docRéseaux Sans-Fil Démarche projet et exemples de déploiement
download 
Plainte Transcription
Réseaux Sans-Fil Démarche projet et exemples de déploiement
JSF Journée Journée Sans-Fil Sans-Fil Grenoble Architecture sécurisée de niveau 3 : VPN [email protected] JSF Journée Journée Sans-Fil Sans-Fil Plan Contexte Solution technique déployée Coût du déploiement Exploitation de la solution Statistiques d’utilisation Bilan de la solution et avenir JSF Journée Journée Sans-Fil Sans-Fil Contexte JSF Déploiement académie de Grenoble Journée Journée Sans-Fil Sans-Fil Contexte 5 Universités (UJF, UPMF, Stendhal, INPG, Savoie) 60 000 étudiants, 5 000 personnels Plusieurs campus mutualisés 5 CRI + 1 Service Inter-U Des centres de ressources informatiques dans les Universités Un inter-U fédérateur (Réseau métropolitain sur Grenoble) Le CNRS puis le CROUS de l’académie ont rejoint l’infrastructure existante JSF Journée Journée Sans-Fil Sans-Fil Solution technique déployée JSF Déploiement : comment ça marche ? Journée Journée Sans-Fil Sans-Fil Les bornes présentent un SSID ouvert L’utilisateur se voit affecter une adresse IP privée L’utilisateur accède : aux concentrateurs VPN de son établissement qui l’authentifie au site Web Inter-U de diffusion du logiciel client VPN-IPSec Authentification/Chiffrement : solution « VPN IPSec » On ne peut rien faire sans s’authentifier On établit un tunnel chiffré pour sécuriser les échanges sans-fil Suivi des connexions la solution retenue offre une traçabilité complète des connexions Raccordement des campus distants avec des tunnels JSF Journée Journée Sans-Fil Sans-Fil Principe d’architecture technique sans-fil campus Routeur inter-U Vers réseaux extérieurs, Renater Et le reste du monde Serveurs Radius/Ldap Concentrateur VPN Routeur organisme 1 Serveur DHCP Routeur organisme i Concentrateur VPN Routeur organisme 2 Filtrage trafic Sans-fil/VPN Réseaux filaire organisme 1 VLAN sans-fil organisme 1 Serveurs Radius/ldap Filtrage trafic Sans-fil/VPN Serveur DHCP Réseaux filaire organisme i VLAN sans-fil organisme i JSF Scénario de connexion VPN-IPSec Journée Journée Sans-Fil Sans-Fil Routeur inter-U Vers réseaux extérieurs, Renater Et le reste du monde Serveurs Radius/Ldap Concentrateur VPN Serveurs Radius/ldap Concentrateur VPN Serveur DHCP Routeur organisme 1 Routeur organisme 2 Serveur DHCP PC organisme 1 PC organisme 2 JSF Annuaire d‘établissement Journée Journée Sans-Fil Sans-Fil DSIGU HARPEGE (SGBD) Grenoble 1 Réplicat LDAP Free radius Connecteur Radius Grenoble 2 / INPG LDAP Grenoble 1 Réplicat LDAP users VPN users Free radius VPN Grenoble 3 Grenoble 2 Grenoble 3 Réplicat LDAP Cisco ACS IMAG APOGEE (SGBD) LDAP VPN Free radius Connecteur Radius users VPN JSF Journée Journée Sans-Fil Sans-Fil Mode de gestion des utilisateurs hors établissements Pour les conférences suivant les établissements : création de comptes temporaires sur les serveurs radius. une clé partagée en WPA ou WPA2 est mise à disposition des participants (restriction des services), Pour le CROUS de l’académie côté utilisateurs : les BTS sont enregistrés dans un annuaire indépendant. JSF Déploiement académie de Grenoble Journée Journée Sans-Fil Sans-Fil Déploiement au coup par coup Chaque établissement déploie ses sites en fonction des demandes et du budget réalise l’identification/authentification de ses utilisateurs gère et supervise son réseau sans-fil Une solution technique commune : VPN IPSec JSF Journée Journée Sans-Fil Sans-Fil Politique de sécurité du réseau sans-fil Chaque établissement a sa politique de sécurité : Restriction des services accessibles suivant le type de population : étudiants, personnels, enseignants/chercheurs, accès réservé uniquement à la population de l’établissement, accès ouvert à tous quelque soit l’établissement. Restrictions horaires dans certains cas (nuit, weekend) JSF Journée Journée Sans-Fil Sans-Fil Coût du déploiement JSF Les coûts de la solution Journée Journée Sans-Fil Sans-Fil Coûts (hors déploiement des bornes) Serveurs d'authentification Serveur Dell 860 ≈ 1 200 € ACS Cisco ≈ 5 000 € Clients VPN Cisco multi-plateformes gratuits Concentrateur VPN 3030 : ≈ 13 000 € (1 500 connexions) Bornes Cisco AP1121G : ≈ 530 € JSF Journée Journée Sans-Fil Sans-Fil Exemples de coût matériel Université Joseph Fourier : minimum 158 000 € 200 bornes (Cisco AP1121) 4 concentrateurs VPN Université Pierre Mendès France : minimun 39 500 € 50 bornes (Cisco AP1120B, AP1121G, AP1130AG) 1 concentrateur VPN Université de Savoie : minimum 116 600 € 171 bornes déployées (AP Cisco 1231g/1130g) 2 concentrateurs VPN 3020 JSF Journée Journée Sans-Fil Sans-Fil Budget de déploiement des CROUS pour l’académie CCTP réalisé par une société extérieure 1ère tranche CROUS Grenoble et Chambéry Projet pour 1 050 chambres – réalisé au 1er semestre 2007 Génie Civil et fibre optique : ≈ 27 000 € Câblage et équipements actifs : ≈ 150 000 € 84 bornes et 2 contrôleurs de bornes 2ème tranche CROUS Grenoble Projet pour 1 300 chambres – en cours de déploiement Génie Civil et fibre optique : ≈ 35 000 € Câblage et équipements actifs : ≈ 136 000 € 91 bornes et 1 contrôleur de bornes JSF Journée Journée Sans-Fil Sans-Fil Exploitation de la solution JSF Journée Journée Sans-Fil Sans-Fil Gestion des équipements Temps de maintenance des boîtiers VPN quasi nul Tester les nouvelles révisions des clients, des surprises sont toujours possibles (déboires avec Vista) Les bornes sont supervisées par des scripts Etude d’une solution de gestion centralisée des bornes JSF Journée Journée Sans-Fil Sans-Fil Support et assistance Assistance aux étudiants pour la configuration du client VPN Un guichet sur le campus : ouvert 20h/semaine Trois guichets sur des sites distants sur Grenoble : ouverts 2h/semaine . Assistance informatique pour les étudiants, à la DSI Grenoble Universités : ouvert du lundi au vendredi de 9h à 17h non-stop Mise en place d’un service Web commun entre les différents établissements pour : la configuration de l’accès nomade la diffusion d’une carte de couverture sans-fil JSF Journée Journée Sans-Fil Sans-Fil Statistiques d’assistance Nombre d’interventions pour la configuration du client VPN durant la période du 04/09/06 au 31/01/07 : 1 081 En moyenne 5 interventions de configuration de client VPN par jour à l’assistance informatique Nombre de consultations de la page d’aide VPN Wifi entre le 20/11/2006 et le 23/02/2007 : 594 Le temps d’installation du client VPN : 5 minutes dans le meilleur des cas en moyenne 20 minutes si des logiciels entrent en conflit (pare feu, antivirus, système instable…) 30 minutes voire plus si l’étudiant ne connaît pas son login et/ou son mot de passe JSF Journée Journée Sans-Fil Sans-Fil Moyens humains mis en oeuvre Ingénierie de mise en place 1 ETP pour l’ensemble des établissements Exploitation quotidienne Assistance : 1 ETP + roulement de 5 étudiants (≈ 1 ETP) Ils ont pour tâche la production des ressources présentes sur le site de l’assistance informatique étudiant. L’assistance prend en charge les étudiants pour : le bureau virtuel, ENT, LMS, Wifi, messagerie, bureautique, hard,… Gestion des bornes : 1 ETP pour l’ensemble des établissements JSF Journée Journée Sans-Fil Sans-Fil Statistiques d’utilisation JSF Journée Journée Sans-Fil Sans-Fil Statistiques d’utilisation du réseau • La métrologie est à la charge de chaque établissement • Université Joseph Fourier : – 200 bornes (Cisco AP1121) – 4 concentrateurs VPN – Depuis 2005, 2 715 étudiants et 464 personnels/invités différents 22/01/2007 2004 2005 2006 2007 Total % Total des connexions Personnels & Invités 0 2 909 28 603 3 205 34 717 34,13 % Total des connexions des Etudiants 35 4 902 87 374 9 420 101 731 74,56 % Total de toutes les connexions 35 7 811 115 977 12 625 136 448 100,00 % JSF Statistiques suite Journée Journée Sans-Fil Sans-Fil • Université Pierre Mendès France : 50 bornes (Cisco AP1120B, AP1121G, AP1130AG) 1 concentrateur VPN 13/06/2007 Total de toutes les connexions • 2004 2005 2006 2007 Total 3 061 27 621 88 676 82 802 202 160 Institut National Polytechnique de Grenoble : nombre de bornes non recensées 1 concentrateur VPN 23/01/2007 Total de toutes les connexions Nombre réel d’utilisateurs 2004 2005 2006 2007 Total 130 1 362 22 994 2 974 27460 26 68 632 249 JSF Statistiques suite Journée Journée Sans-Fil Sans-Fil Université de Savoie : 171 bornes déployées (AP Cisco 1231g/1130g) 2 concentrateurs VPN 3020 en équilibrage de charge et redondance 4 215 utilisateurs différents depuis mai 2005 4 sites couverts : Annecy, Chambéry, Jacob Bellecombette, Le Bourget Zones les plus fréquentées : Salles de réunion, amphis, salles de cours, lieux de vie (accueil, cafétéria, couloirs aménagés) JSF Journée Journée Sans-Fil Sans-Fil Bilan de la solution et avenir JSF Solution retenue pour le déploiement Journée Journée Sans-Fil Sans-Fil Avantages Possibilité de connexion dans tous les campus de l’académie Homogénéité de la solution retenue Confidentialité des échanges garantie Sécurité des réseaux conventionnels garantie Respect de la charte d’utilisation du réseau Solution utilisable en nomade quelque soit le réseau utilisé (sans-fil mais aussi adsl, ethernet, rtc…) JSF Solution retenue pour le déploiement Journée Journée Sans-Fil Sans-Fil Inconvénients Installation d’un logiciel sur les postes clients (téléchargement du client, droits d’installation, conflits avec des applications tierces) Gestion lourde de l’identification/authentification des utilisateurs le déploiement n’est pas immédiat (mise à jour de l’annuaire) Gestion d’un visiteur/invité Serveur VPN = goulot d'étranglement : en terme de performances (chiffrement), en terme de fiabilité (redondance possible). Impossibilité de monter un tunnel VPN dans un tunnel VPN Un réseau sans-fil ouvert peut facilement être paralysé Restreint à un usage interne aux Universités Grenobloises – Savoie Les agressions de vol à l’arraché avec ou sans violence sont courantes, surtout en période nocturne JSF Journée Journée Sans-Fil Sans-Fil Autres méthodes d‘accès sans fil Aucune autre méthode d’accès sans fil n’est en production au niveau des Universités Grenobloises et de Savoie Il n’en reste pas moins que de nombreux tests ont été réalisés et que pour l’instant : soit la traçabilité offerte n’est pas satisfaisante soit l’usage n’est pas confortable pour l’utilisateur JSF Journée Journée Sans-Fil Sans-Fil Accès sans fil pour du Web « Cahier des charges précis » : « 90 % des besoins des nomades sont de type Web pur » Simple en manipulation Accès Web pur Trace des utilisateurs Plusieurs types de solutions ont été étudiés dans ce cadre : Taxonomie propriétaire des solutions testées : L’approche Proxy avec Auto détection (sans client) L’approche Proxy Transparent (sans client) L’approche WEB-VPN-SSL (client léger) L’approche « portail captif » (sans client) JSF Journée Journée Sans-Fil Sans-Fil Intégration à Eduroam On a été partie prenante au début d’Arredu précurseur Eduroam en France, et on continue de suivre le projet Nous sommes convaincus de l’apport de la proxification radius L’authentification en 802.11i ou WPA2 reste en suspens concernant la traçabilité la configuration des postes nomades JSF Journée Journée Sans-Fil Sans-Fil L’avenir Réflexion sur la salubrité des postes (patchs + antivirus) Déployer une solution pour un meilleur accueil des invités avec comme contrainte la traçabilité Aller vers Eduroam
