Demande de conseil pour mon mémoire

(voir http://wiki.ixus.net/doku.php/ixus/cont ... vos_etudes)
Pourquoi les étudiants n'auraient-ils pas le droit de discuter de leurs devoirs avec des experts et des professionnels ? Mais cela doit se faire en connaissance de cause pour obtenir les meilleures réponses : les experts et les pros apprécient généralement bien peu qu'on tente de leur cacher ce contexte, et ce n'est pas aux vieux singes qu'on apprend à faire la grimace ! On discute ici de tous les projets, études, devoirs et autres travaux scolaires.

Demande de conseil pour mon mémoire

Message par Voan » 13 Avr 2012 09:44

Bonjour à tous,

Actuellement en alternance pour préparer un BAC+2, j'ai pour projet de fin d'année (que je dois rendre dans un mois), la réorganisation du WAN de mon entreprise.

Voilà le réseau cible que je prépare : http://entraide.ixus.net/download/file.php?id=94
  • 3 sites :
    1 (150 utilisateurs), 2 (100 utilisateurs) et 3 (150 utilisateurs)
  • 2 VPN :
    1 VPN Opérateur « site à site » Orange (Equant), reliant nos 3 sites, 2 Modems SDSL par site (Nominal et secours, débit 6Mb/s)
    1 VPN Opérateur « site à site » SFR, reliant lui aussi nos 3 sites, 2 Modems SDSL par site (Nominal et secours, débit 2Mb/s)
    2 routeurs par site
  • Deux types de trafic :
    Du trafic « production » avec IP de destination fixes
    Du trafic « bureautique » avec IP de destination différentes de la prod

Deux grosses parties dans mon projet :
  • La patte ADSL protégée par un IPCop
      L'utilité est de soulager les lignes SDSL du trafic internet à moindre coût. Je sais que plusieurs personnes n'aiment pas mettre le proxy et le firewall sur la même machine, mais si c'est uniquement une question de charge (proc, mémoire, stockage) je trouve au contraire que c'est une très bonne idée car ils sont complémentaire. J'ai donc regroupé sur le même matériel mais ce n'est pas mon argent, donc si vous avez des arguments intéressants je pourrai essayer de convaincre ma direction, sinon moi ça me va comme ça.

      J'ai installé la dernière version d'IPCop stable et je me suis rendu compte seulement après que des choses comme Squid ou SquidGuard ne sont pas officiellement implémentés. Mon DSI n'est pas spécialement contre le fait de mettre des choses en beta du moment que ça fonctionne bien. Je ne sais en revanche pas comment argumenter ça dans mon mémoire, vos avis m'intéressent donc beaucoup. J'en profite pour remercier Vehrsey pour son travail.

      Voici la liste des services que mon tuteur m'a filé (beaucoup de temps de gagné ^^) :
        OpenVPN qui servira de secours si SFR tombe
        IDS
        Filtre d'URL
        Port forwarding
        DMZ => je ne sais pas ce que je dois mettre dedans, donc en attente
        Syslog => ça devrait bien se passer
        Accès SSH depuis l'interface VERTE => testé, ok
        Sauvegarde de la configuration => testé, ok
        Suivre l'état du système, du réseau, des ports ouverts => je ne me suis pas encore penché dessus
        Relais serveur de temps => ça devrait bien se passer
        dynDNS => je ne me suis pas encore penché dessus
        lissage de trafic => idem
  • Le système de VPN site-à-site
      Cas 1, fonctionnement normal : Utilisation des deux lignes (la prod prend a elle seule presque 6Mb/s à laquelle il faut ajouter la bureautique), optionnel : mettre la prod sur orange, la bureautique sur SFR
      Cas 2, un des deux opérateurs n’est plus disponible : Le trafic ne passe plus que par un opérateur, mode dégradé, les deux trafics doivent toujours se partager la bande passante, nous ne pouvons pas supprimer tous les paquets de la bureautique au profit de la prod.
      Cas 3, un des deux routeurs d’un site tombe : Le second routeur doit prendre le relais automatiquement.
      Cas 4, une ligne reliant un site à un opérateur n’est plus disponible et une ligne de l’autre opérateur reliée à un autre site n’est plus disponible (optionnel) : Le trafic entre ces deux sites doivent passer par le troisième site, chacun avec sa ligne opérationnelle, le troisième site faisant office de passerelle entre les 2 opérateurs.

      Je m'oriente sur le protocole HSRP ou plutôt MHSRP (protocole propriétaire Cisco proche du VRRP), qui consiste à faire deux groupes de deux routeurs virtuels par site. Chaque groupe s'occupe d'un type de trafic en se basant sur l'adresse de destination. Le quatrième cas me fait assez peur.

Bon, j'espère que c'est a peu près clair.
Je n'ai pas de question précise, à part sur le problème de version d'IPCop. En revanche je voudrai savoir, en tant que professionnels, sur quels points m’attendriez vous ? Y a t-il des choses qui vous paraissent bancales ? Tout conseil est le bienvenue, n'hésitez pas non plus à poser des questions, plus on en parlera et plus le sujet sera clair pour moi, c'est aussi un peu une repet' de soutenance.

Merci !
Pièces jointes
ciblev3_anon.jpg
ciblev3_anon.jpg (213.37 Kio) Consulté 1596 fois
Voan
 
Message(s) : 4
Inscription : 13 Avr 2012 08:44

Re: Demande de conseil pour mon mémoire

Message par jdh » 13 Avr 2012 10:42

(Voilà un post bien rédigé avec un schéma clair !)

Concernant le point 1 : patte ADSL
Je note que vous avez déjà choisi une distribution.
Je note que vous ne voyez pas l'inconvénient du proxy sur le firewall.

Peut-on choisir un distribution AVANT d'avoir fait la liste des prérequis ?
Non, bien sûr !
Ipcop est une distribution firewall bien connue mais limité à des problématiques simples (il n'y a que 5 couleurs prévues).
Il est surprenant de la voir mixé à une telle structure WAN.
(De même, quelques options sont juste mal comprises pour être efficaces.)

Un proxy sur un firewall est TRES discutable.
La nature du travail de proxy est TRES différente de celle du firewall.
Notablement le temps de réponse à un paquet est fondamental pour un firewall alors que le proxy va écrire et lire le disque dur en permanence. L'utilisation de la mémoire est aussi différente : selon la taille de cache, les besoins mémoire d'un proxy explosent, et je ne parle même pas des addons usuels type SquidGuard.
Si le proxy n'est pas séparé du firewall, alors les logs du proxy restent sur place et, partant, l'outil web de consultation. l'avez vous déjà seulement essayé ?
Non, définitivement, pour des tailles de sites comme celles cités, il est PLUS qu'indispensable de disposer d'un proxy dédié (et aux fonctions affinées).

Concernant le point 2 : VPN site-à-site
Je n'ai pas été face à un double VPN opérateur.
Je ne verrais certainement pas les choses ainsi : ce n'est pas mon job de suppléer aux défaillances éventuelles d'un opérateur.
Au contraire, je poserais directement la question du backup à l'opérateur au moment du choix entre opérateurs.
(Et bien sûr, je mettrais en place un outil de mesure pour ne pas être sous-informé.)
(J'ai souvenir d'un opérateur me proposant un double accès fibre par 2 chemins différents d'accès à l'usine.
Cela m'avait paru intéressant car ce n'est pas mon boulot.)
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: Demande de conseil pour mon mémoire

Message par Voan » 16 Avr 2012 09:32

Merci de ce retour, je vais reprendre point par point, ce n'est pas que je suis buté, je vais juste détailler mon raisonnement (qu'il soit bon au mauvais, ça je n'en sais rien).

Patte ADSL :
- Choix de la distribution : Si nous avons choisis IPCop c'est parce que nous l'utilisons déjà et nous en sommes satisfait, nous le maîtrisons relativement bien (enfin mon tuteur en particulier). J'ai jeté un coup d'oeil à PfSense, je ne vois pas ce qu'il apporterait de plus par rapport à nos besoins. Nous n'avons besoin de toute façon que de trois couleurs. Ces raisons ne justifient t-elles pas ce choix ?
- Proxy + Firewall : Le proxy ne sert à stocker que deux sites en cache qui sont fréquemment utilisés par une grande partie des utilisateurs. Avec l'expérience, nous avons constaté que 512Mo de cache est suffisant. Nous avons déjà cette configuration en place, avec du matériel plus ancien. Nous le renouvelons simplement parce qu'il n'est plus garanti et nous l'incluons dans le projet du nouvel opérateur. Les besoins sur cette patte seront moins importants qu'aujourd'hui (car une partie du trafic passera par SFR) avec du meilleur matériel. Le problème est-il le dimensionnement matériel ? Car si c'est bien ça, nous maîtrisons suffisamment ce besoin et cette solution pour garantir que ça passera très bien.

VPN site-à-site :
Nous avons régulièrement (2 fois par an) de très gros problèmes avec Orange. Nous avons des coupures sur nos trois sites en même temps, c'est systématiquement lié à leur cœur de réseau. Il est inutile de leur demander qu'il nous fasse payer une solution de secours qui ne fonctionnera pas quand nous en aurons besoin. Quant à leur demander de travailler avec SFR (ce qui techniquement serait le plus propre), nous ne l'envisageons pas car nous savons très bien qu'ils passeront leur temps à se rejeter la faute. La solution que je propose permet d'atteindre un débit total qui couvre nos besoins (6 + 2 Mbps SDSL) et qui en cas de panne de l'un ou l'autre des opérateurs nous permet d'échanger des données en mode dégrade (6 Mbps) ou très dégradé (2 Mbps).
On nous a pas mal parlé du double accès fibre à l'école, mais les câbles arrachés ne sont pas notre soucis principal, loin de là.

Si mes arguments ne vous ont pas convaincus, c'est qu'il y a un problème donc continuez à creuser c'est très intéressant pour moi.
Merci pour ce premier retour.
Voan
 
Message(s) : 4
Inscription : 13 Avr 2012 08:44

Re: Demande de conseil pour mon mémoire

Message par jdh » 16 Avr 2012 10:06

Si mes arguments ne vous ont pas convaincus, c'est qu'il y a un problème
Je peux en dire tout autant !

Pourquoi, il FAUT éviter de fusionner firewall et proxy ?
- un firewall filtre un trafic ip, paquet par paquet : il doit donc réagir instantanément (en milli-secondes au maximum), il utilise essentiellement en mémoire des tables de suivi de connexion.
- un proxy traite le seul flux http/https/ftp et utilise un cache disque pour stocker un certain nombre d'objets qui seront restitués sans accès à Internet : les ressources sont du disque (taille du cache), de la mémoire (beaucoup : index des objets, blacklist, ...)

Selon le volume de trafic réseau et trafic proxy, il faut séparer les matériels puisque les besoins hardware sont très différents et tout mauvais impact sur le temps de réponse firewall DOIT être évité. Aux tailles qui sont les vôtres, il est clair que c'est totalement indispensable !

Par ailleurs, un proxy dédié c'est plein de fonctions confortables qui peuvent être mis en place !
Je doute que vous ayez une fois regardé les logs du proxy selon Ipcop, parce que c'est très pauvre et cela rempli difficilement les obligations légales.

VPN site à site :
Tout le monde a rencontré les pannes opérateurs avec coupure d'accès aux sites.
(Un orage au pied du mont Ventoux, c'est 3 jours pour remplacer 150 routeurs, donc 3 jours sans accès depuis un site ! Et pourtant chacun sait qu'il y a 3 orages en juillet-aout chaque année dans cette région.)

Il est très clair que l'on ne peut pas faire travailler 2 opérateurs ensemble.
Il est très clair qu'un coup de pelle dans des fibres, cela existe (j'ai aussi connu).
La panne dans le coeur de réseau, il n'y a que la pénalité qui est comprise (et elle ne s'applique pas à la force majeure dont l'orage).

Perso, je déconseille 2 opérateurs,
- première raison : on paye un opérateur pour rien pour 99% du temps,
- deuxième raison : on doit gérer une infrastructure avec double routeurs et la bascule n'est JAMAIS automatique et transparente,
- troisième raison : on n'évacue pas assez le trafic vers Internet site par site.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: Demande de conseil pour mon mémoire

Message par ccnet » 17 Avr 2012 12:19

Si mes arguments ne vous ont pas convaincus, c'est qu'il y a un problème

Il y a bien un problème. Pour le comprendre il faut retourner à certains fondamentaux. En matière de sécurité quatre (ou trois selon les écoles) critères sont essentiels. Disponibilite, Intégrite, confidentialité, traçabilité. On parle souvent d'évaluation, de classification DICT en particulier dans les analyses de risques (méthode Mehari par exemple). Les critères DICT s'appliquent autant aux données qu'aux systèmes eux mêmes.
Ceci pour l'aspect méthodologie. Par ailleurs on sait depuis bien longtemps que la quantité de failles d'une application, ou d'un système d'information, est directement proportionnel au nombre de lignes de code et cela quelque soit l'attention portée à la qualité du travail de développement. C'est statistique. On sait aussi que la plus grosse partie des intrusions réussies le sont en exploitant des failles applicatives. c'est environ 50% du "marché". Sans même parler de la complexité de l'imbrication des fonctionnalités sur un même système, on voit bien qu'ajouter des applicatifs (Squid, Squid light, etc ...) sur un firewall va mécaniquement, mathématiquement, dégrader la sécurité de ce système.
Le problème est-il le dimensionnement matériel ? Car si c'est bien ça, nous maîtrisons suffisamment ce besoin et cette solution pour garantir que ça passera très bien.

Ça c'est en situation normal, en fonctionnement nominal. Le problème c'est que se passe t il si on sort de ce fonctionnement ? Quelle probabilité que cela se produise ? Je vous invite à regarder les posts, assez nombreux, d'utilisateurs plus ou moins expérimentés qui sont à la peine parce qu'inexplicablement squid se met à consommer 100% de la cpu de la machine. Comment va se comporter votre firewall, que devient sa disponibilité, comment assure t il, ou pas, le filtrage des paquets ? Sur le comportement d'un système sous stress je vous recommande quelques recherches concernant les switchs, avec ou sans vlans, lorsque la charge cpu est forte.
Voilà rapidement pourquoi mettre sur un même système firewall et proxy, dont les besoins en ressources sont très contradictoires, est un mauvais choix, du moins un choix qui dégrade la sécurité. Pourquoi installer soigneusement un firewall pour ensuite le compromettre potentiellement par des composants étrangers ?

Je n'ai pas le temps de détailler les problématiques de redondance multi opérateurs. Je confirme que les coups de pelleteuse dans un faisceau de fibres ça fait très mal (cf ce printemps dernier dans le secteur du plateau de Vélizy ...).
Dernière édition par ccnet le 18 Avr 2012 12:06, édité 1 fois.
ccnet
 
Message(s) : 113
Inscription : 02 Nov 2011 08:51
Localisation : Paris

Re: Demande de conseil pour mon mémoire

Message par Voan » 18 Avr 2012 09:34

Merci, vu sous cette angle c'est nettement plus convaincant :)
Je vais décortiquer tout ça et le proposer à ma direction.


jdh a écrit :Perso, je déconseille 2 opérateurs,
- première raison : on paye un opérateur pour rien pour 99% du temps,

En utilisant le protocole de routage HSRP, on encapsule nos paquets à l'entrée du routeur, on l'envoie sur l'un ou l'autre des opérateurs selon son adresse de destination (si c'est du serveur de prod : Orange, tout le reste : SFR) et on le désencapsule à l'arrivée. Et si un des deux opérateurs ne répond pas, on envoie tout sur l'autre. Donc on utilise bien les deux tant qu'ils fonctionnent les deux. (Et c'est dimensionné pour : 6Mo chez Orange, ce qui correspond environ au trafic de prod, 2Mo chez SFR, qui couvre largement le reste. Et oui, si Orange tombe, on sera dans une situation très dégradée, mais on pourra continuer à travailler).

jdh a écrit :- deuxième raison : on doit gérer une infrastructure avec double routeurs et la bascule n'est JAMAIS automatique et transparente,

Jamais automatique je ne suis pas d'accord, je ne dis pas qu'on est pas à l'abri qu'un routeur ne bascule pas tout seul, encore qu'avec du Cisco on est relativement tranquille, mais c'est quand même fait pour être automatique. Transparent, on risque d'avoir des micro-coupures lors de la bascule, mais si quelqu'un à mieux à proposer.
jdh a écrit :- troisième raison : on n'évacue pas assez le trafic vers Internet site par site.

Je ne suis pas sûr de comprendre, c'est un problème de débit ?

jdh a écrit :La panne dans le coeur de réseau, il n'y a que la pénalité qui est comprise (et elle ne s'applique pas à la force majeure dont l'orage).

Je ne comprends pas non plus, une pénalité financière ? On ne veut pas payer moins cher, on veut que ça marche.
Voan
 
Message(s) : 4
Inscription : 13 Avr 2012 08:44

Re: Demande de conseil pour mon mémoire

Message par jdh » 18 Avr 2012 09:54

Je n'ai écrit que du "basique" pour expliquer la différence entre un proxy et un firewall. (confirmé par ccnet ... forcément)

Dans ma dernière entreprise, il y avait 2 sites principaux relié par un VPN Ipsec sur une SDSL 1M de part et d'autres.
Lors de la fin du contrat de 3 ans, j'ai mis un autre opérateur dans la boucle.
Le nouvel opérateur proposait des SDSL 2M pour la moitié du prix (gain x4 : 2 pour le débit, 2 pour le prix).
Du coup, on a migré d'opérateur et mis une ADSL relié à un proxy sur chaque site.

L'intérêt de disposer d'un proxy est d'avoir une vitesse "normale" d'ADSL soit entre 8 et 20Mb alors que la ligne principale n'est qu'une SDSL 2M. (De plus, faisant du POP, j'ai rajouté un proxy-pop sur le proxy : p3scan).

Cet ADSL, combiné au proxy, élimine donc du trafic qui aurait passé dans le VPN sur SDSL, et est, de plus, plus rapide !


La pénalité dans le cas de non respect de la GTR est une OBLIGATION : ça ne répare pas, mais c'est une mise en condition.
Par exemple, 6h au lieu de 4h = 1 mois de la ligne, ça met en condition l'opérateur !


L'infra avec doubles routeurs reste à gérer. C'est intéressant à mettre au point, c'est clair.
Mais un patron devrait dire : ce n'est pas notre boulot !
Perso, je préfère payer 25 ou 30% de plus pour ne pas payer un opérateur supplémentaire (et ne pas gérer moi-même la bascule).
Il reste ESSENTIEL que l'opérateur fournisse un accès SNMP sur ses routeurs pour mettre en place un MRTG de suivi (ou autre CACTI).
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers


Retour vers Aide aux devoirs

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron