Institut Universitaire de Technologie dAmiens Support de cours . 1998/99 .

Rseaux & Tlcom

Introduction aux rseaux TCP/IP.

David TILLOY . Ingnieur Systmes & Rseaux Neuronnexion

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

Table des matires.

I. Rappels sur le modle en couche............................................... 3

1. Introduction. ................................................................................................................... 3 2. Protocoles et Services. ..................................................................................................... 3 3. Les standards de l'Internet. .............................................................................................. 4 4. Attribution des adresses IP............................................................................................... 4 5. Quelques services prsents sur l'Internet. .................................................................... 5

II. Protocoles de haut niveau. ........................................................ 6

1. Le protocole Telnet.......................................................................................................... 6 2. Le protocole F.T.P. .......................................................................................................... 7 3. Le protocole S.M.T.P. ...................................................................................................... 9 4. Le D.N.S....................................................................................................................... 10

III. Adressage entre machines. .................................................... 13

1. Informations ncessaires pour une configuration TCP/IP. ............................................... 13 1.2 Dtermination du netmask....................................................................................... 13 1.3 Calcul de ladresse de diffusion. .............................................................................. 13 1.4 Ladresse de passerelle............................................................................................ 14 2. Rsolution dadresses logique / physique : A.R.P............................................................ 15 3. Routage. ....................................................................................................................... 15

IV. Scurit des rseaux.............................................................. 17

IV.1 Quest-ce que la scurit informatique. ...................................................................... 17 IV.2 Que faire en cas dintrusion. ...................................................................................... 17 IV.3 Rgles importantes..................................................................................................... 17 IV.4 Mthodes dintrusion les plus courantes...................................................................... 18 IV.4.1 Buffer overflow (dpassement de capacit)........................................................... 18 IV.4.2 Sniffeurs de trames. ............................................................................................. 18 IV.4.3 Exploitation de bugs. ........................................................................................... 19 IV.4.4 Dni de service (Denial of Service). ...................................................................... 19 IV.5 Protection par mur coupe-feu (FireWall)................................................................. 19

-2-

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

I. Rappels sur le modle en couche.

1. Introduction. Tous les applicatifs rseaux doivent pouvoir communiquer entre eux, quelque soit l'architecture ou la plate-forme utilise. Pour cela, les oprations sur les rseaux ont t divises en plusieurs phases de base, de manire simplifier le portage des applicatifs sur toutes les plates-formes. C'est ce que l'on appelle le modle en couche. Un standard a alors t cr, normalis par l'Open Systems Interconnection Reference Model (modle de rfrence d'interconnexion des systmes ouverts) sous la rfrence OSI-RM, utilisant 7 couches distinctes. L'architecture TCP/IP est similaire ce modle en couche, mais ne dispose que de 4 couches dans la plupart des cas. 7 6 5 4 3 2 1 Application Prsentation Session Transport Rseau Liaison de donnes Physique Fig. 1 - Modle de rfrence OSI Application Transport Internet Rseau Internet physique Fig. 2 - Modle TCP/IP (Internet)

Les couches 5 7 du modle OSI sont des couches dites d'application. Elles sont orientes application, et fournissent une interface entre une application et le rseau. Les couches 1 4 sont des couches dites de liaison. Ce sont elles qui se chargeront du routage, afin de correctement acheminer les paquets d'un point un autre. Le modle TCP/IP ne suis pas tout fait larchitecture en couche du modle OSI. Aprs exprimentation, on sest aperu quune carte rseau devait regrouper les couches 1 et 2 pour obtenir des performances correctes. Toutefois, il existe quelques cas o les couches 1 et 2 sont diffrencies dans le modle TCP/IP. Cest le cas par exemple dune connexion par modem, qui comporte donc une couche de liaison de donnes (PPP : Point to Point Protocol). On peut aussi trouver parfois une couche de niveau prsentation (6), cest par exemple le cas du SSL (Secure Socket Layer). Remarque : dans le modle TCP/IP, la couche de transport utilise soit T.C.P (Transmission Control Protocol), soit U.D.P (User Datagram Protocol). Par contre, il nexiste quun seul protocole de niveau Rseau : I.P (Internet Protocol).

2. Protocoles et Services. On appelle protocole, un dialogue connue par les deux parties, entre deux couches de mme protocole niveau. Une couche de niveau (n) ne sera capable de dialoguer quavec une autre couche de mme niveau quelle. On appelle service lensemble des fonctions que doit absolument remplir une couche, fournissant linterface pour transmettre des donnes de la couche (n) la couche (n+1).

-3-

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

3. Les standards de l'Internet. En 1980, le D.A.R.P.A cr un groupe pour donner un ensemble de standards pour l'Internet : le I.C.C.B (Internet Configuration Control Board) et devient en 1983 l'I.A.B (Internet Activities Board), charg de concevoir, mettre en uvre et grer l'Internet. 1986, l'I.A.B se dcharge de la normalisation sur l'Internet Engineering Task Force (I.E.T.F), et la recherche long terme est confie l'Internet Research Task Force (I.R.T.F). l'I.A.B donne son aval sur les projets de ces deux organismes. 1992, formation de l'Internet Society, l'I.A.B devient l'Internet Architecture Board. Pour tous renseignements complmentaires, vous vous rfreraient aux R.F.C (Request For Comment) : ftp://ftp.ibp.fr/pub/rfc/rfc/

4. Attribution des adresses IP. Les adresses Internet (32 bits en Ipv4) identifient de manire unique une machine dans la toile du rseau. Elles sont dlivres par des organismes chargs de grer le bon dploiement de ces adresses (pour l'Europe, il s'agit R.I.P.E (Rseau I.P Europen)). Une adresse IP est compose de deux champs : l'adresse rseau et l'adresse machine. L'adresse rseau est place sur les bits de poids forts, alors que l'adresse de machine est calcule sur les bits de poids faible. Toutefois, dans les communications entre machines, un autre type d'adresse est parfois utilis, il s'agit de l'adresse M.A.C (Media Access Control), en accord avec le protocole A.R.P (Address Resolution Protocol). Il existe plusieurs classes dadresses. On parle des classes A, B, C, D et E. Elles sont diffrencies par les bits de poids forts qui les compose. A B C D E 0000 1000 1100 1110 1111 Identifiant du rseau Identifiant du rseau Identifiant du rseau Identifiant du rseau Non utilis Identifiant de la machine Identifiant de la machine Identifiant de la machine Identifiant de la machine Non utilis

Une adresse IP est toujours de la forme a.b.c.d. Dans le cas dune classe A, on peut librement fixez les valeurs b, c et d. On pourra donc adresser thoriquement 16 777 214 machines. Une classe B fixe librement les valeurs de c et d. On pourra alors adresser 65 534 machines. Une classe C fixe uniquement la valeur de d. On pourra donc adresser 254 machines. La classe D est une classe quelque peu diffrente, puisquelle est rserve une utilisation particulire : le multicast. La classe E est quant elle une classe non usite ce jour. On dispose donc en thorie des plages dadresses suivantes : Classe A B C D E Plage 0.0.0.0 128.0.0.0 192.0.0.0 224.0.0.0 240.0.0.0 127.255.255.255 191.255.255.255 223.255.255.255 239.255.255.255 247.255.255.255

-4-

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

Il existe quelques adresses dites non routables. Ces adresses sont rserves un usage interne, ou dans le cas de rseaux privs. Elles ne sont en thorie jamais routes sur lInternet. Il existe 3 classes dadresses IP : Classe A : 10.0.0.0 Classe B : 172.16.0.0 172.31.0.0 Classe C : 192.168.0.0 192.168.255.0 127.0.0.0 est aussi une classe A particulire, puisquelle ne sera jamais non plus route sur un rseau. Elle est rserve pour un usage interne dadresses IP. On lappelle aussi interface loopback (interface de bouclage).

5. Quelques services prsents sur l'Internet. Il existe de multiples services utiles sur l'Internet, comme Telnet, F.T.P (File Tranfert Protocol), S.M.T.P (Simple Mail Transport Protocol), D.N.S (Domain Name Service), R.P.C (Remote Process Control)... Tous ces services sont sur la couche haute du modle OSI. Ils sont soient au-dessus d'une couche de transport TCP ou UDP, mais tous au dessus de la couche rseau IP. Telnet : il sert se connecter sur une machine distance, et de pourvoir y travailler de la mme manire que devant la machine mme. F.T.P : Il permet de transfrer des donnes d'une machine une autre. Ce service sert aussi diffuser des donnes sans authentification (FTP anonyme). S.M.T.P : Il permet d'changer du courrier entre deux serveurs de courrier. Ce protocole est totalement transparent pour l'utilisateur, les serveurs se chargeant entre eux de correctement transfrer les donnes. D.N.S : C'est le service de nom de domaine. Il permet de convertir un nom de machine en adresse rseau (ou I.P), et vice versa.

-5-

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

II. Protocoles de haut niveau.

1. Le protocole Telnet. Telnet (Telecommunications Network) permet une machine client se connecter sur un serveur, et ceux, quelles que soient leurs localisations dans le monde, du moment que ces deux machines sont raccordes lInternet. Une machine disposant dun serveur telnet permettra donc nimporte quelle machine de part le rseau de sy connecter, au moyen dun client telnet. Les clients telnet existent sur la quasi-totalit des plates-formes (Windows, Unix, MacOS, BeOS). Lorsquune machine A dsire se connecter une machine B, A doit disposer dun client telnet, et B dun serveur telnet. Dans le monde Unix, le serveur telnet est in.telnetd et le client est telnet. Toutes telnet les architectures ne sont pas dotes en standard dun serveur telnet (cest le cas de Windows NT, de MacOS). Dune manire plus gnrale, un serveur est souvent le nom du service propos suivi de la lettre d.

A Client telnet

Rseau Internet

B Serveur telnet

Fig. 3 Connexion telnet de A vers B. Lorsque A envoie une requte la machine B, celle-ci est lcoute permanente des requtes prsentes sur le port TCP (23 par dfaut). B rpond alors par une demande dauthentification, laquelle A doit rpondre (login + password). Lorsque cette phase est russie, lentre standard est redirige sur le clavier de A, et la sortie standard est redirige sur lcran de A. Tout se passe comme ci lutilisateur de A tait devant la machine B, alors que des milliers de kilomtres peuvent les sparer. Le protocole Telnet est bas sur le protocole de plus bas niveau TCP. Cest donc la couche TCP qui se charge dassurer lintgrit de lchange des donnes. Telnet est un protocole de haut niveau, qui ignore donc tout de larchitecture utilise, soit sur la machine, soit sur la topologie du rseau. Il ne fait que renvoyer un cho des donnes envoyes ou reues. [dav@dav ~/dav/trav/cours/iut (5)]$ telnet localhost Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. Red Hat Linux release 4.2 Kernel 2.0.30 on an i586 login: dav Password: Last login: Sun Sep 28 20:27:49 on tty1 [dav@dav ~/ (1)]$ whoami dav [dav@dav ~/ (2)]$ logout Connection closed by foreign host. [dav@dav ~/dav/trav/cours/iut (6)]$ Fig. 4 Exemple de connexion telnet.

-6-

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

2. Le protocole F.T.P. FTP est utile ds qu'il s'agit de transfrer des donnes entre deux machines A et B. Comme en telnet, la machine A doit tre quipe d'un client ftp, alors que la machine B est elle quipe d'un serveur FTP. FTP utilise un langage de commande dfinit par des mots clefs de 4 caractres. Ce sont les commandes FTP internes. Mais il dispose aussi de commandes utilisateur. Les commandes internes servent tablir et maintenir la connexion FTP, alors que les commandes utilisateur permettent deffectuer des oprations laide de cette connexion. Lorsque A envoie une demande de connexion B, le serveur FTP renvoie alors le message de login dfinit par ladministrateur de B. Lutilisateur de A envoie alors la commande USER login attendue par B, o login est le nom de lutilisateur. B attend alors la commande PASS password, o password est password le mot de passe correspondant lutilisateur login. login De nombreux serveurs autorisent les connexions dites anonymes, cest dire que nimporte quel utilisateur peut sy connecter pour prendre des fichiers, et sur certains serveurs dposer des fichiers. Dans une phase de connexion anonyme, on envoie gnralement ftp ou anonymous comme nom de login, et son adresse email en mot de passe. Une fois lidentification effectue, le client envoie la commande SYST, de manire connatre le systme distant. SYST A cette tape, vous avez ouvert un canal de commande sur le port TCP 21 (par dfaut), mais vous ntes pas prt transfrer des donnes. Les donnes ne sont pas prsentes sur le mme port TCP que les commandes. Vous devez donc ouvrir un autre port TCP de manire transfrer vos donnes. Le protocole TCP utilise par convention le port TCP/21 pour les commandes, et le port TCP/20 pour les donnes. Le port TCP/21 est appel linterprteur de protocole (Protocol Interpreter ou PI), alors que le port TCP/20 est appel processus de transfert de donnes (data transfert process ou DTP). Interface utilisateur.

Client PI Client DTP

Contrle (TCP/21) Donnes (TCP/20)

Serveur PI Serveur DTP

Systme de fichiers Fig. 5 Connexion FTP de A vers B.

Systme de fichiers

Une fois le canal de donnes ouvert, vous pourrez alors transfrer des donnes entre les machines A et B. Remarques : (i) A lheure actuelle, le protocole FTP ne conserve pas les droits daccs sur les fichiers transfrs. Il vous appartient de maintenir ces droits si besoin. (ii) FTP utilise deux modes de transfert, ascii ou binaire. Pensez vous placer dans le bon mode avant dentamer un transfert. (iii) FTP effectue tous ses transferts en avant-plan, donc vous devez attendre que les transferts soient achevs avant dentamer un autre transfert. (iv) FTP, comme telnet, repose sur le protocole TCP, cest donc la couche rseau qui sera charge de grer lintgrit des donnes.

-7-

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

[dav@dav ~/dav/trav/cours/iut (7)]$ ftp localhost Connected to localhost. 220 dav.neuronnexion.fr FTP server (Version wu-2.4.2-academ[BETA-14](1) Thu Sep 11 00:49:43 MET DST 1997) ready. Name (localhost:dav): ftp 331 Guest login ok, send your complete e-mail address as password. Password: 230 Guest login ok, access restrictions apply. Remote system type is UNIX. Using binary mode to transfer files. ftp> ls 200 PORT command successful. 150 Opening ASCII mode data connection for /bin/ls. total 20068 drwxr-xr-x 7 root root 1024 Sep 25 19:40 drwxr-xr-x 7 root root 1024 Sep 25 19:40 d--x--x--x 2 root root 1024 Aug 15 21:12 drwxr-xr-x 2 root root 1024 Sep 25 19:40 -rwxr-xr-x 1 root root 20007844 Sep 25 19:41 d--x--x--x 2 root root 1024 Aug 15 21:12 drwxr-xr-x 2 root root 1024 Aug 15 21:12 dr-xr-sr-x 2 root ftp 1024 Dec 24 1996 -rw-r--r-1 root root 451430 Sep 10 21:47 226 Transfer complete. ftp> bye 221 Goodbye. [dav@dav ~/dav/trav/cours/iut (8)]$ Fig. 6 Exemple de connexion FTP.

. .. bin bsd bsd.tgz etc lib pub vmlinuz

[dav@dav ~/dav/trav/cours/iut (9)]$ ftp -d localhost Connected to localhost. 220 dav.neuronnexion.fr FTP server (Version wu-2.4.2-academ[BETA-14](1) Thu Sep 11 00:49:43 MET DST 1997) ready. Name (localhost:dav): ftp ---> USER ftp 331 Guest login ok, send your complete e-mail address as password. Password: ---> PASS XXXX 230 Guest login ok, access restrictions apply. ---> SYST 215 UNIX Type: L8 Remote system type is UNIX. Using binary mode to transfer files. ftp> ls ftp: setsockopt (ignored): Operation not permitted ---> PORT 127,0,0,1,4,106 200 PORT command successful. ---> LIST 150 Opening ASCII mode data connection for /bin/ls. total 20068 drwxr-xr-x 7 root root 1024 Sep 25 19:40 drwxr-xr-x 7 root root 1024 Sep 25 19:40 d--x--x--x 2 root root 1024 Aug 15 21:12 drwxr-xr-x 2 root root 1024 Sep 25 19:40 -rwxr-xr-x 1 root root 20007844 Sep 25 19:41 d--x--x--x 2 root root 1024 Aug 15 21:12 drwxr-xr-x 2 root root 1024 Aug 15 21:12

. .. bin bsd bsd.tgz etc lib

-8-

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

dr-xr-sr-x 2 root ftp 1024 Dec 24 1996 pub -rw-r--r-1 root root 451430 Sep 10 21:47 vmlinuz 226 Transfer complete. ftp> bye ---> QUIT 221 Goodbye. [dav@dav ~/dav/trav/cours/iut (10)]$ Fig. 7 Exemple de connexion FTP en mode debug.

3. Le protocole S.M.T.P. Le protocole SMTP (Simple Mail Transfert Protocol) est certainement un des protocoles le plus utilis sur lInternet. Il est totalement transparent lutilisateur, ce qui le rend convivial, et dispose de clients et de serveurs sur la majorit des architectures. Son but est de permettre le transfert des courriers lectroniques. Il est similaire au protocole FTP, de part son langage de commande. Il est gnralement implment sur le port TCP/25. Sur systme Unix, sendmail est gnralement utilis, et se comporte comme client et comme serveur. SMTP utilise des files dattente pour grer les transferts de courrier. Lorsquun message est envoy au serveur SMTP, celui-ci le place dans une file dattente, puis tente de le livrer la machine de destination. Si cette machine nest pas accessible, le serveur SMTP tentera selon la configuration de le transmettre ultrieurement. Le serveur SMTP, contrairement au serveur telnet ou FTP, est gnralement prsent sur le systme en tant que dmon, et nest donc pas lanc la demande. Tous les messages sont transfrs dans un format ascii, donc avec un codage sur 7 bits. La fin dun message est indique par un . sur une ligne vierge. Dans la phase dchange de courrier entre deux serveurs SMTP, la premire phase est lauthentification de la machine mettrice. La machine qui demande la connexion envoie la commande HELO suivi de son nom de domaine. La machine rceptrice renvoie alors un message de bienvenue, et prsente les commandes disponibles. La machine mettrice va maintenant donner le nom de lexpditeur, par la commande MAIL FROM: login. Ensuite, lmetteur indique qui sadresse ce courrier, par la commande RCPT TO: login login. A ce niveau, les machines sont prtes changer les messages. La machine mettrice envoie login alors la commande DATA, puis termine cette phase de transfert du message en envoyant un point sur DATA une ligne vierge. La connexion reste alors tablie, et les deux machines peuvent continuer transfrer des courriers, ou retourner leur mode de connexion (celle qui mettait devient rceptrice, et celle qui recevait devient mettrice). Si plusieurs destinataires sont spcifies dans le champ RCPT, le message est alors envoy RCPT tous les destinataires, mais il nest transfr quune fois entre les deux serveurs.

[dav@dav ~/dav/trav/cours/iut (11)]$ telnet localhost 25 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 dav.neuronnexion.fr ESMTP Sendmail 8.8.4/8.8.4; Sun, 28 Sep 1997 20:41:35 +0200 helo neuronnexion.fr 250-dav.neuronnexion.fr Hello localhost [127.0.0.1], pleased to meet you 250-EXPN 250-VERB 250-8BITMIME 250-SIZE 250-DSN 250-ONEX 250-ETRN 250-XUSR 250 HELP

-9-

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

mail from: dav@dav.neuronnexion.fr 250 dav@dav.neuronnexion.fr... Sender ok rcpt to: dav@dav.neuronnexion.fr 250 dav@dav.neuronnexion.fr... Recipient ok data 354 Enter mail, end with "." on a line by itself Un exemple de message sans client, directement, sur le port SMTP 25/TCP . 250 UAA00614 Message accepted for delivery quit 221 dav.neuronnexion.fr closing connection Connection closed by foreign host. [dav@dav ~/dav/trav/cours/iut (12)]$ Fig. 8 Exemple de dialogue SMTP. Lorsque le message a t correctement achemine sur la machine de destination, celui-ci est ensuite plac en attente dans la bote aux lettres de lutilisateur. Sur la plupart des configurations Unix, les messages sont placs dans le rpertoire /var/spool/mail/. Chaque utilisateur y a donc un fichier sous son nom de login, qui contient les messages. Chaque message possde une entte qui renseigne la provenance du message, lheure laquelle il est arriv, etc.

From dav@dav.neuronnexion.fr Sun Sep 28 20:42:29 1997 Return-Path: <dav@dav.neuronnexion.fr> Received: from neuronnexion.fr (localhost [127.0.0.1]) by dav.neuronnexion.fr (8.8.4/8.8.4) with ESMTP id UAA00614 for dav@dav.neuronnexion.fr; Sun, 28 Sep 1997 20:41:58 +0200 Date: Sun, 28 Sep 1997 20:41:58 +0200 From: David TILLOY <dav@dav.neuronnexion.fr> Message-Id: <199709281841.UAA00614@dav.neuronnexion.fr> Un exemple de message sans client, directement sur le port SMTP 25/TCP Fig. 9 Exemple dun message dans une bote aux lettres.

4. Le D.N.S Lorsque vous vous adressez une machine de lInternet, il est souvent plus pratique de mmoriser un nom symbolique plutt que son adresse IP. Toutefois, vous pouvez utiliser indiffremment lune ou lautre des deux formes dadresse. Ceci est possible grce au DNS (Domain Name Service), qui est charg de convertir si besoin les adresses IP en noms symboliques ou les noms symboliques en adresses IP. A lheure actuelle, nous utilisons le protocole IP version 4, qui permet dadresser 232 machines (codage des adresses sur 4 octets), mais vu la forte croissance que connat le rseau Internet, il est maintenant ncessaire dtendre cet espace dadressage. Cest le but de la prochaine version de lIP, IP version 6, qui permettra un codage des adresses IP sur 128 bits (16 octets), et donnera ainsi la possibilit dadresser 2128 machines. A lheure actuelle, lIPv6 est encore en phase de test, et son dploiement sur les rseaux n'est prvu que pour 2003. Lorsque vous recherchez ladresse IP ou le nom associ une adresse IP dune machine du rseau, vous mettez une requte votre serveur DNS, dont ladresse vous a t fournit par votre administrateur rseau. Cest ensuite lui qui soccupera de demander qui de droit de rsoudre ladresse ou le nom fournit, puis vous retournera linformation. Chaque serveur D.N.S gre une plage dadresses IP. Cest ce que lon appelle une zone, et le D.N.S qui contrle cette zone est appele primaire de la zone.

- 10 -

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

Prenons par exemple le domaine nomm internet.fr , et donnons lui la classe C 127.0.0.0 et le netmask de 255.255.255.0. Cet organisme dispose donc de 256 adresses IP, dont 2 rserves (0 et 255). Cest lui qui va dcider de lorganisation de cette plage dadresse. Ds lors, une machine est donc installe et dsigne comme serveur DNS. Cest sur cette machine que toutes les informations adresses / noms symboliques seront entres. Donc, dans notre exemple, nous dcidons dinstaller trois machines, a , b et c , plus un serveur dns que nous appellerons ns1 . Ladministrateur de ce site a choisi de rpartir ainsi ses adresses : ns1 a b c 127.0.0.1 127.0.0.10 127.0.0.11 127.0.0.200

Remarque : On appelle reverse lopration qui consiste obtenir un nom symbolique en fonction de ladresse IP. Il va donc rentrer ces informations dans son serveur DNS. Il va aussi les adresses des ROOT SERVERS . Les ROOT SERVERS sont quelques machines rparties dans le monde qui maintiennent et schange quotidiennement des bases de donnes rfrenant chaque couple (plage dadresses / serveur DNS). Imaginons maintenant que vous faites une requte ce serveur. Si la requte concerne votre plage dadresses (par exemple, la machine a demande ladresse de la machine b ) alors votre serveur DNS rpond de manire autonome. Par contre, si jamais votre requte est en dehors de votre domaine, le serveur DNS va demander un ROOT SERVER (le premier dans la liste qui lui a t donne) quelle adresse il doit demander cette information. Si le premier ROOT SERVER ne rpond pas, il demande alors au suivant, et ce jusqu ce quun serveur rponde ou que la liste des ROOT SERVER soit puise. Le ROOT SERVER va donc retourner une adresse de serveur DNS ayant autorit sur la zone demande (on appelle la zone indiffremment la plage dadresses ou le nom de domaine). Lorsque le DNS sait qui demander linformation, il va alors contacter ce serveur pour lui poser la question. Le serveur DNS alors contacter va alors renvoyer sa rponse. Les noms de domaines sont normaliss, on observe donc une certaine hirarchie dans lattribution des noms de domaines.

ROOT

ARPA

COM

EDU

GOV

MIL

ORG

Fig. 10 Hirarchie des noms de domaine T.L.D (Top Level Domain) Il faut rajouter cet arbre les noms de domaines propres chaque pays (.fr pour la France, .be pour la Belgique, .ar pour lArgentine, etc.). Chaque domaine devra donc tre pralablement enregistr auprs de lorganisme de gestion officiel (lINTERNIC pour les domaines ARPA, COM, EDU, GOV, MIL et ORG, le NIC France pour les .fr, etc.). Chacun de ses domaines de premier niveau a une signification : .ARPA organismes spcifiques lInternet (obsolte), .COM Entreprises but commercial, .EDU Organismes denseignements, .GOV Organismes gouvernementaux, .MIL Entits militaires, .ORG Organisations but non lucratif.

- 11 -

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

Remarque : la France a elle aussi adopte une sous hirarchisation de ses noms de domaines. On dispose maintenant des domaines de premier niveau suivants : .gouv.fr, .asso.fr, .barreau.fr, .cci.fr, .ac.fr, tm.fr Aux U.S.A, un nouveau type de domaines de premier niveau sera prochainement lanc (.stor, .firm, .chop, .web), qui ne seront plus grs par lInternic, mais par des organismes indpendants. Chaque zone dispose donc dun serveur de nom, mais la plupart dispose dun second serveur de nom (serveur de nom secondaire), qui contient exactement les mmes informations que le serveur de nom primaire. Cela assure des rponses aux requtes, mme si le serveur de nom primaire est indisponible. Deux mthodes sont possibles : soit le second serveur dispose exactement de la mme configuration que le serveur primaire (cas le plus sr, mais aussi le plus lourd grer dans le cas de changements frquents), soit on opre un transfert de zone, cest dire que le serveur secondaire reoit des intervalles de temps configurs une copie complte de la zone contrle par le serveur primaire. Lorsque ce laps de temps est achev, si le serveur primaire ne rpond pas aux demandes de transferts du serveur secondaire, celui-ci maintient les donnes quil possde et nopre pas de mise jour de la base contenue. Ds que le serveur primaire sera nouveau disponible, il dtruira alors la copie de la base conserve jusquici, et obtiendra une nouvelle copie plus rcente du serveur primaire. Ainsi, quel que soit ltat du serveur primaire, les requtes sont correctement acheves par le serveur secondaire. (i) Remarques : Lorsque vous mettez votre requte, celle-ci est envoye aux serveurs par le protocole UDP, et les rponses vous sont retournes elles aussi par protocole UDP. Lors de transfert de zone (dans le cas de serveurs DNS primaire et secondaire), le protocole utilis est TCP, afin dassurer lintgrit des donnes qui est importante dans ce cas. Les requtes comportant gnralement peu de donnes, UDP convient bien la rapidit de rponse demande, et donne une probabilit derreur relativement faible. Lorsque vous demandez une rsolution un ROOT SERVER qui est justement ladresse du serveur de nom, celui ne vous rpondra jamais directement, mais vous communiquera ladresse du serveur ayant autorit sur la zone. Cette technique a t prfre pour des raisons de scurit informatique (Cf. IP Spoofing). Lorsque votre requte a t correctement remplie par votre resolveur, celui place la demande dans un cache, ce qui permettra la fois suivante de ne plus refaire la mme requte, mais de rpondre directement. Ce cache est vid au bout dun temps fix (TTL : Time To Live).

(ii)

(iii)

Fig. 11 Trames dun rseau local avec requtes DNS. Dans lexemple de la Fig. 11, on a sniff les trames dun rseau ethernet, et on a isol les requtes DNS. Paquet 270 : la machine alpha a demand la rsolution de ladresse 10.23.23.5 (demand en mode reverse). Cette demande a t faite au resolver (la machine fgw). Paquet 271 : la machine fgw a rsolu ladresse demande, et renvoie alors la rponse. Paquet 291 : la machine alpha demande une nouvelle rsolution, et demande quelle est lIP associe la machine zapan. Paquet 292 : la machine fgw rpond alors en renvoyant ladresse IP de la machine zapan.

- 12 -

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

III. Adressage entre machines.

Dans un rseau TCP/IP, chaque machine est configure avec une adresse IP. Une configuration TCP/IP comprend aussi une adresse de sous-rseau, un masque de sous-rseau, ainsi quune adresse de passerelle. Ladresse IP est code sur 232 bits, soit 4 octets. Chaque adresse est unique dans le rseau Internet, ce qui est une premire tape ncessaire pour le bon adressage des machines connectes au rseau. Le rseau est en fait compos dune multitude de sous-rseaux. Mme si chaque machine dun sous-rseau est connecte au rseau mondial, seule une machine dispose de la liaison physique la reliant au sous-rseau concern ainsi quau reste de lInternet. Remarque : Les organismes de normalisation ont dfini lcriture dune adresse IP sous trois formes : 192.168.1.16 (base 10), 0300.0250.01.020 (base 8, prfixe 0), 0xc0a80110 (base 16, prfixe 0x).

1. Informations ncessaires pour une configuration TCP/IP. Pour configurer une machine en TCP/IP, on fournit plusieurs informations : Son adresse IP, son masque de rseau et son adresse de passerelle. Ces informations vont servir correctement orienter les dialogues avec les autres machines. Certaines adresses IP sont rserves un usage particulier : La premire adresse dun sous-rseau (ayant donc tous les bits 0, sauf ceux identifiant le sous-rseau) est appele adresse de sous-rseau, et est rserve. Elle ne pourra en aucun cas tre utilise. La dernire adresse dun sous-rseau (ayant donc tous les bits 1, sauf ceux identifiant le sous-rseau) est appele adresses de broadcast, ou adresse de diffusion. Elle ne pourra en aucun cas tre utilise. 1.2 Dtermination du netmask. Imaginons un sous-rseau de classe C 192.168.16.x ( 0 < x < 255 ). La premire chose faire est de dterminer le masque de sous-rseau (netmask). Le netmask permet de dfinir le rseau dans lequel vous vous trouvez. Dans le cas du rseau 192.168.16.x, nous avons donc un rseau de 255 machines. On crit donc n=255 (nombre de machines), Netmask = NON (n) Donc, ici, le netmask est de NON(0.0.0.255), soit (255.255.255.0). Le netmask est donc utile pour connatre le nombre de machine prsente dans le mme sousrseau que le ntre. Cette option est intressante, car elle va permettre de diviser une classe C en plusieurs sous-rseaux, par exemple : Adresse de sous-rseau 192.168.16.0 192.168.16.128 192.168.16.192 192.168.16.224 Netmask 255.255.255.128 255.255.255.192 255.255.255.224 255.255.255.224 Nb dadresses dans ce sous-rseau. 128 64 32 32

1.3 Calcul de ladresse de diffusion.

- 13 -

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

Ladresse de diffusion, ou adresse de broadcast, est calcule partir du netmask et de ladresse du sous-rseau. Si R est ladresse du sous-rseau, et N le netmask associ, on connat donc B, ladresse de broadcast par la formule suivante : B = NON ( N ) ET ( R )

Exemple : Netmask N = 255.255.255.128 Sous-rseau R = 192.168.16.0 B B = NON ( 255.255.255.128 ) ET 192.168.16.0 = ( 0.0.0.127 ) OU 192.168.16.0 = 192.168.16.127

Ladresse de broadcast permet dadresser toutes les machines du mme rseau que le vtre dune seule opration. Imaginons que vous souhaitiez envoyer la commande ping toutes les machines appartenant au mme rseau que vous, vous pourrez alors entrer : ping 192.168.16.127 et toutes les machines de ce rseau vous rpondront. Il est maintenant clair quune adresse de sous-rseau ou de broadcast ne peut pas tre attribue une machine, du fait de son usage quelque peu particulier. 1.4 Ladresse de passerelle. Ladresse de passerelle indique si ncessaire quelle machine doit-on sadresser lorsquune requte nest pas destine une machine de notre rseau. La passerelle est charge de correctement transmettre les paquets de notre rseau aux autres passerelles des autres rseaux, mais elle doit aussi nous transmettre les paquets des autres rseaux destination de notre rseau.

Machine A 192.168.16.1

Machine B 192.168.16.2

Rseau 192.168.16.0

Machine D 192.168.16.254 passerelle

Machine C 192.168.16.3

Fig. 12 Rseau local interconnect au rseau mondial. Dans la Fig. 12, on a trois machines A, B et C, respectivement dadresse IP 192.168.16.1, 192.168.16.2 et 192.168.16.3. La quatrime machine D est gnralement un routeur, dadresse IP 192.168.16.254. Chacune de ces machines appartient la classe C 192.16.168.0, qui permet donc ladministrateur de ce site dutiliser selon sa volont les adresses de 0 255. Le netmask de ce rseau est donc 255.255.255.0. Un routeur est un ordinateur ne disposant pas dcran ni de clavier, mais de deux interfaces rseau. Par exemple, on peut envisager le routeur comme un PC muni du logiciel adquat et de deux cartes rseau, configures chacune sur des sous-rseaux diffrents. Lorsquune requte est mise, si ladresse de destination ne concerne pas le rseau dans lequel lmetteur se trouve, alors le paquet sera dirig vers le routeur pour tre rout sur un autre tronon du rseau. Si par contre la machine de destination est dans le mme rseau que la machine mettrice, la passerelle nest pas utilise, car elle serait inutile. Pour dterminer si la machine mettrice se trouve dans le mme rseau que la machine quelle souhaite contacter, lopration suivante est effectue : V = IPdest ET Netmask. Si le rsultat V de cette opration donne la mme adresse de sous-rseau que la machine mettrice, alors la machine de destination se trouve dans le mme rseau que la machine mettrice, et la passerelle nest pas utilise. Elle lest dans tous les cas contraires.

- 14 -

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

Remarque : Certains rseaux non connects (rseaux locaux) ne disposent pas de passerelle. Lors de la configuration, on omet alors ladresse de passerelle.

2. Rsolution dadresses logique / physique : A.R.P. Tous les dialogues entre machines sont faits par lintermdiaire dinterfaces rseau. Dans la plupart des cas, il sagit de cartes rseau branches sur des PC. Lorsquun paquet transite sur le rseau, la carte doit alors dterminer si ce paquet sadresse elle ou non. Or, ladresse IP se trouve code dans la couche de niveau 3 du modle OSI. Si chaque interface devait remonter jusquau niveau 3 pour dterminer si ce paquet sadresse elle ou non, alors les dbits seraient extrmement faibles, et demanderait beaucoup de ressources aux machines. Pour palier ce problme, on utilise ladresse MAC (Media Access Control), qui est connue des couches de niveau 1, puisque ce sont des adresses physiques. Elles sont codes sur 6 octets (dans le cas de lEthernet), de la forme xx:xx:xx:yy:yy:yy, et sont gnralement exprimes en hexadcimal. Les adresses M.A.C peuvent tre localement administres (l'adresse est arbitraire et est fix par l'administrateur du site) ou plus gnralement universellement administres (les adresses sont fixes la sortie d'usine des cartes). Dans les cas d'adresses M.A.C universellement administres, les trois premiers octets identifient le constructeur de la carte (Ex : 00:0a:24 00:0a 24:yy:yy:yy indique une interface rseau de marque 3COM). La premire tape dans le dialogue entre deux machines est donc la cration du couple (Adresse IP, Adresse MAC). Pour cela, on utilise le protocole A.R.P (Address Resolution Protocol). ARP commence par mettre un paquet sur toutes machines en utilisant ladresse de broadcast. Ce paquet contient ladresse IP de la machine mettrice, son adresse IP, ainsi que ladresse IP de la machine quil cherche contacter. Lorsque les interfaces rseaux identifient une requte ARP, elles regardent toutes si lIP recherche est la leur ou non. Seule la machine concerne par la requte ARP saura donc rpondre, et renverra la machine demandeuse une rponse ARP complte, puisquelle vient dy ajouter son adresse MAC. Les deux machines (mettrice et rceptrice) placent dans un buffer le couple (Adresse IP, Adresse MAC) quelles viennent de dcouvrir. Ces donnes sont conserves un certain temps, ce qui permet de ne plus rmettre la mme requte ARP si jamais un nouveau dialogue est initi entre ces deux mme machines. Lorsque la machine demande ne fait pas partie du mme rseau que la machine demandeuse, la requte ARP est mise avec ladresse IP de la passerelle, qui se chargera elle de router correctement les paquets jusqu leurs destinations.

3. Routage. Le routage est primordial pour linterconnexion des rseaux. Le rseau Internet est en fait compos dune multitude de petits rseaux connects entre eux. Chaque rseau envoie et reoit ses informations par le biais de passerelles (voir points prcdents). Chaque rseau connect comprend au minimum une passerelle. Chaque passerelle est obligatoirement connecte une autre passerelle, appartenant un autre rseau. Les passerelles sont gnralement des routeurs, appareils ddis au routage de paquets. Un routeur est donc ncessaire pour relier deux rseaux entre eux, car il nest pas concevable de relier tous les rseaux par liaison ethernet classique. En effet, si on prend le cas de lIUT dAmiens, il est totalement inconcevable de relier lIUT situ au campus la facult de Sciences situe en centre ville par une liaison ethernet. Dj parce que les distances limites de transmission physique par liaison ethernet seraient largement dpasses, mais aussi cause du cot que cela engendrerait.

- 15 -

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

On fait donc appel aux lignes loues, qui sont fournies par les oprateurs tlcom. Chaque ligne dispose donc de son propre protocole et de son propre dbit (E1 : 2Mb/s, E3 : 34Mb/s). Les routeurs ne remontent jamais au-dessus de la couche 3 du modle OSI. Par contre, comme les routeurs retranscrivent les trames dun protocole dans un autre, il faut que le logiciel intgr dans le routeur soit capable de router ce protocole. Si on utilise un protocole non routable, le routeur ne fait que transporter le paquet dun point un autre, et on parle alors de pontage. Ainsi, un pont ne fait que btement transcrire des trames entre deux rseaux relis par une interface autre que celle du rseau local, alors quun routeur sera capable dorienter les paquets selon leur destination. Un pont nest pas capable de comprendre un modle en couche au-del du niveau 2.

10.10.10.0

Routeur A (254)

WAN01

Routeur B (254) WAN02

11.11.11.0

14.14.14.0

Routeur D (254)

Routeur C (254)

13.13.13.0

Fig. 13 Rseaux locaux interconnects par routeurs. Dans lexemple ci-dessus, on a 4 rseaux (10.10.10.x, 11.11.11.x, 12.12.12.x et 13.13.13.x). Chaque rseau dispose dun routeur (respectivement A, B, C et D) qui leur permette de dialoguer entre eux. On a donc configur les routeurs de manire permettre les changes entre chaque rseau. On a donc ce que lon appelle des tables de routage pour chacun des routeurs. Exemple pour B : Destination 10.10.10.0 13.13.13.0 11.11.11.0 0.0.0.0 Masque 24 24 24 0 Interface WAN01 WAN02 LAN01 WAN02

Chaque paquet destination du rseau 10.10.10.0 sera donc orient vers linterface WAN01, et ainsi de suite pour tous les paquets. Par dfaut, la destination 0.0.0.0/0 est utilise, et donc tous les paquets ne trouvant pas leur destination dans une table de routage seront orients vers cette interface. Remarque : un routeur ne diffuse pas les messages de broadcast, et isole ainsi un rseau local des autres rseaux. De la mme manire, il ne diffuse pas les requtes ARP, mais les met luimme lautre routeur auquel il est reli.

- 16 -

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

IV. Scurit des rseaux.

La scurit informatique est importante dans les rseaux globaux, car vos donnes sont accessibles tout le reste du monde. La mise en place dune politique de scurit informatique appartient ladministrateur rseau, qui devra prendre en compte les besoins des utilisateurs, ainsi que les risques encourus. Lorsquun service prsente une dfaillance dans le dispositif de scurit, on parle de trou de scurit. Il peut alors donner des accs dautres personnes non autorises, ou mme donner les pleins pouvoirs sur le systme une personne extrieure.

IV.1 Quest-ce que la scurit informatique. On appelle scurit informatique les moyens matriels et logiciels permettant vos systmes de fonctionner normalement. Cela implique une confidentialit dans vos donnes, qui ne devront tre accessibles que par les personnes habilites. Les donnes ne doivent tre modifiables que par les personnes autorises le faire, donc lintgrit des donnes est elle aussi importante. Une politique de scurit correctement tablie doit assurer aux utilisateurs une disponibilit constante dans les outils informatique. Chacun doit pouvoir lancer les commandes sur lesquels il a reu une autorisation. Il existe deux politiques de scurit selon les sites protger : tout ce qui nest pas explicitement permis est interdit, tout ce qui nest pas explicitement interdit est autoris. La premire mthode est la plus scurise, mais elle prsente de grosses contraintes pour vos utilisateurs, et nest donc pas toujours applicable. Il nexiste pas de rgle dor quant savoir quelle mthode appliquer, il faut donc tudier les besoins au cas par cas.

IV.2 Que faire en cas dintrusion. Dans le cas o votre systme aurait t pntr, ou si vous souponner son intgrit, vous devez tout de suite isoler la machine concerne du rseau, et mettre en place des agents de surveillance sur les autres machines sensible. Vous devrez ensuite en informer votre direction informatique, de manire ce quelle prenne les mesures ncessaires, puisquelle est la seule pouvoir dcider dune action en justice. Relevez et archivez ensuite toutes les traces possibles dans vos fichiers de logs. Ceux-ci pourront ventuellement vous aider dfinir la source de lattaque, bien que gnralement les attaques proviennent de comptes dj pralablement pirats, et donc sans aucune valeur. Il est ensuite important de vrifier chacune des commandes de votre systme, notamment les commandes qui sexcutent en tant quadministrateur (ex : /bin/login, /bin/su, etc.) car elles sont gnralement les cibles favorites des pirates.

IV.3 Rgles importantes. Dans tous les cas, il existe des rgles ne pas contourner. Votre systme doit correctement grer les groupes dutilisateurs, afin de dfinir prcisment chaque outil ou donne pour chaque groupe dutilisateur. Certains fichiers de configuration, ainsi que certaines commandes nont pas tre excutes par une autre personne que ladministrateur lui-mme, donc inutile de donner les droits aux utilisateurs sans pouvoir. Par exemple, la commande ifconfig, qui permet de configurer une interface rseau, na aucun intrt tre excut par un utilisateur sans pouvoir. On dsactivera donc les droits dexcution pour les utilisateurs.

- 17 -

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

Les fichiers de configuration du systme (gnralement places dans /etc) ne doivent absolument pas tre modifiables par une autre personne que ladministrateur. Refuser les accs par telnet depuis la machine que vous scuris. Une des mthodes des pirates pour ne pas se faire reprer consiste obtenir un accs sur un serveur en tant quutilisateur standard, puis de faire telnet localhost. Ainsi, vos traces dans le systme ne laisseront apparatre que des connexions depuis cette machine, ce qui prsente priori peu de danger dintrusion. Evitez les services inutiles, et notamment les services ne demandant pas dauthentification, tels rsh, rlogin, rpc, NFS, etc. Ne donner pas accs trop dinformations sur vos serveurs. Une bonne mthode pour se prmunir contre les tentatives daccs est de se protger par une chrootage des rpertoires. On entend par chrootage limpossibilit pour un utilisateur de remonter au-del de larborescence pour laquelle il est autoris. Un bon exemple de mise en place est le protocole FTP. Les personnes qui se connectent en FTP nont aucune raison de prendre votre fichier /etc/passwd, donc limiter les accs FTP la racine des rpertoires de chaque compte.

IV.4 Mthodes dintrusion les plus courantes. IV.4.1 Buffer overflow (dpassement de capacit). Une des mthodes dintrusion les plus courantes consiste excuter une commande avec le setuid bit de positionner, puis de stopper cette commande avec une violation daccs, en oprant par exemple un buffer overflow (dpassement de capacit). Par exemple, un trou connu fut celui de sendmail, le gestionnaire de courrier. En quelques lignes de C, on pouvait alors obtenir un shell root sur nimporte quelle station. La technique tait simple : 1. Ouvrir le fichier /bin/sh (fopen par exemple) 2. Excuter une commande set uid (dans notre cas, la commande /usr/sbin/sendmail), 3. Empiler volontairement et sans arrt des variables dans la pile mmoire du systme. Lors de lexcution, le programme est alors appel, puis le fichier /bin/sh ouvert. Ensuite, la commande sendmail est excute, mais comme nous lavons vu dans le protocole SMTP, celle-ci attend un certain nombre de commandes. Durant ce temps, nous empilons des variables dans la pile de donnes du systme, ce qui va finir par la faire dborder. Lorsque quelle dbordera, vous aurez alors une violation de segment, mais le systme vous aura laiss les droits de ladministrateur jusqu la fin de votre shell dexcution. Vous aurez donc une commande sh ayant le set-uid bit de positionn. Excutez cette commande, et vous aurez alors tous les privilges de ladministrateur. Pour palier ce problme, vous pouvez enlever le droit de lecture sur la majeure partie des commandes utilisateurs. Par exemple, /bin/sh na pas besoin du bit de lecture, ce qui permettra aux utilisateurs dexcuter cette commande, mais pas de la lire, et donc le systme refusera douvrir le fichier. IV.4.2 Sniffeurs de trames. Les sniffeurs de trames permettent depuis nimporte quelle machine relie au LAN de voir ce qui transite dans les paquets du rseau. On a vu prcdemment que chaque interface rseau tait capable de dterminer si le paquet lui tait ou non adress, mais chacune des interfaces voit en fait tous les paquets. Il existe donc des outils sous la majeure partie des systmes dexploitation qui permettent de voir tous les paquets. Le plus clbre est sans doute tcpdump sous Unix, qui donne une foule dinformations, ainsi que le contenu des paquets. Lorsquune personne tente de se connecter sur une machine distante, elle doit sidentifier sur cette machine, et entre donc son nom de login et son mot de passe. Ces deux informations passent en clair dans les trames du rseau. En sniffant les trames, vous retrouverez alors le nom de login et le mot de passe de tous les utilisateurs qui se connecteront distance. Il nexiste pas vraiment de solutions ce problme, cause du gouvernement franais. Une bonne solution serait lusage de protocole chiffr, mais le gouvernement soppose son usage sur le territoire franais. Il existe un outil de connexion chiffr : ssh. Lorsque vous sniffer les trames, vous

- 18 -

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

verrez alors apparatre le nom de connexion et le mot de passe, mais cod, donc peu ou pas du tout utilisable.

Fig. 13 Exemple dune trame sniff sur un rseau local (Microsoft S.M.S). IV.4.3 Exploitation de bugs. Il arrive que certains systmes prsentent des bugs importants dans le fonctionnement du systme. Ce fut le cas lan pass sur la couche rseau. La majorit des systmes Unix taient affects. Une trame ICMP nest pas prvue pour excder une longueur de 16bits, soit 65535. Or, les dveloppeurs de la couche rseau navaient pas test cette limite. Un simple ping avec une longueur de trame excdant 65535 suffisait donc crasher les serveurs. Ce bug a t corrig au bout de 4 heures aprs sa diffusion sur lInternet pour le systme Linux, et plusieurs semaines pour les systmes Windows (NT et 95) de Microsoft. IV.4.4 Dni de service (Denial of Service). Les attaques par denial of service ne donne aucun moyen lagresseur de pntrer votre systme, mais permet quiconque de stopper le fonctionnement de vos machines. Le bug nonc pour ping dans le point prcdent est un exemple dattaque par dni de service. Sous Windows, on notera la prsence du port 139 (port RPC : Remote Process Control) qui prsente un trou de scurit. Vous pouvez trs bien vous connecter par telnet sur ce port, puis entrer quelques caractres et vous dconnecter. Les services rseaux de la machine cible ne sont alors plus disponibles jusquau prochaine redmarrage.

IV.5 Protection par mur coupe-feu (FireWall).

- 19 -

IUT dAmiens. Dpartement Informatique

Introduction aux rseaux TCP/IP.

Le firewall est sans doute loutil de scurit le plus performant lheure actuelle. Il permet de se protger du rseau global en isolant le rseau local. Il nexclut toutefois pas les risques de piratage interne, mais solutionne le problme dintrusion depuis lextrieur. Un firewall est en fait une passerelle avec un minimum de services installs. Elle dispose des logiciels ncessaires pour acheminer votre place vos requtes. Il se place entre le rseau protger et le rseau global.

Rseau local

Firewall

Rseau global

Fig. 14 Protection dun rseau local avec un Firewall. Aucun paquet ne doit passer entre le rseau local et le rseau global. Donc, tous les services de routage doivent tre dsactivs sur le firewall. Chaque application qui sera autorise ncessitera donc un proxy. Le proxy reoit la requte du client, regarde si celui-ci est autoris utiliser ce service, et si oui, effectue la requte sa place avant de lui renvoyer la rponse. Ainsi, les machines lintrieur du rseau sont invisibles pour lextrieur du rseau. Toutes les machines se trouvant sur le rseau local devront avoir des adresses IP non routable (voir les classes dadresses IP non routables). On configure alors sur le firewall quels services seront disponibles par les proxies appropris, et quelles machines seront autorises les utiliser. Cest ainsi que la protection est la mieux assure. Remarque : (i) Attention, un rseau quip dun firewall mal configur est souvent pire quun rseau sans protection, car si quelquun trouve une faille dans votre firewall, et parvient le pntrer, toutes vos machines seront alors en pril. (ii) Il est grandement conseill de ne jamais installer un serveur Windows NT sans utiliser de firewall pour la protection.

- 20 -