Réseau Local/Sécurité matériel

Une page de Wikiversité.
Sauter à la navigation Sauter à la recherche
Début de la boite de navigation du chapitre
Sécurité matériel
Icône de la faculté
Chapitre no 2
Leçon : Réseau Local
Chap. préc. :Présentation
Chap. suiv. :Sécurité logiciel
fin de la boite de navigation du chapitre
En raison de limitations techniques, la typographie souhaitable du titre, « Réseau Local : Sécurité matériel
Réseau Local/Sécurité matériel
 », n'a pu être restituée correctement ci-dessus.

Pour protéger un réseau local il existe des solutions matérielles telles que citées ci-dessous :

D'autres solutions existent, notamment en termes d'architecture comme :

Firewall[modifier | modifier le wikicode]

Définition[modifier | modifier le wikicode]

Un Firewall (appelé aussi PareFeu ou garde-barrière ), est un moyen matériel (ou logiciel en couche basse) permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment internet). Le pare-feu permet de filtrer les paquets de données échangés avec le réseau.

Le principe[modifier | modifier le wikicode]

Un système pare-feu contient un ensemble de règles prédéfinies qui permettent :

  • D'autoriser la connexion (ALLOW)
  • De bloquer la connexion (DENY)
  • De rejeter la demande de connexion sans avertir l'émetteur (DROP)

L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage et d'autoriser uniquement les communications ayant été explicitement autorisées

Le Filtrage[modifier | modifier le wikicode]

Le filtrage simple de paquets[modifier | modifier le wikicode]

Un système Firewall fonctionne sur le principe du filtrage simple de paquets (en anglais « stateless packet filtering »). Il analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau interne et une machine extérieure.

Le filtrage dynamique[modifier | modifier le wikicode]

Le filtrage simple de paquets s'attache à examiner les paquets IP indépendamment les uns des autres, ce qui correspond au niveau 3 du modèle OSI. La plupart des connexions reposent sur le protocole TCP, qui gère la notion de session, afin d'assurer le bon déroulement des échanges. Ainsi de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est-à-dire de manière aléatoire) un port afin d’établir une session entre la machine faisant office de serveur et la machine du client.

Le filtrage applicatif[modifier | modifier le wikicode]

Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif opère donc au niveau 7 (couche application) du modèle OSI. Le filtrage applicatif suppose donc une connaissance des protocoles utilisés par chaque application.

Notion de pare-feu personnel[modifier | modifier le wikicode]

Un firewall personnel permet de contrôler l'accès au réseau des applications installées sur la machine, et notamment empêcher les attaques, c'est-à-dire des programmes nuisibles ouvrant une brèche dans le système . Le firewall personnel permet en effet de repérer et d'empêcher l'ouverture non sollicitée de la part d’applications non autorisées à se connecter.

Les limites des firewalls[modifier | modifier le wikicode]

Un système pare-feu n'offre bien évidemment pas une sécurité absolue. Les firewalls n'offrent une protection que dans la mesure où l’ensemble des communications vers l'extérieur passe systématiquement par leur intermédiaire et qu’ils sont correctement configurés. Les accès au réseau extérieur par contournement du firewall sont autant de failles de sécurité. Notamment dans le cas des connexions effectuées à partir du réseau interne à l'aide d'un modem ou de tout moyen de connexion échappant au contrôle du pare-feu.

De la même manière, l’introduction de supports de stockage provenant de l'extérieur sur des machines internes au réseau ou bien d'ordinateurs portables peut porter fortement préjudice à la politique de sécurité globale.

Enfin, afin de garantir un niveau de protection maximal, il est nécessaire d'administrer le pare-feu et notamment de surveiller son journal d'activité afin d’être en mesure de détecter les tentatives d'intrusion et les anomalies. Par ailleurs, il est recommandé d'effectuer une veille de sécurité (en s'abonnant aux alertes de sécurité des CERT par exemple) afin de modifier le paramétrage de son dispositif en fonction de la publication des alertes.

Les systèmes RAID[modifier | modifier le wikicode]

Définition[modifier | modifier le wikicode]

Le RAID est un ensemble de techniques de virtualisation du stockage permettant de répartir des données sur plusieurs disques durs afin d'améliorer soit les performances, soit la sécurité ou la tolérance aux pannes de l’ensemble du ou des systèmes. RAID est l'acronyme de Redundant Array of Inexpensive Disks (parfois Redundant Array of Independent Disks), à traduire par Ensemble redondant de disques indépendants.

Les différents types de RAID[modifier | modifier le wikicode]

Le RAID logiciel[modifier | modifier le wikicode]

En RAID logiciel, le contrôle du RAID est intégralement assuré par une couche logicielle du système d'exploitation. Cette couche s'intercale entre la couche d'abstraction matérielle (pilote) et la couche du système de fichiers.

Le RAID pseudo-matériel[modifier | modifier le wikicode]

L'extrême majorité des contrôleurs RAID bon marché intégrés à de nombreuses cartes mères récentes gèrent souvent le RAID 0 et 1. Malgré le discours marketing qui tend systématiquement à induire en erreur sur ce point, il ne s'agit que d'un contrôleur de disque doté de quelques fonctions avancées.

Le RAID matériel[modifier | modifier le wikicode]

Dans le cas du RAID matériel, une carte ou un composant est dédié à la gestion des opérations. Le contrôleur RAID peut être interne à l'unité centrale (carte d'extension) ou déporté dans une baie de stockage.

Un contrôleur raid est en général doté d'un processeur spécifique, de mémoire, éventuellement d'une batterie de secours, et est capable de gérer tous les aspects du système de stockage RAID grâce à son FIRMWARE (programme électronique de base).

Du point de vue du système d'exploitation, le contrôleur RAID matériel offre une virtualisation complète du système de stockage. Le système d'exploitation considère chaque volume RAID comme un disque et n'a pas connaissance de ses constituants physiques.

Les différents niveaux de RAID[modifier | modifier le wikicode]

Les niveaux standard[modifier | modifier le wikicode]

RAID 0[modifier | modifier le wikicode]
RAID 0

Le RAID 0, est une configuration RAID permettant d'augmenter significativement les performances de la grappe en faisant travailler n disques durs en parallèle (avec n≥2).

Ce type de RAID est parfait pour des applications requérant un traitement rapide d'une grande quantité de données. Mais cette architecture n'assure en rien la sécurité des données. En effet, si l'un des disques tombe en panne, la totalité des données du RAID est perdue.


RAID 1[modifier | modifier le wikicode]
RAID 1

Le RAID 1 consiste en l’utilisation de n disques redondants (avec n\ge2), chaque disque de la grappe contenant à tout moment exactement les mêmes données, d'où l’utilisation du mot « miroir » (MIRRORING en anglais).

Lors de la défaillance de l'un des disques, le contrôleur RAID désactive (de manière transparente pour l'accès aux données) le disque incriminé. Une fois le disque défectueux remplacé, le contrôleur RAID reconstitue, soit automatiquement, soit sur intervention manuelle, le miroir.


RAID 5[modifier | modifier le wikicode]
RAID 5

Le RAID 5 (RAID 7 et RAID 12 ) combine la méthode du volume agrégé par bandes (STRIPING) à une parité répartie. Il s'agit là d'un ensemble à redondance N+1. La parité, qui est incluse avec chaque écriture se retrouve répartie circulairement sur les différents disques. Chaque bande est donc constituée de N blocs de données et d'un bloc de parité. Ainsi, en cas de défaillance de l'un des disques de la grappe, pour chaque bande il manquera soit un bloc de données soit le bloc de parité. Si c’est le bloc de parité, ce n’est pas grave, car aucune donnée ne manque. Si c’est un bloc de données, on peut calculer son contenu à partir des N-1 autres blocs de données et du bloc de parité. L'intégrité des données de chaque bande est préservée. Donc non seulement la grappe est toujours en état de fonctionner, mais il est de plus possible de reconstruire le disque une fois échangé à partir des données et des informations de parité contenues sur les autres disques.


Les niveaux de RAID peu courants[modifier | modifier le wikicode]

  • Le RAID 2 est aujourd’hui obsolète. Il combine la méthode du RAID 0 (volume agrégé par bande, striping en anglais) à l'écriture d'un code de contrôle d'erreur par code de Hamming (code ECC) sur un disque dur distinct or l'écriture de ce code de contrôle est désormais directement intégrée dans les contrôleurs de disques durs. Cette technologie offre un bon niveau de sécurité, mais de moins bonnes performances.
  • Le RAID3 et le RAID4 sont sensiblement semblables sauf que le premier travaille par octets et le second par blocs. Le RAID4 ne nécessite pas autant de synchronisme entre les disques. Le RAID3 tend donc à disparaître au profit du RAID4 qui offre des performances nettement supérieures.
  • Le RAID 6 est une évolution du RAID 5 qui accroît la sécurité en utilisant n informations redondantes au lieu d'une. Il peut donc résister à la défaillance de n disques. Les fondements mathématiques utilisés pour les informations de redondance du RAID 6 sont beaucoup plus complexes que pour le RAID 5 ; les implémentations de l'algorithme se limitent souvent à n=2 (soit la perte de 2 disques) de ce fait.
  • Un système de stockage grevé de brevets appelé RAIDn11 prétend permettre de dépasser largement les capacités du RAID 6.
  • RAID DP (Dual Parity) ressemble au RAID6 à ceci près qu'en RAID DP les disques de parité sont fixes. Ce type de RAID est adopté en général sur les serveurs de stockage NAS. La société NetApp utilise cette technologie.

L'onduleur[modifier | modifier le wikicode]

Un onduleur (UPS en anglais, pour Uninterruptible Power Supply) est un dispositif permettant de protéger des matériels électroniques notamment des serveurs contre les aléas électriques. Il s'agit ainsi d'un boîtier placé en interface entre le réseau électrique (branché sur le secteur) et les matériels à protéger.

Un onduleur gère principalement :

  • Les micro-coupures de courant de quelques millièmes de seconde pouvant se traduire par le redémarrage de l'ordinateur.
  • Coupure électrique, correspondant à une rupture en alimentation électrique pendant un temps déterminé (généralement très court compte tenu de l'autonomie).
  • Surtension, c'est-à-dire une valeur nominale supérieure à la valeur maximale prévue pour le fonctionnement normal des appareils électriques.
  • Sous-tension, c'est-à-dire une valeur nominale inférieure à la valeur maximale prévue pour le fonctionnement normal des appareils électriques.
  • Pics de tension. Il s'agit de surtensions instantanées (pendant un temps très court) et de forte amplitude. Ces pics, dus à l'arrêt ou la mise en route d'appareils de forte puissance, peuvent à terme endommager les composants électriques.
  • Foudre, représentant une surtension très importante intervenant brusquement lors d'intempéries (orages).

Pour résumé, l'onduleur permet de prendre le relais au niveau électrique lorsque des pannes surviennent pendant un laps de temps relativement court, mais qui permet à l'administrateur de sauvegarder puis d'éteindre proprement le ou les appareils.

Zone démilitarisée[modifier | modifier le wikicode]

Illustration d'une zone démilitarisée ou DMZ

Une zone démilitarisée (ou DMZ, de l'anglais DeMilitarized Zone) est un sous-réseau séparé du réseau local et isolé de celui-ci et d'Internet par un fire-wall. Ce sous-réseau contient les machines étant susceptibles d’être accédées depuis Internet.

Le fire-wall bloquera les accès au réseau local pour garantir sa sécurité. Et les services susceptibles d’être accédés depuis Internet seront situés en DMZ.

En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non au réseau local.

Le nom provient à l'origine de la zone coréenne démilitarisée.

Dans une architecture DMZ avec un pare-feu à trois interfaces, l'inconvénient est que si cet unique pare-feu est compromis, plus rien n'est contrôlé. Il est cependant possible d’utiliser deux pare-feu en cascade afin d'éliminer ce risque. Il existe aussi des architectures de DMZ où celle-ci est située entre le réseau Internet et le réseau local, séparée de chacun de ces réseaux par un pare-feu.

La peinture Anti-wifi[modifier | modifier le wikicode]

Une peinture anti-WiFi est une peinture à base d'oxydes d'aluminium et de fer, utilisée pour absorber et bloquer les fréquences WiFi. Les peintures anti-WiFi peuvent bloquer des fréquences supérieures à 100 GHz et même 200 GHz. Les particules d'aluminium et de fer sont magnétiques et résonnent aux fréquences WiFi et aux ondes radio. Actuellement, cette peinture est utilisée dans la majeure partie des cas pour prévenir la captation des données par des tiers. Elle peut aussi être utilisée :

  • dans les hôpitaux pour protéger les salles sensibles aux perturbations
  • dans les universités pour isoler les salles d'examen
  • ...