THÈSE DEVANT L UNIVERSITÉ DE RENNES 1. Olivier Paul. Le contrôle d accès dans les réseaux ATM

Dimension: px
Commencer à balayer dès la page:

Download "THÈSE DEVANT L UNIVERSITÉ DE RENNES 1. Olivier Paul. Le contrôle d accès dans les réseaux ATM"

Transcription

1 N o Ordre : 2483 THÈSE présentée DEVANT L UNIVERSITÉ DE RENNES 1 pour obtenir le grade de : DOCTEUR DE L UNIVERSITÉ DE RENNES 1 Mention : INFORMATIQUE École Doctorale : Mathématique, Informatique, Signal, Électronique et Télécommunications PAR Olivier Paul Équipe d accueil : Composante Universitaire : Département Réseaux et Services Multimédia, ENST de Bretagne Institut de Formation Supérieure en Informatique et Communication TITRE DE LA THÈSE Le contrôle d accès dans les réseaux ATM SOUTENUE LE 27 Février 2001 devant la Commission d Examen COMPOSITION DU JURY M. Daniel Herman Professeur, Université de Rennes 1 Président M. Gerardo Rubino Directeur de Recherche, INRIA Directeur Scientifique M. Fréderic Cuppens Chargé de Recherche HDR, ONERA Rapporteur M. Refik Molva Professeur, Institut Eurecom Rapporteur M. Sylvain Gombault Enseignant Chercheur, ENSTB Examinateur Mme Maryline Laurent Maître de Conférence, INT Examinateur M. Pierre Rolin Professeur, France Telecom R&D Examinateur

2

3 D'ar re am c'har... A ceux qui m aiment...

4

5 Remerciements Je suis reconnaissant à Pierre Rolin et Gérardo Rubino de m avoir accueilli dans le département RSM. Je les remercie pour les conseils judicieux qu ils m ont donné tout au long de ma thèse ainsi que pour la confiance et la liberté qu ils m ont accordé. Mes remerciements vont également à Maryline Laurent et Sylvain Gombault qui m ont efficacement encadré pendant ces trois années. Je les remercie pour tous les efforts par lesquels ils ont contribué à l avancement de mes travaux. Ma gratitude va également à MM. Frédéric Cuppens et Refik Molva qui m ont fait l honneur d être rapporteurs de cette thèse. Je tiens également à remercier M. Daniel Herman d avoir accepté d être membre de mon jury. Cette thèse a été réalisée grâce au soutien financier de la DRET (Direction des Recherches et Etudes Techniques). Je remercie les membres de cet organisme de m avoir offert la possibilité de réaliser ces travaux. Une grande partie de mes travaux n auraient jamais été possibles sans le soutien matériel et intellectuel des membres de la DRET et de France Telecom-RD. Je tiens de ce fait à remercier MM. Yves Lepape, Anthony Lucas, Jean-Jacques Maret, Benoît Martin du CELAR et MM. Christian Duret, Hervé Guesdon, Valery Laspreses, Joël Lattmann, Jacques Le Moal, Jean-Louis Simon de France Telecom-RD. Mes remerciements vont également aux étudiants de l ENST de bretagne et du DESS ISA ayant collaboré par leurs travaux à la réalisation de cette thèse. Je veux aussi remercier toutes les personnes du campus de Rennes qui par leurs conseils, leur bonne humeur et leur gentillesse ont contribué à la réalisation de cette thèse. Une thèse est souvent l aboutissement de nombreuses années d étude. Je voudrais à ce sujet remercier les professeurs qui m ont montré combien le domaine de l informatique et des télécommunications pouvait être riche et intéressant. Je tiens en particulier à remercier Christian Lagache qui m a fait découvrir ce domaine il y a maintenant 15 ans. Je tiens par ailleurs à exprimer ma reconnaissance envers mes amis, qui par leur amitié ont grandement aidé à faire du marathon qu est la thèse une expérience surmontable. Merci en particulier à Leila et Octavio avec qui j ai partagé beaucoup de bons moments durant ces années à Rennes. Merci enfin à ma famille par son soutien constant et sa confiance durant toutes ces années.

6

7 Le contrôle d accès dans les réseaux ATM Cette thèse se place dans le cadre de réseaux assurant des débits élevés et offrant aux utilisateurs la possibilité de différencier le traitement des flux transportés. Ces propriétés, telles qu elles apparaissent dans les réseaux ATM, peuvent poser des problèmes lorsqu elles sont utilisées en combinaison avec des pare-feux. Ces derniers ne sont pas adaptés à la prise en compte de la qualité de service pouvant être négociée par les utilisateurs. D autre part, ils ne sont pas non plus conçus pour traiter des débits importants. Enfin ils sont généralement incapables de prendre en compte les paramètres de contrôle d accès propres aux réseaux ATM. Dans ce document, nous proposons, après un état de l art détaillé, de résoudre ces trois problèmes. Nous répertorions et classifions tout d abord les paramètres de contrôle d accès propres aux réseaux ATM. Nous montrons ensuite comment ces paramètres peuvent être utilisés dans deux nouvelles architectures de contrôle d accès pour les réseaux de type IP sur ATM. Nous montrons que celles-ci sont à même de résoudre les problèmes de débit et de respect de la qualité de service. Pour cela, notre première architecture se base sur un mécanisme de contrôle d accès distribué et non bloquant alors que notre seconde proposition repose sur un nouvel algorithme de classification rapide de flux. Enfin, notre troisième contribution concerne la mise au point de techniques permettant aux architectures distribuées de contrôle d accès de pouvoir être gérées de manière sûre et efficace. Mots Clés: ATM, TCP/IP, Pare-feu, Contrôle d accès, Architecture de gestion, Sécurité des réseaux. Access Control in ATM Networks This thesis considers the introduction of new techniques insuring high throughput and services differentiation for customers in public and private networks. ATM networks are a good example where these techniques have been successfully deployed. However these techniques cannot be used with firewalls for several reasons. Firewalls are not designed to respect quality of service and usually cannot support high throughputs. Moreover, firewalls do not take ATM access control parameters into account. The goal of this thesis is to deal with these three problems. We first provide and classify ATM access control parameters. We then focus on IP over ATM network architectures and show how these parameters can be used in two new access control architectures. These architectures are designed to provide high throughput while respecting the ATM quality of service. The first architecture reaches this goal by using a distributed and asynchronous access control process while our second proposal defines a new flow classification scheme in order to speed up existing access control architectures. Our third contribution develops new techniques allowing distributed access control architectures to be managed securely and efficiently. Keywords: ATM, TCP/IP, Firewall, Access Control, Management Architectures, Network Security.

8

9 Table des Matières Chapitre 1. Introduction... 7 Chapitre 2. Le contrôle d accès réseau et sa gestion Introduction Un classement des mécanismes de contrôle d accès réseau Synchronisme du contrôle d accès Approche non bloquante Approche bloquante Position topologique du contrôle d accès Approche centralisée Approche distribuée Niveau protocolaire du contrôle d accès Niveau Liaison de donnée/réseau Niveau Transport Niveau Applicatif Quelques exemples d architectures existantes Centralisée et bloquante aux niveaux transport et application: le firewall Centralisée et non bloquante au niveau transport: l analyseur de sécurité Distribuée et bloquante aux niveaux transport et application: le firewall distribué Algorithmes utilisés par les mécanismes de contrôle d accès Le problème du classement des flux Solution traditionnelle: Algorithme linéaire Améliorations récentes Utilisation de mémoires caches Parallélisation du processus de classement Utilisation des informations redondantes des politiques de contrôle d accès

10 Le contrôle d accès dans les réseaux ATM - Table des Matières Améliorations algorithmiques Conclusion La gestion du contrôle d accès Approches traditionnelles Interfaces de configuration des outils de contrôle d accès Plate-formes d administration du contrôle d accès Autres propositions Introduction Expression générique d une politique de contrôle d accès Langage formel Langages de bas niveau à base de règles Langage à base de rôles Langage déclaratif de haut niveau Optimisations utilisées pour la distribution de la politique de contrôle d accès Optimisation basée sur les capacités de contrôle d accès Optimisation basée sur la topologie Implémentation des mécanismes de distribution Méthodes centralisées Méthodes distribuées Conclusion L intégrité du contrôle d accès Introduction Intégrité physique des équipements Intégrité logique des équipements Modèles théoriques Système à contrôle d accès discrétionnaire Utilisation de configurations particulières Système à contrôle d accès obligatoire Systèmes d audit Conclusion Intégrité des communications Conclusion...36 Chapitre 3. Le contrôle d accès dans les réseaux ATM La technologie ATM Introduction Modèle de référence ATM Utilisation des réseaux ATM Le firewall Utilisation dans un environnement LANE Utilisation dans un environnement CLIP Utilisation dans un environnement MPOA

11 Le contrôle d accès dans les réseaux ATM - Table des Matières 3. Etude critique de l utilisation du firewall dans un environnement ATM Contrôle d accès et contrat de trafic Introduction Contrat de trafic Classes de service Limites du firewall Conclusion Limites dues à la faible prise en compte du réseau ATM Conclusion Le contrôle d accès dans les réseaux ATM Le contrôle d accès selon l ATM Forum Solutions industrielles Les commutateurs filtrants Firewall ATM Solutions académiques Solution basée sur un circuit d analyse de cellule ATM Solution basée sur le classement des trafics Conclusion Chapitre 4. Paramètres de contrôle d accès Introduction Recherche des paramètres de contrôle d accès de niveau ATM Au niveau cellule Partie contrôle Partie données Plans utilisateur et contrôle Plan de gestion Au niveau trame Au niveau signalisation Caractérisation des utilisations normalisées des réseaux ATM Utilisations Classical IP over ATM LAN émulé MPOA CES VTOA Applications ANS AMS Analyse Couches non applicatives Connexions permanentes

12 Le contrôle d accès dans les réseaux ATM - Table des Matières Connexions dynamiques Couche applicative Classement des paramètres ATM Conclusion...73 Chapitre 5. Mécanismes de contrôle d accès Introduction Contrôle d accès distribué asynchrone par agent Généralités Paramètres de contrôle d accès Mécanismes de gestion des réseaux Niveau ATM Niveau TCP/IP Niveau Application Conclusion Architecture Conclusion Contrôle d accès synchrone centralisé Cartes IFTs Introduction La mémoire Trie Paramètres de contrôle d accès Niveau ATM Niveau TCP/IP Actions Algorithme de classement Algorithme de base Compression de la structure de classement Complexités de l algorithme de classement Architecture Approche générale Module de gestion Module d analyse et de filtrage de la signalisation Module d analyse de niveau cellule Implémentation Tests de l analyseur de signalisation Tests des IFTs Conclusion Conclusion Conclusion

13 Le contrôle d accès dans les réseaux ATM - Table des Matières Chapitre 6. Gestion du contrôle d accès Introduction Définition d un langage générique de contrôle d accès Langage de bas niveau Langage à base de rôle Définition d une architecture de gestion du contrôle d accès Introduction Architecture centralisée Vue générale Architecture de l agent Modèle du réseau Distribution des règles Conclusion Architecture répartie Introduction Architecture Simulations Conclusion Conclusion Intégrité du contrôle d accès par redondance Introduction Principe Simulations Introduction Résultats théoriques Résultats de simulation Conclusion Conclusion Chapitre 7. Conclusion Analyse Travaux futurs Paramètres de contrôle d accès Mécanismes de contrôle d accès Gestion du contrôle d accès Intégrité du contrôle d accès Chapitre 8. Références bibliographiques Chapitre 9. Annexes Annexes du chapitre Abréviations des messages de signalisation

14 Le contrôle d accès dans les réseaux ATM - Table des Matières 1.2. Abréviations des IEs Relations entre IEs et messages de signalisation Annexes du chapitre Informations relevant du modèle ATM Informations relevant du niveau transport Informations applicatives Annexes du chapitre Grammaire des langages proposés Langage de bas niveau Langage à base de rôles Algorithmes utilisés MIR dans le cas de RIP MIR dans le cas de PNNI Liste des figures Liste des tableaux Liste des acronymes

15 CHAPITRE 1 Introduction Dans ce chapitre nous définissons la problématique abordée dans ce document. L apparition dans les dernières années de nouvelles applications et de nouveaux besoins en terme de communication ont engendré le développement de nouvelles architectures de communication. Parmi ces développements on peut citer deux objectifs essentiels. Le premier a consisté à développer des mécanismes permettant d augmenter les débits pouvant être atteints au travers de recherches concernant les capacités de transfert des supports physiques et les capacités de traitement des équipements d interconnexion. Le second objectif a porté sur le développement de mécanismes permettant de différencier le traitement réalisé sur les flux traversant le réseau afin de fournir aux utilisateurs des qualités de service correspondant à leurs besoins. Parmi ces nouvelles architectures de communication, la technologie ATM a retenu l attention des organismes de normalisation de par sa capacité à supporter des débits élevés tout en permettant au réseau d assurer des garanties de qualité de service aux utilisateurs qui en font la demande. Un autre point ayant suscité originellement l intérêt pour les réseaux ATM est leur capacité à dépasser les barrières traditionnelles entre réseaux locaux, réseaux métropolitains et réseaux longue distance en permettant l utilisation de bout en bout d une même technologie. Dans la pratique les réseaux ATM sont aujourd hui majoritairement utilisés dans le cadre de réseaux d opérateurs de télécommunication, de réseaux d interconnexion d entreprise et plus minoritairement dans le cas de réseaux locaux. Les réseaux et les équipements qu ils interconnectent sont souvent soumis à des attaques. En 1997 le CLUSIF (CLUb de la Sécurité Informatique Francais) rendait publique une évaluation concernant les conséquences économiques des incidents et sinistres relatifs aux systèmes informatiques ([Clu97]). Dans cette évaluation le montant des dommages engendrés par des attaques logiques (fraudes, attaques logiques et divulgation d information) portait sur 4490 millions de francs. L augmentation du montant de ces dommages était de l ordre de 90% sur la période Plus récemment un rapport de la GOA (General Accounting Office) évaluant la sécurité des systèmes d information américains ([Gao00]) montrait que sur 24 agences gouvernementales américaines, toutes connaissaient des problèmes sérieux de contrôle d accès en 1999 et Même s il faut garder à l esprit les possibilités de manipulations de certains de ces chiffres ([War00]), ceux-ci suffisent à montrer toute l importance dans le domaine des réseaux des problèmes de sécurité en général et des problèmes de contrôle d accès en particulier. Cette importance du contrôle d accès a d ailleurs bien été comprise par les entreprises. Selon une étude menée par le cabinet américain IDC, le marché des équipements de sécurité est passé entre 1998 et 1999 de 3 à 4 milliards de dollars et devrait atteindre un montant de 11 milliards de dollars en 2003 ([IDC00]). A l intérieur du marché des équipements de sécurité, le marché européen des pare-feux portait selon un rapport de Frost & Sullivan ([Fro00]) sur un montant de 202 millions de dollars en 1999 et devrait atteindre une montant de 2 milliards de dollars en

16 Le contrôle d accès dans les réseaux ATM - Introduction Le pare-feu ou firewall est l un des éléments clef de la sécurité actuelle des réseaux. Le terme firewall est un terme générique qui englobe généralement un ensemble de mécanismes permettant de rendre plusieurs services de sécurité tels que l authentification de l origine des communications, la confidentialité des informations transmises sur le réseau, ou le contrôle d accès réseau. Ces services peuvent varier d un firewall à l autre, cependant le service de contrôle d accès réseau est généralement considéré comme un service de base et est assuré par tous les types de firewalls. Dans ce document nous nous interessons à l interaction entre ce service de contrôle d accès et les évolutions prévues dans les réseaux telles que celles que nous décrivons au début de ce chapitre. Nous faisons l hypothèse que les réseaux du futur assureront d une part des débits de communication plus importants et d autre part qu au moins une partie des utilisateurs exigera de la part du réseau des garanties de qualité de service. Afin de limiter notre champ d investigation, nous nous intéressons au cas des réseaux ATM qui, comme nous l avons mentionné précédemment, sont à même d assurer ces deux contraintes. Nous montrons dans ce document d une part les problèmes posés par l utilisation de mécanismes de contrôle d accès réseau tels que ceux implémentés dans les firewalls lorsqu ils sont utilisés conjointement avec des réseaux ATM. Nous montrons d autre part de quelles manières ces problèmes peuvent être résolus. Bien que nos solutions ne s appliquent qu aux réseaux ATM, elles pourraient être facilement étendues à n importe quel type de réseau à haut débit et à qualité de service puisque ceux-ci sont à même de rencontrer les mêmes types de problèmes. Ce document est organisé de la manière suivante: Le chapitre 2 présente le service de contrôle d accès réseau. Nous fournissons un classement des différentes architectures de contrôle d accès réseau. Nous détaillons par la suite les mécanismes et algorithmes utilisés dans ces architectures. Pour finir, nous décrivons les techniques permettant d assurer la gestion et l intégrité du service de contrôle d accès réseau. Le chapitre 3 présente l application du service de contrôle d accès réseau au cas des réseaux ATM. Nous montrons en quoi les firewalls classiques ne peuvent répondre à notre problématique de débit et de respect de la qualité de service. Nous présentons par ailleurs les solutions actuelles ayant pour but de résoudre cette problématique en faisant leur analyse critique. Le chapitre 4 décrit la première contribution de cette thèse. Celle-ci porte sur la constitution d un répertoire classé des informations pouvant être utilisées pour fournir un service de contrôle d accès dans le cas des réseaux ATM. Ce classement est réalisée grâce à une analyse détaillée des normes définissant le modèle ATM et les informations produites par ce modèle. Le chapitre 5 présente la deuxième contribution de cette thèse. Celle-ci porte sur la définition de deux architectures de contrôle d accès pour les réseaux ATM. Celles-ci sont d une part à même d utiliser les paramètres de contrôle d accès répertoriés dans le chapitre 4 mais sont également à même de fournir un service de contrôle d accès à des débits élevés tout en garantissant un respect de la qualité de service pouvant être demandée par les utilisateurs. Enfin ces architectures éliminent certains des problèmes existant pour les solutions concurrentes actuellement proposées. Nous décrivons dans le chapitre 6 de ce document la troisième contribution de cette thèse. Celle-ci porte sur la définition de deux architectures de gestion automatique du contrôle d accès. Nous montrons par ailleurs comment ces architectures peuvent être étendues afin de fournir à l officier de sécurité en charge d un réseau une certaine confiance vis à vis du service de contrôle d accès. Pour finir, le chapitre 7 conclut ce document en en résumant les apports et en montrant comment ceux-ci peuvent être améliorés ou étendus à d autre types d applications. Le lecteur pourra par ailleurs trouver en annexe de ce document un ensemble d informations complétant ou détaillant les idées présentées dans les sept premiers chapitres de ce document. 8

17 CHAPITRE 2 Le contrôle d accès réseau et sa gestion Dans ce chapitre nous définissons le service de contrôle d accès réseau. Nous fournissons ensuite des critères de classement des architectures de contrôle d accès réseau puis présentons les algorithmes utilisés pour sa mise en oeuvre. Pour finir nous présentons les techniques permettant d assurer sa gestion et son intégrité. 1. Introduction Le contrôle d'accès est défini par l'iso ([7498-2]) par la phrase suivante: «Le service de contrôle d'accès assure une protection contre une utilisation non autorisée de ressources accessibles par une entité ou un groupe d'entités. Ce type de protection peut être appliqué pour différents types d'accès à une ressource ou pour tous les types d'accès.» Dans la pratique cette définition peut avoir un grand nombre d interprétations. D'une manière générale il s'agit d'empêcher ou d'autoriser certaines personnes à effectuer certaines actions qui peuvent être logiques ou physiques. Dans notre cas nous ne nous intéressons pas à un service de contrôle d'accès assurant une protection physique mais uniquement à un service de contrôle d'accès assurant une protection logique. Historiquement c'est au niveau des systèmes d'exploitation que le service de contrôle d'accès a tout d'abord été développé. En fonction du type de service proposé, les systèmes d'exploitation ont été classés [OBook]: Classe C: Contrôle d'accès discrétionnaire (DAC - Discretionary Access Control). Les utilisateurs définissent des listes de contrôle d'accès sur les objets qui leur appartiennent afin d'en permettre le partage. Ceci suppose bien sûr une identification des utilisateurs. Dans la pratique les systèmes classés C sont de loin les plus utilisés. Classe B: Contrôle d'accès obligatoire (MAC - Mandatory Access Control). En plus du contrôle d'accès discrétionnaire défini pour la classe C, les systèmes classés B doivent assurer une protection des données vis à vis des utilisateurs au moyen d'étiquettes. Dans ce type de système les utilisateurs sont représentés par des entités appelées sujets. Les données sont elles appelées objets. Les étiquettes sont associées aux objets et aux sujets afin de les classer. Le classement des données et des sujets permet de garantir certaines propriétés concernant la manipulation des informations. Le service de contrôle d'accès obligatoire est assuré de manière indépendante de la volonté des utilisateurs (d'où son nom «obligatoire»). Comme on le voit la notion d'identification des utilisateurs est très importante afin d'assurer tout service de contrôle d'accès. 9

18 Le contrôle d accès dans les réseaux ATM - Le contrôle d accès réseau et sa gestion L'introduction des fonctions de communications entre des systèmes d'exploitation situés sur des équipements différents et le développement d'applications basées sur des architectures client-serveur ont entraîné des modifications dans la notion de contrôle d'accès. Les architectures client-serveur se basent sur deux éléments, un processus client et un processus serveur. Le client envoie des requêtes au serveur qui lui répond avec le résultat de sa requête. Le problème de ce type d'architecture est que la plupart des clients et des serveurs ne gèrent pas l'identification des utilisateurs. Cette lacune peut se justifier par trois raisons: La plupart de ces services ont été développés dans le cadre de réseaux où la plupart des services à rendre à tous les utilisateurs sont les mêmes. De ce fait il n'est pas nécessaire de gérer l'identification de ceux-ci. L'interconnexion des réseaux de communication a abouti à l'apparition de communications entre des systèmes qui appartiennent à des entités administratives différentes. Dans ce cadre, il est difficile de s'accorder sur une notation exacte permettant l'identification des utilisateurs. L'identification des utilisateurs n'est utile que si l'on peut s'assurer avec une certaine confiance de leur identité. Or les procédures de sécurité en général et d'identification en particulier entraînent des surcoûts financiers et en terme de performance non négligeables qui ont entraîné les développeurs à construire des versions non sécurisées. Afin d'assurer une interopérabilité maximale ces versions ont été choisies par défaut dans la plupart des systèmes d'exploitation. Afin de palier ces carences plusieurs solutions ont été envisagées. La première est le développement et l'utilisation de clients et de serveurs sécurisés permettant l'identification des utilisateurs ([RFC1510], [Sch96]). Une fois l'identification effectuée le contrôle d'accès peut être effectué par le système d'exploitation ou par le serveur et peut être de type DAC ou MAC. Cette solution a l'inconvénient d'exiger la modification des clients et des serveurs. Cette solution nécessite également d'utiliser une notation commune des identités des utilisateurs ainsi que des clients et des serveurs compatibles ce qui n'est pas évident dans le cas de communications entre entités administratives indépendantes. Afin d'éviter ces problèmes, des travaux ont été réalisés afin de fournir un service de contrôle d'accès qui soit indépendant des équipements et des logiciels clients et serveurs. Les équipements de contrôle d accès réseau dont le firewall ([Ran92]) est un exemple, sont l'aboutissement de ces travaux. Le contrôle d'accès est alors réalisé en analysant le contenu des communications et en bloquant ou interrompant celles qui sont en contradiction avec la politique de contrôle d'accès. Ces équipements fournissent un service qui ne se substituent pas à un contrôle d'accès au niveau du système d'exploitation des équipements extrémité. Dans ce chapitre nous décrivons la mise en oeuvre du contrôle d accès réseau, de sa définition à son implémentation. Ce chapitre est donc divisé en quatre sections principales. La première a pour objectif de fournir un classement des mécanismes de contrôle d accès réseau permettant de décrire de manière claire et concise les architectures existantes. La section 3 porte sur une description des techniques utilisées pour l implémentation de ces mécanismes. Nous décrivons ensuite en section 4 les architectures et techniques utilisées pour définir et administrer le service de contrôle d accès réseau. Pour finir, nous montrons en section 5 que le service de contrôle d accès réseau est inutile s il n est pas possible d en garantir l intégrité. Nous décrivons de ce fait les moyens utilisées pour garantir l intégrité des architectures de contrôle d accès réseau. 2. Un classement des mécanismes de contrôle d accès réseau Afin de faciliter la compréhension des architectures que nous ferons dans les chapitres suivants nous proposons dans cette section certains critères permettant de classer les mécanismes de contrôle d accès. Ces critères sont indépendants des algorithmes qui seront utilisés pour effectuer le contrôle d accès à proprement parler. Ce classement se base sur certaines notions : La politique de contrôle d accès réseau est la définition des communications autorisées et interdites dans un réseau et décrit de ce fait le service de contrôle d accès à implémenter dans le réseau. Ce service de contrôle des communications se fait au moyen d une architecture de contrôle d accès. Cette architecture peut uti- 10

19 Le contrôle d accès dans les réseaux ATM - Le contrôle d accès réseau et sa gestion liser plusieurs types de mécanismes. Par la suite nous résumerons le terme de contrôle d accès réseau par contrôle d accès étant donné que seul ce service nous intéresse dans la suite de ce document Synchronisme du contrôle d accès Notre premier paramètre est lié au synchronisme du contrôle d accès, c est à dire au fait que le contrôle d accès soit fait de manière bloquante ou non Approche non bloquante Dans le cas d'une évaluation non bloquante des flux, l analyse des flux se fait sur une copie des flux ou sur une synthèse des informations contenues dans le flux. La copie du flux peut être réalisée à différents niveaux protocolaires. Au niveau physique la réplication des informations se fait soit par une copie des signaux électrique dans le cas d une utilisation de supports métalliques ou par une duplication des signaux lumineux par coupleur optique dans le cas des supports optiques. Au niveau MAC (Medium Access Control) le mécanisme de copie peut se servir des capacités de diffusion des réseaux locaux en faisant systématiquement une copie des trames fournies par le niveau physique quelle que soit leur adresse de destination. Politique de contrôle d accès réseau Figure 1. Approche non bloquante. I.C.A. Fonction de contrôle d accès D.C.A. Informations Contextuelles Contrôleur Copie du flux O.C.A. Flux La figure 1 utilise le formalisme fournit par [Schu97] pour représenter un mécanisme de contrôle d accès non bloquant. Le contrôleur se base sur une copie du flux pour générer les informations de contrôle d accès (I.C.A.). Celles-ci sont utilisées par la fonction de contrôle d accès qui, en fonction de la politique de contrôle d accès et d informations contextuelles, prend une décision de contrôle d accès (D.C.A.). Cette décision de contrôle d accès est utilisée par le contrôleur pour générer une opération de contrôle d accès (O.C.A.). Cette opération peut soit porter sur le flux si le processus de contrôle d accès est suffisamment rapide, soit porter sur les flux appartenant à la communication ayant généré le flux contrôlé afin d interrompre celle-ci. Les avantages relatifs à une évaluation non bloquante sont doubles. D une part une évaluation non bloquante assure l absence d'altération des flux puisque ceux-ci ne sont pas bloqués. Le deuxième avantage est la possibilité de définir le temps processeur qui sera utilisé pour fournir le service de contrôle d accès. Cependant une analyse à posteriori peut engendrer un délai entre le passage du flux et l opération de contrôle d'accès. De ce fait, l'évaluation non bloquante des flux peut poser un problème de sécurité. Un attaquant peut utiliser ce délai pour réaliser des accès non autorisés. Ce problème est particulièrement sensible dans le cas des protocoles non connectés puisque par définition les flux sont indépendants les uns des autres. 11

20 Le contrôle d accès dans les réseaux ATM - Le contrôle d accès réseau et sa gestion Approche bloquante Dans le cas d'une évaluation bloquante des flux (décrite figure 2), l analyse des flux ne se fait plus sur une copie du flux mais sur le flux lui même. Le contrôleur extrait du flux les informations nécessaires à la fonction de contrôle d accès (I.C.A.) et bloque le flux jusqu à ce qu une décision de contrôle d accès (D.C.A.) lui parvienne. Le flux est alors, soit détruit, soit réémis vers sa destination. Politique de contrôle d accès réseau I.C.A. Figure 2. Approche bloquante. Fonction de contrôle d accès D.C.A. Informations Contextuelles Contrôleur Flux Flux Les avantages et inconvénients de cette approche sont duaux de l approche non bloquante. En effet l approche bloquante garantit la sécurité du contrôle d accès puisque le flux est bloqué jusqu à la décision de contrôle d accès mais ce bloquage peut entraîner des modifications dans les caractéristiques du flux Position topologique du contrôle d accès Notre second critère de classement concerne la position topologique des mécanismes de contrôle d accès, c est à dire son placement dans le réseau. Les notions de centralisation et de distribution n ont de sens que vis à vis de la politique de contrôle d accès Approche centralisée Une architecture de contrôle d accès centralisée se base sur la concentration des mécanismes de contrôle d'accès dans un seul équipement et donc dans un seul point de la topologie du réseau. Le point de concentration est défini de telle sorte à pouvoir rendre le service de contrôle d accès défini par la politique de contrôle d accès qui lui est associée. Cet endroit est généralement placé entre un réseau non contrôlable (réseau public par exemple) et le réseau à protéger (réseau local par exemple). Tous les flux sont alors examinés par l architecture de contrôle d accès. La centralisation des mécanismes de contrôle d'accès apporte certains avantages. Le premier est qu un seul équipement a besoin d'être modifié afin de fournir le service de contrôle d accès. Ceci est important car certains équipements internes au réseau à protèger ne peuvent être modifiés ou sécurisés du fait de leur conception. De plus, seul cet équipement a besoin d'être géré et audité. La détection des attaques concernant plusieurs équipements est plus facile puisque tous les flux devant être contrôlés passent par un seul point. Enfin, le service de contrôle d'accès n'a pas d'impact direct sur les performances des services fournis par les équipements du réseau puisqu il est fourni par des mécanismes placés sur un équipement dédié. Une architecture centralisée possède également certains inconvénients. La résistance aux pannes est faible. En effet, si le contrôleur tombe en panne, soit le service n'est plus assuré (approche non bloquante), soit les communications ne sont plus possibles (approche bloquante). Un autre point est qu une architecture cen- 12

Introduction aux Systèmes Distribués. Introduction générale

Introduction aux Systèmes Distribués. Introduction générale Introduction aux Systèmes Distribués Licence Informatique 3 ème année Introduction générale Eric Cariou Université de Pau et des Pays de l'adour Département Informatique Eric.Cariou@univ-pau.fr 1 Plan

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

NOTIONS DE RESEAUX INFORMATIQUES

NOTIONS DE RESEAUX INFORMATIQUES NOTIONS DE RESEAUX INFORMATIQUES GENERALITES Définition d'un réseau Un réseau informatique est un ensemble d'équipements reliés entre eux afin de partager des données, des ressources et d'échanger des

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier Plan Internet - Outils Nicolas Delestre 1 DHCP 2 Firewall 3 Translation d adresse et de port 4 Les proxys 5 DMZ 6 VLAN À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier 7 Wake On Line

Plus en détail

Modélisation des réseaux : Le modèle OSI et ses dérivés

Modélisation des réseaux : Le modèle OSI et ses dérivés Chapitre 1 1 Modélisation des réseaux : Le modèle OSI et ses dérivés Le modèle OSI de l ISO 2 Le modèle d'interconnexion des Systèmes Ouverts (Open Systems Interconnection) a été proposé par l'iso (International

Plus en détail

Réseaux et Télécommunication Interconnexion des Réseaux

Réseaux et Télécommunication Interconnexion des Réseaux Réseaux et Télécommunication Interconnexion des Réseaux 1 Concevoir un réseau Faire évoluer l existant Réfléchir à toutes les couches Utiliser les services des opérateurs (sous-traitance) Assemblage de

Plus en détail

Services OSI. if G.Beuchot. Services Application Services Présentation - Session Services Transport - Réseaux - Liaison de Données - Physique

Services OSI. if G.Beuchot. Services Application Services Présentation - Session Services Transport - Réseaux - Liaison de Données - Physique Services OSI Services Application Services Présentation - Session Services Transport - Réseaux - Liaison de Données - Physique 59 SERVICES "APPLICATION" Architecture spécifique : ALS (Application Layer

Plus en détail

PROGRAMME DETAILLE. Parcours en première année en apprentissage. Travail personnel. 4 24 12 24 CC + ET réseaux

PROGRAMME DETAILLE. Parcours en première année en apprentissage. Travail personnel. 4 24 12 24 CC + ET réseaux PROGRAMME DETAILLE du Master IRS Parcours en première année en apprentissage Unités d Enseignement (UE) 1 er semestre ECTS Charge de travail de l'étudiant Travail personnel Modalités de contrôle des connaissances

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Description des UE s du M2

Description des UE s du M2 Parcours en deuxième année Unités d Enseignement (UE) ECTS Ingénierie des réseaux haut 4 débit Sécurité des réseaux et 4 télécoms Réseaux mobiles et sans fil 4 Réseaux télécoms et 4 convergence IP Infrastructure

Plus en détail

Cours d histoire VPN MPLS. Les VPN MPLS B. DAVENEL. Ingénieurs 2000, Université Paris-Est Marne la Vallée. B. DAVENEL Les VPN MPLS

Cours d histoire VPN MPLS. Les VPN MPLS B. DAVENEL. Ingénieurs 2000, Université Paris-Est Marne la Vallée. B. DAVENEL Les VPN MPLS Les B. DAVENEL Ingénieurs 2000, Université Paris-Est Marne la Vallée B. DAVENEL Les Sommaire 1 2 3 4 B. DAVENEL Les Bibliographie PUJOLLE, Guy. Les réseaux, Quatrième édition, Eyrolles HARDY, Daniel. MALLEUS,

Plus en détail

Plan. 1. Introduction. 1.1 Notion de réseau. Réseau extrémité. Le cœur du réseau. Les Protocoles de Télécommunications Evolution Internet Cours de DEA

Plan. 1. Introduction. 1.1 Notion de réseau. Réseau extrémité. Le cœur du réseau. Les Protocoles de Télécommunications Evolution Internet Cours de DEA Plan Les Protocoles de Télécommunications Evolution Internet Cours de DEA Isabelle CHRISMENT ichris@loria.fr Introduction Routage dans l Internet IPv6 Communication de groupes et l Internet x sans fils,

Plus en détail

Conception d'une architecture commutée. Master 2 Professionnel STIC-Informatique 1

Conception d'une architecture commutée. Master 2 Professionnel STIC-Informatique 1 Conception d'une architecture commutée Master 2 Professionnel STIC-Informatique 1 Conception d'une architecture commutée Définition Master 2 Professionnel STIC-Informatique 2 Motivations L'architecture

Plus en détail

1.Introduction - Modèle en couches - OSI TCP/IP

1.Introduction - Modèle en couches - OSI TCP/IP 1.Introduction - Modèle en couches - OSI TCP/IP 1.1 Introduction 1.2 Modèle en couches 1.3 Le modèle OSI 1.4 L architecture TCP/IP 1.1 Introduction Réseau Télécom - Téléinformatique? Réseau : Ensemble

Plus en détail

Chap.1: Introduction à la téléinformatique

Chap.1: Introduction à la téléinformatique Chap.1: Introduction à la téléinformatique 1. Présentation 2. les caractéristiques d un réseau 3. les types de communication 4. le modèle OSI (Open System Interconnection) 5. l architecture TCP/IP 6. l

Plus en détail

Algorithmique et langages du Web

Algorithmique et langages du Web Cours de Algorithmique et langages du Web Jean-Yves Ramel Licence 1 Peip Biologie Groupe 7 & 8 Durée totale de l enseignement = 46h ramel@univ-tours.fr Bureau 206 DI PolytechTours Organisation de la partie

Plus en détail

Présentation Internet

Présentation Internet Présentation Internet 09/01/2003 1 Sommaire sières 1. Qu est-ce que l Internet?... 3 2. Accéder à l Internet... 3 2.1. La station... 3 2.2. La connection... 3 2.3. Identification de la station sur Internet...

Plus en détail

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux ////////////////////// Administration systèmes et réseaux / INTRODUCTION Réseaux Un réseau informatique est un ensemble d'équipements reliés entre eux pour échanger des informations. Par analogie avec

Plus en détail

Chapitre VIII : Introduction aux réseaux. Motivations. Notion de système distribué. Motivations Différents types de SE

Chapitre VIII : Introduction aux réseaux. Motivations. Notion de système distribué. Motivations Différents types de SE Chapitre VIII : Introduction aux réseaux Eric.Leclercq@u-bourgogne.fr Département IEM http://ufrsciencestech.u-bourgogne.fr http://ludique.u-bourgogne.fr/~leclercq 4 mai 2006 1 Structures de Systèmes distribués

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail Mécanismes de sécurité des systèmes 10 e cours Louis Salvail Objectifs Objectifs La sécurité des réseaux permet que les communications d un système à un autre soient sûres. Objectifs La sécurité des réseaux

Plus en détail

STI 28 Edition 1 / Mai 2002

STI 28 Edition 1 / Mai 2002 STI 28 Edition 1 / Mai 2002 Spécifications Techniques d Interface pour le réseau de France Télécom Directive 1999/5/CE Caractéristiques des interfaces d accès à l offre de service Inter LAN 2.0 ATM Résumé

Plus en détail

Administration réseau Introduction

Administration réseau Introduction Administration réseau Introduction A. Guermouche A. Guermouche Cours 1 : Introduction 1 Plan 1. Introduction Organisation Contenu 2. Quelques Rappels : Internet et le modèle TCP/ Visage de l Internet Le

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

Travaux pratiques 8.3.3a Gestion de périphériques réseau distants avec Telnet

Travaux pratiques 8.3.3a Gestion de périphériques réseau distants avec Telnet Travaux pratiques 8.3.3a Gestion de périphériques réseau distants avec Telnet Périphérique Nom de l hôte Interface Adresse IP Masque de sous-réseau Instructions réseau RIP v2 R1 R1 Serial 0/0/0 (DTE) 10.10.10.1

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

Prototype de canal caché dans le DNS

Prototype de canal caché dans le DNS Manuscrit auteur, publié dans "Colloque Francophone sur l Ingénierie des Protocoles (CFIP), Les Arcs : France (2008)" Prototype de canal caché dans le DNS Lucas Nussbaum et Olivier Richard Laboratoire

Plus en détail

Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30

Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30 Plan du Travail Chapitre 1: Internet et le Web : Définitions et historique Chapitre 2: Principes d Internet Chapitre 3 : Principaux services d Internet Chapitre 4 : Introduction au langage HTML 2014/2015

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction

Plus en détail

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière

Plus en détail

Réseaux. Mathias Kleiner mathias.kleiner@ensam.eu http://www.lsis.org/kleinerm. Septembre 2012. Systèmes informatiques. Réseaux.

Réseaux. Mathias Kleiner mathias.kleiner@ensam.eu http://www.lsis.org/kleinerm. Septembre 2012. Systèmes informatiques. Réseaux. Mathias Kleiner mathias.kleiner@ensam.eu http://www.lsis.org/kleinerm Septembre 2012 http://creativecommons.org/licenses/by-sa/3.0/ Plan du cours 1 2 3 4 5 Notion de réseau Reseau (network) = connection

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN

PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN 1. DÉVELOPPEMENT D'APPLICATION (CONCEPTEUR ANALYSTE) 1.1 ARCHITECTURE MATÉRIELLE DU SYSTÈME INFORMATIQUE 1.1.1 Architecture d'un ordinateur Processeur,

Plus en détail

1 Introduction aux réseaux Concepts généraux

1 Introduction aux réseaux Concepts généraux Plan 2/40 1 Introduction aux réseaux Concepts généraux Réseaux IUT de Villetaneuse Département Informatique, Formation Continue Année 2012 2013 http://www.lipn.univ-paris13.fr/~evangelista/cours/2012-2013/reseaux-fc

Plus en détail

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection) II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection) II.2/ Description des couches 1&2 La couche physique s'occupe de la transmission des bits de façon brute sur un canal de

Plus en détail

RSX101 Réseaux & télécommunications Contexte Le prof : Sylvain Rampacek

RSX101 Réseaux & télécommunications Contexte Le prof : Sylvain Rampacek RSX101 Réseaux & télécommunications Contexte Le prof : Sylvain Rampacek 1 Sylvain Rampacek Maître de Conférences en Informatique IUT Dijon Département Informatique Chef du Département Informatique Membre

Plus en détail

Réseaux locaux virtuels : VLAN

Réseaux locaux virtuels : VLAN Réseaux locaux virtuels : VLAN I. Historique Les premiers réseaux Ethernet (on se situe donc en couche 2) étaient conçus à base de câbles coaxiaux raccordés entre eux et connectés aux ordinateurs, si bien

Plus en détail

Cisco Certified Network Associate

Cisco Certified Network Associate Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 5 01 Dans un environnement IPv4, quelles informations un routeur utilise-t-il pour transmettre des paquets de données

Plus en détail

Partie 5 : réseaux de grandes distances. Nicolas Baudru mél : nicolas.baudru@esil.univmed.fr page web : nicolas.baudru.esil.perso.univmed.

Partie 5 : réseaux de grandes distances. Nicolas Baudru mél : nicolas.baudru@esil.univmed.fr page web : nicolas.baudru.esil.perso.univmed. 1 Réseaux I Partie 5 : réseaux de grandes distances Nicolas Baudru mél : nicolas.baudru@esil.univmed.fr page web : nicolas.baudru.esil.perso.univmed.fr 2 Plan 1 Généralités sur les WAN 2 WANs d accès 3

Plus en détail

Spécifications de raccordement au service de Téléphonie sur IP (ToIP) de RENATER

Spécifications de raccordement au service de Téléphonie sur IP (ToIP) de RENATER Spécifications de raccordement au service de Téléphonie sur IP (ToIP) de RENATER Documentation Auteurs: Simon Muyal SSU-SPEC-ToIP_FR_20101221.doc 1 / 20 Table des matières 1 Sommaire... 4 2 A qui s adresse

Plus en détail

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

VoIP et NAT VoIP et NAT 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau VoIP et "NAT" VoIP et "NAT" Traduction d'adresse dans un contexte de Voix sur IP 1/ La Traduction d'adresse réseau("nat") 3/ Problèmes dus à la présence de "NAT" 1/ La Traduction d'adresse réseau encore

Plus en détail

PPE 4. Firewall KOS INFO. Groupe 1: Alexis, David et Lawrence 19/02/2014

PPE 4. Firewall KOS INFO. Groupe 1: Alexis, David et Lawrence 19/02/2014 KOS INFO PPE 4 Firewall Groupe 1: Alexis, David et Lawrence 19/02/2014 KOS info à pour mission d'établir des mécanismes de sécurité afin de protéger le réseau de M2L. Ce projet s'appuiera sur le logiciel

Plus en détail

Cours des réseaux Informatiques (2010-2011)

Cours des réseaux Informatiques (2010-2011) Cours des réseaux Informatiques (2010-2011) Rziza Mohammed rziza@fsr.ac.ma Supports Andrew Tanenbaum : Réseaux, cours et exercices. Pascal Nicolas : cours des réseaux Informatiques, université d Angers.

Plus en détail

Administration des ressources informatiques

Administration des ressources informatiques 1 2 La mise en réseau consiste à relier plusieurs ordinateurs en vue de partager des ressources logicielles, des ressources matérielles ou des données. Selon le nombre de systèmes interconnectés et les

Plus en détail

CHAPITRE 1. Introduction aux web services. 1.1 Définition. Contenu du chapitre : Env. De dev. Langage Visual Studio Java EE Qt Creator C#

CHAPITRE 1. Introduction aux web services. 1.1 Définition. Contenu du chapitre : Env. De dev. Langage Visual Studio Java EE Qt Creator C# CHAPITRE 1 Introduction aux web services Contenu du chapitre : Env. De dev. Langage Visual Studio Java EE Qt Creator C# NetBeans JavaScript Eclipse Objective C Xcode PHP HTML Objectifs du chapitre : Ce

Plus en détail

TAGREROUT Seyf Allah TMRIM

TAGREROUT Seyf Allah TMRIM TAGREROUT Seyf Allah TMRIM Projet Isa server 2006 Installation et configuration d Isa d server 2006 : Installation d Isa Isa server 2006 Activation des Pings Ping NAT Redirection DNS Proxy (cache, visualisation

Plus en détail

A partir de ces différents matériels, l administrateur a déterminé huit configurations différentes. Il vous demande de les compléter.

A partir de ces différents matériels, l administrateur a déterminé huit configurations différentes. Il vous demande de les compléter. Exonet - Ressources mutualisées en réseau Description du thème Propriétés Intitulé long Formation concernée Présentation Modules Activités Compétences ; Savoir-faire Description Ressources mutualisées

Plus en détail

Mettre en place un accès sécurisé à travers Internet

Mettre en place un accès sécurisé à travers Internet Mettre en place un accès sécurisé à travers Internet Dans cette partie vous verrez comment configurer votre serveur en tant que serveur d accès distant. Dans un premier temps, les méthodes pour configurer

Plus en détail

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014 École Supérieure d Économie Électronique Chap 9: Composants et systèmes de sécurité 1 Rhouma Rhouma 21 Juillet 2014 2 tagging et port trunk Création des via les commandes sur switch cisco 1 / 48 2 / 48

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Cours n 12. Technologies WAN 2nd partie

Cours n 12. Technologies WAN 2nd partie Cours n 12 Technologies WAN 2nd partie 1 Sommaire Aperçu des technologies WAN Technologies WAN Conception d un WAN 2 Lignes Louées Lorsque des connexions dédiées permanentes sont nécessaires, des lignes

Plus en détail

A l'origine, les FYI sont uniquement des documents officiels issus des organismes de normalisation de l'internet, sans toutefois être des normes.

A l'origine, les FYI sont uniquement des documents officiels issus des organismes de normalisation de l'internet, sans toutefois être des normes. 1 2 Deux groupes guident les évolutions de l Internet : un groupe de recherche, l IRTF (Internet Research Task Force) un groupe de développement, l IETF (Internet Engineering Task Force) ; travaille sur

Plus en détail

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN Les Réseaux Privés Virtuels (VPN) 1 Définition d'un VPN Un VPN est un réseau privé qui utilise un réseau publique comme backbone Seuls les utilisateurs ou les groupes qui sont enregistrés dans ce vpn peuvent

Plus en détail

Administration des ressources informatiques

Administration des ressources informatiques 1 2 Cours réseau Supports de transmission Les câbles Coaxial Ethernet RJ45 Fibre optique Supports de transmission 3 Les câbles Ethernet RJ45 Supports de transmission 4 Les câbles Coaxial Type BNC Cours

Plus en détail

Réseaux CPL par la pratique

Réseaux CPL par la pratique Réseaux CPL par la pratique X a v i e r C a r c e l l e A v e c l a c o n t r i b u t i o n d e D a v o r M a l e s e t G u y P u j o l l e, e t l a c o l l a b o r a t i o n d e O l i v i e r S a l v

Plus en détail

Catalogue & Programme des formations 2015

Catalogue & Programme des formations 2015 Janvier 2015 Catalogue & Programme des formations 2015 ~ 1 ~ TABLE DES MATIERES TABLE DES MATIERES... 2 PROG 1: DECOUVERTE DES RESEAUX... 3 PROG 2: TECHNOLOGIE DES RESEAUX... 4 PROG 3: GESTION DE PROJETS...

Plus en détail

BTS INFORMATIQUE DE GESTION - ISE4D SESSION 2008 E4R : ÉTUDE DE CAS. Durée : 5 heures Coefficient : 5 CAS A CLICK ÉLÉMENTS DE CORRECTION

BTS INFORMATIQUE DE GESTION - ISE4D SESSION 2008 E4R : ÉTUDE DE CAS. Durée : 5 heures Coefficient : 5 CAS A CLICK ÉLÉMENTS DE CORRECTION BTS INFORMATIQUE DE GESTION - ISE4D SESSION 28 E4R : ÉTUDE DE CAS Durée : 5 heures Coefficient : 5 CAS A CLICK Barème ÉLÉMENTS DE CORRECTION Dossier 1 : Gestion du réseau de la société A'CLICK Dossier

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Travaux Pratiques n 1 Principes et Normes des réseaux.

Travaux Pratiques n 1 Principes et Normes des réseaux. Travaux Pratiques n 1 Principes et Normes des réseaux. Objectifs Connaitre le matériel de base (switch, hub et routeur) Savoir configurer une machine windows et linux en statique et dynamique. Connaitre

Plus en détail

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et l'anglais. L'étudiant a le choix entre deux filières

Plus en détail

Parcours en deuxième année

Parcours en deuxième année Parcours en deuxième année Unités d Enseignement (UE) ECTS Ingénierie des réseaux haut 4 débit Sécurité des réseaux et 4 télécoms Réseaux mobiles et sans fil 4 Réseaux télécoms et 4 convergence IP Infrastructure

Plus en détail

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX Guide de connexion à RENAULT SA et PSA PEUGEOT CITROËN via ENX Mise en œuvre de votre raccordement à RENAULT SA et/ou PSA PEUGEOT CITROËN via ENX Version française du 31/10/2014 1 Table des matières 1

Plus en détail

STACCINI Pascal UFR Médecine Nice Université Nice-Sophia Antipolis

STACCINI Pascal UFR Médecine Nice Université Nice-Sophia Antipolis 2.3 : Apprécier les normes et standards et les technologies permettant l interopérabilité et le travail en réseau Chapitre 2 : Travail collaboratif en santé Normes et technologies de l interopérabilité

Plus en détail

Description du datagramme IP :

Description du datagramme IP : Université KASDI MERBAH OUARGLA Faculté des Nouvelles Technologies de l information et de la Communication Département Informatique et Technologies de les Information 1 er Année Master académique informatique

Plus en détail

20/09/11. Réseaux et Protocoles. L3 Informatique UdS. L3 Réseaux et Protocoles. Objectifs du cours. Bibliographie

20/09/11. Réseaux et Protocoles. L3 Informatique UdS. L3 Réseaux et Protocoles. Objectifs du cours. Bibliographie L3 Réseaux et Protocoles Jean-Jacques PANSIOT Professeur, Département d informatique UdS Pansiot at unistra.fr TD/TP : Damien Roth 2011 Réseaux et Protocoles 1 Objectifs du cours Mécanismes de base des

Plus en détail

TCP/IP, NAT/PAT et Firewall

TCP/IP, NAT/PAT et Firewall Année 2011-2012 Réseaux 2 TCP/IP, NAT/PAT et Firewall Nicolas Baudru & Nicolas Durand 2e année IRM ESIL Attention! Vous devez rendre pour chaque exercice un fichier.xml correspondant à votre simulation.

Plus en détail

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN. UFC CENTRE DE BAB EZZOUAR EXEMPLES DE SUJETS POUR LE PROJET DE FIN D ETUDE OPSIE PROPOSES PAR M. NACEF (ENSEIGNANT) Sujet 1 : Management des risques par la méthode MEHARI. Type : étude, audit. MEHARI est

Plus en détail

réseaux virtuels (VLAN) définition intérêt

réseaux virtuels (VLAN) définition intérêt réseaux virtuels (LN) définition intérêt motivations relier plusieurs réseaux locaux Pourquoi plusieurs réseaux locaux? pour relier des réseaux locaux internes qui se sont développés indépendamment, éventuellement

Plus en détail

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas FACILITER LES COMMUNICATIONS Le gestionnaire de réseau global de Saima Sistemas Afin d'améliorer le service proposé à ses clients, SAIMA SISTEMAS met à leur disposition le SAIWALL, gestionnaire de réseau

Plus en détail

L3 informatique Réseaux : Configuration d une interface réseau

L3 informatique Réseaux : Configuration d une interface réseau L3 informatique Réseaux : Configuration d une interface réseau Sovanna Tan Septembre 2009 Révision septembre 2012 1/23 Sovanna Tan Configuration d une interface réseau Plan 1 Introduction aux réseaux 2

Plus en détail

Haka : un langage orienté réseaux et sécurité

Haka : un langage orienté réseaux et sécurité Haka : un langage orienté réseaux et sécurité Kevin Denis, Paul Fariello, Pierre Sylvain Desse et Mehdi Talbi kdenis@arkoon.net pfariello@arkoon.net psdesse@arkoon.net mtalbi@arkoon.net Arkoon Network

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

CAS IT-Interceptor. Formation «Certificate of Advanced Studies» CAS IT-Interceptor Formation «Certificate of Advanced Studies» Description détaillée des contenus de la formation. Structure, objectifs et contenu de la formation La formation est structurée en 3 modules

Plus en détail

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN. 1 But TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN. 2 Les VLAN 2.1 Définition Un VLAN (Virtual Local

Plus en détail

Installation et configuration de ZeroShell

Installation et configuration de ZeroShell Master 2 Réseaux et Systèmes informatiques Sécurité Réseaux Installation et configuration de ZeroShell Présenté par: Mor Niang Prof.: Ahmed Youssef PLAN 1. Présentation 2. Fonctionnalités 3. Architecture

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

Réseaux grande distance

Réseaux grande distance Chapitre 5 Réseaux grande distance 5.1 Définition Les réseaux à grande distance (WAN) reposent sur une infrastructure très étendue, nécessitant des investissements très lourds. Contrairement aux réseaux

Plus en détail

Sécurité GNU/Linux. Iptables : passerelle

Sécurité GNU/Linux. Iptables : passerelle Sécurité GNU/Linux Iptables : passerelle By sharevb Sommaire I.Rappels...1 a)les différents types de filtrages : les tables...1 b)fonctionnement de base : les chaînes et les règles...1 II.La table nat

Plus en détail

La haute disponibilité de la CHAINE DE

La haute disponibilité de la CHAINE DE Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est

Plus en détail

La Translation d'adresses. F. Nolot

La Translation d'adresses. F. Nolot La Translation d'adresses F. Nolot 1 Introduction Adressage internet sur 32 bits : a peu près 4 milliards d'adresses Découpage en classes réduit ce nombre Le nombre de machines sur Internet pourrait atteindre

Plus en détail

Pré-requis techniques

Pré-requis techniques Sommaire 1. PRÉAMBULE... 3 2. PRÉ-REQUIS TÉLÉCOM... 4 Généralités... 4 Accès Télécom supporté... 4 Accès Internet... 5 Accès VPN... 5 Dimensionnement de vos accès... 6 3. PRÉ-REQUIS POUR LES POSTES DE

Plus en détail

Présentation du modèle OSI(Open Systems Interconnection)

Présentation du modèle OSI(Open Systems Interconnection) Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:

Plus en détail

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2 Table des matières CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2 COMMUTATEUR... 2 ROUTEUR... 2 FIREWALL... 2 VLAN... 2 Types de VLAN :...2 Intérêt des VLAN...3 VPN... 3 DMZ... 3 DECT... 3 DATACENTER...

Plus en détail

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité 1. Présentation Nmap est un outil open source d'exploration réseau et d'audit de sécurité, utilisé pour scanner de grands

Plus en détail

Cisco Certified Network Associate, CCNA

Cisco Certified Network Associate, CCNA 1 Cisco Certified Network Associate, CCNA Céline OULMI ESGI AutoQoS Technical Presentation, 1/03 2002, Cisco Systems, Inc. All rights reserved. 2 CCNA Exploration Version4 Académie ESGI Paris 19/10/2012

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Réseaux, 4 e édition Andrew Tanenbaum

Réseaux, 4 e édition Andrew Tanenbaum Réseaux, 4 e édition Andrew Tanenbaum Table des matières détaillée Préface 1. Introduction 1.1 Usage des réseaux d ordinateurs 1.1.1 Applications professionnelles 1.1.2 Applications domestiques 1.1.3 Utilisateurs

Plus en détail

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ TR2 : Technologies de l'internet Chapitre VI NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ 1 NAT : Network Address Translation Le NAT a été proposé en 1994

Plus en détail

Chapitre VII : Principes des réseaux. Structure des réseaux Types de réseaux La communication Les protocoles de communication

Chapitre VII : Principes des réseaux. Structure des réseaux Types de réseaux La communication Les protocoles de communication Chapitre VII : Principes des réseaux Structure des réseaux Types de réseaux La communication Les protocoles de communication Introduction Un système réparti est une collection de processeurs (ou machines)

Plus en détail

On distingue deux catégories de réseaux : le réseau «poste à poste» et le réseau disposant d un «serveur dédié».

On distingue deux catégories de réseaux : le réseau «poste à poste» et le réseau disposant d un «serveur dédié». Un réseau est un ensemble de connexions entre plusieurs ordinateurs. Il va permettre : - la communication entre utilisateurs à travers les machines - la partage de ressources matérielles - le partage de

Plus en détail

Bibliographie. Gestion des risques

Bibliographie. Gestion des risques Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes

Plus en détail

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau. Firewall I- Définition Un firewall ou mur pare-feu est un équipement spécialisé dans la sécurité réseau. Il filtre les entrées et sorties d'un nœud réseau. Cet équipement travaille habituellement aux niveaux

Plus en détail