Communiquer avec TCP/IP °LAN°

Click here to load reader

  • date post

    24-Jan-2016
  • Category

    Documents

  • view

    63
  • download

    4

Embed Size (px)

description

Communiquer avec TCP/IP °LAN°. EDF Guillaume Lehmann SEISO/ATI/PEX-T. Plan. Introduction (5 min) Les modèles (15 min) Les couches basses (30 min) Les couches hautes (5 min) Le réseau ethernet (1 h) pause 20 min Le réseau IP (1h10) TCP et UDP (20 min) SCTP et DCCP (10 min) - PowerPoint PPT Presentation

Transcript of Communiquer avec TCP/IP °LAN°

  • Communiquer avec TCP/IPLANEDFGuillaume LehmannSEISO/ATI/PEX-T

  • PlanIntroduction (5 min)Les modles (15 min)Les couches basses (30 min)Les couches hautes (5 min)Le rseau ethernet (1 h)pause 20 minLe rseau IP (1h10)TCP et UDP (20 min)SCTP et DCCP (10 min)pause 20 minLadministration rseau (30 min)La scurit (25 min)Conclusion (5 min)

  • IntroductionBut de cette formation Apprendre les principes de bases des rseaux et la logique qui les lie tous. Comprendre le fonctionnement des couches basses et plus particulirement des rseaux ethernet et IP. Comprendre la mise en uvre qui en est faite EDF. Possder une base de connaissance solide sur les fonctionnalits de niveau 2, sur les fonctionnalits de niveau 3, sur ladministration rseau et sur le monitoring. Possder des connaissances gnrales sur la scurit rseaux (orient protection contre les actes malveillants).Ne seront pas abords La configuration dtaills des quipements rseaux. Lutilisation dtaille des outils de supervision ou dadministration rseau. Le fonctionnement des rseaux radio, ATM, Frame Relay, RNIS, MPLS, X25, Les dtails superflus pour la comprhension du fonctionnement dun protocole. Les cas particuliers des rseaux tels que le multicast, la VoIP ou encore la ToIP.

  • Les modlesLa pile OSILa pile TCP/IPLa pile NetBEUI

  • La pile OSILes modlesModle thorique sur la communication entre 2 entits.7 couches utilisant le service rendu par la couche infrieure pour rendre un service la couche suprieure => encapsulation/dsencapsulation.Application : http, smtp, snmp, telnet, nfs, Prsentation : xdr, ASN.1, smb, aft, Session : ISO 8327 / CCITT X.225, rpc, NetBIOS, Transport : tcp, udp, rtp, spx, atp, Rseau : ip, icmp, igmp, X.25, arp, ospf, rip, ipx, Liaison : ethernet, ppp, hdlc, Frame Relay, rnis, atm, Physique : laser, fibre optique, cble UTP cat. 3/5/6/7, codage, radio, bittramepaquetsegmentDataSPDUDataPPDUAPDUDataDataDataData

  • La pile TCP/IPLes modlesStandard de fait, plus ancien que le modle OSI (Department of Defense)Pile InternetLes couches basses des 2 modles correspondent plus ou moins.Les couches hautes de la pile OSI sont regroupes en une seule couche Application.Application : http, ftp, pop, smtp, telnet, snmp, dns, Transport : tcp, udp, rtp, Rseau : ip, icmp (au-dessus dip), Liaison : ethernet, token-ring, wifi, wimax, atm, Physique : fibre optique monomode/multimode, cbles UTP cat. 3/5/6/7, codage, laser, radio, Accs rseau

  • La pile de NetBEUILes modlesPile utilise par Microsoft WindowsConue lorigine pour des petits rseaux locauxNetBEUI disparat avec MS Windows 2000Application : WINS, SMB (Server Message Block), NCB (Network Control Block), RPC (Remote Procedure Control)Session : NetBIOS (Network Basic Input/Output System)Transport/Rseau : NetBT (NetBios over Tcp/ip), NetBEUI (NetBios Extented User Interface)Liaison/Physique : Ethernet, token-ring,

    ApplicationSessionTransport/RseauLiaison/Physique

  • Les couches bassesLa couche physiqueLa couche liaisonLa couche rseauLa couche transport

    ApplicationPrsentationSessionTransportRseauLiaisonPhysique

  • La couche physique (1/3)Les couches bassesmission et rception de signaux :Par voie hertzienne => radio (FM, AM, OOK, FSK, PSK, ASK/PAM)Par voie lectronique => cbles coaxiaux, paires de cuivres.Par voie lumineuse => lasers, fibres optiques

    Sont dfinis :Type de mdiaLes connecteursLes niveaux et puissances des signauxLe codage/modulation/longueurs dondesLa synchronisation (horloge)Les distances maximales

  • La couche physique (2/3)Les couches bassesRLE USSO

    Fibres optiques monomodes ou multimodes :LC/SC/ST/MTRJCbles cuivres :RJ45 de catgorie 3 ou 5 ou 6Matriel :Hubs 3Com PS40

  • La couche physique (3/3)Les couches bassesPour infos

    100BASETX : 100ohms, 100m (90m Gbps), UTP (non blind) ou STP(blind)Laser : distance maximale ~ 500mFibre optique :100BASEFX-FD, multimode, 1300nm, 62.5microns, 2 2000m100BASEFX-HD, multimode, 1300nm, 62.5microns, 2 412m1000BASESX-FD, multimode, 850nm, 62.5microns, 2 275m1000BASELX-FD, multimode, 1300nm, 62.5microns, 2 550m1000BASELX-FD, monomode, 1300nm, 9microns, 2 11000m

  • La couche liaison (1/2)Les couches bassesComment les trames sont transportes dun nud vers un autre noeudLe tramage (squences de bits qui marquent le dbut et la fin des trames).Transmission entre deux nuds physiques sur une zone restreinte : LAN (Local Area Network).Adressage physique des nuds (en-tte).Contrle derreur.Couche parfois subdivise en :MACLLC (au-dessus de MAC)QoS possible mais rarement utilise.

  • La couche liaison (2/2)Les couches bassesRLE USSOProtocole :ethernetSwitchs ethernet 3Com :SuperStack II : 1100/3300TX (p)Superstack III : 3300FX (p), 4400 (p), 4050/4060/4070 (c), 4900/4950 (c)Core Builder : 4007 (ch)Switchs ethernet Nortel :Bay Stack 450 (p)Accelar 1200 (ch)(p) : switchs de priphrie (empilables ?)(c) : switchs de cur de rseau empilables(ch) : switchs de cur de rseau, chassisSwitchs ethernet Enterasys :A2 (p)B2 (p)Switchs ethernet Cisco :Catalyst 2940 (p)

  • La couche rseau (1/2)Les couches bassesAcheminement des paquets travers un ou plusieurs rseaux

    Un protocole dadressageUn protocole de transmission de diagnosticsUn protocole de gestion des transmissions multicastsQoS possible

  • La couche rseau (2/2)Les couches bassesRLE USSOProtocoles :IP, ICMP, ARP pour le RLERIP, OSPF, IP, X.25 pour le RIH

    Switchs :3Com Superstack III : 4050/4060/4070, 4900/4950Enterasys : C2Routeurs :Cisco (proprit et gestion par France Telecom / 9Cgetel)

  • La couche transport (1/2)Les couches bassesFiabiliser le transport des paquets et les ordonnerVrifier que les donnes sont intgres.Vrifier quil ny a pas duplication ou perte de paquets.Vrifier que les paquets sont prsents dans le bon ordre la couche suprieure (seulement en mode connect).

    Mode connect et mode non connect.Dans la pile TCP/IP, cette couche dtermine aussi quelle application les paquets doivent tre envoys.Retransmission en cas de perte.La QoS (Quality of Services) influe sur cette couche.Notion de flux.

  • La couche transport (2/2)Les couches bassesRLE USSOProtocoles :TCP (Transmission Control Protocol) : mode connectUDP (User Datagram Protocol) : mode non connect

    Utilis pour :Dterminer les flux (notion de ports TCP/UDP)Mettre en place de la QoSUtilise dans le domaine des rseaux car li la couche rseau

  • Les couches hautesLa couche sessionLa couche prsentationLa couche application

  • La couche sessionLes couches hautesPlacement de points de synchronisation, gestion des procdures dajournement, de fin ou de redmarrage de connexion et gestion de la continuit du service rendu aux couches suprieuresGestion groupe dinfos provenant de plusieurs flux => Utilise essentiellement dans le multimdia

  • La couche prsentationLes couches hautesMettre en forme les donnes pour quelles puissent tre interprtes par la couche application

  • La couche application (1/2)Les couches hautesProgrammes rseaux dlivrant ou consultant un service

  • La couche application (2/2)Les couches hautesRLE USSO

    Mail/partageDeDocuments => Lotus NotesGestion de rseau Microsoft WindowsPartage de fichiers travers Microsoft WindowsSNMPhttp/httpsftptelnetssh

  • Le rseau ethernetLe fonctionnementLadressageLes quipementsLes fonctionnalits de baseLes fonctionnalits volues

  • Le fonctionnementLe rseau ethernetCSMA/CD : Carrier Sense Multiple Access/Colision Detection

  • LadressageLe rseau ethernetLa norme ethernet spcifie lutilisation dadresses physiques lies aux cartes rseaux : les adresses MAC. Une carte ne prend en compte que les trames qui lui sont destines et les transmet au protocole de niveau 3 indiqu dans le champ Type (0x0800 pour IP). Exception pour :Les trames de broadcastsLes adresses multicasts qui lui ont t configuresLes cartes en mode promiscuitUne adresse MAC sous forme hexadcimale est constitue :Du bit U/L : adresse universelle attribue par lIEEE (0000 0000) ou adresse locale (0000 0010)Du bit I/G : adresse unicast (0000 0000) ou multicast (0000 0001)De ladresse du constructeur sur 22 bits (comprend les 6 premiers bits 0)De ladresse affecte par le fabricant sur 24 bits

    @constructeur (part 1)6 bits 0U/L0/1I/G0/[email protected] (part 2)[email protected]

  • Les quipements (1/4)Le rseau ethernetHubs ou rpteurs :Niveau 1 : La trame est rplique sur tous les ports sauf celui darrive de la trameMme domaine de collisions de part et dautre du hubDbit : 10 Mbps, parfois 100 Mbps.Technologie : Composants lectroniques, avec un ou plusieurs bus ethernets.

  • Les quipements (2/4)Le rseau ethernetSwitchs ou commutateurs :3 grandes familles de switchs :Stand alone (bon march) => priphrie ;Empilables (extension aise) => priphrie ou cur de rseau ;Chssis (redondance, remplacement chaud des composants, modulaire, fonctionnalits plus nombreuses) => cur de rseau.Niveau 2 : La trame est envoye uniquement sur le bon port (une table MAC par port) sauf si ladresse est inconnue par le switch.Niveau 3 : Fonctions de routage ajoutes par les constructeurs. Hors normalisation du 802.3.Dbits : 10/100/1000/10000 Mbps.Technologie : ASIC et processeur RISC, matrice de commutation.Domaines de collisions spars par le switch, mais pas les domaines de broadcasts IP.

  • Les quipements (3/4)Le rseau ethernetSwitchs (suite) :Cut through : Aprs avoir reu les 6 octets qui permettent de remonter les informations concernant les adresses, le switch commence renvoyer le paquet vers le segment destinataire sans que la trame ne soit entirement arrive dans le switch.Store and forward : Le switch sauvegarde la totalit du paquet dans un buffer, vrifie les erreurs CRC ou autres problmes, puis lenvoie sil est valide sinon le rejette. Si le paquet prsente des erreurs, il est rejet.Fragment free : Cette mthode est moins utilise que les prcdentes. Elle fonctionne comme cut through si ce nest quelle stocke les 64 premiers octets du paquet avant de lenvoyer : la plupart des erreurs et des collisions interviennent lors du temps de transmission des 64 premiers octets du paquet.

  • Les quipements (4/4)Le rseau ethernetPrincipe du pont transparent en 5 tapes.LapprentissageLinondationLe filtrageForwardingVieillissement (aging)

  • Les fonctionnalits de baseLe rseau ethernetVitesse des ports et mode de fonctionnement :Autongociation et autosense (vitesse) changes de trames FLP (Fast Link Pulse).On peut forcer les vitesses et les modes ngociables.Croisement logiciel du cble RJ45 :(Auto-)MDIX. Mme active, il faut parfois activer lautongociation pour que le MDIX soit effectif.

  • Les fonctionnalits volues (1/5)Le rseau ethernetAdministration et supervision :Accs en telnet, ssh, web, client propritaire, Supervision par SNMP (MIB implmente plus ou moins complte) et RMON.

  • Les fonctionnalits volues (2/5)Le rseau ethernetAgrgation de liens (802.3ad) : Lier plusieurs liens physiques hte hte comme un seul lien logique. Rpartition de charge (par session MAC) :Monte en charge en parallle des liens agrgs ;Basculement de la charge sur un autre lien de lagrgation une fois le premier lien arriv pleine charge ;Basculement de la charge sur un autre lien de lagrgation si le premier lien est hors-service.

  • Les fonctionnalits volues (3/5)Le rseau ethernetVirtual Local Area Network (802.1q) : sparer virtuellement des rseaux physiquement identiques :Affectation du VLAN par port, ou VLAN de niveau 1 ;Affectation du VLAN par adresse MAC ou VLAN de niveau 2 ;Affectation du VLAN par adresse IP ou VLAN de niveau 3 ;Sparation derseaux IP => ncessit de passer par un routeur pour aller dun VLAN lautre ;Tag/marquage sur un port lorsquil est ncessaire dindiquer dans le paquet le VLAN dappartenance (utile pour linterconnexion de 2 switchs) ;Les VLANs ingress et egress dun mme port peuvent tre diffrents ;Sparation des domaines de collisions, de broadcasts et de multicasts IP.

  • Les fonctionnalits volues (4/5)Le rseau ethernet(Rapid) Spanning Tree Protocol : Dsactivation automatique des ports impliqus dans un boucle.STP => v1 ; RSTP => v2 ;Communication entre les switchs (Bridge Protocol Data Unit) pour dtecter les boucles ;lection dun switch root et notion de cots pour chaque liaison.Multiple Spanning Tree Protocol : 802.1sPlusieurs arbres actifs rpartition de charge.Plusieurs VLAN par spanning treeSi on rajoute cela la possibilit daffecter des VLAN diffrents suivant que le trafic dun port est sortant ou entrant, nous pouvons alors avoir des configurations trs complexes

  • Les fonctionnalits volues (5/5)Le rseau ethernetQuality of Services (802.1p inclus dans 802.1q) : Dfinition de priorits selon 7 classes de services (champ de 3 bits) (les constructeurs regroupent parfois plusieurs classes de services !) :0 = Best effort1 = Background2 = Rserv (spare)3 = Excellent effort (business critical)4 = Application contrle de charge (streaming multimedia)5 = Vido (interactive media), moins de 100ms de latence et jitter6 = Voix (interactive media), moins de 10ms de latence et jitter7 = Network control reserved trafficRoving analysis : recopie de ports (attention toutes les donnes ne sont pas toujours recopies !).Power over Ethernet : alimentation des priphriques connects au switch par le cble rseau (en plus de la transmission des donnes).

  • Le rseau IPLadressageARP/RARPDHCP/BOOTPLa translation dadresseLes quipementsLe routage

  • Ladressage (1/5)Internet Protocol : actuellement en version 4. Lutilisation de IP a fortement volue !32 bits utiliss, criture en 4 fois 8 bits.11000000.10101000.00001010.10000010 = 192.168.10.130Ladressage dune machine/dun rseau = @ IP + masque sous-rseau (exception avec la notion de classes).1 rseau IP = 1 plage IP constitue (exception pour le multicast) :dune adresse dfinissant le rseau (premire adresse de la plage).dune adresse dfinissant le broadcast rseau (la dernire adresse de la plage).dadresses des htes uniques (toutes les autres adresses).Plusieurs mthodes de dcoupage des plages dadresses :Classes.VLSM (Variable Length Subnetwork Mask), sorte de CIDR local lentreprise.CIDR (Classless Inter-Domain Routing).Il existe des exceptions : des plages IP rserves et dautres ne pas router.Le rseau IP

  • Ladressage (2/5)ClassesLes bits les plus lourds dfinissent la classe :Classe A : rseaux de 16777214 machines max (de 0.0.0.0 127.255.255.255)Classe B : rseaux 65534 machines max (de 128.0.0.0 191.255.255.255)Classe C : rseaux de 254 machines max (de 192.0.0.0 223.0.0.0)Classe D : adresses multicastsClasse E : rserve des usages exprimentauxLe rseau IP

  • Ladressage (3/5)Le rseau IPCIDRLe masque sous-rseau permet de crer des sous-rseaux ou sur-rseaux qui ne respectent plus le dcoupage en classes A, B, C.Cest le masque sous-rseau qui dfinit la limite des bits dadressage du rseau, des bits dadressage de la machine :192.168.10.5/255.255.255.0 ou 192.168.10.5/24 24 bits Rx sur 32 192.168.10.0 192.168.10.255192.168.10.5/255.255.255.128 ou 192.168.10.5/25 25 bits Rx sur 32 192.168.10.0 192.168.10.127192.168.10.5/255.255.252.0 ou 192.168.10.5/22 22 bits Rx sur 32 192.168.8.0 192.168.11.255

  • Ladressage (4/5) 27 + 26 27 + 25 + 23 23 + 21 27 + 22 11000000.10101000.00001010.10000100 (192.168.10.132/28)11111111.11111111.11111111.11110000 (255.255.255.240)

    La partie rseau, se sont les bits 1.La partie machine, se sont les bits 0.Si cette rgle est respecte, les valeurs dcimales possibles pour masque sous-rseau sont : 255, 254, 252, 248, 240, 224, 192, 128 et 0 Le rseau IPPartie rseauPartie machineAdresse rseau : . 10000000 192.168.10.128Adresse de broadcast : . 10001111 192.168.10.143

  • Ladressage (5/5)ExceptionsLes plages IP ne pas router par dfaut10.0.0.0/8 10.255.255.255/8172.16.0.0/16 172.31.255.255/16192.168.0.0/16 192.168.255.255/16Les plages IP rserves0.0.0.0 => utilise par lhte quand ladresse rseau est inconnue255.255.255.255 => diffusion limite tous les htes du sous-rseau.0.x.x.x127.x.x.x => boucle locale/loopback128.0.x.x191.255.x.x192.0.0.x223.255.255.x224.0.0.0 => diffusion multipoint (multicast)Le rseau IP

  • ARP/RARP (1/2)Correspondance entre ladresse MAC (@ physique de la machine) et ladresse IP (adresse logique).Le rseau IPARP (Address Resolution Protocol)Depuis [email protected] on recherche [email protected] MACRARP (Reverse Address Resolution Protocol)Depuis [email protected] on recherche [email protected] : permettre des stations sans disque dur local connaissant leur adresse MAC de se voir attribuer une IP.

  • ARP/RARP (2/2)Le rseau IP

    0 78 1516 2324 31Hardware type (01 pour eth)Protocol type (0x0800 pour IP)Hardware Address Length (06 pour eth)Protocol Address Length (04 pour IPv4 et 16 pour IPv6)Operation (01 pour request, 02 pour reply)Sender Hardware AddressSender Protocol Address (@IP)Target Hardware Address (que des 1 si request)Target Protocol Address (@IP)

  • DHCP/BOOTP (1/3)

    BOOTP(BOOTstrap Protocol): Ce protocole permet un quipement de rcuprer son adresse IP au dmarrage.

    DHCP (Dynamic Host Configuration Protocol): Remplaant de BOOTP, il permet lobtention dynamique dune configuration rseaux plus ou moins complte.Le rseau IP

  • DHCP/BOOTP (2/3)Le rseau IPDHCPDISCOVER (pour localiser les serveurs DHCP disponibles, port 67) DHCPOFFER (rponse des serveurs un paquet DHCPDISCOVER. Contient les premiers paramtres IP. Port 68) DHCPREQUEST (requtes diverses du client pour par exemple accepter ladresse IP propose par un serveur et avertir les autres serveurs de loffre choisie par le client parmi plusieurs, ou encore pour prolonger son bail) DHCPACK (rponse du serveur qui contient des paramtres, bail et adresse IP du client) DHCPNAK (rponse du serveur pour signaler au client que son bail est chu ou si le client annonce une mauvaise configuration rseau) DHCPDECLINE (le client annonce au serveur que l'adresse est dj utilise) DHCPRELEASE (le client libre son adresse IP) DHCPINFORM (le client demande des paramtres locaux, il a dj son adresse IP) DHCPDISCOVERDHCPOFFERDHCPREQUESTDHCPACKCLIENTSERVEURDemande dadresse IP russie

  • DHCP/BOOTP (3/3)Le rseau IPLongueur du bail : Sur un rseau o les machines se branchent/dbranchent souvent, il faut donner des bails courts pour viter de consommer le pool dadresse IP.Sur un rseau o les machines restent longtemps connectes, il faut prfrer des bails plus longs afin de ne pas surcharger le rseau avec les broadcasts des DHCPDISCOVER/DHCPOFFER/DHCPREQUEST.

    Gestion avance avec DHCP : Il est possible daffecter une adresse IP libre choisie au hasard ou de configurer dans le serveur des couples @IP/@MAC. Il est galement possible daffecter les adresses IP en fonction du rseau dorigine de la requte, de mettre jour un DNS.

    Client et serveur DHCP sur des segments diffrents : Implmenter un relais DHCP ou un UDP helper sur le routeur du site client.

    Paramtres que DHCP peut fournir au client : RFC 2132.Toute adresse IP dlivre par un serveur DHCP lest pour un temps donn : cest le bail. Lorsquon arrive T1, le client demande en unicast le renouvellement du bail. Sans rponse du serveur, arriv T2 le bail est chu et le client doit redemander une adresse par diffusion. Si le client na toujours pas de nouvelle adresse IP, alors il doit dsactive son adresse et ne peut plus communiquer.

  • La translation dadresse (1/3)Le rseau IP2 types de NAT (Network Address Translation)Le SNAT (Source NAT) :Changer ladresse IP et/ou le port de la source.Le masquerading est un cas particulier de SNAT.

    Le DNAT (Destination NAT) :Changer ladresse IP et/ou le port de la destination.La redirection est un cas particulier du DNAT.

    Tower PC

    INTERNET

    Poste de travail

    Tower PC

    INTERNET

    Poste de travail

  • La translation dadresse (2/3) Le rseau IPNAT statique :@IP A1 sera toujours translate en @IP [email protected] A2 sera toujours translate en @IP B2NAT dynamique{A1, A2, } translate en {B1, B2 , } pas de lien prdfini entre une adresse An et Bm.

    Version (4 bits)

    Longueur de len-tte (4 bits)

    Type de service (8 bits)

    Longeur totale (16 bits)

    Identification (16 bits)

    Drapeau (3 bits)

    Dcalage fragments (13 bits)

    Dure de vie (8 bits)

    Protocole (8 bits)

    Somme de contrle en-tte (16 bits)

    Adresse IP source (32 bits)

    Adresse IP Destination (32 bits)

    Donnes

    Version (4 bits) : il s'agit de la version du protocole IP que l'on utilise (actuellement on utilise la version 4 IPv4) afin de vrifier la validit du datagramme. Elle est code sur 4 bits.

    Longueur d'en-tte, ou IHL pour Internet Header Length (4 bits) : il s'agit du nombre de mots de 32 bits constituant l'en-tte (nota : la valeur minimale est 5). Ce champ est cod sur 4 bits.

    Type de service (8 bits) : il indique la faon selon laquelle le datagramme doit tre trait.

    Longueur totale (16 bits): indique la taille totale du datagramme en octets. La taille de ce champ tant de 2 octets, la taille totale du datagramme ne peut dpasser 65536 octets. Utilis conjointement avec la taille de l'en-tte, ce champ permet de dterminer o sont situes les donnes.

    Identification, drapeaux (flags) et dplacement de fragment sont des champs qui permettent la fragmentation des datagrammes, ils sont expliqus plus bas.

    Dure de vie appele aussi TTL, pour Time To Live (8 bits) : ce champ indique le nombre maximal de routeurs travers lesquels le datagramme peut passer. Ainsi ce champ est dcrment chaque passage dans un routeur, lorsque celui-ci atteint la valeur critique de 0, le routeur dtruit le datagramme. Cela vite l'encombrement du rseau par les datagrammes perdus.

    Protocole (8 bits) : ce champ, en notation dcimale, permet de savoir de quel protocole est issu le datagramme

    Somme de contrle de l'en-tte, ou en anglais header checksum (16 bits) : ce champ contient une valeur code sur 16 bits qui permet de contrler l'intgrit de l'en-tte afin de dterminer si celui-ci n'a pas t altr pendant la transmission. La somme de contrle est le complment un de tous les mots de 16 bits de l'en-tte (champ somme de contrle exclu). Celle-ci est en fait telle que lorsque l'on fait la somme des champs de l'en-tte (somme de contrle incluse), on obtient un nombre avec tous les bits positionns 1

    Adresse IP source (32 bits) : Ce champ reprsente l'adresse IP de la machine mettrice, il permet au destinataire de rpondre

    Adresse IP destination (32 bits) : adresse IP du destinataire du message

  • La translation dadresse (3/3) Le rseau [email protected] A1 translate en @IP B(port x)@IP A2 translate en @IP B(port x+1)@IP A3 translate en @IP B(port x+2)OverlappingUtilis quand ladresse utilise dans le LAN est dans une plage IP dj existante sur un autre site et qui, depuis lextrieur, apparat comme un doublon. Le routeur joue alors de relais en faisant croire au client que la machine extrieure une autre adresse IP.

  • Les quipementsNiveau 3 :Switchs de niveau 3 commutation.Routeur routage.Dbit : trs variable (de quelques Ko plusieurs Go).Technologie : Matriel ddi avec une partie logicielle. Table de routage.Sparation des domaines de collisions, et des domaines de broadcasts IP.Le rseau IP

  • Le routage (1/7)Le routage permet dacheminer les paquets dun rseau un autre, en passant par plusieurs autres rseaux, et priori en ne connaissant pas le chemin emprunter.Le rseau IPRoutage statiqueRoutage dynamiqueInnondationExterior Gateway Protocol(BGP)Interior Gateway Protocol(RIP, OSPF, EIGRP)Routage sur les PCRoutage sur les quipements rseaux

  • Le routage (2/7)Le routage statique :Simple mettre en place ;Adapt un faible nombre de rseaux IP ;Permet de grer les exceptions.

    Le routage dynamique :Plus complexe mettre en place ;Seule solution viable sur un rseau comprenant de nombreux rseaux IP ;Communication entre les routeurs par un protocole de routage.Le rseau IP

  • Le routage (3/7)RIP (v1 et v2) : le meilleur chemin est celui ayant le moins de sauts. Vecteur de distance (Bellman-Ford)OSPF : le meilleur chemin est celui proposant les meilleures bande-passantes. Arbre du plus court chemin (Dijkstra).EIGRP : protocole propritaire Cisco, combinant le routage par saut, par bande-passante, et par charge rseau.Le rseau IP

  • Le routage (4/7)RIP (Routing Information Protocol)15 sauts maximum. Une route de 16 sauts est considre comme coupe.Par dfaut, 1 saut = 1 routeur.Protocole dpass, mais encore prsent de part sa facilit de mise en uvre et de comprhension.Le rseau IP

  • Le routage (5/7)Le rseau IPOSPF (Open Shortest Path First)Dcoupage par aire :Aire 0 (backbone area) : aire au centre de toutes les autres.Les autres aires, doivent tre contigus laire 0, physiquement ou par utilisation dun lien virtuel.Stub area : aire qui nchange pas de route avec les autres aires.Routeur dsign (Designated Router) et Routeur dsign de secours (Backup Designated Router) pour synchroniser lchange entre les bases de donnes.

  • Le routage (6/7)Le rseau IP

  • Le routage (7/7)VRRP (Virtual Router Redundancy Protocol) :Une adresse IP et une adresse MAC virtuelles sont utilises comme passerelle par dfaut. Un groupe de routeurs se surveille pour quun seul dentre eux ait ces adresses (viter les conflits dadresse) et que ces adresses soient toujours affectes un routeur valide (gateway toujours disponible vu des PC).HSRP (Hot Standby Router Protocol) : propritaire Cisco, anctre de VRRP.CARP (Common Address Redundancy Protocol) : travail dOpenBSD. Non reconnaissance par les organismes de normalisation malgr la valeur technique. Implmentation existante sous dautres plateformes (cf. UCARP).Le rseau IP

  • TCP et UDPTCPUDP

  • TCP (1/8)Transmission Control ProtocolProtocole de niveau 4 assurant un transfert :Bidirectionnel ;Fiable ;Sans erreur ;Avec contrle dintgrit ;avec retransmission des donnes si des paquets sont perdus.Grce :La notion de ports source et destination (0-1023, 1024-49151, 49152-65535) ;Un checksum ;Lmission dun ACK ;Suivi dun numro de squence des donnes.Protocole en mode connect.TCP et UDP

  • TCP (2/8)Les flags TCP

    Plusieurs peuvent tre positionns dans un mme segment TCP.PSH (push) : Envoyer les donnes contenues dans le tampon dmission mme si celui-ci nest pas plein.URG (urgent) : associ au pointeur urgent dfinit une zone de donne spciale dans la zone de donnes du segment TCP.SYN (synchronisation) : utilis lors de ltablissement de la connexion.ACK (acknowledgement) : accus de rception.RST (reset) : rinitialisation ou fin brutale de la connexionFIN (finalize) : terminer la connexion.TCP et UDP

  • TCP (3/8)TCP et UDPFonctionnement (1/4)SYN (A B)SYN (B A) + ACK (A B)ACK (B A)tablissement dune connexionBA

  • TCP (4/8)TCP et UDPFonctionnement (2/4)

  • TCP (5/8)

    Window-scaling : quantit maximale de donnes que lon peut envoyer avant de recevoir un ACKTCP et UDPFonctionnement (3/4)N sq = nTempo armeN sq nTempo puiseN sq n+1Transfert de donnes

  • TCP (6/8)TCP et UDPFonctionnement (4/4)FIN (A B)ACK (A B)FIN (B A)ACK (B A)Clture dune connexionABTransfert de donnes possible ssi cest linitiative de B

  • TCP (?/8)TCP et UDP1988 TCP Tahoe1990 TCP Reno1994 TCP Vegas1994 ECN (Explicit Congestion Notification)1996 SACK (Selective ACKnoledgment)1999 TCP NewRenoTCP BICTCP UBICTahoe = slow start + congestion avoidance + fast retransmissionReno = Tahoe + fast recoveryNewReno = Reno + adaptation aux pertes successivesLhistoire de TCP

  • TCP (7/8)2 modes complmentaires de fonctionnement de TCP Slow-start (dmarrage progressif) : dcouverte de la qualit de la liaison (on envoie 1 puis 2 puis 4 puis trames, la taille mss, entre 2 ACK jusqu ouverture de la fentre max). Si pertes, passage Congestion-avoidance (protection contre la congestion) : moins agressif, augmente linairement le dbit depuis la congestion window (= taille fentre lorsque congestion / 2).TCP et UDPUn mcanisme adaptatif de dbit grce lalgorithme de NagleRetarder lenvoi de paquets (attente de lACK) pour les agrger en un seul segment TCP dsactiv si trafic intractif ncessitant des temps de rponses < 200ms.Adaptation du dbit

  • TCP (8/8)Dtection de pertes de paquetsAlarme RTO (Retransmit Time Out) : timer lmission puis.Duplication des ACK : lmetteur reoit les segments n et n+2 et pas le n+1 il envoie 3 fois le ACK pour n.TCP et UDPRetransmission2 mcanismes de dtection 2 types de pertes diffrents Comportements de lmetteur diffrent.Dans le premier cas, cest peut-tre un reroutage ou un changement de topologie entre les 2 extrmits Qualit de la liaison redcouvrir.Dans le second cas, cest peut-tre une congestion (un routeur intermdiaire supprime des paquets) Lmetteur rduit le dbit.

  • UDPProtocole en mode dconnect :Fragmentation et rassemblage gr par la couche IPPas de dtection de perte de paquetPas de gestion des retransmissionsPas de QoSTCP et UDPUDP apporte :La notion de ports source et destinationUn champ longueur des donnesUn checksumUser Datagram Protocol

  • SCTP et DCCPSCTPDCCP

  • SCTPStream Control Transmission Protocol, RFC 4960 (septembre 2007). La premire RFC (2960) date doctobre 2000.SCTP est une combinaison de TCP et UDP, mais en tant plus proche de TCP. Comme TCP, il assure la fiabilit, lordonnancement et le contrle de gestion. Comme UDP, il gre des frames et non des octets.Une avance majeure de SCTP est la possibilit de communications multi-cibles, o une des extrmits de la (ou les) connexion est constitue de plusieurs adresses IP.1 connexion = plusieurs fluxOn peut agir sur un flux sans impacter les autres flux dune mme connexion.On retrouve la notion de ports source et destination.Checksum de 32 bits et non pas 16 comme TCP.Un paquet SCTP invalide est silencieusement dtruit.Un paquet SCTP est constitu dun en-tte commun et dun ou plusieurs chunck (13 types diffrents + les chuncks rservs)contenant des informations de control ou des donnes.SCTP et DCCP

  • DCCPDatagram Congestion Control Protocol, RFC 4340 (mars 2006).SCTP et DCCP

  • Ladministration rseauLes activitsLa bote outilLa supervision rseau avec SNMP et ICMPLe monitoring

  • Les activits (1/2)Ladministration rseauLa supervision rseauLe monitoringLe maintien en condition oprationnelle (MCO) :Suivre les volutions matrielles et logiciellestudier les optimisations en fonctions des nouveaux besoinsAssurer la continuit de service :Programmer des interventions de maintenance en dehors des heures de bureau de lutilisateur.Ractivit et dfinition de procdures pour minimiser les impacts dun incident rseau.

  • Les activits (2/2)Ladministration rseauLa gestion du matriel rseauPour la gestion des stocks de rservePour la gestion du matriel en productionPour la gestion des garantiesLa documentation (attention aux extrmes !)Procdures dinterventions sur incidentsProcdures dinterventions programmesDocumentations techniquesSchmathque Audits

  • La bote outilsTest de la connectivit : pingTest de litinraire : tracerouteRemonte dinformations dun PC sous MS Windows : nbtstat A, arp -atudier les donnes qui transitent sur un rseau : analyseur rseauSurveiller ltat du rseau : station de supervision (snmp et icmp), outils des oprateursSuivi des incidents : tickets dincidentsAdministrer les quipements : telnet, ssh , web, client propritaire, accs par port console, tftpLadministration rseau

  • La supervision rseau avec SNMP et ICMP (1/4)Elle sappuie essentiellement sur icmp, SNMP et des connexions TCP pour tester les servicesLadministration rseauLa station de supervision est loutil principal

  • La supervision rseau avec SNMP et ICMP (2/4)Ladministration rseauSNMP (Simple Network Management Protocol)5 types de trames :

    Architecture client/serveur : station de supervision / agent SNMPSupervision selon 3 approches :Polling : get_request/get_responseRemonte dalarmes : trapCombinaison des 2 premires mthodesIdentification par lutilisation dune communaut SNMP identique.

  • La supervision rseau avec SNMP et ICMP (3/4)SNMP sappuie sur la MIB (Management Information Base) pour se rfrer une variable.La supervision permet grce la consultation de ces variables de :Dtecter la panne dun matrielDtecter les bagottementsTracer les incidentsRemonter des alertesLadministration rseau

  • La supervision rseau avec SNMP et ICMP (4/4)Ladministration rseauICMP (Internet Control Message Protocol)Utilis pour scanner un rseau (avant dutiliser SNMP ou un autre protocole pour recueillir des informations sur lhte scann)Utilis pour savoir si lquipement est accessible linstant t.Le ping (echo_request/echo_reply) est laspect le plus connu du protocole, mais il en existe beaucoup dautres !

  • Le monitoring (1/3)Ladministration rseauTracer en temps relAlarmes sur dpassement de seuilsAppui aux tudes darchitectures physiques et logiquesTaxationSurveillance des dbits et de plusieurs autres paramtres critiques (CPU, RAM, )Archiver pour des statistiques

  • Le monitoring (2/3)Ladministration rseauTrafic oscillant ou trafic normal ?

  • Le monitoring (3/3)Ladministration rseauSaturation metteur ou rcepteur ?Trafic faible ou transfert de nombreux petits fichiers ?Trafic optimum ou saturation rseau ?

  • La scurit rseauLes firewallsLes systmes de dtection dintrusions rseaux (NIDS)Les rseaux privs virtuels (VPN)Les antivirusLe social-engineeringLauthentificationAdministration/supervision

  • Les firewalls (1/2)Plusieurs types de firewalls existent :Filtrage de niveau 2 : adresses MAC identification dune carte rseau.Filtrage de niveau 3 : adresses IP identification de la machine + prise en compte basique des en-ttes TCP/UDP.Filtrage de niveau 4 : suivi dtat prise en compte de la globalit de la communication pour effectuer le filtrage.Filtrage de niveau 7 : filtrage applicatif analyse des donnes contenues dans la trame pour identifier le protocole applicatif utilis et sa validit.Firewalls authentifiants un logiciel client est prsent sur le PC de lutilisateur.Firewalls coupls un IPS modification automatique des rgles de filtrage suivant les remontes dun IPS.La scurit rseau

    ApplicationPrsentationSessionTransportRseauLiaisonPhysique

  • Les firewalls (2/2)Avantages.Fonctionne comme un quipement rseau facile installer.Bloque un trs grand nombre dattaques.Possibilit de gestion et de configuration distance et centralises.Solution bon march au vu de son efficacit.Inconvnients.Problmes avec les trafics lgitimes mais exotiques.Ncessite de rpertorier de manire exhaustive tous les flux autoriser.De nombreuses solutions sur le march.Combiner au-moins le filtrage de niveau 3 et 4 pour tre efficace.Pour effectuer le filtrage, ne se base que sur les en-ttes des trames, non sur les donnes (sauf niveau 7).Ne permet pas de filtrer convenablement le niveau 7 si les flux sont chiffrsLa scurit rseau

  • Les systmes de dtection dintrusions rseaux (NIDS) (1/2)Le NIDS est une sonde transparente ddie la scurit diffrencier des sondes de monitoring.Analyse du trafic et tude de correspondances avec des scnarios dattaques pr-enregistrs.Analyse du trafic et alarme si un comportement est dviant .Pas de contre-mesures si une attaque est dtecte voir les IPS pour une protection active.La scurit rseau

  • Les systmes de dtection dintrusions rseaux (NIDS) (2/2)Avantages.Analyse le contenu des trames.Son fonctionnement transparent peut en faire un point danalyse rseau de choix (monitoring, ).Centralisation des logs et gestion distance souvent facilit par une console dadministration.Configuration affine au fur et mesure du temps, sans gne pour les utilisateurs.Inconvnients.Complexit de ltude de lemplacement des sondesSolution complexe mettre en place.Solution souvent vendue trop chre par rapport ses fonctionnalits.Administration trs lourde (faux-positifs, faux-ngatifs, lecture des logs).Lefficacit de la solution repose sur la ractivit de ladministrateur, et sur la base de scnarios dattaques connus par la sonde.La scurit rseau

  • Les rseaux privs virtuels (VPN) (1/3)Le VPN utilise le chiffrement des communications pour relier :2 machines par lintermdiaire dun rseau non-sr.1 machine et un rseau srs, par lintermdiaire dun rseau non-sr.2 rseaux srs par lintermdiaire dun rseau non-sr.

    Le VPN tablit une liaison entre :2 rseaux IP diffrents par lintermdiaire dun troisime (rpandu).2 rseaux IP identiques par lintermdiaire dun rseau IP diffrent (moins rpandu).2 groupes de machines dun mme rseau IP (peu rpandu).

    Le VPN simule le comportement dune liaison prive en assurant lauthentification et la non-rpudiation des metteurs/rcepteurs, lintgrit et la confidentialit des donnes.Le VPN simule le comportement dune liaison ddie par lencapsulation des donnes (et parfois des en-ttes de routage), avec lajout dun en-tte de routage permettant labstraction des rseaux traverss.La mise en place du VPN relve dune tude rseau au mme titre que nimporte quel ajout dinterconnexion de 2 rseaux.La scurit rseau

  • Les rseaux privs virtuels (VPN) (2/3)A EDFIPSec (Bump In The Stack et pas Bump In The Wire)SSH (Secure SHell)La scurit rseauIl existe aussiSSL/TLSL2TP (sans chiffrement)PPTP (avec chiffrement)GRE

  • Les rseaux privs virtuels (VPN) (3/3)Avantages.Des produits pas chers et efficaces.Assurance de lintgrit, de lidentification, de lauthentification, la fois de lmetteur et du rcepteur.On peut attacher lauthentification une machine, mais aussi une personne, quel que soit la machine utilise.Inconvnients.Gamme de prix trs large (de nombreux piges).De nombreuses approches comptences indispensables en cryptographie et en rseau.La scurit de cette solution repose aussi sur la bonne gestion des clefs de chiffrements.La scurit rseau

  • Les antivirus (1/2)Il existe plusieurs types de virus dont :Les vers : ils sauto-propagent en utilisant le rseau.Les troyens : lattaque est mene distance par une personne malveillante qui accde la machine par le rseau.Les espions : keylogeurs, Mme si lIDS dtecte les attaques, lantivirus est indispensable car il bloque le virus avant quil ne sinstalle.Cette protection est efficace lorsquelle est mise jour trs rgulirement.La scurit rseau

  • Les antivirus (2/2)Avantages.Trs efficaces contre la plupart des types de virus.Intervient avant mme que le virus effectue son action illicite.Certains produits proposent une gestion centralise des mises jour des postes de travail.

    Inconvnients.Gamme de produits trs large.Lefficacit de la solution sappuie beaucoup sur la rigueur des mises jour des signatures.Antivirus inefficace si lattaque lui est inconnue.La scurit rseau

  • Le social-engineering : le pishingDemande de sa banque/FAI/ daller changer en ligne son mot de passe ou de donner son numro de carte bleu pour rgulariser une situation quelconque.Envoi de correctifs par emailSollicitation non-dsire de dverminage en ligne.Demande daide dune riche jeune demoiselle trangre.Pishing essentiellement par email, mais aussi par IM.La scurit rseauVigilance (email en anglais, interlocuteurs trangers, Anti-spam/Anti-popup/Antivirus/Anti-spyware

  • Le social-engineering : le pishingSolutionsBloquer les solicitations avec anti-spam et anti-popup.Protger la machine avec anti-virus et anti-spyware.Restriction daccs des sites black-lists.

    InconvnientsAucune solution technique nest vraiment efficace. Seule la sensibilisation de lutilisateur et sa vigilance seront efficaces.La scurit rseau

  • Lauthentification (1/2)Identification : dire qui on est .Authentification : le prouver .Par ce que lon sait (mot de passe, pass-phrase, rponse une question donne, ).Par ce que lon est (forme du visage, voix, empreinte rtinienne, ).Par ce que lon a (badge magntique, clef de chiffrement, tocken, ).Par ce que lon sait faire (utiliser un logiciel, rpondre un vnement imprvu, ).SSO : Single Sign OnAAA : Authentication Autorization AccountingLa scurit rseau

  • Lauthentification (2/2)Avantages.Non rpudiation.Authentification.Permet dattacher des droits daccs un profil, une personne, une machine, ou encore un programme.Inconvnients.De nombreuses solutions existent, de la plus simple (login/mdp) aux plus complexes (authentification forte).Lauthentification nest gnralement quun sous-ensemble dune solution de scurit.La scurit rseau

  • Administration/supervision (1/2)Les outils de scurit, les applications, les systmes dexploitation remontent une quantit importante dvnements dans les journaux systmes.Ladministration cest dabord de lire ces journaux certains outils permettent de faciliter le travail des administrateurs, jamais de le remplacer.

    Vue globale : Homognisation des solutions et de la configuration vite les sur-cots et optimise ladministration.Il est intressant de complter ladministration rseau par la supervision ractivit, surtout en cas de panne matrielle.La scurit rseau

  • Administration/supervision (2/2)Avantages.Ractivit face un problme.Adapter une rsolution dincident au mlange causes / effets / risques / contraintes .Vision globale de la problmatique.

    Inconvnients.Recherche constante des informations.Bien dfinir la rpartition des comptences et des activits pour tre efficace.La qualit de travail dpend fortement de la qualification de ladministrateur.La scurit rseau

  • ConclusionEuh quest-ce que je pourrai encore rajouter ?volution niveau 1 : multiplexage optique.volutions niveau 2 : augmentation des dbits en WIFI, arrive du WIMAX, 10 Gbps ethernet, ethernet la conqute du MAN, CPL, mobilit.volution niveau 3 : IPv6, mobilit.volution niveau 4 : DCCP et SCTPvolutions couches hautes : le tout IP (tlphonie, TV) et multimdia de plus en plus prsent.

  • Questions, remarques (si positives)Merci

  • Etablissement dune connexion (TCP/IP/ETH/SW)ExempleSYNReq ARP (brd)@MACApprentissageInondationReq ARP (brd)Rp ARP (uni)@MACForwardingRp ARP (uni)Req [email protected] IPSYNSYN/ACKTCPIPETHPhyTCPIPETHSYN/ACKRp [email protected] IPACKReq [email protected] IPACKVieillissement

  • Attention ceux qui prennent la voiture