Cours TCP IP

Communiquer avec TCP/IP
LAN
EDF
Guillaume Lehmann
SEISO/ATI/PEX-T
2/115
Plan
Introduction (5 min)
Les modles (20 min)
Les couches basses (30 min)
Les couches hautes (5 min)
Le rseau ethernet (1h10)
pause 20 min
Le rseau IP (1h10)
Les protocoles de transport (1h30)
pause 20 min
Ladministration rseau (30 min)
La scurit (25 min)
Conclusion (5 min)
3/115
Introduction
But de cette formation
Apprendre les principes de bases des rseaux et la logique qui les lie tous.
Comprendre le fonctionnement des couches basses et plus particulirement des rseaux
ethernet, IP et TCP/UDP/SCTP. Comprendre la mise en uvre qui en est faite EDF.
Possder une base de connaissances solide sur les fonctionnalits des niveau 2, 3, 4, sur
ladministration rseau et sur le monitoring.
Possder des connaissances gnrales sur la scurit rseaux (orient protection contre les
actes malveillants).
Ne seront pas abords
La configuration dtaills des quipements rseaux.
Lutilisation dtaille des outils de supervision ou dadministration rseau.
Le fonctionnement des rseaux radio, ATM, Frame Relay, RNIS, MPLS, X25,
Les dtails superflus pour la comprhension du fonctionnement dun protocole.
Les cas particuliers des rseaux tels que le multicast, la VoIP ou encore la ToIP.
Lexistence des petits hommes verts.
4/115
Les modles
La pile OSI
La pile TCP/IP
La pile NetBEUI
Parcourt de linformation
5/115
La pile OSI
Les modles
Application
Prsentation
Session
Transport
Rseau
Liaison
Physique
Modle thorique sur la communication entre 2
entits.
7 couches utilisant le service rendu par la couche
infrieure pour rendre un service la couche suprieure
=> encapsulation/dsencapsulation.
Application : http, smtp, snmp, telnet, nfs,
Prsentation : xdr, ASN.1, smb, aft,
Session : ISO 8327 / CCITT X.225, rpc, NetBIOS,
Transport : tcp, udp, rtp, spx, atp,
Rseau : ip, icmp, igmp, X.25, arp, ospf, rip, ipx,
Liaison : ethernet, ppp, hdlc, Frame Relay, rnis, atm,
Physique : laser, fibre optique, cble UTP cat. 3/5/6/7, codage,
radio,
bit
trame
paquet
segment
Data SPDU
Data PPDU
APDU
Data
Data
Data
Data
FCS
6/115
La pile TCP/IP
Les modles

Application

Transport
Rseau
Liaison
Physique
Standard de fait, plus ancien que le modle OSI
(Department of Defense)
Pile Internet
Les couches basses des 2 modles correspondent plus
ou moins.
Les couches hautes de la pile OSI sont regroupes en
une seule couche Application.
Application : http, ftp, pop, smtp, telnet, snmp, dns,
Transport : tcp, udp, rtp,
Rseau : ip, icmp (au-dessus dip),
Liaison : ethernet, token-ring, wifi, wimax, atm,
Physique : fibre optique monomode/multimode, cbles UTP cat.
3/5/6/7, codage, laser, radio,
7/115
La pile de NetBEUI
Les modles
Pile utilise par Microsoft Windows
Conue lorigine pour des petits rseaux locaux
NetBEUI disparat avec MS Windows 2000
Application : WINS, SMB (Server Message Block), NCB
(Network Control Block), RPC (Remote Procedure Control)
Session : NetBIOS (Network Basic Input/Output System)
Transport/Rseau : NetBT (NetBios over Tcp/ip),
NetBEUI (NetBios Extented User Interface)
Liaison/Physique : Ethernet, token-ring,
Application
Session
Transport/Rseau
Liaison/Physique
8/115
Parcourt de linformation
Les modles
LAN LAN LAN
WAN
@
M
A
C

u
t
i
l
i
s
e

@
M
A
C

u
t
i
l
i
s
e

@
M
A
C

u
t
i
l
i
s
e

@
M
A
C

u
t
i
l
i
s
e

@
M
A
C

u
t
i
l
i
s
e

@
M
A
C

e
t

@

I
P

u
t
i
l
i
s
e
s

@
M
A
C

e
t

@

I
P

u
t
i
l
i
s
e
s

Requte
Rponse
9/115
Les couches basses
La couche physique
La couche liaison
La couche rseau
La couche transport
Application
Prsentation
Session
Transport
Rseau
Liaison
Physique
10/115
La couche physique (1/4)
Les couches basses
mission et rception de signaux :
Par voie hertzienne => radio (FM, AM, OOK, FSK, PSK, ASK/PAM)
Par voie lectronique => cbles coaxiaux, paires de cuivres.
Par voie lumineuse => lasers, fibres optiques

Sont dfinis :
Type de mdia
Les connecteurs
Les niveaux et puissances des signaux
Le codage/modulation/longueurs dondes
La synchronisation (horloge)
Les distances maximales
11/115
Les couches basses
RLE USSO
Fibres optiques monomodes ou multimodes :
LC/SC/ST/MTRJ
Cbles cuivres :
RJ45 de catgorie 3 ou 5 ou 6
Matriel :
Hubs 3Com PS40
(en voie dextinction)
12/115
Les couches basses
Pour infos
100BASETX : 100 ohms, 100m (90m Gbps), UTP (non blind) ou STP(blind)
Laser : distance maximale ~ 500m
Fibre optique :
SX : short wavelength
LX : long wavelength
LH : long haul
FD : Full-Duplex
HD : Half-Duplex
850 nm avec fibres multimodes 62,5/125 ou
50/125
1310 nm avec fibres multimodes 50/125 ou
monomodes 9/125
1550 nm avec fibres monomode 9/125
13/115
100BASE
1000BASE
BX
LX
LH
FX
SX
LX
ZX
-U
-D
monomode, 1310nm, 9microns, 2m 10km
FD, multimode, 1310nm, 62.5microns, 2m 2km
HD, multimode, 1310nm, 62.5microns, 2 412m
multimode, 850nm, 62.5microns, 2 550m
multimode, 1310nm, 62.5microns, 2 550m
multimode, 1310nm, 62,5microns, 2 550m
(100km en premium)
FD, monomode, 1310nm, 9microns, 2m 15-20km
Les couches basses
14/115
La couche liaison (1/2)
Les couches basses
Transport des trames dun nud vers un autre noeud
Le tramage (squences de bits qui marquent le dbut et la fin des
trames).
Transmission entre deux nuds physiques sur une zone restreinte :
LAN (Local Area Network).
Adressage physique des nuds (en-tte).
Contrle derreur.
Couche parfois subdivise en :
MAC
LLC (au-dessus de MAC)
QoS possible mais rarement utilise.
15/115
La couche liaison (2/2)
Les couches basses
RLE USSO
Protocole :
ethernet
Switchs ethernet 3Com :
SuperStack II : 1100/3300TX (p)
Superstack III : 3300FX (p), 4400 (p), 4050/4060/4070 (c), 4900/4950 (c)
Core Builder : 4007 (ch)
Switchs ethernet Nortel :
Bay Stack 450 (p)
Accelar 1200 (ch)
(p) : switchs de priphrie (empilables ?)
(c) : switchs de cur de rseau empilables
(ch) : switchs de cur de rseau, chassis
Switchs ethernet Enterasys :
A2, B2 (p)
C2 (c)
Switchs ethernet Cisco :
Catalyst 2940/2960 (p)
Catalyst 3750 (c)
16/115
La couche rseau (1/2)
Les couches basses
Acheminement des paquets
travers un ou plusieurs
rseaux

Un protocole dadressage
Un protocole de transmission
de diagnostics
Un protocole de gestion des
transmissions multicasts
QoS possible
17/115
La couche rseau (2/2)
Les couches basses
RLE USSO
Protocoles :
IP, ICMP, ARP pour le RLE
RIP, OSPF, IP, X.25 pour le RIH

Switchs :
3Com Superstack III : 4050/4060/4070, 4900/4950
Enterasys : C2
Cisco : Catalyst 3750
Routeurs :
Cisco (proprit et gestion par France Telecom / 9Cgetel)
18/115
La couche transport (1/2)
Les couches basses
Fiabiliser le transport des paquets et les ordonner
Vrifier que les donnes sont intgres.
Vrifier quil ny a pas duplication ou perte de paquets.
Vrifier que les paquets sont prsents dans le bon ordre la couche suprieure
(seulement en mode connect).

Mode connect et mode non connect.
Dans la pile TCP/IP, cette couche dtermine aussi quelle application les paquets
doivent tre envoys.
Retransmission en cas de perte.
La QoS (Quality of Services) influe sur cette couche.
Notion de flux.
19/115
La couche transport (2/2)
Les couches basses
RLE USSO
Protocoles :
TCP (Transmission Control Protocol) : mode connect
UDP (User Datagram Protocol) : mode non connect

Utilis pour :
Dterminer les flux (notion de ports TCP/UDP)
Mettre en place de la QoS
Utilise dans le domaine des rseaux car li la
couche rseau
20/115
Les couches hautes
La couche session
La couche prsentation
La couche application
21/115
La couche session
Les couches hautes
Placement de points de synchronisation, gestion des
procdures dajournement, de fin ou de
redmarrage de connexion et gestion de la
continuit du service rendue aux couches
suprieures
Gestion groupe dinfos provenant de plusieurs flux
=> Utilise essentiellement dans le multimdia
22/115
La couche prsentation
Les couches hautes
Mettre en forme les donnes pour quelles puissent
tre interprtes par la couche application
23/115
La couche application (1/2)
Les couches hautes
Programmes rseaux dlivrant ou consultant un
service
24/115
La couche application (2/2)
Les couches hautes
RLE USSO

Mail/partageDeDocuments => Lotus Notes
Gestion de rseau Microsoft Windows
Partage de fichiers travers Microsoft Windows
SNMP
http/https
ftp
telnet
ssh
25/115
Le rseau ethernet
Le fonctionnement
Ladressage
Les quipements
Les fonctionnalits de base
Les fonctionnalits volues
26/115
Le fonctionnement
Le rseau ethernet
CSMA/CD : Carrier Sense Multiple Access/Colision Detection
27/115
Ladressage
Le rseau ethernet
La norme ethernet spcifie lutilisation dadresses physiques lies aux cartes rseaux :
les adresses MAC.
Une carte ne prend en compte que les trames qui lui sont destines et les transmet au
protocole de niveau 3 indiqu dans le champ Type (0x0800 pour IP). Exception
pour :
Les trames de broadcasts
Les adresses multicasts qui lui ont t configures
Les cartes en mode promiscuit
Une adresse MAC sous forme hexadcimale est constitue :
Du bit U/L : adresse universelle attribue par lIEEE (0000 0000) ou adresse
locale (0000 0010)
Du bit I/G : adresse unicast (0000 0000) ou multicast (0000 0001)
De ladresse du constructeur sur 22 bits (comprend les 6 premiers bits 0)
De ladresse affecte par le fabricant sur 24 bits
@constructeur (part 1)
6 bits 0
U/L
0/1
I/G
0/1
@constructeur (part 2)
-0f-23
@fabricant
-2c-14-34
28/115
Les quipements (1/4)
Le rseau ethernet
Hubs ou rpteurs :
Niveau 1 : La trame est rplique sur tous les ports sauf celui
darrive de la trame
Mme domaine de collisions de part et dautre du hub
Dbit : 10 Mbps, parfois 100 Mbps.
Technologie : Composants lectroniques, avec un ou plusieurs
bus ethernets.
A X Y B
IP:192.168.0.10/24
MAC:ef-20-2f-4a-50
IP:192.168.0.11/24
MAC:ef-20-2f-0a-21
IP:192.168.0.12/24
MAC:ef-20-2f-42-45
IP:192.168.0.13/24
MAC:ef-20-2f-01-8f
Non utiliss par le hub pour transmettre les donnes
29/115
Le rseau ethernet
Switchs ou commutateurs :
3 grandes familles de switchs :
Stand alone (bon march) => priphrie ;
Empilables (extension aise) => priphrie ou cur de rseau ;
Chssis (redondance, remplacement chaud des composants, modulaire,
fonctionnalits plus nombreuses) => cur de rseau.
Niveau 2 : La trame est envoye uniquement sur le bon port (une table MAC
par port) sauf si ladresse est inconnue par le switch.
Niveau 3 : Fonctions de routage ajoutes par les constructeurs. Hors
normalisation du 802.3.
Dbits : 10/100/1000/10000 Mbps.
Technologie : ASIC et processeur RISC, matrice de commutation.
Domaines de collisions spars par le switch, mais pas les domaines de
broadcasts IP.
30/115
Le rseau ethernet
Switchs (suite) :
Cut through : Aprs avoir reu les 6 octets qui permettent de remonter les
informations concernant les adresses, le switch commence renvoyer le
paquet vers le segment destinataire sans que la trame ne soit entirement
arrive dans le switch.
Store and forward : Le switch sauvegarde la totalit du paquet dans un buffer,
vrifie les erreurs CRC ou autres problmes, puis lenvoie sil est valide
sinon le rejette. Si le paquet prsente des erreurs, il est rejet.
Fragment free : Cette mthode est moins utilise que les prcdentes. Elle
fonctionne comme cut through si ce nest quelle stocke les 64 premiers
octets du paquet avant de lenvoyer : la plupart des erreurs et des collisions
interviennent lors du temps de transmission des 64 premiers octets du paquet.
31/115
Le rseau ethernet
Principe du pont transparent en 5 tapes.
Lapprentissage
Linondation
Le filtrage
Forwarding
Vieillissement (aging)
32/115
Les fonctionnalits de base
Le rseau ethernet
Vitesse des ports et mode de fonctionnement :
Autongociation et autosense (vitesse) changes de trames
FLP (Fast Link Pulse).
On peut forcer les vitesses et les modes ngociables.
Croisement logiciel du cble RJ45 :
(Auto-)MDIX. Mme activ, il faut parfois galement activer
lautongociation afin que le MDIX soit effectif.
33/115
Les fonctionnalits volues (1/7)
Le rseau ethernet
Administration et supervision :
Accs en telnet, ssh, web, client propritaire,
Supervision par SNMP (MIB implmente plus ou
moins complte) et RMON.
34/115
Le rseau ethernet
Agrgation de liens (802.3ad) : Lier plusieurs liens physiques hte
hte comme un seul lien logique. Rpartition de charge (par
session MAC) :
Monte en charge en parallle des liens agrgs ;
Basculement de la charge sur un autre lien de lagrgation une
fois le premier lien arriv pleine charge ;
Basculement de la charge sur un autre lien de lagrgation si le
premier lien est hors-service.
35/115
Le rseau ethernet
Virtual Local Area Network (802.1q) : sparer virtuellement des rseaux
physiquement identiques :
Affectation du VLAN par port, ou VLAN de niveau 1 ;
Affectation du VLAN par adresse MAC ou VLAN de niveau 2 ;
Affectation du VLAN par adresse IP ou VLAN de niveau 3 ;
Sparation de rseaux IP => ncessit de passer par un routeur pour
aller dun VLAN lautre ;
Tag/marquage sur un port lorsquil est ncessaire dindiquer dans le
paquet le VLAN dappartenance (utile pour linterconnexion de 2
switchs) ;
Les VLANs ingress et egress dun mme port peuvent tre diffrents ;
Sparation des domaines de collisions, de broadcasts et de multicasts
IP.
36/115
Le rseau ethernet
Utilisation des tags pour
transmettre plusieurs
VLAN sur un mme
lien.
Bouclage physique sans
tempte de broadcasts.
Rpartition de charges
vers le switch du bas.
Attention aux
multicasts/broadcasts !
Exemples darchitectures
37/115
Le rseau ethernet
Exemples darchitectures
Routage inter-VLAN avec une seule
interface routeur. Ou 1 plage IP, plusieurs
VLAN qui nont pas communiquer entre
eux. Attention, si un switch connecte
plusieurs VLAN les multicasts /
broadcasts transitent entre les VLANS !
Routage entre des VLAN hermtiques.
38/115
Le rseau ethernet
(Rapid) Spanning Tree Protocol : Dsactivation automatique des ports impliqus
dans un boucle.
STP => v1 ; RSTP => v2 ;
Communication entre les switchs (Bridge Protocol Data Unit) pour dtecter
les boucles ;
lection dun switch root et notion de cots pour chaque liaison.
Multiple Spanning Tree Protocol : 802.1s
Plusieurs arbres actifs rpartition de charge.
Plusieurs VLAN par spanning tree
Si on rajoute cela la possibilit daffecter des
VLAN diffrents suivant que le trafic dun port
est sortant ou entrant, nous pouvons alors avoir
des configurations trs complexes
39/115
Le rseau ethernet
Quality of Services (802.1p inclus dans 802.1q) : Dfinition de priorits selon 7
classes de services (champ de 3 bits) (les constructeurs regroupent parfois dans
une mme file dattente plusieurs classes de services !) :
0 = Best effort
1 = Background
2 = Rserv (spare)
3 = Excellent effort (business critical)
4 = Application contrle de charge (streaming multimedia)
5 = Vido (interactive media), moins de 100ms de latence et jitter
6 = Voix (interactive media), moins de 10ms de latence et jitter
7 = Network control reserved traffic
Port Mirroring : recopie de ports (attention toutes les donnes ne sont pas
toujours recopies !).
Power over Ethernet : alimentation par le cble rseau des priphriques
connects au switch 15,4 W sur 3, 4, 7, 8 en 802.3af, >30W en 802.3at , sur 4
paires.
40/115
Le rseau IP
Ladressage
ARP/RARP
DHCP/BOOTP
La translation dadresse
Les quipements
Le routage
41/115
Ladressage (1/5)
Internet Protocol : actuellement en version 4. Lutilisation de IP a fortement
volu !
32 bits utiliss, criture en 4 fois 8 bits.
11000000.10101000.00001010.10000010 = 192.168.10.130
Ladressage dune machine/dun rseau = @ IP + masque sous-rseau
(exception avec la notion de classes).
1 rseau IP = 1 plage IP constitue (exception pour le multicast) :
dune adresse dfinissant le rseau (premire adresse de la plage).
dune adresse dfinissant le broadcast rseau (la dernire adresse de la
plage).
dadresses des htes uniques (toutes les autres adresses).
Plusieurs mthodes de dcoupage des plages dadresses :
Classes.
CIDR (Classless Inter-Domain Routing).
VLSM (Variable Length Subnetwork Mask), sorte de CIDR local
lentreprise.
Il existe des exceptions : des plages IP rserves et dautres ne pas router.
Le rseau IP
42/115
Ladressage (2/5)
Le rseau IP
2
7
+ 2
6
. 2
7
+ 2
5
+ 2
3
. 2
3
+ 2
1
. 2
7
+ 2
2

11000000.10101000.00001010.10000100 (192.168.10.132/28)
11111111.11111111.11111111.11110000 (255.255.255.240)

La partie rseau, se sont les bits 1 du masque sous-rseau.
La partie machine, se sont les bits 0 du masque sous-rseau.
Si cette rgle est respecte, les valeurs dcimales possibles pour masque sous-
rseau sont : 255, 254, 252, 248, 240, 224, 192, 128 et 0
Partie rseau Partie machine
Adresse rseau (1
ire
adresse) : . 10000000 192.168.10.128
Adresses machines : . 10000001 . 10001110 192.168.10.129 142
Adresse de broadcast (dernire adresse) : . 10001111 192.168.10.143
43/115
Ladressage (3/5)
Classes
Les bits les plus lourds dfinissent la classe :
Classe A : rseaux de 16777214 machines max (de 0.0.0.0
127.255.255.255) :
00000000.00000000.00000000.00000000 01111111.00000000.00000000.00000000
Classe B : rseaux 65534 machines max (de 128.0.0.0 191.255.255.255) :
10000000.00000000.00000000.00000000 10111111. 11111111.00000000.00000000
Classe C : rseaux de 254 machines max (de 192.0.0.0 223.0.0.0) :
11000000.00000000.00000000.00000000 11011111.11111111.11111111.00000000
Classe D : adresses multicasts
Classe E : rserve des usages exprimentaux
Le rseau IP
44/115
Ladressage (4/5)
Le rseau IP
CIDR
Le masque sous-rseau permet de crer des sous-rseaux ou sur-
rseaux qui ne respectent plus le dcoupage en classes A, B, C.
Cest le masque sous-rseau qui dfinit la limite des bits dadressage du
rseau, des bits dadressage de la machine :
192.168.10.5/255.255.255.0 ou 192.168.10.5/24 24 bits Rx sur 32
Plage IP : 192.168.10.0 192.168.10.255
192.168.10.5/255.255.255.128 ou 192.168.10.5/25 25 bits Rx sur 32
Plage IP : 192.168.10.0 192.168.10.127
192.168.10.5/255.255.252.0 ou 192.168.10.5/22 22 bits Rx sur 32
Plage IP : 192.168.8.0 192.168.11.255
45/115
Ladressage (5/5)
Exceptions
Les plages IP ne pas router par dfaut
10.0.0.0/8 10.255.255.255/8
172.16.0.0/16 172.31.255.255/16
192.168.0.0/16 192.168.255.255/16
Les plages IP rserves
0.0.0.0 => utilise par lhte quand ladresse rseau est inconnue
255.255.255.255 => diffusion limite tous les htes du sous-rseau.
0.x.x.x
127.x.x.x => boucle locale/loopback
128.0.x.x
191.255.x.x
192.0.0.x
223.255.255.x
224.0.0.0 => diffusion multipoint (multicast)
Le rseau IP
46/115
ARP/RARP (1/2)
Correspondance entre ladresse MAC (adresse
matrielle) et ladresse IP (adresse logique).
Le rseau IP
ARP (Address Resolution Protocol)
Depuis l@IP on recherche l@ MAC
RARP (Reverse Address Resolution Protocol)
Depuis l@MAC on recherche l@IP
Exemple : permettre des stations sans disque dur local connaissant leur adresse MAC de se
voir attribuer une IP.
47/115
ARP/RARP (2/2)
Le rseau IP
0 7 8 15 16 23 24 31
Hardware type (01 pour eth) Protocol type (0x0800 pour IP)
Hardware Address
Length (06 pour
eth)
Protocol Address
Length (04 pour
IPv4 et 16 pour
IPv6)
Operation (01 pour request, 02 pour
reply)
Sender Hardware Address
Sender Protocol Address (@IP)
Target Hardware Address (que des 1 si request)
Target Protocol Address (@IP)
48/115
DHCP/BOOTP (1/3)

BOOTP (BOOTstrap Protocol) : Ce protocole
permet un quipement de rcuprer son adresse
IP au dmarrage.

DHCP (Dynamic Host Configuration Protocol) :
Remplaant de BOOTP, il permet lobtention
dynamique dune configuration rseaux plus ou
moins complte.
Le rseau IP
49/115
DHCP/BOOTP (2/3)
Le rseau IP
DHCPDISCOVER (pour localiser les serveurs DHCP disponibles, port 67)
DHCPOFFER (rponse des serveurs un paquet DHCPDISCOVER. Contient les
premiers paramtres IP. Port 68)
DHCPREQUEST (requtes diverses du client pour par exemple accepter ladresse IP
propose par un serveur et avertir les autres serveurs de loffre choisie par le client parmi
plusieurs, ou encore pour prolonger son bail)
DHCPACK (rponse du serveur qui contient des paramtres, bail et adresse IP du client)
DHCPNAK (rponse du serveur pour signaler au client que son bail est chu ou si le
client annonce une mauvaise configuration rseau)
DHCPDECLINE (le client annonce au serveur que l'adresse est dj utilise)
DHCPRELEASE (le client libre son adresse IP)
DHCPINFORM (le client demande des paramtres locaux, il a dj son adresse IP)
DHCPDISCOVER
DHCPOFFER
DHCPREQUEST
DHCPACK
C
L
I
E
N
T

S
E
R
V
E
U
R

Demande dadresse
IP russie
50/115
DHCP/BOOTP (3/3)
Le rseau IP
Longueur du bail : Sur un rseau o les machines se branchent/dbranchent souvent, il faut donner
des bails courts pour viter dpuiser inutilement le pool dadresse IP.
Sur un rseau o les machines restent longtemps connectes, il faut prfrer des bails plus
longs afin de ne pas surcharger le rseau avec les broadcasts des
DHCPDISCOVER/DHCPOFFER/DHCPREQUEST.

Gestion avance avec DHCP : Il est possible daffecter une adresse IP libre choisie au hasard ou de
configurer dans le serveur des couples @IP/@MAC. Il est galement possible daffecter les
adresses IP en fonction du rseau dorigine de la requte, de mettre jour un DNS.

Client et serveur DHCP sur des segments diffrents : Implmenter un relais DHCP ou un UDP
helper sur le routeur du site client.

Paramtres que DHCP peut fournir au client : RFC 2132.
Toute adresse IP dlivre par un serveur DHCP lest pour un temps donn : cest le bail. Lorsquon
arrive T1, le client demande en unicast le renouvellement du bail. Sans rponse du serveur, arriv
T2 le bail est chu et le client doit redemander une adresse par diffusion. Si le client na toujours
pas de nouvelle adresse IP, alors il doit dsactiver son adresse et ne peut plus communiquer.
51/115
La translation dadresse (1/3)
Le rseau IP
2 types de NAT (Network Address Translation)
Le SNAT (Source NAT) :
Changer ladresse IP et/ou le port de la source.
Le masquerading est un cas particulier de SNAT.

Le DNAT (Destination NAT) :
Changer ladresse IP et/ou le port de la destination.
La redirection est un cas particulier du DNAT.
52/115
Le rseau IP
NAT statique :
@IP A1 sera toujours translate en @IP B1
@IP A2 sera toujours translate en @IP B2

NAT dynamique
{A1, A2, } translate en {B1, B2 , }
pas de lien prdfini entre une adresse An et
Bm.
Version (4 bits)

Longueur
de len-
tte (4
bits)

Type de service (8
bits)

Longeur totale (16 bits)
Identification (16 bits)

Drapeau
(3 bits)
Dcalage fragments (13 bits)
Dure de vie (8 bits) Protocole (8 bits) Somme de contrle en-tte (16 bits)
Adresse IP source (32 bits)
Adresse IP Destination (32 bits)
Donnes

Version (4 bits) : il s'agit de la version du protocole IP que l'on utilise (actuellement
on utilise la version 4 IPv4) afin de vrifier la validit du datagramme. Elle est code
sur 4 bits.
Longueur d'en-tte, ou IHL pour Internet Header Length (4 bits) : il s'agit du nombre
de mots de 32 bits constituant l'en-tte (nota : la valeur minimale est 5). Ce champ est
cod sur 4 bits.
Type de service (8 bits) : il indique la faon selon laquelle le datagramme doit tre
trait.
Longueur totale (16 bits) : indique la taille totale du datagramme en octets. La taille
de ce champ tant de 2 octets, la taille totale du datagramme ne peut dpasser 65536
octets. Utilis conjointement avec la taille de l'en-tte, ce champ permet de dterminer
o sont situes les donnes.
Identification, drapeaux (flags) et dplacement de fragment sont des champs qui
permettent la fragmentation des datagrammes, ils sont expliqus plus bas.
Dure de vie appele aussi TTL, pour Time To Live (8 bits) : ce champ indique le
nombre maximal de routeurs travers lesquels le datagramme peut passer. Ainsi ce
champ est dcrment chaque passage dans un routeur, lorsque celui-ci atteint la
valeur critique de 0, le routeur dtruit le datagramme. Cela vite l'encombrement du
rseau par les datagrammes perdus.
Protocole (8 bits) : ce champ, en notation dcimale, permet de savoir de quel
protocole est issu le datagramme
Somme de contrle de l'en-tte, ou en anglais header checksum(16 bits) : ce
champ contient une valeur code sur 16 bits qui permet de contrler l'intgrit de l'en-
tte afin de dterminer si celui-ci n'a pas t altr pendant la transmission. La somme
de contrle est le complment un de tous les mots de 16 bits de l'en-tte (champ
somme de contrle exclu). Celle-ci est en fait telle que lorsque l'on fait la somme des
champs de l'en-tte (somme de contrle incluse), on obtient un nombre avec tous les
bits positionns 1
Adresse IP source (32 bits) : Ce champ reprsente l'adresse IP de la machine
mettrice, il permet au destinataire de rpondre
Adresse IP destination (32 bits) : adresse IP du destinataire du message

53/115
Le rseau IP
Overloading
@IP A1 translate en @IP B(port x)
@IP A2 translate en @IP B(port x+1)
@IP A3 translate en @IP B(port x+2)

Overlapping
Utilis quand ladresse utilise dans le LAN est dans une plage
IP dj existante sur un autre site et qui, depuis lextrieur,
apparat comme un doublon. Le routeur joue alors de relais en
faisant croire au client que la machine extrieure une autre
adresse IP.
54/115
Les quipements
Niveau 3 :
Switchs de niveau 3 commutation.
Routeur routage.
Dbit : trs variable (de quelques Ko plusieurs
Go).
Technologie : Matriel ddi avec une partie
logicielle. Table de routage.
Sparation des domaines de collisions, et des
domaines de broadcasts IP.
Le rseau IP
55/115
Le routage (1/7)
Le routage permet dacheminer les paquets dun rseau un
autre, en passant par plusieurs autres rseaux, et priori
en ne connaissant pas le chemin emprunter.
Le rseau IP
Routage statique Routage dynamique Innondation
Exterior Gateway Protocol
(BGP)
Interior Gateway Protocol
(RIP, OSPF, EIGRP)
Routage sur les PC Routage sur les quipements rseaux
56/115
Le routage (2/7)
Le routage statique :
Simple mettre en place ;
Adapt un faible nombre de rseaux IP ;
Permet de grer les exceptions.

Le routage dynamique :
Plus complexe mettre en place ;
Seule solution viable sur un rseau comprenant de nombreux
rseaux IP ;
Communication entre les routeurs par un protocole de routage.
Le rseau IP
57/115
Le routage (3/7)
RIP (v1 et v2) : le meilleur chemin est celui ayant
le moins de sauts. Vecteur de distance (Bellman-
Ford)
OSPF : le meilleur chemin est celui proposant les
meilleures bande-passantes. Arbre du plus court
chemin (Dijkstra).
EIGRP : protocole propritaire Cisco, combinant
le routage par saut, par bande-passante, et par
charge rseau.
Le rseau IP
58/115
Le routage (4/7)
RIP (Routing I nformation Protocol)
15 sauts maximum. Une route de 16 sauts est
considre comme coupe.
Par dfaut, 1 saut = 1 routeur.
Protocole dpass, mais encore prsent de part sa
facilit de mise en uvre et de comprhension.
Le rseau IP
59/115
Le routage (5/7)
Le rseau IP
OSPF (Open Shortest Path First)
Dcoupage par aire :
Aire 0 (backbone area) : aire au centre de toutes les autres.
Les autres aires, doivent tre contigus laire 0, physiquement
ou par utilisation dun lien virtuel.
Stub area : aire qui nchange pas de route avec les autres aires.
Routeur dsign (Designated Router) et Routeur dsign de secours
(Backup Designated Router) pour synchroniser lchange entre les
bases de donnes.
60/115
Le routage (6/7)
Le rseau IP
61/115
Le routage (7/7)
VRRP (Virtual Router Redundancy Protocol) :
Une adresse IP et une adresse MAC virtuelles sont utilises
comme passerelle par dfaut. Un groupe de routeurs se
surveille pour quun seul dentre eux ait ces adresses (viter
les conflits dadresses) et que ces adresses soient toujours
affectes un routeur valide (gateway toujours disponible vu
des PC).
HSRP (Hot Standby Router Protocol) : propritaire Cisco,
anctre de VRRP.
CARP (Common Address Redundancy Protocol) : travail
dOpenBSD. Non reconnu par les organismes de
normalisation malgr sa valeur technique. Implmentation
existante sous dautres plateformes (cf. UCARP).
Le rseau IP
62/115
Les protocoles de transport
TCP
UDP
SCTP
DCCP
63/115
TCP (1/11)
Transmission Control Protocol
Protocole de niveau 4 assurant un transfert :
Bidirectionnel ;
Fiable ;
Sans erreur ;
Avec contrle dintgrit ;
Avec retransmission des donnes si des paquets sont perdus.
Grce :
La notion de ports source et destination (0-1023, 1024-49151, 49152-
65535) ;
Un checksum ;
Lmission dun ACK ;
Suivi dun numro de squence des donnes.
Protocole en mode connect.
64/115
TCP (2/11)
Les flags TCP
Plusieurs peuvent tre positionns dans un mme segment TCP.
PSH (push) : Envoyer les donnes contenues dans le tampon
dmission mme si celui-ci nest pas plein.
URG (urgent) : associ au pointeur urgent , dfinit une zone
de donnes spciale dans la zone de donnes du segment TCP.
SYN (synchronisation) : utilis lors de ltablissement de la
connexion.
ACK (acknowledgement) : accus de rception.
RST (reset) : rinitialisation ou fin brutale de la connexion.
FIN (finalize) : terminer la connexion.
65/115
TCP (3/11)
Un mcanisme adaptatif de dbit grce lalgorithme de Nagle
Retarder lenvoi de paquets (attente de lACK) pour les
agrger en un seul segment TCP dsactiv si trafic
intractif ncessitant des temps de rponses < 200ms.
Adaptation du dbit (1/2)
66/115
TCP (4/11)
4 algorithmes utiliss dans TCP pour adapter les flux
Slow-start (dmarrage progressif) : dcouverte de la qualit de la liaison (on
envoie 1 puis 2 puis 4 puis trames, la taille mss, entre 2 ACK. Si pertes ou
cwnd >= sstresh, passage
Congestion avoidance (protection contre la congestion) : moins agressif,
augmente le dbit plus doucement depuis le slow-start treshold. Si perte dtecte
prcdemment, sstresh = (fentre denvoi lors de la congestion) /2. Nouveaux
algorithmes plus performants pour laugmentation de dbit.
Fast retransmit (dtecter la perte ponctuelle dun paquet et le renvoyer) : Si le
ACK reu est le 2
ime
du mme type, peut-tre quune paquet a t perdu. Cest
certain, au 4
ime
ACK identique reu. Alors : sstresh = cwnd /2. Rmission du
paquet perdu. Ensuite, passage
Fast recovery (recalculer la bonne fentre de transmission) : cwnd = (sstresh /2) +
3 x taille_seg. Ensuite, pour chaque nouveau ACK dupliqu qui continuerait
arriver : cwnd = cwnd + 1 x taille_seg. Si ACK de toutes les donnes : cwnd =
sstresh, sinon cwnd = cwnd (Nb segments acquitts) pour ACK partiel.
Adaptation du dbit (2/2)
67/115
TCP (5/11)
Dtection de pertes de paquets
Alarme RTO (Retransmit Time Out) : timer lmission puis.
Duplication des ACK : lmetteur reoit les segments n, n+2 et pas le
n+1 il envoie le ACK pour n pour chaque segment reu en trop.
Retransmission
2 mcanismes de dtection 2 types de pertes diffrents
Comportements de lmetteur diffrent.
Dans le premier cas, cest peut-tre un reroutage ou un changement de
topologie entre les 2 extrmits Qualit de la liaison redcouvrir (1).
Dans le second cas, cest peut-tre une congestion (un routeur intermdiaire
supprime des paquets) Lmetteur rduit le dbit (2).
(1)
(2)
68/115
TCP (6/11)
Fonctionnement (1/5)
SYN (A B)
SYN (B A) + ACK (A B)
ACK (B A)
tablissement dune connexion
B A
69/115
TCP (7/11)
mission dun paquet
Tempo
arme
Retransmission du paquet
Tempo
puise,
nouvelle
tempo au
double
Mise en attente
du ACK
<500ms pour
optimiser la BP
ACK
Rordonnancement des paquets
Doublons supprims
Si checksum invalide, paquet dtruit (metteur dtectera
alors une perte de paquet et remettra le paquet)
Transfert de donnes
70/115
TCP (8/11)
N sq = n
Tempo
arme
N sq n
Tempo
puise
N sq n+1
Window-scaling : quantit maximale de donnes que lon peut envoyer avant de recevoir un ACK
Slow-start streshold : limite de passage du mode slow-start congestion avoidance
Transfert de donnes
71/115
TCP (9/11)
N sq = n
n + 2
A B
n + 1
n + 3
n + 4
ACK n
ACK n
ACK n
Fast retransmit activ car doublon du ACK n. Pb de retard ou perte de n+1 ?
4
ime
ACK n, donc n+1 est bien perdu, n+2 n+4 reus. cwnd = (sstresh /2) + (3 x
taille_segment)
ACK n
n + 5
ACK n
Fast recovery : cwnd = cwnd + (1 x taille_segment).
n + 1
ACK n+5
72/115
TCP (10/11)
FIN (A B)
ACK (A B)
FIN (B A)
ACK (B A)
Clture dune connexion
A B
Transfert de donnes possible ssi cest linitiative de B
A et B peuvent transmettre des donnes
Clture dans les 2 sens
73/115
TCP (11/11)
1988 TCP Tahoe = slow start + congestion
avoidance + fast retransmit
1990 TCP Reno = Tahoe + Fast recovery
1994 TCP Vegas (rtt bas sur lacquittement du
dernier paquet envoy)
1994 ECN (Explicit Congestion Notification)
1996 SACK (Selective ACKnowledgment)
1999 TCP NewReno = Reno + adaptation aux
pertes successives (Fast recovery optmiss,
sans SACK)
TCP BIC (Binary Increase Congestion control)
TCP CUBIC ( base dune fonction cubique)
Lhistoire de TCP
74/115
UDP
Protocole en mode
dconnect :
Fragmentation et
rassemblage gr par la
couche IP
Pas de dtection de perte
de paquet
Pas de gestion des
retransmissions
Pas de QoS
UDP apporte :
La notion de ports source
et destination
Un champ longueur des
donnes
Un checksum
User Datagram Protocol
75/115
SCTP (1/9)
Stream Control Transmission Protocol, RFC 4960 (septembre 2007). La premire
RFC (2960) date doctobre 2000.
Un paquet SCTP invalide est silencieusement dtruit.
Similitudes
UDP TCP SCTP
Mode Non-connect
Connect : tablissement
de la connexion en 3
temps
Connect : tablissement
de l'association en 4
temps. change de
donnes ds le 3ime
message (COOKIE
ECHO). change de
cookie pour la scurit.
SYN attack - Sensible cette attaque.
Protection par l'utilisation
de COOKIE.
Assurance de livraison
(fiabilit)
Aucun acquittement des
messages, aucune
assurance de livraison
Acquittement des
messages pour assurer la
transmission.
L'acquittement slectif est
optionnel dans TCP
Acquittement des chunks
pour assurer la
transmission.
L'acquittement est slectif
: seuls les chunks errons
sont retransmis.
76/115
SCTP (2/9)
Similitudes
Ordonnancement Non-garanti. Garanti.
Au choix. Mme non-
garantis, les messages
arrivant dans le dsordre
gardent une assurance de
livraison.
Adaptatif la bande-
passante
Non.
Oui (contrle de
congestion rseau ou
rcepteur).
Oui (contrle de
congestion rseau ou
rcepteur).
Clture -
Clture partielle de la
connexion possible (half-
closed).
Clture totale.
Gestion par Paquet Octet Paquet
Utilisation des ports
source et destination
Oui Oui Oui
Checksum 16 bits 16 bits 32 bits
77/115
SCTP (3/9)
Une communication entre 2 htes est une association entre 2 terminaux dun rseau.
Un paquet SCTP est constitu dun en-tte commun et dun ou plusieurs chunk (13
types diffrents + les chunks rservs) contenant des informations de contrle ou
des donnes. Seuls les chunks INIT, INIT ACK et SHUTDOWN COMPLETE ne
peuvent tre groups avec dautres.
On peut agir sur un flux sans impacter les autres flux dune mme connexion.
1 association = plusieurs flux

Une avance majeure de SCTP est la possibilit de communications multi-cibles
(multi-diffusion, multi-homing), o une des extrmits de la (ou les) association
est constitue de plusieurs adresses IP.
Plusieurs chemins pour joindre le destinataire.
1 terminal = [@IP1, @IP2, :port]

(extension : ASCONF) Possibilit de reconfiguration dynamique des adresses
mobilit, clusters.
Nouveauts
78/115
SCTP (4/9)
En thorie, SCTP est plus performant quUDP et TCP.
En pratique, les implmentations actuelles sont moins performantes
que celles pour TCP fonctionnalits gales.
Conversion aise dun programme TCP sur SCTP (primitives
similaires).

Empreinte rseau suprieure TCP (20 octets) et UDP (8 octets) : en-
tte commun de 12 octets, et chunks DATA hors donnes de 16
octets. Certains chunks sont moins volumineux que DATA.
Lagrgation des flux contre-balance cette lourdeur sur des rseaux
haut-dbits.
Implmentation
79/115
SCTP (5/9)
INIT
COOKIE ECHO
COOKIE ACK
tablissement dune association
INIT ACK
Des donnes
peuvent tre
transmises
Cookie envoy pour la
scurit
80/115
SCTP (6/9)
DATA
Transfert de donnes
SACK
Plusieurs chunks diffrents (DATA, ACK, HEARTBEAT, ERROR, etc.)
peuvent tre groups dans un mme paquet. Le schma ci-dessus
reprsente donc quune partie de chaque paquet chang.
HEARTBEAT, HEARTBEAT ACK et ERROR sont galement des
paquets de contrle frquemment utiliss.
81/115
SCTP (7/9)
SHUTDOWN
SHUTDOWN COMPLETE
Clture normale dune association
SHUTDOWN ACK
Vide son tampon et
attend les SACK, puis
Le terminal voulant terminer lassociation,
il vide son tampon, puis
82/115
SCTP (8/9)
ABORT
Clture brutale dune association
Tampon effac.
Tampon effac.
83/115
SCTP (9/9)
Fonctionnalit ECN (chunk ECNE).
Acquittement slectif : SACK N acquitte tous les morceaux jusqu N, champ Gap
Ack Blocks pour un acquittement slectif ensuite.
Adapte sa bande-passante
Limitation de bande-passante par le rcepteur
a_rwnd (Advertised receiver window credit) : Le rcepteur indique lmetteur
combien doctets il est encore prt recevoir.
Limitation de bande-passante dans le rseau
cwnd (Congestion window) : nombre doctets que lmetteur peut envoyer sans
attendre un SACK des premiers.
sstresh (Slow-start threshold) : choix dun algorithme de rsolution de congestion
(mme algorithmes que TCP) :
Slow start algorithm
Fast retransmit
Fast recovery
84/115
DCCP
Datagram Congestion Control Protocol, RFC 4340 (mars 2006).

Dtection des pertes de paquets grce un mcanisme daccus de rception.
Transport non fiable : dtection des pertes mais aucun mcanisme de rcupration
(retransmission) nest mis en uvre.
Mode connect.
Contrle de la congestion.

Pour suivre lvolution de la normalisation : http://www.read.cs.ucla.edu/dccp/
85/115
Ladministration rseau
Les activits
La bote outil
La supervision rseau avec SNMP et ICMP
Le monitoring
Indicateurs
86/115
Les activits (1/2)
La supervision rseau
Le monitoring
Le maintien en condition oprationnelle (MCO) :
Suivre les volutions matrielles et logicielles
tudier les optimisations en fonctions des nouveaux besoins
Assurer la continuit de service :
Programmer des interventions de maintenance en dehors des
heures de bureau de lutilisateur.
Ractivit et dfinition de procdures pour minimiser les
impacts dun incident rseau.
87/115
Les activits (2/2)
La gestion du matriel rseau
Pour la gestion des stocks de rserve
Pour la gestion du matriel en production
Pour la gestion des garanties
La documentation (attention aux extrmes !)
Procdures dinterventions sur incidents
Procdures dinterventions programmes
Documentations techniques
Schmathque
Audits
88/115
La bote outils
Test de la connectivit : ping
Test de litinraire : traceroute
Remonte dinformations dun PC sous MS Windows :
nbtstat A, arp -a
tudier les donnes qui transitent sur un rseau : analyseur
rseau
Surveiller ltat du rseau : station de supervision (snmp et
icmp), outils des oprateurs
Suivi des incidents : tickets dincidents
Administrer les quipements : telnet, ssh , web, client
propritaire, accs par port console, tftp
89/115
La supervision rseau avec SNMP et
ICMP (1/4)
Elle sappuie essentiellement sur icmp, SNMP et des
connexions TCP pour tester les services
La station de
supervision est
loutil principal
90/115
ICMP (2/4)
SNMP (Simple Network Management Protocol)
5 types de trames :

Architecture client/serveur : station de supervision / agent SNMP
Supervision selon 3 approches :
Polling : get_request/get_response
Remonte dalarmes : trap
Combinaison des 2 premires mthodes
Identification par lutilisation dune communaut SNMP
identique.
91/115
ICMP (3/4)
SNMP sappuie sur la MIB
(Management Information Base)
pour se rfrer une variable.
La supervision permet grce la
consultation de ces variables de :
Dtecter la panne dun matriel
Dtecter les bagottements
Tracer les incidents
Remonter des alertes
92/115
ICMP (4/4)
ICMP (Internet Control Message Protocol)
Utilis pour scanner un rseau (avant dutiliser SNMP ou un autre
protocole pour recueillir des informations sur lhte scann)
Utilis pour savoir si lquipement est accessible linstant t.
Le ping
(echo_request/echo_reply) est
laspect le plus connu du
protocole, mais il en existe
beaucoup dautres !
93/115
Le monitoring (1/3)
Tracer en temps rel
Alarmes sur
dpassement de
seuils
Appui aux tudes
darchitectures
physiques et
logiques
Taxation
Surveillance des dbits et de
plusieurs autres paramtres
critiques (CPU, RAM, )
Archiver pour des
statistiques
94/115
Le monitoring (2/3)
Trafic oscillant ou trafic normal ?
95/115
Le monitoring (3/3)
Saturation metteur, rseau ou
rcepteur ?
Trafic faible ou transfert de
nombreux petits fichiers ?
Trafic optimum ou saturation ?
96/115
Indicateurs (1/2)
La rfrence temporelle est le cycle de rparation, ou le cycle dutilisation.
MTBF : Mean Time Beetween Failure. Cest luptime moyen de
llment, c--d Somme temps OK / nombre de dfaillances.
MTBF = t
ok
/Nb
dfaillances

MTTR : Mean Time To Repair. Cest le temps moyen ncessaire pour
revenir un fonctionnement normal, c--d Somme temps NOK / nombre
de dfaillances.
MTTF = t
Nok
/Nb
dfaillances
MTTF : Mean Time To Failure. Temps avant la panne pour un lment
non-rparable.
MTTR
MTTF
MTBF
97/115
Indicateurs (2/2)
Disponibilit. Probabilit (entre 0 et 1).
Disponibilit = MTBF / (MTBF + MTTR)
Taux de dfaillance = Nb
dfaillances
/ t =~ 1/MTBF
Maintenabilit = 1/MTTR

Diffrencier le systme entier (service rendu lutilisateur) de ses
sous-systmes qui peuvent tre redonds.
Statistiquement, nous avons une premire
priode risques de pannes puis
Thorme de Drenick (cycle de
rparation suit linverse dune loi
exponentielle).
98/115
La scurit rseau
Les firewalls
Les systmes de dtection dintrusions rseaux
(NIDS)
Les rseaux privs virtuels (VPN)
Les antivirus
Le social-engineering
Lauthentification
Administration/supervision
99/115
Les firewalls (1/2)
Plusieurs types de firewalls existent :
Filtrage de niveau 2 : adresses MAC identification dune carte rseau.
Filtrage de niveau 3 : adresses IP identification de la machine + prise
en compte basique des en-ttes TCP/UDP.
Filtrage de niveau 4 : suivi dtat prise en compte de la globalit de la
communication pour effectuer le filtrage.
Filtrage de niveau 7 : filtrage applicatif analyse des donnes
contenues dans la trame pour identifier le protocole applicatif utilis et sa
validit.
Firewalls authentifiants un logiciel client est prsent sur le PC de
lutilisateur.
Firewalls coupls un IPS modification automatique des rgles de
filtrage suivant les remontes dun IPS.
La scurit rseau
Application
Prsentation
Session
Transport
Rseau
Liaison
Physique
100/115
Les firewalls (2/2)
Avantages.
Fonctionne comme un
quipement rseau facile
installer.
Bloque un trs grand
nombre dattaques.
Possibilit de gestion et de
configuration distance et
centralises.
Solution bon march au vu
de son efficacit.
Inconvnients.
Problmes avec les trafics lgitimes
mais exotiques.
Ncessite de rpertorier de manire
exhaustive tous les flux autoriser.
De nombreuses solutions sur le
march.
Combiner au-moins le filtrage de
niveau 3 et 4 pour tre efficace.
Pour effectuer le filtrage, ne se base
que sur les en-ttes des trames, non
sur les donnes (sauf niveau 7).
Ne permet pas de filtrer
convenablement le niveau 7 si les
flux sont chiffrs
La scurit rseau
101/115
Les systmes de dtection
dintrusions rseaux (NIDS) (1/2)
Le NIDS est une sonde transparente ddie la scurit
diffrencier des sondes de monitoring.
Analyse du trafic et tude de correspondances avec des
scnarios dattaques pr-enregistrs.
Analyse du trafic et alarme si un comportement est
dviant .
Pas de contre-mesures si une attaque est dtecte voir
les IPS pour une protection active.
La scurit rseau
102/115
Les systmes de dtection
dintrusions rseaux (NIDS) (2/2)
Avantages.
Analyse le contenu des
trames.
Son fonctionnement
transparent peut en faire un
point danalyse rseau de
choix (monitoring, ).
Centralisation des logs et
gestion distance souvent
facilit par une console
dadministration.
Configuration affine au fur
et mesure du temps, sans
gne pour les utilisateurs.
Inconvnients.
Complexit de ltude de
lemplacement des sondes
Solution complexe mettre
en place.
Solution souvent vendue
trop chre par rapport ses
fonctionnalits.
Administration trs lourde
(faux-positifs, faux-
ngatifs, lecture des logs).
Lefficacit de la solution
repose sur la ractivit de
ladministrateur, et sur la
base de scnarios dattaques
connus par la sonde.
La scurit rseau
103/115
(1/3)
Le VPN utilise le chiffrement des communications pour relier :
2 machines par lintermdiaire dun rseau non-sr.
1 machine et un rseau srs, par lintermdiaire dun rseau non-sr.
2 rseaux srs par lintermdiaire dun rseau non-sr.

Le VPN tablit une liaison entre :
2 rseaux IP diffrents par lintermdiaire dun troisime (rpandu).
2 rseaux IP identiques par lintermdiaire dun rseau IP diffrent (moins rpandu).
2 groupes de machines dun mme rseau IP (peu rpandu).

Le VPN simule le comportement dune liaison prive en assurant
lauthentification et la non-rpudiation des metteurs/rcepteurs, lintgrit et la
confidentialit des donnes.
Le VPN simule le comportement dune liaison ddie par lencapsulation des
donnes (et parfois des en-ttes de routage), avec lajout dun en-tte de routage
permettant labstraction des rseaux traverss.
La mise en place du VPN relve dune tude rseau au mme titre que nimporte
quel ajout dinterconnexion de 2 rseaux.
La scurit rseau
104/115
(2/3)
A EDF
IPSec (Bump In The Stack et pas Bump In The Wire)
SSH (Secure SHell)
La scurit rseau
Il existe aussi
SSL/TLS
L2TP (sans chiffrement)
PPTP (avec chiffrement)
GRE

105/115
(3/3)
Avantages.
Des produits pas chers et
efficaces.
Assurance de lintgrit, de
lidentification, de
lauthentification, la fois
de lmetteur et du
rcepteur.
On peut attacher
lauthentification une
machine, mais aussi une
personne, quelle que soit la
machine utilise.
Inconvnients.
Gamme de prix trs large
(de nombreux piges).
De nombreuses approches
comptences
indispensables en
cryptographie et en rseau.
La scurit de cette solution
repose aussi sur la bonne
gestion des clefs de
chiffrements.
La scurit rseau
106/115
Les antivirus (1/2)
Il existe plusieurs types de virus dont :
Les vers : ils sauto-propagent en utilisant le rseau.
Les troyens : lattaque est mene distance par une personne
malveillante qui accde la machine par le rseau.
Les espions : keylogeurs,
Mme si lIDS dtecte les attaques, lantivirus est
indispensable car il bloque le virus avant quil ne
sinstalle.
Cette protection est efficace lorsquelle est mise jour trs
rgulirement.
La scurit rseau
107/115
Les antivirus (2/2)
Avantages.
Trs efficaces contre la
plupart des types de virus.
Intervient avant mme que
le virus effectue son action
illicite.
Certains produits proposent
une gestion centralise des
mises jour des postes de
travail.

Inconvnients.
Gamme de produits trs
large.
Lefficacit de la solution
sappuie beaucoup sur la
rigueur des mises jour des
signatures.
Antivirus inefficace si
lattaque lui est inconnue.
La scurit rseau
108/115
Le social-engineering : le pishing
Demande de sa banque/FAI/ daller changer en ligne son
mot de passe ou de donner son numro de carte bleu pour
rgulariser une situation quelconque.
Envoi de correctifs par email.
Sollicitation non-dsire de dverminage en ligne.
Demande daide dune riche jeune demoiselle trangre.
Pishing essentiellement par email, mais aussi par IM.
La scurit rseau
Vigilance (email en anglais, interlocuteurs trangers,
sommes dargent importantes)
Anti-spam/Anti-popup/Antivirus/Anti-spyware
109/115
Le social-engineering : le pishing
Solutions
Bloquer les
solicitations avec anti-
spam et anti-popup.
Protger la machine
avec anti-virus et anti-
spyware.
Restriction daccs
des sites black-lists.

Inconvnients
Aucune solution
technique nest
vraiment efficace.
Seule la sensibilisation
de lutilisateur et sa
vigilance seront
efficaces.
La scurit rseau
110/115
Lauthentification (1/2)
Identification : dire qui on est .
Authentification : le prouver .
Par ce que lon sait (mot de passe, pass-phrase, rponse une
question donne, ).
Par ce que lon est (forme du visage, voix, empreinte rtinienne,
).
Par ce que lon a (badge magntique, clef de chiffrement,
tocken, ).
Par ce que lon sait faire (utiliser un logiciel, rpondre un
vnement imprvu, ).
SSO : Single Sign On
AAA : Authentication Autorization Accounting
La scurit rseau
111/115
Lauthentification (2/2)
Avantages.
Non rpudiation.
Authentification.
Permet dattacher des
droits daccs un
profil, une personne,
une machine, ou
encore un
programme.
Inconvnients.
De nombreuses
solutions existent, de la
plus simple
(login/mdp) aux plus
complexes
(authentification forte).
Lauthentification nest
gnralement quun
sous-ensemble dune
solution de scurit.
La scurit rseau
112/115
Administration/supervision (1/2)
Les outils de scurit, les applications, les systmes dexploitation
remontent une quantit importante dvnements dans les journaux
systmes.
Ladministration cest dabord de lire ces journaux certains outils
permettent de faciliter le travail des administrateurs, jamais de le
remplacer.

Vue globale : Homognisation des solutions et de la configuration
vite les sur-cots et optimise ladministration.
Il est intressant de complter ladministration rseau par la
supervision ractivit, surtout en cas de panne matrielle.
La scurit rseau
113/115
Administration/supervision (2/2)
Avantages.
Ractivit face un
problme.
Adapter une rsolution
dincident au mlange
causes / effets / risques /
contraintes .
Vision globale de la
problmatique.
Limiter limpact dun
incident sur les utilisateurs.

Inconvnients.
Recherche constante des
informations.
Bien dfinir la rpartition
des comptences et des
activits pour tre efficace.
La qualit de travail dpend
fortement de la qualification
de ladministrateur.
La scurit rseau
114/115
Conclusion
Euh quest-ce que je pourrai encore rajouter ?
volution niveau 1 : multiplexage optique .
volutions niveau 2 : augmentation des dbits en
WIFI, maturit du WIMAX, 10 Gbps ethernet,
ethernet la conqute du MAN et WAN (802.17
Resilient Packt Ring), CPL, mobilit, dploiement du
MPLS et de la QoS.
volution niveau 3 : IPv6, mobilit.
volution niveau 4 : DCCP et SCTP
volutions couches hautes : SIP pour la ToIP et IMS,
XMPP pour lIMS et ToIP, IMAP, multimdia de plus
en plus prsent.
Questions, remarques (si positives)
Merci
116/115
Etablissement dune connexion (TCP/IP/ETH/SW)
Exemple
SYN
Req ARP (brd)
@MAC
Apprentissage
Inondation
Req ARP (brd)
Rp ARP (uni)
@MAC
Forwarding
Rp ARP (uni)
Req IP
@MAC
Req IP
SYN
SYN/ACK
TCP IP ETH Phy TCP IP ETH
SYN/ACK
Rp IP
@MAC
Rp IP
ACK
Req IP
@MAC
Req IP
ACK
Vieillissement
117/115
Attention ceux qui rentrent en voiture
118/115
Resilient Packet Ring
Disponible sur peu d'quipements et ce sont des quipements haut de gamme (>
10000 euros, prix public), regroupe le meilleur d'ethernet et de SONET.
Principe : Rseau en anneau FO doubl (au minimum). Les 2 (ou plus) anneaux
sont utiliss en sens inverse les uns des autres. En cas de coupure sur un
segment d'un anneau, la disponibilit du rseau est prserve en utilisant un
autre anneau sur le segment dfaillant. Indisponibilit < 50 ms.
BP ngocie par les noeuds l'aide d'un algo de contrle d'quit : fairness. 3
classes, A, B, C, A tant la plus haute (bonne BP, et peu de gigue). Peu de gigue
pour B, best-effort pour C.
Chaque noeud sait sur quel anneau envoyer la trame pour arriver le plus vite
destination.
Trames en transit plus prioritaires que les trames mises par le noeud.
Protection : mcanisme permettant de garder le rseau disponible aprs la
coupure d'un segment d'un anneau. Il existe le steering (tous les noeuds sont
informs qu'ils doivent viter le segment en panne et envoient en consquence
les trames sur le bon anneau) et le wrapping (le trafic est dirig vers l'autre
anneau par les noeuds adjacents au segment dficient).

Cours TCP IP

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours TCP IP

Transféré par

Droits d'auteur :

Formats disponibles

Communiquer avec TCP/IP

Vous aimerez peut-être aussi