fait, elle ne varie qu’en cas de changement de prestataire IP ou de réorganisation de site.

L’usage de divers masques de taille «élastique» permet

  • d’une part, une certaine souplesse dans la définition et l’attribution des préfixes, une optimisation de l’espace d’adressage limitant le gaspillage des larges portions d’adresses, comparativement à IPv4;
  • et d’autre part, une optimisation du routage en facilitant sa hiérarchisation: les équipements des opérateurs de coeur de l’internet prennent leur décision de routage sur des préfixes courts, les «grandes directions». Les équipements de routage des opérateurs de distribution, en périphérie du réseau, routent sur des préfixes plus longs, ce qui a pour effet de contenir la taille des tables de routage de cœur du réseau dans des proportions raisonnables.

Durée de vie d’une adresse

IPv6 généralisant le plan d’adressage CIDR, les préfixes restent dans tous les cas la propriété des opérateurs. Il ne peuvent plus être attribués « à vie » aux équipements. Les adresses IPv6 sont donc « prêtées » aux interfaces des équipements. L’attribution d’une adresse globale à une interface
est faite temporairement. La durée du prêt est de 30 jours par défaut, mais modifiable bien sur. Une adresse de lien local a une durée de vie illimitée par contre.

Ecriture

Une adresse IPv6, écriture hexadécimale est longue de 128 bits, soit 16 octets,

  • 00100000 00000001 00001101 10111000 00000000 00000000 00000000 00000000 00000000 00001000 00001000 00000000 00100000 00001100 01000001 01111010

S’écrit en hexadécimal sous la forme suivante :

  • 20 01 0d b8 00 00 00 00 00 08 08 00 20 0C 41 7A
Poursuivre la lecture
14 Sep

Netsh

Les commandes Netsh sous Windows permettent en ligne de commande de gérer le réseau:

Pour modifier des interfaces, il faut ouvrir l’invite de commande en mode administrateur :

Voir la configuration

netsh interface ipv4 show config



Changer son adresse IP :
 netsh interface ipv4 set address name="Nom Interface" static IP_ADDRESS SUBNET_MASK GATEWAY 
par exemple avec une interface virtuelle:
netsh interface ipv4 set address name="vEthernet (Wan)" static 192.168.3.7 255.255.255.0 192.168.3.254
Changer ses DNS :
 netsh interface ipv4 set dns name="vEthernet (Wan)" static 1.1.1.1
 netsh interface ipv4 set dns name="vEthernet (Wan)" static 89.2.0.1 index=2

Remettre en DHCP : 
netsh interface ipv4 set address name=”vEthernet (Wan)” source=dhcp
Les DNS
netsh interface ipv4 set dnsservers name="vEthernet (Wan) " source=dhcp

8 Avr

Firewall basic – Ipfire

Mise en œuvre basic d’IPfire

Objectifs

  • Mettre en place un firewall qui fera office de proxy web avec authentification LDAP.
  • Mise en place d’une redirection vers un serveur web et/ou FTP dans la DMZ
  • Pour mettre en place de la redondance avec KeepAlived c’est là

Concepts d’IPFIRE

Dans Ipfire (qui a repris le concept d’IPCOP), chaque interface du firewall est représentée par une couleur.

  • Rouge : carte vers Internet (ici 192.168.100.0/24)
  • Vert : carte vers le réseau local (192.168.0.0/24)
  • Orange : carte vers la DMZ (192.168.10.0/29)
  • Bleu : carte pour le réseau wifi

Par défaut IPFire agit comme un pare-feu et règle les accès ainsi :

Poursuivre la lecture

5 Oct

DHCP

DHCP est un protocole qui permet d’attribuer dynamiquement des adresses IP sur un réseau. Il facilite le travail de l’administrateur. DHCP étant un protocole il peut être mis en place aussi bien avec Linux qu’avec Windows.

Dans une architecture il vaut mieux des serveurs redondants, aussi on installe généralement des serveurs avec plusieurs plages pour desservir les hôtes différents VLAN/réseaux.  Windows 2012 intègre une fonctionnalité qui gère l’équilibrage de charges des DHCP entre plusieurs serveurs.

Les serveurs DHCP se trouve généralement dans un VLAN spécifique aux serveurs, hors le protocole DHCP fonctionne avec des trames en broadcast. Aussi pour délivrer des adresses aux clients, il faut installer un agent sur le routeur, qui laisse passer les trames DHCP. Cette fonctionnalité de relai DHCP, permet de transmettre les trames DHC d’un segment à l’autre et assurer ainsi la distribution des adresses.

Tuto pour le relai DHCP avec Windows Serveur et un Cisco SF300

DHCP Windows et Cisco L3

Le protocole a ceci de particulier que c’est le serveur le plus rapide qui attribue des adresses. Si c’est un mauvais serveur qui donne des adresses erronées c’est tout le réseau qui est paralysé. Aussi les switchs intègrent une fonctionnalité de DHCP snooping afin de se prémunir contre ses risques.

Avec la configuration automatique des cartes, Ip v6 modifie l’utilisation de DHCP avec un mode sans état et un mode avec état. La demande d’adresses/ d’options se fait en multicast puisque le broadcast n’existe plus. Il faudra donc bien comprendre l’adressage avant de le mettre en place.

Fonctionnement

Le principe de DHCP est simple, les clients demandent s’il existe un DHCP sur le réseau, le serveur fait une proposition de bail que généralement le client accepte.

dhcp

Échanges DHCP

dhcp-1

Contenu d’unn DHC Offer

La notion de bail implique qu’une adresse est fournie pour un temps donné. Ce temps va dépendre du type de client, fixe ou mobile. Le serveur dispose d‘une plage d’adresses à attribuer ainsi que des options comme la passerelle, les serveurs DNS, le domaine, à délivrer aux clients. Avec les stratégies DHCP Windows on peut gérer finement l’attribution d’adresses en fonction de type ou de modèles.

Le site Linux France explique parfaitement tous les mécanismes de DHCP et propose une mise en œuvre sous Linux.

http://www.linux-france.org/prj/edu/archinet/systeme/ch27s02.html

Stratégie DHCP

L’attribution fondée sur la stratégie permet à un administrateur de regrouper les clients DHCP par attributs spécifiques fondés sur des champs contenus dans le paquet de demande du client DHCP.

Les stratégies permettent de fournir des adresses en fonction de :

  1. Types de périphériques multiples : un réseau inclut de nombreux périphériques clients DHCP, tels que des imprimantes, des téléphones IP et des ordinateurs de bureau. Les administrateurs doivent avoir la possibilité de classer ces périphériques par plages d’adresses IP. Ainsi, les stratégies de routeurs et la qualité de service (QoS, Quality of Service) fondés sur une plage d’adresses IP permettent de contrôler l’accès au réseau ou le trafic réseau.
  2. Rôles multiples : un réseau inclut différents types d’ordinateurs, tels que des ordinateurs portables, des ordinateurs de bureau et des serveurs dans le même sous-réseau. En fonction du type de client, l’administrateur peut souhaiter fournir différents paramètres de durée de bail, par exemple l’attribution d’une durée de 4 heures pour tous les clients sans fil qui se connectent via un agent de relais spécifique. Les mises à jour dynamiques peuvent être désactivées pour les clients qui dépendent de cette stratégie. De même, une stratégie serveur peut être créée à l’aide d’une liste d’adresses serveur MAC. Il est possible d’attribuer aux serveurs une durée de bail de 12 heures.
  3. Virtualisation : un réseau de centre de données emploie la virtualisation pour différentes charges de travail et applications. Les ordinateurs virtuels sont ajoutés ou supprimés de manière dynamique selon les exigences en termes de charge à un instant T. S’il souhaite router du trafic sur le réseau différemment pour les ordinateurs virtuels, un administrateur peut créer une stratégie fondée sur le préfixe d’adresse MAC afin d’attribuer une durée de bail courte, une plage d’adresses IP spécifique et une passerelle par défaut différente.

http://technet.microsoft.com/fr-fr/library/hh831538.aspx

DHCP snooping

Mettre en place du DHCP snooping permet de protéger le réseau, car Il ne faut pas oublier que c’est le serveur le plus rapide qui donne le bail. UN DHCP ‘pirate’ peut causer de grands dommages sur un réseau (adresses erronées, passerelles fausses = absence de communication) ; aussi il existe une fonctionnalité sur les switchs afin d’autoriser que les DHCP de l’entreprise. http://ressources-info.fr/tutoriels-reseaux/afficher/22/

 DHCP d’adresses Mac

Avec la virtualisation en masse des postes clients, mettre en place un DHCP d’adresses mac permet de ne pas avoir de problèmes de duplication d’adresses.

Option 82

L’option 82 est n donne des informations sur le relais DHCP. Le relais DHCP est une caractéristique qui est utilisée pour permettre la transmission DHCP entre les hôtes et les serveurs DHCP distants qui ne sont pas sur le même réseau. Il permet à un agent de relais DHCP pour inclure des informations sur lui-même quand il envoie des paquets DHCP à et des clients à un serveur DHCP. Il ajoute plus de Sécurité au processus DHCP en identifiant complètement la connexion.

12 Avr

VPN

Caractéristiques fondamentales d’un Vpn

Un système de Vpn doit pouvoir mettre en œuvre les fonctionnalités suivantes :

  • Authentification d’utilisateur. Seuls les utilisateurs autorisés doivent pouvoir s’identifier sur le réseau virtuel. De plus, un historique des connexions et des actions effectuées sur le réseau doit être conservé.
  • Gestion d’adresses. Chaque client sur le réseau doit avoir une adresse privée. Cette adresse privée doit rester confidentielle. Un nouveau client doit pourvoir se connecter facilement au réseau et recevoir une adresse.
  • Cryptage des données. Lors de leurs transports sur le réseau public les données doivent être protégées par un cryptage efficace.
  • Gestion de clés. Les clés de cryptage pour le client et le serveur doivent pouvoir être générées et régénérées.
  • Prise en charge multiprotocole. La solution Vpn doit supporter les protocoles les plus utilisés sur les réseaux publics en particulier Ip.

Pour mettre en place un client VPN de PfSense : http://general.sio57.info/wp/?p=708

Pour installer le serveur VPN sur IpFire : http://general.sio57.info/wp/?p=802 

Poursuivre la lecture

5 Avr

Continuité, disponibilité, adaptabilité d’un système d’information

Disponibilité

assure l’accès aux services de façon optimale, pour offrir une haute disponibilité, l’équilibrage de la charge réseau comprend des fonctionnalités intégrées qui peuvent automatiquement :

  • détecter un hôte de cluster en panne ou hors connexion, puis le récupérer
  • équilibrer la charge réseau lors de l’ajout ou de la suppression d’hôtes
  • récupérer et redistribuer la charge dans un délai de dix secondes.

Deux moyens complémentaires sont utilisés pour améliorer la disponibilité :

  • la mise en place d’une infrastructure matérielle spécialisée, généralement en se basant sur de la redondance matérielle. Est alors créé un cluster de haute-disponibilité (par opposition à un cluster de calcul) : une grappe d’ordinateurs dont le but est d’assurer un service en évitant au maximum les indisponibilités ;
  • la mise en place de processus adaptés permettant de réduire les erreurs, et d’accélérer la reprise en cas d’erreur. ITIL contient de nombreux processus de ce type.

Mesures  de disponibilité

Adaptabilité : scalabilité

désigne la capacité d’un produit à s’adapter à un changement d’ordre de grandeur de la demande (montée en charge), en particulier sa capacité à maintenir ses fonctionnalités et ses performances en cas de forte demande

Continuité de services

assure l’accès à ses services en cas de sinistre.

La continuité de services a pour objectif comme son nom l’indique d’assurer l’utilisation constante des services IT de l’entreprise et de prévoir la reprise en cas de sinistre, l’arrêt d’activité étant critique pour l’entreprise et l’informatique étant aujourd’hui au centre de tous les processus, il est nécessaire d’assurer comme pour l’électricité son fonctionnement en continu. Le budget attribué aux stratégies mises en place pour assurer la continuité de l’activité sont proportionnelles à la perte de chiffre d’affaires qu’engendrerai une cessation d’activité.

La continuité de services (CdS ) concerne différents périmètres. On peut assurer la CdS des serveurs web, avec des serveurs redondants et équilibrant la charge, on peut le faire sur tout types de services, DHCP, Active Directory, firewall. Selon les moyens différentes options peuvent aussi être mises en place comme des sites distants, des solutions de télétravail, l’accueil dans bureaux attribués dans des sociétés de sécurité.

Plan de continuité d’activité (PCA)

est à la fois le nom d’un concept, d’une procédure et du document qui la décrit. Il s’agit de redémarrer l’activité le plus rapidement possible avec le minimum de perte de données.

Pour chaque élément du SI, deux indicateurs de temps sont définis, permettant ensuite de choisir la solution technique la plus adaptée aux besoins de l’entreprise.

  • Le RTO, Recovery Time Objective, représente le temps d’arrêt de service que l’on peut tolérer.
  • Le RPO, Recovery Point Objective, correspond à la quantité de données que l’on juge acceptable de perdre lors de la reprise.

D’une manière générale, plus une solution permet de redémarrer rapidement une activité plus elle est coûteuse.

Pour établir un plan de continuité de services le ministère de l’éducation propose un excellent document d’aide à sa rédaction.

Dans des périmètres plus restreint on assure la continuité de services en les répartissant sur des hôtes distincts et en établissant des liens redondants et en assurant de la haute disponibilité on assure aussi de la continuité de services.

Redondance

La disponibilité et le load balancing repose principalement sur la redondance.

La redondance se rapporte à la qualité ou à l’état d’être en surnombre, par rapport à la logique. Ce qui peut avoir la connotation négative de superflu, mais aussi un sens positif quand cette redondance est voulue afin de prévenir un dysfonctionnement.

Tous les services serveurs peuvent être redondés, voir équilibrés de même que tous les équipements actifs. Les protocoles sont adaptés aux contraintes des matériels et des systèmes.

Au sein des Centre de données, la redondance est mise en place pour assurer que les services de base et les systèmes auront des doublons (équipement, liaisons, alimentation et chemins, données, logiciels…).

Classification

L’organisme Uptime Institute a défini une certification internationalement reconnue des centres de traitement de données en quatre catégories, appelées « Tier »:

  • Tier I : infrastructure non redondante, une seule alimentation électrique, climatisation non redondante.

L’infrastructure Tier I inclut un espace IT dédié aux installations TI; un ASSC (UPS); un Groupe électrogène avec au moins 12 heures d’autonomie en carburant sur site57.

  • Tier II : les éléments de production de froid ou d’électricité sont redondants, mais la distribution d’électricité et de froid n’est pas redondante.

L’infrastructure Tier II inclut le requis pour le Tier I plus des équipements redondants57.

  • Tier III : tous les composants sont maintenables sans arrêt de l’informatique.

L’infrastructure Tier III inclut le requis pour le Tier II plus toutes les canalisations et câbles redondants57.

  • Tier IV : tolérance aux pannes. Aucune panne n’arrête l’informatique (réponse automatique). Absence de SPOF (Single Point of Failure).

Répartition de charge

(en anglais : load balancing) est un ensemble de techniques permettant de distribuer une charge de travail entre différents ordinateurs d’un groupe pour assurer sa haute disponibilité.

Ces techniques permettent à la fois de répondre à une charge trop importante d’un service en la répartissant sur plusieurs serveurs, et de réduire l’indisponibilité potentielle de ce service que pourrait provoquer la panne logicielle ou matérielle d’un unique serveur.

La répartition de charge est issue de la recherche dans le domaine des ordinateurs parallèles.

L’architecture la plus courante est constituée de plusieurs répartiteurs de charge (genres de routeurs dédiés à cette tâche), un principal, et un ou plusieurs de secours pouvant prendre le relais, et d’une collection d’ordinateurs similaires effectuant les calculs. On peut appeler cet ensemble de serveurs une ferme de serveurs (anglais server farm) ou de façon plus générique, une grappe de serveurs (anglais server cluster). On parle encore de server pool (littéralement, « groupe de serveurs »).

Réglages et paramètres des répartiteurs de charge

Sur les répartiteurs de charge les plus courants, on peut pondérer la charge de chaque serveur indépendamment. Cela est utile lorsque, par exemple, on veut mettre, à la suite d’un pic ponctuel de charge, un serveur de puissance différente dans la grappe pour alléger sa surcharge. On peut ainsi y ajouter un serveur moins puissant, si cela suffit, ou un serveur plus puissant en adaptant le poids.

Il est généralement également possible de choisir entre plusieurs algorithmes d’ordonnancement :

  • Round-Robin : C’est l’algorithme le plus simple, une requête est envoyée au premier serveur, puis une au second, et ainsi de suite jusqu’au dernier, puis un tour est recommencé avec une première requête au premier serveur, etc.
  • Round-Robin pondéré : Les serveurs de poids fort prennent les premières requêtes et en prennent davantage que ceux de poids faible.
  • Moins de connexion : Assigne davantage de requêtes aux serveurs en exécutant le moins.
  • Moins de connexion, pondéré : Assigne davantage de requêtes aux serveurs en exécutant le moins en tenant compte de leur poids.
  • Hachage de destination : Répartit les requêtes en fonction d’une table de hachage contenant les adresses IP des serveurs.
  • Hachage de source : Répartit les requêtes en fonction d’une table de hachage basée sur les adresses IP d’où proviennent les requêtes.

Il y a deux façons de router les paquets, lors des requêtes :

  • Network address translation (NAT, traduction d’adresse réseau) : Dans ce cas, le répartiteur reçoit les requêtes, les renvoie aux différents serveurs de calcul en adresse IP privée, reçoit les réponses et les renvoie aux demandeurs. Cette technique est très simple à mettre en place, mais demande au répartiteur d’assumer toute la charge du trafic réseau.
  • Routage direct (DR, Direct Routing) : Dans ce cas, les requêtes arrivent sur le répartiteur, sont renvoyées aux serveurs de calcul, qui renvoient directement les réponses au demandeur. Cela oblige à monopoliser davantage d’adresses, mais allège considérablement le trafic réseau du répartiteur de charge et enlève donc par là-même un goulot d’étranglement. Dans la majorité des cas, pour le HTTP, les requêtes (URL et quelques variables) sont beaucoup plus petites que les réponses, qui sont généralement des fichiers dynamiques (XHTML) produits par un langage de script ou des fichiers statiques (JavaScript, CSS, images, sons, vidéos).

Quelques idées de continuité de services et de haute disponibilité

Bien évidement il faut commencer par avoir au moins une sauvegarde !

La 1ere technique est le Round Robin ou Répartition de charges via DNS

La technique de l’adresse Ip virtuelle est extrêmement utilisée,  aussi bien pour les routeurs que pour les terminaux serveurs.

Ainsi  on utilisera  HSRP sur les routeurs Cisco, VRRP sur les firewalls par exemple. Ipfire avec keepalived et VRRP

On utilisera aussi des services comme heartbeat, keepalived, Haproxy, TS Broker pour gérer la répartition ou l’équilibrage de charges.

A lire aussi le cluster chez Windows

Active Directory redondance des serveurs

Mais aussi DHCP, Terminal serveurs,