Réseau fédérateur MAN

Transcription

1 Généralités 1.Classification des réseaux Réseau public WAN Réseau fédérateur MAN Réseau local LAN Taille Milliers de km <= 100 km <= 2 km Nombre d'abonnés Millions Milliers Centaines Facturation Volume+durée forfait gratuit Débit 50 bit/s 2Mbit/s 1-100Mbit/s 1 100Mbit/s WAN : Transpac de France Télécom est réseau public.ces réseaux sont lents (50 bit/s à 2Mbit/s) et sujets à des parasitages. MAN : Réseau métropolitain permettant d'interconnecter des réseaux. On parle de réseau fédérateurs. Ils servent surtout à interconnecter des réseaux locaux. On les appelle les backbones (épine dorsale). En principe fiable et rapide réalisé en fibre optique le plus souvent. LAN : Les réseaux ethernet ou token ring en sont un exemple. En pratique leur taille est souvent d'une centaine de mètres et les débits peuvent être de 10Mbit/s, 100Mbit/s ou 1Gbit/s. Le modèle de réseau Internet peut couvrir les trois types de réseaux : LAN, MAN et WAN : Internet est un réseau de réseaux. Pour lier les réseaux entre eux, il ré-adresse les nœuds (Adresse IP) et achemine les paquets de route en route (routage). 2.Topologies La topologie est la manière selon laquelle sont disposés les nœuds (équipement) pour communiquer entre eux. La topologie peut être édictée par la nature physique du réseau. Topologie Point à point Etoile Bus Anneaux Exemple de réseau physique Port série PC, port Parallèle PC, X25, ADSL,RNIS Ethernet 10BaseT (paires torsadées) Ethernet 10Base2 (bnc) ou Ethernet 10Base5 (coax. épais) Token ring

2 Les annuaires 1.Principe général Les annuaires sont destinés à faciliter la localisation d'une personne ou d une ressource d entreprise de manière générale à partir de différents critères de recherche. Les exemples d'utilisation sont nombreux : yahoo, pages jaunes etc. Il s'agit d'une base de données réparties et délimitées par zone réduisant ainsi les responsabilités de mise à jour. Grâce à l'annuaire on va pouvoir ajouter des attributs à un objet identifié par un nom qualifié. L'annuaire permet de faire des classements par attributs pour rendre encore plus clair le résultat de recherche. En matière de sécurité, l'annuaire peut à partir de l'identité d'un utilisateur de limiter l'accès aux ressources. Chaque utilisateur possède un profil qui à son tour constitue une information supplémentaire à stocker dans l'annuaire. Une bonne normalisation rend vite indispensable un tel service et favorise le développement d'outils puissants. 2.Normalisation X500 Permettre un standard indépendant de tout constructeur. Cette norme regoupes plusieurs standard : X500, X501, X509, X511, X520, X521, X525 etc. LDAP une combinaison des technologies Internet et X500. C'est un standard normalisé par IETF. LDAP est un protocole client/serveur s'appuyant sur TCP/IP offrant quatre modèles prédéfinis: Modèle d'informations Constituée d'un ensemble d'enregistrements. L'objet contient des attribués typés pouvant être facultatifs ou obligatoires. Modèle de désignations Les données sont hiérarchisées dans un arbre reflétant l'organisation de l'entreprise. Modèle des services Ces fonctions comprennent la rechercher et la consultation de entrée de l'annuaire. Modèle de sécurité Définit la manière de s'identifier de façon sécurisée à l'annulaire et le concept des droits d'accès aus différents objets de l'annuaire. LDAP définit en standard un ensemble de classes d'objets et d'attributs couvrant les besoins classiques en entreprise. LDAP permet de contrôler les accès aux branches d'arbres, aux objets et aux attributs. Les fonctions de recherche LDAP sont évoluées grâce à un langage de requêtes normalisé. Mais on peut également effectuer des recherches fulltexte. LDAP couvre l'ensemble des ressources de l'entreprise. Ces ressources appartiennent à un référentiel qui peut

3 être administré de manière optimale. 3.Le standard LDAP Le protocole LDAP est une version allégée du protocole X500 émanant de l'osi. LDAP = Lightweight Directory Access Protocol Initialement frontal d'accès à des annuaires, LDAP est devenu en 1995, un annuaire natif grâce à une équipe de l'université du Michigan. Le protocole LDAP est conçu selon le modèle client serveur TCP/IP. La communication client-serveur est normalisée par l'ietf et la version actuelle V3 de LDAP est rédigée dans la (RFC2251). Deux points importants : le referral service est définit par LDAPv3 le replication service appelé LDAP Duplication Protocol (LDUP) Le dialogue LDAP se fait à l'instar de NSMP non pas en ASCII mais en format de codage Basic Encoding Rule (BER). Il offre quatre modèles de données: Modèle d'information : on y définit les classes d'objet et les attributs typés. Modèle de désignation : définit la façon d'organiser et de désigner les entrées dans l'annuaire. Modèle de services : définit les services offerts par l'annuaire : mise à jour et recherche. Modèle de sécurité : définit la manière de s'identifier de façon sécurisée et les droits d'accès aux objets de l'annuaire. LDAP est un protocole d'annuaire standard et extensible. Il fournit le protocole permettant d'accéder à l'information contenue dans l'annuaire Modèle d'information : on y définit les classes d'objet et les attributs typés. Modèle de désignation : définit la façon d'organiser et de désigner les entrées dans l'annuaire. Modèle de services : définit les services offerts par l'annuaire : mise à jour et recherche. Modèle de sécurité : définit la manière de s'identifier de façon sécurisée et les droits d'accès aux objets de l'annuaire. un modèle de duplication qui définit comment la base est répartie entre serveurs, LDIF, un format d'échange de données. des APIs pour développer des applications clientes 4.Modèle client/serveur de LDAP LDAP repose sur le protocole TCP/IP qui est un réseau de réseaux. TCP/IP est basé sur les concepts de base suivants: client/démon Adresse IP et port socket Port d'écoute du serveur d'annuaire. Connexions Internet actives (serveurs et établies) Proto Recv-Q Send-Q Adresse locale Adresse distante Etat...

4 tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN... Les échanges se font selon un principe de question/réponse basé sur des paquets qui peuvent être traités de façon synchrone ou asynchrone. Le client peut émettre plus d'une requête à la fois et recevoir les réponses dans un ordre quelconque. 5.Modèle d'information Les objets sont décrits par des classes, il en sont des instances.une classe contient une liste d'attributs avec caractère obligatoire ou pas. Une classe peut dériver d'une autre. Les attributs et les objets sont identifiés par des numéros appelés OID. Les OID fait référence au service X est la définition des types d'attributs est la définition des classes d'objets the Internet OID IANA-assigned company OIDs, used for private MIBs OpenLDAP Les attributs attributetype ( NAME ( 'cn' 'commonname' ) SUP name )

5 attributetype ( NAME ( 'sn' 'surname' ) SUP name ) Les classes d'objets objectclass ( NAME 'top' ABSTRACT MUST objectclass ) objectclass ( NAME 'alias' SUP top STRUCTURAL objectclass ( NAME 'country' SUP top STRUCTURAL objectclass ( NAME 'locality' SUP top STRUCTURAL objectclass ( NAME 'organization' SUP top STRUCTURAL objectclass ( NAME 'organizationalunit' SUP top STRUCTURAL 6.Modèle de désignation Fournit une règle commune permettant de nommer et de référencer les objets de l'annuaire: Espaces de noms homogènes Organisation hiérarchique des données. L'organisation hiérarchique permet facilite la navigation et le recherches. Les noms d'objets RDN DN Relative Distinguished Name Distinguished Name Chaque entrée est référencée de manière unique dans le DIT par son distinguished name (DN). Le DN représente le nom de l'entrée sous la forme du chemin d'accès à celle-ci depuis le sommet de l'arbre. On peut comparer le DN au path d'un fichier Unix. Par exemple, mon DN correspondant à l'arbre de la est : sn=karim,ou=projet_a,ou=developpement,o=adhara,c=com Le DN représente le chemin absolu d'accès à l'entrée. Comme pour le système de fichier Unix, on peut utiliser un relative distinguished names (RDNs) pour désigner l'entrée depuis une position déterminée de l'arbre. Par exemple, à partir de la position de base o=adhara,c=com, on peut employer les RDNs suivants: ou=projet_a,ou=developpement ou=projet_b,ou=developpement, sn=camille, ou=projet_a,ou=developpement Rapprochement DNS et LDAP 7.Modèle de services LDAP définit une liste de services ou opérations. On peut les classer par catégories: Connexion Déconnexion Notification Recherche Modification d'objet Ajout Suppression Modification du DN

6 La comparaison Abandon Extensions 8.Modèle de sécurité Authentification Intégrité Confidentialité Habilitations 9.Interfaces LDAP Pour accéder aux différents services de LDAP, une API pour programmation C est disponible et maintenue standard pour une totale portabilité. Les grands acteurs sont : IBM, Université de Michigan, iplanet, Microsoft. Chacun possède un environnement de développement. Les fonctions sont préfixées par ldap_. Netscape Directory SDK C SecureWay Directory SDK LDAP API C LDAP C API Netscape IBM Microsoft OpenLDAP Connexion/déconnexion ldap_open ldap_init ldap_set_option ldap_get_option ldap_sasl_bind ldap_simple_bind ldap_unbind Recherche et mise à jour ldap_search ldap_compare ldap_modify ldap_rename ldap_add ldap_delete 10. DSML DSML = Directory Services Markup Langage est un standard XML permettant de décrire la structure et le contenu d'annuaire de type LDAP. Il fait actuellement l'objet d'une standardisation : publication en 1999.

7 DSML remplacerait avantageusement le format LDIF, car XML touche également aux échanges avec les bases de données. Des produits commerciaux ont déjà intégré le DSML et il est même possible de lire ce format avec la programmation Java/JNDI. <?xml version="1.0" encoding="iso "?> <dsml:dsml> <dsml:directory-schema> <dsml:attribut-type> <dsml:name>0</dsml:name> <dsml:description>standard LDAP attributs</dsml:description> <dsml:superior>name</dsml:superior> <dsml:object-identifier> </dsml:object-identifier> <dsml:attribut ref="#objectclass" required="true"/> </dsml:attribut-type> <dsml:class id="person" superior="#top" type="structural"> <dsml:name>person</dsml:name> <dsml:description>standard LDAP objectclass</dsml:description> <dsml:object-identifier> </dsml:object-identifier> <dsml:attribut ref="#objectclass" required="true"/> <dsml:attribut ref="#sn" required="true"/> <dsml:attribut ref="#cn" required="true"/> <dsml:attribut ref="#aci" required="false"/> <dsml:attribut ref="#description" required="false"/>... </dsml:class> </dsml:directory-schema> </dsml:dsml> 11. URL de LDAP ldap://ipserveur/dn?attributs?perimetre?filtre?extension 12. Les implémentations du marché NDS Active Directory openldap secureway Directory server Novell Microsoft Open source IBM SUN/Netscape Liste de fichiers du paquetage rpm > rpm -ql openldap /etc/openldap /etc/openldap/ldap.conf /etc/openldap/ldapfilter.conf /etc/openldap/ldapsearchprefs.conf /etc/openldap/ldaptemplates.conf /usr/share/openldap /usr/share/openldap/ldapfriendly

8 13. Configuration et mise en oeuvre Répertoire de configuration de ldap > ls /etc/openldap/ ldap.conf ldapsearchprefs.conf liste2.txt slapd.conf ldapfilter.conf ldaptemplates.conf schema tmp.txt configuration de ldap : fichier /etc/openldap/slapd.conf # $OpenLDAP: pkg/ldap/servers/slapd/slapd.conf,v /09/27 20:00:31 kurt Exp $ # # See slapd.conf(5) for details on configuration options. # This file should NOT be world readable. # include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/redhat/rfc822-mailmember.schema include /etc/openldap/schema/redhat/autofs.schema include /etc/openldap/schema/redhat/kerberosobject.schema # Define global ACLs to disable default read access. # Do not enable referrals until AFTER you have a working directory # service AND an understanding of referrals. #referral ldap://root.openldap.org pidfile argsfile //var/run/slapd.pid //var/run/slapd.args # Create a replication log in /var/lib/ldap for use by slurpd. #replogfile /var/lib/ldap/master-slapd.replog # Load dynamic backend modules: # modulepath /usr/sbin/openldap # moduleload back_ldap.la # moduleload back_ldbm.la # moduleload back_passwd.la # moduleload back_shell.la # # The next three lines allow use of TLS for connections using a dummy test # certificate, but you should generate a proper certificate by changing to # /usr/share/ssl/certs, running "make slapd.pem", and fixing permissions on # slapd.pem so that the ldap user or group can read it. # TLSCertificateFile /usr/share/ssl/certs/slapd.pem # TLSCertificateKeyFile /usr/share/ssl/certs/slapd.pem # TLSCACertificateFile /usr/share/ssl/certs/ca-bundle.crt # # Sample Access Control # Allow read access of root DSE

9 # Allow self write access # Allow authenticated users read access # Allow anonymous users to authenticate # access to dn="" by * read access to * by self write by users read by anonymous auth # # if no access controls are present, the default is: # Allow read by all # # rootdn can always write! ####################################################################### # ldbm database definitions ####################################################################### database ldbm #suffix "dc=my-domain,dc=com" # suffix "o=adhara,c=com" #rootdn "cn=manager,dc=my-domain,dc=com" rootdn "cn=manager,o=adhara,c=com" # Cleartext passwords, especially for the rootdn, should # be avoided. See slappasswd(8) and slapd.conf(5) for details. # Use of strong authentication encouraged. rootpw secret # rootpw {crypt}ijfyncsnctbyg # The database directory MUST exist prior to running slapd AND # should only be accessible by the slapd/tools. Mode 700 recommended. directory /var/lib/ldap # Indices to maintain index objectclass,uid,uidnumber,gidnumber,memberuid eq index cn,mail,surname,givenname eq,subinitial # Replicas to which we should propagate changes #replica host=ldap-1.example.com:389 tls=yes # bindmethod=sasl saslmech=gssapi # authcid=host/ldap-master.example.com@example.com #replogfile /var/lib/ldap/replogfile #replica host= :389 # binddn="cn=manager,o=adhara,c=com" # bindmethod=simple # credentials=secret Fichier client /etc/openldap/ldap.conf HOST BASE o=adhara,c=com Demarrer / arreter le seveur ldap sevice ldap start stop restart status

10 # service ldap status slapd (pid 3015) en cours d'exécution La base dbm de ldap >find /var/lib/ldap/ /var/lib/ldap/ /var/lib/ldap/replica /var/lib/ldap/dn2id.dbb /var/lib/ldap/nextid.dbb /var/lib/ldap/objectclass.dbb /var/lib/ldap/id2entry.dbb /var/lib/ldap/mail.dbb /var/lib/ldap/cn.dbb /var/lib/ldap/sn.dbb Lire le contenu de la base ldap >slapcat dn: o=adhara,c=com objectclass: top objectclass: organization o: adhara description: La racine de l'arbre creatorsname: cn=manager,o=adhara,c=com createtimestamp: Z modifiersname: cn=manager,o=adhara,c=com modifytimestamp: Z dn: ou=developpement,o=adhara,c=com objectclass: organizationalunit ou: developpement description: Pour le developpement creatorsname: cn=manager,o=adhara,c=com createtimestamp: Z modifiersname: cn=manager,o=adhara,c=com modifytimestamp: Z dn: ou=projet_a,ou=developpement,o=adhara,c=com objectclass: organizationalunit ou: projet_a description: equipe de developpement du projet A creatorsname: cn=manager,o=adhara,c=com createtimestamp: Z modifiersname: cn=manager,o=adhara,c=com modifytimestamp: Z dn: sn=karim,ou=projet_a,ou=developpement,o=adhara,c=com objectclass: InetOrgPerson telephonenumber: description: karim.belhadj@wanadoo.fr mail: karim.belhadj@wanadoo.fr cn: BELHADJ sn: karim

11 creatorsname: cn=manager,o=adhara,c=com createtimestamp: Z modifiersname: cn=manager,o=adhara,c=com modifytimestamp: Z dn: sn=joris,ou=projet_a,ou=developpement,o=adhara,c=com objectclass: InetOrgPerson telephonenumber: description: mail: cn: BELHADJ sn: joris creatorsname: cn=manager,o=adhara,c=com createtimestamp: Z modifiersname: cn=manager,o=adhara,c=com modifytimestamp: Z dn: sn=camille,ou=projet_a,ou=developpement,o=adhara,c=com objectclass: InetOrgPerson telephonenumber: description: mail: cn: BELHADJ sn: camille creatorsname: cn=manager,o=adhara,c=com createtimestamp: Z modifiersname: cn=manager,o=adhara,c=com modifytimestamp: Z dn: sn=lucas,ou=projet_a,ou=developpement,o=adhara,c=com objectclass: InetOrgPerson telephonenumber: description: mail: cn: BELHADJ sn: lucas creatorsname: cn=manager,o=adhara,c=com createtimestamp: Z modifiersname: cn=manager,o=adhara,c=com modifytimestamp: Z Recherche d'un DN # ldapsearch -x -w secret -D"cn=Manager,o=adhara,c=com" "(sn=lucas)" version: 2 # # filter: (sn=lucas) # requesting: ALL # # lucas, projet_a, developpement, adhara, com

12 dn: sn=lucas,ou=projet_a,ou=developpement,o=adhara,c=com objectclass: InetOrgPerson telephonenumber: description: mail: cn: BELHADJ sn: lucas # search result search: 2 result: 0 Success # numresponses: 2 # numentries: 1 Ajouter une entrée à partir d'un fichier : /tmp/entree.txt objectclass: InetOrgPerson telephonenumber: description: karim.belhadj@wanadoo.fr mail: jeanne.belhadj@wanadoo.fr cn: BELHADJ sn: jeanne Vérifier l'entrée ajoutée >ldapadd -x -w secret -D"cn=Manager,o=adhara,c=com" -f /tmp/entree.txt adding new entry "sn=jeanne,ou=projet_a,ou=developpement,o=adhara,c=com" [root@sawah ldap]# ldapsearch -x -w secret -D"cn=Manager,o=adhara,c=com" "(sn=jeanne)" version: 2 # filter: (sn=jeanne) # requesting: ALL # # jeanne, projet_a, developpement, adhara, com dn: sn=jeanne,ou=projet_a,ou=developpement,o=adhara,c=com objectclass: InetOrgPerson telephonenumber: description: karim.belhadj@wanadoo.fr mail: jeanne.belhadj@wanadoo.fr cn: BELHADJ sn: jeanne # search result search: 2 result: 0 Success # numresponses: 2

13 # numentries: 1

14 Les démons réseau TCP/IP 1.Le démon inetd Présentation Démon principal réseau lancé au démarrage du réseau. On le nomme également superviseur de réseau et il est à l écoute du réseau. /etc/ined [-d] [-a] [fic] d s Fic Affichage d informations sur les sockets (débogage). Pas de service Service Access Facility (Système V). nom du fichier de configuration, par défaut /etc/ined.conf. Fonctionnement Surveille les messages entrants pour créer le serveur correspondant au service demandé sur le réseau. Utilise le fichier de configuration /etc/inetd.conf. Reconfiguration automatique sans relancer inetd : kill -HUP 3321 (si 3321 = pid de inetd) En recevant le signal 1 (SIGHUP), le démon relie le fichier de configuration. Sous Linux, inted est remplacé par xinetd qui est un répertoire où l'on peut mettre d'avantage de choses 2.Le démon routed Présentation routed ou in.routed. Ecoute sur le port 520, protocole UDP. Utilise le fichier /etc/gateways contenant les adresses et la distance entre la station et les autres réseaux. Permet à une station de servir de passerelle, grâce aux tables de routage (Routing Information Protocol). routed [-dgsqtv] [FichierLog] Fonctionnement Une passerelle est soit dynamique, soit statique. Active tables de routage dynamiques, communication par messages avec les autres passerelles. d g s q Affiche les informations de débogage Existe une route par défaut connue de toutes les passerelles Le démon doit fournir les informations de routage Inverse de s

15 t v Affichage des paquets émis/reçus Informations enregistrées dans le fichier d'historique 3.Le démon rarpd Présentation Pour permettre à une station (sans disque) de connaître son adresse IP à partir de son adresse Ethernet. rarpd Interface [station] interface station a Spécifie le nom de l'interface, définie dans strcf et utilisé par ifconfig, sur laquelle rarpd écoute les requêtes. Nom de la station. Démarre un démon pour chaque interface présente sur le système. Fonctionnement rarpd -a Utile seulement si on utilise le protocole RARP. Pour permettre à une station (sans disque) de connaître son adresse IP à partir de son adresse Ethernet lue au boot. Utilise les fichiers /etc/ethers et /etc/hosts. 4.Le démon ftpd Présentation Serveur ftp qui est activé à chaque connexion d'une machine cliente. ftpd [-dl] [-ttimeout] [host.socket] d I t Affiche les informations de débogage. Trace des sessions FTP sur console système. Délai timeout, par défaut = 90 secondes. 5.Le démon timed Présentation Synchronisation des horloges des stations du réseau : Protocole Time Synchronisation Protocol (TSP). Message de type Time Samp Request du protocole ICMP. Mais la synchronisation n'est que relative sans référence externe.il s agit d une heure moyenne.

16 Il existe un autre protocole de synchronisation du temps basé sur une horloge externe mais cela nécessite une connexion à Internet (protocole NSP). 6.Autres démons rlogind Serveur des requêtes rlogin clientes. rexecd Serveur des requêtes rexec clientes. rshd Serveur des requêtes rsh/rcp clientes. telnetd Serveur des requêtes Telnet clientes. talkd Serveur des requêtes talk clientes. whod Serveur des requêtes rwho clientes.

17 Les services TCP/IP 1.Introduction Les services du réseau TCP/IP sont déclinés selon le principe de client/service Le service écoute sur un port standard et le client le sollicite sur ce port. Pour que le service réponde, il faut qu'il soit en écoute permanente mais cela n'est pas optimisé. Il y a en fait de manières de faire : Gestion par inetd : le superviseur de réseau écoute pour tous les services puis lance le service adéquate selon les trames identifiées Standalone : le service est lancé automatiquement et gère ses propres instances. Les standalones : httpd (apache), mysqld(mysql) Supervision de inetd: telnetd, rshd, ftpd. 2.Service ftp (port 21) Présentation Permet d'effectuer les opérations de transfert de fichiers en mode binaire ou mode texte de manière interactive ou par script. ftp est utilisé dans les environnements hétérogènes du point de vue OS. Il y a deux types de connexions parallèles : Contrôle connexion Data connexion utilisée pour passer les commandes ftp. utilisée pour le transfert de données. Cette connexion est créée à chaque transfert. Représentation des données. ftp reconnaît un nombre limité des formats de fichiers : ASCII =La paire CR/LF est détectable. Utilisable pour les fichiers textes. BINAIRE=Pour le transfert de fichiers binaires. Le fichier est vu comme un flot de données. Mode transmission Initialement ftp avait prévu plusieurs modes : Stream mode =Mode flot continu de bytes. L'émetteur envoie le code de fin de fichier. Block mode =Le flot de bytes est découpé en bloc puis encapsulé. Compressed mode =réalise la compression des données très simplifiée : - mode texte : les blancs visés - mode binaire : les '\0' Seul le mode stream est retenu.

18 L'application ftp repose sur la couche TCP et son numéro de port est 21. Les commandes ftp ftp [-i] [-d] [-n] [hote] i = Supprimer les multi prompts dans mget, mput,...etc. d = Entrer dans le mode débug. n = N'essaie pas l'auto-login avec.netrc. On dispose d'une collection de commandes internes ftp que l'on peut classer en trois catégories : Envoi/Réception de fichiers textes ou du binaires. get, put get, mput,...etc Opérations sur les répertoires. Commandes générales ascii, binary bye close help user Nom Passwd status verbose Type de transfert Fin du processus ftp Fermeture de la connexion Aide S'identifier sur système distant Informations sur la connexion Mode verbeux Commandes sur le site local! [commande [arguments]] Lancer un shell interactif lcd [catalogue] Changer le répertoire local Commandes sur le site distant cd delete référence ls référence Changer de répertoire distant Supprimer une référence Commandes de transfert append ref_loc [ref distant] get ref_loc [ref distant] mget ref_dist... mput ref_loc... put ref_loc ref_dist send ref_loc [ref distant] put ref_loc ref_dist Concaténer le contenu du fichier local au fichier distant Transférer le contenu du fichier local au fichier distant Transférer une série de fichiers distants Transférer une série de fichiers locaux Transférer un fichier local Equivalent de get Equivalent de put Mode non interactif de ftp

19 Login automatique (fichier.netrc). 3.Service tftp (port 69) Présentation Il service tftp permet de faire des transferts de fichiers entre deux postes locaux ou distants. Représentation de données Le transfert de fichiers peut se faire selon deux modes : ASCII : Interprétation de CR/LF. BINAIRE : Pas d'interprétation des caractères. L'application tftp repose sur la couche UDP et son numéro de port est 69. Commandes de tftp Commandes de transfert get host:fichier1... host:fichiern ou get host:fichiersrc fichierdst put fichier1... fichiern host:cible ouput fichiersrc host:fichierdst Transfert des fichiers du site distant vers site local. Transfert vers le site distant. Commandes de connexion connect distant [port] quit Se connecter à un site distant sur un port précis. Fin de connexion Diverses commandes mode Mode binaire ou mode texte verbose Mode bavard status Etat actuel de la configuration de la ligne timeout Fixe le timeout de la transmission totale. trace Active/désactive le mode trace? commande Aide sur une commande 4.Service rcp Présentation Copie de fichiers à travers le réseau entre machines distantes. Utile pour le transfert d'un nombre limité de fichiers. Les fichiers peuvent être textes ou binaires. Ainsi, il est possible de lancer la copie de fichiers entre deux machines à partir d'une troisième machine.

20 rcp n'est pas interactif. rcp ne demande pas de connexion. rcp -m -u [machine:]user [machine1:]référence_source [machine2:]référence_cible m = Dépose un courrier dans la mail box si incident. u = Le courrier dans ce cas ira vers un user précise. Copie d'un fichier ordinaire du système source au système cible. rcp [machine1:]référence_source... [machine2:]référence_répertoire_cible Copie d'une série de fichiers du système source au système cible. rcp -r... Copie récursive (sous arborescences) La commande rcp pose des problèmes de sécurité car il n'y a pas de demande d'authentification. Si les droits d'accès sur les répertoires et les fichiers conviennent alors la copy a lieu. Dans certains systèmes cette commande est désactivée. 5.rsh Présentation Exécution d'une commande sur une machine distante. rsh hote [-I identification ] [-n] [commande] n = Ferme l'entrée standard de la commande distante. I = Permet de définir un utilisateur distant. Exécute commande sur la machine hôte, par défaut la commande est un shell. Les caractères spéciaux non entre côtes sont interprétés par le système local. rsh distant ls > /users/moi Le résultat de ls sera dans le fichier local /users/moi 6.rlogin Présentation Réalisé par Berkley à la version 4.2.BSD. Il s'agit de faire un login entre deux systèmes UNIX reliés par le réseau TCP/IP. rlogin était initialement prévu pour fonctionner entre machines UNIX mais sa popularité le fit porter sur d'autres systèmes. Le mécanisme s'appuie sur le système de pseudo- terminal basé sur principe de client serveur et n'utilise

21 qu'une simple connexion. rlogin envoie chaque caractère saisi en local vers le poste distant. Communication rlogin hote [-I logname_distant] Les options permettent la connexion sur un compte précis d'une machine distance. Le caractère permet de réaliser un échappement. La combinaison. permet de couper toutes les connexions. Le caractère ^Z (suspension) stoppe le processus rlogin, sans couper la session distante. La commande rwho [-a] fournit la liste des utilisateurs logués sur les machines sur lesquelles le démon rwhod est actif. Sans l'option -a, les utilisateurs inactifs depuis plus d'une heure sont ignorés. 7.Telnet (port 23) Présentation Telnet permet d'effectuer un login sur un système distant. Il ferait double emploi avec rlogin si Telnet n'était pas prévu pour une interconnexion entre systèmes exploitation hétérogènes. Telnet est plus complexe que rlogin. Telnet est interactif et offre plus de possibilités que rlogin : Transmission de variables d'environnement. Eléments de configuration de Telnet. Envoie de caractères spéciaux...etc. Mode déboggue. Telnet a une capacité des traitements des données plus grande. Il peut fonctionner selon deux modes : Mode un caractère à la fois Mode ligne Dans le mode caractère, chaque caractère saisi est envoyé au serveur. Dans le mode ligne, une suite de caractères saisis n'est envoyée au serveur que si elle se termine par un retour chariot. Telnet [-l user ] [ -n trace_file ] [-r hote [port]] r hote + port =Connexion à une machine hôte et à un port précis (si autre que 23). n trace_file = Si l'option debug est activée alors les informations debug iront dans le fichier trace_file. l user = Permet de se connecter à un compte précis de la machine distante.

22 Commande Telnet Telnet est interactif et permet d'exécuter un certain nombre de commandes. open hote [port] Demande de connexion close Fermer la connexion (puis échappement automatique) quit Fermeture puis terminaison du processus Telnet mode Changer de mode : ligne ou caractère. status Etat de la communication? Obtenir de l'aide set argument Modification un caractère spécial valeur toggle Positionne en ensemble de flags (debug, binary, inbinary...etc). send Permet l'envoi, vers le serveur, de certaines commandes spéciales. environ Opère sur la transmission des variables d'environnement.! commande shell Permet d accéder en local à un shell.? Offre une aide en ligne. 8.Sécurité des commandes en r L'utilisation des commandes en r est contrôlée par 3 types de fichiers : $HOME/.rhots = contrôles les accès au compte associé à $HOME. scosysv user1 user2 user3 /etc/hots.equiv = définit des équivalences de comptes entre le système local et le système distant. scosysv user1 user2 user3 $HOME/.netrc = définit le login de la machine à laquelle on veut se connecter. Machine scosysv login user1 password 01usr. Machine aix login gene1 password duluchory.

23 Modèle de données selon TCP/IP 1.TCP/IP historique La DARPA (Defense Advanced Research Projects) sponsorise le développement du réseau commuté ARPANET (ancêtre de TCP/IP) ARPANET passe de l'état expérimental à l'état opérationnel La DoD (Département of Defense) sépare ARPANET en : ARPANET (recherche) + Milnet (produit militaire).les deux produits sont alors désignés par Internet. De nouveaux protocoles standards de ARPANET sont énoncés et on les nomme "ARPANET suite" ou TCP/IP. TCP/IP est alors implémenté sur UNIX BSD ARPANET est jugé obsolète, TPC/IP et Internet prennent la relève. Couches TCP/IP En s'inspirant du modèle OSI, il est possible de présenter TCP/IP sous forme de couches adjacentes. 2.Présentation Le modèle TCP/IP proposé par la DoD : trois couches auxquelles on ajoute la couche Internet. N Nom de la couche 1 Couche application. Applications et processus utilisant le réseau. 2 Couche transport Hôte à Hôte. Assure les services de transmission des données bout en bout. 3 Couche Internet. Définit le datagramme et prend en charge le routage des données. 4 Couche accès. Comporte les routines permettant d accéder aux réseaux physiques. Modèle de réseaux TCP/IP selon la DoD. 3.TCP/IP Versus OSI Couches TCP/IP Serv ices Couche OSI Applications Présentation Session TCP UDP Transport

24 I.P Interfaces Médias Réseau Liaison de données Physique 4.Organisation en couches détaillée Couche Services réseaux Application Telnet, ftp Transport TCP, UDP Réseau IP, ICMP, IGMP Liaison ARP, RARP, drivers Physique Cartes, Câbles Couches réseau TCP/IP 5.Mécanisme d'encapsulation Les données sont fragmentées et encapsulées au niveau de chaque couche. Les fragments sont nommés paquets (si TCP) ou datagrammes (si UDP). Entête Ethernet Entête IP Entête TCP HTTP Message Fin Ethernet Encapsulation de données 6.Le protocole ICMP Présentation TCP UDP ICMP IP IGMP ARP Ethernet / SNAP Couche 3 ( IP ) Le protocole Internet Control Message Protocol fait partie de IP. Il est de première importance. Il contrôle les messages et gère les erreurs en direction de la machine émettrice. Il sait également échanger des requêtes de type question/réponse. Icmp n'a aucune fonction de correction d'erreur. Il laisse les couches supérieures s'en occuper. En cas d'erreur, le message est détruit avant d'envoyer une trame d'erreur. Le code erreur le plus connu est "Destination inaccessible" avec 13 codes différents.

25 Quelques règles pour icmp afin de limiter le trafic. Type Code Requête/Erreur 0 0 Réponse à une demande écho 3 Destination non accessible 3 0 Le réseau ne peut être atteint 1 La station ne peut être atteinte 2 Le protocole ne peut être atteint 5 Redirection 0 Pour un réseau ou un sous réseau 1 Pour une station 2 Pour un réseau ou un sous réseau avec un type de service. 8 0 Demande d'écho 9 0 Information sur les réseaux 10 0 Sélection de routeur 11 Durée de vie a atteint 0 : 0 Pendant le transit 1 Le pointeur indique l'erreur ICMP est décrit par le RFC 792. Type Code checksum Données complémentaires selon code Datagramme ayant déclenché le paquet ICMP Encapsulation de données Il utilise la fonction de transmission de datagrammes IP pour envoyer ses messages. icmp participe également au mécanisme de routage. Il survient pour avertir une machine de compléter sa table de routage afin d'économiser un saut. Les messages de requête permettent de demander une information particulière ou un service spécifique à d'autres machines. Fonctions Contrôle de flux : Si les datagrammes arrivent trop rapidement la machine destination envoie à ICMP de la machine source un message de suspension qu'il fait suivre. Détection des destinations inaccessibles : Si la destination est inaccessible, un message est envoyé. Redirection des voies : Une passerelle envoie un message de redirection ICMP pour demander à une machine hôte d'utiliser une autre passerelle. Vérification des machines hôtes à distance :le protocole envoie les messages dits "d écho ICMP" à une machine locale ou distante ayant initiée ce type de message. D'ailleurs le programme ping de test de réseau utilise ce mécanisme.

26 7.Le protocole ARP Présentation Le protocole Address Resolution Protocol permet les conversions entre les adresses logiques IP et les adresses physiques MAC (Medium Acces Control) dépendant de la carte réseau (adresse Ethernet). Si la machine émettrice ne connaît pas la correspondance entre adresse IP et MAC, elle va lancer un appel sur le réseau et la machine de destination (protocole ARP) lui renverra son adresse MAC. ARP met à jour la table de traduction en mémoire (cache) IP -> ETHERNET Lors d'une demande de traduction, ARP vérifie que la correspondance est bien connue dans sa table. Si oui alors Renvoie l'adresse du réseau physique ETHERNET. Si non alors Il diffuse un paquet contenant l'adresse IP à toutes les machines du réseau. La machine trouvée envoie alors son adresse ETHERNET que ARP met dans la table. Contenu du cache arp après une ping. $ arp a? ( ) at 00:0C:41:BB:EC:62 [ether] on eth0? ( ) at 00:30:BD:B1:3C:62 [ether] on eth0 Sous windows Type de matériel (2 octets) Type de protocole (2 octets) Taille matériel (1 octets) Taille protocole (1 octets) Opcode (2 octets) Adresse matérielle de l émetteur (6 octets) Adresse protocole de l émetteur (4 octets) Adresse du protocole de destination (4 octets) Le cache arp peut être statique pour une partie, le reste dynamique. Il va permettre de réduire une surcharge de trafic due au broadcasting. Arp délibérée survient au démarrage d'une machine et permet de savoir s'il n'y a pas de duplication d'adresse. Le routeur joue le rôle de proxy arp quant il répond à une requête d'une machine située sur un autre réseau. 8.Protocol rarp Trame arp RARP (Reverse Address Résolution) fait le travail inverse de ARP. Il donne l'adresse IP à partir de celle du

27 réseau physique (ETHERNET). RARP est utile pour les machines sans disque qui demandent au bout à connaître leur adresse IP dans le réseau. RARP n'existe pas en tant que protocole isolé, il est intégré à ARP. 9.Le protocole IP Présentation Couche située entre le réseau physique et la couche transport, elle représente la partie la plus importante. C'est un protocole orienté non connexion. Il n'effectue pas de poignées de mains avant envoi d'une salve de datagrammes. Les datagrammes sont envoyés de manière indépendante au fur et à mesure de leur arrivée. La décision du mode connecté ou pas est effectuée alors par les couches supérieures de transport (TCP = connecté ou UDP = non connecté) Le protocole Internet Protocol permet l'interconnexion de plusieurs réseaux locaux ou distants. Le protocole est à l'origine du monde Internet. Principales fonctions : Adressage Définition du système d'adressage. Adresses IP. Routage Il participe à l'acheminement des datagrammes le long des réseaux. La couche Internet est peu fiable : Contient seulement un checksum sur l'entête du datagramme. N opère pas d'acquittement pour chaque datagramme. Les vérifications strictes sont faites par la couche transport. Le protocole IP utilise la commutation de paquet : Système d'adressage IP Les adresses d'acheminement sont incorporées au paquet. Les paquets sont indépendants entre eux.

28 Version Longueur entête Type de service Longueur totale du datagramme Identification Drapeau Place fragement Longueur entête Longueur entête Longueur totale du datagramme Adresse de la source Adresse de la destination (Options) (données) Le long des vastes réseaux interconnectés les machines sont identifiées par un système de numérotation appelé adresse IP. Une adresse IP est un groupement de 4 valeurs numériques comparable au système de numérotation des télécom. Numérotation des machines et des réseaux : Une machine est identifiée par un 4 valeurs numériques codée chacune sur 1 octets. Dans cette valeur une partie identifie le réseau, l'autre identifie la machine dans ce réseau. Ce découpage dépend de la classe du réseau. Adresse IP = X.X.X.X avec X sont des bytes (0, 255) La valeur du premier X détermine la classe du réseau Classes de réseaux et codage IP sur 32 bits Classe A X =[0, 127] IP = R.M.M.M Classe B X =[128, 191] IP = R.R.M.M Classe C X =[192,223] IP = R.R.R.M Sous réseau Trame IP Un réseau possède une adresse IP l'identifiant qui peut être divisée en sous réseaux. En fait il s'agit d'un sous codage dans le codage IP. Il s'agit de diviser un même réseau physique en sous réseaux administratifs. L'avantage à cela est de permettre d'alléger la charge de l'administrateur du réseau. Permet de définir des sous réseaux avec leur propre adresse IP à partir d'une même adresse IP officielle. Masque de sous réseau : Il s'agit d'une valeur codée sur 32 bits à l image d'une adresse IP.

29 Le masque dépend de la classe du réseau auquel il est associé. On parle de masque de classe A, B... etc. La numérotation du sous réseau empiète sur l'espace de numérotation des identifiants de machines. Pour un réseau de classe B voici la répartition : IP Ce réseau est de classe B et alors l'adresse du réseau est Si le mask de sous est , alors le sous-réseau est le L identifiant de la machine est 01 dans ce sous réseau. Si le mask de sous est , alors le sous-réseau est le L'identifiant de la machine est 02 dans ce sous réseau. 10. Réseaux privés avec NAT. Il est aquis que les adresses suivantes ne sont pas routables ; elles sont natables Classe Plages A B C Les plages sont celles de réseaux privés et peuvent être translatées vers des adresses extérieures en utilisant un serveur proxy.

30 Modèle de transmission de données OSI 1.Modèle de transmission des données selon OSI Présentation Le modèle OSI (Open Software Interconnect Reference Model) fut instauré par l'organisation Internationale de Normalisation ISO (International Standards Organisation). OSI est un modèle de référence commun à tous les réseaux et permet d'expliquer la transmission des données. Bien que TCP/IP ait précédé OSI, on tente d'établir une correspondance des couches entre les deux modèles. N Nom de la couche 1 Physique ou matériel. Définit les caractéristiques physiques du matériel réseau 2 Liaison de données. Assure la transmission physique du matériel réseau 3 Réseau. Gère les connexions au travers du réseau pour les couches supérieures. 4 Transport. Assure la détection et la correction d'erreur bout en bout 5 Session. Gère les sessions entre applications 6 Présentation. Standardise la représentation des données destinées aux applications 7 Application. Comporte les programmes d'applications utilisant le réseau (les services réseau) Structure en couches OSI Le modèle OSI est organisé en sept couches spécialisées communiquant entre elles selon des protocoles. Une couche est une entité abstraite désignant un ensemble de protocoles. Le principe de communication entre les couches est formel : Une couche ne peut échanger des données qu'entre les couches adjacentes. Entre la machine émettrice et la machine réceptrice les couches de même niveau communiquent entre elles.

31 2.Description des couches OSI Couche physique Définit les caractéristiques physiques du matériel nécessaire à l'acheminement du signal de transmission de données : Choix d'un mode de codage (analogique, numérique) Choix d'un mode du mode synchrone ou asynchrone RS232 (V224), X21, X24 pour un réseau Transpac Assurer la transmission de bits entre entités physiques. (Le modèle TCP/IP n'assure pas cette couche ; il utilise les couches physiques existantes). Couche liaison de données Garantit la fiabilité de la transmission des données sur le réseau physique sous-jacent. Détecter et corriger des erreurs. Cette partie est scindée en deux sous couches : LLC (Logical Link Control): Contrôle des erreurs, Contrôle des flux, Séquencement. Services sans connexion (type 1), avec connexion (type 2). Sous Couche MAC ( Médium Access Control) Règle les conflits d'accès au support physique. IEEE a normalisé: Ethernet, Token-Ring et Token Bus qui ne sont que des solutions différentes apportées aux problèmes de conflits d'accès. Couche réseau Elle gère le routage et isole les couches supérieures des détails des couches sous-jacentes. Services : Orienté connexion basée sur la notion de circuit virtuel. On calcule la route, une seule fois, à la connexion. Sans connexion. On envoie des paquets appelés datagrammes, émis individuellement. Une route est trouvée pour chaque paquet. Exemple X25 (Transpac) couvre les couches 1, 2 et 3 et travaille en mode connecté basé sur la technique des circuits virtuels. Pour TCP/IP, la couche IP joue le rôle de couche réseau. Couche transport S'occupe de la fiabilité du transfert des informations entre émetteur et récepteur, indépendamment de la nature et du service des couches inférieures. Les messages longs sont découpés en paquets pour un transfert optimal (buffeurs de la taille d'un paquet, facilite la reprise sur erreur).

32 Possibilité de multiplexage des messages sur une même connexion. Détecte les erreurs qui ont échappées aux couches inférieures : les paquets arrivées dans le désordre sont réordonnés. Services : mode connecté. Etablissement d'une liaison en début de communication. Ce mode assure une communication sûre. Contrôle de flux. Assemblage/désassemblage des paquets longs. Acquittement de messages reçus. Pour TCP/IP les couches TCP et UDP constituent la couche transport. Couche session Vise à offrir des services orientés utilisateur. Permet l'établissement d'un login distant. Gestion du dialogue (mono, bi directionnel). Synchronisation des échanges (reprise sur erreur). Couche présentation Dans les réseaux hétérogènes les données échangées ont une représentation différente selon les systèmes d'exploitation (int = 16 bits ou 32 bits,...etc). Se charge à la réception de convertir, au passage, les données reçues. Gère les techniques de compression et de cryptographie. Elle n'existe pas en tant que couche mais en tant que librairies intégrées aux applications. Pour TCP/IP c'est la couche XDR (external data representation) qui représente cette couche. Couche application Regroupe les services utilisateurs et les applications réseau. Définit des protocoles d'applications banalisées. Messagerie électronique Transfert de fichiers Terminaux virtuels Transfert de fichiers Accès imprimante réseau... etc

33 Monitor réseau 1.Installation de l outil 2.Lancement On choisit le réseau à surveiller

34

35 NAT/PAT 1.NAT/PAT Le mécanisme de NAT (Network Translation Adress) permet de remplacer une adresse IP d un flux sortant en une adresse IP (masquer). Le NAT pour les flux entrants s appelle le reverse NAT. Lorsque le transformation concerne seulement ou également le numéro de port, on parle de PAT (Port Translation Adress) Si dans ICMP on empêche le passage de ECHO alors le ping de la machine n'atteindrera pas la machine ICMP. Pour autoriser un ping il faut cocher.

36 Services + ports Pooling de plage d'adresses

37 Fonction de NAT : Les paquets rentrent dans l'interface et l'adresse+port sont translatés vers une adresse+port privée=protégé.

38 Ainsi devient 2.Reverse NAT/PAT Il s agit de translater des adresses public (extérieures) en adresses privée (intérieur).

39 Partage de disque DFS 1.Création d un espace de partage Les Système de fichiers DFS sont distribués et supportent le mécanisme de réplication pour une meilleur tolérance aux pannes. Dans les outils d administration Le partage DFS crée une racine ADS ou autonome. Nom unique de la racine sur un serveur

40 2.Dossier à partager On peut ajouter plus tard des liens

41 Protocole, port et socket 1.Port UDP IP MAC TCP UDP TCP IP MAC Station A Socket et port Station B Les processus de la couche application sont identifiés par un numéro de port. La couche transport utilise les ports dans les entêtes. C'est comme cela que UDP et TCP peuvent acheminer les paquets. Certains services sont numérotés pareillement dans tous les systèmes UNIX. On parle de ports standard. Cette standardisation facilite grandement les phases de connexion. 2.Protocole et services Les protocoles ont tous un numéro d'identification. La couche IP utilise les numéros de protocoles dans son entête. Cela lui permet de faire un multiplexage. Elle ventile les paquets à UDP ou TCP. /etc/services ou /windows/system32/drivers/etc/service.txt (pour Windows) # Copyright (c) Microsoft Corp. # # Ce fichier contient les num ros de port des services les plus connus Définis par IANA # # Format: # # <nom de service> <num ro de port/<protocole> [alias...] [#<commentaire>] # echo 7/tcp

42 echo 7/udp discard 9/tcp sink null discard 9/udp sink null systat 11/tcp users #Utilisateurs actifs systat 11/tcp users #Utilisateurs actifs daytime 13/tcp daytime 13/udp qotd 17/tcp quote #Citation du jour qotd 17/udp quote #Citation du jour chargen 19/tcp ttytst source #Générateur de caractères chargen 19/udp ttytst source #Générateur de caractères ftp-data 20/tcp #FTP, données ftp 21/tcp #FTP. contrôle telnet 23/tcp smtp 25/tcp mail #Format SMTP (Simple Mail Transfer Protocol) time 37/tcp timserver time 37/udp timserver rlp 39/udp resource #Protocole d'emplacement des ressources nameserver 42/tcp name #Serveur de nom d'hôte nameserver 42/udp name #Serveur de nom d'hôte nicname 43/tcp whois domain 53/tcp #Serveur de nom de domaine domain 53/udp #Serveur de nom de domaine bootps 67/udp dhcps #Serveur de protocole d'amorçage bootpc 68/udp dhcpc #Serveur de protocole d'amorçage tftp 69/udp #Transfert de fichiers trivial gopher 70/tcp finger 79/tcp http 80/tcp www www-http #World Wide Web kerberos 88/tcp krb5 kerberos-sec #Kerberos kerberos 88/udp krb5 kerberos-sec #Kerberos hostname 101/tcp hostnames #Serveur de nom d'hôte NIC iso-tsap 102/tcp #ISO-TSAP Classe 0 rtelnet 107/tcp #Service Telnet distant pop2 109/tcp postoffice #Protocole Bureau de poste - Version 2 pop3 110/tcp #Protocole Bureau de poste - Version 3 sunrpc 111/tcp rpcbind portmap #Appel de proc dure distante SUN sunrpc 111/udp rpcbind portmap #Appel de proc dure distante SUN auth 113/tcp ident tap #Protocole d'identification uucp-path 117/tcp nntp 119/tcp usenet #Protocole de transfert de nouvelles par Internet ntp 123/udp #Protocole d'heure du réseau epmap 135/tcp loc-srv #Résolution de point de sortie DCE epmap 135/udp loc-srv #Résolution de point de sortie DCE netbios-ns 137/tcp nbname #Service de nom NETBIOS netbios-ns 137/udp nbname #Service de nom NETBIOS netbios-dgm 138/udp nbdatagram #Service de datagramme NETBIOS netbios-ssn 139/tcp nbsession #Service de session NETBIOS imap 143/tcp imap4 #Protocole d'accšs de messagerie Internet pcmail-srv 158/tcp #Serveur PCMail snmp 161/udp #SNMP snmptrap 162/udp snmp-trap #Piège SNMP print-srv 170/tcp #PostScript réseau

43 bgp 179/tcp #Protocole de passerelle de frontišre irc 194/tcp #Protocole IRC (Internet Relay Chat) ipx 213/udp #IPX par IP ldap 389/tcp #Protocole all g d'accšs aux r pertoires https 443/tcp MCom https 443/udp MCom microsoft-ds 445/tcp microsoft-ds 445/udp kpasswd 464/tcp # Kerberos (v5) kpasswd 464/udp # Kerberos (v5) isakmp 500/udp ike #Echange de cl s Internet exec 512/tcp #Exécution de processus distance biff 512/udp comsat login 513/tcp #Connexion distance who 513/udp whod cmd 514/tcp shell syslog 514/udp printer 515/tcp spooler talk 517/udp ntalk 518/udp efs 520/tcp #Serveur de noms de fichiers étendus router 520/udp route routed timed 525/udp timeserver tempo 526/tcp newdate courier 530/tcp rpc conference 531/tcp chat netnews 532/tcp readnews netwall 533/udp #Pour diffusions en urgence uucp 540/tcp uucpd klogin 543/tcp #Ouverture de session Kerberos kshell 544/tcp krcmd #Interpréteur distant Kerberos new-rwho 550/udp new-who remotefs 556/tcp rfs rfs_server rmonitor 560/udp rmonitord monitor 561/udp ldaps 636/tcp sldap #LDAP par TLS/SSL doom 666/tcp #Logiciel ID Doom doom 666/udp #ogiciel ID Doom kerberos-adm 749/tcp #Administration Kerberos kerberos-adm 749/udp #Administration Kerberos kerberos-iv 750/udp #Kerberos version IV kpop 1109/tcp #POP Kerberos phone 1167/udp #Appel de conf rence ms-sql-s 1433/tcp #Microsoft-SQL-Server ms-sql-s 1433/udp #Microsoft-SQL-Server ms-sql-m 1434/tcp #Microsoft-SQL-Moniteur ms-sql-m 1434/udp #Microsoft-SQL-Moniteur wins 1512/tcp #Microsoft Windows Internet Name Service (WINS) wins 1512/udp #Microsoft Windows Internet Name Service (WINS) ingreslock 1524/tcp ingres l2tp 1701/udp #Protocole de tunneling couche 2 pptp 1723/tcp #Protocole de tunneling de point point radius 1812/udp #Protocole d'authentification RADIUS

44 radacct 1813/udp #Protocole de gestion de comptes RADIUS nfsd 2049/udp nfs #Serveur NFS knetd 2053/tcp #Démultiplexeur Kerberos man 9535/tcp #Serveur MAN distant /etc/protocols # Copyright (c) Microsoft Corp. # # Ce fichier contient les protocoles Internet tels qu'ils sont d finis # dans le document officiel RFC 1700 (Assigned Numbers). # # Format: # # <nom de protocole> <num ro assign > [alias...] [#<commentaire>] ip 0 IP # Protocole Internet icmp 1 ICMP # Protocole Internet de contrôle de message ggp 3 GGP # Protocole passerelle-passerelle tcp 6 TCP # Protocole de contrôle de transmission egp 8 EGP # Protocole de passerelle externe pup 12 PUP # Protocole de paquet universel PARC udp 17 UDP # Protocole de datagramme utilisateur hmp 20 HMP # Protocole de surveillance d'hôte xns-idp 22 XNS-IDP # IDP Xerox NS rdp 27 RDP # Protocole de "datagramme fiable" rvd 66 RVD # Disque virtuel distant MIT 3.Socket En plus des ports standard, il existe la notion de port dynamique. Un port dynamique et une valeur aléatoire unique qui est attribuée par le système. C'est ce mécanisme de port dynamique qui va permettre d'exécuter plus d'une instance d'un même service. Une connexion est identifiée par la socket : Port dynamique. Adresse IP. #netstat -na Connexions Internet actives (serveurs et établies) Proto Recv-Q Send-Q Adresse locale Adresse distante Etat tcp 0 0 *:exec *:* LISTEN tcp 0 0 *:32768 *:* LISTEN tcp 0 0 sawah:32769 *:* LISTEN tcp 0 0 *:netbios-ssn *:* LISTEN tcp 0 0 *:sunrpc *:* LISTEN tcp 0 0 *:x11 *:* LISTEN tcp 0 0 *:ftp *:* LISTEN tcp 0 0 *:ssh *:* LISTEN tcp 0 0 sawah:smtp *:* LISTEN tcp :netbios-ssn :3040 ESTABLISHED..

45 udp :netbios-ns *:* udp 0 0 *:netbios-ns *:* udp :netbios-dgm *:* udp 0 0 *:netbios-dgm *:* Sous Windows 4.Le protocole TCP Présentation Le protocole Transmission Control Protocol assure le transport des données de bout en bout et travaille en mode connecté. Le mode connecté = Le protocole négocie une connexion avant l'envoie des segments (paquets). TCP voit les données comme forme de flot continu découpé en segments. Les segments Sont envoyés le long du circuit virtuel calculé au départ. Ils arrivent dans l'ordre de l'envoi, on parle de séquences numérotées. Pour chaque segment un acquittement est demandé à destination de l'émetteur. La couche TCP est fiable et assure : L'acheminement sans erreur. Le séquencement de paquets. Le contrôle de flux. Etablissement de la connexion Une information de contrôle est échangée entre les machines (handshake) = trois échanges. Le champ drapeau est mis à 1 et séquence est égale à paquet SYNC avec un numéro de séquence de départ. Le serveur réponse par un SYNC avec une confirmation du numéro de séquence. Et le client renvoie un ACK. TCP utilise le checksum pour vérifier l'intégrité des paquets.

46 Client Serveur Demande d ouverture Accepte toutes les connexions Nom local de la connexion SYN 55 ACK 56 SYN 202 Nom local de la connexion ACK 203 Ouverture réussie Connexion La fin de la connexion est faite ensuite selon un three-way handshake. Acquittement : Le paquet suivant n'est émis que si un accusé de réception est reçu. Sinon, au bout d'un certain laps de temps sans acquittement, le paquet initial est réémis. Fenêtres d'anticipation (sliding windows) : Elle donne à l'émetteur le nombre d'octets maximal que le récepteur peut recevoir. Si le segment est supérieur à la fenêtre alors suspension jusqu'à réception d'une taille suffisante. Port source Port destination Numéro de séquence acquittement Déplacement Réservé URG ACK PSH RST SYN FIN Fenêtre Port source Port destination (Options) (données) Trame TCP

47 Port source et Port destination identifient les processus de la couche application. Numéro représentant la position relative du début de segment par rapport au début de l'échange (ISN). Numéro de l'accusé de réception du segment de même nature que le numéro de séquence. TCP est un serveur simultané. Il crée un nouveau processus pour chaque requête reçue. TCP est utilisé pour fournir des services à des utilisateurs qui le demandent contrairement à UDP qui travail en coulisse. TCP est approprié à des échanges volumineux de données et les fragments sont appelés sequence. Contrairement à UDP où les datagrammes sont isolés. TCP est décrit par le RFC Le protocole UDP Le protocole User Datagram Protocol fonctionne en mode non connecté, on dit qu'il n'est pas fiable car il ne demande pas d'acquittement à son récepteur. UDP voit les données sous forme de datagrammes indépendants les uns des autres. Les datagrammes : Sont envoyés de manière indépendante. Peuvent arrivés dans un ordre indifférent. Peuvent suivre des chemins différents. Leur intégrité n'est pas assurée par UDP car le champ de cheksum n'est jamais exploité bien que présent dans la trame. La couche UDP est peu fiable = La machine destination ne vérifie pas la bonne réception des datagrammes. Un datagramme UDP sera encapsulé dans un datagramme IP avec les numéros du port source et du port destination. UDP applique un petit entête de trame. Bien que peu fiable, UDP est tout de même largement utilisé : Les applications qui l'utilisent ont leurs propres moyens de vérification des données. Pour les échanges de petits volumes de données. Port source Longueur Port destination checksum (données) Trame UDP Du fait de son mode non connecté, UDP est approprié aux envois de messages multi-destinataires ou de diffusion.

48 UDP est un serveur itératif. Les messages reçues sont mis dans un buffeur constituant une file d'attente. Si la capacité est dépassée, les messages les plus anciens sont perdus.

49 Routage 1.Présentation Le routage est le mécanisme décidant de l'acheminement des paquets le long des réseaux interconnectés. Le routage couvre les couches 1, 2 et 3 du modèle ISO. UDP/TCP IP MAC IP MAC UDP/TCP IP MAC Station A routeur Routage via couche IP Station B TCP/IP Supporte 3 types de routages : Routage minimal, Routage static, Routage dynamique 2.Routage minimal La table est créée au moyen de ifconfig. Permet d'atteindre les machines directement liées au réseau. Table de routage IP du noyau Destination Passerelle Genmask Indic MSS Fenêtre irtt Iface U eth U eth U lo UG eth0 Destination = Est la machine ou le réseau destination que l'on veut atteindre. Gateway = La machine servant de passerelle pour atteindre la destination. Flags = H. La destination est un hôte et non un réseau. U = La ligne est activée. G = Le chemin utilise une passerelle externe. 3.Routage static S'applique pour les réseaux dont le nombre de passerelles est limité conduisant à d'autres réseaux. L administrateur crée alors une table de routage au moyen de la commande route. Le routage static ne s'adapte pas aux modifications du réseau. Il convient à des réseaux qui ne subissent pas de grandes modifications.

50 Linux/Unix Au moyen de ifconfig, l'administrateur crée une table de routage minimale. Les nouveaux chemins sont ajoutés au moyen de la commande route. Ajout d'un chemin # route add # route add net add gateway ulyss Suppression d'un chemin # route delete Consultation # netstat -nr Sous Windows 2003 L interface MMC

51 Autoriser le routage au niveau du serveur local

52 Au niveau général : Il faut le faire sur les deux cartes du routeur. 4.Commande traceroute/tracert Il s'agit d'une commande similaire à ping. Elle permet de connaître le chemin suivi par les trames ICMP pour

53 atteindre une machine destination. Des routeurs (hops) sont traversés et leurs adresses sont affichées séquentiellement. Détermination de l'itinéraire vers [ ] avec un maximum de 30 sauts: 1 * * * Délai d'attente de la demande dépassé ms 56 ms 60 ms ms 56 ms 55 ms GE4-468.ncidf103.Puteaux.francetelecom.net [ ] 4 56 ms 56 ms 54 ms pos12-0.nraub103.aubervilliers.francetelecom.net [ ] 5 54 ms 56 ms 54 ms pos12-1.ntaub201.aubervilliers.francetelecom.net [ ] 6 54 ms 58 ms 59 ms ms 56 ms 55 ms P14-0.PASCR3.Pastourelle.opentransit.net [ ] 8 64 ms 65 ms 67 ms So1-0-0.LONCR1.London.opentransit.net [ ] 9 65 ms 67 ms 64 ms P1-0.LONBB1.London.opentransit.net [ ] ms 64 ms 63 ms LINX.LON-1-eth110.uk.lambdanet.net [ ] ms 83 ms 85 ms FRA-2-pos700-0.de.lambdanet.net [ ] ms 83 ms 86 ms F-8-eth de.lambdanet.net [ ] ms 80 ms 82 ms Google-F.de.lambdanet.net [ ] 14 * * * Délai d'attente de la demande dépassé. 15 * * * Délai d'attente de la demande dépassé. 16 * * * Délai d'attente de la demande dépassé ms * 95 ms Routage dynamique Le réseau ayant la possibilité d'utiliser plus d'une route pour atteindre une destination, adoptera le routage dynamique. Les tables de routage sont mises à jour par des échanges d informations de routage entre routeurs. Les routeurs sont en mesure de choisir le meilleur chemin en tenant compte du trafic. Ce routage met en jeu des démons de routage. Les démons de routage s'échangent entre eux des informations de routage selon des protocoles bien précis. Il existe différents types de protocoles de routage : RIP OSPF EGP BGP Routing Information Protocol. Short Path Protocol Exterior Gateway Protocol Border Gateway Protocol Sous Linux/Unix Les démons de routage sont : routed = Reconnaît le protocole RIP. routed lit /etc/gateways au démarrage et met à jour son cache au fur et à mesure. gated = Regroupe les quatre protocoles. Ce protocole est préférable à routed. La configuration se fait dans /etc/gated.conf

54 RIP sous Windows 2003 Installation de RIP v2 Configuration Les interfaces La métrique

55 Autorisation des flux entrants.

56 Surveillance de l activité RIP OSPF sous Windows 2003 Définition de la zone

57 Type de diffusion Voisinage

58