Exemples d`applications de l`Internet
Transcription
Exemples d`applications de l`Internet
Les réseaux Ethe rnet ICAN DCOM TP T H POP3 feu ? IEEEer AFNIC v u MODEM o r t e r P R O AFN CORBATCP I F I W Pare - A RMI M y I ’ s S Client/serveur t MT N A UDP W P n e L Proxy ADS m ISO m UITo C Bluetooth LAN URL e g a t yp IP DN S ANS I IPv6 cr Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 1 Les réseaux Un réseau pour quoi faire ? Communiquer avec des sites distants Partager des ressources Augmenter graduellement l’infrastructure Augmenter la fiabilité Utiliser ou écrire des programmes répartis Structure LAN (Local Area network) seul LAN connectés à un WAN (Wide Area network) LAN interconnectés directement ou via un WAN Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 2 Les réseaux Problèmes Intrusion Virus Difficultés de gestion L’utilisateur ne voit rien ! Divers SE et protocoles Toujours en évolution Une petite modification peut provoquer beaucoup de problèmes Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 3 Architectures des réseaux Architecture des réseaux Types de réseaux LAN (Local Area Network) WAN (Wide Area Network) Topologies • Étoile • Anneau Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 4 Architectures des réseaux • Bus • Partiellement ou totalement connecté • Arbre Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 5 La normalisation, pourquoi ? • Dispositifs hétérogènes • Constructeurs différents • Solutions par : – le matériel (câbles, cartes …) – le logiciel (protocoles, applications …) ⇒ Nécessité d’une norme au niveau fonctionnel La norme dit ce qui doit être fait pas comment cela doit être fait. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 6 Les organismes de normalisation • • IEEE (Institute of Electrical and Electronics Engineers) société internationale qui contribue à l’ANSI (American National Standard Institute) et à l’ISO. ISO (International Standard Organisation) association privée de normalisation. Consultative auprès du conseil économique et social de l’ONU. Domaines : technique, acoustique, cinéma, matériel de sport, audiovisuel, informatique. • La France y contribue au travers de l’AFNOR (Association française de NORmalisation) UIT (Union Internationale des Télécommunications) appartient à l’ONU Domaines : normalisation des équipements de liaison, réglementation maintenance et développement des réseaux. • • • ETSI (European Telecom Standard Institute) : définitions des équipements IETF (Internet Engineering Task Force) association qui normalise Internet Et d’autres : IFAC, CEI, CEN, ISSS, CEPT, ECMA, UER, EdiFrance, LCIE, CEF, UTE, CCT …. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 7 Le modèle OSI Structuré en 7 couches (niveaux) Chaque couche est un niveau d’abstraction Chaque couche offre des services à la couche supérieure en masquant comment sont réellement réalisés ces services Chaque couche d’une machine converse avec la couche correspondante de l’autre machine La fonction de chaque couche est standardisée Les règles régissant la communication entre couches s’appellent des protocoles Les protocoles respectent des standards internationaux. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 8 Les 7 couches du modèle OSI Application Présentation HTTP Session HTML Transport Réseau Liaison Physique TCP IP Ethernet WI-FI Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 9 Hiérarchie de protocoles Machine B Machine A Application Protocole de niveau 7 Application Protocole de niveau 6 Présentation Présentation Protocole de niveau 5 Session Transport Session Protocole de niveau 4 Transport Protocole de niveau 3 Réseau Réseau Protocole de niveau 2 Liaison Liaison Protocole de niveau 1 Physique Physique Médium de transmission Information Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 10 Couche Physique (1) Objectifs : • Transmission des données sous forme de signaux électriques ou optiques • Limité à l'émission et la réception d'un bit ou d'un train de bits continu • Conversion entre bits et signaux électriques ou optiques. • En pratique réalisée par des circuits électroniques spécifiques Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 11 Couche 1 : mode de transmission Formes de transmissions Série: transmission bit à bit (un seul médium) Parallèle : N bits d’un coup (N médiums) Transmission en série Les bits sont transmis les uns à la suite des autres La durée d’un bit est déterminée (θ) } ⇒ Il est nécessaire d’avoir des horloges identiques entre l’émetteur et le récepteur. ←θ→ ←θ→ ←θ→ ←θ→ ←θ→ ←θ→ ←θ→ ←θ→ ←θ→ ←θ→ 1 0 0 0 1 1 0 0 1 0 Information transmise Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 12 Couche 1 :transmission en série Données Données Médium de transmission Horloge Horloge Asynchrone • Les données sont transmises sur le médium avec un bit de départ et un bit d’arrêt (synchronisation) • L’horloge est estimée à l’arrivée • La vitesse (bits/s) est limitée par les erreurs d’estimation et les recalages d’horloge nécessaires 01100101 1011001010 Emetteur Récepteur 01100101 Horloge Resynchronisation Horloge estimée Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 13 Couche 1 : transmission en série Données Données Médium de transmission Horloge Horloge Synchrone • • • • Les données et l’horloge sont mélangées et transmises sur le médium On les sépare à l’arrivée Pas de limite de vitesse autre que celle du médium. Méthode la plus utilisée 01100101 signal mélangeant Mélangeur données et horloge Séparateur Horloge Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 01100101 Horloge 14 Niveau Physique Couche 1 : supports de transmission Médium de transmission Fil conducteur Câble coaxial âme Câble coaxial Isolant Torsadée PairePaire torsadée Fibre Air optique 3 types multi-mode avec saut d’indices. Signaux radio directs ou par satellite multi-mode avec indice progrsssif Signaux lasers directs multi-mode Infrarouge Téléphone L’infrastructure transporte des signaux numériques mais les lignes qui desservent les habitations n’ont pas été prévues pour ça. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 15 Couche 1 : supports de transmission Fibre optique Fibre optique Fibre optique 3 types: multimode multi-modeàavec d’indices. 3 types sautsaut d’indice multi-mode avec indice progrsssif mutimode à indice progressif multi-mode monomode Propagation de la lumière dans la fibre Propagation de: la lumière dans la fibre : Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 16 Couche 1 : supports de transmission Vitesse de transmission : Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 17 Couche 1 : le réseau téléphonique • Les lignes imposent des contraintes sur les signaux que l’on peut y faire passer (lignes analogiques) ⇒ utiliser un MODEM (MOdulateur DEModulateur) Les modems convertissent un signal numérique en son équivalent analogique (modulation) et vice versa (démodulation). • Moduler un signal en : amplitude / phase / fréquence • Pour augmenter le débit on code plusieurs bits à la fois (exemple : avec 4 valeurs de phase et 4 valeurs d’amplitude on peut coder 16 combinaisons => 4 bits) Méthode : kQAM (Quadrature Amplitude Modulation) k indique le nombre de combinaisons. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 18 Couche 1 : le réseau téléphonique 1. Le modem simple est limité à 28800 bits/s (norme V34) on utilise de la compression de données pour dépasser ce seuil (normes V90 ou V92) => gain statistique (56KB/s) 1. Le xDSL : utilise des fréquences plus élevées (jusqu’à 1,1MHz en ADSL1 et jusqu’à 2,2MHz en ADSL2) ce qui est possible à condition que la liaison analogique soit courte SDSL (Symmetric Digital Subscriber Line) R et E : 128K à 2Mb/s SHDSL (Single-pair High-speed DSL) ADSL (Asymmetric Digital Subscriber Line) VDSL (Very High Digital Subscriber Line) R et E : 384K à 4,6Mb/s R : 2 à 8Mb/s R : 13K à 55,2Mb/s E : 160 à 800Kb/s E : 1,5 à 6Mb/s. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 19 Couche 1 : L’ADSL (norme UIT G992.1) • Découpage de la bande passante en canaux de 4KHz que l’on utilise en parallèle : – Voix : 1 canal (O à 4KHz) = téléphone classique (filtre ADSL) – La bande 4 à 26KHz est laissée libre pour éviter les interférences – Emission : 26 canaux – Réception : 230 canaux + les 26 d’émission si disponibles Calcul : avec du 256QAM un canal permet de passer 8*4000=32Kb/s – en émission : 26*32 = 832Kb/s – en réception (maxi) : (230+26)*32 = 8Mb/s • Fonctionnement : la qualité de chaque bande est mesurée en permanence et, sur celles qui présentent trop d’erreurs, on peut baisser la valeur du kQAM ou même ne pas les utiliser => on baisse le débit si la qualité de la ligne ne le permet pas. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 20 Couche 1 : Le sans fil • Catégories : – WPAN (Wireless Personal Area network) très faible portée (ex : Bluetooth) – WLAN (Wireless local Area network) portée de quelques centaines de mètres (ex : WI-FI) – WMAN (Wireless Metropolitan Area network) portée de quelques kilomètres – WWAN (Wireless Wide Area network) pour le cellulaire (ex : GSM, GPRS, UMTS). Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 21 Couche 1 : Le sans-fil • Topologies liées à la portée : point à point ou en étoiles (bornes) P3 P3 P2 P1 • • • • • B1 P1 – P2 P2 – P1 et P3 P3 – P2 P1 P5 P6 B2 P4 B1 : P1, P3, P6 B2 : P4, P5, P6 lien B1 B2 par fil Portée limitée Très sensible aux parasites (radio ou infrarouge) Mobilité => passage d’une borne à une autre Problème de couverture Puissance radio (WI-FI) limitée à 30 mW pour la santé (limitée à 2W pour les téléphones portables !) => utiliser des méthodes solides. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 22 Le WI-FI (normes IEEE 802.11x) Mode de transmission • FHSS (Frequency Hopping Spread Spectrum) : découper la bande passante en canaux et on passe régulièrement de l’un à l’autre => limiter les erreurs sur les canaux parasités • DSSS (Direct Sequence Spread Spectrum) : émettre la même chose sur plusieurs canaux simultanément • OFDM (Orthogonal Frequency Division Multiplexing) : le signal est découpé en composantes envoyées sur des canaux différents => si certains canaux marchent mal le signal est un peu déformé mais lisible). Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 23 Bluetooth (IEEE 802.15.1) Mode de transmission FHSS (Frequency Hopping Spread Spectrum) : • On découpe la bande de fréquence en 79 canaux de 1MHz de largeur. On passe de l'un à l'autre 1600 fois/s (quanta de temps de 0,625ms) selon une séquence de bandes prévues à l'avance entre émetteur et récepteur (calculée en fonction des adresses physiques). Ceci permet de résoudre les problèmes de mauvaise réception : si on a un problème a un moment sur un canal on réémettra les données mal reçues au saut suivant donc sur un autre canal. • L'émission se fait sur 1, 3 ou 5 quanta de temps et l'acquittement sur le quantum suivant. • La taille des données max dans un paquet (de 5 quanta) est de 339 octets. • On a donc 339 octets utiles pour une durée de 5+1 quanta (5 d'émission + 1 d‘ACK) donc sur une durée de 6*0,625ms. Ce qui fait un débit maximum de (339*8)/(6*0,625) = 723 Kb/s (d'où le 720 Kb/s annoncé). Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 24 Zigbee (IEEE 802.15.4) • Créé en 2005 pour être une version allégée de Bluetooth (consommation moindre et quantité de code très inférieure). • Vitesses : 250Kbps à 2,4 GHz, 40Kbps à 915MHz ou 20Kbps à 868MHz. • portée 10 à 75 m mais faible consommation. • 16 canaux de 5MHz en 2.4GHz, 10 canaux de 2MHz en 915MHz et un canal en 868MHz. • Pas de garantie de délivrance de messages • Mode de transmission DSSS (Direct Sequence Spread Spectrum) : On émet les infos sur plusieurs canaux simultanément => le récepteur reçoit la même chose plusieurs fois et il peut fonctionner malgré les problèmes de réception. Pour plus de sécurité on utilise des codages redondants : chaque groupe de 4 bits est transmis sous la forme d'une séquence de 32 bits mais on n'utilise que 16 mots possibles pour pouvoir détecter les erreurs. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 25 Couche Liaison (2) Objectifs : • Gestion des communications entre machines directement reliées entre elles par un support physique. • Constitution des informations en trames • Délimitation de ces trames dans un flot de bits continu. • Détection et parfois correction des erreurs de transmission Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 26 Liaison (couche 2) Elle se subdivise en 2 sous-niveaux • MAC sous-niveau de Contrôle d’Accès au Médium. • LLC sous-niveau de Contrôle de Liaison Logique MAC : Gestion de l’accès (partage) du support de transmission • Dépend fortement du support LLC : structuration de l’information en trames contenant : • L’information à transmettre • Des codes de contrôle • Encapsulation (les données peuvent être une trame) Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 27 Couche 2 : Liaison (niveau MAC) Le temps est découpé. Une station ne peut émettre que durant son quantum de temps. Acces au média multiplexage temporel synchrone Asynchrone accès contrôlés centralisé scrutation scrutation adaptative multiplexage fréquenciel voies dédiées voies allouées accès aléatoires décentralisé CSMA/CD CSMA/CA Jeton Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 28 Couche 2 : Liaison (niveau MAC) Quelques protocoles d’accès au médium Jeton (Token) Seul le possesseur du jeton peut transmettre. Quand une station désire transmettre : . Elle garde le jeton . Envoie ses informations . Reçoit un accusé de réception du destinataire . Fait circuler le jeton Problèmes : Pb1 : Une station garde le jeton trop de temps Pb2 : Le jeton se perd Pb3 : Plusieurs jetons Reamarque : Le passage de témoins est déterministe. On connaît le temps maximum pour le transmettre (temps réel). Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 29 Avec collisions Lorsqu’une station désire transmettre : . Elle écoute le canal de transmission . S’il est occupé, elle attend qu’il soit libre . S’il est libre, elle transmet. Ce protocole s’appelle CSMA (Carrier Sense Multiple Access) : accès multiple avec test de porteuse Mais quand 2 stations transmettent simultanément parce que le canal paraît libre alors qu’il ne l’est pas (délai de propagation) Il y a collision Solution : En cas de collision la transmission avorte immédiatement. Chaque station respecte un délai aléatoire avant de ré-émettre Ce protocole s ’appelle CD (Collision Detection) Le protocole CSMA/CD est utilisé par Ethernet. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 30 niveau MAC : cas du sans-fil Dans un réseau classique si B et C reçoivent les messages de A alors B reçoit ceux de C (ils sont sur le même sous-réseau). De plus, selon la topologie (par exemple en étoile) quand A et B dialoguent C ne reçoit rien tandis que sur un bus C reçoit tout et l'ignore. Dans un réseau sans fil tout message émis peut être capté par tout nœud à portée (diffusion) mais la visibilité des nœuds est différente car la puissance du signal radio décroît comme le carré de la distance., par exemple : B A C B et C reçoivent les messages de A mais B ne reçoit pas ceux de C. Conséquence : quand A et B dialoguent C reçoit ce que A émet mais pas ce que B répond. Si C émet en même temps il perturbe A mais pas B donc B continue à recevoir les messages de A mais A ne reçoit plus les réponses de B. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 31 cas du sans-fil : Problème de visibilité des stations Exemple : on a 4 nœuds A, B, C et D placés comme suit : A B C D B émet vers A, C veut émettre vers D. C capte ce que B émet donc conclut le médium est occupé et ne commence pas son émission. Pourtant il pourrait émettre car son signal brouillerait la réception de B mais pas celle de A, or B n'est pas récepteur, tout au plus il ne pourrait pas écouter sa propre émission mais ce n'est pas gênant. Solution possible : protocole RTS/CTS ou MACA (Medium Access with Collision Avoidance) adopté dans 802.11 Principe : Quand A veut émettre vers B, il envoie un message RTS avec le nombre d'octets qu'il veut émettre. B répond par un message CTS avec ce même nombre. Cet échange permet aux stations qui le reçoivent de savoir que le médium est occupé et pour combien de temps. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 32 cas du sans-fil : Problème de visibilité des stations Exemple : C A B D E F Etude de cas : A veut communiquer avec B => il lui envoie RTS • Les nœuds à portée de A voient le RTS => ils savent être à portée de l'émetteur => ils attendent pour voir s'ils reçoivent le CTS de B. – – S'ils le reçoivent ils savent être à portée de l'émetteur ET du récepteur => ils ne peuvent rien faire. Le nombre d'octets indiqué dans le CTS leur permet de savoir combien de temps ils doivent attendre. Sinon ils savent être à portée de l'émetteur mais pas du récepteur => ils peuvent émettre en même temps. Mais l'émission de A peut brouiller le CTS en réponse à leur propre RTS ! • Les nœuds à portée de B mais pas de A voient le CTS mais pas le RTS => ils ne peuvent pas émettre. Le nombre d'octets indiqué dans le CTS leur permet de savoir combien de temps ils doivent attendre. • Un nœud comme F qui n'est à portée ni de A ni de B ne voit ni le RTS ni le CTS, il peut donc émettre sans gêner personne. • Un nœud à portée de B (par exemple D) peut ne pas voir le CTS de B parce que F émet et le brouille => il ne sait pas que A et B communiquent. • Cas particulier : collision du RTS de A avec un autre (par exemple E) => ni A ni E ne reçoivent de CTS => ils réessaieront plus tard (délai aléatoire type CSMA/CD) Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 33 Couche 2 : Liaison (Contrôle de liaison logique) Structuration des données : constituées en trames. Une trame est une succession de bits. Par exemple, la trame Ethernet : préambule Début Trame Adresse destinataire Adresse origine Type Données Remplissage CRC Préambule : 7 octets 10101010 (utilisé pour détecter les collisions) Début de la trame : 10101011 Adresse physique : 6 octets, l’adresse de destinataire peut être de 3 types : .unicast : une seule station .multicast : toute les stations du sous réseau ou du groupe .broadcast : toutes les stations Type: désigne le protocole de niveau supérieur (IP, ARP, RARP ...) Données : de 0 a 1500 octets Remplissage: la trame ne doit pas être inférieure à 46 octets (parasites) CRC : permet de corriger les erreurs. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 34 Couche 2 : Liaison (Contrôle de liaison logique) Gestion des erreurs : Bit(s) changé(s) dans une trame : • Bit de parité permet de détecter, pas de corriger. • Checksum permet de détecter, pas de corriger. • CRC (Code de Redondance Cyclique) permet de corriger : le CRC-16 utilise le polynôme générateur (x16+x15+x2+1) Trames perdues ou dupliquées : • On peut ne rien faire (vidéo) • Ou utiliser des protocoles élémentaires de retransmission • Souvent ces problèmes sont traités par les couches supérieures (4). Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 35 Couche 2 : Liaison (Contrôle de liaison logique) Commutation : La structuration des données permet la commutation de trames • Le réseau est divisé en sous réseaux. • Un commutateur reçoit une trame et la dirige vers le bon sous réseau en utilisant les champs d’adresses => évite des collisions Contrôle de flux : le récepteur renvoie une trame d’acquittement Rq : Le plus souvent le contrôle de flux n’est pas utilisé en couche 2 et laissé aux couches supérieures (3). Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 36 Liaison (couche 2) : Contrôle de liaison logique A Contrôle de flux B T1 ACK 1. Envoi avec accusé T2 Perte de T2 Délai Retransmission de T2 T2 ACK T3 NACK Retransmission de T3 T3 a des erreurs T3 Problème : Si le ACK de T1 se perd, A retransmet T1 et B l’aura deux fois (duplication). Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 37 Liaison (couche 2) : Contrôle de liaison logique Contrôle de flux 2. Envoi continu Le transmetteur envoie les trames successivement et le récepteur indique les trames possédant des erreurs (demande de réémission). ou Le transmetteur envoie les trames successivement et le récepteur accuse réception de plusieurs trames à la fois. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 38 Couche Réseau (3) Objectifs : – – – – – Définition d’adresses uniques Interconnexion de réseaux. Structuration en paquets Routage des paquets Contrôle de congestion Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 39 Couche 3 : Réseau (Adressage) Un mécanisme d’identification de chaque machine du réseau est nécessaire : IPv4 utilise 4 octets (ex : 193.50.225.216) Rq : le nombre d’adresses possibles est très élevé (2564 = 4,3 milliards) mais la distribution des adresses fait que beaucoup sont inutilisées) IPv6 utilise 8 octets Rq : dans ce cas le nombre d’adresses (2568 = 1,8 1019 soit 18 milliards de milliards !) permet une distribution plus facile. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 40 Couche 3 : Réseau (Adressage) Exemple d ’ IP : Le protocole ARP (Address Resolution Protocol) permet de trouver une adresse physique à partir d’une adresse IP. Nécessaire pour établir une communication car la trame correspondant à la couche 2 doit contenir l’adresse physique de la carte du destinataire. Le protocole RARP (Reverse Address Resolution Protocol) permet de trouver une adresse IP à partir d’une adresse physique. Assez peu utilisé. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 41 Couche 3 : Réseau (Interconnexion de réseaux) L’organisme IANA (Internet Assigned Number Authority) possède l’autorité pour choisir les adresses sur l ’Internet. C’est une branche de l’ICANN (Internet Corporation for Assigned Names and Numbers) qui pilote des organismes locaux accrédités qui gèrent les noms locaux (AFNIC (.fr) ou GANDI (.com .org .net) en France) DNS (Domain Name System) : • Base de Données Distribuée sur Internet. Elle fait une correspondance entre adresses IP et noms de machines. • Les adresses IP ainsi que les noms associés suivent une organisation hiérarchique : machine.sous-domaine2.sous-domaine1.pays kartxila. iutbayonne. univ-pau. fr 216 . 225 . 50 . 193 l’adresse IP de cette machine est 193.50.225.216 Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 42 Couche 3 : Réseau (Structuration en paquets) Un paquet peut être constitué d’une ou plusieurs trames de niveau 2 version lg entête Type de service (TOS) identification TTL Flags protocole Longueur totale offset de fragmentation Contrôle de l’entête Adresse IP de l'expéditeur Adresse IP destinataire options données - version : version du protocole IP - longueur de l’entête - type de service : indice de qualité de service - longueur totale : en octets (maxi 65535 octets) - identification : numéro de paquet - Flags : indicateurs de fragmentation - offset de fragmentation - TTL (durée de vie) - protocole : indice du protocole de niveau supérieur - contrôle de l’entête : calculé sur l’entête Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 43 Couche 3 : Réseau (Routage des paquets) Méthodes d ’acheminement : Statistiques Elles utilisent des tables de routage qui ne varient pas dans le temps. Dynamiques Inondation Hot potatoe Adaptative (tables de routage modifiées dynamiquement) Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 44 Couche 3 : Réseau (Routage des paquets) Tables fixes : Le réseau est fixe Les trafics sont connus et fixes Par exemple entre serveurs d’une salle machine serveur A serveur B serveur D Route A-D : En passant par C et B serveur C Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 45 Couche 3 : Réseau (Routage des paquets) Inondation : • Sécurité (on veut être sûrs d’arriver) • On ne connaît pas les chemins a priori (découverte) Hot potatoe : • • • • Statistique On ne connaît pas les chemins a priori (pas de découverte) Simple Aucune garantie de temps Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 46 Couche 3 : Réseau (Routage des paquets) Tables de routage dynamiques : Protocole RIP (Routing Information Protocol) : Minimise la longueur des chemins (limités à 15) • Chaque nœud calcule la distance (nombre de relais à passer) qui le sépare de chaque sous-réseau qu’il peut atteindre • Il diffuse cette information à ses voisins toutes les 30 secondes • Ils complètent et ajustent leurs tables de routage Protocole amélioré IGRP (Interior Gateway Routing Protocol) : • On ajoute des informations de : • bande passante • fiabilité • délai • charge Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 47 Couche 3 : Réseau (Routage des paquets) Service non orienté connexion L’adresse du destinataire transite dans chaque paquet Le cheminement de chaque paquet est indépendant, ils peuvent arriver dans le désordre 3 A B 3 2 1 2 E C 1 D 1 Note : IP est un protocole non orienté connexion. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 48 Couche 3 : Réseau (Routage des paquets) Service orienté connexion L’adresse du destinataire transite uniquement dans des paquets d’établissement de connexion Tous les paquets de la connexion suivent le même chemin et arrivent dans l’ordre. 3 2 1 A B 3 2 1 E C D Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 49 Couche 3 : Réseau (Contrôle de congestion) 1. Éviter que le réseau ne se congestionne : • Contrôle global = limiter le nombre de paquets en circulation (tickets) • Contrôle avec réservation = avant d’émettre on établit un circuit virtuel (mode connecté) et on réserve la place 2. Résoudre les congestions : • Exclure les paquets qui transitent depuis longtemps (durée de vie) • Exclure les paquets qui ont parcouru trop de chemin : TTL (Time To Live) utilisé par IP Remarque : le nœud qui détruit un paquet envoie un message à son émetteur qui pourra tenter de le réémettre plus tard. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 50 Couche 4 : Transport Objectifs : – Gestion des communications de bout en bout – Qualité de service – Gestion de la transmission : corruption, pertes, réordonnancement, duplication Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 51 Couche 4 : Transport Service de transport Le service transport offre des primitives pour : - Établir une connexion - Répondre à une requête de connexion (oui ou non). - Confirmer la connexion. - Transmettre les données - Réaliser la déconnexion. Facultatif Facultatif Facultatif Obligatoire Facultatif. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 52 Couche 4 : Transport Exemples de services de transport (TCP et UDP) TCP et UDP utilisent le concept de port. Une application joint à l’adresse IP du destinataire un numéro de port qui permet de préciser l’application avec laquelle elle veut dialoguer (ex : 193.50.225.216:80) La machine qui reçoit un paquet TCP ou UDP utilise ce numéro de port pour savoir quelle est l’application destinataire (ex : serveur HTTP) UDP (User Datagram Protocol) UDP n’établit pas de connexion et donc n’est pas fiable - Possibilité de perte de paquets - Possibilité de duplication de paquets - Possibilité de paquets désordonnés. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 53 Couche 4 : Transport TCP (Transmission Control protocol) TCP établit une connexion et ainsi est fiable La transmission se présente en 3 phases : • Établissement de la connexion (message SYN) • Echange fiable de données. • Les données sont découpées en segments. • Lors de la transmission, chaque segment reçoit un accusé de réception. • Les segments arrivent avec un champ de contrôle d’erreur. • Les segments se réordonnent à la réception . • Libération de la connexion (message FIN) Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 54 Couche 4 : Transport Contrôle de flux par acquittement des segments (TCP) Fenêtre actuelle Octets émis avec ACK Octets émis mais non acquittés Octets à émettre Octets impossible à transmettre ACK reçu Nouvelle fenêtre (plus petite) Octets émis acquittés Octets pouvant être émis Octets impossible à émettre Octets émis et acquittés Octets émis non acquittés Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 55 Couche 4 : Transport Qualité de Service (QoS) Le mode connecté permet de négocier la qualité de service lorsque la connexion est établie. Les paramètres de la qualité de service sont : • Temps pour ouvrir la connexion • Probabilité pour que la connexion se s’ouvre pas avant un certain délai. • Rendement • Temps de passage • Proportion de messages avec erreurs. • Probabilité pour que se produise un incident. • Temps pour fermer une connexion. • Probabilité pour qu’une connexion ne puisse pas être fermée avant un temps déterminé. • Protection contre l’intrusion. • Possibilité de donner des priorités à certains messages. • Liberté laissée à la couche transport de fermer une connexion en cas de problème. Lors de l'établissement de la connexion la couche 4 transmet les valeurs désirées et minimales pour ces paramètres, ensuite si la demande ne peut pas être satisfaite la connexion n'est pas faite. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 56 Couche 4 : Transport Qualité de Service (QoS) Dans le mode non connecté les paramètres sont : • • • • débit délai taux d'erreur priorité de transmission Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 57 Couche 5 : Session Objectifs : – Synchronisation des communications (quel intervenant peut émettre à tel moment) – Mécanisme de correction des erreurs de traitement par restauration d'un état antérieur connu. – Quelques protocoles de la couche session : rsh, ssh, telnet. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 58 Couche 5 : Session Permet de définir des transactions : • début de session • transfert d’informations • fin de session pour pouvoir définir des points de synchronisation A l’ouverture de session on définit : • qui peut demander la fermeture • si le dialogue est unidirectionnel, bidirectionnel ou alterné Par exemple l’accès à une BD peut se faire en alternat (requête/réponse …). La couche 5 peut alors interdire qu’une requête ne puisse être lancée tant que la réponse à la précédente n’est pas arrivée. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 59 Couche 5 : Session (exemples) RSH (Remote SHell) : permet une connexion à distance sur une machine SSH (Secure SHell) : version sécurisée (par cryptage) de RSH Telnet (TErminaL NETwork ) : connexion à tout type de service (très utile pour tester des serveurs et des services) Remarque : pour des raisons de sécurité RSH et telnet sont souvent bannis des machines par les ingénieurs système et réseau. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 60 Couche 6 : Présentation Rôles de la couche présentation : • Mise en forme des fichiers, des requêtes, … HTML utilise des balises <xxx> </xxx> • Utilisation d’un format normalisé que chaque machine comprend • Compression de données • Cryptage des données Rq : la couche 6 est généralement liée (incluse) à la couche 7 (application) par exemple HTTPS correspond à une couche 7 de type HTTP (web) en mode sécurisé c’est-à-dire avec une couche 6 qui fait du cryptage ! Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 61 Couche 7 : Application Il existe plusieurs modèles d’application : • HTML-HTTP (HyperText Markup Language - HyperText Transfert protocol) utilisé par le Web • Java RMI (Remote Method Invocation) pour la programmation en objets répartis en java • CORBA modèle d’objets répartis non lié à un langage de programmation. Par exemple Java IIOP (Internet Inter Object Broker) utilise CORBA • ActiveX – DCOM (Distributed Component Object Model) pour microsoft • etc Tous utilisent le modèle général client/serveur Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 62 Couche 7 : Application Le modèle Client/Serveur Le client: Propose l’interface avec l’utilisateur Interroge le serveur à l’aide d’un langage commun Communique avec le serveur Analyse les réponses et les présente à l’utilisateur Le serveur : Répond aux requêtes Réalise le service Sa manière de fonctionner est transparente au client Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 63 Couche 7 : Application Le modèle Client/Serveur Principes : Transparence de lieu Transparence administrative (on peut changer un serveur sans modifier les clients) Le client prend en charge la relation avec l’utilisateur Selon ses capacités, le client peut prendre en charge plus ou moins de choses Possibilité d’utiliser des clients ou des serveurs standards Le serveur peut interroger d’autres services Le serveur peut gérer la sécurité (authentification du client …) Minimisation des échanges d’information Maintenance plus facile. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 64 Exemple de fonctionnement Serveur B Serveur A Client Le serveur A interroge les serveurs B et C Le client interroge le serveur A Le client a les réponses de A, B, C, D mais ne Serveur C connaît que A. Serveur D Le serveur C interroge le serveur D Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 65 Couche 7 : Application Le modèle Client/Serveur Avec TCP/IP, le client désigne le serveur par : -son adresse (numéro IP ou nom de machine) : désigne la machine A. -le numéro de port : désigne le programme serveur dans ma machine A. Le mécanisme de programmation s’appelle sockets. Las applications BOOTP, Telnet, Rlogin, FTP, NFS, SMTP, HTTP etc sont sur le modèle client/serveur. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 66 Applications de l’Internet Les ressources sur le web sont désignées par une URL (Uniform Ressource Locator). Une URL est constituée de trois parties : un protocole (ftp, http, mailto, news, nntp, telnet ...) ≡ n° de port une adresse ≡ nom ≡ adresse IP une désignation d’information ≡ localisation de ressource + options Formats des URLs : ftp://user.passwd@machine/path:type=car car = d pour directory, i pour binary, a pour ASCII http://machine/chemin?informations mailto:[email protected] telnet://user.passwd@machine/ Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 67 Exemples d’applications de l’Internet Le mail : Fonctionne avec le protocole TCP sur le port n°25 client SMTP mail pour B service SMTP Protocoles mis en jeu : machine A • SMTP (Simple Mail Transfert Protocol) Serveur X client SMTP • IMAP (Internet Message Access Protocol) • POP (Post Office Protocol) mail pour B service SMTP Serveur Y mail de B client POP ou IMAP Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 68 machine B Exemples d’applications de l’Internet Le mail Cas possibles : client SMTP 1. Le serveur X n’identifie pas le destinataire (adresse mal écrite) mail pour B Il prépare un message d’erreur dans la BàL deservice A SMTP 2. Le serveur X ne peut pas joindre le serveur Y (indisponible ou injoignable) A Il réessaye plusieursmachine fois plus tard Serveur X S’il n’y parvient toujours pas il prépare un message d’erreur dans la BàL de A 3. Le serveur Y ne connaît pas B (adresse mal écrite)client ouSMTP sa BàL est pleine ou mail pour B ce type de message est refusé (spam, taille …) Il indique l’erreur au serveur X etservice refuse SMTP le message => le serveur X prépare un message d’erreur dans la BàL de A Serveur Y de B 4. Le serveur Y accepte le message et le metmail dans la BàL de B client POP ou IMAP B ne verra son message que lorsqu’il se connectera au serveur Y. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 69 machine B Exemples d’applications de l’Internet HTTP (HyperText Transfert Protocol) : port 80 - Utilisé pour le web - Fonctionne avec le protocole TCP - Le serveur HTTP accepte 3 principaux types de questions : • GET url : envoie l’information de cette URL • HEAD url : n’envoie que l’entête de cette URL • POST : permet d’envoyer des informations au serveur pour un accès au mail, aux news ou pour envoyer le contenu d’un formulaire. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 70 Exemples d’applications de l’Internet HTTP : protocole 2 types de messages : -requêtes -réponses requête HTTP : <commande><entêtes>[<données>] • La commande est de la forme : méthode<esp>URL<esp>version<rc> méthode = GET ou HEAD ou POST URL désigne la ressource version = version du protocole HTTP • L’entête contient des champs et leur valeur sous la forme : Connexion : close User-Agent : mozilla/4.0 etc • Les données n’existent que pour POST. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 71 Exemples d’applications de l’Internet HTTP : protocole (suite) réponse HTTP : <état><entêtes><données> • L’état est de la forme : version<esp>code<esp>message<rc> version = version du protocole HTTP code = code d’erreur (200=OK, 404=not found …) message = détail de l’erreur • L’entête contient des champs et leur valeur en particulier : Content-Type : type mime Content-Length : taille des données etc • Les données contiennent par exemple une page HTML, une image etc. selon le type mime précisé. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 72 Exemples d’applications de l’Internet HTTP : protocole (types mime) Plusieurs grandes catégories : • application = tout format lié à une application (par exemple : application/postscript , application/pdf , etc) • image (par exemple : image/gif , image/jpeg , etc) • texte (par exemple : text/plain , text/html , text/richtext , etc) • vidéo (par exemple : video/mpeg , video/quicktime , etc) • muliple = contenant plusieurs objets (par exemple : multipart/x-zip , multipart/mixed (cas d’un mail avec texte+images) , etc). Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 73 Exemples d’applications de l’Internet HTTP : modes de connexion 2 modes de connexion : non persistante : 1. le client envoie une requête de document 2. le serveur envoie le document et coupe la connexion 3. le client analyse le document et y trouve des références 4. le client recommence les étapes 1 et 2 pour chaque référence (éventuellement en parallèle) persistante : Le serveur maintient la connexion tant qu’il reçoit des requêtes du client (il utilise un délai pour se déconnecter). Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 74 Exemples d’applications de l’Internet DNS (Data Name Server) : port 53 Serveur de noms racine Permet d’obtenir une adresse IP à partir d’un nom de machine. Serveur de noms local Serveur de noms intermédiaire OU C’est une BD répartie selon le schéma suivant : OU Serveur de noms source autorisé demandeur Serveur à atteindre Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 75 DNS (Data Name Server) : principe de fonctionnement Serveurs de noms racines : une douzaine dans le monde. ils sont consultés par les serveurs de nomspas racinela réponse locaux quandServeur ils n’ont Serveurs de noms intermédiaires : Serveurs de noms locaux : chaque spécialisés par domaines. Consultés fournisseur d’accès à Internet (IUT) en a par les serveurs racines quand ils Serveur de noms local de noms intermédiaire un dont l’adresse IP est connue des clients n’ont pasServeur la réponse OU Dans certains cas, si le serveur local, après consultation du serveur racine, n’a pas la réponse, il peut rediriger le client directement vers un serveur demandeur intermédiaire ou de source autorisé. OU Serveurs de sources autorisés : consultés par les serveurs racines quandServeur un serveur intermédiaire les y de noms source autorisé redirige Serveur à atteindre Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 76 Les réseaux pour le multimédia Les applications MM sont sensibles aux délais, aux débits et à leur variation, en revanche elles acceptent des pertes d’information. – – – – UDP est plus efficace que TCP On compresse les données (MP3, MPEG, H261 …) On compense la gigue par des tampons (temps légèrement différé) RTSP (Real Time Streaming Protocol) établit 2 connexions : une pour les flux et une pour le contrôle – RTP utile UDP mais ajoute des informations de temps et de type de codage. Il est associé à RTCP pour le contrôle – H323 utilisé pour la visioconférence utilise TCP mais permet de négocier le codage audio/vidéo entre les participants. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 77 Sécurité : les menaces Menaces passives : ne modifient pas l’état = prélèvement d’infos • par branchement • par induction • par faisceaux hertziens • par satellite • par rayonnement Menaces actives : modifient l’état • brouillage • déguisement (modifier l’info ou se faire passer pour un autre). Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 78 Sécurité : les attaques • Accès physique • mise sur écoute (facile avec le WI-FI) • intrusion dans un serveur • Ingénierie sociale • vol de mots de passe • fichiers attachés • Dialogue • interception de communication • usurpation d’identité • altération de messages • Intrusion logique • prise de contrôle (utilise les trous de sécurité) • balayage (rechercher les point faibles) • saturation / déni de service • virus / vers. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 79 Sécurité : se protéger • Accès physique parfois difficile à détecter (WI-FI) • Ingénierie sociale former les personnes • Dialogue utiliser des outils de cryptage et d’authentification • Intrusion logique mettre à jour les logiciels et systèmes (trous de sécurité) contrôle d’accès (firewall ou Intrusion Detection Systems) antivirus. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 80 Sécurité : méthodes d’attaque Trois grandes étapes : 1. Reconnaissance = obtenir des informations : – – – – – sur le site de la victime par téléphone par des logiciels clients standard (whois, lookup, ping, traceroute …) par des logiciels clients spécifiques pour outrepasser certaines protections par des outils sur le Web (plus difficile d’identifier le client). Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 81 Sécurité : méthodes d’attaque Trois grandes étapes : 2. Analyse les vulnérabilités : – – – identifier le système d’exploitation pour en exploiter les défauts, connaître les n°s de port qu’il utilise etc. Scanner les ports pour trouver les ports ouverts (depuis l’extérieur ou par introduction d’un virus) identifier les services par les n°s de ports qu’ils utilisent ou par tentative de connexion Quand on connaît le SE et les services on peut utiliser leurs points faibles. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 82 Sécurité : méthodes d’attaque Trois grandes étapes : 3. Intrusion et attaque : Il existe des outils que l’on peut utiliser sans les comprendre ou modifier (variantes) : – Sniffers : capturent les trames qui circulent (on y trouve des mots de passe, des adresses etc.). Un sniffer est en général inefficace de l’extérieur => s’introduire sur une machine moins bien protégée pour l’y installer – Détournement de session : laisser le client s’authentifier puis prendre sa place. En général l’outil est le spoofing d’adresse IP qui falsifie les adresses sur les trames => les réponses du serveur arrivent au faux client – Découverte de mots de passe. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 83 Sécurité : méthodes d’attaque Trois grandes étapes : 3. Intrusion et attaque (suite) : – – Saturation de mémoire : faire déborder des zones de mémoire utilisées par le système ou les services => planter le service ou introduire des informations ou du code pirate Déni de service : rendre des services inutilisables • par un message défectueux qui plante le service (par ex adresse de destinataire = adresse d’expéditeur) • par salves de messages par exemple d’ouverture de session En général la saturation est provoquée par plusieurs logiciels déclenchés en même temps. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 84 Sécurité : méthodes d’attaque Trois grandes étapes : 3. Intrusion et attaque (suite) : – Virus, vers et chevaux de Troie : • virus = codes s’attachant à un fichier ou un secteur du disque et qui se recopient • vers = codes qui se propagent par le réseau • chevaux de Troie : programmes cachés dans un autre Les antivirus utilisent des signatures c’est à dire des suites d’octets connues pour apparaître dans un virus • Les virus multiformes cryptent ou modifient leur code à chaque reproduction => il faut autant de signatures que de formes possibles (difficile) – Virus de macros : ce sont des codes cachés dans des macros => on ne sait pas qu’on les exécute. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 85 Sécurité : les mots de passe Points faibles : – – – – – – mots de passe par défaut (certaines applications en proposent) comptes oubliés avec un mot de passe = login mots de passe trop simples mots de passe qui passent en clair dans des trames mots de passe sur un post-it ! mots de passe lus par-dessus l’épaule Récupération des mots de passe : – – par essai (dictionnaires + variantes). Le système peut bloquer au bout de N essais => déni de service !!!! par craquage : décrypter les mots de passe qui sont dans la machine par exemple par essais. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 86 Sécurité : outils de protection Les antivirus (principes) : – – – – Recherche de séquences d'octets caractéristiques (signatures) d'un virus particulier ; Détection d'instructions suspectes dans le code d'un programme (analyse heuristique); Création de listes de renseignements sur tous les fichiers du système, en vue de détecter d'éventuelles modifications ultérieures de ces fichiers par un virus ; Surveillance des lecteurs de support amovible Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 87 Sécurité : outils de protection Virus : – – – antivirus à jour sur les postes des clients, sur les serveurs de fichiers, sur le mail et sur les proxys surveillance du comportement des logiciels (difficile à faire) sensibiliser les utilisateurs. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 88 Sécurité : outils de protection Services de sécurité Authentification des entités (en début de connexion et pendant le transfert) Contrôle d’accès (utilisation de mots de passe pour chaque ressource) Confidentialité des données (chiffrement et contrôle de l’acheminement) Intégrité des données (codes de contrôle d’erreurs, numérotation des données, dates) Non répudiation (signatures électroniques) Moyens Pare-feux Proxys Cryptage. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 89 Sécurité : outils de protection Pare-feu Analyse des trames et filtrage (adresse exp, adresse dest, n° de port, contenu) Modification des adresses des émetteurs (NAT)1, gestion d’une table de translation qui change souvent Protection contre la saturation par détection des trames d’ouverture de session douteuses Authentification par réseaux privés (il faut appartenir à ce réseau privé pour pouvoir recevoir/émettre) Proxy : Serveur qui fait le relais entre le client et le serveur final Filtrage des commandes, des URL, des types mime Tenue d’un journal Contrôle de protocole (certains sont interdits) Remplacement d’entêtes pour cacher des informations NAT1. (1) NAT : n adresses internes → N adresses externes routables Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 90 Sécurité : outils de protection Le cryptage Principe : coder les informations pour que leur décodage soit impossible sans détenir : • un algorithme de décodage • ou une clé Il faut que : • les clés ne puissent pas être découvertes (clés aléatoires générées par un algo connu => si on en trouve une on peut calculer les autres) • Le logiciel de cryptage ne laisse pas de traces (fichier temporaire, zone de mémoire, temps de calcul lié à la clé …). Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 91 Méthodes de chiffrage : 1. Avec clé secrète A Message Algorithme de chiffrage Message Chiffré Algorithme de Décodage Message Clé B Clé Les algorithmes ne sont pas secrets, seules les clés le sont 2. Avec clés publiques A Message Clé publique de B Algorithme de chiffrage Message Chiffré Algorithme de Décodage Message B Clé privée de B A ne connaît que la clé publique de B, il l’utilise pour chiffrer ses messages à destination de B B peut décoder avec sa clé privée que lui seul connaît. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 92 Signature : L’émetteur met sa signature pour que le récepteur puisse vérifier : A Message Algorithme De signature Message et signature Algorithme de codage Message chiffré avec signature Clé publique de B Clé privée de A Message Algorithme de codage B Algorithme de vérification de signature Clé privée de B Clé publique de A B peut vérifier que A a envoyé le message (le seul à pouvoir mettre une signature certifiée avec sa clé privée). Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 93 Authentification avec tiers (exemple de Kerberos) Quatre entités : – – – – Le client (C) Le serveur (S) le serveur d’émission de tickets (T) le serveur de clés (K) Fonctionnement en trois étapes : – – – identification de C auprès de K C demande un ticket à T C et s dialoguent Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 94 Authentification avec tiers (exemple de Kerberos) Première étape : C s'identifie auprès du serveur de clés (K). Pour cela C utilise une clé secrète KC également connue par K. C envoie son nom à K et lui indique le serveur de tickets T qui l'intéresse. Après vérification de l'identité de C, K lui envoie un ticket TT et une clé KT. • Le ticket TT est chiffré par K avec la clé de T donc seul T peut le déchiffrer. Il contient notamment des informations sur C mais également la clé (KT) utilisée pour établir la communication entre C et T. • La clé KT est chiffrée avec la clé KC de C pour que lui seul puisse la déchiffrer. À ce stade, le client possède un ticket TT (qu'il ne peut pas déchiffrer) et une clé KT qu’il est le seul à pouvoir déchiffrer. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 95 Authentification avec tiers (exemple de Kerberos) Deuxième étape : La deuxième étape est l'envoi par C d'une demande de ticket auprès de T. Cette requête contient un identifiant (des informations sur le client ainsi que la date d'émission) chiffré avec la clé KT (qui a été donnée à C par le serveur de clés K). Elle contient également le ticket TT que C avait reçu de K et C ne pouvait pas déchiffrer. • T déchiffre TT (qu’il est le seul à pouvoir déchiffrer). Il récupère le contenu du ticket (dont la clé KT) et peut ainsi déchiffrer l'identifiant que lui a envoyé le client et vérifier l'authenticité des requêtes. • T peut alors envoyer à C un ticket d'accès au serveur (TS). Ce ticket est chiffré grâce à la clé secrète du serveur KS (seul S peut le déchiffrer). • T envoie aussi à C une nouvelle clé de session KCS qui sera utilisée pour le dialogue entre C et S. Cette clé a été chiffrée à l'aide de la clé KT connue à la fois par T et C. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 96 Authentification avec tiers (exemple de Kerberos) Troisième étape : La troisième étape est le dialogue entre le client C et le serveur S. • C déchiffre la clé KCS que lui a envoyé T grâce à le clé KT • C génère un nouvel identifiant qu'il chiffre avec KCS et qu'il envoie à S accompagné du ticket d'accès au serveur (TS) que lui a envoyé T. • Le serveur vérifie que le ticket est valide (il le déchiffre avec sa clé secrète KS) et autorise l'accès au service si tout est correct. • Le dialogue entre C et se fera en utilisant la clé de cryptage KCS que seuls C et S connaissent. Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 97 C’est fini Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 98