[Réseaux] Introduction au MPLS

Voici une breve introduction au MPLS basée sur mes maigres conaissances en réseaux.

Présentation

Le protocole MPLS (Multi Protocol Label Switching) permet de transporter des données grâce à la constitution de réseaux privés virtuels à l’intérieur de l’infrastructure d’un opérateur.

Il se base sur une étiquette pour commuter les paquets à travers deux équipements, les LER (Label Edge Routeurs) et les LSR (Label Switch Routers). Cette opération s’effectue entre la couche liaison de données et la couche réseau, c’est pourquoi MPLS est qualifié de protocole de couche « 2,5 ».

MPLS offre une étanchéité des flux et supporte les différents protocoles de niveau 1 à 3 du modèle OSI. Le but est d’associer la puissance de la commutation de la couche 2 avec la flexibilité du routage de la couche 3.

Principe

 

 

Les LER sont les routeurs de périphéries qui marquent le trafic à l’entrée du réseau MPLS. Ils encapsulent les datagrammes d’un protocole spécifiques (par exemple IP) dans les datagrammes MPLS. Cette encapsulation consiste à rajouter une étiquette (label) dépendant de la destination, de la nature et de la priorité du trafic.

Les LSR analysent les étiquettes des datagrammes MPLS et traitent chaque datagramme selon l’information contenue dans son étiquette. Ils changent également la valeur de l’étiquette qu’ils font suivre.  Le traitement que doit effectuer un LER ou LSR est décrit dans une structure de données propre à chaque routeur MPLS appelée LIB (Label Information Base)

Les paquets de données ainsi étiquetés par les LER suivent leur trajet spécifique aiguillé sur le bon chemin tout au long de leur trajet par les LSR. Ce système d’étiquetage des données permet au responsable du réseau au sein de l’entreprise de définir des ordres de priorité, donc de la QoS (Quality of Service).

(suite…)

[Debian] fail2ban

Présentation

Fail2ban est un IPS écrit en python qui analyse la quasi totalité des logs du serveur via des expressions régulières à la recherche d’erreurs d’authentification répétées et ajoute une règle iptables afin de bannir l’adresse IP de la source considéré comme malveillante.

Fail2ban est souvent configuré pour débannir les hôtes après un certain temps afin d’éviter le blocage permanant des erreurs liés à l’oubli du mot de passe ou autres. Plusieurs actions sont possibles en cas de détection comme l’ajout de règles iptables, l’ajout de l’hôte dans le hosts.deny, notification par email ou encore n’importe quelle action pouvant être effectuée en python.

La combinaison des filtres et actions correspond à une prison (jail en anglais). Dès que les paramètres de session remplissent les conditions d’un filtre, l’hôte est placé dans la prison du service correspondant (chaque service dispose de sa propre prison).

Le fichier de configuration « jail.conf » se trouve à la racine (/etc/fail2ban/), les actions possibles dans le dossier « action.d »  et les filtres dans le dossier « filter.d ».

(suite…)

[Debian] Mises à jour avec Cron-APT

Cron-APT permet d’automatiser la vérification, le téléchargement et l’installation des mises à jour ainsi que la notification par email via une tâche Cron.

Le mieux est de le configurer pour vérifier les mises à jour, les télécharger et envoyer un email récapitulatif à l’administrateur, qui pourra effectuer l’installation de visu au moment choisi.

La configuration s’effectue dans le fichier /etc/cron-apt/config :

# Choix de la commande du gestionnaire de paquets
APTCOMMAND=/usr/bin/apt-get
# Spécification des fichiers de log correspondant
LOG="/var/log/cron-apt/log"
MAIL="/var/log/cron-apt/mail"
# Adresse email de l’administrateur
MAILTO=admin@em-corporation.fr
# Critères d’envoi d’email
MAILON="upgrade"

La configuration de la tâche planifiée s’effectue dans le fichier /etc/cron.d/cron-apt :

0 4 * * * root test -x /usr/sbin/cron-apt && /usr/sbin/cron-apt

Par défaut la vérification a lieu tous les jours à 4h ce qui est une planification pertinente sans virer paranoïaque.

(suite…)

Ouverture du blog

Bonjour à tous et bienvenue sur mon blog qui servira surement plus à moi-même qu’a d’autres personnes (quoi que on sait jamais), concernant le taf d’admin système et réseau avec un zest de sécurité.

En effet, ayant un peu marre de ne plus me rappeler comment faire certaines choses au boulot en les ayant déjà faites dans ma jeunesse, je me suis dit qu’un espace de type « mémo » avec quelques bouts de procédures, de code et de scripts me serais d’une grande aide.

Alors c’est parti !