le modèle, les architectures et le matériel Les Réseaux le modèle, les architectures et le matériel
Le modèle
Modèle de référence Spécifications publiées par l’ISO (International Standard Organisation) en 1978 Nouvelle version en 1984 sous le nom OSI (Open Systems Interconnection) Découpage en 7 couches (ou layers) F. Nolot DESS ISIDIS 2002/2003
Le modèle de référence et son évolution 7 Couche application Niveau application 6 Couche présentation Niveau présentation 5 Couche session Niveau session 4 Couche transport Niveau message 3 Couche réseau Niveau trame 2 Couche liaison Niveau paquet 1 Couche physique Niveau physique F. Nolot DESS ISIDIS 2002/2003
Couche physique Codage Transmission Conversion analogique numérique (voix) Détection et correction d’erreurs F. Nolot DESS ISIDIS 2002/2003
Couche liaison (trame) Une trame = en-tête début et fin Assure la fiabilité des transmissions bout en bout Réception d’un accusé de réception sinon réexpédition 2 sous-couches : LLC : Logical Link Control (fiabilité) MAC : Medium Access Control (identification et transmission du LLC à la couche physique) F. Nolot DESS ISIDIS 2002/2003
Couche réseau (paquet) Adressage des messages Prise en charge du routage Contrôles de flux et congestion Routage Existence de 2 modes: Mode connecté (prise de contact entre les protagonistes) Mode non connecté F. Nolot DESS ISIDIS 2002/2003
Couche transport (message) Qualité de service Certains paramètres : Délai d’établissement d’une connexion Probabilité d’échec Débit des informations Priorité des connexions … F. Nolot DESS ISIDIS 2002/2003
Couche transport (2) Multiplexage Dégroupage connexion à faible débit en grand nombre Dégroupage Maximiser le débit F. Nolot DESS ISIDIS 2002/2003
Couche session Gère les ressources Gère les aspects sécurités Si application communique avec un autre ordinateur, récupération de l’adresse cible et demande à la couche transport d’établir la communication F. Nolot DESS ISIDIS 2002/2003
Couche présentation Définir le format de donnée à transférer Format intermédiaire compatible entre les plates-formes Compression F. Nolot DESS ISIDIS 2002/2003
Couche application Toutes les applications utilisant des accès réseaux F. Nolot DESS ISIDIS 2002/2003
Les architectures réseaux
Topologie Etoile F. Nolot DESS ISIDIS 2002/2003
Topologie (2) Bus Unidirectionnel Bidirectionnel Extension à l’arbre F. Nolot DESS ISIDIS 2002/2003
Topologie (3) Anneau Unidirectionnel Bidirectionnel F. Nolot DESS ISIDIS 2002/2003
2 technologies réseaux Token-Ring (IBM 1984) Topologie : anneau logique autour d’une étoile (Hub) Parcourt de machines en machines Envoie quand possession d’un jeton Ethernet (1972, commercialisation 1975) Topologie en bus Envoie dès qu’un contrôle dit libre. Si deux émissions en même temps : collision F. Nolot DESS ISIDIS 2002/2003
Ethernet Structure d’une trame Ethernet Champ Longueur Explication Préambule 8 octets Identifie le début de la trame des données Adresse cible 6 octets Adresse MAC Adresse source Type 2 octets Type du protocole de transport Données 46-1500 octets Données utiles CRC 4 octets Contrôle de redondance cyclique F. Nolot DESS ISIDIS 2002/2003
Adresse MAC 6 octets Adresse unique pour chaque carte 3 premiers octets en fonction du fabriquant Cisco 00000C 3Com 0000D8 0020AF 02608C 080002 Intel 00AA00 IBM 08005A 3 suivants : numérotation du fabriquant Adresse unique pour chaque carte F. Nolot DESS ISIDIS 2002/2003
Différents types d’Ethernet 10Base5 (ou Yellow Cable ou Thick-Net) 10 Mbps Gros Cable coaxial et prises vampires Limite de 500 m par segments Longueur totale de 2500 m Impédance de 50 Ohms 10Base2 (ou Thin-Net) Cable coaxial et BNC Limite de 185 m par segments Longueur totale de 925 m F. Nolot DESS ISIDIS 2002/2003
Différents types d’Ethernet (2) 10BaseT/100BaseT Plus de problèmes de fiabilité (du aux segments Base2 en pannes) Topologie en étoile dont le bus est le concentrateur Câble : 4 paires torsadées Cat. 1 : Téléphone, pas de transfert de données Cat. 2 : ≤ 4 Mbps (Mégabits par seconde) Cat. 3 : ≤ 10 Mbps Cat. 5 : ≤ 100 Mbps Type de câble : Unshield Twisted Pair (UTP) : Shield Twisted Pair (STP) F. Nolot DESS ISIDIS 2002/2003
Différents types d’Ethernet (3) 1000BaseT/1000BaseFX 1000 Mbps BaseT câble cat. 5 ou 7 BaseFX fibre optique F. Nolot DESS ISIDIS 2002/2003
Metropolitan Area Network (MAN) FDDI Token-Ring en fibre optique Anneau double. Secondaire en cas de perturbation du primaire (circulation en sens opposé) 100Mbps Segment de 2 km Longueur totale d’un anneau 100 km ATM (Asynchronous Transfer Mode) Mode connecté et garantit la bande passante dès connexion Vitesse de transfert 155-622 Mbps, max théo 1,2Gbps F. Nolot DESS ISIDIS 2002/2003
World Area Network (WAN) RTC : Transmission par modulation analogique RNIS (réseaux numérique à intégration de service) (ISDN): tout numérique Topologie en bus 2 canaux de 64 Kbps+1 canal contrôle 16 Kbps DSL (Digital Subscriber Line) ADSL (Asymmetric) différence entre vitesse de download et d’upload 1,5 Mbps 6km 2 Mbps 5 km (équivalent d’une T1 en vitesse) 9 Mbps 3 km et jusqu’à 52 Mbps 300 m SDSL (Symmetric), HDSL (Highspeed), VDSL (Veryhighspped) F. Nolot DESS ISIDIS 2002/2003
Les matériels
Interconnexion des réseaux Concentrateur (Hub) Couche 1 Bus Ethernet commun Diffusion à tous les autres ports d’un message recu Pont Couche 2 Commutation logicielle Si l’adresse source n’est pas dans la table de routage du port de réception, ajout de cette source. Si la cible dans la table source, destruction Sinon diffusion (broadcast) sur tous les ports (excepté la source) F. Nolot DESS ISIDIS 2002/2003
Interconnexion des réseaux (2) Répartiteur, commutateur (Switch) Niveau 2, 3 ou 4 Niveau 2 : utilisation des adresses MAC Niveau 3 : utilisation des adresses IP mais pas de calcul adresse réseau, adresse machine Niveau 4 : (Attention, pas OSI) analyse de l’application pour QoS Commutation matérielle Isole les communications entre deux machines F. Nolot DESS ISIDIS 2002/2003
Interconnexion des réseaux (3) Routeur Liaison de plusieurs domaines couche 3 Peut relier des types différents Mono ou Multi-protocole F. Nolot DESS ISIDIS 2002/2003
Structure de câblage Hub par étage puis cascade vers hub/switch central Ou Collapsed Backbone Toutes les liaisons vers un unique switch centrale F. Nolot DESS ISIDIS 2002/2003
Techniques de transfert Commutation de circuit Signalisation puis transfert Transfert de paquet Rôle : Analyse de l’en-tête et traduction Commutation ou routage vers la bonne sortie Transmission du paquet sur la sortie choisie 2 solutions : routage commutation F. Nolot DESS ISIDIS 2002/2003
La commutation Acheminement avec des références Seules les entrées actives sont dans les tables Avantages : tables de tailles réduites route faite une seule fois références de tailles réduites référence ATM : 28 bits adresse IPV6 : 16 octets adresse IPV4 : 4 octets (32 bits) F. Nolot DESS ISIDIS 2002/2003
Le routage Acheminement jusqu’à l’adresse destination Utilisation de table de routage Avantages : flexible toutes les informations sont dans le paquet contournement des pannes Inconvénients :ordre de réception différent de l’ordre de départ table de routage importante F. Nolot DESS ISIDIS 2002/2003
Les réseaux Les protocoles
Protocoles les plus utilisés IPX/SPX NetBIOS/NetBEUI TCP/IP F. Nolot DESS ISIDIS 2002/2003
IPX/SPX IPX : Internetwork Packet Exchange Protocol SPX: Sequenced Packet Exchange Protocol Développé par Novell Exploité en entreprise sous Novell/Netware Fonctionne en mode non connecté IPX = OSI niveau 3 SPX est une extention d’IPX F. Nolot DESS ISIDIS 2002/2003
NetBIOS/NetBEUI NetBIOS : Network Basic Input Output System NetBEUI : NetBIOS Extended User Interface Développé par IBM Protocole non routable F. Nolot DESS ISIDIS 2002/2003
UDP-TCP/IP UDP : User Datagramme Protocol, TCP : Transmission Control Protocol, IP : Internet Protocol Routable TCP protocole de niveau 3 mode connecté UDP protocole de niveau 3 mode non connecté (sans gestion de flux, reprise sur erreur, …) IP protocole de niveau 4 F. Nolot DESS ISIDIS 2002/2003
Le Protocole TCP/IP (v4)
Modèle TCP/IP 7 Couche application Telnet, FTP, SMTP,DNS, … SNMP, TFTP 6 Couche présentation 5 Couche session 4 Couche transport (message) TCP UDP 3 Couche réseau (trame) RIP,OSPF, IP, ICMP ARP, RARP F. Nolot DESS ISIDIS 2002/2003
Adresse IPv4 4 nombres d’un octet codés en binaire par l’ordinateur Masque de sous-réseau sur 4 octets, en 2 blocs Premier bloc de 1, partie réseau Dernier bloc de 0, partie hôte F. Nolot DESS ISIDIS 2002/2003
Classes d’adresses IP Classe A : 0.0.0.0 à 127.255.255.255 0 + 7 bits réseaux + 24 bits hosts Classe B : 128.0.0.0 à 191.255.255.255 10 + 14 bits réseaux + 16 bits hosts Classe C : 192.0.0.0 à 223.255.255.255 110 + 21 bits réseaux + 8 bits hosts Classe D : 224.0.0.0 à 239.255.255.255 1110 + multicast group Classe E : 240.0.0.0 à 247.255.255.255 usage futur F. Nolot DESS ISIDIS 2002/2003
Adresses réservés aux réseaux locaux 10.0.0.0 à 10.255.255.255 172.16.0.0 à 172.31.255.255.255 192.168.0.0 à 192.168.255.255 F. Nolot DESS ISIDIS 2002/2003
Les sous-réseaux Plage d’adresses IP de même adresse réseau Exemple Classe C avec sous réseau sur 2 bits 2^2 =4 sous-réseaux possibles Reste donc 6 bits pour les hôtes soient 64 ordinateurs Structure d’une adresse Identificateur réseau Identificateur sous réseau Identificateur de l’hôte dans le sous réseau F. Nolot DESS ISIDIS 2002/2003
Calcule de l’adresse réseaux IP : 192.44.77.79 Masque Réseau : 255.255.255.192 11000000.00101100.01001101.01001111 Et 11111111.11111111.11111111.11000000 Réseau : 11000000.00101100.01001101.01000000 Machine : 1111 F. Nolot DESS ISIDIS 2002/2003
Sous-réseaux possibles 192.44.77.1 à 192.44.77.62 192.44.77.65 à 192.44.77.126 192.44.77.129 à 192.44.77.190 192.44.77.193 à 192.44.77.254 Les numéros 0, 63, 64, 127, 128, 191, 192 et 255 interdits F. Nolot DESS ISIDIS 2002/2003
Structure d’un paquet IP Version IHL Type de service Longueur du paquet Identificateur Flags Offset du Fragment TTL Protocole Checksum d’en-tête Adresse IP source Adresse IP cible Options/remplissage Zones de données … F. Nolot DESS ISIDIS 2002/2003
La fragmentation Subdivision en petit paquet, fonction de la MTU (Maximum Transfer Unit) Ethernet 1500 Octets Token Ring 4 Mbps 4464 Octets Token Ring 16 Mbps 17914 Octets Reconstruction grâce à l’Offset du Fragment Si n’arrive pas à temps (30-40s), perte et envoie d’un ICMP d’erreur F. Nolot DESS ISIDIS 2002/2003
Champ TTL : Durée de vie TTL sur 8 bits: décrémenté à chaque passage suppression du paquet arrivé à 0 F. Nolot DESS ISIDIS 2002/2003
Communication IP Service non connecté aucune sécurisation Pas acquittement à la bonne réception Les paquets perdus ne sont pas détectés F. Nolot DESS ISIDIS 2002/2003
Le multicast Adressage simultané de plusieurs ordinateurs Routeur multicast : diffusion à un liste d’abonné les paquets d’une adresse multicast F. Nolot DESS ISIDIS 2002/2003
Le protocole TCP
Le protocole TCP Fonctionnalités: Commande de flux de données Gestion des priorités Détection et correction des erreurs Ordonnancement des séquences de transmission Élimination des segments en double Connexion full duplex virtuelle F. Nolot DESS ISIDIS 2002/2003
Principe de TCP Mode connecté Gestion des priorités Ordonnances des séquences de transmission Élimination des segments en double Détection et correction d’erreurs Réception : IP transmet à TCP qui détecte les messages défectueux ou perdus et demande leur réémission F. Nolot DESS ISIDIS 2002/2003
Les ports TCP Différencier les applications Ports standard 21 File Transfer Protocol (FTP) 23 Terminal Telnet 25 Simple Mail Transport Protocol (SMTP) 53 Domain Name Service (DNS) 80 HyperText Transfer Protocol (HTTP)² 110 Post Office Protocol 3 119 NNTP Newsgroup F. Nolot DESS ISIDIS 2002/2003
Structure d’un paquet TCP Port source Port cible Numéro de séquence Numéro d’acquittement Offset Données Réservé Flags Taille de la fenêtre Somme de contrôle Pointeur urgent Options/remplissage Données F. Nolot DESS ISIDIS 2002/2003
Communication TCP Station 1 Station 2 Seq=921 ACK=? Seq=301 ACK=? Syn, Seq=921, Ack=? Seq=302 ACK=922 Syn, Seq=302, Ack=922 Seq=922 ACK=303 Seq=922, Ack=303 Seq=303 ACK=923 F. Nolot DESS ISIDIS 2002/2003
Le protocole UDP Propriété IP UDP TCP Mode connecté non oui Limite de message Somme de contrôle Acquittement Timeout et réexpédition Détection des doublons Contrôle de flux Somme de contrôle des données Contrôle de l’ordre F. Nolot DESS ISIDIS 2002/2003
Port UDP 15 Netstat, état du réseau 53 Domaine, service de noms sous NT 69 TFTP 137 NetBIOS-ns, service de noms 161 SNMP F. Nolot DESS ISIDIS 2002/2003
Structure d’une trame UDP Port Source Port Cible Taille Somme de contrôle Zone de données F. Nolot DESS ISIDIS 2002/2003
ICMP message d’erreur de TCP, UDP et IP Numéro Message d’information 3 Destination unreachable Echo reply 8 Echo request 11 Time exceeded 13 Timestamp 14 Timestamp request F. Nolot DESS ISIDIS 2002/2003
Exemples d’utilisation Ping : type 8 echo request et réponse type 0 echo reply Traceroute : pas fait par un message ICMP mais fabriquer à partir des messages type 11 d’ICMP Simulation avec un Echo request TTL 1 … F. Nolot DESS ISIDIS 2002/2003
Quelques protocoles et leur numéro Nom du protocole 1 ICMP 6 TCP en version 4 17 UDP 89 OSPFIGP routage F. Nolot DESS ISIDIS 2002/2003
Le routage Statique et dynamique
Le routage statique 192.168.10.5 192.168.1.1 192.168.10.15 192.168.1.15 192.168.20.15 192.168.20.5 192.168.10.1 Routeur A Routeur B F. Nolot DESS ISIDIS 2002/2003
Table de routage du routeur A : Pour le sous réseau 192.168.1.0 utiliser 192.168.1.1 Pour le sous réseau 192.168.10.0 utiliser 192.168.10.1 Pour le sous réseau 192.168.20.0 utiliser 192.168.10.5 Masque de sous réseau: 255.255.255.0 Routeur A Routeur B 192.168.1.1 192.168.10.1 192.168.10.5 192.168.20.5 192.168.10.15 192.168.1.15 192.168.20.15 Routeur par défaut: 192.168.1.1 Routeur par défaut: 192.168.10.1 ou 192.168.10.5 Routeur par défaut: 192.168.20.5 F. Nolot DESS ISIDIS 2002/2003
Routage Dynamique Un exemple : RIP
Les sauts 192.168.10.0 192.168.15.0 192.168.30.0 192.168.20.0 Saut=2 F. Nolot DESS ISIDIS 2002/2003
Routeur A Routeur B 192.168.10.0 192.168.30.0 192.168.50.0 Connecté directement donc saut=1 Nouvelle route reçue Saut incrémenté de 1 Routeur A Adresse Saut 192.168.10.0 1 192.168.30.0 Routeur B Adresse Saut 192.168.30.0 1 192.168.50.0 192.168.50.0 1 F. Nolot DESS ISIDIS 2002/2003
Routeur A Routeur B 192.168.10.0 192.168.30.0 192.168.50.0 Routeur A Adresse Saut 192.168.10.0 1 192.168.30.0 192.168.50.0 2 Routeur B Adresse Saut 192.168.30.0 1 192.168.50.0 192.168.10.0 2 Information échangé toute les 30 secondes, Saut=16=Infini Si panne, 15 échanges donc 15*30s=17min30 F. Nolot DESS ISIDIS 2002/2003
DHCP, DNS
Dynamic Host Configuration Protocol Serveur qui envoie des adresses IP piochées dans un pool d’adresse UDP port 67 et 68 F. Nolot DESS ISIDIS 2002/2003
DHCP : fonctionnement Client : Demande de Bail IP (IP Lease) Serveur : offre de bail aux demandeurs (IP proposée, identifiant et IP du serveur, durée du bail, masque approprié) Client : sélection du bail Serveur : confirmation du bail F. Nolot DESS ISIDIS 2002/2003
DHCP : Renouvellement du bail à 50% de la durée du bail, demande de renouvellement Si serveur indisponible, alors une nouvelle demande est effectué à 87.5% de la durée du bail F. Nolot DESS ISIDIS 2002/2003
Domain Name Service DNS : Traduction nom vers adresse IP L’inverse : Reverse DNS F. Nolot DESS ISIDIS 2002/2003
Sécurité Réseaux (1) Les Firewalls
Définitions Hôte : ordinateur attaché au réseau Bastion : hôte atteignanble depuis Internet Hôte à double réseau : au moins deux interfaces F. Nolot DESS ISIDIS 2002/2003
Filtrage de paquets Type de routeur utilisé connu sous le nom de routeur écran Filtrage selon les informations contenues dans l’en-tête : Adresse IP source Adresse IP destination Protocole Port TCP ou UDP source Port TCP ou UDP destination Type de message ICMP Filtrage selon les interfaces Interface sur laquelle arrive le paquet Interface de laquelle le paquet va partir F. Nolot DESS ISIDIS 2002/2003
Serveur mandataire (proxy) Oriente les requêtes des utilisateurs vers les vrais serveurs Cas simple : Serveur Réel Serveur mandataire Client mandataire F. Nolot DESS ISIDIS 2002/2003
Architecture des firewalls Hôte à double réseau (mandataire): Internet Réseau interne F. Nolot DESS ISIDIS 2002/2003
Architecture des firewalls Routeur ou hôte écran : Internet Réseau interne Bastion F. Nolot DESS ISIDIS 2002/2003
Architecture des firewalls Internet Sous réseau à écran : Réseau interne Réseau périphérique Routeur extérieur DMZ ? Routeur intérieur Bastion F. Nolot DESS ISIDIS 2002/2003
Architecture des firewalls Variante : Plusieurs bastions Fusion du bastion et routeur extérieur Fusion du routeur externe et intérieur Dangereux : Fusion du bastion et routeur intérieur Plusieurs routeurs intérieurs Et plusieurs routeurs extérieurs ? F. Nolot DESS ISIDIS 2002/2003
Quelques principes Pas de comptes utilisateurs sur le bastion Protégez vos logs Supprimez les services inutiles F. Nolot DESS ISIDIS 2002/2003
Configuration des services FTP Port 20 pour les données Port 21 pour les commandes 2 modes : actif et passif F. Nolot DESS ISIDIS 2002/2003
Ftp actif Client ouvre 2 ports > 1023 Client indique au serveur quel port il veut utiliser Serveur acquitte et initie la communication Problème : connexion établie depuis l’extérieur F. Nolot DESS ISIDIS 2002/2003
Ftp passif Client indique mode passif Serveur envoie un numéro de port disponible pour les données Client initie la communication sur ce port ouvert F. Nolot DESS ISIDIS 2002/2003
Telnet Client initie un port > 1023 Communique avec le port 23 du serveur Le bit ACK à 0 pour établir la connexion Puis ACK à 1 quand la connexion est établie F. Nolot DESS ISIDIS 2002/2003
Http Client initie un port > 1023 Serveur sur le port 80 F. Nolot DESS ISIDIS 2002/2003
Sécurité Réseaux (2) Principales attaques
Les classiques NFS Mots de passe faibles Backdoor (WIZ sous sendmail) Deux utilisateurs ont le même UID sur 2 ordinateurs Mots de passe faibles Backdoor (WIZ sous sendmail) Débordement de tampon F. Nolot DESS ISIDIS 2002/2003
Deny of Service (DoS) F. Nolot DESS ISIDIS 2002/2003