les réseaux

Les Réseaux

le modèle, les architectures et le matériel

Le modèle

F. Nolot DESS ISIDIS 2002/2003 3

Modèle de référence

Spécifications publiées par l’ISO (International Standard Organisation) en 1978

Nouvelle version en 1984 sous le nom OSI (Open Systems Interconnection)

Découpage en 7 couches (ou layers)


Le modèle de référence et son évolution

7Couche application

Niveau application

6Couche présentation

Niveau présentation

5 Couche session Niveau session

4 Couche transport Niveau message

3 Couche réseau Niveau trame

2 Couche liaison Niveau paquet

1 Couche physique Niveau physique


Couche physique

Codage Transmission Conversion analogique numérique

(voix) Détection et correction d’erreurs


Couche liaison (trame) Une trame = en-tête début et fin Assure la fiabilité des transmissions bout

en bout Réception d’un accusé de réception sinon

réexpédition 2 sous-couches :

LLC : Logical Link Control (fiabilité) MAC : Medium Access Control (identification

et transmission du LLC à la couche physique)


Couche réseau (paquet) Adressage des messages Prise en charge du routage Contrôles de flux et congestion Routage Existence de 2 modes:

Mode connecté (prise de contact entre les protagonistes)

Mode non connecté


Couche transport (message)

Qualité de serviceCertains paramètres : Délai d’établissement d’une

connexion Probabilité d’échec Débit des informations Priorité des connexions …


Couche transport (2)

Multiplexageconnexion à faible débit en grand

nombre Dégroupage

Maximiser le débit


Couche session

Gère les ressources Gère les aspects sécurités

Si application communique avec un autre ordinateur, récupération de l’adresse cible et demande à la couche transport d’établir la communication


Couche présentation

Définir le format de donnée à transférer

Format intermédiaire compatible entre les plates-formes

Compression


Couche application

Toutes les applications utilisant des accès réseaux

Les architectures réseaux


Topologie

Etoile


Topologie (2)

Bus Unidirectionnel Bidirectionnel Extension à l’arbre


Topologie (3) Anneau

Unidirectionnel

Bidirectionnel


2 technologies réseaux Token-Ring (IBM 1984)

Topologie : anneau logique autour d’une étoile (Hub)

Parcourt de machines en machines Envoie quand possession d’un jeton

Ethernet (1972, commercialisation 1975) Topologie en bus Envoie dès qu’un contrôle dit libre. Si deux émissions en même temps : collision


Ethernet Structure d’une trame Ethernet

Champ Longueur Explication

Préambule 8 octets Identifie le début de la trame des données

Adresse cible 6 octetsAdresse MAC

Adresse source 6 octets

Type 2 octets Type du protocole de transport

Données 46-1500 octets

Données utiles

CRC 4 octets Contrôle de redondance cyclique


Adresse MAC

6 octets3 premiers octets en fonction du

fabriquantCisco 00000C3Com 0000D8 0020AF 02608C 080002Intel 00AA00IBM 08005A

3 suivants : numérotation du fabriquant Adresse unique pour chaque carte


Différents types d’Ethernet 10Base5 (ou Yellow Cable ou Thick-Net)

10 Mbps Gros Cable coaxial et prises vampires Limite de 500 m par segments Longueur totale de 2500 m Impédance de 50 Ohms

10Base2 (ou Thin-Net) 10 Mbps Cable coaxial et BNC Limite de 185 m par segments Longueur totale de 925 m Impédance de 50 Ohms


Différents types d’Ethernet (2) 10BaseT/100BaseT

Plus de problèmes de fiabilité (du aux segments Base2 en pannes)

Topologie en étoile dont le bus est le concentrateur

Câble : 4 paires torsadées Cat. 1 : Téléphone, pas de transfert de

données Cat. 2 : ≤ 4 Mbps (Mégabits par seconde) Cat. 3 : ≤ 10 Mbps Cat. 5 : ≤ 100 Mbps

Type de câble : Unshield Twisted Pair (UTP): Shield Twisted Pair (STP)


Différents types d’Ethernet (3)

1000BaseT/1000BaseFX 1000 Mbps BaseT câble cat. 5 ou 7 BaseFX fibre optique


Metropolitan Area Network (MAN) FDDI

Token-Ring en fibre optique Anneau double. Secondaire en cas de perturbation

du primaire (circulation en sens opposé) 100Mbps Segment de 2 km Longueur totale d’un anneau 100 km

ATM (Asynchronous Transfer Mode) Mode connecté et garantit la bande passante dès

connexion Vitesse de transfert 155-622 Mbps, max théo

1,2Gbps


World Area Network (WAN) RTC : Transmission par modulation analogique RNIS (réseaux numérique à intégration de

service) (ISDN): tout numérique Topologie en bus 2 canaux de 64 Kbps+1 canal contrôle 16 Kbps

DSL (Digital Subscriber Line) ADSL (Asymmetric) différence entre vitesse de

download et d’upload 1,5 Mbps 6km 2 Mbps 5 km (équivalent d’une T1 en vitesse) 9 Mbps 3 km et jusqu’à 52 Mbps 300 m

SDSL (Symmetric), HDSL (Highspeed), VDSL (Veryhighspped)

Les matériels


Interconnexion des réseaux Concentrateur (Hub)

Couche 1 Bus Ethernet commun Diffusion à tous les autres ports d’un message recu

Pont Couche 2 Commutation logicielle Si l’adresse source n’est pas dans la table de routage

du port de réception, ajout de cette source.Si la cible dans la table source, destructionSinon diffusion (broadcast) sur tous les ports (excepté la source)


Interconnexion des réseaux (2)

Répartiteur, commutateur (Switch) Niveau 2, 3 ou 4

Niveau 2 : utilisation des adresses MAC Niveau 3 : utilisation des adresses IP mais pas de

calcul adresse réseau, adresse machine Niveau 4 : (Attention, pas OSI) analyse de

l’application pour QoS Commutation matérielle Isole les communications entre deux

machines


Interconnexion des réseaux (3)

Routeur Liaison de plusieurs domaines couche

3 Peut relier des types différents Mono ou Multi-protocole


Structure de câblage

Hub par étage puis cascade vers hub/switch central

Ou Collapsed Backbone Toutes les liaisons vers un unique

switch centrale


Techniques de transfert Commutation de circuit

Signalisation puis transfert Transfert de paquet

Rôle : Analyse de l’en-tête et traductionCommutation ou routage vers la bonne sortieTransmission du paquet sur la sortie choisie

2 solutions : routagecommutation


La commutation Acheminement avec des références Seules les entrées actives sont dans les

tables Avantages : tables de tailles réduites

route faite une seule foisréférences de tailles

réduitesréférence ATM : 28 bitsadresse IPV6 : 16 octetsadresse IPV4 : 4 octets (32 bits)


Le routage Acheminement jusqu’à l’adresse

destination Utilisation de table de routage Avantages : flexible toutes les informations sont

dans le paquet contournement des pannes

Inconvénients :ordre de réception différent de l’ordre de départ

table de routage importante

Les réseaux

Les protocoles


Protocoles les plus utilisés

IPX/SPX NetBIOS/NetBEUI TCP/IP


IPX/SPX IPX : Internetwork Packet Exchange

ProtocolSPX: Sequenced Packet Exchange Protocol

Développé par Novell Exploité en entreprise sous Novell/Netware Fonctionne en mode non connecté IPX = OSI niveau 3 SPX est une extention d’IPX


NetBIOS/NetBEUI

NetBIOS : Network Basic Input Output SystemNetBEUI : NetBIOS Extended User Interface

Développé par IBM Protocole non routable


UDP-TCP/IP UDP : User Datagramme Protocol,

TCP : Transmission Control Protocol,IP : Internet Protocol

Routable TCP protocole de niveau 3 mode connecté UDP protocole de niveau 3 mode non

connecté (sans gestion de flux, reprise sur erreur, …)

IP protocole de niveau 4

Le Protocole TCP/IP (v4)


Modèle TCP/IP

7Couche application

Telnet, FTP, SMTP,DNS, …

SNMP, TFTP

6Couche présentation

5 Couche session

4Couche transport (message)

TCP UDP

3Couche réseau (trame)

RIP,OSPF, IP, ICMP ARP, RARP


Adresse IPv4

4 nombres d’un octet codés en binaire par l’ordinateur

Masque de sous-réseau sur 4 octets, en 2 blocs Premier bloc de 1, partie réseau Dernier bloc de 0, partie hôte


Classes d’adresses IP Classe A : 0.0.0.0 à 127.255.255.255

0 + 7 bits réseaux + 24 bits hosts Classe B : 128.0.0.0 à 191.255.255.255

10 + 14 bits réseaux + 16 bits hosts Classe C : 192.0.0.0 à 223.255.255.255

110 + 21 bits réseaux + 8 bits hosts Classe D : 224.0.0.0 à 239.255.255.255

1110 + multicast group Classe E : 240.0.0.0 à 247.255.255.255

usage futur


Adresses réservés aux réseaux locaux

10.0.0.0 à 10.255.255.255 172.16.0.0 à 172.31.255.255.255 192.168.0.0 à 192.168.255.255


Les sous-réseaux Plage d’adresses IP de même adresse réseau Exemple Classe C avec sous réseau sur 2 bits

2^2 =4 sous-réseaux possibles Reste donc 6 bits pour les hôtes soient 64

ordinateurs Structure d’une adresse

Identificateur réseau Identificateur sous réseau Identificateur de l’hôte dans le sous réseau


Calcule de l’adresse réseaux

IP : 192.44.77.79 Masque Réseau : 255.255.255.192

11000000.00101100.01001101.01001111

Et 11111111.11111111.11111111.11000000

Réseau : 11000000.00101100.01001101.01000000

Machine :1111


4 sous-réseaux possibles : 192.44.77.1 à 192.44.77.62 192.44.77.65 à 192.44.77.126 192.44.77.129 à 192.44.77.190 192.44.77.193 à 192.44.77.254

Les numéros 0, 63, 64, 127, 128, 191, 192 et 255 interdits

Sous-réseaux possibles


Structure d’un paquet IP

Version IHL Type de service

Longueur du paquet

Identificateur Flags Offset du Fragment

TTL Protocole Checksum d’en-tête

Adresse IP source

Adresse IP cible

Options/remplissage

Zones de données …


La fragmentation Subdivision en petit paquet, fonction

de la MTU (Maximum Transfer Unit)Ethernet 1500 OctetsToken Ring 4 Mbps 4464 OctetsToken Ring 16 Mbps17914 Octets

Reconstruction grâce à l’Offset du Fragment

Si n’arrive pas à temps (30-40s), perte et envoie d’un ICMP d’erreur


Champ TTL : Durée de vie

TTL sur 8 bits: décrémenté à chaque passage suppression du paquet arrivé à 0


Communication IP

Service non connecté aucune sécurisation Pas acquittement à la bonne

réception Les paquets perdus ne sont pas

détectés


Le multicast

Adressage simultané de plusieurs ordinateurs

Routeur multicast : diffusion à un liste d’abonné les paquets d’une adresse multicast

Le protocole TCP


Le protocole TCP

Fonctionnalités: Commande de flux de données Gestion des priorités Détection et correction des erreurs Ordonnancement des séquences de

transmission Élimination des segments en double Connexion full duplex virtuelle


Principe de TCP Mode connecté Gestion des priorités Ordonnances des séquences de

transmission Élimination des segments en double Détection et correction d’erreurs Réception : IP transmet à TCP qui détecte

les messages défectueux ou perdus et demande leur réémission


Les ports TCP Différencier les applications Ports standard

21 File Transfer Protocol (FTP)

23 Terminal Telnet

25 Simple Mail Transport Protocol (SMTP)

53 Domain Name Service (DNS)

80 HyperText Transfer Protocol (HTTP)²

110 Post Office Protocol 3

119 NNTP Newsgroup


Structure d’un paquet TCP

Port source Port cible

Numéro de séquence

Numéro d’acquittement

Offset Données

Réservé

Flags Taille de la fenêtre

Somme de contrôle Pointeur urgent

Options/remplissage

Données


Communication TCPStation 1 Station 2

Seq=921ACK=?

Seq=301ACK=?

Seq=302ACK=922

Seq=922ACK=303

Syn, Seq=921, Ack=?

Syn, Seq=302, Ack=922

Seq=303ACK=923

Seq=922, Ack=303


Le protocole UDP

Propriété IP UDP TCP

Mode connecté non non oui

Limite de message oui oui non

Somme de contrôle non non oui

Acquittement non non oui

Timeout et réexpédition non non oui

Détection des doublons non non oui

Contrôle de flux non non oui

Somme de contrôle des données

non oui oui

Contrôle de l’ordre non non oui


Port UDP

15 Netstat, état du réseau

53 Domaine, service de noms sous NT

69 TFTP

137 NetBIOS-ns, service de noms

161 SNMP


Structure d’une trame UDP

Port Source Port Cible

Taille Somme de contrôle

Zone de données


ICMP

message d’erreur de TCP, UDP et IP

Numéro Message d’information

3 Destination unreachable

0 Echo reply

8 Echo request

11 Time exceeded

13 Timestamp

14 Timestamp request


Exemples d’utilisation

Ping : type 8 echo request et réponse type 0 echo reply

Traceroute : pas fait par un message ICMP mais fabriquer à partir des messages type 11 d’ICMPSimulation avec un Echo request TTL 1

…


Quelques protocoles et leur numéro

Numéro

Nom du protocole

1 ICMP

6 TCP en version 4

17 UDP

89 OSPFIGP routage

Le routage

Statique et dynamique


Le routage statique

192.168.10.5192.168.1.1

192.168.10.15192.168.1.15 192.168.20.15

192.168.20.5192.168.10.1

Routeur A Routeur B


192.168.10.5192.168.1.1

192.168.10.15192.168.1.15 192.168.20.15

192.168.20.5192.168.10.1

Routeur A Routeur B

Table de routage du routeur A :Pour le sous réseau 192.168.1.0 utiliser

192.168.1.1Pour le sous réseau 192.168.10.0 utiliser

192.168.10.1Pour le sous réseau 192.168.20.0 utiliser

192.168.10.5

Masque de sous réseau:255.255.255.0

Routeur par défaut: 192.168.1.1 Routeur par défaut: 192.168.10.1ou 192.168.10.5

Routeur par défaut: 192.168.20.5

Routage Dynamique

Un exemple : RIP


Les sauts

192.168.10.0

192.168.15.0

192.168.20.0

192.168.30.0

Saut=2


192.168.10.0 192.168.30.0 192.168.50.0

Routeur A Routeur B

Routeur A

Adresse Saut

192.168.10.0 1

192.168.30.0 1

Routeur B

Adresse Saut

192.168.30.0 1

192.168.50.0 1

Connecté directement donc saut=1

192.168.50.0 1

Nouvelle route reçueSaut incrémenté de 1


192.168.10.0 192.168.30.0 192.168.50.0

Routeur A Routeur B

Routeur A

Adresse Saut

192.168.10.0 1

192.168.30.0 1

192.168.50.0 2

Routeur B

Adresse Saut

192.168.30.0 1

192.168.50.0 1

192.168.10.0 2

Information échangé toute les 30 secondes, Saut=16=InfiniSi panne, 15 échanges donc 15*30s=17min30

DHCP, DNS


Dynamic Host Configuration Protocol

Serveur qui envoie des adresses IP piochées dans un pool d’adresse

UDP port 67 et 68


DHCP : fonctionnement

1. Client : Demande de Bail IP (IP Lease)

2. Serveur : offre de bail aux demandeurs (IP proposée, identifiant et IP du serveur, durée du bail, masque approprié)

3. Client : sélection du bail4. Serveur : confirmation du bail


DHCP : Renouvellement du bail

à 50% de la durée du bail, demande de renouvellement

Si serveur indisponible, alors une nouvelle demande est effectué à 87.5% de la durée du bail


Domain Name Service

DNS : Traduction nom vers adresse IP

L’inverse : Reverse DNS

Sécurité Réseaux (1)

Les Firewalls


Définitions

Hôte : ordinateur attaché au réseau

Bastion : hôte atteignanble depuis Internet

Hôte à double réseau : au moins deux interfaces


Filtrage de paquets Type de routeur utilisé connu sous le nom de

routeur écran Filtrage selon les informations contenues dans

l’en-tête : Adresse IP source Adresse IP destination Protocole Port TCP ou UDP source Port TCP ou UDP destination Type de message ICMP

Filtrage selon les interfaces Interface sur laquelle arrive le paquet Interface de laquelle le paquet va partir


Serveur mandataire (proxy)

Oriente les requêtes des utilisateurs vers les vrais serveurs

Cas simple :ServeurRéel

Serveurmandataire

Clientmandataire


Architecture des firewalls Hôte à double réseau (mandataire):

Internet

Réseau interne


Architecture des firewalls Routeur ou hôte écran :

Internet

Réseau interne

Bastion


Architecture des firewalls Sous réseau à écran : Internet

Bastion

Routeurextérieur

Routeurintérieur

Réseaupériphérique

Réseauinterne

DMZ ?


Architecture des firewalls Variante :

Plusieurs bastions Fusion du bastion et routeur extérieur Fusion du routeur externe et intérieur

Dangereux : Fusion du bastion et routeur intérieur Plusieurs routeurs intérieurs

Et plusieurs routeurs extérieurs ?


Quelques principes

Pas de comptes utilisateurs sur le bastion

Protégez vos logs Supprimez les services inutiles


Configuration des services

FTP Port 20 pour les données Port 21 pour les commandes 2 modes : actif et passif


Ftp actif

Client ouvre 2 ports > 1023 Client indique au serveur quel port

il veut utiliser Serveur acquitte et initie la

communication Problème : connexion établie

depuis l’extérieur


Ftp passif

Client indique mode passif Serveur envoie un numéro de port

disponible pour les données Client initie la communication sur

ce port ouvert


Telnet

Client initie un port > 1023 Communique avec le port 23 du

serveur Le bit ACK à 0 pour établir la

connexion Puis ACK à 1 quand la connexion

est établie


Http

Client initie un port > 1023 Serveur sur le port 80

Sécurité Réseaux (2)

Principales attaques


Les classiques

NFS Deux utilisateurs ont le même UID sur

2 ordinateurs Mots de passe faibles Backdoor (WIZ sous sendmail) Débordement de tampon


Deny of Service (DoS)

les réseaux

Documents

nolot dess isidis

couche sessiongre

couche prsentationdfinir

couche applicationtoutes

couche physiquef

couche transport messagequalit

couche transport dtablir

couche rseau paquetadressage