Les Réseaux le modèle, les architectures et le matériel.
-
Upload
maugier-potier -
Category
Documents
-
view
128 -
download
8
Transcript of Les Réseaux le modèle, les architectures et le matériel.
Les Réseaux
le modèle, les architectures et le matériel
Le modèle
F. Nolot DESS ISIDIS 2002/2003 3
Modèle de référence
Spécifications publiées par l’ISO (International Standard Organisation) en 1978
Nouvelle version en 1984 sous le nom OSI (Open Systems Interconnection)
Découpage en 7 couches (ou layers)
F. Nolot DESS ISIDIS 2002/2003 4
Le modèle de référence et son évolution
7Couche application
Niveau application
6Couche présentation
Niveau présentation
5 Couche session Niveau session
4 Couche transport Niveau message
3 Couche réseau Niveau trame
2 Couche liaison Niveau paquet
1 Couche physique Niveau physique
F. Nolot DESS ISIDIS 2002/2003 5
Couche physique
Codage Transmission Conversion analogique numérique
(voix) Détection et correction d’erreurs
F. Nolot DESS ISIDIS 2002/2003 6
Couche liaison (trame) Une trame = en-tête début et fin Assure la fiabilité des transmissions bout
en bout Réception d’un accusé de réception sinon
réexpédition 2 sous-couches :
LLC : Logical Link Control (fiabilité) MAC : Medium Access Control (identification
et transmission du LLC à la couche physique)
F. Nolot DESS ISIDIS 2002/2003 7
Couche réseau (paquet) Adressage des messages Prise en charge du routage Contrôles de flux et congestion Routage Existence de 2 modes:
Mode connecté (prise de contact entre les protagonistes)
Mode non connecté
F. Nolot DESS ISIDIS 2002/2003 8
Couche transport (message)
Qualité de serviceCertains paramètres : Délai d’établissement d’une
connexion Probabilité d’échec Débit des informations Priorité des connexions …
F. Nolot DESS ISIDIS 2002/2003 9
Couche transport (2)
Multiplexageconnexion à faible débit en grand
nombre Dégroupage
Maximiser le débit
F. Nolot DESS ISIDIS 2002/2003 10
Couche session
Gère les ressources Gère les aspects sécurités
Si application communique avec un autre ordinateur, récupération de l’adresse cible et demande à la couche transport d’établir la communication
F. Nolot DESS ISIDIS 2002/2003 11
Couche présentation
Définir le format de donnée à transférer
Format intermédiaire compatible entre les plates-formes
Compression
F. Nolot DESS ISIDIS 2002/2003 12
Couche application
Toutes les applications utilisant des accès réseaux
Les architectures réseaux
F. Nolot DESS ISIDIS 2002/2003 14
Topologie
Etoile
F. Nolot DESS ISIDIS 2002/2003 15
Topologie (2)
Bus Unidirectionnel Bidirectionnel Extension à l’arbre
F. Nolot DESS ISIDIS 2002/2003 16
Topologie (3) Anneau
Unidirectionnel
Bidirectionnel
F. Nolot DESS ISIDIS 2002/2003 17
2 technologies réseaux Token-Ring (IBM 1984)
Topologie : anneau logique autour d’une étoile (Hub)
Parcourt de machines en machines Envoie quand possession d’un jeton
Ethernet (1972, commercialisation 1975) Topologie en bus Envoie dès qu’un contrôle dit libre. Si deux émissions en même temps : collision
F. Nolot DESS ISIDIS 2002/2003 18
Ethernet Structure d’une trame Ethernet
Champ Longueur Explication
Préambule 8 octets Identifie le début de la trame des données
Adresse cible 6 octetsAdresse MAC
Adresse source 6 octets
Type 2 octets Type du protocole de transport
Données 46-1500 octets
Données utiles
CRC 4 octets Contrôle de redondance cyclique
F. Nolot DESS ISIDIS 2002/2003 19
Adresse MAC
6 octets3 premiers octets en fonction du
fabriquantCisco 00000C3Com 0000D8 0020AF 02608C 080002Intel 00AA00IBM 08005A
3 suivants : numérotation du fabriquant Adresse unique pour chaque carte
F. Nolot DESS ISIDIS 2002/2003 20
Différents types d’Ethernet 10Base5 (ou Yellow Cable ou Thick-Net)
10 Mbps Gros Cable coaxial et prises vampires Limite de 500 m par segments Longueur totale de 2500 m Impédance de 50 Ohms
10Base2 (ou Thin-Net) 10 Mbps Cable coaxial et BNC Limite de 185 m par segments Longueur totale de 925 m Impédance de 50 Ohms
F. Nolot DESS ISIDIS 2002/2003 21
Différents types d’Ethernet (2) 10BaseT/100BaseT
Plus de problèmes de fiabilité (du aux segments Base2 en pannes)
Topologie en étoile dont le bus est le concentrateur
Câble : 4 paires torsadées Cat. 1 : Téléphone, pas de transfert de
données Cat. 2 : ≤ 4 Mbps (Mégabits par seconde) Cat. 3 : ≤ 10 Mbps Cat. 5 : ≤ 100 Mbps
Type de câble : Unshield Twisted Pair (UTP): Shield Twisted Pair (STP)
F. Nolot DESS ISIDIS 2002/2003 22
Différents types d’Ethernet (3)
1000BaseT/1000BaseFX 1000 Mbps BaseT câble cat. 5 ou 7 BaseFX fibre optique
F. Nolot DESS ISIDIS 2002/2003 23
Metropolitan Area Network (MAN) FDDI
Token-Ring en fibre optique Anneau double. Secondaire en cas de perturbation
du primaire (circulation en sens opposé) 100Mbps Segment de 2 km Longueur totale d’un anneau 100 km
ATM (Asynchronous Transfer Mode) Mode connecté et garantit la bande passante dès
connexion Vitesse de transfert 155-622 Mbps, max théo
1,2Gbps
F. Nolot DESS ISIDIS 2002/2003 24
World Area Network (WAN) RTC : Transmission par modulation analogique RNIS (réseaux numérique à intégration de
service) (ISDN): tout numérique Topologie en bus 2 canaux de 64 Kbps+1 canal contrôle 16 Kbps
DSL (Digital Subscriber Line) ADSL (Asymmetric) différence entre vitesse de
download et d’upload 1,5 Mbps 6km 2 Mbps 5 km (équivalent d’une T1 en vitesse) 9 Mbps 3 km et jusqu’à 52 Mbps 300 m
SDSL (Symmetric), HDSL (Highspeed), VDSL (Veryhighspped)
Les matériels
F. Nolot DESS ISIDIS 2002/2003 26
Interconnexion des réseaux Concentrateur (Hub)
Couche 1 Bus Ethernet commun Diffusion à tous les autres ports d’un message recu
Pont Couche 2 Commutation logicielle Si l’adresse source n’est pas dans la table de routage
du port de réception, ajout de cette source.Si la cible dans la table source, destructionSinon diffusion (broadcast) sur tous les ports (excepté la source)
F. Nolot DESS ISIDIS 2002/2003 27
Interconnexion des réseaux (2)
Répartiteur, commutateur (Switch) Niveau 2, 3 ou 4
Niveau 2 : utilisation des adresses MAC Niveau 3 : utilisation des adresses IP mais pas de
calcul adresse réseau, adresse machine Niveau 4 : (Attention, pas OSI) analyse de
l’application pour QoS Commutation matérielle Isole les communications entre deux
machines
F. Nolot DESS ISIDIS 2002/2003 28
Interconnexion des réseaux (3)
Routeur Liaison de plusieurs domaines couche
3 Peut relier des types différents Mono ou Multi-protocole
F. Nolot DESS ISIDIS 2002/2003 29
Structure de câblage
Hub par étage puis cascade vers hub/switch central
Ou Collapsed Backbone Toutes les liaisons vers un unique
switch centrale
F. Nolot DESS ISIDIS 2002/2003 30
Techniques de transfert Commutation de circuit
Signalisation puis transfert Transfert de paquet
Rôle : Analyse de l’en-tête et traductionCommutation ou routage vers la bonne sortieTransmission du paquet sur la sortie choisie
2 solutions : routagecommutation
F. Nolot DESS ISIDIS 2002/2003 31
La commutation Acheminement avec des références Seules les entrées actives sont dans les
tables Avantages : tables de tailles réduites
route faite une seule foisréférences de tailles
réduitesréférence ATM : 28 bitsadresse IPV6 : 16 octetsadresse IPV4 : 4 octets (32 bits)
F. Nolot DESS ISIDIS 2002/2003 32
Le routage Acheminement jusqu’à l’adresse
destination Utilisation de table de routage Avantages : flexible toutes les informations sont
dans le paquet contournement des pannes
Inconvénients :ordre de réception différent de l’ordre de départ
table de routage importante
Les réseaux
Les protocoles
F. Nolot DESS ISIDIS 2002/2003 34
Protocoles les plus utilisés
IPX/SPX NetBIOS/NetBEUI TCP/IP
F. Nolot DESS ISIDIS 2002/2003 35
IPX/SPX IPX : Internetwork Packet Exchange
ProtocolSPX: Sequenced Packet Exchange Protocol
Développé par Novell Exploité en entreprise sous Novell/Netware Fonctionne en mode non connecté IPX = OSI niveau 3 SPX est une extention d’IPX
F. Nolot DESS ISIDIS 2002/2003 36
NetBIOS/NetBEUI
NetBIOS : Network Basic Input Output SystemNetBEUI : NetBIOS Extended User Interface
Développé par IBM Protocole non routable
F. Nolot DESS ISIDIS 2002/2003 37
UDP-TCP/IP UDP : User Datagramme Protocol,
TCP : Transmission Control Protocol,IP : Internet Protocol
Routable TCP protocole de niveau 3 mode connecté UDP protocole de niveau 3 mode non
connecté (sans gestion de flux, reprise sur erreur, …)
IP protocole de niveau 4
Le Protocole TCP/IP (v4)
F. Nolot DESS ISIDIS 2002/2003 39
Modèle TCP/IP
7Couche application
Telnet, FTP, SMTP,DNS, …
SNMP, TFTP
6Couche présentation
5 Couche session
4Couche transport (message)
TCP UDP
3Couche réseau (trame)
RIP,OSPF, IP, ICMP ARP, RARP
F. Nolot DESS ISIDIS 2002/2003 40
Adresse IPv4
4 nombres d’un octet codés en binaire par l’ordinateur
Masque de sous-réseau sur 4 octets, en 2 blocs Premier bloc de 1, partie réseau Dernier bloc de 0, partie hôte
F. Nolot DESS ISIDIS 2002/2003 41
Classes d’adresses IP Classe A : 0.0.0.0 à 127.255.255.255
0 + 7 bits réseaux + 24 bits hosts Classe B : 128.0.0.0 à 191.255.255.255
10 + 14 bits réseaux + 16 bits hosts Classe C : 192.0.0.0 à 223.255.255.255
110 + 21 bits réseaux + 8 bits hosts Classe D : 224.0.0.0 à 239.255.255.255
1110 + multicast group Classe E : 240.0.0.0 à 247.255.255.255
usage futur
F. Nolot DESS ISIDIS 2002/2003 42
Adresses réservés aux réseaux locaux
10.0.0.0 à 10.255.255.255 172.16.0.0 à 172.31.255.255.255 192.168.0.0 à 192.168.255.255
F. Nolot DESS ISIDIS 2002/2003 43
Les sous-réseaux Plage d’adresses IP de même adresse réseau Exemple Classe C avec sous réseau sur 2 bits
2^2 =4 sous-réseaux possibles Reste donc 6 bits pour les hôtes soient 64
ordinateurs Structure d’une adresse
Identificateur réseau Identificateur sous réseau Identificateur de l’hôte dans le sous réseau
F. Nolot DESS ISIDIS 2002/2003 44
Calcule de l’adresse réseaux
IP : 192.44.77.79 Masque Réseau : 255.255.255.192
11000000.00101100.01001101.01001111
Et 11111111.11111111.11111111.11000000
Réseau : 11000000.00101100.01001101.01000000
Machine :1111
F. Nolot DESS ISIDIS 2002/2003 45
4 sous-réseaux possibles : 192.44.77.1 à 192.44.77.62 192.44.77.65 à 192.44.77.126 192.44.77.129 à 192.44.77.190 192.44.77.193 à 192.44.77.254
Les numéros 0, 63, 64, 127, 128, 191, 192 et 255 interdits
Sous-réseaux possibles
F. Nolot DESS ISIDIS 2002/2003 46
Structure d’un paquet IP
Version IHL Type de service
Longueur du paquet
Identificateur Flags Offset du Fragment
TTL Protocole Checksum d’en-tête
Adresse IP source
Adresse IP cible
Options/remplissage
Zones de données …
F. Nolot DESS ISIDIS 2002/2003 47
La fragmentation Subdivision en petit paquet, fonction
de la MTU (Maximum Transfer Unit)Ethernet 1500 OctetsToken Ring 4 Mbps 4464 OctetsToken Ring 16 Mbps17914 Octets
Reconstruction grâce à l’Offset du Fragment
Si n’arrive pas à temps (30-40s), perte et envoie d’un ICMP d’erreur
F. Nolot DESS ISIDIS 2002/2003 48
Champ TTL : Durée de vie
TTL sur 8 bits: décrémenté à chaque passage suppression du paquet arrivé à 0
F. Nolot DESS ISIDIS 2002/2003 49
Communication IP
Service non connecté aucune sécurisation Pas acquittement à la bonne
réception Les paquets perdus ne sont pas
détectés
F. Nolot DESS ISIDIS 2002/2003 50
Le multicast
Adressage simultané de plusieurs ordinateurs
Routeur multicast : diffusion à un liste d’abonné les paquets d’une adresse multicast
Le protocole TCP
F. Nolot DESS ISIDIS 2002/2003 52
Le protocole TCP
Fonctionnalités: Commande de flux de données Gestion des priorités Détection et correction des erreurs Ordonnancement des séquences de
transmission Élimination des segments en double Connexion full duplex virtuelle
F. Nolot DESS ISIDIS 2002/2003 53
Principe de TCP Mode connecté Gestion des priorités Ordonnances des séquences de
transmission Élimination des segments en double Détection et correction d’erreurs Réception : IP transmet à TCP qui détecte
les messages défectueux ou perdus et demande leur réémission
F. Nolot DESS ISIDIS 2002/2003 54
Les ports TCP Différencier les applications Ports standard
21 File Transfer Protocol (FTP)
23 Terminal Telnet
25 Simple Mail Transport Protocol (SMTP)
53 Domain Name Service (DNS)
80 HyperText Transfer Protocol (HTTP)²
110 Post Office Protocol 3
119 NNTP Newsgroup
F. Nolot DESS ISIDIS 2002/2003 55
Structure d’un paquet TCP
Port source Port cible
Numéro de séquence
Numéro d’acquittement
Offset Données
Réservé
Flags Taille de la fenêtre
Somme de contrôle Pointeur urgent
Options/remplissage
Données
F. Nolot DESS ISIDIS 2002/2003 56
Communication TCPStation 1 Station 2
Seq=921ACK=?
Seq=301ACK=?
Seq=302ACK=922
Seq=922ACK=303
Syn, Seq=921, Ack=?
Syn, Seq=302, Ack=922
Seq=303ACK=923
Seq=922, Ack=303
F. Nolot DESS ISIDIS 2002/2003 57
Le protocole UDP
Propriété IP UDP TCP
Mode connecté non non oui
Limite de message oui oui non
Somme de contrôle non non oui
Acquittement non non oui
Timeout et réexpédition non non oui
Détection des doublons non non oui
Contrôle de flux non non oui
Somme de contrôle des données
non oui oui
Contrôle de l’ordre non non oui
F. Nolot DESS ISIDIS 2002/2003 58
Port UDP
15 Netstat, état du réseau
53 Domaine, service de noms sous NT
69 TFTP
137 NetBIOS-ns, service de noms
161 SNMP
F. Nolot DESS ISIDIS 2002/2003 59
Structure d’une trame UDP
Port Source Port Cible
Taille Somme de contrôle
Zone de données
F. Nolot DESS ISIDIS 2002/2003 60
ICMP
message d’erreur de TCP, UDP et IP
Numéro Message d’information
3 Destination unreachable
0 Echo reply
8 Echo request
11 Time exceeded
13 Timestamp
14 Timestamp request
F. Nolot DESS ISIDIS 2002/2003 61
Exemples d’utilisation
Ping : type 8 echo request et réponse type 0 echo reply
Traceroute : pas fait par un message ICMP mais fabriquer à partir des messages type 11 d’ICMPSimulation avec un Echo request TTL 1
…
F. Nolot DESS ISIDIS 2002/2003 62
Quelques protocoles et leur numéro
Numéro
Nom du protocole
1 ICMP
6 TCP en version 4
17 UDP
89 OSPFIGP routage
Le routage
Statique et dynamique
F. Nolot DESS ISIDIS 2002/2003 64
Le routage statique
192.168.10.5192.168.1.1
192.168.10.15192.168.1.15 192.168.20.15
192.168.20.5192.168.10.1
Routeur A Routeur B
F. Nolot DESS ISIDIS 2002/2003 65
192.168.10.5192.168.1.1
192.168.10.15192.168.1.15 192.168.20.15
192.168.20.5192.168.10.1
Routeur A Routeur B
Table de routage du routeur A :Pour le sous réseau 192.168.1.0 utiliser
192.168.1.1Pour le sous réseau 192.168.10.0 utiliser
192.168.10.1Pour le sous réseau 192.168.20.0 utiliser
192.168.10.5
Masque de sous réseau:255.255.255.0
Routeur par défaut: 192.168.1.1 Routeur par défaut: 192.168.10.1ou 192.168.10.5
Routeur par défaut: 192.168.20.5
Routage Dynamique
Un exemple : RIP
F. Nolot DESS ISIDIS 2002/2003 67
Les sauts
192.168.10.0
192.168.15.0
192.168.20.0
192.168.30.0
Saut=2
F. Nolot DESS ISIDIS 2002/2003 68
192.168.10.0 192.168.30.0 192.168.50.0
Routeur A Routeur B
Routeur A
Adresse Saut
192.168.10.0 1
192.168.30.0 1
Routeur B
Adresse Saut
192.168.30.0 1
192.168.50.0 1
Connecté directement donc saut=1
192.168.50.0 1
Nouvelle route reçueSaut incrémenté de 1
F. Nolot DESS ISIDIS 2002/2003 69
192.168.10.0 192.168.30.0 192.168.50.0
Routeur A Routeur B
Routeur A
Adresse Saut
192.168.10.0 1
192.168.30.0 1
192.168.50.0 2
Routeur B
Adresse Saut
192.168.30.0 1
192.168.50.0 1
192.168.10.0 2
Information échangé toute les 30 secondes, Saut=16=InfiniSi panne, 15 échanges donc 15*30s=17min30
DHCP, DNS
F. Nolot DESS ISIDIS 2002/2003 71
Dynamic Host Configuration Protocol
Serveur qui envoie des adresses IP piochées dans un pool d’adresse
UDP port 67 et 68
F. Nolot DESS ISIDIS 2002/2003 72
DHCP : fonctionnement
1. Client : Demande de Bail IP (IP Lease)
2. Serveur : offre de bail aux demandeurs (IP proposée, identifiant et IP du serveur, durée du bail, masque approprié)
3. Client : sélection du bail4. Serveur : confirmation du bail
F. Nolot DESS ISIDIS 2002/2003 73
DHCP : Renouvellement du bail
à 50% de la durée du bail, demande de renouvellement
Si serveur indisponible, alors une nouvelle demande est effectué à 87.5% de la durée du bail
F. Nolot DESS ISIDIS 2002/2003 74
Domain Name Service
DNS : Traduction nom vers adresse IP
L’inverse : Reverse DNS
Sécurité Réseaux (1)
Les Firewalls
F. Nolot DESS ISIDIS 2002/2003 76
Définitions
Hôte : ordinateur attaché au réseau
Bastion : hôte atteignanble depuis Internet
Hôte à double réseau : au moins deux interfaces
F. Nolot DESS ISIDIS 2002/2003 77
Filtrage de paquets Type de routeur utilisé connu sous le nom de
routeur écran Filtrage selon les informations contenues dans
l’en-tête : Adresse IP source Adresse IP destination Protocole Port TCP ou UDP source Port TCP ou UDP destination Type de message ICMP
Filtrage selon les interfaces Interface sur laquelle arrive le paquet Interface de laquelle le paquet va partir
F. Nolot DESS ISIDIS 2002/2003 78
Serveur mandataire (proxy)
Oriente les requêtes des utilisateurs vers les vrais serveurs
Cas simple :ServeurRéel
Serveurmandataire
Clientmandataire
F. Nolot DESS ISIDIS 2002/2003 79
Architecture des firewalls Hôte à double réseau (mandataire):
Internet
Réseau interne
F. Nolot DESS ISIDIS 2002/2003 80
Architecture des firewalls Routeur ou hôte écran :
Internet
Réseau interne
Bastion
F. Nolot DESS ISIDIS 2002/2003 81
Architecture des firewalls Sous réseau à écran : Internet
Bastion
Routeurextérieur
Routeurintérieur
Réseaupériphérique
Réseauinterne
DMZ ?
F. Nolot DESS ISIDIS 2002/2003 82
Architecture des firewalls Variante :
Plusieurs bastions Fusion du bastion et routeur extérieur Fusion du routeur externe et intérieur
Dangereux : Fusion du bastion et routeur intérieur Plusieurs routeurs intérieurs
Et plusieurs routeurs extérieurs ?
F. Nolot DESS ISIDIS 2002/2003 83
Quelques principes
Pas de comptes utilisateurs sur le bastion
Protégez vos logs Supprimez les services inutiles
F. Nolot DESS ISIDIS 2002/2003 84
Configuration des services
FTP Port 20 pour les données Port 21 pour les commandes 2 modes : actif et passif
F. Nolot DESS ISIDIS 2002/2003 85
Ftp actif
Client ouvre 2 ports > 1023 Client indique au serveur quel port
il veut utiliser Serveur acquitte et initie la
communication Problème : connexion établie
depuis l’extérieur
F. Nolot DESS ISIDIS 2002/2003 86
Ftp passif
Client indique mode passif Serveur envoie un numéro de port
disponible pour les données Client initie la communication sur
ce port ouvert
F. Nolot DESS ISIDIS 2002/2003 87
Telnet
Client initie un port > 1023 Communique avec le port 23 du
serveur Le bit ACK à 0 pour établir la
connexion Puis ACK à 1 quand la connexion
est établie
F. Nolot DESS ISIDIS 2002/2003 88
Http
Client initie un port > 1023 Serveur sur le port 80
Sécurité Réseaux (2)
Principales attaques
F. Nolot DESS ISIDIS 2002/2003 90
Les classiques
NFS Deux utilisateurs ont le même UID sur
2 ordinateurs Mots de passe faibles Backdoor (WIZ sous sendmail) Débordement de tampon
F. Nolot DESS ISIDIS 2002/2003 91
Deny of Service (DoS)