hème : Session : 2005 à 2008 Remerciements

Transcription

1 -0- Thème : Session : 2005 à 2008 L informatique la raison de mon séjour à l Etranger Remerciements Je remercie à tous ceux qui m ont soutenu de prés ou de loin pendant les trois ans de ma formation au CNQP. 0

2 -1- Je remercie d abord le tout puissant de m avoir donné la vie, Sans oublier mon Père : Augusto Lima et le Pe. Giovanni Cazzola qui m ont beaucoup soutenu pendant les trois ans de ma formation. Nom : Nuno CÁ Tel : anunesca@homail.com Je remercie : Mr. Mamadou Anta Gueye, Albury Faye Mr. Demba Seick, Khadim Mbaye Mr. N diaye informatique et tous les autres professeurs du CNQP. Je remercie : Mr. Le directeur de CNQP, Cheikh N gom. Mme. Diouf, Nyan et tous les personnels du centre. Je dédie cette mémoire à ma remercie aussi Josué Mère que la terre lui soit légère M Bailassem qui m a aider je à aire ce memoire. Remerciements aux entreprises Je remercie le centre national de 1

3 -2- qualification professionnel «CNQP» de m avoir former pendant les trois années en maintenance informatique et électronique. Je remercie : le Pc Concept pour mon stage de formation en maintenance et réseau informatique. Je remercie : Sécurité Electronique pour la période de stage de formation. Je remercie : Promettra International et tous les personnels, qui à part leur accueille, m ont formé en informatique bureautique. 2

4 -3- Sommaire (1ere partie) Réseaux locaux «filaire» INTRODUCTION I. Informatique II. Réseau informatique III. Equipement et réseaux locaux IV.Model osi V. Model Tcp/ip VI.Notions de base des réseaux TCP/IP VII. Les différentes classes d adresses IP VIII. Les masques de réseau et de sous réseaux IX. L attribution des adresses IP X. IP dans le détail XI. Les protocoles des réseaux locaux XII. Le Protocole ARP (2ème parties) Réseau sans fil «Wifi» I. Historique II. Les réseaux sans fils III. Présentation de WiFi (802.11) IV. Mise en œuvre du wifi V. Mise en place d'un réseau VI. Le chiffrement VII. Le piratage VIII. Les solutions IX. La technologie infrarouge X. Les techniques de modulation CONCLUSION 3

5 -4- (1ère partie) Réseaux locaux «filaire» INTRODUCTION I. Informatique Au cours du développement de l humanité, la communication a toujours pris la première place. Au milieu des êtres humaines, avec l évolution de la technologie il est apparu science de traitement de l information «l informatique» basé sur l ordinateur, et de plus en plus les entreprises implémentent de multiples technologies afin d'améliorer l'environnement de travail de leurs employés et tout cella sera fait grâce à réseau informatique. Pour cela il nous faut parler un peu de l informatique, du réseau informatique et son fonctionnement. Le mot «informatique» est un néologisme créé par contraction des mots «information» et «automatique». On doit l'origine du mot «informatique» à Philippe DREYFUS, ancien directeur du Centre National de Calcul Électronique de Bull dans les années 50, qui, en 1962, a utilisé pour la première fois ce terme dans la désignation de son entreprise «Société d'informatique Appliquée» (SIA). Dans la mesure où Philippe DREYFUS s'est abstenu (sciemment?) de déposer le terme «informatique» en tant que marque, l'académie Française a adopté ce terme en 1967 afin de désigner la «science du traitement de l'information» ou plus exactement la «Science du traitement rationnel, notamment par des machines automatiques, de l'information considérée comme le support des connaissances humaines et des communications dans les domaines techniques, économiques et sociaux». En juillet 1968 le mot fût repris dans le discours d'un ministre allemand, M. STOLTENBERG, sous la forme germanisée «informatik». De fil en aiguille le mot s'est rapidement répandu dans plusieurs pays d'europe : «informática» en Espagne et au Portugal, «informatica» en Hollande et en Italie, «informatikk» en Norvège, «informatika» en Hongrie, Russie et Slovaquie. Les anglo-saxons et américains lui préfèrent généralement le terme «computer science» («science des ordinateurs») mais le terme «informatics» est parfois usité en Grande-Bretagne. Le terme informaticien est donc un terme générique désignant une personne dont le travail est en grande partie lié à l'informatique. II. Réseau informatique 4

6 -5- Le terme générique «réseau» définit un ensemble d'entités (objets, personnes, etc.) interconnectées les unes avec les autres. Un réseau permet ainsi de faire circuler des éléments matériels ou immatériels entre chacune de ces entités selon des règles bien définies. réseau (en anglais network) : Ensemble des ordinateurs et périphériques connectés les uns aux autres. Notons que deux ordinateurs connectés ensemble constituent à eux seuls un réseau minimal. mise en réseau (en anglais networking) : Mise en oeuvre des outils et des tâches permettant de relier des ordinateurs afin qu ils puissent partager des ressources en réseau. Le but d'un réseau est de transmettre des informations d'un ordinateur à un autre. Pour cela il faut dans un premier temps décider du type de codage de la donnée à envoyer, c'est-à-dire sa représentation informatique. Celle-ci sera différente selon le type de données, car il peut s'agir de : Données sonores Données textuelles Données graphiques Données vidéo Un ordinateur est un ensemble de composants électroniques modulaires, c'est-àdire des composants pouvant être remplacés par d'autres composants ayant éventuellement des caractéristiques différentes, capables de faire fonctionner des programmes informatiques. On parle ainsi de «hardware» pour désigner l'ensemble des éléments matériels de l'ordinateur et de «software» pour désigner la partie logicielle. Les composants matériels de l'ordinateur sont architecturés autour d'une carte principale comportant quelques circuits intégrés et beaucoup de composants électroniques tels que condensateurs, résistances, etc. Tous ces composants sont soudés sur la carte et sont reliés par les connexions du circuit imprimé et par un grand nombre de connecteurs : cette carte est appelée carte mère. Pour mieux comprendre le rôle des ordinateurs dans un réseau, pensez à Internet. Si l'on considère Internet comme un arbre, les ordinateurs sont les feuilles. Ils sont la source et la destination des données. Ils fournissent des informations à Internet et en reçoivent à leur tour. Nous attirons votre attention sur le fait que les ordinateurs peuvent fonctionner sans Internet, mais Internet ne peut exister sans les ordinateurs. Avec le temps, la dépendance des utilisateurs d'ordinateur envers Internet s'accroît. 5

7 -6- En plus de faire partie intégrante d'un réseau, les ordinateurs jouent un rôle crucial dans le monde du travail. Les entreprises utilisent leurs ordinateurs à diverses fins, mais aussi pour des tâches courantes. Elles utilisent des serveurs pour stocker des données importantes et gérer les renseignements sur les employés. Elles se servent de tableurs pour organiser leurs données financières, de logiciels de traitement de texte pour constituer des dossiers et pour la correspondance, ainsi que de navigateurs Web pour accéder à différents sites Web. Gardez cela en mémoire lorsque vous commencerez à étudier le fonctionnement interne d'un ordinateur. Ces notions formeront la base nécessaire à votre étude des réseaux. 1. Evolution de réseau informatique Les réseaux de données sont apparus à la suite des applications informatiques écrites pour les entreprises. Cependant, au moment où ces applications ont été écrites, les entreprises possédaient des ordinateurs qui étaient des machines autonomes, fonctionnant seules et indépendamment les unes des autres. Très vite, on s'aperçut que cette façon d'exploiter les entreprises n'était ni efficace ni rentable. Les entreprises avaient besoin d'une solution qui apporte des réponses aux trois questions suivantes : Comment éviter la duplication de l'équipement et des ressources? Comment communiquer efficacement? Comment mettre en place et gérer un réseau? Les entreprises ont pris conscience des sommes qu'elles pouvaient économiser et des gains de productivité qu'elles pouvaient réaliser en utilisant la technologie réseau. Elles ont commencé à ajouter des réseaux et à étendre les réseaux existants presque aussi rapidement que l'apparition des nouvelles technologies et des nouveaux produits de réseau le permettait. Conséquence : au début des années 1980, la technologie des réseaux a connu une croissance phénoménale, mais ce développement était chaotique à plusieurs points de vue. Vers le milieu des années 1980, des problèmes sont apparus. Bon nombre des technologies de réseau mises au point avaient été conçues à partir de différentes implémentations matérielles et logicielles. Par conséquent, beaucoup de ces nouvelles technologies de réseau étaient incompatibles. Il devint donc de plus en plus difficile de faire communiquer les réseaux qui utilisaient des spécifications différentes. La création de réseaux locaux est apparue comme l'une des premières solutions à ces problèmes. En reliant toutes les stations de travail, les périphériques, les terminaux et les autres unités d'un immeuble, le réseau local permettait aux entreprises qui utilisaient l'informatique de partager efficacement différents éléments, dont des fichiers et des imprimantes. Puis, avec la prolifération des ordinateurs en entreprise, 6

8 -7- même les réseaux locaux sont vite devenus insuffisants. Dans un système de réseau local, chaque service ou entreprise peut être comparé à un îlot électronique. Il fallait donc trouver une façon de faire circuler les données rapidement et efficacement non plus seulement à l'intérieur d'une entreprise, mais aussi entre les entreprises. La solution du moment fut de créer des réseaux métropolitains (MAN) et des réseaux étendus (WAN). Comme les réseaux WAN pouvaient relier des réseaux utilisateurs géographiquement éloignés, ils permettaient aux entreprises de communiquer entre elles sur de grandes distances. 2. Carte réseau Comme l'illustre la figure, une carte réseau est une carte de circuits imprimés qui permet la communication réseau depuis et vers un ordinateur personnel. Aussi appelée adaptateur de réseau local, la carte réseau se connecte à la carte mère et est pourvue d'un port permettant de relier l'ordinateur au réseau. Cette carte peut être configurée comme une carte Ethernet, Token Ring ou FDDI (Fiber Distributed Data Interface). La carte réseau utilise une connexion série pour communiquer avec le réseau et une connexion parallèle pour communiquer avec l'ordinateur. Chaque carte a besoin d'un numéro d'interruption (IRQ - interrupt request line), d'une adresse d'entrée/sortie (E/S) et d'une adresse en mémoire haute pour fonctionner sous DOS ou Windows 95/98. Une IRQ est un signal qui informe le processeur qu'un événement exigeant son intervention s'est produit. Par exemple, une IRQ est envoyée au microprocesseur sur une ligne matérielle lorsque vous appuyez sur une touche du clavier. Le processeur doit alors amener ce caractère du clavier à la mémoire vive. Une adresse d'e/s est un emplacement en mémoire utilisé pour entrer des données ou en extraire d'un ordinateur par une unité auxiliaire. Dans les systèmes DOS, la mémoire haute désigne la zone de mémoire située entre les 640 premiers kilooctets (Ko) et 1 méga-octet (Mo) de mémoire vive. Lorsque vous choisissez une carte réseau, tenez compte des trois éléments suivants : 1. le type de réseau (Ethernet, Token Ring ou FDDI, par exemple), 2. le type de média (câble à paires torsadées, câble coaxial ou câble à fibre optique, par exemple), 3. le type de bus système (PCI ou ISA, par exemple). 3. Installation d une carte réseau 7

9 -8- La carte réseau permet aux ordinateurs de se connecter au réseau. Elle est donc considérée un élément clé. Il vous arrivera, peut-être, de devoir installer une carte réseau. Voici des exemples de circonstances où vous pourriez être amené à le faire : Ajout d'une carte réseau à un PC qui en était dépourvu. Remplacement d'une carte réseau endommagée ou défectueuse. Mise à niveau d'une carte réseau de 10 Mbits/s vers une carte de 10/100 Mbits/s. Modification des paramètres d'une carte réseau au moyen d'un cavalier (un cavalier est un pont métallique qui ferme un circuit électrique). Il s'agit généralement d'une fiche plastique placée sur une paire de broches. Pour effectuer l'installation d'une carte réseau, plusieurs conditions sont nécessaires : Connaître sa configuration, y compris les cavaliers, le logiciel " plugand-play " et la mémoire EPROM (la mémoire EPROM (Erasable Programmable Read Only Memory) est un type de mémoire qui conserve son contenu jusqu'à ce qu'elle soit exposée à la lumière ultra-violette). Avoir accès aux diagnostics de carte réseau, dont ceux fournis par le constructeur et le test de boucle locale (voir la documentation accompagnant la carte). Être capable de résoudre les incompatibilités de ressources matérielles, notamment d'irq, d'adresse d'e/s de base et d'accès direct à la mémoire DMA (direct memory access) (le DMA est utilisé pour transférer les données directement de la mémoire vive vers une unité, sans passer par le processeur). III. Equipement et réseaux locaux La création de réseaux locaux est apparue comme l'une des premières solutions à ces problèmes. En reliant toutes les stations de travail, les périphériques, les terminaux et les autres unités d'un immeuble, le réseau local a permis aux entreprises qui utilisaient la technologie informatique de partager efficacement différents éléments, dont des fichiers et des imprimantes. Les réseaux locaux sont constitués d'ordinateurs, de cartes réseau, de médias réseau, d'unités de contrôle du trafic réseau et d'équipements périphériques. Grâce aux réseaux locaux, les entreprises utilisant les technologies informatiques peuvent partager efficacement des éléments 8

10 -9- comme des fichiers et des imprimantes, et communiquer entre elles, notamment par courrier électronique. Les réseaux locaux relient des serveurs de données, de communication, de traitement et de fichiers. Les réseaux locaux présentent les caractéristiques suivantes : Ils fonctionnent dans une région géographique limitée. Ils permettent à de nombreux utilisateurs d'accéder à des médias à haut débit. Ils assurent une connectivité continue aux services locaux. Ils interconnectent physiquement des unités adjacentes. Avec la prolifération des ordinateurs en entreprise, même les réseaux locaux sont vite devenus insuffisants. Dans un environnement LAN, chaque service ou entreprise pouvait être comparé à un îlot électronique. Il fallait donc trouver une façon de faire circuler les informations rapidement et efficacement entre les entreprises. La solution fut la création des réseaux WAN. Ceux-ci ont relié les réseaux locaux entre eux et leur ont ainsi donné accès aux ordinateurs ou aux serveurs de fichiers situés en d'autres lieux. Comme les réseaux WAN reliait des réseaux utilisateurs géographiquement dispersés, ils ont permis aux entreprises de communiquer entre elles sur de grandes distances. Une fois interconnectés, les ordinateurs, les imprimantes ainsi que les autres unités d'un réseau WAN ont pu communiquer entre eux, partager des informations, des ressources, et même accéder à Internet. Voici quelques technologies couramment utilisées dans les réseaux WAN : Modems RNIS (réseau numérique à intégration de services) DSL (Digital Subscriber Line) Frame Relay ATM (Asynchronous Transfer Mode) Porteuses T (États-Unis) et E (Europe) : T1, E1, T3, E3, etc. SDH (Synchronous Digital Hierarchy) 9

11 Unité de bande passante La bande passante est la mesure de la quantité de données pouvant circuler d'un endroit à un autre en une période de temps donnée. Le terme " bande passante " est employé dans deux contextes différents : le premier concerne les signaux analogiques et le deuxième, les signaux numériques. Vous aurez l'occasion de travailler avec la bande passante numérique, que nous appellerons bande passante tout court pendant le reste du programme. Comme vous le savez déjà, le bit est l'unité d'information la plus élémentaire. Pour rappel également, l'unité de temps de base est la seconde. Dès lors, pour décrire la QUANTITÉ de données au cours d'une période DONNÉE, nous pouvons utiliser les unités bits par seconde Les bits par seconde constituent une unité de mesure de la bande passante. Il va de soi que si les communications s'effectuaient au rythme de 1 bit par seconde, ce serait très lent. Imaginez l'envoi du code ASCII correspondant à votre nom et à votre adresse ; cela prendrait plusieurs minutes! Heureusement, des communications beaucoup plus rapides sont aujourd'hui possibles. 2. Importance de la bande passante Pourquoi la bande passante est-elle si importante? 1. En premier lieu, la bande passante est finie. Peu importe le média, la bande passante est limitée par les lois de la physique. Par exemple, ce sont les limites de la bande passante (dues aux propriétés physiques des fils téléphoniques à paires torsadées utilisés dans la plupart des habitations) qui restreignent le débit des modems conventionnels à environ 56 Kbits/s. En outre, la bande passante du spectre électromagnétique est finie ; il n'y a qu'un certain nombre de fréquences dans le spectre des ondes radio, des micro-ondes et des ondes infrarouges. Pour cette raison, la FCC (Federal Communications Commission) a désigné une division responsable du contrôle de la bande passante et de ceux qui l'utilisent. La fibre optique offre une bande passante pratiquement infinie. Cependant, le reste de la technologie qui permettra la création de réseaux à bande passante très large utilisant tout le potentiel des fibres optiques est encore en cours de développement et d'implantation. 2. La connaissance du fonctionnement de la bande passante et du fait qu'elle soit finie peut vous permettre de réaliser d'importantes économies. Ainsi, le coût des diverses options de connexion offertes par les fournisseurs d'accès Internet dépend en partie de bande passante dont vous avez besoin, en moyenne et en pointe. D'une certaine manière, vous payez pour la bande passante. 3. En tant que professionnel des réseaux, vous devrez savoir ce que sont la bande passante et le débit. Il existe plusieurs facteurs importants à prendre en compte dans l'analyse des performances d'un réseau. En outre, la bande passante 10

12 demeurera toujours l'un des principaux aspects de la conception des nouveaux réseaux. 4. Il faut bien comprendre deux notions essentielles se rapportant à " l'autoroute de l'information ". Premièrement, toute information peut être stockée sous la forme d'une longue chaîne de bits. Deuxièmement, le stockage des informations en bits, bien qu'il soit utile, n'est pas à proprement parler une technologie révolutionnaire. Le fait que nous puissions partager ces bits, des billions de bits en 1 seconde, signifie que la civilisation moderne approche de l'époque où tout ordinateur, n'importe où dans le monde ou dans l'espace, pourra communiquer avec n'importe quel autre ordinateur en quelques secondes, voire moins. 5. Force est de constater que les personnes ou les institutions qui ont commencé à utiliser un réseau souhaitent toujours plus de bande passante. Les nouveaux logiciels multimédias exigent encore plus de bande passante que ceux utilisés au milieu des années Des programmeurs créatifs s'attellent à la conception d'applications capables d'effectuer des tâches de communication plus complexes, donc plus gourmandes en bande passante. IV.Model osi Au cours des deux dernières décennies, le nombre et la taille des réseaux ont augmenté considérablement. Cependant, bon nombre de réseaux ont été mis sur pied à l'aide de plates-formes matérielles et logicielles différentes. Il en a résulté une incompatibilité entre de nombreux réseaux et il est devenu difficile d'établir des communications entre des réseaux fondés sur des spécifications différentes. Pour résoudre ce problème, l'organisation internationale de normalisation (ISO) a examiné de nombreuses structures de réseau. L'ISO a reconnu l'opportunité de créer un modèle réseau qui aiderait les concepteurs à mettre en œuvre des réseaux capables de communiquer entre eux et de fonctionner de concert (interopérabilité). Elle a donc publié le modèle de référence OSI en Ce chapitre explique comment les normes servent à assurer une compatibilité et une interopérabilité supérieures entre diverses technologies réseau. Ainsi, vous y apprendrez comment la structure de réseau que constitue le modèle de référence OSI soutient les normes en matière de réseau. En outre, vous découvrirez comment les informations, ou données, circulent à partir d'un programme d'application (un tableur, par exemple) en passant par un média réseau (les fils, par exemple) jusqu'à un autre programme d'application situé sur un autre ordinateur au sein d'un réseau. Tout au long de ce chapitre, vous apprendrez les fonctions de base qui s'exécutent dans chaque couche du modèle OSI. Ce dernier vous servira de base lorsque vous commencerez à concevoir, à construire et à dépanner des réseaux. Le modèle de référence OSI est le principal modèle des communications réseau. Bien qu'il en existe d'autres, la majorité des fournisseurs de solutions réseau relient aujourd'hui leurs produits à ce modèle de référence, en particulier lorsqu'ils souhaitent former les utilisateurs à l'exploitation de leurs produits. Ils le considèrent comme le meilleur outil offert pour décrire l'envoi et la réception de données sur un réseau. 11

13 Le modèle de référence OSI vous permet de voir les fonctions réseau exécutées au niveau de chaque couche. Plus important encore, ce modèle de référence constitue un cadre que vous pouvez utiliser pour comprendre comment les informations circulent dans un réseau. Vous pouvez en outre vous servir du modèle de référence OSI pour visualiser comment les informations, ou paquets de données, circulent à partir des programmes d'application (ex. : tableurs, documents, etc.), en passant par un média réseau (ex. : fils, etc.), jusqu'à un autre programme d'application se trouvant sur un autre ordinateur en réseau, même si l'expéditeur et le destinataire utilisent des types de médias réseau différents. Le modèle de référence OSI comporte sept couches numérotées, chacune illustrant une fonction réseau bien précise. Cette répartition des fonctions réseau est appelée organisation en couches. Le découpage du réseau en sept couches présente les avantages suivants : Il permet de diviser les communications sur le réseau en éléments plus petits et plus simples. Il uniformise les éléments du réseau afin de permettre le développement et le soutien multiconstructeur. Il permet à différents types de matériel et de logiciel réseau de communiquer entre eux. Il empêche les changements apportés à une couche d'affecter les autres couches, ce qui assure un développement plus rapide. Il divise les communications sur le réseau en éléments plus petits, ce qui permet de les comprendre plus facilement Dans le modèle de référence OSI, le problème consistant à déplacer des informations entre des ordinateurs est divisé en sept problèmes plus petits et plus faciles à gérer. Chacun des sept petits problèmes est représenté par une couche particulière du modèle. Voici les sept couches du modèle de référence OSI : Couche 7 : la couche application Couche 6 : la couche présentation Couche 5 : la couche session Couche 4 : la couche transport Couche 3 : la couche réseau Couche 2 : la couche liaison de données Couche 1 : la couche physique Au cours de ce module, vous verrez toutes les couches du modèle OSI, en commençant par la couche 1. En examinant chacune des couches du modèle de référence OSI, vous comprendrez comment les paquets de données circulent dans un réseau et découvrirez les unités qui sont utilisées au niveau de chaque couche pour l'acheminement des paquets de données. Par conséquent, vous comprendrez comment 12

14 résoudre les problèmes touchant le flux des paquets de données sur le réseau, au fur et à mesure qu'ils se produisent. 1. Encapsulation des données Vous savez que, au sein d'un réseau, toutes les communications partent d'une source, qu'elles sont acheminées vers une destination et que les informations envoyées sur le réseau sont appelées données ou paquets de données. Si un ordinateur (hôte A) veut envoyer des données à un autre ordinateur (hôte B), les données doivent d'abord être préparées grâce à un processus appelé encapsulation. Ce processus conditionne les données en leur ajoutant des informations relatives au protocole avant de les transmettre sur le réseau. Ainsi, en descendant dans les couches du modèle OSI, les données reçoivent des en-têtes, des en-queues et d'autres informations. (Remarque : Le terme " en-tête " fait référence aux informations d'adresse.) Pour comprendre comment se produit l'encapsulation, examinons la manière dont les données traversent les couches, comme l'illustre la figure. Les données qui sont envoyées par l'ordinateur source (voir la figure) traversent la couche application et les autres couches. Comme vous pouvez le constater, la présentation et le flux des données échangées subissent des changements au fur et à mesure que les réseaux fournissent leurs services aux utilisateurs. Comme le montrent les figures, les réseaux doivent effectuer les cinq étapes de conversion ci-dessous afin d'encapsuler les données : 1. Construction des données. Lorsqu'un utilisateur envoie un message électronique, les caractères alphanumériques qu'il contient sont convertis en données pouvant circuler dans l'interréseau. 2. Préparation des données pour le transport de bout en bout Les données sont préparées pour le transport inter réseau. En utilisant des segments, la fonction de transport s'assure que les systèmes hôtes situés à chaque extrémité du système de messagerie peuvent communiquer de façon fiable. 3. Ajout de l'adresse réseau à l'en-tête. Les données sont organisées en paquets, ou datagrammes, contenant un en-tête réseau constitué des adresses logiques d'origine et de destination. Ces adresses aident les unités réseau à acheminer les paquets dans le réseau suivant un chemin déterminé. 4. Ajout de l'adresse locale à l'en-tête de liaison 13

15 Chaque unité réseau doit placer le paquet dans une trame. La trame permet d'établir la connexion avec la prochaine unité réseau directement connectée dans la liaison. Chaque unité se trouvant sur le chemin réseau choisi doit effectuer un verrouillage de trame pour pouvoir se connecter à la prochaine unité. 5. Conversion en bits pour la transmission La trame doit être convertie en une série de un et de zéro (bits) pour la transmission sur le média (habituellement un fil). Une fonction de synchronisation permet aux unités de distinguer ces bits lorsqu'ils circulent sur le média. Tout au long du trajet suivi dans l'interréseau physique, le média peut varier. Ainsi, le message électronique peut provenir d'un réseau local, traverser le backbone d'un campus, sortir par une liaison WAN pour atteindre sa destination sur un autre LAN éloigné. Les en-têtes et en-queues sont ajoutés au fur et à mesure que les données descendent dans les couches du modèle OSI. 2. Communication d égal à égal Afin de permettre l'acheminement des paquets de données entre l'ordinateur source et l'ordinateur de destination, chaque couche du modèle OSI au niveau de l'ordinateur source doit communiquer avec sa couche homologue sur l'ordinateur de destination. Cette forme de communication est appelée communication d'égal à égal. Au cours de ce processus, le protocole de chaque couche assure l'échange d'informations, appeléee unités de données de protocole (ou PDU), entre les couches homologues. Chaque couche de communication, sur l'ordinateur source, communique avec l'unité de données de protocole propre à une couche, ainsi qu'avec la couche correspondante sur l'ordinateur de destination, comme l'illustre la figure. Dans un réseau, les paquets de données proviennent d'une source et sont acheminés vers une destination. Chaque couche dépend de la fonction de service de la couche OSI sous-jacente. Pour fournir ce service, la couche inférieure a recours à l'encapsulation pour placer l'unité de données de protocole de la couche supérieure dans son champ de données. Elle ajoute ensuite les en-têtes et les en queues dont elle a besoin pour remplir ses fonctions. Par la suite, à mesure que les données traversent les couches du modèle OSI, d'autres en-têtes et en queues sont ajoutés. Dès que les couches 7, 6 et 5 ont ajouté leurs informations, la couche 4 en ajoute d'autres. Ce regroupement des données, soit l'unité de données de protocole de couche 4, est appelé segment. Ainsi, la couche réseau fournit un service à la couche transport, qui présente les données au sous-système de l'interréseau. La couche réseau est chargée de déplacer les données dans l'interréseau. Pour ce faire, elle encapsule les données et leur annexe un en-tête de manière à créer un paquet (soit la PDU de couche 3). L'en-tête contient les informations requises pour effectuer le transfert, notamment les adresses logiques de source et de destination. 14

16 La couche liaison de données fournit un service à la couche réseau. Elle encapsule les informations de couche réseau dans une trame (PDU de couche 2). L'entête de trame contient les informations (des adresses physiques, par exemple) nécessaires à l'exécution des fonctions de liaison. La couche liaison de données fournit donc un service à la couche réseau en encapsulant les informations de couche réseau dans une trame. La couche physique fournit également un service à la couche liaison de données. Elle code la trame de liaison en une série de uns et de zéros (bits) en vue de la transmettre sur un média (habituellement un fil) dans la couche 1. V. Model tcp/ip Même si le modèle de référence OSI est universellement reconnu, historiquement et techniquement, la norme ouverte d'internet est le protocole TCP/IP (pour Transmission Control Protocol/Internet Protocol). Le modèle de référence TCP/IP et la pile de protocoles TCP/IP rendent possible l'échange de données entre deux ordinateurs, partout dans le monde, à une vitesse quasi équivalente à celle de la lumière. Le modèle TCP/IP présente une importance historique semblable aux normes qui ont permis l'essor des industries du téléphone, de l'électricité, du chemin de fer, de la télévision et de la bande vidéo. Le ministère américain de la Défense a créé le modèle de référence TCP/IP parce qu'il avait besoin d'un réseau pouvant résister à toutes les conditions, même à une guerre nucléaire. Imaginez en effet un monde en guerre, quadrillé de connexions de toutes sortes : fils, micro-ondes, fibres optiques et liaisons satellites. Imaginez ensuite que vous ayez besoin de faire circuler les informations/les données (sous forme de paquets), peu importe la situation d'un nœud ou d'un réseau particulier de l'interréseau (qui pourrait avoir été détruit par la guerre). Le ministère de la Défense veut que ses paquets se rendent à chaque fois d'un point quelconque à tout autre point, peu importe les conditions. C'est ce problème de conception très épineux qui a mené à la création du modèle TCP/IP qui, depuis lors, est devenu la norme sur laquelle repose Internet. Lors de vos lectures sur les couches du modèle TCP/IP, gardez à l'esprit le but initial d'internet, cela vous aidera à comprendre pourquoi certaines choses sont ainsi. Le modèle TCP/IP comporte quatre couches : la couche application, la couche transport, la couche Internet et la couche d'accès au réseau. Comme vous pouvez le constater, certaines couches du modèle TCP/IP portent le même nom que des couches du modèle OSI. Il ne faut pas confondre les couches des deux modèles, car la couche application comporte des fonctions différentes dans chaque modèle. La couche application Les concepteurs du modèle TCP/IP estimaient que les protocoles de niveau supérieur devaient inclure les détails des couches session et présentation. Ils ont donc 15

17 simplement créé une couche application qui gère les protocoles de haut niveau, les questions de représentation, le code et le contrôle du dialogue. Le modèle TCP/IP regroupe en une seule couche tous les aspects liés aux applications et suppose que les données sont préparées de manière adéquate pour la couche suivante. La couche transport La couche transport est chargée des questions de qualité de service touchant la fiabilité, le contrôle de flux et la correction des erreurs. L'un de ses protocoles, TCP (Transmission Control Protocol - protocole de contrôle de transmission), fournit d'excellents moyens de créer, en souplesse, des communications réseau fiables, circulant bien et présentant un taux d'erreurs peu élevé. Le protocole TCP est orienté connexion. Il établit un dialogue entre l'ordinateur source et l'ordinateur de destination pendant qu'il prépare les informations de couche application en unités appelées segments. Un protocole orienté connexion ne signifie pas qu'il existe un circuit entre les ordinateurs en communication (ce qui correspondrait à une commutation de circuits). Ce type de fonctionnement indique qu'il y a un échange de segments de couche 4 entre les deux ordinateurs hôtes afin de confirmer l'existence logique de la connexion pendant un certain temps. C'est ce que l'on appelle la commutation de paquets. La couche Internet Le rôle de la couche Internet consiste à envoyer des paquets source à partir d'un réseau quelconque de l'interréseau et à les faire parvenir à destination, indépendamment du trajet et des réseaux traversés pour y arriver. Le protocole qui régit cette couche est appelé protocole IP (Internet Protocol). L'identification du meilleur chemin et la commutation de paquets ont lieu au niveau de cette couche. Pensez au système postal. Lorsque vous postez une lettre, vous ne savez pas comment elle arrive à destination (il existe plusieurs routes possibles), tout ce qui vous importe c'est qu'elle arrive à bon port. La couche d'accès au réseau Le nom de cette couche a un sens très large et peut parfois prêter à confusion. On lui donne également le nom de couche hôte-réseau. Cette couche se charge de tout ce dont un paquet IP a besoin pour établir une liaison physique, puis une autre liaison physique. Cela comprend les détails sur les technologies LAN et WAN, ainsi que tous les détails dans les couches physiques et liaison de données du modèle OSI. 1. Comparaison de model tcp/ip et du model osi 16

18 En comparant le modèle OSI au modèle TCP/IP, vous remarquerez des similitudes et des différences. Voici des exemples : Similitudes Tous deux comportent des couches. Tous deux comportent une couche application, bien que chacune fournisse des services très différents. Tous deux comportent des couches réseau et transport comparables. Tous deux supposent l'utilisation de la technologie de commutation de paquets (et non de commutation de circuits). Les professionnels des réseaux doivent connaître les deux modèles. Différences TCP/IP intègre la couche présentation et la couche session dans sa couche application. TCP/IP regroupe les couches physiques et liaison de données OSI au sein d'une seule couche. TCP/IP semble plus simple, car il comporte moins de couches. Les protocoles TCP/IP constituent la norme sur laquelle s'est développé Internet. Aussi, le modèle TCP/IP a-t-il bâti sa réputation sur ses protocoles. En revanche, les réseaux ne sont généralement pas architecturés autour du protocole OSI, bien que le modèle OSI puisse être utilisé comme guide. VI.Notions de base des réseaux TCP/IP Lors de votre formation en entreprise vous avez certainement constaté que dès que l on parle réseau on parle de TCP/IP. C est pourquoi nous allons nous intéresser à ces protocoles TCP/IP 1. Notions de base sur les adresses IP par rapport à Internet L Internet est fondé sur la famille des protocoles TCP/IP. Ces protocoles permettent de faire communiquer une des stations d un réseau local avec l une des stations d un autre réseau local se trouvant aux Etats Unis ou en Australie ou partout ailleurs. Pour ce faire les informations doivent traverser un réseau longue distance (WAN, Wide Area Network). Ce réseau WAN dans notre cas est Internet. Il interconnecte des réseaux locaux du monde entier. De nombreuses entreprises ont organisé leur réseau informatique local, national ou international sur le même principe qu Internet, on parle alors de réseau Intranet. D autres entreprises utilisent Internet pour interconnecter leur réseaux 17

19 locaux (sans que d autres utilisateurs puissent se connecter à ces réseaux locaux) en créant un VPN (Virtual Private Network). Dans ce cas on parle d Extranet. 2. Principe Comme cela a été dit précédemment n importe qu elle station d un réseau local connecté à Internet peut communiquer avec n importe qu elle autre station d un autre réseau local connecté aussi à Internet. Pour que cela puisse se faire (pour que l information soit acheminée vers la station désirée), Il faut donc que chaque station soit identifiée par une adresse qui lui est spécifique (dans notre cas c est l adresse IP). En fait pour simplifier la gestion du réseau Internet et afin d éviter à Internet de connaître toutes les adresses des stations qui sont connectées, il a été décidé qu Internet doit se charger d acheminer l information d une station vers le réseau local où se trouve la station destinatrice et c est ensuite le réseau local qui se chargera d acheminer l information vers la bonne station. Pour cela il faut donc que tous les réseaux locaux connectés à Internet soient identifiés par une adresse unique (dans notre cas c est la «partie réseau» de l adresse IP). Réseau local Réseau local Réseau local Réseau local Réseau Internet VII. Les différentes classes d adresses IP L Internet est donc un réseau basé sur un ensemble de protocoles : les protocoles de la famille TCP/IP. La version actuelle est nommée IPV4 (version 4). 18

20 Pour localiser les machines, on fait usage d adresses. Ces dernières sont utilisées à de nombreux niveaux dans les paquets qui transitent sur le réseau. Les adresses IP sont de la forme suivante : X. Y. Z. T où X, Y, Z, et T sont des nombres compris entre 0 et 255 (octets). Par exemple, est l adresse IP d une machine connectée sur l Internet (DNS de Wanadoo). Il faut huit bits pour coder chacun des quatre octets constituant une adresse IP. On sait que 0 se code , 255 se code et 193 se code Les adresses IP peuvent donc être représentées sur 32 bits. Ces 32 bits sont séparés en deux zones de bits contiguës : une partie décrit le numéro du réseau local auquel est rattaché la station, une partie correspond au numéro de la station dans le réseau local lui-même, appelée numéro d hôte. Dans cette dernière partie, deux numéros sont réservés : celui où tous les bits sont nuls (on indique ainsi le réseau lui-même, une adresse de ce type s appelle adresse réseau), et celui où tous les bits sont à 1 (on indique alors l ensemble des machines, une adresse de ce type s appelle adresse de diffusion ou adresse broadcast). Selon l adresse IP on définit différentes classes d adresses. Il existe quatre classes d adresses avec la version 4 (version courante) des protocoles TCP/IP, car les parties réseau et hôte n ont pas toujours la même taille. Détaillons donc l espace d adressage d IPV4. 1. Les adresses de classe A Les adresses de classe A ont une partie réseau sur 8 bits, et une partie hôte sur 24 bits. Leur bit de poids le plus fort est 0, ce qui permet de les distinguer des autres classes. Leur forme est la suivante : Partie Réseau De 0 à 127 Partie Hôte (stations) 0XXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX Elles commencent en et se terminent en Il y a donc 128 réseaux de classe A, chacun pouvant accueillir théoriquement jusqu à (2 24-2) hôtes (l adresse réseau et l adresse de diffusion ne désignent pas d hôte particulier). Remarque : Ces 127 adresses sont déjà toutes réservées sur l Internet 19

21 Le réseau de classe A d adresse est un réseau fictif interne à chaque machine : chaque nœud s identifie au hôte 1 de ce réseau, dont l adresse IP est , et qu on appelle localhost. Pour comprendre cela, rappelons-nous qu à chaque interface physique d une machine, une carte Ethernet par exemple, est associée une adresse IP unique. Souvent, le système d exploitation crée une interface virtuelle supplémentaire, appelée «pseudo-interface loopback», et lui attribue l adresse Ainsi, un programme cherchant à s adresser, à l aide des protocoles TCP/IP, à un autre programme situé sur la même machine n a qu à indiquer dans le champ destination des datagrammes IP qu il génère. Ces datagrammes ne quitteront pas la machine, car le système d exploitation reconnaîtra alors cette adresse comme étant celle de son interface loopback. Le réseau de classe A d adresse est utilisé pour créer des réseaux privés. Les paquets d informations envoyés par les stations de ce réseau ne sont pas acheminés (routés) par Internet. 2. Les adresses de classe B Les adresses de classe B ont une partie réseau sur 16 bits, et une partie hôte de même taille. Leurs deux bits de poids forts sont 10, ce qui permet de les distinguer des autres classes. Leur forme est la suivante : Partie Réseau De à XX XXXX Partie Hôte (stations) XXXX XXXX XXXX XXXX XXXX XXXX Elles commencent en et se terminent en Il y a donc réseaux de classe B, chacun pouvant accueillir jusqu à hôtes. Une grande partie de ces adresses réseaux est déjà réservée. Pour en obtenir, il faut justifier qu on s apprête à connecter un réseau de très grande envergure à l Internet. 3. Les adresses de classe C 20

22 Les adresses de classe C ont une partie réseau sur 24 bits, et une partie hôte sur 8 bits. Leurs trois bits de poids fort sont 110, ce qui permet de les distinguer des autres classes. Leur forme est la suivante : Partie Réseau De à X XXXX Partie Hôte (stations) XXXX XXXX XXXX XXXX XXXX XXXX Elles commencent en et se terminent en Il y a donc réseaux de classe C, chacun pouvant accueillir jusqu à 254 hôtes. Il reste encore suffisamment de classes C pour pouvoir en distribuer encore pendant cinq à dix ans, d après de récentes analyses fondées sur le taux de croissance estimé de l Internet. 4. Les adresses de classe D Leur forme est la suivante : De à XXXX XXXX XXXX XXXX XXXX XXXX XXXX On les appelle aussi adresses de groupes multicast. Elles commencent en et se terminent en Ce sont des adresses particulières où la notion de réseau disparaît : elles désignent non pas un hôte particulier, mais un groupe d hôtes. Tout équipement désirant faire partie d un groupe peut demander à y adhérer en précisant l adresse multicast correspondante. A tout moment, tout paquet émis par une machine quelconque sur l Internet, et à destination d une adresse multicast particulière, est acheminé vers tous les membres du groupe en question. Certaines adresses du groupe sont déjà attribuées, en voici un échantillon : Adresse Nom associé BASE-ADRESS.MCAST.NET. ALL-SYSTEMS.MCAST.NET ALL-ROUTERS.MCAST.NET Description Début des adresses multicast Toutes les machines Tous les routeurs 21

23 DHCP-AGENTS.MCAST.NET PIM-ROUTERS.MCAST.NET Agents DHCP Rouleurs multicast supportant PIM 5. Les adresses de classe E Les adresses de classe E débutent en et se terminent en Elles sont réservées par Iana. Seule est pour l instant attribuée, elle désigne toutes les machines, et est utilisée lorsqu on a besoin de s adresser à tous les équipements directement connectés à un même support : un paquet à destination de cette adresse ne traverse jamais les routeurs. Leur forme est la suivante : De à XXXX XXXX XXXX XXXX XXXX XXXX XXXX VIII. Les masques de réseau et de sous réseaux 1. Les masques de réseau Pour que le réseau Internet puisse router (acheminer) les paquets de données, il faut qu il connaisse l adresse IP du réseau local de destination. On a vu précédemment qu une adresse IP est constituée d une partie Réseau et d une partie Station. Il faut donc déterminer cette adresse réseau à partir de l adresse IP de destination. Pour cela on utilise le masque de sous réseau. A chaque classe d adresses est associé un masque de réseau, ou netmask, qui est constitué de 32 bits. Le tableau suivant fournit les différents masques pour les trois classes traditionnelles. Cla sse A B C Masque Un «ET» logique appliqué entre le masque de réseau et l adresse IP permet d obtenir l adresse d un réseau correspondant. 22

24 Les masques de sous - réseaux Parfois, on est amené à répartir les adresses IP d un même réseau de classe A, B ou C sur plusieurs supports physiques. En effet, si on dispose d une cinquantaine de machines, à répartir sur trois réseaux Ethernet par exemple, notre fournisseur ne va pas nous offrir trois réseaux de classe C : une seule classe C peut déjà accueillir 254 machines. Pour résoudre ce problème, il faut introduire un nouveau type de masque : le masque de sous - réseaux. Le principe est simple : le réseau est découpé en sous - réseaux de même taille. Pour cela, la partie hôte des adresses est elle-même découpée en deux plages de bits : la plage des bit de poids forts correspond aux bits identifiant les sous réseaux l autre plage désigne le numéro de machine dans le sous réseau. Dans le masque de sous réseau, les bits correspondant aux bits des sous réseaux sont positionnés à 1. Pour trouver le sous - réseau auquel appartient un équipement, il suffit donc d appliquer un «ET» logique entre son adresse IP et le masque de sous - réseaux. Parmi les numéros de sous - réseaux ainsi créés, deux sont interdits d utilisation : les sous - réseau 0 qui serait confondu avec l adresse du réseau et le sous - réseau où tous les bits sont à 1, car l adresse de diffusion de ce sous réseau serait confondue avec l adresse de diffusion du réseau. On perd donc d entrée de jeu deux adresses de sous - réseaux. 3. Application Exemple : Une société a obtenu une adresse réseau de classe C pour pouvoir connecter son réseau sur Internet. Cette société possède 3 succursales (une à Melun, une à Combs et une à la Rochette) qui doivent pouvoir communiquer entre elles à travers les réseaux publics (WAN). Le schéma du réseau de l entreprise est le suivant : Réseau local Combs... Réseau local Réseau local Melun... La Rochette... HUB HUB HUB 23

25 Réseau WAN Routeur u WAN Réseau WAN Routeur Réseau WAN Routeur L adresse Internet de cette société est C est donc une adresse de classe C. On peut voir sur le schéma qu il y a 6 sous-réseaux (3 réseaux locaux et 3 à travers le réseau WAN). IX. L attribution des adresses IP Comme toutes les ressources numériques de l Internet, l espace d adressage IPV4 est géré par Iana. Dans un but de délocalisation de la tâche d attribution des classes d adresses IP, Iana a délégué les plages d adresses à différents organismes. Pour obtenir une classe d adresses, il faut contacter l organisme qui fait géographiquement compétence. Le plan d adressage actuel est décrit dans le tableau suivant. RIPE (Réseaux IP Européens) est l organisme compétent en Europe. APNIC gère la zone Asie - Pacifique. L InterNIC gère de nombreuses zones géographiques, notamment l Amérique, et il existe plusieurs autres organismes auxquels Iana a délégué une partie de l espace d adressage. Ces différents registres Internet délèguent parfois à leur tour à d autres entités locales. Par exemple, le NIC-France (géré par l Inria) s est occupé pendant une période d attribuer des classes d adresses aux organismes désireux de se connecter à l Internet depuis la France. Bloc d adresses Registre obtenant la délégation Iana Date de délégation Septembre 81 24

26 Iana Réservé Iana Réservé Iana Différents registres Différents registres RIPE NCC - Europe InterNIC InterNIC Amérique Centrale et du Sud APNIC - Pacifique InterNIC - Amérique du Nord InterNIC - Amérique du Nord InterNIC - Amérique du Nord InterNIC - Amérique du Nord InterNIC - Amérique du Nord APNIC - Pacifique APNIC - Pacifique Iana Réservé Iana Muticast Iana Réservé Septembre 81 Septembre 81 Septembre 81 Mai 93 Mai 93 Mai 93 Mai 93 Mai 93 Mai 93 Mars 94 Avril 95 Novembre 95 Avril 96 Juin 96 Juin 96 Juin 96 Septembre 81 Septembre 81 Septembre Internet et les protocoles. Un peu d histoire... Le protocole TCP/IP a été mis au point dans le cadre du projet ARPA au début des années Bien que sa structure ne lui permette pas de s intégrer dans le modèle OSI, il est devenu un standard de fait lié à la croissance du système Unix. Il est le précurseur des modèles organisés en couches et ses protocoles englobent l ensemble complet des fonctionnalités attendues dans toutes les couches OSI, de la définition des trames transmises sur le réseau jusqu aux applicatifs utilisateurs du type émulation de terminal ou transfert de fichiers. 25

27 Présentation rapide des différents protocoles. 3. Le protocole de résolution des adresses ARP : Le protocole ARP (Address Resolution Protocol) est un mécanisme de traduction dynamique d adresse implémenté au niveau liaison. Il est utilisé pour traduire des adresses de type INTERNET sur 32 bits en adresses ETHERNET sur 48 bits. ARP se présente comme un service qui gère des tables de correspondance d adresses et répond à des requêtes d identification. Lorsqu il reçoit une requête, il crée un message qui est ensuite diffusé sur le réseau en attente d une réponse positive de la part d une des machines connectées. La réception de la réponse est assortie d une temporisation. Une réponse positive provoque une mise à jour par ARP de ses tables de traduction d adresses. Autrement dit lorsqu un équipement A veut envoyer un datagramme IP à un équipement B qui est connecté sur le même support, il doit l encapsuler dans une trame de la couche MAC (802.3 par exemple). Le problème est que A ne connaît à priori que l adresse IP de B et ne connaît pas l adresse MAC de B. Il faut donc un protocole qui permette d établir un lien entre l adresse MAC d un équipement et son adresse IP. C est le rôle du protocole ARP. Exemple : - L équipement A connaît l adresse IP de B et veut lui faire parvenir un datagramme IP. - L équipement A envoie donc, sur le support, une trame MAC de diffusion contenant dans son champ information l adresse IP de B. - Tous les équipements connectés sur le support décodent cette trame, et compare l adresse IP contenue dans le champ information à leur propre adresse IP. - L équipement B reconnaît ainsi son adresse IP et renvoie à A une trame ARP pour lui indiquer son adresse MAC. 26

28 L équipement A connaît ainsi l adresse MAC de B et peut ainsi construire une trame avec l adresse MAC de B, et encapsuler le data gramme IP destiner à B 4. Le protocole IP : Le protocole Internet est responsable de l adressage et du routage entre machines, du cheminement des paquets de données dans le réseau, de la constitution et du réassemblage des paquets. Les fonctionnalités assurées par IP peuvent se déduire de l examen de l en-tête du paquet. Il identifie entre autre la source et la destination du paquet et comporte des identificateurs de fragmentation. 5. Le protocole UDP : Le protocole UDP (User Datagram Protocol) est un protocole de transmission de datagrammes sur le réseau qui fournit de manière optionnelle un certain nombre de contrôles. Un datagramme est un paquet de données considéré comme une entité isolée et indépendante, c est-à-dire qu il comporte dans son en-tête toutes les informations nécessaires à son acheminement à travers le réseau jusqu à son destinataire. La transmission de paquets composant le message est donc assurée de manière totalement indépendante pour chaque paquet. On pourrait, dans une certaine mesure, comparer ce type de service au service postal qui prend en charge les messages et assure leur transport à destination mais sans garantir le chemin parcouru par chaque message, ni le temps mis pour le parcourir, ni à fortiori le respect d une séquentialité dans la délivrance des messages. De plus, en ce qui concerne UDP, un paquet peut être retransmis plusieurs fois en fonction des différents temporisateurs du réseau. Une en-tête UDP contient un nombre limité d informations. On y trouve : Les adresses origine et destination La longueur du datagramme Une zone de contrôle d erreurs Pour envoyer un datagramme, le système doit donc, tout d abord, en utilisant les primitives adéquates, renseigner l adresse et le numéro port de destination. Ces informations sont connues dans les tables système. 6. Le protocole TCP : Le protocole TCP est le protocole majeur de toute l architecture INTERNET. C est un protocole qui fonctionne en mode connecté. Il dispose d un ensemble de fonctionnalités. En voici quelques unes : 27

29 Identification précise de l émetteur et du destinataire Gestion des accusés de réception Délivrance de données fiable, séquentielle et sans duplication Mécanisme de contrôle de flux Connexions passives et actives Multiplexage (plusieurs connexions simultanées sur un même support). C est un protocole beaucoup plus complexe qu UDP, il se charge, entre autres, de remettre en ordre, avant leur délivrance, les paquets qui lui parviennent. Une fonctionnalité importante est sa faculté de traiter les messages hors norme (out of band data). Ils correspondent à une notion d urgence au niveau des données et de leur délivrance, implémentée dans le protocole TCP. Une donnée urgente doit être transmise en dehors de toute séquentialité par rapport au flux de transmission normal des données. Ces messages sont insérés dans le flux de propagation normal et entièrement gérés par le protocole. Ils ne sont pas conservés au niveau utilisateur. Cette implémentation permet à TCP de gérer simultanément la transmission de plusieurs de ces messages. 7. Le protocole ICMP : Le protocole ICMP (Internet Control Message Protocol) constitue le protocole des messages d erreur. Il fait entièrement partie de la couche IP. Les messages ICMP sont classés en plusieurs catégories : La première est constituée de tous les messages résultant d un incident réseau, où qu il se soit produit, et qui peuvent être transmis à l émetteur du paquet ayant subi l incident. On peut classer dans cette catégorie les erreurs de routage ou celles qui résultent d une indisponibilité du destinataire. La seconde classe est constituée de tous les messages d erreur induits par des incidents entre une machine hôte et la porte (gateway) par laquelle passent les paquets, par exemple, il peut s agir d une procédure de routage qui informe l hôte d un meilleur chemin que celui qui a été choisi à l origine. La dernière catégorie concerne tout ce qui est gestion de réseau, les tests de connexion, les mesures de performances et de trafic (ping). Toutes les actions, transmissions ou redirections induites par un message ICMP sont prises en charge par la couche ICMP de IP. 28

30 X. IP dans le détail Les données envoyées sur un réseau informatique ne sont jamais "en vrac" : elles sont toujours regroupées en paquets dont la structure est bien définie. Dans le cas de TCP/IP, ces paquets sont appelés datagrammes. En plus des données proprement dites, les datagrammes contiennent aussi une entête qui apporte certains renseignements concernant les données, comme leur adresse IP de provenance et de destination. Pour pouvoir transiter par tous les types de réseaux locaux, le datagramme IP est enfermé dans une trame ("enveloppe") dont le type correspond au réseau traversé. C'est ce qu'on appelle l'encapsulation. La taille maximale d'un datagramme IP (entête + données) est de octets. Comme il se peut qu'un réseau traversé ne puisse pas acheminer des blocs de données aussi grands, le protocole IP est capable de gérer la fragmentation des datagrammes, ce qui permet de découper un grand datagramme en datagrammes plus petits. La structure générale d'un datagramme IP est représentée sur la figure suivante : 4 Version 8 Long. Entêt e 16 Type de Service Identification Durée de Vie Longueur Totale du datagramme Flag Protocole Fragment Checksum Adresse IP Source 4 Adresse IP destination 5 Options Options Existe rarement Bourrage Données 1. entête de datagramme La taille de l'entête d'un data gramme IP est variable, mais elle fait toujours au moins 20 octets. Sur la figure ci-dessus, examinons les différentes parties : 29

31 Version (Vers) Sur ces 4 bits est codé le numéro de version du protocole IP utilisé. Actuellement, il s'agit pratiquement toujours de la version 4 (0100). Le numéro 5 sert à des applications expérimentales et la version 6 est en cours de mise en service (celle-ci utilise une autre structure de datagramme). Les numéros 0 et 15 sont réservés. 3. Longueur d'entête (I.H.L.) Comme la longueur d'une entête de datagramme IP est variable, elle est codée sur 4 bits, sous forme de mots de 32 bits (4 octets). (Par exemple, 5 représente 5 fois 32 bits, soit 20 octets). 4. Type de service (Type of Service TOS) Ce champ de 8 bits possède la structure suivante : (Pour l instant une seule option peut être sélectionnée) Priorité Type de Service +débit +fiable délai coût bits indiquant la priorité (Par défaut - priorité la moins élevée) (supervision réseau- priorité la plus élevée). Cette partie est utilisée par certaines passerelles. 4 bits indiquant le type de service souhaité (en fonctionnement normal, ils sont tous à zéro) : - Le premier bit demande au routeur de choisir un chemin ayant un délai de transmission le plus court possible (par exemple choisir de passer par un câble sous marin plutôt que par une liaison satellite) - Le deuxième bit demande au routeur un débit élevé. - Le troisième bit demande au routeur de diriger les paquets vers des liaisons fiables - Le quatrième bit demande au routeur de choisir un chemin ayant un coût minimum. 1 bit réservé pour le futur, devant actuellement rester à zéro sauf pour certains cas expérimentaux. 30

32 Longueur du data gramme (Long. Totale) Longueur totale du data gramme (entête + données), en octets. Comme ce champ est codé sur 16 bits, la longueur maximale d'un data gramme IP est de octets. Attention : si un data gramme est fragmenté, ce champ fait référence à la longueur du fragment courant et non à la longueur du datagramme initial. 6. Fragmentation Si le routeur reçoit un datagramme trop grand pour le support sur lequel il doit l envoyer, il est obliger de fragmenter ce datagramme. Il est donc nécessaire de repérer ces fragments et de faire en sorte que le récepteur des fragments d un datagramme puisse «recoller» les morceaux dans le bon ordre pour reconstituer le datagramme. 7. Durée de vie (Time to Life Ttl) Théoriquement, ce champ doit indiquer sur 8 bits le nombre de secondes pendant lequel le datagramme est autorisé à voyager. A chaque passage d'une passerelle, on retire le temps qu'a pris la traversée de la passerelle. En pratique, comme ce temps est souvent inférieur à une seconde, on retire 1, ce qui fait que ce champ indique plus souvent le nombre de passerelles par lesquelles le datagramme peut passer qu'une durée proprement dite. Quand le champ durée de vie atteint zéro, le datagramme est détruit et un message d'erreur est envoyé à l'émetteur. Cette méthode permet d'éviter qu'un datagramme ne circule indéfiniment en boucle. 8. Numéro de protocole (Protocole) Ce champ de 8 bits indique à quel protocole de niveau plus élevé est destiné le datagramme (SAP). La valeur zéro est réservée. Quelques exemples de valeurs : (La liste complète se trouve dans la RFC 790) 1 : ICMP (Internet Control Message Protocol) 6 : TCP (Transmission Control Protocol) 17 : UDP (User Datagram Protocol) 9. Contrôle d'entête (Checksum) Permet de vérifier si l entête du paquet n a pas subit de modification pendant la transmission Si il y a eu modification, le datagramme est détruit. Le champ est calculé comme suit : c'est le complément à 1 sur 16 bits de la somme des compléments à un de tous les mots de 16 bits de l'entête, en considérant les bits du champ "contrôle d'entête" comme étant à zéro. 31

33 Adresse IP source Adresse IP de l'émetteur du datagramme. 11. Adresse IP destination Adresse IP du destinataire du datagramme. 12. Options IP (Options) Il s'agit d'un champ de longueur variable utilisé principalement pour la mise au point ou pour des expérimentations. Les options ne sont pas obligatoires. Elles sont toutes codées les unes à la suite des autres, sans séparateur particulier. XI. Les protocoles des réseaux locaux Nous avons commencé à voir comment grâce au protocole IP on peut interconnecter des réseaux locaux. Pour compléter l étude il va être nécessaire de mettre en évidence comment grâce au protocole ARP, le paquet va pouvoir être distribué sur le réseau local. Pour cela, il est avant tout nécessaire de montrer comment l information circule sur un réseau local. Nous nous intéresserons dans un premier temps au type de réseau local et aux protocoles les plus couramment utilisés à savoir : o o réseau Ethernet 10baseT et 100baseT protocole de Niveau II EthernetII Méthode d accès au support. Schéma HUB Paire réception Paire émission C 32

34 Pour comprendre la méthode d accès, il faut déjà comprendre le fonctionnement d un HUB (en français : concentrateur) Un HUB est constitué de plusieurs ports accéssibles par des prises RJ 45 femelles. Lorsqu une station envoie des données dans une trame (sur la «paire émission»), le HUB reçoit cette trame et la réenvoie en même temps sur tous les autres ports (sur la «paire réception» des stations) Le problème est le suivant : La station A envoie une trame, B et C reçoivent cette trame. Si pendant ce temps la station C envoie aussi une trame, la station B va recevoir un mélange des deux trames ce qui donnera quelque chose d incompréhesible pour B. Il est donc nécessaire de règlementer l envoi des trames sur le support physique d où la mise au point d une «méthode d accès au support. La méthode d accès utilisée sur les réseaux Ethernet est conforme au CSMA/CD (Carrier Sense Multiple Access/ Collision Detect en français cela donne : Surveillance de Porteuse pour l Accés Multiple/ Détection de Collision). Dans cette méthode il y a deux aspects le CSMA et le CD 1. Le principe du CSMA est le suivant : Une station qui veut envoyer une trame (station A) vérifie qu il n y a pas de signal (de trame) sur sa paire réception. - Si il y a un signal (c est qu une autre station -B par exemple- est en train d envoyer une trame) alors la station A attend tant qu il y a un signal sur sa paire réception - Si il n y a pas de signal alors la station peut envoyer sa trame On voit qu avec ce système une station ne peut pas émettre si une autre station a commencé à émettre, sauf si deux stations constatent en même temps que personne n émet de trame et qu elles décident en même temps d émettre, d où 2.Le principe du CD (collision detect) : Lorsqu une station est en train d envoyer une trame et qu en même temps elle détecte un signal sur sa paire réception elle arrête d envoyer sa trame (bien entendu il en est de même pour toutes les stations qui étaient en train d émettre. Les stations qui ont arrêté d emettre vont devoir recommencer à émettre. Si elles recommencent à réenvoyer leur trame en même temps la collision va se reproduire. Pour éviter cela chaque station va réémettre sa trame au bout d un temps égal à NxTS (N multiplié par TS) 33

35 «TS» est le Time Slot dont la valeur est de 51,2 µs pour le 10 Base T. L origine de ce Time Slot sera vu en détail par la suite. «N» est un nombre entier dont la valeur est prise au hasard dans un intervalle de valeurs dont la taille augmente à chaque tentative ratée. Au bout de 16 tentatives la station arrête ses tentatives et retoune un message d erreur 3. Les adresses MAC Chaque fabricant de carte réseau attribue à chaque carte une adresse spécifique c est l adresse MAC. En principe chaque carte réseau a une adresse unique au monde. Chaque trame contient dans une entête l adresse MAC de la station origine et l adresse MAC de la station destination. 4. Protocole Réseau Comme cela a été dit dans l étude du modèle de référence OSI, la communication entre entités de couches adjacentes se fait par le point d accès au service (SAP : Service Access Point). Par exemple : Entité ARP Entité EthII Entité ARP Protocole IP Entité IP 80 0 Protocole ARP 80 6 Entité IP 80 6 Protocole EthII 80 0 SAP Entité EthII Couche Liaison de données Couche (N-1) Point d Accès au Service de la couche supérieure 34 (SAP)

36 Comme on le voit sur le schéma, à chaque protocole correspond un identifiant pour le point d accès. La RFC 1700 donne les identifiants. La valeur doit être supérieure à 1500 en décimal (5DC en Hexa). En ce qui nous concerne deux protocoles seront couramment utilisés Champ Protocole (Décimal) Champ Protocole (Hexadécimal) Protocole (s écrit : 0x800) IP (s écrit : 0x806) ARP 5. Champ de données Une trame doit obligatoirement contenir un nombre entier d octets. Le champ de données doit avoir une longueur maximale de 1500 octets et une longueur minimale de 46 octets. Si cette longueur est inférieure à 46 octets, il est nécessaire de rajouter des octets de remplissage permettant d obtenir 46 octets (PAD). Cela afin que la durée de transmission de la trame soit au moins égale au Time Slot (temps nécessaire à la trame pour faire l aller et retour entre deux stations dans le cas le plus défavorable : 51,2 µs pour le 10 base T). Cela permettant d être certain de détecter toutes les collisions (Du premier octet de l adresse destinataire au dernier octet du CRC la longueur minimale de la trame est donc de 64 octets soit 512 bit). 6. Détection d erreurs La détection des erreurs se fait en utilisant un CRC sur 32 bits, dont le polynôme générateur est égal à : G(x) = x32 + x26 + x23 + x22 + x16 + x12 + x11 + x10 + x8 + x5 + x4 + x2 + 1 L expéditeur de la trame détermine le CRC grâce à une division polynomiale du contenu de la trame (adresses + champ protocole + champ de données) par le polynôme générateur puis l expéditeur «colle» ce CRC après le champ de données puis envoie sa trame. 35

37 Le récepteur récupère la trame, repère la fin de la trame (IFS : voir paragraphe suivant) Le récepteur fait à son tour le même calcul du CRC que l expéditeur, puis il compare les deux CRC. Si ils sont identiques la trame est considérée bonne et elle est envoyée à la couche supérieure, si ils sont différents la trame est considérée mauvaise et elle est aussitôt détruite. XII. Le Protocole ARP (Address Resolution Protocole) Nous avons vu dans les chapitres précédents Que l adressage IP permettait l adressage de stations appartenant à différents réseaux. L acheminement des paquets à travers les réseaux se faisant grâce aux routeurs au niveau de la couche 3. Que l adressage à l intérieur d un réseau local se fait grâce à l adresse MAC des stations au niveau de la couche 2. De ces deux remarques on déduit donc qu il est nécessaire d établir un lien entre l adresse IP d une station et son adresse MAC pour qu un Paquet IP arrivant dans un réseau local à destination d une station puisse être acheminé vers la bonne station. C est le protocole ARP qui va permettre d établir ce lien. 1. Explication : Une station A veut envoyer un paquet IP à une station B du réseau local. La station A connaît l adresse IP de la station B mais ne connaît pas son adresse MAC. Étape 1 La station A va donc fabriquer un paquet de requête ARP. Ce Paquet contient (entre autres) les éléments suivants : Le type de paquet MAC de IP de A un élément à IP de B (demande, requête) (adresse MAC source) (adresse IP source) destination inconnue) (Adresse IP destination) Étape 2 Ce paquet est ensuite encapsulé dans une trame qui va être diffusée à toutes les stations du réseau local (il est nécessaire de la diffuser puisque l'adresse MAC destinataire n est pas connue). Les éléments de la trame seront donc : 36

38 - 37 MAC de MAC de diffusion Type de protocole au niveau 3 (adresse MAC de la source) (FF FF FF FF FF FF) (0806 indique que le champ «info» de la trame Ethernet II contient un paquet ARP) Étape 3 Toutes les stations du réseau local vont donc devoir prendre en compte cette trame et analyser le paquet qui s y trouve encapsulé. Les stations qui ne reconnaissent pas leur propre adresse IP dans le champ Adresse IP destination ne font rien de plus. Étape 4 Par contre la station B qui reconnaît son adresse IP doit fabriquer un paquet de réponse ARP. Ce paquet contient entre autre les éléments suivants : Le type de paquet MAC de B IP de B MAC de A IP de A Requête) (Réponse) (adresse MAC source. C est l adresse qui était (adresse IP source destination dans la (adresse MAC destination source dans la (Adresse IP destination source dans la Étape 5 Ce paquet est ensuite encapsulé dans une trame qui va être envoyée à la station A. Les éléments de la trame seront donc MAC de MAC de A Type de protocole au niveau 3 (adresse MAC de la source. C est l adresse qui était recherchée) (adresse MAC destination) (0806 indique que le champ «info» de la trame Ethernet II contient un paquet ARP) 37

39 - 38 Étape 6 La station A qui reçoit directement la trame (point à point) va pouvoir envoyer son paquet IP dans une trame ayant la bonne adresse MAC de destination. La station A va mettre aussi à jour sa table ARP. Ceci lui permettra, la prochaine fois, de ne pas refaire une requête ARP. Toutefois, étant donné que un réseau peut évoluer et que les cartes réseau peuvent être changées, il est nécessaire qu une station vérifie régulièrement sa table ARP en refaisant des requêtes ARP. Cet échange peut être représenté par le diagramme fléché suivant : Émetteur A Autre équipement Autre équipement Destinatai re B Autre équipement Requête ARP dans une trame en diffusion Réponse ARP dans une trame en point à point t 38

40 (2ème parties) Réseau sans fil «Wifi» I. Historique En 1997; alors que l'attention est accaparée par le succès d'internet et l'euphorie boursière montante, un événement est passé inaperçu sauf pour quelques spécialistes et observateurs: l'adoption du standard IEEE ou Ethernet sans fil. Exploitant la bande de fréquence de 2,4 GHz, le plafonne à un débit de 2 Mbits/s au maximum. Ce précurseur est suivi de plusieurs déclinaisons dont le célèbre Wi-Fi qui connaît un franc succès, aidé par le volontarisme des fabricants, distributeurs et fournisseurs de services... Wi-Fi, est un nom composé à la manière de hi-fi et signifiant Wireless Fidelity. Il désigne les différentes déclinaisons de la norme IEEE qui permet à plusieurs ordinateurs de communiquer sans fil en utilisant comme support les ondes radio. Les câbles disparaissent enfin. Le Wi-Fi est un ensemble de fréquences radio qui élimine les câbles, partage une connexion Internet et permet l'échange de données entre plusieurs postes. La technologie est connue aux Etats-Unis depuis Là-bas, on recense 11 millions de points d'accès contre 80 dans l'hexagone. Mais la France assouplit sa législation sur les ondes radio et s'emballe à son tour pour le Wi-Fi : les grands opérateurs montrent leur intérêt, les périphériques compatibles s'installent en rayon. Le passage aux réseaux sans fil ouvre de nouvelles perspectives d'usage communautaire de l'informatique. Cap sur le Wi-Fi! II. Les réseaux sans fils 39

41 Un réseau sans fils (en anglais wireless network) est, comme son nom l'indique, un réseau dans lequel au moins deux terminaux peuvent communiquer sans liaison filaire. Grâce aux réseaux sans fils, un utilisateur à la possibilité de rester connecté tout en se déplaçant dans un périmètre géographique plus ou moins étendu, c'est la raison pour laquelle on entend parfois parler de "mobilité". NB: Remarque concernant l'orthographe des réseaux sans fils : Malgré l'utilisation de "sans fil", communément admise, les orthographes exactes sont "sans fils" et "sans-fil" On parle ainsi de "réseau sans fils" ou bien "du sans-fil". Les réseaux sans fils sont basés sur une liaison utilisant des ondes radioélectriques (radio et infrarouges) en lieu et place des câbles habituels. Il existe plusieurs technologies se distinguant d'une part par la fréquence d'émission utilisée ainsi que le débit et la portée des transmissions. Les réseaux sans fils permettent de relier très facilement des équipements distants d'une dizaine de mètres à quelques kilomètres. De plus l'installation de tels réseaux ne demande pas de lourds aménagements des infrastructures existantes comme c'est le cas avec les réseaux filaires. En contrepartie se pose le problème de la réglementation relative aux transmissions radioélectriques. De plus les ondes hertziennes sont difficiles à confiner dans une surface géographique restreinte, il est donc facile pour un pirate d'écouter le réseau si les informations circulent en clair. Il est donc nécessaire de mettre en place les dispositions nécessaires de telle manière à assurer une confidentialité des données circulant sur les réseaux sans fils. 1. Les catégories de réseaux sans fils On distingue habituellement plusieurs catégories de réseaux sans fils, selon le périmètre géographique offrant une connectivité (appelé zone de couverture) : a) Réseaux personnels sans fils (WPAN) Le réseau personnel sans fils (appelé également réseau individuel sans fils ou réseau domotique sans fils et noté WPAN pour Wireless Personal Area Network) concerne les réseaux sans fils d'une faible portée : de l'ordre de quelques dizaines mètres. Ce type de réseau sert généralement à relier des périphériques (imprimante, téléphone portable, appareils domestiques,...) ou un assistant personnel (PDA) à un ordinateur sans liaison filaire ou bien à permettre la liaison sans fils entre deux machines très peu distantes. Il existe plusieurs technologies utilisées pour les WPAN : La principale technologie WPAN est la technologie Bluetooth, lancée par Ericsson en 1994, proposant un débit théorique de 1 Mbps pour une portée maximale d'une trentaine de mètres. Bluetooth, connue aussi sous le nom IEEE , possède l'avantage d'être très peu gourmand en énergie, ce qui le rend particulièrement adapté à une utilisation au sein de petits périphériques. La version 1.2 réduit notamment les interférences avec les réseaux Wi-Fi. 40

42 HomeRF (Home Radio Frequency), lancée en 1998 par le HomeRF Working Group (formé notamment par les constructeurs Compaq, HP, Intel, Siemens, Mo torola et Microsoft) propose un débit théorique de 10 Mbps avec une portée d'environ 50 à 100 mètres sans amplificateur. La norme HomeRF soutenue notamment par Intel, a été abandonnée en Janvier 2003, notamment car les fondeurs de processeurs misent désormais sur les technologies Wi-Fi embarquée (via la technologie Centrino, embarquant au sein d'un même composant un microprocesseur et un adaptateur Wi-Fi). La technologie ZigBee (aussi connue sous le nom IEEE ) permet d'obtenir des liaisons sans fil à très bas prix et avec une très faible consommation d'énergie, ce qui la rend particulièrement adaptée pour être directement intégré dans de petits appareils électroniques (appareils électroménagers, hifi, jouets,...). Enfin les liaisons infrarouges permettent de créer des liaisons sans fils de quelques mètres avec des débits pouvant monter à quelques mégabits par seconde. Cette technologie est largement utilisé pour la domotique (télécommandes) mais souffre toutefois des perturbations dues aux interférences lumineuses. L'association irda (infrared data association) formée en 1995 regroupe plus de 150 membres. b) Réseaux locaux sans fils (WLAN) Le réseau local sans fils (WLAN pour Wireless Local Area Network) est un réseau permettant de couvrir l'équivalent d'un réseau local d'entreprise, soit une portée d'environ une centaine de mètres. Il permet de relier entre-eux les terminaux présents dans la zone de couverture. Il existe plusieurs technologies concurrentes : Le WiFi (ou IEEE ), soutenu par l'alliance WECA (Wireless Ethernet Compatibility Alliance) offre des débits allant jusqu'à 54Mbps sur une distance de plusieurs centaines de mètres. hiperlan2 (HIgh Performance Radio LAN 2.0), norme européenne élaborée par l'etsi (European Telecommunications Standards Institute), per met d'obtenir un débit théorique de 54 Mbps sur une zone d'une centaine de mètres dans la gamme de fréquence comprise entre et MHz. DECT (Digital Enhanced Cordless Telecommunication), norme des téléphones sans fils domestiques. Alcatel et Ascom développent pour les environnements industriels, telles les centrales nucléaires, une solution basée sur cette norme qui limite les interférences. Les points d'accès résistent à la poussière et à l'eau. Ils peuvent surveiller les systèmes de sécurité 24/24h et se connecter directement au réseau téléphonique pour avertir le responsable en cas de problème. 41

43 c) Réseaux métropolitains sans fils (WMAN) Le réseau métropolitain sans fils (WMAN pour Wireless Metropolitan Area Network) est connu sous le nom de Boucle Locale Radio (BLR). Les WMAN sont basés sur la norme IEEE La boucle locale radio offre un débit utile de 1 à 10 Mbit/s pour une portée de 4 à 10 kilomètres, ce qui destine principalement cette technologie aux opérateurs de télécommunication. d) Réseaux étendus sans fils (WWAN) Le réseau étendu sans fils (WWAN pour Wireless Wide Area Network) est également connu sous le nom de réseau cellulaire mobile. Il s'agit des réseaux sans fils les plus répandus puisque tous les téléphones mobiles sont connectés à un réseau étendu sans fils. Les principales technologies sont les suivantes : GSM (Global System for Mobile Communication ou Groupe Spécial Mobile) GPRS (General Packet Radio Service) UMTS (Universal Mobile Telecommunication System) Wimax (standard de réseau sans fils poussé par Intel avec Nokia, Fujitsu et Prowim). Basé sur une bande de fréquence de 2 à 11 GHz, offrant un débit maximum de 70 Mbits/s sur 50km de portée, certains le placent en concurrent de l'umts, même si ce dernier est davantage destiné aux utilisateurs itinérants. Avantage: le déploiement d'un réseau Wi-Fi est assez simple, le prix plutôt modeste en comparaison d'autres technologies. Le Wi-Fi est une technologie intéressante pour de nombreuses sociétés liées au monde des télécoms et d'internet. Les collectivités locales et surtout les particuliers profitent de la facilité d'accès à Internet haut débit lié à cette norme. Dans sa déclinaison la plus connue, b, le Wi-Fi utilise la bande de fréquence de 2,4 GHz et atteint un débit théorique de 11 Mbits/s (contre 128, 512 Kbits/s ou 1 Mbits/s pour l'adsl), le a culmine à 22 Mbits/s et le g, enfin, flirte avec les 54 Mbits/s. Le Wi-Fi peut certes servir à surfer sur Internet, mais pas seulement. Il autorise l'organisation de réseaux -pourvus ou pas d'internet pour échanger des fichiers, des données, et bien entendu pour jouer: Ce ne sont là que quelques exemples de ses usages possibles Les avantages des réseaux sans fil ne sont plus à démontrer surtout à une génération de plus en plus habituée à la mobilité. La multiplication des appareils (PDA, PC portables, terminaux et bientôt les téléphones portables) capables de communiquer entre eux en fait le support idéal des réseaux modernes. III. Présentation de WiFi (802.11) La norme s'attache à définir les couches basses du modèle OSI pour une liaison sans fil utilisant des ondes électromagnétiques, c'est-à-dire : 42

44 La couche physique (notée parfois couche PHY), proposant trois types de codage de l'information. La couche liaison de données, constitué de deux sous-couches : le contrôle de la liaison logique (Logical Link Control, ou LLC) et le contrôle d'accès au support (Media Access Control, ou MAC). La couche physique définit la modulation des ondes radioélectriques et les caractéristiques de la signalisation pour la transmission de données, tandis que la couche liaison de données définit l'interface entre le bus de la machine et la couche physique, notamment une méthode d'accès proche de celle utilisée dans le standard Ethernet et les règles de communication entre les différentes stations. La norme propose en réalité trois couches physiques, définissant des modes de transmission alternatifs : Couche liaison de données (MAC) Couche Physique (PHY) DSSS FHSS Infrarouges Il est possible d'utiliser n'importe quel protocole sur un réseau sans fil WiFi au même titre que sur un réseau ethernet. 1. Les différentes normes WiFi La norme IEEE est en réalité la norme initiale offrant des débits de 1 ou 2 Mbps. Des révisions ont été apportées à la norme originale afin d'optimiser le débit (c'est le cas des normes a, b et g, appelées normes physiques) ou bien préciser des éléments afin d'assurer une meilleure sécurité ou une meilleure interopérabilité. La logique aurait voulu un ordre alphabétique a pour le moins performant b, c. mais non. Voici un tableau présentant les différentes révisions de la norme et leur signification : Nom de la norme Nom Description Wifi5 La norme a permet d'obtenir un haut débit (54 Mbps théoriques, 30 Mbps réels). La norme a spécifie 8 canaux radio dans la bande de fréquence des 5 GHz. La norme b est la norme la plus répandue a Wifi 43

45 b c Pontage vers 802.1d (bridging) Internationalisation d Amélioration de la qualité de service e Itinérance (roaming) f g h i IR j actuellement. Elle propose un débit théorique de 11 Mbps (6 Mbps réel) avec une portée pouvant aller jusqu'à 300 mètres dans un environnement dégagé. La plage de fréquence utilisée est la bande des 2.4 GHz, avec 3 canaux radio disponibles. La norme c n'a pas d'intérêt pour le grand public. Il s'agit uniquement d'une modification de la norme 802.1d afin de pouvoir établir un pont avec les trames (niveau liaison de données). La norme d est un supplément à la norme dont le but est de permettre une utilisation internationale des réseaux locaux Elle consiste à permettre aux différents équipements d'échanger des informations sur les plages de fréquence et les puissances autorisées dans le pays d'origine du matériel. La norme e vise à donner des possibilités en matière de qualité de service au niveau de la couche liaison de données. Ainsi cette norme a pour but de définir les besoins des différents paquets en terme de bande passante et de délai de transmission de telle manière à permettre notamment une meilleure transmission de la voix et de la vidéo. La norme f est une recommandation à l'intention des vendeurs de point d'accès pour une meilleure interopérabilité des produits. Elle propose le protocole Inter-Access point roaming protocol permettant à un utilisateur itinérant de changer de point d'accès de façon transparente lors d'un déplacement, quelles que soient les marques des points d'accès présentes dans l'infrastructure réseau. La norme g offrira un haut débit (54 Mbps théoriques, 30 Mbps réels) sur la bande de fréquence des 2.4 GHz. Cette norme vient d'être validée. La norme g a une compatibilité ascendante avec la norme b. La norme h vise à rapprocher la norme du standard Européen (HiperLAN 2, d'où le h de h) et être en conformité avec la réglementation européenne en matière de fréq. et d'économie d'énergie. La norme i a pour but d'améliorer la sécurité des transmissions (gestion et distribution des clés, chiffrement et authentification). Cette norme s'appuie sur l'aes (Advanced Encryption Standard) et propose un chiffrement des communications pour les transmissions utilisant les technologies a, b et g. La norme j a été élaborée de telle manière à utiliser des signaux infra-rouges. Cette norme est désormais dépassée techniquement. La norme j est à la réglementation japonaise ce que le h est à la réglementation européenne. 2. Les équipements WiFi Il existe différents types d'équipement pour la mise en place d'un réseau sans fil Wifi : a) Les adaptateurs sans fil ou cartes d'accès 44

46 En anglais wireless adapters ou network interface controller, noté NIC. Il s'agit d'une carte réseau à la norme permettant à une machine de se connecter à un réseau sans fil. Les adaptateurs WiFi sont disponibles dans de nombreux formats (carte PCI, carte PCMCIA, adaptateur USB, carte compactflash,...). On appelle station tout équipement possédant une telle carte. A noter que les composants Wi-Fi deviennent des standards sur les portables (label Centrino d'intel). b) Les points d'accès Notés AP pour Access point, parfois appelés bornes sans fil, permettant de donner un accès au réseau filaire (auquel il est raccordé) aux différentes stations avoisinantes équipées de cartes WiFi. Cette sorte de hub est l'élément nécessaire pour déployer un réseau centralisé en mode infrastructure. Certains modèles proposent des fonctions de modem ADSL et comprennent plus ou moins de fonctions comme un pare-feu. c) Les autres Smart Display: écrans mobiles, soutenus par Microsoft. Chaînes WiFi: offrant la capacité de lire les MP3 directement sur le disque dur d'un ordinateur grâce à l'interface Ethernet sans fil intégrée. Elle préfigure toute une génération de produits, capables de lire, outre les CD audio, les radios qui émettent en MP3 sur Internet. Assistant personnel: les PDA intégrant le WiFi est parfois plus avantageux qu'un portable pour lire ses mails, importer des documents voir surfer sur le net. Rétroprojecteurs: pour des présentations avec portables mobiles. Caméra video: transmettre des images à distance à l'ordinateur qui les enregistre. Les composants Wi-Fi ne sont pas plus onéreux que ceux des réseaux filaires, bientôt toutes les plates-formes seront vendues avec des modules Wi-Fi intégrés. C'est déjà le cas dans le monde des PC portables, qui, sous l'impulsion d'intel, fait sa révolution sans fil grâce au Centrino. IV. MISE EN OEOEUVRE DU WI-FI 1. Les modes opératoires Le mode infrastructure 45

47 a) Le principe: En mode infrastructure, chaque ordinateur station (notée STA) se connecte à un point d'accès via une liaison sans fil. L'ensemble formé par le point d'accès et les stations situés dans sa zone de couverture est appelé ensemble de services de base (en anglais Basic Service Set, noté BSS) et constitue une cellule. Chaque BSS est identifié par un BSSID, un identifiant de 6 octets (48 bits). Dans le mode infrastructure, le BSSID correspond à l'adresse MAC du point d'accès. Il s'agit généralement du mode par défaut des cartes b. Il est possible de relier plusieurs points d'accès entre eux (ou plus exactement plusieurs BSS) par une liaison appelée système de distribution (notée DS pour Distribution System) afin de constituer un ensemble de services étendu (Extended Service Set ou ESS). Le système de distribution (DS) peut être aussi bien un réseau filaire, qu'un câble entre deux points d'accès ou bien même un réseau sans fil! Un ESS est repéré par un ESSID (Service Set Identifier), c'est-à-dire un identifiant de 32 caractères de long (au format ASCII) servant de nom pour le réseau. L'ESSID, souvent abrégé en SSID, représente le nom du réseau et représente en quelque sort un premier niveau de sécurité dans la mesure où la connaissance du SSID est nécessaire pour qu'une station se connecte au réseau étendu. Lorsqu'un utilisateur nomade passe d'un BSS à un autre lors de son déplacement au sein de l'ess, l'adaptateur réseau sans fil de sa machine est capable de changer de point d'accès selon la qualité de réception des signaux provenant des différents points d'accès. Les points d'accès communiquent entre eux grâce au système de distribution afin d'échanger des informations sur les stations et permettre le cas échéant de transmettre les données des stations mobiles. Cette caractéristique permettant aux stations de "passer de façon transparente" d'un point d'accès à un autre est appelé itinérance (en anglais roaming). b) La communication avec le point d'accès Lors de l'entrée d'une station dans une cellule, celle-ci diffuse sur chaque canal un requête de sondage (probe request) contenant l'essid pour lequel elle est configurée ainsi que les débits que son adaptateur sans fil supporte. Si aucun ESSID n'est configuré, la station écoute le réseau à la recherche d'un SSID. En effet chaque point d'accès diffuse régulièrement (à raison d'un envoi toutes les 0.1 secondes environ) une trame balise (nommée beacon en anglais) donnant des 46

48 informations sur son BSSID, ses caractéristiques et éventuellement son ESSID. L'ESSID est automatiquement diffusé par défaut, mais il est possible (et recommandé) de désactiver cette option. A chaque requête de sondage reçue, le point d'accès vérifie l'essid et la demande de débit présents dans la trame balise. Si l'essid correspond à celui du point d'accès, ce dernier envoie une réponse contenant des informations sur sa charge et des données de synchronisation. La station recevant la réponse peut ainsi constater la qualité du signal émis par le point d'accès afin de juger de la distance à laquelle il se situe. En effet d'une manière générale, plus un point d'accès est proche, meilleur est le débit. Une station se trouvant à la portée de plusieurs points d'accès (possédant bien évidemment le même SSID) pourra ainsi choisir le point d'accès offrant le meilleur compromis de débit et de charge. Remarque: Lorsqu'une station se trouve dans le rayon d'action de plusieurs points d'accès, c'est elle qui choisit auquel se connecter. c) Les hotspots: Un hotspots est une borne d'accès Wi-Fi installée dans les lieux publics et de passage, donnant accès à un réseau métropolitain privé ou public. Les métiers des services et de la restauration ne s'y sont pas trompés et l'intérêt pour les hotspots va grandissant pour attirer une clientèle de consommateurs technophiles. Il est même question de transformer les antiques taxiphones des bars en hotspots. Aux États-Unis et en Grande Bretagne, les hot spots se multiplient, notamment dans les aéroports, les gares, les hôtels, les centres de congrès, ainsi que dans les entreprises en France, où l'on recense quelque 80 hotspots publics, de nombreux projets voient le jour depuis quelques mois Une étude de l'institut IDC/Orange menée en décembre 2002 prévoit que d'ici 2005, 20 % des accès aux systèmes d'information des entreprises se feront via des connexions sans fil Cependant, beaucoup de questions restent encore en suspens comme la sécurité, la gestion du roaming (maintien de la connexion d'un point d'accès à un autre, voire d'un opérateur à un autre), la saturation des fréquences, les problèmes de réglementation. d) Créer un hotspot de quartier Depuis que le régulateur a autorisé l'usage de la bande de 2,4 GHz pour la création de réseau Ethernet sans fil, il est possible aux particuliers de mettre en place leur propre réseau. Il suffit de respecter les limitations de puissance imposées pour pouvoir diffuser jusqu'à 100 m. Pour créer un hotspot de quartier, la procédure n'est pas plus compliquée que celle en intérieur. Elle requiert toutefois un peu de 47

49 planification et quelques précautions. La planification sert à déterminer le meilleur emplacement pour l'antenne qui peut être allongée, pour être placée en extérieur sur un toit ou un balcon Il faut éviter les couloirs et les portes qui réduisent la portée et créent des interférences en opposition de phase (plusieurs répliques du même signal). Les obstacles sont à éviter ce qui paraît évident, ce qui l'est moins c'est la prise en compte des obstacles mobiles. Rien n'est plus hermétique aux ondes qu'un camion stationné dans la rue d'à côté. Naturellement les sources d'interférences doivent être identifiées et leur impact sur les transmissions évalué. Une fois ce travail accompli, l'installation du réseau peut commencer. Selon le choix de l'administrateur, le réseau peut être ouvert ou sécurisé. Dans le premier cas, l'usage d'une vieille machine ne contenant pas de données personnelles est le plus conseillé. Dans le cas où le réseau est sécurisé, les utilisateurs potentiels doivent, recevoir chacun un login, un mot de passe et éventuellement une clé. e) Que dit la loi? Cette possibilité d'atteindre d'autres utilisateurs dans le voisinage -qui de proche en proche créent un maillage de réseaux autonomes- a de tout temps inquiété les États. La France n'est pas le seul pays à se montrer méfiant. La bande de fréquence dévolue au (de 2400 à 2483,5 MHz) est restée longtemps l'otage des militaires. Jusqu'à aujourd'hui et dans certains départements (voir la liste : telecom.fr/communiques/communiques/2003/indexc htm) l'installation d'un réseau sans fil en extérieur est soumise à autorisation du ministère de la Défense. Il s'agit de ne pas brouiller ou induire en erreur certains radars de l'armée française et de l'otan qui utilisent les portions hautes (2454 à 2483,5 MHz) de la bande. Ainsi, l'art (Autorité de régulation des télécommunications) a "libéré" l'utilisation de bornes Wi-Fi aux particuliers en intérieur comme en extérieur, mais sous réserve de respecter les valeurs maximales de puissance. En clair; il est possible à tout un chacun d'utiliser librement un réseau à l'intérieur des murs de son habitation à condition que la puissance du rayonnement n'excède pas 100 mw En extérieur, la limite est réduite à 10 mw, soit un débit de données réduit à mesure que l'on s'éloigne du points d'accès. Audelà d'un rayon de 100 mètres, le débit réel chute considérablement. Le recours à une antenne extérieur de 100 Mw (limite maximale infranchissable) est soumis à l'autorisation du ministère de la Défense. Les décisions de l'art rendent possible le partage entre plusieurs utilisateurs d'un même accès haut débit (ADSL, câble) en installant une borne Wi-Fi. Il faut cependant vérifier que le contrat d'abonné avec le fournisseur d'accès ne s'y oppose pas. En suspens, une question juridique épineuse: qui du fournisseur d'accès Wi-Fi ou du FAI est juridiquement responsable devant la loi? 2. Le mode ad hoc En mode ad hoc, les machines sans fil clientes se connectent les unes aux autres afin de constituer un réseau point à point (peer to peer en anglais), c'est-àdire un réseau dans 48

50 lequel chaque machine joue en même temps de rôle de client et le rôle de point d'accès. L'ensemble formé par les différentes stations est appelé ensemble de services de base indépendants (en anglais independant basic service set, abrégé en IBSS). Un IBSS est ainsi un réseau sans fil constitué au minimum de deux stations et n'utilisant pas de point d'accès. L'IBSS constitue donc un réseau éphémère permettant à des personnes situées dans une même salle d'échanger des données. Il est identifié par un SSID, comme l'est un ESS en mode infrastructure. Dans un réseau ad hoc, la portée du BSS indépendant est déterminée par la portée de chaque station. Cela signifie que si deux des stations du réseaux sont hors de portée l'une de l'autre, elles ne pourront pas communiquer, même si elles "voient" d'autres stations. En effet, contrairement au mode infrastructure, le mode ad hoc ne propose pas de système de distribution capable de transmettre les trames d'une station à une autre. Ainsi un IBSS est par définition un réseau sans fil restreint. V. Mise en place d'un réseau 1. Déployer un réseau sans fil Depuis la décision de l'art d'autoriser, sous certaines conditions, l'utilisation de réseaux sans fil, les particuliers découvrent les joies de la mobilité domestique. Pour peu de disposer d'une connexion haut débit, le partage familial de celle-ci élimine le traditionnel embouteillage pour consulter l' . Avec Windows XP, la mise en place d'un réseau domestique est prise en charge par le système qui fournit les informations de configuration de la couche de transport (TCP/IP). Il est même proposé de créer une disquette de configuration des autres postes clients. Le réseau Ethernet b est fondé sur une architecture cellulaire où chaque alvéole est contrôlé par un AP (ou Access Point). Relié à un ordinateur connecté à Internet cet AP sert alors de routeur Internet tandis que le PC hôte devient une passerelle dirigeant le trafic collecté par l'ap vers le Web Cette architecture centralisée grâce à un serveur est appelée Infrastructure. On peut aussi construire un réseau sans fil en Ad-hoc ou peer-to-peer où les postes clients communiquent les uns directement avec les autres à égalité. Les machines connectées échangent périodiquement leurs tables de routage et établissent des protocoles de routage en temps réel: les chemins sont établis à la demande. Pour deux ordinateurs, il vous faut alors envisager une solution de type Ad-hoc. Elle consiste à doter chaque PC d'une interface réseau Wi-Fi comme les adaptateurs USB. Une fois configurés, les deux PC peuvent partager une connexion Internet, l'un servant de passerelle à l'autre. Mais pour déployer un réseau de 3 postes ou plus, une solution plus élaborée est à envisager: Il faut alors opter pour une borne d'accès (AP) et équiper postes clients de cartes d'accès. Les cartes adaptatrices PCI sont déconseillée: prix plus élevé et l'antenne d'une carte PCI est collée à l'arrière de la machine posée au sol ou au mieux sur le bureau. Ce qui n'est l'idéal pour une bonne réception. 49

51 Combattre les interférences Contrairement aux réseaux filaires, les réseaux sans fil requièrent des précautions supplémentaires pour assurer la meilleure propagation possible des ondes Le Wi-Fi est une technologie basée sur des spécifications qui englobent des protocoles divers spécialisés dans les communications et le transport des données par les airs. Des technologies de transfert comme DSSS (Direct Sequence Spread Spectrum) ou FHSS (frequency Hopping Spread Spectrum) sont là pour corriger certains problèmes d'interférence, mais elles ne vous dispensent pas de prendre quelques précautions Laccès au réseau sans fil se fait par le protocole CSMA (Carrier Sense Multiple Access) Quand une interface du réseau veut émettre, elle écoute le support de transmission et si celui-ci est libre, alors elle émet Les interférences diffusées sur les canaux écoutés provoquent une attente de la part de l'interface qui veut émettre, ce qui ralentit le réseau même si l'indicateur de débit est au maximum Il vous est donc fortement conseillé de réduire, voire d'éliminer, toutes les sources possibles d'interférences En premier lieu les appareils Bluetooth qui opèrent dans la bande de fréquence de 2,4 GHz ainsi que les fours à micro-ondes Assurez-vous que votre téléphone sans fil résidentiel ne squatte pas les fréquences utilisées Les obstacles sont également une source d'interférences et d'affaiblissement du signal Il ne s'agit pas seulement d'obstacles visibles tels que les murs -surtout ceux en béton -et les arbres qui affaiblissent le signal, mais aussi d'obstacles non visibles tout aussi perturbateurs, le champ magnétique d'une télévision par exemple. 3. SECURITE: «LES PRECAUTIONS» Les ondes radio-électriques ont intrinsèquement une grande capacité à se propager dans toutes les directions avec une portée relativement grande. Il est ainsi très difficile d'arriver à confiner les émissions d'ondes radio dans un périmètre restreint. La propagation des ondes radio doit également être pensée en trois dimensions. Ainsi les ondes se propagent également d'un étage à un autre (avec de plus grandes atténuations). La principale conséquence de cette "propagation sauvage" des ondes radio est la facilité que peut avoir une personne non autorisée d'écouter le réseau, éventuellement en dehors de l'enceinte du bâtiment où le réseau sans fil est déployé. Là où le bât blesse c'est qu'un réseau sans fil peut très bien être installé dans une entreprise sans que le service informatique ne soit au courant! Il suffit en effet à un employé de brancher un point d'accès sur une prise réseau pour que toutes les communications du réseau soient rendues "publiques" dans le rayon de couverture du point d'accès! VI. Le chiffrement 50

52 WEP Tandis que les sirènes du Wi-Fi chantent à qui veut les entendre, les hackers et autres casseurs de code n'ont pas tardé à démontrer la vulnérabilité du chiffrement WEP (Wired Equivalent Privacy) utilisé dans le Wi-Fi. Le principe du fonctionnement du WEP est basé sur des clés de cryptage partagées interdisant l'accès à toutes les personnes ne connaissant pas ce mot de passe. Chaque périphérique b (cartes, points d'accès, etc.) utilise une clé. Soit un mot de passe, soit une clé dérivée de ce mot de passe. La faille provient du mode de fonctionnement de l'algorithme de chiffrement (RC4) qui permet à tout décodeur de déduire certaines informations menant à la reconstitution de la clé. Les parades sont nombreuses mais ne garantissent pas une efficacité à 100 %. Il est toutefois possible de dissuader les intrus en multipliant les obstacles devant eux. Des protocoles de sécurité tels que IPSec, SSL ou SSH ne sont pas à la portée du premier utilisateur venu. Dans tous les cas, le WEP est utile et l'activer c'est déjà éliminer certains risques. Il existe une autre solution qui consiste à considérer le réseau sans fil comme une zone publique. Le cas d'un partage de connexion Internet entre voisins est le plus typique de cette configuration à condition qu'un routeur sans fil serve de passerelle et non pas un PC qui risque de contenir des informations confidentielles. 2. WAP Pour pallier les insuffisances du WEP, un remplaçant est à l'étude. Appelé WPA (Wi-Fi Protected Access), son fonctionnement repose sur un système d'échange de clés dynamiques, renouvelées tous les 10 ko de données Ce procédé, appelé TKIP (Temporal Key Integrity Protocol), protége mieux les clés du décryptage et devrait améliorer sensiblement la sécurité des réseaux sans fil même si l'algorithme utilisé reste inchangé. D'après la plupart des constructeurs, il est possible de mettre à jour le firmware de votre matériel b pour intégrer le WPA. 3. Verrouillez votre réseau! Ne vous reposez pas sur le seul protocole WEP pour sécuriser votre réseau. Un bon administrateur doit connaître les possibilités de son matériel sur le bout des doigts pour le configurer au mieux. Pour s'identifier auprès d'un AP, les clients d'un réseau sans fil b utilisent un identifiant de réseau ou SSID (Service Set Identifier). Sans algorithme de chiffrement, l'identifiant de réseau n'est pas crypté lors de la transmission des trames Un utilisateur mal intentionné, qui écoute le réseau, peut obtenir le SSID lui permettant ainsi d'accéder au réseau. De plus, le décodage du SSID est souvent facilité par le fait qu'il porte un nom explicite, nom du service ou de l'organisme utilisateur du réseau par exemple. Afin de supprimer la vulnérabilité du SSID, le protocole de chiffrement WEP à été mis en place, mais il n'est pas suffisant. Des précautions supplémentaires peuvent être prises pour compliquer la tâche des «grandes oreilles» malveillantes. La première 51

53 est de supprimer la configuration par défaut des AP en modifiant la clef WEP si elle est activée et l'identifiant réseau (SSID) installés par défaut. Il est également impératif de protéger ou de désactiver les services d'administration fournis avec l'interface. En dernier lieu, il peut s'avérer nécessaire de réduire la puissance d'émission de l'ap au minimum nécessaire afin de diminuer le rayonnement des ondes. Cette action n'empêche pas un utilisateur mal intentionné muni d'un matériel d'écoute performant de capter vos émissions, mais c'est plus difficile. Pour augmenter la sécurité de votre réseau, il est également possible sur certains équipements de filtrer les adresses MAC ayant le droit de communiquer avec le pont. Cette liste doit être reproduite sur chaque pont du réseau sans fil si vous désirez garder toute la mobilité du réseau. Malgré cela, il est toujours possible à un utilisateur mal intentionné de récupérer le trafic échangé entre deux machines (même si le protocole WEP est actif), voire de simuler une adresse MAC décodée, si celui-ci se trouve dans le périmètre du réseau Alors soyez paranoïaques! VII. Le piratage 1. Une nouvelle génération de hackers Comme toute nouvelle technologie, Ethernet sans fil a tout de suite intéressé les hackers qui se sont lancés dans de nouvelles activités de piratage dont le wardriving (ou war-xing pour "war crossing"). Venue des Etats-Unis, cette pratique consiste à détecter les réseaux sans fil publics ou privés et à tenter de les pénétrer. Les pirates" patrouillent" en voiture dans des quartiers délimités à l'avance. À l'aide d'un ordinateur portable et d'une carte réseau PCMCIA, b de préférence, les pirates scannent les fréquences à la recherche de réseaux. C'est la technique de base qui peut être améliorée en trafiquant une antenne directionnelle couplée à de puissants logiciels de détection. Des logiciels spécialisés dans ce type d'activité permettent même d'établir une cartographie très précise en exploitant un matériel de géolocalisation (GPS, Global Positionning System). Les cartes établies permettent ainsi de mettre en évidence les réseaux sans fil déployés non sécurisés, offrant même parfois un accès à Internet! De nombreux sites capitalisant ces informations ont vu le jour sur Internet, si bien que des étudiants londoniens ont eu l'idée d'inventer un "langage des signes" dont le but est de rendre visible les réseaux sans fil en dessinant à même le trottoir des symboles à la craie indiquant la présence d'un réseau wireless, il s'agit du «war-chalking» (francisé en craiefiti ou craiefiti). 52

54 Deux demi-cercles opposés désignent ainsi un réseau ouvert offrant un accès à Internet, un rond signale la présence d'un réseau sans fil ouvert sans accès à un réseau filaire et enfin un W encerclé met en évidence la présence d'un réseau sans fil correctement sécurisé. Cette nouvelle forme de piratage, née avec l'avènement des réseaux sans fil pose de sérieux problèmes de sécurité et de confidentialité pour les entreprises équipées en réseaux sans fil b. À tel point que la CNIL a tiré la sonnette d'alarme en mettant en garde les utilisateurs contre les risques de piratage des réseaux radio. Certains pratiquent le wardriving comme un jeu, mais il peut être redoutable dans le domaine de l'espionnage industriel. Grâce à la propagation des ondes, un réseau sans fil est un ensemble ouvert. Il appartient à son administrateur de décider s'il le rend disponible aux autres et quels sont les usages qu'il autorise accès partagé à Internet ou jeux. 2. Les risques en matière de sécurité Les risques liés à la mauvaise protection d'un réseau sans fil sont multiples : L'interception de données consistant à écouter les transmissions des différents utilisateurs du réseau sans fil, Le détournement de connexion dont le but est d'obtenir l'accès à un réseau local ou à Internet, Le brouillage des transmissions consistant à émettre des signaux radio de telle manière à produire des interférences, Les dénis de service rendant le réseau inutilisable en envoyant des commandes factices. a) L'interception de données Par défaut un réseau sans fil est non sécurisé, c'est-à-dire qu'il est ouvert à tous et que toute personne se trouvant dans le rayon de portée d'un point d'accès peut potentiellement écouter toutes les communications circulant sur le réseau. Pour un particulier la menace est faible car les données sont rarement confidentielles, si ce n'est les données à caractère personnel. Pour une entreprise en revanche l'enjeu stratégique peut être très important. b) L'intrusion réseau Lorsqu'un point d'accès est installé sur le réseau local, il permet aux stations d'accéder au réseau filaire et éventuellement à internet si le réseau local y est relié. Un réseau sans fil non sécurisé représente de cette façon un point d'entrée royal pour le pirate au réseau interne d'une entreprise ou une organisation. 53

55 Outre le vol ou la destruction d'informations présentes sur le réseau et l'accès à internet gratuit pour le pirate, le réseau sans fil peut également représenter une aubaine pour ce dernier dans le but de mener des attaques sur Internet. En effet étant donné qu'il n'y a aucun moyen d'identifier le pirate sur le réseau, l'entreprise ayant installé le réseau sans fil risque d'être tenue responsable de l'attaque. c) Le brouillage radio Les ondes radio sont très sensibles aux interférences, c'est la raison pour laquelle un signal peut facilement être brouillé par une émission radio ayant une fréquence proche de celle utilisé dans le réseau sans fil. Un simple four à micro-ondes peut ainsi rendre totalement inopérable un réseau sans fil lorsqu'il fonctionne dans le rayon d'action d'un point d'accès. d) Les dénis de service La méthode d'accès au réseau de la norme est basée sur le protocole CSMA/CA, consistant à attendre que le réseau soit libre avant d'émettre. Une fois la connexion établie, une station doit s'associer à un point d'accès afin de pouvoir lui envoyer des paquets. Ainsi, les méthodes d'accès au réseau et d'association étant connues, il est simple pour un pirate d'envoyer des paquets demandant la dés association de la station. Il s'agit d'un déni de service, c'est-à-dire d'envoyer des informations de telle manière à perturber volontairement le fonctionnement du réseau sans fil. D'autre part, la connexion à des réseaux sans fil est consommatrice d'énergie. Même si les périphériques sans fil sont dotés de fonctionnalités leur permettant d'économiser le maximum d'énergie, un pirate peut éventuellement envoyer un grand nombre de données (chiffrées) à une machine de telle manière à la surcharger. En effet, un grand nombre de périphériques portables (assistant digital personnel, ordinateur portable,...) possèdent une autonomie limitée, c'est pourquoi un pirate peut vouloir provoquer une surconsommation d'énergie de telle manière à rendre l'appareil temporairement inutilisable, c'est ce que l'on appelle un déni de service sur batterie. VIII. Les solutions 1. Une infrastructure adaptée La première chose à faire lors de la mise en place d'un réseau sans fil consiste à positionner intelligemment les points d'accès selon la zone que l'on souhaite couvrir. Eviter les murs extérieurs mais choisir plutôt un emplacement central. En se promenant autour de l'immeuble, on peut établir le périmètre à l'intérieur duquel la borne est accessible. Il n'est toutefois pas rare que la zone effectivement couverte soit largement plus grande que souhaitée, auquel cas il est possible de réduire la puissance de la borne d'accès afin d'adapter sa portée à la zone à couvrir. 54

56 Eviter les valeurs par défaut Lors de la première installation d'un point d'accès, celui-ci est configuré avec des valeurs par défaut, y compris en ce qui concerne le mot de passe de l'administrateur. Un grand nombre d'administrateurs en herbe considèrent qu'à partir du moment où le réseau fonctionne il est inutile de modifier la configuration du point d'accès. Toutefois les paramètres par défaut sont tels que la sécurité est minimale. Il est donc impératif de se connecter à l'interface d'administration (généralement via une interface web sur un port spécifique de la borne d'accès) notamment pour définir un mot de passe d'administration. D'autre part, afin de se connecter à un point d'accès il est indispensable de connaître l'identifiant du réseau (SSID). Ainsi il est vivement conseillé de modifier le nom du réseau par défaut et de désactiver la diffusion (SSID broadcast: diffusion du nom SSID) de ce dernier sur le réseau. Le changement de l'identifiant réseau par défaut est d'autant plus important qu'il peut donner aux pirates des éléments d'information sur la marque ou le modèle du point d'accès utilisé. L'idéal est même de modifiez régulièrement le nom SSID! Il faudrait même éviter de choisir des mots reprenant l'identité de l'entreprise ou sa localisation, qui sont susceptibles d'être plus facilement devinés. 3. Activer le cryptage WEP ou WAP C'est assez étonnant, mais de nombreuses bornes et interfaces WiFi sont installées sans mise en place du cryptage WEP qui permet de limiter les risques d'interception de données. Il est fortement recommandé de préférer une clé WEP sur 128 bits à celle, utilisée souvent par défaut, de 64 bits. Certes l'activation du WEP est un plus mais il faut savoir qu'elle ralentit le débit d'information: temps de cryptage - décryptage. Sans oublier de modifier les clés de cryptage WEP régulièrement. 4. Le filtrage des adresses MAC Chaque adaptateur réseau possède une adresse physique qui lui est propre (appelée adresse MAC). Cette adresse est représentée par 12 chiffres hexadécimaux groupés par paires et séparés par des tirets. Les points d'accès permettent généralement dans leur interface de configuration de gérer une liste de droits d'accès (appelée ACL) basée sur les adresses MAC des équipements autorisés à se connecter au réseau sans fil. En activant ce MAC Address Filtering (Filtrage des adresses MAC), même si cette précaution est un peu contraignante, cela permet de limiter l'accès au réseau à un certain nombre de machines. En contrepartie cela ne résout pas le problème de la confidentialité des échanges. 5. Améliorer l'authentification 55

57 Afin de gérer plus efficacement les authentifications, les autorisations et la gestion des comptes utilisateurs (en anglais AAS pour Authentication, Authorization, rand Accounting) il est possible de recourir à un serveur RADIUS (Remote Authentication Dial-In User Service). Le protocole RADIUS (défini par les RFC 2865 et 2866), est un système client/serveur permettant de gérer de façon centralisée les comptes des utilisateurs et les droits d'accès associés. 6. Mise en place d'un VPN Pour connecter les utilisateurs nomades se branchant au réseau par le biais d'une borne publique, et pour toutes les communications nécessitant un haut niveau de sécurisation, il faut mettre en place un réseau privé virtuel (VPN) qui offrira un bon niveau de sécurité et empêchera la plupart des intrusions indésirables. 7. Définir des adresses IP fixes Les risques d'intrusion externes sont bien moindres en attribuant des adresses IP fixes aux stations de la flotte bénéficiant d'une connexion sans fil. Il est ainsi possible de gérer une table d'adresses des connexions autorisées. Il faut, dans ce cas, désactiver la fonction DHCP au niveau du serveur auquel est connectée la borne WiFi. 8. Installer un pare-feu On peut aussi installez un firewall comme si le point d'accès était une connexion internet. Ce firewall peut être le serveur IPsec (VPN) des clients sans fils. Un réseau WiFi "sécurisé" peut se schématiser comme cela. On considère ici que tout le réseau WiFi est étranger au réseau local, au même titre qu'internet. L'utilisation d'un pare-feu (firewall) comme pour la connexion Internet, permet de filtrer les adresses MAC associé à des adresses IP fixes. Dans le cas du VPN, le firewall ou un serveur derrière ce dernier fait office de terminal VPN. Certains points d'accès proposent des "petits" firewall permettant de faire un filtrage de plus sur les clients de votre réseau. Chacun est libre de modifier ces règles en ajoutant des couches supplémentaires. Sachez que le futur protocole IP ipv6 contient dans ses paquets la sécurisation ipsec. 56

58 L'ipv6 peut être utilisé en WiFi si les clients gèrent l'ipv6, actuellement tous les Linux, Unix ont une pile ipv6 fonctionnelle, sur Windows 2000 et XP l'ipv6 est activable et utilisable mais sera proposé par défaut dans les prochaines versions. IX. La technologie infrarouge Le standard IEEE prévoit également une alternative à l'utilisation des ondes radio : la lumière infrarouge. La technologie infrarouge a pour caractéristique principale d'utiliser une onde lumineuse pour la transmission de données. Ainsi les transmissions se font de façon unidirectionnelle, soit en "vue directe" soit par réflexion. Le caractère non dissipatif des ondes lumineuses offre un niveau de sécurité plus élevé. Il est possible grâce à la technologie infrarouge d'obtenir des débits allant de 1 à 2 Mbit/s en utilisant une modulation appelé PPM (pulse position modulation). La modulation PPM consiste à transmettre des impulsions à amplitude constante, et à coder l'information suivant la position de l'impulsion. Le débit de 1 Mbps est obtenu avec une modulation de 16-PPM, tandis que le débit de 2 Mbps est obtenu avec une modulation 4-PPM permettant de coder deux bits de données avec 4 positions possibles : X. Les techniques de modulation Tandis que la radio classique utilise une modulation de fréquence (radio FM pour Frequency Modulation) ou bien une modulation d'amplitude (radio AM pour Amplitude Modulation), le standard b utilise une technique de modulation de phase appelée PSK pour Phase Shift Keying. Ainsi chaque bit produit une rotation de phase. Une rotation de 180 permet de transmettre des débits peu élevés (technique appelée BPSK pour Binary Phase Switch Keying) tandis qu'une série de quatre rotations de 90 (technique appelé QPSK pour Quadrature Phase Switch Keying) permet des débits deux fois plus élevés. a) Optimisations La norme b propose d autres types d'encodage permettant d'optimiser le débit de la transmission. Les deux séquences Barker ne permettent de définir que deux états (0 ou 1) à l'aide de deux mots de 11 bits (compléments l'un de l'autre). Une méthode alternative appelée CCK (complementary code keying) permet d'encoder directement plusieurs bits de données en une seule puce (chip) en utilisant 8 57

59 séquences de 64 bits. Ainsi en codant simultanément 4 bits, la méthode CCK permet d'obtenir un débit de 5.5 Mbps et elle permet d'obtenir un débit de 11 Mbps en codant 8 bits de données. La technologie PBCC (Packet Binary Convolutionnary Code) permet de rendre le signal plus robuste vis-à-vis des distorsions dues au cheminement multiple des ondes hertziennes. Ainsi la société Texas Instrument a réussi a mettre au point une séquence tirant avantage de cette meilleure résistance aux interférences et offrant un débit de 22Mbit/s. Cette technologie baptisée b+ est toutefois non conforme à la norme IEEE b ce qui rend les périphériques la supportant non compatibles avec les équipements b. La norme a opère dans la bande de fréquence des 5 GHz, qui offre 8 canaux distincts, c'est la raison pour laquelle une technique de transmission alternative tirant partie des différents canaux est proposée. L'OFDM (Orthogonal Frequency Division Multiplexing) permet d'obtenir des débits théoriques de 54 Mbps en envoyant les données en parallèle sur les différentes fréquences. De plus la technique OFDM fait une utilisation plus rationnelle du spectre. Technologie Codage Type de modulation Débit b 11 bits (Barker séquence) PSK 1Mbps b 11 bits (Barker séquence) QPSK 2Mbps b CCK (4 bits) QPSK 5.5Mbps b CCK (8 bits) QPSK 2Mbps a CCK (8 bits) OFDM 54Mbps g CCK (8 bits) OFDM 54Mbps 58

60 Conclusion La sécurisation d'un réseau qu'il soit filaire ou sans fils est possible par de nombreux moyens matériels et/ou logiciels. Son choix dépend de l'utilisation que vous voulez faire de votre réseau et des moyens dont vous disposez.. Il n'existe pas un seul type de réseau, car historiquement il existe des types d'ordinateurs différents, communiquant selon des langages divers et variés. Par ailleurs ceci est également dû à l'hétérogénéité des supports physiques de transmission les reliant, que ce soit au niveau du transfert de données (circulation de données sous forme d'impulsions électriques, de lumière ou d'ondes électromagnétiques) ou bien au niveau du type de support (câble coaxial, paires torsadées, fibre optique, etc.). Les différents points s'attachent à décrire une étude de reseau informatique : réseaux locaux et reseau sans file «Wifi». Les caractéristiques des supports physiques de transmission, ainsi que la manière dont les données sont transfert sur le réseau. Bibliographie Réseaux locaux : exploités dans le cours de Cisco ccna Réseaux Tcp/Ip : exploité dans le module de cours de reseau. Présentation de la carte reseau et installation : Réseau sans fil Wifi : l archive de Supinfo. 59

61 Commentaires Abraçar a informatica Como abraçamos os amigos Regardons l informatique dans les yeux 60