Management des adresses IP : des enjeux cruciaux pour les entreprises

Une simple erreur dans la gestion d’une adresse IP, une mauvaise configuration d’un serveur DNS ou DHCP a un impact économique qui peut se chiffrer en millions d’euros. Mais combien de directions générales en sont conscientes ? L’heure n’est plus à la gestion artisanale mais à l’automatisation.

Selon le Clusif (Club de la sécurité de l’information français), les trois-quarts des entreprises estiment être très dépendantes de leur système d’information et, de fait, d’Internet, qui assure l’essentiel des activités économiques. Cette forte dépendance à l’égard des réseaux TCP/IP induit, sur le plan économique, un risque majeur, si la gestion se révèle peu optimisée, voire déficiente.

La prolifération d’adresses IP à gérer, du fait de la complexité des réseaux, devient ainsi un casse-tête pour les directions informatiques et les responsables réseaux. Ainsi, on trouve dans une entreprise plusieurs milliers, voire plusieurs dizaines de milliers de terminaux utilisant IP et plusieurs dizaines de serveurs DNS.

Et dont il faut gérer les adresses sous peine de voir s’arrêter les activités. Une direction générale peut-elle imaginer que son entreprise fonctionne sans système financier, sans chaîne logistique, dans gestion de la relation client, sans site Web ? Non et pourtant, tout repose sur une bonne gestion des adresses IP, des serveurs DNS et DHCP.

L’IP management se définit comme l’allocation, l’administration, le reporting et la traçabilité des espaces IP et des terminaux qui y sont associés. Les difficultés sont à la fois d’ordre technique, organisationnel et la gestion des adresses IP génère des coûts, dont la plus grande partie est cachée. Selon une étude réalisée par Computerworld, le coût de gestion des adresses IP est loin d’être négligeable.

Il s’établissait, en 2008, en moyenne, à 8,1 dollars par an et par adresse IP. Et la gestion d’une adresse IP nécessite entre six et neuf actions différentes, pour un temps minimum estimé à une demi-heure et un délai de plusieurs jours est nécessaire. Ce coût est bien sûr étroitement corrélé avec la taille de l’entreprise, la gestion des adresses IP ne bénéficiant pas d’économies d’échelle : il est ainsi plus élevé pour les grandes entreprises (9,19 par an et par adresse) et légèrement plus faible (7,12 dollars) pour les moyennes entreprises.

Problème : la plupart des entreprises (les deux-tiers selon l’enquête de Computerworld) utilisent encore des méthodes artisanales et manuelles de gestion des adresses IP, des DNS et des DHCP, en particulier des tableurs ou des logiciels très basiques dans leurs fonctionnalités.

Outre les difficultés d’obtenir un reporting cohérent et opérationnel, cette approche de management des adresses IP présente évidemment des risques.

Par exemple, en cas de nécessité de patcher très rapidement les serveurs DNS lorsque des alertes de sécurité sont diffusés par les CERT (Computer Emergency Response Team), comme ce fut le cas en juillet 2008 : l’approche manuelle ne permet pas une réactivité suffisante. De même, se pose, avec une gestion artisanale des adresses IP, le problème de la qualité et de l’intégrité des données, ainsi que la réelle difficulté d’établir les reporting utiles et les délégations pertinentes.

L’évolution des réseaux et des usages d’Internet contraint donc les entreprises à ne plus conserver cette approche, les outils traditionnels n’étant plus adaptés. Sur le plan économique, l’enjeu est d’automatiser, avec l’utilisation de solutions performantes, donc de diminuer les coûts, en passant du « traitement manuel au clic de souris ».

Sur le plan organisationnel, l’enjeu est d’optimiser les processus et de dégager des ressources de sorte que les responsables réseaux se consacrent à d’autres tâches à plus forte valeur ajoutée. Enfin, sur le plan technologique, il s’agit d’allier fonctionnalités étendues et performances des outils.

Ce point est fondamental surtout dans des environnements où Internet et le protocole IP (et la nécessité de gérer les adresses IP) va essaimer sur des terminaux multiples tels que les lecteurs RFID, les périphériques vidéo ou les téléphones IP… Les responsables réseaux n’auront plus droit à l’erreur et devront traquer l’usage des adresses IP, éliminer les doublons, pouvoir réallouer l’espace IP et éviter les erreurs de configuration de DNS et de DHCP.


Qu’est-ce qu’une adresse IP ?

Les adresses IP sont au cœur de l’économie mondiale. IPv4, utilisé depuis le milieu des années 1980, fournit plusieurs milliards d’adresses. Le protocole internet IPv6 crée un stock quasiment illimité d’adresses IP. À terme, on peut même imaginer que chaque objet disposera de son adresse IP.

Internet repose sur une infrastructure de communications. Cette infrastructure représente les « tuyaux » par lesquels circulent les données. Il s’agit des réseaux physiques qui relient les postes de travail, via des équipements spécifiques gérés par les opérateurs de télécommunications.

Les terminaux (PC mais aussi mobiles, smartphones et tout objet capable de gérer des connexions Internet) communiquent entre eux avec le protocole IP (Internet Protocol). Et chacun possède une adresse IP unique. L’adresse IP d’un ordinateur lui est généralement automatiquement transmise et assignée au démarrage grâce au protocole DHCP (Dynamic Host Configuration Protocol).

Les serveurs envoient l’information et les postes dits « clients » sont pour la plupart des micro-ordinateurs avec lesquels les internautes se connectent au réseau. Il faut bien sûr, lors d’une connexion, que chaque machine dispose d’une adresse IP, sinon la connexion ne peut s’établir. Ainsi, les paquets de données qui circulent sur le réseau est associé à deux adresses IP : celle de l’émetteur du message et celle du destinataire (qui peut donc répondre à l’expéditeur).

Concrètement, une adresse IP se compose d’une série de chiffres, regroupés en quatre nombre entiers, entre 0 et 255, et séparés par un point : xxxx.xxxx.xxxx.xxxx.

Par exemple : 194.153.205.26. Les deux blocs de gauche représentent le réseau (netID) et les deux blocs de droite définissent les ordinateurs associés au réseau (host-ID). Par exemple, si l’on désigne un réseau par : 74.0.0.0, il pourra gérer des périphériques dont les adresses IP pourront s’écrire de 74.0.0.1 à 74.255.255.254, ce qui représente plus de 16,7 millions de possibilités.

Si le réseau est désigné sous la forme 74.56.0.0, on ne pourra avoir que 65334 possibilités différentes, les adresses IP allant de 74.56.0.1 à 74.56.255.254.)

Les adresses IP publiques sont gérées par l’Icann (Internet Corporation for Assigned Names and Numbers), organisme de droit privé sans but lucratif dont la mission est d’allouer l’espace des adresses IP, d’attribuer les identificateurs de protocole et de gérer le système de nom de domaine.

En effet, la plupart des adresses IP peuvent être converties en noms de domaine. Rappelons que le système de nom de domaine (DNS : Domain Name System) aide les utilisateurs à naviguer sur Internet. Dans la mesure où les adresses IP sont des séries de chiffres très difficiles à mémoriser, le DNS permet d’utiliser à la place une série de lettres familières (le « nom de domaine »).

Il existe de nombreux sites qui permettent de connaître son adresse IP ou de déterminer à partir d’une adresse IP le nom de domaine associé ou encore de savoir quelle est l’adresse IP d’un nom de domaine. Il existe également, à l’image des numéros de téléphone, des annuaires inversés qui permettent, à partir d’une adresse IP, de retrouver la zone géographique où se situe le propriétaire.

Ce mécanisme de « Reverse lookup » est utilisé par certains sites pour cibler leurs visiteurs et leur proposer des offres ou des opportunités de chat avec d’autres internautes de la même zone géographique.


Localisation et traçabilité des adresses IP : les enjeux de la réconciliation

Une discordance entre la théorie et la réalité (sur l’utilisation et la localisation des adresses IP sur le réseau est un risque en terme de sécurité qui peut provoquer des indisponibilités de service. Le principe de réconciliation permet d’éviter de telles déconvenues.

Que se passe-t-il si une adresse IP est considérée comme libre dans le référentiel des adresses alors que, en réalité, elle est déjà allouée ? Cette simple discordance peut entraîner, pour une entreprise, la paralysie des accès à Internet si, par exemple, c’est l’adresse IP d’un serveur de sortie vers Internet qui est concernée.

Ce scénario n’a rien d’hypothétique : si la gestion des adresses IP n’est pas assurée de manière exhaustive et automatisée, ce risque est bien réel ! C’est tout l’enjeu de la réconciliation entre le contenu théorique de la base d’adresses IP et celles provenant du système d’information, qui permet la maîtrise et l’optimisation des espaces d’adressage.

Il faut ainsi identifier les changements de connections des adresses IP et MAC sur le réseau pour en assurer la traçabilité : Sur quels switchs, quels ports et à quels Vlans une adresses IP a-t-elle été connectée ?. Cela suppose de disposer d’une vue globale de chacun de ces éléments.

Il faut ainsi être capable d’identifier automatiquement tous les équipements réseaux (commutateurs et routeurs), avec leur nom, leur type, la version du système d’exploitation, l’adresse IP, ainsi que le nombre de slots et d’interfaces. Parallèlement, il est indispensable d’identifier les interfaces réseau de chaque équipement, avec ses caractéristiques associées telles que le nom, la vitesse, le numéro de port et de slot et le statut.

L’intérêt est de pouvoir identifier rapidement les ports non utilisées depuis un certain temps, ce qui permet, par exemple, de les réallouer. Cette possibilité est particulièrement utile pour éviter, dans les data centers, une surconsommation des ports Ethernet pour les serveurs non utilisés. Le même principe s’applique aux adresses IP et MAC non utilisées depuis un certain temps, qui peuvent, elles aussi, être supprimées ou réallouées.

Comment fonctionne la réconciliation ? Le principe est simple : la localisation théorique des adresses IP est comparée avec celle qui est découverte sur le terrain.

D’où une vision réelle de la situation. Il est donc aisé d’identifier les équipements non autorisés, les incohérences, notamment avec des alertes par e-mail et des tableaux de bord synthétiques. En cas de problèmes de sécurité, il est de même facile de déconnecter une machine infectée, à partir des informations découvertes associées à une adresse IP ou une adresse MAC, telles que le VLAN, le slot, le port ou le switch concernés.

Les outils logiciels permettent ce type de gestion avancée, avec des fonctionnalités telles que l’élaboration de scénario pour scanner les ressources en contrôlant la fréquence et le périmètre de chaque découverte en fonction des besoins de l’entreprise, des éléments graphiques pour visualiser les consommations de bande passante et les performances, ou encore un moteur de recherche multicritères, des filtres et l’exportation des informations dans des formats standards (XML, tableurs…).