C'est ce dernier type qui a propulsé la notion de périmètre au devant de la scène. Dans une interconnexion mixte entre réseaux privés et réseaux publics partagés on ne peut plus se permettre de ne contrôler que la diffusion.
Aujourd'hui, un périmètre de contrôle doit répondre à 2 objectifs : la qualité de service réseau et la sécurisation des accès. En règle générale, on définit plusieurs périmètres à l'intérieur d'une infrastructure privée suivant les niveaux de contrôle que l'on veut instaurer.
Le découpage en vogue consiste à constituer une «zone démilitarisée» (DMZ) ou «réseau écran» entre le réseau public partagé (l'Internet) et le réseau privé. Dans tous les cas, on cherche à faire coïncider les périmètres de sécurité et de qualité de service.
|
Face à la croissance constante du trafic sur tous les types de réseaux, l'augmentation de la bande passante ne peut résoudre tous les problèmes. C'est ce constat qui a conduit au développement de la qualité de service réseau.
La qualité de service (QoS ou Quality of Service) se définit au moins à deux niveaux d'après le standard RFC3198 Terminology for Policy-Based Management :
Aptitude à délivrer des services réseau suivant les paramètres spécifiés par une convention de service (Service Level Agreement).
Ensemble de fonctions qui permet à un fournisseur de services de contrôler les priorités, la bande passante et les temps d'attente. Il existe deux approches de mise en oeuvre de qualité de services sur les réseaux IP : services intégrés [ RFC1633 Integrated Services in the Internet Architecture: an Overview] et services différenciés Differentiated Services. La signalisation est assurée par le protocole RSVP [ RFC2205 Resource ReSerVation Protocol (RSVP) -- Version 1 Functional Specification] pour les services intégrés et par le protocole DiffServ [ RFC2475 An Architecture for Differentiated Service] pour les services différenciés. RSVP alloue les ressources du réseau par flux en se basant sur les besoins quantitatifs des applications. DiffServ assure le marquage des en-têtes de paquets IP pour affecter une priorité sur plusieurs flux.
Une fois le mécanisme de priorité disponible, la mise en place d'une qualité de service suppose la définition des règles pour utiliser ce mécanisme. Pour garantir le respect de ces règles, on emploie une «police» (policy) qui les impose aux limites d'un périmètre. On parle de routing policies.
|
La «règle d'or» de la sécurité réseau veut que le contrôle d'accès soit appliqué sur les équipements réseau. Les équipements d'interconnexion les plus importants sont placés aux frontières des périmètres. Une politique de routage (routing policiy) s'applique à chaque paquet IP traversant le routeur d'extrémité du périmètre tandis que l'authentification ne s'applique qu'à la première utilisation d'une application.
Le respect de cette règle impose une hiérarchie dans le contrôle d'accès.
Routage filtrant : sélection des réseaux (autres périmètres) pouvant accéder au périmètre à contrôler.
Sélection des services ouverts : fermeture de tous les ports/services inutiles à l'intérieur du périmètre à contrôler.
Administration des services ouverts : restriction des accès par services. En général chaque application/service (bind, sendmail, apache, etc.) possède ses propres mécanismes de sécurité.
Avec le développement des échanges commerciaux ou des échanges entre les différents sites géographiques d'une même société, il est nécessaire d'envisager la sécurisation des échanges entre périmètres. La mise en place de tunnels de communication chiffrés entre périmètres permet de sécuriser le transport de l'information sur les réseaux publics partagés. On parle alors de Réseaux Privés Virtuels (VPN : Virtual Private Network).
Les différents types de Réseaux Privés Virtuels sont présentés dans l'article Logiciel Libre & Technologies Réseaux.
![[Linux France logo]](./../../images/lf-petit.png)
Vous êtes ici : 