Vous êtes sur la page 1sur 71

Rseau, Administration et Scurit

Manuel Gonzalez Anido


Informaticien - Formateur
12/10/2014
Table des matires
1. Technologies rseaux. .................................................................................................................... 3
1.1. Model OSI. ............................................................................................................................... 3
1.2. Protocoles rseaux .................................................................................................................. 3
1.3. Ports TCP et UDP. .................................................................................................................... 5
1.4. Format adresse (MAC)............................................................................................................. 7
1.5. Calcul binaire. .......................................................................................................................... 8
1.6. Subnet Masks. ......................................................................................................................... 9
1.6.1. Le subnetting. .................................................................................................................... 10
1.7. Technologies dadressage (NAT, SNAT, DNAT, PAT, DHCP/APIPA ). .................................. 14
1.8. Protocoles IPv4 et IPv6. ......................................................................................................... 15
1.9. Bases du routage. .................................................................................................................. 19
1.10. Standards des communications sans fil. ........................................................................... 21
2. Cblages rseaux et Topologies. .................................................................................................. 24
2.1. Types de cbles. .................................................................................................................... 24
2.2. Proprits des cbles............................................................................................................. 25
2.3. Connecteurs rseaux. ............................................................................................................ 28
2.4. Standards cblage. ................................................................................................................ 32
2.5. Topologies rseaux physique. ............................................................................................... 33
2.6. Circuits WAN.......................................................................................................................... 36
2.7. Paquets WAN......................................................................................................................... 39
2.8. Technologies et Proprits LAN ............................................................................................ 42
2.9. Topologies Logiques. ............................................................................................................. 43
2.10. Concept rseau. ................................................................................................................. 44
3. Outils Rseau. ............................................................................................................................... 46
3.1. Priphriques rseau communs. ........................................................................................... 48
3.2. Mise en place dun rseau WiFi. ........................................................................................... 51
4. Gestion rseau. ............................................................................................................................. 55
4.1. TCO (Total Cost of Ownership) .............................................................................................. 55
4.2. valuation rseau (audit informatique). ............................................................................... 56
4.3. LAnalyse et Optimisation de la performance rseau. .......................................................... 59
4.4. Dpannage Connexions rseaux. .......................................................................................... 61
4.5. Dpannage problmes WiFi. ................................................................................................. 64
5. Scurit rseau. ............................................................................................................................ 66
5.1. Firewalls................................................................................................................................. 66
5.2. Protocoles rseau (Scurit). ................................................................................................ 67
5.3. Attaques rseaux.................................................................................................................... 69
1. Technologies rseaux.
Si rseaux tendus et inter-rseaux sont essentiels dans la connexion des zones
dissmines d'une entreprise, le rseau client/serveur de base est local (LAN). vrai dire,
ce type de rseau, limit un dpartement ou un btiment, constitue dj en fait un
rseau local. Par ailleurs, les rseaux locaux sont les blocs constitutifs d'autres, plus
importants et interconnects. Et ce sont des rseaux locaux, parlant d'autres rseaux
locaux au moyen de communications longue distance, et les rseaux locaux indiquant
comment acheminer leurs paquets (par le bais, naturellement, de matriels et de logiciels),
qui forment le cur d'un rseau tendu.
Les rseaux tendus (ou WAN, Wide Area Network) se consacrent l'change
d'informations sur de vastes aires gographiques. Ils sont, comme vous l'avez peut-tre
appris propos de l'Internet, concerns par l'volutivit - la capacit s'accrotre pour
s'adapter au nombre d'utilisateurs du rseau et rpondre aux requtes que ceux-ci
adressent ses ressources. Un rseau tendu - qui dpend de tlcommunications pour
couvrir de grandes distances - est gnralement affect d'un dbit plus lent, de plus longs
dlais et d'un plus grand nombre d'erreurs qu'on en trouve gnralement sur un rseau
local. Mais il est aussi le moyen le plus rapide et le plus efficace aujourd'hui disponible
pour transfrer des donnes informatiques.

1.1. Model OSI.


Le modle OSI est un modle thorique, qui signifie Open System Interconnection. Ce
modle OSI sert dcouper/classifier lensemble des fonctionnalits ncessaire la
communication entre deux entits. On regroupe ces fonctionnalits au travers de 7
couches .

1.2. Protocoles rseaux


Un protocole de communication est un ensemble de rgles et de procdures permettant de
dfinir un type de communication particulier. Les protocoles sont hirarchiss en couches,
pour dcomposer et ordonner les diffrentes tches. Il existe plusieurs familles de
protocoles ou modles, chaque modle tant une suite de protocoles entre diverses couches.
Parmi ces modles on trouve OSI et TCP/IP.
Se basant sur ce modle OSI, voici un listing non exhaustif des protocoles pour les
diffrentes couches :
Les protocoles de la catgorie APPLICATION garantissent linteraction et lchange des
donnes :

APPC (Advanced Program to Program Communication) est le protocole SNA


poste poste dIBM essentiellement utilis sur les ordinateurs AS/400.
FTAM (File Transfer Access and Management) est un protocole OSI daccs aux
fichiers.
X.400 est un protocole CCITT (Comit consultatif International de Tlgraphie et
de Tlphonie) permettant la transmission internationale de messagerie
lectronique.
X.500 est un protocole CCITT offrant des services de fichiers et de rpertoires
rpartis sur plusieurs systmes.
SMTP (simple Mail Transfer Protocol) est un protocole Internet pour le transfert de
messagerie lectronique.
FTP (File Transfer Protocol) est un protocole Internet pour le transfert de fichiers.
SNMP (Simple Network Management Protocol) est un protocole Internet
permettant la surveillance des rseaux et de leurs composants.
TELNET est un protocole Internet pour la connexion des htes distants et le
traitement local de donnes.
SMB (Server Message Blocks) est le redirecteur client (shell) de MICROSOFT.
NCP (Novell Netware Core Protocol) est le redirecteur client (shell) de NOVELL.
APPLETALK et APPLESHARE est la suite de protocole dAPPLE.
AFP (AppleTalk Filing Protocol) est un protocole APPLE (pour les ordinateurs
MACINTOSH) destin laccs distants des fichiers.
DAP (Data Access Protocol) est un protocole DECnet pour laccs aux fichiers.

Les protocoles de la catgorie TRANSPORT assurent les connexions et le contrle des


transferts de donnes :

TCP (Transmission Control Protocol) est une partie du protocole Internet TCP/IP
qui garantie la remise des donnes en squence.
SPX (Sequential Paquet Exchange) est une partie du protocole SPX/IPX de
NOVELL qui garanti la remise des donnes en squence. Cest un protocole
rduit, rapide et routable. SPX/IPX est un produit driv du protocole XNS (Xerox
Network System) qui a t dvelopp par la socit XEROX pour les rseaux
locaux ETHERNET. La pile XNS est un protocole qui a largement t diffus dans
les annes 1980, mais qui a t progressivement remplac par la pile TCP/IP. La
pile XNS gnrait de nombreux messages de diffusion gnrale (BROADCAST),
ce qui le rendait lent en plus dtre volumineux.
NWLink est la version MICROSOFT du protocole SPX/IPX de NOVELL.
NetBEUI (NetBIOS Extended User Interface) est un protocole qui cre des
sessions NetBIOS (Network Basic Input Output System) et fournit des services de
transport de donnes (NetBEUI). NetBEUI est bas sur le protocole de transfert
SMB.
ATP (AppleTalk Transaction Protocol) et NBP (Name Binding Protocol) sont des
protocoles APPLE pour les ordinateurs MACINTOSH.
X.25 est un ensemble de protocoles pour les rseaux commutation de paquets
utiliss pour connecter des terminaux distants de gros systmes htes
(MAINFRAME).

Les protocoles de la catgorie RESEAU fournissent les services de liaisons (adressage,


routage, contrle derreurs et requte de retransmission) et dfinissent les rgles de
communication des rseaux ETHERNET, TOKEN RING, :

IP (Internet Protocol) est la partie du protocole Internet TCP/IP qui achemine et


route les paquets
IPX (Internetworking Packet Exchange) est la partie du protocole SPX/IPX de
NOVELL qui achemine et route les paquets
NWLink est la version MICROSOFT du protocole SPX/IPX de NOVELL
NetBEUI est le protocole qui fournit les services de transport aux applications et
sessions NetBIOS
DDP (Datagram Delivery Protocol) est un protocole APPLETALK pour le
transport des donnes (pour les ordinateurs MACINTOSH)

1.3. Ports TCP et UDP.


Le protocole TCP/IP (Transmission Control Protocol / Internet Protocol) est le plus connu
des protocoles parce que cest celui qui est employ sur le rseau des rseaux, cest dire
Internet.

Internet protocol suite

Application layer

BGP DHCP DNS FTP HTTP IMAP IRC POP3 RTSP SIP
SMTP SNMP SMB-CIFS SSH Telnet TFTP VoIP

Transport layer

TCP UDP DCCP SCTP RSVP

Internet layer

IP (IPv4, IPv6) ICMP ICMPv6 ECN IGMP IPsec

Link layer

ARP NDP OSPF PPP MAC Ethernet (DSL, ISDN, FDDI)


Protocoles dapplication
La couche dapplication est la quatrime couche dans le modle TCP/IP. Elle apporte le
point de dpart pour toute session de communication.

Hypertext Transfer Protocol (HTTP) le HTTP dfini la faon dont les fichiers
comme le texte, les graphiques, les sons et les vidos sont changs sur Internet ou sur le
Rseau Mondial (WWW). Le HTTP est un protocole de la couche application. L'agence
dIngnierie Internet (IETF) a dvelopp les normes pour le HTTP. Le HTTP 1.1 est la
version actuelle. Comme son nom lindique, le HTTP est utilis pour changer des fichiers
hypertexte. Ces fichiers peuvent comprendre des liaisons avec dautres fichiers. Un serveur
web gre un service HTTP ou dmon. Un dmon est un programme qui traite les requtes
HTTP. Ces demandes sont transmises par le logiciel clients HTTP, qui est un autre nom
pour un navigateur web.

Hypertext Markup Language (HTML) le HTML est un langage de description de


page. Les concepteurs web lutilisent pour indiquer au logiciel du navigateur web, quoi
devrait ressembler la page. Le HTML comprend des balises, pour indiquer le caractre
gras, litalique, les pointills, les fins de paragraphes, les liens, linsertion de tableaux, etc.

Telnet Telnet permet un accs en mode terminal aux systmes locaux ou loigns.
Lapplication Telnet est utilise lors de l'accs aux quipements loigns pour la
configuration, le contrle et le dpannage.

File Transfer Protocol (FTP) le FTP est une application qui apporte des services pour
le transfert et la manipulation de fichiers. Le FTP utilise la couche session, pour permettre
de multiples connexions simultanes des systmes de fichiers loigns.

Simple Mail Transport Protocol (SMTP) le SMTP apporte des services de


messagerie avec TCP/IP, et supporte la plupart des programmes de messagerie Internet.

Protocoles de transport
La couche de transport est la troisime couche du modle TCP / IP. Elle apporte une
gestion de bout en bout de la session de communications.

Transmission Control Protocol (TCP) TCP est un protocole important dInternet pour
la livraison fiable des donnes. TCP inclut des fonctionnalits pour ltablissement de la
connexion de bout en bout, la dtection derreur et le dpannage, et la prise de mesure du
taux de transfert de donnes dans le rseau. De nombreuses applications standards telles
que la messagerie, le navigateur, le transfert de fichiers et telnet, dpendent des services de
TCP. TCP identifie lapplication en utilisant un numro de port.

User Datagram Protocol (UDP) UDP offre un service sans connexion aux
applications. UDP utilise un entte plus petite que celle de TCP, et peut accepter un niveau
de perte de donnes. Les applications de gestion de rseau, le systme de fichier rseau et
le transport de fichier simple, utilisent UDP. Comme TCP, UDP identifie les applications
par un numro de port.
Protocoles Rseaux
La couche Internet est la deuxime couche du modle TCP / IP. Elle permet
linterconnexion rseau pour les communications de la session.

Internet Protocol (IP) IP fournit une adresse source et une adresse de destination. En
combinaison avec les protocoles de routage, IP fournit un itinraire d'un rseau un autre
pour atteindre une destination.

Internet Control Message Protocol (ICMP) ICMP est utilis pour tester le rseau et
le dpannage. Il permet un diagnostic et des messages derreur. Les messages dcho
dICMP sont utiliss par lapplication PING, pour tester si un quipement loign est
susceptible dtre atteint.

Routing Information Protocol (RIP) RIP agit entre les quipements routeur, pour
dcouvrir les itinraires entre les rseaux. Dans un intranet, les routeurs dpendent dun
protocole de routage pour construire et maintenir les informations sur la faon de diriger
les paquets vers leur destination. RIP choisit des itinraires bass sur la distance ou le
nombre de saut.

Address Resolution Protocol (ARP) ARP est utilis pour dcouvrir ladresse locale
(adresse MAC), dune station sur le rseau, quand son adresse IP est connue. Les stations
d'extrmits comme les routeurs utilisent ARP, pour dcouvrir les adresses locales.

1.4. Format adresse (MAC).


Une adresse MAC (Media Access Control), parfois nomme adresse physique, est un
identifiant physique stock dans une carte rseau. A moins qu'elle n'ait t modifie par
l'utilisateur, elle est unique au monde.
Les adresses MAC, attribues par l'IEEE1, sont utilises dans beaucoup de technologies
rseau, parmi lesquelles :
ATM ;
Ethernet ;
Rseaux sans fil Bluetooth ;
Rseaux sans fil Wi-Fi ;
Token Ring ;
Une adresse MAC-48 est constitue de 48 bits (6 octets) et est gnralement reprsente
sous la forme hexadcimale en sparant les octets par un double point ou un tiret. Par
exemple 78:45:C4:3C:4E:3A.

1
LIEEE est constitue dingnieurs lectriciens, dinformaticiens, de professionnels du domaine des
tlcommunications, etc. Lorganisation a pour but de promouvoir la connaissance dans le domaine de
lingnierie lectrique (lectricit et lectronique). Juridiquement, l'IEEE est une organisation but non lucratif
de droit amricain.
1.5. Calcul binaire.
Le binaire est le mode de comptage non plus en base 10 mais en base 2. Il est utilis par les
ordinateurs, car les machines ne peuvent comparer que deux valeurs : des 1 et des 0.

Voici un calcul binaire de 0 10 :

valeur en dcimal : quivalent en binaire :


0 0
1 1
2 10
3 11
4 100
5 101
6 110
7 111
8 1000
9 1001
10 1010

Il suffit dappliquer une rgle pour le calcul binaire et cest dentamer le rang suivant quand celui
en cours est plein.

Pour le calcul dans lautre sens, du binaire en dcimal il suffit dlever chaque rang une
puissance de 2. Le premier, en partant de la droite est le rang 0. Prenons comme exemple le
chiffre binaire suivant :

101 0110
||| ||||0 20 = 0 x 1 = 0
||| |||
||| |||1 21 = 1 x 2 = 2
||| ||
||| ||122 = 1 x 4 = 4
||| |
||| |0 23 = 0 x 8 = 0
|||
|||1 24 = 1 x 16 = 16
||
||0 25 = 0 x 32 = 0
|
|1 26 = 1 x 64 = 64

La transformation se fait donc par laddition des rsultats, levant les puissances de 2, soit :

0 + 2 + 4 + 0 + 16 + 0 + 64 = 86

On peut donc dduire que 86 (dcimal) est gal 101 0110 (binaire).
1.6. Subnet Masks.
Subnet mask ou sous-rseau est une subdivision logique d'un rseau de taille plus
importante. Le masque de sous-rseau permet de distinguer la partie de l'adresse utilise
pour le routage et celle utilisable pour numroter des interfaces. Un sous-rseau correspond
typiquement un rseau local sous-jacent.

Un masque de sous-rseau, a ressemble un peu une adresse IP dans la forme, mais


chaque octet ne peut prendre que certaines valeurs. Des exemples : 255.255.0.0,
255.255.255.0, ... On les associe des adresses IP et cela dfinit une plage d'adresses qui
vont constituer un rseau. C'est donc le masque qui va dfinir avec qui on peut
communiquer.

Prenons une adresse IP quelconque : 222.9.17.99. Associons cette adresse un masque, par
exemple 255.0.0.0. Ce masque va dfinir quelle partie de l'adresse IP identifie le rseau
(cette partie est appele network ID) et quelle partie identifie l'hte sur le rseau (host
ID). C'est bien compris ? Il vaudrait mieux, car nous allons maintenant voir comment cette
dfinition du network ID et de l'host ID se fait.
1.6.1. Le subnetting.
Le subnetting est une technique qui consiste diviser un rseau plus large en plusieurs sous-
rseaux. Le subnetting est donc laction de crer des sous-rseaux.

Cette technique appele subnetting a t formalise en 1985 avec le document RFC950.


Selon les termes du document RFC950, les sous-rseaux dont les bits de masque sont tous
0 ou tous 1 ne devaient pas tre utiliss pour viter les erreurs d'interprtation par les
protocoles de routage dits classful comme RIPv1. En effet, ces protocoles de routages de
premire gnration ne vhiculaient aucune information sur le masque sachant que celui-
ci tait dtermin partir de l'octet le plus gauche. Dans notre exemple ci-dessus, il y
avait confusion aux niveaux de l'adresse de rseau et de diffusion.

L'adresse du sous-rseau 192.168.1.0 peut tre considre comme l'adresse rseau


de 2 rseaux diffrents : celui avec le masque de classe C (255.255.255.0) et celui
avec le masque complet aprs dcoupage en sous-rseaux (255.255.255.224).
De la mme faon, l'adresse de diffusion 192.168.1.255 est la mme pour 2 rseaux
diffrents : 192.168.1.0 ou 192.168.100.224.

/25 -- 2 Subnets -- 126 Hosts/Subnet


Network # IP Range Broadcast
.0 .1-.126 .127
.128 .129-.254 .255

/26 -- 4 Subnets -- 62 Hosts/Subnet


Network # IP Range Broadcast
.0 .1-.62 .63
.64 .65-.126 .127
.128 .129-.190 .191
.192 .193-.254 .255

/27 -- 8 Subnets -- 30 Hosts/Subnet


Network # IP Range Broadcast
.0 .1-.30 .31
.32 .33-.62 .63
.64 .65-.94 .95
.96 .97-.126 .127
.128 .129-.158 .159
.160 .161-.190 .191
.192 .193-.222 .223
.224 .225-.254 .255
/28 -- 16 Subnets -- 14 Hosts/Subnet
Network # IP Range Broadcast
.0 .1-.14 .15
.16 .17-.30 .31
.32 .33-.46 .47
.48 .49-.62 .63
.64 .65-.78 .79
.80 .81-.94 .95
.96 .97-.110 .111
.112 .113-.126 .127
.128 .129-.142 .143
.144 .145-.158 .159
.160 .161-.174 .175
.176 .177-.190 .191
.192 .193-.206 .207
.208 .209-.222 .223
.224 .225-.238 .239
.240 .241-.254 .255

/29 -- 32 Subnets -- 6 Hosts/Subnet


Network # IP Range Broadcast
.0 .1-.6 .7
.8 .9-.14 .15
.16 .17-.22 .23
.24 .25-.30 .31
.32 .33-.38 .39
.40 .41-.46 .47
.48 .49-.54 .55
.56 .57-.62 .63
.64 .65-.70 .71
.72 .73-.78 .79
.80 .81-.86 .87
.88 .89-.94 .95
.96 .97-.102 .103
.104 .105-.110 .111
.112 .113-.118 .119
.120 .121-.126 .127
.128 .129-.134 .135
.136 .137-.142 .143
.144 .145-.150 .151
.152 .153-.158 .159
.160 .161-.166 .167
.168 .169-.174 .175
.176 .177-.182 .183
.184 .185-.190 .191
.192 .193-.198 .199
.200 .201-.206 .207
.208 .209-.214 .215
.216 .217-.222 .223
.224 .225-.230 .231
.232 .233-.238 .239
.240 .241-.246 .247
.248 .249-.254 .255

/30 -- 64 Subnets -- 2 Hosts/Subnet


Network # IP Range Broadcast
.0 .1-.2 .3
.4 .5-.6 .7
.8 .9-.10 .11
.12 .13-.14 .15
.16 .17-.18 .19
.20 .21-.22 .23
.24 .25-.26 .27
.28 .29-.30 .31
.32 .33-.34 .35
.36 .37-.38 .39
.40 .41-.42 .43
.44 .45-.46 .47
.48 .49-.50 .51
.52 .53-.54 .55
.56 .57-.58 .59
.60 .61-.62 .63
.64 .65-.66 .67
.68 .69-.70 .71
.72 .73-.74 .75
.76 .77-.78 .79
.80 .81-.82 .83
.84 .85-.86 .87
.88 .89-.90 .91
.92 .93-.94 .95
.96 .97-.98 .99
.100 .101-.102 .103
.104 .105-.106 .107
.108 .109-.110 .111
.112 .113-.114 .115
.116 .117-.118 .119
.120 .121-.122 .123
.124 .125-.126 .127
.128 .129-.130 .131
.132 .133-.134 .135
.136 .137-.138 .139
.140 .141-.142 .143
.144 .145-.146 .147
.148 .149-.150 .151
.152 .153-.154 .155
.156 .157-.158 .159
.160 .161-.162 .163
.164 .165-.166 .167
.168 .169-.170 .171
.172 .173-.174 .175
.176 .177-.178 .179
.180 .181-.182 .183
.184 .185-.186 .187
.188 .189-.190 .191
.192 .193-.194 .195
.196 .197-.198 .199
.200 .201-.202 .203
.204 .205-.206 .207
.208 .209-.210 .211
.212 .213-.214 .215
.216 .217-.218 .219
.220 .221-.222 .223
.224 .225-.226 .227
.228 .229-.230 .231
.232 .233-.234 .235
.236 .237-.238 .239
.240 .241-.242 .243
.244 .245-.246 .247
.248 .249-.250 .251
.252 .253-.254 .255

Ici vous avez les tableaux pour chaque sous-rseau et subnetting, mais la faon dy arrive
sera aborder en classe ou lon pourra faire des exercices pratiques et des mises en situation

1.7. Technologies dadressage (NAT, SNAT, DNAT, PAT, DHCP/APIPA ).


Toutes les machines connectes (PCs, serveurs, imprimantes rseau, smartphones,
tlvisions multimdias...) disposent d'une adresse IP permettant de l'identifier sur le
rseau. Il existe deux sortes d'adresses: les prives et les publiques.
Une adresse prive est seulement valable sur un rseau priv et ne peut donc pas tre utilis
pour communiquer sur un rseau public comme Internet. En effet, Internet n'accepte de
vhiculer que des adresses publiques.
Le principal intrt de l'utilisation d'adresses IP prives est de disposer d'un grand nombre
d'adresses pour un dveloppement interne et rseau priv.
Pour transformer les adresse prives en publiques, on utilise le mcanisme NAT (Network
Adrress Translation) et PAT (Port Address Translation).

NAT
NAT statique : Ladressage le plus simple de NAT fournit une traduction
d'adresses IP one-to-one. Il est souvent galement dsign par NAT un--un.
Dans ce type de NAT il y a que les adresses IP, IP header checksum et des
checksum de niveau suprieur qui comprennent l'adresse IP qui doit tre chang.
Le reste du paquet peut tre laiss intact (du moins pour la fonctionnalit de base
de TCP/UDP. NAT peut tre utilis quand il y a une exigence pour
interconnecter deux rseaux IP avec adressage incompatibles. Avec NAT
statique, les traductions sont enregistres dans la table de traduction NAT ds
que vous configurez la commande NAT statique, et ils restent dans la table
jusqu' ce que vous supprimiez la commande NAT statique.

NAT dynamique : NAT dynamique a quelques similitudes et quelques


diffrences par rapport NAT statique. Comme dans le cas de NAT statique, le
routeur NAT cre un mappage un--un entre une adresse Inside Global et une
adresse Inside Local, modifiant les adresses IP dans des paquets leur
sortie/entre sur le rseau intrieur. Cependant, le mapping d'une adresse Inside
Local vers une adresse Inside Global se produit dynamiquement. NAT
dynamique met en place un pool d'adresses globales possibles l'intrieur et
dfinit des critres pour dterminer ce qui correspondant l'intrieur. Avec la
fonction NAT dynamique, les traductions nexistent pas dans la table NAT
jusqu' ce que le routeur reoive du trafic qui ncessite une traduction de
ladresse IP. Les traductions dynamiques ont un dlai d'attente aprs quoi elles
sont supprimes de la table de traduction.

PAT
PAT statique : Les traductions PAT statiques permettent quun port UDP ou TCP
spcifique soit traduit dune Adresse globale vers sur une adresse locale. PAT
statique est le mme que NAT statique, sauf qu'il vous permet de spcifier le
protocole (TCP ou UDP) et le port pour les adresses relles et mapping. PAT
statique vous permet d'identifier la mme adresse de mapping dans de nombreux
tats statiques diffrents, condition que le port soit diffrent pour chaque
dclaration. Vous ne pouvez pas utiliser la mme adresse mappe pour les
multiples dclarations NAT statiques. Avec PAT statique, les traductions
existent dans la table de traduction NAT ds que vous configurez commande
PAT statique, et ils restent dans la table de traduction jusqu' ce que vous
supprimiez la commande PAT statique.

PAT/NAT Overload : Il est courant de cacher tout un espace d'adressage IP,


consistant gnralement en des adresses IP prives, derrire une seule adresse IP
(ou dans certains cas, un petit groupe d'adresses IP) dans un autre (gnralement
public) espace d'adressage. Ce type de NAT est appel PAT Overload. L'entre
dynamique reste dans la table. Avec PAT Overload, les traductions nexistent
pas dans la table NAT jusqu' ce que le routeur reoive du trafic qui ncessite
une traduction. Les traductions ont un dlai d'attente aprs quoi elles sont
supprimes de la table.

1.8. Protocoles IPv4 et IPv6.

IPv4
La quatrime gnration d'IP est utilise depuis 1980 dj, avant mme le lancement du PC
IBM. Rien d'tonnant ce qu' l'poque, on n'ait prvu de la place que pour 4 milliards
d'adresses. Plus de 30 ans plus tard, la population mondiale est passe 7 milliards de
personnes, dont beaucoup possdent plusieurs quipements fonctionnant avec Internet
(portables, smartphones, tablettes, ...). En outre, les adresses IPv4 ne sont pas rparties de
manire gale, de sorte que la rserve d'adresses disponibles s'puise rapidement. Cette
pnurie peut en partie tre compense par le partage d'adresses entre plusieurs utilisateurs,
par exemple, mais cette solution n'est pas tenable terme.

Larchitecture dinternet est fonde sur lInternet Protocol (IP) et sur les adresses IP qui
permettent aux appareils connects internet de communiquer entre eux. En prvision de
la pnurie dadresses IP disponibles sous la version IPv4 de ce protocole, une nouvelle
version IPv6 a t labore il y a quinze ans. Tout le monde pensait alors quune migration
graduelle aurait lieu, ce qui na pas t le cas, faute dincitants.

Le rle fondamental de la couche rseau (niveau 3 du modle OSI) est de dterminer la


route que doivent emprunter les paquets. Cette fonction de recherche de chemin ncessite
une identification de tous les htes connects au rseau. De la mme faon que l'on repre
l'adresse postale d'un btiment partir de la ville, la rue et un numro dans cette rue, on
identifie un hte rseau par une adresse qui englobe les mmes informations.
Le modle TCP/IP utilise un systme particulier d'adressage qui porte le nom de la couche
rseau de ce modle : l'adressage IP. Le but de cet article est de prsenter le
fonctionnement de cet adressage dans sa version la plus utilise IPv4.

Les adresses IP sont composes de 4 octets. Par convention, on note ces adresses sous
forme de 4 nombres dcimaux de 0 255 spars par des points. L'originalit de ce format
d'adressage rside dans l'association de l'identification du rseau avec l'identification de
l'hte.
La partie rseau est commune l'ensemble des htes d'un mme rseau,
La partie hte est unique l'intrieur d'un mme rseau.
l'origine, plusieurs groupes d'adresses ont t dfinis dans le but d'optimiser le
cheminement (ou le routage) des paquets entre les diffrents rseaux. Ces groupes ont t
baptiss classes d'adresses IP. Ces classes correspondent des regroupements en rseaux
de mme taille. Les rseaux de la mme classe ont le mme nombre d'htes maximum.

Classe A
Le premier octet a une valeur comprise entre 1 et 126 ; soit un bit de poids fort gal 0. Ce
premier octet dsigne le numro de rseau et les 3 autres correspondent l'adresse de
l'hte. L'adresse rseau 127.0.0.0 est rserve pour les communications en boucle locale.
Classe B
Le premier octet a une valeur comprise entre 128 et 191 ; soit 2 bits de poids fort gaux
10. Les 2 premiers octets dsignent le numro de rseau et les 2 autres correspondent
l'adresse de l'hte.

Classe C
Le premier octet a une valeur comprise entre 192 et 223 ; soit 3 bits de poids fort gaux
110. Les 3 premiers octets dsignent le numro de rseau et le dernier correspond
l'adresse de l'hte.

Classe D
Le premier octet a une valeur comprise entre 224 et 239 ; soit 3 bits de poids fort gaux
111. Il s'agit d'une zone d'adresses ddies aux services de multidiffusion vers des groupes
d'htes (host groups).

Le routage inter-domaine sans classe (CIDR), associ la traduction d'adresses de rseau


(NAT, document RFC1631 de 1994), a permis au protocole IPv4 de survivre bien au-del
de la limite annonce. Le problme des tailles de table de routage a t galement rsolu
l'aide des techniques CIDR et VLSM. Le supernetting fournit aux administrateurs un
masque unique pour reprsenter des rseaux multiples en une seule entre de table de
routage. La technique de masque rseau de longueur variable (VLSM) permet un client
de n'acqurir que la moiti de cet espace; par exemple le rseau 94.20.0.0/23 attribue la
plage d'adresses allant de 94.20.0.0 94.20.127.0. La plage 94.20.128.0 -
94.20.254.0 peut tre vendue une autre socit.

IPv6
Le protocole IPv6 rpond raisonnablement aux objectifs dicts. Il maintient les meilleures
fonctions d'IPv4, en carte ou minimise les mauvaises, et en ajoute de nouvelles quand
elles sont ncessaires.
En gnral, IPv6 n'est pas compatible avec IPv4, mais est compatible avec tous les autres
protocoles Internet, dont TCP, UDP, ICMP, IGMP, OSPF, BGP et DNS ; quelque fois, de
lgres modifications sont requises (notamment pour fonctionner avec de longues
adresses).

Il y a trois importants avantages de lIPv6, qui sont :

a) IPv6 est capable d'utiliser des adresses plus longues que lIPv4.
Elles sont codes sur 16 octets et permettent de rsoudre le problme
qui mit IPv6 l'ordre du jour : procurer un ensemble d'adresses Internet
quasi illimit.
b) IPv6 simplifie l'en-tte des datagrammes. L'en-tte du datagramme de
base IPv6 ne comprend que 7 champs (contre 14 pour IPv4). Ce
changement permet aux routeurs de traiter les datagrammes plus
rapidement et amliore globalement leur dbit.
c) LIPv6 est reprsent est diffremment; elle permet aux routeurs
d'ignorer plus simplement les options qui ne leur sont pas destines.
Cette fonction acclre le temps de traitement des datagrammes.
Voici ce quoi ressemble un datagramme IPv6 :

Et voici la signification des diffrents champs :

Le champ Version est toujours gal 4 bits pour IPv6. Pendant la priode de
transition dIPv4 vers IPv6, les routeurs devront examiner ce champ pour savoir
quel type de datagramme ils routent.
Le champ Classe de trafic (cod sur 8 bits) est utilis pour distinguer les sources
qui doivent bnficier du contrle de flux des autres. Des priorits de 0 7 sont
affectes aux sources capables de ralentir leur dbit en cas de congestion. Les
valeurs 8 15 sont assignes au trafic temps rel (les donnes audio et vido en font
partie) dont le dbit est constant.
Le champ Identificateur de flux contient un numro unique choisi par la source
qui a pour but de faciliter le travail des routeurs et de permettre la mise en oeuvre
les fonctions de qualit de services comme RSVP (Resource reSerVation setup
Protocol). Cet indicateur peut tre considr comme une marque pour un contexte
dans le routeur. Le routeur peut alors faire un traitement particulier : choix d'une
route, traitement en "temps-rel" de l'information, ...
Le champ Longueur des donnes utiles (en anglais payload) sur deux octets, ne
contient que la taille des donnes utiles, sans prendre en compte la longueur de l'en-
tte. Pour des paquets dont la taille des donnes serait suprieure 65536 ce champ
vaut 0 et l'option jumbogramme de l'extension de "proche en proche" est utilise.
Le champ En-tte suivant a une fonction similaire au champ protocole du paquet
IPv4 : Il identifie tout simplement le prochain en-tte (dans le mme datagramme
IPv6). Il peut s'agir d'un protocole (de niveau suprieur ICMP, UDP, TCP, ...) ou
d'une extension.
Le champ Nombre de sauts remplace le champ "TTL" (Time-to-Live) en IPv4. Sa
valeur (sur 8 bits) est dcrmente chaque noeud travers. Si cette valeur atteint 0
alors que le paquet IPv6 traverse un routeur, il sera rejet avec l'mission d'un
message ICMPv6 d'erreur. Il est utilis pour empcher les datagrammes de circuler
indfiniment. Il joue le mme rle que le champ Dure de vie d'IPv4, savoir qu'il
contient une valeur reprsentant le nombre de sauts ou de pas (hops) qui est
dcrment chaque passage dans un routeur. En thorie, dans IPv4, il y a une
notion de temps en seconde mais aucun routeur ne l'utilisant comme tel, le nom a
chang pour reflter l'usage actuel.
Viennent ensuite les champs Adresse source et Adresse de destination.
1.9. Bases du routage.
La raison d'tre d'IP est bien d'interconnecter des rseaux physiques htrognes ou non.
Ce protocole de niveau 3 propose un format de paquets, un format d'adressage et une
logique d'acheminement des paquets entre les rseaux physiques. Cette dernire
fonction se nomme: Le routage
Cette fonction est ralise, gnralement, par des quipements spcifiques appels des
routeurs. Ces routeurs appliquent tous les mmes rgles de base pour que le transfert des
paquets soit cohrent. Ce sont les rgles de routage.

Que fait un routeur ? Comment se passe une journe dans la vie dun routeur ? Il

trouve le chemin ;
transmet les paquets ;
trouve un chemin alternatif ;

Se processus est rpt jusqu ce que le routeur steigne, mais il soccupe aussi dautres tches
tels que le forwarding

FORWARDING (Le meilleur chemin est stock dans la table forwarding)


Construire les cartes de connexion et donner les directions
Dplacer les paquets dune interface une autre selon les directions .

Les dcisions sont mises jour priodiquement ou en cas de changement de topologie (event
driven) et elles sont bases sur la topologie, politiques et les mtriques (nombre de saut, filtrage,
dlai, bande passante ).

FIB est la table de Forwarding


Elle contient les rseaux de destination ainsi que les interfaces pour aller ces
destinations
Utilise par le routeur pour connaitre o envoyer le paquet
Attention! Certains lappellent toujours la table de routage!
RIB est la table de Routage
Elle contient la liste de toutes les destinations et les diffrents prochains nuds de
sortie par o passer pour joindre ces destinations et beaucoup dautres informations !
Une seule destination peut avoir plusieurs nuds de sortie mais seul le meilleur nud
de sortie est plac dans la FIB.

On va aborder quelques protocoles de routage utilis dans la vie de tous les jours dans les
petites et moyennes entreprises :
IGP (Interior Gateway Protocol)
Est utilis au sein d'un systme
autonome
Comporte des informations sur les
prfixes des infrastructures internes
Deux IGP sont largement utiliss:

o OSPF
o ISIS

EGP (Exterior Gateway Protocol)


Utilis pour transmettre des
informations de routage entre
systmes autonomes
Dcouple de l'IGP
LEGP actuel est BGP

Comparaison entre les protocoles extrieur et intrieur


1.10. Standards des communications sans fil.
Les connexions sans fils permettent de connecter diffrents appareils ... sans cble. La
liaison peut-tre soit de type hertzienne, soit par lumire infra-rouge. Pour les liaisons infra
rouge, l'metteur et le rcepteur doivent tre face face. Ces connexions taient utilises
pour le clavier et les souris et dans certaines imprimantes.

Voici quelques explications concernant les diffrents types de rseaux :


PAN (Personal Area Network) : ~ quelques mtres autour de lusager
Exemples : Bluetooth, IrDA

HAN (Home Area Network) : ~ 10 mtres autour dune station relais


Exemples : Zigbee2, Home RF

LAN (Local Area Network) : ~ quelques dizaine/centaines de mtres


Exemples : DECT, IEEE 802.113

WAN (Wide Area Network) : ~ quelques centaines/milliers de km


Exemples : GSM, GPRS, UMTS4, CDMA5, Satellites

Dans cette partie du cours on parcourra les 4 types de rseaux, mais nous nous attarderons
sur deux dentre eux : Bluetooth et IEEE 802.11

2
ZigBee est un protocole de haut niveau permettant la communication de petites radios, consommation
rduite, base sur la norme IEEE 802.15.4 pour les rseaux dimension personnelle (Wireless Personal Area
Networks : WPAN).
3
IEEE 802.11 est un ensemble de normes concernant les rseaux sans fil qui ont t mises au point par le
groupe de travail 11 du Comit de normalisation LAN/MAN de l'IEEE
4
LUniversal Mobile Telecommunications System (UMTS) est l'une des technologies de tlphonie mobile de
troisime gnration (3G).
5
Il est appliqu dans les rseaux de tlphonie mobile dans le segment d'accs radio, par plus de 275
oprateurs dans le monde surtout en Asie et en Amrique du Nord. Il est aussi utilis dans les
tlcommunications spatiales, militaires essentiellement, et dans les systmes de navigation par satellites
comme le GPS, Glonass ou Galileo.
BLUETOOTH

Le nom Bluetooth a t conu pour remplacer les cbles entre lordinateur et les
priphriques. Comment fonctionne-t-il ?:
Le protocole de communication Bluetooth fonctionne 2,402Ghz -> 2,48Ghz sur 79
canaux. Chaque canal est spar d1 Mhz sous la norme IEEE 802.15.1
Le dbit est d1 MBit/s low power
Avec une puissance de communication. La classe 2 est souvent utilise.

Chaque priphrique dispose dune adresse (Bluetooth Device Address) qui est cod sur 48
bits. Bluetooth utilise deux protocoles :
SDP : Signifie Service Discovery Protocol . Ce protocole permet un appareil
Bluetooth de rechercher dautres appareils et didentifier les services disponibles.
OBEX : Signifie Object Exchange . Ce service permet de transfrer des objets
grce OBEX, protocole dvelopp pour lIrDA.

IEEE 802.11 (WiFi)

Le WiFi rpond la norme IEEE 802.11. Cette norme est un standard international
dcrivant les caractristiques dun rseau local sans fil (WLAN). Dans la norme IEEE
802.11 il y a quatre autres normes comprises :
IEEE 802.11b : Ce Wi-Fi peut atteindre des dbits d11 Mbit/s
IEEE 802.11a : Ce Wi-Fi utilise une nouvelle bande, situe autour de 5 GHz. Le
dbit peut atteindre 54 Mbit/s, mais en perdant la compatibilit avec le Wi-Fi
802.11b
IEEE 802.11g : Ce Wi-Fi utilise un dbit pouvant atteindre 20 Mbit/s. Elle est
compatible avec la norme 802.11a et 802.11b
IEEE 802.11n est une volution de la norme 802.11g et qui intgre la dimension
MIMO
Les connexions Wi-Fi peut aussi tre utilis en mode Ad Hoc , Bridge , avec un
Range-Extender .
Le mode Ad Hoc
Il permet de connecter directement les ordinateurs quips de Wi-Fi, sans utiliser un
matriel tiers tels quun point daccs.

Le mode Bridge
Il permet de connecter un ou plusieurs points daccs entre eux pour tendre un rseau
filaire, par exemple entre deux btiments.

Le mode Rpteur ou range-extender


Il permet de rpter un signal Wi-Fi plus loin. Chaque saut supplmentaire augmente
cependant le temps de latence de la connexion. Un rpteur a galement une tendance
diminuer le dbit de la connexion.
2. Cblages rseaux et Topologies.
La qualit et la rapidit des transferts dinformations sont devenues des aspects vitaux de
lactivit dune entreprise. Selon les besoins rels, les solutions de cblage informatique
mettre en uvre peuvent tre varies : cuivre, fibre optique, sans fil, ou laser.

2.1. Types de cbles.


En cblage cuivre, nous pouvons nous baser sur une des trois normes actuelles : catgorie 5e,
catgorie 6 ou catgorie 7.

Catgorie 5e (Classe D) : transmission de donnes des frquences jusqu' 155 MHz


et des dbits thoriques de 1000 Mb/s.
Catgorie 6 (Classe E) : transmission de donnes des frquences jusqu' 500 MHz et
des dbits thoriques de 1 Gb/s.
Catgorie 7 (Classe F) : transmission de donnes des frquences jusqu' 600 MHz et
des dbits thoriques de 10 Gb/s.
Catgorie 7a (Classe FA) : transmission de donnes des frquences jusqu' 1 GHz et
des dbits thoriques de 10 Gb/s.

Selon la norme sur laquelle on base linstallation, diffrents types de cbles peuvent tre
utilises :

La fibre optique dsigne un cble qui contient un fil en verre ou en plastique capable de
conduire la lumire. C'est cette lumire qui va tre transporte dans le rseau et interprte
sa rception. La fibre optique possde aussi l'avantage d'tre naturellement insensible des
perturbations lectriques extrieures. On peut ainsi tablir une liaison en fibre optique sur des
milliers de kilomtres. Comme il s'agit aujourd'hui de la mthode la plus efficace pour
transmettre rapidement des donnes d'un point l'autre, la fibre optique a d'abord t utilise
dans les rseaux des oprateurs en tlcommunications. Invisible aux yeux des utilisateurs,
elle sert pourtant transmettre les donnes d'un pays l'autre, o d'une rgion l'autre. Les
entreprises se sont aussi mises utiliser la fibre optique pour leurs rseaux longue ou
moyenne distance.

Deux types de fibres optiques sont utiliss:

Le monomode (SMF) utilise un seul canal de transfert l'intrieur du conducteur et


permet des transferts jusque 100 Gb/s par kilomtre. Le chemin est parfaitement
linaire, il n'y a aucune dispersion du signal. Par contre, la source d'mission est une
diode laser, plus chre et plus difficile mettre en uvre.
Le multimode (MMF) utilise une simple diode LED moins chre mais avec un signal
non rectiligne. Les rayons utilisent diffrents trajet suivant les angles de rfraction et
donc diffrents temps de propagations: le signal doit tre reconstruit l'arrive.
Principalement utilises pour les rseaux internes, les performances sont de l'ordre du
Gb/s.

2.2. Proprits des cbles.


En ce qui concerne les proprits de cbles, nous aborderons ici uniquement les cbles UTP. Trouvez
ci-dessous un listing des diffrents cbles UTP avec leur frquence, blindage et nombres de paires.
Les performances des cbles, classs en catgories, sont relatives aux caractristiques de
transmission. Indpendamment de cela, la construction du cble est aussi importante. Ce
paramtre concerne le traitement de la CEM et des performances de transmission. A ce propos
deux donnes sont dterminantes:

blindage par paire


o si le blindage est absent, le nom gnral du cble devient X/UTP (typique
U/UTP ou F/UTP).
o sil y a un blindage avec un ruban en aluminium, le nom gnral du cble devient
X/FTP (typique S/FTP).
blindage global du cble
o en cas de blindage avec un ruban daluminium, le nom devient F/XTP (typique
F/UTP)
o en cas de blindage avec une tresse, le nom devient S/XTP (typique S/FTP).

Que faut-il tenir en compte dans le choix du cble ? Quels proprits sont tenir en compte ?
Les des cbles UTP ont deux proprits trs importantes, qui sont les paramtres
longitudinaux et les paramtres transversaux.
Ces paramtres sont en gnral fonction de la frquence et se rapportent lunit de longueur.
Cest pourquoi les valeurs donnes sont le plus souvent exprimes pour un cble de 100m.

Rsistance (paramtre longitudinal):


La rsistance dpend de la frquence, du diamtre et de la nature du conducteur et de
la temprature. Elle augmente des frquences leves par leffet de peau.

Capacit (paramtre transversal):


La capacit dpend de la distance sparant les conducteurs et de la nature de lisolant. La
distance entre les conducteurs dune mme paire est dtermine par lpaisseur de lisolation
de lme.

Inductance (paramtre longitudinal):


Phnomne de self (effet de peau, effet dcran, effet de proximit)

Perditance (paramtres transversal):


La perditance dcrit les pertes disolation, les pertes dilectriques et les pertes entre les
conducteurs. Les perditances se trouvent proportionnellement avec les capacits et se
composent comme ces dernires.

2.3. Connecteurs rseaux.


Le cblage est normalis. On retrouve les cbles droits, utiliss entre une carte et un
concentrateur6 rseaux (Hub - plus utilis, switch, routeur, ..) et les cbles croiss, utiliss
entre 2 concentrateurs: tous les switchs et routeurs actuels intgrent le MDI / MDIX7, qui
dtecte automatiquement le type. De fait, tous les cbles actuels sont "droits", sans inversion
dans le connecteur. Les exemples de cblage ci-dessous reprennent les fils connecter en 10-
100 (c'est la mme connexion) et en Gb.

6
Les concentrateurs rseaux reprennent les hub's (rptiteurs), les switchs (commutateurs), les routeurs et les
rpteurs.
7
Medium dependent interface: technologie implante dans les switchs Ethernet (jamais dans un Hub) qui
dtecte automatiquement le type de priphrique connect sur chacun de ses ports rseaux (carte rseau d'un
ordinateur ou commutateur).
De la mme faon quil est important de pouvoir distinguer un cble rseau dun autre, de
savoir lutilit dun cble dit Crossover ou Straight-Through, il est aussi important de savoir
prparer soit mme le cbles, que ce soit pour rparer une installation existante ou pour une
installation personnalis.
Lors des installations professionnelles vous naurez pas toujours la possibilit de prendre un
cble dune longueur bien dfini, mais vous devrez bien souvent en fabriquer un vous-mme
de la longueur voulue. Cest ce moment-l que la ralisation dun cble rseau Ethernet
(RJ-45) prend tout son sens. Voici donc ci-dessous les tapes suivre pour raliser un petit
cble, qui vous servira tout aussi pour les cbles de grande longueur. On aura loccasion de
faire des exercices pratique en cours pour se perfectionner.
ETAPE 1 Prenez le cble de catgorie dsir. Les exemples que lon va donner seront bas
sur des cblages rseaux de Cat. 5e.

ETAPE 2 Veuillez vous munir des outils ncessaire, tels que pince sertir.

ETAPE 3 Prparez les connecteurs RJ-45 et les ventuels cabochons de couleur, si


ncessaire.

ETAPE 4 Couper 2 3 centimtres du bord du cble.


ETAPE 5 Vrifier que les cbles ne sont pas endommager et d torsader-les.

ETAPE 6 Il faut donc maintenant placer les cble dans le bon ordre, pour un cble droit
(Straight-Through) ou crois (Crossover). Noubliez pas de pousser la gaine le plus loin
possible.

ETAPE 7 Vous pouvez ds prsent sertir le cble des deux cts :


2.4. Standards cblage.
Deux normes de cblages sont principalement rpandues pour les connexions de la prise : la
norme T568A et la norme T568B. Ces normes sont trs similaires puisque seuls les paires 2
(orange, blanc-orange) et 3 (vert, blanc-vert) sont inter-changes.

Mme si ces deux normes sont dployes, la norme T568A est principalement utilise dans le
domaine du rsidentiel (souvent avec du cblage simple non blind de type UTP) alors que la
norme T568B est plutt employe dans le domaine professionnel (alors avec du cblage
blind par crantage de type FTP)

On peut remarquer aussi que si les deux paires centrales, 1 (bleu) et 2 (orange) pour la norme
T568A ou 1 (bleu) et 3 (vert) pour la norme T568B, sont entremles, ceci est fait dans le but
de mieux faciliter le sertissage des prises RJ45. Les conducteurs tant disposs en cercle
autour de l'axe du cble, il est plus facile de les mettre plat dans la prise et de les ordonner
aprs les avoir coups tous la mme longueur, tout en vitant de les fragiliser par des
torsions excessives.
2.5. Topologies rseaux physique.
Soccuper de la topologie physique cest tudier la manire dont les ordinateurs sont cbls
(topologie physique) et/ou la manire dont les donnes transitent sur les supports de
communication (topologie logique).
Dans ce cours, nous allons voir les topologies logiques suivantes :
o Topologie en bus
o Topologie en toile
o Topologie en anneau
o Topologie maill
o Topologie en arbre
o Topologie mixte

Dans une topologie en bus (BUS topology), tous les ordinateurs sont connects un seul
cble continu ou segment.

Les avantages de ce rseau : cot faible, faciliter de mise en place, distance maximale de
500m pour les cbles 10 base 5 et 200m pour les cbles 10 base 2. La panne dune machine ne
cause pas une panne du rseau.

Les inconvnients : sil y a une rupture dun bus sur le rseau, la totalit du rseau tombe en
panne. Le signal nest jamais rgnr, ce qui limite la longueur des cbles, il faut mettre un
rpteur au-del de 185 m.

La technologie utilis est Ethernet 10 base 2.


La topologie en toile (STAR topology) est la plus utilise. Dans la topologie en toile, tous
les ordinateurs sont relis un seul quipement central : le concentrateur rseau. Ici le
concentrateur rseau peut tre un concentrateur, un commutateur, un routeur

Les avantages de ce rseau cest que la panne dune station ne cause pas la panne du rseau et
quon peut retirer ou ajouter facilement une station sans perturber le rseau. Il est aussi trs
facile mettre en place.

Les inconvnients sont que le cot est un peu lev, la panne du concentrateur centrale
entraine le disfonctionnement du rseau.

La technologie utilis est Ethernet 10 base T, 100 base T

Dans un rseau possdant une topologie en anneau (RING topology), les stations sont relies
en boucle et communiquent entre elles avec la mthode chacun son tour de communiquer
. Elle est utilise pour le rseau token ring ou FDDI.
Avec cette topologie (MESH topology), chaque poste est relie directement tous les postes
du rseau.

Avantages : garantie dune meilleure stabilit du rseau en cas dune panne du nud.
Inconvnients : difficile mettre en uvre et ne peut pas tre utilis dans les rseaux internes
Ethernet. Il peut facilement devenir trs coteux.

Dans une topologie en arbre (TREE topology) appele aussi topologie hirarchique, le
rseau est divis en niveau et on a tendance voir quon est en face dun arbre gnalogique.

La topologie mixte est une topologie qui mlange deux ou plusieurs topologies diffrentes.
2.6. Circuits WAN.
WAN signifie Wide Area Network, en franais, on peut le traduire par "rseau tendu". Un
WAN est en fait une association de plusieurs LAN. Supposons 3 LAN forms par des
switchs: le "branchement" des 3 switchs sur un autre switch forme un WAN, car on associe
plusieurs LAN entre eux. Nous pourrons l'utiliser pour obtenir un seul rseau virtuel dans
deux endroits gographiques diffrents.
Il existe une varit d'approches pour connecter plusieurs sites travers un rseau tendu
(WAN), allant de lignes loues MPLS tunnels VPN IPsec. Malheureusement, la plupart
des options et des topologies WAN potentiels sont souvent mal comprises ou confondue avec
une autre.

Point-to-Point

Un circuit Point-to-Point relie exactement deux points. Cest le plus simple modle de circuit
WAN. Les paquets envoys partir dun seul site sont livrs l'autre et vice versa. Il y a
gnralement un certaine quantit d'encapsulation et de traitement effectue travers
l'infrastructure du transporteur, mais cest totalement transparent pour le client.
Un circuit Point-to-Point est gnralement livr comme un service de transport de niveau 2
(Layer 2), ce qui permet au client de fonctionner quel que soit les protocoles de niveau trois
(Layer 3) quils veulent faire fonctionner avec schma d'adressage quelconque. Un client peut
modifier ou ajouter un sous-rseau IP utilis dans un circuit de niveau 2 (Layer2) sans
coordination avec leur FAI.
Point-to Multipoint

Avec un circuit Point-to-Multipoint, nous avons seulement besoin d'un seul circuit sur le site
vers le Hub pour tre partage par tous les membres de ce circuit. Chaque membre de ce
circuit lui est assign un label unique (tag) qui identifie son trafic travers le circuit du Hub.
Chaque membre obtient un circuit virtuel et sous-interface achemin sur le circuit du Hub.

Metro Ethernet

Un rseau mtropolitain dsigne un rseau compos d'ordinateurs habituellement utilis


dans les campus ou dans les villes. Le rseau utilise gnralement des fibres optiques. Par
exemple, une universit ou un lyce peut avoir un MAN qui lie ensemble plusieurs rseaux
locaux situs dans un espace d'1 km. Puis, partir des MAN, ils pourraient avoir plusieurs
rseaux tendus (WAN) les liant d'autres universits ou Internet.
Cela permet donc chaque site de communiquer directement travers linfrastructure du FAI
avec les autres sites. De la mme manire qu'un WAN, un MAN peut fonctionner en tant
quIntranet.

MPLS

Dans un rseau IP traditionnel, chaque routeur fait une recherche dans sa table de routage.
MPLS rduit le nombre de recherche de routage et affecte un label (ou nombre) chaque
paquets et utilise ce label pour le transmettre. Le label peut aussi correspondre la destination
dun VPN niveau 3 ou un paramtre non-IP comme un circuit niveau 2 ou une interface de
sortie dun routeur.
Seuls les routeurs dextrmit du rseau font une recherche dans leur table de routage, les
autres utilisent les labels uniquement, ce qui acclre sensible le transfert.
A titre informatif, sachez que sur les plateformes Cisco, il existe 3 mcanismes de
commutation sur les plateformes Cisco : Process Switching, Fast Switching et Cisco Express
Forwarding (CEF).
Internet VPN Overlay

Avec ce modle dInternet VPN Overlay chaque site a sa connexion Internet. Des connexions
Point-to-Point ou Multipoint VPN peuvent tre tablies pour chaque site individuellement.
Cependant, chaque site reste vulnrable et/ou dpendant des problmes rseau du fournisseur.

2.7. Paquets WAN.


Les WAN sont dfinis aux niveaux 1, 2 et 3 du modle OSI. Ils transportent des donnes
informatiques, de la vido ou de la voix. Ils utilisent les services dun oprateur tlcom.

Les FAI offrent plusieurs types de liaisons WAN :


Lignes spcialises (ligns loues)
Le rseau tlphonique commut (RTC)
Rseau X.25
Rseau Frame Relay
Lignes spcialises (lignes loues)
Une ligne loue ou ddie fournit un chemin de communication longue distance prdfini
entre deux LAN via le rseau dun oprateur. Cest une connexion rserve lusage priv.
Le client dispose dune ligne de connexion de manire permanente. Elles sont gnralement
utilises pour transporter des donnes.
On distingue deux types de lignes spcialises : analogique et numrique. Dans le cas des
liaisons analogique, un modem est utilis pour la modulation/dmodulation du signal.
T1 : 1,544 Mbits/s (USA)
T3 : 44,736 Mbits/s (USA)
E1 : 2,048 Mbits/s (Europe)
E3 : 34,368 Mbits/s (Europe)

Rseau Tlphonique Conmut (RTC)


Le principe consiste utiliser le rseau de tlcommunication (transport de la voix) pour
transporter les donnes. Il faut disposer dun modem pour y accder, puisque la transmission
dans les rseaux RTC est de type analogique.
Etant donn que les rseaux RTC ne sont pas ddis pour la transmission des donnes, donc il
faut avoir un protocole au niveau liaison de donnes. Le protocole le plus utilis est le
protocole PPP (Point To Point Protocol). PPP offre les fonctions suivantes :
Contrle de la configuration des liaisons
Multiplexage des protocoles rseau
Configuration des liaisons et vrifications de leur qualit
Dtection des erreurs
Ngociations des options des fonctions (adresse IP de couche rseau, compression des
donnes)

X.25
La norme X.25 est adopte par lITU (International Tlcommunications Union) en 1976.
X.25 est dfini dans les couches 1, 2 et 3 du modle OSI.

Un rseau X.25 est constitu dun ensemble de commutateurs. Les commutateurs X.25
effectuent les corrections derreurs, lidentification des paquets, la reprise sur erreur, le
contrle de flux ce qui fait perdre beaucoup de temps durant le traitement des paquets.
Au niveau physique X.25 utilise la norme X.21 (caractristique lectriques et
mcaniques de linterface physique, communication DTE-DCE).
Au niveau de la couche 2, X.25 utilise le protocole LAPB (similaire au protocole
HDLC).
Les rseaux utilisant X.25 sont Transpac (France), EPSS (Grande-Bretagne), Datapac
(Canada), Telenet (USA) et DZPAC (Algrie).

Frame Relay
Au niveau 2, Frame Relay utilise une trame proche de la trame HDLC. Le numro de voie est
remplac par la notion de N DLCI (Data Link Connexion Identifier) sur 10 bits.
2.8. Technologies et Proprits LAN
Les Technologies rseau plus rpandu sont Ethernet, Fast-Ethernet, Giga-Ethernet et Virtual
LAN.
Ethernet
Ethernet est une technologie de rseau largement dploy. Cette technologie a t invente
par Bob Metcalfe et DR Boggs au dbut des annes 70. Elle a t standardise dans la norme
IEEE 802.3 en 1980. Ethernet est la technologie de rseau qui partage les ressources. Un
rseau qui utilise des ressources partage a une forte probabilit de collision de donnes.
Ethernet utilise la technologie CSMA/CD pour dtecter les collisions. CSMA/CD signifie
Carrier Sense Multi Access / Collusion Detection. Lorsqu'une collision se produit dans
lEthernet, tous les htes arrte leurs transmissions et attend pendant un certain laps de temps
et puis retransmettent les donnes.

Fast-Ethernet
Pour subvenir aux besoins des logiciels et matrielles des technologies mergentes, Ethernet
se dveloppe en Fast-Ethernet. Elle peut fonctionner sur UTP, fibre optique et sans fil aussi.
Elle peut fournir une vitesse allant jusqu' 100 Mbps. Cette norme est appel 100BASE-T
dans la norme IEEE 803.2 utilisant Cat-5 cble paire torsade.

Fast-Ethernet sur la fibre est dfinie selon la norme 100BASE-FX qui offre une vitesse
jusqu' 100 Mbps. Ethernet sur fibre peut tre prolonge jusqu' 100 mtres en mode semi-
duplex, et peut atteindre un maximum de 2000 mtres en duplex intgral sur les fibres
multimodes.

Giga-Ethernet
Aprs avoir t introduite en 1995, Fast-Ethernet a pu profiter de son statut de grande vitesse
que pour trois annes, jusqu' lintroduit du Giga-Ethernet. Giga-Ethernet offre une vitesse
jusqu' 1000 Mbits / seconde. IEEE802.3ab normaliser Giga-Ethernet sur cble UTP utilisant
Cat-5, Cat-5e et cbles Cat-6. IEEE802.3ah dfinit Giga-Ethernet sur fibre.

Virtual LAN
Le rseau local (LAN) utilise Ethernet qui son tour fonctionne sur les ressources partags.
Les ressources partages en Ethernet crent un domaine unique de diffusion et un domaine de
collision unique. Lintroduction des switch dans lEthernet enlever le problme de collision
puisque chaque appareil connect au switch fonctionne dans un domaine de collision spar.

Un LAN virtuel est une mthode pour diviser un domaine de diffusion unique en plusieurs
domaines de diffusion. Les htes dans un VLAN ne peuvent pas parler aux htes dans un
autre VLAN. Par dfaut, tous les htes sont placs dans le mme VLAN.
2.9. Topologies Logiques.
Les topologies logiques que nous aborderons dans ce cours sont : la topologie Ethernet, le
Token Ring, le FDDI et lATM.

ETHERNET
Ethernet est aujourdhui lun des rseaux les plus utiliss en local. Il repose sur une topologie
physique de type bus linaire, c'est--dire tous les ordinateurs sont relis un seul support de
transmission. Dans un rseau Ethernet, la communication se fait laide d'un protocole appel
CSMA/CD (Carrier Sense Multiple Access with Collision Detect), ce qui fait quil aura une
trs grande surveillance des donnes transmettre pour viter toute sorte de collision. Par un
consquent un poste qui veut mettre doit vrifier si le canal est libre avant dy mettre.

TOKEN RING
Token Ring repose sur une topologie en anneau (ring). Il utilise la mthode daccs par jeton
(token). Dans cette technologie, seul le poste ayant le jeton a le droit de transmettre. Si un
poste veut mettre, il doit attendre jusqu ce quil ait le jeton. Dans un rseau Token ring,
chaque nud du rseau comprend un MAU (Multi station Access Unit) qui peut recevoir les
connexions des postes. Le signal qui circule est rgnr par chaque MAU.

FDDI
La technologie LAN FDDI (Fiber Distributed Data Interface) est une technologie d'accs
rseau utilisant des cbles fibres optiques. Le FDDI est constitu de deux anneaux : un anneau
primaire et anneau secondaire. Lanneau secondaire sert rattraper les erreurs de lanneau
primaire. Le FDDI utilise un anneau jeton qui sert dtecter et corriger les erreurs. Ce qui
fait que si une station MAU tombe en panne, le rseau continuera de fonctionner.

ATM
LATM (Asynchronous Transfer Mode, c'est--dire mode de transfert asynchrone) est une
technologie trs rcente quEthernet, Token Ring et FDDI. Il sagit dun protocole de niveau
2, qui a pour objectif de segmenter les donnes en cellules de taille unique. Len-tte de
chaque cellule comprend des informations qui permettent la cellule demprunter son
chemin. Les cellules ATM sont envoyes de manire asynchrone, en fonction des donnes
transmettre, mais sont insres dans le flux de donne synchrone d'un protocole de niveau
inferieur pour leur transport.
2.10. Concept rseau.
Comme toute structure, le rseau informatique a besoin dune bonne ossature et en ce qui le
concerne, le cblage est primordial. Si vous voulez tre absolument sr de votre lien
informatique, il vous faut tout dabord la garantie que votre connexion physique est ralise
dans les rgles de lart. Que ce soit un lien cuivre ou fibre optique , il est la base de
votre infrastructure.
Une installation cble de faon structure est implmente au niveau de la couche 1 du
modle OSI. Sans la couche 1 de connexion, la couche 2 switching et couche 2 routing
seraient impossible.

Il vous faut comprendre quelques termes de bases avant daborder, dans le module suivant,
linstallation et cblage professionnelle dans une entreprise.
fdrateur : liaisons haut dbit, souvent en fibre qui permettent de relier des switch.
Un switch fdrateur serait alors un switch sui regroupe plusieurs switch utilisateurs et
switch serveurs et qui gre ces rseaux. Ce switch fdrateur serait connect par des
routeurs qui ont accs vers les rseaux externe. Cest la partie importante aprs le
routeur.
MDF (Main distribution facility/frame) : rpartiteur principal. La mise niveau du
cblage doit tre prioritaire sur tout autre changement. Les entreprises doivent
galement sassurer que ces systmes sont conformes aux normes de lindustrie, telles
que la norme TIA/EIA-568-B. Cette norme stipule que chaque quipement connect
au rseau doit tre reli un emplacement central par des cbles horizontaux. Cela
sapplique si tous les htes qui doivent accder au rseau se trouvent une distance
infrieure ou gale 100 mtres pour le cble paires torsades non blindes Ethernet
de catgorie 5.
IDF (Intermediary distribution facility/frame) : rpartiteur intermdiaire. Lorsque des
htes de grands rseaux dpassent la limite des 100 mtres fixe pour le cble paires
torsades non blindes de catgorie 5e, plusieurs locaux techniques sont ncessaires.
La cration de plusieurs locaux techniques entrane la cration de plusieurs zones
d'interconnexion de rseaux. Les locaux techniques secondaires sont appels des
rpartiteurs intermdiaires (IDF). Les normes TIA/EIA568-B prcisent que les
rpartiteurs intermdiaires IDF doivent tre connects au rpartiteur principal MDF
par le biais d'un cblage vertical appel cblage de backbone. Une interconnexion
verticale (vertical cross-connect ou VCC) permet d'interconnecter les divers
rpartiteurs intermdiaires IDF au rpartiteur principal MDF. Un cblage en fibre
optique est gnralement utilis car les cbles verticaux dpassent souvent la limite
des 100 mtres impose pour les cbles paires torsades non blindes de catgorie 5e
POP (Point of Presence) : Ce sont des switch (matriels) ou des endroits (salles ) ou
sinstallent les segments de LAN (attention cependant ne pas confondre avec le
protocole de rcupration de courriers lectroniques POP, ou Post Office Protocol !).
cblage horizontal : cblage sur un mme tage, gnralement du cuivre (paires
torsads).
cblage vertical : cblage entre tages, gnralement de la fibre.
Pour bien comprendre et apprhender le cblage rseau on abordera ce sujet dans une tude
de cas , qui vous sera fournie lors de la formation. Elle sera bas sur un cas rel, avec de la
documentation Panduit et Cisco.
3. Outils Rseau8.
Les rseaux informatiques sont par nature complexes car leur administration demande des
comptences sur un grand nombre de domaines. Par ailleurs la multiplicit des protocoles, des
systmes d'exploitation et des quipements rend leur gestion complique.

Ainsi la plupart des systmes d'exploitation proposent des outils d'administration rseau
rudimentaires permettant d'effectuer les quelques tests indispensables lors de la mise en
rseau d'une nouvelle machine ou lors d'une panne globale du rseau, permettant de
dterminer d'o proviennent les ventuels problmes.9

On abordera un plus vaste choix en cours, mais pour vous donner un aperu, voici quelques
outils utilis par les techniciens en informatique :

A) Outils pour les informaticien de terrain.

DSX-5000 CableAnalyzer FI-7000 FiberInspector Pro


(Certifie les liaisons cuivre) (Certifie les liaisons fibre)

Dtecteur de dfaut de cble TS100 Instruments de Test TS 23 PRO


(Localisateur de dfaut cbles et tonalits) (Instrument de test vido, donnes
et voix pour tlphone)

8
Les images qui apparaissent sur ce manuel sont de la proprit de Flukenetworks et ne peuvent tre rutilis
sans leurs consentements.
9
Texte provenant de CommentCaMarche (www.commentcamarche.net), mis disposition sous les termes de
la licence Creative Commons.
Sonde et gnrateur de tonalits Dtecteur de tension
Analogiques Pro3000

Pince sertir bec effil Need-L-Lock Pince sertir modulaire


(RJ-45, RJ-11 et RJ-12)

Splitter ADSL (Permet dobtenir


une tonalit en toute scurit, sans
interruption de service)
3.1. Priphriques rseau communs.
Se basant sur une installation rseau standard, comme ci-dessous, les priphriques rseau
commun sont : le routeur, le firewall, le switch.

Pour en revenir aux bases :


Un routeur est un lment intermdiaire dans un rseau informatique assurant le routage des
paquets. Son rle est de faire transiter des paquets d'une interface rseau vers une autre. Il est
souvent reprsent par limage ci-dessous :

Exemple :
Cisco ISR de 2ime gnration Branch routers => Cisco 3900 Series ; Cisco 2900
Serie ; Cisco 1900 Series et Cisco 890,880, 860 et 800M Series.
On distingue plusieurs catgories de routeurs, caractrises par leur primtre daction. En
amont de la boucle locale se positionnent les routeurs daccs. Il convient, sur ce segment, de
distinguer les routeurs dentre de gamme, qui sinterconnectent aux accs large bande
(xDSL, cble TV, etc ), des routeurs de priphrie IP (edge routers). Plus muscls que leurs
cousins, ces routeurs dextrmit doivent surtout briller par leur intelligence afin de satisfaire
aux multiples exigences du march (Qos, VPN, Scurit ).
Petites entreprises ou tltravailleurs

Routeurs pour un accs ADSL, RNIS, par liaison spcialise ou cble.


Routeurs hautes performances scuriss et administrables.
Routage IP,IPX.
Jusqu 20 utilisateurs.
Exemple Cisco Soho, Srie 800, 1700 , Intel 8100, 9100 ou le model Meraki de Cisco.
Cot 300 3000

Moyennes et grandes entreprises

Les routeurs de bordure (edge routers )


Routeurs daccs multiservice.
Routeur modulaire offrant un haut niveau de performance et capables dapporter les
services valeur ajoute indispensables pour les rseaux donnes/voix/vido et
loptimisation de lutilisation dInternet.
Allocation dynamique de la bande passante.
Filtrage de protocole.
Routage IP, IPX, AppleTalk,...
Jusqu 100 utilisateurs.
Exemple Cisco 2500, Srie 2600
Cot 2500 5500

Grandes entreprises

Forts de leur densit de ports pouvant atteindre le Gigabit, ces routeurs se positionnent comme
points dentre des backbones IP. Deux familles se relaient sur le terrain, qui se distingue par leur
capacit dbiter des paquets. La premire, celle des routeurs dagrgation, fdre les flux IP issus
de la priphrie, la seconde constitue la logique des pines dorsales des oprateurs. Sans surprise, le
leader Cisco se positionne la fois sur laccs et lpine dorsale des oprateurs.

Grandes entreprises et sites distants

Souvent propos au sein dune offre package


Routeurs modulaires haute densit de services offrant une connectivit LAN-WAN
intgre.
Fonctionnalits voix avances.
Routage IP, IPX, AppleTalk,...
Jusqu 350 utilisateurs.
Exemple Cisco 3600, 3700
Cot 3500 20000
Un pare-feu (de l'anglais firewall), est un logiciel et/ou un matriel, permettant de faire
respecter la politique de scurit du rseau, celle-ci dfinissant quels sont les types de
communication autoriss sur ce rseau informatique. Il mesure la prvention des applications
et des paquets. Il est souvent reprsent par limage suivante :

Example :
Firewall Cisco : PIX (Private Internet eXchange), utilisant lASA (Adaptive Security
Algorithm)
Le choix du type d'un type de firewall plutt qu'un autre dpendra de l'utilisation que l'on
souhaite en faire, mais aussi des diffrentes contraintes imposes par le rseau devant tre
protg.

Firewall sans tats (stateless)


Ce sont les firewalls les plus anciens mais surtout les plus basiques qui existent. Ils font un
contrle de chaque paquets indpendamment des autres en se basant sur les rgles prdfinies
par l'administrateur (gnralement appeles ACL, Access Control Lists).
Ces firewalls interviennent sur les couches rseau et transport. Les rgles de filtrages
s'appliquent alors par rapport une d'adresses IP sources ou destination, mais aussi par
rapport un port source ou destination.

Firewall tats (stateful)


Les firewalls tats sont une volution des firewalls sans tats. La diffrence entre ces deux
types de firewall rside dans la manire dont les paquets sont contrls. Les firewalls tats
prennent en compte la validit des paquets qui transitent par rapport aux paquets
prcdemment reus. Ils gardent alors en mmoire les diffrents attributs de chaque
connexion, de leur commencement jusqu' leur fin, c'est le mcanisme de stateful inspection.
De ce fait, ils seront capables de traiter les paquets non plus uniquement suivant les rgles
dfinies par l'administrateur, mais galement par rapport l'tat de la session :

NEW : Un client envoie sa premire requte.


ESTABLISHED : Connexion dj initie. Elle suit une connexion NEW.
RELATED : Peut-tre une nouvelle connexion, mais elle prsente un rapport direct
avec une
connexion dj connue.
INVALID : Correspond un paquet qui n'est pas valide.

Les attributs gards en mmoires sont les adresses IP, numros de port et numros de
squence des paquets qui ont travers le firewall. Les firewalls tats sont alors capables de
dceler une anomalie protocolaire de TCP.
Un commutateur rseau, ou switch, est un quipement qui relie plusieurs segments (cbles
ou fibres) dans un rseau informatique et de tlcommunication et qui permet de crer des
circuits virtuels. Il est souvent reprsent par limage suivante :

Example :
Cisco ASR10 1000 Series and Cisco Catalyst 6500 switches

3.2. Mise en place dun rseau WiFi.


Le Wi-Fi peut fonctionner suivant 2 modes : ad hoc et infrastructure.

En mode ad hoc, il n'y a pas d'infrastructure quelconque mettre en place. Les changes entre
clients Wi-Fi s'effectuent lorsqu'ils sont porte d'ondes radios. Donc, il n'y a pas de scurit
possible dans un tel mode de fonctionnement. Cependant, en mode infrastructure, on se base
sur une station spciale appele Point d'Accs (PA). Elle permet une station Wi-Fi de se
connecter une autre station Wi-Fi via leur PA commun. Une station Wi-Fi associe un
autre PA peut aussi s'interconnecter. L'ensemble des stations porte radio du PA forme un
BSS (Basic Service Set). Chaque BBS est identifi par un BSSID (BSS Identifier) de 6 octets
qui correspond souvent l'adresse MAC du PA. Tout ceci permet de contrler les connections
au rseau afin d'y appliquer des politiques scuritaires.

Les normes de Wi-Fi sont nombreuses et diverses. De toutes ces normes, les plus connues
sont 802.11a, 802.11b et 802.11g, qui sont les principales du standard 802.11 ceci grce leur
large intgration dans les matriels et logiciels.

- 802.11a
La norme 802.11a permet d'obtenir un dbit thorique de 54 Mbps, soit cinq fois plus que le
802.11b, pour une porte d'environ une dizaine de mtres seulement. La norme 802.11a
s'appuie sur un codage du type OFDM sur la bande de frquence 5 GHz et utilise 8 canaux.
Les quipements 802.11a ne sont pas compatibles avec les quipements 802.11b/g. Il existe
toutefois des matriels intgrant des puces 802.11a et 802.11b, on parle alors de matriels
dual band.

10
ASR = Aggregation Services Routers
- 802.11b
La norme 802.11b permet d'obtenir un dbit thorique de 11 Mbps, pour une porte d'environ
une cinquantaine de mtres en intrieur et jusqu' 200 mtres en extrieur (et mme au-del
avec des antennes directionnelles).

- 802.11g
La norme 802.11g permet d'obtenir un dbit thorique de 54 Mbps pour des portes
quivalentes celles de la norme 802.11b. D'autre part, dans la mesure o la norme 802.11g
utilise la bande de frquence 2,4GHZ avec un codage OFDM, cette norme est compatible
avec les matriels 802.11b, l'exception de certains anciens matriels.

Remarque : Avec les normes 802.11b+ et 802.11g+, on atteint respectivement des dbits
thoriques de 22 Mbit/s et 108 Mbits/s. En somme, nous disposons des quipements
intgrants les normes 802.11b/g cest qui nous donne des dbits et des portes acceptables
dans notre cas.

La scurit des rseaux sans fil est l'lment essentiel qui dcourage plusieurs personnes de
dployer cette technologie. En effet, les ondes radios ne pouvant pas tre rserves dans un
espace dlimite, n'importe quelle personne se trouvant porte de ces ondes peut s'y
connecter et utiliser le rseau des fins malfaisantes. Ainsi, il est essentiel de dployer de
gros moyens pour scuriser notre rseau sans fil Wi-Fi. Pour cela on doit tenir compte des
points suivants:

a) Modifier et cacher le nom par dfaut du rseau.


Un rseau Wi-Fi porte toujours un nom d'identification afin que les ordinateurs
puissent le dtecter et se connecter dessus. Ce nom s'appelle le SSID (Service
Set IDentifier). Si on ne configure pas le point d'accs, le SSID est dfini par
dfaut. Ainsi on le modifiera, afin de le reconnatre plus facilement par la suite.
Le SSID est une information importante pour se connecter au rseau sans fil.
Le point d'accs diffuse continuellement cette information pour permettre aux
ordinateurs de le dtecter. Le SSID n'est pas une fonction de scurisation mais
permet de rendre "cach" son point d'accs la vue de tout le monde. Une fois
le rseau configur avec les ordinateurs, on activera la fonction "cacher le
SSID", prsente dans le point d'accs, afin de rendre ce dernier "invisible" au
monde extrieur.

b) Choisir un mot de passe daccs au point daccs.


L'administration du point d'accs se fait par l'intermdiaire dune interface
Web accessible par n'importe quel ordinateur connect par cble ou par Wifi. Il
suffit de saisir une adresse IP (fournie par le constructeur) dans le navigateur
Web et le mot de passe par dfaut (fourni par le constructeur) pour accder
l'administration. A ce stade, toute personne pouvant accder au rseau, peut
faire les changements ou modifier d'autres paramtres du point d'accs. On
changera donc le mot de passe par un nouveau. Ce mot de passe devra
rpondre au principe de mots de passe forts.

c) Filtrer les quipements par adressage MAC.


Une adresse MAC (Media Access Control) permet d'identifier matriellement
un ordinateur grce son adaptateur rseau. Cette adresse est unique et dfinie
par le fabriquant de l'adaptateur. Chaque point d'accs offre la possibilit
d'utiliser le filtrage MAC. L'adaptateur qui n'a pas son adresse MAC dans la
liste autorise ne sera pas autoris se connecter sur le rseau. Notons tout de
mme que le filtrage d'adresses MAC est contournable. En effet, une adresse
Mac peut tre mule sous un environnement Linux ou mme Windows.

d) Choisir une cl de chiffrement hautement scurise.


Deux types de cryptage de donne existent actuellement : WEP (Wired
Equivalent Privacy) et WPA (Wi-Fi Protected Access).

o Le cryptage WEP : est un protocole de scurit pour les rseaux sans


fil. WEP offre un niveau de scurit de base mais satisfaisant pour la
transmission de donnes sans fil.

o Le cryptage (WPA et WPA2) : est un mcanisme pour scuriser les


rseaux sans-fil de type Wi-Fi. Il a t cr en rponse aux nombreuses
et svres faiblesses que des chercheurs ont trouves dans le
mcanisme prcdent, le WEP, le WPA scurise la transmission de
donnes sans fil en utilisant une cl similaire la cl WEP, mais sa
force est que cette cl change dynamiquement. Il est donc plus difficile
pour un pirate de la dcouvrir et d'accder au rseau.

Dautre type de chiffrement existent mais ne sont pas utiliser dans les
installations standard, mais seront revues en profondeur lors des installations
professionnelles.
e) Choisir une mthode dauthentification base sur des certificats.
L'EAP (Extensible Authentification Protocol) n'est pas un protocole
d'authentification proprement parler, mais un protocole de transport de
protocoles d'authentification tels que TLS, MD5, PEAP, LEAP, etc. En effet,
avec cette mthode, les paquets du protocole d'authentification sont encapsuls
dans les paquets EAP. Son but est l'authentification d'un utilisateur sur un
rseau non ouvert, car dans un premier temps, dans ce type de rseau, seul les
trafics EAP sont permis (pour permettre l'authentification). Ce n'est qu'aprs
authentification que le rseau est ouvert.
4. Gestion rseau.
Le gestionnaire ou administrateur du rseau informatique est en mesure dappliquer une
dmarche algorithmique; danalyser larchitecture dun rseau informatique; de choisir des
lments physiques; doptimiser les fonctionnalits du systme dexploitation dune station de
travail; dassurer la scurit des lments physiques et logiques du rseau informatique;
dassurer la gestion du parc informatique; de superviser le fonctionnement du rseau
informatique; de choisir des logiciels; dassurer la gestion de son temps et de la qualit de son
travail; dassurer le soutien la clientle du rseau informatique; dassurer lvolution du
rseau informatique; de dvelopper des utilitaires; de diagnostiquer et rsoudre les problmes
du rseau informatique; de monter un serveur; dimplanter les technologies et les services
propres au rseau Internet; de planifier limplantation dun rseau informatique; dimplanter
un rseau informatique; dassurer la gestion du rseau informatique.
Bien des tches qui peuvent tre aisment misent en place en conjuguant les connaissances et
savoir-faire de linformaticien.

4.1. TCO (Total Cost of Ownership)


TCO est le Cot Total de Possession ou comment mesurer la dpense informatique. Le cot
total dune machine est loin de se rsumer son prix dacquisition.
Le TCO reprsente les cots matriels et logiciels de possession des actifs dinformations en
rseau dune entreprise. Il tient compte du cycle de vie de chaque produit depuis leur
acquisition jusqu leur mise au rebut. Lobjectif est donc de standardiser les quipements
pour rduire le cot des systmes dinformations.
Le TCO englobe les cots directs (matriel, logiciel, opration, administration) et les cots
indirects (cots doprations relis aux utilisateurs finaux et le temps dindisponibilit) ainsi
que les ots cachs dans lentreprise.
COTS DIRECTS COTS INDIRECTS
Cots matriel, logiciels dopration Cots doprations relis aux utilisateurs
et dadministration. Finaux et le temps dindisponibilits.
Que faut-il donc faire pour avoir une meilleure gestion du parc informatique ? Il y a deux
points auxquels vous devez faire attention :
Inventaire Matriel : une liste lectronique de tout le matriel informatique (station de
travail, serveurs, priphriques et matriel rseau). Elle doit inclure les identifications
des pices (numro de srie, code barres, description modle), historique des
dplacements, des ajouts, linformation des contrats ou des locations. Cette
information pourra tre utilise pour la planification technique, le support et la
finance.
Inventaire Logiciel : Gres de manire automatique sur les logiciels clients rseau et
serveur de votre entreprise, il comprend les termes et conditions de licence, la date
dacquisition, le nom et lemplacement de lutilisateur, les caractristiques
dinstallation du systme, les contrats dassistance, la surveillance de lutilisation,
lhistorique et dautres donnes informatiques. Un inventaire de logiciels est important
pour la gestion des licences, pour les contrats de maintenance, pour la planification, le
dpannage et la gestion financire.

Pour terminer, il est connu que la formation dun utilisateur constitue loutil le plus important
pour rduire les cots. Un utilisateur qui manque de formation consomme de deux six fois
plus de temps quun utilisateur form en ce qui concerne lassistance technique.

4.2. valuation rseau (audit informatique).


Lobjectif est dvaluer la situation actuelle de lexploitation informatique de lentreprise et
de prconiser des actions damlioration. Lvaluation portera sur les cinq domaines suivants :

1. La qualit de linfrastructure informatique et le positionnement des choix


technologiques, tant dun point de vue du matriel (rseau, cblage, parc PC et
imprimantes, serveurs) que dun point de vue groupware;

Lors dune vrification de linfrastructure rseau vous devez vrifier aussi bien le
passif, le rseau et les autres composantes :
Le passif :

Local technique,
Cble,
Patch panel ;

Le rseau:

Mthode daccs / topologie,


Hub et switch,
Routeur;

Les serveurs;
Les PCs ;
Les imprimantes ;
Le groupware.

2. Le support reu par les utilisateurs informatiques (helpdesk) ainsi que la gestion des
changements et la gestion des configurations et des versions, dsign ci-aprs par le
terme Service Support ;

Le helpdesk doit avoir des personnes de contacts bien tablies, des responsables
informatiques, des gens comptents dans chaque domaine. Lorsque le problme
devient consquent, les utilisateurs doivent tre capables de se tourner vers un
interlocuteur unique, pour viter encore une fois que chaque personne choisisse sa
propre ligne de conduite.
La satisfaction clientle doit pouvoir se mesurer en matire de rapidit et de qualit de
service, mais aussi en ce qui concerne la qualit technique des interventions et/ou des
solutions.

Au niveau des logiciels mtier, des changements progressifs doivent pouvoir tre
centralis pour viter que les utilisateurs ninstall pas des mises jour non-autoris
ou non conforme. Cela vous amnerais comme consquences que les postes de
lentreprise ne soit plus identique et que chaque PC arrive, terme, avoir une
installation diffrente. Cela devient trs chaotique pour une bonne gestion. Pour ce qui
est de la bureautique en gnral, les modifications sont de 2 types : les mises niveau
et correctifs, et les rinstallations souvent utilis et centralis par des systmes
informatiques tels que WSUS.

3. Les activits de gestion du systme dinformation : la gestion financire, la gestion de


projet, la gestion des acquisitions et des fournisseurs;

Il faut donc bien vrifier si les dpenses informatiques sont gres par budget ou sont
effectues au coup par coup. Quel que soit la faon utilise, les dpenses doivent tre
justifies.

4. La scurit du systme dinformation visant garantir la protection et lintgrit des


donnes grce la fiabilit de lalimentation lectrique, des sauvegardes des donnes,
des mesures anti-virus et la gestion des mots de passe;
La scurit des donnes repose sur trois grands points :
Confidentialit
Intgrit
Disponibilit
(CIA en anglais: Confidentiality, Integrity and Availability)

Vous devez donc tenir en compte :

le local technique ;
la scurit du serveur et sa rsilience ;
lalimentation secourue ;
le back up ;
la protection virale;
lutilisation du mot de passe et la protection des stations ;
la scurit des donnes au niveau des serveurs.

Sans se vouloir exhaustive, cette liste tente de recenser les lments de scurisation les
plus ncessaires. Il faut donc vrifier :

La prsence dun systme de backup de qualit et fonctionnel


Le double backup par rplication
La prsence dun antivirus sur quasi tous les PCs
La simplicit des mots de passe
La prsence de donnes locales et donc non backupes
Le non suivi de lantivirus
Labsence dun antivirus au niveau de 3 des 4 serveurs
Les versions diffrentes dantivirus
La non-externalisation de certaines bandes de backup
Le clavier non adapt une console serveur

5. Gestion documentaire au travers de linspection de documents.

Il faut donc :

Un minimum de suivi des interventions


Le classement automatique et la facilit de gestion des documents
La prsence dun systme de codification de fichiers (versioning)

Lors dune procdure dinspection de documents on se base sur la lecture, un examen


approfondi effectu sur base des critres lis au contenu du document, tels que la
structure, la compltude, la cohrence et la clart.
Linspection vrifie la conformit du document par rapport aux standards de
documents utiliser pour la mise en place, la gestion et le suivi de projet. Cette
inspection analyse les aspects suivants des documents :

Identification
Stockage
Utilit, compltude et exactitude.
Pour chaque document analys, les informations suivantes devraient tre reprises:

Identification
Nom du document
Auteur
Statut (brouillon/dfinitif)
Date dmission
Version
Nombre de pages
Identification de chaque page (en-tte ou pied de page)
Nombre de copies/liste de diffusion
Stockage
Dtenteur du document
Format du document (papier ou lectronique)
Utilit du document
Utilit pour lentreprise

Vous devez tre en mesure de prsenter une vue densemble sur la situation actuelle de
lexploitation informatique au travers (1)dune synthse des forces et faiblesse ; (2) une
analyse dtaille base sur les entretiens raliss et les documents qualit fournis ainsi que
(3) des recommandations pragmatiques.

4.3. LAnalyse et Optimisation de la performance rseau.


Les rseaux de communication jouant un rle de plus en plus important dans nos activits
quotidiennes, linterruption des services quils fournissent, ou mme une dgradation
significative de leur qualit, deviennent de moins en moins acceptables. La scurisation des
rseaux et le contrle de qualit de service sont ainsi devenus des enjeux majeurs qui
ncessitent de relles avances mthodologiques dans plusieurs domaines. Nos contributions
en ce sens peuvent se rpartir en deux volets : dune part celui de lvaluation de performance
et dautre part celui de loptimisation de rseaux.

Lvaluation de performance sont bass sur la thorie des files dattente et sur
la thorie des jeux, des principales mtriques de performance au niveau paquet (dlai, taux de
perte et gigue), mais aussi au niveau flot (nombre de sessions actives, temps de
tlchargement, etc).
Les travaux en optimisation sont quant eux essentiellement consacrs au dveloppement de
mthodes pour la conception de rseaux (daccs ou de backbone) rsilients, leur
dimensionnement et loptimisation de leur routage (avec OSPF ou MPLS).

A) valuation de Performances de Rseaux


Les performances fournies par le rseau doivent tre analyses en valuant le
systme par un ensemble de paramtres comme le temps de rponse ou la charge du
systme.
Cet aspect serait aborder brivement en classe mais ne sera pas approfondi car il fait
partie du cours de Modlisation.

B) Optimisation de Rseaux

1. Blocage des applications indsirable : Le volume et une


constante augmentation du trafic applicatif sur les rseaux
peuvent surcharger les solutions WAN.

2. Blocage des applications indsirable : Lutilisation par les


employs dapplications chronophages11 et dangereuses pose un
dfi supplmentaire aux services informatiques.

Votre pare-feu ou firewall devrait pouvoir identifier et bloquer


les applications non-productives et dangereuses avant quelles
ne pntrent sur le rseau.

3. Applications de gestion de la bande passante : En termes de


bande passante, la priorit doit tre accorde aux applications
mtier, vitales, tandis que les mdias sociaux et autres flux
vido doivent pouvoir tre limits, voir totalement bloqus.
Ladministrateur doit pouvoir faire la distinction entre
applications productives et contre-productives.

4. Dduplication de donnes : Dans les environnements distribus,


les utilisateurs dapplications collaboratives transmettent
souvent plusieurs reprises des fichiers entiers. Ils renvoient
donc sans arrt les mmes donnes, inutilement. La
dduplication de donnes rduit le trafic en ne transmettant que
les modifications incrmentales. La dduplication de donnes
par la mise en cache doctets et de fichiers limite la
consommation de bande passante rduit considrablement la
latence, ce qui acclre les dlais de rponse et optimise
lexprience de tous les utilisateurs.

5. Acclration WFS (Windows File Sharing) : Dans un WAN,


laccs de plusieurs utilisateurs un mme fichier par le biais de
Windows File Sharing (WFS) peut accrotre les besoins en
bande passante.

Lacclration WFS met en cache localement les fichiers et


mtadonnes les plus utilises afin de rduire un minimum les
transferts de donnes redondantes.

11
Applications qui font perdre beaucoup de temps.
Lorsque seules les modifications de donnes sont transmises au
lieu des structures entires, les dlais de rponse sen trouve
considrablement amliors et la consommation de bande
passante diminu.

6. Compression des donnes: En raison de leur complexit, les


applications modernes gnrent toujours plus de trafic rseau.
La compression des donnes amliore les performances et
rduit la latence sur le WAN.

7. Amlioration de la scurit : Avec dautres solutions


doptimisation du WAN, ladministrateur doit choisir entre un
dploiement lintrieur ou lextrieur de la barrire de
scurit, ce qui rend souvent le rseau vulnrable. Pire, ces
solutions peuvent mme acclrer la propagation des menaces
sur le rseau. Le deep packet inspection (DPI) des pare-feu
nouvelles gnrations et/ou des routeurs/switch examine chaque
paquet de chaque protocole en vue dliminer les programmes
malveillants et de contrer les intrusions avant lacclration des
donnes sur le WAN.
La plupart des mcanismes DPI utilisent l'analyse de signature
pour comprendre et vrifier les diffrentes applications. Les
signatures sont des modles uniques qui sont associs chaque
application.

8. Visualisation en temps rel : La visualisation en temps rel offre


aux administrateurs un aperu stratgique des gains de
performance et leur permet de voir les conomies raliss grce
aux diffrents changements sur le WAN. Elle montre galement
lutilisation dapplications indsirable ou douteuses, permettant
aux services informatiques de scuriser et de contrler
efficacement le rseau, rduisant ainsi le cot de possession.

4.4. Dpannage Connexions rseaux.


Le dpannage des connexions rseaux peux se faire travers de commande en ligne de
commande DOS, Windows ou directement sur les routeurs/switch.
DOS
1. Vrifier que la carte a bien une adresse IP dfinie : ipconfig
2. Si TCP/IP est correctement install sur lordinateur : ping 127.0.0.1
3. Vrifier si une communication peut stablir dans un rseau interne : ping X.X.X.X
4. Si une connexion au rseau interne est tablie mais quaucun page saffiche dans le
navigateur, la commande suivante peut-eter tablie : ipconfig /flushdns
5. Vrifier les connexions actives : ARP a
6. Vrifier les ordinateurs connects sur le rseau, sous leur nom NETBIOS12 : net view
7. Vrifier les connexions sur un ordinateur, y compris les autres ordinateurs : net
session
8. Vrifier les ports lcoute sur un ordinateur : netstat (affiche uniquement les ports
actifs ( lcoute sur un ordinateur tant en TCP quen UDP) et netstat a (affiche tout
les ports, y compris ceux qui sont inactifs).
9. Vrifier laccessibilit dun site avec la commande tracert . Attention, elle ne vous
affiche que le chemin vers un site avec un maximum de 30 hop.

WINDOWS
1. Diagnostique rseaux de Windows.

2. Outil Fix it, de Windows.

3. Network Traffic Tool est utilis pour la capture du trafic rseau et analyse des
protocoles.
4. Resource Monitor est utilis pour vrifier lactivit rseaux, les connexions TCP,
lcoute des ports et permet aussi dafficher des graphiques trs visuel nous donnant
un aperu de la situation.

5. Event Viewer (Observateur dvnements) : LObservateur dvnements est un outil


avanc qui affiche des informations dtailles sur les vnements significatifs (les
programmes qui ne dmarrent pas comme prvu ou les mises jour qui sont
tlcharges automatiquement, par exemple) de votre ordinateur. Cet outil peut
savrer utile pour rsoudre des erreurs et des problmes affectant Windows et
dautres programmes.

12
NetBIOS est une architecture rseau co-dveloppe par IBM et Sytek (en) au dbut des annes 1980.
NetBIOS est utilis principalement par Microsoft. Ce n'est pas un protocole rseau, mais un systme de
nommage et une interface logicielle qui permet dtablir des sessions entre diffrents ordinateurs dun rseau.
(source : Wikipedia)
6. PRTG Network Monitor Freeware : PRTG Network Monitor fonctionne en
permanence sur un ordinateur Windows l'intrieur de votre rseau. Il enregistre les
donnes de lutilisation de votre rseau. Les donnes collectes sont alors stockes
dans une base de donnes pour tre exploites ultrieurement.
Une interface Web intuitive vous aide administrer le systme, mettre en place les
capteurs, configurer des rapports et valuer les rsultats. Vous pouvez aussi crer
des comptes rendus sur la charge et permettre vos collgues ou clients d'accder en
temps rel des graphes et des tableaux.

Pour la surveillance de la bande passante, le moniteur de rseau prend en charge les


trois mthodes suivantes:

SNMP13 et WMI14
Packet Sniffing15
NetFlow16

7. Wireshark : Wireshark est un analyseur de paquets libre utilis dans le dpannage et


l'analyse de rseaux informatiques. Il fonctionne sur de nombreux environnements
compatibles UNIX comme GNU/Linux, FreeBSD, NetBSD, OpenBSD ou Mac OSX,
mais galement sur Microsoft Windows.

LINUX
1. Shinken : Shinken est une application permettant la surveillance systme et rseau.
Elle surveille les htes et services spcifis, alertant lorsque les systmes vont mal et
quand ils vont mieux. Cest un logiciel libre sous licence GNU AGPL et compatible
avec Nagios.
2. Centreon : Centreon est le progiciel Open Source au coeur de la suite Centreon, il vous
permet de superviser lensemble de vos infrastructures et applications composant votre
systme dinformation.

13
Simple Network Management Protocol (abrg SNMP), en franais protocole simple de gestion de
rseau , est un protocole de communication qui permet aux administrateurs rseau de grer les quipements
du rseau, de superviser et de diagnostiquer des problmes rseaux et matriels distance.
14
WMI est un systme de gestion interne de Windows qui prend en charge la surveillance et le contrle de
ressource systme via un ensemble dinterfaces.
15
Un analyseur de paquets est un logiciel pouvant lire ou enregistrer des donnes transitant par le biais d'un
rseau local non-commut. Il permet de capturer chaque paquet du flux de donnes (en) traversant le rseau,
voire, dcoder les paquets de donnes brutes (en), afficher les valeurs des divers champs du paquet, et
analyser leur contenu conformment aux spcifications.
16
NetFlow est une architecture de surveillance des rseaux dveloppe par Cisco Systems qui permet de
collecter des informations sur les flux IP. Elle dfinit un format d'exportation d'informations sur les flux rseau
nomm NetFlow services export format (format d'exportation des services NetFlow, en abrg protocole
NetFlow). Elle permet de superviser de faon fine les ressources du rseau utilises.
CISCO
1. Cisco Network Assistant : Network Assistant est une application qui permet de grer
les priphriques indpendants et les groupes de priphriques, communauts et
clusters, depuis nimporte quel endroit de votre intranet. Ses interfaces permettent de
raliser de nombreuses tches de configuration sans avoir recours la ligne de
commande (CLI).
2. Cisco Real-Time Monitoring Tool : Cisco Unified Real-Time Monitoring Tool
(RTMT) fonctionne comme une application ct client, utilisant lHTTPS et TCP pour
surveiller les performances du systme, ltat de l'appareil, la dtection des
priphriques, les applications CTI, et les ports de messagerie vocale. RTMT peut se
connecter directement des appareils via HTTPS pour dpanner les problmes des
systmes.

!!! Il y a bien dautres outils Cisco ainsi que de nombreuses commande en ligne Cisco, mais
celles-ci seront tudier et aborder dans le cours Cisco !!!

4.5. Dpannage problmes WiFi.


Les raisons pour lesquelles vous pouvez rencontrer des problmes de connectivit rseau
WiFi sont nombreuses mais les situations courantes susceptibles dengendrer ces problmes
sont les suivantes :
1. Commutateur de carte rseau sans fil non activ : Testez votre connexion rseau aprs
chaque tape avant de passer la suivante. Si vous possdez un PC portable ou un PC
quip dune carte rseau sans fil, vous pouvez voir la liste des rseaux sans fil
disponibles, puis vous connecter lun de ces rseaux. Les rseaux sans fil
napparatront que si une carte rseau sans fil est installe sur votre PC, si cette carte
rseau est active et si le point daccs sans fil est porte de votre ordinateur.

2. Cls de scurit WEP, WPA ou WPA2 ou phrases secrtes incorrectes

3. Cbles mal connects

4. Pilotes endommags ou non compatibles : Un pilote de carte rseau est un logiciel


dont se sert votre ordinateur pour communiquer avec votre carte rseau sans fil. Des
pilotes de carte rseau obsoltes, incompatibles ou endommags peuvent empcher les
connexions rseau ou provoquer des dconnexions intermittentes.
Si vous tes rcemment pass dune version de Windows une autre, il est possible
que le pilote de carte rseau actuel ait t conu pour votre version prcdente de
Windows. Si vous avez dernirement t confront des pannes de courant, des virus
ou dautres problmes dordinateur, votre pilote est peut-tre endommag. Windows
Update tlcharge et installe automatiquement les mises jour recommandes.
Linstallation des mises jour importantes, recommandes et facultatives permet de
mettre jour les fonctionnalits systme ainsi que dautres logiciels susceptibles de
vous aider rsoudre vos problmes de connexion rseau.

5. Mise jour manquantes


6. Paramtres de connexion rseau

7. Problme matriels ou logiciel


5. Scurit rseau.
La scurit d'un rseau est un niveau de garantie que l'ensemble des machines du rseau
fonctionnent de faon optimale et que les utilisateurs desdites machines possdent uniquement
les droits qui leur ont t octroys. Il peut s'agir :

d'empcher des personnes non autorises d'agir sur le systme de faon malveillante
d'empcher les utilisateurs d'effectuer des oprations involontaires capables de nuire
au systme
de scuriser les donnes en prvoyant les pannes
de garantir la non-interruption d'un service

5.1. Firewalls.
Il existe diffrents type de pare-feu ou firewalls. Deux des importants types de firewall ont t
trait au chapitre 3.
1. Pare-feu applicatif
Le pare-feu applicatif vrifie la complte conformit du paquet un protocole attendu. Par
exemple, ce type de pare-feu permet de vrifier que seul du protocole HTTP passe par le port
TCP 80. Ce traitement est trs gourmand en temps de calcul ds que le dbit devient trs
important. Il est justifi par le fait que de plus en plus de protocoles rseaux utilisent un
tunnel TCP afin de contourner le filtrage par ports.

Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains
protocoles comme le fameux FTP en mode passif changent entre le client et le serveur des
adresses IP ou des ports TCP/UDP. Ces protocoles sont dits contenu indsirable ou
passant difficilement les pare-feu car ils changent au niveau applicatif (FTP) des
informations du niveau IP (change d'adresses) ou du niveau TCP (change de ports). Ce qui
transgresse le principe de la sparation des couches rseaux. Pour cette raison, les
protocoles contenu indsirable passent difficilement voire pas du tout les rgles de NAT
...dynamiques, moins qu'une inspection applicative ne soit faite sur ce protocole.

Le protocole HTTP permet d'accder en lecture sur un serveur par une commande GET, et en
criture par une commande PUT. Un pare-feu applicatif va tre en mesure d'analyser une
connexion HTTP et de n'autoriser les commandes PUT qu' un nombre restreint de machines.

Conntrack (suivi de connexion) et l7 Filter (filtrage applicatif) sur Linux


Netfilter
CBAC sur Cisco IOS
Inspect sur Cisco PIX

2. Pare-feu identifiant
Un pare-feu ralise lidentification des connexions passant travers le filtre IP.
L'administrateur peut ainsi dfinir les rgles de filtrage par utilisateur et non plus par adresse
IP ou adresse MAC, et ainsi suivre l'activit rseau par utilisateur.
3. Pare-feu personnel
Les pare-feu personnels, gnralement installs sur une machine de travail, agissent comme
un pare-feu tats. Bien souvent, ils vrifient aussi quel programme est l'origine des
donnes. Le but est de lutter contre les virus informatiques et les logiciels espions.
Vous avez de nos jours un pare-feu personnel intgr dans la plupart des antivirus,
mais vous avez aussi dautres logiciels libres tels quAd-Aware, Spybot qui sont
trs utilis pour combattre les accs non autoris.

4. Portail captif
La technique des portails captifs (captive portal) consiste forcer les clients HTTP d'un rseau
de consultation afficher une page web spciale (le plus souvent dans un but
d'authentification) avant d'accder Internet normalement. Les portails captifs permettent
d'offrir diffrentes classes de services et tarifications associes pour l'accs Internet. Par
exemple, Wi-Fi gratuit, filaire payant, 1 heure gratuite,...).

Vous rencontrez ce genre de pare-feu dans les restaurants, fast-food et dautres magasins
publics. Ils sont aussi de plus en plus prsents dans les gares de train et aroport.

5.2. Protocoles rseau (Scurit).

EAP (Extensible Authentication Protocol)


Dclin en 5 versions, cest la normalisation de lchange de mot de passe entre le client et
lquipement daccs au rseau que lon utilise dans le cadre du 802.1X 17:

EAP-MD5 : la version la moins sre dEAP.


LEAP : version CISCO du protocole, plus efficace que le MD5.
EAP-TLS : version la plus scurise du protocole EAP. Elle est base sur la notion de
certificats numriques (Transport Secure Layer). Mais sa mise en place est assez
lourde (gestion des certificats).
EAP-TTLS : version allge de l'EAP-TLS.
PEAP18 : version "CISCO" du protocole.

17
802.1X est un standard li la scurit des rseaux informatiques. Il permet de contrler l'accs aux
quipements d'infrastructures rseau (et par ce biais, de relayer les informations lies aux dispositifs
d'identification).
18
Protected Extensible Authentication Protocol, Protected EAP, ou plus simplement PEAP, est une mthode
de transfert scurise d'informations d'authentification, cre au dpart pour les rseaux sans fil. Ce protocole
a t dvelopp conjointement par Microsoft, RSA Security et Cisco Systems. Cest un standard ouvert de
l'IETF. PEAP n'est pas une mthode de chiffrement, c'est une procdure pour authentifier un client sur un
rseau.
802.11i ou RSN (Robust Security Network)
un SSID scuris:
une dconnexion rapide et scurise.
Authentification mutuelle station et point d'accs.
AES-CCMP (Advanced Encryption Standard-Counter mode with
CBC Mac Protocol): protocole remplaant TKIP et utilise AES la place de RC4.
AES (Advanced Encryption Standard): le standard de chiffrement des organisations
gouvernementales amricaines.

IPSEC
Dans un rseau priv virtuel IPsec, des quipements appels chiffreurs IPsec ralisent
l'interconnexion entre le rseau priv et le rseau support. Ces quipements :

analysent les paquets IP du rseau interne et dterminent en fonction de leur adresse


de destination, l'quipement de chiffrement qui gre l'adresse correspondante;
fabriquent un paquet IPsec destin ce chiffreur et y intgrent les donnes du paquet
initial de faon chiffre.

SSL
SSL (Secure Sockets Layers) est un procd de scurisation des transactions effectues
via Internet. Il repose sur un procd de cryptographie par clef publique afin de garantir la
scurit de la transmission de donnes sur Internet. Son principe consiste tablir un canal de
communication scuris entre deux machines (un client et un serveur) aprs une tape
d'authentification.
Le systme SSL est indpendant du protocole utilis, ce qui signifie qu'il peut aussi bien scuriser
des transactions faites sur le Web par le protocole HTTP que des connexions via le protocole FTP,
POP ou IMAP. En effet, SSL agit telle une couche supplmentaire, permettant d'assurer la
scurit des donnes, situes entre la couche application et la couche transport (protocole TCP par
exemple).

5.3. Attaques rseaux.


Les cyber-attaques menaant tous ces systmes prennent diverses formes : prises de contrle
clandestin dun systme, dni de service, destruction ou vol de donnes sensibles, hacking
(piratage du rseau de tlcommunication), craking (craquage des protections logicielles des
programmes), phreaking (sabotage, prise de contrle de centrales tlphonique, ). Elles ont
toutes des consquences ngatives pour les organisations ou individus qui sont victimes.

A) Attaques traditionelles

Attaques par rebond.


Lors dune attaque, le pirate garde toujours lesprit le risque de se faire reprer,
cest la raison pour laquelle les pirates privilgient habituellement les attaques par
rebond, consistant attaquer une machine par lintermdiaire dune autre machine,
afin de masquer les traces permettant de remonter lui (telle que son adresse IP) et
dans le but dutiliser les ressources de la machine servant de rebond.

Attaques par dni de service (DoS)


Les attaques de type Denial-of-Service ont pour but de saturer un routeur ou un
serveur afin de le crasher ou en prambule dune attaque massive. Ces types
dattaque sont trs faciles `a mettre en place et trs difficile empcher (cqfd.
arrter). Mais quelles sont les raisons qui peuvent pousser un attaquant utiliser les
DoS en sachant que cela peut mener la destruction du routeur ou du serveur
vis:

Rcuprer un accs : une attaque de type Denial-of-Service fait, la plupart


du temps, partie dune attaque visant `a obtenir le contrle dune machine
ou dun rseau. Par exemple lattaque de type SYN Flood, trs rpandue,
est souvent utilise de pair avec une tentative de Spoofing.
Masquer les traces : ce type dattaque permet galement de crasher une
station qui par exemple aurait pu contenir des traces du passage dun
Hacker. En dtruisant cette station, il sassure ainsi une certaine prennit.
Se venger : trs frquemment, ces attaques sont utilises afin dassouvir une
vengeance personnelle contre une personne, un administrateur ou bien
encore une entreprise. . .

Exemples de Logiciels : Ping O Death ; Land Blat, Jolt, TearDrop SynDrop,


Ident Attack, Bonk Boink, Smurf, WinNuke,

Attaques dite par rflexion


La technique dite attaque par rflexion (en anglais smurf ) est base sur
lutilisation de serveurs de diffusion (broadcast) pour paralyser un rseau. Un
serveur broadcast est un serveur capable de dupliquer un message et de lenvoyer
toutes les machines prsentes sur le mme rseau.

Attaques par usurpation dadresse IP (IP spoofing)


Lusurpation dadresse IP est une technique consistant remplacer ladresse IP de
lexpditeur dun paquet IP par ladresse IP dune autre machine. Cette technique
permet ainsi un pirate denvoyer des paquets anonymement. Il ne sagit pas pour
autant dun changement dadresse IP, mais dune mascarade de ladresse IP au
niveau des paquets mis. La technique de l'usurpation d'adresse IP peut permettre
un pirate de faire passer des paquets sur un rseau sans que ceux-ci ne soient
intercepts par le systme de filtrage de paquets (pare-feu).

Intrusion
Balayages de ports
Elvation de privilges : Ce type d'attaque consiste exploiter une
vulnrabilit d'une application en envoyant une requte spcifique, non
prvue par son concepteur, ayant pour effet un comportement anormal
conduisant parfois un accs au systme avec les droits de l'application. Les
attaques par dbordement de tampon (en anglais buffer overflow) utilisent
ce principe.
Maliciels (virus, vers et chevaux de Troie)

Ingnierie sociales
Dans la majeure partie des cas le maillon faible est l'utilisateur lui-mme ! En effet
c'est souvent lui qui, par mconnaissance ou par duperie, va ouvrir une brche dans
le systme, en donnant des informations (mot de passe par exemple) au pirate
informatique ou en excutant une pice jointe. Ainsi, aucun dispositif de protection
ne peut protger l'utilisateur contre les arnaques, seuls bon sens, raison et un peu
d'information sur les diffrentes pratiques peuvent lui viter de tomber dans le
pige !

Trappes
Il s'agit d'une porte drobe (en anglais backdoor) dissimule dans un logiciel,
permettant un accs ultrieur son concepteur.

Actuellement, le problme est de correctement dfinir les risques engendres par la criminalit
informatique. Il faut pour cela avoir une vision globale du problme et connatre globalement
les techniques utiliss par les nouveaux flibustiers. Il sagira ensuite danalyser correctement
les vulnrabilits propre `a chaque site, de dfinir le niveau de scurit requis et enfin de
mettre en place une politique de scurit acceptable. Lors de cette tape il faut bien veiller
examiner le problme tant du cote de ladministrateur que de celui du simple utilisateur afin
de ne pas en crer de nouveaux. . .