| mon bureau | s'identifier |
information sur
  |  information pour 
 agenda  |  répertoires  |  bibliothèques  |  offres d'emploi  |  plan d'accès  |   |

Infrastructures des réseaux du système d'information (SRI)
    > UCL > Autres centres et services > SGSI > SRI
   
 
Introduction
Le réseau
L'accès au réseau
La téléphonie
La sécurité
Conclusion
Références
Annexe
 
Evolution du réseau informatique de l'UCL

Jean-Michel Beuken, Olivier Bonaventure, Jean-Luc Decamp,
Alain Fontaine, Freddy Gridelet, Jean-Claude Guyot,
Jean-Pierre Kuypers, Paul Tulkens

Février 2005

Note : Toutes les recommandations proposées par le Groupe de travail sur l'avenir du réseau UCL, ont été approuvées, en fonction de leur nature, soit par le Comité de direction du système d'information le 4 mars 2005, soit par le Conseil du système d'information le 15 juin 2005.

1  Introduction

Le réseau informatique de notre Université a connu deux phases principales. La première est la phase pionnière. Les premiers réseaux locaux ont été installés dans l'Université en 1985. Petit à petit, ces différents réseaux ont été interconnectés, notamment dans le cadre du projet Mercure [Lob90]. Durant cette phase, les réseaux étaient généralement expérimentaux et servaient essentiellement à des activités de recherche.

La deuxième phase a été celle du déploiement structuré. En 1997, le réseau a été reconnu comme un outil stratégique de rayonnement de l'UCL [DR]. C'est également à cette époque que l'architecture du réseau a été définie dans un plan directeur [FK]. Cette architecture est quasiment celle du réseau actuel. Durant cette deuxième phase, le réseau informatique est devenu accessible dans quasiment tous les bâtiments de l'Université.

Nous abordons actuellement la troisième phase de la vie du réseau informatique de l'Université. Depuis 1997, les équipements informatiques et l'Internet ont fortement évolué avec notamment l'importance croissante des problèmes de sécurité, la généralisation des ordinateurs portables et les réseaux sans fil. Face à cette évolution de l'environnement technologique, il est important de repenser notre réseau informatique.

Dans ce document, nous énonçons 15 recommandations qui ont pour but d'accompagner cette troisième phase du réseau informatique de l'Université. Nous détaillons en section 2 celles qui sont relatives au réseau lui-même. L'accès au réseau fait l'objet de la section 3. Ensuite, nous abordons les interactions entre le réseau informatique et le réseau téléphonique en section 4. Enfin nous discutons de l'important problème de la sécurisation du réseau dans la section 5.

2  Le réseau

2.1  L'infrastructure

Lors de l'installation du réseau fixe actuel, deux choix technologiques ont été faits. Le premier est d'utiliser une infrastructure de câblage standardisée (ISO 11801) basée sur des câbles à paires torsadées et des fibres optiques. Le second est d'utiliser le protocole IPv4 comme protocole fédérateur du réseau.

Recommandation 1 D'un point de vue physique, le réseau fixe doit continuer à s'appuyer sur le câblage structuré et les fibres optiques, multimodes et monomode, déjà installés dans et entre les bâtiments.

Aujourd'hui, IPv4 reste le protocole de base qui doit continuer à être supporté dans l'ensemble du réseau informatique. Depuis plusieurs années, la communauté Internet et les constructeurs d'équipements informatiques travaillent sur un successeur baptisé IPv6. A ce jour, le déploiement d'IPv6 reste anecdotique en dehors d'activités de recherche dans le domaine des réseaux. Il est difficile de prévoir quand IPv6 sera déployé à grande échelle, mais lorsque la demande arrivera, il faudra être capable d'y répondre rapidement.

Recommandation 2 Les nouveaux équipements à acquérir pour le réseau informatique doivent pouvoir supporter à la fois IPv4 et IPv6.

2.2  La disponibilité du réseau

En quelques années, le réseau informatique est devenu une ressource nécessaire au bon fonctionnement de l'ensemble de l'Université, tout comme les réseaux électrique et téléphonique. C'est un changement important par rapport aux premiers réseaux déployés qui servaient uniquement à des activités de recherche.

Le réseau est composé de deux régions : l'accès et le coeur. L'accès regroupe l'ensemble des équipements passifs et actifs qui soit sont directement connectés aux équipements terminaux (stations de travail, portables, imprimantes et la majorité des serveurs) ou ont pour mission principale d'interconnecter les équipements actifs d'un même bâtiment. Le coeur regroupe l'ensemble des équipements actifs qui permettent l'interconnexion de bâtiments différents, y compris l'accès à Internet et les liaisons entre Louvain-la-Neuve et Bruxelles.

Recommandation 3 En termes de disponibilité, l'objectif à atteindre pour le coeur du réseau est de 99,9%, cette disponibilité étant mesurée sur une période d'un an et en dehors des interventions programmées sur le réseau.

Ce taux de disponibilité est atteint par le coeur du réseau actuellement 1. Cette haute disponibilité du réseau est nécessaire au bon fonctionnement des services offerts aux membres de la Communauté universitaire mais ne garantit pas nécessairement une haute disponibilité de tous les services. En effet, le taux de disponibilité d'un service tel que notamment le courrier électronique dépend également de serveurs et de logiciels qui se trouvent en dehors du coeur du réseau.

2.3  Les capacités de transmission

La centralisation de serveurs dans le cadre de la réforme du PDSI, le déploiement de nouvelles applications telles que la visioconférence, les besoins de sauvegarde et d'archivage exprimés par plusieurs départements, le développement de l'e-Science qui poussent de plus en plus de scientifiques à manipuler de très gros volumes de données mais aussi les nouvelles formes de calcul scientifique vont nécessiter de plus grandes capacités de transmission. Ces nouvelles applications doivent pouvoir être utilisées et déployées de la même façon sur les deux sites de l'Université.

Recommandation 4 Si aujourd'hui la majorité des accès au réseau sont à 10 Mbps et les serveurs à 100 Mbps, il faudra rapidement considérer comme norme un accès à 100 Mbps pour les postes de travail dont le bon fonctionnement dépend directement d'un serveur (de fichiers par exemple) et 1 Gbps pour les serveurs.

Recommandation 5 La charge de la liaison entre les sites de Louvain-la-Neuve et Woluwe doit être surveillée et le débit de cette liaison doit pouvoir être amélioré si nécessaire.

2.4  Le réseau sans fil

Plusieurs réseaux officiels sans fil existent déjà dans l'Université. Chacun de ces réseaux dispose de modalités d'accès particulières, ce qui restreint inutilement leur utilisation. En outre, ces réseaux sont gérés par des équipes distinctes, ce qui engendre des surcošts inutiles. De plus, à côté de ces réseaux officiels, il existe de nombreuses bornes d'accès sans fil peu ou mal contrôlées qui risquent de rapidement poser des problèmes de sécurité à l'ensemble du réseau.

Recommandation 6 Il est important d'éviter l'anarchie dans les réseaux sans fil. Les réseaux actuels doivent être fédérés de façon à offrir, à l'ensemble des membres de la Communauté universitaire, un réseau sans fil ayant partout les mêmes modalités d'accès.

2.5  L'accès à Internet

Le réseau informatique d'une université n'a plus de sens aujourd'hui sans disposer d'une bonne connexion à l'Internet et aux réseaux de la recherche, que ce soit pour les activités de recherche, d'enseignement ou même d'administration si certains serveurs administratifs utilisés par plusieurs partenaires de l'Académie sont à terme centralisés à Louvain-la-Neuve.

Recommandation 7 Vu l'évolution des besoins des utilisateurs, il est important d'accroître rapidement le débit d'accès du réseau à Belnet. La liaison actuelle à 100 Mbps doit être considérée comme saturée.

3  L'accès au réseau

3.1  Accès dans les bâtiments académiques

Traditionnellement l'accès au réseau se faisait via des équipements connectés en permanence au réseau fixe. Depuis quelques années, l'utilisation grandissante de portables, tant par le personnel que par les étudiants, oblige le réseau à s'adapter à ces nouveaux besoins en offrant des possibilités accrues de connexion, que ce soit au réseau fixe ou via un réseau sans fil.

Recommandation 8 Vu l'importance de l'accès au réseau pour les activités d'enseignement, de recherche et dans une moindre mesure d'administration, tout membre de la Communauté universitaire devra pouvoir à terme avoir accès au réseau dans les bâtiments académiques. Le réseau doit pouvoir fournir différentes classes d'accès à différents utilisateurs.

Quelques suggestions concernant des modalités possibles d'accès au réseau sont reprises en annexe. Ces suggestions devront être affinées sur base de l'expérience acquise lors de leur déploiement.

D'un point de vue pratique, cet accès au réseau pourra se faire via le réseau fixe, par exemple en utilisant des prises libres ou via un réseau sans fil. Cet accès doit être soumis à un certain contrôle.

Recommandation 9 Il est nécessaire de pouvoir identifier les machines connectées au réseau informatique.

Recommandation 10 Il est nécessaire d'identifier et d'authentifier les utilisateurs qui sont à l'origine des connexions établies sur les équipements attachés au réseau informatique.

Du point de vue de la sécurité, il est important de noter que chaque nouvelle connexion au réseau est un risque, sachant qu'une machine infectée par un ver peut en quelques secondes infecter l'ensemble des machines vulnérables du réseau. De même, un équipement mal configuré peut rapidement être exploité par des pirates. Face à ces risques et sachant que le besoin d'accès au réseau est un besoin légitime qui doit être couvert, il est nécessaire de définir des règles d'accès au réseau.

Recommandation 11 Les responsables du réseau informatique doivent définir une politique de sécurité du réseau. Cette politique impliquera un certain nombre de contraintes pour les équipements à connecter au réseau. L'accès au réseau doit pouvoir être refusé à un équipement qui ne respecterait pas ces contraintes. En outre, le respect des contraintes de sécurité des équipements effectivement connectés au réseau doit pouvoir être vérifié à tout moment. En cas de non-respect de ces contraintes, l'équipement doit pouvoir être déconnecté rapidement.

3.2  Accès depuis le domicile

Outre l'accès depuis les bâtiments académiques, de nombreux membres de la Communauté universitaire souhaitent pouvoir accéder au réseau depuis leur domicile ou depuis l'étranger. La première méthode d'accès au réseau de l'Université depuis le domicile a été l'accès par modem téléphonique. Depuis quelques années une seconde méthode est l'accès via Internet à travers le serveur VPN. Ces deux méthodes d'accès sont complémentaires et doivent continuer à être supportées.

Ces dernières années, l'Université a participé à plusieurs expériences qui ont permis aux membres de la Communauté universitaire de se relier directement, et à haut débit, au réseau de l'Université depuis leur domicile (CampusNet, ADSLNet et LLNNet). Ces trois expériences d'accès à haut débit permanent ont rencontré un certain succès parmi les utilisateurs. Malheureusement, cet accès au réseau, normalement destiné à des activités d'enseignement et de recherche, a été utilisé comme un accès Internet illimité par certains utilisateurs, pour eux-mêmes voire même pour les membres de leur famille ou pour leurs amis. Ces abus ainsi que divers problèmes liés à la sécurité sont les principaux désavantages de la fourniture de tels accès par l'Université.

Recommandation 12 L'Université ne doit pas se substituer aux fournisseurs d'accès Internet et fournir un accès à Internet depuis le domicile aux membres de la Communauté universitaire. Cependant, l'accès au réseau de l'Université depuis le domicile ou l'étranger doit rester possible via le réseau téléphonique et l'Internet.

4  La téléphonie

Aujourd'hui, le réseau téléphonique est complètement disjoint du réseau informatique2 . L'évolution technologique va clairement vers une meilleure intégration entre ces deux réseaux. A court terme, il y a deux opportunités qui mériteraient d'être explorées.

La première est d'évaluer si en utilisant l'interface IP existante sur le central téléphonique, il ne serait pas possible d'acheminer via le réseau Belnet les appels téléphoniques à destination des universités belges, en commençant par celles de l'Académie.

La seconde est de faciliter l'utilisation de logiciels de téléphonie sur Internet par les membres de la Communauté universitaire. Plusieurs de ces logiciels (Skype 3, GnomeMeeting 4, NetMeeting 5) peuvent être très pratiques dans le cadre de collaborations internationales. Des possibilités de visioconférence à plusieurs, en complément à la solution de visioconférence sur IP acquise par l'IPM seraient également utiles.

Recommandation 13 L'Université doit démarrer des expériences pilotes afin de pouvoir profiter d'une meilleure intégration du réseau téléphonique avec le réseau informatique.

5  La sécurité

Lors de l'installation du réseau actuel, l'Internet était un réseau destiné essentiellement à des activités de recherche sur lequel les problèmes de sécurité étaient rares. Aujourd'hui, l'Internet est un réseau commercial sur lequel les attaques sont fréquentes. Il y a aujourd'hui en permanence des machines qui cherchent à exploiter des failles à distance et les vers posent régulièrement des problèmes à l'intérieur même de notre réseau.

Parmi les risques de sécurité auxquels tout réseau informatique relié à l'Internet doit faire face aujourd'hui, on peut citer :

  • risque de vol de données. Ce risque peut être important pour par exemple les serveurs de l'administration ou les laboratoires qui collaborent avec l'industrie sur des projets confidentiels.
  • risque de perte de données et de temps. L'exploitation d'une faille de sécurité peut forcer l'utilisateur à devoir réinstaller une ou plusieurs machines et récupérer les données sur un système de sauvegarde. Souvent, cette perte de temps peut engendrer un énervement voire une perte de confiance des utilisateurs.
  • risque de perte de réputation de l'Université si par malheur une machine piratée servait de point de départ pour une attaque vers un site sensible comme une banque.
La sécurisation de l'environnement informatique de l'Université est un problème complexe. S'il est clair que certains points dépendent de l'équipement terminal, de sa configuration et de sa gestion, le réseau comme élément fédérateur et point d'accès à l'Internet a un rôle majeur à jouer dans cette sécurisation.

Recommandation 14 Le réseau de l'université doit efficacement protéger ses utilisateurs contre les attaques venant de l'extérieur, mais aussi de l'intérieur même du réseau.

Cependant, un firewall n'est pas l'outil miraculeux qui, une fois installé, réglera automatiquement tous les problèmes de sécurité. Il permet d'empêcher, a priori, un certain nombre d'attaques connues ou d'accès illégaux mais n'empêche pas toutes les attaques. Il est essentiel de coupler ce dispositif actif avec des outils de surveillance qui permettent, a posteriori de détecter les comportements anormaux.

Recommandation 15 Il est nécessaire d'installer et d'utiliser des outils de surveillance active du réseau afin d'identifier les ordinateurs qui ont un comportement anormal Cette surveillance doit aussi permettre de vérifier que les ordinateurs qui envoient ou reçoivent de grandes quantités de données sont bien sous contrôle. Bien entendu, cette surveillance doit se faire dans le respect des lois sur la protection de la vie privée et sans introduire de contraintes trop fortes sur les utilisateurs.

6  Conclusion

Le réseau informatique de notre Université est maintenant devenu un élément essentiel pour de nombreuses activités d'enseignement, de recherche et d'administration.

Dans ce rapport, nous avons proposé quinze recommandations relatives à son évolution. Nous souhaitons plus particulièrement insister sur trois d'elles qui nous paraissent très importantes. Les deux premières sont celles relatives à la sécurisation du réseau. La faible sécurisation du réseau actuel fait courir un risque trop important à l'Université. Il est urgent que la sécurisation (recommandation 14) et la surveillance du réseau (recommandation 15) soient améliorées de façon significative. La troisième recommandation est celle relative au réseau sans fil. Il est important que l'Université évite l'anarchie dans le déploiement de ces réseaux et déploie un réseau avec des modalités d'accès unique en commençant par fédérer les réseaux sans fil existants.

Références

[DR] Ph. Degand et A. Roucoux L'importance stratégique du réseau informatique à l'UCL.

[FK] A. Fontaine et J.P. Kuypers Le réseau UCL : Câblage et réseau stricto sensu.

[Lob90] M. Lobelle Le projet MERCURE de communications informatiques à l'UCL Janvier 1990.

Annexe : Classes d'utilisateurs et niveaux d'accès au réseau

En termes d'accès au réseau, il semble important de travailler sur base de quelques hypothèses simples. La première est que chaque utilisateur qui accède au réseau doit être identifié et authentifié. La deuxième est qu'il existe quelques classes d'utilisateur. La troisième est que le niveau de service auquel un utilisateur a droit dépendra de sa classe et éventuellement de sa localisation courante.

Pour les membres de la Communauté universitaire, il est important que l'identification des utilisateurs soit centralisée. Cette centralisation doit notamment faciliter l'ajout de nouveaux utilisateurs (par exemple les étudiants en début d'année) mais aussi leur suppression (par exemple les membres du personnel et les étudiants qui quittent l'Université). Cependant, l'accès, plus restreint et éventuellement limité dans le temps, au réseau doit également être possible pour des utilisateurs non membres de la communauté universitaire comme :

  • les étudiants de l'Académie qui suivent certains cours dans notre Université
  • les visiteurs dans le cadre de conférences
Pour les étudiants, la solution d'identification choisie doit permettre à un étudiant d'avoir rapidement accès au réseau en début d'année académique.

Chaque utilisateur qui se connecte au réseau doit être authentifié. Différents modes d'authentification sont possibles. Pour les membres de la communauté universitaire, la carte à puce pourrait être utilisée à cette fin. Pour les étudiants de l'Académie, l'idéal serait que l'authentification puisse se faire par leur institution. Enfin, pour les visiteurs, il devrait être possible à certains membres de la Communauté universitaire (par exemple les responsables informatiques) d'obtenir des accès temporaires au réseau qu'ils attribueraient aux visiteurs devant accéder au réseau ou à Internet.

En outre, comme indiqué dans la section relative à la sécurité, chaque équipement qui se connecte au réseau doit pouvoir être vérifié du point de vue de la sécurité.

A titre d'exemple, voici quelques niveaux de service réseau qui pourraient être offerts. Le premier est un accès restreint dans lequel l'équipement connecté est considéré comme étant une machine externe au campus du point de vue des services qu'il peut utiliser dans le réseau. L'accès à l'Internet doit également être limité. Le deuxième accès est un accès limité au réseau, voire à certains services, sans possibilité d'accéder à l'Internet. Enfin, le troisième est un accès complet au réseau de l'Université et à l'Internet.

On peut également imaginer qu'un utilisateur d'un département ou secteur donné puisse disposer d'un accès plus large lorsqu'il est dans son département ou secteur que lorsqu'il se trouve dans un autre bâtiment de l'Université.

1 Voir à ce sujet notamment le bulletin et les rapports d'activité du SRI.
2 Sauf pour les communications téléphoniques entre Louvain-la-Neuve et Woluwe qui transitent par la liaison informatique entre les deux sites.
3 <http://www.skype.com>
4 <http://www.gnomemeeting.org>, développé initialement à l'UCL dans le cadre d'un travail de fin d'études.
5 <http://www.microsoft.com/windows/netmeeting/>

| 20/06/2005 |
| Responsable : Patrick Vranckx | vie privée | règlements |