Présentation de ARV

Sommaire
  1. ARV en mode certificats auto-signés ou certificats signés
  2. Les éléments d'un Réseau Virtuel Privé
  3. Les tunnels
  4. Les modèles

ARV[1] est l'acronyme de : Administration de Réseaux Virtuels.

ARV permet de construire un modèle de configuration RVP[2]. C'est un logiciel qui permet de générer des configurations RVP pour strongSwan[3].

http://www.strongswan.org/

ARV est pré-configuré dans le module Sphynx.

Le serveur Sphynx doit être enregistré sur Zéphir pour permettre de gérer les RVP des modules EOLE enregistrés sur Zéphir.

Un seul "Sphynx ARV" pourra gérer les RVP des modules Amon mais également d'autres "Sphynx distants".

ARV en mode certificats auto-signés ou certificats signés

Le Réseau Virtuel Privé[2] (RVP) est prévu pour fonctionner en mode PKI[4] :

  • mode certificats auto signés (par CA locale) ;

  • mode certificats signés (par CA externe).

Le concentrateur RVP (Sphynx) est pré-configuré pour fonctionner de cette façon.

Les connexions établies à l'aide de certificats auto signés et de certificats signés par une CA externe peuvent coexister sur ce serveur.

Le fonctionnement du concentrateur Sphynx en mode certificats signés nécessite comme pré-requis, un certificat délivré par l'Autorité de Certification (AC ou CA). Toute la gestion des certificats et des clefs nécessite une infrastructure de type RACINE[5] (chaque configuration établissement doit obtenir également un certificat).

Les éléments d'un Réseau Virtuel Privé

Un Réseau Virtuel Privé est composé de différents éléments :

  • un concentrateur RVP :

    il permet la concentration des tunnels en provenance des établissements extérieurs (topologie en étoile) avant de les rediriger vers le sous réseau de concentration choisi ;

  • le pare-feu Amon :

    point d'entrée dans le réseau établissement et point de sortie unique de l'établissement vers Internet (une extrémité du tunnel RVP) ;

  • le lien sécurisé :

    lien entre un nœud de type pare-feu Amon et un concentrateur RVP, ce lien est sécurisé par des certificats SSL. Les tunnels passeront dans le lien sécurisé ;

  • le tunnel :

    connexion au travers l'Internet permettant de relier deux réseaux locaux ;

  • le réseau local :

    situé derrière le pare-feu Amon (réseau établissement) ou derrière le concentrateur, il est composé de plusieurs sous-réseaux composés eux mêmes de stations.

La création de ce RVP permet donc de relier l'établissement à un ou plusieurs sous-réseaux des services académiques, mais également à plusieurs concentrateurs RVP et à plusieurs établissements.

Il est possible de choisir à l'intérieur de l'établissement la station, les stations du sous-réseau, le(s) sous-réseau(x) pouvant transiter au travers du tunnel ou des tunnels, et ainsi bénéficier des avantages du RVP (chiffrement des informations).

Le schéma ci-dessous récapitule de manière simple les différents composants d'un Réseau virtuel privé.

Les éléments d'un réseau virtuel privé
Les éléments d'un réseau virtuel privé

AttentionServeurs impactés

Pour monter un tunnel vous devez intervenir sur les serveurs suivant : Sphynx, Amon, Zéphir (pour les utilisateurs du gestionnaire de parc). Vous devez également connaître les éléments des réseaux à relier.

C'est à dire :

  • coté pare-feu Amon : la station, les sous-réseaux ou le réseau de l'établissement à translater dans le tunnel ;
  • coté concentrateur : les sous-réseaux de concentration à atteindre.

Les tunnels

Le module Amon accepte de monter de 1 à n tunnels vers 1 ou n concentrateur RVP et vers 1 ou n Amon.

Avec ARV, il est possible de mélanger les modes.

On peut donc envisager, par exemple, d'avoir dans un établissement :

  • un tunnel vers un serveur Sphynx académique protégeant les flux administratifs ;
  • un tunnel faisant transiter certains flux vers un autre serveur Sphynx utilisant une CA différente ;
  • un tunnel vers un autre site de son établissement connecté sur internet par un Amon.

Ces trois tunnels passeront dans trois liens sécurisés différents.

Les tunnels sont montés de façon permanente, une vérification automatique depuis l'extrémité établissement est mise en place. Elle permet de remonter le tunnel en cas de problème.

Les modèles

ARV est composé de deux vues :

  • la vue abstraite, appelée modèle ;

  • la vue concrète, avec les pare-feu Amon, les concentrateurs RVP, les liens sécurisés et les tunnels.

Un modèle est un squelette de réseau virtuel. Il permet de schématiser les relations entre les réseaux locaux de chaque serveur (Amon--concentrateur RVP et Amon--Amon). Chaque tunnel final sera basé sur ce modèle.