Vous êtes sur la page 1sur 219

INTERNET : SERVICES ET RSEAUX

Transmissions et rseaux 3e dition Stphane Lohier, Dominique Prsent 312 pages Dunod, 2003

Rseaux et tlcoms Cours et exercices corrigs Claude Servin 840 pages Dunod, 2003

INTERNET : SERVICES ET RSEAUX


Cours, exercices corrigs et QCM

Stphane Lohier
Professeur lIUT de Marne-la-Valle

Dominique Prsent
Directeur de lIUT de Marne-la-Valle

Illustration de couverture : Digital Vision

Ce pictogramme mrite une explication. Son objet est dalerter le lecteur sur la menace que reprsente pour lavenir de lcrit, particulirement dans le domaine de ldition technique et universitaire, le dveloppement massif du photocopillage. Le Code de la proprit intellectuelle du 1er juillet 1992 interdit en effet expressment la photocopie usage collectif sans autorisation des ayants droit. Or, cette pratique sest gnralise dans les

tablissements denseignement suprieur, provoquant une baisse brutale des achats de livres et de revues, au point que la possibilit mme pour les auteurs de crer des uvres nouvelles et de les faire diter correctement est aujourdhui menace. Nous rappelons donc que toute reproduction, partielle ou totale, de la prsente publication est interdite sans autorisation du Centre franais dexploitation du droit de copie (CFC, 20 rue des GrandsAugustins, 75006 Paris).

Dunod, Paris, 2004 ISBN 2 10 006492 4


6 KJA HAFH IA J=JE K HAFH @K?JE E J CH= A K F=HJEA A B=EJA I= I A ? IA JA A J @A =KJAKH K @A IAI =O= JI @H EJ K =O= JI ?=KIA AIJ E E?EJA IA A + @A @A = FH FHE J E JA A?JKA A )HJ  " AJ ? IJEJKA K A ? JHAB= H FHE A F=H A + @A F = 5AK AI I J =KJ HEI AI )HJ  # AI ? FEAI K HAFH @K?JE I IJHE?JA A J H IAHL AI X KI=CA FHEL @K ? FEIJA AJ @AIJE AI X K A KJE EI=JE ? A?JELA =E IE GKA AI = = OIAI AJ ? KHJAI ?EJ=JE I KIJEBE AI F=H A ?=H=?J HA ?HEJEGKA F @=C CEGKA K @ E B H =JE @A KLHA X =GKA A A AI I J E ? HF H AI I KI H IAHLA J KJAB EI @K HAIFA?J @AI @EIF IEJE I @AI =HJE? AI   X   @K Z A + @A HA =JELAI X = HAFH @K?JE F=H HAFH CH=FDEA

Table des matires

CHAPITRE 1 Internet : un rseau doprateurs


1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 Internet : la partie invisible Oprateurs Internet : trois mtiers Les oprateurs de cblage Topologie des rseaux de transport Internet Le rseau dinterconnexion europen Ebone Les oprateurs de transport internationaux Trac et routage Les rseaux satellites

1 1 1 3 5 6 7 8 9 11 13 15 15 15 16 17 18 18 19 19

Rsum QCM
Dunod La photocopie non autorise est un dlit.

CHAPITRE 2 Se connecter Internet


2.1 Quel type de connexion choisir ? 2.1.1 2.1.2 2.1.3 2.2. 2.2.1 2.2.2 2.2.3 Mode connect ou non connect Professionnel ou particulier : deux problmatiques diffrentes Les protocoles utiliss Introduction Installation et paramtrage dun modem Le protocole PPP avec le RTC

Se connecter par le RTC

VI

Table des matires

2.3

Se connecter par Numris 2.3.1 Introduction 2.3.2 Installation et paramtrage dun modem Numris Se connecter par ADSL 2.4.1 Introduction 2.4.2 Installation et paramtrage dune connexion VPN 2.4.3 Le protocole PPP avec lADSL Se connecter par le cble Se connecter par liaison spcialise

21 21 22 22 22 23 24 26 28 30 31 33 34 39 39 41 41 42 43 45 45 46 50 51 52 55 55 55 57 58 60 62 64 65 66 67

2.4

2.5 2.6

Rsum QCM Exercices tude de cas : Loffre IP/ADSL de France Tlcom

CHAPITRE 3 TCP/IP pour le routage et la qualit de service, PPP vers le client


3.1 3.2 Classication OSI Le protocole IP (Internet Protocol) 3.2.1 Fonctionnalits du protocole IP 3.2.2 Format du paquet 3.2.3 Ladressage Internet Gestion des adresses et routage sur Internet 3.3.1 Adapter la gestion des adresses aux besoins 3.3.2 Le routage sur Internet Les protocoles de niveau transport : UDP et TCP 3.4.1 Le protocole UDP (User Datagramme Protocol) 3.4.2 Le protocole TCP (Transmission Control Protocol) IP et qualit de service 3.5.1 Pourquoi de la qualit de service ? 3.5.2 Mesurer et garantir les performances 3.5.3 Intserv sappuie sur RSVP 3.5.4 DiffServ dnit quatre classes de trac 3.5.5 MPLS : une question dtiquette 3.5.6 Routage des connexions garantie de service Le protocole PPP (Point-to-Point Protocol) 3.6.1 Gestion dune connexion 3.6.2 Trames PPP 3.6.3 Les protocoles PPPoE et PPPoA

3.3

3.4

3.5

3.6

Table des matires

VII

Rsum QCM Exercices Exercices pratiques tude de cas : Routage dans les rseaux doprateurs de transport

70 72 74 76 77 81 81 81 86 87 94 96 100 102 104 104 106 111 111 116 117 121 124 126 128 130 136 139 145 145 145 145 147 147

CHAPITRE 4 Les services sur Internet : messagerie, FTP et Web


4.1 Les services de messagerie 4.1.1 Architecture dune messagerie interne 4.1.2 Architecture dune messagerie externe 4.1.3 Les protocoles de messagerie 4.1.4 Se connecter distance 4.1.5 Installer, congurer les outils de messagerie 4.1.6 Les services webmail et listes de diffusion 4.1.7 Serveur de messagerie et scurit Le service de transfert de chiers 4.2.1 Architecture et fonctionnement dun serveur de chiers 4.2.2 Conguration dun serveur FTP Le service web 4.3.1 URL et protocole HTTP 4.3.2 Conguration dun navigateur 4.3.3 Conguration dun rewall personnel

4.2

4.3

Rsum QCM Exercices Exercices pratiques tude de cas 1 : Installation/conguration dun serveur SMTP/POP3 sous Windows
Dunod La photocopie non autorise est un dlit.

tude de cas 2 : Installation/conguration dun Webmail sous Windows tude de cas 3 : Mise jour dun site web par transfert FTP

CHAPITRE 5 Les serveurs http : conguration et scurisation


5.1 Choix dun serveur http 5.1.1 Logiciel et matriel 5.1.2 Architecture matrielle dun serveur 5.1.3 Architecture logicielle dun serveur Conguration dun serveur Apache

5.2

VIII

Table des matires

5.2.1 5.2.2 5.3 5.4

Exploitation sous Windows Exploitation sous Linux

147 155 156 158 158 159 161 165 173 175 177 180 182 183 193 201 205 207

Conguration dun serveur IIS Scurisation dun serveur http 5.4.1 Pourquoi scuriser ? 5.4.2 Scurisation du serveur 5.4.3 Utilisation dun coupe-feu 5.4.4 Utilisation dune connexion scurise avec HTTPS/SSL

Rsum QCM Exercices Exercices pratiques tude de cas 1 : Contrle daccs aux rpertoires dun site web tude de cas 2 : Mise en place dun certicat dauthentication

CHAPITRE 6 Corrigs des QCM et des exercices ANNEXE Protocoles et couches OSI Bibliographie Index

Chapitre 1

Internet : un rseau doprateurs

1.1

INTERNET : LA PARTIE INVISIBLE

Nous connaissons, utilisons, surfons rgulirement sur Internet. Nous matrisons plus ou moins le navigateur, connaissons les adresses de nos sites prfrs. Nous savons chercher, trouver le meilleur abonnement au prestataire de service. Ce qui est moins connu, moins visible, ce sont les mtiers et techniques qui permettent nos messages darriver leur destinataire, et nous permettent dinterroger et naviguer sur les serveurs web.

1.2

OPRATEURS INTERNET : TROIS MTIERS

Dunod La photocopie non autorise est un dlit.

Pour que des donnes transitent dun ordinateur source jusqu un ordinateur destinataire , il faut un rseau de cbles, bres optiques ou faisceaux hertziens, des quipements pour diriger les donnes jusqu leur destinataire et connecter les ordinateurs et matriels traverss. Qui investit dans ces matriels et quipements, qui les entretient et qui nance tout ce rseau ? Tout le fonctionnement dInternet repose sur trois types doprateurs (gure 1.1) : le prestataire de service, le fournisseur daccs, loprateur de transport. Mais tout repose sur un rseau de cbles utiliss pour Internet ou dautres types de donnes installs et grs par des oprateurs de cblage. Au plus proche de linternaute se trouve le prestataire de service (Internet Services Provider). Il propose des services de connexions aux internautes. En change dun abonnement, le client dispose au minimum dune connexion au rseau Internet et dune adresse lectronique (dupont@wanadoo.fr) correspondant une bote aux

1 Internet : un rseau doprateurs

lettres lectronique. Des services complmentaires sont souvent proposs avec ou en plus de labonnement tels quhbergement de pages web, interface minitel, WAP, informations thmatiques personnalises et actualises.

Services Internet

Fournisseur daccs

Prestataire de service

Rseau Internet

Oprateur de transport Oprateur de cblage

Figure 1.1

Les oprateurs Internet.

Si dun ct, le prestataire de service propose une connexion ses clients, il doit, de lautre, tre lui-mme connect un rseau Internet (gure 1.2). Pour cela, il loue une connexion Internet un Fournisseur dAccs Internet (FAI est la traduction de Internet Access Provider) et achte un nom de domaine auprs dun organisme habilit par une autorit dadministration Internet. Trois organismes regroups au sein de lICANN (www.icann.org) couvrent lensemble des rgions : lAPNIC (www.apnic.net) pour lAsie et le Pacique, lARIN (www.arin.net) pour lAmrique nord et sud et le sud de lAfrique et le RIPE (www.ripe.net) pour les rseaux europens, y compris le nord de lAfrique, le bassin mditerranen et la Russie. LAFNIC (Association Franaise pour le Nommage Internet en Coopration www.afnic.fr) est charge dattribuer les noms de domaine en fr .
routeur routeur routeur Internet Modem RTC Modem Figure 1.2 Serveur (DNS, Web, serveur de messagerie...) connexion
Le prestataire de service.

routeur

Linternaute ou lentreprise utilise gnralement un oprateur de tlcommunications pour raccorder ses quipements ceux du prestataire de services. Il peut utiliser

O p rateur de t ransport de t l com m uni cati on

Client Internet

Entreprise

Internaute

1.3

Les oprateurs de cblage

le Rseau Tlphonique Commut (RTC) laide dun modem standard ou haut dbit ADSL, une liaison par cble ou hertzienne. Ces types de raccordement sont dtaills au chapitre 2, Se connecter Internet. Le Fournisseur dAccs Internet (FAI) dispose des quipements permettant de connecter les quipements du prestataire de service. Cest un point daccs un rseau Internet. Certains fournisseurs daccs connectent directement les quipements des entreprises, sans que celles-ci ne passent par un prestataire de service. Sils fournissent ainsi laccs Internet, ils ne proposent pas leurs clients les autres services (messagerie, hbergement de pages web). Le fournisseur daccs choisit un oprateur de transport pour prendre en charge les donnes de ses clients. Loprateur de transport Internet est charg dacheminer les donnes prises en charge lun de ses points daccs vers un autre point de son rseau. Si le destinataire nest pas lun de ses clients, les donnes seront diriges vers le rseau dun autre oprateur de transport, jusqu atteindre le rseau de transport dont le destinataire est client. La plupart des oprateurs actuels assurent deux voir trois mtiers dcrits. On trouve des oprateurs de dimension europenne tels que Eunet ou Olane, nationale comme Renater, mais aussi rgionale tel que ICX Networks intervenant dans le Bassin mditerranen. Les rseaux de tous ces oprateurs de transport sont interconnects entre eux.
TABLEAU 1.1
Prestataire AOL Wanadoo

EXEMPLES DOPRATEURS INTERNET


Fournisseur daccs AOL Wanadoo Olane Eunet Renater Netissimo Olane Eunet Renater Oprateur de transport

Dunod La photocopie non autorise est un dlit.

ICX Network

ICX Networks

1.3

LES OPRATEURS DE CBLAGE

Les rseaux de transport sont soit des rseaux cbls, le plus souvent en bre optique, ou des rseaux hertziens utilisant des satellites comme relais. Les rseaux cbls sont de type maill, cest--dire quils proposent plusieurs chemins pour aller dun point un autre (gure 1.3). Ils sont donc constitus dun ensemble de liaisons point point. Chacune de ces liaisons prsente un dbit maximum de transmission, appel galement capacit du support ou bande passante.

1 Internet : un rseau doprateurs

Ces liaisons point point sont installes par un oprateur de cblage ou cblooprateur. Elles peuvent tre gres et maintenues en tat soit par loprateur de transport, soit par loprateur de cblage. Un segment ou quipement du rseau dun oprateur de transport peut savrer insufsant pour assurer la transmission des donnes (bande passante des liaisons ou du routeur insufsante). Loprateur peut augmenter la capacit de son quipement ou du segment, mettre en place des liaisons permettant de proposer un autre chemin au trac excdent. Il peut galement louer un oprateur de cblage ou de transport tiers une liaison pour ce trac excdentaire comme le montre la gure 1.3.
oprateur de transport A

oprateur de transport B point d'accs de commutateur l'oprateur de transport ou routeur Figure 1.3
Topologie dun rseau doprateur.

Comme pour les oprateurs de transport, les cblo-oprateurs peuvent tre de dimension europenne, nationale ou rgionale. Le tableau 1.2 rpertorie quelques oprateurs de cblage oprant sur le territoire franais, ainsi que les fournisseurs daccs qui leur sont associs.
TABLEAU 1.2
Cblo-oprateur France Telecom British Telecom Cable & Wireless Sprint AT&T Mediarseaux NTL est vidocommunication

EXEMPLES DOPRATEURS DE CBLAGE.


Rgion Europe Europe Grande Bretagne USA USA est de Paris Paris - Toulon Strasbourg UPC Noos Sprint Fournisseur daccs Wanadoo

1.4

Topologie des rseaux de transport Internet

1.4

TOPOLOGIE DES RSEAUX DE TRANSPORT INTERNET

La France est donc couverte par plusieurs rseaux de transport de tailles trs diffrentes. La gure 1.4 montre le rseau de loprateur ICX Network.
Internet

Internet

Luxembourg Paris

Toulouse

Nmes Montpellier Perpignan

ATM Frame Relay Barcelone

Figure 1.4

Topologie du rseau de loprateur ICX Network (www.icx.fr).

Dunod La photocopie non autorise est un dlit.

Son rseau interconnecte quatre villes du Languedoc-Roussillon, ainsi que la ville de Barcelone, o se trouvent des points daccs Internet pour les abonns. Le rseau est reli directement Paris et au Luxembourg pour accder au rseau Ebone (gure 1.6) interconnectant les rseaux de tous les oprateurs de transport. Le rseau national Olane de loprateur GlobalOne est reprsentatif dune topologie en ptale (gure 1.5). Larchitecture est centre sur Paris o se trouve linterconnexion avec les rseaux des autres oprateurs et avec le rseau dinterconnexion Ebone. De l partent des segments radiaux, par exemple vers Toulouse, puis un segment circulaire, ici Montpellier et Marseille, et un retour par un segment radial, Lyon Paris. Les prestataires de service et les entreprises doivent prvoir une liaison jusquau point daccs de loprateur de transport. Si cela reprsente un faible cot en rgion parisienne, cela peut tre diffrent en province. Cest un point prendre en compte dans le choix de limplantation dune entreprise. Une ligne loue 2 Mb/s cotait au

1 Internet : un rseau doprateurs

1er juillet 2003 environ 2 000 /mois pour 50 km (tarif Transx www.francetelecom.com/fr/entreprises/). Les temps de transmission sont le plus souvent infrieurs 150 ms. Depuis linstallation des bres optiques, les capacits des liaisons sont utilises environ 10 %.

Rseau Internet Olane (Nuds principaux)

point d'accs

segment radial

segment circulaire

Glane 1998 www.oleane.net

Figure 1.5

Topologie du rseau de loprateur Olane (www.oleane.net ou www.transpac.fr).

1.5

LE RSEAU DINTERCONNEXION EUROPEN EBONE

Les rseaux des oprateurs de transport doivent tre interconnects pour permettre leurs clients de pouvoir joindre tout destinataire abonn un autre oprateur. Cest le rle du rseau europen Ebone (gure 1.6). Il est constitu de plaques relies par des liaisons haut dbit (155 Mb/s 2,5 Gb/s). linterconnexion avec le continent amricain est assure par un ensemble de liens (cbles transatlantiques) totalisant plusieurs gigabits par seconde, au dpart des villes dAmsterdam et de Rotterdam. Pour bncier de ce rseau, les oprateurs de transport doivent se raccorder au niveau des points de prsence (gure 1.6, PoP). Cela explique la topologie en ptale adopte par la majorit des oprateurs de transport. Le rseau Ebone est ouvert tout type de trac, quil soit gouvernemental (administration, recherche, enseignement) industriel ou commercial.

1.6

Les oprateurs de transport internationaux

Figure 1.6

Rseau dinterconnexion Ebone (www.eurorings.kpn.com).

Ce rseau, a t rachet en mars 2002 par KPNQwest (www.eurorings.kpn.com) et intgr au rseau EuroRing qui interconnecte 50 villes europennes.

1.6

LES OPRATEURS DE TRANSPORT INTERNATIONAUX

Dunod La photocopie non autorise est un dlit.

Beaucoup doprateurs europens sont des liales doprateurs de transport internationaux. Lexemple du rseau mondial (gure 1.7) de loprateur mci ( www.global.mci.com/fr/) montre la place centrale occupe par le continent nord amricain dans la topologie des rseaux mondiaux. Cette architecture amne deux remarques : une perturbation du trac sur le rseau Internet amricain conduira des perturbations sur les tracs intercontinentaux entre lEurope, le continent asiatique et lAustralie ; toutes les donnes entre lEurope et lAsie transitent par le continent amricain, induisant la possibilit dune surveillance . Lutilisation de liaisons satellites est une rponse cette situation. Aujourdhui, avec lutilisation gnralise de la bre optique, les dbits des liaisons transatlantiques sont sufsants pour faire face au trac actuel. Les difcults de connexion des sites amricains aprs 15 heures sont devenues assez rares.

1 Internet : un rseau doprateurs

Figure 1.7

Rseau international de loprateur WorldCom (www.global.mci.com/fr/).

1.7

TRAFIC ET ROUTAGE

La topologie des rseaux des oprateurs Internet est telle que : les donnes traversent le plus souvent plusieurs rseaux doprateurs (gure 1.8) ; si lon peut choisir loprateur de transport auquel sont raccords nos quipements et matriser ainsi localement la qualit de la transmission, il nest pas possible de garantir cette qualit travers les rseaux traverss ;

routeur routeur routeur

client

serveur http

routeur

Figure 1.8

Les donnes traversent plusieurs rseaux doprateurs.

1.8

Les rseaux satellites

pour assurer la transmission des donnes ncessaires certaines applications telles la vido, lensemble des oprateurs devra dans les annes venir assurer une qualit de service (QoS) sur leur rseau ; le routage (choix dun chemin entre ordinateurs source et destination partir des adresses) emprunte rarement le plus court chemin, rallongeant le dlai de transmission. Les temps de traverse dun rseau doprateur sont de quelques centaines de millisecondes ; si les capacits actuelles des liaisons engendrent peu dencombrement des rseaux (environ 10 % de la capacit est utilise), les oprateurs ne peuvent garantir les dlais de transmission. Les graphiques de la gure 1.9 montrent une anomalie apparaissant dans les temps de rponse des rseaux doprateurs, simultanment en Europe, aux tats-Unis et sur le continent sud-amricain.

Rseau franais 236 ms

Rseau amricain Sprint 163ms

Rseau sud-amricain 292ms

Dunod La photocopie non autorise est un dlit.

Figure 1.9

Performances de rseaux doprateurs (www.internettrafcreport.com).

1.8

LES RSEAUX SATELLITES

Les oprateurs de transport utilisant les satellites se multiplient. Si le cot est encore plus lev que les liaisons cbles, ils sont une solution approprie pour les zones gographiques o les liaisons cbles sont de qualit limitant les dbits quelques dizaines de Kb/s ou lorsquil nexiste pas dinfrastructure cble. Deux exemples illustrent ces propos :

10

1 Internet : un rseau doprateurs

ISF Tlcom (www.valsat.7p.com), oprateur de transport canadien offre des liaisons satellites dans les deux sens (mission-rception), pour les rgions ou les techniques DSL ne sont pas utilisables ; le rseau Eutelsat (www.eutelsat.com) couvre en plus de lEurope, lEurope de lest et lAfrique, territoires o linfrastructure cble est faible (gure 1.10).

W4 ar 36 degrees East O' 5' 10' 5' 20' 52 dBW 51 dBW

50 dBW 48 dBW 46 dBW 44 dBW

42 dBW

55 dBW 54 dBW 52 dBW 50 dBW 48 dBW 44 dBW 40 dBW

45 dBW 44 dBW 42 dBW 40 dBW 36 dBW

Figure 1.10

Couverture du satellite W4 dEutelsat (www.eutelsat.com).

Grce leurs capacits de liaison point-multipoint (broadcasting), les rseaux satellites offrent leurs clients un ensemble trs complet de services : TV et radio numriques et analogiques ; la tlphonie mobile ; des liaisons point point voix-donnes pour raliser un rseau tendu dentreprises ; la localisation de vhicules ou bateaux et des liaisons voix-donnes pour les entreprises de logistique. Outre loprateur EutelSat, citons Intelsat (www.intelsat.com) et Hughes Network systems (www.hns.com) en Amrique du nord, Europe et Asie ; Gilat (www.gilat.com) intervient en plus en Amrique latine et en Chine. Ces oprateurs de transport ont la spcicit dtre galement fournisseur daccs Internet pour les entreprises et les particuliers, comme pour les prestataires de services.

Rsum

11

Pour le client, deux cas se prsentent (gure 1.11) : la liaison hertzienne est double voie (mission-rception), lquipement satellitaire (antenne + modulateur/dmodulateur) est sufsant ; la liaison hertzienne est simple voie (rception uniquement). Il doit alors se connecter un prestataire de service par une infrastructure cble (cble ou rseau de tlcommunication) pour envoyer des donnes.

FAI

client

serveur FAI client

Figure 1.11

Les deux cas de liaison par satellite.

Rsum

Dunod La photocopie non autorise est un dlit.

1. Oprateurs Internet : trois mtiers le prestataire de services propose des services daccs, messagerie, hbergement de pages ; le fournisseur daccs dispose des quipements permettant la connexion des quipements de labonn dune part, la connexion de ses quipements un rseau Internet dautre part ; loprateur de transport Internet assure le transport des donnes travers son rseau. La plupart des oprateurs assurent au moins 2 des 3 mtiers. 2. Les oprateurs de cblage un rseau Internet est de type maill ; un rseau maill est un ensemble de liaisons point point ; les oprateurs de cblage disposent de liaisons point point ; un oprateur de transport Internet peut louer des liaisons un oprateur de cblage.

12

1 Internet : un rseau doprateurs

3. Topologie des rseaux de transport Internet les rseaux peuvent tre de taille rgionale, nationale ou europenne ; les rseaux nationaux ont le plus souvent une topologie en ptale ; pour se connecter au rseau, les clients doivent faire appel un oprateur de tlcommunication. 4. Le rseau dinterconnexion europen Ebone Ebone est constitu : de Points de Prsence europens relis par des liaisons haut dbit (155 Mbit/s 2,5 Gb/s) ; de liaisons transatlantiques totalisant plusieurs gigabits par seconde. les rseaux nationaux, privs ou autres qui veulent bncier de Ebone viennent se raccorder au Point de Prsence le plus proche ; Ebone admet tous types de trac : enseignement, recherche, industrie... 5. Les oprateurs de transport internationaux le continent nord amricain occupe une place centrale dans la topologie des rseaux Internet mondiaux ; les liaisons satellites permettent des changes directs entre lEurope et lAsie. 6. Trac et routage les donnes traversent le plus souvent plusieurs rseaux doprateurs ; il nest pas possible de garantir la qualit de la transmission tout au long des rseaux traverss ; les temps de traverse dun rseau doprateur sont de quelques centaines de millisecondes ; les oprateurs ne peuvent garantir, pour linstant, les dlais de transmission. 7. Les rseaux satellites ils permettent de desservir des zones gographiques non cbles ; ils sont adapts une diffusion multipoint (broacasting) ; ils ncessitent des quipements plus coteux, notamment pour un particulier souhaitant mettre.

QCM

13

QCM
Une version lectronique et interactive est disponible sur le site www.dunod.com. 1. Oprateurs Internet : trois mtiers
Q1. Loprateur de transport fournit un service direct : a) loprateur de cblage b) au fournisseur daccs c) au prestataire de service d) linternaute Q2. Le fournisseur daccs Internet travaille directement avec : a) loprateur de cblage b) le prestataire de service c) loprateur de transport d) linternaute Q3. Le rseau Internet est de type maill parce que : a) linternaute a le choix du prestataire de service b) il est constitu dun ensemble reli doprateurs de transport c) les donnes peuvent emprunter plusieurs chemins pour aller dun point un autre d) les donnes peuvent emprunter plusieurs rseaux doprateurs de transport

2. Les oprateurs de cblage


Q4. La topologie des rseaux Internet des oprateurs de transport de dimension nationale est de type : a) en toile b) en anneau c) maill d) en ptale Q5. Un oprateur de cblage gre : a) des routeurs c) des serveurs daccs distant b) des liaisons point point

3. Topologie des rseaux de transport Internet


Q6. Le rseau dun oprateur de transport couvre au moins : a) une ville b) un pays c) une rgion d) un continent

4. Le rseau dinterconnexion europen Ebone


Q7. Le rseau Ebone interconnecte les quipements : a) des oprateurs de transport b) des prestataires de service c) des fournisseurs daccs d) des oprateurs de cblage

Dunod La photocopie non autorise est un dlit.

5. Trac et routage
Q8. Indiquer le temps moyen pour accder un site amricain : a) 50 ms b) 250 ms c) 540 ms d) 930 ms

Chapitre 2

Se connecter Internet

2.1

QUEL TYPE DE CONNEXION CHOISIR ?

2.1.1 Mode connect ou non connect Que le client soit une grande entreprise, une PME/PMI ou un particulier, lobjectif est le mme : matriser les cots de communication. Le choix va dpendre du type de service envisag (fournir et/ou recevoir de linformation), du volume dinformations traiter et du temps imparti. Deux modes de connexion existent : le mode connect et le mode permanent (non connect). Le mode connect ncessite, pralablement laccs Internet, ltablissement dune liaison avec loprateur de raccordement Internet (prestataire de service ou fournisseur daccs) travers un rseau commut (rseau tlphonique commut par exemple). Dans ce mode, le client ne paie que le temps dutilisation effectif de la connexion Internet. Par contre, il ne pourra accder Internet que si son oprateur dispose dune ligne libre pour la connexion. Aux heures de pointe, il faudra patienter et attendre quune ligne se libre. Le temps dattente est souvent inversement proportionnel au prix de labonnement. Plus le rapport du nombre dabonns au nombre de lignes dun prestataire est grand (over-booking), plus la probabilit de disposer dune ligne est faible. Le mode connect est utilis pour les liaisons par le RTC, les GSM et GPRS (gure 2.1). Le mode non connect utilise une liaison permanente entre le client et loprateur, que le client se connecte Internet ou non. Le cot est le plus souvent forfaitaire (abonnement mensuel) et/ou au volume de donnes changes (en mga-octets ou Mo). Certains prestataires incluent dans labonnement un volume forfaitaire au-del duquel les donnes supplmentaires changes sont factures au Mo.

Dunod La photocopie non autorise est un dlit.

16

2 Se connecter Internet

oprateur de tlcommunication Internaute Prestataire Modem RTC Modem mode connect serveur de connexion routeur

oprateur Internet routeur

Internet routeur

Serveur http

Figure 2.1

Raccordement Internet par un rseau en mode connect.

Dans ce mode, le client est sr de pouvoir accder Internet au moment de son choix. Cest un mode de connexion quasiment indispensable pour les clients souhaitant installer dans leurs locaux un serveur web. Celui-ci doit en effet tre accessible en permanence par les internautes. Lalternative consiste faire hberger son serveur chez un prestataire. Cette solution peut savrer plus conomique, mais moins souple quant la mise jour du site.

Rseau dentreprise

lignes loues ou LS Transfi xes lignes ou spcialis (ex. : Transfix)

prestataire

Rseau doprateur

Rseau d'entreprise

Figure 2.2

Raccordement Internet par un rseau en mode non connect.

2.1.2 Professionnel ou particulier : deux problmatiques diffrentes Vous lavez devin, il ny a pas de solution vidente dans le choix dun type de connexion Internet et dun prestataire. Par contre il y a les bonnes questions se poser. En plus des paramtres classiques tels le dbit, le cot de labonnement et de la liaison, dautres paramtres sont utiles pour guider le choix. Parmi ceux-ci : le taux de disponibilit des lignes du prestataire ; le dbit disponible entre le prestataire et Internet ; le taux dindisponibilit des services du prestataire (pannes et maintenance) ; le temps de remise en service en cas de panne (le taux de panne zro nexiste pas). Si ces informations sont accessibles assez facilement par les responsables des grandes entreprises, elles sont plus difciles obtenir des prestataires pour les PME/PMI, voir le particulier. Par contre lobtention de ces informations est un gage

2.1

Quel type de connexion choisir ?

17

de srieux du prestataire. Il montre une surveillance de la qualit des services fournis et un engagement qualit vis--vis du client. Cet engagement a forcment un cot pour le prestataire, quil rpercute sur labonnement. Un autre lment considrer concerne le dbit. Il faut garder en mmoire le fait que le dbit garanti par le prestataire est celui de la liaison entre ses quipements et ceux de labonn, en aucune manire le dbit sur Internet. Or sur Internet, le dbit nest pas garanti (voir paragraphe 3.4, Les protocoles de niveau transport : UDP et TCP). Disposer dun dbit suprieur au dbit rel entre le prestataire et Internet ou sur Internet conduit une sous-utilisation de la liaison avec le prestataire. Pour un usage professionnel, le moins cher nest pas toujours le plus conomique. Pour tablir un budget prvisionnel able, le professionnel a besoin de matriser le cot de sa connexion et de disposer dun service conforme ses besoins. Le cot de la connexion comporte lamortissement de lquipement ncessaire, labonnement et le cot des communications. Le service prend en compte les dbits disponibles, dont dpend la dure de la communication, et la facilit dtablir une connexion (capacit de connexion du prestataire et taux dindisponibilit). Cest donc le rapport (amortissement quipement + abonnement + communication)/(services) quil faudra prendre en compte. Lvaluation des services est bien sr subjective. Toutefois, il ne faut pas oublier que pour un professionnel, le temps pass en connexion sur Internet cote non seulement la communication, mais galement le salaire de la personne connecte. 2.1.3 Les protocoles utiliss Quel que soit le mode choisi, le raccordement avec le prestataire de service ou le fournisseur daccs Internet se fait par une liaison point point : point de raccordement du client (modem ou routeur) ; point de raccordement du prestataire ou fournisseur daccs (mme quipement que le client). Il est ncessaire que client et prestataire ou fournisseur utilisent les mmes protocoles : protocole dtablissement de la liaison pour un rseau en mode connect ; protocole de transmission des donnes sur la liaison ; protocole dtablissement de la connexion entre lapplication du client (navigateur par exemple) et le serveur de connexion du prestataire ou fournisseur ; protocole didentication du client. Dans le cas dun raccordement par le RTC, louverture par le client du navigateur paramtr sur ladresse du prestataire ncessite la mise en uvre des protocoles prsents sur la gure 2.3 : 1. Demande dtablissement de connexion TCP avec le service TCP du prestataire. 2. Demande (initie par TCP/IP) dtablissement de connexion au protocole PPP (demande traite par le protocole LCP, voir paragraphe 3.6, Le protocole PPP). 3. tablissement de la liaison par le modem, la demande du protocole LCP.

Dunod La photocopie non autorise est un dlit.

18

2 Se connecter Internet

client prestataire ou fournisseur navigateur (Netscape...) messagerie (Eudora...) protocole de gestion de la connexion TCP / IP protocole de transmission protocole PPP Modem protocole de gestion de la liaison protocole PPP Modem TCP / IP serveur de connexion serveur d'authentification

RTC

Figure 2.3

Protocoles utiliss dans un raccordement par le RTC.

Une fois la liaison tablie entre les modems, les protocoles PPP se mettent daccord sur les paramtres dchange des donnes, puis cest au tour des protocoles TCP dtablir le dialogue. Enn le serveur dauthentication demandera le nom dutilisateur et le mot de passe du client. Chaque tablissement de dialogue par les protocoles peut tre visualis par des messages ou des icnes safchant sur lcran de lordinateur client. Ces informations sont importantes pour suivre les phases de connexion et localiser les causes possibles dun dysfonctionnement lors de ltablissement dune connexion avec le prestataire.

2.2. SE CONNECTER PAR LE RTC


2.2.1 Introduction Le raccordement par le RTC ncessite : un modem charg de la gestion de la liaison avec le modem du prestataire, du codage des donnes transmettre et de leur mise en forme (trame asynchrone oriente caractre). Les fonctions et modes de transmission des modems sont dtaills au paragraphe 4.3 de louvrage Transmissions et Rseaux1 ; le protocole PPP (Point to Point Protocol) ; le protocole TCP/IP.
1. Lohier S. et Prsent D., Transmissions et Rseaux, 3e dition, Dunod, 2003.

2.2.

Se connecter par le RTC

19

Pour que lensemble fonctionne, il faut paramtrer tous les protocoles et tablir un lien entre chacun des protocoles contigus. Ce paramtrage et ces liens (par exemple entre IP et PPP) sont gnralement assurs par le systme dexploitation de manire transparente pour lutilisateur. 2.2.2 Installation et paramtrage dun modem Linstallation dun modem est de plus en plus simplie par les fonctions plug & play dinstallation de priphrique fournies par les systmes dexploitation. Sous Windows, beaucoup de modems sont dtects et installs automatiquement, y compris le choix du port srie et de lIRQ (n dinterruption utilise) associs. Sous Unix ou Linux, suivant les distributions, linstallation peut tre automatique ou ncessiter la modication de chiers de conguration. Le paramtrage du modem peut par contre introduire des dysfonctionnements. Il faut se rappeler que le dialogue entre modem est un dialogue point point ncessitant un paramtrage identique des deux modems1. Le pilote (driver) install utilise des paramtres par dfaut . Comme peu dutilisateurs modient ce paramtrage, les modems peuvent dialoguer entre eux. Les paramtres par dfaut sont le plus souvent : un dbit maximum de 56 Kb/s sur la ligne pour les modems rcents V.90 ou V.92 ; 8 bits de donnes ; aucune parit ; 1 bit darrt ; contrle de ux matriel (RTS/CTS). Si par contre, le paramtrage par dfaut est spcique, ou si une application a modi ce dernier, le dialogue avec le modem du prestataire peut savrer impossible. La gure 2.4 montre les fentres de paramtrage des modems sous Windows. 2.2.3 Le protocole PPP avec le RTC Dans une connexion point point le protocole PPP sinterpose entre le protocole IP et le protocole de transmission (dans le cas du RTC, la transmission asynchrone du modem) (gure 2.5). Le premier protocole conu dans ce but est SLIP ( Serial Line Internet Protocol). PPP (Point to Point Protocol) ajoute la dtection derreurs et sinterface avec plusieurs protocoles de niveau 2 et 3 (IP, IPX) et de niveau 1 et 2 (ATM, Ethernet). Le protocole PPP regroupe en fait trois protocoles : le protocole PPP met les donnes dans des trames. Le format de la trame PPP permet la dtection des erreurs, le marquage de la n dune trame et du dbut de la suivante ; le protocole LCP (Link Control Protocol) active et teste la ligne, ngocie les options et dsactive la ligne en n de connexion ;
1. Cf. ltude de cas du chapitre 3 de louvrage Transmissions et Rseaux.

Dunod La photocopie non autorise est un dlit.

20

2 Se connecter Internet

Paramtres dfinir : dbit ; format de la trame : * nombre de bits de donnes transmis ; * type de contrle des donnes ; * nombre de bits de sparation des trames ; * type de contrle de flux.

Figure 2.4

Paramtrage dun modem sous Windows.

dialogue IP IP NCP PPP dialogue PPP prestataire ou fournisseur d'accs

client

serveur d'accs distant serveur Internet Modem RTC

Modem

Figure 2.5

Dialogues PPP et IP entre le client et le prestataire de service.

2.3

Se connecter par Numris

21

le protocole NCP (Network Control Protocol) diffrent pour chaque protocole rseau support. Pour permettre la transmission travers le RTC, les paquets IP subissent une succession de fragmentation/rassemblage destines passer de blocs de 64 Ko maximum au niveau IP 1 octet au niveau modem. La gure 2.6 donne une ide des traitements et fragmentations ncessaires : sur le RTC, les modems transmettent les donnes octet par octet ; le datagramme IP peut contenir jusqu 64 Ko de donnes ; NCP doit fragmenter les datagrammes et contrler la transmission correcte des trames PPP.

Datagramme IP

En-tte IP

Donnes de niveau 4 (64 Ko max.)

NCP

PPP

En-tte

ctrl

Modem

octet

octet

octet

RTC

Figure 2.6

Fragmentation des blocs de donnes pour une transmission asynchrone sur le RTC.

2.3

SE CONNECTER PAR NUMRIS

2.3.1 Introduction Le Rseau Numrique Intgration de Services (RNIS) dont lappellation commerciale en France est Numris utilise un mode de transmission unique pour la voix et les donnes numriques1. Larchitecture dune connexion par Numris est identique celle utilisant le RTC, seul le rseau de loprateur est diffrent. Quelques diffrences toutefois : le protocole de niveau 2 utilis par Numris dnit un format de trame, lutilisation de PPP est donc inutile ; pour un accs de base, Numris offre un dbit vers Internet de 64 Kb/s ou de 128 Kb/s ; un accs de base autorise deux connexions simultanes 64 Kb/s (ex. : deux connexions simultanes Internet ou une connexion Internet et une connexion voix ou fax).
1. Cf. paragraphe 8.5 de louvrage Transmissions et Rseaux.

Dunod La photocopie non autorise est un dlit.

22

2 Se connecter Internet

Le raccordement par Numris ncessite : un botier ou une carte de connexion, parfois appel modem par analogie avec le RTC bien que le signal reste numrique ; le protocole TCP/IP. 2.3.2 Installation et paramtrage dun modem Numris La procdure dinstallation dun modem (ou pseudo-modem) RNIS est identique celle dun modem analogique. Sous Windows, utiliser lajout/suppression de matriel pour un modem sur carte. Le paramtrage est par contre spcique.

2.4

SE CONNECTER PAR ADSL

2.4.1 Introduction LADSL est un mode de transmission analogique de donnes numriques autorisant des dbits de 2 Mb/s sur les paires tlphoniques du RTC. Comme pour Numris, les liaisons ADSL autorisent une connexion simultane au RTC et Internet via un rseau de collecte ATM. Les signaux de chaque source (voix et Internet) sont spars par un ltre chaque extrmit de la liaison de labonn au rseau de loprateur (gure 2.7).

ordinateur modem ADSL

commutateur d'abonn RTC filtre serveur du prestataire ou fournisseur d'accs

tlphone

filtre

DSL access multiplexer

rseau de collecte ATM

Broadband Access Server

Figure 2.7

Architecture dune connexion ADSL au prestataire ou fournisseur daccs.

Le raccordement par ADSL utilise : un modem associ un ltre ; une connexion VPN (Virtual Private Network) en accs distant ; le protocole PPTP (Point to Point Tunneling Protocol) ; le protocole TCP/IP.

2.4

Se connecter par ADSL

23

Le protocole PPTP met en uvre les mcanismes de base du protocole PPP (incluant LCP et NCP). De plus, intgrant lencapsulation et le cryptage, il permet de crer de manire scurise des rseaux privs virtuels sur Internet. 2.4.2 Installation et paramtrage dune connexion VPN Ltablissement dune connexion VPN (Virtual Private Network) sappuie sur un serveur VPN et un serveur dauthentication (souvent de type Radius) : ltablissement de la connexion VPN, le serveur VPN alloue une adresse IP qui peut tre publique ou prive ; ltablissement de la connexion le serveur daccs (Network Access Server) du fournisseur daccs (FAI) alloue la station une adresse IP publique ; ladresse IP du destinataire est encapsule par len-tte IP de la connexion VPN. Elle est donc ignore des routeurs. Une fois la connexion tablie au niveau liaison et rseau, la scurisation est mise en uvre en cryptant et en encapsulant les units de donnes de niveaux suprieurs dans les paquets PPTP.
@ destination : serveur Internet @ source : alloue par le serveur VPN @ destination : serveur VPN @ source : alloue par le FAI

donnes

TCP

IP

PPP

GRE

IP

en-tte niv. 2 serveur VPN

connexion VPN liaison USB ou 10BaseT filtre modem DSLAM

tunnel

rseau de collecte ATM

Dunod La photocopie non autorise est un dlit.

filtre

serveur d'accs

Internet

Figure 2.8

Encapsulation des paquets IP sur une connexion VPN.

La gure 2.8 montre que ladresse IP circulant sur Internet est une adresse alloue par le serveur VPN et non celle du client alloue par le fournisseur daccs Internet (FAI). Il y a donc scurisation de lidentit du client. Le serveur VPN assure les translations dadresses. Sous Windows, linstallation dune connexion VPN passe dabord par linstallation dune carte rseau VPN (carte virtuelle) et du protocole TCP-IP associ cette carte.

24

2 Se connecter Internet

Comme le montre la gure 2.9, la conguration utilise deux adresses : adresse IP du serveur VPN ; adresse IP prive pour laccs au serveur du fournisseur daccs Internet.

Adresse de la carte pour accs au serveur du FAI Adresse du serveur VPN

Figure 2.9

Paramtrage dune connexion VPN sur lADSL.

Ladresse utilise est une adresse prive non routable par les routeurs Internet. Lquipement du client est donc inaccessible par un piratage venant de lextrieur. Laccs Internet par une connexion ADSL sous Windows sinitialise par le menu accs rseau distance . Lors de la cration dune nouvelle connexion, le logiciel demande le type dinterface utiliser. Aprs linstallation dune carte rseau VPN, il sera possible de la slectionner pour la connexion. Il faudra ensuite entrer le nom dutilisateur et le mot de passe fournis par loprateur ADSL. La gure 2.10 montre les paramtres mmoriss aprs cration. 2.4.3 Le protocole PPP avec lADSL Contrairement au protocole de transmission asynchrone des modems utiliss sur le RTC, le protocole ADSL nest quun mode de transmission. Il ne dnit aucun format de trame de niveau 2. Il nest donc pas sufsant lui seul pour une dtection derreurs de transmission la rception. Le recours un protocole de niveau 2 entre PPTP et ADSL savre ncessaire. Parmi les protocoles de niveau 2 possibles, les plus utiliss sont ATM et Ethernet.

2.4

Se connecter par ADSL

25

Figure 2.10

Paramtres dune connexion par accs rseau distance via ADSL.

Associ ATM, le protocole PPP deviendra PPPoA (PPP over ATM), associ Ethernet on aura PPPoE (PPP over Ethernet). Bien sr, seules les fonctionnalits indispensables seront mises en uvre. Pour Ethernet, par exemple, seront retenus le format de trame incluant la somme de contrle derreur (checksum), la mthode daccs au support de type CSMA/CD ne sera daucune utilit (gure 2.11).

IP NCP
Dunod La photocopie non autorise est un dlit.

PPP over ATM (PPPoA) ATM

PPP Ethernet ADSL

PPP over Ethernet (PPPoE)

Figure 2.11

Association du protocole PPP avec ATM et Ethernet.

La gure 2.12 montre les requtes transmises par le routeur dun client ADSL lors de ltablissement dune connexion avec son fournisseur daccs Internet. Ltude de cas montre les phases dtablissement dun tunnel PPP entre le client et le fournisseur daccs Internet travers les quipements du fournisseur daccs ADSL franais Netissimo .

26

2 Se connecter Internet

Figure 2.12

Dialogue dtablissement dune connexion PPP via ADSL.

2.5

SE CONNECTER PAR LE CBLE

Ce type de connexion utilise les rseaux cbls de tlvision prsents dans les agglomrations denses. La technologie permet la retransmission de donnes numriques sur un ou plusieurs canaux de cble de 6 MHz. Les autres signaux, vido et audio (la tlvision par cble et le son FM), peuvent ainsi tre transmis sur dautres canaux du mme cble. La technologie du rseau local large bande permet de faire coexister ces diffrents services simultanment. Le rseau de transport en bre optique distribue partir dune tte de rseau les donnes ainsi que les signaux TV en numrique et en analogique jusqu un centre local de distribution qui regroupe plusieurs habitations ou immeubles (gure 2.13). Les signaux sont ensuite transports sur un cble coaxial type TV (CATV) vers chacun des foyers et la connexion est ralise par un botier de raccordement, gnralement appel modem-cble. Ce dernier est spciquement ddi aux rseaux de type HFC (Hybrid Fiber Optic and Coaxial) qui est une norme pour les rseaux cbls autorisant un ux bidirectionnel. Le modem-cble gnralement lou au fournisseur daccs et congurable uniquement distance offre donc plusieurs fonctions : il assure la modulation/dmodulation vis--vis des cartes TX (carte voie descendante) et RX (carte voie remontante) situes en tte de rseau ; il effectue une adaptation des trames Ethernet ct utilisateur en cellules ATM ct rseau cbl (gure 2.14) ; il ralise chaque mise sous tension de lquipement de lutilisateur une identication de labonn (chaque modem-cble possde un numro unique) avant de renvoyer une adresse IP ;

2.5

Se connecter par le cble

27

il peut galement proposer des fonctions de ltrage ou de scurit suivant le choix de loprateur.
Rseau de distribution Ordinateur Cble UTP Rseau de transport

Internet

CATV

Centre de conversion et de distribution (CCD) CATV Fibre optique

Modem-cble Carte Ethernet TV Dcodeur Foyer

Foyer

Foyer Rseau cbl

CCD CCD

Modemcble Serveur d'accs Tte de rseau

Figure 2.13

Architecture dune connexion par cble.

Paquet IP Modem-cble Trame Ethernet

Cellules ATM

Rseau cbl

Paquet IP
Dunod La photocopie non autorise est un dlit.

Serveur d'accs
Format des donnes dune connexion par cble.

Figure 2.14

Ct utilisateur, le raccordement et la conguration sont les mmes que pour un rseau local partir dune carte Ethernet (gure 2.15). La connexion nest scurise que par les quipements de type coupe-feu (rewall) du fournisseur daccs ou ventuellement du particulier. Les dbits proposs sont gnralement forfaitaires et peuvent atteindre 512 Kb/s en voie descendante (vers labonn) et 128 Kb/s en voie montante.

28

2 Se connecter Internet

Carte rseau relie au modem-cble

Les paramtres IP sont fournis dynamiquement par le serveur d'accs

Figure 2.15

Paramtrage dune connexion par cble.

2.6

SE CONNECTER PAR LIAISON SPCIALISE

Ce mode de connexion est particulirement utilis par les entreprises qui disposent de serveurs web devant tre accessibles en permanence depuis Internet. La liaison entre le client et le fournisseur daccs Internet sera assure par un oprateur de tlcommunication. Il mettra disposition des deux contractants une structure de transport des donnes et un protocole de transmission garantissant le dbit et la dtection des erreurs. Ces fonctions regroupent les niveaux 1 et 2 de larchitecture OSI 1. Les fonctionnalits de niveau suprieur sont la charge des abonns. Entrent dans ce champ, les protocoles dadressage, dadaptation de IP au protocole de transmission, de fragmentation/rassemblage, dauthentication et de scurisation. Les protocoles les plus utiliss aujourdhui sont SDH (Synchronous Digital Hierarchy) et WDM (Wavelength Division Multiplexing). SDH est un protocole de transmission synchrone sur cble cuivre ou sur bre optique. Il permet le transport de diffrents paquets de niveau 3. Il sadapte facilement au transport de paquets IP 2. WDM est un mode de transmission dans lequel chaque ux de donnes utilise une longueur donde. Ce protocole ne dnit pas de format de trame, ni de dtection derreur de transmission. Il doit tre associ un protocole de niveau 2 tel quATM. Loprateur de tlcommunication peut proposer des liaisons point point ou point multipoint. Dans le premier cas, le FAI dispose dun ETN (quipement de Terminaison Numrique) pour chaque client (gure 2.16). Le dbit de la ligne du
1. Cf. paragraphe 5.4 de louvrage Transmissions et Rseaux. 2. Cf. paragraphe 3.6 de louvrage Transmissions et Rseaux.

2.6

Se connecter par liaison spcialise

29

client est donc garanti jusquau FAI. Dans le second cas, le FAI dispose dun seul ETN pour tous ses clients. Le dbit de la ligne de raccordement de lETN au FAI est alors partag par les clients. Cette seconde solution sadapte bien aux fournisseurs daccs ayant des clients ne ncessitant pas de gros dbits.
routeur client 3 client 3 ETN routeur client 1 routeur client 2 rseau de transport ETN ETN ETN : Equipement de Terminaison Numrique

ETN

ETN ETN routeur du F.A.I. fournisseur d'accs Internet

client 1 client 2

client 3

routeur client 3 ETN routeur client 1 routeur client 2

ETN rseau de transport ETN routeur du F.A.I. ETN

fournisseur d'accs Internet

client 1 client 2

Figure 2.16

Architecture de liaisons monocanal et multicanaux.

Pour le raccordement, le client doit disposer dun routeur et des logiciels et cartes dinterfaces compatibles : avec le mode de transmission et le protocole utiliss sur la liaison entre ses quipements et ceux de loprateur de tlcommunication ; avec les protocoles utiliss par le fournisseur daccs Internet.
Dunod La photocopie non autorise est un dlit.

Le cot de linstallation doit prvoir : linvestissement et lamortissement des quipements de raccordement (routeurs + cartes rseaux) ; la maintenance de ces quipements ; linstallation de laccs la ligne spcialise de loprateur (des quipements du client au rseau de loprateur) ; labonnement la ligne spcialise ; labonnement aux services du FAI. Les dbits proposs par la plupart des oprateurs de tlcommunication vont de 64 Kb/s 155 Mb/s. Pour sa part, loffre France Telecom comporte des liaisons

30

2 Se connecter Internet

Transx jusqu 2 Mb/s sur des interfaces G.703, X.24 et V.35, ainsi que des liaisons Transx HD 34 Mb/s et 155 Mb/s sur interface synchrone G.703 (voir le site www.francetelecom.com/fr/entreprises).

Rsum

1. Quel type de connexion choisir ? le mode connect ncessite ltablissement dune liaison travers un rseau commut (RTC par exemple) ; le mode non connect utilise une liaison permanente entre le client et loprateur Internet ; le choix doit sintresser aux taux de disponibilit des lignes, des services du prestataire, du dbit entre le prestataire et Internet, au temps de remise en service des quipements ; le dbit peut tre garanti entre le client et le prestataire, pas au-del ; le raccordement du client au prestataire de service se fait par une liaison point point ; les protocoles ct client dune part, prestataire dautre part doivent tre identiques. 2. Se connecter par le RTC le raccordement par le RTC ncessite un modem, le protocole PPP et le protocole TCP/IP ; le paramtrage par dfaut dun modem sous Windows donne un format de trame asynchrone avec 8 bits de donnes, pas de parit, 1 bit darrt et un contrle de ux matriel (RTS/CTS) ; le protocole PPP regroupe PPP, LCP et NCP ; les datagrammes IP sont fragments par NCP et transmis octet par octet par le modem. 3. Se connecter par Numris le raccordement par Numris ncessite un pseudo-modem et le protocole TCP/IP. 4. Se connecter par ADSL le raccordement par ADSL utilise un modem+ltre, une connexion VPN, le protocole PPP et le protocole TCP/IP ; le protocole PPTP ajoute lencapsulation et le cryptage au protocole PPP ; une connexion VPN besoin de 2 adresses IP : ladresse du serveur VPN et ladresse du serveur du FAI ; avec une connexion VPN, le client se voit attribuer une adresse prive non routable sur Internet ; sous Windows, une connexion VPN sinitialise par le menu accs rseau distance ;

QCM

31

PPPoA (PPP over ATM) et PPPoE (PPP over Ethernet) sont 2 protocoles de niveau 2 associs ADSL. 5. Se connecter par le cble ce type de connexion utilise les rseaux cbls de TV avec un cablge mixte coaxial et bre optique ; un modem-cble spcique ralise la transformation entre une liaison locale Ethernet ct abonn et les cellules ATM supportes par des signaux analogiques moduls ct rseau cbl ; les dbits proposs par les oprateurs peuvent atteindre 512 Kb/s en voie descendante. 6. Se connecter par liaison spcialise la liaison entre le client et le FAI est une liaison permanente assure par un oprateur de tlcommunication ; les protocoles de transmission les plus utiliss sont SDH (Synchronous Digital Hierarchy) et WDM (Wavelength Division Multiplexing) ; pour une liaison multicanaux, le dbit disponible sur la liaison du FAI loprateur tlcom est partag par les clients ; pour le raccordement, le client doit disposer dun routeur et des cartes interfaces permettant la mise en uvre des protocoles de loprateur de tlcommunication et du FAI.

QCM
Une version lectronique et interactive est disponible sur le site www.dunod.com. 1. Quel type de connexion choisir ?
Q1. Le mode connect est utilis par les rseaux (plusieurs rponses) : a) RTC b) Ethernet c) ADSL d) GSM e) Internet
Dunod La photocopie non autorise est un dlit.

Q2. Dans le mode non connect, la liaison du client avec le prestataire de service est : a) permanente b) tablie par le client c) tablie par le prestataire Q3. La liaison entre le client et le prestataire est de type : a) point-multipoint b) point point c) multipoint-multipoint Q4. Dans un raccordement par le RTC, qui adresse le premier une demande dtablissement de connexion : a) TCP/IP b) PPP c) le modem Q5. Dans un raccordement par le RTC, qui tablit le premier une connexion : a) TCP/IP b) PPP c) le modem

32

2 Se connecter Internet

2. Se connecter par le RTC


Q6. Le modem du prestataire utilisant le paramtrage par dfaut, quel format utiliser sur le modem du client (bits de donnes ; parit ; bits de stop) ? a) 7 ; paire ; 2 b) 8 ; impaire ; 1 c) 8 ; sans ; 2 d) 8 ; sans ; 1 Q7. Quel protocole active et teste la ligne ? a) PPP b) LCP c) NCP Q8. Quel protocole adapte les paquets du protocole de niveau 3 au format des trames de niveau 2 ? a) PPP b) LCP c) NCP

3. Se connecter par Numris


Q9. Quel(s) protocole(s) une connexion Internet par Numris nutilise-t-elle pas ? a) trame asynchrone b) trame synchrone c) TCP/IP d) PPP

4. Se connecter par ADSL


Q10. Quel(s) protocole(s) une connexion Internet par ADSL nutilise-t-elle pas ? a) trame asynchrone b) trame synchrone c) TCP/IP d) PPTP Q11. Avec une connexion VPN, quelle adresse IP circule sur le rseau Internet ? a) du serveur VPN b) fournie par serveur VPN client c) du poste d) du FAI Q12. Entre quelles entits est tabli le tunnel IP : a) poste client et serveur VPN b) poste client et FAI c) DSLAM et FAI d) DSLAM et serveur VPN Q13. Quelles fonctionnalits du protocole Ethernet sont utilises par le protocole PPPoE ? a) accs au support b) format de trame c) adressage d) dtection derreur

5. Se connecter par le cble


Q14. Quel type de rseau emprunte une connexion par cble coaxial ? a) RTC b) Rseau TV c) RNIS d) Transpac Q15. Quel format de trame circule entre le modem-cble de labonn et la tte de rseau ? a) Ethernet b) trame asynchrone c) ATM

6. Se connecter par liaison spcialise


Q16. Indiquer quel(s) protocole(s) sont utiliss sur une liaison spcialise ? a) HDLC b) ADSL c) SDH d) V35 e) WDM

Exercices

33

Q17. Quels sont les niveaux OSI grs par les protocoles des oprateurs de tlcommunication sur les liaisons point point ? a) niveau 1 b) niveau 2 c) niveau 3 d) niveau 4 e) niveau 5 Q18. Dans une liaison point-multipoint, comment peut tre le dbit sur la ligne client par rapport celui de la ligne du FAI ? a) infrieur et variable b) gal c) infrieur et constant

Exercices
(*) : facile(**) : moyen(***) : difcile Corrigs la n du livre et sur le site www.dunod.com.

2.1 (*) Un prestataire de service dispose dune ligne spcialise 2 Mb/s vers le rseau Internet. Il compte abonner 120 clients par le rseau commut avec des modems 56 Kb/s. a) Calculer le taux de surbooking (rapport du nombre de clients celui des clients pouvant tre connects simultanment). b) Combien de modems sont ncessaires ? 2.2 (**) Un fournisseur daccs Internet veut abonner trois entreprises disposant chacune dune liaison spcialise 512 Kb/s pour des serveurs web, deux prestataires de service disposant chacun dune LS 512 Kb/s pour leurs clients et 12 prestataires disposant de LS 128 Kb/s. Il veut offrir aux entreprises un dbit nominal gal celui de leur LS. Il estime que les lignes des prestataires sont utilises 60 % de leur capacit. a) Calculer le dbit de la LS de type multicanaux quil doit louer. b) Combien de prestataires disposant de lignes 128 Kb/s pourra-t-il abonner sil dispose de 3 LS 2 Mb/s ? 2.3 (***) Un prestataire veut valuer le nombre dabonns ncessaires pour amortir sa connexion une plaque ADSL distante de 30 km par le service de Collecte IP/ADSL de France Telecom. Il considre que le poids moyen dune page web est de 60 Ko et que le nombre moyen de pages consultes est de 20 pages/mn. a) Calculer le nombre de clients Netissimo 1 pouvant tre connects simultanment sur un lien 500 Kb/s. b) Combien de liens 2 Mb/s sont ncessaires pour connecter simultanment un minimum de 10 clients Netissimo 1 (utiliser le tableau 2.1 de ltude de cas). c) partir des tableaux 2.2 et 2.3, calculer le cot annuel de la liaison la plaque ADSL (hors investissement matriel, et avec un amortissement de laccs la plaque sur 4 ans).

Dunod La photocopie non autorise est un dlit.

34

2 Se connecter Internet

d) Combien faut-il dabonns si labonnement des clients est x 25 /mois. 2.4 (**) Un utilisateur hsite entre plusieurs types de connexions : un forfait RTC 20 heures 15 par mois ; un accs cble 39 par mois offrant un dbit de 512 Kb/s ; un accs ADSL 30 par mois pour un dbit de 128 Kb/s. a) Calculer le cot du Ko/s pour les diffrents accs. b) Comparez les diffrentes solutions si le volume des donnes reues ne dpasse pas 600 Mo par mois.

tude de cas : Loffre IP/ADSL de France Tlcom

En France, aujourdhui, loffre ADSL sappuie essentiellement sur le rseau de France Telecom. Il dcoupe le territoire en zones dnommes plaques ADSL (gure 2.17). Cette infrastructure permet le raccordement dabonns dune part, de fournisseurs daccs Internet (FAI) dautre part. Aujourdhui les clients ADSL ont le choix entre deux solutions : raccorder un poste isol (Netissimo 1) ou raccorder des postes en rseau (Netissimo 2). Le raccordement dun poste isol utilise : une interface Ethernet ou USB ; le protocole PPTP, PPP ou PPPoA. Le raccordement de postes en rseau utilise : un routeur disposant dune interface ATM ct modem et dune carte Ethernet ct rseau local ; des postes en rseau. Le routeur doit supporter : le protocole PPTP ou PPPoE ; les authentications PAP et CHAP1 ; la connexion ATM sur le couple VPI/VCI 2/32 ; la translation dadresse (Network Adress Tranlation). En 2003, les dbits (montant-descendant) proposs par Netissimo sont de 128 Kb/s 512 Kb/s pour Netissimo 1 et 256 Kb/s 1 Mb/s pour Netissimo 2.
1. Cf. paragraphe 9.5 de louvrage Transmissions et Rseaux.

tude de cas : Loffre IP/ADSL de France Tlcom

35

Figure 2.17

Les plaques ADSL.

Pour offrir des accs Internet aux clients ADSL dune plaque, un fournisseur daccs Internet doit raccorder ses quipements un routeur de cette plaque. Il dispose pour cela du service Collecte IP/ADSL de France Tlcom. La connexion utilise deux circuits virtuels ATM assurant une bande passante de 2 Mb/s, 34 Mb/s ou 155 Mb/s avec un dbit garanti. La gestion des ux de service permettant le respect des performances utilise un serveur de type RADIUS. Le tableau 2.1 donne le nombre de clients ADSL pouvant tre connects sur chaque type de connexion IP/ADSL.
TABLEAU 2.1
Dbit 2 Mb/s
Dunod La photocopie non autorise est un dlit.

DBITS AUTORISS SUR UNE CONNEXION IP/ADSL.


D1 K*500 Kb/s K*500 Kb/s K*500 Kb/s D2 K*500 Kb/s > 1 Mb/s > 1 Mb/s D1 + D2 < 1,5 Mb/s < 17 Mb/s < 75 Mb/s

34 Mb/s 155 Mb/s

D1 : bande passante pour les utilisateurs Netissimo 1 D2 : bande passante pour les utilisateurs Netissimo 2

Les tarifs des services de Collecte IP/ADSL se composent du cot du raccordement (ouverture de la ligne + location mensuelle) et de labonnement mensuel correspondant au dbit souscrit (celui-ci peut tre modi chaque mois pour sadapter lvolution du trac du client). Les tableaux 2.2 et 2.3

36

2 Se connecter Internet

donnent une ide des cots du service de collecte IP/ADSL tels quils se prsentaient en janvier 2001. Aujourdhui, la tarication est adapte chaque client (voir collecte IP/ADSL ou EQUANT IP VPN sur le site www.entreprises.francetelecom.com).
TABLEAU 2.2 COT DU RACCORDEMENT AU SERVICE DE COLLECTE IP/ADSL (JANVIER 2001).
Frais daccs (k) 00,61 12,20 12,20 Abonnement mensuel (k/mois) 02,9 + 2,29(d 10) 06,1 + 0,46(d 10) 12,2 + 0,69(d 10)

Raccordement 2 Mb/s 34 Mb/s 155 Mb/s

d : distance vol doiseau du site du client au cur de plaque


TABLEAU 2.3 COT DE LA COMPOSANTE BANDE PASSANTE IP DUNE LIAISON AU SERVICE DE COLLECTE IP/ADSL.
Abonnement mensuel (K/mois) 0,46 0,43 0,40 0,37 0,34

Dbit souscrit 0 2 Mb/s 2 8 Mb/s 8 16 Mb/s 16 34 Mb/s Au-del de 34 Mb/s

Prix pour chaque tranche de 500 Kb/s

Le dialogue va donc stablir entre les trois entits que sont le client, le fournisseur daccs Internet et le fournisseur daccs ADSL. Ce dernier doit tablir la connexion entre les deux premiers.
9 PAS DSL Access Multiplexer 1 plaque ADSL 2 5 3 6 routeur IP/ADSL Broadband Access Server serveur Radius 7 Internet routeur Internet

routeur 4 IP/ADSL 4

8 6

quipements du fournisseur d'accs Internet

Figure 2.18 tablissement dune connexion client-FAI travers une plaque ADSL.

tude de cas : Loffre IP/ADSL de France Tlcom

37

La gure 2.18 montre les phases dtablissement de la connexion : 1. Le client adresse une requte client@fai.fr par louverture de sa connexion accs rseau distance au fournisseur daccs Internet. 2. Le BAS envoie une requte access-request : client@fai.fr la Plateforme dAccs aux Services (PAS). 3. Le PAS transmet la requte au serveur Radius pour authentier le client. 4. Le serveur Radius retourne en rponse le type de tunnel tablir accessaccept : tunnel type=L2TP ; tunnel medium type=IP . 5. Le PAS retransmet la rponse au BAS. 6. Le BAS tablit un tunnel L2TP avec les routeurs du FAI. 7. Le routeur daccs Internet du FAI adresse une requte access-request : client@fai.fr au serveur Radius pour authentication. 8. Le serveur radius envoie en rponse le protocole de trame utilis et ladresse IP du client access-accept : frame protocol=PPP ; service type= framed ; framed IP-adress=Y.Y.Y.Y . 9. Une connexion PPP est tablie entre le client et le routeur daccs Internet du FAI.

Dunod La photocopie non autorise est un dlit.

Chapitre 3

TCP/IP pour le routage et la qualit de service, PPP vers le client

3.1

CLASSIFICATION OSI

lorigine, les protocoles TCP/IP font partie de la hirarchie des protocoles ARPA (Advanced Research Project Agency), sous lgide du DOD (Department Of Defense) aux tats-Unis. Ils sont prsents dans toutes les implantations du systme dexploitation UNIX et constituent des protocoles de rfrence pour linterconnexion des rseaux locaux et des rseaux longue distance. Ils sont notamment utiliss en standard par les systmes dexploitation rseau Windows et Netware ainsi qu lchelle mondiale par le rseau Internet. Les protocoles TCP et IP servent de base une famille de protocoles de niveau suprieur dnis dans les RFC (Requests For Comments, demandes de commentaires), documents publis par des organismes spcialiss. Chaque protocole ou procdure li TCP/IP fait lobjet dune RFC rfrence : RFC 791 pour IP, RFC 854 pour Telnet... Ces protocoles sont antrieurs aux travaux de normalisation de lOSI, mais une correspondance est gnralement admise (tableau 3.1). Aux niveaux 1 et 2, se trouvent les protocoles lis aux architectures Ethernet, Arpanet ou autres. Les identiants des sous-couches MAC et LLC peuvent prendre deux valeurs distinctes suivant larchitecture utilise (gure 3.1). Pour une architecture type 802.3, les champs DSAP et SSAP de la sous-couche LLC prennent la valeur 06H pour indiquer le protocole IP au niveau suprieur. Pour une architecture type Ethernet II, la sous-couche LLC nexiste pas, le protocole IP est indiqu directement dans le champ longueur de la sous-couche MAC par la valeur 0800H.

Dunod La photocopie non autorise est un dlit.

40

3 TCP/IP pour le routage et la qualit de service, PPP vers le client


TABLEAU 3.1
DOD Process Telnet FTP RPC NFS SMTP SNMP XDR UDP IP Arpanet ARP SLIP RARP PPP Niveau 4 Niveau 3 Niveaux 1 et 2 HTTP

ARCHITECTURES DOD ET OSI DES PROTOCOLES TCP/IP.


OSI Niveaux 5, 6 et 7

Host to Host Internet ICMP

TCP RIP FDDI

Network Access Ethernet

Les procdures SLIP (Serial Line Internet Protocol) et PPP (Point to Point Protocol) sont des cas particuliers permettant dadapter le rseau ou le poste de travail une communication srie asynchrone par lintermdiaire dun modem avec un serveur distant (cas du rseau Internet).
MAC Adr. Dest. Adr. Src. MAC Adr. Dest. Adr. Src. 0800H Figure 3.1
Trames Ethernet lies IP.

LLC Longueur DSAP=06H SSAP=06H IP Contrle

IP

Au niveau 3, se trouve limplantation du protocole IP (Internet protocol). Ce protocole, en mode datagramme, va offrir les fonctions de routage. Linterconnexion entre deux machines situes nimporte o sur le rseau est possible. Le protocole IP gre galement la fragmentation des donnes. La couche 3 contient quatre autres protocoles : ARP (Address Resolution Protocol) permet de faire la correspondance entre les adresses logiques (Internet) et les adresses physiques (MAC). Ce protocole permet de masquer les adresses ncessaires lacheminement des trames de niveau MAC. En effet, si une adresse IP permet denvoyer des donnes une machine quelconque sur le rseau, les adresses physiques nont que la porte du rseau local. Les adresses MAC sont aussi par construction uniques (numro du constructeur, numro de fabrication), mais leur allocation peut tre vue comme alatoire sur le rseau. Les adresses IP sont, elles, logiquement distribues. Il est donc plus simple pour ladministrateur rseau de rfrencer ces machines avec une adresse IP. Les mcanismes ARP permettent de faire la recherche de ladresse MAC correspondante. RARP (Reverse Address Resolution Protocol) permet dtablir la correspondance entre les adresses physiques (MAC) et les adresses logiques (Internet). Ce protocole peut tre utile, par exemple, lorsquune station sans disque veut connatre, au

3.2

Le protocole IP (Internet Protocol)

41

dmarrage, son adresse Internet partir de la seule information dont elle dispose, cest--dire de ladresse MAC quelle peut lire sur son coupleur. ICMP (Internet Control Message Protocol) nest pas proprement parl un protocole de niveau 3, puisquil utilise lencapsulation IP. Mais il sert la gestion du protocole IP. Il permet, par exemple, de collecter les erreurs qui surviennent lors de lmission de messages (rseau coup, chances temporelles...). RIP (Routing Information Protocol) est un protocole de routage utilisant le principe de la multidiffusion. Les routeurs utilisant RIP diffusent priodiquement leurs tables de routage aux autres routeurs du rseau. Au niveau 4, se trouve le protocole TCP (Transmission Control Protocol) qui offre aux utilisateurs un transfert able sur connexion et le protocole UDP (User Datagramme Protocol) qui offre un transfert en mode datagramme. Au niveau 5, se trouvent les routines de base des RPC (Remote Procedure Call) qui permettent de cacher aux couches suprieures les accs au rseau en utilisant la smantique des appels de fonctions. Ces routines se trouvent dans des bibliothques lies aux programmes dapplication au moment de la compilation. Les procdures XDR (eXternal Data Representation) de la couche 6 permettent de rendre universelle la reprsentation des donnes et de saffranchir des codages et de la structuration des donnes propose par les diffrents constructeurs. Le niveau 7 regroupe les diffrentes applications courantes dans le monde UNIX : Telnet (Terminal Emulation Protocol) pour la connexion et lmulation de terminal ; FTP (File transfert Protocol) pour le transfert de chiers ; NFS (Network File Server) pour la gestion de chiers ; SNMP (Simple Network Management Protocol) pour ladministration et la gestion des machines du rseau ; SMTP (Simple Mail Transfert Protocol) pour les services de courrier lectronique ; HTTP (HyperText Transmission Protocol) pour des recherches dinformations en mode hypertexte.

3.2
Dunod La photocopie non autorise est un dlit.

LE PROTOCOLE IP (Internet Protocol)

3.2.1 Fonctionnalits du protocole IP Le protocole Internet est un protocole de niveau rseau. Il est responsable de : la transmission des donnes en mode sans connexion ; ladressage et le routage des paquets entre stations par lintermdiaire de routeurs ; la fragmentation des donnes. Lors de lmission, les fonctionnalits assures sont : identication du paquet ; dtermination de la route suivre (routage) ; vrication du type dadressage (station ou diffusion) ;

42

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

fragmentation de la trame si ncessaire. la rception, les fonctionnalits sont : vrication de la longueur du paquet ; contrle des erreurs ; rassemblage en cas de fragmentation ; transmission du paquet rassembl au niveau suprieur. 3.2.2 Format du paquet Le paquet IP, ou datagramme IP, est organis en champs de 32 bits (gure 3.2).
31 Version Longueur 23 Type de service Drapeaux Protocole Adresse station source Adresse station destinatrice Options ventuelles Donnes couche 4 Bourrage ventuel 15 7 Longueur totale Position du fragment Checksum de len-tte 0

Identicateur Dure de vie

Figure 3.2

Format du paquet IP.

Les fonctionnalits IP se retrouvent dans chaque groupement de bits de len-tte : Version : numro de version du protocole IP (actuellement 4). Longueur : longueur de len-tte code sur 4 bits et reprsentant le nombre de mots de 32 bits (gnralement 5). Type de service (TOS) : dsigne la qualit de service qui doit tre utilise par le routeur. Par exemple, pour un transfert de chier important, il est prfrable de privilgier le dbit par rapport au dlai de transmission. Pour une session interactive, le dlai de propagation sera primordial. Longueur totale : longueur totale du fragment (en-tte et donnes) exprime en nombre doctets. Identicateur : identie le paquet pour la fragmentation (tous les fragments dun mme paquet portent le mme numro). Drapeaux : gre la fragmentation sur 3 bits suivant le format : DF MF ; le bit DF (Dont Fragment) demande au routeur de ne pas fragmenter le paquet ; le bit MF (More Fragment) est positionn 1 dans tous les fragments, sauf le dernier.

3.2

Le protocole IP (Internet Protocol)

43

Position du fragment : indique par multiple de 8 octets la position du fragment dans le paquet courant. Tous les fragments du paquet, sauf le dernier, doivent donc avoir pour longueur des multiples de 8 octets. Avec un codage sur 13 bits, le maximum pour un paquet est de 8 192 fragments. Dure de vie (TTL, Time to live) : indique en nombre de sauts le temps pendant lequel un paquet peut rester dans le systme. Si ce champ contient la valeur 0, alors le paquet doit tre dtruit. Sa valeur est dcrmente chaque passage dans un routeur mme si le temps de traitement est infrieur une seconde. La valeur par dfaut est de 32, 64, 128 ou 256 suivant limportance du rseau. Protocole : numro du SAP destinataire du paquet, indique le protocole de la couche suprieure (1 pour ICMP, 6 pour TCP, 17 pour UDP). Options : utilises pour le contrle ou la mise au point. 3.2.3 Ladressage Internet Chaque machine susceptible dtre connecte lextrieur de son rseau local possde une adresse IP en principe unique. Le rseau Internet, qui tient son nom du protocole utilis, correspond linterconnexion de plusieurs millions dordinateurs lchelle mondiale et la gestion des adresses est bien entendu de toute premire importance. Une autorit internationale le NIC (Network Information Center) attribue des numros chaque rseau. Les adresses codes sur 32 bits comportent deux parties : le numro de rseau (Net_id) et le numro de la machine sur le rseau (Host_id). Le NIC nalloue que les numros de rseau. Laffectation des numros complets est la charge des administrateurs rseaux. Suivant limportance du rseau, plusieurs classes dadressage sont possibles (gure 3.3).
0 Net_id (adr. rseau sur 7 bits) Host_id (adr. station sur 24 bits) Classe A

10

Net_id (adr. rseau sur 14 bits)

Host_id (adr. station sur 16 bits)

Classe B

Dunod La photocopie non autorise est un dlit.

110

Net_id (adr. rseau sur 21 bits)

Host_id (adr. station sur 8 bits) Classe C

1110

Adr. Multicast (28 bits)

Classe D

1111

Format indni (28 bits) Figure 3.3


Format des adresses IP.

Classe E

Les adresses sur 32 bits sont exprimes par octet (soit quatre nombres compris entre 0 et 255) notes en dcimal et spars par des points : 137.15.223.2.

44

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

Les diffrentes classes dadresses correspondent donc des nombres appartenant aux plages suivantes : classe A : 1.0.0.0 126.0.0.0, soit 126 rseaux (281 2) et 16 777 214 machines par rseau (2328 2) ; classe B : 128.1.0.0 191.254.0.0, soit 16 382 rseaux (216-2 2) et 65 535 machines par rseau (23216 2) ; classe C : 192.0.1.0 223.255.254.0, soit 2 097 150 rseaux (2 243 2) et 254 machines par rseau (23224 2) ; classe D : 224.0.0.1 239.255.255.255, soit 268 435 455 adresses de groupe (2324 1) ; classe E : 240.0.0.0 255.255.255.254. La classe A reprsente donc les rseaux de grande envergure (ministre de la dfense, rseaux dIBM, AT&T, DEC...) dont la plupart se trouvent aux tats-Unis. La classe B dsigne les rseaux moyens (universits, centres de recherches...). La classe C reprsente les petits rseaux rgionaux, les PME/PMI et en rgle gnrale les sites comprenant moins de 254 machines. Les adresses de classe D ne dsignent pas une machine particulire sur le rseau, mais un ensemble de machines voulant partager la mme adresse et ainsi participer un mme groupe : adresses de groupe de diffusion (multicast). Ces adresses sont choisies arbitrairement par les concepteurs des applications concernes (News, multimdia...). Les autres adresses sont particulires ou rserves : ladresse dont la partie basse est constitue de bits 0 est une adresse rseau ou sous-rseau, 212.92.27.0 pour une classe C par exemple ; ladresse dont la partie basse est constitue de bits 1 est une adresse de diffusion (broadcast), 157.42.255.255 pour une classe B par exemple ; 127.0.0.1 est une adresse de bouclage (localhost, loopback) et permet lutilisation interne de TCP/IP sans aucune interface matrielle ; 0.0.0.0 est une adresse non encore connue, utilise par les machines ne connaissant pas leur adresse IP au dmarrage ; pour chaque classe, certaines plages dadresses sont rserves un usage priv. Ces adresses ne sont pas gres par les routeurs des rseaux Internet : 10.0.0.0, 172.16.0.0 172.31.0.0, 192.168.0.0. 192.168.255.0. la partie basse de lespace dadressage de la classe C est divise en 8 plages dadresses affectes des rgions du monde : 192.0.0 193.255.255.255 Inter-rgions 194.0.0.0 195.255.255.255 Europe 196.0.0.0 197.255.255.255 Autres rgions 198.0.0.0 199.255.255.255 Amrique du Nord 200.0.0.0 201.255.255.255 Amrique du Sud et Amrique Centrale 202.0.0.0 203.255.255.255 Pacique 204.0.0.0 205.255.255.255 Autres rgions 206.0.0.0 207.255.255.255 Autres rgions

3.3

Gestion des adresses et routage sur Internet

45

3.3

GESTION DES ADRESSES ET ROUTAGE SUR INTERNET

3.3.1 Adapter la gestion des adresses aux besoins Le nombre dattributions dadresses IP a suivi ces dernires annes une croissance presque exponentielle, ce qui a conduit une saturation. Une nouvelle norme IPv6 est en voie de remplacer la version 4 actuelle du protocole IP et offrira un codage des adresses sur 128 bits. En attendant la gnralisation de cette version de IP, deux techniques ont t mises au point : la division des classes dadressage en blocs plus petits (Classless InterDomain Routing CIDR RFC 1518 et 1519) ; la translation dadresse (Network Address Translation NAT RFC 1631).
a) La division des classes dadressage

Lutilisation des classes dadresses laisse de nombreuses adresses inutilises. Par exemple, une organisation demandant 1 000 adresses IP se verra attribuer une adresse de classe B, soit environ 64 000 adresses (une classe C avec prs de 256 adresses est insufsante). Les tailles des masques1 correspondant un rseau, ont t adaptes la demande des utilisateurs. Dans lexemple donn lorganisation pourra se voir attribuer la plage 195.162.0.0 195.162.3.255 qui offre prs de 1 024 adresses. Ce rseau sera reprsent dans les tables des routeurs par ladresse 195.162.0.0/22 o 22 correspond au nombre de bits utiliser pour le masque de routage (255.255.252.0). Il est galement possible de diviser les blocs dadresses de classe C en blocs plus petits que les 256 adresses initiales. Si une organisation a besoin de 80 adresses IP, il est possible de lui attribuer la zone dadresses 200.154.210.0 200.154.210.126. Cette plage sera reprsente par ladresse 200.154.210.0/25, soit un masque de routage 255.255.255.128. Cette classe dadresses pourra ainsi tre attribue plusieurs clients.
b) La translation dadresse
Dunod La photocopie non autorise est un dlit.

Cette technique est utilisable par un organisme qui ne peut obtenir une plage dadresses sufsante pour toutes ses machines. Elle sappuie sur la remarque que toutes les machines naccdent pas Internet simultanment. Le routeur daccs loprateur Internet attribuera les adresses de manire dynamique au fur et mesure des demandes. Prenons le cas dune entreprise disposant de 400 postes clients et se voyant attribuer une plage dadresses de classe C. la solution consiste utiliser un adressage IP de classe prive dans lentreprise (non reconnues par Internet) et de charger le routeur daccs Internet de remplacer ladresse prive du poste demandant laccs Internet par une adresse de classe C. Bien sr, seuls 250 postes environ pourront accder Internet simultanment.
1. Cf. paragraphe 7.2.2 de louvrage Transmissions et Rseaux.

46

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

Cette technique offre galement une protection des postes de lentreprise contre des tentatives de piratage venant dInternet. 3.3.2 Le routage sur Internet
a) Le routage IP sur rseau maill

Le routage IP utilise des tables de routage pour trouver le chemin des paquets entre la source et la destination1. Le rseau Internet tant de type maill, il existe plusieurs chemins possibles pour une mme destination (gure 3.4). A son arrive sur un routeur, le paquet est mis en mmoire en attendant dtre rout. Lorsque le dbit entrant dun routeur amne la saturation de sa mmoire, le routeur en amont doit trouver un autre chemin pour les paquets (le routeur ne peut retenir les paquets sortants au risque de bloquer tous les paquets en attente dmission). Dans lexemple (a) de la gure 3.4, la saturation de la mmoire du routeur R2 oblige le routeur R4 trouver un nouveau chemin pour les paquets. Ceux-ci traverseront les routeurs R4, R1, R3 et R5.
R5

R2 station Serveur R3 R1 exemple (a) R5 R6


n io d at vi

R4

R2 station

d v ia t io
R6 Serveur R3

R4

n
R1 exemple (b)

Figure 3.4

Routage des paquets IP dans un rseau maill.

1. Cf. paragraphe 7.3 de louvrage Transmissions et Rseaux.

3.3

Gestion des adresses et routage sur Internet

47

Lexemple (b) est plus critique. La saturation de la mmoire du routeur R3 entrane le re-routage des paquets. Le routeur R2, inform par le routeur R3 quil ne peut lui adresser de paquet (protocole RIP), va envoyer les paquets vers le routeur R1. Celui-ci, inform galement par R3, va envoyer les paquets vers R4. Ceux-ci vont donc tourner entre les routeurs R2, R1 et R4, sans jamais atteindre leur destination, encombrant ainsi le trac normal . Pour liminer ces paquets, le compteur du champ dure de vie de len-tte IP (gure 3.2) est dcrment chaque traverse de routeur. son passage zro, le paquet est dtruit par le routeur. Internet tant constitu dinterconnexions de rseaux doprateurs, le problme du routage se prsente sous deux aspects (gure 3.5) : le routage lintrieur de leur propre rseau ; le routage dinterconnexion avec les autres rseaux doprateurs. Ces deux types de routage font appel des protocoles spciques : les protocoles de routage interne (Interior Gateway Protocols) tels que RIP (Routing Information Protocol) et OSPF (Open Short Path First) ; les protocoles de routage externe comme EGP (Exterior Gateway Protocols) ou BGP (Border Gateway Protocol).
routeurs internes (IGP) R5 R2 rseau Internet A R4 rseau Internet A rseau client routeurs externes (EGP) R1 C R3 R6 rseau Internet C B A rseau Internet B

Dunod La photocopie non autorise est un dlit.

Figure 3.5

Organisation des routeurs dun oprateur Internet.

b) Routage interne

Le protocole RIP (RFC 1058 et RFC 1723) utilise un algorithme de routage de type vecteur de distance. Les tables de routage indiquent pour chaque rseau client, le chemin optimal et la distance. Le tableau 3.2 montre le contenu de la table de routage du routeur R3 (distances : R3-R2=3 ;R1-R4=4 ;R1-R2=5 ;R3-R6=3 ; autres=1) de la gure 3.5.

48

3 TCP/IP pour le routage et la qualit de service, PPP vers le client


TABLEAU 3.2
Rseau client A B C Internet A Internet B Internet C

TABLE DE ROUTAGE DUN PROTOCOLE RIP.


Routeur voisin = = R1 R2 R5 R6 Distance 1 1 2 5 2 4

Trs facile implmenter, cet algorithme prsente des inconvnients : si plusieurs chemins existent pour un mme client, la convergence (limination des chemins pour obtenir un chemin unique) de lalgorithme peut tre lente voire innie (ex. : 4 chemins de R3 R4 + une boucle R3-R2-R1 gure 3.5) ; la taille des tables augmente rapidement avec le nombre de routeurs ; les routeurs changent le contenu de leur table de routage toutes les 30 secondes par des messages de diffusion (broadcast). Le protocole OSPF (RFC 2328) utilise un algorithme de routage bas sur la connaissance de ltat des liaisons entre routeurs (Link State). Les routeurs maintiennent une carte du rseau et testent rgulirement ltat des liaisons avec les routeurs voisins. Comme dans RIP, le calcul des chemins est local. Si lon reprend lexemple prsent sur la gure 3.5, avec des distances gales 1, sauf pour R1-R2 = 5, R1-R4 = 4, R3-R6 = R2-R3 = 3. La table de routage des routeurs contiendrait les informations suivantes (tableau 3.3).
TABLEAU 3.3
Source R1 R1 R1 R1 R4 R4 R6 R6 Destination R2 R3 R4 R6 R1 R2 R3 R1

TABLE DE LTAT DES LIAISONS DUN PROTOCOLE OSPF.


Distance 5 1 4 1 4 1 3 1 Source R2 R2 R2 R3 R3 R3 R3 R5 Destination R1 R3 R4 R1 R2 R5 R6 R3 Distance 5 3 1 1 3 1 3 1

3.3

Gestion des adresses et routage sur Internet

49

Cette table est identique pour tous les routeurs. Elle sert chacun deux de base de calcul du plus court chemin (Shortest Path First) pour laccs aux rseaux clients. Si le rseau client A met un paquet destination dun serveur situ sur le rseau Internet A, le routeur R3 va calculer le plus court chemin vers R4, parmi tous les chemins possibles (tableau 3.4).
TABLEAU 3.4
chemin R2-R4 R2-R1-R4 R6-R1-R4 voisin R2 R2 R6

CALCUL DU PLUS COURT CHEMIN.


chemin R1-R4 R1-R2-R4 R6-R1-R2-R4 voisin R1 R1 R6 cot 5 7 10

cot 4 12 8

Dans le cas o plusieurs chemins ont le mme cot, le programme du routeur choisira un chemin suivant les rgles implmentes par le constructeur. Les valeurs des distances peuvent tre modies par ladministrateur du rseau an de rguler les ux sur les liens. Cette mthode prsente plusieurs avantages : seules les modications de ltat des liens sont adresses aux routeurs ; les chemins ne sont plus changs entre routeurs ; lalgorithme SPF converge plus rapidement.
c) Routage externe

Les protocoles de routage externe sont destins aux changes dinformation de routage entre routeurs externes ou routeurs de bord. Le protocole EGP (RFC 904) est rserv aux routeurs relis par une liaison unique. Les deux routeurs changent leurs tables de routage priodiquement. Chaque routeur connat ainsi les destinations accessibles par le rseau voisin. Lorsquun routeur externe est reli plusieurs routeurs externes, il utilise le protocole BGP-4 (RFC 1771). Dans la gure 3.6 les routeurs R4, R5 et R6 sont des voisins internes , relis par les routeurs internes du rseau de loprateur.
Dunod La photocopie non autorise est un dlit.

Ra

R5 Rb

rseau Internet B

rseau Internet A R4

rseau Internet

R6 Rc

rseau Internet C

Figure 3.6

Interconnexion de rseaux doprateurs.

50

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

Le protocole BGP-4 utilise un algorithme de routage de type vecteur de distance. Les chemins multiples sont classs dans un ordre prfrentiel. Seul le chemin ayant la prfrence la plus leve est transmis aux autres routeurs. Les messages sont changs via le port 179 du protocole TCP. Le protocole BGP-4 supporte la division de classes (CIDR). La taille de certains rseaux doprateurs ncessite de crer des sous-rseaux comportant leurs propres routeurs internes et externes. Ils constituent des systmes autonomes de routage.

3.4

LES PROTOCOLES DE NIVEAU TRANSPORT : UDP ET TCP

Les protocoles de niveau transport sont chargs dinitialiser le dialogue avec les protocoles de mme niveau du destinataire, la demande des applications. Cette phase sappelle louverture de session. Elle est dcrite dans la gure 3.7 : 1. Pour une application de type navigation, le navigateur demande louverture dune connexion sur le port 80 (ouverture de socket). Il fournit donc au protocole de niveau transport le numro du protocole utilis (port destination 80), ladresse destination, le numro de process local (port source) et ladresse source. 2. Le protocole de niveau transport transmet une demande douverture de connexion au protocole de niveau rseau. Il lui transmet les adresses sources et destination. 3. Le protocole de niveau rseau va transmettre sur le rseau Internet la demande de connexion au serveur. 4. Aprs un mcanisme similaire et une rponse positive du serveur, le protocole rseau informe le protocole de niveau transport de ltablissement de la connexion. 5. Le protocole de niveau transport initialise la connexion (dimensionnement des buffers, initialisation du numro de squence et de la rgulation de ux).

Navigateur 1 Port Port80 n TCP, UDP 2 IP, RIP, ARP MAC 3 routage 4 6 5 initialisation

serveur Port Port80 80 TCP, UDP

IP, RIP, ARP MAC

rseaux Internet

Figure 3.7

Ouverture de session.

3.4

Les protocoles de niveau transport : UDP et TCP

51

6. Le protocole de niveau transport informe le navigateur que le dialogue avec le serveur est tabli. Les phases de cette procdure peuvent tre suivies sur un navigateur Internet Explorer. Des messages safchent en bas et gauche de la fentre du navigateur : la phase 4 correspond le message site web trouv ; la phase 5 correspond le message attente de rponse du site web ; aprs la phase 6, le navigateur va charger la 1re page. 3.4.1 Le protocole UDP (User Datagramme Protocol) UDP est un protocole sans connexion et permet une application denvoyer des messages une autre application avec un minimum de fonctionnalits (pas de garanties darrive, ni de contrle de squencement). Il napporte pas de fonctionnalits supplmentaires par rapport IP et permet simplement de dsigner les numros de port correspondant aux applications envisages avec des temps de rponse courts (gure 3.8). Un message UDP est dsign dans un paquet IP par une valeur du champ protocole gal 17.
31 23 Port source Longueur Donnes 15 7 Port destination Checksum 0

Figure 3.8

Format dun message UDP.

Dunod La photocopie non autorise est un dlit.

Le port source et le port destination permettent de rfrencer les applications qui sexcutent sur les machines locales et distantes. Les numros de port des applications UNIX usuelles (process) sont donns dans le tableau 3.5. Les valeurs suprieures 1 024 correspondent des ports clients et sont affectes la demande par la machine qui effectue une connexion TCP.
TABLEAU 3.5
N de port Process 7 Echo 20 FTP-data

NUMROS DE PORT UDP ET TCP USUELS.


21 FTP 23 Telnet 25 SMTP 37 Time 80 HTTP 110 POP3 161 SNMP

La longueur indique la longueur totale du message en octets (donnes et en-tte). La somme de contrle est calcule comme pour les paquets IP. Une somme 0 indique quelle nest pas gre.

52

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

3.4.2 Le protocole TCP (Transmission Control Protocol) Ce protocole de niveau transport recouvre globalement les fonctionnalits des communications de classe 4 avec connexion (normalisation ISO). Il est identi par la valeur 6 dans le champ protocole du paquet IP. Ses principales caractristiques sont : tablissement et fermeture de la connexion virtuelle ; segmentation et rassemblage des donnes (S-PDU) ; acquittement des datagrammes reus et retransmission sur absence dacquittement (un resquencement est effectu si la couche IP ne les dlivre pas dans lordre) ; contrle de ux ; multiplexage des donnes issues de plusieurs processus htes en un mme segment ; gestion des priorits des donnes et de la scurit de la communication.
a) Format des segments TCP
31 23 Port source Numro de squence Numro dacquittement Long. de len-tte Rserv U R G Checksum Options ventuelles Donnes A C K E O M R S T S Y N F I N Fentre Priorit Bourrage 15 7 Port destination 0

Figure 3.9

Format des segments TCP.

Les numros de port permettent de rfrencer les applications (voir paragraphe 3.4.1, Le protocole UDP). Le numro de squence indique le numro du premier octet transmis dans le segment. Le numro dacquittement contient le numro de squence du prochain octet attendu par le rcepteur. La longueur de len-tte est code sur 4 bits et donne le nombre de mots de 32 bits.

3.4

Les protocoles de niveau transport : UDP et TCP

53

Les bits de contrle permettent de dnir la fonction des messages ainsi que la validit de certains champs : URG = 1 si le champ des priorits est utilis (pour des demandes dinterruption dmission par exemple) ; ACK = 1 si la valeur du champ acquittement est signicative ; EOM (ou PSH) indique une n de message (End of Message), les donnes doivent tre transmises (pushed) la couche suprieure ; RST (Reset) : demande de rinitialisation de la connexion ; SYN : demande douverture de connexion (les numros de squence doivent tre synchroniss) ; FIN : n de connexion. Le champ fentre (windows) indique le nombre doctets que le rcepteur peut accepter partir du numro dacquittement. Le champ checksum correspond une somme de contrle de len-tte et du message. Le champ priorit contient lors dune interruption dmission (URG=1) un pointeur sur les octets de donnes traiter en priorit. Le champ options permet de dnir, par exemple, la taille maximale dun segment.
b) Ouverture dune connexion

Aprs autorisation locale sur chaque station et dclaration dun identicateur permettant lapplication de rfrencer la connexion, la demande douverture de connexion est transmise la couche transport qui positionne son bit SYN 1 (gure 3.10). Le numro de squence initial lmission (Initial Send Sequence number, ISS) est dlivr, au moment de la demande, par un compteur incrment toutes les 4 ms (la taille du champ squence tant de 32 bits, la priode du compteur est suprieure 4 heures). La station sollicite rpond avec les bits SYN et ACK 1 et une dernire conrmation est effectue par la station initiatrice avec le bit ACK 1.
Station A Session
Dunod La photocopie non autorise est un dlit.

Transport Port source seq=350 SYN=1 ACK=0

Station B Transport Session Port destination

Demande d'ouverture active

Indication de connexion ouverte

seq=235 acq=351 SYN=1 ACK=1 Port destination

Demande d'ouverture passive

Port source

seq=351 acq=236 SYN=0 ACK=1 Indication de connexion ouverte

Figure 3.10

Exemple de connexion russie.

54

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

c) Transfert de donnes

Le transfert de donnes peut alors commencer avec les numros de squence en cours (gure 3.11). Le contrle de ux est ralis dans les deux sens par les numros dacquittement (le bit ACK est alors positionn 1). Chaque accus de rception indique le nombre doctets correctement reus. La taille de la fentre de transmission sans acquittement (le nombre doctets quil peut encore recevoir) est transmise par le destinataire lors de chaque acquittement en fonction de la place restante dans son tampon de rception. Lorsque lmetteur na pas reu dacquittement aprs expiration dun dlai programm, une retransmission des segments non acquitts est ralise.
Station A Session Transport mission de 10 octets seq=252 acq=236 ACK=1 seq=236 acq=362 ACK=1 mission de 10 octets Indication de rception de 2 octets seq=362 acq=256 ACK=1 EOM=1 seq=256 acq=372 ACK=1 EOM=1 Station B Transport Session Indication de rception de 2 octets mission de 20 octets Fin de message mission de 2 octets

Figure 3.11

Exemple dchange TCP.

d) Fermeture dune connexion

La fermeture dune connexion est ralise lorsque le rcepteur reoit un en-tte TCP dont le bit FIN est positionn 1 (gure 3.12). La demande est traite dans les deux sens aux niveaux suprieurs avant acquittement.
Station A Station B Session Transport Transport Session Demande de seq=372 acq=258 FIN=1 ACK=1 dconnexion Indication de demande de seq=258 acq=373 ACK=1 dconnexion Indication de connexion seq=259 acq=373 FIN=1 ACK=1 Demande de ferme dconnexion Indication de demande de seq=373 acq=260 ACK=1 dconnexion Indication de connexion ferme

Figure 3.12

Exemple de fermeture russie.

3.5

IP et qualit de service

55

3.5

IP ET QUALIT DE SERVICE

3.5.1 Pourquoi de la qualit de service ? Par un investissement massif dans le cblage optique des rseaux Internet, les oprateurs de transport ont contourn par le surdimensionnement lpineux problme de la Qualit de Service (QoS) sur leurs rseaux. Les capacits en bande passante des bres optiques permettaient la transmission des paquets IP sans ralentissement. Si lon fait un parallle avec les rseaux autoroutiers, le dimensionnement tait largement suprieur au trac de vhicules les empruntant. Ceux-ci ntaient donc pas ralentis par des bouchons et la dure de leur trajet prvisible. Tout le monde sait que lorsque le trac augmente, les retours de week-end ou de vacances par exemple, les bouchons ralentissent la vitesse des vhicules, et quil devient difcile voire impossible de prvoir la dure du trajet, ou les variations de celle-ci. Aprs avoir rpondu la demande concernant linformation texte et image xe , Internet est confront une demande de plus en plus pressante dinformations de type voix ou vido. Les services de promotion des productions cinmatographiques veulent diffuser des extraits de lms et dinterviews dacteurs ou de ralisateurs. Les entreprises souhaitent utiliser Internet pour leurs communications entre sites et rduire les cots. Les socits dorganisation dvnements regardent du ct dInternet pour la diffusion de concerts. Sous la pression, les oprateurs cherchent parmi les solutions existantes, celles rpondant le mieux leurs contraintes. Celles-ci doivent prendre en compte le fait que linformation traverse plusieurs rseaux grs par des oprateurs statut priv. Les principales questions rsoudre sont : Quel intrt pour mes abonns peut apporter la mise en uvre dune qualit de service sur mon rseau, si les autres oprateurs ne la mettent pas en uvre ? Puisquil est quasiment impossible que tous les oprateurs privs adoptent la mme norme, quel protocole adopter sur mon rseau pour quil soit compatible avec le protocole adopt par les oprateurs voisins ? Quels sont les protocoles pouvant tre mis en uvre et quels paramtres permettent de mesurer les performances ?
Dunod La photocopie non autorise est un dlit.

3.5.2 Mesurer et garantir les performances La transmission de son ou de vido implique que le destinataire dispose intervalles rguliers des donnes pour reproduire le son la frquence de lchantillonnage ou la vido au rythme de 25 images/seconde. Il faut dnir des paramtres pour caractriser la qualit de la transmission des donnes : variation maximale entre cellules ou paquets (peak-to-peak Cell Delay Variation CDV) ou gigue maximale ; temps de transfert maximum (Maximum Cell Transfer Delay Max CTD) ; temps de transfert moyen (Mean Cell Transfer Delay Mean CTD) ; taux de perte de cellules (Cell Loss Ratio CLR).

56

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

Or ces paramtres vont varier notamment du fait de la variation des dbits sur les liens (gure 3.13).
lien 2Mb/s 2Mb/s flux dbit variable rseau Internet B

rseau Internet A routeur 1

routeur 2 rseau Internet

routeur 4

routeur 5

rseau Internet C

routeur 3

Figure 3.13

Variation des dbits sur un lien dun rseau doprateur Internet.

Les rafales peuvent amener le dbit instantan dpasser la bande passante du lien. Les paquets sont alors drouts ou retards, ce qui engendre de la gigue, ou encore dtruits. Pour limiter ces inconvnients, il faut mettre en place des protocoles plusieurs niveaux de larchitecture OSI : aux niveaux 1 et 2 avec des protocoles de transmission performances garanties ; au niveau 3 avec des protocoles de routage rservant des ressources dans les routeurs ; aux niveaux 3 et 4 avec un protocole de signalisation contrlant les performances et informant les quipements et les clients. Aujourdhui, les protocoles les plus avancs sont : Protocoles de transmission (niveaux 1 et 2) : ATM ; SDH ; Frame Relay ; Protocoles de routage (niveau 3) : IPv4 ; IPv6 ; ATM ; Protocoles de signalisation (niveau 4) : Integrated Services Intserv (RFC 1633) ; Ressource reSerVation Protocol (RSVP) with Intserv (RFC 2210) ; Guaranteed QoS in Intserv (RFC 2212) ; Control Load QoS with Intserv (RFC 2211) ; Differenciated services DiffServ (RFC 2474) ; MultiProtocol Label Switching (MPLS) : 4 classes de service (Platinium, Gold, Silver et Bronze) ; ajout dune tiquette aux paquets lentre du rseau de loprateur ; compatible avec Diffserv.

3.5

IP et qualit de service

57

Pour assurer une qualit de service, il faut rguler le trac lentre du rseau de loprateur et dans les routeurs du rseau. Deux mthodes sont envisageables : lcrtage (policing) consiste dtruire les paquets lorsque le dbit dpasse le seuil critique ; le lissage (shaping) consiste stocker les paquets en excs et les transmettre lorsque le dbit redevient infrieur au seuil critique.
15 10 5 0 crtage (policing) trafic composite 15 10 rgulation de trafic 5 0 lissage (shaping)

15 10 5 0

Figure 3.14

Rgulation de ux par crtage et lissage.

La gure 3.14 montre que dans le cas dun crtage, certains paquets seront dtruits et le taux de perte augmentera. Dans le cas dun lissage, certaines donnes sont retardes, leur latence sera donc augmente. Les protocoles vont devoir dcider quels paquets seront dtruits ou retards an dassurer le meilleur service aux clients. Il faut instaurer la notion de paquets plus prioritaires que dautres, ou classes de services. Il faut galement rserver dans les routeurs, des ressources capables de traiter les paquets suivant les rgles dnies. 3.5.3 Intserv sappuie sur RSVP
Dunod La photocopie non autorise est un dlit.

Le protocole Intserv, en dnissant une architecture de services intgrs, permet dtablir un mode connect sur un rseau Internet. Il tablit un chemin que suivront toutes les donnes de la connexion. Il va rserver dans les routeurs les ressources ncessaires en leur adressant des requtes : request PATH pour trouver un chemin travers le rseau ; respons RESERVE va indiquer que le routeur a les ressources ncessaires disponibles pour traiter les donnes de la connexion. Chaque routeur concern va crer une machine dtat pour le ux de donnes de la connexion (gure 3.15). Il utilisera les paramtres des protocoles Real-time Transport Protocol et Real-Time Control Protocol associ TCP/IP pour grer les donnes et faire connatre les performances obtenues aux clients et autres routeurs.

58

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

processus file dattente bande passante classe de service rseau Internet B routeur 4 routeur 2 rseau Internet

rseau Internet A routeur 1

routeur 5 rseau Internet C

routeur 3 processus file dattente bande passante classe de service

Figure 3.15

Inserv cre des machines dtat dans les routeurs traverss.

Le dialogue entre une application client temps rel et un serveur comporte trois phases (gure 3.16) : 1. Lors dune demande de lapplication client, le protocole RSVP envoie une requte aux routeurs du rseau pour rserver des ressources et crer un processus de gestion des ux. 2. Une fois la communication tablie entre les deux applications, le serveur transmet les donnes en utilisant le protocole RTP. 3. Le protocole RTCP mesure les paramtres du ux de donnes reues (gigue, temps moyen de transmission, taux de perte) et informe le serveur pour assurer une rgulation du ux. 3.5.4 DiffServ dnit quatre classes de trac la diffrence du service intgr bas sur la rservation des ressources dans les routeurs, lapproche services diffrencis cherche mettre en place la QoS par un tri des paquets entrants la frontire du rseau suivant diffrents critres (dlai, bande passante, adresse). Les ux de donnes changes entre les applications sont classs suivant deux catgories de service et quatre classes de trac prdnies en fonction des performances demandes pour leur transmission. Les paquets sont marqus et grs dans les routeurs par des les dattente spciques chaque catgorie ou classe.

3.5

IP et qualit de service

59

serveur "temps rel" application "temps rel" RTP RTCP UDP Routeur RSVP 2 3 Routeur RSVP

client application "temps rel" RTP RTCP RSVP

UDP

Routeur RSVP processus Routeur RSVP 1 processus processus

Figure 3.16

Dialogue entre application et serveur temps rel .

Dunod La photocopie non autorise est un dlit.

Le premier service appel parfois premium fournit un traitement acclr (Expedite Formarding EF) en assurant des garanties tous les niveaux (dbit, dlai, taux de perte et gigue), ces garanties sont comparables celles obtenues sur une ligne spcialise et permettent des applications temps rel . Le deuxime service parfois appel olympic assure lacheminement des paquets (Assured Forwarding AF) avec quatre classes de tracs diffrentes : AF4 ou platinium cherche rduire le dlai de transmission des donnes ; AF3 ou gold garantit un dlai maximum et la dlivrance des donnes au destinataire ; AF2 ou silver garantit la dlivrance des donnes sans garantir un dlai de transmission ; AF1 ou bronze offre un minimum de garanties en termes de dlai ou derreurs. Pour chacune de ces classes, les constructeurs implmentent dans les routeurs des rgles de gestion des donnes dans les les dattente. IP utilise loctet ToS de len-tte pour indiquer la classe de trac des donnes. Chaque classe peut utiliser trois niveaux de priorit (gure 3.17). Les rgles implmentes donneront une transmission prioritaire des paquets de type premium, par rapport aux paquets des autres classes. Ces paquets constituent une classe particulire (classe de trac : 101) laquelle est associe la priorit la plus haute (priorit : 110). En cas de congestion dans les les dattente dun routeur (manque de place en mmoire) ce sont les paquets de classe bronze qui seront dtruits les premiers.

60

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

Version Long.

ToS 1 octet

long.

offset

TTL

proto

FCS

IP-SA

IP-DA

data

3 priorit

classe de trafic

inutiliss

codes des services diffrencis (DSCP)

classe AF1 : 001dd0 classe AF2 : 010dd0 classe AF3 : 011dd0 classe AF4 : 100dd0 service EF : 101110 dd : priorit de destruction

Figure 3.17

Classication des paquets dans len-tte IP.

Notons que lorsque le champ ToS nest pas utilis (tous les bits sont 0), aucune qualit nest demande et lon retrouve le fonctionnement par dfaut de lInternet du type effort maximum ou best effort . Labsence de signalisation permet chaque oprateur de grer la QoS dans son rseau, indpendamment des rseaux des autres oprateurs. Le protocole MPLS est souvent utilis par les oprateurs pour la mise en uvre du protocole DiffServ dans leur rseau. 3.5.5 MPLS : une question dtiquette Un rseau doprateur de transport Internet comporte deux types de routeurs ou commutateurs (gure 3.18). Les routeurs de bordure (Label Edge Routers) traitent les paquets en provenance de rseaux dautres oprateurs, les routeurs centraux (Core Routers) grent les paquets lintrieur du rseau de loprateur.

rseau Internet B

rseau Internet A rseau Internet routeurs de bordure routeurs centraux

rseau Internet C

Figure 3.18

Organisation des routeurs dans un rseau doprateur.

3.5

IP et qualit de service

61

lentre sur le rseau dun oprateur, chaque paquet se voit adjoindre une tiquette par le routeur de bordure. Le traitement des paquets dans les routeurs et commutateurs centraux va tenir compte des valeurs contenues dans cette tiquette. La classe AF1 de DiffServ correspond la classe bronze de MPLS, la classe EF correspond la classe platinium. La classe et la priorit des paquets de len-tte MPLS sont dduites de len-tte IPv4 par copie des bits du champ ToS (gure 3.19).
domaine non MPLS domaine MPLS routeur de bordure en-tte MPLS paquet IPv4

paquet IPv4

DSCP : xxxdd

MPLS extension : xxxdd EF AFxy 1 0 1 1 1 0 X X X Y Y 0 CU CU

classe priorit de destruction

Figure 3.19

Classe et priorit dans len-tte MPLS.

Le routeur de bordure est galement charg de rguler le dbit dentre sur le rseau MPLS. En cas de saturation des liens dentre ou de saturation de ses les dattente, il dtruira les paquets les moins prioritaires (gure 3.20).
le routeur de bordure : - ajoute l'tiquette MPLS - rgle le dbit d'entre (destruction des paquets non prioritaires)

rseau MPLS

Dunod La photocopie non autorise est un dlit.

rseau non MPLS

le routeur du client dfinit : - la classe de service (DSCP) - les paramtres (dbit, priorit)

temps rel classe 4 classe 1 classe des paquets

le routeur central : - lit l'tiquette MPLS - dtecte les congestions - rgle le flux (destruction des paquets non prioritaires)

Figure 3.20

Rle des routeurs dans un rseau MPLS.

62

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

Les routeurs centraux sont chargs de rguler les ux de donnes sur les liens du rseau. Pour cela, ils doivent dtecter les congestions. Chaque routeur interroge ses voisins en utilisant un protocole de gestion (Interior Local Management Interface). Il tient jour une base de gestion des liens (Interior Link Management Interface Management Information Base). 3.5.6 Routage des connexions garantie de service Pour router une connexion, les routeurs tablissent une liste des routeurs voisins disposant des ressources ncessaires (Designated Transit List). Les ressources sont rserves dans chaque routeur slectionn, et une fonction de contrle dadmission de trac est active (gure 3.21).
(2)ce (1)Se

(7)A c

onn

e ct

Figure 3.21

tablissement dune connexion avec rservation de ressources.

Pour garantir des performances, les rseaux doprateurs doivent utiliser un protocole de transmission autorisant des classes de trac et la mesure des performances. Les routeurs mmorisent les dbits demands sur chaque lien. Ils cumulent les dbits de ux constants (ux Constant Bit Rate CBR) et de ux variables (ux Variable Bit Rate VBR). Pour toute nouvelle demande ils vrient que le total des dbits ne dpasse pas la bande passante du lien choisi : Dtc =

i=1

dci ;

Dtm =

i=1

dmi ;

( Dtc ) CBR + ( Dtm ) VBR < B

Dtc : dbit crte total dci : dbit crte de chaque ux CBR. Dtm : dbit moyen total Dmi : dbit moyen de chaque ux VBR B : bande passante du lien choisi

Les deux protocoles les plus adapts actuellement sont ATM et le relais de trame 1.

1. Cf. paragraphes 8.4 et 8.6 de louvrage Transmissions et Rseaux.

)c on ne (5 ct )A ck

(6)co nnec t

(6)connect

(6)c

(4

(3 ) ( Q Set oS up )

ceed ing tup ( QoS)

ll pro

(3)Setup (QoS)

( 3) ( Q S e tu oS p )

3.5

IP et qualit de service

63

Le routage ncessite une vue globale des ressources du rseau. Elle est assure par un algorithme gnrique de contrle dadmission (GCAC). la rception dune demande de connexion : les liens qui nont pas le dbit requis ou dont le taux de perte de cellules est suprieur la demande sont limins de la liste des chemins possibles ; une liste des chemins les plus courts est tablie ; de cette liste sont limins les chemins dont les performances globales sont infrieures celles demandes. Dans le cas o plusieurs chemins sont trouvs, la rpartition du trac sur le rseau est prise en compte ; la description complte du chemin choisi est note dans une liste (DTL) et transmise tous les routeurs du chemin. La garantie de service, implique la rgulation des ux de donnes. Parmi les principales mthodes citons : la rgulation de dbit ladmission dans le rseau (Source Trafc Smoothing, Leaky Bucket) ; le contrle de bout en bout (Rate Control for end-to-end Transport) utilisant des cellules OAM ; le contrle de congestion ractive ou prventive (Connection Admission Control).
a) Rgulation ladmission (Leaky Bucket)

Des jetons sont gnrs intervalles rguliers. Le rseau nadmet pas plus de cellules que le nombre de jetons en stock. Les autres cellules devront attendre les jetons suivants pour tre admises dans le rseau. Dans la gure 3.22, les trois premires cellules seront admises immdiatement, les deux autres devront attendre les prochains jetons.
G.J.

5 4 3 2 1
Dunod La photocopie non autorise est un dlit.

G.J. : gnrateur de jetons

Figure 3.22

Contrle de ux de type Leaky Bucket.

Il est ainsi possible de contrler le nombre de cellules admises dans le rseau par unit de temps.

64

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

b) Rgulation de bout en bout (Rate Control for end-to-end Transport)

Les mthodes fentre sont peu efcaces du fait des temps de propagation. Les mthodes sappuyant sur la prise en compte des congestions dans le rseau leur sont prfres. Les mthodes prdictives, telles que RCT, semblent plus performantes que les mthodes ractives. La rgulation par RCT utilise le bit CLP (Cell Less Priority) des cellules ATM pour dclasser celles-ci en cas de congestion. La gure 3.23 illustre cette mthode.
PT,CLP 000,1 000,1 routeur satur
01

01

1,1

t io I n f o rm a

g e st n de c on

ion

Figure 3.23

Rgulation par information de congestion (RCT).

Lorsquune cellule portant un bit CLP 1 traverse un routeur satur, le champ PTI (Payload Type Identication) est marqu (010 ou 011). Lquipement terminal informe les quipements en amont de la congestion du routeur en utilisant les canaux de signalisation.

3.6

LE PROTOCOLE PPP (Point-to-Point Protocol)

Dans le cadre dune connexion point point par modem lInternet, il est ncessaire dutiliser une procdure capable de transporter les datagrammes IP sur une liaison srie. Le premier protocole conu dans ce but est SLIP (Serial Line Internet Protocol) ; PPP (Point to Point Protocol) ajoute lauthentication et la dtection derreurs et permet dencapsuler plusieurs protocoles de niveau 3. PPP est dni par les RFC 1548, RFC 1661 et RFC 1662 de lIETF. Le protocole PPP est associ deux autres protocoles dont les rles sont les suivants : PPP encapsule les paquets de donnes pour les transmettre sur une liaison point point. Son adaptation aux protocoles de niveau 3 les plus courants (IP, IPX, Appletalk, Xerox ou Decnet) et son autoconguration le rendent particulirement performant ; le protocole LCP (Link Control Protocol) tablit, congure, maintient et ferme la connexion ; un ensemble de protocoles dnomm NCP (Network Control Protocol) assure ladaptation aux protocoles de niveau 3.

1,

3.6

Le protocole PPP (Point-to-Point Protocol)

65

Le protocole PPTP (Point-to-Point Tunneling Protocol), combine lencapsulation et le cryptage. Il permet de crer des liaisons scurises utilises notamment dans les rseaux virtuels (Virtual Private Network VPN). Dans un premier temps, le protocole LCP va mettre des paquets pour tablir la connexion et tester la liaison. Ensuite, PPP envoie des paquets NCP pour dnir le protocole de niveau 3 utilis et la taille des paquets changs. la n de la transmission des donnes, des paquets LCP et NCP sont changs pour fermer la connexion. 3.6.1 Gestion dune connexion
a) tablissement dune connexion

Pour ouvrir une connexion, LCP envoie une requte de conguration (code : 1). Il dnit un identicateur pour la connexion (ID). Un paquet de conrmation positive (code : 2) ou ngative (code : 3) est retourn par lquipement distant. La gure 3.24 illustre ce dialogue dtablissement de connexion.

dialogue d'tablissement
configure Requ est (1, ID)

rseau d'oprateur

config ure Ack (2, ID)


dialogue de fermeture
term inate Request (5, ID)

term inate Ack (6, ID)

code
Dunod La photocopie non autorise est un dlit.

ID

long.

options

1 2 (octets) format d'un paquet LCP

Figure 3.24

Dialogues de gestion dune connexion par LCP.

Pour fermer une connexion, un paquet terminate-request est mis (code : 5). Un acquittement est envoy en rponse (code : 6 pour un acquittement positif). Des options peuvent tre ajoutes. Le champ longueur indiquera la taille des options transmises. Parmi ces options, se trouve lauthentication par lun des protocoles PAP (Password Authentication Protocol) ou CHAP (Challenge Handshake Authentication Protocol) dnis par la RFC 1334 de lIETF. Le protocole PAP repose

66

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

sur un identiant associ un mot de passe. Le protocole CHAP repose sur la connaissance dun mot de passe (appel secret ) partag par les deux utilisateurs. Ce mot de passe est utilis comme cl de cryptage et de dcryptage. La procdure dauthentication du protocole CHAP est active priodiquement pendant louverture de la connexion. La gure 3.25 montre le principe dauthentication priodique : le serveur envoie un premier paquet (challenge) qui contient un identiant de la transaction, et un nombre alatoire ; la station doit alors renvoyer (response) la version crypte du nombre alatoire ; le serveur dcrypte le nombre reu et compare sa valeur au nombre envoy. En fonction du rsultat, il renvoie un acquittement (succes) ou un refus (failure). Par dfaut, lauthentication des utilisateurs nest pas active.

rseau d'oprateur
Cha llenge (1, ID, nb)
Response (2, ID, nb crypt)

ID) Success (3, ID) ou Failure (4,

Figure 3.25

Dialogue dauthentication du protocole CHAP.

b) Conguration dune connexion

Une fois la connexion tablie, la conguration est la charge du protocole NCP. Pour permettre lchange de datagrammes IP, NCP changera des paquets IPCP ( IP Control Protocol) avec le site distant. Le dialogue est identique celui de ltablissement et de la fermeture avec les paquets Congure-Request , Congure-Ack , Congure-Nak , TerminateRequest et Terminate-Ack . La taille des paquets changs est xe dans le champ des options. Par dfaut, les paquets de donnes sont de 1 500 octets. 3.6.2 Trames PPP
a) Format des trames

Le format des trames PPP (gure 3.26) est proche de celui des trames HDLC. Non numrotes, elles ne permettent pas une procdure dacquittement et de rmission. Les erreurs devront tre traites par les couches suprieures.

3.6

Le protocole PPP (Point-to-Point Protocol)

67

drapeau adresse controle 0x7e 0xff 0x03 1 1 1

protocole 2 (octets)

data

FCS 2

drapeau 0xfe 1 (octets)

Figure 3.26

Format des paquets PPP.

Les champs adresse et contrle ne sont pas utiliss. Les valeurs de ces deux octets sont respectivement 0xff et 0x03. Pour lchange de paquets LCP, ces deux champs sont omis. Le champ protocole indique le type de paquet ou le protocole de niveau 3 du champ donnes. Les codes des paquets des protocoles de gestion commencent par un 1 : 0xC021 0xC023 0xC025 0xC223 0x0021 0x0025 0x0029 Paquet LCP Password Authentication Protocol Link Quality Report Challenge Handshake Authentication Protocol Internet protocol Xerox NS IDP DECnet Phase IV 0x0029 0x002B 0x00CF Appletalk Novell IPX PPP encapsul

Les codes des paquets dun protocole de niveau 3 commencent par 0 :

Le champ donnes est de taille constante et xe la conguration de la connexion (1 500 octets par dfaut). Les donnes sont compltes par des octets de bourrage si ncessaire.
b) change de datagrammes IP

Dunod La photocopie non autorise est un dlit.

Une fois la connexion tablie et congure, les datagrammes IP peuvent tre changs. Chaque datagramme est encapsul dans un paquet PPP dont le champ protocole est x la valeur 0x0021 pour IP. Le traitement des erreurs ntant pas possible au niveau PPP, il devra tre pris en charge par TCP. Le protocole PPTP (Point to Point Tunneling Protocol), bas sur lencapsulation et le cryptage, permet de crer de manire scurise des rseaux privs virtuels (VLAN) sur lInternet. Lorsque la connexion est tablie au niveau liaison et rseau entre les deux systmes distants, la connexion scurise est mise en uvre en cryptant et en encapsulant les paquets IP. 3.6.3 Les protocoles PPPoE et PPPoA Initialement mis en uvre sur les liaisons du rseau tlphonique commut, le protocole PPP a t adapt pour son utilisation sur des rseaux Ethernet (PPPoE) et ATM (PPPoA).

68

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

a) PPP over Ethernet

Le protocole PPPoE (RFC 2516) a pour objectif dtablir une session point point sur un rseau Ethernet. Avant louverture de session, la procdure dbute par une phase de dcouverte destine obtenir ladresse MAC dun routeur. Le rseau Ethernet pouvant interconnecter plusieurs quipements congurs pour traiter le protocole PPPoE, lordinateur va devoir slectionner celui avec lequel il va tablir la session point point. Cette phase est dcrite gure 3.27 : 1. La station met un paquet dinitiation (PPPoE Active Discovery Initiation) tous les quipements (adresse de diffusion). Le code vaut 0x9, lidenticateur de session est 0 . 2. Les routeurs retournent un paquet doffre de session (PPPoE Active Discovery Offer) la station source (code = 0x7 ; identicateur de session = 0). 3. La station envoie une demande douverture de session (PPPoE Active Discovery Request) au routeur choisi (code = 0x19 ; identicateur de session = 0). 4. Le routeur retenu conrme louverture de session (PPPoE Active Discovery Session-conrmation) la station (code = 0x65) et affecte un identicateur de session. Une fois la session point point ouverte, lchange de donnes seffectue suivant le protocole PPP.
b) PPP over ATM

Le protocole ATM utilise un mode connect1. Il se prsente donc comme une connexion point point, tout comme une connexion PPP. A ltablissement de la connexion, la couche ATM doit faire remonter la couche LCP les informations dtablissement de la connexion (conrmation de la requte de connexion). Le protocole PPPoA (RFC 2364) sinterface avec la couche AAL5 du protocole ATM. Cette couche traite des blocs de donnes jusqu 64 Ko. Les paquets PPP seront encapsuls dans un paquet LLC avant dtre transmis la couche AAL5 2. La gure 3.28 donne le dtail des champs des paquets AAL5 encapsulant des paquets PPP. Ils se composent de trois parties : 1. len-tte LLC : les adresses SAP destination et source sont xes 0xFE ; la trame est de type non numrote (0x03) ; le champ Network Layer Protocol Identier (NLPID) indique un protocole PPP encapsul (0xCF). 2. Le paquet PPP : lidenticateur de protocole sur 2 octets ; les donnes PPP suivies dun bourrage fonction de la taille des paquets dnie louverture de la connexion par LCP.
1. Cf. paragraphe 8.6 de louvrage Transmissions et Rseaux. 2. Cf. paragraphes 6.5.2 et 8.6.5 de louvrage Transmissions et Rseaux.

3.6

Le protocole PPP (Point-to-Point Protocol)

69

Adresse MAC : @R2

rseau Ethernet Adresse MAC : @st

Routeur 2

Adresse MAC : @R1 Routeur 1


PAD Initiati on (9, ID= 0, )
PADO ffer (7, ID=0, @R2)
PADO ffer (7, ID=0, @R1)

PADRequest (0x1 9, ID=0 , @R2

, ID) PADS ession-confirmation(0x65

ad. MAC dest 0xffffffffffff

adresse MAC station

type trame 0x8863

version/type 0x11 label lg. 0x0000

code ID session lg. label type 0x09 0x0000 0x0004 0x0101 format d'un paquet PADInitiation ad. MAC dest adresse type trame MAC routeur 0x8863

version/type 0x11 label lg. 0x0000

code ID session lg. label type 0x07 0x0000 0x0020 0x0101 label type 0x0102 label lg. 0x0018

valeurs (24 octets)

format d'un paquet PADOffer

Figure 3.27

tablissement dune session point point par PPPoE.


en-tte LLC

Dunod La photocopie non autorise est un dlit.

SAP dest 0xFE 2 (octets) protocole ID

SAP source 0xFE

type trame NLPID : PPP 0x03 0xCF N x 48 octets

donnes PPP paquet PPP 1 2 CPI long.

bourrage

1 bourrage inutilis AAL5

4 (octets) CRC

protection AAL5

Figure 3.28

Format des paquets AAL5 transportant des paquets PPP.

70

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

3. Les octets de protection : le champ Common Part Indicator (CPI) permet daligner la protection sur une longueur de 8 octets ; la longueur est code sur 2 octets (taille maximale 65 535 octets) ; la somme de contrle CRC est de 4 octets et porte sur lensemble du paquet. Le protocole PPP et ses adaptations PPPoE et PPPoA sintercalent entre le protocole IP et les protocoles de transmission. Si la valeur par dfaut de la longueur des paquets (1 500 octets) est bien adapte au format des trames Ethernet (1 500 octets de donnes), il nen est pas de mme pour le protocole ATM. En effet, AAL5 est prvu pour traiter les blocs de donnes IP sans les fragmenter. En interposant PPP entre IP et AAL5, un bloc de 64 Ko sera fragment en 44 units transmettre. Dans le cas de lutilisation du protocole PPPoA, il peut tre utile de paramtrer la taille des paquets PPP an de rduire la fragmentation des datagrammes IP.

Rsum

1. Classication OSI les protocoles TCP/IP utiliss sur les rseaux Internet sont des protocoles respectivement de niveau 4 et de niveau 3 de larchitecture OSI ; le protocole IP offre des fonctions dadressage et de routage. Il est associ aux protocoles ARP, RARP, ICMP et RIP ; le protocole TCP offre un transport en mode connect. Le protocole UDP fonctionne en mode non connect. 2. Le protocole IP les adresses IP sont codes sur 4 octets. Elles sexpriment en nombres dcimaux spars par un point (137.15.232.2) ; les adresses IP utilises sur Internet sont rparties en cinq classes (A, B, C, D et E) ; certaines plages dadresses ne sont pas routables sur Internet. Elles peuvent tre utilises sur des rseaux privs ; huit plages dadresses sont affectes des rgions du monde. 3. Gestion des adresses et routage sur Internet les classes dadresses peuvent tre divises en plages plus petites. Les routeurs utilisent des masques de taille variable (200.154.210.0/25) ; une entreprise utilisant une classe prive dadresses IP utilisera la technique de translation dadresses (NAT) pour laccs Internet ; les rseaux doprateurs utilisent des routeurs internes (IGP) pour le routage lintrieur de leur rseau. Ils font appel des routeurs externes (EGP) pour linterconnexion avec les rseaux des oprateurs voisins ; le protocole RIP est un protocole de routage interne sappuyant sur un algorithme de type vecteur de distance ;

Rsum

71

Dunod La photocopie non autorise est un dlit.

le protocole OSPF est un protocole de routage interne utilisant un algorithme bas sur la connaissance de ltat des liaisons entre routeurs ; le protocole BGP-4 est un protocole de routage externe pour des routeurs connects plusieurs autres routeurs externes. 4. Les protocoles de niveau transport : UDP et TCP ils initialisent les dialogues la demande des applications ; le protocole UDP utilise un mode non connect et gre les ports permettant aux applications de dialoguer ; le protocole TCP utilise un mode connect permettant la rmission des segments en erreur ; louverture dune connexion par TCP initialise le numro de squence et la taille de la fentre utilise ; le transfert des donnes ncessite un acquittement (ACK). 5. IP et qualit de service la qualit de service permet de garantir les dlais dacheminement de ux temps rel ; pour garantir des performances, il faut quantier et mesurer des paramtres ; les principaux paramtres sont le dbit moyen et les rafales (dbit max et dure) ; la qualit de service passe par la mise en place de protocoles de transmission (niveaux 1 et 2), de routage (niveau 3) et de signalisation (niveau 4) ; aux niveaux 1 et 2 les protocoles les plus adapts sont ATM, SDH et Frame Relay ; au niveau 4 on trouve les protocoles IntServ, Diffserv, RSVP et MPLS ; le protocole IntServ permet dtablir un mode connect travers Internet ; les applications temps-rel utilisent les protocoles RSVP, RTP et RTCP pour la rgulation des ux ; Diffserv dnit quatre classes de trac : premium pour les applications temps rel , gold pour un dlai garanti, silver et bronze qui ne garantissent pas la dlivrance des donnes ; les classes de trac et la priorit des paquets sont codes dans le champ ToS de IPv4 ; le protocole MPLS permet aux oprateurs de garantir des services sur leur rseau indpendamment des autres rseaux doprateurs ; lentre sur le rseau, les routeurs de bordure ajoutent une tiquette (label) aux paquets. Cette tiquette servira au traitement des paquets dans les routeurs centraux ; le routage des connexions garantie de service ncessite de rserver des ressources dans les routeurs traverss ; la rgulation de ux peut se faire ladmission des paquets (ex. : Leaky Bucket) ou de bout en bout (ex. : RCTP).

72

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

6. Le protocole PPP le protocole PPP assure la transmission sur des liaisons point point de datagrammes de niveau 3 par encapsulation ; il est associ deux autres protocoles : LCP pour la connexion, PPP pour le format des paquets et NCP pour traiter les paquets de niveau 3 ; le protocole PPTP ajoute un cryptage des paquets et permet de crer des rseaux privs virtuels (VPN) ; la version PPPoE va crer une liaison point point avec un routeur travers un rseau Ethernet ; la version PPPoA assure linterfaage avec la couche AAL5 dATM.

QCM
Une version lectronique et interactive est disponible sur le site www.dunod.com. 1. Classication OSI
Q1. quel niveau de larchitecture OSI correspond le protocole IP ? a) niveau 1 b) niveau 2 c) niveau 3 d) niveau 4 e) niveau 5 Q2. quel niveau de larchitecture OSI correspond le protocole ICMP ? a) niveau 1 b) niveau 2 c) niveau 3 d) niveau 4 e) niveau 5 Q3. Quel est le protocole de mme niveau que TCP ? a) ARP b) RIP c) RCTP d) UDP Q4. Le protocole UDP utilise une connexion en mode : a) connect b) non connect c) point point e) PPP

2. Le protocole IP
Q5. Les adresses IPv4 sont codes sur : a) 2 octets b) 3 octets c) 4 octets d) 5 octets e) 6 octets Q6. Les adresses IP sont rparties en : a) 3 classes b) 4 classes c) 5 classes d) 6 classes e) 7 classes Q7. Quelles sont les fonctionnalits assures par le protocole IP ? a) fragmentation b) affectation des ports c) contrle de ux d) routage

QCM

73

3. Gestion des adresses et routage sur Internet


Q8. Le routeurs appliquant le CIDR utilisent (plusieurs rponses) : a) des sous-classes dadresses b) des masques de longueur variable c) des classes prives d) le protocole NAT Q9. La translation dadresse assure le passage dadresses : a) de classe prive publique b) de classe C sous-classe c) de classe C classe B Q10. Les routeurs externes dun oprateur Internet utilisent un protocole (plusieurs rponses) : a) IGP b) EGP c) BGP Q11. Le protocole RIP est un protocole utilis par : a) des routeurs internes b) des routeurs externes c) les deux types Q12. Le protocole OSPF (Open Short Path First) utilise un algorithme de type : a) vecteur de distance b) tat des liens c) les deux Q13. Le protocole BGP-4 est un protocole utiliss par : a) des routeurs internes b) des routeurs externes c) les deux types Q14. Le protocole BGP-4 utilise un algorithme de type : a) vecteur de distance b) tat des liens c) les deux

4. Les protocoles UDP et TCP


Q15. Quelles sont les fonctionnalits assures par le protocole UDP ? a) la segmentation b) laffectation des ports c) le contrle de ux d) le routage Q16. Le champ donnes dun datagramme UDP peut contenir au maximum : a) 1 500 octets b) 15 Ko c) 32 Ko d) 64 Ko Q17. Quelles sont les fonctionnalits assures par le protocole TCP ? a) la segmentation b) laffectation des ports c) le contrle de ux d) le routage
Dunod La photocopie non autorise est un dlit.

Q18. Le champ donnes dun datagramme TCP peut contenir au maximum : a) 1 500 octets b) 15 Ko c) 32 Ko d) 64 Ko

5. IP et qualit de service
Q19. La qualit de service permet de garantir (plusieurs rponses) : a) le dlai dacheminement b) le taux de perte c) la retransmission sur erreur Q20. Une rafale est dnie par le(s) paramtre(s) : a) le dbit maximum b) le dbit moyen c) la dure d) le taux de perte

74

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

Q21. Quel(s) sont le(s) protocole(s) adapt(s) la qualit de services ? a) Ethernet b) ATM c) FDDI d) HDLC e) FastEthernet Q22. Quels sont les protocoles utiliss par les applications temps rel ? a) UDP b) RTP c) TCP d) RSVP e) RIP Q23. Dans quel champ de len-tte IP se trouvent les paramtres utiliss par MPLS ? a) version b) drapeaux c) type de service d) dure de vie Q24. Quel protocole de rgulation de ux est assur par les seuls routeurs de bordure ? a) Connection Admission Control b) Leaky Bucket c) Rate Control end-to-end Transport

6. Le protocole PPP
Q25. quel niveau de larchitecture OSI correspond le protocole PPP ? a) niveau 1 b) niveau 2 c) niveau 3 d) niveau 4 e) niveau 5 Q26. Quel protocole est charg de ltablissement de la connexion ? a) PPTP b) NCP c) PPP d) IP e) LCP Q27. Quel protocole est utilis sur les rseaux privs virtuels (VLAN) ? a) PPTP b) LCP c) PPP d) IP e) NCP Q28. Le protocole PPP over Ethernet tablit une liaison point point entre : a) 2 postes clients b) 1 poste client et 1 serveur c) 1 poste client et 1 routeur d) 1 serveur et 1 routeur Q29. Avec quelle couche du protocole ATM sinterface le protocole PPPoA ? a) ATM b) AAL2 c) AAL3-4 d) AAL5 e) PMD

Exercices
(*) : facile(**) : moyen(***) : difcile Corrigs la n du livre et sur le site www.dunod.com.

3.1 (*) Calculer le nombre dadresses Internet de classe C pouvant tre distribues par les organismes du NIC, en tenant compte des adresses rserves et non routables. 3.2 (**) Une entreprise demande une plage de 480 adresses Internet. Indiquer une adresse pouvant lui tre attribue par un organisme du NIC. Quel masque devra tre utilis dans les routeurs ?

Exercices

75

3.3 (***) Une entreprise dispose de 110 ordinateurs clients et 4 serveurs. Elle souhaite disposer de 34 adresses sur Internet. a) Indiquer une adresse pouvant lui tre attribue par un organisme du NIC. b) Donner une table de translation possible si les postes connects Internet sont toujours les mmes et comportent deux serveurs et deux routeurs. 3.4 (*) partir de la gure 3.5, tablir la table de routage du routeur R1 si les routeurs utilisent le protocole RIP. 3.5 (**) Dans la gure 3.5, le rseau client B est connect au routeur R2 la place du routeur R3. a) Indiquer les modications apportes dans la table de routage du routeur R3 (tableau 3.2). b) tablir la table de routage du routeur R2. 3.6 (*) partir de la topologie du rseau de la gure 3.5 et de la table de routage OSPF du tableau 3.3, tablir le plus court chemin reliant le rseau client C au rseau Internet B. 3.7 (***) On considre la topologie du rseau de la gure 3.5 et la table de routage OSPF du tableau 3.3. a) tablir le plus court chemin reliant le rseau client C au rseau Internet B dans le cas o le lien R1-R3 devient inutilisable. b) Le trac entre les rseaux Internet B et C augmente et sature le routeur R6. Comment modier la table de ltat des liaisons du tableau 3.3 an de faire passer le trac du rseau client C vers le rseau Internet B par le routeur R2. 3.8 (***) partir du rseau dcrit la gure 3.29 et de la table dtat des liens du tableau 3.7 (voir tude de cas du prsent chapitre), on analyse le trac entre les rseaux clients A et B.
Dunod La photocopie non autorise est un dlit.

a) Dterminer le plus court chemin et son cot. b) Le routeur R4 reli lEbone est trs charg. Comment ladministrateur peut-il modier la table dtat des liens pour que le trac entre les rseaux clients A et B soit achemin via les routeurs R5 et R6 ? 3.9 (***) Dans le rseau de la gure 3.29 (voir tude de cas du prsent chapitre), les liens partant des routeurs R1, R2 et R3 sont 10 Mbit/s. Les liens entre les routeurs de bordure R4 R7 sont de 50 Mbit/s. Les ux actuellement tablis ont pour paramtres (total ux CBR ; total ux VBR) : R2-R1 (3 Mbit/s ; 5 Mbit/s) ; R1-R4 (2 Mbit/s ; 7 Mbit/s) ; R1-R7 (2 Mbit/s ; 2 Mbit/s) ; R4-R5 (15 Mbit/s ; 20 Mbit/s) ; R4-R7

76

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

(12 Mbit/s ; 15 Mbit/s) ; R5-R3 (1,7 Mbit/s ; 3,4 Mbit/s) ; R5-R6 (3,1 Mbit/s ; 4,8 Mbit/s) ; R6-R7 (2,4 Mbit/s ; 4,2 Mbit/s). Un poste du rseau client B veut tablir une connexion avec un serveur vido du rseau A par un ux variable de paramtres 3,8 Mbit/s de dbit crte et 2 Mbit/s de dbit moyen. a) Existe-t-il un chemin permettant de garantir les dbits demands ? b) Mme question si le trac sur le lien R1-R2 passe (3 Mb/s ; 2 Mb/s). Exercices pratiques
(*) : facile(**) : moyen(***) : difcile Les logiciels utiliss sont disponibles sur le site www.dunod.com (versions dvaluation ou gratuites).

3.10 (**) Tests daccs au prestataire de service par le RTC a) Relever ladresse du DNS de votre prestataire. Vous pouvez afcher les proprits ou les paramtres de la connexion rseau concerne et slectionner le protocole Internet (TCP-IP). Une autre solution consiste ouvrir une fentre de commandes en mode DOS (programmes, accessoires, Invite de commandes) et de taper ipcong /all pour obtenir lensemble des paramtres TCP-IP pour toutes les connexions. b) Aprs vous tre connect votre prestataire, faire un ping sur ladresse de son serveur DNS. Le logiciel ping est accessible par une fentre de commandes en mode DOS . Le serveur DNS vous retourne un paquet de rponse (paquet echo ) et le logiciel mesure le temps de rponse du DNS (remarque : taper ping p pour obtenir la syntaxe et les options de la commande). 3.11 (**) Tests daccs au prestataire de service par ADSL a) Relever ladresse du DNS de votre prestataire. Vous pouvez procder comme ci-dessus en identiant la connexion correspondant votre accs ADSL (gnralement carte daccs distant ou modem ADSL ). b) Aprs vous tre connect votre prestataire, faire un ping sur ladresse de son DNS (voir mthode dans lexercice 3.10). 3.12 (**) Routage Internet par lutilitaire TRACERT a) Aprs vous tre connect votre prestataire, lancer une commande tracert sur un serveur connu (serveur http par exemple). Le logiciel TRACERT est galement accessible par une fentre de commandes en mode DOS . Relever lURL et ladresse IP de ce serveur, ainsi que litinraire emprunt pour atteindre ce serveur.

tude de cas : Routage dans les rseaux doprateurs de transport

77

b) Une option du logiciel permet de mesurer le temps de rponse (taper tracert p pour obtenir la syntaxe et les options de la commande). 3.13 (***) Routage Internet par le logiciel NeoTrace a) Installer le logiciel Neotrace sur votre ordinateur. NeoTrace est un logiciel de la socit McAfee permettant de visualiser graphiquement le chemin emprunt par les paquets pour accder un serveur (serveur http par exemple). Le logiciel peut tre obtenu gratuitement en version de dmonstration. b) Se connecter plusieurs sites disperss gographiquement (on peut utiliser les sites de Sony, tels que sony.fr ; sony.it ; sony. ; sony.at ; sony.com.au ; sony.com.sg. c) Reprer le lieu de connexion avec le fournisseur daccs Internet (FAI). Reprer le lieu dinterconnexion avec loprateur Internet suivant (lieu o le radical de ladresse propre au domaine de loprateur Internet change) ; le nom du rseau dinterconnexion (ebone) sil existe. d) Le logiciel permet de voir le nombre doprateurs et de routeurs traverss, ainsi que la dure moyenne (sur 10 paquets) du trajet et sa variation maximale. e) Faire un relev des routes et des dures de trajet sur un site, des jours et heures diffrents (et si possible partir de deux FAI diffrents). On note les diffrences dues aux variations de la charge des rseaux doprateurs Internet.

tude de cas : Routage dans les rseaux doprateurs de transport

Dunod La photocopie non autorise est un dlit.

Les rseaux doprateurs sont organiss en domaines reprsentant des systmes autonomes de routage (Autonomous Systems). Chaque plaque comporte des points daccs au rseau permettant aux rseaux clients de se raccorder Internet via les routeurs internes de loprateur (gure 3.29). Les plaques changent leurs tables de routage et leurs trames par les routeurs de bordure (R4, R5, R6 et R7). Les routeurs peuvent tre congurs pour grer une table de routage statique ou dynamique. Dans le cas dun routage statique, ladministrateur remplit la table de routage manuellement (net adress ; next hop ; metric). Le paramtre metric est optionnel. En labsence de paramtre, une valeur par dfaut est utilise par le logiciel de routage. Pour un routeur Cisco, la commande permettant de dnir une route est clns route .

78

3 TCP/IP pour le routage et la qualit de service, PPP vers le client

R5 (Strasbourg) A rseau client R4 (Paris) R2 Troyes B R3 Colmar A C R1 Sens Ebone R7 (Dijon) Paris Lyon D plaque Grenoble Annecy R6 (Besanon)

Figure 3.29

Organisation des routeurs dun oprateur de transport Internet.

Les routeurs offrent souvent la possibilit de choisir entre plusieurs protocoles de routage dynamique. Les routeurs Cisco proposent le protocole ISO IGRP (Interior Gateway Routing Protocol) et le protocole IS-IS (Intermediate System-to-Intermediate System).Le protocole ISO IGRP dispose de trois niveaux de routage : system routing, area routing et inter-domain routing. Les deux premiers niveaux correspondent au routage interne un domaine, le troisime niveau sera rserv aux routeurs de bordure. Lalgorithme de routage est de type vecteur de distance. La table de routage du routeur R1 contiendra les informations du tableau 3.6.
TABLEAU 3.6 TABLE DE ROUTAGE DU ROUTEUR R1 DE LA FIGURE 3.29 AU PROTOCOLE ISO IGRP.
net A B C D R7 next hop R4 R2 metric 4 2 1 2

Pour congurer un routage dynamique au protocole ISO IGRP, il faut dnir ladresse du routeur et spcier les interfaces qui vont utiliser ce protocole. Le paramtre metric ne correspond pas forcment au nombre de sauts et laffectation de valeurs est facultative (commande : # metric weights qos k1 k2 k3 k4 k5). Les valeurs par dfaut fournissent un bon routage dans la plupart des cas, et leur modication peut entraner des baisses importantes de

tude de cas : Routage dans les rseaux doprateurs de transport

79

performance. Il est donc ncessaire, avant de modier ces paramtres, de mesurer les tracs sur les diffrents segments du rseau an de vrier si les modications amliorent ou non les performances du routage. Le protocole IS-IS autorise un routage dynamique utilisant une table dtat des liaisons (Link state). Les paramtres metric peuvent tre entrs par la commande # isis metric value. La valeur est comprise entre 0 et 63, la valeur par dfaut est 10. Le tableau 3.7 reprsente le contenu de la table dtat des liens.
TABLEAU 3.7
router R1 R1 R1 R1 R2 R2 neigbourg R2 R4 R7 C R1 B

TABLE DTAT DES LIENS DE LA FIGURE 3.29 POUR LE PROTOCOLE IS-IS.


metric 10 10 10 10 10 10 router R3 R3 R4 R4 R4 R5 neigbourg R5 A R1 R5 R7 R3 metric 10 10 10 10 10 10 router R5 R5 R6 R6 R7 R7 R7 neigbourg R4 R6 R5 R7 R1 R6 R4 metric 10 10 10 10 10 10 10

Dunod La photocopie non autorise est un dlit.

Chapitre 4

Les services sur Internet : messagerie, FTP et Web

4.1

LES SERVICES DE MESSAGERIE

Dunod La photocopie non autorise est un dlit.

Plus connus sous le nom de courrier lectronique ou e-mail, ces services permettent dchanger des messages et des chiers. La taille des chiers (pices jointes) est limite par les serveurs de messagerie (limitation denviron 1 Mo) pour restreindre le stockage et prserver la bande passante. Au-del, il faudra utiliser un service spcialis dans le transfert de chier utilisant un protocole adapt tel que FTP ( File Transfer Protocol). Il faut diffrencier la messagerie interne et la messagerie externe. La premire permet lenvoi de messages entre les salaris de lentreprise. La seconde interconnecte les salaris de lentreprise aux messageries du monde Internet. Larchitecture de la premire tant la plus simple, elle sera tudie en premier, mme sil est rare quelle soit dissocie de la seconde, sauf pour des raisons de scurit. Dans ce cas, deux services distincts coexisteront, les postes permettant la messagerie interne tant dissocis de ceux autorisant lchange de messages avec le monde Internet. 4.1.1 Architecture dune messagerie interne Larchitecture de base tourne autour dun serveur de messagerie disposant de botes aux lettres (BAL). Chaque utilisateur dispose dune BAL laquelle il peut accder en lecture par un nom utilisateur et un mot de passe (gure 4.1). La liste des BAL est stocke dans une base de donnes de comptes. Cette base de donnes est le plus souvent compatible avec ODBC (Open DataBase Connectivity).

82

4 Les services sur Internet : messagerie, FTP et Web

Bernard

Serveur de messagerie

botes aux lettres 4 5 Bernard "mot de passe" 2 De : Andr A : Bernard

1 Andr

Figure 4.1

Architecture et fonctionnement dune messagerie interne.

Le fonctionnement comprend deux phases distinctes : lenvoi du message dune part, la lecture du message dautre part. Ces deux phases sont indpendantes et dcorles dans le temps. Phases denvoi : 1. Lexpditeur (Andr) rdige le message (texte + destinataire). Le poste peut tre dconnect du rseau. 2. Lexpditeur envoie le message au serveur de messagerie. Le poste doit tre connect au rseau. Lexpditeur na pas besoin de disposer dune BAL sur le serveur, mais le poste doit connatre le nom du serveur (il doit possder un compte si laccs au rseau est contrl par un serveur de comptes). 3. Le serveur de messagerie vrie lexistence dune BAL au nom du destinataire (Bernard) et y stocke le message. Phases de rception : 4. Le destinataire (Bernard) interroge sa BAL. Le poste doit connatre le nom du serveur de messagerie (il doit dabord ouvrir une session dans le cas dun serveur de comptes). 5. Aprs vrication de son nom et de son mot de passe par le serveur, Bernard peut lire ou transfrer les messages situs dans sa BAL. Dans le cas o le message est transfr vers loutil de messagerie du poste client, la lecture du message peut se faire en diffr (hors connexion au rseau). Les protocoles utiliss par le serveur pour traiter le message et par le destinataire pour interroger sa Bote aux lettres sont diffrents. Le plus souvent, le traitement des messages se fait avec SMTP (Simple Mail Transfer Protocol), alors que linterrogation de la BAL utilise POP3 (Post Ofce Protocol). Bien sr, il sagit du fonctionnement vu des utilisateurs. Nous allons afner lanalyse pour comprendre les paramtrages ncessaires. Mais avant, examinons les logiciels constituant les applications client et serveur.

4.1

Les services de messagerie

83

a) Architecture logicielle dune messagerie

Une application de messagerie va installer sur un poste client 5 modules (gure 4.2) : une interface utilisateur fournissant les commandes permettant ldition, lenvoi et la rception des messages ; une interface de service (Service Provider Interface) charge dexcuter les commandes transmises par linterface utilisateur via le systme dexploitation. Ce module contient les paramtres de fonctionnement de loutil de messagerie (nom du serveur, protocoles utiliss, planication des tches) ; un module de stockage des messages contenant les messages des botes denvoi et de rception ; un module de transport mettant en forme les messages en fonction des protocoles utiliss. Ce module dialogue avec le module TCP/IP des couches 3 et 4 du modle OSI ; un annuaire permettant de stocker une liste de destinataires (carnet dadresses, contacts).

Applications Systme d'exploitation

Eudora

Excel

Word

Outlook

Simple Messaging Application Programming Interface

modules de service

Service Provider Interface stockage transport annuaire

Service Provider Interface stockage transport annuaire

Figure 4.2

lments logiciels dun outil de messagerie client.

Dunod La photocopie non autorise est un dlit.

Chaque outil de messagerie installe ses propres modules de service. Il faut noter que les formats de stockage des messages et informations ne sont pas normaliss. Chaque constructeur choisit son format, avec dventuels problmes de compatibilit avec les autres applications. Ct serveur de messagerie, la gure 4.3 donne les lments logiciels installs : lagent de transport des messages (Message Transport Agent) charg de la rception et de lenvoi des messages avec dautres serveurs ; le module de traitement des messages gre lenvoi et la rception des messages des clients, avec la mise au format de stockage ; lannuaire contient la liste des BAL gres par le serveur ; le module de passerelles intervient pour la mise au format des messages lors de lenvoi vers dautres serveurs utilisant des protocoles diffrents ; le module de stockage des messages des clients (BAL).

84

4 Les services sur Internet : messagerie, FTP et Web

stockage (BAL) traitement passerelles annuaire des messages X400, Internet banque d'informations Remote Protocol Control NetBEUI TCP/IP IPX/SPX

MTA

Figure 4.3

lments logiciels dun serveur de messagerie.

On retrouve bien videmment les modules du systme dexploitation assurant le transport des donnes (Remote Protocol Control) et les protocoles des couches 3 et 4 du modle OSI.
b) Fonctionnement de lmission de messages

Lors de la phase 1 de lenvoi dun message ( clic sur envoi de message ), le message est stock localement par le module de stockage (gure 4.4). La phase 2 de lenvoi a lieu immdiatement ou en diffr, suivant le paramtrage.
poste client (Andr) Application de messagerie 1 MAPI MTA serveur de messagerie

stockage (BALs) 2e traitement annuaire des messages 2d

Service Provider Interface stockage transport annuaire 2a 2b protocoles rseaux 2c

banque d'informations protocoles rseaux 2c

rseau local

Figure 4.4

Phases denvoi dun message.

4.1

Les services de messagerie

85

Lanalyse de la phase 2 de lenvoi dun message montre linteraction des modules de service : 2a Le service transport charge le message envoyer. 2b Le service transport rcupre ladresse du serveur de messagerie mmorise lors du paramtrage. 2c Le service transport transmet aux services rseau une demande de connexion au serveur de messagerie. 2d Aprs connexion au serveur, le serveur vrie dans lannuaire lexistence dune BAL au nom du destinataire. 2e Dans lafrmative, le serveur demande le message et le stocke dans la BAL.
c) Fonctionnement de la rception de message

Le destinataire (Bernard) active la connexion sa messagerie. La connexion peut tre active automatiquement par paramtrage. Cette demande est transmise par linterface MAPI du systme dexploitation au service transport (gure 4.5).
poste client (Bernard) Application de messagerie 6 MAPI MTA serveur de messagerie

stockage (BALs) 5 4d traitement annuaire des messages banque d'informations 5 protocoles rseaux 4b 4c

Service Provider Interface

stockage transport annuaire 4a 5 protocoles rseaux 4b

rseau local

Dunod La photocopie non autorise est un dlit.

Figure 4.5

Phases de rception dun message.

Lors des phases 4 et 5 de la rception dun message, les tapes suivantes se succdent pour le transfert du message sur le poste du client : 4a Le service transport rcupre ladresse du serveur de messagerie, ainsi que les noms et mot de passe de lutilisateur, mmoriss lors du paramtrage. 4b Le service transport transmet aux services rseau une demande de connexion au serveur de messagerie. 4c Aprs connexion au serveur, la banque dinformation authentie lmetteur de la demande dans lannuaire par son nom et mot de passe.

86

4 Les services sur Internet : messagerie, FTP et Web

4d Le service de traitement des messages localise la BAL auprs du service annuaire. 5 Le service de traitement des messages rcupre le message dans la BAL et le transfre linterface du fournisseur de service (SPI) pour son stockage sur le poste client ou sa lecture en ligne (sans stockage sur le poste client). La phase 6 reprsente la lecture du message transfr qui peut, dans ce cas, se faire en diffr et hors ligne. Pour une lecture en ligne, linterface du fournisseur de service ne stocke pas le message, mais le transmet directement lapplication de messagerie.
d) Les logiciels de messagerie

Il faut distinguer les logiciels de serveurs de messagerie et ceux destins aux postes clients. Il nest pas indispensable dutiliser un outil de messagerie du mme diteur que le logiciel utilis sur le serveur. Les protocoles dchange normaliss (voir paragraphe 4.1.3, Les protocoles de messagerie) rendent compatibles les diffrentes versions. Des problmes tels que lafchage de certains caractres ou la gestion des pices jointes ne sont toutefois pas exclure. Ct serveur, les logiciels les plus courants sont Exchange Server de Microsoft, Netscape Messaging Server, ou encore Domino Mail Server de Lotus. Ct client, les outils de messagerie les plus utiliss sont Netscape, Eudora, Mozilla, bien videmment Outlook Express, Outlook ou Exchange de Microsoft, mais galement Notes de Lotus ou Groupwise de Novell. noter que des serveurs de liste de diffusion (serveur SYMPA par exemple) permettent de grer des groupes de destinataires et dassurer la diffusion dun message tous les membres (voir 4.1.6, Les services webmail et listes de diffusion). Labonnement et le dsabonnement la liste ou sa consultation seffectuent automatiquement par labonn lui-mme ou par ladministrateur de la liste grce lenvoi de commandes par courrier lectronique. Un gestionnaire est souvent utile pour sassurer que la liste est jour. 4.1.2 Architecture dune messagerie externe La particularit dune messagerie externe est que la bote aux lettres du destinataire ne se trouve pas sur le serveur de messagerie auquel est connect lexpditeur du message. Pour atteindre la BAL du destinataire, les deux serveurs doivent schanger le message travers un ou plusieurs rseaux doprateurs. Ces rseaux peuvent tre de type Internet, mais galement de type RTC, ADSL ou RNIS. Les deux serveurs vont devoir utiliser un protocole dadressage compatible avec celui utilis par les quipements de loprateur auquel ils sont raccords. La gure 4.6 donne lexemple le plus simple de larchitecture dune messagerie externe. Dans ce cas, la transmission du message va faire intervenir les agents de transfert (Message Transfer Agent) de chaque serveur de messagerie. La succession des phases se prsente ainsi (gure 4.6) : 1. Transfert du message du poste de lexpditeur (Andr) vers le serveur du rseau local A (rseau dAndr) o il est stock en attente dmission par le MTA.

4.1

Les services de messagerie

87

Serveur de messagerie A Serveur de messagerie B 2 3 Internet Andr rseau local B Bernard routeur rseau local A

1 De : Andr A : Bernard

Figure 4.6

Architecture dune messagerie externe.

2. Le serveur de messagerie A se connecte au serveur de messagerie B travers le rseau de loprateur Internet. Lagent de transfert du serveur A transmet le message lagent de transfert du serveur B. 3. Le service de traitement du serveur de messagerie B stocke le message dans la BAL du destinataire (Bernard). Lagent de transfert du serveur de messagerie B devra vrier lexistence de la BAL du destinataire (Bernard). Si la BAL nest pas trouve, un message derreur est transmis par lagent de transfert du serveur B vers lagent de transfert du serveur A. celui-ci peut adresser lexpditeur un message derreur de transmission indiquant que le destinataire na pas t trouv. Sur Internet, les agents de transfert utilisent le protocole SMTP (Simple Mail Transfer Protocol). Lorsque le nombre de comptes de messagerie grer et que le volume de messages traits sont importants, le serveur dmission des messages est physiquement spar du serveur de rception. 4.1.3 Les protocoles de messagerie
a) SMTP pour la gestion du courrier
Dunod La photocopie non autorise est un dlit.

Le protocole SMTP (Simple Mail Transfer Protocol) est le plus couramment utilis pour la gestion du courrier entre serveurs sur Internet, relis en permanence. Un utilisateur connect de faon intermittente (Dial up) travers le RTC ou RNIS utilisera galement SMTP pour lexpdition de son courrier (courrier sortant) et un protocole tel que POP3 (Post Ofce Protocol) pour lire son courrier (courrier entrant). Le format des messages SMTP utilise le caractre @ comme sparateur du nom de la BAL de celui du serveur de messagerie. Ce dernier utilise le format commun des serveurs sur Internet tel que mail.babaorum.fr pour le serveur mail du domaine babaorum.fr . Ainsi ladresse de Bernard sur ce serveur aura la syntaxe bernard@mail.babaorum.fr. Cette adresse devra apparatre dans le champ destinataire de lditeur de messages.

88

4 Les services sur Internet : messagerie, FTP et Web

Les diteurs proposent gnralement les champs : Champ CC (Carbone Copy ou Copie Conforme) pour lenvoi dune copie du message aux destinataires dont ladresse se trouve dans ce champ. Les noms des destinataires apparatront sur tous les messages transmis. Champ BCC (Blind Carbone Copy) ou CCI (Copie Conforme Invisible) pour lenvoi aux destinataires indiqus dans ce champ. Les destinataires indiqus dans les autres champs ne verront pas ces destinataires dans la liste des destinataires. Le tableau 4.1 donne une liste des principaux champs normaliss dans le format de messages SMTP, tels que dnis par la RFC 822.
TABLEAU 4.1
Champ To Cc Bcc From Received Received : Return-Path

CHAMPS NORMALISS DU PROTOCOLE SMTP.


Champ Date Reply To Message-Id References Subject Keywords Signication Date et heure dmission Adresse de rponse Numro didentication Numros de messages lis Rsum du message Mots cls de lmetteur

Signication Adresse destinataire principal Adresse destinataire secondaire Adresse destinataire cach Crateur du message Adresse metteur Adresse des agents de transfert Identie le chemin de retour

Len-tte dun message contient le chemin suivi et les serveurs et passerelles traverss. Dans lexemple de la gure 4.6, en appelant andre.station le poste utilis par Andr ; mail.alesia.fr le serveur de messagerie denvoi ; mail.babaorum.fr le serveur de messagerie o se trouve la BAL de Bernard, len-tte du message reu par le serveur de messagerie destinataire contiendrait : Received: from mail.alesia.fr by mail.babaorum.fr with ESMTP for <bernard@babaorum.fr>; Thu, 13 Nov 2003 18:14:08 +0100 (MET) Received: from andre.station by mail.alesia.fr with SMTP for <bernard@babaorum.fr>; Thu, 13 Nov 2003 18:01:14 +0100 Message-ID: <002f01c16df8$9bf18be0$2a01005b@alesia> From: "Andre" <andre@alesia.fr> To: <bernard@babaorum.fr> References: <01C16DFD.2470F2E0.bernard@babaorum.fr> Subject: La ligne 2 du premier bloc received indique le serveur nal (contenant la BAL du destinataire). La ligne 1 indique le serveur en amont. Ce serveur se retrouve en ligne 2 du deuxime bloc received . La ligne 1 indique le poste/serveur en amont. On voit ainsi que le message, parti du poste dAndr (andre.station) a travers le serveur mail.alesia.fr pour arriver au serveur mail.babaorum.fr .

4.1

Les services de messagerie

89

Les serveurs dialoguent en utilisant des commandes. Les tableaux 4.2 et 4.3 montrent quelques commandes normalises constitues : Dun code de 4 lettres ou plus pour les commandes denvoi ; Dun code de 3 chiffres pour les commandes de rponse : Le premier chiffre signie une excution russie (1, 2 ou 3) ou non (4 ou 5) ; Les chiffres suivants prcisent le code de retour de commande ou la nature de lerreur.
TABLEAU 4.2
Commande HELO exp MAIL FROM : adr_exp RCPT TP : adr_dest DATA QUIT RESET NOOP

COMMANDES DENVOI DU PROTOCOLE SMTP.


Fonction Requte de connexion provenant dun expditeur SMTP Lance une transaction de courrier vers une ou plusieurs botes aux lettres Spcie un destinataire du courrier. Pour plusieurs destinataires, la commande est rpte Marque le dbut des donnes dun message. La n est marque par la squence <CRLF> .<CRLF> Demande au rcepteur lenvoi dune rponse OK et de fermer la connexion Annulation du mail en cours Demande au rcepteur lenvoi dune rponse OK

TABLEAU 4.3
Commande 250 251 354
Dunod La photocopie non autorise est un dlit.

RPONSES AUX COMMANDES DU PROTOCOLE SMTP.


Fonction Action demande bien effectue (rponse OK) Utilisateur non-local, message retransmis

Commencer transmettre le mail (n denvoi par <CRLF>.<CRLF>) Action demande non-effectue, BAL occupe Action demande non-effectue, BAL inaccessible Action demande annule : erreur pendant le traitement Utilisateur non-local : rediriger le message Action demande non-effectue : espace de stockage insufsant Action demande non-effectue : dpassement de quota disque Action demande non-effectue : nom de BAL illgal Echec de la transaction

450 550 451 551 452 552 553 554

90

4 Les services sur Internet : messagerie, FTP et Web

Le dialogue entre les serveurs SMTP utilise le port 25 (port TCP par dfaut). Il comporte 3 phases : 1. tablissement de la connexion entre les serveurs et identication de la source et de la destination du message. 2. Envoi du message avec les en-ttes aux normes RFC 822 et RFC 1521. 3. Libration de la connexion. La gure 4.7 montre un dialogue entre deux serveurs pour lenvoi dun message. Ce dialogue suppose les serveurs prts recevoir une demande de connexion. Cet exemple fait apparatre les changes de type requte-rponse ainsi que les quatre phases dtablissement de connexion, identication du destinataire, transfert du message et libration de la connexion serveur-serveur.

serveur mail.babaorum.fr

serveur mail.alesia.fr

rseau local B routeur

rseau local A Internet

HELO mail.alesia.fr 250 mail.babaorum.fr MAIL FROM andre@mail.alesia.fr 250 MAIL FROM OK RCPT TO bernard@mail.babaorum.fr 250 RCPT TO OK DATA "texte du message" 354 start mail input ; end with From.....(corps du message) MIME.....(corps du message) DATA <CRLF> . <CRLF> 250 MAIL accepted QUIT 221 mail.babaorum.fr closing

tablissement de connexion vrification de l'existence de la BAL du destinataire

transfert du message

libration de la connexion

Figure 4.7

Dialogue de transfert de message entre serveurs SMTP.

Les deux relevs de trames prsents dans la gure 4.8 montrent un change pour ltablissement de connexion entre deux serveurs SMTP. la commande HELO

4.1

Les services de messagerie

91

mise par le serveur mail.alesia.fr, le serveur destinataire mail.babaorum.fr transmet un acquittement positif dexcution de la commande par la rponse 250.
FRAME: Base frame properties ETHERNET: ETYPE = 0x0800: Protocol = IP: DOD Internet Protocol IP: ID = 0xB600; Proto = TCP; Len: 61 TCP: .AP, len: 21, seq: 8841060-8841080, ack: 145295483, win: 8133, SMTP: Cmd: Hello, host identifier, 21 bytes SMTP: Command = HELO mail.alesia.fr FRAME: Base frame properties ETHERNET: ETYPE = 0x0800: Protocol = IP: DOD Internet Protocol IP: ID = 0xFDD4; Proto = TCP; Len: 62 TCP: .AP, len: 22, seq: 145295483-145295504, ack: 8841081, win: 9216, SMTP: Rsp: Requested mail action okay, completed, 22 bytes SMTP : Response = 250 mail.babaorum.fr
Figure 4.8
Trames changes entre deux serveurs ltablissement de la connexion.

b) POP3 et IMAP pour interroger la BAL

Ce protocole POP3 (Post Ofce Protocol) est destin rcuprer le courrier sur un serveur pour un utilisateur non connect en permanence Internet, mais se connectant travers un rseau doprateur de tlcommunication tel que le RTC ou le RNIS. Il gre : lauthentication du client (vrication du nom et du mot de passe) ; la rception des courriers et chiers attachs partir du serveur de messagerie ; la rception de messages derreur ou dacquittement. Ce protocole ne permet pas lenvoi de messages. Il ne permet pas non plus la lecture des messages en ligne . Il est ncessaire de tlcharger lintgralit du message et des pices jointes avant sa lecture. Il ne permet donc pas de manipuler les messages sur le serveur. Pour lire le courrier en ligne , il faut utiliser un protocole comme IMAP ( Interactive Mail Access Protocol). Il permet galement la manipulation sur les messages tels que les recherches selon critres, le tri, leffacement, ainsi que la cration sur le serveur de dossiers publics et privs pour le classement des messages. Les dossiers privs ne sont accessibles qu leur crateur ; les dossiers publics sont accessibles tous ou un groupe de clients. La version 4 du protocole est dcrite dans les RFC 2060 et RFC 1733. Le protocole IMAP4 utilise le port 143 par dfaut. Les serveurs POP3 dialoguent par le port 110 (port TCP par dfaut). Ils utilisent des commandes normalises dnies par la RFC 1939, comportant quatre lettres. Les rponses sont transmises sous forme dune chane de caractres prcde des caractres +OK ou RR suivant que celle-ci est positive ou ngative. Le tableau 4.4 donne la liste des commandes disponibles sous POP3.

Dunod La photocopie non autorise est un dlit.

92

4 Les services sur Internet : messagerie, FTP et Web


TABLEAU 4.4
Commande STAT LIST (msg) RETR msg DELE msg USER nom

COMMANDES DU PROTOCOLE POP3.


Fonction

Rcupre le nombre et la taille des messages en attente Demande dinformation sur le message spci en paramtre (msg) Rcupre une liste de messages Supprime le message spci Spcie une bote aux lettres Spcie un mot de passe Supprime les messages lus et ferme la connexion

PASS password QUIT

Dtaillons les particularits de chacun de ces deux protocoles : Avec le protocole POP, les messages sont en gnral effacs du serveur aprs le tlchargement. Lespace disque ncessaire chaque client sur le serveur peut tre limit, et surtout reste peu prs constant, ce qui simplie ladministration. Toutefois, en labsence dune commande deffacement (DELE), un double du message est conserv sur le serveur aprs son tlchargement sur le poste client. Les messages sont rangs sur le poste client dans des dossiers crs localement. Le client ne cre donc pas de dossiers sur le serveur, ni neffectue de manipulation de chier. Ceci est vu comme une scurit par beaucoup dadministrateurs. Pour envoyer un message plusieurs destinataires, le message est dupliqu en autant dexemplaires que de destinataires. Cest le cas par exemple dans les quipes de projet dont les membres veulent diffuser une information ou un document. Le protocole IMAP laisse les messages sur le serveur de messagerie. Lespace disque de chaque client risque donc de crotre, si celui-ci ne fait pas le mnage dans ses messages. Les messages sont rangs sur le serveur par le client. Celui-ci a donc la possibilit de crer des dossiers sur le serveur. Un aspect intressant du protocole consiste en la possibilit de crer des dossiers publics accessibles par un groupe de clients. La gure 4.9 montre un exemple dorganisation possible pour une entreprise. Le message est alors stock en un seul exemplaire et peut tre lu par tous les membres du groupe. La cration de dossiers sur un serveur est parfois considre par des administrateurs comme un risque de dsorganisation du serveur. Trois cas orientent le choix vers un serveur IMAP : la ncessit pour des collaborateurs de consulter leurs messages de plusieurs ordinateurs dans lentreprise ou hors de celle-ci. Ils doivent alors trouver sur le serveur lintgralit de leurs messages ; le souhait de permettre la consultation des messages partir dun navigateur web sur les postes clients. Le serveur de messagerie doit alors tre interfac un module logiciel pour raliser un Webmail comme expliqu au paragraphe 4.1.6, Les services webmail et listes de diffusion ;

4.1

Les services de messagerie

93

serveur IMAP public projet Xfile public service commercial

quipe Xfile Cdric Chef de projet Agns infographiste Steph dveloppeur

priv Cdric priv Agns priv Steph priv Cyril priv Laurence

service commercial Cyril

Laurence

Figure 4.9

Organisation et accs des dossiers sur un serveur IMAP.

la volont dassurer une transmission crypte des messages. Cette solution permet de bncier du mode de transmission scuris SSL.
c) MIME pour la mise en forme des messages

Dunod La photocopie non autorise est un dlit.

Pendant longtemps, le codage des caractres tait laiss au libre choix des diteurs de logiciels de messagerie. Il sensuivait des afchages peu ables lorsque le message tait lu sur un logiciel dun diteur diffrent de celui utilis pour la cration du message. Aujourdhui, les diteurs proposent aux utilisateurs plusieurs choix de protocoles. Le plus utilis actuellement est le protocole MIME (Multipurpose Internet Mail Extension). Ce protocole assure le codage du texte et linsertion de chiers joints, quils soient de texte format, dimage ou de son. Le protocole MIME reprend le codage ASCII sur 7 bits ou 8 bits (caractres accentus) de la RFC 822 et dnit des rgles pour le codage de messages non ASCII. Le codage utilis pour la transmission peut tre : un codage base64 pour les messages binaires (groupe de 24 bits segments en 6 bits et ASCII lgal : A pour 0, B pour 1) ; un codage QP (Quoted Printable) pour les messages texte (codage ASCII sur 7 bits et une squence spcique compose du signe gal et de la valeur du caractre pour les codes suprieurs 127 par exemple =E9 pour le caractre ) ;

94

4 Les services sur Internet : messagerie, FTP et Web

un codage permettant de spcier le type de chier et sous-type contenu dans le message (texte, son ou vido). Ce codage permet la transmission de nombreux types de chiers, spcis par un en-tte suivi du type et du sous-type, comme le montre le tableau 4.5.
TABLEAU 4.5
En-tte MIME-Version Content-Description Content-Id Content-Transfer-Encoding Content-Type Type Text Richtext Gif Image Jpeg Audio Video Application Postscript Rfc822 Message Partial External-body Mixed Alternative Multipart Parallel Digest Parties voir simultanment Chaque partie est un message RFC 822 Document imprimable en PostScript Message MIME au format RFC 822 Message dcoup pour la transmission Message rcuprer sur le rseau Parties indpendantes dans lordre spci Mme message en diffrents formats Basic Mpeg Octet-stream Image au format JPEG Son audible Film au format MPEG Suite doctets interprts Texte avec formatage simple Image au format GIF Sous-type Plain

DESCRIPTION DES TYPES DES MESSAGES AU PROTOCOLE MIME.


Signication Identication de la version du protocole Chane de caractres donnant de faon lisible le contenu Identicateur unique Faon dont le corps est emball pour la transmission Nature du message Description Texte non format

4.1.4 Se connecter distance Deux cas peuvent se prsenter. Le rseau local sur lequel se trouve le serveur de messagerie est accessible par un rseau doprateur tlphonique (RTC ou Numris). La connexion se fera alors travers le serveur daccs distant de lentreprise. Si le serveur de messagerie nest accessible qu partir dInternet, le client devra se

4.1

Les services de messagerie

95

connecter en mode Dial-up par lintermdiaire dun prestataire de service. Dans les deux cas, sous Windows, laccs du client se fera par lintermdiaire du logiciel connexions rseaux et accs distants . Les protocoles mis en uvres dans ce type de connexion sont dcrits dans le chapitre 2, Se connecter Internet.
a) Connexion par serveur daccs distant

Lorsque le logiciel de messagerie du client veut envoyer une requte de connexion au serveur de messagerie, le modem du client doit dabord tablir une connexion avec le serveur daccs distant (gure 4.10 phase 1) en utilisant un identiant et un mot de passe. Le client sera ensuite connect au serveur de messagerie, via le routeur, et identi en utilisant le nom du serveur (ou son adresse), son nom de client (nom de la BAL) et son code daccs sa bote aux lettres (gure 4.10 phase 2).
Serveur 193.44.44.10 2 1 rseau local

Routeur

serveur d'accs distant rseau d'oprateur (RTC, Numris) modem

Figure 4.10

Connexion par serveur daccs distant.

Dunod La photocopie non autorise est un dlit.

Le poste client doit donc connatre le numro de tlphone du serveur daccs distant, le protocole utilis par le rseau local de lentreprise, les adresses du serveur de messagerie, ventuellement celles du serveur DNS (sous TCP/IP), les protocoles utiliss par le serveur de messagerie, le nom de la BAL et du code daccs. Le paragraphe 4.1.5, Installer, congurer les outils de messagerie, indique les tapes de la conguration dun client. Cette situation correspond galement au cas dun utilisateur dont la BAL est hberge par le serveur de messagerie dun prestataire de services.
b) Connexion par prestataire de service

Lorsque le logiciel de messagerie du client veut envoyer une requte de connexion au serveur de messagerie, le poste client doit dabord tablir une connexion avec son prestataire de service (gure 4.11 phase 1). Il est authenti par son nom client et son mot de passe. Le prestataire le connecte Internet. Loutil de messagerie du client va alors transmettre la demande de connexion (gure 4.11 phase 2), via Internet, au serveur de messagerie de lentreprise. Ce sont les serveurs DNS locaux du prestataire qui auront la charge de relayer la requte vers les DNS distants pour localiser le domaine o se situe le serveur de messagerie.

96

4 Les services sur Internet : messagerie, FTP et Web

3 modem

DNS (domaine Alesia)

Serveur mail.alesia.fr

1 serveur d'accs distant 2 rseau d'oprateur (RTC, Numris) dema nde ma de connex il.ales ion ia.fr routeur Serveur de comptes

s erv eu r m ail?

rseau local

Internet domaine Alesia ? DNS (domaine fr)

prestataire de service

Figure 4.11

Connexion par prestataire de service.

Le client sera authenti par son nom de compte et son mot de passe de messagerie et la connexion sera tablie (gure 4.11 phase 3). Outre le paramtrage de la connexion au prestataire de service, le poste client doit congurer sa messagerie pour fournir au prestataire les informations ncessaires la localisation du serveur de messagerie (le mode de connexion ; les noms des serveurs de messagerie POP et SMTP ; le nom dutilisateur et le mot de passe ; ladresse de messagerie du client). 4.1.5 Installer, congurer les outils de messagerie
a) Conguration du client Outlook

La solution retenue pour crer et paramtrer une connexion du client Outlook, utilise lassistant de cration de compte. Pour y accder, slectionner licne Outlook , cliquer sur le bouton droit de la souris et slectionner loption proprits du menu (il est possible dy accder en ouvrant Outlook, puis en slectionnant loption comptes du menu outils ). La fentre donne la liste des comptes crs. Lassistant dmarre en cliquant sur le bouton ajouter . La cration du compte comporte trois tapes. La premire consiste fournir les paramtres de connexion au serveur de messagerie (phase 2 de la gure 4.10). Les quatre fentres successives de la premire tape de lassistant de connexion Internet sous Windows sont regroupes dans la gure 4.12. La premire fentre permet de mmoriser le nom qui sera associ ladresse mail de lexpditeur, paramtre dans la seconde fentre. La troisime fentre permet de mmoriser la ou les adresses des serveurs denvoi (courrier sortant) et de rception (courrier entrant) des messages. Dans le cas prsent gure 4.12, les serveurs denvoi et de rception sont deux serveurs distincts. Si le serveur denvoi et de rception est unique, les champs comporteraient le mme nom (ex. : mail.alesia.fr). La quatrime fentre stocke les coordonnes de la bote aux lettres du client (nom de la bote et mot de passe). Les trois fentres suivantes de la premire tape servent au paramtrage de la connexion au serveur daccs distant (phase 1 de la gure 4.10). Elles ne sont pas utilises dans le cas dune liaison permanente (ligne spcialise, ADSL ou rseau local).

4.1

Les services de messagerie

97

fentre 1

fentre 2

fentre 3

fentre 4

Figure 4.12

Paramtrage de la connexion au serveur de messagerie mail.alesia.fr .

La gure 4.13 montre le choix du mode de connexion (fentre 5), celui du modem (fentre 6) et le numro dappel du serveur daccs distant (fentre 7).

fentre 5

fentre 6
Dunod La photocopie non autorise est un dlit.

fentre 7

Figure 4.13

Paramtrage de la connexion au serveur distant.

98

4 Les services sur Internet : messagerie, FTP et Web

Le bouton avancs de la fentre 7 permet le choix des protocoles de niveau 2 utiliss entre le poste client et le serveur daccs distant, ainsi que du mode dattribution dadresse IP au poste client. Dans le cas dun adressage xe, ladresse IP du poste client doit tre entre dans le champ correspondant, ainsi que celui du serveur DNS. La gure 4.14 montre la conguration pour un adressage dynamique (utilisation dun serveur DHCP).

Figure 4.14

Conguration avance de la liaison au serveur daccs distant.

La 2e tape permet de mmoriser les paramtres didentication du client par le serveur du prestataire de service ou le serveur de comptes distants de lentreprise. On trouve le nom de compte et le mot de passe (gure 4.15).
fentre 8

fentre 9

Figure 4.15

Paramtrage de la liaison avec le serveur de compte.

4.1

Les services de messagerie

99

La dernire tape (fentre 9) mmorise le nom sous lequel apparatra la connexion dans la liste des comptes.
b) Installation, conguration, gestion dun serveur

Linstallation/conguration dun serveur de messagerie ncessite : lidentication du serveur par son adresse IP, son nom, son nom de domaine et ventuellement le nom du serveur de domaine ; lidentication des services de messagerie avec le nom du serveur POP et celui du serveur SMTP, ventuellement les numros de port utiliss sils sont diffrents des ports par dfaut ; lidentication des rpertoires de travail, rpertoire des messages reus en attente de stockage, celui des BAL, enn des messages en attente denvoi. Il faut ensuite grer les comptes clients en crant leur BAL. Pour chaque client, il faut dnir son nom, le nom de sa bote aux lettres et son mot de passe. ventuellement, il sera ncessaire de paramtrer le chemin daccs au rpertoire de stockage des messages, celui des pices jointes, la limitation du nombre de messages et lespace disque de stockage. La gure 4.16 montre les paramtres dun serveur de messagerie aprs sont installation.

Dunod La photocopie non autorise est un dlit.

Figure 4.16

Paramtres dinstallation dun serveur de messagerie.

100

4 Les services sur Internet : messagerie, FTP et Web

Un exemple dinstallation/conguration de serveur de messagerie est dtaill en n de chapitre dans ltude de cas 1. 4.1.6 Les services webmail et listes de diffusion
a) Le Webmail

Ces serveurs permettent aux utilisateurs daccder leurs botes aux lettres partir de nimporte quel navigateur Internet. Le cur du serveur webmail est un module logiciel dinterfaage entre un serveur IMAP (plus rarement un serveur POP) et le navigateur du client. Ce logiciel, souvent crit en PHP, code les messages en HTML et javascript, an de les rendre compatibles avec les langages interprts par les navigateurs. La gure 4.17 montre le principe de fonctionnement dun module webmail.

serveur SMTP serveur webmail serveur IMAP serveur serveurwebmail webmail navigateur web http://mail.babaorum.fr:2000

Internet

rseau local

Serveur de messagerie mail.babaorum.fr

poste client

Figure 4.17

Principe dun serveur Webmail.

Les messages tant stocks et rangs sur le serveur de messagerie, un serveur webmail sinterface plus naturellement avec un serveur IMAP. Les paramtres de session navigateur-serveur sont stocks dans une base de donnes (MySQL par exemple). Cette solution ne ncessite pas de conguration, ni dinstallation sur les postes clients. La page de gestion des messages reus et dmission des messages est fournie par le serveur webmail lors de la connexion du client au serveur. Ltude de cas 2 en n de chapitre montre les phases dinstallation dun tel serveur.
b) La liste de diffusion

Un serveur de liste de diffusion permet lenvoi dun message un ensemble de destinataires, sans que lexpditeur nait besoin de connatre ladresse de chacun

4.1

Les services de messagerie

101

dentre eux. Il associe une adresse mail de diffusion une liste dadresses mail. rception du message dans la BAL, il retransmettra le message vers les BAL de chaque membre de la liste. Le format de ladresse de la liste est : <nom de liste>@<nom.domaine du serveur de liste> Si lon veut envoyer un message lensemble des professeurs du dpartement SRC de lIUT dont le domaine est iut.fr, en utilisant un serveur de diffusion comme le serveur sympa , il sufra de crer une adresse profs.src@sympa.iut.fr. cette adresse, une commande permettra dinscrire les adresses mail des professeurs du dpartement. Lors de lenvoi dun message ladresse profs.src@sympa.iut.fr, le serveur dupliquera le message en autant de messages quil y a dadresses mail de professeurs inscrits dans la liste. Lexpditeur du message na donc pas connatre la liste exacte des destinataires, ni ladresse de messagerie de chacun deux. Le tableau 4.6 indique les commandes les plus courantes disponibles sur un serveur de liste de diffusion sympa . Elles sont envoyes dans le corps dun message (une commande par ligne) adress au serveur de liste (<nom du serveur>@<site du serveur>).
TABLEAU 4.6
Commande HELP REVIEW liste ADD liste adresse nom prnom SUSCRIBE liste prnom nom

PRINCIPALES COMMANDES DUN SERVEUR DE LISTE DE DIFFUSION.


Objet Commande LIST Objet Liste des listes de diffusion

Liste des commandes Liste des abonns Ajouter un abonn par le propritaire Sabonner sur liste ouverte

DEL liste adresse SIGNOFF liste

Enlever un abonn par le propritaire Se dsabonner sur une liste ouverte

Dunod La photocopie non autorise est un dlit.

Linscription/dsinscription des destinataires sur la liste peut tre libre (commandes SUSCRIBE/SIGNOFF). La liste est alors dite ouverte . Elle ncessite en gnral une mise jour priodique par le propritaire ou le modrateur de liste. Dans certains cas, notamment pour des mesures de scurit, les commandes dinscription/dsinscription seront bloques pour les utilisateurs, et linscription ne se fera que par lintermdiaire du propritaire de la liste (commandes ADD/DEL). La liste est alors dite ferme . Un troisime mode dit contrl peut tre utilis lorsque les demandes dinscription de type SUBSCRIBE doivent dabord tre transmises au propritaire avant dtre insres ou non dans la liste par ce dernier. Une liste de diffusion doit tre cre par ladministrateur de la liste par la requte : <nom de liste>-request@<site du serveur> Il en devient le propritaire. Les principaux paramtres dnir sont indiqus dans le tableau 4.7.

102

4 Les services sur Internet : messagerie, FTP et Web


TABLEAU 4.7
Paramtre Nom Propritaire Utilisation

PRINCIPAUX PARAMTRES DUNE LISTE DE DIFFUSION.


Objet Paramtre Sujet Reply to Commande REVIEW Archivage Objet Rsum Adresse de liste, du propritaire, autre Tous, abonns, propritaire Oui/non, priode

Nom de la liste Responsable de la liste Publique, prive, modre Ouvert, contrl, ferm

Mode dabonnement

Outre le mode dabonnement (ouvert, contrl ou ferm), il faut dnir si lutilisation de cette liste est pour tout le monde (liste publique), rserve aux abonns (liste prive) ou si les messages doivent tre adresss un modrateur (liste modre). De mme pour la liste des abonns qui peut tre rcupre par tout le monde, les seuls abonns ou uniquement le propritaire. 4.1.7 Serveur de messagerie et scurit En tant que service le plus utilis dans les entreprises, les serveurs de messagerie sont soumis de nombreuses attaques et malveillances. Les plus classiques sont les virus, le spam et la violation des droits daccs sur le serveur. Le contenu des messages donnant une image assez able de lactivit de lentreprise, ils peuvent faire lobjet dune surveillance dans le cadre dune veille concurrentielle. Pour lutter contre les attaques, les outils mis en uvre sont de trois sortes : les ltres de messages ; les passerelles de messagerie ; les rewall. Pour se mettre labri de la veille sur les messages, la mise en uvre dune transmission scurise par cryptage est la mthode la plus efcace. Toutefois, le cryptage ncessite quexpditeur et destinataire disposent des cls de cryptage et de dcryptage. Il sensuit que ce mode de transmission est limit aux messages internes lentreprise (en Intranet) ou avec des clients identis tels que sous-traitants, clients rguliers (en Extranet par exemple ou pour des dialogues de type Business to Business). Ce type de transmission nest pas utilisable dans le cas de clients occasionnels ou du grand public. Dans ce cas, il peut tre intressant dutiliser un serveur de messagerie pour chacune de ces deux familles dinterlocuteurs. Le mode SSL de transmission propos pour les connexions TCP/IP est applicable dans le cas du dialogue entre les postes clients et un serveur webmail. Lutilisation dun rewall est explique au paragraphe 5.4.3, Les serveurs HTTP : conguration et scurisation. Les passerelles de messagerie permettent de centraliser la rception des messages. Leur intrt est rel pour une entreprise disposant de plusieurs serveurs de messagerie ou pour un fournisseur daccs Internet (FAI) distribuant le courrier vers

4.1

Les services de messagerie

103

plusieurs serveurs de messagerie clients . La gure 4.18 montre linfrastructure dun service de messagerie utilisant une passerelle dans les deux cas dcrits.

Internet passerelle de messagerie firewall DNS

mail1.babaorum.fr rseau local

mail2.babaorum.fr

Internet

passerelle de Routeur messagerie

rseau d'oprateur (RTC, RNIS) serveur d'acc s FAI distant

Modem mail.babaorum.fr

Modem mail.laudanum.fr

Figure 4.18

Utilisation dune passerelle de messagerie.

Un ensemble de BAL est cr sur chaque serveur de messagerie pour recevoir lintgralit du courrier en provenance de la passerelle. La passerelle est congure pour associer cette BAL au serveur auquel est destin le courrier entrant. Dans le premier exemple de la gure 4.18, une BAL mailin serait cre sur le serveur mail1.babaorum.fr . La conguration de la passerelle serait alors :
Serveur de messagerie
Dunod La photocopie non autorise est un dlit.

Adresse de transfert mailin@mail1.babaorum.fr

Adresse dexpdition Mailbridge.babaorum.fr

Mail1.babaorum.fr

Le message dont les adresses source et destination seraient : From: asterix@mail.laudanum.fr To: obelix@mail1.babaorum.fr serait retransmis par la passerelle dans un message dont len-tte contiendrait : Received: from mailbridge.babaorum.fr by mail1.babaorum.fr for <mailin@mail1.babaorum.fr>

104

4 Les services sur Internet : messagerie, FTP et Web

Received : frommail.laudanum.fr by mailbridge.babaorum.fr for <obelix@mail1.babaorum.fr> Received : fromasterix.laudanum.fr by mail.laudanum.fr for <obelix@mail1.babaorum.fr>

Les passerelles peuvent assurer larchivage priodique et automatis des messages. Elles proposent galement les fonctionnalits de ltrage des messages. Ces ltres effectuent la dtection des virus, des spam et les violations de droits daccs. Le ltrage consiste analyser les en-ttes et les contenus des messages entrants et vrier sils ne sont pas incompatibles avec les congurations interdites dans les rgles du ltre (chiers exe , gif , adresses interdites). En cas de dtection danomalie, les messages peuvent tre dtruits ou stocks dans un rpertoire particulier pour tre traits par ladministrateur. Certains ltres attribuent un coefcient de conance aux messages. Les rgles danalyses sont xes par ladministrateur. Elles doivent tre actualises rgulirement.

4.2

LE SERVICE DE TRANSFERT DE FICHIERS

4.2.1 Architecture et fonctionnement dun serveur de chiers Il permet un client dchanger des chiers avec un serveur de chiers en accdant directement et de manire scurise (sauf connexion anonymous ) larborescence des rpertoires de ce dernier. Cest un outil trs utile pour le travail coopratif (groupware). Il permet un groupe (quipe de projet par exemple) de travailler et de schanger des documents de travail sans multiplier les copies, comme cela se passe dans le cas dun change par messagerie (sauf avec le Webmail). Son utilisation permet galement la mise jour distance de pages dun serveur web (voir tude de cas 3 du prsent chapitre). La procdure commence par ltablissement dune connexion (niveau TCP) entre un client et le serveur. Une fois la connexion tablie, le client dialogue avec le serveur en lui envoyant des commandes excuter. La connexion et le dialogue entre la station du client et le serveur utilisent le protocole FTP (File Transfer Protocol). Le serveur FTP dispose de deux types de rpertoires : les rpertoires privs accessibles uniquement aux clients possdant un compte sur le serveur, compte auquel sont associs des droits daccs sur certains rpertoires privs , et les rpertoires publics accessibles aux autres clients (comptes anonymous ). Aprs quun client se soit connect au serveur, celui-ci demande un nom de compte et un mot de passe (gure 4.19). Le compte anonymous permet au client daccder aux chiers des rpertoires public . Dans ce cas, le mot de passe demand est gnralement ladresse e-mail du demandeur. Les logiciels sur la station du client disposent des commandes permettant de se dplacer dans larborescence du disque du serveur, de dnir le type des donnes

4.2

Le service de transfert de chiers

105

transfres (binaire ou ASCII), de manipuler des chiers (crire, lire, effacer, renommer, transfrer). Le protocole FTP fonctionne, ct serveur, avec deux canaux distincts. Par dfaut, ces canaux sont ouverts sur les ports TCP (gure 4.19) : 20 pour le canal de donnes ; 21 pour le canal de commande.
Port 1025
Canal de commande USER : anonymous 331:guest login ok

Port 21

Station

send your complete e-mail addr PASS: bernard@mail.babaorum.fr 331:guest login ok login du client get c:\ftp\public\chap4.pdf

Serveur FTP

Port 1025
Canal de commande

Port 21

Canal de donnes

Station

Port 1026

open c:\ftp\public\chap4.pdf complete transfer transfert de fichier

Port Serveur FTP 20

Dunod La photocopie non autorise est un dlit.

Figure 4.19

Connexion FTP.

La connexion peut donc tre effectue de deux faons : en anonyme (name : anonymous, password : bernard@babaorum.fr) pour un accs limit aux rpertoires publics ; en compte authenti pour un accs associ des permissions sur des chiers ou des rpertoires particuliers. Les commandes de lutilisateur (user, password, dir, get) utilises sur le logiciel client sont traduites en commandes internes FTP (USER, PASS, LIST, RETR...)

106

4 Les services sur Internet : messagerie, FTP et Web

suivies ventuellement darguments (nom dutilisateur, nom de rpertoire) ou de donnes correspondant au chier transfr. Ce protocole dni par les normes RFC 959 et 1123 est dcrit au 9.5 de louvrage Transmissions et Rseaux1. La plupart des logiciels de navigation sur le Web intgrent les fonctions permettant la connexion aux serveurs et le transfert des chiers. Dans ce cas, lURL spci sera du type ftp://ftp.babaorum.fr/public pour une connexion anonyme, ou ftp://name:password@ftp.babaorum.fr/public pour une connexion identie. Il faut noter toutefois que si la lecture et le tlchargement de chiers se font aisment laide du glisser/dposer , lcriture de chiers vers le serveur nest pas toujours possible partir dun navigateur. Il est prfrable dutiliser un logiciel client, graphique ou non, spcialis dans le transfert bidirectionnel FTP. Toutes les versions de Windows ou dUnix disposent dun excutable ftp en mode ligne de commande . Dautres logiciels clients tels WS_FTP de Ipswitch Inc ou CuteFTP de GlobalSCAPE Inc fonctionnent en mode graphique et prsentent quelques fonctionnalits supplmentaires (rpertoire des sites FTP, programmation et reprise automatique du tlchargement en cas de dconnexion, recherche de chiers). Internet Information Server de Microsoft, WS_FTP Server de Ipswitch Inc, wuftpd et proftpd en version libre pour Linux sont quelques-uns des logiciels serveurs FTP. Les caractristiques des serveurs FTP porteront principalement sur : le nombre de clients pouvant tre servis simultanment. Cette capacit tient galement compte de larchitecture de lordinateur sur lequel le service est implment (voir 5.1.2, Les serveurs HTTP : conguration et scurisation) ; la scurisation des transferts de chiers, et notamment la possibilit de supporter les transmissions utilisant le protocole SSL et la limitation du nombre de login errons ; lutilisation par le serveur dune base de donnes de comptes existante (base ODBC ou Windows Active Directory par exemple) ; la souplesse daffectation des permissions (par chier, par rpertoire, par client). 4.2.2 Conguration dun serveur FTP
a) Principe

Un serveur FTP comporte gnralement trois rpertoires : le rpertoire dinstallation de lapplication (binary directory) ; le rpertoire de stockage des chiers et sous-rpertoires accessibles ( FTP directory) ;

1. Lohier S. et Prsent D., Transmissions et Rseaux, 3e dition, Dunod, 2003.

4.2

Le service de transfert de chiers

107

le rpertoire de login o sont stocks les chiers lis lidentication des clients ou la base de donne (log directory). La conguration dun serveur FTP comporte quatre phases : 1. Crer larborescence des sous-rpertoires et des chiers dans le rpertoire de stockage. 2. Crer les comptes des clients identis. 3. Associer des droits daccs chaque client, groupe de clients et aux utilisateurs du compte anonymous . 4. Crer les outils dadministration qui donneront des informations sur lactivit du serveur (journaux de login, des tlchargements, dalerte). Larborescence des rpertoires sera choisie pour simplier la gestion des droits daccs des clients. Cette arborescence est lie la manire dont le serveur sera utilis par les clients. Les solutions sont nombreuses, mais il est important de planier sur papier cette arborescence avant de la crer sur le serveur. Il est possible de donner quelques points de repre. Pour un serveur FTP interne une entreprise, larborescence sinspire souvent de lorganisation fonctionnelle de celle-ci. Les salaris ayant une mme fonction auront souvent les mmes droits daccs sur les rpertoires et chiers. Par contre pour un serveur ouvert au grand public (serveur dun diteur, dun organisme public par exemple), larborescence sera thmatique an de faciliter la recherche du client. Il faut rappeler que dans larborescence du serveur, des chiers et/ou rpertoires peuvent tre cachs , cest--dire invisibles et inaccessibles des clients identis ou non. En gnral, le nom dun chier ou rpertoire cach commence par le caractre $ . Si vous utilisez la base de donnes du serveur FTP, vous crerez les comptes clients avec loutil dadministration du serveur. Sinon, il vous faudra les crer avec loutil dadministration associ la base de donnes de comptes. Le serveur FTP aura t congur pour utiliser cette base (chemin daccs la base de donnes, son nom, nom de la table utiliser, ventuellement le nom du domaine o se trouve le serveur). Par contre, le compte anonymous, cr linstallation, sera en gnral congur avec les outils de gestion des comptes du serveur FTP. Pour chaque utilisateur ou groupe dutilisateurs, il faut dnir le rpertoire auquel il aura accs lissue de son login . Par dfaut, un utilisateur aura accs au rpertoire qui porte son nom avec tous les droits (crer/lire/effacer des chiers, des rpertoires). Il est possible de spcier un autre rpertoire (rpertoire du projet auquel travaille lutilisateur). Il est galement possible de limiter lespace disque allou lutilisateur, ainsi que le nombre de chiers. Il faut ensuite dnir les droits daccs aux rpertoires. Cela se fait rpertoire par rpertoire, soit avec loutil dadministration du serveur FTP, soit avec celui de la base de donnes (base de Windows par exemple). Pour chaque utilisateur ou groupe autoris accder au rpertoire, on dnira les droits associs. Ces droits de base sont : lister, lire, crire, effacer ou renommer. De nombreux serveurs FTP offrent la

Dunod La photocopie non autorise est un dlit.

108

4 Les services sur Internet : messagerie, FTP et Web

possibilit de travailler avec les droits dnis avec les outils dadministration du systme dexploitation (Windows NT, Windows 2000 ou Linux). Il reste dclarer le serveur FTP et paramtrer les outils dadministration. Dclarer le serveur consiste lui donner un nom, une adresse IP visible de tous les utilisateurs potentiels et le domaine dans lequel il se trouve. Il est galement possible de paramtrer la dconnexion dun client aprs un temps programm dinactivit de la connexion ; le nombre dutilisateurs connects simultanment (clients identis et anonymous ) ; le mode de transmission (scuris ou non) ; lutilisation ou non des connexions anonymous . Il est souvent possible dinterdire lexcution de certaines commandes et de contrler laccs par les adresses IP (seules certaines plages dadresses IP seront autorises se loguer). Il est recommand de dnir un chier log qui mmorisera tous les accs au serveur, les accs et commandes refuses. Certains serveurs proposent dtablir des statistiques sur les performances du serveur (taux daccs, bande passante utilise). Ces outils sont trs utiles pour comprendre les dysfonctionnements pouvant se produire.
b) Exemple de conguration

Lexemple suivant utilise le logiciel serv-U de Cat-soft (www.cat-soft.com). Il permet dinstaller un serveur FTP sur un poste de travail sous Windows. Il comporte de nombreuses fonctionnalits dun service FTP. Le serveur install se nommera ftp.iut.fr. Les utilisateurs disposeront dun rpertoire propre ( leur nom) et auront accs un rpertoire de groupe (espace de travail de groupware). Seul le chef du groupe aura la possibilit deffacer des chiers ou des rpertoires. Les membres dun groupe pourront consulter les donnes des autres groupes, mais ne devront pas pouvoir modier quoique ce soit. Aprs installation du logiciel, il faut lancer la console dadministration. La conguration comporte trois tapes : 1. Cration dun domaine associ au serveur. 2. Conguration du domaine. 3. Cration et conguration des droits daccs des clients.
1. Cration dun domaine associ

Dans la fentre qui safche (gure 4.20) il faut crer un (plusieurs) domaine(s) associ(s) au serveur. Cela peut se faire dans le menu domaine par loption new domain , ou en slectionnant licne domains dans larborescence de la fentre de gauche et en actionnant la touche Inser au clavier. Un assistant permet de dnir les paramtres du domaine (gure 4.20 fentre de droite). Le champ security permet de paramtrer des transferts crypts.
2. Conguration dun domaine

Licne setting du domaine cr, permet de le congurer. Les paramtres des deux principaux onglets de conguration sont prsents gure 4.21.

4.2

Le service de transfert de chiers

109

Figure 4.20

Paramtres du domaine associ au serveur.

Dunod La photocopie non autorise est un dlit.

Figure 4.21

Conguration du domaine.

110

4 Les services sur Internet : messagerie, FTP et Web

Longlet general permet dassocier des rpertoires locaux ou distants qui apparatront au client sous un nom de rpertoire virtuel. Lexemple montre comment associer le rpertoire programmes situ sur le serveur server au rpertoire du client situ sur le serveur ftp. Ce rpertoire apparatra dans larborescence accessible par le client sous le nom download . Cette procdure permet de restreindre laccs du client son propre rpertoire tout en lui donnant accs des rpertoires situs sur dautres units de stockage locales ou distantes, augmentant ainsi la scurit du site. Dans longlet IP Access seront dnies les rgles dautorisation et dinterdiction daccs au domaine pour des machines dont les adresses IP sont connues. Les rgles sont appliques dans lordre o elles sont afches. Il faut donc commencer par valider toutes les adresses qui ne sont pas interdites. Cette action est reprsente par la dernire ligne de la fentre (*.*.*.* allow). Pour entrer une rgle, il faut choisir celle-ci en validant deny access ou allow access , puis entrer ladresse ou le bloc dadresses dans le champ Rule , et enn valider en cliquant sur le bouton add . Dans lexemple de la gure 4.21, laccs des machines utilisant une adresse du bloc 195.65.65.10 195.65.65.65 (1re ligne) ou ladresse 195.125.125.125 (2e ligne) est interdit.
3. Cration et droits daccs des clients

Lassistant la cration dun client sobtient partir du menu users par loption new user , ou en slectionnant licne users dans larborescence de la fentre de gauche et en actionnant la touche Inser au clavier. Lassistant permet de remplir les champs de la fentre account (gure 4.22 fentre de droite). Lassistant permet de congurer les nom, mot de passe, groupe dappartenance, rpertoire propre, ainsi que les droits dadministration ventuels du client. Longlet general contient les paramtres dnissant le temps de login sans action et la bande passante attribue aux tlchargements du client. Les rpertoires et chiers accessibles au client, et les droits daccs sont congurs dans longlet Dir Access (gure 4.22). Dans le cas prsent, le client Abraracourcix , chef du groupe gaulois a accs son rpertoire propre et au rpertoire du groupe gaulois avec tous les droits. Les autres membres du groupe gaulois auront accs ces deux rpertoires, mais sans les droits deffacer un chier ou un rpertoire. Longlet IP Access autorise laccs aux rpertoires et chiers aux seuls postes dont ladresse IP est rpertorie. Un onglet Quota permet de xer la taille maximum de lespace disque affect au client et dindiquer lespace disque rellement occup. Les chiers et rpertoires, les droits daccs et le ltrage des adresses IP peuvent tre dnis pour des groupes dutilisateurs. La cration de ces groupes utilise la mme procdure que celle utilise pour la cration des clients.

4.3

Le service web

111

Figure 4.22

Cration et conguration des droits dun client.

4.3

LE SERVICE WEB

4.3.1 URL et protocole HTTP


Dunod La photocopie non autorise est un dlit.

a) Service web et hypertexte

Il permet daccder des documents au format HTML (Hyper Text Markup Language) stocks sur un serveur, en utilisant pour la connexion et les changes le protocole HTTP (Hyper Text Transfer Protocol). Les documents sont accessibles par un URL (Uniform Ressource Locator) comportant le nom du serveur http contenant le document, le chemin daccs au document et le nom de celui-ci. Les serveurs HTTP les plus courants sont Netscape Entreprise Server, Apache HTTP Server, Microsoft Internet Information Server et NetWare Web Server de Novell. Pour accder aux serveurs web, les stations doivent tre quipes de navigateurs Internet. On trouve Internet Explorer de Microsoft, Netscape Navigator ou Netsurfer de NetManage.

112

4 Les services sur Internet : messagerie, FTP et Web

Le protocole de communication HTTP (HyperText Transmission Protocol) utilis entre le navigateur du client et les serveurs web est bas sur le principe des liens hypertextes. Ces liens sont reprs par des mots de couleur diffrente (bleu en gnral) ou des images qui servent de liens entre les documents. Il suft de cliquer sur un lien pour accder un autre document localis sur le mme serveur ou sur un autre, pouvant tre situ nimporte o sur le rseau Internet. Ces liens hypertextes rendent la lecture dynamique et permettent de naviguer sur une bibliothque lchelle plantaire. Un mcanisme de changement de couleur est utilis pour savoir quun lien a dj fait lobjet dune visite (en gnral violet), le changement de couleur est ralis non seulement sur la page de dpart mais aussi sur toutes les pages qui font rfrence au mme document. Les liens hypertextes peuvent adresser dautres documents de type web (images, sons, vidos) mais aussi des serveurs de chier, des serveurs de News Les URL (Uniform Resource Locators) sont les noms donns aux liens hypertextes. Un URL peut relier un chier sur un serveur ftp, une image, une adresse courrier, un serveur de News, un serveur telnet et bien sr un serveur http, cest--dire un serveur web. La gure 4.23 donne des exemples de chiers accessibles par URL partir dune page HTML : limage (chier gif ou jpeg par exemple) se trouve sur un serveur accessible par le rseau Internet, alors que le chier son (chier wav par exemple) et le chier texte (chier html par exemple) sont localiss sur le serveur http du rseau de lentreprise. Quelques syntaxes dURL : http://www.babaorum.armor.fr donne accs la page par dfaut du serveur web babaorum.armor.fr ; ftp://ftp.laudanum.fr permettra daccder au serveur de chiers ftp.laudanum.fr ; http://serveur/directory/chier.htm adresse le chier au format html stock sur le serveur serveur situ sur le rseau local ; le:///c:/temp/chier.txt donne accs un chier texte situ sur le disque du poste du client (disque local).

Serveur Web Page HTML

Clients avec logiciel navigateur

Liens HyperText

Figure 4.23

Localisation de chiers par URL.

4.3

Le service web

113

b) Dialogues du protocole HTTP

Le navigateur web du client utilise le port TCP 80 (par dfaut) pour tablir une connexion avec le serveur web. Un port non standard peut tre utilis. Il doit tre prcis dans lURL exemple : http:// www.someorg.com:8080
Applications socket (tcp, @source, process n, @serveur, 80)

navigateur serveur http serveur HTTP http

3 port n TCP (@source, @serveur) IP, RIP, ARP

"attente de rponse du serveur" initialise buffers, n squence, taille fentre 2 routage

port 80

MAC

rseau Internet

Figure 4.24

Phases de connexions dun navigateur un serveur http.

La gure 4.24 montre les phases de connexion dun navigateur : 1. Le navigateur ouvre une session TCP en utilisant une socket . Cette fonction logicielle contient tous les paramtres ncessaires la demande de connexion de niveau 4 au serveur http. Le protocole transmet la demande la pile de protocoles rseaux (IP, RIP, MAC) qui assure le routage de la demande jusquau serveur. 2. Le protocole TCP initialise la session en changeant avec le protocole TCP du serveur les paramtres de dialogue (voir paragraphe 3.4, Les protocoles de niveau transport : UDP et TCP). 3. Le protocole TCP avertit lapplication que la session est ouverte avec le serveur et quil attend la page par dfaut (message attente de rponse du serveur ). Une fois la connexion tablie avec le serveur, le client va, en slectionnant des liens hypertextes, envoyer des requtes au serveur. Les requtes contiennent la mthode utiliser pour rcuprer le document, le nom de lobjet demand et la version du protocole HTTP invoquer. Le protocole HTTP communique ses informations au format texte an de ne pas tre gn par les diffrences dimplmentation

Dunod La photocopie non autorise est un dlit.

114

4 Les services sur Internet : messagerie, FTP et Web

des jeux de caractres dune plate-forme lautre. Exemple de requte HTTP envoye par un navigateur web demandant un document : GET /Web/docs/index.html HTTP/1.0 La gure 4.25 montre le principe de dialogue par requtes entre le navigateur et le serveur pour lobtention des documents visualiser sur le poste client.

http://www.laudanum.fr ouverture connexion TCP GET HTTP/1.0 paramtres HTTP/1.0 200 paramtres du document transfert du document slection d'un lien sur le document reu fermeture connexion TCP ouverture connexion TCP GET HTTP/1.0 paramtres HTTP/1.0 200 paramtres du document transfert du document

Serveur http www.laudanum.fr

Figure 4.25

Dialogue par requtes du navigateur et du serveur http.

Dautres commandes peuvent tre utilises pour nobtenir que len-tte associ la ressource demande (commande HEAD) ou pour envoyer des donnes de type formulaire au serveur (commande POST). Le serveur rpond la requte en envoyant une rponse HTTP compose de trois parties : tat de la rponse/en-tte de rponse/donnes. Ltat de la rponse est une ligne de texte avec la version de HTTP utilise par le serveur, un code dtat dcrivant le rsultat du serveur (200 pour un acquittement, 400 pour une erreur due au client, 500 pour une erreur due au serveur) et quelques informations supplmentaires. Par exemple : HTTP/1.0 200 OK Len-tte de rponse contient des informations relatives au type du serveur, la version de MIME utilise pour dcrire le type de contenu, et une ligne vide (elle sert de sparateur entre len-tte de rponse et les donnes).

4.3

Le service web

115

Par exemple : Date: Tuesday, 05-Nov-96 23:42:34 GMT Server: Novell-HTTP-Server/2.5 MIME-version: 1.0 Content type:text/html
donnes (notez la prsence dune ligne vide)

MIME est une mthode dencodage des donnes (voir paragraphe 4.1.3, Les protocoles de messagerie) utilise par html pour dcrire les diffrents types de donnes quil doit manipuler. La ligne Content type est une description MIME des donnes transfres ; text/html indique que les donnes sont de type texte, sous-type HTML. Un autre type courant est text/plain, qui indique que la rponse est traiter comme du texte brut. Si le document demand est un document HTML, les donnes de rponse contiendront le texte du document HTML. Exemple de donnes de rponse : <HTML> <HEAD><TITLE>Document HTML simple</TITLE></HEAD> <BODY> <P> Cela est un document HTML minimaliste.</P> </BODY> </HTML> Il faut noter quune page est constitue de plusieurs chiers textes et images. Ces chiers sont disposs sur une trame dcoupant la surface de la page en zones matrialises par les cases dun tableau. Pour chaque chier charger pour afcher dans la page, le navigateur va crer un processus. Ce processus va, par lintermdiaire dune socket amener ltablissement dune connexion par TCP. La gure 4.26 montre les connexions tablies par TCP pour le chargement du chier texte et du chier image constituant la page visualiser. Le premier processus (process 1) gre linitialisation de la connexion avec le serveur http. Les deux autres processus (process 2 et process 3) permettent le chargement des deux chiers constituant la page. Il est facile de comprendre que la rapidit de chargement dune page sur un navigateur dpend non seulement du dbit sur le rseau de transmission (rseaux Internet et lignes ou rseaux de connexion Internet), mais galement de la complexit de la page afcher, et de la rapidit et de la charge du ou des serveurs sur lesquels sont stocks les chiers constitutifs de la page. Certaines pages tant afches plusieurs fois au cours de la navigation sur un site, le navigateur acclre lafchage en stockant les chiers chargs sur le disque local. Deux consquences principales pour la station client : sans prcaution particulire les chiers sentassent sur le disque du poste client ; des malveillances peuvent tre opres en stockant sur le disque des chiers qui vont sexcuter sur le poste du client et apporter des perturbations, voir des dysfonctionnements pouvant aller jusqu des pannes de lordinateur. Il faut donc apporter un soin particulier la conguration du navigateur dune part et la protection du poste par rewall personnel dautre part. Ces deux points sont abords dans les paragraphes suivants.

Dunod La photocopie non autorise est un dlit.

116

4 Les services sur Internet : messagerie, FTP et Web

Application

navigateur process 1 process 2 process 3


wel th This redbook provides an introduction as as a reference to Transmission Contro l e / an Protocol Protocol (TCP/IP) suite applications, which provide the Internet an framewor fo of man protocols amon l d computer networks, foundation th d Internet. k r y g them the world's largest , redbook explains the basics of TCP/IP an e a o This i th also includes overview the latest developments world of TCP/IP and th Internet o f IPSe n e , an n Special areas interest are security ( certificate d e management, . etc.), Java, f mobilit an management c VPN, multicastin d key address , IP y d , an g an priority bandwidth reservation , IPv6, directory protocols , last but not least, hardwar an d d the latest software developments . e d o thi To provide a comprehensive presentation the topics , book is structured as f s follows : an an . Part 1 describes the history , architecture standards of TCP/IP also network, routin d an d o th includes the core application protocols transport, g d f e TCP/IP suite. an . Part 2 introduces new architectures special purpose protocols ,such as IP an Interne Version 6, d protocols . security , quality of service, load balancing network an platform d t IP . Part 3 discusses of TCP/IP. an I connections o d implementations an has always been the purpose this redbook to provide find the introduction i th t th f d world of TCP/IP novice to overview that is valuable to o thi bearings n e e heterogeneous connectivity . For the benefit readers who are new to TCP/IP, f s basic information has been included with this edition in Part 1. main intention o howeve i dept It is the the authors this edition , , to provide , o information of f r an implementation n h the most current protocols on an whic technologies an d s f TCP/IP available today are actually used deployed throughout the Internet wel d h d as in private TCP/IP networks. This material has been compiled as an fo wel botas a l advanced TCP/IP users as a technical reference overview as knowledg d l who want h n experts in this area to broaden their r scope of . e

serveur serveur HTTP HTTP serveur http serveur http

TCP

port n

1-connexion d'initialisation 2-connexion pour lecture du texte 3-connexion pour lecture de l'image

port 80

Figure 4.26

Chargement des chiers dune page.

4.3.2 Conguration dun navigateur Il sagit de montrer ici la conguration de paramtres permettant de protger le poste de lenvahissement du disque par stockage de chiers inutiles. Deux types de chiers sont viss : les cookies et les chiers temporaires. La conguration est accessible dans la fentre des proprits dInternet Explorer (menu proprits aprs un clic droit sur licne de lapplication). La gestion des cookies est paramtrable dans la fentre paramtres de scurit . Dans Windows 2000, trois niveaux de scurit sont disponibles (gure 4.27). Le paramtre demander afchera, lors de larrive dun cookie un message dalerte, demandant lutilisateur sil accepte ou non le stockage du chier sur le disque dur. Sous Windows, les cookies sont stocks par dfaut sur le disque dur dans lun des deux rpertoires suivants propre chaque client : c:\documents and settings\ client \cookies , ou c:\ documents and settings\ client \local settings\ temporary Internet Files . Ce dernier rpertoire est un rpertoire cach. Certains sites web refusent lafchage des pages lorsque le client refuse les cookies. Parmi ceux-ci, certains utilisent les cookies pour obtenir des informations sur le fonctionnement du navigateur, ncessaires au paramtrage des donnes quils envoient. Cette mthode est utilise pour certaines liaisons scurises de paiement lectronique par exemple, ou des serveurs de vido utilisant la technique du streaming . Par contre, beaucoup de sites utilisent les cookies sans quils soient ncessaires au bon fonctionnement du navigateur. Les informations rcupres par le serveur web peuvent occasionnellement servir dinformations commerciales sur les habitudes et le type de matriel de linternaute, pouvant ventuellement tre revendues des entreprises. Mais ceci relve du domaine de la scurit informatique et de lintelligence conomique.

4.3

Le service web

117

Figure 4.27

Conguration de la gestion des cookies dans un navigateur.

Dunod La photocopie non autorise est un dlit.

Lors de la navigation sur un serveur web, certaines pages ou objets sont stocks temporairement sur le disque dur de linternaute. Le rpertoire par dfaut utilis par Internet Explorer est un rpertoire cach propre chaque client c:\documents and setting\ client \local settings\temporary Internet Files . Ces chiers peuvent encombrer inutilement le disque dur, et ralentir le fonctionnement de lordinateur. Deux mthodes permettent de les supprimer : paramtrer le navigateur pour supprimer ces chiers lors de la fermeture du navigateur, ou effectuer un nettoyage du disque. La gure 4.28 montre le paramtrage du navigateur permettant la suppression automatique des chiers temporaires stocks. Lutilitaire nettoyage de disque (menu outils systme de accessoires dans programmes ) permet deffacer les chiers temporaires Internet. Il faut noter que cet utilitaire ne supprime que les chiers du client de la session en cours, et nefface pas les chiers stocks dans le rpertoire cookies . 4.3.3 Conguration dun rewall personnel Cet outil logiciel permet de contrler les donnes entrantes et sortantes dun client et plus gnralement de tout poste dextrmit client ou serveur . Il est le complment utile dun pare-feu matriel. Il sagit dune application qui intercepte tous les paquets transitant entre la carte rseau et le systme dexploitation et pour certains entre lapplication et le systme dexploitation, comme le montre la gure 4.29.

118

4 Les services sur Internet : messagerie, FTP et Web

Figure 4.28

Paramtrage de la suppression automatique des chiers temporaires.

applications

pare-feu personnel

systme d'exploitation

Carte rseau

Figure 4.29

Architecture logicielle dun rewall personnel.

4.3

Le service web

119

Bien sr, cette application va ralentir lgrement le traitement des donnes changes avec le rseau. Elle fonctionne comme un pare-feu classique, en comparant les en-ttes des paquets entrant et sortant une liste de rgles tablies par lutilisateur. Pour chaque application et logiciel rseau, les rgles vont autoriser ou interdire le traitement des paquets suivant leur adresse source, destination, protocole et/ou port source ou destination. La gure 4.30 donne un exemple de telles rgles dites dans la fentre dadministration du pare-feu. Krio Personnal Firewall de Krio Technologies Inc. (www.kerio.com).

Figure 4.30

Rgles de traitement des paquets par Krio personnal rewall .

Dunod La photocopie non autorise est un dlit.

Dans lexemple prsent, le ltrage des paquets ne se fait que sur les adresses IP. La premire rgle entoure concerne lapplication Explorateur Windows . Cette application ne doit se connecter quaux ordinateurs du rseau local ou un groupe dordinateurs bien dni. Les adresses IP autorises en adresse source ou destination sont donc celles du rseau local ou sous-rseau local dnies dans longlet Miscellaneous . La seconde rgle concerne lapplication Internet Explorer . Celle-ci doit pouvoir se connecter tout serveur du rseau Internet. Dans lexemple, toutes les adresses IP destination sont autorises. Pour cette application, il est possible dditer dautres rgles, en fonction de la topologie du rseau local, suivant que le rseau utilise ou non une passerelle, un translateur dadresse IP (NAT) ou un parefeu de rseau. Les rgles peuvent tre dites automatiquement ou manuellement. Le ltrage assur par lditeur automatique est peu puissant, puisquil ne connat pas la topologie du rseau. La gure 4.31 montre lditeur de rgle de ce pare-feu.

120

4 Les services sur Internet : messagerie, FTP et Web

Lditeur permet de dnir : le protocole utilis par lapplication (UDP ou TCP) ; le sens de ltrage des paquets (entrants ou sortants) ; le port TCP utilis ; les adresses IP et le port du poste distant autoriss.

Figure 4.31

Fentre de lditeur des rgles de ltrage.

Dans lexemple de lExplorateur Windows, la mention Custom Address Group indique que ces adresses sont dnies dans longlet Miscellaneous (gure 4.32). Les groupes dadresses sont indiqus en utilisant ladresse de rseau ou de sousrseau, avec le masque de rseau ou de sous-rseau dlimitant les adresses autorises pour les connexions. Des exemples de paramtrages de rgles sont prsents au paragraphe 5.4, Les serveurs HTTP : conguration et scurisation, illustrs par des exercices.

Rsum

121

Figure 4.32

Fentre ddition des groupes dadresse de ltrage.

Rsum

Dunod La photocopie non autorise est un dlit.

1. Les services de messagerie un serveur de messagerie gre des botes aux lettres (BAL) ; chaque client dispose dune BAL laquelle il peut accder en lecture aprs identication ; la liste des BAL est stocke dans une base de donnes de comptes ; la rdaction du message peut se faire hors connexion au serveur. Le message est ensuite envoy au serveur qui le stocke dans la BAL du destinataire ; le destinataire se connecte au serveur et est identi par son nom et un mot de passe. Il peut ensuite lire ou transfrer son message sur son poste ; le protocole SMTP est utilis pour lenvoi des messages. Pour la rception, les protocoles sont POP3 ou IMAP ; un client de messagerie installe : une interface utilisateur, une interface de service, un module de stockage, un module de transport et un annuaire ; un serveur de messagerie dispose : dun agent de transport des messages, dun module de traitement des messages, dun annuaire, dun module de passerelle et dun module de stockage ; le service transport charge le message, rcupre ladresse du serveur et demande ltablissement dune connexion ;

122

4 Les services sur Internet : messagerie, FTP et Web

lorsque le message change de serveur de messagerie, il est trait par les agents de transfert (MTA) ; len-tte des messages SMTP utilise le caractre @ comme sparateur du nom de la BAL de celui du serveur de messagerie ; les serveurs SMTP utilisent le port 25 par dfaut ; pour la lecture dun message en ligne , le message est ouvert sur le serveur. Il nest pas transfr sur le poste client. Le poste client doit rester connect au serveur pendant toute la lecture ; pour la lecture hors ligne , le chier est dabord transfr du serveur vers le poste client. Il est ensuite ouvert sur le poste client. Ce dernier peut tre dconnect du serveur pendant la lecture ; le protocole POP3 permet le transfert des messages du serveur vers le poste client. Il ne permet pas la lecture en ligne des messages ; le protocole IMAP permet la lecture en ligne des messages par le poste client ; le protocole POP3 utilise le port 110 par dfaut et IMAP4 le port 143 ; le protocole MIME assure le codage du texte et linsertion de nombreux types de chiers ; pour se connecter par le RTC, le poste client est dabord identi par le serveur daccs distant, puis par le serveur de messagerie ; la conguration dun client de messagerie consiste dnir les paramtres de connexion au serveur de messagerie et didentication du client ; la conguration dun serveur de messagerie ncessite lidentication du serveur, des services et des rpertoires utiliss ; un serveur webmail permet aux clients daccder leur BAL partir dun navigateur Internet. Il ne ncessite pas de conguration du poste client ; un serveur de liste de diffusion assure lenvoi dun message chacun des membres de la liste. Linscription peut tre libre, ferme ou contrle par ladministrateur ; les serveurs de messagerie peuvent tre scuriss par lutilisation de ltres, de passerelles de messagerie et de rewall ; la transmission des messages peut tre scurise par cryptage ; une passerelle de messagerie permet de centraliser la rception des messages et de les transmettre sur plusieurs serveurs. 2. Le service de transfert de chiers il permet lchange de chiers entre clients identis ou anonymes (compte anonymous ) et le serveur ; la connexion et le dialogue utilisent le protocole FTP ; le client dispose des commandes lui permettant de se dplacer dans larborescence du disque du serveur et de manipuler les chiers et rpertoires ;

Rsum

123

par dfaut, le serveur reoit les commandes sur le port 21 et transmet les donnes sur le port 20 ; chaque client ou groupe est associ la liste des rpertoires et chiers auxquels il peut accder, ainsi que ses droits (lister, lire, crire) sur ces chiers ou rpertoires ; un serveur FTP comporte trois rpertoires : installation de lapplication, stockage des donnes et identication des clients ; pour congurer un serveur FTP, il faut : crer larborescence des rpertoires, crer les comptes, associer les droits daccs, crer les outils dadministration ; les comptes peuvent tre imports dune base de donnes. 3. Le service web il permet daccder des documents au format HTML par lintermdiaire dun navigateur Internet ; le dialogue utilise le protocole HTTP bas sur le principe des liens hypertextes ; les liens hypertextes permettent de relier des documents situs sur nimporte quel serveur accessible par Internet ; les documents sont accessibles par un URL ; le serveur HTTP utilise le port 80 par dfaut ; une fois connect au serveur HTTP, le client envoie des requtes au format texte ; une requte HTTP contient la mthode utiliser pour rcuprer le document ; pour chaque chier constituant un document, un processus est cr et une connexion TCP ouverte entre le poste client et le serveur ; dans Windows, les cookies sont stocks par dfaut sur le rpertoire documents and settings\ client \cookies ; dans Windows, les pages sont stockes par dfaut dans le rpertoire documents and setting\ client \local settings\temporary Internet Files ; le navigateur peut tre paramtr pour effacer ces chiers lors de la fermeture du navigateur ; un rewall personnel est un logiciel de contrle des paquets entrants et sortants de lordinateur ; un rewall personnel se situe entre le pilote de la carte rseau et le systme dexploitation ; il autorise les applications rfrences par un numro de port changer des paquets avec lextrieur ; pour chaque application, les adresses IP ou groupes dadresses autorises en adresse source ou destination sont prcises dans une rgle ; le pare-feu personnel est un complment utile du pare-feu plac linterconnexion du rseau local et du rseau Internet.

Dunod La photocopie non autorise est un dlit.

124

4 Les services sur Internet : messagerie, FTP et Web

QCM
Une version lectronique et interactive est disponible sur le site www.dunod.com. 1. Les services de messagerie
Q1. Le protocole POP3 est utilis : a) pour envoyer les messages b) pour lire les messages c) pour coder le contenu des messages Q2. La BAL est gre par : a) le serveur POP3 b) le serveur IMAP c) le serveur SMTP

Q3. Pour envoyer un message, il est ncessaire : a) de disposer dune BAL sur le serveur auquel se connecte le poste b) de disposer dune BAL sur le serveur du destinataire du message c) il nest pas ncessaire de disposer dune BAL Q4. Un serveur de liste de diffusion permet denvoyer un message : a) aux destinataires dont ladresse gure dans le champ destinataire b) tous les clients grs par le serveur de messagerie de lexpditeur c) aux membres de la liste gre par le serveur de messagerie des destinataires d) tous les clients grs par le serveur de liste de diffusion Q5. Les professeurs dun IUT ont une BAL sur le serveur de messagerie mail.iut.fr. un serveur de diffusion sympa.iut.fr gre les listes des professeurs de chaque dpartement. Indiquer une adresse correcte pour envoyer un message aux professeurs du dpartement SRC : a) profs.src@sympa.iut.fr b) profs.src@mail.iut.fr c) profs@src.mail.iut.fr d) profs@sympa.mail.iut.fr e) profs@src.iut.fr Q6. Lchange de messages entre les serveurs utilise : a) le protocole POP3 b) le protocole SMTP c) le protocole MIME d) le protocole IMAP Q7. Lchange de messages entre serveurs est gr : a) par lagent de transport b) par le module de stockage c) par lagent de traitement d) par lagent de transfert Q8. La lecture dun message en ligne ncessite : a) la connexion du poste client au serveur pendant la dure de la lecture b) la connexion du poste client au serveur pendant le transfert du message c) ne ncessite pas la connexion du poste client au serveur Q9. Le protocole IMAP est une alternative : a) au protocole POP3 b) au protocole SMTP c) au protocole MIME

QCM

125

Q10. Le serveur Webmail : a) remplace un serveur SMTP b) remplace un serveur POP3 c) sintercale entre un serveur SMTP et le poste client d) sintercale entre un serveur web et un poste client Q11. Une passerelle de messagerie : a) se place entre 2 serveurs de messagerie dune entreprise b) se place entre les serveurs de messagerie dune entreprise et Internet c) remplace les serveurs de messagerie dune entreprise

2. Le service de transfert de chiers


Q12. Le protocole FTP permet : a) le chargement de chiers b) la lecture de messages c) la visualisation de pages HTML Q13. Lidentication dun client utilisant le compte anonymous se fait le plus souvent : a) par son compte FTP b) ne se fait pas c) par son adresse mail Q14. Les rpertoires publics : a) sont rservs aux clients disposant dun compte FTP b) sont rservs aux clients ne disposant pas de compte FTP c) sont accessibles par tous les clients se connectant

3. Le service web
Q15. Le protocole HTTP permet : a) de grer les changes avec les serveurs web b) de dnir le format des pages web c) de localiser un document sur un serveur web Q16. Le langage HTML est : a) un langage de programmation b) un ensemble de rgles de mise en forme dun document c) un langage de script Q17. LURL permet de localiser : a) un document c) un navigateur Internet b) un serveur web

Dunod La photocopie non autorise est un dlit.

Q18. Pour charger une page comportant quatre chiers, le navigateur Internet va ouvrir : a) aucune session b) une session c) 4 sessions d) 8 sessions Q19. Les cookies sont : a) les lments de publicit afchs dans une page HTML b) les objets permettant la navigation hypertexte c) des requtes envoyant des renseignements au serveur http d) lensemble de chiers constituant une page HTML

126

4 Les services sur Internet : messagerie, FTP et Web

Q20. Les pages ou objets stocks sur un rpertoire temporaire sont : a) sur un rpertoire propre chaque utilisateur ; b) sur un rpertoire commun tous les utilisateurs ; c) sur le rpertoire o se situe le navigateur ; Q21. Un pare-feu personnel est : a) une application logicielle ; b) un pilote de priphrique ; c) un quipement matriel de scurit du rseau Q22. Les rgles de ltrage portent sur (plusieurs rponses) : a) les adresses MAC ; b) les protocoles de la couche liaison ; c) les adresses IP ; d) les protocoles de la couche transport ; e) les paramtres de rgulation de ux ; f) les ports de la couche transport ; g) les sites web

Exercices
(*) : facile(**) : moyen(***) : difcile Corrigs la n du livre et sur le site www.dunod.com.

4.1 (*) Dans len-tte ci-joint, retrouver le chemin emprunt par le message.
Received: from vega.masson.fr by univ-mlv.fr with ESMTP id SAA20646 for <present@univ-mlv.fr>; Thu, 15 Nov 2001 18:14:08 +0100 (MET) Received: from blanc.dunod by vega.masson.fr with SMTP id SAA09628 for <present@univ-mlv.fr>; Thu, 15 Nov 2001 18:01:14 +0100 Message-ID: <002f01c16df8$9bf18be0$2a01005b@dunod> From: "Jean-Luc Blanc" <jl.blanc@dunod.com> To: <present@univ-mlv.fr>

4.2 Len-tte ci-dessous correspond un message transmis par lintermdiaire de la liste de diffusion src gre par un serveur sympa situ sur le domaine univ-nlt.fr.
Received: from mail.univ-nlt.fr by univ-mlv.fr (8.9.3 with ESMTP id QAA04697 for <present@univ-mlv.fr>; Tue, 19 Feb 2002 16:47:03 +0100 (MET) Received: by mail.univ-nlt.fr from userid 732); Tue, 19 Feb 2002 16:42:11 +0100 (MET) Delivered-To: profs-src@univ-nlt.fr

Exercices

127

Received: from univ-mlv.fr by mail.univ-nlt.fr with ESMTP id 054CE9786 for <src@univ-nlt.fr>; Tue, 19 Feb 2002 16:42:07 +0100 (MET) Received: from src-dept by univ-mlv.fr with SMTP id QAA04634 for <src@univ-nlt.fr>; Tue, 19 Feb 2002 16:46:27 +0100 (MET) Received: by localhost with Microsoft MAPI; Tue, 19 Feb 2002 16:51:28 -0000 Message-ID: <01C1B965.AD070B40.present@univ-mlv.fr> From: Dominique PRESENT <present@univ-mlv.fr> Reply-To: "present@univ-mlv.fr" <present@univ-mlv.fr> To: "src@univ-nlt.fr" <src@univ-nlt.fr> Date: Tue, 19 Feb 2002 16:51:27 0000

a) Retrouver ladresse de la liste de diffusion et justiez sa syntaxe. b) Indiquer le chemin emprunt par le message. 4.3 (***) Un IUT reli Internet par une ligne loue et un FAI, dispose dun serveur de messagerie mail.iut.fr . Pour des raisons de scurit, il souhaite dissocier les comptes des tudiants de ceux du personnel en installant un second serveur de messagerie mail2.iut.fr pour les comptes tudiants. a) Proposer une architecture. b) Les tudiants pourront-ils garder leur adresse e-mail initiale ? Justier la rponse. 4.4 (*) La liste de diffusion administratifs.src du serveur sympa.iut. univ-mlv.fr doit tre modie comme suit : le membre jean.tasse doit tre remplac par maud.aile . a) tablir la liste des commandes excuter pour oprer les modications de la liste. b) Quelle commande excuter pour vrier la mise jour de la liste ? 4.5 (**) Imaginez quun tudiant de luniversit de Marne la valle vienne dcrire un nouveau programme quil souhaite rendre accessible tous par le serveur FTP univ-mlv.fr. Il place le programme dans le rpertoire FTP ftp/pub/maitrise/newprog.c. Quelle sera lURL permettant datteindre ce programme ? 4.6 (**) Quels sont les avantages et les inconvnients des connexions anonyme et non anonyme sur un serveur FTP ? Peut-on utiliser une connexion non anonyme sur un serveur web ? 4.7 (***) Dans un rseau local dentreprise, les postes clients ont des adresses IP comprises dans la plage 10.50.0.30 10.50.0.120. Ladresse du rseau est 10.50.0.0, le serveur de comptes a ladresse 10.50.0.2, le serveur de messagerie 195.50.50.2 et le routeur

Dunod La photocopie non autorise est un dlit.

128

4 Les services sur Internet : messagerie, FTP et Web

195.50.50.1. Le serveur de comptes est galement serveur Intranet, et le routeur assure la translation des adresses prives. tablir les rgles de ltrage installer sur le pare-feu personnel dun poste client pour lapplication de messagerie dune part et pour lexplorateur Windows dautre part. Exercices pratiques
(*) : facile(**) : moyen(***) : difcile Les logiciels utiliss sont disponibles sur le site www.dunod.com (versions dvaluation ou gratuites).

4.8 (*) Analyse des en-ttes de messages : en utilisant votre outil de messagerie : a) Envoyer un message votre adresse. Rcuprer len-tte et indiquer le chemin suivi par le message. (sous Outlook, len-tte est accessible lorsque le message est ouvert, par le menu afchage , puis options . len-tte safche en bas de la fentre). b) Envoyer un message avec pice jointe votre adresse. Rcuprer len-tte et retrouver la partie de len-tte caractrisant la pice jointe. 4.9 (*) Accuss de rception : en utilisant votre outil de messagerie : a) Envoyer un message votre adresse en demandant un accus de rception (pour Outlook : menu afchage , options , valider la case demander une conrmation de lecture ). b) la lecture du message, un message safche. Si vous validez la conrmation, que se passe-t-il dans la bote denvoi ? c) En dduire qui du poste destinataire ou du serveur de messagerie de la BAL du destinataire cre le message de conrmation. 4.10 (*) Utilisation dun Webmail a) Connectez-vous au site www.freesurf.fr (paramtres de connexion : No daccs : 0860 91 26 00 ; DNS Primaire : 212.43.206.2 ; DNS Secondaire : 212.43.206.3 ; Domaine de recherche : freesurf.fr ; Serveur POP : pop.freesurf.fr ; Serveur SMTP : smtp.freesurf.fr ) b) Loguez-vous sur le compte lohpres@freesurf.fr mot de passe dunod. c) Le compte Webmail est votre disposition pour vous familiariser avec les commandes. Effectuer le mme travail qu lexercice 4.9. 4.11 (**) Conguration dun serveur FTP. Lentreprise souhaite disposer de rpertoires pour les utilisateurs des deux services, commercial

Exercices pratiques

129

dune part et dveloppement dautre part. Les utilisateurs du premier service se nomment Claude et Charles, ceux du second Didier et Deborah. Chaque utilisateur devra avoir tous les droits sur son rpertoire et les sous-rpertoires crs, et le droit de lecture sur les rpertoires de son collgue du service. Il ne devra pas pouvoir accder aux rpertoires de lautre dpartement. a) Tlcharger le logiciel serv-U de Cat-soft (www.cat-soft.com) et linstaller sur votre poste. b) Slectionner le serveur et congurer le domaine en lui donnant le nom ftp.server.fr et lui attribuer ladresse IP de votre poste. c) Crer les comptes des utilisateurs et les deux groupes commerciaux et dveloppeurs . d) Crer les deux rpertoires commerce et dveloppement dans lesquels se trouveront les rpertoires des utilisateurs. e) Donner les droits daccs chaque utilisateur. f) Procder aux vrications des droits des utilisateurs en vous connectant au serveur FTP partir de votre navigateur (ou dun client FTP tel que FTP Works de Corban Software http://www. corbanware.com). 4.12 (***) Conguration dun pare-feu personnel. Lexercice analyse les paquets entrant et sortant dun poste pour comprendre ldition des rgles de ltrage. Il sappuie sur le logiciel Krio Personnal Firewall de Krio Technologies Inc. (www.kerio.com). a) Tlcharger et installer le logiciel sur votre poste. b) Redmarrer lordinateur. Des fentres vont safcher, indiquant le nom de lapplication mettant ou recevant le paquet, ladresse IP distante ainsi que le port utilis. Le client a la possibilit daccepter ou de refuser le paquet. Relever les lments afchs.
Dunod La photocopie non autorise est un dlit.

c) Dans la fentre dadministration, cliquer sur advanced . la fentre de conguration souvre. Cliquer sur add pour ouvrir lditeur de rgles. Reporter les lments nots dans la question prcdente. d) Redmarrer lordinateur. Les paquets ayant fait lobjet de relevs ne doivent plus provoquer lafchage de messages. e) Supprimer une rgle. Redmarrer lordinateur. lafchage de la fentre dalerte, cochez la case de cration de la rgle approprie (create approriate lter). Aller dans lditeur de rgles et comparez la rgle cre avec celle dite la question c . Quelles sont vos constatations ?

130

4 Les services sur Internet : messagerie, FTP et Web

tude de cas 1 : Installation/conguration dun serveur SMTP/POP3 sous Windows


a) Installation

LIUT veut installer un serveur de messagerie. Le logiciel choisi est le freeware Mercury/32 (tlchargeable ladresse http://risc.ua.edu/pegasus/mercury32). Avant linstallation, il faut dcider du nom du serveur, du rpertoire dinstallation, du rpertoire des BAL. Nous prendrons mailserviut pour le nom du serveur, c:\mailserv pour le rpertoire dinstallation et c:\mailserv\mail pour les BAL. Une fois linstallation lance, le logiciel demande si le serveur sera ou non dans un environnement NetWare, ce qui nest pas le cas. Il faut ensuite indiquer le rpertoire dinstallation c:\mailserv (gure 4.33), puis le rpertoire des BAL c:\ mailserv\mail .

Figure 4.33

Dnition des rpertoires utiliss.

Il faut ensuite indiquer les protocoles utiliss (gure 4.34). Il faut bien sr SMTP (module MercuryS) et POP3 (module MercuryP). Le module MercuryD nest utile que si votre serveur doit aller chercher le courrier sur un serveur central (passerelle de messagerie par exemple) ; le module MercuryX permet de planier le traitement du courrier ; le module MercuryF ne sert que pour utiliser un annuaire de type Finger ; le module MercuryH assure le dialogue entre le serveur et des clients Pegasus Mail ou Eudora.

Exercices pratiques

131

Il est conseill de charger le module MercuryW qui permet de changer le mot de passe daccs ladministration du serveur. Le module MercuryI chargera, sil est valid, le protocole IMAP4, utile principalement pour interfacer un Webmail.

Figure 4.34

Fentre de validation des protocoles.

Le module SMTP client assure le dialogue du serveur avec les serveurs extrieurs. Le module MercuryC sera utilis pour une connexion en mode Dial-up (gure 4.35) ; le module MercuryE dans le cas dune connexion permanente. Le nom du serveur mail.serviut terminera les paramtrages ncessaires. Dans le cas o il y a des clients Pegasus, il faut indiquer le nom de la le dattente qui recevra les messages. Ce rpertoire devra tre partag en lecture seule.
Dunod La photocopie non autorise est un dlit.

b) Conguration

Aprs lancement de Mercury32, il faut aller dans loption Mercury core module du menu conguration (gure 4.36). Longlet general regroupe les informations dinstallation (adresse IP ou nom du serveur, rpertoire des BAL et nom de ladministrateur). Le nom du serveur sert de rfrence au serveur pour savoir si metteur et destinataire dun message sont locaux ou non-locaux . Ce nom est utilis par le logiciel pour crer un compte administrateur (ici postmaster @mail.serviut). Cette adresse sera utilise pour lenvoi de messages lmetteur si un problme de traitement est rencontr par le serveur.

132

4 Les services sur Internet : messagerie, FTP et Web

Figure 4.35

Choix des protocoles de connexion au serveur.

Figure 4.36

Informations dinstallation du serveur.

Les autres paramtres sont les paramtres par dfaut : notication au client de messages reus, copie au responsable du serveur en cas de message en erreur. Vrier le dcalage de lheure locale par rapport lheure universelle.

Exercices pratiques

133

Longlet local domains permet de paramtrer le serveur SMTP (gure 4.37). Slectionner le serveur mail.serviut (double clic) et cliquer sur local host or server .

Figure 4.37

Dnition des noms Internet et Intranet du serveur.

Dans loption Mercury SMTP Server du menu conguration , le champ announce myself as permet dindiquer le nom du serveur tel quil apparatra dans les en-ttes de routage des messages (gure 4.38). Il est thiquement correct dindiquer le nom du serveur mailserver ou mail.serviut . Les paramtres par dfaut correspondent au temps dattente pour la rponse une demande de connexion TCP/IP (30 secondes) et le numro du port TCP utilis (port 25).

Dunod La photocopie non autorise est un dlit.

Figure 4.38

Paramtrage de lidentication du serveur dans les messages.

134

4 Les services sur Internet : messagerie, FTP et Web

Dans loption Mercury POP3 Server du menu conguration (gure 4.39), safchent les paramtres par dfaut : ladresse IP du serveur POP3 et le port TCP utilis (port 110). Ladresse IP sera celle utiliser pour paramtrer les postes clients. Les fonctions par dfaut sont : marquer comme lus les messages correctement transfrs au client et ne proposer au client que les messages non transfrs . Il est possible dajouter lenvoi des en-ttes de message et le blocage des commandes deffacement ou non des messages sur le serveur .

Figure 4.39

Conguration du serveur POP3.

Il faut enn crer les BAL (gure 4.40) et paramtrer les clients.

Figure 4.40

Cration des BAL des clients.

Exercices pratiques

135

Dans loption Manage local users du menu conguration , il suft dajouter chaque client en dnissant pour chacun : le nom, ses caractristiques (en gnral sa fonction) et son mot de passe. La case en bas de la fentre permet de dnir les clients qui disposeront des droits dadministration des comptes. linstallation de la messagerie, une bote est automatiquement cre pour ladministrateur (Admin ; Mail System Administrateur). Il ne faut pas oublier de paramtrer les outils de messagerie des clients. Une fois linstallation termine, il est possible de tester le fonctionnement du serveur en envoyant un message par la fonction send mail (gure 4.41). Cette fonction envoie un message de la part de ladministrateur du serveur (From : postmaster@mail.serviut). Ladresse du destinataire est une des botes aux lettres cres, directeur@mail.serviut dans notre cas.

Figure 4.41

Envoi dun message de test partir du serveur.

Dunod La photocopie non autorise est un dlit.

Les fentres Mercury Core Process et Mercury POP3 Server permettent de suivre le traitement des messages envoys pour la premire, les connexions des clients pour la seconde. Sur la gure 4.42, la fentre de gauche montre lenvoi dun message venant de postmaster@mail.serviut et destin directeur . Les deux adresses sont considres comme locales, puisquelles utilisent toutes les deux le nom Internet mail.serviut dni dans longlet general de la fentre Mercury Core Module (gure 4.36). La fentre de droite montre la connexion du client directeur au serveur et le nombre de messages transfrs. Len-tte (code source) du message test reu par le directeur se prsente ainsi :
Received: from spooler by mail.serviut (Mercury/32 v3.32); 22 Oct 03 16:43:33 +0200 X-Envelope-To: directeur@mail.serviut

136

4 Les services sur Internet : messagerie, FTP et Web

From: "E-Mail Administrator" <postmaster@mail.serviut> To: directeur@mail.serviut Subject: test de fonctionnement du serveur de messagerie Date: Wed, 22 Oct 2003 16:43:20 +0200 MIME-Version: 1.0 Content-type: text/plain; charset=US-ASCII X-Mailer: Mercury/32 v3.32

Figure 4.42

Fentre de suivi des messages et des connexions des clients.

Les deux premires lignes indiquent le destinataire local (directeur@mail. serviut) et le dernier serveur ayant transmis le message (mail.serviut). Les deux lignes suivantes (lignes 3 et 4) indiquent ladresse de lmetteur initial (postmaster@mail.serviut) et le destinataire nal (directeur@mail.serviut). Entre ces deux blocs de lignes viendra sajouter lidentit des serveurs par lesquels le message a transit, permettant ainsi de suivre le trajet des messages.

tude de cas 2 : Installation/conguration dun Webmail sous Windows

Ce module, crit en PHP permet dinterfacer un navigateur, nimporte quel serveur de messagerie SMTP (Sendmail, Postx) et IMAP (Cyrus, Courier). Le module Squirrelmail ncessite de disposer dun serveur de messagerie et dun serveur web (Apache par exemple). Une fois le chier tarball ou zip dcompress, on trouve dans le rpertoire initial les rpertoires data pour les utilisateurs, cong pour les paramtres de conguration, plugins pour les modules complmentaires, po pour les langages autres que langlais dorigine, et src o se trouvent les chiers sources en PHP.

tude de cas 2 : Installation/conguration dun Webmail sous Windows

137

La conguration se fait dans le chier cong_default.php du rpertoire cong qui sera sauvegard sous le nom cong.php. Les lignes suivantes doivent tre modies (les modications sont en gras) :
/* Organizations name */ global $org_name; $org_name = webmail IUT; /** * Default language This is the default language. It is used as a last resort if SquirrelMail cant figure out which language to display. Use the two-letter code. */ global $squirrelmail_default_language; $squirrelmail_default_language = fr_FR;

/* The dns name and port for your imap server. */ global $imapServerAddress, $imapPort; $imapServerAddress = 192.168.0.4; $imapPort = 143; /** The domain part of local email addresses. This is for all messages sent out from this server. Reply address is generated by $username@$domain Example: In bob@foo.com, foo.com is the domain. */ global $domain; $domain = mail.serviut; /* Your SMTP server and port number (usually the same as the IMAP server).*/ global $smtpServerAddress, $smtpPort; $smtpServerAddress = 192.168.0.4; $smtpPort = 25; /** * Path to the data/ directory. The path name can be absolute or relative (to the config directory). It doesnt matter. Here are two examples: * Absolute: * $data_dir = /usr/local/squirrelmail/data/; * Relative (to the config directory): * $data_dir = SM_PATH . data/; */ global $data_dir; $data_dir = c:\programmes\EasyPHP1-7\www\webmail\squirrelmail\data;

Dunod La photocopie non autorise est un dlit.

Le Webmail est prt. Pour lancer le Webmail partir du navigateur, il suft de taper lURL du serveur web, suivi du chemin daccs au rpertoire squirrelmail. Une fentre demandant le nom de la bote aux lettres de la messagerie et le mot de passe safche (gure 4.43)

138

4 Les services sur Internet : messagerie, FTP et Web

Figure 4.43

Fentre daccueil du Webmail.

Linterface de la messagerie web safche dans la fentre du navigateur comme le montre la gure 4.44. Les messages afchs ont permis de tester le bon fonctionnement du Webmail.

Figure 4.44

Fentre de rception de la messagerie web.

Le message test webmail a t envoy au directeur par un client de messagerie classique. Le second message a t envoy par le Webmail en activant le lien Composer. Le lien Dossiers permet de crer des dossiers dans la bote aux lettres. La gure 4.45 montre la fentre des messages envoys accessible en cliquant sur INBOX.sent dans la fentre de gauche.

tude de cas 3 : Mise jour dun site web par transfert FTP

139

Figure 4.45

Fentre des messages envoys de la messagerie web.

tude de cas 3 : Mise jour dun site web par transfert FTP

Lorsquun site web est hberg sur un site distant, lune des difcults est la mise jour. Lune des solutions les plus rapides consiste transfrer les chiers de la nouvelle version vers le site web distant par un transfert FTP. Cela ncessite bien sr que le site distant dispose dun serveur FTP donnant accs aux rpertoires o sont stocks les chiers du site, et que vous ayez les droits pour aller crire et modier les chiers et rpertoires correspondants. Plusieurs prcautions sont prendre avant le transfert des chiers : le nommage des chiers et rpertoires doit respecter les rgles utilises sur le serveur. Pour viter les problmes, il est prudent dutiliser la convention DOS 8.3, en supprimant les majuscules, les espaces, les caractres accentus, et en se restreignant au strict alphabet et au caractre sous-tiret (underscore). Ainsi, les noms de chiers et de rpertoires seront compatibles avec les systmes Windows et Linux.
Dunod La photocopie non autorise est un dlit.

larborescence des chiers devra tre conserve. Larborescence la plus courante consiste disposer les chiers html dans le rpertoire et les images dans un sous-rpertoire image . Lentre dans le site passe par la page daccueil habituellement nomme index.htm. Lexemple montre la conguration dun serveur FTP sur IIS, permettant la modication des pages du site web serviut (voir paragraphe 5.3, Conguration dun serveur IIS) par un responsable du service administratif (compte webadmin) dune part, un responsable du service informatique (compte webinfo) dautre part. Chacun de ces services dispose dans larborescence du site web dun rpertoire propre (gure 4.46) situ dans le rpertoire commun www\ftp .

140

4 Les services sur Internet : messagerie, FTP et Web

www ftp admin images .htaccess admin.htm informatique images .htaccess informatique.htm logins

Figure 4.46

Arborescence des rpertoires du site FTP.

La conguration du serveur FTP seffectue partir de la fentre proprits du serveur FTP slectionn dans le gestionnaire des Services Internet (gure 4.47). Longlet site FTP permet de dnir ladresse IP du serveur, son descriptif et le nombre de connexions simultanes autorises (le nombre doit tre limit pour ne pas saturer les ressources du serveur). Le rpertoire devant safcher au moment de la connexion dun client est spci dans longlet rpertoire de base . Ce rpertoire sera le rpertoire racine, et les clients ne pourront pas remonter dans larborescence du serveur. Le rpertoire ftp protge ainsi la page daccueil du site web et les chiers de scurisation placs dans le rpertoire logins (voir chapitre 4, tude de cas 1) contre toute modication. Dans longlet comptes de scurit , il faut prciser les comptes autoriss administrer le serveur FTP. Il ne faut pas oublier dajouter ici les administrateurs du site. Dans lexemple donn, il nest pas ncessaire de prvoir un nom de compte et un mot de passe pour les clients sans compte anonymous , puisque le transfert de chier ne sera utilis que par les responsables web des services. Longlet message permet de prvoir des messages daccueil safchant sur le moniteur du client FTP ltablissement et la libration de la connexion au serveur. Enn longlet scurit de rpertoire permet de limiter laccs au serveur partir de postes identis par leur adresse IP. Dans notre cas dtude, il serait utile, pour la scurit daccs aux chiers dutiliser cette fonctionnalit en ajoutant les adresses IP des postes des deux responsables des pages web. Le serveur est congur. Il faut ensuite donner les droits daccs aux responsables prcits. Le serveur FTP de IIS utilise le systme de droits daccs au chier de Windows 2000 Server. Il faut donc procder en deux temps. Tout dabord crer les comptes webadmin et webinfo dans le dossier utilisateurs du rpertoire outils systme du gestionnaire de lordinateur.

tude de cas 3 : Mise jour dun site web par transfert FTP

141

Figure 4.47

Conguration du serveur FTP de IIS.

Il faut ensuite aller dans les proprits de chacun des dossiers et donner un accs aux responsables des pages pour quils puissent crire, crer et modier des chiers et des rpertoires. La gure 4.48 montre les droits daccs au rpertoire admin affects au compte webadmin . Pour modier les pages web, il ne faut pas oublier : que larborescence des rpertoires sur le poste de ladministrateur des pages doit obligatoirement tre le mme que celle des pages du site web ;
Dunod La photocopie non autorise est un dlit.

que le chier dentre sur la page daccueil index.htm doit toujours rester la mme place dans larborescence du serveur FTP et garder le mme nom pour ne pas rompre le lien avec la page index.htm ; que les noms des chiers modis ne doivent tre changs que si cela savre ncessaire. Changer un nom de chier ncessite une vrication exhaustive des liens, et rend caduques les chemins mmoriss dans le menu favoris des navigateurs des visiteurs habituels. Il suft ensuite de lancer le client FTP, indiquer le nom du serveur FTP distant, sidentier par son nom de client et son mot de passe. La connexion au serveur FTP par le client webadmin est reprsent gure 4.49 (le client FTP utilis est FTP Expert de Visicom Media Inc. www.visic.com).

142

4 Les services sur Internet : messagerie, FTP et Web

Figure 4.48

Droits du compte webadmin sur le dossier admin .

paramtres de connexion

tablissement de la connexion listage du rpertoire de base

Figure 4.49

Connexion au serveur FTP par un client.

Les paramtres de connexion (nom du serveur/compte/mot de passe) apparaissent dans la barre en haut de la fentre. La premire fentre montre le dialogue entre le client FTP et le serveur FTP sur le port 21 du serveur. On reconnat les commandes dtablissement de la connexion se terminant par la

tude de cas 3 : Mise jour dun site web par transfert FTP

143

conrmation de louverture du port 20 permettant lchange de donnes. Puis le listage du contenu du rpertoire de base (www/ftp dans notre cas). Les deux fentres du bas afchent le contenu du dossier du poste client (fentre de gauche) et celle du serveur (fentre de droite) o lon peut reconnatre les deux rpertoires de donnes admin et informatique . Les anciens chiers peuvent alors tre remplacs par les nouveaux, les nouveaux chiers sont chargs. Il ne reste plus qu supprimer les chiers inutiles. Il faut toutefois se rappeler que supprimer un chier peut casser des liens si ces chiers sont points par dautres serveurs. Il peut tre utile de les remplacer, provisoirement du moins, par un chier indiquant que cette page nest plus utilise et donnant lURL de la page de remplacement.

Dunod La photocopie non autorise est un dlit.

Chapitre 5

Les serveurs http : conguration et scurisation

5.1

CHOIX DUN SERVEUR HTTP

5.1.1 Logiciel et matriel Disposant dune version fonctionnant sous Linux et dune version sous Windows, le serveur Apache est de plus en plus utilis. Toutefois, le module http dInternet Information Server peut tre prfr pour garder une homognit dans linterfaage de lapplication et du systme dexploitation. Les deux serveurs seront donc tudis dans ce chapitre. On ne peut parler des applications sans se poser la question de lordinateur sur lequel elles sont implantes. Certes, il est possible et conomique dutiliser un ordinateur classique pour raliser un serveur http. On ne peut par contre attendre les mmes performances que celles obtenues avec un serveur spcique. 5.1.2 Architecture matrielle dun serveur Sans entrer dans le dtail dune telle architecture, en constante volution, il est possible de guider le choix en donnant quelques points de repres fonctionnels et matriels. Tout dabord se rappeler que, dans le cas dun serveur http, un processus est cr et une connexion TCP ouverte pour chaque chier constitutif dune page web (voir paragraphe 4.3, Le service web). Plus le nombre de clients servir simultanment sera lev, plus le nombre de processus sera lev et donc plus les ressources matrielles du serveur (temps processeur, mmoire) devront tre importantes. Il est alors facile de comprendre que dans larchitecture matrielle dun serveur, le

Dunod La photocopie non autorise est un dlit.

146

5 Les serveurs http : conguration et scurisation

nombre de processeurs, la capacit de la mmoire et sa rapidit seront plus importants que sa capacit graphique ou multimdia. De mme la capacit de stockage sur disques sera dveloppe, et la rapidit de ces derniers optimise pour tenir compte du nombre daccs disques importants. Pour construire un serveur, on cherchera exploiter les capacits de paralllisme des processeurs actuels, ceux-ci se rpartissant la gestion des processus. Pour le stockage, lutilisation de disques SCSI sera prfre, non pour un dbit plus important quune interface EIDE (les dbits sont du mme ordre, environ 160 Mo/s), mais pour le nombre de disques que cette interface peut grer (jusqu 15 priphriques). La scurit du stockage des donnes est galement un point important, surtout si le serveur est amen hberger des donnes de clients. La prudence incitant ne pas mettre toutes les donnes dans la mme unit de stockage, la technologie RAID (Redondant Array of Inexpensive Disks) rpartit les donnes dun chier sur plusieurs disques (raid 1 de la gure 5.1). Certaines versions rajoutent des blocs de contrle permettant de rcuprer les donnes perdues par la dcience dun disque (raid 4 de la gure 5.1).
contrleur contrleur

bloc 1 bloc 4

bloc 2

bloc 3

bloc 1 bloc 3

bloc 2 bloc 4

CRC(1,2) CRC(3,4)

chaque bloc du fichier est crit sur un disque diffrent raid 1

chaque bloc du fichier est crit sur un disque diffrent. Un disque contient les contrles d'erreur sur les blocs crits raid 4

Figure 5.1 Technologie RAID de gestion des disques.

La scurit et la abilit de fonctionnement seront prises en compte galement. Il ne faut pas oublier que ces serveurs fonctionnent la plupart du temps sans interruption et que les parties mcaniques sont les plus sujettes une panne. Lalimentation peut tre double (alimentation de secours) voire secourue (onduleur et batterie incorpors). La ventilation doit aussi faire lobjet de soins particuliers. Si lon rsume les caractristiques particulires des serveurs nous trouvons : le nombre de processeurs ; la capacit RAM et leur rapidit ; la capacit, le systme de stockage et la rapidit des disques ; la abilit de fonctionnement.

5.2

Conguration dun serveur Apache

147

Le tableau 5.1 illustre ces diffrences de spcications de serveurs et de station dans la gamme PME dun fabriquant.
TABLEAU 5.1
Type Station Processeur 1 Pentium 4

COMPARAISON DES SPCIFICATIONS SERVEURS/STATION.


Alim. unique unique 3 + 1 secours option sur bande Sauvegarde

Mmoire F. bus Stockage Contrleur max. (MHz) max. 2 Go 4 Go 24 Go 400 800 400 IDE Raid Raid 60 Go 300 Go 1,5 To

Serveur co 1 Pentium 4 Serveur pro 2 Xon

5.1.3 Architecture logicielle dun serveur Un serveur http est une application logicielle. Elle doit dialoguer avec le systme dexploitation. Le serveur devant tre accessible partir du rseau, lordinateur daccueil devra tre quip dune ou plusieurs cartes rseaux. Sa conguration rseau aura t valide avant de commencer linstallation du serveur http. Les applications actuelles vont chercher automatiquement les paramtres rseaux ncessaires, mais il sera toutefois prfrable de relever le nom de la machine, son identit rseau (nom et adresse IP) son identit Internet (URL y donnant accs). Linstallation des applications tant classique, elle ne sera pas dveloppe dans les paragraphes suivants. Ceux-ci seront plus particulirement consacrs la conguration dun serveur Apache sous Windows et Linux (paragraphe 5.2, Conguration dun serveur Apache) et dIIS4 (paragraphe 5.3, Conguration dun serveur IIS).

5.2

CONFIGURATION DUN SERVEUR APACHE

5.2.1 Exploitation sous Windows Linstallation se fait de faon classique en indiquant le nom du rpertoire dans lequel lapplication et les donnes seront installes. Le rpertoire dinstallation par dfaut est c:\Program Files\Apache\Group\Apache. Une fois installe, larborescence du rpertoire se prsente comme dans lexemple du tableau 5.2. La conguration utilise le chier texte httpd.conf qui sera modi laide du bloc-note ou dun diteur simple. Si WordPad est utilis, ou a fortiori Word , il faut absolument sauvegarder en mode texte seul , sinon ces diteurs rajoutent des codes de mise en forme incompatibles. Dans les dernires versions dApache, il est dconseill dutiliser les chiers access.conf et srm.conf pour la personnalisation de la conguration. Tout est dcrit dans le chier httpd.conf. Certaines versions commercialises fournissent un logiciel de conguration qui facilite la modication de ce chier. Il est organis en commentaires (prcds du symbole #) et directives suivies darguments. Exemple de directive : # nom du serveur ServerName jeronimo

Dunod La photocopie non autorise est un dlit.

148

5 Les serveurs http : conguration et scurisation


TABLEAU 5.2 RPERTOIRES ET FICHIERS DUN SERVEUR APACHE.
Rpertoire bin Contenu, Objet Programme pour crer les clients Utilitaires (horloge, compteur...) Fichiers de conguration Httpd.conf Access.conf Srm.conf Fichier texte de conguration Fichier de gestion des droits daccs au serveur Fichier de gestion des noms daccs par les navigateurs Fichiers et rpertoires du site web Index.html manual Fichier ouvert quand aucune page nest spcie Rpertoire de la documentation en anglais Icnes afches lors des requtes Journaux de suivi du serveur Access.log Error.log Journal des accs au serveur Journal des erreurs, utile pour le dbogage Modules complmentaires (Perl, Java) Sources du programme

cgi-bin conf

htdocs

icons log

modules src

La conguration va tre effectue en deux temps. Tout dabord, les modications minimales du chier httpd.conf pour mettre le serveur en service. Ces modications apparaissent en gras non-italique dans le chier. Ensuite, une analyse plus dtaille du chier permettra une personnalisation de la conguration. Les modications sont en gras italique. Le chier de la gure 5.2 montre la structure du chier httdp.conf. Seuls les blocs de paramtres apparaissent (#--<bloc>--). Pour une meilleure lisibilit certains paragraphes et commentaires ont t supprims.
## httpd.conf -- Apache HTTP server configuration file #---------------- Dynamic Shared Object (DSO) Support ------------# dfinit les modules charger pour utiliser des objets DSO # Example: # LoadModule foo_module libexec/mod_foo.so #----------------- Name Space and Server Settings ----------------# dfinit le nom des rpertoires accessibles par les utilisateurs # sur le serveur http. Dfinit aussi les paramtres indiquant # comment les requtes et les rponses seront formates.

5.2

Conguration dun serveur Apache

149

# DocumentRoot: le rpertoire contenant les documents, tel quil # sera vu par les utilisateurs. DocumentRoot /home/httpd/html # UserDir: nom du rpertoire de rception des requtes de chaque # utilisateur dclar. UserDir public_html # DirectoryIndex: liste des fichiers daccueil par dfaut DirectoryIndex index.html index.htm index.shtml index.cgi Default.htm default.htm index.php3 # AccessFileName: nom du fichier lire dans chaque rpertoire, # pour connatre les droits daccs AccessFileName .htaccess # permet le choix dun ou plusieurs langues AddLanguage AddLanguage AddLanguage AddLanguage AddLanguage AddLanguage en fr de da el it .en .fr .de .da .el .it

LanguagePriority fr en #--------------------- Global Access Configuration ------------------# dfinit les services autoriss et leur environnement # chaque rpertoire auquel Apache a accs peut tre rpertori en # indiquant les caractristiques daccs ou dinterdiction. # Indiquer en premier les permissions par dfaut.
Dunod La photocopie non autorise est un dlit.

<Directory /> Options Indexes Includes FollowSymLinks AllowOverride None </Directory> <Directory /home> # contrle quelles options le fichier htaccess des rpertoires # peuvent prvaloir. Peut aussi bien tre All que toute combinaison # de Options, FileInfo, AuthConfig ou Limit AllowOverride All

150

5 Les serveurs http : conguration et scurisation

# Controls who can get stuff from this server. order allow,deny allow from all # autorise laccs la page server-status du serveur sur # http://servername/server-status # changer le your_domain.com pour rendre votre domaine accessible <Location /server-status> SetHandler server-status order deny,allow deny from all allow from .your_domain.com </Location> # autorise laccs aux rpertoire docs du serveur localhost Alias /doc /usr/doc <Directory /usr/doc> order deny,allow deny from all allow from .your_domain.com Options Indexes FollowSymLinks </Directory> # # # # # # There have been reports of people trying to abuse an old bug from pre-1.1days. This bug involved a CGI script distributed as a part of Apache. By uncommenting these lines you can redirect these attacks to a logging script on phf.apache.org. Or, you can record them yourself, using the script support/phf_abuse_log.cgi.

#<Location /cgi-bin/phf*> #deny from all #ErrorDocument 403 http://phf.apache.org/phf_abuse_log.cgi #</Location> <Directory /home/lohier/public_html> AuthName Rpertoire_protg AuthType Basic AuthUserFile /etc/httpd/conf/users.http Require valid-user </Directory> </Directory>

5.2

Conguration dun serveur Apache

151

#---------------------- Server Configuration ---------------------# ServerType is either inetd, or standalone. ServerType standalone # If you are running from inetd, go to "ServerAdmin". # Port: numro du port utilis Port 80 # # # # ServerName : nom permettant laccs au serveur sil est diffrent de la syntaxe "www"<nom du serveur> (ladresse IP peut tre utilise ici) Note: le nom doit tre un nom connu et reconnu des DNS

ServerName serviut #################################### # SGI Performance Settings # #################################### #################################### # Add-on Modules and Virtual Hosts # ####################################

Figure 5.2

Structure du chier de conguration httpd.conf.

a) Conguration de base

Dunod La photocopie non autorise est un dlit.

Le chier comporte six parties. Les 1re, 5e et 6e parties concernent lutilisation de modules optionnels et ne seront pas modies. En utilisant les noms de rpertoires par dfaut, rien nest modier dans le second bloc. Les congurations de base sont porter dans les 3e et 4e blocs. Le 3e bloc permet de contrler laccs des utilisateurs aux rpertoires du serveur, le 4e bloc permet de lidentier. La 1re modication effectuer est de donner un nom au serveur. Taper le nom aprs la directive ServerName . Il est possible dutiliser ladresse IP du serveur. Si un caractre # se trouve en dbut de ligne, il doit tre supprim. Ce caractre indique un commentaire. dfaut, la commande serait ignore. Exemple : ServerName serviut. partir de ce moment, le serveur existe et peut tre lanc par le menu dmarrer (dmarrer programmes apache web server start Apache as console app). Lcran de la gure 5.3 doit apparatre. cette tape, le serveur nest pas identi sur le rseau et vulnrable. Ses rpertoires sont accessibles tous. Il faut donc le scuriser. Cela consiste identier les utilisateurs devant avoir accs aux informations du serveur contenues dans le rpertoire htdocs .

152

5 Les serveurs http : conguration et scurisation

Figure 5.3

cran de la console du serveur Apache.

Dans la partie Global Access Conguration du chier httpd.conf et la suite de la directive <Directory/> aprs Options , taper : None pour interdire tous de lister les rpertoires ; Includes FollowSymLinks pour autoriser lexploitation des liens symboliques ; All pour autoriser laccs tous. Aprs AllowOverride taper : None htpaccess Fileinfo AuthConf All Aprs order taper : Allow,deny Deny, allow pour tout autoriser sauf ce qui est interdit ; pour interdire tout ce qui nest pas autoris. pas de droits daccs particuliers pour le rpertoire ; restrictions daccs dans ce chier sur les droits daccs systme ; pour respecter les droits daccs systme ; pour prendre les restrictions daccs dans le chier htaccess ; pour prendre les droits daccs uniquement dans le chier htaccess.

Dans notre exemple, les donnes ont t places dans le rpertoire www. Dans ce rpertoire, il faut placer la page daccueil (ou page par dfaut). Le nom du chier est lun de ceux lists dans le chier de conguration httpd.conf, dans la directive DirectoryIndex. Dans notre cas, il sagit de index.htm (les images seront places dans un sous-rpertoire images ).

5.2

Conguration dun serveur Apache

153

Il reste identier le serveur sur le rseau en accdant longlet identication de la fentre proprits de licne favoris rseaux . Dans le champ nom de lordinateur , il faut entrer le nom dclar pour la directive ServerName du chier httpd.conf (serviut dans notre exemple). Le serveur est maintenant prt. Pour le tester, il suft de lancer le navigateur et dentrer lURL http://serviut . Le chier index.htm doit safcher dans la fentre du navigateur (gure 5.4).

Figure 5.4

Page daccueil du site serviut .

b) Conguration personnalise
Dunod La photocopie non autorise est un dlit.

La personnalisation dun site web peut tre trs pousse. Nous porterons ltude sur la personnalisation de larborescence des rpertoires des donnes, et de laccs des utilisateurs identis. Cette conguration correspond un accs contrl pour un Intranet par exemple. Dans le cas du site serviut , laccs aux pages administration et dpartement informatique sera contrl par mot de passe. La description est prsente dans ltude de cas 1 en n de chapitre. Laccs un rpertoire est contrl par deux chiers .htaccess et .htpasswd . le premier est plac dans le rpertoire contrler, le second dans un rpertoire spcique. Ces chiers sont des chiers textes. La structure du chier .htaccess est la suivante : AuthUserFile c:\programmes\easyphp1-7\www\logins\admin\.htpasswd

154

5 Les serveurs http : conguration et scurisation

AuthGroupFile /dev/null AuthName "accs protg" AuthType Basic <LIMIT GET POST> Require valid-user </LIMIT>

AuthName est le libell qui sera afch dans la fentre de dialogue lors de lauthentication. AuthType dni le type dauthentication. Avec la valeur basic , celle-ci correspondra un simple encodage. AuthUserFile est le chier contenant le nom des utilisateurs qui ont le droit daccder au rpertoire ainsi que les mots de passe crypts (ce chier peut-tre cre laide du programme htpasswd ). Require permet dactiver le contrle daccs. Avec la valeur valid_user , le chier dni par AuthUserFile sera utilis. Ce chier peut tre cr avec un simple diteur de texte (sous Windows, le nom de sauvegarde doit avoir une extension .txt ; il faudra renommer le chier). Il est possible dutiliser une liste dutilisateurs (directive AuthUserFile ) ou de groupes (directive AuthGroupFile ). Le nom et le chemin daccs au chier contenant la liste des utilisateurs autoriss et leur mot de passe est indiqu en paramtre. Le chier .htpasswd sera cr sous Dos par la commande htpasswd se trouvant dans le rpertoire apache\bin. Lexemple dtaill dans ltude de cas 1 en n de chapitre donne la procdure. Une fois ces chiers crs, un clic sur le lien provoquera lafchage dune fentre demandant le nom dutilisateur et le mot de passe (gure 5.5).

Figure 5.5

Fentre daccs contrl au rpertoire admin .

5.2

Conguration dun serveur Apache

155

5.2.2 Exploitation sous Linux Utilis avec le systme dexploitation Linux ou Unix, le logiciel serveur Apache est immdiatement oprationnel aprs installation, il utilise les rpertoires suivants : le programme serveur httpd (daemon http) est install dans /usr/sbin ; les chiers de conguration sont rangs dans /etc/httpd/conf ; les pages HTML sont ranges dans /home/httpd/html ou /var/www/html dans les dernires versions ; les programmes CGI sont placs dans /home/httpd/cgi-bin ou /var/www/cgi-bin; le rpertoire /etc/httpd/logs (ou var/log/httpd) contient les chiers log du serveur (journal daccs et journal derreurs) ; le rpertoire /usr/lib/apache contient tous les modules utilisables par Apache (un module est une extension logicielle Apache, lui permettant par exemple dinterprter le langage php) Comme pour la plupart des programmes sous Unix ou Linux, la conguration passe par ldition et la modication de chiers textes laide dun diteur de type bloc-note fonctionnant exclusivement en mode texte ou ASCII . Il existe cependant quelques programmes en mode graphique qui rendent plus simple la conguration dApache (utilitaire standard Netconf ou programme tlchargeable Comanche ), ceux-ci ne sont en fait quune interface graphique rajoute modiant les chiers de conguration utiliss par le daemon http. Comme pour une installation sous Windows, le chier de conguration /etc/httpd/ conf/httpd.conf est le chier principal de conguration du programme serveur http il spcie les attributs gnraux du serveur. Les diffrentes directives de ce chier sont dcrites dans laide en ligne, rubrique Run-Time Conguration Directives. Lors dune modication de directive, il est parfois ncessaire de redmarrer le serveur : /etc/rc.d/init.d/httpd restart. Le chier de conguration /etc/httpd/conf/srm.conf concerne les ressources du serveur et leur localisation (ce chier est intgr dans la partie Name Space and Server Setting du chier httpd.conf partir de la version 1.3 de Apache). Cest notamment dans cette partie que seront congurs les chemins daccs au rpertoire par dfaut et aux pages personnelles des usagers du serveur. Trois directives, en autres, permettent ces congurations : DocumentRoot /home/httpd/html UserDir public_html DirectoryIndex index.html index.htm index.shtml index.cgi Default.htm default.htm index.php3 La premire prcise le rpertoire daccs par dfaut associ un URL du type http://myserver.net. La deuxime donne le nom du sous-rpertoire crer dans le rpertoire utilisateur /home/username associ un URL du type : http://myserver.net/~username (avec

Dunod La photocopie non autorise est un dlit.

156

5 Les serveurs http : conguration et scurisation

lexemple donn un tel URL permettra datteindre directement la page par dfaut du rpertoire /home/username/public_html). La troisime donne le nom de ou des pages par dfaut situes dans le rpertoire par dfaut ou les rpertoires utilisateurs. Pour adresser une autre page, il sera ncessaire de le prciser dans lURL du client : http://myserver.net/otherpage.htm. Le dernier chier de conguration /etc/httpd/conf /access.conf contrle les accs aux diffrents rpertoires du serveur http (ce chier est intgr dans la partie Global Access Conguration du chier httpd.conf partir de la version 1.3 de Apache). Les directives sont comprises entre deux balises douverture et de fermeture des rpertoires concerns. Par exemple : <Directory /home/httpd/cgi-bin> AllowOverride None Options ExecCGI </Directory> Les diffrentes directives sont dcrites dans laide en ligne du serveur Apache. La directive AuthUserFile permet en particulier dimposer un nom dutilisateur et un mot de passe pour laccs authenti un rpertoire ou un chier, comme dtaill dans ltude de cas.

5.3

CONFIGURATION DUN SERVEUR IIS

Linstallation des services Internet se fait par ajout/suppression de composant windows (accessible par le panneau de conguration). Il faut cocher les Services Internet, puis dans la liste de ces services (cliquer sur le bouton dtails ) cocher le serveur World Wide Web (gure 5.6). Une fois le service install, il faut congurer le serveur web en utilisant le gestionnaire des services Internet des outils dadministration . La conguration est accessible partir des proprits du serveur web par dfaut (slectionner proprits aprs un clic droit en pointant serveur web par dfaut ). La premire tape consiste attribuer un nom et une adresse IP au site web. Ces paramtres se situent dans longlet site web comme lindique la gure 5.7. Il faut ensuite indiquer le rpertoire o se trouvent la page daccueil, et les chiers par dfaut. Ces informations sont disponibles dans les onglets rpertoire de base et documents (gure 5.8). Dans ce rpertoire, il faut placer la page daccueil (ou page par dfaut). Le nom du chier est lun de ceux lists dans longlet documents. Dans notre cas, il sagit de index.htm (les images seront places dans un sous-rpertoire images ). Le serveur est maintenant prt. Pour le tester, il suft de lancer le navigateur et dentrer lURL http://serviut . Le chier index.htm doit safcher dans la fentre du navigateur (gure 5.4).

5.3

Conguration dun serveur IIS

157

Figure 5.6

Installation des services Internet.

Dunod La photocopie non autorise est un dlit.

Figure 5.7

Conguration du serveur web 1re tape.

158

5 Les serveurs http : conguration et scurisation

Figure 5.8

Conguration du serveur web 2e tape.

5.4

SCURISATION DUN SERVEUR HTTP

5.4.1 Pourquoi scuriser ? Dans le monde professionnel, il ne faut jamais oublier que les donnes et les informations sont souvent plus prcieuses que les applications. Ds que le rseau dentreprise souvre au monde extrieur en se connectant Internet, il peut tre lobjet de malveillances. Deux types de problmes peuvent se poser : les attaques destructives des donnes et applications de la part de hackers ; les surveillances et coutes dues une veille conomique pousse. Les attaques consistent trouver un point dentre sur un systme informatique, le plus souvent partir dun accs distant, en dcouvrant une identit et un mot de passe. Tous les systmes informatiques connects au rseau Internet ont un ou plusieurs points faibles.

5.4

Scurisation dun serveur http

159

Plusieurs modles ou niveaux de scurit existent : la scurit par lobscurit : le systme est sr car personne ne le connat ; la scurit par lhte : chaque machine est scurise un certain niveau (serveurs ou stations avec ncessit dauthentication la connexion, protections locales et sur laccs aux ressources, cryptage interne des donnes) ; la scurit par le rseau : laccs lensemble des ressources du rseau est protg par un coupe-feu (rewall) ou un ltre applicatif charg de ltrer les accs et de scuriser les donnes qui circulent. Le paragraphe 5.4.2, Scurisation du serveur, donne quelques exemples de scurisation par lhte, en loccurrence un serveur web. Le paragraphe 5.4.3, Utilisation dun coupe-feu montre comment utiliser et mettre en uvre un coupe-feu ou un ltre applicatif dans une architecture de rseau dentreprise. Par ailleurs, les surveillances et coutes sont facilites par le fait que les informations circulant sur les rseaux Internet sont accessibles tout le monde. Se prmunir contre ce problme implique la scurisation des changes, en posant cinq questions : la condentialit : linformation est crypte et ne peut tre dchiffre que par le destinataire ; lauthentication : source et destinataire de linformation sont identis ; le contrle daccs : les interlocuteurs nont accs quaux informations qui leur sont destines ; lintgrit : les donnes reues nont pas t altres ou modies pendant la transmission ; la non-rpudiation : lchange dinformations a bien eu lieu. Les serveurs web peuvent rpondre aux deux premires questions avec le protocole HTTPS (Hyper Text Transmission Protocole Secure) sappuyant sur le protocole SSL (Secure Sockets Layer), dont les principes et la mise en uvre sur Internet Information Server sont prsents au paragraphe 5.4.4, Utilisation dune connexion scurise avec HTTPS/SSL. 5.4.2 Scurisation du serveur
Dunod La photocopie non autorise est un dlit.

a) Apache

Au niveau des ressources, il est possible, comme pour toute application sous Linux ou Windows, de renforcer les droits (lecture, criture) sur les rpertoires et chiers utiliss (rpertoire /var/www/html, chier index.html ) pour lutilisateur par dfaut se connectant sur le serveur (utilisateur anonyme) ou pour dautres utilisateurs. Au niveau des protocoles, pour une version dApache installe sur un serveur Linux, il est possible de mettre en place un certain nombre de ltres par adresse IP, par port TCP ou par application. Loutil logiciel utilis dans ce cas est gnralement ipchains en mode commande ou dans une version graphique. Le fonctionnement et la syntaxe dipchains sont dcrits dans le paragraphe 5.4.3, Utilisation dun

160

5 Les serveurs http : conguration et scurisation

coupe-feu. Pour illustrer son utilisation dans le cadre dune scurisation de serveur web, lexemple ci-dessous correspond aux commandes utilises pour interdire la rception de courrier (port 25 SMTP) et la consultation de certaines pages : www.sexe.com pour toutes les adresses du rseau local et http://games.net seulement pour les adresses du rseau local commenant par 192.168.61. $ IPCHAINS -A input -i eth1 p TCP -s 0/0 -d 192.168.1.9 25 -l -j REJECT $ IPCHAINS -A output -i eth1 -s 0/0 -d www.sexe.com -l -j REJECT $ IPCHAINS -A output -i eth1 -s 192.168.61.0/24 -d games.net -l -j REJECT
b) IIS

Sous Windows galement, la scurisation daccs au serveur ou un rpertoire de donnes suit les mmes rgles que la scurisation des rpertoires dun disque. Les droits daccs sont dnis pour des listes dutilisateurs, des groupes et des domaines dnis dans Windows 2000.

Figure 5.9

Scurisation de laccs un rpertoire.

Longlet Scurit de rpertoire de la fentre des proprits du rpertoire admin permet de dnir les utilisateurs ou groupes dutilisateurs ayant accs aux donnes situes dans ce rpertoire (gure 5.9).

5.4

Scurisation dun serveur http

161

5.4.3 Utilisation dun coupe-feu


a) Coupe-feu sous Linux

Ipchains est le principal outil logiciel sous Linux permettant de ltrer les paquets. Il intervient au niveau de la pile IP pour contrler quelles machines peuvent se connecter sur votre serveur, sur quels ports (ltrage entrant), mais aussi quelle machine du rseau peut aller sur tel serveur extrieur (ltrage entrant et sortant). Ipchains est galement utilis pour faire du masquerading , cest--dire pour masquer de lextrieur les adresses IP de votre rseau local ; celles-ci pouvant ventuellement tre prives (adresses de type 192.168.x.x pour une classe C par exemple) si vous souhaitez isoler votre rseau de lextrieur pour des raisons de scurit, de manque dadresses publiques ou encore pour partager une connexion Internet en utilisant une seule adresse IP. Ipchains remplace ipfwadm dans les versions actuelles de Linux et sera remplac par netlter partir de la version 2.4 du noyau.
Principe du ltrage

Suivant la position sur le rseau et le rle de votre coupe-feu, il faut dnir les rgles de ltrage mettre en pace (gure 5.10). Un paquet entrant sur une machine (INPUT) peut tre accept, (ACCEPT), rejet (REJECT) ou dni (DENY). Lors dun rejet, lexpditeur est prvenu que son paquet a t refus, ce qui nest pas le cas avec un dni. Une fois le paquet arriv sur la machine, il peut tre transfr (FORWARD) sur une autre interface rseau. Enn arriv sur cette deuxime interface (OUTPUT), il peut tre autoris ou non poursuivre vers le rseau priv. Dans le mode FORWARD on dispose dune option supplmentaire pour le masquerading (MASQ), ce qui permet de masquer les adresses IP des machines se trouvant dans le rseau local.

Paquets http
Dunod La photocopie non autorise est un dlit.

http http

INPUT Internet

FORWARD

OUTPUT

INPUT

DENY http REJECT Coupe-feu Station Station Serveur

Figure 5.10

Exemple de ltrage Ipchains.

162

5 Les serveurs http : conguration et scurisation

La conguration du ltrage laide du programme ipchains peut se faire en ligne de commande. Pour chaque chane de ltrage de type INPUT , OUTPUT ou FORWARD , diffrentes rgles peuvent tre ajoutes au dbut ou la n de la chane. La syntaxe est la suivante : ipchains -A|I chane -i interface -p protocole -s adresse source port -d adresse destination port -j police l
TABLEAU 5.3
A chane I chane -i interface -p protocole Ajoute une rgle la n dune chane de type INPUT, OUTPUT ou FORWARD. Ajoute une rgle au dbut dune chane. Indique linterface rseau (eth0, eth1, ppp0, Io). Indique le protocole (TCP, UDP, ICMP, ALL). Indique ladresse source du paquet (0.0.0.0/0 pour nimporte quelle origine ; 192.168.0.0/24 pour un rseau 192.168.0.0 avec un masque sur 24 bits). Indique le ou les ports concerns (sous forme www ou 80). Indique ladresse destination et le port. Indique la rgle applique aux paquets : ACCEPT, DENY, REJECT ou MASQ pour une chane de type forward. Permet de vrier que les paquets dinitialisation de la connexion viennent de la source ( ! y dans lautre sens). Message dans le chier /var/log/messages lorsque la rgle est satisfaite.

-s adresse source port

-d adresse destination port

-j police

-y

-l

Exemples de rgles : ipchains -I input -s 0.0.0.0/0 -p icmp -j DENY ipchains -A input -p tcp -y -i eth0 -s 192.168.1.45 -d 192.168.1.20 www j ACCEPT La premire rgle est place au dbut de la chane et interdit tous les ping entrants (les paquets dcho envoys suite une commande ping sont gnrs par le protocole ICMP). La deuxime rgle est place la n de la chane et autorise une connexion venant de la machine 192.168.1.45 vers le serveur web 192.168.1.20. Pour simplier la mise en place des diffrentes rgles, il est recommand dutiliser un chier script que lon pourra modier simplement laide dun diteur. Il est galement possible dutiliser des constantes an de rendre la lecture du chier plus simple (gure 5.11).

5.4

Scurisation dun serveur http

163

# Shell utilis #!/bin/sh # Emplacement de lexcutable IPCHAINS=/sbin/ipchains # Dfinition des constantes LOCALNET="192.168.1.0/24" ETHINSIDE="192.168.1.1" ETHOUTSIDE="193.251.53.1" LOOPBACK="127.0.0.1/8" ANYWHERE="0/0"

# # # #

le rseau priv de lentreprise exemple dadresse IP interne exemple dadresse IP publique adresse de bouclage

# Effacement de toutes les rgles avant den installer de nouvelles $IPCHAINS F # # # # # Masquage des paquets destination de lextrieur; ne pas masquer les paquets local vers local Pour pouvoir utiliser le masquerading, Il faut vrifier que le forwarding est activ (ligne forward_ipv4=yes dans le fichier /etc/sysconfig/network)

$IPCHAINS -A forward -s $LOCALNET -d $LOCALNET -j ACCEPT $IPCHAINS -A forward -s $ETHOUTSIDE -d $ANYWHERE -j ACCEPT $IPCHAINS -A forward -s $LOCALNET -d $ANYWHERE -j MASQ # Dfinition $IPCHAINS -A $IPCHAINS -A $IPCHAINS -A des rgles de filtrage: input -s $LOCALNET -j ACCEPT input -s $LOOPBACK -j ACCEPT input -s $ETHOUTSIDE -j ACCEPT

# Refuser tout paquet venant de lextrieur et ayant une adresse # interne, pour viter lIP Spoofing: $IPCHAINS -A outside -s $LOCALNET -j DENY $IPCHAINS -A outside -s $LOOPBACK -j DENY
Dunod La photocopie non autorise est un dlit.

# Aucun paquet venant de lextrieur ne doit pntrer sur le rseau # local, parce qu lextrieur, personne nest suppos connatre # la plage dadresses prive interne: $IPCHAINS -A outside -d $LOCALNET -j DENY # Refuser # sur TCP $IPCHAINS $IPCHAINS $IPCHAINS $IPCHAINS les connexions externes ou UDP: -l -A outside -p TCP -s -l -A outside -p TCP -s -l -A outside -p UDP -s -l -A outside -p UDP -s vers les ports NFS (111 et 2049), $ANYWHERE $ANYWHERE $ANYWHERE $ANYWHERE -d -d -d -d $ANYWHERE $ANYWHERE $ANYWHERE $ANYWHERE 111 -j DENY 2049 -j DENY 111 -j DENY 2049 -j DENY

164

5 Les serveurs http : conguration et scurisation

# Ne pas surcharger le port 80 TCPen vitant les connexions # extrieures sur ce port : $IPCHAINS -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 80 -j DENY # Accepter les connexions FTP (ports 20 et 21): $IPCHAINS -A outside -p TCP -s $ANYWHERE 20:21 -d $ANYWHERE 1024: -j ACCEPT # Accepter les paquets SSH dadministration distance: $IPCHAINS -A outside -p TCP -s $ANYWHERE -d $ANYWHERE ssh -j ACCEPT # Accepter les paquets DNS venant de lextrieur(port 53 TCP et # UDP) : $IPCHAINS -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 53 -j ACCEPT $IPCHAINS -A outside -p UDP -s $ANYWHERE -d $ANYWHERE 53 -j ACCEPT # Accepter tout le trafic SMTPsur le port 25 uniquement : $IPCHAINS -A outside -p TCP -s $ANYWHERE -d $ANYWHERE 25 -j ACCEPT # Empcher le ping des stations extrieures votre rseau local # sur celui-ci : $ IPCHAINS -A input -b -i eth0 -p icmp -s 0/0 -d 0/0

Figure 5.11

Exemple de script.

Les interfaces graphiques krewall (fournie avec lenvironnement graphique KDE) ou gfcc (disponible en version libre sur Internet) permettent une conguration plus aise des ltres mais elles ne font au nal que traduire en commandes ipchains les options choisies graphiquement (gure 5.12).

Figure 5.12

Interface graphique gfcc pour Linux.

5.4

Scurisation dun serveur http

165

b) Coupe-feu sous Windows

Comme pour Linux, un coupe-feu logiciel peut tre install sur le serveur web. Cet outil est dcrit au paragraphe 4.3.3.
c) Coupe-feu CISCO

Le coupe-feu CISCO PIX 506 est muni de deux interfaces Ethernet, lune vers le rseau local, lautre vers Internet ou un autre rseau local. Dans un premier temps, il convient de connecter une console sur le port srie standard pour effectuer les congurations de base (activation des interfaces Ethernet, cration des adresses IP et des masques, nom du coupe-feu, adresse IP de la station utilise pour ladministration). La conguration des rgles de ltrage se fait ensuite partir dune station connecte sur laquelle un navigateur est lanc avec comme URL celui du coupe-feu. Aprs saisie du nom dutilisateur et du mot de passe, le PIX 506 dlivre la station une page web avec le logiciel graphique de conguration Cisco PIX Device Manager . Dans lexemple de la gure 5.13, la rgle mise en place spcie les machines autorises ouvrir une connexion scurise avec le protocole HTTPS.

Dunod La photocopie non autorise est un dlit.

Figure 5.13

Interface graphique du coupe-feu CISCO PIX506.

5.4.4 Utilisation dune connexion scurise avec HTTPS/SSL


a) Cryptage et authentication

La scurisation de la connexion consiste crypter les donnes transmises et/ou authentier le serveur et/ou le client. Le cryptage est assur par le protocole SSL, sollicit par le protocole HTTPS. Larchitecture des protocoles est prsente gure 5.14.

166

5 Les serveurs http : conguration et scurisation

niveau application niveau transport niveau rseau

HTTP

FTP

IMAP

FTPS

HTTPS

Secure Socket Layer TCP IP


Architecture du protocole TCPIP + SSL.

Figure 5.14

Le protocole SSL autorise plusieurs mthodes de cryptage parmi lesquelles la mthode RSA (Rivest-Shamir-Aldeman). Ces mthodes utilisent le cryptage par cl publique/cl prive. Au moment de la connexion, le serveur envoie au client la cl publique (trame 2 de la gure 5.15). Le client se sert de cette cl pour crypter les donnes. Il envoie un message cod de test avec une signature (trames 3 et 4 de la gure 5.15). Le serveur retourne la signature quil a calcule pour valider le cryptage (trame 5 de la gure 5.15). Lchange des donnes cryptes peut alors commencer.

client

Serveur http www.laudanum.fr appel : ID + codage (RSA, RC4/40,...) accord : ID + cl publique message cod

signature (message+appel+accord) signature + fin d'appel

change cod

Figure 5.15

Dialogue dinitialisation dune connexion scurise par cryptage SSL.

5.4

Scurisation dun serveur http

167

Cette scurisation prsente une lacune importante. Les entits client dune part et serveur dautre part ne sont pas authenties. Le client na pas la possibilit de vrier que la cl reue provient bien du serveur vis. De la mme manire, le serveur ne peut vrier lidentit du client qui se connecte. Cest la raison pour laquelle le cryptage est souvent associ un certicat. Deux types de certicats existent : les certicats autognrs et les certicats gnrs par une autorit de certication (Certication Authority ou Root CA). Le premier type de certicat est produit par le serveur dune part, par le navigateur ct client dautre part. Les informations sont dites sous la responsabilit des deux entits qui en certient la validit. Le format de certicat le plus utilis est le certicat X.509. Un modle de certicat est prsent gure 5.18. Bien sr, un intrus peut gnrer un faux certicat quil adressera au client pour se substituer au serveur (web spoong). Pour augmenter la scurit, le serveur, comme le client, peut demander une autorit de certication de gnrer le certicat. Le serveur utilise en gnral un URL de type https://www.serveur.domaine. Dans ce cas, le dialogue de connexion comportera une phase dauthentication comme le montre la gure 5.16.

client Serveur d'authentification appel : ID + codage (RSA, RC4/40,...) accord : ID + certificat demande de CA CA demande de CA (optionnel) CA du client
Dunod La photocopie non autorise est un dlit.

Serveur https www.laudanum.fr

message cod signature (message+appel+accord) signature + fin d'appel

change cod

Figure 5.16

Dialogue dinitialisation dune connexion scurise avec authentication.

168

5 Les serveurs http : conguration et scurisation

Le dialogue commence par une requte du client au serveur contenant une chane de caractres (mot dappel) et le type de codage qui sera utilis. Le serveur rpond en renvoyant la chane de caractres, la cl publique et un certicat. Celui-ci contient ladresse dun serveur de certication. Le client envoie cette adresse une requte contenant les informations fournies par le serveur (gure 5.17).

Certificate Request: Data: date ddition Version: 0 (0x0) Subject: C=FR, ST=Paris, L=Paris, O=IUT, OU=serveur, CN=www.serveur.iut.fr/Email=webmaistre@iut.fr identit du demandeur Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) type de cryptage Modulus (1024 bit): 00:ac:45:e8:2a:6d:23:bc:2e:86:ee:d5:a0:e3:3b: cl publique 55:c0:b2:96:41:8e:d1:c2:17:c3:2c:8b:be:c0:a5 d5:a2:ed:11:d9:e1:8c:8e:99:9c:05:59:28:23:8d: 8a:aa:a8:0d:de:47:ee:ac:b5:7f:73:4b:e0:15:c2: ed:40:d0:0f:d4:c2:0a:b6:7e:80:a5:4c:a6:a5:15: c5:b4:82:fc:53:18:c7:7c:3a:bd:48:ba:37:f6:99: 7c:57:fe:77:92:cf:ef:93:97:5e:2b:34:b1:aa:c3: af:fd:ed:ef:df:e5:fc:c5:1b:b5:64:15:13:2d:42: 31:6c:0e:b0:e6:96:81:9c:83 Exponent: 65537 (0x10001) Attributes: a0:00 Signature Algorithm: md5WithRSAEncryption signature du 68:49:0b:f0:fc:59:42:8c:7d:ba:01:f8:69:e1:1e:e6:9b:3f: certificat ad:3b:c3:9e:2f:eb:49:3c:dd:f7:dc:d5:74:e2:24:a5:ae:89: 27:a2:9f:4f:9a:a6:54:39:de:57:a5:9d:cf:c4:35:96:c0:27: 29:45:ad:3d:3c:80:03:d4:e8:35:c2:1c:e9:fa:3c:09:25:93: 1c:1b:0f:48:1e:f9:12:85:2a:a2:5c:56:d2:6c:28:70:69:7f: eb:40:30:af:55:a9:e9:aa:f8:f8:1e:c7:f1:a1:e1:be:64:73: a0:28
Figure 5.17
Exemple de demande de certicat.

Aprs vrication de la validit du certicat demand, lautorit de certication retourne celui-ci au client qui le comparera celui reu du serveur. Il saura alors si la cl de cryptage peut tre utilise (gure 5.18).

5.4

Scurisation dun serveur http

169

Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: md5WithRSAEncryption Issuer: OU=Certificate Authority /Email=

date ddition

identit de lautorit de certification

Dunod La photocopie non autorise est un dlit.

Validity Not Before: Mar 26 13:53:26 2002 GMT date de dbut de validit Not After : Mar 26 13:53:26 2003 GMT date de fin de validit Subject: C=FR, ST=Paris, L=Paris, O=IUT, OU=serveur, CN=www.serveur.iut.fr/Email=webmaistre@iut.fr identit du demandeur Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) type de cryptage Modulus (1024 bit): 00:ac:45:e8:2a:6d:23:bc:2e:86:ee:d5:a0:e3:3b: cl publique 55:c0:b2:96:41:8e:d1:c2:17:c3:2c:8b:be:c0:a5: d5:a2:ed:11:d9:e1:8c:8e:99:9c:05:59:28:23:8d: 8a:aa:a8:0d:de:47:ee:ac:b5:7f:73:4b:e0:15:c2: ed:40:d0:0f:d4:c2:0a:b6:7e:80:a5:4c:a6:a5:15: c5:b4:82:fc:53:18:c7:7c:3a:bd:48:ba:37:f6:99: 7c:57:fe:77:92:cf:ef:93:97:5e:2b:34:b1:aa:c3: af:fd:ed:ef:df:e5:fc:c5:1b:b5:64:15:13:2d:42: 31:6c:0e:b0:e6:96:81:9c:83 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Alternative Name: email:tron_yoyo2000@yahoo.fr Netscape Comment: mod_ssl generated test server certificate Netscape Cert Type: SSL Server Signature Algorithm: md5WithRSAEncryption signature du 86:c3:0c:0b:49:d1:29:93:03:de:51:f8:99:64:a7:25:3d:78: certificat a8:20:41:a7:32:8a:c3:02:6a:6b:66:c8:00:9d:49:18:54:11: 6d:5c:c1:c9:69:d8:42:e5:b7:2a:95:f3:ad:11:97:29:65:bc: a2:83:e9:ff:5f:eb:9e:2d:28:82:69:13:67:0d:1d:20:80:82: 68:a6:f8:a7:8b:ec:02:0c:8c:a2:c9:56:13:87:ce:fb:58:3c: e2:b6:44:35:37:55:0b:4b:e7:7a:13:cc:d6:f4:59:b5:ab:15: 05:a0:e4:2f:41:cd:53:db:85:5f:90:a3:2d:83:d7:1e:b4:1c: 35:17

Figure 5.18

Exemple de certicat dlivr.

170

5 Les serveurs http : conguration et scurisation

b) Mise en uvre du cryptage sous Windows

Lencryptage/dcryptage est assur par lutilitaire SCHANNEL.DLL se trouvant dans le rpertoire windows/system32. Cet utilitaire doit tre charg ct client ET ct serveur. Pour mettre en uvre le cryptage dans Internet Explorer, il faut slectionner le menu outils et loption options Internet . Dans longlet avancs la section scurit permet de valider les protocoles de cryptage SSL 2.0 et SSL 3.0 (gure 5.19).

Figure 5.19

Validation des protocoles de cryptage SSL.

Internet Explorer propose plusieurs algorithmes de cryptage, diffrents suivant les versions et les mises jour utilises. La procdure dactivation pour Windows NT et Windows 2000 est dcrite dans la notice technique Q245030 disponible sur le site Microsoft. Pour connatre le type de cl utilisable, il suft de lancer le navigateur et de slectionner, dans le menu ? , loption propos de . La taille de la cl se trouve dans la fentre (gure 5.20). Lorsquune connexion scurise par cryptage est tablie, le navigateur afche un symbole reprsentant un cadenas droite dans la barre dtat (gure 5.21).

5.4

Scurisation dun serveur http

171

Figure 5.20

Description des cls de cryptage utilises par Internet Explorer.

Figure 5.21

Identication dune connexion scurise par cryptage.

c) Scurisation dun serveur web par authentication


Dunod La photocopie non autorise est un dlit.

Mise en place dune autorit de certication prive (Certicat Root CA)

Le service ncessaire est Certicate Server. Il peut tre install sous Windows 2000 Server partir de la fentre ajout/suppression de programmes , comme le montre la gure 5.22. Une fois le service install, Windows 2000 ajoute automatiquement lautorit de certication Root CA la liste sous le nom du serveur sur lequel il est install. La liste des autorits de certication est accessible par le menu outils du navigateur Internet Explorer en slectionnant loption options Internet . Dans la fentre, slectionner longlet contenu et cliquer sur certicats . La liste des autorits de certication se trouve dans longlet autorits principales de conance . Il faut ensuite que le serveur web demande un certicat lautorit de certication cre.

172

5 Les serveurs http : conguration et scurisation

Figure 5.22

Installation du service Certicate Server .

Cette opration comprend quatre phases : 1. Cration dune demande de certicat. 2. Envoi de la demande au serveur de lautorit de certication. 3. Tlchargement du certicat cr. 4. Installation sur le serveur du certicat tlcharg. La procdure est dtaille dans ltude de cas 2 en n de chapitre.
Mise en place dune scurisation par authentication sur le client

Des serveurs scuriss demandent au client qui se connecte de fournir un certicat. Un client peut obtenir un certicat personnel auprs dorganismes de certication. Des organismes proposent des certicats gratuits ou des certicats de test dure limite. Parmi ceux-ci, Certplus (http://www.certplus.com) le CNRS (http://igc. services.cnrs.fr/CNRS-Standard/certicats.html) et Certinomis (http://www.certinomis.com), liale du groupe La Poste. Lobtention dun certicat se fait en trois phases : 1. Demande de certicat lautorit de certication. 2. Envoi dun avis de retrait du certicat par lautorit de certication. 3. Installation du certicat sur le poste du client. La procdure est dtaille dans ltude de cas 2 en n de chapitre.

Rsum

173

Rsum

1. Choix dun serveur http dans larchitecture matrielle dun serveur, le nombre de processeurs, la capacit de la mmoire et sa rapidit seront plus importants que sa capacit graphique ou multimdia ; la scurit du stockage des donnes est galement un point important ; la technologie RAID (Redondant Array of Inexpensive Disks) rpartit les donnes dun chier sur plusieurs disques. 2. Conguration dun serveur Apache la conguration utilise le chier texte httpd.conf qui sera modi laide dun diteur ; la 1re modication consiste donner un nom au serveur par la directive ServerName ; il est necessaire de faire correspondre le nom donn au serveur et rfrenc par DNS avec le nom dclar pour la directive ServerName ; il faut placer la page daccueil dans le rpertoire par dfaut ; laccs un rpertoire est contrl par deux chiers .htaccess et .htpasswd ; pour le reste, le chier httpd.conf est organis en deux parties : la premire concerne les ressources du serveur et leur localisation ; la deuxime permet le contrle des accs aux diffrents rpertoires du serveur http. 3.Conguration dun serveur IIS linstallation des services Internet se fait par ajout/suppression de composant Windows ; la premire tape consiste attribuer un nom et une adresse IP au site web ( proprits , site web ) ; il faut ensuite indiquer le rpertoire o se trouvent la page daccueil et les chiers par dfaut ( proprits , rpertoire de base et documents ).
Dunod La photocopie non autorise est un dlit.

4. Scurisation dun serveur http la scurit peut sobtenir par lobscurit, par lhte ou par le rseau ; les cinq questions de la scurisation des changes sont : la condentialit, lauthentication, le contrle daccs, lintgrit et la non-rpudiation ; un serveur Apache ou IIS sous Linux ou Windows est scuris au niveau des ressources en utilisant les droits des utilisateurs, groupes et ventuellement domaines de Windows ; un serveur Apache sous Linux peut tre scuris au niveau protocole, par ltrage dadresses IP ou de port avec loutil ipchains ; le pare-feu, plac entre le rseau local et Internet, ltre les paquets entrant et sortant partir dune liste de rgles ;

174

5 Les serveurs http : conguration et scurisation

les paquets qui ne sont pas autoriss traverser le pare-feu par lune des rgles sont rejets ; les pare-feu spcialiss (exemple CISCO PIX506) se congurent partir dun ordinateur connect par le rseau, par un port USB ou une liaison srie ; la scurisation dun serveur passe par le cryptage des donnes transmises et/ou lauthentication du serveur et/ou du client ; le cryptage des donnes est assur par le protocole SSL ; avant la transmission, serveur et station changent la cl de cryptage et testent la transmission crypte ; les certicats autorisent lauthentication du serveur et/ou du client ; les certicats peuvent tre autognrs ou gnrs par une autorit de certication ; le client reoit la cl et le certicat du serveur et demande un certicat lautorit de certication pour vrier la validit de la cl ; le service de certication doit tre install sur Windows 2000 Server (fentre ajout/suppression de programmes ) pour crer une demande de certicat ; lautorit de certication cre le certicat rception de la demande envoye par le serveur ; client et serveur tlchargent le certicat auprs de lautorit et linstallent sur leur ordinateur.

QCM

175

QCM
Une version lectronique et interactive est disponible sur le site www.dunod.com. 1. Choisir un serveur http
Q1. Quelles caractristiques sont importantes dans un serveur ? a) le nombre de processeurs b) la capacit mmoire c) la qualit de lcran d) la carte graphique e) le stockage f) la sauvegarde Q2. La technique RAID permet le stockage dun chier (plusieurs rponses) : a) sur plusieurs disques b) sur plusieurs partitions c) en deux exemplaires d) avec des contrles derreur

2. Conguration dun serveur Apache


Q3. La conguration dun serveur Apache se fait dans le chier : a) autoexec.bat b) cong.htm c) cong.sys d) httpd.conf e) .htaccess f) .htpasswd Q4. Le contrle daccs un rpertoire dun serveur Apache utilise les chiers : a) autoexec.bat b) cong.htm c) cong.sys d) httpd.conf e) access.conf f) passwd.conf

3. Conguration dun serveur IIS


Q5. La conguration dun serveur web IIS utilise : a) le chier autoexec.bat c) le gestionnaire des services Internet b) le chier cong.sys d) le navigateur web

Q6. Parmi les paramtres intervenant dans la conguration du serveur IIS se trouvent : a) le nom du chier par dfaut b) ladresse IP du serveur c) le type de rseau utilis d) lemplacement du chier httpd.conf

4. Scurisation dun serveur http


Dunod La photocopie non autorise est un dlit.

Q7. Les attaques de sites web consistent : a) trouver un point dentre sur le serveur b) utiliser un ordinateur sans autorisation c) modier la conguration dune station Q8. Quels problmes rsout le cryptage des transmissions de donnes ? a) la condentialit b) lauthentication c) le contrle daccs d) lintgrit e) la non-rpudiation Q9. Sur un serveur Apache, loutil logiciel ipchains sert paramtrer : a) la conguration rseau b) la mise jour du site web c) larborescence des pages du site d) le ltrage de paquets

176

5 Les serveurs http : conguration et scurisation

Q10. Sur un serveur IIS, le contrle de laccs aux pages web utilise : a) le chier httpd.conf b) le chier cong.sys c) le chier .htaccess d) les rgles du pare-feu e) les rgles de Windows f) le chier .htpasswd Q11. Dans une entreprise utilisant un seul pare-feu, son efcacit sera maximale plac : a) entre le serveur de compte et le serveur web b) entre laccs Internet et le serveur de compte c) entre laccs Internet et le routeur daccs au rseau local d) entre les stations du service nancier et le serveur web Q12. Le pare-feu ltre les paquets (plusieurs rponses) : a) entrant sur le rseau local b) circulant sur le rseau local c) sortant du rseau local d) changeant de sous-rseau Q13. Le rejet dun paquet par un pare-feu se fait par consultation : a) de la destination du paquet b) de lURL transporte c) de lapplication de destination d) du nom de la station source Q14. Le protocole SSL est un protocole de niveau : a) physique b) liaison c) rseau d) transport e) session f) application Q15. Pour une transmission scurise de donnes, un certicat autorise : a) la condentialit b) lauthentication c) le contrle daccs d) lintgrit e) la non-rpudiation Q16. Pour une transmission crypte de donnes, une autorit de certication sert : a) crer la cl de cryptage b) de point de transit des donnes c) donner le droit dutilisation de la cl d) contrler la validit de la cl Q17. Avant lenvoi dune demande une autorit de certication, le serveur doit : a) crer la cl de cryptage b) envoyer la cl au client c) installer la cl sur le serveur d) demander une cl de cryptage au client

Exercices

177

Exercices
(*) : facile(**) : moyen(***) : difcile
Corrigs la n du livre et sur le site www.dunod.com.

5.1 (*) Le service SMTP est lun des plus attaqus sur Internet. Nous allons tudier la mise en place dun Firewall pour protger un serveur de courrier interne reprsent gure 5.23.

Internet

R seau interne

Firewall 1 TCP 1234 212.68.3.4 Client SMTP TCP 25 197.36.1.1

Serveur SMTP

Figure 5.23

Dans un premier temps, le routeur qui fait ofce de Firewall est congur suivant le tableau 5.4.
TABLEAU 5.4
Rgle A
Dunod La photocopie non autorise est un dlit.

Direction Entrant Sortant Sortant Entrant Toutes

@ source Externe Interne Interne Externe Toutes

@dest. Interne Externe Externe Interne Toutes

Protocole TCP TCP TCP TCP Tous

Port dest. 25 >1023 25 >1023 Tous

Action Permission Permission Permission Permission Refus

B C D E

a) Quelles sont les connexions autorises par les rgles A E ? b) Les connexions dcrites par la gure 5.23 sont-elles autorises ? crire les deux connexions dans le tableau 5.5 en prcisant quelle rgle gnrale elles se rapportent (rgles A E).

178

5 Les serveurs http : conguration et scurisation

TABLEAU 5.5
Connexion 1 2 Direction @ source @dest. Protocole Port dest. Rgle

c) Comment peut-on modier le tableau de dpart pour quun agresseur externe ne puisse ouvrir une connexion sur le serveur SMTP en se faisant passer pour une station du rseau local (station interne) ? 5.2 (**) Conguration du rewall Une entreprise dispose de 20 postes, dun serveur de messagerie, dun serveur Intranet dun serveur web et dun serveur de stockage. Les employs utilisent le mail et doivent accder Internet. Lentreprise souhaite protger son rseau interne.
195.50.32.74 195.50.32.193 195.50.32.11 195.50.32.64 poste Hub Serveur de messagerie Hub poste 195.50.32.76 poste 195.50.32.160 poste 195.50.32.159 195.50.32.129 Routeur firewall 195.50.32.194

195.50.32.128

poste 195.50.32.75

poste 195.50.32.158

Figure 5.24

Rgles de scurit : Rgle 1 : les clients extrieurs ne doivent pouvoir utiliser le rseau interne que pour envoyer un message aux employs. Rgle 2 : les employs doivent pouvoir utiliser lintgralit du rseau interne.

Exercices

179

Rgle 3 : les employs doivent accder Internet.


TABLEAU 5.6
Source any localnet any Destination mailsrv any any Service smtp any any

RGLES DE FILTRAGE.
Action accept accept reject Track short short long Install log log log On Gateways Gateways gateways

La premire ligne correspond la rgle 1. La deuxime ligne correspond aux rgles 2 et 3. Tous les autres accs sont interdits (les paquets sont compars aux rgles dans lordre du tableau de conguration). La troisime ligne permet de mmoriser dans le journal les tentatives daccs illicites.

Un serveur Intranet est connect sur le rseau. Il doit tre accessible de tous les postes du rseau, mais inaccessible de lextrieur. Quelles modications apporter la conguration du rewall ?
TABLEAU 5.7
Source any localnet Destination mailsrv any Service smtp any Action accept accept Track short short Install log log On Gateways Gateways

Dunod La photocopie non autorise est un dlit.

any

any

any

reject

long

log

gateways

5.3 (*) Vous avez dcid de faire de votre ordinateur un serveur http sous IIS. a) Prparez les rpertoires destins recevoir les pages web. b) Relevez sur votre ordinateur les paramtres qui vous seront ncessaires pour la conguration du serveur.

180

5 Les serveurs http : conguration et scurisation

Exercices pratiques 5.4 Serveur Apache Vous devez administrer un serveur Apache sous Linux. Vous disposez pour cela dune distribution de Linux oprationnelle sur un serveur avec le programme httpd install. Vous devez disposer galement dun ordinateur client muni dun navigateur ou dfaut, utiliser comme client le navigateur du serveur. a) Vriez que le programme httpd est bien install et oprationnel : commande /etc/rc.d/init.d/httpd status pour connatre ltat du serveur et ventuellement commande /etc/rc.d/init.d/httpd start pour le dmarrer. b) Comment modier le chier de conguration httpd.conf pour donner au serveur Apache un nom DNS ? Quel service doit tre mis en uvre pour pouvoir utiliser ce nom partir dun navigateur ? En labsence de ce service quelle adresse peut-on mettre ? c) Comment modier le chier httpd.conf pour donner un numro de port non standard, diffrent de 80, au service HTTP ? Tester sur le client. Quel URL avez-vous utilis ? d) Quel est le compte par dfaut utilis sur le serveur pour la connexion ? e) Comment limiter le temps pendant lequel le serveur doit attendre la transmission dune requte, aprs ltablissement dune connexion par un client ? f) Comment mettre en uvre le serveur de proxy et paramtrer le cache ? g) La directive TypesCong spcie le chier contenant la table des correspondances des extensions de chier pour les types de donnes MIME. En labsence de cette directive, le chier par dfaut est /etc/mime.types ou /etc/httpd/conf/apache-mimes.types. Quelles sont les extensions vido reconnues ? h) Crer un nouvel utilisateur ainsi quune page html personnelle dans le sous-rpertoire appropri de lutilisateur. i) Vrier les droits sur ce sous-rpertoire pour que tout le monde puisse lire. Tester cette page partir dun navigateur. Quelle URL avez-vous utilise ? j) La fabrication dun mot de passe se fait par le programme htpasswd qui prend la syntaxe suivante : htpasswd [-c] passwordle username

Exercices pratiques

181

Avec loption -c le chier est cr ; sans loption -c le chier est complt par la nouvelle entre. passwordle est le nom du chier contenant les utilisateurs et les mots de passe (par exemple users.http). username est le nom de lutilisateur. k) Tester, partir du navigateur client, une protection daccs pour le rpertoire personnel cr prcdemment. 5.5 Firewall sous Linux Ce travail doit tre ralis par deux personnes. Lancer une connexion Telnet sur la machine de votre voisin. Vrier avec les outils dont vous disposez, les ports utiliss sur la machine locale et sur la machine distante. a) Crer un script Ipchains avec les rgles suivantes : interdire par dfaut tous les ports en input (par facilit autoriser les output et forward) ; autoriser la machine de votre voisin se connecter sur le port telnet ; autoriser votre machine faire du telnet sur les machines extrieures ; autoriser les "pings" sur votre machine ; autoriser votre machine pinguer toutes les machines extrieures ; autoriser dns avec UDP (ncessaire pour naviguer) ; autoriser dns avec TCP (idem) ; autoriser la navigation sauf sur le serveur web local. b) Tester toutes les rgles.
Dunod La photocopie non autorise est un dlit.

5.6 Partage scuris de connexion Internet sous Linux Crer un script Ipchains permettant deffectuer un partage de connexion Internet pour un rseau priv dadresse 192.168.0.0. Ladresse du routeur coupe-feu sera 192.168.0.1 ct priv et attribu dynamiquement ct Internet. a) Que devez-vous modier dans le chier de conguration rseau /etc/syscong/network ? b) Comment devez-vous congurer les stations du rseau priv ?

182

5 Les serveurs http : conguration et scurisation

tude de cas 1 : Contrle daccs aux rpertoires dun site web

Lexemple montre la procdure permettant de contrler laccs aux pages situes dans chacun des rpertoires admin et informatique du site serviut (gure 5.4). Larborescence du site est reprsente gure 5.25.

www admin images .htaccess admin.htm informatique images .htaccess informatique.htm logins admin .htpasswd info .htpasswd

Figure 5.25

Arborescence du site serviut .

Les chiers de contrle .htaccess sont placs dans le rpertoire contrler. Pour le rpertoire admin , le chier est :
AuthUserFile c:\programmes\easyphp1-7\www\logins\admin\.htpasswd AuthGroupFile /dev/null AuthName "accs protg" AuthType Basic <LIMIT GET POST> Require valid-user </LIMIT>

Ce chier est un chier texte. Il peut tre cr avec un simple diteur de texte. Dans le cas o le bloc-note de windows est utilis, le chier sauvegard aura une extension .txt . Il faudra renommer le chier sous Dos en utilisant la commande rename . Reste crer le chier .htpasswd situ dans le rpertoire logins sousrpertoire admin . La cration de ce chier se fera par la commande Dos htpasswd se trouvant dans le rpertoire apache\bin. Sous Windows, le

tude de cas 2 : Mise en place dun certicat dauthentication

183

codage par dfaut du mot de passe utilise le format MD5. Dans lexemple de la gure 5.26, pour clarier lexemple, le codage du mot de passe est interdit.

Figure 5.26

Cration dun mot de passe daccs un rpertoire.

Le chier ainsi cr contient : admin:web Lajout de comptes et de mots de passe sobtient en renouvelant la commande et en omettant le paramtre -c . Il suft doprer de la mme manire pour le rpertoire informatique .

tude de cas 2 : Mise en place dun certicat dauthentication

Dunod La photocopie non autorise est un dlit.

Ltude montre les procdures permettant de crer un certicat dauthentication sur un serveur, de le transmettre une autorit pour certication, et de le tlcharger par un client pour linstaller sur son poste. Lautorit de certication utilise est Certinomis (site web : http://www.certinomis.com). La premire tape consiste obtenir un certicat auprs de lautorit de certication. 1. Cration dune demande de certicat La cration dune demande de certicat utilise un assistant de certicat disponible dans services Internet , menu proprits en slectionnant longlet scurit du rpertoire et le bouton certicat de serveur (gure 5.27). Lassistant propose de crer un certicat, dattribuer un certicat existant ou dimporter un certicat. Il demande dattribuer un nom au certicat, de dnir la longueur de la cl de cryptage, le nom du serveur demandeur, ainsi que le rpertoire de stockage du certicat. Le certicat est alors cr et stock en chier texte dans le rpertoire spci (gure 5.28).

184

5 Les serveurs http : conguration et scurisation

Figure 5.27

Assistant de cration dune demande de certicat.

c:\certificat\serveur\demande\present.txt

present certificat du serveur FTP FR Seine et Marne Champs sur Marne IUT de Marne la Valee service informatique

Figure 5.28

Demande de certicat.

Dans le cas dune autorit de certication prive, la demande de certication doit tre soumise lautorit locale Root CA.

tude de cas 2 : Mise en place dun certicat dauthentication

185

2. Envoi de la demande de certicat La page daccueil du serveur de lautorit de certication propose de remplir un formulaire contenant entre autre ladresse lectronique. Pour lobtention dun certicat de test, seule ladresse lectronique est utilise pour vrier lidentit du demandeur (gure 5.29).

Dunod La photocopie non autorise est un dlit.

Figure 5.29

Page daccueil dun serveur dune autorit de certication.

186

5 Les serveurs http : conguration et scurisation

Dans le cas dune cration de certicat, il faudra recopier (par un copier/ coller) le contenu de la demande de certicat cr prcdemment dans le formulaire propos par le serveur (sans oublier les champs ------- BEGIN NEW CERTIFICATE REQUEST et ---- END NEW CERTIFICATE REQUEST). Le serveur de lautorit de certication va alors crer votre certicat. Il vous fournit un identiant et vous envoie un code daccs par courrier lectronique ladresse fournie dans le formulaire. 3. Tlchargement du certicat Il faut que le demandeur du certicat se connecte au serveur de lautorit de certication en utilisant le code daccs reu par courrier lectronique, slectionne le certicat en attente et le tlcharge (gure 5.30).

Figure 5.30

Page daccueil du serveur de lautorit de certication Root CA.

tude de cas 2 : Mise en place dun certicat dauthentication

187

4. Installation du certicat Il existe 2 mthodes : copier le certicat directement sur un rpertoire du serveur web, puis double-cliquer dessus ; utiliser lassistant dinstallation de certicat disponible dans services Internet , menu proprits en slectionnant longlet scurit du rpertoire et le bouton certicat de serveur . Aprs avoir slectionn loption traiter la demande en attente et installer le certicat , lassistant demande le chemin du rpertoire o se trouve le certicat reu de lautorit de certication. Le certicat est ensuite install. Dans longlet scurit du rpertoire du menu proprits , deux boutons ont fait leur apparition dans le cadre communications scurises . Ils permettent de visualiser ou modier les certicats installs (gure 5.31).

Dunod La photocopie non autorise est un dlit.

Figure 5.31

Boutons de visualisation/modication des certicats installs.

Il faut encore congurer laccs au serveur pour imposer une communication scurise par authentication. Laccs au menu de conguration se fait en cliquant sur le bouton modier du cadre communications scurises de la fentre (gure 5.31).

188

5 Les serveurs http : conguration et scurisation

Figure 5.32 Menu de conguration dune communication scurise avec le serveur web.

Le menu permet dactiver le cryptage, dexiger ou non le certicat du client, et dans lafrmative, de les relier ou non aux comptes clients grs par Windows, leur donnant ainsi automatiquement les droits daccs aux ressources congurs dans Windows (gure 5.32). Le serveur nest plus accessible que par une URL https:// . Mise en place dune scurisation par authentication sur le client Des serveurs scuriss demandent au client qui se connecte de fournir un certicat. Un client peut obtenir un certicat personnel auprs dorganismes de certication. Des organismes proposent des certicats gratuits ou des certicats de test dure limite. Parmi ceux-ci, le CNRS (http://igc.services.cnrs.fr /CNRS-Standard/certicats.html) et Certinomis (http://www.certinomis.com), liale du groupe La Poste. Lobtention dun certicat se fait en trois phases : 1. Demande de certicat Le site prsente un formulaire remplir. Les informations indispensables qui serviront ltablissement du certicat sont le nom, le prnom et ladresse email. Une fois le formulaire rempli et vri, la demande est enregistre par le serveur du site qui informe que le certicat sera envoy par e-mail.

tude de cas 2 : Mise en place dun certicat dauthentication

189

2. Envoi de lavis de retrait Un message lectronique informe le client quil peut tlcharger son certicat. Cet avis (gure 5.33) contient ladresse de retrait et un code daccs.

De: Autorite CertiNomis [autorite@certinomis.com] Envoy: dimanche 7 septembre 2003 21:04 : dominique present Objet: Certinomis de test gratuit ID 1597080789 Cher client, votre demande de certificat de test gratuit a t accepte. Vous pouvez maintenant charger votre certificat ladresse suivante : https://www.certinomis.com/c0/retrait1.jsp (veillez bien copier lintgralit de cette adresse dans le mme navigateur depuis lequel vous avez effectu votre demande) Votre code de retrait est: Vous devez le copier et le coller dans la bote de dialogue de lURL prcite. Merci de votre fidlit, Meilleures salutations. "CertiNomis est une filiale de la Poste: http://www.certinomis.com"
Figure 5.33
Avis de retrait du certicat client.

Dunod La photocopie non autorise est un dlit.

3. Installation du certicat Deux mthodes sont possibles : installation automatique ; tlchargement du certicat au format texte et copie dans lditeur de certicat. La seconde mthode est plus dlicate car elle laisse place des erreurs de copie. Quelle que soit la mthode, il faut se connecter ladresse indique par le mail. La page daccueil demande le code daccs autorisant le retrait du certicat.

190

5 Les serveurs http : conguration et scurisation

Une fois laccs autoris, il suft de valider le chargement du certicat (gure 5.34).

Figure 5.34

Chargement et installation du certicat.

Le certicat est install automatiquement. Son contenu peut tre afch (menu outils , option options Internet , onglet contenu , bouton certicats , slectionner le certicat et cliquer sur le bouton afchage ). La gure 5.35 montre le contenu du certicat obtenu.

tude de cas 2 : Mise en place dun certicat dauthentication

191

Dunod La photocopie non autorise est un dlit.

Figure 5.35

Contenu du certicat client .

Chapitre 6

Corrigs des QCM et des exercices

CHAPITRE 1
QCM
Q1 b) Q2 b) ; c) Q3 c) Q4 c) ; d) Q5 b) Q6 c) Q7 a) Q8 b)

CHAPITRE 2
QCM
Q1 a) ; c) ; d) Q10
Dunod La photocopie non autorise est un dlit.

Q2 a) Q11 b)

Q3 b) Q12 d)

Q4 a) Q13 b) ; d)

Q5 c) Q14 b)

Q6 d) Q15 c)

Q7 b) Q16 c) ; e)

Q8 c) Q17 a) ; b)

Q9 a) ; d) Q18 a)

b)

Exercices 2.1 a) Le taux de surbooking est 120*56/2 000 = 3,36. b) Sur une ligne 2 Mb/s, il est possible de faire passer simultanment 35 communications 56 Kb/s. Il faudra donc 35 modems au prestataire de service. 2.2 a) La LS doit permettre un dbit de 3*512 + 0,6*2*512 + 0,6*12*128 = 3 Mb/s.

194

6 Corrigs des QCM et des exercices

b) Avec 3 lignes 2 Mb/s, le FAI pourra connecter 3*2 000/0,6/128 = 78 prestataires 128 Kb/s. 2.3 a) Le dbit moyen par connexion est de 20*60/60 = 20 Ko/s, soit 160 Kb/s. Le nombre de clients Netissimo 1 pouvant tre connects sera 500/160 = 3 clients. b) Chaque lien 2 Mb/s peut supporter 3 clients Netissimo 1. Pour 10 clients il faudra donc 4 liens. c) Pour 4 liens 2 Mb/s, il faut compter annuellement : 25 % des frais de raccordement + labonnement annuel aux liens + labonnement annuel au dbit souscrit de 8 Mb/s, soit un cot annuel de 2,4 M/an. d) Pour des abonnements 25 /mois il faudra 8 000 clients pour amortir ce cot. 2.4 a) Pour un modem 56 Kb/s, le Ko/s sur le RTC cote 2,14 /mois, sur le cble 0,61 /mois et 1,87 /mois sur lADSL. b) Le cble est plus conomique, mais le dbit nest pas garanti. Il sagit donc dun cot minimum. Sur le RTC, il faudra au moins 25 heures pour transfrer les 600 Mo de donnes. Il faudra donc ajouter le cot des 5 heures de communication supplmentaire au cot de labonnement. Ce mode de transmission est peu adapt un tel volume de transfert.

CHAPITRE 3
QCM
Q1 c) Q10 b) ; c) Q19 a) ; b) Q28 c) Q2 c) Q11 a) Q20 a) ; c) Q29 d) Q3 d) Q12 b) Q21 b) ; c) Q4 b) Q13 b) Q22 b) ; d) Q5 c) Q14 a) Q23 c) Q6 c) Q15 b) Q24 b) Q7 a) ; d) Q16 d) Q25 b) Q8 a) ; b) Q17 a) ; b) ; c) Q26 e) Q9 a) Q18 d) Q27 a)

Exercices 3.1 La classe C autorise 2 097 150 rseaux ((223 191)*256*256 2), auxquels il faut enlever les adresses de la plage 192.168.0.0 192.168.255.0, soit 256 rseaux de 254 machines correspondant des adresses prives. La classe C peut donc offrir 2 032 126 adresses de rseaux routables sur Internet.

Chapitre 3

195

3.2 Le nombre dadresses se situe entre 256 et 512. Une classe C nest pas sufsante. Il faut attribuer une adresse de classe B, en utilisant que le bit de poids faible du second octet pour ladressage sur le rseau local. Ladresse de rseau (et donc le masque de rseau) utilisera 8 + 8 + 7 = 23 bits. Ladresse affecte lentreprise pourra avoir la forme suivante : 191.55.24/23 et le masque de rseau sera 255.255.254.0. 3.3 a) Lentreprise a besoin de 34 adresses, ce qui ncessite 6 bits dadressage Elle se verra attribuer une sous-classe de la classe C telle que 192.55.55.0/26. b) Les 110 postes clients peuvent tre adresss sur la plage dadresses prives 10.0.10.20 10.0.10.129. La plage dadresses publiques utilise peut tre 192.55.55.1 192.55.55.34. 3.4 Tableau de routage du routeur R1 :
Rseau client A B C Internet A Internet B Internet C Routeur voisin R3 R3 = R4 R3 R6 Distance 2 2 1 5 3 2

3.5 a) Modications de la table de routage de R3 :


Rseau client B Routeur voisin R2 Distance 4

b) Table de routage du routeur R2 :


Dunod La photocopie non autorise est un dlit.

Rseau client A B C Internet A Internet B Internet C

Routeur voisin R3 = R1 R4 R3 R3

Distance 4 1 6 2 5 7

196

6 Corrigs des QCM et des exercices

3.6 Les chemins possibles et leur cot sont : R1-R3-R5 = 4 ; R1-R2-R3R5 = 11 ; R1-R4-R2-R3-R5 = 11 ; R1-R6-R3-R5 = 7. Le chemin le plus court est donc R1-R3-R5. 3.7 a) Les chemins possibles sont : R1-R2-R3-R5 = 11 ; R1-R4-R2-R3R5 = 11 ; R1-R6-R3-R5 = 7. Le chemin le plus court est donc R1R6-R3-R5. b) Il faut augmenter le cot de la liaison R1-R6 une valeur suprieure 5. 3.8 a) Les chemins possibles entre les rseaux A et B sont : R3-R5-R4-R1-R2 = 42 ; R3-R5-R6-R7-R1-R2 = 52 ; R3-R5-R4R7-R1-R2 = 52 ; R3-R5-R6-R7-R4-R1-R2 = 62. Le plus court chemin est R3-R5-R4-R1-R2. b) La valeur du chemin R4-R5 doit tre suprieure 20. Le chemin R3-R5-R6-R7-R1-R2 devient le plus court. 3.9 a) La somme des dbits moyens et des dbits crtes sur le lien R1-R2 est de 8 Mb/s. La demande de connexion ferait passer le dbit total plus de 10 Mb/s. La liaison nest donc pas possible. b) La somme des dbits sur le lien R1-R4 est de 9 Mb/s. Il ne pourra accepter la connexion demande. Par contre, le lien R1-R7 dispose de 6 Mb/s de bande passante libre. Les liens R7-R6 ; R6-R5 et R5R3 disposent respectivement de 43,4 Mb/s ; 42,1 Mb/s et 4,9 Mb/s de bande passante libre. Ce chemin est donc possible pour la liaison entre le poste du rseau B et le serveur vido du rseau A.

CHAPITRE 4
QCM
Q1 b) Q10 c) Q19 c) Q2 c) Q11 b) Q20 a) Q3 c) Q12 a) Q21 a) Q4 d) Q13 c) Q22 c) ; d); f) Q5 a) Q14 c) Q6 b) Q15 a) Q7 d) Q16 b) Q8 a) Q17 a) Q9 a) Q18 c)

Exercices 4.1 Chemin emprunt par le message : Client metteur : Jean-Luc Blanc ; serveur dmission : vega.masson.fr ; serveur de destination : univ-mlv.fr ; BAL du destinataire : present.

Chapitre 4

197

4.2 a) Adresse de la liste : profs-src@univ-nlt.fr ; adresse du serveur de liste : univ-tln.fr b) Chemin suivi par le message entre lmetteur et le serveur de liste : Client metteur : prsent ; serveur dmission : univ-mlv.fr ; serveur de destination : mail.univ-nlt.fr BAL de destination : profs-src Chemin suivi par le message entre le serveur de liste et le destinataire : Serveur metteur : mail.univ-nlt.fr ; serveur de destination : univ-mlv.fr ; BAL du destinataire : present 4.3 a) Une passerelle de messagerie pourra tre place entre le serveur de messagerie mail.iut.fr et Internet. Le serveur de messagerie tudiant mail2.iut.fr sera connect la passerelle. b) Les tudiants pourront garder leur adresse. La distribution sera assure par la passerelle. Celle-ci fera la transposition entre ladresse initiale etudiant @mail.iut.fr et ladresse de la BAL de cet tudiant etudiant @mail2.iut.fr 4.4 a) Si la liste est ouverte, il faudra envoyer les deux messages suivants : Destinataire sympa@iut.univ-mlv.fr Objet : SUSCRIBE administratifs.src maud aile Destinataire sympa@iut.univ-mlv.fr Objet : SIGNOFF administratifs.src jean tasse Si la liste est ferme, le propritaire de la liste enverra les deux messages suivants : Destinataire sympa@iut.univ-mlv.fr Objet : ADD administratifs.src maud aile
Dunod La photocopie non autorise est un dlit.

Destinataire sympa@iut.univ-mlv.fr Objet : DEL administratifs.src jean tasse b) Pour vrier que les modications ont bien t faites, il faut demander la liste des abonns de la liste par le message : Destinataire sympa@iut.univ-mlv.fr Objet : REVIEW administratifs.src 4.5 Le rpertoire de base (home directory) est le rpertoire public ftp /pub. LURL daccs au chier sera donc : ftp://univ-mlv.fr/maitrise/newprog.c

198

6 Corrigs des QCM et des exercices

4.6 Sur un serveur FTP, la connexion anonyme permet de rendre accessible tout le monde des chiers en tlchargement. Cette solution est largement utilise par les professionnels qui veulent mettre disposition de leurs clients des mises jour des logiciels quils commercialisent. Linconvnient est quil nest pas possible de vrier de faon able les clients qui se sont connects. La connexion non-anonyme permet de limiter laccs certains chiers une liste de personnes autorises. Une application courante est faite par les professionnels qui ne veulent permettre laccs de leurs chiers qu certains clients tels que leurs revendeurs ou des dveloppeurs particuliers. Sur un site web, les pages sont accessibles tout le monde par dfaut. Il est pourtant possible de rendre certaines pages accessibles aprs identication par un compte et un mot de passe (voir chapitre 5, Les serveurs HTTP : conguration et scurisation). 4.7 Sur un poste client, la messagerie na besoin de se connecter quau serveur de messagerie. Il faudra galement quil puisse se connecter au serveur de comptes. Les rgles diter dans le pare-feu personnel seront :

Protocole SMTP SMTP POP3 POP3 ICMP ICMP tous

Adresse source locale 195.50.50.2 locale 195.50.50.2 10.50.0.2 locale toutes

Adresse dest. 195.50.50.2 locale 195.50.50.2 locale locale 10.50.0.2 toutes

Port 25 >1024 110 >1024

Rgle autoris autoris autoris autoris autoris autoris

tous

interdit

Lexplorateur Windows doit dialoguer avec les postes et serveurs du rseau local uniquement. Il utilise le protocole UDP. Les rgles de ltrage insrer dans le tableau prcdent juste avant la dernire rgle seront :

Protocole UDP UDP

Adresse source locale 10.50.0.0/120

Adresse dest. 10.50.0.0/120 locale

Port >1024 >1024

Rgle autoris autoris

Chapitre 5

199

CHAPITRE 5
QCM
Q1 a) ; b) ; e) ; f) Q10 e) Q2 a) ; c) Q11 c) Q3 d) Q12 a) ; c) Q4 d) e) Q13 a) ; c) Q5 c) Q14 d) Q6 a) ; b) Q15 b) Q7 a) Q16 d) Q8 a) Q17 a) Q9 d)

Exercices 5.1 a) A et B autorisent les connexions SMTP entrantes (courrier entrant, serveur interne) ; C et D autorisent les connexions SMTP sortantes (courrier sortant, serveur externe) ; E sapplique dans tous les autres cas et interdit tous les paquets non autoriss. b) Oui, les paquets x sont autoriss par la rgle A ; les paquets y sont autoriss par la rgle B.
Connexion Direction 1 2 Entrant Sortant @ source 212.168.3.4 197.36.1.1 @dest. 197.36.1.1 212.168.3.4 Protocole Port dest. Rgle TCP TCP 25 1234 A B

c) Il faut rajouter un colonne pour prendre en compte le test du bit ACK des segments TCP (voir paragraphe 3.4.2). Les paquets entrants ne seront accepts quavec un bit ACK 1, donc pour une connexion TCP initie de lintrieur (voir gure 3.10). 5.2 Lajout dun serveur Intranet ncessite lajout des rgles suivantes :
source
Dunod La photocopie non autorise est un dlit.

destination mailsrv any localnet localnet any

service smtp any http http any

action accept accept accept deny reject

track short short short short long

install log log log log log

On Gateways Gateways

any localnet localnet any any

gateways gateways

5.3 a) Vous devez crer le rpertoire qui servira de rpertoire de base. Ce rpertoire recevra le chier constituant la page daccueil de votre serveur.

200

6 Corrigs des QCM et des exercices

b) Il vous faut : dnir un nom pour le serveur ; relever ladresse IP de votre poste.

Annexe

Protocoles et couches OSI

SIGLES UTILISS
AAL ARP ATM CHAP BGP DHCP DNS EGP FTP HDLC HTTP ICMP IP IPX ISDN LAPB LAPD LPP NCP NDS NFS ATM Adaptation Layer Address Resolution Protocol Asynchronous Transfert Mode Challenge Handshake Protocol Border Gateway Protocol Dynamic Host Conguration Protocol Domain Name System External Gateway Protocol File Transfert Protocol High Level Data Link Control Hyper Text Transfert Protocol Internet Control Message Protocol Internet Protocol Internet Packet eXchange Integrated Services Digital Network Link Acces Protocol Balanced Link Acces Protocol on D Channel Lightweight Presentation Protocol Netware Core Protocol Netware Directory Services Network File System

Dunod La photocopie non autorise est un dlit.

202

Annexe Protocoles et couches OSI

NLSP NNTP OSPF PAD PAP PPP RARP RIP RNIS SAP SDH SLIP SMB SMTP SNAP SNMP SONET SPX STP TAXI TCP TELNET UDP UTP XDR

Netware Link Services Protocol Network News Transfert Protocol Open Shortest Path First Protocol Packet Assembly Disassembly Password Autentication Protocol Point to Point Protocol Reverse ARP Routing Information Protocol Rseau Numrique Intgration de Services Service Advertising Protocol Synchronous Digital Herarchy Serial Line IP Server Message Block Simple Mail Transfer Protocol Sub Network Access Protocol Simple Network Management Protocol Synchronous Optical Network Sequenced Packet eXchange Shielded Twisted Pair Tranparent Asynchronous eXchange Protocol Transmission Control Protocol Telnet Terminal virtuel User Datagram Protocol Unshielded Twisted Pair eXternal Data Representation

Sigles utiliss

203

Protocoles TCP/IP
Arpa Services : Telnet FTP SMTP HTTP NNTP Remote Unix : RPRINT RCOPY RSHELL RLOGIN XWindows

Protocoles Novell Netware

Application

Sun Services : NFS MOUNT RSTAT

NDS

SNMP

Prsentation 6 LPP
X25 Over TCP

XDR X25 SAP

NCP

Session 5 Transport 4
Routage : RIP-EGP OSPF-BGP ARP RARP

SMB DNS
Netbios Over TCP

RPC

TCP

UDP

SPX

SMB

DHCP ICMP

Rseau

Routage : RIP-NLSP

IPX

IP

SLIP

IPX WAN

SNAP Liaison LLC


IEEE 802.2 Type 2

Type 1 IEEE 802.3 CSMA/CD

Type 3 IEEE 802.6 DOBD

MAC
Dunod La photocopie non autorise est un dlit.

IEEE 802.5 Token Ring

FDDI

2
10Base T 10Base 2 10Base 5 10Base F 100Base T 100Base X 100Base F GigaBit Fiber optic 100 Mbit/s SDDI STP 100 CDDI CTP 100 SDH/SONET 51.84 - 155.52 822.08 Mbit/s

Physique 1

STP 4/18 Mbit/s UTP 4/16 Fiber optic 4/16

Figure A.1

204

Annexe Protocoles et couches OSI

Protocoles IBM SPX TCP

Protocoles X25

RNIS

ISDN

ATM

SMB

7 PAD (X29) 6

SNA

NetBEUI

NetBIOS

X25 Paquet

Protocole D

PAP PPP CHAP HDLC LAPB LAPD

ATM : AAL1 AAL2 AAL 3/4 AAL5 2

Interfaces standards : V24/RS232 V35 V36/RS449 RS530 X21

Modems standards : V21 - V22 V26 - V27 V29 - V32 V34- V90

Interface S/T I430/I431

TAXI 100 Mbit/s Frame Relay

ISDN-B&D 64 kbit/s ISDN-H 384 kbit/s

Figure A.2

Bibliographie

CONSTRUCTEURS DQUIPEMENTS
http://www.cisco.com http://www.3com.com/ http://www.nortelnetworks.com http://www.modcomp.com http://www.olitec.com

PROTOCOLES ET NORMES
http://www.protocols.com http://www.atmforum.org http://www.alcatel.com/telecom/mbd/keytech/ http://www.itu.int/ITU-T/index.html http://hermes.ulaval.ca http://www.info.univ-angers.fr/pub/pn/reseaux.html http://dept-info.labri.u-bordeaux.fr http://www.hsc.fr/ressources/veille/ http://www.x400.org/ http://iut.univ-mlv.fr/etudiants/etudiants.php

Dunod La photocopie non autorise est un dlit.

OPRATEURS DE TLCOMMUNICATION
http://www.globaltt.com/fr/faraway.html http://www.entreprises.francetelecom.com/

206

Bibliographie

http://www.netstorming.fr/ http://www.cegetel-entreprises.fr/ http://www.cegetel.fr/ http://www.nortelnetworks.com/index.html http://www.teleglobe.com http://www.transx.fr/frame/telecom/telecommunication.htm

PRESTATAIRES, OPRATEURS INTERNET


http://www.aic.fr/ http://www.uunet.com http://www.eunet.com http://www.oleane.fr http://www.mediareseaux.com/

Index

A ACK 53 ADSL 22 AF1 59 AF2 59 AF3 59 AF4 59 AFNIC 2 anonymous 104 Apache 145, 147, 159 ARP 40 ARPA 39 ASCII 93 ATM 56, 62 authentication 171, 172 B BAL 81 BGP 47, 49 broadcast 44 C CATV 26 CBR 62 CDV 55 Cell Delay Variation 55 Cell Loss Ratio 55 Cell Transfer Delay 55 certication 171 CHAP 65 CIDR 45

classe A 44 classe B 44 classe C 44 classe D 44 CLP 64 CLR 55 cookie 116 Core Routers 60 coupe-feu 159, 161, 165 cryptage 170

D DHCP 98 Dial-up 95 DiffServ 56, 58 DSAP 39 DSCP 60 E Ebone 6 EF 59 EGP 47, 49 EIDE 146 ETN 28 Eudora 86 Exchange 86 F FAI 2, 3 rewall 117, 159 Fournisseur dAccs Internet 2, 3

Dunod La photocopie non autorise est un dlit.

208

Index

Frame Relay 56 FTP 41, 104

MPLS 56, 60 MySQL 100

G GCAC 63 H hackers 158 HDLC 66 HFC 26 Host_id 43 HTML 100, 111 HTTP 41, 111, 112, 145 HTTPS 159, 165 I ICMP 41 IIS 156 IMAP 92 Internet Explorer 111 Internet Information Server 106, 145 Internet Services Provider 1 Intserv 56 IP 41 ipchains 159, 161 IPv4 56 IPv6 56 J javascript 100 L Label Edge Routers 60 LCP 19, 64 Leaky Bucket 63 liaison spcialise 28 liste de diffusion 100 LLC 39 M MAC 39 masquerading 161 Message Transfer Agent 86 messagerie 81 MIME 93, 114, 115 mode connect 15 non connect 15 modem-cble 26 Mozilla 86

N NAT 45, 119 NCP 21, 64 Net_id 43 Netscape 86 Netscape Navigator 111 NFS 41 NIC 43 Notes 86 Numris 21 O ODBC 81, 106 Olane 5 oprateur(s) de cblage 3 de transport 3, 7 OSI 28 OSPF 47, 48 Outlook 86, 96 P PAP 65 PHP 100 points de prsence 6 PoP 6 POP3 82, 91 port destination 51 source 51 PPP 19, 40 PPPoA 25, 67 PPPoE 25, 67 PPTP 22, 65 prestataire de service 1, 2 proftpd 106 PTI 64 Q QoS 9 QP 93 qualit de service 55 R RAID 146 RCT 64 relais de trame 62

Index

209

Dunod La photocopie non autorise est un dlit.

Remote Protocol Control 84 Rseau Tlphonique Commut 3 rseaux cbls 26 satellites 9 RFC 39 RFC 791 39 RFC 822 88, 90, 93 RFC 854 39 RFC 904 49 RFC 959 106 RFC 1058 47 RFC 1123 106 RFC 1334 65 RFC 1518 45 RFC 1519 45 RFC 1521 90 RFC 1548 64 RFC 1631 45 RFC 1633 56 RFC 1661 64 RFC 1662 64 RFC 1723 47 RFC 1733 91 RFC 1771 49 RFC 1939 91 RFC 2060 91 RFC 2211 56 RFC 2212 56 RFC 2364 68 RFC 2474 56 RFC 2516 68 RIP 41, 47 RNIS 21 routage 46 RSVP 56, 57 RTC 3, 18 RTCP 58 RTP 58

S
SCSI 146 SDH 28, 56 SLIP 19, 40 SMTP 41, 82, 87 SNMP 41 S-PDU 52 SSAP 39 SSL 159, 165 SYN 53

T
TCP 50, 52 TCP/IP 39 Telnet 41 ToS 61 Transx 30 TTL 43

U
UDP 50 URL 111, 112

V
V.90 19 V.92 19 VBR 62 VLAN 67 VPN 22, 23, 65

W
WDM 28 Web 111 Webmail 100 WS_FTP 106 wu-ftpd 106

X
XDR 41

Vous aimerez peut-être aussi