Exemples d`applications de l`Internet

Transcription

Les réseaux
Ethe
rnet
ICAN
DCOM
TP
T
H
POP3
feu
?
IEEEer
AFNIC
v
u
MODEM
o
r
t
e
r
P
R
O
AFN
CORBATCP
I
F
I
W
Pare
-
A
RMI
M
y
I
’
s
S
Client/serveur t
MT
N
A
UDP
W
P
n
e
L
Proxy
ADS
m
ISO
m
UITo
C Bluetooth LAN URL
e
g
a
t
yp
IP
DN
S
ANS
I
IPv6
cr
Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne)
1
Les réseaux
Un réseau pour quoi faire ?
Communiquer avec des sites distants
Partager des ressources
Augmenter graduellement l’infrastructure
Augmenter la fiabilité
Utiliser ou écrire des programmes répartis
Structure
LAN (Local Area network) seul
LAN connectés à un WAN (Wide Area network)
LAN interconnectés directement ou via un WAN
2
Les réseaux
Problèmes
Intrusion
Virus
Difficultés de gestion
L’utilisateur ne voit rien !
Divers SE et protocoles
Toujours en évolution
Une petite modification peut provoquer beaucoup de problèmes
3
Architectures des réseaux
Architecture des réseaux
Types de réseaux
LAN (Local Area Network)
WAN (Wide Area Network)
Topologies
• Étoile
• Anneau
4
Architectures des réseaux
• Bus
• Partiellement ou totalement connecté
• Arbre
5
La normalisation, pourquoi ?
• Dispositifs hétérogènes
• Constructeurs différents
• Solutions par :
– le matériel (câbles, cartes …)
– le logiciel (protocoles, applications …)
⇒ Nécessité d’une norme au niveau fonctionnel
La norme dit ce qui doit être fait pas comment cela
doit être fait.
6
Les organismes de normalisation
•
•
IEEE (Institute of Electrical and Electronics Engineers) société internationale qui
contribue à l’ANSI (American National Standard Institute) et à l’ISO.
ISO (International Standard Organisation) association privée de normalisation.
Consultative auprès du conseil économique et social de l’ONU.
Domaines : technique, acoustique, cinéma, matériel de sport, audiovisuel, informatique.
•
La France y contribue au travers de l’AFNOR (Association française de
NORmalisation)
UIT (Union Internationale des Télécommunications) appartient à l’ONU
Domaines : normalisation des équipements de liaison, réglementation maintenance et
développement des réseaux.
•
•
•
ETSI (European Telecom Standard Institute) : définitions des équipements
IETF (Internet Engineering Task Force) association qui normalise Internet
Et d’autres : IFAC, CEI, CEN, ISSS, CEPT, ECMA, UER, EdiFrance, LCIE, CEF,
UTE, CCT ….
7
Le modèle OSI
Structuré en 7 couches (niveaux)
Chaque couche est un niveau d’abstraction
Chaque couche offre des services à la couche supérieure en
masquant comment sont réellement réalisés ces services
Chaque couche d’une machine converse avec la couche
correspondante de l’autre machine
La fonction de chaque couche est standardisée
Les règles régissant la communication entre couches s’appellent
des protocoles
Les protocoles respectent des standards internationaux.
8
Les 7 couches du modèle OSI
Application
Présentation
HTTP
Session
HTML
Transport
Réseau
Liaison
Physique
TCP
IP
Ethernet
WI-FI
9
Hiérarchie de protocoles
Machine B
Machine A
Application
Protocole de niveau 7
Application
Présentation
Présentation
Session
Transport
Session
Transport
Réseau
Réseau
Liaison
Liaison
Physique
Physique
Médium de transmission
Information
10
Couche Physique (1)
Objectifs :
• Transmission des données sous forme de signaux
électriques ou optiques
• Limité à l'émission et la réception d'un bit ou d'un
train de bits continu
• Conversion entre bits et signaux électriques ou
optiques.
• En pratique réalisée par des circuits électroniques
spécifiques
11
Couche 1 : mode de transmission
Formes de transmissions
Série: transmission bit à bit (un seul médium)
Parallèle : N bits d’un coup (N médiums)
Transmission en série
Les bits sont transmis les uns à la suite des autres
La durée d’un bit est déterminée (θ)
}
⇒ Il est nécessaire d’avoir des horloges
identiques entre l’émetteur et le récepteur.
←θ→ ←θ→ ←θ→ ←θ→ ←θ→ ←θ→ ←θ→ ←θ→ ←θ→ ←θ→
1
0
0
0
1
1
0
0
1
0
Information transmise
12
Couche 1 :transmission en série
Données
Données
Horloge
Horloge
Asynchrone
• Les données sont transmises sur le médium avec un bit de départ et
un bit d’arrêt (synchronisation)
• L’horloge est estimée à l’arrivée
• La vitesse (bits/s) est limitée par les erreurs d’estimation et les
recalages d’horloge nécessaires
01100101
1011001010
Emetteur
Récepteur
01100101
Horloge
Resynchronisation
Horloge
estimée
13
Couche 1 : transmission en série
Données
Données
Horloge
Horloge
Synchrone
•
•
•
•
Les données et l’horloge sont mélangées et transmises sur le médium
On les sépare à l’arrivée
Pas de limite de vitesse autre que celle du médium.
Méthode la plus utilisée
01100101
signal mélangeant
Mélangeur
données et horloge
Séparateur
Horloge
01100101
Horloge
14
Niveau Physique
Couche 1 : supports de transmission
Fil conducteur
Câble coaxial
âme
Câble coaxial
Isolant
Torsadée
PairePaire
torsadée
Fibre
Air optique
3 types
multi-mode avec saut d’indices.
Signaux
radio directs ou par satellite
multi-mode avec indice progrsssif
Signaux
lasers directs
multi-mode
Infrarouge
Téléphone
L’infrastructure transporte des signaux numériques mais les lignes qui
desservent les habitations n’ont pas été prévues pour ça.
15
Fibre optique
Fibre
optique
Fibre
optique
3 types: multimode
multi-modeàavec
d’indices.
3 types
sautsaut
d’indice
multi-mode avec indice progrsssif
mutimode
à indice progressif
multi-mode
monomode
Propagation de la lumière
dans la fibre
Propagation
de: la lumière dans la fibre :
16
Vitesse de transmission :
17
Couche 1 : le réseau téléphonique
• Les lignes imposent des contraintes sur les signaux que
l’on peut y faire passer (lignes analogiques)
⇒ utiliser un MODEM (MOdulateur DEModulateur)
Les modems convertissent un signal numérique en son
équivalent analogique (modulation) et vice versa
(démodulation).
• Moduler un signal en : amplitude / phase / fréquence
• Pour augmenter le débit on code plusieurs bits à la fois
(exemple : avec 4 valeurs de phase et 4 valeurs
d’amplitude on peut coder 16 combinaisons => 4 bits)
Méthode : kQAM (Quadrature Amplitude Modulation)
k indique le nombre de combinaisons.
18
Couche 1 : le réseau téléphonique
1. Le modem simple est limité à 28800 bits/s (norme V34) on utilise de la
compression de données pour dépasser ce seuil (normes V90 ou V92)
=> gain statistique (56KB/s)
1. Le xDSL : utilise des fréquences plus élevées (jusqu’à 1,1MHz en
ADSL1 et jusqu’à 2,2MHz en ADSL2) ce qui est possible à condition
que la liaison analogique soit courte
SDSL (Symmetric Digital Subscriber Line)
R et E : 128K à 2Mb/s
SHDSL (Single-pair High-speed DSL)
ADSL (Asymmetric Digital Subscriber Line)
VDSL (Very High Digital Subscriber Line)
R et E : 384K à 4,6Mb/s
R : 2 à 8Mb/s
R : 13K à 55,2Mb/s
E : 160 à 800Kb/s
E : 1,5 à 6Mb/s.
19
Couche 1 : L’ADSL (norme UIT G992.1)
• Découpage de la bande passante en canaux de 4KHz que l’on
utilise en parallèle :
– Voix : 1 canal (O à 4KHz) = téléphone classique (filtre ADSL)
– La bande 4 à 26KHz est laissée libre pour éviter les interférences
– Emission : 26 canaux
– Réception : 230 canaux + les 26 d’émission si disponibles
Calcul : avec du 256QAM un canal permet de passer 8*4000=32Kb/s
– en émission : 26*32 = 832Kb/s
– en réception (maxi) : (230+26)*32 = 8Mb/s
• Fonctionnement : la qualité de chaque bande est mesurée en
permanence et, sur celles qui présentent trop d’erreurs, on peut
baisser la valeur du kQAM ou même ne pas les utiliser => on
baisse le débit si la qualité de la ligne ne le permet pas.
20
Couche 1 : Le sans fil
• Catégories :
– WPAN (Wireless Personal Area network) très faible
portée (ex : Bluetooth)
– WLAN (Wireless local Area network) portée de
quelques centaines de mètres (ex : WI-FI)
– WMAN (Wireless Metropolitan Area network) portée
de quelques kilomètres
– WWAN (Wireless Wide Area network) pour le
cellulaire (ex : GSM, GPRS, UMTS).
21
Couche 1 : Le sans-fil
• Topologies liées à la portée : point à point ou en étoiles (bornes)
P3
P3
P2
P1
•
•
•
•
•
B1
P1 – P2
P2 – P1 et P3
P3 – P2
P1
P5
P6
B2
P4
B1 : P1, P3, P6
B2 : P4, P5, P6
lien B1 B2 par fil
Portée limitée
Très sensible aux parasites (radio ou infrarouge)
Mobilité => passage d’une borne à une autre
Problème de couverture
Puissance radio (WI-FI) limitée à 30 mW pour la santé (limitée à 2W pour
les téléphones portables !) => utiliser des méthodes solides.
22
Le WI-FI (normes IEEE 802.11x)
Mode de transmission
• FHSS (Frequency Hopping Spread Spectrum) : découper
la bande passante en canaux et on passe régulièrement de
l’un à l’autre => limiter les erreurs sur les canaux parasités
• DSSS (Direct Sequence Spread Spectrum) : émettre la
même chose sur plusieurs canaux simultanément
• OFDM (Orthogonal Frequency Division Multiplexing) : le
signal est découpé en composantes envoyées sur des
canaux différents => si certains canaux marchent mal le
signal est un peu déformé mais lisible).
23
Bluetooth (IEEE 802.15.1)
Mode de transmission FHSS (Frequency Hopping Spread Spectrum) :
• On découpe la bande de fréquence en 79 canaux de 1MHz de largeur. On
passe de l'un à l'autre 1600 fois/s (quanta de temps de 0,625ms) selon une
séquence de bandes prévues à l'avance entre émetteur et récepteur (calculée
en fonction des adresses physiques). Ceci permet de résoudre les problèmes
de mauvaise réception : si on a un problème a un moment sur un canal on
réémettra les données mal reçues au saut suivant donc sur un autre canal.
• L'émission se fait sur 1, 3 ou 5 quanta de temps et l'acquittement sur le
quantum suivant.
• La taille des données max dans un paquet (de 5 quanta) est de 339 octets.
• On a donc 339 octets utiles pour une durée de 5+1 quanta (5 d'émission + 1
d‘ACK) donc sur une durée de 6*0,625ms. Ce qui fait un débit maximum de
(339*8)/(6*0,625) = 723 Kb/s (d'où le 720 Kb/s annoncé).
24
Zigbee (IEEE 802.15.4)
• Créé en 2005 pour être une version allégée de Bluetooth (consommation
moindre et quantité de code très inférieure).
• Vitesses : 250Kbps à 2,4 GHz, 40Kbps à 915MHz ou 20Kbps à 868MHz.
• portée 10 à 75 m mais faible consommation.
• 16 canaux de 5MHz en 2.4GHz, 10 canaux de 2MHz en 915MHz et un canal
en 868MHz.
• Pas de garantie de délivrance de messages
• Mode de transmission DSSS (Direct Sequence Spread Spectrum) :
On émet les infos sur plusieurs canaux simultanément => le récepteur reçoit la
même chose plusieurs fois et il peut fonctionner malgré les problèmes de
réception. Pour plus de sécurité on utilise des codages redondants : chaque
groupe de 4 bits est transmis sous la forme d'une séquence de 32 bits mais on
n'utilise que 16 mots possibles pour pouvoir détecter les erreurs.
25
Couche Liaison (2)
Objectifs :
• Gestion des communications entre machines
directement reliées entre elles par un support
physique.
• Constitution des informations en trames
• Délimitation de ces trames dans un flot de bits
continu.
• Détection et parfois correction des erreurs de
transmission
26
Liaison (couche 2)
Elle se subdivise en 2 sous-niveaux
• MAC sous-niveau de Contrôle d’Accès au Médium.
• LLC sous-niveau de Contrôle de Liaison Logique
MAC : Gestion de l’accès (partage) du support de transmission
• Dépend fortement du support
LLC : structuration de l’information en trames contenant :
• L’information à transmettre
• Des codes de contrôle
• Encapsulation (les données peuvent être une trame)
27
Couche 2 : Liaison (niveau MAC)
Le temps est découpé.
Une station ne peut
émettre que durant son
quantum de temps.
Acces au média
multiplexage temporel
synchrone
Asynchrone
accès contrôlés
centralisé
scrutation
scrutation adaptative
multiplexage fréquenciel
voies dédiées
voies allouées
accès aléatoires
décentralisé
CSMA/CD
CSMA/CA
Jeton
28
Couche 2 : Liaison (niveau MAC)
Quelques protocoles d’accès au médium
Jeton (Token)
Seul le possesseur du jeton peut transmettre. Quand une station désire transmettre :
. Elle garde le jeton
. Envoie ses informations
. Reçoit un accusé de réception du destinataire
. Fait circuler le jeton
Problèmes :
Pb1 : Une station garde le jeton trop de temps
Pb2 : Le jeton se perd
Pb3 : Plusieurs jetons
Reamarque : Le passage de témoins est déterministe. On connaît le temps maximum
pour le transmettre (temps réel).
29
Avec collisions
Lorsqu’une station désire transmettre :
. Elle écoute le canal de transmission
. S’il est occupé, elle attend qu’il soit libre
. S’il est libre, elle transmet.
Ce protocole s’appelle CSMA (Carrier Sense Multiple Access) : accès multiple
avec test de porteuse
Mais quand 2 stations transmettent simultanément parce que le canal paraît libre
alors qu’il ne l’est pas (délai de propagation)
Il y a collision
Solution : En cas de collision la transmission avorte immédiatement. Chaque
station respecte un délai aléatoire avant de ré-émettre
Ce protocole s ’appelle CD (Collision Detection)
Le protocole CSMA/CD est utilisé par Ethernet.
30
niveau MAC : cas du sans-fil
Dans un réseau classique si B et C reçoivent les messages de A alors B reçoit ceux
de C (ils sont sur le même sous-réseau). De plus, selon la topologie (par
exemple en étoile) quand A et B dialoguent C ne reçoit rien tandis que sur un
bus C reçoit tout et l'ignore.
Dans un réseau sans fil tout message émis peut être capté par tout nœud à portée
(diffusion) mais la visibilité des nœuds est différente car la puissance du signal
radio décroît comme le carré de la distance., par exemple :
B
A
C
B et C reçoivent les messages de A mais B ne reçoit pas ceux de C.
Conséquence : quand A et B dialoguent C reçoit ce que A émet mais pas ce que B
répond. Si C émet en même temps il perturbe A mais pas B donc B continue à
recevoir les messages de A mais A ne reçoit plus les réponses de B.
31
cas du sans-fil : Problème de visibilité des stations
Exemple : on a 4 nœuds A, B, C et D placés comme suit :
A
B
C
D
B émet vers A, C veut émettre vers D. C capte ce que B émet donc conclut le médium est occupé et
ne commence pas son émission.
Pourtant il pourrait émettre car son signal brouillerait la réception de B mais pas celle de A, or B
n'est pas récepteur, tout au plus il ne pourrait pas écouter sa propre émission mais ce n'est pas
gênant.
Solution possible : protocole RTS/CTS ou MACA (Medium Access with Collision Avoidance)
adopté dans 802.11
Principe :
Quand A veut émettre vers B, il envoie un message RTS avec le nombre d'octets qu'il veut émettre.
B répond par un message CTS avec ce même nombre.
Cet échange permet aux stations qui le reçoivent de savoir que le médium est occupé et pour
combien de temps.
32
cas du sans-fil : Problème de visibilité des stations
Exemple :
C
A
B
D
E
F
Etude de cas : A veut communiquer avec B => il lui envoie RTS
• Les nœuds à portée de A voient le RTS => ils savent être à portée de l'émetteur => ils attendent
pour voir s'ils reçoivent le CTS de B.
–
–
S'ils le reçoivent ils savent être à portée de l'émetteur ET du récepteur => ils ne peuvent rien faire. Le
nombre d'octets indiqué dans le CTS leur permet de savoir combien de temps ils doivent attendre.
Sinon ils savent être à portée de l'émetteur mais pas du récepteur => ils peuvent émettre en même
temps. Mais l'émission de A peut brouiller le CTS en réponse à leur propre RTS !
• Les nœuds à portée de B mais pas de A voient le CTS mais pas le RTS => ils ne peuvent pas
émettre. Le nombre d'octets indiqué dans le CTS leur permet de savoir combien de temps ils
doivent attendre.
• Un nœud comme F qui n'est à portée ni de A ni de B ne voit ni le RTS ni le CTS, il peut donc
émettre sans gêner personne.
• Un nœud à portée de B (par exemple D) peut ne pas voir le CTS de B parce que F émet et le
brouille => il ne sait pas que A et B communiquent.
• Cas particulier : collision du RTS de A avec un autre (par exemple E) => ni A ni E ne reçoivent
de CTS => ils réessaieront plus tard (délai aléatoire type CSMA/CD)
33
Couche 2 : Liaison (Contrôle de liaison logique)
Structuration des données : constituées en trames.
Une trame est une succession de bits. Par exemple, la trame Ethernet :
préambule
Début
Trame
Adresse
destinataire
Adresse
origine
Type
Données
Remplissage
CRC
Préambule : 7 octets 10101010 (utilisé pour détecter les collisions)
Début de la trame : 10101011
Adresse physique : 6 octets, l’adresse de destinataire peut être de 3 types :
.unicast : une seule station
.multicast : toute les stations du sous réseau ou du groupe
.broadcast : toutes les stations
Type: désigne le protocole de niveau supérieur (IP, ARP, RARP ...)
Données : de 0 a 1500 octets
Remplissage: la trame ne doit pas être inférieure à 46 octets (parasites)
CRC : permet de corriger les erreurs.
34
Gestion des erreurs :
Bit(s) changé(s) dans une trame :
• Bit de parité permet de détecter, pas de corriger.
• Checksum permet de détecter, pas de corriger.
• CRC (Code de Redondance Cyclique) permet de corriger : le CRC-16
utilise le polynôme générateur (x16+x15+x2+1)
Trames perdues ou dupliquées :
• On peut ne rien faire (vidéo)
• Ou utiliser des protocoles élémentaires de retransmission
• Souvent ces problèmes sont traités par les couches supérieures (4).
35
Commutation : La structuration des données permet la
commutation de trames
• Le réseau est divisé en sous réseaux.
• Un commutateur reçoit une trame et la dirige vers le bon sous
réseau en utilisant les champs d’adresses => évite des collisions
Contrôle de flux : le récepteur renvoie une trame d’acquittement
Rq : Le plus souvent le contrôle de flux n’est pas utilisé en couche
2 et laissé aux couches supérieures (3).
36
Liaison (couche 2) : Contrôle de liaison logique
A
Contrôle de flux
B
T1
ACK
1. Envoi avec accusé
T2
Perte de T2
Délai
Retransmission de T2
T2
ACK
T3
NACK
Retransmission de T3
T3 a des erreurs
T3
Problème : Si le ACK de T1 se perd, A retransmet T1 et B l’aura deux fois (duplication).
37
Liaison (couche 2) : Contrôle de liaison logique
Contrôle de flux
2. Envoi continu
Le transmetteur envoie les trames successivement et le récepteur
indique les trames possédant des erreurs (demande de réémission).
ou
Le transmetteur envoie les trames successivement et le récepteur
accuse réception de plusieurs trames à la fois.
38
Couche Réseau (3)
Objectifs :
–
–
–
–
–
Définition d’adresses uniques
Interconnexion de réseaux.
Structuration en paquets
Routage des paquets
Contrôle de congestion
39
Couche 3 : Réseau (Adressage)
Un mécanisme d’identification de chaque machine du réseau est
nécessaire :
IPv4 utilise 4 octets (ex : 193.50.225.216)
Rq : le nombre d’adresses possibles est très élevé (2564 =
4,3 milliards) mais la distribution des adresses fait que
beaucoup sont inutilisées)
IPv6 utilise 8 octets
Rq : dans ce cas le nombre d’adresses (2568 = 1,8 1019 soit
18 milliards de milliards !) permet une distribution plus
facile.
40
Couche 3 : Réseau (Adressage)
Exemple d ’ IP :
Le protocole ARP (Address Resolution Protocol) permet de trouver
une adresse physique à partir d’une adresse IP.
Nécessaire pour établir une communication car la trame correspondant à
la couche 2 doit contenir l’adresse physique de la carte du destinataire.
Le protocole RARP (Reverse Address Resolution Protocol) permet de
trouver une adresse IP à partir d’une adresse physique.
Assez peu utilisé.
41
Couche 3 : Réseau (Interconnexion
de réseaux)
L’organisme IANA (Internet Assigned Number Authority) possède l’autorité
pour choisir les adresses sur l ’Internet. C’est une branche de l’ICANN
(Internet Corporation for Assigned Names and Numbers) qui pilote des
organismes locaux accrédités qui gèrent les noms locaux (AFNIC (.fr) ou
GANDI (.com .org .net) en France)
DNS (Domain Name System) :
• Base de Données Distribuée sur Internet. Elle fait une correspondance entre
adresses IP et noms de machines.
• Les adresses IP ainsi que les noms associés suivent une organisation
hiérarchique :
machine.sous-domaine2.sous-domaine1.pays
kartxila. iutbayonne.
univ-pau.
fr
216 . 225 .
50 .
193
l’adresse IP de cette machine est 193.50.225.216
42
Couche 3 : Réseau (Structuration en paquets)
Un paquet peut être constitué d’une ou plusieurs trames de niveau 2
version
lg entête
Type de service (TOS)
identification
TTL
Flags
protocole
Longueur totale
offset de fragmentation
Contrôle de l’entête
Adresse IP de l'expéditeur
Adresse IP destinataire
options
données
- version : version du protocole IP
- longueur de l’entête
- type de service : indice de qualité de service
- longueur totale : en octets (maxi 65535 octets)
- identification : numéro de paquet
- Flags : indicateurs de fragmentation
- offset de fragmentation
- TTL (durée de vie)
- protocole : indice du protocole de niveau supérieur
- contrôle de l’entête : calculé sur l’entête
43
Couche 3 : Réseau (Routage des paquets)
Méthodes d ’acheminement :
Statistiques
Elles utilisent des tables de routage qui ne varient pas dans le temps.
Dynamiques
Inondation
Hot potatoe
Adaptative (tables de routage modifiées dynamiquement)
44
Tables fixes :
Le réseau est fixe
Les trafics sont connus et fixes
Par exemple entre serveurs d’une salle machine
serveur A
serveur B
serveur D
Route A-D :
En passant par C et B
serveur C
45
Inondation :
• Sécurité (on veut être sûrs d’arriver)
• On ne connaît pas les chemins a priori (découverte)
Hot potatoe :
•
•
•
•
Statistique
On ne connaît pas les chemins a priori (pas de découverte)
Simple
Aucune garantie de temps
46
Tables de routage dynamiques :
Protocole RIP (Routing Information Protocol) :
Minimise la longueur des chemins (limités à 15)
• Chaque nœud calcule la distance (nombre de relais à passer) qui le sépare
de chaque sous-réseau qu’il peut atteindre
• Il diffuse cette information à ses voisins toutes les 30 secondes
• Ils complètent et ajustent leurs tables de routage
Protocole amélioré IGRP (Interior Gateway Routing Protocol) :
• On ajoute des informations de :
• bande passante
• fiabilité
• délai
• charge
47
Service non orienté connexion
L’adresse du destinataire transite dans chaque paquet
Le cheminement de chaque paquet est indépendant, ils peuvent arriver dans le
désordre
3
A
B
3
2
1
2
E
C
1
D
1
Note : IP est un protocole non orienté connexion.
48
Service orienté connexion
L’adresse du destinataire transite uniquement dans des paquets d’établissement
de connexion
Tous les paquets de la connexion suivent le même chemin et arrivent dans
l’ordre.
3
2
1
A
B
3
2
1
E
C
D
49
Couche 3 : Réseau (Contrôle de congestion)
1.
Éviter que le réseau ne se congestionne :
• Contrôle global = limiter le nombre de paquets en circulation (tickets)
• Contrôle avec réservation = avant d’émettre on établit un circuit virtuel
(mode connecté) et on réserve la place
2.
Résoudre les congestions :
• Exclure les paquets qui transitent depuis longtemps (durée de vie)
• Exclure les paquets qui ont parcouru trop de chemin : TTL (Time To
Live) utilisé par IP
Remarque : le nœud qui détruit un paquet envoie un message à son émetteur qui
pourra tenter de le réémettre plus tard.
50
Couche 4 : Transport
Objectifs :
– Gestion des communications de bout en bout
– Qualité de service
– Gestion de la transmission : corruption, pertes,
réordonnancement, duplication
51
Service de transport
Le service transport offre des primitives pour :
- Établir une connexion
- Répondre à une requête de connexion (oui ou non).
- Confirmer la connexion.
- Transmettre les données
- Réaliser la déconnexion.
Facultatif
Facultatif
Facultatif
Obligatoire
Facultatif.
52
Exemples de services de transport (TCP et UDP)
TCP et UDP utilisent le concept de port.
Une application joint à l’adresse IP du destinataire un numéro de port qui
permet de préciser l’application avec laquelle elle veut dialoguer (ex :
193.50.225.216:80)
La machine qui reçoit un paquet TCP ou UDP utilise ce numéro de port pour
savoir quelle est l’application destinataire (ex : serveur HTTP)
UDP (User Datagram Protocol)
UDP n’établit pas de connexion et donc n’est pas fiable
- Possibilité de perte de paquets
- Possibilité de duplication de paquets
- Possibilité de paquets désordonnés.
53
TCP (Transmission Control protocol)
TCP établit une connexion et ainsi est fiable
La transmission se présente en 3 phases :
• Établissement de la connexion (message SYN)
• Echange fiable de données.
• Les données sont découpées en segments.
• Lors de la transmission, chaque segment reçoit un accusé de réception.
• Les segments arrivent avec un champ de contrôle d’erreur.
• Les segments se réordonnent à la réception .
• Libération de la connexion (message FIN)
54
Contrôle de flux par acquittement des segments (TCP)
Fenêtre actuelle
Octets émis avec ACK
Octets émis mais
non acquittés
Octets à
émettre
Octets impossible à transmettre
ACK reçu
Nouvelle fenêtre
(plus petite)
Octets émis
acquittés
Octets pouvant
être émis
Octets impossible à émettre
Octets émis et acquittés
Octets émis non acquittés
55
Qualité de Service (QoS)
Le mode connecté permet de négocier la qualité de service lorsque la connexion
est établie. Les paramètres de la qualité de service sont :
• Temps pour ouvrir la connexion
• Probabilité pour que la connexion se s’ouvre pas avant un certain délai.
• Rendement
• Temps de passage
• Proportion de messages avec erreurs.
• Probabilité pour que se produise un incident.
• Temps pour fermer une connexion.
• Probabilité pour qu’une connexion ne puisse pas être fermée avant un temps déterminé.
• Protection contre l’intrusion.
• Possibilité de donner des priorités à certains messages.
• Liberté laissée à la couche transport de fermer une connexion en cas de problème.
Lors de l'établissement de la connexion la couche 4 transmet les valeurs désirées
et minimales pour ces paramètres, ensuite si la demande ne peut pas être satisfaite la
connexion n'est pas faite.
56
Qualité de Service (QoS)
Dans le mode non connecté les paramètres sont :
•
•
•
•
débit
délai
taux d'erreur
priorité de transmission
57
Couche 5 : Session
Objectifs :
– Synchronisation des communications (quel
intervenant peut émettre à tel moment)
– Mécanisme de correction des erreurs de
traitement par restauration d'un état antérieur
connu.
– Quelques protocoles de la couche session : rsh,
ssh, telnet.
58
Couche 5 : Session
Permet de définir des transactions :
• début de session
• transfert d’informations
• fin de session
pour pouvoir définir des points de synchronisation
A l’ouverture de session on définit :
• qui peut demander la fermeture
• si le dialogue est unidirectionnel, bidirectionnel ou alterné
Par exemple l’accès à une BD peut se faire en alternat (requête/réponse …).
La couche 5 peut alors interdire qu’une requête ne puisse être lancée tant
que la réponse à la précédente n’est pas arrivée.
59
Couche 5 : Session (exemples)
RSH (Remote SHell) : permet une connexion à distance sur une machine
SSH (Secure SHell) : version sécurisée (par cryptage) de RSH
Telnet (TErminaL NETwork ) : connexion à tout type de service (très
utile pour tester des serveurs et des services)
Remarque : pour des raisons de sécurité RSH et telnet sont souvent bannis
des machines par les ingénieurs système et réseau.
60
Couche 6 : Présentation
Rôles de la couche présentation :
• Mise en forme des fichiers, des requêtes, …
HTML utilise des balises <xxx> </xxx>
• Utilisation d’un format normalisé que chaque machine comprend
• Compression de données
• Cryptage des données
Rq : la couche 6 est généralement liée (incluse) à la couche 7 (application)
par exemple HTTPS correspond à une couche 7 de type HTTP (web) en
mode sécurisé c’est-à-dire avec une couche 6 qui fait du cryptage !
61
Couche 7 : Application
Il existe plusieurs modèles d’application :
• HTML-HTTP (HyperText Markup Language - HyperText
Transfert protocol) utilisé par le Web
• Java RMI (Remote Method Invocation) pour la
programmation en objets répartis en java
• CORBA modèle d’objets répartis non lié à un langage de
programmation. Par exemple Java IIOP (Internet Inter Object
Broker) utilise CORBA
• ActiveX – DCOM (Distributed Component Object Model)
pour microsoft
• etc
Tous utilisent le modèle général client/serveur
62
Le modèle Client/Serveur
Le client:
Propose l’interface avec l’utilisateur
Interroge le serveur à l’aide d’un langage commun
Communique avec le serveur
Analyse les réponses et les présente à l’utilisateur
Le serveur :
Répond aux requêtes
Réalise le service
Sa manière de fonctionner est transparente au client
63
Principes :
Transparence de lieu
Transparence administrative (on peut changer un serveur sans modifier
les clients)
Le client prend en charge la relation avec l’utilisateur
Selon ses capacités, le client peut prendre en charge plus ou moins de
choses
Possibilité d’utiliser des clients ou des serveurs standards
Le serveur peut interroger d’autres services
Le serveur peut gérer la sécurité (authentification du client …)
Minimisation des échanges d’information
Maintenance plus facile.
64
Exemple de fonctionnement
Serveur B
Serveur A
Client
Le serveur A interroge les serveurs
B et C
Le client interroge
le serveur A
Le client a les réponses de
A, B, C, D mais ne
Serveur C
connaît que A.
Serveur D
Le serveur C interroge le serveur D
65
Avec TCP/IP, le client désigne le serveur par :
-son adresse (numéro IP ou nom de machine) : désigne la machine A.
-le numéro de port : désigne le programme serveur dans ma machine A.
Le mécanisme de programmation s’appelle sockets.
Las applications BOOTP, Telnet, Rlogin, FTP, NFS, SMTP, HTTP etc sont
sur le modèle client/serveur.
66
Applications de l’Internet
Les ressources sur le web sont désignées par une URL (Uniform
Ressource Locator). Une URL est constituée de trois parties :
un protocole (ftp, http, mailto, news, nntp, telnet ...) ≡ n° de port
une adresse ≡ nom ≡ adresse IP
une désignation d’information ≡ localisation de ressource + options
Formats des URLs :
ftp://user.passwd@machine/path:type=car
car = d pour directory, i pour binary, a pour ASCII
http://machine/chemin?informations
mailto:[email protected]
telnet://user.passwd@machine/
67
Exemples d’applications de l’Internet
Le mail : Fonctionne avec le protocole TCP sur le port n°25
client SMTP
mail pour B
service SMTP
Protocoles mis en jeu :
machine A
• SMTP (Simple Mail
Transfert Protocol)
Serveur X
client SMTP
• IMAP (Internet Message
Access Protocol)
• POP (Post Office
Protocol)
mail pour B
service SMTP
Serveur Y
mail de B
client POP ou
IMAP
68
machine B
Le mail
Cas possibles :
client SMTP
1. Le serveur X n’identifie pas le destinataire
(adresse mal écrite)
mail pour B
Il prépare un message d’erreur dans la BàL deservice
A SMTP
2. Le serveur X ne peut pas joindre le serveur Y (indisponible ou injoignable)
A
Il réessaye plusieursmachine
fois plus
tard
Serveur X
S’il n’y parvient toujours pas il prépare un message d’erreur dans la
BàL de A
3. Le serveur Y ne connaît pas B (adresse mal écrite)client
ouSMTP
sa BàL est pleine ou
mail pour B
ce type de message est refusé (spam, taille …)
Il indique l’erreur au serveur X etservice
refuse
SMTP le message => le serveur X
prépare un message
d’erreur dans la BàL de A
Serveur Y
de B
4. Le serveur Y accepte le message et le metmail
dans
la BàL de B
client POP ou
IMAP
B ne verra son message que lorsqu’il se connectera au serveur Y.
69
machine B
HTTP (HyperText Transfert Protocol) : port 80
- Utilisé pour le web
- Fonctionne avec le protocole TCP
- Le serveur HTTP accepte 3 principaux types de questions :
• GET url : envoie l’information de cette URL
• HEAD url : n’envoie que l’entête de cette URL
• POST : permet d’envoyer des informations au serveur pour
un accès au mail, aux news ou pour envoyer le contenu d’un
formulaire.
70
HTTP : protocole
2 types de messages :
-requêtes
-réponses
requête HTTP : <commande><entêtes>[<données>]
• La commande est de la forme : méthode<esp>URL<esp>version<rc>
méthode = GET ou HEAD ou POST
URL désigne la ressource
version = version du protocole HTTP
• L’entête contient des champs et leur valeur sous la forme :
Connexion : close
User-Agent : mozilla/4.0
etc
• Les données n’existent que pour POST.
71
HTTP : protocole (suite)
réponse HTTP : <état><entêtes><données>
• L’état est de la forme : version<esp>code<esp>message<rc>
version = version du protocole HTTP
code = code d’erreur (200=OK, 404=not found …)
message = détail de l’erreur
• L’entête contient des champs et leur valeur en particulier :
Content-Type : type mime
Content-Length : taille des données
etc
• Les données contiennent par exemple une page HTML, une image etc. selon
le type mime précisé.
72
HTTP : protocole (types mime)
Plusieurs grandes catégories :
• application = tout format lié à une application (par exemple :
application/postscript , application/pdf , etc)
• image (par exemple : image/gif , image/jpeg , etc)
• texte (par exemple : text/plain , text/html , text/richtext , etc)
• vidéo (par exemple : video/mpeg , video/quicktime , etc)
• muliple = contenant plusieurs objets (par exemple :
multipart/x-zip , multipart/mixed (cas d’un mail avec
texte+images) , etc).
73
HTTP : modes de connexion
2 modes de connexion :
non persistante :
1. le client envoie une requête de document
2. le serveur envoie le document et coupe la connexion
3. le client analyse le document et y trouve des références
4. le client recommence les étapes 1 et 2 pour chaque référence
(éventuellement en parallèle)
persistante :
Le serveur maintient la connexion tant qu’il reçoit des requêtes du
client (il utilise un délai pour se déconnecter).
74
DNS (Data Name Server) : port 53
Serveur de noms racine
Permet d’obtenir une
adresse IP à partir
d’un nom de
machine.
Serveur de noms local
Serveur de noms intermédiaire
OU
C’est une BD
répartie selon le
schéma suivant :
OU
Serveur de noms source autorisé
demandeur
Serveur à atteindre
75
DNS (Data Name Server) : principe de fonctionnement
Serveurs de noms racines : une douzaine dans
le monde. ils sont consultés par les serveurs
de nomspas
racinela réponse
locaux quandServeur
ils n’ont
Serveurs de noms intermédiaires :
Serveurs de noms locaux : chaque
spécialisés par domaines. Consultés
fournisseur d’accès à Internet (IUT) en a
par les serveurs racines quand ils
Serveur
de
noms
local
de noms intermédiaire
un dont l’adresse IP est connue des clients n’ont pasServeur
la réponse
OU
Dans certains cas, si le serveur local,
après consultation du serveur racine,
n’a pas la réponse, il peut rediriger le
client directement vers un
serveur
demandeur
intermédiaire ou de source autorisé.
OU
Serveurs de sources autorisés :
consultés par les serveurs racines
quandServeur
un serveur
intermédiaire les y
de noms source autorisé
redirige
Serveur à atteindre
76
Les réseaux pour le multimédia
Les applications MM sont sensibles aux délais, aux débits et à
leur variation, en revanche elles acceptent des pertes
d’information.
–
–
–
–
UDP est plus efficace que TCP
On compresse les données (MP3, MPEG, H261 …)
On compense la gigue par des tampons (temps légèrement différé)
RTSP (Real Time Streaming Protocol) établit 2 connexions : une
pour les flux et une pour le contrôle
– RTP utile UDP mais ajoute des informations de temps et de type
de codage. Il est associé à RTCP pour le contrôle
– H323 utilisé pour la visioconférence utilise TCP mais permet de
négocier le codage audio/vidéo entre les participants.
77
Sécurité : les menaces
Menaces passives : ne modifient pas l’état = prélèvement d’infos
• par branchement
• par induction
• par faisceaux hertziens
• par satellite
• par rayonnement
Menaces actives : modifient l’état
• brouillage
• déguisement (modifier l’info ou se faire passer pour un autre).
78
Sécurité : les attaques
• Accès physique
• mise sur écoute (facile avec le WI-FI)
• intrusion dans un serveur
• Ingénierie sociale
• vol de mots de passe
• fichiers attachés
• Dialogue
• interception de communication
• usurpation d’identité
• altération de messages
• Intrusion logique
• prise de contrôle (utilise les trous de sécurité)
• balayage (rechercher les point faibles)
• saturation / déni de service
• virus / vers.
79
Sécurité : se protéger
• Accès physique
parfois difficile à détecter (WI-FI)
• Ingénierie sociale
former les personnes
• Dialogue
utiliser des outils de cryptage et d’authentification
• Intrusion logique
mettre à jour les logiciels et systèmes (trous de sécurité)
contrôle d’accès (firewall ou Intrusion Detection Systems)
antivirus.
80
Sécurité : méthodes d’attaque
Trois grandes étapes :
1. Reconnaissance = obtenir des informations :
–
–
–
–
–
sur le site de la victime
par téléphone
par des logiciels clients standard (whois, lookup, ping,
traceroute …)
par des logiciels clients spécifiques pour outrepasser
certaines protections
par des outils sur le Web (plus difficile d’identifier le
client).
81
2. Analyse les vulnérabilités :
–
–
–
identifier le système d’exploitation pour en exploiter les
défauts, connaître les n°s de port qu’il utilise etc.
Scanner les ports pour trouver les ports ouverts (depuis
l’extérieur ou par introduction d’un virus)
identifier les services par les n°s de ports qu’ils utilisent
ou par tentative de connexion
Quand on connaît le SE et les services on peut utiliser
leurs points faibles.
82
3. Intrusion et attaque :
Il existe des outils que l’on peut utiliser sans les comprendre
ou modifier (variantes) :
– Sniffers : capturent les trames qui circulent (on y trouve
des mots de passe, des adresses etc.). Un sniffer est en
général inefficace de l’extérieur => s’introduire sur une
machine moins bien protégée pour l’y installer
– Détournement de session : laisser le client s’authentifier
puis prendre sa place. En général l’outil est le spoofing
d’adresse IP qui falsifie les adresses sur les trames => les
réponses du serveur arrivent au faux client
– Découverte de mots de passe.
83
3. Intrusion et attaque (suite) :
–
–
Saturation de mémoire : faire déborder des zones de
mémoire utilisées par le système ou les services =>
planter le service ou introduire des informations ou du
code pirate
Déni de service : rendre des services inutilisables
• par un message défectueux qui plante le service (par ex adresse
de destinataire = adresse d’expéditeur)
• par salves de messages par exemple d’ouverture de session
En général la saturation est provoquée par plusieurs
logiciels déclenchés en même temps.
84
3. Intrusion et attaque (suite) :
–
Virus, vers et chevaux de Troie :
•
virus = codes s’attachant à un fichier ou un secteur du disque et qui se
recopient
•
vers = codes qui se propagent par le réseau
•
chevaux de Troie : programmes cachés dans un autre
Les antivirus utilisent des signatures c’est à dire des suites d’octets connues
pour apparaître dans un virus
•
Les virus multiformes cryptent ou modifient leur code à chaque
reproduction => il faut autant de signatures que de formes possibles
(difficile)
–
Virus de macros : ce sont des codes cachés dans des macros => on
ne sait pas qu’on les exécute.
85
Sécurité : les mots de passe
Points faibles :
–
–
–
–
–
–
mots de passe par défaut (certaines applications en proposent)
comptes oubliés avec un mot de passe = login
mots de passe trop simples
mots de passe qui passent en clair dans des trames
mots de passe sur un post-it !
mots de passe lus par-dessus l’épaule
Récupération des mots de passe :
–
–
par essai (dictionnaires + variantes). Le système peut bloquer au
bout de N essais => déni de service !!!!
par craquage : décrypter les mots de passe qui sont dans la machine
par exemple par essais.
86
Sécurité : outils de protection
Les antivirus (principes) :
–
–
–
–
Recherche de séquences d'octets caractéristiques
(signatures) d'un virus particulier ;
Détection d'instructions suspectes dans le code d'un
programme (analyse heuristique);
Création de listes de renseignements sur tous les fichiers
du système, en vue de détecter d'éventuelles
modifications ultérieures de ces fichiers par un virus ;
Surveillance des lecteurs de support amovible
87
Virus :
–
–
–
antivirus à jour sur les postes des clients, sur les
serveurs de fichiers, sur le mail et sur les proxys
surveillance du comportement des logiciels
(difficile à faire)
sensibiliser les utilisateurs.
88
Services de sécurité
Authentification des entités (en début de connexion et pendant le transfert)
Contrôle d’accès (utilisation de mots de passe pour chaque ressource)
Confidentialité des données (chiffrement et contrôle de l’acheminement)
Intégrité des données (codes de contrôle d’erreurs, numérotation des
données, dates)
Non répudiation (signatures électroniques)
Moyens
Pare-feux
Proxys
Cryptage.
89
Pare-feu
Analyse des trames et filtrage (adresse exp, adresse dest, n° de port, contenu)
Modification des adresses des émetteurs (NAT)1, gestion d’une table de
translation qui change souvent
Protection contre la saturation par détection des trames d’ouverture de
session douteuses
Authentification par réseaux privés (il faut appartenir à ce réseau privé pour
pouvoir recevoir/émettre)
Proxy : Serveur qui fait le relais entre le client et le serveur final
Filtrage des commandes, des URL, des types mime
Tenue d’un journal
Contrôle de protocole (certains sont interdits)
Remplacement d’entêtes pour cacher des informations
NAT1.
(1) NAT : n adresses internes → N adresses externes routables
90
Le cryptage
Principe : coder les informations pour que leur décodage soit
impossible sans détenir :
• un algorithme de décodage
• ou une clé
Il faut que :
• les clés ne puissent pas être découvertes (clés aléatoires
générées par un algo connu => si on en trouve une on peut
calculer les autres)
• Le logiciel de cryptage ne laisse pas de traces (fichier
temporaire, zone de mémoire, temps de calcul lié à la clé …).
91
Méthodes de chiffrage :
1. Avec clé secrète
A
Message
Algorithme
de chiffrage
Message
Chiffré
Algorithme
de
Décodage
Message
Clé
B
Clé
Les algorithmes ne sont pas secrets, seules les clés le sont
2. Avec clés publiques
A
Message
Clé publique de B
Algorithme
de chiffrage
Message
Chiffré
Algorithme
de
Décodage
Message
B
Clé privée de B
A ne connaît que la clé publique de B, il l’utilise pour chiffrer ses messages
à destination de B
B peut décoder avec sa clé privée que lui seul connaît.
92
Signature :
L’émetteur met sa signature pour que le récepteur puisse
vérifier :
A
Message
Algorithme
De signature
Message
et signature
Algorithme
de codage
Message
chiffré
avec signature
Clé publique de B
Clé privée de A
Message
Algorithme
de
codage
B
Algorithme
de
vérification
de signature
Clé privée de B
Clé publique de A
B peut vérifier que A a envoyé le message (le seul à pouvoir
mettre une signature certifiée avec sa clé privée).
93
Authentification avec tiers
(exemple de Kerberos)
Quatre entités :
–
–
–
–
Le client (C)
Le serveur (S)
le serveur d’émission de tickets (T)
le serveur de clés (K)
Fonctionnement en trois étapes :
–
–
–
identification de C auprès de K
C demande un ticket à T
C et s dialoguent
94
Première étape :
C s'identifie auprès du serveur de clés (K). Pour cela C utilise une clé secrète
KC également connue par K. C envoie son nom à K et lui indique le
serveur de tickets T qui l'intéresse. Après vérification de l'identité de C, K
lui envoie un ticket TT et une clé KT.
• Le ticket TT est chiffré par K avec la clé de T donc seul T peut le
déchiffrer. Il contient notamment des informations sur C mais également la
clé (KT) utilisée pour établir la communication entre C et T.
• La clé KT est chiffrée avec la clé KC de C pour que lui seul puisse la
déchiffrer.
À ce stade, le client possède un ticket TT (qu'il ne peut pas déchiffrer) et une
clé KT qu’il est le seul à pouvoir déchiffrer.
95
Deuxième étape :
La deuxième étape est l'envoi par C d'une demande de ticket auprès de T.
Cette requête contient un identifiant (des informations sur le client
ainsi que la date d'émission) chiffré avec la clé KT (qui a été donnée à
C par le serveur de clés K). Elle contient également le ticket TT que C
avait reçu de K et C ne pouvait pas déchiffrer.
•
T déchiffre TT (qu’il est le seul à pouvoir déchiffrer). Il récupère le
contenu du ticket (dont la clé KT) et peut ainsi déchiffrer l'identifiant
que lui a envoyé le client et vérifier l'authenticité des requêtes.
•
T peut alors envoyer à C un ticket d'accès au serveur (TS). Ce ticket est
chiffré grâce à la clé secrète du serveur KS (seul S peut le déchiffrer).
•
T envoie aussi à C une nouvelle clé de session KCS qui sera utilisée
pour le dialogue entre C et S. Cette clé a été chiffrée à l'aide de la clé
KT connue à la fois par T et C.
96
Troisième étape :
La troisième étape est le dialogue entre le client C et le serveur S.
• C déchiffre la clé KCS que lui a envoyé T grâce à le clé KT
• C génère un nouvel identifiant qu'il chiffre avec KCS et qu'il envoie à S
accompagné du ticket d'accès au serveur (TS) que lui a envoyé T.
• Le serveur vérifie que le ticket est valide (il le déchiffre avec sa clé
secrète KS) et autorise l'accès au service si tout est correct.
• Le dialogue entre C et se fera en utilisant la clé de cryptage KCS que
seuls C et S connaissent.
97
C’est fini
98

Exemples d`applications de l`Internet

Transcription

Documents pareils

Un port de l`eurorégion Aquitaine-Euskadi-Navarre

Local commercial sur Bayonne Réf : 7

Gironde : Plan d`accès Maison de la Promotion Sociale : 24 avenue

INVITATION 20 ANS TC

Programme neuf du T2 au T3 Bayonne - 159 000

Votre référence : 1323

liste organismes envoi dossier logement social-1

Accident route de Bayonne hier soir Un peu après

navette express paris / bayonne - pages transport et pages logistique

Profil des étudiants - IUT de Rambouillet