IMA4 Network

Modèle OSI et IETF Réseaux locaux Ethernet TCP/IP
Réseau informatique
Thomas Vantroys
thomas.vantroys@univ-lille.fr
Polytech’Lille
Université de Lille
IMA4
2021 - 2022
Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 1 / 481

SOTD
There are only 10 types of people in the world :

Those who understand binary and those who don’t.

Organisation
12h de cours (Th. Vantroys)

16h de TP (X. Redon et Th. Vantroys)
manipulation de trames Ethernet
mise en place d’un réseau
configuration des équipements
installation et configuration de machines virtuelles
manipulation des protocoles réseaux

Évaluation
Examen sur table (2h)

Objectifs et prérequis
Objectifs :
Comprendre le fonctionnement d’un réseau local
Comprendre le routage
Connaı̂tre les principaux protocoles d’Internet
Savoir mettre en place des réseaux
prérequis :
cours de logique et microprocesseur
cours sur les systèmes d’exploitation

Plan
1 Modèle OSI et IETF
2 Réseaux locaux Ethernet
3 TCP/IP
IP
ICMP
4 Passerelles Applicatives
5 La couche transport
UDP
TCP
6 Securité
7 DNS
8 Les protocoles d’applications
9 VLAN
Présentation
802.1Q
Configuration Cisco
Commutateur
Bibliographie non exhaustive

Douglas Comer.
TCP/IP.
Dunod, septembre 2000.
Joëlle Delacroix.
Linux : programmation système et réseau.
Dunod, février 2009.
ISBN :978-2-10-052539-3.
Olivier Hersent, David Gurle, and Jean-Pierre Petit.
La Voix sur IP.
Dunod, deuxième edition, août 2006.
Stéphane Lohier and Dominique Présent.
Réseaux et transmissions.
Dunod, août 2020.
ISBN : 978-2-10-081183-0.
Jean-François Pillou.
Tout sur les Réseaux et Internet.
Comment Ca Marche. Dunod, septembre 2006.

ISBN : 2-10-050277-8.
Claude Servin.
Réseaux et Télécoms.
Dunod, troisième edition, mai 2009.
ISBN : 978-2-10-052626-0.

Introduction


Le réseau : vue utilisateur








Que faire ?

Définitions
Réseau : structure définie par des relations entre entités -

Ensemble d’ordinateur ou de terminaux interconnectés par des
télécommunications générales permanentes ou non.
Un réseau peut se résumer à trois catégories de constituants :
1 le matériel, i.e., transmission ”physique” de l’information .
Par exemple : commutateur, routeur, . . . ;
2 les protocoles, i.e., l’ensemble de règles définissant le mode de
communication entre deux entités. Par exemple : IPv4,
Ethernet, TCP, HTTP, . . . ;
3 les applications. Par exemple : navigateur web, lecteur de
mail, . . .

Résolution de problème
déterminer l’origine du problème (matériel, protocole

application)
première approche : la commande ping
envoie d’une ”demande d’écho” à une machine distante
exemple :

Résolution de problème
à quel niveau (matériel, logiciel) se situe le problème ?

dans l’exemple, le problème est lié au nom de la machine
Comment est adressée une machine ?

Adresse(s)

Adresse(s)
Exemple d’adresses associées à une seule machine :

nom d’une machine : trg38.univ-lille1.fr
adresse IPv4 : 134.206.90.38
adresse MAC (matérielle) : 00:20:AF:04:E8:FF
Pourquoi autant d’adresses pour une seule machine ?
la communication réseau s’appuie sur une pile protocolaire
chaque protocole posséde son adressage
Pour comprendre les différentes couches protocolaires, un modèle
”théorique” : le modèle OSI



Généralité
Utilité d’un réseau informatique

Partager les ressources
Augmenter la fiabilité
Réduction des coûts
Augmentation des performances
Média de communication
Travail coopératif
Organisations virtuelles
...

Concepts de base

Liaison
Communication via liaisons (définition de l’UIT-T)

UIT-T : Union Internationale des Télécommunication -
secteur des Télécommunications
ETTD : Équipement Terminal de Traitement de Données
(DTE : Data Terminal Equipment)
ETCD : Équipement de Terminaison du Circuit de Données
(DCE : Data Communication Equipment)
adaptation du signal binaire (codage et modulation)
gestion de la liaison
Sens des échanges
Liaison unidirectionelle (simplex)

Liaison à l’alternat (half-duplex)
Liaison bidirectionnelle (full-duplex)

Codage de l’information
transforme les données en suite de bits

Principaux codes :
ASCII
unicode
ISO 8859

Transmission
2 types de transmissions :
Parallèle
envoi de plusieurs bits en même temps sur des fils distincts
problème possible de synchronisation, utilisé sur des courtes
distances
Série
les bits sont envoyés successivement
transmission synchrone ou asynchrone
synchrone : signal d’horloge envoyé par l’émetteur
asynchrone : utilisation de bit Start et Stop, période de repos
entre deux envois
Exemple d’interfaces série :
Serial Peripheral Interface (SPI)
General Purpose Input/Output (GPIO)
Secure Data Input/Output (SDIO)
Inter-Integrated Circuit (I 2 C )
Universal Serial Bus (USB)
RS232/V24
RS422
Serial Peripheral Interface
SPI (Motorola)
bus série, high-speed, full duplex synchronous
pas de standard officiel
le bus SPI utilise 4 I/O
MOSI (Master Out / Slave In)
MISO (Master In / Slave Out)
SCLK (Serial Clock)
CS (Chip Select)

le maı̂tre et l’esclave ont un registre circulaire

chaque périphérique, dans chaque transmission, doit lire et
écrire une donnée

SPI utilise un protocole de communication synchrone

le maı̂tre et l’esclave doivent avoir la même horloge, ...
... la polarité (CPOL), ...
... la phase (CPHA)


Inter-Integrated Circuit
l’objectif est de minimiser les coûts pour connecter des

composants
chaque périphérique qui utilise I 2 C possède une unique
adresse, utilisée pour communiquer avec lui
deux lignes de communication :
Serial Clock (SCK)
Serial Data (SDA)

Inter-Integrated Circuit
chaque maı̂tre génére le signal d’horloge

I 2 C a un mécanisme d’arbitrage pour sélectionner le maı̂tre
I 2 C définit deux vitesses :
fast mode – jusqu’à 400 kbps
high-speed mode – jusqu’à 3.4 Mbps

Interfaces de communication - Résumé
Les bus sont les éléments essentiels pour le transfert de

données
pour des raisons de taille, les bus séries sont principalement
utilisés
les bus séries demandent des horloges rapides pour obtenir les
même débit que les bus parallèles
les bus séries peuvent devenir des goulets d’étranglement

Transmission en bande de base

Principe
Technique de transmission numérique

Consiste à émettre sur la ligne des tensions différentes
Utilisable sur courte distance (quelques centaines de mètres)
Utilisé par exemple dans les réseaux locaux

Architecture des réseaux

Classification physique

Classification physique
Pas de classification universelle

Mais deux caractéristiques importantes :
1 Les techniques de transmission
Diffusion
Point à point
2 La taille des réseaux
LAN
MAN
WAN
...

Réseaux à diffusion
Broadcast Network : un seul canal de communication

Envoi de message avec une adresse de destination
-> Tout le monde écoute, un seul répond
Possibilité d’envoyer un paquet à toutes les machines :
diffusion générale (broadcast)
Possibilité d’envoyer un paquet à un sous-ensemble : diffusion
restreinte (multicast)

Réseau point à point
Grand nombre de connexion entre les machines

Les messages peuvent passer par plusieurs machines avant
d’arriver à leurs destination finale
Nécessité de router les messages

La taille
Distance Localisation exemple

1m Un ordinateur PAN
10 m Une salle
100 m Un immeuble LAN
1 km Un campus
10 km Une ville MAN
100 km Une région WAN
1000 km Un continent
10000 km Terre entière Internet

PAN
Personal Area Network

Ex : Bluetooth

LAN
Local Area Network

Réseau privé allant d’une salle à un campus
Objectifs : relier des ordinateurs personnels et autres
périphériques pour l’échange d’informations ou le partage de
ressources
Taille restreintes
Chemin de transmission (temps) maximal connu (oriente le
choix technologique)
Débit usuel de 10 Mbps à 1 Gbps
Différentes topologies
Bus, anneau, étoile

LAN - bus

LAN - anneau

LAN - étoile

MAN
Metropolitan Area Network

Réseaux hertziens (TV), câblés (TV), téléphonique
(commutateur local + boucles locales)
Réseaux couvrants une ville
Relient des LANs
Débit plus important au centre, redistribués dans une moindre
mesure aux extrèmités
Gèrer par une société (activité importante à part entière)

MAN : réseau câblé

MAN : réseau téléphonique GSM

WAN
Wide Area Network

Réseau longue distance
C’est l’ensemble :
hôtes (ordinateurs ou autres entités communicantes)
sous-réseau (de communication)

WAN

WAN
Routeur : choisit sur quelle ligne envoyer les données

”entrantes” (commutateur)
Ligne de transmission : transporte les bits d’une machine à
l’autre
La communication entre 2 routeurs non directement liés
passent par des routeurs intermédiaires

WAN : communication hôte - hôte

WAN : commutation
La notion de commutation est importante

Définition :
action de modifier par substitution, par transfert
liaison temporaire
Le choix d’un chemin de A à B se fait par les routeurs
Leurs décisions collectives donnent le chemin final
Envoi par commutation de paquet (chemin calculé à chaque
paquet), ou de circuits (fixe selon le traffic)

WAN : exemple
https://www.submarinecablemap.com/

Classification logicielle

Historique
Au début : il fallait d’abord créer un réseau qui marche
Un constructeur construisait tout du début à la fin (correction,
envoi, routage, découpage, . . . )
-> Problème de normalisation
-> Besoin d’un modèle de haut niveau pour délimiter les
fonctionnalités
Spécification d’un modèle en couche
Focalisation des constructeurs sur un aspect donné
Pour un même aspect, tous répondent à des
contraintes/interfaces standards
-> Plus de compatibilité, Plus de concurrence

Comment répartir les tâches dans différentes couches ?

Support physique : envoyer des 0 et des 1
Contrôle des erreurs, correction
Adressage
Routage (différence avec adressage ?)
Mise en paquet ( ?)
Sécurité ( ?)
Contrôle de flux ( ?)

Particularité des couches

Service avec ou sans connexion
Avec : réservation de ressources (paramétrage) -> qualité de
service
Sans : meilleure adaptation
Fiabilité
assurance de la réception d’un paquet (acquittement) -> plus
sûr, moins rapide
Sans plus rapide, moins sûr (streaming vidéo, son)

Classification
Avec ou sans connexion

Classification
Fiabilité

Exemple de couches/services
Fonctionnamlités proposées
Ex 1 : demande de connexion avec M, envoi d’un msg, fin de
connexion, . . .
Ex 2 : envoi crypté à M, envoi fortement crypté à M, demande
d’une route pour M, . . .

Exemple
-> 5 primitives/fonctionnalités : écoute, connexion, envoi,
réception, déconnexion

Exemple

Des modèles de référence
2 modèles ”standards”
OSI : Open System Interconnection
Norme
Très précis, vaste
Peu pratique
TCP/IP
Moins précis, plus pratique
Imposé par sa simplicité, implémentation stable et existante
Standard de facto

Le modèle OSI

Modèle OSI
OSI = Open Systems Interconnection de l’ISO

Un cadre utilisé pour aider au développement des standards
de télécommunication
Structuration en 7 couches pour mieux déterminer les
fonctionnalités prises en charge par chacun des composants du
logiciel et du matériel
C’est un modèle de référence, de très haut niveau
Ne définit pas les protocoles

Principes de bases
Une couche fournit un service à une couche supérieure en

s’appuyant sur le service fourni par la couche inférieure

Principes de bases
Une couche = une boı̂te noire

La couche de niveau supérieur utilise le service mais ignore le
détail de réalisation (la mise en œuvre)
Une couche inférieure présente le service avec un haut niveau
d’abstraction

Principes de bases
Deux couches de même niveau appartenant à deux systèmes

interconnectés dialogue en utilisant le même protocole

Protocole
C’est un ensemble de règles et de conventions pour la

conversation
Évidemment deux systèmes interconnectés doivent utiliser le
même protocole pour dialoguer entre eux
Le protocole de niveau inférieur ”encapsule” toutes les
informations gérées par le protocole du niveau supérieur (sans
avoir à en connaı̂tre la structuration) : il y a donc
indépendance entre les niveaux

Les 7 couches

Le modèle OSI par D. Comer
http://www.cs.purdue.edu/homes/dec/essay.network.
layers.html
Couche Nain Nom

1 Dormeur (Sleepy) Physique
2 Atchoum (Sneezy) Liaison
3 Joyeux (Happy) Réseau
4 Prof (Doc) Transport
5 Simplet (Dopey) Session
6 Timide (Bashful) Présentation
7 Grincheux (Grumpy) Application

Exemple : Fonctions de Transport

couches 1 à 4

Exemple : Fonctions de Transport

couches 1 à 4

La couche physique
moyens mécaniques, électriques, radio, . . . , fonctionnels pour

maintenir, activer, désactiver les connexions physiques pour la
transmission d’éléments binaires entre liaisons
unité = bit
ex : codeur, modulateur, multiplexeur
la partie ”électronique” des réseaux
Préoccupations :
Nb de volts (pallier), fréquences, synchronisation
Durée d’un signal/bit
Support physique

Équipements réseau
Câblage : 10base2, 10baseT, 10baseF, . . .

Transceiver : Transformation de signal (ex : électrique vers
optique)
Repeater : Répéte et amplifie les signaux

Les paires torsadées
Normes de câblage des bâtiments (les catégories)

catégories 1 et 2 : voix et données faible débit (application aux
liaisons série)
catégorie 3 : Bande passante jusqu’à 16Mhz (usage 10Mbps
sur 160 métres). Ex : 10BaseT
catégorie 4 : Bande passante jusqu’à 20 MHz (usage 16Mbps
sur 100 métres)
catégorie 5 : Bande passante jusqu’à 100 MHz (usage
100Mbps ou 155Mbps)
catégorie 6 : Bande passante jusqu’à 250 MHz (usage 1Gbps)
catégorie 7 : Bande passante jusqu’à 600 MHz
catégorie 8 : Bande passante 2000 MHz (usage
40Gbps-100GBps)

La prise RJ45

Câblage des prises RJ45
Prise réseau normalisée :

1 TX+
2 TX-
3 RX+
4 NA
5 NA
6 RX-
7 NA
8 NA
On utilise normalement des câbles ”droits” pour raccorder les
stations aux équipements actifs
Pour raccorder deux stations ou deux équipements entre eux,
on utilise un câble croisé :
TX+ sur RX+
TX- sur RX-

La fibre optique
Principe : l’information électrique est transformée par une

diode électro-luminescente (LED) ou une diode laser en onde
lumineuse pour être transportée dans le support
Record 10200 Gbps (10,2 Tbps) sur 100 kms

Record 3000 Gbps (3Tbps) sur 7300 kms

La fibre optique
Fibre multimode
Saut d’indice : faible débit

La fibre optique
Fibre multimode
Gradient d’indice :
Débit élevé mais distance < 2 km
Domaine d’application : les réseaux locaux

La fibre optique
Fibre monomode
Débit élevé et longue distance
Application : réseau longue distance (transocéanique)

Les équipements actifs
Répéteur ou concentrateur ou HUB

Fonctionne au niveau 1 du modèle OSI
Permet le raccordement des stations en étoile
Ne prend en compte que la remise en forme du signal
éléctrique avant de le rediffuser vers toutes les stations
Peut faire office de convertisseur de média
Même domaine de collision
Même domaine de diffusion
Éventuellement manageable

Un hub 8 ports

Représentation schématique OSI

réseau local avec hub

La couche liaison de données
Structure les données en trames

Transmet les trames en séquences
gestion des erreurs de transmission
doit optimiser l’utilisation de la connexion physique
unité = trame
ex : HDLC
Préoccupations :
Éviter le submergement
Contrôler l’accès partagé à un canal

Les équipements actifs
Commutateur ou switch
Permet de segmenter le réseau local en plusieurs domaine de
collision
Définit un seul domaine de diffusion
Est capable de reconnaı̂tre les adresses MAC des stations
Apprend seul la localisation des stations sur ses ports
Envoie la trame uniquement sur le segment de la station
destinataire

Commutateur Ethernet

Organisation physique des réseaux





La couche réseau
Éventuellement établit et gère une connexion de réseau

Acheminement de paquets de la source vers la destination
Pour cela, elle définit :
adressage
routage
contrôle de flux
ex : IP, X25-3

La couche transport
Découpe les données en ”paquets” de taille acceptable par le

réseau utilisé
En réception ”ordonne” les paquets avant de reconstituer le
message pour le groupe ”application”
Optimise les ressources réseau
Assure un service de ”bout en bout”
Permet le multiplexage de plusieurs communications
d’applications
ex : TCP, UDP

La couche session
Responsable de la synchronisation
Cadence le dialogue des applications (peut émettre, attente,
...)
Permet d’effectuer des reprises dans le dialogue
Gère les transactions
ex : les cookies HTTP

La couche présentation
S’intéresse à la syntaxe et sémantique des données transmises

Service de chiffrement ou de compression
Ex : HTML, XML

La couche application
Offre aux applications les moyens d’accès à la ”pile OSI”

fournit des classes de services
ex : terminal virtuel, transfert de fichiers, courrier
électronique, web

Deux grands modes de fonctionnement
Une couche peut fonctionner en mode connecté ou non (ex :

IP non connecté, TCP connecté)
La connexion permet la négociation de paramètres propres à
chaque utilisation du service
La connexion ”allourdit” la communication car il y a un
préambule
Exemple : UDP est un protocole de transport (niveau 4) non
connecté tandis que TCP est aussi un protocole de transport
mais lui est connecté

Modèle IETF

Modèle ISO et IETF
IETF = Internet Engineering Task Force

Définit les protocoles de l’Internet et les règles d’utilisation du
réseau
Spécifie les 4 couches liées aux fonctions de transport
IETF : Plus que des protocoles des API simples et largement
diffusées (socket)
Moins strict que l’ISO avec l’indépendance entre les couches
(TCP est un peu lié à IP)

Modèle de l’IETF
Modèle en 4 couches :
physique
liaison de données
réseau (IP et ICMP)
transport (TCP ou UDP)
Et un ensemble de protocoles pour les applications (ex :
HTTP) et les services (ex : DNS)

Comparaion OSI vs TCP/IP

Les protocoles d’internet

Le réseau local Ethernet

Réseaux Ethernet
Principe de base : partage du support physique

les stations doivent ”découper” les informations à émettre en
petites séquences (maxi : 1500 octets –> trame)
méthode d’accès : CSMA/CD (Carrier Sense Multiple
Access/Collision Detection)
la diffusion est naturelle (mais nécessite une adresse
particulière)

Réseaux Ethernet

Réseaux Ethernet
Chaque station est dotée par sa carte Ethernet d’une adresse

”unique” au monde
Des informations qui permettent le contrôle des erreurs de
transmission sont ajoutées au trames (H2 et T2 : voir modèle
OSI)

Réseaux Ethernet
Si l’adresse de destination :
n’est pas égale à sa propre adresse
ou à l’adresse de diffusion
La trame a subi une erreur de transmission
Ces trames sont simplement ignorées et ne donnent lieu à
aucune réponse !

Format de la trame Ethernet

Les domaines d’un réseau local
Il existe deux domaines :

Domaine de collision
Domaine de diffusion
La portée d’un réseau local se limite à un domaine de diffusion.

Les normes
C’est l’IEEE qui gère ces normes

Dénomination IEEE 802.x
x=3 − > CSMA/CD, x=5 − > Token Ring
Structurées en 3 niveaux sur 2 couches du modèle OSI
Physique (dépend du médium - type de câble - onde radio)
MAC (Medium Access Control)
LLC (Logical Link Control)

Ethernet et le modèle OSI

Les média
Dénomination : IEEE 802.x YY TTT MM

YY : débit (Mbps)
TTT : technique de code (bande de base ou large bande)
MM : identification du type de média (ou parfois la longueur
maximale)
ex : IEEE 802.3 10BaseT
CSMA/CD, 10 Mbps, Bande de base, (T = Twisted pair :
paire torsadée)

Interconnexion des réseaux

Objectifs
Définir les fonctions que doit offrir un réseau pour

s’interconnecter à d’autres réseaux d’une nature différente
Les réseaux de type ”IP” supportent toutes ces fonctions

Le mode non-connecté
Définit le datagramme comme unité d’échange

des éléments d’informations de taille limitée pouvant circuler
entre les machines et entre les réseaux
nécessite en en-tête avec des adresses sources et destinations
le datagramme doit pouvoir être fragmenté par des
équipements réseaux intermédiaires

La communication élémentaire
Chaque machine d’un réseau doit offrir un mécanisme de

remise de datagrammes :
à une machine particulière de son réseau local
à toutes les machines de son réseau local
Un protocole de liaison de données (couche 2) est obligatoire
(ex : PPP ou Ethernet IEEE 802.3) pour transporter le
datagramme

L’adressage
Chaque machine dispose d’une adresse physique fournie par
son raccordement au réseau physique
ex : Ethernet : adresse MAC
ex : RNIS : numéro de téléphone
Nécessité d’un adressage logique global
indépendance de l’opérateur ou de la nature du réseau
numéro de réseau suivi du numéro de machine pour ce réseau
Les éléments d’informations circulant entre les réseaux ne
portent que l’adresse logique globale
Il doir y avoir un mécanisme de correspondance entre les
adresses logiques globales et les adresses physiques de la
machine sur le réseau
Il peut y avoir deux types d’adresses
des adresses privées (ne circulant pas entre des réseaux publics)
des adresses publiques
Mécanisme de base
Lorsqu’une machine doit remettre un datagramme :

elle teste l’adresse globale pour savoir si le destinataire
appartient au même réseau
Si oui : elle doit remettre le datagramme à cette machine
destinataire elle-même (remise directe)
Si non : elle doit remettre le datagramme à un équipement
d’interconnexion de réseau (ex : routeur)

Remise d’un datagramme à une machine d’un même réseau
Pour remettre un datagramme à une machine d’un même réseau :

l’expéditeur (la machine) doit posséder son adresse physique
s’il ne l’a pas,il doit l’obtenir
pour l’obtenir il doit la demander :
à un serveur de correspondance d’adresses physiques à adresses
globales
à l’ensemble des machines du réseaux (diffusion) et seule la
machine possédant cette adresse répond à l’emetteur (ex :
ARP)

Communication avec les équipements d’interconnexion de

réseaux
L’expéditeur doit connaı̂tre l’adresse globale de l’équipement

d’interconnexion de réseau
Il remet alors le datagramme qui porte les adresses globales de
la station source et du destinataire final à cet équipement
dont le rôle est de prendre en charge l’acheminement du
datagramme

Exemple d’échange sur le réseau avec hub
S doit remettre un datagramme à cl

s rédige le datagramme avec :
ad source : @g(s)
ad destination : @g(cl)
s teste @g(cl) avec @g(s)
ici même réseau donc remise directe du datagramme
s demande et obtient @p(cl,rs1)
s envoie une ”trame” ethernet à destination de @p(cl,rs1)
portant le datagramme

Interconnexion de deux réseaux locaux par un routeur

Un routeur

Travail des équipements d’interconnexion
Chaque accès de l’équipement peut avoir une adresse globale

différente dont les numéros de réseau sont différents
Pour les réseaux qui n’ont pas de machines connectées
(uniquement des équipements réseaux) il n’y a pas besoin
d’adresse globale
Lire les en-têtes de datagrammes
Réaliser les opérations de routage
Optimiser la traversée des datagrammes. Pour cela les
équipements vont dialoguer entre eux
Détecter les vieux datagrammes qui ne trouvent pas la sortie
et les éliminer

Interconnexion de deux réseaux locaux au travers d’internet

Application aux réseaux IP
En version 4 :
@ globale 4 octets
numéro réseau suivi du numéro de machine sur le réseau
le numéro de réseau possède une taille variable
IP accompagné d’un protocole de ”contrôle” : ICMP (Internet
Control Message Protocol)
ICMP constitue le cœur de deux commandes de test d’un
réseau IP
ping (vérification de l’envois/réception d’information d’une
machine vers une autre)
traceroute (obtention de la liste des équipements de niveau 3
qui sont traversés (routeurs))
Sur réseau Ethernet : le protocole ARP établit la
correspondance entre @ logique globale (@g) et l’@ physique
MAC (@P)
Address Resolution Protocol

Résolution d’adresse physique
Pour communiquer : connaı̂tre l’adresse physique de la

machine cible
Dépendant de la couche physique
Deux principes
résolution statique (table)
résolution dynamique

Le protocole ARP
Résolution dynamique : IP -> Ethernet

Protocole ARP : Address Resolution Protocol
Principe
diffusion de qui s’appelle xx.yy.zz.vv ?
réponse directe ”moi aa :bb :bb :dd :ee :ff”
Cache des réponses ARP récentes

Paquet ARP

Exemple de paquet ARP

Internet Protocol

Internet Protocol
Un espace d’adressage unique (au dessus de l’adressage

physique des réseaux)
Un service pour acheminer au mieux les paquets
Un service sans connexion
Un mécanisme simple de conversion de nom à adresse (DNS)
Une opération de routage à chaque sortie de réseau
Un mécanisme de résolution d’adresse IP en adresse physique
(MAC)

En-tête IPv4

Les champs de l’en-tête IP
Version : codage du numéro de version

Lg-en : longueur de l’en-tête
Somme de contrôle : porte sur l’en-tête
Gestion de la qualité de service
Remarque : pratiquement inutilisé

Protocoles : ICMP (1), TCP (6), UDP (17)

Gestion du routage :
@ source et destination
TTL : durée de vie (décrémentée à chaque routeur)
L’en-tête devra être calculée à chaque routeur

Gestion de la fragmentation :
identification : générée par l’émetteur
attribution cyclique d’un numéro d’identification à chaque
datagramme émis
Longueur du datagramme
Bit M : more data
M = 0, fin du datagramme
M = 1, un fragement du datagramme
Déplacement du fragment : décalage du fragment dans le
datagramme
Bit C : copie les options dans chaque fragment

Les options
Routage dirigé par la source
Mode Strict
Mode lache
Enregistrement de route
Horodatage
Format (code, longueur, pointeur, data)

Internet Protocol
La montée en puissance de la micro-informatique : les stations

supporteront des logiciels de communication complexes (TCP)
Donc le réseau peut fournir un service plus simple et moins
contraignant
Plus besoin d’établir de circuit
Des paquets pourront manquer ou arriver dans le désordre

La fragmentation d’IP ou la souplesse d’un protocole
Pour s’adapter à tout type de réseaux :

Le datagramme peut être fragmenté pour ne pas excéder la
taille limite des éléments échangés dans le réseau (e.g. X25,
PPP)
À son arrivée dans la station destinataire les fragments sont
rassemblés pour reconstituer le datagramme
Un équipement de réseau ne perd pas de temps à réassembler
un datagramme
Les fragments ont pu prendre des chemins différents

Paramètres réseau d’une machine
En réseau IPv4, pour communiquer une machine doit posséder :

Une adresse IP de 4 octets où chaque octet est codé en
décimal et un point sépare chaque octet
Dans cette adresse IP, il y a deux informations :
Bits de poids fort : numéro de réseau
Bits de poids faible : numéro de machine dans ce réseau
Pour extraire ces deux informations de l’adresse IP, la machine
doit conaı̂tre le nombre de bits du numéro de réseau

Numéro de réseau
La représentation précise d’une adresse IP peut être donnée

sous la forme : @IP/nb de bits du numéro de réseau
Ex : 132.231.3.2/16 signifie que le numéro de réseau est de longueur
16 bits donc 132.231 et par convention on le note 132.231.0.0
Ex : 193.201.125.4/24, 24 bits pour le rx, donc 193.201.125 et par
convention 193.201.125.0
Le numéro de réseau peut prendre un nombre de bits
quelconque et donc ne pas être calé sur une frontière d’octet
Ex : 172.168.129.4/20, rx sur 20 bits donc 172.168.128 et par
convention 172.168.128.0

Masque de sous-réseau
En général dans les logiciels de paramétrage IP, on indique le

numéro du réseau par l’intermédiaire du masque de sous-réseau qui
se note comme l’adresse IP mais où il y a des valeurs 1 pour
chaque bit représentant le numéro de réseau
132.231.3.2/16 se note en fait :
@IP : 132.231.3.2
masque de sous-réseau : 255.255.0.0
193.201.125.4/24
@IP : 193.201.125.4
masque : 255.255.255.0
172.168.129.4/20
@IP : 172.168.129.4
masque : 255.255.240.0

Les paramètres IP
En résumé, la liste minimale des paramètres IP à indiquer à une

machine est :
adresse IP de la machine
Masque de sous-réseau
adresse IP ou nom de la passerelle du réseau
Note : Si un service de nommage existe, l’adresse de la passerelle
du réseau peut-être remplacée par son nom mais dans ce cas, il
faudra indiquer à la machine l’@ IP de la machine hébergeant le
service d’annuaire

Paramétrage IP
Le paramétrage IP peut être statique :

L’attribution des adresses IP se fait par l’administrateur qui
tient à jour une table. Quand on met une machine en service
on lui fixe sa configuration.
Le paramètrage IP peut être dynamique. Lorsque la machine
se met sous tension, elle demande sa configuration à un
serveur (protocole DHCP) à qui l’administrateur a indiqué
toutes les informations. @ attribuées à la volée et une machine
n’aura pas toujours la même @

Paramétrage IP : exemple
Adresse Physique : 00 :20 :af :04 :e8 :ff

Adresse IP : 134.206.90.38
Masque de Réseau : 255.255.0.0
Adresse Réseau : 134.206.0.0
Adresse de diffusion : 134.206.255.255

Les classes d’adresses
IPv4 définit 4 classes d’adresses
Classe A pour les réseaux de grandes tailles

1 bit de poids fort = 0
7 bits pour coder le numéro de réseau
24 bits pour coder le numéro de machine dans le réseau
Donc des adresses réseau de 1.0.0.0 à 126.0.0.0
127.0.0.0 est un numéro de réseau réservé : il désigne toujours
le réseau où est connectée la machine.
127.0.0.1 représente la machine elle-même : on l’appelle aussi
localhost

Classe B pour les réseaux de taille moyenne

2 bits de poids fort = 10
14 bits pour le numéro de réseau
16 bits pour le numéro de machine dans le réseau

Classe C pour les réseaux de petite taille

21 bits pour coder le numéro de réseau
8 bits pour coder le numéro de machine dans le réseau

Classe D pour les adresses de groupe

28 bits pour coder le numéro de groupe
Utilisé pour la diffusion (multicast) dans des cas très
particulier (à voir dans le dernier module du cours)

Quelques règles courantes
L’adresse IP avec tous les bits du numéro de station à 0 ne

peut pas être attribuée car elle représente le numéro du réseau
L’adresse IP avec tous les bits du numéro de station à 1 ne
peut pas être attribuée car elle désigne toutes les machines du
réseau (adresse de diffusion)

Les sous-réseaux
Un numéro de réseau peut lui-même être découpé en

sous-réseau par un administrateur local d’un réseau
Épuisement des @ IP
Rentabilisation des classes C
Découper le numéro de machine
numéro de réseau
numéro de sous réseau
numéro d’hôtes
Dans ce cas, il doit ajuster le masque en positionnant à 1 les
bits qu’il utilise pour les sous-réseaux
Pour le machine le fonctionnement reste donc identique

Sous-Réseaux : Exemple
Si on dispose d’une classe C (193.251.24.0) et que l’on souhaite 8

sous réseaux :
Quel est le masque ?
Combien de machines par sous-réseaux ?
Quelles sont les adresses des sous-réseaux ?

Internet Control Message

Protocol

ICMP : Protocole de contrôle
ICMP : Internet Control Message Protocol

Encapsulé dans IP
Véhicule les messages d’erreurs
Format :

ICMP : Types de message
Type Description
0 Réponse d’écho
3 Destination inaccessible
4 Limitation du débit de la source
5 Modification de route
8 Demande d’écho
11 Datagramme trop vieux
12 Problème de paramètre
13 Demande d’estampille de temps
14 Réponse d’estampille de temps
17 Demande de masque
18 Réponse de masque

Code possible pour le type 3
Code Description
0 Réseau inaccessible
1 Machine inaccessible
2 Protocole inaccessible
3 Port inacessible
4 Fragmentation impossible
5 Route impossible à suivre

Résolution de congestion
Un routeur peut être submergé

Émission du paquet Source Quench
La source réduit son débit

Redirection de paquets
Origine : une erreur de routage

Le fautif est averti de son erreur
Le paquet est réorienté

Commande ping
Utilitaire ping : Tester la connexion de bout en bout entre deux

machines
Envoi d’un paquet ICMP de type 8 (Echo request)
Réception d’un paquet ICMP de type 0 (Echo reply)
+ calcul d’un délai de propagation
+ émission de plusieurs Echo Request

Fonctionnement

Commande traceroute
Utilitaire traceroute : Connaı̂tre tous les routeurs entre deux

machines

Passerelles Applicatives

Différentes adresses
Il existe des adresses IP :

publiques
privées (non acheminées sur les réseaux publics)
Classe d’@ adresses réseaux
A 10.0.0.0 - 10.255.255.255
(10.0.0.0/8)
B 172.16.0.0 - 172.31.255.255
(172.16.0.0/12)
C 192.168.0.0 - 192.168.255.255
(192.168.0.0/16)

Traitement des adresses privées
2 possibilités :
Le service d’acheminement effectue une substitution de
l’adresse privée et lui affecte temporairement une adresse
publique (service NAT)
Le service d’acheminement détruit les datagrammes
comportant une adresse privée

Intérêt des adresses privées
Les adresses privées peuvent donc être réemployées dans

plusieurs réseaux privés
Les adresses privées permettent de mettre en place un premier
niveau de sécurité
filtrage du trafic de et/ou vers ces stations

Des passerelles d’applications
Pour accéder à un service en dehors du réseau privé, ces

stations devront contacter des passerelles applicatives
Ces machines qui ont un accès complet au service
d’acheminement effectueront les requêtes pour le compte des
stations
ex : proxy/cache web

Contrôle du trafic avec des adresses privées

Blocage du trafic IP par des adresses privées

Acheminement du trafic web avec des adresses privées

Nota Bene
La représentation modèle OSI du proxy cache peut prêter à

confusion :
La machine de ce proxy peut le plus souvent ne posséder
qu’une seule interface réseau
Le ”pare-feu” matériel possède le plus souvent deux interfaces
car il isole totalement une ou plusieurs machines et filtre tout
leur traffic

La couche transport

La couche transport en bref

Service utilisé par la couche transport
Une couche réseau capable d’acheminer un datagramme
d’une machine à une autre au travers d’un réseau complexe
(ex : internet)
Service minimal offert par la couche transport (offert par
UDP)
aiguiller les datagrammes vers plusieurs applications sources et
destinations résidantes sur la même machine -> notion de
multiplexage (concept de numéro de port)
Service plus complexe (offert par TCP)
Assurer un transfert fiable des informations entre applications
Quelque soit le nombre d’erreurs introduites par le réseau
Quelque soit la puissance des machines hébergeant les
applications (régulation de flux)
Éviter de monopoliser l’usage du réseau (utilisation équitable
de ce dernier)
Multiplexage de la couche transport : concept de port

En résumé
La couche transport offre deux types de protocoles :

Service minimal (UDP)
Service à haute fiabilité (TCP)
Pour aller d’une application à une autre, un datagramme a
besoin de l’adresse de l’application source et de l’adresse de
l’application destination

Adressage des applications
La source et la destination sont identifiées par :

adresse IP de la machine hébergeant l’application
type de protocole transport, UDP ou TCP
numéro de port

Transport
La couche transport ajoute un entête à chaque envoi de

datagramme
Elle y précise (notamment) :
Le type de protocole
Le numéro de port
Cet entête est beaucoup plus complexe en mode TCP qu’en
mode UDP

Transport TCP
Pour assurer la fiabilité de la communication, TCP :

Met en place une connexion virtuelle entre les applications
avant d’échanger les données des applications
Indique explicitement à l’émetteur que les données sont reçues
Indique une capacité de réception pour ralentir l’émetteur
(régulation de flux)
La connexion virtuelle est fermée à la fin de l’échange entre
les applications

Les trois phases de la communication avec TCP

UDP versus TCP
UDP simple et plus rapide mais n’apporte pas la fiabilité à

l’application
TCP complexe, charge le réseau mais assure un échange fiable
UDP sera utilisé pour les échanges peu volumineux ou pour
des données de typ audio ou vidéo en temps réel
TCP sera utilisé lors des échanges volumineux et où la fiabilité
est primordiale (ex : transfert de fichier)

Analogie avec la distribution du courrier
La couche transport est un secrétaire particulier attaché à

une application
Ce secrétaire obéit à un mode de fonctionnement (UDP ou
TCP) et porte un numéro unique au sein d’un immeuble (la
machine)
Cet immeuble possède une adresse : équivalent à l’adresse IP

Table des analogies
Lettre Informations
Immeuble Machine
Adresse Immeuble Adresse IP
Secrétaire Couche transport
Mode de fonctionnement UDP ou TCP
Numéro Numéro de port
Enveloppe transport Entête UDP ou TCP
Service postal Couche réseau
Enveloppe réseau Entête IP

Analogie avec la distribution du courrier
La couche réseau c’est le service postal utilisé par le secrétaire qui

prend l’enveloppe transport et la glisse dans une enveloppe réseau
normalisé pour le service postal comme une lettre enfermée dans
une enveloppe portant l’adresse de l’immeuble, le numéro et le
type de secrétaire du destinataire. Au dos de l’enveloppe, il indique
sa propre adresse d’immeuble, son numéro et son type.

Limitation du service postal
Le service postal limite la taille de la lettre et oblige le

secrétaire ”lorsqu’il émet” à découper l’information de
l’application en un grand nombre de lettres (taille environ
1500 octets)
Le service postal va au plus vite pour remettre la lettre au
destinataire : il fait au mieux. En cas de traffic important, les
lettres arrivent plus lentement
Parfois une lettre peut se perdre ou ne jamais arriver. Dans
certains cas, elle peut aussi arriver en double !

Secrétaire ”simple” (mode de fonctionnement UDP)
Ce type de secrétaire remet les lettres dès qu’elles arrivent et

ne vérifient pas si une lettre s’est égarée
Il envoie aussi les lettres dès que l’application lui remet
l’information
Conclusion : UDP propose peu de valeur ajouté par rapport à
IP mais ne ralentit pas les applications en exploitant au mieux
les capacités du réseau

Principe de l’émission UDP

Principe de la réception UDP

Et avec TCP
Pour TCP, le principe global des échanges d’enveloppe reste le

même
Ce qui change :
Les informations à remplir sur l’enveloppe de transport sont
plus nombreuses
Avant de commencer un envoi de lettre, elles mettent en place
une connexion ”virtuelle” en s’envoyant des enveloppes
transport vides
Les deux secrétaires peuvent s’échanger régulièrement des
enveloppes de transport vides (sans lettre) pour indiquer où
elles en sont dans leur travail de réception
Quand l’application leur indique que l’échange est terminée,
elles ferment la connexion virtuelle en s’échangeant des
enveloppes vides

Types de message transport
Demandes (sans données)

D’ouverture de connexion à partir d’un index de départ dc avec
une capacité de réception w
De fermeture de connexion
Acceptation (sans données)
D’ouverture de connexion à partir de l’index de départ ds avec
une capacité de réception w
De fermeture de connexion
Envoi de données avec indications :
Acquittement de données jusqu’à l’index r
Capacité de réception w
Indications uniquement (sans données) :
Acquittement de données jusqu’à l’index r
Capacité de réception w

Conclusion TCP
Le contenu de la lettre n’est jamais examiné par la couche

transport
Ce qui implique que les informations sont une suite d’octets
non structurés (un flot), fiabilisé, sans perte, sans duplications
ou erreurs
Cependant nous verrons que ce flot est lui aussi structuré par
les applications
Cette structure échappe à TCP

UDP

Présentation
Les applications qui n’ont pas besoin de beaucoup de fiabilité

dans l’échange ou qui ont un petit volume à échanger (e.g.,
DNS) utiliseront le protocole UDP (User Datagram Protocol)
qui n’apporte presque rien comme service par rapport à celui
offert par IP
UDP est un service sans connexion , il se contente
d’envoyer des datagrammes (pas de vérification de réception)
Si le réseau perd le datagramme au cours de son
acheminement, c’est à l’application émettrice à réagir selon
ses propres règles
Il définit aussi la notion de port (point d’accès d’un service) :
multiplexage de services

Exemple de services UDP
Port Nom
7 echo
9 Discard
37 Time
53 Domain
67 Bootp

Format de la trame UDP
La somme de contrôle est calculée avec un pseudo en-tête

comprenant les adresses IP source et destination ainsi que le
champ Protocole (ici=UDP) et la longueur du datagramme

TCP

Présentation
TCP (Transmission Control Protocol) : service avec

connexion
Il apporte toute la fiabilité necessitée dans les échanges point
à point
Pour les applications de transfert de message électroniques, de
documents ou de fichiers
Le programmeur voit le réseau comme un circuit fiable
(abstraction fournit pas les sockets de type stream)

Mise en connexion des applications
Mécanisme en trois échanges :

Éviter de se connecter à cause de vieux datagrammes
Réémis en cas de retransmission
Bien synchroniser les deux couches transport

Établissement d’une connexion TCP


Libération d’une connexion TCP
Prendre soin de bien ”vider le tuyau”

À l’émission
Mais aussi à la réception



TCP rend service à l’application
Il ouvre un circuit avec un service d’une machine distante

(notion de port)
Certains ports (<1024) sont prédéfinis sur des services connus
smtp=25, http=80, pop=110
Il fixe la taille des datagrammes échangés entre les deux
machines (MTU)
Il régule le flux d’entrée vers l’application en accordant un
crédit variable à l’emetteur

Ajustement de la taille maximale des segments
La taille des segments échangés est négociée à la création du

circuit (MSS)
Généralement MSS = MTU - taille en-tête TCP - taille
en-tête IP

Ajustement de la taille des segments

Acquittement positif avec retransmission
Envoie un signal d’acquittement des données reçus à la source

Si un acquitement n’est pas reçu assez vite la source
réemet l’information manquante
Il posséde donc un temporisateur interne associés aux MTUs
échangés
Il doit fixer intelligemment sa valeur
Si la valeur du temporisateur est trop basse :
Il y aura des retransmissions inutiles (surchage inutile du
réseau)
Si la valeur du temporisateur est trop élevée :
Perte de performance de l’application (mauvaise utilisation du
potentiel réseau)
La valeur doit être ajustée dynamiquement selon le temps de
traversée aller-retour du réseau
Gestion des retransmissions

Du côté de l’émetteur

Fenêtre de réception

Du côté de l’émetteur

Récepteur

La régulation de flux de bout en bout
TCP possède des ressources internes (mémoire de stockage des

MTUs reçus et émis)
Si une application peut absorber beaucoup de données : TCP peut
ouvrir la fenêtre de réception (régulation du flux) = augmentation
du crédit
Si une application ne retire pas les données reçues assez vite : TCP
peut diminuer la taille de la fenêtre de réception
TCP possède donc un réglage de flux dynamique entre les
applications
Un récepteur peut étrangler un émetteur trop rapide

Ce que TCP ne fait pas
TCP ne structure pas les données échangées :

Pas de début ou de fin d’enregistrement
Cela reste à la charge des applications

Calcul du temps de boucle
Pour chaque segment émis et acquitté (horodatage des segments)

évaluation du temps de transit aller-retour dans le réseau : ntb
Pour éviter les fluctuations : facteur a (0 < a < 1)
tb = a ∗ tb + (1 − a) ∗ ntb
Valeur du temporisateur : T = b ∗ tb (b > 1 souvent 2)

Adaptation aux performances du réseau

Adaptation aux performances du réseau

Calculer le temps de boucle
Pas si simple
Les accusés de réception de TCP sont ambigus :
Rien ne permet de distinguer une retransmission
Les acks sont cumulatifs

Quelle valeur pour le ntb ?

Si calcul du ntb à partir de la première émission

Si calcul du ntb à partir du dernier segment émis

Calcul du temps de boucle
Avec Technique simpliste :

Le temps de boucle est mal estimé
T n’optimise pas le rendement du réseau
Ou le réseau est chargé inutilement

Algorithme de calcul de la temporisation de retransmission
Quand l’émetteur doit restransmettre il ne met plus à jour

l’estimation du temps de boucle (tb)
Á chaque réémission :
Augmenter la temporisation d’un facteur d
T = d ∗ T (réalisation courante d = 2)

Augmentation brutale du temps de boucle (congestion)

Perte accidentelle d’un segment

Avantage d’un algorithme de calcul du temporisateur
Avec cette précaution :

Le temps de boucle reste bien estimé
Donc le temporisateur optimise le rendement du réseau
Mais il faut prendre en compte les variations de temps de
boucle pour en faire une estimation plus fine

Calcul moyenne et pente
Pour prendre en compte les fortes variations (forte charge du

réseau) :
Calcul du delta = ntb − tb
Tb = tb + g ∗ delta avec g = 0, 125
P : pente moyenne
P = p + g ∗ (|delta| − p) avec g = 0, 125
T = tb + 4 ∗ p

TCP fait aussi attention au réseau
Si une donnée doit être retransmise (temporisateur se

déclenche) :
TCP conclut alors tout de suite à une congestion du réseau
Et étranglera la source
L’empêchera d’émettre de nouveaux segments tant que ceux
déjà émis ne seront pas tous acquittés
Le réseau possède un seuil de congestion/émission d’une
source
Il faut éviter de dépasser ce seuil
Tout en se rapprochant le plus possible de la fenêtre du
récepteur

Le contrôle de congestion
Éviter de saturer le réseau

Tout en l’utilisant au mieux
S’adapter dynamiquement
En plus de la fenêtre de réception, utiliser une fenêtre de
congestion
La fenêtre d’émission sera toujours le minimum entre ces deux
fenêtres

Automate du contrôle de congestion

Démarrage lent
La fenêtre de congestion est doublée pour chaque ack reçu

Limite : le seuil de congestion
Le seuil de congestion initialisé à la taille de la fenêtre du
récepteur

Un démarrage pas si lent que ça

Retransmission
Temporisateur se déclenche : perte d’un datagramme : réseau

en congestion
Le seuil de congestion est plus bas
Le chercher par une méthode dichotomique : seuil de
congestion = seuil de congestion / 2

Retransmission

Évitement de congestion

Évitement de congestion

En-tête TCP

Sommme de contrôle
La somme de contrôle est calculée avec un pseudo en-tête

comprenant les adresses IP source et destination ainsi que le
champ Protocole (ici=TCP) et la longueur du segment.

Encapsulation TCP/IP

Les types de segments
Définis par les bits :

URG : données urgentes
ACK : le segment transporte un accusé de réception
PSH : segment à pousser
RST : réinitialiser la connexion
SYN : synchroniser les numéros de séquences
FIN : flot d’émission terminé

Les données urgentes
Pour les besoins de certaines applications :

Ex : abandon d’une commande, d’un programme
Notion de données urgentes
Le récepteur est notifié tout de suite
Mais le pointeur de lecture n’affecte pas le flot des données
normales

Les données urgentes
Le pointeur des données d’urgence repère dans la fenêtre

l’endroit où se terminent les données urgentes
Le segment sera remis immédiatement à l’application avec
l’indication d’urgence
La gestion du flot n’est pas modifié

Encore des améliorations
Idée : éviter de déclencher les temporisateurs (retransmission)

en cas de perte de datagrammes
Comment : si 3 acks sont reçus pour le même index dans le
flot alors un fragment doit être perdus
Retransmettre le fragment manquant immédiatement
Ne plus émettre pendant 1/2* le temps de boucle (=temps
pour vider le réseau)
Fixer le seuil de congestion à 1/2 seuil initial
fixer la fenêtre d’émission à seuil de congestion + 3
incrémenter cette fenêtre pour chaque ack reçu
en fait, l’émission reprend quand la taille de la fenêtre
d’émission devient supérieur à son ancienne valeur.


Retransmission accélérée
Le processus s’achève quand l’émetteur reçoit un acquittement qui

montre une évolution du flot reçu
Ramener la fenêtre d’émission au seuil de congestion
Ca ne marche pas si une perte en rafale se produit

Pour les liaisons particulières
Liaisons à haut débit

Et à temps de propagation élevé (ex : satellite)
Utilisation de l’option d’acquittement sélectif
Il permet d’acquitter des segments non contigus dans le flot

La sécurité des réseaux IP

Les types d’attaques
Attaques intrusives :
but : utiliser les ressources du réseau
Attaques de refus de service :
but : rendre les systèmes inactifs
Attaques pour voler de l’information
but : accès direct aux bases d’information

Les faiblesses d’un réseau
Les failles d’un réseau :

Le matériel
Les protocoles IP, TCP, UDP
Les applications (ex : sendmail)
Les systèmes d’exploitation (leurs bugs)
Les personnes (système social)

Des exemples d’attaques
Mascarade d’adresse IP (IP spoofing)

L’adresse source d’un datagramme IP est remplacée par celle
d’un hôte ami
Prédiction des numéros de séquences initiaux de TCP
Détournement de trafic (source routing)
utilisation de l’option de routage commandée par la source
pour détourner le trafic vers une machine

Mascarade d’adresses

Des exemples d’attaques

Le ping abusif (ping of death) :
submerger une machine avec des ping en nombre considérable
pour la saturer
Les connexions abusives (Syn Flooding )
n’envoyer que le premier datagramme de demande de
connexion à une machine
Segmentation des datagrammes TCP
envoi d’un premier segment légal mais suivi de segments
vers des ports non autorisés
Attaque par rebonds
prendre le contrôle d’une machine et l’utiliser pour attaquer
une autre
Attaque des routeurs
pour détourner les datagrammes, modifier les tables de
routages des routeurs mal protégés
Attaque par le service DNS
utiliser les informations fournies par le service DNS pour
attaquer
Les firewalls
Concept :
les utilisateurs locaux bénéficient de tous les services à
l’intérieur de leur réseau local et de plusieurs services utiles de
l’internet
les utilisateurs extérieurs au réseau local ont un accès contrôlé
aux ressources d’un réseau local
ce qui entre et qui sort du réseau local est
parfaitement contrôlé

Constat
En général, les serveurs administrés par le service informatique

sont bien protégés
Les stations des utilisateurs sont souvent mal configurées :
sensibles aux attaques
Elles sont ciblées pour écouter le réseau, pour stocker
des données et pour attaquer

Solution
Mettre en place une série de composants :

qui isolent les machines sensibles du réseau local
qui contrôlent le type de trafic utilisé depuis ou vers l’extérieur
qui contrôlent les accès aux ressources du réseau local depuis
l’extérieur

Le filtrage de paquets
Analyse les champs du datagramme

@IP source et destination
protocole utilisé (ICMP, TCP, UDP, ...)
ports TCP/UDP source et destination
le bit ACK en TCP pour détecter les connexions établies
Rédiger des règles d’accès (acl : access control list)
de ce qui est permis
de ce qui n’est pas autorisé

Exemple avec CISCO
Chaque ligne de la liste :

condition/action
l’action indique si c’est permis ou si c’est refusé
l’analyse de la liste est séquentielle
et prend fin quand une condition est remplie
alors l’action de la ligne est exécutée

Un exemple de filtres de paquets
Réseau interne 192.56.62.0/24 (classe C)

On place des filtres sur le routeur d’entrée du site Rs
Tout est autorisé sauf : tftp, NFS, SNMP, r-commandes, lpr,
X11, OpenWindows
192.56.62.80 ne doit pas communiquer avec l’extérieur
le réseau 192.190.0.0 est interdit d’entrée
Restreint SMTP serveur à 192.56.62.10
Restreint HTTP serveur à 192.56.62.20

Le schéma du site

La liste d’accès du routeur



Second exemple
Réseau interne 192.56.62.0/24

On place des filtres sur le routeur d’entrée du site Rs
Toute est interdit sauf :
192.56.62.70 est serveur DNS, SMTP, WWW, NTP, FTP,
telnet
192.56.62.80 ne doit pas communiquer avec l’extérieur
192.56.62.90 est serveur telnet et FTP uniquement
les autres stations peuvent être clientes uniquement

Le schéma du site




Filtrage de paquets : conclusion
Le filtrage d’un site important entraı̂ne une complication de la

liste
illisible, erreurs
des logiciels permettent la création automatique des filtres

Translation d’adresse
Changement d’une adresse IP par une autre

buts :
donner des adresses non routables à un réseau (cacher les
adresses)
les entreprises n’ont besoin que d’un plus petit nombre
d’adresses

Fonctionnement du translateur
Mode statique : table fixe

Mode dynamique :
plusieurs adresses internes transformées en une adresse valide
avec affectation d’un port
mais alors :
pas d’ICMP
pas de connexion de l’extérieur
Le translateur remplace l’adresse IP source ou destination et
recalcule les sommes de contrôle des erreurs

Quelques difficultés avec le filtrage de paquets
Les ports définis dynamiquement

Usurpation de numéro de port pour masquer l’utilisation de
certains protocoles

Les passerelles au niveau circuit
Ne connaissent pas le protocole applicatif

Mais peuvent gérer les connexions TCP
Une fois connecté, recopient les octets d’un côté vers l’autre
et vice-versa
Peuvent substituer des adresses
Pas très utiles (seulement un peu mieux qu’un filtrage
d’adresses)

Principe du proxy

Les passerelles applicatives
Utilisation de logiciel proxy (procuration) qui connaissent

le protocole de chaque application
C’est un second niveau qui complète le niveau filtrage de
paquets
Permet de mettre en place des services complémentaires (ex :
cache)
Contrôle de flux
personne
groupe de personnes
par sous-réseaux
par application
par destination
Un système anti-virus est souvent disponible

Mise en place de la solution
On oblige les clients à utiliser le proxy

en empêchant tout le trafic vers ce type d’application (port de
destination) à l’extérieur du réseau
paramétrage du logiciel client
routage automatique vers le proxy
en attribuant des adresses non routables aux stations

Exemple d’une architecture simple

Exemple d’une architecture simple
La machine pare-feu est dotée de 2 cartes réseau

Désactivation des fonctions de routage sur cette machine
Seul le logiciel de pare-feu doit être actif
Le routeur supporte des filtres réseaux
Le sens de la connexion peut être pris en compte facilement
Gestion des droits utilisateurs/groupes/machines

Une autre architecture simple

Une autre architecture simple
La machine bastion est la seule accessible depuis l’Internet

Grâce au filtrage de paquets
En sortie :
certaines machines accèdent directement à l’Internet
d’autres peuvent être obligées de passer par le bastion

Mise en œuvre de pare-feu avec zone publique (DMZ)
Le routeur de site implante le filtrage de paquets

Le bastion complète le dispositif en prenant en compte les
protocoles applicatifs
Toutes les stations ne sont pas obligées d’utiliser le bastion
pour sortir ou pour entrer
La sécurité du site dépend de celle du bastion

Architecture avec sous-réseaux

Le système de noms de
domaines (DNS)

Présentation
Une machine est identifiée grâce à son adresse IP.
Problème : aucun humain ne peut réellement se souvenir de
beaucoup de suite de 4 nombres (c’est pire en IPv6 !)
Solution : donner un nom aux machines
DNS : Domain Name System
Objectif : trouver l’adresse IP d’une machine à partir de son
nom
Au départ et jusqu’en 1984, une méthode de résolution de
nom : le fichier /etc/hosts
Problème de maintenance, de recherche, de mise à jour
À partir de 1984, mise en place d’un nouveau service : le DNS
Il est décentralisé :
On administre les ressources locales uniquement
Mais les informations sont accessibles à tout l’Internet
Présentation
Le service d’annuaire permet :

de connaı̂tre le nom de la machine serveur du domaine et celle
du serveur du domaine qui lui a délégué l’autorité
la translation des noms de machines en @IP et l’inverse
d’extraire des renseignements officiels sur un domaine
administratif
noms et coordonnées des gestionnaires (personnes)
machines de courrier

Organisation
niveaux de domaines
root ”.”
niveau haut (net., edu., fr., com., . . . )
niveau secondaire (univ-lille1., cnrs., . . . )
...
À chaque nœud
nom (univ-lille1.)
et des ressources (machine, services)
notion de sous-domaines (etudiant.univ-lille1.fr) avec autorité
déléguée
Un organisme assure l’unicité des noms de domaine
UREC pour le CNRS
AFNIC pour fr (délégation de RIPE-NCC au niveau européen)
l’autorité suprême : Network Information Center


Noms de domaines
.com Organisations commerciales

.edu Le monde de l’éducation
.gov Organisation gouvernementales
.mil Organisation militaire
.org Les autres organisations
.int Organisations internationales

Attributions de noms de domaines
En France (fr.) demande au NIC France

Vérifier avant que le nom n’existe pas
Fournir les informations :
Nom de domaine souhaité (selon RFC 1035)
Coordonnées complète du demandeur
Nom du contact administratif (1 personne)
Nom du contact technique (1 à 3 personnes)
Utilisation du domaine
Indication de deux serveurs de nom de domaines au minimum

Correspondance inverse
On a créé un domaine fictif : In-addr.Arpa

On y attache des numéros IP et on crée des liens vers les
noms de domaines administratifs
Dissociation entre @IP et nom des ressources

Types d’enregistrements
Type Description
SOA information sur la zone
NS serveur de noms pour la zone
A adresse IPv4 de la machine
AAAA adresse IPv6 de la machine
MX serveur de messagerie de la machine
CNAME nom canonique de la machine
HINFO informations sur la machine
PTR nom correspondant à l’adresse
SRV caractéristiques des services (RFC 2782)

Principe de fonctionnement

Fonctionnement du service DNS

Les protocoles
d’applications

Plan
Le protocole SMTP
Le format MIME
Le protocole HTTP

Le protocole SMTP et
l’échange de courriers
(Simple Mail Transfert Protocol)

MTA et UA
L’échange de courriers électroniques se fait par le biais de

serveurs fonctionnant suivant le protocole SMTP (Simple Mail
Transfert Protocol)
Les serveurs sont des MTA : des agents de transfert de
message (Mail Transfert Agent)
Les applications clientes sont des UA : des agents utilisateurs
(User Agent)

Principes de bases
Les utilisateurs utilisent des UA

Les UA ne communiquent jamais entre-eux directement
Un UA est raccordé à un (ou plusieurs) MTA (serveur)
L’UA remet un courrier au MTA qui va acheminer ce courrier
au travers d’un réseau de MTA
La remise de courrier n’est pas instantanée
De plus, le courrier est remis dans une boı̂te ouverte sur un
serveur de messagerie
L’UA doit relever périodiquement le contenu de la boı̂te

Réseau de messagerie

Les composants
MTA : Agent de Transfert de Messagerie

UA : Agent Utilisateur
SMTP : Protocole de Transmission de Message (port
TCP :25)
Réseau hiérarchique de MTA dans un domaine

Les RFC
RFC 822 : format des messages

RFC 821 : Protocole SMTP
RFC 974 : Courrier et DNS
RFC 1425 : Extended SMTP

Mécanisme général
Remise directe mais . . .

Utilisation de relais possible
La machine de messagerie d’un domaine est identifiée dans le
DNS (enregistrement MX)
Pas de connexion UA à UA mais UA à son MTA de domaine
puis MTA à MTA avec ou sans relais intermédiaires

Des limites pour l’échange des messages
À la base, les courriers ne sont pas signés !

Un UA ne peut normalement pas se connecter à un MTA qui
serait situé en dehors de son domaine (c’est le serveur qui fait
la vérification)
Un courrier devra transiter par le serveur de messagerie
”officiel” du domaine

Des limites pour les messages
L’alphabet choisi est l’ASCII de base sur 7 bits

Nom utilisateur < 64 caractères
Nom domaine < 64 caractères
Pas plus de 100 destinataires
Une ligne < 1000 caractères

Il existe d’autres protocoles
UUCP ;
Decnet ;
x400 ;
Lotus ;
...

Le protocole SMTP
Structuration comme HTTP

Un entête suivi d’un corps séparé par une ligne vide
Les lignes sont séparées par un CRLF
Les MTA marquent le traitement (received by . . . )
Utilise le port 25 en mode TCP

Relève du courrier
La relève du courrier se fait soit par :

POP (très ancien)
IMAP (plus récent)

Format du message
Structure du message
Un En-tête
Une ligne vide
Un corps de message
Les lignes trop longues peuvent être coupées par une
tabulation suivie de CRLF

Les champs du message
from : expéditeur
to : destinataire(s)
cc : en copie à destinataire(s)
bcc : en copie aveugle à destinataire(s)
reply-to : adresse de réponse
error-to : adresse en cas d’erreurs
date : date d’expédition
received by : informations de transfert écrites par les agents
(MTA)
messageId : identificateur unique de message
subject : sujet

Le format des adresses
Une adresse électronique identifie une boı̂te aux lettres :

user@domaine
user@machine.domaine
pas de différence majuscule/minuscule
certains caractères ne sont pas autorisés (spécifié dans les
RFC du DNS)

Principe d’échange du courrier



Commandes SMTP
HELO, EHLO message d’introduction

MAIL spécification de la source
RCPT TO : spécification du destinataire
DATA spécification du message
EXPN, VRFY vérifier une adresse
RSET, QUIT ré-initialiser, quitter

Notes complémentaires
Rien n’empêche deux MTA d’utiliser du chiffrement

En général, les sites n’autorisent pas :
Les UA à se connecter depuis l’extérieur du domaine
Des connexions à d’autres MTA que ceux déclarés dans le DNS
La connexion d’un MTA repéré comme ”spammer” ou relais de
spam

Commandes POP3
USER, PASS Identification de l’utilisateur

LIST Liste les numéros des messages
RETR, TOP Rapatrie un message
DELE Détruit un message
LAST Numéro du dernier message lu
RSET, QUIT ré-initialiser, quitter

Le format MIME
(Multipurpose Internet Mail Extensions)

Généralités
Un message = entête + corps
format spécifié par RFC 822
SMTP ne prend en charge que le transport (RFC 821)
code ascii (7 bits)
ligne courte (< 1000 caractères)
Pour le transport des objets complexes : MIME
(Multipurpose Internet Mail Extensions)
MIME spécifie le format des corps de message
Mais ajoute des champs d’entête :
MIME-Version
Content-Type (text, multipart, application, message, image,
audio, video)
Content-Transfert-Encoding
Content-Id
Content-Description
Informations complémentaire : voir RFC 1521
Pourquoi MIME ?
Sert à échanger du courrier avec des caractères accentués

Sert à s’échanger des données multimédia
Sert à insérer des données de tout type y compris des
signatures électroniques grâce à l’extension S/MIME

Le type text
Sous-types :
plain (ascii) : aucun symbole n’est interprété
html
etc

Les composants multipart
mixed : Les composants sont hétérogènes, cas le plus fréquent

alternative : plusieurs représentations d’une même
information
parallel : tous les composants doivent être présentés
simultanément (son et image)
digest : les composants sont eux-mêmes des messages

Le type application
Pour toute représentation binaire

Transfert de fichiers entre les utilisateurs
Procédure de traitement de courrier (courrier actif)

Technique de codage
BASE64 : 3 octets en 4
QUOTED-PRINTABLE : pour les caractères spéciaux - accents
8BIT : courte ligne de caractères sur 8 bits
7BIT : par défaut
BINARY : caractères sur 8 bits - taille ligne inconnue
x-token : codage d’usager à usager (non recommandé)

Le codage pour le transport
Les MTA sur Internet échangeaient les informations sur 7 bits

Pour le transfert de données, il faut coder
Le champ Content-Transfert-Encoding a été défini à cet
effet

Codage base64
En entrée 3 octets sur 8 bits : en sortie 4 octets sur 6 bits

Définit une table de translation (alphabet) où sont exclus les
caractères utilisés par SMTP : . CR LF
Définit des lignes de 76 caractères
Á noter que le caractére ”-” n’est pas dans l’alphabet

Séparation des composants
Paramètre du type multipart: boundary

Une valeur est attribuée au boundary
ex : boundary=toto
Les composants sont délimités par ”--valeur boundary”
ex : --toto
La composition se termine par ”--valeur boundary--”
ex : --toto--

Composition du multipart
Chaque composant est constitué :

d’un en-tête
d’un contenu
L’en-tête est séparé du contenu par une ligne vide (deux
CRLF sui se suivent)

Exemple simple

Exemple plus complexe 1/3



Extended SMTP
Nouvelles fonctionnalités
8 bits MIME
Taille maximale des messages
Les fonctions autorisées (VRFY, EXPN, DSN)
Le message de bienvenue est EHLO

Le protocole HTTP
(HyperText Transfert Protocol)

Généralité
Protocole défini récemment (vers 1990)

Permet de transporter des documents hypertextes
Repose sur TCP
Permet des réalisations simplistes et très faciles
A remplacé en grande partie, dans son usage le protocole FTP
(75% du trafic sur internet)

Sa première version
La première réellement répandue à l’échelle mondiale qui

donna naissance au web est HTTP/0.9
Deux types de messages :
message de requête émis par le client
message de réponse renvoyé par le serveur
Une connexion TCP/IP à courte durée de vie ne supportant
qu’un échange requête/réponse

Échange type

Structuration globale du contenu HTTP
Le contenu des informations HTTP échangées : c’est le

contenu de la lettre
Cette lettre peut être de deux types :
Requête
Réponse
Une requête contient au moins un entête parfois suivie par un
corps
Une réponse contient au moins un entête souvent suivi par
un corps

Structure de l’entête
Un entête de requête ou de réponse est une suite de lignes

non vide
Qu’est-ce qu’une ligne ?
Une suite de caractère (codés en ASCII) terminée par les deux
caractères CR et LF
Qu’est-ce qu’une ligne vide ?
Une ligne ne contenant que les deux caractères CR puis LF
Un entête se termine toujours par une ligne vide

Structure d’une requête et d’une réponse
La première ligne d’une requête contient une commande

Le première ligne d’une réponse contient le statut suite à
l’exécution de la commande
Les autres lignes contiennent des paramètres
complémentaires
Le client envoie des requêtes tandis que le serveur envoie des
réponses

Requête et réponse

Remarques
Le format des requêtes reprend ce qui avait été spécifié par la
RFC 822 à propos du contenu d’un message électronique
Notion d’entête et de corps séparés par un CRLF (deux
caractères CR puis LF)
Comme la RFC 822 un séparateur d’enregistrement est un
CRLF suivi d’un caractère autre que l’espace ou la tabulation
Recommandation pour les réalisations des clients et
serveurs : tout champ d’entête non reconnu doit être ignoré !
HTTP transporte essentiellement du contenu HTML (dans le
corps de la réponse) mais pas uniquement. Il peut en effet
transporter tout type de données
Si un document contient une image, le client sera obligé
d’ouvrir une seconde connexion TCP et effectuer une autre
requête
Cela induit une charge excessive
Un exemple de document

3 requêtes pour ce document
Si le client veut afficher complètement ce document, il doit :

Effectuer une requête pour obtenir le document HTML
Effectuer une requête pour obtenir l’image logo.gif
Effectuer une requête pour obtenir l’image photo.gif

Les 3 échanges avec HTTP/0.9

Et la suite . . .
Si l’utilisateur clique sur le texte ”référence” :

Le client émet une requête pour obtenir le document appelé
doc2.htm

À partir de HTTP/1.0
RFC 1945
Le comportement des caches n’est pas bien précisé
Amélioration des performances
Besoin de connexion persistantes
connection: keep-alive
content-length pour déterminer la fin du document

Les 3 échanges avec HTTP/1.1

Les principales requêtes
GET (obtenir une ressource)

HEAD (obtenir les renseignements sur une ressource)
POST (soumission annexe à la ressource)
annotations
exécution de programmes
PUT (stocker une ressource)
DELETE (effacer une ressource)

Les champs d’une requête
Le client peut spécifier dans l’en-tête de la requête :

Le format des données qu’il sait présenter
Les codages supportés
Le langage par ordre de préférence
L’adresse e-mail de l’émetteur
Condition de chargement sur la date
La référence du document origine
Le nom et version du logiciel navigateur

Les champs d’une réponse
Ligne de statut (environs 60 cas)

ok, moved, not autorised, . . .
La liste des requêtes supportées par le serveur
Le nom et la version du logiciel serveur
Les informations d’identification de l’utilisateur
Les informations sur l’objet demandé
codage, taille, date d’expiration, modification, langage, codage
de transport, type de données, version, liaisons avec d’autres
ressources, titre

Catégories de codes d’état
100-199 : informatif. Le client doit répondre par une autre

action.
200-299 : la requête a réussi.
300-399 : le fichier a été déplacé.
400-499 : erreur du client.
500-599 : erreur du serveur.

HTTP et les formulaires
Dans une requête GET :

query string
complément à la référence de la ressource
codé en format ”url-encoded”
commence par un ?
champs séparés par &
nom du champ = valeur
l’espace est codé +
caractères spéciaux (non alphabétiques avec % puis code
hexadécimal dans la table ascii) %HH

Codage url-encoded
Exemples :
/cgi/prog.pl ?var1=ma+valeur
/cgi/prog.pl ?var1=ma+valeur&var2=une+question+%0A

Technique avancée
La query-string est limitée en taille

Il est préférable d’utiliser la méthode POST
Les variables font parti d’un corps de message
On peut utiliser des techniques de codage différentes de celles
de url-encoded
Par exemple, si on veut envoyer un fichier binaire
Support MIME

Requête POST

L’identification sous HTTP/1.0
Basée sur un challenge avec un nom fourni par le serveur

Le nom et le mot de passe sont envoyés codés (base 64) mais
pas cryptés
Offre peu de protection contre le vol de login et de mot de
passe

Des Extensions
Demander au serveur de laisser la liaison TCP ouverte

connection: keep-alive
Permettra de faire plusieurs requêtes sur la même connexion

Support des sessions
HTTP n’offre pas de mécanisme de sessions

La session doit permettre de fournir des droits à l’utilisateur et
de se rappeler du contexte de travail entre plusieurs
connexions TCP
Sessions court-termes : Champs cachés d’un formulaire
Sessions long-termes : utilisation de ”cookies”

Le cookie
C’est un jeton unique généré par le serveur à destination du

client de navigation qui le mémorise
Il a une durée limite de validité
Il possède une zone de validité sur les ressources du serveur
Le navigateur devra remettre le cookie au serveur à chaque
requête afin que ce dernier puisse retrouver le contexte

Gestion des cookies sur un serveur

Utilisation de proxy/cache
Pour des raisons :

contrôle du flux de type www
de restriction d’accès à certains sites internet
de restriction d’accès à l’internet de certaines stations
Des serveurs proxy/web sont mis en place
Les stations leurs envoient des requêtes et le proxy la formule
au serveur de la part de la station

Exemples d’utilisation de proxy/cache

HTTP/1.0 : des faiblesses
Le client ouvre simultanément de nombreuses connexions :

Consomme beaucoup de ressources sur le serveur
Consomme beaucoup de bande passante sur Internet
Les mécanismes de gestion du cache sont pauvres

HTTP/1.1
Résultat de 4 années de discussion par un groupe de

spécialistes mondiaux
premier draft : RFC 2068 (en 1997)

Les changements
Extensibilité
La gestion du cache
Optimisation de la bande passante
Gestion des connexions
Transmission des messages
Préservation des adresses IP
Notification des erreurs
Sécurité et authentification
Négociation de contenu

Extensibilité
Rappel : tout champ d’en-tête non reconnu doit être ignoré !

Numéro de version (HTTP/1.1) : pas de valeur de bout en
bout (proxy/cache)
Le serveur ne peut pas connaı̂tre la version du client
Introduction d’un champ Via rempli par les proxy/cache
(comme pour les relais de messagerie)
Sélection d’autres protocoles : upgrade
La méthode OPTIONS permet à un client de connaı̂tre les
possibilités d’un serveur : mais pas d’unanimité autour de ce
mécanisme donc non utilisable

La gestion des caches
En HTTP/1.0 : Requête conditionnelle

If-Modified-Since : avec la date ”absolue” fournie dans une
réponse précédente avec Last-Modified
Le serveur répond 304 (Not Modified) ou envoie l’objet avec
le code 200 (OK)
Le client et le serveur ne peuvent commander explicitement le
comportement du cache => pbs niveau sémantique ou niveau
performance

Temps absolu abandonné : repérage des objets avec des

entités opaques générés par le serveur (Etag)
Une modification d’un objet => autre valeur de l’Etag
Le cache peut présenter plusieurs versions d’un même objet au
serveur : If-None-Match

Il y a aussi des comportements plus complexes dans les

requêtes :
If-None-Match (plusieurs versions sont présentées)
If-UnModified-Since
If-Match
Le serveur peut empêcher un proxy de transformer un objet
(no-transform)

La clé de recherche d’un objet est l’URL

Il faut tenir compte de la négociation du contenu selon le
jeu de caractères ou la langue
L’en-tête Vary transporte les champs complémentaires qui ont
permis de sélectionner la ressource sur le serveur
Le cache dispose des informations pour sélectionner lui-même
la bonne version du contenu de l’objet

Un contenu d’objet peut être fractionné (Range)

L’unité : octet
Un client peut demander une ou plusieurs parties d’un
document volumineux
Le serveur le lui envoie avec le code 206 (contenu partiel)
Range est intéressant :
Lire une partie initiale d’un objet (déterminer la géométrie
d’une image) pour préparer la disposition du contenu de la
page
Reprise sur interruption d’échange
Lire la fin d’un objet qui grossit
Nouvelle requête conditionnelle (If-Range) qui vérifie le début
de l’objet

Pour gestion des requêtes PUT ou POST

Éviter d’envoyer le corps (parfois volumineux) d’une requête
qui serait refusée
Le client envoie l’en-tête, le serveur lui indiquepar le code 100
(Continue) d’envoyer le corps ou 401 (Unauthorized) qui
met fin à l’échange
La compression
Différence entre codage du contenu (bout en bout) et codage
du transfert (saut par saut)
Content-Encoding et Transfer-Encoding
Le client peut spécifier ses possibilités de décodage par
Accept-Encoding

Gestion des connexions réseau
HTTP/1.1 : concept d’en-tête saut par saut : les champs qui

sont valable uniquement sur une connexion
en-tête Connection donne la liste des champs valables saut
par saut et indique au récepteur qu’il faut les supprimer avant
de ré-émettre le message
Si un en-tête Connection est reçue dans un message
HTTP/1.0 : tout ignoré
Des commandes particulières entre proxy sont possible comme
close

Gestion des connexions réseau
Connexion persistante : comportement par défaut

Il faut utiliser le champ Connection : close
Envoi de plusieurs requêtes sans attendre les réponses
(pipelining)
Le serveur doit répondre dans l’ordre
gain de temps important (RTT)

Transmission du message
Gestion des longueurs de documents non connue du serveur

avec HTTP/1.0 : il faut fermer la connexion TCP
avec HTTP/1.1 : utilisation des ”chuncks”
(Transfert-Encoding : Chunck)
Le serveur prépare le message morceau par morceau
Il les envoie avec la longueur
Quand c’est fini : il envoie un morceau avec une longueur de
zéro

Transmission du message
Le serveur peut placer des champs d’en-têtes après le coprs du

message
Ex : Une empreinte (Content-MD5)
Le champ Trailer indique la liste des champs d’en-têtes qui
seront placés après le corps du message

Conservation des adresses IP
Le serveur ne fait pas parti de la référence document dans une

requête
GET /monDoc.html HTTP/1.0
Champ Host
GET /monDoc.html HTTP/1.1
HOST: myHost.org
facilite le support de plusieurs ”serveurs” web sur la même
machine (même @IP)

Notification des erreurs
Beaucoup plus de codes de statut

409 (Conflict) : pb de concurrence d’accès avec PUT
410 (Gone) : le document a définitivement quitté le serveur :
il faut effacer tous les liens
Warning : nuance une réponse OK
Ex : réponse d’un cache qui est déconnecté

basic authentication (HTTP/1.0) :

En cas d’objet protégé, le serveur refuse l’objet et émet un
challenge valable pour une partie de ses ressources (realm)
Le navigateur interroge l’utilisateur puis ré-émet sa demande
avec la réponse où est codé (non crypté) le login et le mot de
passe
Les demandes suivantes transportent la réponse pour être
autorisées

Avec HTTP/1.0 : vol et réutilisation possible du login et du

mot de passe
HTTP/1.1 met en place une authentification d’accès avec
empreinte
Même mécanisme de base mais amélioré (Digest au lieu de
Basic)

Le serveur envoie une valeur valable une seule fois

Le client produit une empreinte (par défaut MD5) à partir de :
login
password
la valeur du serveur
la méthode HTTP
l’URI de l’objet

La réponse est valable pour un objet déterminé et une

méthode d’accès (PUT versus GET)
Un attaquant est limité au ”rejeu” sur l’objet
De plus la valeur du serveur doit être limitée dans le temps
Authentification auprès du proxy :
Proxy-Authenticate : protection saut par saut
mécanisme challenge-réponse : Digest ou Basic

Confidentialité des URI

Décourager l’envoi des URI sources (Referer)
Décourager l’emploi de la méthode GET pour envoyer des
données d’un formulaire car les données parfois confidentielles
sont stockées dans l’URI
Le contenu MD5 (Content-MD5) protège l’intégrité des
données transmises
Utilisé en ”trailer” de corps de message
N’est pas une protection efficace car elle peut être remplacée
à la volée par un proxy bien que ce ne soit pas autorisé (erreur
accidentelle)

Gestion des sessions et cookies

Problème des ”Cookies tiers”
Ex :
Vous visitez site1 qui contient une image du site pub
Le navigateur la demande au site pub qui l’envoie avec un
cookie
Puis vous visitez site2 qui contient une autre image du site
pub
Le navigateur la demande au site pub avec le cookie précédent

Le cookie envoyé par le site pub est un cookie tiers

C’est une transaction inconsciente pour l’utilisateur
Si le navigateur envoie l’URI source (Referer), le site pub
peut construire un profil du client
Le cookie peut porter des informations que l’utilisateur ne
maı̂trise pas (numéro de carte de crédit)
Le navigateur devrait ne pas mémoriser les cookies émanant
de transactions inconscientes
L’usage des cookies est défini dans la RFC 2109

Négociation du contenu
Le serveur utilise les préférences indiquées par le navigateur

dans sa requête : Accept-language et Accept-charset
Le navigateur peut choisir une des versions proposées par le
serveur code 300 (Multiple-Choices) et envoi du champ
Alternates

Conclusion
HTTP/1.1 est bien plus complet que sa version antérieure

Il prend en compte les problèmes d’infrastructure
proxy/cache
réseau
Extensions possibles : WebDAV

VLAN

Les réseaux locaux virtuels
Si on désire créer plusieurs domaines de diffusion partageant

les mêmes infrastructures de niveau 1 et 2, il faut des
commutateurs de type ”vlan” (virtual lan) : Décomposition
Logique
Les machines appartenant à deux vlan différents ne peuvent
pas communiquer entre elles à l’aide du protocole Ethernet.
Elles devront alors ”utiliser” un protocole de niveau supérieur
Avantages
Augmentation des performances
Réduction de coût
Sécurité
Indépendance de la topologie physique

Les VLANs
Il y a plusieurs moyens d’affecter un équipement à un vlan :

En indiquant son adresse physique : gestion lourde
En utilisant son adresse réseau (IP) de niveau 3
En associant chaque port du commutateur à un vlan
Selon le type de protocole
Pour faciliter la réalisation de grands réseaux locaux, les
liaisons entre les équipements de réseau (routeur,
commutateur) utilisent des liaisons ”multiplexées” (type
trunk) qui peuvent transporter toutes les trames de tous les
vlan
Ces trames Ethernet on un format spécial qui comprend le
numéro de vlan

Les VLANs
IEEE 802.1Q (Tag-based VLAN)
TPID : Tag Protocol Identifier (0x8100)

TCI : Tag Control Information
CFI : Canonical Format Indicator
VID : VLAN Identifier

Configuration des commutateurs CISCO
# configure terminal
(config)# int fastEthernet 0/1
(config-if)# switchport mode trunk
(config-if)# switchport trunk encapsulation dot1q
(config-if)# switchport trunk native vlan 1
(config-if)# switchport trunk allowed vlan all

(config-if)# switchport mode access
(config-if)# switchport access vlan 2
(config-if)# switchport nonegotiate

Configuration du routeur CISCO 2600
(config-if)# no shut
(config-if)# exit
(config)# int fastEthernet 0/0.1

(config-subif)# encapsulation dot1Q 1 native
(config-subif)# ip address 10.10.10.1 255.255.255.0
(config-subif)# exit

VLAN Trunking Protocol
VLAN Trunking Protocol (VTP) :

protocole propriétaire de niveau 2
a pour objectif de simplifier l’administration des VLANs
un serveur VTP défini les différents VLAN qui sont distribués
dans tous le réseau
3 modes de fonctionnement
mode serveur : création, modification, destruction de VLAN.
Les VLAN sont propagés sur le réseau. Synchronisation avec
les autres messages VTP
mode client : Synchronisation à partir des messages VTP. Pas
de possibilité de créer, modifier ou détruire des VLANs.
mode transparent : les commutateurs ne participent pas : par
d’avertissement de ses VLAN et pas de synchronisation.

Configuration VTP
(config)# vlan database
(config-vlan# vtp domain TestVlan
(config-vlan)# vtp client
OU
(config-vlan)# vtp server
(config)# vlan database
(config-vlan)# vtp transparent
# show vtp status

Les réseaux sans fil

Panorama des réseaux sans fils

Intérêts des réseaux sans fils

Développement pour 2 raisons principales :
Coût du cablâge
Lieux publiques (gares, aéroport, . . . ) ;
Transmission entre deux bâtiments ;
Monuments historiques ;
...
Applications mobiles
unité de maintenances ;
entrepôt et gestion de stocks ;
...
Domaines d’application
gare, aéroport, . . . (hotspot) ;
usines ;
entrepôts ;
grandes surfaces ;
hôpitaux ;
...
Bluetooth
Principale technologie pour les WPAN

première spécification en 1999
Lien avec le IEEE 802.15 (WPAN)
bande de fréquence des 2.4 GHz (2400 à 2483.5 MHz),
possible interférences avec 802.11b/g
Avantages :
mécanisme de détection automatique (configuration facile)
faible consommation, taille réduite, prix
Inconvénients :
faible débit (1Mb/S)
faible distance
Complémentaire aux réseaux 802.11

ZigBee
Défini par the ZigBee Alliance

Technologie similaire à Bluetooth
2.4 GHz ou 868 MHz ou 915 MHz
faible distance
très faible débit (20 ou 250 kb/s)
Avantages :
grande simplicité
faible coût
très faible consommation

IEEE 802.11

Wi-Fi
Wi-Fi = Wireless Fidelity

Terme commercial défini par la Wireless Ethernet
Compatibility Alliance (WECA)
WECA ”a pour objectif de promouvoir l’usage de WLAN basés
sur le standard IEEE 802.11”
Réalisation d’un label de certification
Wi-Fi n’est ni un protocole réseau, ni un standard réseau ni
une technique réseau, ni une architecture de réseau, c’est
juste une marque déposée

Différentes normes 802.11
Norme Nom Description

802.11a WiFi 54 Mbps - 5 GHz
802.11b WiFi 11 Mbps - 2.4 GHz
802.11e QoS Priorité des flux (ex : vidéo/audio)
802.11f Roaming Gestion des déplacements
802.11g WiFi 54 Mbps - 2.4 GHz
802.11h HiperLan2 54 Mbps - 5GHz
802.11i 802.11i Sécurité (AES - clés dynamique)
802.11n WiFi 540 Mbps - 2.4 GHz ou 5 GHz

Comparaison des différentes normes Wi-Fi
802.11a
5 GHz, modulation OFDM
débit maximal : 54 Mb/s
802.11b
2.4 GHz, modulation DSSS ou HR-DSSS
802.11g
2.4 GHz, modulation DSSS, HR-DSSS ou OFDM
802.11n
MIMO

Comparaison des débits
Débit nominal Débit approximatif

(Mbps) (Mbps)
802.11b 11 6 (750 Ko/s)
802.11g avec client 54 8 (1000 Ko/s)
802.11b associé
802.11g sans client 54 22 (2750 Ko/s)
802.11b associé
802.11a 54 25 (3125 Ko/s)

Mode de fonctionnement
La norme IEEE 802.11 dispose de deux modes de fonctionnement :
Mode infrastructure :
les clients se connectent sur les points d’accès (AP) grâce au
SSID (Service Set IDentifier, 32 caractères maxi)
chaque AP émets et reçois les données sur un canal radio
particulier. Deux balises proches doivent utiliser des canaux
différents afin que les ondes radio ne perturbent pas
(chevauchement des zones d’émissions) (voir tableau des
fréquences plus loin dans ce cours)
permet le roaming, i.e., le passage d’une balise à l’autre sans
que l’utilisateur s’en rende compte
Il n’y a pas de communication directe entre les clients, ils sont
obligés de passer par l’AP
Mode ad-hoc : IBSS (Independant Basic Service Set)
connexion pair à pair entre les clients
notion de SSID (groupe de pairs)
Portée limitée
Architecture générale d’un réseau 802.11

Architecture générale d’un réseau 802.11
AP (Acess Point) : point d’accès

BSS (Basic Set Service) : cellule de base
ESS (Extended Set Service) : ensemble des cellules de base
IBSS (Independent Basic Set Service) : cellule de base en
mode ad-hoc

La couche physique

802.11 - Infrarouge
Deux débits acceptés : 1 et 2 Mb/s
Transmission :
Longueur d’ondes : 850 - 950 nm
Lumière diffuse (pas un ”rayon laser”)
Utilise des diodes IR
Réflexion possibles
Distance limitée à 10 m entre les dispositifs de transmission
Avantages :
Simple
Bon marché
Disponibles dans de nombreux appareils
Pas de licence pour utiliser la fréquence de transmission
Facile à isoler
Inconvénients :
Interférence avec la lumière solaire et la chaleur
Faible largeur de bande
Modulations utilisées en Wi-Fi

Aperçu des types de modulation
Trois types de modulation sont utilisés pour les réseaux 802.11

Frequency Hopping Spread Spectrum (FHSS)
version originale pour 802.11
Direct Sequence Spread Spectrum (DSSS)
802.11b et 802.11g
Orthogonal Frequency Division Multiplexing (OFDM)
802.11a et 802.11g

Frequency Hopping Spread Spectrum
La bande de fréquence est séparée en plusiseurs canaux

Communication par saut de fréquence d’un canal à l’autre
Séquence et rythme prédéfini
Avantages :
difficulté d’intercepter les communications
utilisé pour les communications militaire
Résistance aux interférences
évite le brouillage des canaux
inutilisé par le Wi-Fi, utilisé par Bluetooth
Possibilité de partager la bande de fréquence en utilisant
différentes séquences
802.11
bande : 2400 MHz à 2483 MHz, canaux de 1 MHz

Direct Sequence Spread Spectrum
Séquencement
envoi d’une séquence de bits (”chip”) pour chaque bit
d’information
transition d’état à un taux plus élevé (”spread spectrum”)
intérêt :
l’utilisation d’un spectre large permet un débit plus élevé et
une meilleure résistance au bruit
redondance pour autoriser la correction d’erreur
Wi-Fi
14 canaux de largeur 22 MHz dans la bande de fréquence des
2.4 GHz
nécessite de choisir un canal
possibilité d’interférences

Orthogonal Frequency Division Multiplexing
Basé sur le multiplexage :

multiplexage par division de fréquence (FDM : Frequency
Division Multplexing )
Spectre large divisé en plusieurs sous-porteuse
émission simultanée sur les sous-porteuses
Wi-Fi
52 porteuses de 312,5 kHz chacune (canaux de 16,66 MHz)
modulation de porteuse : 2PSK, 4PSK, 16 QAM ou 64 QAM
48 symboles envoyés simultanément
Adaptation du débit

Canaux de communications

Canaux 802.11 DSSS (802.11b et 802.11g)
Utiliation de la bande des 2.4 GHz

14 canaux de 22 MHz
Le centre de chaque canal est espacé de 5 MHz cela implique
donc un chevauchement des canaux
Canaux utilisables :
canaux 1 à 13 en Europe ;
canaux 1 à 11 aux USA ;
canal 14 aux japon ;
Recommandation : utilisation de canaux sans chevauchement.
Les plus courant sont les canaux 1, 6 et 11

Fréquences WiFi (802.11b et 802.11g)
Le tableau ci-dessous indique la fréquence du milieu du canal ainsi

que les puissances d’émissions intérieures et extérieures autorisées
en France.
Canal Fréquence Intérieur Extérieur
1 2,412 GHz 100 mW 100 mW
2 2,417 GHz 100 mW 100 mW
3 2,422 GHz 100 mW 100 mW
4 2,427 GHz 100 mW 100 mW
5 2,432 GHz 100 mW 100 mW
6 2,437 GHz 100 mW 100 mW
7 2,442 GHz 100 mW 100 mW
8 2,447 GHz 100 mW 100 mW
9 2,452 GHz 100 mW 100 mW
10 2,457 GHz 100 mW 10 mW
11 2,462 GHz 100 mW 10 mW
12 2,467 GHz 100 mW 10 mW
13 2,472 GHz 100 mW 10 mW
14 2,477 GHz 100 mW 10 mW

Fréquences WiFi (802.11b et 802.11g)
La figure montre les chevauchements des différents canaux.

Canaux (802.11a)
Utilisation de la bande des 5 GHz

Canaux de 20 MHz
Le centre de chaque canal est espacé de 5 MHz cela implique
donc un chevauchement des canaux
12 canaux utilisés par 802.11a dans le monde
34, 36, ..., 48
52, 56, ..., 64
En France :
La bande des 5 GHz est interdit à l’extérieur
8 canaux sans chevauchement :
36, 40, 44, 48, 52, 56, 60 et 64

Transmission radio
Étalement de spectre :
augmente la résistance au brouillage ;
permet la cohabitation de transmissions ;
étalement par séquence directe :
une suite aléatoire de n chips ;
un bit est remplacé par la suite.
étalement par saut de fréquence :
une séquence aléatoire de fréquences ;
la porteuse se décale sur la séquence.

La norme IEEE 802.11

Une méthode d’accès commune
Diverses couches physiques :
la norme de base IEEE 802.11 :
une version infra-rouge jamais commercialisé ;
une version à saut de fréquences (bande des 2,4 GHz) ;
une version à séquence directe (bande des 2.4 GHz) ;
débit théorique de 1 et 2 Mbit/s
une extension IEEE 802.11b :
modulation de type CCK (bande des 2.4-2.5 Ghz) ;
débits théoriques de 5.5 et 11 Mbit/s ;
débit réels de 4 et 6.5 Mbit/s.
une extension IEEE 802.11a :
modulation OFDM (bande des 5 Ghz) ;
débits théoriques jusqu’à 54 Mbit/s ;
débit réel de 20 Mbit/s.
une extension IEEE 802.11g :
modulation mixte CCK/OFDM (bande des 2.4-2.5 Ghz) ;
débit théorique jusqu’à 54 Mbit/s ;
débit réel de 25 Mbit/s.
une extension 802.11n
Thomas Vantroys (Polytech’Lille)
:
Réseau informatique IMA4 429 / 481
Différentes configurations
Les modes de fonctionnement :
infrastructure avec point d’accès :
une station raccordée à un réseau filaire ;
communication uniquement via la station ;
réseau ad-hoc :
fonctionnement distribué ;
communication entre stations à porté.
Les techniques d’accès :
un mode d’accès à compétition :
Distribution Coordination Function (DCF) ;
mode obligatoire dans la norme 802.11 ;
une méthode à base de CSMA
un mode d’accès contrôlé :
Point Coordination Function (PCF) ;
mode optionnel dans la norme 802.11 ;
une station gère les temps de parole ;
mode quasiment jamais implémenté (peu efficace)
Accès à compétition : le principe
Accès basé sur une méthode CSMA :

attente comme dans le CSMA-1 persistant ;
attente durant un intervalle de temps fixe DIFS plus . . .
. . . un multiple aléatoire d’intervalle de collision (20 µs) ;
émission si le canal est encore libre
Contrôle des collisions par accusés de réception
Priorité des accusés de réceptions :
des inter-trames de tailles différentes :
les Short Inter-Frame Spacing (10 µs, accusé) ;
les Distributed Inter-Frame Spacing (50 µs, mode DCF) ;
Les Point Coordination Inter-Frame Spacing (30 µs, mode
PCF)

Accès à compétition : le principe
Un exemple de fonctionnement :

Accès à compétition : stations cachées
Comment prendre en compte les stations cachées ?

Un vecteur d’allocation (Network Allocation Vector)
la source prévient de sa transmission (Request To Send)
la cible autorise la transmission (Clear To Send)
la durée de transmission est annoncée

Accès à compétition : stations cachées

Un exemple de fonctionnement :

Accès à compétition : fragmentation
Fragmenter pour améliorer la fiabilité :

un fragment court passe mieux qu’une grande trame
la station est prioritaire pour les fragments suivants
en cas de collision, retour à la phase de contentio
Principe de la transmission des fragments :

Format des trames 802.11

Format des trames 802.11
Signification des divers champs :

un champ de contrôle pour la nature de la trame ;
un champ indiquant la durée en ms de la séquence ;
plusieurs champs d’adresse :
plusieurs cas de figre (mode infrastructure ou ad-hoc) ;
cas le plus courant du mode infrastructure :
adresse 1 : adresse MAC du point d’accès ;
adresse 2 : adresse MAC de la station source ;
adresse 3 : adresse MAC de la station cible :
adresse 4 : inutilisée
un champ numéro de séquence utilisé pour :
numéroter les trames en vu de l’acquitement ;
numéroter les fragments si nécessaire
un champ somme de contrôle classique (CRC 32 bits)

Types des trames 802.11
Plusieurs types de trame :

les trames de gestion (dialogue avec les PA) ;
les trames de contrôle (implantation du protocole) ;
les trames de données.
Le champ de contrôle des trames :

Signification des champs :

le numéro de version est actuellement 0 ;
le type et le sous-type indiquent la nature de la trame ;
les deux champs suivants indiquent si la trame :
va vers un système de distribution (réseau filaire) ;
ou provient d’un système de distribution
le champ ”autre fragment” indique une fragmentation
ces fragments sont en séquence si le bit ”ordre” est positionné :
le champ ”nouvel essai” indique une ré-émission de trame ;
le champ WEP indique si la trame est cryptée ;
et enfin les autres champs concernent la gestion des l’énergie
Signification des types et sous-types :

Type Description Sous-type Description sous-type

00 Gestion 0000 Requête d’association
00 Gestion 0001 Réponse d’association
00 Gestion 0010 Requête de ré-association
00 Gestion 0011 Réponse de ré-association
00 Gestion 0100 Demande d’enquête
00 Gestion 0101 Réponse d’enquête
00 Gestion 100 Balise
00 Gestion 1001 ATIM
00 Gestion 1010 Désassociation
00 Gestion 1011 Authentification
00 Gestion 1100 Désauthentification
01 Contrôle 1010 PS-Poll
01 Contrôle 1011 RTS
01 Contrôle 1100 CTS
01 Contrôle 1101 ACK

Type Description Sous-type Description sous-type

01 Contrôle 1110 CF End
01 Contrôle 1111 CF End et CF-ACK
10 Données 0000 Données
10 Données 0001 Données et CF-ACK
10 Données 0010 Données et CF-Poll
10 Données 0011 Données, CF-ACK et CF-Poll
10 Données 0100 Fonction nulle (sans données)
10 Données 0101 CF-ACK (sans données)
10 Données 0110 CF-Poll (dans données)
10 Données 0111 CF-ACK et CF-Poll (sans données)

Configuration des Access

Point Cisco

Cisco Aironet 1200

Configuration WEP
AP# configure terminal
AP(config)# dot11 ssid MonSSID

AP(config)# authentication open
AP(config)# guest-mode
AP(config)# exit
AP(config)# interface dot11radio 0

AP(config-if)# ssid MonSSID
AP(config-if)# encryption mode wep mandatory
AP(config-if)# encryption key 1 size 128bit 0
cafe4cac40faceb00cdeadbeef
AP(config-if)# no shutdown
AP(config-if)# exit

Sécurité des réseaux WiFi

Types d’attaques
interception de données ;
intrusion dans le système ;
attaque de l’homme au milieu (man in the middle) ;
porte dissimulée (backdoor ).

Interception des données

Interception des données
L’interception des données est l’attaque la plus facile. N’importe

qui peut récupérer les trames radio qui circulent. Il suffit ensuite de
réassembler les trames pour récupérer les différentes informations
qui ont transité par le réseau sans fil.

Intrusion dans le système

Intrusion dans le système
L’objectif de l’attaquant est d’accéder au résau filaire. Pour cela il

va tenter de se connecter sur un AP non sécurisé. Il peut également
récupérer les trames réseaux cryptés et tenter de trouver la clé de
cryptage afin de s’identifier et s’authentifier auprès d’un AP.

Man in the middle

Man in the middle
Man in the middle est une attaque classique de tous les systèmes
informatique.

Porte dissimulée

Contre-mesures

Weak protection
Supervision des ondes radio

Éviter les AP pirates par une bonne couverture des locaux
Ne pas broadcaster le SSID, mais :
Détection possible des AP
Récupération des trames possible et donc du SSID
Filtrage par adresse MAC, mais :
Difficile à administrer
Récupération des trames possible et donc des adresses MAC
autorisés
Séparer le réseau sans-fil et le réseau filaire par utilisation par
exemple de VLANs différents
Cryptage par clé WEP
Utilisation de VPNs

WEP
WEP : Wired Equivalent Privacy

Clé partagée par l’ensemble des clients et invariable dans le
temps
clé de longueur 40 ou 104 bits
clé en hexadecimal ou en texte
possibilité de générer une clé à partir d’un mot de passe
Problème de gestion de la clé
beaucoup de copies de la clé (une par machine) implique un
grand nombre de fuites potentielles
difficulté pour changer la clé. De nombreuses entreprises ne
changent jamais leur clé WEP

WEP
RC4 : Chiffrement par simple XOR de la clé avec les données

(utilisation de la force brute sur le flux chiffré pour le
décodage)
authentification : AP envoie un challenge et le client répond
avec le challenge chiffré avec la clé WEP (Man in the middle
au moment du challenge)
contrôle d’intégrité : CRC32 (modification des trames +
nouveau CRC32 valide)

Faiblesses cryptographiques
Répétition de la clé RC4

la longueur de l’IV est de 24 bits : trop court !
dès que deux paquets avec le même IV est reçu, le pirate peut
connaı̂tre une partie des messages
indépendant de la longueur de la clé WEP utilisée
Dictionnaires de décryptage
Attaques sur les clés faibles

Conclusion sur WEP
Il existe des outils open-source pour exploiter les faiblesses de

WEP (décryptage de la clé)
Mais WEP est mieux que rien
La plupart des attaques ont besoins d’écouter beaucoup de
trafic
Les pirates doivent être à portée du réseau
Il existe des risques plus importants (virus, ...)
De préférence, il faut utiliser WPA ou WPA2
sécurité renforcée
plus difficile à installer
une fois installé, le réseau est plus administrable

Wireless Protected Access

Vers un réseau Wi-Fi sécurisé
Authentification forte
utilisation de 802.1x
basé sur EAP
nécessite un serveur d’authentification : RADIUS
Cryptage fort
distribution des clés durant l’authentification
résoud tous les problème de cryptage de WEP
deux solutions :
WPA : cryptage TKIP (basé sur RC4)
WPA2 : cryptage CCMP (basé sur AES)

Mode Ad Hoc
Communication directe
pas de point d’accès
Independent Basic Service Set (IBSS)
Inconvénients :
difficulté de configuration
configuration WiFi
configuration IP manuelle
pas de routage
Peut être utilisé pour connecté plusieurs points d’accès

Mode infrastructure
Les clients se connectent au réseau via un point d’accès (AP)

1 AP + clients = Basic Service Set (BSS)
zone de couverture : Cellule ou Basic Service Area (BSA)
identification par un nombre de 48 bits : BSSID
BSSID = AP Mac address
Connexion de plusieurs points d’accès par un système de
distribution (DS)
DS peut être Ethernet filaire, point-à-point, sans-fil
Extended Service Set / Extended Service Area
hand-over
maintien de la connexion lors d’un déplacement d’un BSS
àl’autre dans le même EBSS
choix automatique de l’AP
identifié par un SSID (max 32 caractères)

Association / Reassociation
After successful identification

Send association request
list of the handled data rates
AP
allocates unique ID
register information in allocation table
send acknowledge
Hand-over : if station detects a better AP
send a unassociation request to former AP
send a reassociation request to new AP
contains ID of former AP
completely transparent to the user

Security
SSID masking
weak : sniff probe packets
MAC address filtering
not feasible if several AP and lots of stations
MAC spoofing
WEP (Wired Equivalent Privacy)
shared key
free software allow to break WEP
802.1x and WEP key rotation
needs a RADIUS server
802.11i and WPA (Wireless Protected Access)
based on 802.1x
needs a RADIUS server
WPA : TKIP cryptography
802.11i : AES cryptography (WPA2 certification)

Error Control / Fragmentation
32 bits CRC for each packet

high confidence in validated packets
in case of interferences : elimination of packets
Fragmentation
error rate : FER = 1 − (1 − BER)SIZE
it can be interesting to fragment packets
threshold parametrized
trade-off between FER and overhead
beacon frames, broadcast and multicast not fragmented

Dispatching and WDS
Dispatch problem
where to forward receive packets ?
to the BSS or to the DS ?
Mechanism : 2 bits
toDS fromDS signification
0 0 Ad Hoc
1 0 station Ý AP
0 1 AP Ý station
1 1 WDS : AP Ý AP
Wireless Distribution Service
extension of a wireless network with AP not connected to
wired network
vague specification Ý compatibility problems
discussion for mesh networks Ý 802.11s

Wireless Security
Fundamental qualities
confidentiality
integrity
availability
non repudiation
Common attacks
war-driving
spying
intrusion
denial of service
message modification

Solutions
First solutions
limit overflowing Ý deployment
avoid pirate access point Ý limit temptation by a good
coverage
radio supervision
mask the SSID
MAC address filtering
VLANs
WEP cryptography
isolate the wireless network from the wired network
use VPNs
Other solutions
LEAP (Cisco) and proprietary solutions, WPA, 802.11i
all based on 802.1x, itself based on EAP
use an authenticating server, nearly always RADIUS

Principle
Everybody shares a common key

key length : 40 or 104 bits
key format : hexadecimal or text
possibility of key generation from a password
Key handling problem
lots of copies of the key Ý lots of potential security leaks
difficulty of key changing Ý many enterprises never change
their WEP key

Infrastructure d’un réseau

GSM

Architecture générale d’un réseau GSM

Constituants d’un réseau GSM
MS : Mobile Station ;
BTS : Base Transceiver Station ;
BSC : Base Station Controller ;
BSS : Base Station Subsystem ;
MSC : Mobile services Switching Center ;
VLR : Visitor Location Register ;
HLR : Home Location Register ;
NSS : Network SubSystem.

Le service des messages

courts

Introduction
Définition :
Le service des messages courts ou SMS (Short Message
Service) est un service qui permet la transmission de messages
alphanumériques entre des GSM, des téléphones fixes, des
ordinateurs . . . ou vers des systèmes de courriers électronique,
de fax, . . .
La taille maximale du message est de 160 caractères.

Architecture du réseau SMS

Constituants du réseau SMS
SME : Short Messaging Entities est l’entité qui reçoit ou

émet des SMS ;
SMC : Short Message Center
SMSC : Short Message Service Center
HLR : Home Location Register
MSC : Mobile services Switching Center
VLR : Visitor Location Register
BSS : Base Station System est le sous-système gérant les
relais radio.

Émission d’un message

Réception d’un message

Glossaire
CSMA : Carrier Sense Multiple Access
DSSS : Direct Sequence Spread Spectrum
GPRS : General Packet Radio Service
GSM : Global System for Mobile Communication
ISM : Industrial, Scientific and Medical
OFDM : Orthogonal Frequency Division Multiplexing
PAN : Personal Area Network
PSTN : Public Switched Telephone Network
QAM : Quadratic Amplitude Modulation
RADIUS : Remote Authentication Dial-In User Service
SSID : Service Set IDentifier
TDMA : Time Division Multiple Access
TKIP : Temporal Key Integrity Protocol
UMTS : Universal Mobile Telecommunication System
WECA : Wireless Ethernet Compatibility Alliance
Glossaire
WEP : Wired Equivalent Privacy

Wi-Fi : Wireless Fidelity
WISP : Wireless Internet Service Provider
WLAN : Wireless Local Area Network

IMA4 Network

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

IMA4 Network

Transféré par

Droits d'auteur :

Formats disponibles

Modèle OSI et IETF Réseaux locaux Ethernet TCP/IP

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 1 / 481

There are only 10 types of people in the world :

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 2 / 481

12h de cours (Th. Vantroys)

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 3 / 481

Examen sur table (2h)

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 4 / 481

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 5 / 481

Bibliographie non exhaustive

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 7 / 481

Comment Ca Marche. Dunod, septembre 2006.

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 8 / 481

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 8 / 481

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 9 / 481

Le réseau : vue utilisateur

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 10 / 481

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 11 / 481

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 12 / 481

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 13 / 481

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 14 / 481

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 15 / 481

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 16 / 481

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 17 / 481

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 18 / 481

Réseau : structure définie par des relations entre entités -

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 19 / 481

déterminer l’origine du problème (matériel, protocole

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 20 / 481

à quel niveau (matériel, logiciel) se situe le problème ?

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 21 / 481

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 22 / 481

Exemple d’adresses associées à une seule machine :

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 23 / 481

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 24 / 481

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 25 / 481

Utilité d’un réseau informatique

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 26 / 481

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 27 / 481

Communication via liaisons (définition de l’UIT-T)

Sens des échanges

Liaison unidirectionelle (simplex)

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 29 / 481

transforme les données en suite de bits

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 30 / 481

Serial Peripheral Interface

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 32 / 481

Serial Peripheral Interface

le maı̂tre et l’esclave ont un registre circulaire

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 33 / 481

Serial Peripheral Interface

SPI utilise un protocole de communication synchrone

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 34 / 481

Serial Peripheral Interface

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 35 / 481

l’objectif est de minimiser les coûts pour connecter des

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 36 / 481

chaque maı̂tre génére le signal d’horloge

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 37 / 481

Interfaces de communication - Résumé

Les bus sont les éléments essentiels pour le transfert de

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 38 / 481

Transmission en bande de base

Thomas Vantroys (Polytech’Lille) Réseau informatique IMA4 39 / 481