TPE#1- Maitriser les risques lors d’une cohabitation tierce
nexally
September 12, 2019

Temps de lecture:  15 – 20 min

Contexte

En règle générale, avant d’envisager une transformation d’architecture, il faut d’abord connaître l’environnement initial ainsi que les futurs besoins qui vont apparaître en post migration.
Pour connaitre ces besoins, il est fortement conseillé de collaborer avec le métier afin d’analyser les flux existants et de se faire une première idée de ces échanges ainsi que la volumétrie du site. Cette vision nous permettra alors d’anticiper les futurs impacts qu’ils peuvent avoir sur le réseau.
A ce jour, il existe plusieurs types de solution de raccordement d’un site distant. Focalisons-nous ici sur notre exemple du site BRAVO (voir article précédent pour l’architecture) illustrant une architecture de type standard accueillant une volumétrie de 45 personnes.

De même, le site BRAVO doit avoir une connexion synchrone vers d’un serveur métier présent dans le DATACENTER du groupe ALPHA.
Enfin pour des raisons de performance et d’enjeu politique, le site Bravo souhaite garder sa propre sortie internet Locale et son firewall (Fortinet).
Nous avons maintenant les inputs. Voyons les différents modèles d’interconnexion qu’on puisse avoir sur le marché et faisons une analyse de chaque solution afin de trouver la meilleure solution en phase avec nos critères.

Pour rappel nos critères de sélection sont les suivants :

  • Avantages/inconvénients
  • Répondre au besoin métier existant et aux futures attentes,
  • Simplicité d’exploitation,
  • L’évolutivité et résilience,
  • La sécurité,
  • Rapidité de mise en œuvre,
  • ROI (retour sur investissement (on partira sur du long terme à travers ce projet).

Les différents types de raccordement au standard 2019.

I – Le raccordement IPSEC

Le raccordement IPSEC est la méthode la plus facile à déployer et rentable à déployer sur le court terme.
En effet, il nous suffit ici d’avoir une connexion internet dédiée au site BRAVO pour pouvoir monter un tunnel sécurisé avec le siège ALPHA.
Cependant le cout d’entrée est bien évidemment l’achat d’un Firewall pour le site distant (en admettant qu’il existe un cluster de firewall au datacenter).
Le côté négatif qui réside dans cette solution reste la latence.
En effet, les chemins choisis pour router les flux passent par internet et garantissent pas l’attribution d’un chemin le plus court.

Et la sécurité dans tout ça ? Eh bien, étant donné que les données vont alors transiter par le réseau public, ces dernières doivent donc être cryptées pour assurer leur protection durant le transport.
On pourra par la suite appliquer une règle de sécurité spécifique aux besoins métiers, tout en assurant l’aspect sécurité.
Concernant le débit, le VPN IPSec consomme 15% de la bande passante du lien en moyenne pour le cryptage (encapsulation), ce qui n’est pas sans conséquence si on souhaite avoir un débit garanti.

En termes de résilience, il faut considérer le cas du VPN IPSEC comme étant une adresse ip publique équivaut à un lien.
En clair, si un problème au niveau du lien survient, les applications hébergées et la connectivité du site seront coupées (il est possible toute fois de mettre en place un vpn de secours afin de forcer la bascule vers un autre vpn mais cela nécessite de consommer une ip publique supplémentaire sur le site distant).

Enfin, la Qualité de service (QOS), ne peut pas être appliquée sur le vpn IPSEC (contrairement à lien MPLS).

Pour ce type de raccordement voici une solution possible (sans NAT):

Récapitulatif des critères de cette méthode d’interconnexion

Exigences Métiers  Simplicité de mise en œuvre Résilience Coût Mise en service Délai ROI
Conforme Facile NA Bas Rapide Élevé

II – Le raccordement MPLS + routeur Internet 

Le MPLS (Multi-Protocol Label Switching) est l’un des protocoles les plus utilisés dans le monde des réseaux d’entreprises. Il s’agit d’une interconnexion IP qui est utilisée le plus souvent dans le cadre des réseaux Etendus (WAN) garantissant ainsi la sécurité et une transmission rapide et fiable. Le réseau MPLS a pour lui non seulement la brièveté des temps de latence (exécution des données), les faibles taux de pertes, mais aussi l’étanchéité de l’infrastructure du réseau.
Les mécanismes de qualité de Service peuvent être activés afin de garantir la qualité des services métiers en rapport avec la transmission des données, la priorisation de la toip/voip etc..

Pour ce type de raccordement voici deux solutions possibles :

Le routeur CE sert uniquement à acheminer le trafic IPv4 vers le réseau MPLS. Chaque routeur CE est connecté à un routeur PE dans une connexion point à point en IPv4. Les routes IP vers les destinations sont apprises par des routes statiques ou apprises dynamiquement à l’aide de BGP.
Lorsque le paquet atteint finalement le périphérique PE_ALPHA de destination, le routeur fera sauter le tag MPLS (puisqu’il s’agit d’un langage incompréhensible pour le CE) et transférera le paquet IP maintenant normalisé vers le périphérique CE_ALPHA
Ce type d’architecture ne prédispose pas de résilience en cas de coupure du service MPLS, mais elle est peut-être évolutive. Nous verrons une solution plus améliorée et plus redondante dans le paragraphe suivant.

En termes de débit, les solutions MPLS (suivant les opérateurs), disposent d’un débit garanti.
D’un point de vue de la sécurité, on se retrouve ici dans un lien privé entreprise garantissant ainsi l’intégrité des données.
Néanmoins, cette solution présente un coup de mise en service élevé et d’un délai de mise en œuvre non négligeable sur le réseau Mpls.

Récapitulatif des critères de cette méthode d’interconnexion

Exigences Métiers  Simplicité de mise en œuvre Résilience Coût Mise en service Délai ROI
Conforme Facile Aucune Élevé Important Élevé

III – Le raccordement MPLS + sortie Internet local breakout (offload)

Le raccordement MPLS  hybrid offload permet d’utiliser la sortie internet et les VPN MPLS en même temps sur deux sorties différentes.
Ce type de raccordement est constitué de deux routeurs (un routeur nominal et un routeur secours).
Le routeur nominal sert généralement à fiabiliser les flux métiers à travers une connexion MPLS (comme vu précédemment) pour les applications exigeantes, telles que les ERP, la téléphonie ou les visioconférences.
Les flux moins urgents tels que la bureautique et les courriels utilisent une connexion internet codée.
Contrairement à un site mono raccordé, ce type d’interconnexion présente un avantage supplémentaire sur la résilience.

En principe, les flux de sortie internet sont configurés de sorte à établir un routage sur le secours. Cependant, lorsque que le nominal est défaillant, les flux métiers peuvent être routés vers le routeur secours à travers un VPN dédié assurant ainsi la continuité de service métier. Ces services sont identifiables et peuvent avoir un routage personnalisé en fonction de la criticité du flux.
On reste sur un standard identique à la solution précédente d’un point de vue sécurité et de délai mise en œuvre.

Pour ce type de raccordement voici une solution possible :

Récapitulatif des critères de cette méthode d’interconnexion

Exigences Métiers  Simplicité de mise en œuvre Résilience Coût Mise en service Délai ROI
Conforme Intermédiaire Conforme Élevé Important Élevé

IV – Le raccordement 4G/LTE en mode secours

Le routeur 4G/LTE permet d’apporter une solution de résilience en plus de la solution standard (MPLS Mono ou MPLS OFFLOAD ).
Ces solutions sont proposées aujourd’hui sur le marché avec les différents opérateurs (orange, SRF, Bouygues etc) et qui permet d’assurer une résilience efficace en cas et de problème vis à vis du support physique principal (et/ ou de secours).
Elle peut aussi s’interfacer comme étant une solution de raccordement standard (Mono raccordement) d’un petit site distant.
La puissance de cette solution réside dans sa fonctionnalité 4G qui permet de se déployer quasiment partout (avec une bonne couverture 4G) offrant ainsi un débit allant jusqu’à 100MBPS.
Elle conserve également les aspects de sécurité comme un routeur MPLS mais avec un délai de mise en œuvre moindre qu’un raccordement standard puisqu’elle s’opère sur une connexion 4G. (on oublie ici le coût du support physique).

Pour ce type de raccordement voici une solution possible :

 

Récapitulatif des critères de cette méthode d’interconnexion

Exigences Métiers  Simplicité de mise en œuvre Résilience Coût Mise en service Délai ROI
Conforme Facile Conforme Élevé Important Élevé

V – Le raccordement Hybrid SDWAN

Un peu de vocabulaire :

Avant de vous présenter ce type de raccordement, il préférable de vous exposer certaines définitions qui sont utilisées dans le “jargon” de cette nouvelle technologie.

Underlay: le réseau underlay est matériel, c’est le réseau traditionnel que l’on connaît aujourd’hui.
Overlay: L’overlay est un réseau privé virtuel IPsec, s’appuyant à la fois sur les réseaux MPLS et internet.
La configuration de ces flux ainsi que leurs sécurisations sont à la charge de l’intégrateur.
Cette configuration est également transparente pour l’utilisateur et les fournisseurs d”accès à internet.

Le SD-WAN a donc pour but de créer un réseau privé virtuel qui est basé sur de la technologie IPSEC, sécurisant ainsi les échanges à travers internet.
On dit que cette technologie est en overlay des réseaux existants (réseaux underlay).
Cette technologie permet alors de :

  • Reconnaître les différents flux applicatifs et de les prioriser,
  • Monitorer en temps-réel les différents chemins réseau disponibles et choisir en permanence le chemin le plus adapté,
  • Optimiser et accélérer les flux,
  • Configurer et administrer le réseau privé virtuel overlay de façon agile et centralisée à l’aide d’un orchestrateur SD-WAN.

Le délai de mise en œuvre de cette solution, n’est pas sans conséquence car certaines solutions SD-WAN ne sont pas adaptées à tous les types d’architectures. En effet, il est nécessaire de réaliser des tests en conditions réelles de type POC (proof of concept) pour valider notre choix. Et cela prend du temps..beaucoup de temps..
Pour que la solution SD-WAN soit efficace, il convient d’être vigilant à la cohérence du projet et au sens qu’on souhaite apporter à cette solution vis à vis des enjeux métiers.
Le coût de départ reste relativement élevé mais possède tout son intérêt tout de même, si on souhaite passer sur une architecture full SD-WAN par la suite.

Pour ce type de raccordement voici une solution possible :

 

Récapitulatif des critères de cette méthode d’interconnexion

Exigences Métiers  Simplicité de mise en œuvre Résilience Coût Mise en service Délai ROI
Conforme Complexe Conforme Élevé Important Bas (si full SDWAN)


VI – Bonus : Le raccordement cloud SAAS

Le modèle de raccordement cloud, permet de répondre à un besoin spécifique au déplacement des applications dans le cloud.
Dans ce cas, l’accès aux ressources Cloud public se fait au niveau de l’opérateur via des passerelles d’interconnexion avec les fournisseurs de service.

Ces applications dans le cloud public (google, gmail, youtube, etc..) sont les seconds facteurs considérés comme ayant le plus d’importance sur l’évolution des réseaux WAN. En effet, le développement du cloud a déjà un impact sur les infrastructures réseaux du fait de l’augmentation du volume et de la criticité du trafic destiné à Internet.
L’avenir des réseaux connectés réside dans ce type d’infrastructure et les opérateurs/éditeurs l’ont bien compris et les entreprises sont de plus en plus ouvertes à ce modèle d’architecture.
Des solutions hybrides (gateway Zcaler(public) ,paloAlto(public) ,Vpn Galerie(privé), Intercloud(privé) etc..) commencent à naitre et incitent ainsi les clients à consommer de plus en plus des solutions de type cloud.
D’autres tirent leur épingle du jeu, en y ajoutant de la sécurité en plus comme Mc Affee avec sa solution web gateway cloud service.

Cependant, cela n’est pas sans impact sur notre infrastructure puisqu’il va falloir accompagner la transformation de nos réseaux vers ce type d’interconnexion et ils devront supporter à terme :

  • Une amélioration continue de la performance des applications même si elles sont déplacées sur un Cloud public,
  • Une augmentation du niveau de sécurité des données qui transitent sur Internet,
  • Une garantie visant la disponibilité du service métier de bout en bout.

Le délai de mise en œuvre est modulable en fonction du service contracté mais cela nécessite avant tout une connaissance parfaite de l’infrastructure pour pouvoir positionner la solution de façon stratégique pour permettre par la suite des évolutions possibles dans le temps.

 

Résumons les critères de cette méthode d’interconnexion

Exigences Métiers  Simplicité de mise en œuvre Résilience Coût Mise en service Délai ROI
Conforme Complexe Conforme NA/ mode forfait + – Important Bas


Fiche de comparaison des raccordements Avantage inconvénient / ROI

IPSEC Exigences Métiers  Simplicité de mise en œuvre Résilience Coût Mise en service Délai ROI
Conforme Facile NA Bas Rapide Élevé
MPLS-STD Exigences Métiers  Simplicité de mise en œuvre Résilience Coût Mise en service Délai ROI
Conforme Intermédiaire Conforme Élevé Important Élevé
MPLS-INT Exigences Métiers  Simplicité de mise en œuvre Résilience Coût Mise en service Délai ROI
Conforme Facile Conforme Élevé Important Élevé
SD-WAN Exigences Métiers  Simplicité de mise en œuvre Résilience Coût Mise en service Délai ROI
Conforme Complexe Conforme Élevé Important Bas (si full SDWAN)
CLOUD-PEERING Exigences Métiers  Simplicité de mise en œuvre Résilience Coût Mise en service Délai ROI
Conforme Complexe Conforme NA/ mode forfait + – Important Bas

Quels sont les enjeux d’une refonte lan ?

 

Pour répondre à cette question, posons l’architecture actuelle et définissons les avantages ainsi que les inconvénients de l’existant.
Le Lan actuel du site de Bravo dispose d’un /22 non segmenté reposant sur un vlan à plat (1) par défaut.
L’inconvénient majeur de ce type d’infrastructure est que nous ne disposons pas granularité dans la sécurité puisqu’aucun vlan n’est défini sur ce site.

Le filtrage et le point de routage s’effectuent alors via le firewall.
Pour faciliter les échanges, le firewall ne possède qu’une seule règle any<> any LAN vers WAN et any<>any WAN vers LAN.
A vrai dire, aucune sécurité n’est implémentée lorsque ce “type” d’infrastructure, puisque tous les flux en sorties comme en entrés sont ouverts vers le monde extérieur.
Il conviendra de prendre tous ces éléments en compte avant de faire un choix au niveau du raccordement final à la solution groupe.

Pour résumer la situation du site, voici un tableau récapitulatif des éléments relevés :

Avantages Inconvénients
Rapidité de l’interconnexion Pas de maitrise au niveau de la sécurité du lan
Conservation de l’existant Pas de segmentation vlan
Pas d’évolution possible sur l’infrastructure
Pas de Filtrage périmétrique effectué par le firewall

A ce stade du projet, il est important de soulever ici les risques de sécurité et l’exposer au groupe ALPHA avant de partir sur un plan d’action rapide pour effectuer ce raccordement. Quelle que soit le deadline du projet, nous ne pouvons exclure un tel risque potentiel d’attaque ou d’intrusion dans le futur.Le rôle du RSSI intervient à ce moment précis et doit acter sur un GO/ NO GO vis-à-vis de la situation.
Considérons, que le RSSI du groupe ALPHA décline le souhait de vouloir interconnecter ce site sans migration.
Nous verrons ainsi dans le prochain chapitre quels sont les différentes solutions d’architecture LAN que l’on pourrait exposer via ce projet.

Conclusion

Nous avons vu ici les différentes possibilités d’interconnexion vis à vis de notre architecture cible. En prenant en compte les critères métiers et les enjeux de la sécurité de ce projet, nous allons définir deux étapes majeures d’interconnexion. La première, étant donné, qu’il s’agit d’un besoin “urgent” et “prioritaire” nous allons partir sur la solution dont le délai de mise en œuvre est le plus rapide :  Le vpn IPSEC. La deuxième étape consistera alors à réaliser en parallèle une étude d’architecture précise, ce qui donnera de la souplesse au projet et aux inputs imprévus…
Après avoir analysé les différentes solutions, et le besoin final du métier, la solution MPLS/INTERNET semble convenir à un meilleur choix stratégique sur le moyen et long terme ; Ce type d’infrastructure reste aussi modulable dans le temps, par exemple, si nous souhaitons par la suite évoluer l’architecture sur SD WAN cela reste possible puisque la brique firewall chez Fortinet permet aujourd’hui d’apporter la couche overlay sur les connexions existantes(underlays).
Le choix d’une architecture de type SD-WAN doit s’intégrer dans une réflexion plus large qui inclut les réseaux underlay et les modèles opérationnels. Il faut définir ses enjeux et priorités et analyser en quoi le SD-WAN peut aider à y répondre. Pour que la transformation soit une réussite, il est essentiel de savoir précisément les raisons pour lesquelles on migre vers SD-WAN. Nous reviendrons sur ce sujet en détail vers le chapitre 5.

De même, l’arrivée des nouveaux usages tels que le mode SaaS, le stockage dans le Cloud, ont conduit à l’essor des réseaux WAN hybrides. Ce modèle permet d’associer les flux WAN et internet sur un même réseau, en offrant des gains budgétaires et de performance.

Parmi les solutions les plus utilisées aujourd’hui on peut en retenir 3 modèles intéressants :

  • L’offloading :Elle s’appuie sur un équipement de sécurité installé sur chacun des sites de l’entreprise, par l’opérateur (voir schéma INTERNET) . À la clé, une haute disponibilité et une meilleure maîtrise des coûts grâce à la répartition intelligente des flux IPsec/MPLS.
  • L’internet access :Cette solution offre la combinaison MPLS + INTERNET sur un seul équipement (VOIR SCHEMA STD). Il s’agit d’un accès unique au réseau WAN, par lequel transitent l’ensemble des flux, est utilisé pour tous les sites de l’entreprise. La répartition des flux n’est réalisée qu’ensuite, dans le WAN de l’opérateur.
  • Le Cloud :pour optimiser l’accès aux applications hébergées dans le Cloud public. L’accès à ces applications se fait au réseau de l’opérateur, via des passerelles d’interconnexion avec les fournisseurs de service (voir schéma cloud).
Inscrivez vous à notre newsletter!

Répondre

Your email address will not be published. Required fields are marked *

Autre article
TPE#2- Refonte site distant/branch office – Best practice.

Temps de lecture:  20- 30 min

Contexte

Nous avons vu lors du chapitre précèdent, les différentes possibilités d’interconnexion vis-à-vis du WAN. En prenant en compte les critères métiers et les enjeux de la sécurité de ce projet, nous avons choisi le raccordement par un vpn IPSEC.
Dans cette partie nous allons voir quelles sont les différentes architectures que l’on retrouve dans la majorité de nos entreprises aujourd’hui.
Puis nous nous focaliserons sur notre étude de cas afin de définir l’architecture cible pour notre site distant BRAVO.

I- Présentation des architectures standardisées (best practice).
Les architectures LAN doivent être repensées aujourd’hui. La plupart des entreprises possèdent encore des réseaux locaux non segmentés avec l’existence de ce fameux VLAN par défaut.
La digitalisation accélère l’ensemble des processus métiers et une architecture LAN doit être capable de s’adapter à ce changement dû à la diversification des services, de qualité de service, mais aussi de la sécurité.
Les recommandations d’architecture  L2 / L3 (core/distribution/accès) des chez CISCO restent aujourd’hui la base de toutes références.
Voici les différentes architectures de branch office (site feuille/site campus) que l’on retrouve en grande majorité dans les grandes entreprises d’aujourd’hui, détaillons ensemble quelques-unes.

L’architecture LAN à 1 niveau  (la mutualisation des services)
L’architecture à 1 niveau a pour but de mutualiser l’ensemble des briques fonctionnelles du switch (routage et accès).
Les fonctions de cœur, distribution et accès sont fusionnés sur un équipement de fédération.
Cet équipement peut, selon les cas, travailler avec le WAN au niveau 2(avec une default gateway)  ou au niveau 3 à l’aide d’un protocole de routage dynamique (nécessite d’une licence de routage sur le switch).
La couche d’accès travaille au niveau 2. Elle définit une segmentation par domaine de diffusion que l’on appelle “VLAN”.
Elle offre également les fonctionnalités suivantes :

  1. La classification, le marquage, la priorisation, l’acceptation et l’ordonnancement des flux en terme de QoS.
  2. L’implémentation des mécanismes de sécurité pour lutter contre des usurpations d’adresses IP / MAC, attaques de type « man in the middle », déni de service, etc
  3. La protection des domaines de diffusion par le protocole RSTP (Rapid Spanning-Tree)

Ce type d’architecture à un niveau est privilégié pour des très petits sites (moins d’une centaine de ports réseaux).

Architecture simplifiée

Architecture redondée

Caractéristiques

  • Cœur , distribution, accès
  • RSTP Root sur le cœur

Caractéristiques

  • Cœur , distribution, accès
  • RSTP Root sur le premier cœur

zone serveur

  • Mono raccordement d’un serveur vers le cœurs

zone serveur

  • Double raccordement d’un serveur vers les deux cœurs

Accostage wan et routage

 

  • Méthode de routage simple (route statique). Les passerelles des différents vlan sont portées par le routeur.
  • Méthode de routage dynamique (BGP en AS privée). Un peering eBGP est nécessaire afin de remonter les flux LAN vers l’AS du WAN.

 

Accostage wan et routage

  • Méthode de routage simple(route statique). Les passerelles des différents vlan sont portées par le routeur. Un protocole de type VRRP est implémenté sur chaque routeur. Une route statique sera annoncée depuis le lan vers la VIP(virtual IP) VRRP.
  • Méthode de routage dynamique (BGP en AS privée).  Un peering eBGP est nécessaire afin de remonter les flux LAN vers l’AS du WAN et présence d’un peering iBGP entre les switch cœurs pour la rocade interne
  •  Le fonctionnement est de type actif / passif (le trafic via le routeur 1 est  privilégié).
Implémentation  & Interconnexion

  • Présence d’un local technique et d’un routeur WAN
  • Un switch d’accès peut être ajouté en cas de bâtiment déporté pour un LAN étendu

Implémentation  & Interconnexion

  •  Raccordement  de deux switch dans deux locaux techniques distincts.

 

L’architecture LAN de 2 niveaux (la segmentation en deux parties)
L’architecture à deux niveaux reprend les caractéristiques de l’architecture précédente mais cette fois-ci on ajoutera un switch dédié au bloc serveur et un niveau supplémentaire pour les switch d’accès.
Le bloc serveur permet de mettre en place un serveur de partage de fichier (Filer) ou encore un serveur WSUS pour les mises à jour windows en local. Cela permet au site de ne pas consommer les ressources “bureautiques” via le datacenter et prioriser ainsi les flux métiers via le WAN..
Il s’agit de sites regroupant jusqu’à plusieurs centaines d’utilisateurs.

Architecture simplifiée

Architecture redondée

Caractéristiques

  • Cœur , distribution, accès
  • RSTP Root sur le cœur
  • Insertion d’un bloc accès niveau 2 mono raccordé

Caractéristiques

  • Cœur x 2 , distribution, accès
  • RSTP Root sur le premier cœur
  • Insertion d’un bloc accès niveau 2 doublement raccordés

zone serveur

  • Mono raccordement d’un serveur vers le cœurs

zone serveur

  • Raccordement depuis un switch serveur en double attachement (LACP) vers un cœur.

Accostage wan et routage

  • Méthode de routage simple(route default vers le routeur) et  les passerelles des différents vlan sont portées par le coeur.
  • Méthode de routage dynamique ( BGP en AS privée). Un peering eBGP est nécessaire afin de remonter les flux LAN vers l’AS du WAN.

Accostage wan et routage

  •  Les passerelles des différents vlan sont portées par les coeurs. Un protocole de type VRRP est implémenté sur chaque routeur et une route statique(default) sera annoncée depuis le lan vers la VIP(virtual IP) VRRP.
  • Méthode de routage dynamique (BGP en AS privée).  Un peering eBGP est nécessaire afin de remonter les flux LAN vers l’AS du WAN et présence d’un peering iBGP entre les switch cœurs pour la rocade interne
  •  Le fonctionnement est de type actif / passif (le trafic via le routeur 1 est  privilégié).
Implémentation  & Interconnexion

  • Présence d’un local technique et d’un routeur WAN
  • Raccordement des switch d’accès vers le cœur
  • Interconnexion à 1Gbit/s est recommandée entre les accès et le coeur

Implémentation  & Interconnexion

  •  Raccordement  de deux switch dans deux locaux techniques distincts.
  • Double raccordements  sur les deux cœurs avec un protocole d’agrégation de liens de type LACP.
  • Deux liens en agrégation 2 x 1 Gbits/s en fibre entre le cœur et les accès
  • idem pour le switch serveur <>switch  cœur

L’architecture LAN de 3 niveaux (la segmentation en trois parties)
L’architecture à trois niveaux reprend les caractéristiques de l’architecture précédente mais cette fois-ci, les fonctions de cœur , distribution et accès sont matérialisées sur des équipements distincts.
Les équipements de distribution et de cœur forment le « backbone » du réseau.
Les cœurs travaillent avec les routeurs WAN au niveau 3 à l’aide du protocole de routage BGP ou simplement via une route statique par défaut. Le cœur utilise des liens hauts débits et met en œuvre des techniques de partage de charge. L’objectif est d’allier fiabilité, faible latence et haute performance.
De même, il met en œuvre un protocole de routage dynamique afin de véhiculer l’ensemble des informations de routage et de pallier la défaillance d’un lien ou d’un équipement.
La couche de distribution permet d’économiser des longueurs de fibre optique conséquente entre les équipements d’accès et les cœurs par rapport à une architecture à deux niveaux dans le cas des sites étendus. Ce type d’architecture est donc à privilégier pour les sites très étendus (campus, sites industriels, zone d’activités, etc.). Il s’agit de sites regroupant jusqu’à quelques milliers d’utilisateurs.
La couche d’accès travaille au niveau 2. Elle définit une segmentation en domaines de diffusions par VLAN. Elle offre les mêmes fonctionnalités décrites plus haut.

Architecture simplifiée

Architecture redondée

Caractéristiques

  • Cœur , distribution, accès
  • RSTP Root sur le cœur
  • Insertion d’un bloc de distribution
  • Insertion d’un bloc accès niveau 2 mono raccordé

Un design avec deux cœurs de réseau est fortement conseillé.

Caractéristiques

  • Un bloc cœur x2 , distribution, accès distinct
  • RSTP Root sur le cœur
  • Insertion d’un bloc de distribution en résilience avec le coeur
  • Insertion d’un bloc accès niveau 2 doublement raccordés

Zone serveur

  • Mono raccordement d’un serveur vers le cœurs

Zone serveur

  • Raccordement depuis un switch serveur en double attachement (LACP) vers les  2 cœurs.

Accostage wan et routage

  • Méthode de routage statique en route par défaut vers le wan. Les passerelles des différents vlan sont portées par les switch de distribution.
  • Méthode de routage dynamique:  un peering eBGP est nécessaire afin de remonter les flux LAN vers l’AS du wan et une redistribution des routes connectées vers bgp  sera également mis en place sur les cœurs.

Accostage wan et routage

  • Méthode de routage statique possible entre le coeur et le wan. Les passerelles des différents vlan sont portées par les switch de distribution.. Un protocole de type HSRP est implémenté sur chaque switch de distribution.
  • Méthode de routage dynamique (OSPF  possible entre les zones de distribution, serveur et les cœurs afin d’apporter une fiabilité dans le routage malgré la complexité de mise en œuvre ). Possibilité d’avoir un peering eBGP  afin de remonter les flux LAN vers l’AS du wan, dans ce cas une redistribution des routes connectées est alors nécéssaire.
  • Présence d’un peering iBGP entre les switch cœurs pour la rocade interne Le fonctionnement est de type actif / passif (le trafic via le routeur 1 est  privilégié).
Implémentation  & Interconnexion

  • Présence d’un local technique et d’un routeur WAN
  • Un design avec deux routeurs wan est fortement conseillé.
  • Distribution : un équipement en simple raccordement au cœur
  • Piles accès : un simple raccordement sur les distributions.
  • Interconnexion à 1Gbit/s est recommandée  entre les distributions et les piles d’accès.
  • Interconnexion 100 Mbits/s voire  1Gbit/s en cuivre entre  le cœur et le WAN.

Implémentation  & Interconnexion

  • Présence de deux locaux techniques et de deux routeurs WAN
  •  Double raccordement vers le wan avec un routeur disposé dans chaque local technique. Si l’adduction le permet, établir également deux cheminements différents pour l’accès du WAN.
  •  Distribution : l’équipement est doublement raccordé et agrégé aux cœurs (soit 4 liens par bloc de distribution)
  •  Accès: l’équipement est doublement raccordé et agrégé aux switch de distribution (soit 4 liens par bloc de switch niveau 2)
  • Interconnexion à 1Gbit/s est recommandée  entre les distributions et les piles d’accès.
  • Interconnexion 100 Mbits/s voire  1Gbit/s en cuivre entre  le cœur et le WAN.

 

L’architecture routée par un firewall .
L’architecture routée par un firewall  consiste à faire porter de routage sur un firewall en coupure du LAN avec le WAN/INTERNET. En règle générale, on retrouve souvent ce type d’infrastructure si on souhaite apporter une couche de sécurité périmétrique entre les différents sous réseaux, mais aussi à sécuriser les sites distants non maitrisés. Le switch quant à lui aura pour rôle d’apporter la brique de niveau 2 avec les différents vlan ;
Afin d’acheminer l’ensemble des flux vers le wan, un lien trunk sera configuré vers le firewall (ou l’équipement faisant office de point de routage faisant passer l’ensemble des vlan vers le wan.
Enfin  une passerelle sera configurée depuis le switch vers vers le firewall et une passerelle par défaut sera configurée depuis les firewall vers internet/WAN.
Nous verrons en détail ce modèle d’architecture plus bas dans ce chapitre.

L’architecture cloud Meraki
MERAKI est une solution de réseaux d’entreprises entièrement gérée dans le cloud.
La gestion des configurations, de la supervision et de l’analyse du réseau se fait entièrement à travers un Dashboard centralisé dans le Cloud.
Le Dashboard est une interface Web (
https://account.meraki.com/secure/login/dashboard_login”) sécurisée et étanche entre tous les clients.
Un compte utilisateur est associé à une ou plusieurs organisation(s) qui elle-même comporte un ou plusieurs réseau(x). L’interface permet ensuite de configurer par onglet, chacun des équipements associés au réseau.
La solution nécessite d’avoir une sortie internet pour pouvoir se synchroniser avec le cloud et de récupérer sa configuration dédiée. On peut alors designer deux types de solution:
La première solution consiste à utiliser la sortie internet du groupe ALPHA,
La deuxième solution consiste à utiliser la sortie internet local du site.

Architecture simplifiée

Caractéristiques

  • Cœur , distribution, accès
  • RSTP Root sur le cœur
  • Insertion d’un bloc accès mono raccordé

Zone de serveur

  • Raccordement simple d’un serveur sur le cœur
Accostage wan  et routage
  • Méthode de routage en statique.
  • Les passerelles des différents vlan sont portées par le switch.
  • L’étanchéité des flux est garantie par des ACL (si besoin)

Implémentation & interconnexion

  • les arrivées opérateurs (2 liens WAN) sont connectées sur le Switch de cœur en Ethernet.
  • Les interconnexions WAN – cœur de réseau sont configurées en port Trunk
  • Raccordement des switch d’accès vers le cœur
  • Interconnexion à 1Gbit/s est recommandée
  • Les bornes Wifi sont connectées sur un switch en simple attachement dans chaque LT.
  • Les MR30H (borne wifi)  sont connectées en Filaire ou en MESH.

II – Interconnexion du site bravo: étude de cas.
Architecture simplifiée
Nous avons vu lors des chapitres précédents, l’urgence d’interconnecter le SI ALPHA avec d’un site n’appartenant pas au groupe. La solution de mettre en place d’un vpn ipsec prend tout son sens ici. Nous allons devoir interconnecter dans un premier temps l’infrastructure tout en minimisant les impacts vis-à-vis de la sécurité.
Procédons maintenant à l’étape suivante, comment choisir notre solution en fonction de l’architecture globale du groupe?
La solution routée par un firewall semble convenir à notre besoin et respecte les critères suivants :

  • Apporter une  réponse aux besoins métiers existants et aux futures attentes,
  • L’évolutivité et résilience,
  • La sécurité périmétrique et la maitrise des flux en provenance d’un SI non maitrisé.
  • Rapidité de mise en œuvre,

Regardons de plus près comment cette architecture peut s’interfacer avec le groupe.
L’architecture cible ci-dessous se compose ainsi:

  • D’un cluster de firewall afin de porter le routage entre les différents services et assurer l’interconnexion (via IPSEC) avec le Datacenter du groupe APLHA.
  • D’un switch managable et disposant de la fonctionnalité LAN BASE  (possibilité d’établir une extension vers un local distant si besoin)
  • D’une segmentation lan qui  amène plusieurs avantages: étanchéité, performance, circonscription de panne, et sécurité.

Type de matériel
Une fois le design pensé, il nous faut également se poser les bonnes questions :  quelle est la capacité du site ? Quels sont les types de flux qui vont transiter ? Ou encore, doit-t ‘on s’orienter vers un firewall next gen ? (offrant la possibilité de faire du filtrage au niveau applicatif etc..)
Les solutions de Fortinet permettent aujourd’hui de répondre à toutes ces questions tout en offrant un bon rapport qualité / prix  qui leurs rendent compétitifs sur le marché d’aujourd’hui.
De même d’un point de vue d’administration de la solution, ces boitiers sont faciles à prendre en main et ne montrent aucune complexité à les configurer et quel que soit le type de site et de son niveau de sécurisation. Ces types de boitiers répondent largement aux exigences de notre besoin. Nous allons donc partir sur un modèle du type F90E offrant toutes les fonctionnalités de la gamme E avec une possibilité d’avoir une couche SD WAN depuis la version 6.2.
Ci dessous un lien permettant de voir le datasheet de ce type de boitier : https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_90E_Series.pdf

Côté LAN, nous pouvons partir sur les nouvelles gammes switch cisco 9200 offrants de nouvelles fonctionnalités que des switch catalyst standard (2960X, 3650, 3850 etc). Ces nouvelles gammes possèdent 2 types de licence (sans l’offre DNA): Essentials et Advantage
Ces switch disposent en plus la possibilité de faire du devops, automation, SD accès etc..

Conclusion

Il est important de garder en mémoire qu’avant toute interconnexion, il est nécessaire d’apporter  une analyse de risque sur le projet. En effet, effectuer une refonte pendant un projet de migration n’est pas toujours possible en amont. Il faut alors doubler la vigilance sur les flux entrants vers le Datacenter du groupe (en l’occurrence ici vers la DMZ).
Enfin, pour conclure ce chapitre, nous pouvons tout simplement résumer l’idée qu’en fonction de chaque type de site nous pouvons décliner et industrialiser une architecture standardisé.
Exemple de modèle d’architecture “type” que l’on retrouve en entreprise

Site à un niveau

(petits sites PME/branch office)

Site à deux niveaux

(Moyens sites immeuble/ branch office)

Site à trois niveaux

Gros site (siège ou campus)

Architecture simplifiée Pas de routage sur le lan

Site Mono raccordé
Routage porté sur le WAN

Routage inter-vlan  porté sur le cœur

Site mono raccordé
Route default du cœur vers le wan
Switch d’accès mono raccordé

Routage inter-vlan porté sur la brique de distribution

Site mono raccordé
Route default du cœur vers le wan

Architecture redondée Pas de routage sur lan

Site doublement raccordé
Routage porté sur le WAN

Routage inter-vlan porté sur le cœur

Routage de la brique serveur sur le cœur
Site doublement raccordé
Route default du cœur vers le wan

Switch d’accès doublement raccordé

Routage inter-vlan porté sur la brique de distribution

Routage de la brique serveur sur le cœur
Site doublement raccordé
Route default du cœur vers le wan

Switch d’accès doublement raccordé

October 6, 2019
TPE#0- Contexte et présentation Architecture

Temps de lecture: 5 – 10 min

À travers plusieurs articles, je vais vous présenter différentes architectures (on prem ou cloud) et cela à différents niveaux : Datacenter, Campus, Branch office et remote.
Cet article s’oriente vers un public ouvert en partant de l’ingénieur réseaux voulant mettre en place un “modèle type d’infrastructure” en cas de rattachement d’une société tierce, le RSSI souhaitant assurer la sécurité du groupe, jusqu’au  chef entreprise souhaitant comprendre les enjeux stratégiques d’une refonte LAN au moment d’une expansion.


L’architecture ci-dessus servira de référence sur tout le long de notre projet et elle est susceptible d’évoluer en fonction du focus qui sera apporté sur un point particulier. L’ensemble du LAB a été réalisé sur eve-ng et les références des ios se trouvent à la fin de cet article.


Le Contexte:  Une architecture au standard mais pas que !

Cet article s’oriente vers une architecture standard de type PME en pleine expansion.

Après une forte expansion, la société ALPHA rachète plusieurs entités dont une société à Toulouse que l’on nommera BRAVO. Fort de son succès, la société ALPHA  capitalise un chiffre d’affaires de 2M€.
Cependant, les projets prennent de plus en plus d’envergure et la DSI n’est clairement pas structurée pour accueillir les nouveaux projets. Basé à Paris, le siège décide alors de restructurer et réorganiser l’équipe.  Ainsi, un budget de 100KE a été alloué pour le projet Refonte_Alpha/Bravo.
Comment rattacher une nouvelle entité non sécurisée à notre entreprise Alpha? Et cela à moindre cout ? Quels sont les risques non maitrisés ? Et comment y arriver sans impacter la production actuelle ?
C’est ce que nous allons découvrir à  travers ce projet.


Le plan d’action :  Nous allons voir cette restructuration en 6 étapes fondamentales:

  1. Maitriser les risques lors d’un nouveau rachat ou d’une cohabitation tierce
    • Quelles sont les solutions d’interconnexion possibles ?
    • Une refonte Lan : Avant ou après la migration du site ?
  1. Refonte du site avant migration :
    • Présentation des architectures standardisées
    • Comment procéder ? La méthode.
    • Présentation de l’architecture Bravo.
  1. Les raccordements directs – Le VPN IPSEC & Nomadisme
    • Maitriser les risques d’un raccordement direct
    • Les solutions d’un raccordement direct (VPN IPSEC, VPN SSL )
    • Implémentation du VPN IPSEC du site de BRAVO, Tshoot et monitoring
  1. Contrôler les flux non maitrisés en apportant une solution de stratégie du groupe Alpha
    • Les firewall nextgen de fortinet, la solution à notre problème ?
    • Le web filtering
    • L’application contrôle
    • L’antivirus et l’IPS
    • La fuite des données: le DLP une contre-mesure chez Fortinet?
  1. Apporter une autre vision de la sortie internet des branch Office
    • Local internet break out,
    •  Sd-wan,
    • Sortie groupe.
  1. Conclusion
    • La stratégie du groupe : l’enjeu définit clairement la définition de l’architecture.
    • Avantage & inconvénient de cette méthode de déploiement (ROI).

Les équipements et les technologies qui seront utilisées :
Réseaux :
LAN CORE – Niveau 2 / gestion vlan –> CORE L3- Vios_L2_ADVENTERPRISEK9-M Version 15.2(4.00.55)E
WAN MPLS Niveau 3 / routage inter zone –> Serveur linux / IPTABLE
LAN CORPORATE – Niveau 2 / gestion des vlan –> CORE L3- Vios_L2_ADVENTERPRISEK9-M Version 15.2(4.00.55)E

Sécurité périmétrique:
Firewall Corporate: gestion de la sécurité DMZ / Lan Corporate –> Fortinet FGT_VM64_KVM-v6-build0866-FORTINET.out.kv
Analyseur de log Fortianalyser –> FAZv6
Management des FGT –>Fortimanager -FMGv6
Serveur DMZ –> Windows Serveur W2K8 – Base AD & Windows  Serveur W2K16 – Service Métier & autres..
Poste users –> Win7 NextGen

August 2, 2019