Par définition, la sécurité d'un système d'information est une chaîne de fonctions dont la résistance est égale à celle du maillon le plus faible. La thématique de cet article peut être considérée comme une fonction de sécurité. En effet, il est essentiel d'avoir un accès sûr et continu aux équipements d'interconnexion et|ou d'être capable de redémarrer avec des jeux de configurations fiables en cas de défaut.
L'objet de cet article n'est pas de développer en détails les aspects sécurité de la gestion des équipements réseau. Pour autant, on peut essayer d'énoncer «la règle d'or» de la sécurisation des équipements à partir l'expression consacrée en anglais : toutes les opérations de gestion des équipements doivent s'effectuer hors de la bande passante utilisateur. En anglais, on retrouve très fréquemment l'acronyme OOB pour Out Of Band management.
Dans la conception d'une architecture d'interconnexion réseau moderne, on doit systématiquement prévoir un périmètre dédié à la gestion de l'infrastructure. Les contours d'un tel périmètre varient en fonction du contexte. À minima, ce périmètre peut être constitué d'un VLAN pour un commutateur unique. Dès que le nombre des équipements s'étoffe un peu on doit disposer d'un réseau IP spécifique et de services complets : SSH, TFTP, SysLog, NTP, SNMP, DNS, WWW, etc.
Voici un exemple d'architecture type dans laquelle les signes
',-<
' matérialisent les accès de
gestion sur les équipements :
__ ___/ \_ ,-< pare-feu _/ \__ _V_____ .--. ,-< / \ (_______) | X|,-< __V________ / /______ | Internet . . .|__|routeur|__| X|__ |_=_=_=_=_=_/ /_=_=_=_| \_ . . . . __/ (_______) | X| `----' | / / | |\__ __/ ,-< ------ | ,-< |périmètre | \___/ __V________ | __V______ |accès .--' |_=_=_=_=_=_| | |_=_=_=_=_|| |..... | | périmètre | | '--' .------,~ .--.| | services | |..... | mgmt |' | .|, `------------' .------,~ | || .--| =| |client|' \------ / | .| | _________ | ||--,~ ======/\ .--| ------ |_=_=_=_=_| \------ /nt|' console \ | .| | périmètre| ======/ ||--,~ \ | ------ gestion| \------ /nt|' ___\ | | .--.| ======/ || \ ------ ,-< | .|, \------ / \ _V_____ =|services ======/ \ ligne spécialisée (_______) |gestion des \________________________|routeur|--- équipements (_______)
On retrouve ici les deux grandes catégories d'accès pour la gestion des équipements hors de la bande passante utilisateur.
- Ligne spécialisée
-
L'utilisation d'une ligne spécialisée est généralement préconisée pour obtenir un accès physique indépendant à l'infrastructure à moindre coût. Une ligne spécialisée présente une sécurité intrinsèque puisque le canal de communication est dédié et la limitation du débit ne pose pas de problème puisque les opérations de gestion des équipements ne consomment que très peu de bande passante. Cette solution est généralement proposée dans les offres d'hébergements externalisés.
- Réseau privé virtuel
-
Dans le cas où l'on ne dispose pas d'une deuxième voie d'accès physique à l'infrastructure, l'utilisation d'un réseau privé virtuel réservé à la gestion permet d'accéder aux équipements. Le principal défaut de cette solution est évident : le routeur «de tête» devient un point d'entrée encore plus sensible. Si on perd l'accès à ce routeur, on est coupé du reste de l'infrastructure.
Relativement à l'architecture type présentée ci-dessus, les systèmes GNU/Linux conviennent parfaitement à la mise en œuvre d'un ensemble de services spécifiques dédiés à la gestion des équipements réseau.
Tout d'abord, le serveur qui héberge les services du périmètre doit fonctionner avec GNU/Linux. C'est à cette condition que l'on pourra déployer les fonctions décrites dans la suite du document :
-
Routage directement intégré au serveur avec Quagga. Voir Routage et Qualité de service. Dans le cas d'un système d'information utilisant le protocole de routage OSPF, Quagga peut très bien servir de «démon de référence» dans les calculs de topologie du réseau effectués par les autres équipements.
-
Centralisation des accès de configuration. Voir Section 3, « Accès à la console ».
-
Centralisation des copies de sauvegarde des configurations. Voir Section 4, « Echanges avec le protocole TFTP ».
-
[FIXME: compléter avec les autres fonctions de gestion].
Ensuite, pour accéder à distance aux services du périmètre de gestion des équipements, les outils GNU/Linux fournissent tout un panel de solutions de transmissions chiffrées. :
-
On peut utiliser OpenSSH pour ouvrir une console à distance et effectuer les opérations de configuration. Voir Section 3, « Accès à la console ».
-
On peut utiliser Stunnel pour chiffrer et|ou translater les communications sur un service (ou numéro de port) unique. Il est tout à fait possible d'échanger des fichiers d'image système ou de configuration via TFTP à travers un réseau public. Stunnel sert alors à chiffrer les communications sur le numéro de port 69 après avoir authentifié les deux extrémités à l'aide de leurs certificats respectifs. Voir Section 4, « Echanges avec le protocole TFTP ».
-
Enfin, on peut utiliser OpenVPN pour un chiffrement global des communications entre la console et le serveur à travers un réseau public. Le coût de mise en œuvre de cet outil est tellement dérisoire relativement aux solutions propriétaires, qu'il ne faut pas rater une occasion de l'utiliser !