INTERNET / INTRANET. page: 1

Transcription

1 INTERNET / INTRANET 1. Historique et présentation 2. Modèle, protocoles et services de base 3. Sécurité 4. World Wide Web 5. Les autres services applicatifs page: 1

2 Table des matières 1. Historique et présentation Historique Arpanet, Milnet, NSFnet Internet, l interconnectivité à l échelle mondiale Internet révolutionné par le Web Croissance de l Internet Organismes gérant l Internet Dans le monde En France Architecture de l Internet F.A.I. : Fournisseurs d'accès Internet Réseaux continentaux (carriers) G.I.X., points de peering 9 2. Modèle, protocoles et services de base Le modèle Internet Les protocoles de liaison SLIP (Serial Line Internet Protocol) PPP (Point to Point Protocol) Architecture matérielle Architecture des protocoles PPTP (Point to Point Tunneling Protocol) et VPN (Virtual Private network) ARP (Adress Resolution Protocol) Le protocole IP v Le protocole IP L adressage IP Routage IP Notion de sous-réseau Procédure d émission d un paquet IP Fonctionnement d un routeur Affectation des adresses IP Format des trames IP ICMP (Internet Control Message Protocol) MPLS (Multi Protocol Label Switching) RSVP (Resource reservation Protocol) Problèmes liés à l utilisation d IP Le protocole IP v Une nécessaire évolution L adresse IPv Autres améliorations apportées Format des trames IPv Transition d'ipv4 à IPv Les protocoles des couches 4 et TCP (Transport Control Protocol) 24 page: 2

3 Fonctions Structure des Trames Notion de fenêtre UDP (User Datagram Protocol) Fonction Format de l entete UDP : RTP (Real Time Protocol) RTSP (Real Time Streaming Protocol) Services DNS (Domain Naming Services) Nom FQDN (Fully Qualified Domain Name) Service DNS Serveurs de noms Résolution des noms Format des enregistrements Services Microsoft WINS Sécurité Introduction Techniques d attaques répandues Accès à des données à disposition sur un serveur Interception d'informations (sniff) Déni de service (DOS, Deny of Service) Mascarade d'une adresse (spoofing) Modification du routage Modification de la résolution DNS Firewall, Proxy et Translation d adresses Firewall Proxy Translation d adresses (NAT, Network Address Translation) La cryptographie Définition et objectifs Systèmes de chiffrement La cryptographie actuelle : DES et RSA SSL (Secured Socket Layer) et HTTPS PGP (Pretty Good Privacy) World Wide Web Principes Fonctionnement URL (Unified Resource Locator) HTTP (Hyper Text Transfer Protocol) Mise en garde Moteurs de recherche Les navigateurs (browsers) Format et éléments des pages HTML Langage HTML Images Images animées Sons 43 page: 3

4 Vidéo Outils d interactivité client-serveur CGI (Common Gateway Interface) Javascript Cookies Pages dynamiques : ASP et PHP Java Active X Technologie push Accès aux bases de données Utilisation de CGI Utilisation d A.P.I. spécifiques Utilisation de Java (accès distribué) Utilisation d un moteur de requètes dédié Les autres services applicatifs Transfert de fichiers : FTP Messagerie : SMTP, MIME, POP et IMAP SMTP (Simple Mail Transfer Protocol) MIME (Multipurpose Internet Mail Extension) POP (Post Office Protocol) IMAP (Internet Message Access Protocol) Newsgroups : NNTP Terminal virtuel : Telnet Discussion texte, «chat» Talk IRC (Internet Relayed Chat) Présentation Les réseaux et serveurs IRC Les canaux et les utilisateurs Le DCC (Direct Client to Client) Messengers : MSN, Yahoo!, ICQ, AIM etc Visioconférence : NetMeeting, etc Bases documentaires : Gopher Accès aux répertoires : LDAP Administration : SNMP 58 page: 4

5 1. Historique et présentation 1.1. Historique Arpanet, Milnet, NSFnet Contrairement à bon nombre de technologies informatiques, Internet n est pas apparu comme une météorite dans la fin du siècle. En 1957, le ministère de la Défense américain (DoD, Department of Defense) crée l'agence pour les projets de recherche avancée (ARPA, Advanced Research Project Agency). Cette dernière est mise en place dans le but de renforcer les développements scientifiques susceptibles d'être utilisés à des fins militaires. Nous sommes alors en pleine guerre froide et l'urss vient de remporter un succès scientifico-militaire en lançant le premier satellite Spoutnik (1957). En 1962, Paul Baran, de Rand Corporation, réalise à la demande de l'us Air Force une étude sur les systèmes de communication militaires. Un système informatique militaire de type centralisé apparaît comme trop vulnérable, surtout en cas de guerre nucléaire. II énonce donc les principes et les avantages d'un réseau très décentralisé à structure maillée. La décentralisation géographique des sites informatiques reliés entre eux permet de répartir les risques, et la redondance des connexions et des ordinateurs doit, selon lui, garantir le fonctionnement du réseau, même en cas de destruction partielle. Le modèle proposé est celui d'un réseau dans lequel il n'existe pas de point central, afin d'éviter une paralysie du réseau si ce point névralgique est détruit. En cas de destruction de machines ou de connexions, les machines restantes doivent être capables de se reconnecter entre elles en utilisant les lignes en état de marche. C est sur cette base de concept qu est lancé le réseau militaire Arpanet. La première mise en œ uvre du réseau Arpanet est réalisée à l UCLA (University of California at Los Angeles), entre quatre mini-ordinateurs puissants pour l'époque : ces machines Honeywell disposaient d'une mémoire de 24 Ko ; elles étaient désignées IMP (Information Message Processor) et étaient capables de communiquer en mode paquet. Des nœ uds supplémentaires ont été ajoutés progressivement au réseau, notamment à l'institut de Recherche de Stanford, à l'université de Californie à Santa Barbara et à l'université d'utah. Cette dernière fut le premier site à autoriser des connexions sur son système depuis les autres sites. Pendant plusieurs années, le réseau fut exclusivement réservé aux militaires et à leurs centres de recherche. Puis, Arpanet s est progressivement ouvert aux centres de recherche civils, aux ministères, ainsi qu au monde universitaire. En 1983, la croissance constante de l utilisation d Arpanet par le secteur civil provoque la scission du réseau en deux réseaux distincts : Arpanet et Milnet, ce dernier étant rattaché au Defense Data Network, c'est-à-dire au réseau militaire américain. Arpanet alors joue le rôle d'épine dorsale du réseau Internet aux Etats-Unis page: 5

6 En 1990, le réseau Arpanet est intégré au NSFnet, le réseau de la NSF (National Science Foundation), qui deviendra à son tour l épine dorsale d'lnternet En 1995, le NSFnet est remplacé par un ensemble de plusieurs grands réseaux interconnectés (notamment MCInet, Sprintnet, ANSnet ) Internet, l interconnectivité à l échelle mondiale Sur un plan international, plusieurs pays d Amérique du Nord et d Europe souhaitant disposer de protocoles de communication communs aux différents réseaux nationaux, ils créent l INWG (InterNetwork Working Group). Parallèlement à l utilisation du protocole NCP (Network Control Protocol), plusieurs protocoles propres à Internet sont successivement développés. Il y a notamment FTP (File Transfer Protocol) ou TCP (Transmission Control Protocol). TCP/IP finit par remplacer définitivement NCP et devient la suite de protocoles standard de communication utilisée pour faire communiquer entre eux les ordinateurs reliés au réseau internet Internet révolutionné par le Web Même si les principaux services offerts sur Internet apparaissent dès 1986 (messagerie, serveurs FTP, etc.), le début des années 90 marque un tournant décisif dans l évolution de l Internet. Le CERN (Centre Européen de Recherche Nucléaire), met au point la notion de «réseau hypertexte», concept déterminant duquel découle la technologie Web (World Wide Web, «Toile d araignée mondiale»). Un nouveau protocole de transfert de données spécifique à cette technologie est par ailleurs développé et adopté : HTTP (Hypertext Transfer Protocol). La technologie Web est révolutionnaire du fait qu elle utilise un langage de marquage, le HTML (HyperText Mark-up Language) qui permet la mise en forme de documents complexes et l intégration aux documents de requètes HTTP activables par l utilisateur de manière très simple. Cette technologie ouvre la porte à l internet «grand-public» Croissance de l Internet Internet est devenu le plus grand réseau informatique du monde. Pourtant le nombre et la typologie de ses utilisateurs restent mystérieux. La question de l'évaluation du nombre réel d'utilisateurs d'internet est en effet sans réponse précise. L'évaluation du nombre de machines est quasiment impossible à réaliser car de très nombreux sites sont protégés par des proxys/firewalls. Ces derniers masquent de nombreuses machines et donc leurs utilisateurs. De plus, la détermination du nombre d'utilisateurs qui se connectent temporairement est elle-même très diificile à faire. Les réserves d'accroissement du nombre de machines connectées sont multiples. Beaucoup pensent que limiter Internet aux seuls ordinateurs est une erreur. De plus en plus nombreux sont les équipements de bureau (téléphone, fax, photocopieur ), ménagers (télévision, four, réfrigérateur, chauffage, climatisation ) et urbains (feu de signalisation, caméra de surveillance, distributeur automatique ) qui sont capables de communiquer en réseau IP. page: 6

7 1.2. Organismes gérant l Internet Un grand nombre d'organismes gèrent Internet dans le monde et en France. Des publications réservées à Internet sont également disponibles en format papier ou en format électronique Dans le monde ISoc (Internet Society) L'ISoc est une association professionnelle sur adhésion créée en 1992 qui compte plus de 150 organisations et membres individuels dans plus de 180 pays. Elle promeut la croissance et l'évolution d'internet. Elle gère l infrastructure et la normalisation des protocoles notamment par l'intermédiaire de l IETF et de l'iab. C'est l'organisme Internet par excellence. IETF (Internet Engineering Task Force) L IETF est une communauté internationale de développeurs, concepteurs, administrateurs, chercheurs autour de l'activité Internet, ses évolutions et son bon fonctionnement. Les travaux techniques sont organisés en groupes de travail par thèmes (routage, transport, sécurité etc.). L IETF produit par l'intermédiaire de ses membres les RFC (Request For Comments), qui standardisent les technologies et protocoles d internet. IAB (Internet Architecture Board) L IAB est un comité de l IETF qui s occupe principalement de valider l architecture des protocoles et procédures utilisés par internet, de contrôler le bon fonctionnement des processus de normalisation et d éditer les RFC. IANA (Internet Assigned Numbers Authority) Cet organisme prend en charge la coordination centrale des fonctions globales de routage et de nommage. L IANA remplace l ancien NIC (Network Information Center). ICANN (Internet Corporation for Assigned Names and Numbers) Cet branche de l IANA est responsable de l affectation des classes d adresse IP et de la gestion des domaines de premier niveau. EFF (Electronic Frontier Foundation) l EFF traite des thèmes de frontières électroniques, tels que liberté d'expression, accès équitable, éducation. Elle offre des services juridiques en cas de litige lorsque les libertés publiques des utilisateurs ont été violées. RIPE (Réseaux IP Européens) Cet organisme européen assure la coordination de la gestion des réseaux IP en Europe. page: 7

8 En France AFNIC (Association Française pour le Nommage Internet en Coopération) Cet organisme se charge de la gestion des noms de domaines en.fr AFA (Association des Founisseurs d Accès et de Services internet) Comme son nom l indique, cette association regroupe la majeure partie des plus importants FAI (Fournisseurs d Accès à Internet) français. Son objectif est notamment de favoriser, promouvoir, développer les réflexions et les échanges entre les professionnels de l'internet ayant une présence effective sur le marché français. AFNet (L'Association Française des Utilisateurs du Net) Cette association se donne pour objectif la réflexion et l'action sur les impacts économiques business, sociétaux et technologiques d'internet, sur les usages et sur les technologies. L'AFNeT, indépendante et professionnelle, est un point de rencontre entre utilisateurs et fournisseurs. IRIS (Imaginons un Réseau Internet Solidaire) L'objet d'iris est de favoriser la défense et l'élargissement des droits de chacun à la libre utilisation des réseaux électroniques, notamment en termes de production, de mise à disposition et de circulation des contenus, ainsi que toutes actions nécessaires à la réalisation de son objet Architecture de l Internet F.A.I. : Fournisseurs d'accès Internet Les utilisateurs du réseau Internet (particuliers et entreprises) accèdent au réseau par l'intermédiaire d'un F.A.I. (Fournisseur d'accès Internet, en anglais I.S.P., Internet Service Provider) C est une société qui commercialise l accès au réseau internet via son propre réseau, et qui dispose d un «point d accès» à son réseau proche géographiquement de l utilisateur. La connexion physique vers le point d accès du F.A.I. s effectue à l aide de technologies diverses qui diffèrent par leur tarification et le débit maximal utilisable, dont notamment :?? Modem V9x via le R.T.C. (Réseau Téléphonique Commuté)?? Adaptateur RNIS via le réseau Numéris?? Adaptateur X25 via le réseau Transpac?? Modem xdsl + Filtre, via le câblage de l opérateur local de téléphonie?? Modem Câble + Filtre, via le câblage de l opérateur local de télévision par câble?? L.S. (Liaison Spécialisée) page: 8

9 Réseaux continentaux (carriers) Les réseaux des fournisseurs d accès Internet régionaux ou nationaux sont interconnectés. Cette interconnexion peut être directe ou réalisée par l'intermédiaire d'un réseau de transport continental (on parle de réseaux de carriers). Certains fournisseurs d accès disposant de moyens suffisamment importants peuvent mettre en oeuvre leur propre réseau continental G.I.X., points de peering Les différents réseaux sont interconnectés entre eux :?? soit par l'intermédiaire des GIX (Global Internet exchange: plate-forme d échange de trafic Internet entre fournisseurs d accès au niveau international). II existe par exemple un GIX à Washington.?? soit directement : ils concluent alors des «accords bilatéraux» portant sur l'échange de trafic. Ils effectuent alors le routage des données afin de n'envoyer vers un réseau partenaire que les données qui le concernent lui ou l'un des sous-réseaux qui lui est rattaché par un accord de service. On parle de point de peering. F.A.I. point d'accès réseau continental réseau continental utilisateur F.A.I. G.I.X. interconnexion bilatérale F.A.I. réseau continental page: 9

10 2. Modèle, protocoles et services de base 2.1. Le modèle Internet Le «modèle internet» est un ensemble de protocoles (protocol suit) en couches, permettant à deux ordinateurs hétérogènes quelconques de dialoguer entre eux. page: 10

11 2.2. Les protocoles de liaison SLIP (Serial Line Internet Protocol) SLIP permet d'utiliser TCP/IP sur un port série, que ce soit sur une ligne de téléphone avec un modem, ou toute liaison asynchrone sur ligne louée. Pour utiliser SLIP il faut avoir accès à un serveur SLIP distant. Le protocole SLIP est dorénavant remplacé par PPP, celui-ci offrant beaucoup plus de possibilités PPP (Point to Point Protocol) Le protocole PPP fournit une méthode normalisée de transport de datagrammes entre deux points d'un réseau. Il est décomposé en trois parties, accomplissant chacune un rôle précis :?? Une encapsulation des datagrammes multi-protocoles.?? Un protocole de contrôle de liaison (LCP) pour l'établissement et la vérification de la connexion.?? Un groupe de protocoles de contrôle de réseau (NCP) pour l'établissement et la configuration des options des protocoles des différentes couches réseaux. Le but du PPP est de fournir un moyen simple de transporter des paquets entre deux hôtes, au travers de réseaux hétérogènes (LANs - WANs...). PPP est notamment utilisé pour véhiculer des datagrammes IP sur une liaison point à point, par exemple une liaison téléphonique, et pour établir et gérer la communication entre un client d accès réseau à distance et un serveur d accès distant (en anglais R.A.S., Remote Access Server) Architecture matérielle Le dispositif de communication utilisé sous PPP doit fournir une liaison en mode full-duplex, en commutation de circuit (réseaux téléphoniques) ou ligne spécialisée. Le mode de transfert asynchrone (transmission réglementée par des start/stop) ou synchrone n'a pas d'importance, et tout se passe de façon transparente pour la couche liaison du PPP. Il n'y a pas de restriction quant au débit des données, ce qui laisse libre de choisir la catégorie des équipements employés, et ne -pose pas de problème en cas de congestion. Par rapport aux modems, le protocole PPP ne requiert pas de contrôle du signal, comme la surveillance des valeurs "Request To Send", "Clear To Send", "Data Carrier Detect" ou "Data Terminal Ready". La gestion de ce niveau de la transmission est laissée à la discrétion d'autres entités (le "scripter" sous Windows par exemple, qui établira la liaison physique, et activera les mécanismes de contrôles du système). Par ailleurs, tenir compte de ces signaux améliore les performances et les fonctionnalités disponibles Architecture des protocoles Le protocole point à point est organisé en trois parts interagissant entre elles: page: 11

12 ?? Une méthode d'encapsulation des datagrammes pour leur transmission sur différents supports et canaux de communication. Cela permet d'utiliser des liaisons synchrones ou asynchrones - mais en full-duplex, en ligne spécialisée ou en commutation de circuits. Il est donc théoriquement possible de multiplexer plusieurs liaisons logiques sur la même liaison physique.?? Un protocole de contrôle de liaison (Link Control Protocol). Dans le but d'être portable sur une large gamme de plates-formes, PPP contient un LCP. Le LCP est utilisé pour s'affranchir des encapsulations successives, pour contrôler la taille des paquets à transmettre, détecter les paquets envoyés à soi-même, éviter les erreurs de configuration ou encore terminer la liaison. Le LCP fournit par ailleurs des fonctions d'authentifications de l'hôte distant (vérification user/password par exemple), et de vérification de la liaison pour s'assurer de son état.?? Des protocoles de contrôle de réseau (Network Control Protocol). Le PPP tend à exacerber certains problèmes récurrents avec l'utilisation des protocoles de réseaux actuels. Les problèmes de ce type sont gérés par une famille de NCP qui remplissent chacun un rôle spécifique et résolvent un problème spécifique. Par exemple, pour la plupart des connexions PC/Internet, celles-ci passant par les serveurs d accès distant et les passerelles des providers, on doit résoudre les problèmes suivants : affectation d'une adresse IP, configuration d une passerelle par défaut, d un serveur DNS etc PPTP (Point to Point Tunneling Protocol) et VPN (Virtual Private network) Le protocole PPTP est un protocole conçu par Microsoft destiné à transmettre les données encodés d une station à une autre. Ce protocole permet le montage de réseaux privés virtuels (VPN) : il crée un tunnel de données sûr au sein duquel on peut transmettre tout type de données, permettant ainsi l utilisation de médias insécurisés tels qu internet par exemple pour interconnecter deux réseaux privés. Cette communication sécurisée créée en utilisant le protocole PPTP implique généralement trois processus, chacun requérant que le processus précédent ait été achevé: La connexion et la communication PPP Un client PPTP utilise PPP pour se connecter à un ISP. Le protocole PPP est utilisé pour établir la connexion et crypter les paquets de données. PPTP Control Connection Le protocole PPTP créé ensuite une connexion de contrôle du client PPTP vers un serveur PPTP en passant par l Internet. Cette connexion utilise TCP pour établir la connexion et est appelée un tunnel PPTP PPTP Data Tunneling Enfin, le protocole PPTP créé un datagramme IP contenant les paquets PPP cryptés qui sont envoyés par le biais du tunnel PPTP vers le serveur PPTP Le serveur PPTP désassemble les datagrammes IP et décrypte les paquets PPP et puis route les paquets décryptés vers le réseau privé. A travers la mise en œ uvre du concept de tunneling, l'encapsulation des paquets IP permet de créer un plan d'adressage privé assurant une totale confidentialité des informations diffusées entre les différents sites. page: 12

13 ARP (Adress Resolution Protocol) Ce protocole situé à la frontière des couches 2 et 3 permet la traduction d une adresse IP de niveau 3 en adresse MAC de niveau 2. Lorsqu une machine A désire parler à une machine B située sur le même sous-réseau physique qu elle (le meilleur exemple étant le prochain routeur sur l itinéraire vers une destination finale lointaine), elle va d abord s adresser à l adresse IP de B, qui est au départ la seule adresse qu elle connaît. Elle envoie alors un broadcast sur le sous-réseau physique auquel elle est connectée, contenant un message du type «Quelle est l adresse MAC de la machine qui a pour adresse IP l adresse IP de B?».La machine B qui reçoit ce message (comme toutes les autres machines du sousréseau physique puisque c est un broadcast) répond en donnant son adresse MAC, permettant ainsi à la machine A de converser directement avec elle au niveau physique. Au passage, A va d ailleurs profiter de ce message en broadcast pour faire connaître ses propres adresses IP et MAC à toutes les machines du sous-réseau physique. Chaque machine maintient ainsi en permanence une table, dite «table ARP», contenant les associations adresse IP adresse MAC pour toutes les machines du sous-réseau physique. Les informations contenues dans cette table ont une durée de vie très faible (quelques minutes), pour permettre la détection des changements dans la configuration des adresses du sous-réseau. Remarque : Sous Windows, la commande ARP permet de visualiser et de modifier la table ARP locale de la machine Le protocole IP v Le protocole IP Ce protocole est la «clé de voute» du modèle Internet TCP/IP. Il assure le service d acheminement de datagrammes en mode non connecté, c est à dire une service non-fiable, mais pour le mieux («best effort») :?? les paquets sont traités indépendamment les uns des autres,?? la remise n est pas garantie : des paquets peuvent être perdus, dupliqués, altérés ou remis dans le désordre,?? ces situations ne sont ni détectées, ni signalées,?? le service n est non fiable qu en cas de saturation ou de panne. Le protocole IP définit trois éléments essentiels :?? le format des unitées de données transférées (les datagrammes),?? le rôle et les moyens du routage,?? les règles de remise des paquets en mode non fiable. page: 13

14 L adressage IP L adresse IP est un numéro de 32 bits, que l'on écrit par quatre nombres décimaux séparés par trois points. Par exemple, est une adresse TCP/IP bien précise. Ce sont ces adresses que reconnaissent les ordinateurs qui communiquent entre eux à l aide du protocole IP. L adresse IP est divisée en deux parties :?? les premiers bits définissent le numéro de sous-réseau IP (c est sur cette partie que travaillent les routeurs IP)?? les derniers bits définissent le numéro de machine destinataire sur le sous-réseau. (c est sur cette partie que travaille le protocole ARP) Ces deux parties sont de tailles variables, et ce sont en principe les tous premiers bits de l adresse IP qui permettent de connaître où est située la frontière, comme le précise le schéma suivant : Cette classification des adresses IP n est malheureusement pas très lisible au niveau de l adresse IP représentée classiquement sous la forme des quatre nombres décimaux... On obtient en effet le découpage suivant : 000.xxx.xxx.xxx réservé 001.xxx.xxx.xxx classe A (soit 126 réseaux de classe A) 126.xxx.xxx.xxx 127.xxx.xxx.xxx local loopback (auto-adressage) xxx.xxx classe B (soit réseaux de classe B) xxx.xxx xxx.xxx réservé xxx réservé xxx classe C (soit réseaux de classe C) xxx xxx réservé 224.xxx.xxx.xxx classes D et E (multicast) page: 14

15 broadcast (diffusion générale) Les classes suivantes sont réservées pour l adressage IP privé sur les LANs : la classe A 10.xxx.xxx.xxx, les 16 classes B de xxx.xxx à xxx.xxx, les 256 classes C de xxx à xxx Pour chaque sous-réseau IP, deux numéros de machine sont réservés et ne peuvent donc pas être utilisés pour identifier une machine précise :?? tous les bits à 0 (par exemple valeur du dernier octet = 0 en classe C) cette valeur sert à identifier le sous-réseau dans son ensemble en tant que destination dans une table de routage.?? tous les bits à 1 (par exemple valeur du dernier octet = 255 en classe C) : cette valeur correspond au broadcast à toutes les machines du sous-réseau Routage IP Notion de sous-réseau Le routage, c est à dire l acheminement des paquets IP d un point à l autre du réseau, est basé sur la notion de «sous-réseau IP». Pour affiner le découpage en sous-réseaux défini par les classes d adresses, on associe à chaque machine connectée au réseau (et donc à chaque adresse IP affectée) un «masque de sous-réseau», qui va permettre de préciser à cette machine quelles sont les machines du réseau qui font partie du même sous-réseau qu elle, et avec lesquelles elle va pouvoir dialoguer directement sans faire intervenir de routeur (passerelle, gateway). Le masque de sous-réseau précise les bits de l adresse IP du destinataire qu il faut prendre en compte pour savoir sur quel sous-réseau se situe ce destinataire. Pour chaque bit du masque de sous-réseau, la valeur :?? 1 indique que le bit correspondant de l adresse IP fait partie de l adresse de sous-réseau,?? 0 indique que le bit correspondant de l adresse IP fait partie du numéro de machine sur le sous-réseau. Si l on se limite au prédécoupage en sous-réseaux défini par les classes d adresses IP, on obtient les valeurs par défaut suivantes pour le masque de sous-réseau :?? en classe A : ?? en classe B : ?? en classe C : Les valeurs courantes possibles pour les octets du masque de sous-réseau sont donc les suivantes : binaire décimal sous-réseaux utilisables page: 15

16 Exemple : Prenons l exemple d une société qui s est vue affecter la classe C suivante : Le masque par défaut minimal qu elle doit utiliser est Imaginons maintenant que cette société, pour des raisons d administration et de performances, souhaite segmenter son réseau en 4 sous réseaux. Elle va donc devoir utiliser trois bits supplémentaires pour pouvoir coder 4 sous réseaux différents : 001, 010, 011 et 100. Son masque de sous-réseau sera composé des bits suivants : et aura donc pour valeur Chaque machine sur un sous-réseau pourra avoir un numéro de machine sur 5 bits, soit 30 machines différentes possibles sur chaque sous-réseau Procédure d émission d un paquet IP Lorsqu une machine désire parler à une autre machine, elle effectue un et-logique entre sa propre adresse IP et le masque de sous-réseau, puis un autre et-logique entre l adresse IP de la machine destinatrice et le masque de sous-réseau :?? Si les deux résultats sont différents, celà signifie que la machine destinatrice est sur un sousréseau différent du sien. Dans ce cas, elle envoie le paquet IP vers la passerelle par défaut (défaut gateway), qui en assurera l acheminement vers le sous-réseau de la machine destinatrice.?? Si les deux résultats sont identiques, cela signifie que la machine destinatrice est sur le même sous-réseau qu elle. Dans ce cas, elle va rechercher dans sa table ARP l adresse MAC de la machine destinatrice pour lui parler directement au niveau physique Fonctionnement d un routeur Un routeur qui reçoit un paquet IP à acheminer va examiner la partie sous-réseau de l adresse IP destinatrice du paquet. Si c est un sous-réseau auquel il est directement connecté, il va obtenir grace à ARP l adresse MAC de la machine destinatrice. Sinon, il va chercher dans sa table de routage l adresse du prochain routeur vers lequel envoyer le paquet. Si l information ne se trouve pas dans la table, il l envoie vers un autre routeur par défaut. Au démarrage, un routeur ne connaît comme information que les adresses des sous-réseaux auxquels il est directement connecté, et les adresses des routeurs auxquels il peut envoyer des paquets. Puis, il va transmettre ces informations (sa table de routage) à l aide d un protocole de routage aux routeurs adjacents, qui vont ainsi étoffer leur propre table à l aide de ces informations, et qui vont à leur tour transmettre leur table, et ainsi de suite... Par ce procédé, les routeurs disposent rapidement de tables de routage assez complètes. Les protocoles de routage les plus classiques sont RIP (Routing Information Protocol) et EGP (Extended Gateway Protocol). Le protocole de routage OSPF (Open Shortest Path First) est le plus répandu sur les réseaux de transport. Sa popularité lui vient du fait qu'il offre des possibilités d'ingénierie de réseau très fines. En contrepartie cependant, il est relativement complexe et pas toujours compatible d'une implémentation à l'autre, donc entre des équipements de constructeurs différents. Remarque : Sous Windows, la commande ROUTE permet de visualiser et de modifier la table de routage locale de la machine. La commande TRACERT permet d établir un chemin potentiel suivi par un paquet vers une machine distante. page: 16

17 Affectation des adresses IP Les adresses IP sont donc les adresses par lesquels les ordinateurs communiquent entre eux. Mais elles ne peuvent pas être données empiriquement puisque deux ordinateurs sur l'internet ne peuvent pas avoir le même numéro. C'est un organisme appelé ICANN (Internet Corporation for Assigned Names and Numbers) qui affecte les premiers numéros appelés racine du numéro IP. Charge ensuite à l'administrateur du réseau, de distribuer aux différentes machines les numéros disponibles dans la plage de numéros attribués. Il est à noter que les fournisseurs Internet qui possèdent un certain nombre d'accès simultanés inférieur à leur nombre de clients, peuvent donc attribuer à un client une adresse TCP/IP différente à chacune de ses connexions. Sur un réseau local, on peut utiliser les services d un serveur mettant en œ uvre le protocole DHCP (Dynamic Host Configuration Protocol) pour affecter de manière automatique aux machines du réseau une adresse IP choisie dans un pool d adresses disponibles en fonction des caractéristiques de la machine ou de son utilisateur. Cette adresse affectée par le DHCP est en général valable pendant une durée précise appelée le bail. Passé ce délai, une nouvelle adresse pourra être affectée à la machine (on parle de renouvellement de bail). Le protocole DHCP permet également la configuration dynamique des autres informations indispensables au bon fonctionnement de la couche IP (masque de sous-réseau, addresse de passerelle par défaut, adresse de serveur DNS etc.) Format des trames IP Les entêtes IPv4 sont de 32 octets. Elles contiennent une foule de détails (10 champs différents) sur la liaison en cours. Ces détails présentent l'inconvénient d'être retransmis à chaque fois. page: 17

18 Version IHL (IP Header Length) TOS (Type Of Service) Total length Identification Flags Fragment offset TTL (Time To Live) Protocol Header checksum Source Address Destination Address définit le numéro de version du protocole IP. longueur de l entête en mots de 32bits (= 5 si pas d options) indique la manière dont le datagramme doit être géré, décomposé comme suit : priorité D T R inutilisés la priorité va de 0 (normale) à 7 (supervision du réseau) D = délai court, T = débit élevé, R = grande fiabilité longueur totale du paquet entête incluse. contient un entier unique identifiant le datagramme premier bit : autorisation ou non de fragmenter ce paquet deuxième bit : indique s il reste des fragments à suivre décalage par rapport au datagramme initial en multiple de 8 octets décrémenté de 1 par chaque passerelle traversée. Lorsque ce champ arrive à 0, le datagramme est détruit et un message d erreur est envoyé à l émetteur. indique le protocole de haut-niveau transporté assure l intégrité des données de l entête adresse de l'émetteur adresse du destinataire ICMP (Internet Control Message Protocol) Ce protocole décrit le mécanisme utilisé par les passerelles et les machines pour échanger des informations de supervision ou relatives à des erreurs. Le principe d IP étant d acheminer les datagrammes sans coordination de l émetteur initial, le système fonctionne bien si toutes les machines fonctionnent correctement et sont d accord sur le routage, mais il en est incapable si :?? la machine destination est déconnectée,?? la durée de vie d un datagramme expire,?? une passerelle intermédiaire est surchargée. Des informations sont placées dans la partie données des datagrammes pour être traitées par le logiciel IP de la machine destination et constituent des messages d erreur ou de contrôle. Ils sont émis par des passerelles mais peuvent l être également par les machines finales. ICMP est un mécanisme de compte-rendu d erreurs à l émetteur initial, et non de correction d erreur, même si il peut suggérer des actions à entreprendre dans certains cas. On trouve entre autres :?? demande et réponse d écho?? destination inaccessible?? demande de limitation de débit?? demande de modification de route?? détection de boucle de routage ou de route excessivement longue?? demande de synchronisation d horloge...etc. Remarque : Sous Windows, les commandes PING, PATHPING et TRACERT permettent d exploiter ICMP et d effectuer des demandes d echo vers une machine distante. page: 18

19 MPLS (Multi Protocol Label Switching) La technologie MPLS permet de construire sur un réseau un chemin balisé entre un point de départ et une destination, ou entre un groupe de départ et un groupe de destination. Elle se fonde sur l étiquetage par «label» de chaque paquet qui entre dans un réseau et qui va progresser le long du chemin, appelé «LSP» (Label Switched Path : chemin commuté par étiquette), par commutation des labels. Ceux-ci contiennent des informations de routage spécifiques qui peuvent indiquer plusieurs choses:?? un chemin pré-défini?? l'identité de l'émetteur (une source)?? l'identité du destinataire (une destination)?? une application?? une qualité de service, etc. Les équipements intermédiaires sont configurés pour déduire de ces informations un traitement très simple puisqu'il s'agit essentiellement d'envoyer le paquet vers le routeur suivant en empruntant un chemin spécifique et prédéfini. En premier lieu, la création de chemins balisés de bout en bout améliore grandement la rapidité de commutation des équipements de cœ ur puisque leurs tables de routages se limitent à une collection restreinte d'instructions simplifiées. MPLS permet surtout d'offrir à IP un mode circuit similaire à celui des technologies de réseau comme X25 ou ATM et donc de mettre en oeuvre des politiques de routage spécifiques à certains flux. Il rend ainsi possible l'implantation de niveaux de service, de qualité de service (QoS) et d'une ingénierie de trafic évoluée. Enfin, il facilite aussi la mise en œ uvre des services de réseaux privés virtuels. Au plan conceptuel, MPLS est une technologie de routage intermédiaire entre la couche liaison (niveau 2) et la couche IP (niveau 3). Elle associe la puissance de la commutation de l'une à la flexibilité du routage de l'autre. La configuration et l'attribution des LSP se fait à l'aide du protocole LDP (Label Distribution Protocol) ou, parfois, d'un protocole propriétaire similaire, comme le TDP (Tag Distribution Protocol) de Cisco RSVP (Resource reservation Protocol) RSVP est un protocole de réservation de ressources destiné à gérér de l intégration de services sur un réseau à base d IP. Il est utilisé par un hôte pour demander au réseau une certaine qualité de service (QoS) pour le flot de donnée d une application particulière. RSVP peut aussi être utilisé par les routeurs pour effectuer des requètes à tous les nœ uds le long d un chemin pour établir et maintenir un état permettant de fournir la QoS demandée. Ainsi, les requêtes RSVP se traduisent généralement en réservation de ressources dans tous les nœ uds le long du chemin. RSVP permet de gérer des ressources exclusievement pour des flux mono-directionnels. L émetteur est donc distinct du récepteur au niveau logique, même si la même application peut faire office à la fois d émetteur et de récepteur. RSVP travaille au dessus d IP (v4 ou v6), mais il ne remplace pas les protocoles de transport. Il est complémentaire à IP, un peu à la manière de ICMP ou des protocoles de routage. page: 19

20 Problèmes liés à l utilisation d IP Le problème le plus connu concerne l'espace d'adressage. Les adresses IP sont stockées sur 32 bits. Cela permet quatre milliards d'adresses, ce qui semblait largement suffisant au début, quand le modèle dominant était celui d'un ordinateur par campus. Aujourd'hui, l'ordinateur personnel rend ce nombre trop faible, d'autant que de nombreuses adresses sont "gaspillées" par le mécanisme d'allocation hiérarchique en classe. La généralisation des engins connectés en réseau va encore aggraver ce problème. Un autre problème est celui posé par l'explosion de la taille des tables de routage dans l'internet. Le routage dans un très grand réseau doit être hiérarchique, avec une profondeur d'autant plus importante que le réseau est grand. Le routage IP n'est hiérarchique qu'à trois niveaux : réseau, sous-réseaux et machine. Les routeurs des grands réseaux d'interconnexion doivent avoir une entrée dans leurs tables pour tous les réseaux IP existants! IP ne permet pas d'indiquer de façon pratique le type des données transportées (TOS, Type Of Service), donc leur urgence ou le niveau de service souhaité. Ce besoin est particulièrement critique pour les applications "temps réel" comme la vidéo, mais se pose pour tous (on souhaite généralement par exemple que le trafic des News soit moins prioritaire que celui de Telnet). Les RFC 1349 et 2474 essaient de clarifier ce problème mais sont rarement mis en oeuvre. Il est symptomatique que les protocoles de routage les plus répandus ne tiennent pas compte du TOS dans le calcul des routes. IP ne fournit pas non plus de mécanisme de sécurité comme l'authentification des paquets, leur intégrité ou leur confidentialité. Il a toujours été considéré que cela était de la responsabilité des applications Le protocole IP v Une nécessaire évolution Le déploiement éclair que subit Internet n'est pas étranger à la mise en échec du protocole IPv4. En effet, ses créateurs ont prévu un certain champ d'extension, tant pour le nombre d'hôtes et de réseaux que pour les vitesses de transfert nécessaires. Mais aujourd'hui nous sommes en train de dépasser ces limites. Il est encore possible de pousser IPv4 un peu plus loin, mais une évolution globale est préférable. Avec IPv6 les problèmes cruciaux de sécurité, disponibilité des adresses IP, gestion des adresses et prise en charge des communications multimédia devraient être désormais résolus. Grâce à la compatibilité entre IPv4 et IPv6, il est possible d'actualiser le protocole L adresse IPv6 IPv6 améliore en plusieurs aspects la structure d'adressage, garantissant que les adresses sont non seulement évolutives, mais en outre plus intéressantes en utilisation de largeur de bande. Ces adresses sont mappées par les Domain Name Servers. La longueur d'adressage a été multipliée par 4, passant de 32 à 128bits. Le nombre d'adresses possible passe donc à 3,4 x Autrement dit, en prévoyant la création de hiérarchie d'adresses, IPv6 peut offrir 1500 adresses pour chaque mètre carré sur terre... On peut donc à loisir hiérarchiser les affectations page: 20

21 d'adresses, et simplifier le routage, ce qui réduit les tables de routage - et donc augmente leur efficacité -. De plus, un tel espace d'adressage permet l'implantation correcte des procédures de configuration automatique et réserve une place importante à la réallocation des adresses Internet, si cela s'avérait nécessaire. Le format général des adresses unicast globales pour IPv6 est le suivant: n bits m bits 128-n-m bits global routing prefix subnet ID interface ID global routing prefix : valeur affectée à un «site global», typiquement structurée hiérarchiquement suivant une structure définie par chaque ISP ou carrier. - subnet ID : identifiant d un sous-réseau à l intérieur du site global - interface ID : numéro de machine. Toutes les adresses unicast, exceptées celles commençant par 000 en binaire, doivent avoir un interface ID de 64 bits, ce qui donne le format suivant : n bits 64-n bits 64 bits global routing prefix subnet ID interface ID Ainsi, le format des adresses unicast globales actuellement délivrées par l IANA est le suivant: 3 45 bits 16 bits 64 bits global routing prefix subnet ID interface ID Pour utiliser l adresse MAC (sur 6 octets) en tant qu interface ID (sur 8 octets), on intercale les valeurs 0xFF et 0xFE au milieu de l adresse MAC, entre les 3 octets constructeur et les 3 octets de n de série Autres améliorations apportées IPv6 assure un meilleur transport des données multimédia, comme la vidéo (vidéoconférence) et l'audio. Les premiers systèmes opérationnels ont rapidement mis en avant la nécessité de ces améliorations... Une des principales difficultés est que ces applications sont consommatrices de bandes passante. Il faut donc réserver une largeur de bande suffisante et en même temps gérer le réseau et son encombrement. La commande par TCP est trop lente et inadaptée à ce type de liaisons. Les problèmes de synchronisation sont maintenant résolus: Une étiquette spéciale permet au paquet entre deux adresses spécifiques de recevoir une gestion particulière par le RSVP (Ressource reservation Protocol) pour assurer leur acheminement. L'étiquette de circulation est dans l'entête principale et de longueur fixe, elle permet une gestion plus efficace des paquets par les routeurs. Cette gestion de priorité fait donc l'objet d'un champ de 4 bits qui définit l'urgence de la transmission des données du paquet en cours. page: 21

22 IPv6 intègre la sécurité au plus bas niveau: dans le noyau (IP-Sec). IP-Sec permet l'authentification par l'entête d'authentification (AH: Authentification Header) et le codage des données (ESP: Encapsulation Security Payload). L'AH protège les réseaux contre les risques du routage de source et des attaques contre l'hôte, tandis que l'esp assure la confidentialité du contenu. Ces automatismes sont bien entendu transparents pour les applications. Les fonctions IP-Sec sont basées sur des signatures numériques. Les spécifications d'ip-sec ont défini des paramètres tels que les algorithmes d'authentification et de codage, ainsi que la clé de distribution. Par défaut, l'authentification est basée sur MD5 et le codage sur le standard DES (Data Encryption Standard). Le système est toutefois ouvert à d'autres choix techniques (selon les pays, un certain niveau de codage est autorisé, ou pas) Format des trames IPv6 Le nombre de champs dans les trames IPv6 a été considérablement réduit. Version Priority Flow Label Payload Length Next Header Hop limit Source Address Destination Address définit le numéro de version du Protocole IP. valeur mesurant l'urgence des données à transmettre. (cf. améliorations apportées par IPng). étiquette utilisée pour repérer les paquets spéciaux, à router par une voie définie. longueur des données du paquet (sans l'en-tête). identifie le type d'en-tête suivant immédiatement l'en-tête IPv6. équivalent au Time To Live d'ipv4. Utilisé pour éviter qu'un paquet perdu reste trop longtemps sur le réseau. Décrémenté à chaque passage dans un noeud. adresse de l'émetteur. adresse du destinataire (peut être influencée si il y a routage du paquet) Transition d'ipv4 à IPv6 Le terme "transition" doit être nuancé: on ne passera pas d'ipv4 à v6 partout à travers le monde un dimanche à 23h59, pour le lundi se retrouver en tout IPv6... Il n'y a aucune raison qui requiert un changement brutal. IPv6 a été conçu avec l'idée d'une conversion incrémentale, et les deux piles de protocole peuvent cohabiter sans problème! En fait, trois techniques ont été spécifiées à ce jour, ce qui ne préjuge pas de l'émergence d'autres possibilités:?? La "double pile IP", chaque équipement implante complètement les deux protocoles IP?? L'encapsulation ou "tunneling" des paquets IPv6 dans des en-têtes IPv4 pour les acheminer à travers une infrastructure IPv4.?? La traduction des en-têtes IPv6 en en-têtes IPv4 (voire l'inverse...) page: 22

23 Les normes pour la transition à v6 sont définies dans le "Mécanisme de transition pour les hôtes et routeurs IPv6" du RFC 2893 et permettent aux hôtes et routeurs d'être mis à jour indépendamment. La seule condition préalable pour tirer profit d'ipv6 est d'avoir un serveur DNS en IPv6 apte à prendre en charge les adresses v4 et v6. Exemple d'application de la double pile IP: Exemple d'application de l'encapsulation de trames: page: 23

24 2.5. Les protocoles des couches 4 et TCP (Transport Control Protocol) Fonctions Ce protocole sert à fournir un transfert fiable en mode connecté. Il est orienté :?? Connexion : transfert de flots d'octets entre deux applications.?? Circuits virtuels : mise en communication, par l'intermédiaire de ports, des applications.?? Transferts tamponnés : optimise les transferts, de manière indépendante de la production et de la consommation des données ; permet de désynchroniser les applications.?? Connexion bidirectionnelle : deux flots indépendants, de sens contraîre ; mais une application peut libérer l'une des transmissions Structure des Trames Port TCP source Port TCP destination Numéro de séquence Numéro d'accusé de réception Data Offset Réservé CODE Fenêtre Checksum Pointeur d'urgence Options Remplissage Données Le champ CODE est composé de 6 bits, dont la signification est (de gauche à droite) :?? URG Le pointeur de données urgentes est valide?? ACK Le champ d'accusé de réception est valide?? PSH Ce segment requiert un push?? RST Réinitialiser la connexion?? SYN Synchroniser les numéros de séquence?? FIN L'émetteur a atteint la fin de son flot de données Remarques : - les données «urgentes» sont immédiatement transmise à l'application, même si des données plus anciennes sont en attente dans les tampons du système sur la machine réceptrice. - «pousser» une donnée signifie forcer l'émission de cette donnée, même si une trame IP doit être envoyée avec moins de données qu'elle ne peut en contenir Notion de fenêtre Un transfert, pour être fiable, nécessite un acquittement. Au lieu d'attendre pour envoyer le paquet suivant l acquittement du paquet précédent, on va en envoyer un certain nombre. La ``largeur'' de la fenêtre d'émission détermine le nombre maximum de paquets que l'on va envoyer avant d'attendre l acquittement du premier émis. Les paquets émis contiennent des numéros de séquence qui permettent de les réordonner à l'arrivée et de s'assurer qu'il n'y a pas de perte ou de duplication. page: 24

25 Quelques ports TCP ET UDP standards attribués à des applications (voir le fichier C:\WINNT\system32\drivers\etc\Services) service port protocole Description echo 7 tcp/udp écho ICMP (ping) daytime 13 tcp/udp date et heure distante qotd 17 tcp/udp citation du jour («quote of the day») chargen 19 tcp/udp générateur de caractères ftp-data 20 tcp transfert de fichiers FTP, ftp 21 tcp telnet 23 tcp terminal virtuel Telnet smtp 25 tcp messagerie SMTP time 37 tcp/udp synchronisation temporelle NTP nameserver 53 tcp/udp résolution de noms de domaines DNS bootp 67 udp service d amorçage à distance tftp 69 udp transfert de fichiers TrivialFTP http 80 udp hypertexte HTTP (serveur web) x tcp messagerie ISO X400 x400-snd 104 tcp pop/pop2 109 tcp boîtes aux lettres POP pop3 110 tcp nntp 119 tcp newsgroups NNTP nbname 137 udp nbdatagram 138 udp interface NetBIOS nbsession 139 tcp imap 143 tcp boîtes aux lettres IMAP snmp 161 udp administration de réseau SNMP snmp-trap 162 udp ldap 389 tcp annuaire LDAP talk 517 udp conversation texte point à point ntalk 518 udp irc 6667 tcp conversation texte multipoint réception des données commandes UDP (User Datagram Protocol) Fonction L'UDP comme TCP est utilisé avec IP. Le Protocole UDP sert à offrir aux applications un service de «datagrammes»; c est à dire un envoi de données sans connexion. Ces datagrammes sont acheminés vers des ports UDP, repérés par une adresse IP (32 bits) et un numéro de port local (16 bits). Les applications prennent en charge les problèmes de correction d'erreurs et de contrôle de congestion. Le protocole est plus léger que TCP (il n'y a pas de connexion à gérer), et assure au programme un meilleur contrôle sur ce qui se passe Format de l entete UDP : Port UDP source Port UDP destination Long. Message Checksum page: 25

26 Le checksum est en fait calculé sur un message ``étendu'', auquel on a ajouté un pseudo en-tête contenant en particulier les adresses IP source et destination. Ceci est un exemple (puisque la couche UDP doit connaître les adresses IP) de non respect du modèle ``en couches''. Si le checksum calculé par le destinataire ne correspond pas à celui contenu dans le paquet, le paquet est tout simplement ignoré. De plus, il n'y a aucune garantie de livraison. Il n'existe aucune protection contre les erreurs telles la duplication, un numéro de séquence incorrect, la perte d'octet, l'absence d'accusé de réception. La seule protection contre ces erreurs est le champ checksum. Remarque : Sous Windows, la commande NETSTAT permet de visualiser les connexions TCP et UDP en cours entre la machine locale et des machines distantes RTP (Real Time Protocol) RTP fournit des services de bout en bout pour le transport de données ayant des caractéristiques temps-réel, telles que l audio ou la vidéo interactives. Ces services incluent le typage de charge (payload type identification), la numérotation en séquence, la datation (timestamp) et la surveillance de remise (delivery monitoring). Les applications vont typiquement utiliser RTP au dessus d UDP pour bénéficier des services de contrôle d erreur et de multiplexage de celui-ci. RTP supporte les transferts de données vers des destinations multiples en s appuyant sur les services multicast d IP. RTP a été à l origine développé pour permettre la mise en œ uvre de conférences multimedia entre plusieurs correspondants, mais il n est pas limité à cette application particulière. Il faut noter que RTP en lui-même ne fournit aucun mécanisme pour garantir la remise à temps des données ou fournir d autres garanties de QoS ; il ne garantit pas la remise des données ni leur bon ordre ; mais les informations de séquence inclues dans RTP permettent au récepteur de remettre les données dans le bon ordre et de trouver le bon emplacement des données dans le flux. RTP est complété par RTCP (Real Time Control Protocol) qui permet de surveiller la QoS et de véhiculer des informations à propos des participants à une conférence RTSP (Real Time Streaming Protocol) RTSP permet d établir et de contrôler un ou plusieurs flux synchronisés de média continu tel que de l audio ou de la vidéo. Il ne délivre généralement pas le flot de données proprement dit (quoique le mélange du flot de données et du flot de contrôle soit possible) mais agit plutôt comme un outil de contrôle du réseau pour les serveurs multimedia. Le jeu de flux qui doivent être contrôlés est défini par une «description de présentation». Il n y a pas de notion de «connection RTSP», mais plutôt une notion de «session» maintenue par le serveur et repérée par un identifiant. Cette session n est aucunement liée à une connexion d un transport tel que TCP, et durant la session, un client RTSP peut ouvrir et fermer de nombreuses connexions de transport avec le serveur pour émettre des requètes RTSP. Il peut aussi utiliser un protocole en mode datagramme tel que UDP. Les flux contrôlés par RTSP peuvent aussi utiliser RTP, mais le bon fonctionnement de RTSP ne dépend pas du mécanisme de transport utilisé pour véhiculer les données de media. RSTP supporte les opérations suivantes : page: 26

27 ?? Obtention d un media depuis un serveur de media : Le client peut demander une «description de présentation» via HTTP ou une quelconque autre méthode. Si la présentation est multicast, la description contient les adresses multicast et les ports qui doivent être utilisés pour le flux de média. Si la présentation est unicast, le client fournit lui même l adresse de destination (pour des raisons de sécurité).?? Invitation d un serveur de media à une conférence : Un serveur de media peut être invité à joindre une conférence existante, ou à enregistrer tout ou partie du media d une présentation. Ce mode est utile pour des applications d e-learning.?? Ajout d un media à une présentation existante : Ceci peut s avérer utile lors d une présentation «live» pour permettre au serveur de prévenir le client qu un media additionnel devient disponible Services DNS (Domain Naming Services) Nom FQDN (Fully Qualified Domain Name) Les adresses IP ne sont pas facilement mnémotechniques. De plus, l adresse IP d un serveur connu de nombreaux utilisateurs peut être parfois amenée à changer. Pour résoudre ces deux problèmes, on utilise un système de nommage qui permet d utiliser une chaîne de caractères en lieu et place de l adresse IP d une machine. Cette chaîne de caractères est appelée «nom FQDN», et respecte une structure hiérarchique arborescente qui se lit de droite à gauche : hôte. [sous-domaine(s). ] domaine. domaine-de-haut-niveau exemple: jordan.cfa.devinci.fr Le plus haut niveau de l arbre est appelé Racine ou root et est géré par treize machines de l IANA. Ce domaine racine ne porte pas de nom, il est symbolisé par "." Les noms de domaine de haut niveau (Top Level Domains, TLDs) utilisent deux systèmes hiérarchiques différents : les domaines génériques et ceux à code de pays. page: 27

28 Les domaines génériques (generic Top Level Domains, gtld) sont les suivants : Suffixe domaine Description com commercial organisations commerciales net network entités donc l existence est liée à internet org organizations organisations non commerciales int International organisations issues de traités internationaux biz business commerce électronique et affaires info information informations générales name names particuliers pro professionals professions libérales aero aeronautics transport aérien et aviation civile (géré par la SITA) coop cooperatives Coopératives museum museums Musées réservés aux USA : mil military entités militaires gov government organismes gouvernementaux edu education établissements éducatifs Les domaines à code de pays (country code Top Level Domains, cctld) sont associés à un état, et portent le nom de code sur deux caractères normalisé ISO 3166 correspondant au pays : «fr» pour France, «uk» pour United Kingdom ou «de» pour Deutschland par exemple Service DNS Pour obtenir l adresse IP d un ordinateur à partir du nom FQDN, il faut aller consulter le fichier local hosts (sous Windows : C:\WINNT\system32\drivers\etc\hosts) ou bien se référer à un «serveur de noms» offrant le service DNS. Le service DNS est un protocole de haut niveau. Il utilise les couches transports UDP ou TCP. Le serveur écoute sur le port n 53 Le service de noms comprend 3 parties :?? un espace de noms avec des données associées à chaque nom,?? des agents qui permettent d'interroger des serveurs,?? des serveurs, généralement distribués pour une meilleure qualité de service. Remarque : Sous Windows, la commande NSLOOKUP permet d effectuer manuellement des requètes auprès d un service DNS Serveurs de noms Le mécanisme du système de noms de domaine qui permet la traduction des noms FQDN en adresses IP est constitué d'un ensemble de machines coopérantes appelées serveurs de noms. Le serveur de noms est une machine serveur sur le réseau. Un serveur de noms ne fait autorité que pour les machines appartenant à son (ses) domaine (s). Le rôle du serveur est de répondre aux demandes des clients (résolution de noms et d adresses) Il peut effectuer sa réponse :?? soit directement s'il possède l'information,?? soit en s'adressant à un serveur situé hiérarchiquement en-dessous de lui,?? soit en effectuant une demande à un serveur racine. page: 28

29 Remarque : Les relations entre les serveurs de l'arborescence conceptuelle ne correspondent pas aux connexions physiques. Au contraire, elles représentent les serveurs de noms qu'un serveur connaît et sollicite. Les serveurs eux-mêmes peuvent être situés en tout point de l'internet. En général, le serveur de noms possède les informations sur les machines appartenant à son (ses) domaine(s), et une liste d'autres serveurs de noms qui peuvent être utilisés pour trouver des informations sur d autres parties de l'arborescence. Il gère d autre part un cache dans lequel il garde les résultats des requètes les plus récentes pour ne pas avoir à effectuer à nouveau la résolution lors d une requète identique Résolution des noms La résolution des noms, conceptuellement, opère de façon descendante. Elle démarre au niveau des serveurs racines (Il en existe treize, répartis sur la planète, possédant les noms de a.rootservers.net à m.root-servers.net) et progresse vers les serveurs situés dans les feuilles de l'arborescence. Lorsqu'un serveur de noms reçoit une requête, il vérifie si le nom appartient à un sous-domaine dont il assure la gestion. Si c'est le cas, il traduit le nom en adresse, conformément aux indications contenues dans la base de données, et joint la réponse à la demande avant de renvoyer le tout au client. Sinon, il vérifie le type d'interaction demandé par le client : Résolution itérative Résolution récursive Lors d une résolution itérative, le serveur à distance indique au serveur local à qui s'adresser ensuite. Le serveur local doit suivre les pointeurs. C'est le mode le plus simple pour les serveurs distants. En effet, il peut répondre aux requêtes en utilisant uniquement les informations locales. Les réponses peuvent être soit la réponse, une erreur ou les références d'autres serveurs de noms susceptibles de répondre. Tous les systèmes requièrent l'implémentation de cette approche. Lors d une résolution récursive, le serveur à distance suit les pointeurs et renvoie la réponse finale au serveur local. C'est le mode le plus simple pour le client, car le serveur ne peut retourner au client que la réponse ou une erreur, et jamais de références à d'autres serveurs Format des enregistrements La base de données répartie d un serveur DNS contient des enregistrements, appelés RR (Resource Records), concernant les noms de domaines. page: 29

30 D'une manière générale, un enregistrement DNS comporte les informations suivantes : Nom de domaine (FQDN) TTL Type Classe RData A IN ?? Nom de domaine : ce doit être un nom FQDN terminé par un point. Si le point est omis, le nom est relatif au domaine principal du serveur.?? TTL (Time To Live) : en raison du système de cache, les enregistrements possèdent une durée de vie (en secondes) permettant aux serveurs intermédiaires de connaître la date de péremption des informations et ainsi savoir s'il est nécessaire ou non de la revérifier.?? Type : spécifie le type de ressource décrit par l'enregistrement :?? A : correspondance entre un nom canonique et une adresse IP v4.?? AAAA : correspondance entre un nom canonique et une adresse IP v6.?? CNAME (Canonical Name) : permet de faire correspondre un alias au nom canonique. Particulièrement utile pour fournir des noms alternatifs correspondant aux différents services d'une même machine.?? HINFO : champ uniquement descriptif permettant de décrire notamment le matériel (CPU) et le système d'exploitation (OS) d'un hôte.?? MX (Mail exchange) : relais SMTP entrant du domaine. Lorsqu'un utilisateur envoie un courrier électronique à une adresse utilisateur@domaine, le serveur de courrier sortant interroge le serveur de nom ayant autorité sur le domaine afin d'obtenir l'enregistrement MX. Il peut exister plusieurs MX par domaine, afin de fournir une redondance en cas de panne du serveur de messagerie principal. Ainsi l'enregistrement MX permet de définir une priorité avec une valeur pouvant aller de 0 à :?? NS (Name Server): délégation d autorité sur un sous-domaine à un autre serveur.?? PTR : résolution inversée à l aide du domaine in-addr.arpa.?? SOA (Start Of Authority) : le champ SOA permet de décrire précisément le serveur de nom ayant autorité sur la zone.?? Classe : la classe peut être soit IN (correspondant aux protocoles d'internet), soit CH (pour le système chaotique) ;?? RDATA : données correspondant à l'enregistrement Services Microsoft WINS Microsoft propose sur les réseaux à base de Windows un service de résolution de noms nommé WINS (WIndows Naming Services), à ne pas confondre avec la résolution DNS. Le service WINS ne permet pas de résoudre les noms FQDN, et ne s inscrit absolument pas dans le modèle Internet. C est un service complémentaire, spécifique aux réseaux de Microsoft, et qui permet de traduire les noms de machines Microsoft en adresses IP. Ces noms sont d une longueur maximale de 16 caractères, et sont hérités de l utilisation du protocole et de l interface NetBIOS, qui adressent une machine destinataire par son nom. L utilisation de WINS permet d atteindre les services partagés NetBIOS proposés par les autres machines sous Windows en utilisant uniquement le jeu de protocoles TCP/IP, et sans nécessiter l utilisation de nombreux broadcast sur le réseau physique pour résoudre les noms NetBIOS. Remarque : Sous Windows, certaines adresses IP correspondant à des noms de machines très employées du réseau peuvent être stockées en local dans le fichier C:\WINNT\system32\drivers\etc\Lmhosts. page: 30

31 3. Sécurité 3.1. Introduction Même si il ne faut jamais perdre de vue qu à l heure actuelle encore, 80% des attaques contre un réseau local d'entreprise proviennent de l intérieur même du réseau, il est clair que connecter les machines du réseau local à Internet, c'est exposer plus de risques de sécurité à ces hôtes qu'aux hôtes non connectés. Des dizaines de millions d'utilisateurs Internet ont en effet alors la possibilité de circuler sur le réseau local et potentiellement d accéder aux ressources qui y sont offertes à l aide de protocoles standards largement répandus. En théorie bien sûr, car cela implique que l'utilisateur dispose des autorisations (ou droits) nécessaires pour le faire. Cependant en pratique, il existe toujours une possibilité pour qu'un pirate puisse pénétrer un réseau local sans en avoir le droit. Les principaux dangers encourus sont : la mise hors-service de tout ou partie du système informatique le vol d informations confidentielles la destruction d informations la corruption d informations le détournement d informations vers un autre interlocuteur le parasitage du système informatique Un certain nombre d outils et de technologies peuvent être mis en place pour limiter les risques et contrer les attaques les plus courantes Techniques d attaques répandues Accès à des données à disposition sur un serveur Il s agit ici simplement pour un pirate d accéder directement à des données à disposition sur un serveur (web, FTP, gopher, news etc.) public insuffisamment protégé. Protection : Quasiment tous les protocoles autorisent la mise en place d informations de type utilisateur/password qui peuvent être exigées pour accéder aux données. Certains serveurs savent également vérifier l adresse IP du client pour décider si oui ou non il est habilité à faire une requète. On peut parfois également utiliser par exemple SSL pour authentifier le client Interception d'informations (sniff) Le réseau mondial Internet est un maillage de réseaux. Un pirate peut connecter un espion de ligne sur un réseau ou installer le logiciel adéquat sur une machine piratée et capturer des informations réutilisables par la suite. page: 31

32 Protection : Protéger la confidentialité des données par le chiffrement. Attention à la législation en vigueur! Déni de service (DOS, Deny of Service) Les attaques de type DOS consistent à inonder un serveur de requètes pour finalement l empêcher de traiter de nouvelles requètes et le rendre inopérant. Elles peuvent être rendues plus dangeureuses encore lorsque l attaque provient d un grand nombre de machines différentes en même temps, au lieu d une seule. Protection : La protection contre ces attaques nécessite des outils assez sophistiqués, mis en place généralement au niveau du serveur lui-même ou du firewall. Cela consiste principalement à repérer une croissance «suspecte» parce qu inhabituelle de l activité vers un serveur Mascarade d'une adresse (spoofing) Sur les machines, la configuration des adresses IP et des hostname se font par logiciel. Si une machine A autorise des services à une machine B ayant une adresse IP x.x.x.x, un pirate pourra prendre l'identité de B et se faire passer pour elle. Ceci est également valable pour les noms de machines. Protection :?? Interdire des paquets avec des adresses d expéditeur locales à venir de l'extérieur?? Ne pas "afficher" clairement à qui la machine offre ses services?? Authentifier les utilisateurs autorisés?? Ne pas éteindre les machines Modification du routage Un pirate se fait passer pour un routeur et annonce des tables de routage avec des métriques inférieures aux réelles. Il peut ainsi détourner l'ensemble du trafic vers certains réseaux IP. Protection : Pour se protéger de ce type d'attaque, il existe des protocoles qui utilisent des mécanismes de clé de chiffrement pour authentifier les tables de routage : OSPF, BGP/4, E-IGRP, IS-IS (OSI) Modification de la résolution DNS Un pirate peut accéder à la configuration du serveur DNS pour modifier les informations nécessaires à la résolution des noms, et fausser ainsi les résultats obtenus. Il peut ainsi détourner le trafic vers certains noms de machine vers d autres adresses IP. Protection : Un contrôle croisé pour vérifier la véritable correspondance peut être réalisé par un fichier tiers interne ou par l appel à un autre serveur pour effectuer une résolution (nom de machine depuis l adresse IP) page: 32

33 3.3. Firewall, Proxy et Translation d adresses Firewall Un firewall est un logiciel de routage spécifique installé sur une machine branchée entre le réseau local (LAN) et le réseau internet (WAN). Ce logiciel va filtrer tous les paquets qui sont routés entre le réseau local et internet en fonction des adresses IP du destinataire et de l expéditeur, et en fonction du port TCP ou UDP de destination, et donc du service applicatif concerné (à condition de se limiter à l utilisation des n de ports standards). Le firewall a pour objectifs principaux :?? l inspection du trafic?? la dissimulation de l Intranet vis à vis de l extérieur?? la détection de tous les événements "anormaux"?? le contrôle de l utilisation des services?? l authentification sommaire des accès distants Par défaut, un firewall ne laisse passer aucun paquet. L administrateur doit ajouter des règles spécifiques pour autoriser le passage de certaines requètes dans un sens ou dans l autre pour certaines adresses IP et certains ports TCP/UDP. Le firewall laissera alors passer les paquets reçus en réponse aux requètes autorisées, ainsi que les paquets consécutifs d une connexion TCP autorisée. Le firewall permet généralement la gestion d un troisième réseau appelé zone démilitarisée (DMZ) pour lequel on va pouvoir configurer des règles spécifiques (on parle alors de firewall «à trois branches»). C est sur ce réseau que l on va généralement placer les machines qui doivent être accessibles par quiconque de l extérieur, et notamment les serveurs Web externes de l organisation, ainsi que la passerelle entrante de messagerie. LAN firewall DMZ serveur web externe passerelle SMTP entrante serveur DNS externe WAN internet page: 33

34 Proxy Le proxy est généralement associé au firewall. C est un logiciel qui fonctionne comme relais pour les requètes d un service applicatif (le plus souvent HTTP). Le client situé sur le LAN va effectuer sa requète auprès du proxy, qui va se charger de relayer la requète auprès du serveur distant situé sur le WAN. Lorsque le proxy obtient la réponse du serveur distant, il transfère alors cette réponse vers le client initial de la requète. LAN DMZ proxy client firewall serveur distant WAN internet De plus, le proxy est souvent associé à une surface de stockage importante qui lui permet de faire office de cache : il récupère les données provenant de l extérieur et les conserve un certain temps selon la configuration initialisée.(«date de péremption»). Ainsi si deux clients interrogent le même serveur à peu de temps d intervalle, le proxy n envoie une demande au serveur distant que la première fois, et la deuxième fois il redonne les données stockées dans son cache. La plupart du temps, le firewall n autorise pas les clients du réseau local à effectuer des requètes directement vers l extérieur, et seul le proxy est habilité à le faire. De la sorte, les clients du réseau local sont obligés de passer par l intermédiaire du proxy pour accéder à l extérieur. L utilisation d un proxy apporte de nombreux avantages : Diminution de la bande passante utilisée vers le WAN Augmentation de la rapidité de consultation pour les pages déjà vues Possibilité d interdire l accès à certains sites distants Possibilité d effectuer des statistiques globales ou par utilisateurs sur les sites visités Visibilité d une seule adresse IP expéditeur pour les serveurs du WAN Le principal inconvénient est le goulet d étranglement potentiel représenté par le proxy Translation d adresses (NAT, Network Address Translation) La technique de translation d'adresses est une pratique courante qui est apparue à l'origine pour palier le manque croissant d'adresses IPv4 libres. Des plages d adresses privées (cf 2.3.2) ont été réservées pour l adressage local sur les LANs. Ces adresses ne sont pas routables sur Internet et ne doivent donc pas être utilisées par des machines de ce réseau. Par contre, tous les réseaux privés peuvent utiliser ces adresses sans restrictions. page: 34

35 Comme ces adresses ne sont pas routables sur le réseau public, la translation d'adresse est utilisée pour permettre aux machines du réseau privé d'accéder à Internet (et de façon générale à d'autres réseaux). Le principe de base est simple puisqu'il s'agit de remplacer à la volée les champs d'adresses dans les paquets qui sont destinés à Internet (ce qui implique que le NAT soit effectué entre les 2 interfaces réseau, entre le réseau privé et Internet). Comme le montre le schéma, le NAT va effectuer le remplacement de l'ip source de A par une IP X publique puis il va router le paquet vers le réseau extérieur. La réponse lui parviendra, et suivant la technique utilisée, il va cette fois-ci modifier l'adresse de destination X publique pour celle de A sur son réseau privé. Il existe plusieurs variantes de NAT suivant la topologie du réseau privé, le nombre de machines privées, le nombre d'adresses IP publiques et les besoins en termes de services, d'accessibilité et de visibilité de l'extérieur : Le NAT statique : il attribue de façon automatique une adresse IP à une autre. Aucune information liée à la connexion n'est nécessaire, il suffit de modifier le paquet suivant la règle prédéfinie de translation. L'idéal dans ce cas-ci est d'avoir le même nombre d'ip extérieures que d'ip privées. Le NAT dynamique : il ne considère aucune association prédéfinie entre l'ip publique et l'ip privée de la requête qu'il reçoit. Il peut d'ailleurs y avoir plusieurs IP extérieures tout comme il y a plusieurs IP privées. Cela entraine nécessairement un suivi de la connexion car le NAT attribue l'ip extérieure lors de la requête initiale qui provient de son réseau privé; il doit ensuite pouvoir discriminer les paquets entrants de façon à pouvoir leur attribuer à chacun l'ip correspondante sur le réseau privé (celle de la connexion). Le but étant de rester transparent vis-à-vis de l'ordinateur source ou distant; un problème se pose si l'on ne dispose pas du même nombre d'adresses IP externes que d'adresses privées, car si toutes les adresses externes sont déjà en cours d'utilisation, aucune machine supplémentaire ne pourra accéder au réseau extérieur. Le NAPT (Network Address and Port Translation) : il permet de résoudre le problème cité précédement et s'avère donc particulièrement utile si le nombre d'adresses externes est limité; ce qui est par exemple le cas typique d'un partage de connexion Internet, où plusieurs machines vont devoir partager la même adresse IP publique. Le problème technique derrière cette méthode est de savoir à quelle machine privée les paquets entrants sont destinés, puisqu'ils ont tous -à priori- la même adresse IP de destination (celle de la passerelle). Pour permettre leur différenciation, le NAT va devoir conserver une trace plus page: 35

36 complète des paramètres de chaque connexion de façon établir un véritable contexte pour chacune de ces dernières. Parmi ces critères de séparation, citons :?? l'adresse source?? le protocole supérieur (TCP ou UDP)?? le port Il reste un dernier cas dans lequel tout cela ne suffira pas, c'est celui où les 2 contextes basés sur ces informations sont identiques, c'est-à-dire quand les paquets entrants présentent la même IP source, le même protocole de transport et le même port de destination. Dans ce cas-là, le NAT effectue une translation de port en même temps que d'adresse pour pouvoir identifier les flux de façon certaine. Cela consiste à modifier les paramètres de connexion avec la machine distante de façon à utiliser le port voulu sur la passerelle où se situe le NAT. Cette opération reste transparente pour la machine locale (privée) puisque cela est effectué au niveau du NAT qui rétablit ensuite les paramètres initiaux pour cette machine La cryptographie Définition et objectifs La cryptographie est très souvent définie comme un ensemble de techniques qui permettent de protéger des informations grâce à un code secret. Ces codes sont couramment appelés «clés» et sont désignés par l expression «convention secrète». La cryptographie est considérée comme une science qui met en œ uvre des outils servant à sécuriser les informations face à des menaces intentionnelles. Ces outils sont généralement issus de problèmes mathématiques dont la résolution est très complexe si on ne connaît pas une clé ou une convention secrète. La cryptographie doit répondre aux besoins généraux suivants :?? Confidentialité (protection de l'information) : Il s'agit de rendre la lecture de l'information inintelligible à des tiers non autorisés lors de la conservation ou du transfert de cette information.?? Authentification : Identification : - authentification des partenaires et/ou de l'origine des informations Il s'agit principalement de s'assurer que le correspondant connecté est bien le correspondant souhaité et de s'assurer du signataire de l'acte. Non-répudiation de l'origine et/ou de la réception de l'information : Il s'agit de garantir l'authenticité de l'acte. L'émetteur ou le récepteur ne peut pas nier le dépôt ou la remise de l'information, ni le contenu de cette information. Contrôle d'accès : il s'agit d'authentifier les utilisateurs de façon à limiter aux seules entités autorisées l'accès à des données, à des ressources ou à des services protégés ou à personnaliser cet accès.?? Intégrité des données : Le contrôle de l'intégrité d'une donnée consiste à vérifier que cette donnée n'a pas été altérée accidentellement ou frauduleusement. Le plus souvent l'intégrité n'est pas à proprement parler un outil de cryptographie car son calcul ne requière pas une quantité secrète. page: 36

37 Systèmes de chiffrement Le chiffrement est donc l action de transformer une information claire, compréhensible de tout le monde, en une information chiffrée, incompréhensible. Le chiffrement est toujours associé au déchiffrement, l action inverse. Ces opérations se font à l aide de moteurs cryptographiques soit matériels soit logiciels. Ces moteurs sont composés de deux éléments : l algorithme la clé Il existe par ailleurs deux familles d algorithmes : symétriques (à clé privée) asymétriques (à clé publique) La cryptographie actuelle : DES et RSA A notre époque le milieu de la cryptographie a évolué d un monde fermé (les armées et les services secrets) à un monde ouvert à tout utilisateur. En effet de nos jours il y a de plus en plus d informations qui doivent rester secrètes car l être humain s est ouvert à la technologie et remet toutes ses ressources aux mains de celle-ci. Les informations échangées ne doivent pas être divulguées et personne ne doit pouvoir les déduire, il faut donc utiliser des moyens ou prestations cryptographiques. Depuis l apparition du commerce en ligne, le réseau mondial Internet a fait appel massivement à la cryptographie pour sécuriser les transactions effectuées en-ligne. Pour satisfaire ces besoins multiples de cryptographie on utilise à notre époque principalement deux algorithmes : DES (Data Encrytion Standard): c est un algorithme symétrique. Cet algorithme est le mieux connu et le plus utilisé dans le monde à ce jour. Il est très répandu notamment dans l univers bancaire. RSA (Rivest, Shanir, Adleman): c est un algorithme asymétrique. Il utilise plusieurs théorèmes très anciens. Il est notamment utilisé par la couche SSL et donc sur internet SSL (Secured Socket Layer) et HTTPS SSL se place dans le modèle OSI en couche 6, en dessous notamment du protocole HTTP (qui devient HTTPS lorsqu il fait appel à SSL), et au dessus des protocoles de réseau TCP/IP, pouvant ainsi intervenir pour créer des connexions sécurisées de toutes sortes. Ainsi par exemple lorsque l on utilise la fonction de cryptage, les transmissions des informations contenues dans les formulaires remplis par les utilisateurs (noms, mots de passe, et autres informations confidentielles) vers et à partir du serveur, sont sécurisées. SSL supporte les algorithmes de chiffrement les plus répandus : RC2, RC4, IDEA, DES, triple DES, RSA, etc... Les deux entités connectées se mettent d accord sur les différents paramètres de sécurité qui vont être utilisées lors de l échange d informations. SSL est supporté par Netscape et par Internet Explorer, ce qui élève ce protocole au niveau de standard pour les transactions sur le web. page: 37

38 PGP (Pretty Good Privacy) PGP est un outil de cryptographie très répandu qui permet la confidentialité, l'authentification et le contrôle d'intégrité des données. Il utilise la cryptographie à clé publique ou secrète et fonctionne sur pratiquement toutes les plates-formes. Son avantage réside dans le fait que cet outil est freeware pour des utilisations non commerciales, et qu'il est également reconnu pour être l'un des logiciels au summum en matière de protection à portée de tous. Son inconvénient est sa complexité, redoutée par nombre d'utilisateurs, même avertis. L'auteur de PGP est Phil Zimmermann (du MIT). Adulé par les internautes pour leur avoir fournit un logiciel très puissant et gratuit, il est devenu la bête noire des autorités américaines qui n'ont pas apprécié de voir un tel produit à la portée de tous. Ne pouvant pas lui reprocher son invention (un américain a le droit légal de chiffrer ses communications), il fut accusé d'avoir violé les lois fédérales sur l'exportation des logiciels de chiffrements. Après maints déboires judiciaires, il fut libéré et continue à l'heure actuelle à améliorer son système. Son action a lancé l'un des débats les plus attendus et à permis un début d'évolution de l'administration américaine sur ce sujet. Philip Zimmermann Phil n'a rien inventé, mais il a assemblé de manière judicieuse le meilleur de ce qui existait, ce que personne n'avait encore fait jusqu'à présent. Le résultat est impressionnant. PGP se présente sous forme d'un seul exécutable, qui prend en argument de ligne de commande, différents switchs et les noms d'entrée et de sortie des fichiers à chiffrer ou à déchiffrer. Sa détention est autorisée mais son utilisation sans autorisation est interdite en France. page: 38

39 4. World Wide Web 4.1. Principes Fonctionnement Le World Wide Web (WWW) que l on peut tenter de traduire en français par «toile d araignée mondiale» est un ensemble gigantesque de serveurs connectés au réseau internet. Ces serveurs Web (aussi appelés «httpd» en référence aux serveurs démons basés sur des machines Unix) sont accessibles en mode client-serveur à l aide du protocole HTTP. Ils proposent d énormes quantités de «pages» d information, rédigées à l aide du langage HTML. Ce langage permet la définition à l intérieur d une page de «liens hyper-texte», qui permettent de passer d une page d information à une autre en générant de nouvelles requètes HTTP vers un quelconque serveur Web. De ce fonctionnement viennent les termes de navigation, navigateur, browser (to browse = parcourir) ou même l analogie avec le «surf» URL (Unified Resource Locator) L utilisation de liens hypertexte nécessite la définition d un format normalisé pour l identification des ressources accessibles sur les serveurs du World Wide Web. Ce format appelé URL (Unified Ressource Locator) est le suivant : service : // user : password@adresse_fqdn_du_serveur : port / répertoire / fichier Le champ service peut prendre (entre autres) les valeurs suivantes :?? http : ressource offerte par un serveur Web accessible via le protocole HTTP.?? ftp : ressource disponible sur un serveur FTP?? gopher : ressource disponible sur un serveur Gopher?? file : fichier accessible par le système de fichiers de l ordinateur local Le numéro de port est par défaut le n 80. Si le champ répertoire est omis, la ressource doit être stockée dans le dossier racine du serveur. Si le champ fichier n est pas précisé, le serveur délivre une page par défaut, généralement nommée index.htm ou encore default.htm. page: 39

40 HTTP (Hyper Text Transfer Protocol) HTTP est un protocole client-serveur qui permet d obtenir des «objets» (page HTML, image, son, applet etc.) depuis un serveur (machine qui fait tourner un HTTPDaemon, autrement dit un serveur Web). Ces objets sont identifiés par leur URL. Pour HTTP, chaque requête du client se traduit par un transfert d objet qui provoque l établissement d une courte connexion TCP entre l émetteur de la requête (généralement un navigateur) et le serveur, adresse cible de la requête. Erreurs renvoyés par un serveur HTTP Numéro de message Signification 301 Le document a été déplacé de façon permanente 302 Le document a été déplacé de façon temporaire 304 Le document n'a pas été modifié, il est donc possible d'utiliser la copie du cache du navigateur ou du proxy 400 L'adresse du document contient une erreur de syntaxe 401 Vous n'êtes pas autorisé à accéder au document 402 L'accès au document est soumis à un paiement 403 Vous êtes interdit d'accès sur le serveur 404 L'URL demandée est valide mais n'est pas sur le serveur 405 La méthode de requête du formulaire n'est pas autorisée 406 La requête n'est pas acceptée par le serveur 407 Une autorisation proxy est nécessaire 408 Le temps d'attente pour accéder à la page demandée a expiré 500 Une erreur interne du serveur est survenue 501 Une requête faite au serveur n'est pas supportée par celui-ci 502 Mauvaise passerelle d'accès 503 Service non disponible 504 Temps d'accès à la passerelle d'accès expiré Mise en garde L originalité de la démarche du Web est l absence de hiérarchie entre les serveurs. N importe quelle page peut proposer des liens vers n importe quelle autre, et n importe qui possédant un ordinateur connecté à internet peut aisément s improviser fournisseur d informations. D où la nécessité d être très prudent quant à la qualité des informations obtenues : une page Web peut contenir n importe quelle pseudo-information farfelue, et sa seule disponibilité sur un serveur quelque part dans le monde ne suffit pas à en certifier le sérieux. (Les français, habitués au minitel beaucoup plus contrôlé et institutionalisé, ont souvent du mal à intégrer cette notion) La seule information à peu près contrôlable est l URL de l information, qui peut éventuellement permettre de contrôler la société éditrice. Mais de nombreux exemples montrent que certains URL qui paraissent dépendre de manière évidente d une société connue, ont en fait été enregistrés par une autre (par exemple concurrente). Et l utilisation d une URL dépend évidemment de la véracité des informations contenues dans les serveurs DNS (qui vont en assurer une partie de la traduction pour déterminer l adresse IP du serveur hébergeant la ressource correspondante). Là encore, tous les bidouillages sont possibles! page: 40

41 Moteurs de recherche Les informations disponibles sur le Web sont tellement nombreuses et variées que certains sites Web se sont spécialisés dans la recherche et la classification des informations disponibles sur le web. Ces sites implémentent des «moteurs de recherche» qui permettent de trouver en fonction de mots-clés les URLs de documents web censés correspondre. Ce sont souvent les premiers sites visités par les internautes, d où le surnom qui leur est souvent donné de «portails». Il existe globalement deux types de moteurs de recherche : Les répertoires (annuaires, guides) : Les sites y sont référencés manuellement par des employé(e)s qui visitent les sites proposés et rédigent des descriptions et choisissent des mots-clés qui vont être associés au site dans la base. La procédure de soumission d un site est assez complexe, et le délai de traitement généralement long. Une requète sur un répertoire fournit peu de résultats, mais ces résultats sont en général de très bonne qualité. Les robots : Les sites y sont référencés automatiquement par un programme qui en permanence visite les sites proposés et revisite les sites déjà référencés. Suivant les moteurs, le programme robot se base sur des éléments très différents pour décrire les pages et choisir les mots-clés qui leur seront associés dans la base (TITLE, META Keywords, META Description, texte etc.). La procédure de soumission se réduit à fournir l URL d entrée du site, et le délai de traitement peut se réduire à quelques heures. Une requète sur un robot fournit une grande quantité de résultats mais ceux-ci peuvent s avérer assez fantaisistes. Dorénavant, les portails implémentent presque tous les deux types de moteurs, même si la plupart d entre eux sont plus connus pour l une ou l autre des fonctionnalités : en France, les répertoires les plus connus sont ceux de Yahoo!, Nomade, Lycos et les robots les plus connus sont ceux de Google, Altavista, Voilà 4.2. Les navigateurs (browsers) Un «navigateur» est un logiciel client capable d effectuer des requêtes vers un serveur Web à l aide du protocole HTTP, puis d afficher correctement les pages HTML avec tous leurs éléments associés, ainsi que les liens hypertextes qu elles contiennent. Certains éléments des pages Web (les images au formats GIF ou JPG par exemple) sont traités directement par le navigateur. Pour étoffer la liste des types d éléments que le navigateur peut traiter, on peut adjoindre à celui-ci des modules optionnels appelés «plug-ins» Dorénavant, le navigateur est souvent employé pour toutes les fonctions de consultation des pages Web, mais également de consultation des newsgroups, d envoi et de réception de courrier électronique, ou encore de consultation de serveurs FTP ou Gopher. Mais il peut faire beaucoup plus à l aide des interfaces évoluées de type Java, qui permettent d utiliser le navigateur comme un point d entrée vers le système local, un peu à l instar de ce qu offre le système d exploitation. Les navigateurs les plus répandus sont évidemment Microsoft Internet Explorer, Mozilla Firefox et Netscape Navigator. page: 41

42 4.3. Format et éléments des pages HTML Langage HTML Le HTML est un langage évolué qui permet de préciser la manière dont un document doit être mis en forme et présenté à l écran. Le standard de l internet est la norme HTML 3.2 ( en cours de normalisation vers 4.0 par le consortium W3C). Une page documentaire écrite en HTML contient du texte et des «balises» (tags), commandes intégrées fournissant des informations sur la structure, l aspect, et le contenu de la page. Ces balises sont elles-mêmes écrites sous forme textuelle compréhensible, elles sont délimitées par les éléments <commande> et </commande>.par exemple, le texte compris entre <B> et </B> sera affiché en caractères gras. Certaines balises HTML construisent des descriptions structurelles des éléments de page, tels que des tableaux et des formulaires, lesquels sont composés de nombreux éléments. Les navigateurs utilisent ces informations pour déterminer le mode d affichage des éléments les uns par rapport aux autres. Par exemple, les balises HTML décrivant un tableau précisent le nombre de lignes de ce dernier, le nombre de cellules dans une ligne, et ainsi de suite... Outre la description des relations structurelles entre les éléments d une page, certaine balises HTML contiennent également des «attributs». Ces derniers fournissent des détails sur une balise particulière. Par exemple, la balise d insertion d une image sur une page comporte un attribut fournissant le nom de l image en question. Certains attributs définissent la présentation de l élément sur la page. Par exemple, un tableau comporte des attributs décrivant la largeur de sa bordure et la marge interne de ses cellules. Pour construire une page HTML, on utilise une «éditeur HTML»:?? type WYSIWYG (What You See Is What You Get) avec visualisation immédiate de la page obtenue (FrontPage, Dreamweaver, PageMill )?? type éditeur de texte (WebExpert ) Une page HTML est à la base une simple page de texte. Pour l agrémenter, on lui ajoute des éléments visuels éventuellement animés et des éléments sonores Images Trois formats sont utilisés :?? JPEG (Joint Photographic Experts Group) : permet des hautes résolutions (24bits/pixel), particulièrement adapté aux images de type photographique (à base de dégradés). La compression proposée par ce format est une compression avec perte (cf taux de qualité).?? GIF (Graphic Interchange Format) : limité à 256 couleurs, adapté aux images graphiques. Il est possible de définir une couleur comme transparente afin que l image se fonde dans la page, et de créer des images entrelacées qui s'afficheront en trois passes, laissant au lecteur la découverte progressive de la clarté de l'image. Ce format est propriétaire et détenu par Unisys.?? PNG (Portable Network Graphics) : mis au point en 1995 afin de fournir une alternative libre au format GIF. Il permet de stocker des images en N&B (jusqu'à 16 bits/pixel), en couleurs réelles page: 42

43 (jusqu'à 48 bits/pixel) ainsi que des images indexées avec une palette de 256 couleurs. Il supporte la transparence par couche alpha (possibilité de définir 256 niveaux de transparence). Il possède également une fonction d'entrelacement permettant d'afficher l'image progressivement. La compression proposée par ce format est une compression sans perte. Enfin PNG embarque des informations sur le gamma de l'image, ce qui rend possible une correction gamma. Des mécanismes de correction d'erreurs sont également embarqués dans le fichier afin de garantir son intégrité Images animées Le format GIF permet la concaténation de plusieurs images dans un seul et même fichier. Le résultat est la création d'une succession d'images donnant une impression d'animation. Ce format est notamment utilisé pour les bannières publicitaires Sons Les premiers formats que l on connaissait sur l internet étaient?? MIDI : liste de commandes pour appareil MIDI capable de générer du son. Ce format est très léger à charger, mais la qualité du son obtenu dépend entièrement de la qualité de l appareil commandé (par exmple la carte son)?? WAV : sons échantillonnés avec une fréquence plus ou moins élevée, donnant un son pouvant être de très bonne qualité (qualité CD) mais dans ce cas long à charger. Les échantillons peuvent éventuellement être compressés à l aide d algorithmes de compression sophistiqués (CoDecs), dont le plus répandu actuellement est le MP3 (MPEG Layer 3) du laboratoire autrichien Fraunhoffer: il permet d obtenir un facteur de compression de l ordre de 10 à 12 pour une qualité très proche de l original!?? AU : format Audio issu de l univers Unix, de moindre précision que le WAV. On a vu apparaître d autres nouveaux formats tentant de réconcilier rapidité de chargement et qualité. Cependant, pour lire ces nouveaux formats, les navigateurs de Netscape et de Microsoft ont besoin de plug-ins, des modules qui se lancent automatiquement si l on clique sur un fichier dont le browser ne sait pas traiter le format tout seul. On peut citer comme exemples les formats RealAudio, ToolVox, EchoSpeech Vidéo La vidéo est généralement très lente à charger. Il existe une multitude de types de fichiers, dont les principaux sont :?? AVI : équivalent du WAV pour la vidéo, permet une excellente qualité mais avec de très gros fichiers lisibles uniquement quand le fichier est complet. Les échantillons peuvent éventuellement être compressés à l aide d algorithmes de compression sophistiqués (CoDecs) dont les plus répandus actuellement sont les différentes versions du MPEG (Motion Picture Expert Group), la version 2 est d ailleurs utilisée pour la télé numérique et sur les DVDs, et il existe maintenant une version 4 plus connue sous le nom de DivX.?? MOV (développé par Apple) qualité légèrement inférieure, mais généralement plus rapide car arrive par paquets. Plusieurs variantes coexistent, et ce format évolue régulièrement.?? RealVideo?? Vivo Active page: 43

44 4.4. Outils d interactivité client-serveur L internet a connu un essor phénoménal auprès du grand public du fait de son attractivité, de sa richesse d information etc.. mais également auprès des entreprises qui y voient la possibilité de consulter des documents mais aussi de travailler via une seule interface. Reste que le Web a rapidement commencé à s essouffler car ses possibilités d interactivité étaient finalement limitées. Pour combler cela, les grands acteurs (Oracle, Sun, Microsoft, Netscape) se sont penchés sur le problème et ont développé des technologies supportés par le Web CGI (Common Gateway Interface) CGI est une interface permettant de demander l exécution d un traitement sur un serveur Web plutôt que l envoi d un objet. Chaque appel de traitement via CGI provoque le lancement d un exécutable et donc la création d un processus qui est détruit dès la fin du traitement. CGI est donc en fait une norme de passages de paramètres à distance (RPC). navigateur URL = appel CGI exécution d'un programme avec les paramètres fournis éventuellement : renvoi d'un objet résultat (page HTML, image...) serveur web Le CGI est arrivé en même temps que la norme HTTP. Il a pris énormément d importance dans l interactivité du Web et lui a offert des possibilités importantes notamment dans le traitement des paiements à distance (prises de commandes, vérification du code de carte). Les formulaires notamment s appuient généralement sur le CGI. Le langage le plus adapté pour mettre en place les procédures CGI est le langage PERL (Practical Extraction and Report Language), écrit par Larry Wall Javascript JavaScript provoque l'exécution de lignes de programmes contenues dans le corps de la page HTML et interprétés par le navigateur. Les commandes JavaScript sont principalement en rapport avec la gestion de l affichage, les transitions, et l automatisation de certaines actions (ouverture d une nouvelle fenêtre, dimensionnement, chargement du document suivant etc.) le navigateur interprète les lignes de JavaScript et les exécute navigateur requète HTTP le code HTML renvoyé contient du JavaScript serveur web page: 44

45 Cookies Les cookies sont des lignes d information textuelle de format variable qu un serveur web peut demander au navigateur d écrire ou de lire sur le disque dur du poste client. Ceci permet au serveur de garder une trace des précédentes sessions effectuées par ce poste client, dans le but par exemple de réaliser des statistiques, de personnaliser la navigation, ou de reprendre une recherche ou une commande en cours. sur le disque local: écriture du cookie lecture du cookie navigateur requète HTTP HTML + SetCookie plus tard: HTML + GetCookie serveur web Les cookies sont stockés pour Netscape dans un fichier nommé COOKIES.TXT du répertoire de l utilisateur, et pour Internet Explorer dans le répertoire COOKIES.du profil de l utilisateur Pages dynamiques : ASP et PHP La technique des pages dynamiques consiste à fabriquer les documents HTML à la demande dynamiquement sur le serveur, généralement à partir d une feuille de style qui définit la structure de la page avec des éléments fixes, et des éléments variables choisis en fonction des paramètres d appel fournis dans l URL demandée. Cette technique est souvent couplée avec l utilisation d un serveur de bases de données qui fournit alors les éléments variables de la page, ce qui est permet de maintenir nettement plus aisément des serveurs proposant une quantité importante d informations structurées. navigateur URL= ASP ou PHP page fabriquée dynamiquement serveur web fabrication dynamique d'une page HTML à partir d'éléments fixes et variables (par ex issus d'une base de données) Les deux techniques concurrentes les plus utilisées actuellement sont les ASP (Active Scripting Page) de Microsoft et les PHP (Personal Home Pages) de Rasmus Lerdof Java Java (qui signifie «café» en argot américain) est la plus sophistiquée des fonctionnalités proposées par le navigateur, et elle dépasse de très loin le simple cadre des échanges navigateur serveur web basés sur HTTP / HTML. Java est en fait un langage de programmation, ou plus exactement une API complète d accès au système d exploitation de la machine (c est à dire une collection de fonctions mises à la page: 45

46 disposition des développeurs pour utiliser les ressources de la machine dans un programme) qui a été développée conjointement par Sun Microsystems et Netscape. Le principe n est pas nouveau, puisque une telle API existe déjà pour chaque système d exploitation (par exemple pour Windows on peut utiliser le WSDK : Windows Software Development Kit). L aspect révolutionnaire réside dans le fait que Java définit une API multiplateforme c est à dire utilisable indifféremment sur n importe quelle machine et système d exploitation! Il devient ainsi possible à l aide de Java de fabriquer un programme qui fonctionne de manière identique sur n importe quel ordinateur Pourquoi alors présenter Java dans l univers du navigateur? Tout simplement parce que Java a profité de la diffusion rapide et universelle des navigateurs web pour se diffuser conjointement. Ainsi, sur bon nombre de machines, c est le navigateur qui va faire office de traducteur entre les appels aux fonctions Java et les appels aux fonctions du système d exploitation spécifique de la machine. Le programme Java se lance via la Virtual Machine du navigateur (une machine virtuelle est un environnement en mémoire qui est vu par une application comme si une machine complète avec toutes ses ressources était disponible exclusivement pour cette application). Dorénavant, l implémentation de Java est également disponible hors-navigateur sous la forme de ce que l on appelle la Java RunTime. Programme ou Applet écrit en Java appels aux fonctions Java Navigateur Web Java RunTime appels aux fonctions du système Système d'exploitation (Operating System) Ressources matérielles de l'ordinateur D autre part, grace à Java, les échanges navigateur serveur web peuvent être encore enrichis : en effet, quelque soit le système d exploitation du client, le serveur HTTP peut envoyer un programme écrit en Java (un applet) au navigateur, qui est alors chargé de l'exécuter. le navigateur exécute le programme dans sa V.M. navigateur requète HHTP envoi d'un applet Java serveur web page: 46

47 Active X Pour contrer Sun et Netscape, Microsoft a tenté de répondre avec la technologie Active X, architecture «ouverte», développée par Microsoft, permettant d insérer des objets logiciels (appelés contrôles ActiveX) à l intérieur de pages HTML. Microsoft définit ActiveX comme une passerelle entre la technologie Java de Sun et les composants Microsoft OLE (Object Link Embedding) Technologie push La technologie classique du Web basée sur l interaction client/serveur entre le navigateur et le serveur Web à l aide du protocole HTTP est baptisée technologie «pull». L utilisateur effectue à sa propre initiative des requètes pour obtenir les informations qu il désire, il «tire» ainsi l information vers lui, d où cette appellation. C est lui qui choisit et sélectionne les informations qu il veut télécharger des serveurs, et il doit faire la démarche de les obtenir. Cette approche apparaît comme assez limitative. Elle peut notamment s avérer insuffisante lorsque l on a des besoins de distribution d information. Le seul outil proposé à l origine pour répondre à ces besoins étant la messagerie électronique, dont les aspects multimedia et les possibilités d interactivé sont volontairement limités, il est apparu la nécessité de développer de nouveaux outils permettant de distribuer de l information au format HTML Ces technologies sont réunies sous l appellation de technologies «push», dans ce sens qu elles permettent de «pousser» l information vers un ou plusieurs utilisateurs. Elles reposent sur l utilisation de programmes auditeurs spécialisés (par ex Netcape NetCaster et Microsoft Active Desktop), suceptibles de recevoir régulièrement des informations au format HTML et d en provoquer l affichage à l écran. Elles utilisent souvent les possibilités multicast d IP lorsques celleci sont disponibles sur les matériels utilisés Accès aux bases de données Les serveurs Web de taille importante et mettant en ligne de grosses quantités d informations (par exemple les sites de commerce électronique) nécessitent la plupart du temps que ces informations soient structurées en base de données. En effet, les bases de données d'aujourd'hui offrent un certain nombre d'avantages indéniables quant à la mise à jour des informations, leur structuration, et aux outils permettant de gérer ces informations. Il existe plusieurs SGBD (Système de Gestion de Base de Données) dans le commerce, le plus connu d'entre eux étant Oracle qui existe sur un grand nombre de plates-formes dont UNIX, Windows NT, Netware et Linux. Les SGBD actuels sont dit relationnels et peuvent donc être accédés par un langage d'interrogation ou de traitement standard: le SQL (Structured Query Language, ISO 9075). L objectif est donc généralement d intégrer dans les documents proposés sur un serveur web les résultats de requètes SQL obtenus auprès du SGBD. Il existe plusieurs méthodes de coupler un serveur web avec un serveur de bases de données : Utilisation de CGI Cette méthode est la plus ancienne, elle consiste à utiliser un appel CGI pour exécuter des requêtes par programme en SQL vers une base de données. Elle demande des ressources page: 47

48 système car chaque requête provoque au niveau du serveur HTTP un appel système à un programme externe. D autre part, elle nécessite le développement d un nouveau programme pour chaque nouvelle requète que l on veut effectuer Utilisation d A.P.I. spécifiques Cette méthode est plus moderne, elle consiste à utiliser une API existante entre le serveur HTTP et la base de données. Cette API permet de s'affranchir de codages de programmes en incluant dans les pages HTML les codes d'accès aux bases de données. Il existe deux API auxquelles se conforment les principales grandes bases de données. NSAPI de Netscape et ISAPI de Microsoft. Pour les bases de données de plus petite taille, les produits phares actuels sont MySQL qui s utilise avec un serveur web Apache et des PHP, et SQL-Server de Microsoft qui s utilise avec un server web I.I.S. (Internet Information Server) et des ASP. Cette méthode est très à la mode mais assez dangeureuse en terme de portage des applications, d'une part par rapport aux serveurs HTTP mais également par rapport aux bases de données Utilisation de Java (accès distribué) Cette méthode vise à fournir au poste client le logiciel lui permettant de faire lui même la connexion avec la base de données. Ceci est l'un des enjeux de Java qui notamment avec son extension JDBC permet de fournir une applet chargée de se connecter au serveur par une connexion ODBC (Open DataBase Connectivity) Utilisation d un moteur de requètes dédié Cette méthode consiste à disposer d'un serveur passerelle dédié à l'interrogation de bases de données. L'avantage de cette méthode réside dans le fait que les bases de données peuvent être hétérogènes, c'est à dire de modèle différents et réparties sur un réseau. La passerelle est spécialisée dans la traduction de requêtes vers les bases de données et la restitution d'informations, laissant une interface unique aux programmeurs d'applications Web. page: 48

49 5. Les autres services applicatifs 5.1. Transfert de fichiers : FTP FTP (File Transfer Protocol) est le premier outil qui a été mis à la disposition des utilisateurs pour échanger des fichiers sur Internet ou TCP/IP. Un service FTP permet d'écrire ou de lire des fichiers à distance sur une autre machine du réseau, en utilisant un modèle client/serveur, et en permettant la gestion de droits d accès complexes en fonction des utilisateurs. Les navigateurs web actuels intègrent tous un logiciel client FTP sommaire. Quelques conventions sont en vigueur sur les serveurs FTP d internet qui sont ouverts au public :?? le compte utilisateur «invité» s appelle anonymous, et on doit fournir une adresse en guise de password?? les fichiers accessibles à tous sont dans un répertoire appelé pub?? le répertoire dans lequel on peut déposer des fichiers s appelle upload?? le contenu d un répertoire est souvent décrit par un fichier texte appelé index.txt Principales commandes FTP : open, dir, ls, cd, mode (ASCII ou binaire), get, put, rest 5.2. Messagerie : SMTP, MIME, POP et IMAP SMTP (Simple Mail Transfer Protocol) SMTP est une spécification standard du monde Internet, décrite dans les documents "Request For Comments": RFC 821 (protocole) et RFC 822 (format) C est un "service de transport" offrant un environnement de communication inter-processus, c'està-dire une sorte de langage définissant une conversation typique entre deux machines pour échanger les informations constituant un message électronique. La messagerie ou plus exactement une application de messagerie basée sur SMTP utilise le "service de transport" SMTP Le format du message est très simple et purement textuel. Le message débute par un certain nombre de lignes d entêtes (headers) qui précisent les destinataires (To :..., Cc :, Bcc : ), l expéditeur (From :...), la date d envoi (Date :...), le sujet (Subject :...), l adresse pour la réponse (Return-Path:...), etc. Chaque passerelle SMTP par laquelle va transiter le message ajoute au début de celui-ci une entête supplémentaire sous la forme «Received: from... by for...». Ces entêtes de page: 49

50 transmission permettent de connaître et de vérifier la provenance et l itinéraire suivi par un message électronique. expéditeur SMTP SMTP passerelle SMTP sortante SMTP D.N.S. INTERNET passerelle SMTP entrante serveur POP ou IMAP D.N.S. POP ou IMAP destinataire SMTP établit une communication directe entre la passerelle SMTP sortante du réseau de l expéditeur et la passerelle SMTP entrante du réseau du destinataire, qui va délivrer le message au serveur de boîtes aux lettres de messagerie (POP3 ou IMAP) du destinataire, qui stocke le message jusqu à ce que l utilisateur relève sa boîte aux lettres. Il se peut que certaines passerelles SMTP intermédiaires soient utilisées an amont sur le réseau de départ, ou en aval sur le réseau d arrivée, à des fins d administration des performances et de la sécurité. L expéditeur et le destinataire d un message SMTP sont identifiés par leur «adresse » dont le format théorique est le suivant : nom_de_serveur_de_courrier. nom_de_domaine par exemple : [email protected] En pratique, chaque domaine (dans l exemple devinci.fr) possède une passerelle SMTP entrante qui reçoit tous les messages SMTP à destination du domaine, et qui effectue la traduction de l adresse du destinataire spécifiée dans le message (appelée alias) en son adresse réelle, en fonction d une table de correspondance mise à jour par l administrateur. Ceci permet d utiliser des adresses indépendantes du nom de la machine dépositaire du courrier, et d un format plus explicite pour les utilisateurs. On définit notamment un format d adresse dite «canonique» sous la forme usuelle suivante : prénom. nom_de_domaine par exemple : [email protected] page: 50

51 La transmission de tous les caractères des messages SMTP se fait sur 7 bits. La définition prévoit même que le 8ième bit soit mis à 0 explicitement pour chaque caractère transmis. Toute donnée autre que des caractères dont le code ASCII est inférieur à 128 devra donc être «encodée» sur 7 bits pour pouvoir être transmise via SMTP MIME (Multipurpose Internet Mail Extension) La messagerie SMTP est limitée par l absence de support d autres types de données que le texte ASCII 7bits dans les messages. En 1991, Nathaniel S. Borenstein, de Bellcore, a proposé des extensions importantes aux standards de messagerie électronique Internet. MIME étend ainsi les standards SMTP pour représenter et coder les différentes variétés de types de médias (dont les données texte avec des caractères non ASCII) pour les transmettre via la messagerie Internet. Elle permet l attachement de pratiquement tous les types de fichiers de données à un message grâce à un mécanisme simple (RFC 2045 à 2049). La division de base des messages Internet en une section en-tête et une section corps est toujours présente. La proposition MIME étend cette division de base en :?? ajoutant un nouveau type d en-tête (Content-Type: multipart/mixed) qui spécifie si un message est composé de plusieurs parties, avec du texte ou non, et s il comporte des attachements, dans un format spécifique.?? permettant aux données d être codées dans un format texte ASCII spécial (Content-Transfer- Encoding: ), puis attachées au corps du message, avec des informations de séparation (boundary=" "), d identification (Content-Disposition: attachment; filename=" ") et de typage des données (Content-Type: ) permettant notamment de savoir quel programme utiliser sur la machine destinatrice pour visualiser ces données. Plusieurs techniques de codage des données binaires en données ASCII 7 bits coexistent :?? Aucun encodage (nécessite l utilisation de passerelles SMTP n effaçant pas le 8 ème bit)?? Base64?? BinHex?? Quoted Printable (pour les caractères non 7 bits, tels que les caractères accentués)?? UUEncode La technique UUEncode qui est antérieure à MIME définissait également une méthode ultrasimple d attachement des données au message SMTP (begin <nom_de_fichier> end) mais celle-ci n est plus guère employée, sauf sur le réseau NNTP UseNet POP (Post Office Protocol) POP a été conçu pour permettre le traitement hors-ligne du courrier électronique. Le courrier SMTP est délivré à un serveur partagé de boîtes aux lettres POP, et l utilisateur se connecte périodiquement au serveur à l'aide d'un programme client POP pour rapatrier tous les courriers en attente vers sa machine. Par la suite, toutes les opérations relatives à ces courriers s'effectuent localement sur la machine cliente. Le mode d'accès hors ligne peut être vu comme un service de stockage et de réexpédition (storeand-forward), destiné à faire passer le courrier, à la demande, d'un serveur intermédiaire (point de chute) vers une machine unique du destinataire, habituellement un PC ou un Mac. Après page: 51

52 acheminement vers le client PC ou Mac, les messages sont généralement supprimés sur le serveur de courrier. Les commandes POP sont donc très sommaires. Elles permettent de se connecter (user, pass) d obtenir le nombre d e-mais en attente et la taille de chacun d entre eux (list), puis de rapatrier un message (retr) et enfin de l effacer (dele). Aucune information sur le contenu des s en attente autre que leur taille n est disponible, et la plupart des clients POP se contentent de rapatrier tous les messages d un seul coup et de les effacer ensuite du serveur. Le mode hors ligne propre à POP donne satisfaction aux personnes utilisant toujours la même machine cliente ; il n'est en revanche pas adapté pour l'accès à une boîte aux lettres depuis plusieurs machines à différents moments. Cela provient du fait qu'un accès hors ligne (ramener puis supprimer le courrier) depuis différents ordinateurs à différents moments provoque la dissémination du courrier sur les différents ordinateurs IMAP (Internet Message Access Protocol) IMAP est un autre protocole d accès à de boîtes aux lettres électronique, plus récent et nettement plus sophistiqué que POP3. Il peut aussi assurer le traitement hors ligne, mais sa force particulière réside dans ses opérations en ligne et en mode connecté. En mode en ligne, les courriers sont délivrés à un serveur partagé IMAP, mais le client de courrier ne les rapatrie pas tous en une fois pour les supprimer ensuite du serveur. Cela s'inscrit plus dans un modèle interactif client-serveur, dans lequel le client peut consulter indépendamment les différentes parties des différents messages (en-têtes, corps, pièces jointes ), ou demander la recherche de messages répondant à certains critères. Il peut en effet être utile de pouvoir remettre à un moment plus propice la réception de messages ou de parties de messages qui n'ont pas un intérêt immédiat, notamment avec les messages multimédia ou en multiples parties MIME (par exemple lorsqu'un utilisateur itinérant connecté depuis sa chambre d'hôtel vient de recevoir un court message de texte avec une pièce jointe de 10 Mo attachée au message). Les messages sur le serveur peuvent être marqués par différents drapeaux d'état (tels que supprimé ou répondu) et les messages restent sur le serveur jusqu'à ce que l'utilisateur demande explicitement leur élimination, ce qui peut survenir par exemple dans une session ultérieure. Selon l'implémentation du client IMAP et l'architecture du système de courrier électronique mise en oeuvre par l'administrateur système, l'utilisateur peut enregistrer des messages directement sur la machine cliente ou les sauver sur le serveur, ou pouvoir faire les deux en même temps. IMAP permet de gérer et d accéder à des boîtes aux lettres multiples. Ceci inclut la possibilité de nommer et d'accéder différents dossiers de courriers et d'archivage, mais aussi de les lister, de les rebaptiser, d'en créer d'autres ou d'en détruire. Ces boîtes aux lettres peuvent être localisées sur le même serveur ou sur d'autres serveurs. Un client IMAP peut permettre à l'utilisateur de voir toutes ces boîtes aux lettres en même temps, et de déplacer des messages de l'une à l'autre. En quelque sorte, IMAP est conçu pour permettre la manipulation de boîtes aux lettres distantes "comme si" elles étaient locales. IMAP permet un accès et des mises à jour concurrentiels de boîtes aux lettres partagées. Cette fonction est utile lorsque plusieurs individus traitent les messages arrivant dans une boîte aux lettres commune. Les modifications de l'état de la boîte aux lettres peuvent être présentées à tous les clients accédant concurrentiellement via IMAP. page: 52

53 5.3. Newsgroups : NNTP Le protocole NNTP (Net News Transfer Protocol) est assez proche de SMTP, en ce sens qu il permet le transfert de messages textuels de même format. Ces messages (que l on nomme «articles») peuvent éventuellement être agrémentés de pièces jointes. Mais NNTP permet l utilisation de ce que l on pourrait en quelque sorte considérer comme des «boîtes aux lettres publiques». Les destinataires des articles sont des «forums de discussion» (newsgroups) qui regroupent les articles par thèmes suivant des dénominations hiérarchiques enregistrées auprès des instances gérant le réseau Usenet. Ce réseau Usenet regroupe les «serveurs de news» éparpillés dans le monde entier, qui stockent physiquement les articles contenus dans les forums, et qui s échangent le contenu des forums sur demande avec un système de caches, un peu sur le même principe que les serveurs de noms DNS vus précédemment : lorsqu un utilisateur sollicite l accès à un forum, le serveur auquel il est rattaché obtient d abord la liste des entêtes des articles, puis il effectue en fonction des demandes de l utilisateur le transfert des articles sélectionnés. Les serveurs de news sont accessibles par l intermédiaire d un programme client de news. Les navigateurs actuels intègrent tous une version simple de client news Terminal virtuel : Telnet Telnet est un protocole permettant de se connecter sur une machine distante disposant d un système d exploitation multi-utilisateurs (généralement Unix/Linux) et d y ouvrir une session en tant qu'utilisateur d un terminal en mode texte. On parle de «terminal virtuel» par opposition à un terminal physiquement connecté en local à la machine. Telnet fonctionne en mode client serveur : un client Telnet se connecte à un serveur Telnet (le n de port par défaut du service Telnet est 23) Telnet est également très utilisé pour accéder à distance aux fonctions de configuration de base d un équipement réseau (imprimante, routeur, commutateur etc.) 5.5. Discussion texte, «chat» Talk Talk est un protocole qui permet de communiquer en mode texte en temps réel et de façon interactive avec un autrel utilisateur (on appelle ça faire du «chat»), en mode point-à-point. Un des deux interlocuteurs doit être en attente d appel (en listen) pour que son correspondant puisse l appeler et établir la communication. Un paquet IP est émis pour chaque caractère tapé par l un ou l autre des utilisateurs, ce qui génère un gaspillage important de bande passante. On trouve deux versions de talk : talk et ntalk (new talk). Ces deux protocoles sont incompatibles. page: 53

54 IRC (Internet Relayed Chat) Présentation IRC est un protocole qui permet également à des utilisateurs de communiquer en mode texte en direct. A la différence de talk qui permet de communiquer à deux, IRC permet de discuter à deux mais également à plusieurs dans des «canaux» (channels). Pour permettre ces communications multi-points, les échanges textuels sont relayés par un ou plusieurs serveurs IRCs, auquel on accède à l aide d un logiciel client IRC. Pour éviter le gaspillage de bande passante, les caractères saisis ne sont envoyés qu une fois que l utilisateur a tapé sur la touche «Entrée» et les échanges sont donc transmis phrase par phrase Les réseaux et serveurs IRC Les serveurs IRC sont interconnectés en réseau, mais - à la différence des serveurs de news qui sont tous regroupés sur un réseau unique Usenet il existent plusieurs réseaux IRC distincts (Efnet, Undernet, DALnet, IRCnet...etc.). Un serveur IRC permet d'accéder à seul un réseau parmi les différents réseaux IRC. Quel que soit le serveur auquel on se connecte sur un réseau IRC en particulier, on retrouve donc les utilisateurs du monde entier connectés sur les différents serveurs de ce même réseau, sans avoir en revanche la visibilité des utilisateurs connectés sur les serveurs des autres réseaux IRC. Les deux réseaux principaux sont Efnet (EF signifie Effective) et Undernet. En Europe, la plupart des serveurs sont connectés au réseau IRCnet. En principe, il est mieux de se connecter à un serveur proche géographiquement. La liste des serveurs peut être aisément complétée une fois que connecté par la commande /LINKS Les canaux et les utilisateurs Les utilisateurs connectés sont désignés par un pseudonyme (nickname) qui doit être unique sur l ensemble du réseau IRC concerné. Ils se regroupent (/JOIN) pour discuter dans des «canaux» (channels), désignés par un nom commençant par le caractère #. Certains utilisateurs ont plus de droits que d'autres sur un canal donné, ils sont précédés par le et sont appelés opérateurs. Un opérateur peut, par exemple, éjecter (/KICK) un connecté du canal, ou bien changer les attributs d'un connecté ou du canal. On retrouve autant de canaux que de thèmes, un peu comme dans les news, mais - à la différence des news - chacun peut créer un canal qui sera détruit automatiquement dès qu'il sera vide. On trouve des canaux institutionnels (c'est-à-dire qui existent jour et nuit, où l'on est à peu près sûr de toujours trouver quelqu'un) et des canaux plus volatiles qui n'ont pour durée d'existence que le temps de connexion de leur propriétaire. Pour assurer leur continuité, les canaux institutionnels contiennent généralement un «bot» (abréviation de «robot») c'est-à-dire un programme qui reste en permanence sur le canal pour simuler un utilisateur. Le bot permet souvent en plus de gérer une liste d'utilisateurs référencés auxquels il va affecter des droits d'opérateur en échange de la saisie d un mot de passe. page: 54

55 Les canaux sont généralement accessibles à tous; mais un canal peut être mis dans différents modes (/MODE), selon l'usage que ses opérateurs désirent en faire :?? s : secret, le canal n'est pas visible pour les autres utilisateurs?? p : le canal est privé, personne ne peut y entrer.?? i : le canal est réservé, on ne peut y entrer que sur invitation?? l (nb): le canal est limité à nb utilisateurs?? m : le canal est modéré, seuls les opérateurs peuvent y parler?? n : les messages externes ne parviennent pas aux utilisateurs du canal?? t : le titre du canal ne peut pas être modifié Le DCC (Direct Client to Client) Selon les programmes clients IRC utilisés, on peut éventuellement utiliser les outils DCC: DCC CHAT : il permet de discuter en direct avec un correspondant, mais directement d adresse IP à adresse IP sans passer par les serveurs IRC (comme avec Talk) DCC SEND/GET : le DCC SEND permet d'envoyer en temps réel à un correspondant un ou plusieurs fichiers. Une connection TCP directe est établie pour effectuer le transfert si le correspondant accepte le transfert à l aide de DCC Get Messengers : MSN, Yahoo!, ICQ, AIM etc. L inconvénient principal de talk est qu il nécessite de connaître l adresse de son interlocuteur pour pouvoir l appeler. Hors, de nombreux internautes connectés temporairement par l intermédaire de PPP, ou utilisateurs d un serveur DHCP, ne bénéficient pas d une adresse IP fixe et permanente. Pour contourner cela, de nombreuses solutions ont vu le jour, dont les plus connues sont ICQ (I seek you = je te cherche), MSN-Messenger, Yahoo! Messenger, AOL-InstantMessenger etc. Ces logiciels sont appelés des «messengers» et fonctionnent tous sur le même principe : 1. L utilisateur installe un programme client qui reste résident sur sa machine (i.e. fonctionne en permanence en tâche de fond) et s abonne auprès du service. En échange de son abonnement il reçoit un numéro d identification qu il devra fournir à ses correspondants éventuels. 2. L utilisateur peut à partir de là ajouter à sa «liste de contacts» les numéros des correspondants dont il veut surveiller la disponibilité. 3. Dès qu une connexion à internet est établie depuis la machine, le logiciel s en rend compte et appelle le serveur central pour le prévenir de l arrivée en ligne de l abonné et lui fournir son adresse actuelle. 4. En réponse, le serveur central précise à l abonné lesquels de ses contacts sont actuellement en ligne, et prévient également tous les utilisateurs qui ont l abonné dans leur propre liste de contacts de son passage en ligne. 5. Ensuite, l utilisateur peut à loisir démarrer un dialogue, un transfert de fichiers, une visioconférence etc. avec un de ses contacts en ligne par l intermédiaire du serveur central qui lui fournira son adresse actuelle. page: 55

56 5.6. Visioconférence : NetMeeting, etc. Un certain nombre de solutions de «téléphonie» et de visioconférence existent sur internet. Ces applicatifs permettent une conversation audio et/ou vidéo entre deux postes en point à point (on dit en «1:1»). Ils offrent souvent en plus la possibilité de dialoguer en mode texte (fenêtre «conversation» ou «chat»), de partager une zone graphique (appelée «tableau blanc» ou «white board» par analogie au tableau utilisé lors d une réunion), voire même parfois de partager des applicatifs bureautiques. Le problème lié au transfert de l audio et de la vidéo avec une qualité satisfaisante est bien évidemment un problème de bande passante, car ces types de données nécessitent un débit important. Ces applicatifs font donc intervenir des «codecs», abréviation de codeur - décodeur, qui compressent les données audio et vidéo à l émission pour faciliter leur transport via internet, et les décompressent à l arrivée. Il est bien sur indispensable que les correspondants disposent des codecs utilisés par leur interlocuteur pour pouvoir décoder les flux audio et vidéo que celui-ci leur envoie. A l heure actuelle, les applicatifs les plus couramment utilisés pour la visioconférence via internet sont les suivants :?? Microsoft NetMeeting : ivisit : ICU-II : CUseeMe : D autre part, certains messengers intègrent des fonctionnalités de communication audio et vidéo :?? Microsoft MSN Messenger : Yahoo! Messenger : Certains logiciels permettent d effectuer des conférences multi-utilisateurs. Celle-ci nécessitent l utilisation d un serveur de visioconférence, qui va recevoir les flux audio et vidéo de chacun des participants et leur redistribuer en fonction des demandes de chacun. Un tel serveur est appelé un réflecteur. D autres logiciels permettent quant à eux la connexion à des serveurs d annuaire (par exemple des serveurs ILS, Internet Locator Server) qui listent d autres personnes connectées au même moment en précisant leurs coordonnées et leurs capacités audio/vidéo, et qui permettent de les appeler directement. Attention toutefois dans le cas de NetMeeting, ces serveurs d annuaire ne sont pas connectés entre eux et il faut donc les interroger l un après l autre pour avoir la visibilité de l ensemble des personnes connectées. NetMeeting autorise aussi le partage d une application entre deux utilisateurs, ce qui permet la prise de contrôle à distance sur un programme du correspondant, voire sur l ensemble de sa machine si l application partagée est le «Bureau» de Windows Bases documentaires : Gopher Un client gopher est un noyau qui fait appel à des applications externes pour traiter les différentes informations récupérées sur un serveur gopher. Ainsi, le client appelle un logiciel de page: 56

57 traitement de texte pour afficher un fichier texte, il appelle un logiciel graphique pour afficher une image, un logiciel de télécommunications pour des items telnet, etc. Le protocole Gopher est un peu l ancètre du couple HTTP/HTML, et les navigateurs actuels dans leurs versions récentes implémentent un client Gopher Accès aux répertoires : LDAP LDAP (Lightweight Directory Access Protocol) est un protocole d accès à une base de données de type annuaire. LDAP est né de l adaptation de X.500 DAP au protocole TCP/ IP. LDAP garde beaucoup d aspects de X. 500 dans les grandes lignes, mais va dans le sens de la simplification. LDAP définit : le protocole : comment accéder à l information contenue dans l annuaire, un modèle d information : le type d information contenu dans l annuaire, un modèle de nommage : comment l information est organisée et référencée, un modèle fonctionnel : comment on accède à l information, un modèle de sécurité : comment données et accès sont protégés, un modèle de duplication : comment la base est répartie entre serveurs, des API : pour développer des applications clientes, LDIF : un format d échange de données LDAP peut notamment être utilisé sur internet pour la gestion à distance d un carnet d adresses ou d un annuaire. page: 57

58 5.9. Administration : SNMP Le protocole SNMP (Simple Network Management Protocol) est un protocole simple d administration de réseau. Il permet de collecter des informations sur des éléments actifs du réseau vers une «console d administration», et d émettre à partir de celle-ci des ordres vers ces éléments actifs. Ce protocole permet ainsi :?? la mise-à-jour de statistiques de fonctionnement du réseau,?? l analyse des performances du réseau quasiment en temps réel,?? la remontée d erreurs ou de warnings vers la console d administration,?? la reconfiguration à distance d un élément actif. Le protocole SNMP spécifie les échanges entre des agents SNMP et un processus d administration SNMP qui gère la MIB (Management Information Base), constituée de toutes les informations stockées par le système d administration sur la configuration des éléments actifs. Lors de l ajout d un nouveau type de matériel sur le réseau, on doit ainsi généralement ajouter à la MIB le format des objets SNMP utilisables avec ce matériel. page: 58