Des interconnexions mixtes xDSL, VPN et Wi-Fi pour Montbrison
Inscrivez-vous gratuitement à la Newsletter BFM Business
Relier tous les bâtiments d'une collectivité locale n'est pas une mince affaire. Pour ce faire, la ville de Montbrison, dans le département de la Loire, a recouru à de multiples technologies d'accès, auxquelles elle
a appliqué un bon niveau de sécurité.
Montbrison, commune de seize mille habitants située dans la plaine du Forez, à trente minutes de Saint-Etienne et une heure de Lyon, s'est attaqué à un véritable chantier. Il y a seulement deux ans, la ville ne disposait pas de
service informatique en tant que tel. Parmi les quatorze sites publics existants, certains se trouvaient complètement isolés du point de vue informatique. A cela s'ajoutait un manque de communication entre les différents services de la
mairie.Face à cette situation, les élus ont décidé de remettre les choses en ordre avec une réflexion globale sur les moyens de communication et l'infrastructure de transport voix-données.
Une réflexion globale sur la communication
La création d'un intranet a été décidée début 2005. L'interconnexion de sites distants, étudiée sous divers aspects, fait appel à plusieurs technologies d'accès : filaire via des réseaux VPN-IPSec, SDSL et
ADSL, mais également sans fil en Wi-Fi haut débit (IEEE 802.11g) pour prendre en compte, à terme, la voix sur IP. Les sites les plus importants sont interconnectés par du Wi-Fi à 54 Mbit/s, et les autres par de l'ADSL à 512 kbit/s.
Sur chacun de ces sites, des boîtiers assurent un routage entre les divers sous-réseaux Wi-Fi et un routage VPN vers le site central.La passerelle centrale VPN, sous Linux, gère l'ensemble des sous-réseaux Wi-Fi et internet et le trafic allant vers le réseau intranet de la mairie. Tous les flux VPN-IPSec sont chiffrés et authentifiés. L'authentification
est assurée par des échanges de certificats X.509 en version 3, gérés par le logiciel open source ejbca faisant autorité de certification. Cette autorité est interfacée dynamiquement avec le VPN par le service de vérification
des certificats OCSP (Online certificate status protocol) et par la publication de la liste des certificats révoqués (ou CRL).Le flux de données est lui-même chiffré par les algorithmes classiques AES ou Blowfish, en liaison avec les algorithmes de hachage MD5 ou SHA-1. Les clés utilisées sont renégociées à intervalles réguliers afin de parer aux attaques par
écoute ou par rejeu. Un contrôle d'accès physique par badges réglemente, à la mairie, l'entrée dans certaines salles, doublé d'un second contrôle en fonction de plages horaires. Le réseau est déjà prêt pour la voix sur IP. La
mise en ?"uvre des commutateurs Ethernet 10-100 Mbit/s de niveau 3 permet de gérer la qualité de service indispensable à la voix IP, en sus d'isoler les réseaux et de gérer les VLan définis (avec, en c?"ur de réseau, un
commutateur en gigabit).L'année 2006 devrait être consacrée au renforcement de la politique globale de sécurité.