Des interconnexions mixtes xDSL, VPN et Wi-Fi pour Montbrison

31/03/2006 à 07h00

Relier tous les bâtiments d'une collectivité locale n'est pas une mince affaire. Pour ce faire, la ville de Montbrison, dans le département de la Loire, a recouru à de multiples technologies d'accès, auxquelles elle a appliqué un bon niveau de sécurité.

Sébastien James, directeur informatique de la ville de Montbrison

Ingénieur en génie mécanique diplômé de l'Ecole nationale d'ingénieurs de Saint-Etienne (Enise) et titulaire d'un DESS Système d'information géographique et gestion de l'espace, Sébastien James occupe la fonction de directeur informatique de la ville de Montbrison depuis décembre 2003. Auparavant, il était responsable informatique au sein de la société Cefilac.

Sébastien James affiche une passion pour la lecture et la bande dessinée et a le goût de la nature, de l'histoire et de l'archéologie. Son projet de fin d'études à l'Enise traitait d'ailleurs de l'étude de faisabilité d'un SIG (système d'information géographique) appliqué à la protection d'un site archéologique menacé à Thèbes ouest, en collaboration avec l'Institut d'égyptologie de Lyon. Ce goût du patrimoine fait toujours partie de ses centres d'intérêt puisqu'il est membre, depuis sept ans, de La Diana, société historique et archéologique du Forez.

Montbrison, commune de seize mille habitants située dans la plaine du Forez, à trente minutes de Saint-Etienne et une heure de Lyon, s'est attaqué à un véritable chantier. Il y a seulement deux ans, la ville ne disposait pas de service informatique en tant que tel. Parmi les quatorze sites publics existants, certains se trouvaient complètement isolés du point de vue informatique. A cela s'ajoutait un manque de communication entre les différents services de la mairie.Face à cette situation, les élus ont décidé de remettre les choses en ordre avec une réflexion globale sur les moyens de communication et l'infrastructure de transport voix-données.

Une réflexion globale sur la communication

La création d'un intranet a été décidée début 2005. L'interconnexion de sites distants, étudiée sous divers aspects, fait appel à plusieurs technologies d'accès : filaire via des réseaux VPN-IPSec, SDSL et ADSL, mais également sans fil en Wi-Fi haut débit (IEEE 802.11g) pour prendre en compte, à terme, la voix sur IP. Les sites les plus importants sont interconnectés par du Wi-Fi à 54 Mbit/s, et les autres par de l'ADSL à 512 kbit/s. Sur chacun de ces sites, des boîtiers assurent un routage entre les divers sous-réseaux Wi-Fi et un routage VPN vers le site central.La passerelle centrale VPN, sous Linux, gère l'ensemble des sous-réseaux Wi-Fi et internet et le trafic allant vers le réseau intranet de la mairie. Tous les flux VPN-IPSec sont chiffrés et authentifiés. L'authentification est assurée par des échanges de certificats X.509 en version 3, gérés par le logiciel open source ejbca faisant autorité de certification. Cette autorité est interfacée dynamiquement avec le VPN par le service de vérification des certificats OCSP (Online certificate status protocol) et par la publication de la liste des certificats révoqués (ou CRL).Le flux de données est lui-même chiffré par les algorithmes classiques AES ou Blowfish, en liaison avec les algorithmes de hachage MD5 ou SHA-1. Les clés utilisées sont renégociées à intervalles réguliers afin de parer aux attaques par écoute ou par rejeu. Un contrôle d'accès physique par badges réglemente, à la mairie, l'entrée dans certaines salles, doublé d'un second contrôle en fonction de plages horaires. Le réseau est déjà prêt pour la voix sur IP. La mise en ?"uvre des commutateurs Ethernet 10-100 Mbit/s de niveau 3 permet de gérer la qualité de service indispensable à la voix IP, en sus d'isoler les réseaux et de gérer les VLan définis (avec, en c?"ur de réseau, un commutateur en gigabit).L'année 2006 devrait être consacrée au renforcement de la politique globale de sécurité.

Olivier Ménager