Vous êtes sur la page 1sur 24

Rseau

Par LAMANT Anthony

Pour informations :
Ce cours est bas sur les diapositifs mis disposition par Madame Buseyne. Je me suis dit que ctait quand mme plus facile tudier sur des feuilles que sur des diapos. Si des choses venaient manquer ou sil y a des erreurs, merci de bien vouloir me prvenir. Bon courage tous !

Adressage IP v4 : Structure des adresses IP :


Une adresse IP est code sur 32bits. Elle permet didentifier chaque hte et le rseau auquel il appartient. Elle est crite soit en format dcimal : w.x.y.z o w, x, y et z sont 4 champs de 8bits spars par des points (Exemple : 192.168.13.5), soit au format binaire (Exemple : 10000011.01101011.00000011.00011000).

Classe dadresses :
Les systmes appartenant au mme rseau ont une partie dadresse commune : la partie dadresse du rseau : 0 Numro du rseau (7 bits) Numro de lhte (24 bits) Classe A

Classe B Classe C

10 110

Numro du rseau (14 bits) Numro du rseau (21 bits)

Numro de lhte (16 bits) Numro de lhte (8 bits)

Adresses multidestinataires (routeurs, multicast, ) : Numro de groupe (28 bits) Classe D 1110 Adresses exprimentales : Classe E 1111

Usage Futur (27 bits)

Adresses particulires et rserves :


0.0.0.0 : Adresse dacheminement par dfaut (hte inconnu sur ce rseau) 127.x.x.x : Adresse de bouclage (127.0.0.1) Adresse de rseau : Tous les bits de la partie hte sont 0. Adresse de diffusion : Tous les bits de la partie hte sont 1. Adresses prives : Classe A : 10.0.0.0 Classe B : 172.16.0.0 172.35.255.255 Classe C : 192.168.0.0 192.168.255.255

Les sous-rseaux:
Pourquoi des sous-rseaux ? :
Ils permettent : - Lutilisation de plusieurs mdia - Une rduction de lencombrement - Une conomie de temps de calcul - Une isolation dun rseau - Un renforcement de la scurit - Une optimisation de lespace rserv une adresse IP

Masque de sous-rseau :
Il permet de : - Faire la sparation entre la partie rseau (bits 1) et la partie hte de la machine (bits 0) Exemple : IP 193.191.131.33 MSR 255.255.255.0 ou 193.191.131.33/24 Adresse rseau : 193.191.131.0 Adresse machine : 33 - Dterminer le nombre de machines dun rseau Exemple : Nombre de bits partie hte: 8 => 28 2 = 256-2 = 254 machines. - Segmenter un rseau en plusieurs sous-rseaux. Il utilise les bits de poids fort de la partie hte de ladresse IP pour dsigner un rseau (divis en diffrents sous-rseaux).

Cration de sous-rseaux :
Nombre de sous rseaux : Le nombre de sous-rseaux est gal 2n, n tant le nombre de bits emprunts ( 1) la partie hte pour coder les sous-rseaux. Exemple : 1 21 (2 sous-rseaux) 2 2 (4 sous rseaux) 3 2 (8 sous-rseaux) 4 24 (16 sous-rseaux) 5 25 (32 sous-rseaux) 6 26 (64 sous-rseaux) 7 27 (128 sous-rseaux) 8 28 (256 sous-rseaux) Pas possible en Classe C. Adresse des sous-rseaux : Permet de trouver les adresses des sous-rseaux valides en utilisant les bits 1 du masque de sousrseau. Exemple : 193.104.1.145/255.255.255.0 par dfaut, on emprunte 2 bits la partie hte Nouveau Masque : 255.255.255.192 2 = 4 sous-rseaux avec comme adresse : 193.104.1.00000000 193.104.1.0 193.104.1.01000000 193.104.1.64 193.104.1.10000000 193.104.1.128 193.104.1.11000000 193.104.1.192

Adresse de diffusion dun sous rseau : Il faut mettre tous les bits de la partie hte 1. Exemple prcdent : 193.104.1.145/27 ou 193.104.1.145/255.255.255.192 SR 193.104.1.0 SR 193.104.1.64 SR 193.104.1.0 SR 193.104.1.0 AD 193.104.1.00111111 AD 193.104.1.01111111 AD 193.104.1.10111111 AD 193.104.1.11111111 193.104.1.63 193.104.1.127 193.104.1.191 193.104.1.255

Nombre de postes dun sous rseau : Le nombre de postes est gal 2n, n tant le nombre de bits 0 du masque de sous-rseaux permettant de coder lhte. A ce chiffre il faut enlever les 2 adresses rserves : - Tous les bits 0 (le sous-rseau lui-mme) - Tous les bits 1 (Adresse de diffusion pour le sous-rseau) Exemple prcdent : 193.104.1.145/27 ou 193.104.1.145/255.255.255.192 2 bits pour le sous-rseau et 6 bits pour lhte Le nombre de postes est 26 2 = 64 2 = 62 postes. Adresse de postes sur sous rseau : Ladresse de poste sur un sous-rseau est comprise dans la fourchette [adresse de sous-rseau +1, adresse de diffusion -1] Exemple prcdent : 193.104.1.145/27 ou 193.104.1.145/255.255.255.192 SR 193.104.1.0 [193.104.1.1 193.104.1.62] SR 193.104.1.64 [193.104.1.65 193.104.1.126] SR 193.104.1.128 [193.104.1.129 193.104.1.190] SR 193.104.1.190 [193.104.1.193 193.104.1.254]

C.I.D.R. (Classless Inter Domain Routing) :


Cest un nouveau modle qui simplifie le routage et permet un adressage plus fin. Il permet lallocation des rseaux sans classe, dagrger les tables de routage, de dcouper les rseaux de classe A. Exemple : Agrgation de rseaux 193.127.32.0 et 193.127.33.0 agrgs en 193.127.320/23 Il dfinit une convention dcriture qui spcifie le nombre de bits utiliss pour identifier la partie rseau (les bits 1 du masque de sous-rseau). Exemple : 142.12.42.145/24 142.12.42.145 255.255.255.0 10.0.0.0/255.0.0.0 10.0.0.0/8 192.168.25.32/255.255.255.248 192.168.25.32/29

Comment bien choisir son masque :


En partant du masque existant. En fonction du nombre de machines. En dcoupant la plage dadresses en plusieurs sous-rseaux.

Le Routage :
Dfinition du routage :
Le routage est une technique base sur les adresses de niveau rseau (3) permettant daiguiller une trame quelconque mise par un nud dun sous-rseau vers un nud de destination pouvant tre situ sur un autre sous-rseau. Un routeur (ou passerelle) est un quipement qui fait le lien entre diffrents rseaux ou sousrseaux.

Principe du routage :
Il comprend 2 tapes : La dtermination du chemin et la commutation. Quelques rgles : - Aucune machine ni aucun routeur ne connait le chemin complet du rseau. - Chaque machine et chaque routeur stocke les informations de routage dans une table de routage. - Chaque routeur ne connait que le routeur suivant.

Acheminement des paquets TCP/IP :


Etapes de transmission dun paquet dun metteur A un destinataire B : 1. Extraire ladresse IP rseau de B et adresse IP rseau de A et voir sils sont dans le mme rseau. Sils le sont, le paquet est transmis directement grce lARP. 2. Sils ne sont pas du mme rseau, A cherche dans la table de routage une correspondance B/Destinataire intermdiaire (routeur, passerelle). 3. A recherche dabord ladresse complte de B dans sa table de routage. 4. Sil ne trouve pas, il cherche ladresse du sous-rseau du destinataire. 5. Sil ne trouve pas, il cherche ladresse du rseau. 6. Sil ne trouve aucune correspondance, A cherche dans sa table de routage ladresse de la passerelle utiliser par dfaut (0.0.0.0). 7. Sil choue encore le paquet est supprim. 8. Si lune des recherches aboutit, A construit le paquet avec ladresse IP de B, Il lencapsule dans une trame ayant comme adresse MAC de destination, ladresse MAC du routeur. La couche 2 du routeur lit la trame et la transmet (ARP) la couche 3. Celle-ci remarque quelle ne lui est pas adresse, elle regarde sa table de routage et dcide vers quelle routeur la transmettre et encapsule le paquet dans une nouvelle trame et ainsi de suite de routeur en routeur jusqu' destination.

Table de routage :
Elle est un regroupement dinformations permettant de dterminer le prochain routeur utiliser pour accder au rseau sur lequel se trouve la machine de destination. Son rle est de dterminer le chemin le plus court pour acheminer les paquets de la source la destination. Elle comprend 5 colonnes : - Rseau de destination - Masque de sous-rseau - Adresse de la passerelle (routeur) - Interface de sortie - Mtrique

La commande ROUTE :
Elle permet de configurer manuellement la table de routage. Pour afficher ma table de routage, il faut utiliser la commande : ROUTE PRINT. Pour ajouter une route dans la table de routage : ROUTE ADD p [rseau destination] MASK [masque destination] [passerelle] METRIC [mtrique] IF [interface utilise]. Pour modifier une route existante : ROUTE CHANGE p [rseau destination] MASK [masque destination] [passerelle] METRIC [mtrique] IF [interface utilise]. Supprimer une route existante : ROUTE DELETE [rseau destination].

Lutilitaire TRACERT :
Il vrifie le trajet suivi par un paquet pour atteindre sa destination. Il est utile pour savoir si un routeur est en panne ou sil est lent. Routage statique et dynamique : Le routage statique est configur manuellement. Il permet dajouter manuellement une route dans la table de routage. Il est adapt aux petits rseaux. Le routage dynamique permet dattribuer la meilleure route en se basant sur un algorithme. Cette route est modifiable de manire dynamique par le routeur en vue datteindre la destination. Il existe 2 types de protocole de routage : - Interne (RIP) ou externe (EGP) - A vecteur de distance (RIP) ou tat de lien (OSPF)

Protocole de routage RIP (Routing Information Protocol (RFC 1058)):


Gnralits : Extension de RIP : RIP2 en 1994 (RFC 2453). Il est bas sur lalgorithme du vecteur distance. Il transmet les couples adresse/distance (= vecteurs de distance) Il utilise les mtriques pour calculer la distance qui spare 2 nuds dun rseau. Le nombre de sauts maximal autoris est de 15 (16 est linfini). Il envoie ses paquets par UDP sur le port 520.

Format des paquets : Format du paquet RIP v1 :


Command (1) Version (1) Zros (2) AFI (2) Zros (2) IP Adresse (4) Zros (4) Zros (4) Mtrique (4)

Format du paquet RIP v2 :


Command (1) Version (1) Zros (2) AFI (2) Route Tag (2) IP Adresse (4) Masque SR (4) Saut suivant (4) Mtrique (4)

Fonctionnement : Lors de linitialisation, il dtermine ladresse rseau de ses interfaces puis envoie sur chacune une demande dinformations (table RIP) aux routeurs voisins. Lors de la rception dune rponse, il met jour sa table si ncessaire : - Pour une nouvelle route : incrmente sa distance (<15) et diffuse le vecteur distance correspondant. - Pour une route existante mais avec une distance plus faible, la table est mise jour. Les routes doivent tre retires de la table RIP si un rseau devient inaccessible, si un routeur est en panne. Boucle de routage : Une boucle de routage se produit quand 2 routeurs ou plus possdent des informations de routage incorrectes indiquant lexistence dune route valide pour une destination non accessible. Techniques pour lutter contre les boucles de routage : - Split Horizon - Route Poisoning - Poison Reverse - Holdown Timers - Triggered Updates Installation du protocole de routage dynamique RIP : Dmonstration installation sous Windows Server 2003.

Protocole de routage OSPF (Open Shortest Path First (RFC 1583)) :


Gnralits : Cest un protocole de routage dtat de lien. Il est ouvert (Open) et est bas sur lalgorithme SPF (Le chemin le plus court dabord) de Dijkstra. Il utilise la notion de cot pour privilgier llection de certaines routes (plus le cot est faible, plus le lien est intressant). Le routage est hirarchis pour simplifier le calcul des cots (dcoupage en zone). Zone (Area) : Ensemble de rseaux contigus. Chaque zone se comporte comme un rseau indpendant et ne connat que ltat des liaisons internes.

Fonctionnement : LOSPF attribue un cot chaque liaison afin de privilgier llection de certaines routes. Plus le cot est faible, plus le lien est intressant. Tous les routeurs dun mme rseau (zone) travaillent sur une base de donnes de topologie identique qui dcrit le rseau. Lalgorithme traite cette base de donnes pour dterminer les routes les moins coteuses. Il annonce les informations de topologie par des donnes structures appeles LSA (Link State Advertissement). Les routeurs doivent pralablement remplir les tches suivantes avant de pouvoir effectuer le travail de routage : 1. tablir la liste des routeurs voisins. 2. Elire le routeur dsign et celui de secours. 3. Dcouvrir les routes. 4. Elire les routes utiliser. 5. Maintenir la base de donnes topologique. Installation du protocole de routage OSPF : Dmonstration installation sous Windows Server 2003.

La commutation LAN :
Les rseaux Ethernet :
Prsentation : Il a t conu Hawa dans les annes 70. Au cours des annes 80, mise en place de la norme 802.3 par lIEEE partir dEthernet. Ethernet repose sur les principes suivants : - Accs au mdia non dterministe. - Remise de type broadcast des trames de donnes Ethernet/IEEE802.3. - Utilisation de CSMA/CD. - Sensibilit aux problmes de congestion et de latence. CSMA/CD (Carrier Sense Multiple Access with Collision Detection) : Carrier Sense : dtection de la porteuse. Multiple Access :accs multiple. Collision Detection : dtection des collisions.

Diffrents types dEthernet : Ethernet Half Duplex : - Transmission (Tx) et rception (Rx) alterne. - Utilisation de 50 60% de la bande passante en raison des collisions et de la latence. - Dtection des collisions. Ethernet Full Duplex : - Permet l'mission et la rception simultane. - Ncessite l'utilisation d'un cble contenant 2 paires de fils et d'une connexion commute entre les 2. - Lors d'une communication, une communication point point sans collision est cre. - Utilisation de 100% de la bande passante.

La commutation LAN :
Problmes des rseaux Ethernet : - Les collisions. - La latence des quipements rseaux. - La remise de donnes de type broadcast. - Afin doptimiser les performances du rseau, la segmentation est ncessaire. La segmentation LAN : Le but est dobtenir une rduction de la taille des domaines de collision afin dconomiser la bande passante disponible. Elle permet un meilleur accs au mdia : - Bande passante ddie. - Moins de conflits d'accs. - Collisions rduites. Le trafic est dirig vers la station spcifi. Les "broadcast" sont diffus plus vite. Lvolutivit reste un problme. Dfinition de commutateur : Le commutateur ou switch est un quipement qui connecte plusieurs segments dans un rseau informatique. Il permet de connecter plusieurs segments et de maintenir les connexions aussi longtemps que des donnes sont envoyes.

Fonctionnement :

Les diffrents types de commutation : Commutation caractrise par la faon de transmettre les paquets : - Store and forward : Commutation ou le commutateur attend davoir reu toute la trame avant de la commuter. - Cut Through : Ds que ladresse de destination est connue, la trame commence tre commute. - Fragment Free : Les paquets sont passs un dbit fix. - Adaptive switching : mode automatique. Commutation caractrise en fonction de la bande passante attribue chaque port : - Commutation symtrique : Les connexions commutes offre la mme bande passante chaque port. - Commutation asymtrique : Les connexions commutes offrent des bandes passantes diffrentes. Le protocole Spanning Tree : Son but est de calculer une topologie stable. BPDU: Bridge Protocol Data Unit BRIDGE TYPES: Root Bridge Designated Bridge PORT TYPES: Root Port Designated Ports PORT STATES: Blocking Listening Learning

Forwarding Desactiving

Le protocole Spanning Tree, Paramtres de configurations : Paramtres rseau: Hello interval Forward delay Max age Bridge priority (per bridge) Paramtres lis au port: Port cost Port priority

Les LAN virtuels (VLAN) :


Dfinitions : VLAN Virtual Local Area Network, rseau local virtuel utilisant la technologie Ethernet pour regrouper les lments du rseau sans se heurter des contraintes physiques. Il permet de constituer autant de rseaux logiques sur une seule infrastructure physique. Avantages des VLAN : Limiter les domaines de broadcast. Garantir la scurit. Permettre la mobilit des utilisateurs. Permet la gestion dynamique de la mobilit. Permet a des utilisateurs gographiquement disperss de partager des donnes. Maintient la scurit. Conserve les domaines de broacast traditionnels des LANs. Requiert une couche 3 pour la communication entre VLANs. Diffrents types de VLAN : VLAN de niveau 1 : Appartenance par port: Association port-utilisateur, association port-segment. Aucun paquet ne quitte son domaine. Scurit maximale entre VLANs . Facilement contrlable dans le rseau. Plusieurs VLAN par port ? Quand plusieurs clients sont derrire le mme port. Ncessitent de rechercher les adresses. Pas de filtarge des broadcasts sur les segments partags. Beaucoup d'administration.

VLAN de niveau 2 : Appartenance par MAC: Filtrage requis. impact sur les performances. Echange des tables d'adresses des VLANs entre les commutateurs. overhead d l'administration. Indpendant de la localisation de la station. VLAN de niveau 3 : Appartenance par protocole: Apprentissage de la configuration Moins performante car analyse des informations Appartenance par sous-rseau : Utilise les adresses IP Filtrage requis impact sur les performances Apprentissage de la configuration Les trunks : Un trunk est une connexion physique unique sur laquelle on transmet le trafic de plusieurs rseaux virtuels. Les trunks peuvent tre utiliss : entre deux commutateurs entre un commutateur et un hte entre un commutateur et un routeur VLAN et standards :

VLAN et standards: IEEE 802.1D : Prsence de ponts transparents aux stations. Toutes les dcisions de routage, au niveau 2, sont exclusivement faites par les ponts. Un pont maintient une base de donnes pour laiguillage des trames : Forwarding Data Base(FDB) Auto apprentissage : la mise en service : FDB vide. rception dune trame. @ source et le port darrive dans la FDB. port de transmission inconnu : copie de la trame sur tous les autres ports. tous les segments sont concerns. => convergence rapide du processus (spanning tree). VLAN et standards: IEEE 802.10 : IEEE 802.10 correspond aux besoins de segmentation du trafic et de scurit dans les rseaux LAN/MAN. la base, gestion des Groupes Ferms d'Abonns. Indpendance vis vis des quipements intermdiaires. Son utilisation semble tre limite FDDI. VLAN et standards: IEEE 802.1Q : Standard VLAN pour des LAN commuts/bridgs. Construit sur IEEE 802.1D et IEEE 802.1P. Marquage des trames : Etiquette implicite Pas d'tiquette dans la trame. Appartenance d'une trame un VLAN base sur son contenu (@MAC,@IP) et le port. Etiquette explicite Etiquette dans la trame. Supporte la prioritisation. Draft Standard P802.1Q/D11. Mthodes de regroupement des utilisateurs en VLAN : Le filtrage de trames : un examen de chaque trame permet dlaborer pour chaque commutateur une table de filtrage afin de permettre de prendre les dcisions appropries. Ltiquetage de trames : attribution dun code didentification VLAN unique chaque trame (norme privilgie par la norme IEEE802.1q).

Mthodes dattribution des VLAN : LAN virtuels statiques : Les ports du commutateur sont affects un LAN virtuel - Facilit dadministration. - Fonctionnent bien dans les rseaux ou les dplacements sont contrls et grs. LAN virtuels dynamiques : - Les ports des commutateurs peuvent automatiquement dterminer leur Vlan dappartenance. - Filtrage bas sur les adresses MAC.

Les FIREWALL :
Dfinitions :
Un pare-feu (firewall en anglais), est un systme physique ou logique servant de systme de protection pour les ordinateurs. Il comprend au minimum 2 interfaces: * une interface pour le rseau protger (rseau interne). * une interface pour le rseau externe.

Diffrents types de firewall :


Firewall logiciel: - Install directement sur lordinateur (firewall personnel). - Vrifie et indique sur quels ports les programmes accdent internet depuis votre pc. - Annonce les ports sur lesquels rentrent ou tentent de rentrer des applications sur votre pc. Firewall matriel: - Machine ddie et intgre (firewall dentreprise). - Plac entre internet et le rseau. - Protge des diffrentes menaces internet. - Intgre les protections suivantes: -> Statefull packet inspection. -> Content filtering.

Fonctionnement :
Il contient un ensemble de rgles prdfinies permettant : - Soit dautoriser uniquement les communications ayant t explicitement autorises: Tout ce qui nest pas explicitement autoris est interdit. - Soit dempcher les changes qui ont t explicitement interdits. Ses fonctions sont: - Autoriser ou interdire louverture dun service. - Utiliser un protocole. - Autoriser ou bannir une adresse IP source/destination. - Vrifier/inspecter la conformit du trafic.

Filtrage :
Filtrage des paquets : Analyse des en-ttes des paquets changs entre 2 machines en considrant les lments suivants: Adresse IP de la machine mettrice. Adresse IP de la machine rceptrice. Type de paquet (TCP, UDP, IP, ICMP). Service ou port demand. Filtrage dynamique : Bas sur linspection des couches 3 et 4 du modle OSI. Permet deffectuer un suivi des transactions entre le client et le serveur. Assure la bonne circulation des donnes de la session en cours. Filtrage applicatif : Filtre les communications application par application. Vrifie le protocole applicatif utilis, instructions, codification. Se situe au niveau 7 du modle OSI. Firewall applicatif=passerelle applicative.

NAT (Network Address Translation) :


Permet de renumroter les adresses source et destination. Traduction dynamique ou statique des ports. Table de correspondance adresse arrive/adresse traduite.

DMZ (DeMilitarized Zone) :


Zone dmilitaris : zone isole hbergeant des applications mises la disposition du public.

Menaces contres :
Attaques de type intrusion rseau. Chevaux de Troie. Vers.

Illustration sur firewall Netscreen :


Voir dmonstration.

La cryptographie :
Dfinitions :
Processus de brouillage mathmatique qui seffectue par lapplication de conventions secrtes (cls) et qui convertit une information intelligible en une information inintelligible. Lopration inverse ne peut tre ralise que par celui qui dtient la cl. Le fait de coder un message de faon le rendre secret s'appelle chiffrement. La mthode inverse consistant retrouver le message original, est appele dchiffrement.

Confidentialit - Intgrit - Authentification :


Confidentialit: Les informations doivent rester caches aux personnes qui ne peuvent y accder. Intgrit: Les donnes ne peuvent tre modifies. Authentification: Les informations reues viennent bien de quelquun de qui on peut recevoir des informations. Non rpudiation: Message reu par destinataire alors que lmetteur ne la pas envoy.

Utilisation de cryptage par cl symtrique :


Dfinitions : Les donnes sont cryptes sur lordinateur client et sur lordinateur serveur laide de la mme cl. Il utilise la mme cl pour crypter et dcrypter les donnes. Il est appel galement cryptage par cl secrte partage. Utilis pour la confidentialit. Fonctionnement :

Algorithmes utiliss : - Le plus ancien: algorithme de Csar. - DES (Data Encryption Standard). - 3DES. - AES (Advanced Encryption Standard). Exemples dutilisation : Mthode trs efficace pour crypter des gros volumes de donnes. Il protge les donnes dapplications pour le systme de fichiers crypts (EFS, Encrypting File System). Utilis dans les cls de session pour les communications confidentielles. IP Sec (Internet Protocol Security) et TLS (Transport Layer Security) utilisent des cls symtriques avec des algorithmes de cryptage standard pour crypter et dcrypter des communications confidentielles entre un metteur et un destinataire.

Utilisation de cryptage par cl publique :


Dfinitions : Les donnes sont cryptes laide dune paire de cls. La premire est utilise pour le processus de cryptage et lautre pour le processus de dcryptage. Il est appel galement cryptage par cl asymtrique. Fonctionnement :

Caractristiques : Offre un meilleur niveau de scurit que le cryptage par cl symtrique. Utilis pour la confidentialit. Rien ne garantit que la cl est bien celle de lutilisateur a qui elle est associe. Utilis pour: Cryptage des cls symtriques . Protection de cls symtriques stockes dans les documents protgs laide du systme EFS. S/MIME (Secure Multipurpose Internet Mail Extension).

Algorithmes utiliss : - RSA (Rivest Shamir et Adelman). - DH (Diffie-Hellman).

Utilisation des fonctions de hachage :


Dfinition : Une fonction de hachage permet dobtenir un condens dun texte et doit tre telle quelle associe un seul hach au texte en clair. Fonctionnement :

Caractristiques : Utilis pour vrifier lintgrit des donnes. Utilis pour garantir, en plus, lauthentification du message => signature lectronique. Algorithmes utiliss : - MD5 (Message Digest 5) cre une empreinte digitale de 128 bits. - SHA (Secure Hash Algorithm) cre une empreinte de 160 bits.

Utilisation des signatures numriques :


Dfinition : Procd permettant de garantir lauthenticit de lexpditeur et de vrifier lintgrit du message reu.

Fonctionnement :

Caractristiques : Permet de garantir lauthentification et lintgrit dun message. Utilise un cryptage cl asymtrique et une fonction de hachage. Exemple : PGP (Pretty Good Privacy) : systme de cryptographie hybride permettant de combiner les fonctionnalits de la cryptographie cl publique et cl secrte. En plus, les donnes sont haches avant dtre transmises. PKI: Public Key Infrastructure.

Utilisation des certificats :


Dfinition : Un certificat permet dassocier une cl publique une entit pour en assurer la validit. Un certificat est une carte didentit de la cl publique dlivr par une autorit de certification (CA).

Caractristiques : Les certificats sont des petits fichiers diviss en 2 parties: La partie contenant les informations La partie contenant la signature de l'autorit de certification Leur structure (normalise par le standard x.509) est la suivante: La version de X.509 laquelle le certificat correspond ; Le numro de srie du certificat ; L'algorithme de chiffrement utilis pour signer le certificat ; Le nom (DN, pour Distinguished Name) de l'autorit de certification mettrice ; La date de dbut de validit du certificat ; La date de fin de validit du certificat ; L'objet de l'utilisation de la cl publique ; La cl publique du propritaire du certificat ; La signature de l'metteur du certificat. Fonctionnement : 1. 2.

Exemple : Certificats PGP. Autorit de certification sous Windows Server 2003.

Le VPN :
Dfinition :
VPN Virtual Private Network. Un VPN est une connexion logique et non physique entre 2 points et permet 2 ordinateurs de communiquer via Internet, comme sil existait entre eux un rseau priv ddi et scuris. Un VPN repose sur un protocole de tunneling qui fait circuler les informations de faon crypte dun bout lautre du tunnel.

Utilits :
Crer une connexion scurise entre 2 rseaux privs. Assurer un accs scuris au sein de structures rparties sur des grandes distances gographiques. Accder au rseau local distance et de faon scuris pour les travailleurs itinrants. Mettre en place un rseau partag avec des partenaires.

Objectifs :
Lobjectif principal est dtablir une connexion scurise entre 2 sites. Les objectifs raliser sont : Confidentialit. Intgrit. Authentification. Unicit du paquet.

Principe de fonctionnement :
Une session VPN se droule de la faon suivante : 1. Lutilisateur distant demande une connexion VPN. 2. La machine destinataire reoit la requte et tablit un tunnel temporaire. 3. Lordinateur et la machine destinataire partagent leurs cls (phase 1) et le rseau de destination dfinit comment le trafic va tre encapsul dans les enveloppes cryptes. 4. La machine destinataire envoie un test lutilisateur distant pour lauthentifier. 5. Lutilisateur distant utilise son ID utilisateur et son mot de passe et tout ce qui est requis pour authentifier le rseau de destination. 6. Le rseau de destination vrifie lutilisateur distant et assigne une adresse IP temporaire la machine distante. 7. Le canal de communication crypt est tabli (Phase 2).

Protocoles utiliss pour raliser une connexion VPN :


But des protocoles : Construire un chemin virtuel aprs avoir identifi lmetteur et le rcepteur. Chiffrer les donnes et les acheminer en utilisant le chemin virtuel. Scuriser les donnes lorsquelles traversent le rseau public. Encapsuler les donnes lmission en ajoutant un entte, lenvoyer et dcapsuler les donnes la rception.

Protocole de niveau 2: PPTP (Point to Point Tunneling Protocol) : Dfinit par la RFC 2637. Utilise une connexion PPP travers un rseau IP en crant un VPN. Permet le cryptage des donnes, leur compression, lauthentification et le chiffrement avec des protocoles supplmentaires. Cre des paquets sous le protocole PPP et les encapsule dans des datagrammes IP. Est caractris par une initialisation du client, une connexion de contrle entre le client et le serveur ainsi que par la clture du tunnel par le serveur. Protocole de niveau 2: L2TP (Layer Two Tunneling Protocol) : Dfinit par la RFC 2661. Evolution du protocole PPTP. Permet lencapsulation des paquets PPP au niveau des couches 2 et 3. Contient des paquets dinformations encapsuls dans des paquets PPP pour les sessions utilisateurs servant pour le transport de L2TP. Contient une signalisation qui contrle linformation et qui est encapsule dans des paquets UDP. Permet lauthentification, la compression et est bas sur IP Sec pour le cryptage. Protocole de niveau 3: IP Sec (IP Security Protocol) : Description : Dfinit par la RFC 2401. Protocole qui vise scuriser lchange des donnes au niveau de la couche rseau. Permet de chiffrer puis dencapsuler dans une entte IP des donnes pour les envoyer travers un inter-rseau. Il est bas sur 3 mcanismes: AH pour assurer intgrit, authenticit des datagrammes IP. ESP pour assurer le cryptage et lauthentification des donnes. SA pour dfinir lchange de cl et les paramtres de scurit. Diffrents modes de fonctionnement : Mode transport: permet une protection aux protocoles de niveau suprieur (TCP, UDP) mais ne modifie pas la partie IP. Mode tunnel: permet dencapsuler la totalit des datagrammes IP dans dautres datagrammes IP dont le contenu est protg. Protocole AH : Authentification Header. Dfinit par la RFC 2402. Il garantit: lauthentification des paquets IP Lintgrit des champs IP non modifis pendant le routage Lunicit Il nassure pas la confidentialit. Il peut utiliser le mode transport et le mode tunnel.

Protocole ESP (Encapsuling Security Payload): Dfinit par la RFC 2406. Il garantit: la confidentialit des donnes lauthenticit des datagrammes IP lintgrit des donnes lunicit Il ne protge que les donnes des datagrammes pas les enttes. Il peut utiliser le mode transport et tunnel.

Protocole IKE (Internet Key Echange): Dfinit dans la RFC 2409. Systme dvelopp pour IP Sec qui permet de fournir des mcanismes dauthentification et dchange de cls. Il permet une gestion dynamique des cls IP Sec (gnration, distribution, stockage et suppression des cls). Il a pour but dans sa premire phase de construire un premier tunnel scuris entre les 2 htes (tunnel IKE). Ce tunnel est utilis pour grer les tunnels IP Sec (ngociation des SA et leur mise jour) constituant la deuxime phase du protocole IKE. Etablissement dun tunnel IP Sec : Phase 1: - Echange de cls - Cration dune cl qui va permettre de gnrer 3 autres cls (authentification, chiffrement et pour phase 2) qui servent la cration du tunnel IKE scuris entre les htes. Phase 2: - Etablissement des associations de scurit et des cls de session (gnres partir cl de phase 1), dfinition des modes de cryptage. Quand phase 2 est ralise avec succs, les donnes peuvent circuler via le tunnel IP Sec.

Implmentation : Logicielle => Dmonstration. Matrielle : pare-feu, routeur crypt.