NAT Serveur Mail Serveur Apache et serveurs virtuels SSH/SSL PPP et HDLC
|
|
- Eveline Beauchemin
- il y a 8 ans
- Total affichages :
Transcription
1 NAT Serveur Mail Serveur Apache et serveurs virtuels SSH/SSL PPP et HDLC Protocoles Avancés Master 1 MI - Luiz Angelo STEFFENEL - L Stefenel
2 Organisation du Cours NAT Serveur Mail Confguration d'un serveur Apache Serveurs Virtuels SSL/TLS PPP et HDLC L Stefenel
3 Réseaux Privés Le RFC 1918 a défni des Réseaux IP Privés Adresses non connectés à l'internet Les adresses IP dans un réseau privé peuvent être attribués de manière arbitraire Aucun enregistrement est nécessaire La pénurie d'adresses IP valides a rendu les réseaus privés très populaires dans le domaine des sous-réseaux «endpoint» Généralement les adresses correspondent aux sous-réseaux expérimentaux suivants (adresses non routés) : L Stefenel
4 Adresses Privées H1 H2 H3 H Private network Private network 1 R1 Internet R H5 L Stefenel
5 Network Address Translation (NAT) Le NAT est un service ofert par les routeurs afn de traduire les adresses (et aussi les numéros de ports) des datagrames IP qui entrent/quittent un réseau privé Établi initialement dans le RFC 1631 Le NAT ofre la possibilité aux hôtes dans un réseau privé de communiquer avec des hôtes sur l'internet Private network Internet Source = Destination = Source = Destination = private address: public address: NAT device public address: H1 Source = Destination = Source = Destination = H5 Private Address Public Address L Stefenel
6 Scénario 1 Nombre limité d'adresses valides Scénario : Le réseau d'une entreprise a un grand nombre de machines mais seule une petite quantité d'adresses IP publiques Solution NAT : Le réseau interne (intranet) est confguré avec des adresses privés Le routeur NAT, placé à la frontière entre le réseau privé et le réseau public, contrôle une liste d'adresses IP publiques Lorsqu'une machine du réseau interne envoie un datagramme, le dispositif NAT choisi une adresses IP publique (de sa liste) et attache cette adresse (bind) à l'adresse privée de la machine L Stefenel
7 Scénario 1 Nombre limité d'adresses valides Private network Internet H1 Source = Destination = private address: public address: NAT device Source = Destination = public address: H5 Private Address Public Address Pool of addresses: L Stefenel
8 Scénario 2 Migration de FAI Scénario : L'entreprise dispose d'un sous-réseau CIDR fourni par un FAI. Si l'entreprise décide de changer de FAI, elle est obligée rendre le sous-réseau et à changer les adresses IP des machines Solution NAT : Attribuer des adresses privées aux machines de l'entreprise Le dispositif NAT fait de la traduction statique pour lier chaque adresse privée à une adresse publique La migration de FAI requiert seulement la mise à jour du dispositif NAT. La transition est transparente pour les hôtes du réseau interne Remarque : La diférence avec le scénario précédent est que la traduction est statique L Stefenel
9 Scénario 2 Migration de FAI Source = Destination = Source = Destination = ISP 1 allocates address block /24 to private network: H1 private address: public address: Private network NAT device Source = Destination = ISP 2 allocates address block /24 to private network: Private Address Public Address L Stefenel
10 IP masquerading L'IP masquerading est aussi connu sous d'autres noms Network address and port translation (NAPT) Port address translation (PAT) Scénario : L'entreprise (utilisateur) dispose d'une seule adresse IP publique pour répondre à plusieurs machines dans le réseau interne Solution NAT : Attribuer des adresses privées à chaque machine du réseau local Le dispositif NAT modife les numéros de port du trafc sortant L Stefenel
11 IP masquerading Source = Source port = 2001 Source = Source port = 2100 private address: H1 Private network NAT device Internet private address: H2 Source = Source port = 3020 Source = Destination = 4444 Private Address Public Address / / / /4444 L Stefenel
12 Équilibrage de Charge entre les Serveurs Scénario : Un service (serveur web, par exemple) doit être réparti entre plusieurs serveurs afn d'équilibrer la charge, mais l'adresse d'accès est unique (une seule IP) Solution NAT : Attribuer une adresse privée à chaque serveur Le dispositif NAT agit comme un proxy pour les requêtes issues du réseau publique Le dispositif NAT choisi un serveur de destination diférent à chaque nouvelle connexion entrante ex.: alternance de façon «round robin» L Stefenel
13 Équilibrage de Charge entre les Serveurs Private network Source = Destination = S Source = Destination = NAT device Source = Destination = Internet S Source = Destination = Inside network Outside network S3 Private Address Public Address Public Address L Stefenel
14 Ce qu'il faut faire attention Performance La modifcation de l'entête IP (traduction de l'adresse) oblige le dispositif NAT à recalculer le checksum de l'entête IP La modifcation de l'entête TCP.UDP (traduction du numéro de port) oblige le dispositif NAT à recalculer le checksum de l'entête TCP/UDP Fragmentation Il faut faire attention à ce qu'un datagramme fragmenté avant l'arrivé au dispositif NAT soit entièrement redirectionné à la même adresse IP / port Connectivité bout-à-bout Le NAT empêche la connectivité end-to-end sur Internet Une machine sur Internet ne peut pas initier une communication avec une machine dans le réseau privé Le problème est encore plus grave si les deux machines appartiennent à des réseaux privés L Stefenel
15 Ce qu'il faut faire attention Adresse IP transporté par les applications Certaines applications et protocoles applicatifs transportent les adresses IP directement avec les données Ces applications difcilement arrivent à communiquer à travers la frontière publique/privée Quelques dispositifs NAT regardent les données de certains protocoles bien connus à la recherche d'adresses IP Si le dispositif trouve des adresses «cible», il les traduit selon le tableau de traduction d'adresses L Stefenel
16 Exemple : NAT et FTP Opération normale du protocole FTP FTP client H1 public address: PORT /1027 public address: FTP server H2 200 PORT command successful RETR myfile 150 Opening data connection establish data connection L Stefenel
17 Exemple : NAT et FTP Dispositif NAT adapté au protocole FTP Actif (très rare) Private network Internet FTP client private address: public address: NAT device FTP server H1 PORT /1027 PORT /1027 H2 200 PORT command successful 200 PORT command successful RETR myfile RETR myfile 150 Opening data connection 150 Opening data connection establish data connection establish data connection L Stefenel
18 Exemple : NAT et FTP FTP en mode passif avec NAT Private network Internet FTP client private address: public address: NAT device public address: FTP server H1 PASV PASV H2 Entering Passive Mode /10001 Entering Passive Mode /10001 Establish data connection Establish data connection L Stefenel
19 Confguration de NAT sous Linux Linux utilise le système Netflter/iptables pour rajouter des règles de fltrage aux datagrammes IP To application From application filter INPUT nat OUTPUT Yes Destination is local? No filter FORW ARD filter OUTPUT nat PREROUTING (DNAT) nat POSTROUTING (SNAT) Incoming datagram Outgoing datagram L Stefenel
20 Confgurer NAT avec iptables Premier exemple (traduction 1<->1) : iptables t nat A POSTROUTING s j SNAT --to-source Liste d'adresses IP : iptables t nat A POSTROUTING s /24 j SNAT --to-source Migration de FAI: iptables t nat R POSTROUTING s /24 j SNAT --to-source IP masquerading : iptables t nat A POSTROUTING s /24 o eth1 j MASQUERADE Équilibrage de charge : iptables -t nat -A PREROUTING -i eth1 -j DNAT --todestination L Stefenel
21 Organisation du Cours NAT Serveur Mail Confguration d'un serveur Apache Serveurs Virtuels SSL/TLS PPP et HDLC L Stefenel
22 Pourquoi gérer son propre serveur de courriers? Plus de transit par le fournisseur d accès pour la messagerie en interne Choix de l interconnexion des sites distants Sécurité des données Pas de limite de quotas Filtrage sur mesure des courriers INCONVENIENTS : Demande un niveau de compétences élevé Une responsabilité accrue vis-à-vis des utilisateurs, mais aussi de la communauté Internet L Stefenel
23 Les fonctionnalités requises Echange de Mails dans l entreprise et vers l extérieur Consultation accessible par WebMail Protection contre les virus Filtrage des courriers non sollicités L Stefenel
24 Les besoins De préférence une IP Fixe Une connexion Internet Haut-Débit Un nom de domaine associé à votre IP Le protocole SMTP Les protocoles POP et IMAP Un routeur/nat si le serveur est sur une IP privée L Stefenel
25 POSTFIX : le MTA Le MTA est l agent de transfert des courriers POSTFIX est disponible : En tant que MTA, POSTFIX ne fournit aucune fonctionnalité de récupération des courriers par les utilisateurs, il ne fournit que le protocole SMTP L'architecture POSTFIX est composé de plusieurs processus (daemons) Chacun de ces daemons à une fonction bien précise et distincte Le daemon nommé master assure la gestion des diférents processus L Stefenel
26 POSTFIX : Arrivée des Messages Trois façons de recevoir les messages : SMTP : La manière la plus classique, les messages sont traités par le daemon SMTPD QMQP : Les messages proviennent d un autre MTA QMAIL et sont pris en charge par le daemon QMQPD SENDMAIL : Les messages générés par des scripts ou émis par des applicatifs locaux transitent souvent par le MTA SENDMAIL, ceux-ci sont alors remis au daemon POSTDROP Ce processus créé un fchier message dans le répertoire MAILDROP de la fle d attente de POSTFIX. C est le daemon PICKUP qui surveille les arrivées et remets les nouveaux messages au daemon CLEANUP L Stefenel
27 POSTFIX : Le processus CLEANUP Après avoir reçus les messages, les daemons SMTPD, QMQPD et PICKUP les transmettent au processus CLEANUP CLEANUP efectue les tâches suivantes : Application des règles de limitation de tailles des messages Application des règles utilisateurs de fltrage de contenu Réécriture éventuelle d adresses d expéditeur et/ou de destinataires à l aide du daemon TRIVIAL-REWRITE Ajout des en-têtes obligatoires manquantes CLEANUP place ensuite les messages dans le processus responsable de la fle d attente d entrée QMGR L Stefenel
28 POSTFIX : La livraison des messages POSTFIX est doté de plusieurs agents de livraison de messages (MDA) : Une partie cliente SMTP chargée de router les messages vers les autres serveurs via le protocole du même nom. Un agent de livraison LOCAL qui livre les messages aux utilisateurs locaux du système. Un agent VIRTUAL si le système héberge des boîtes aux lettres d utilisateurs virtuels (Utilisateurs sans comptes Shell) Les processus PIPE et SPAWN qui permettent de développer ses propres agents de livraison. L Stefenel
29 POSTFIX : Installation Comme tous les logiciels sous Linux, POSTFIX peut-être installé de diférents façons : A partir des sources A partir d un paquetage propre à la distribution de Linux utilisée apt-get install postfx (Debian / Ubuntu) L Stefenel
30 POSTFIX : Confguration Les fchiers de confguration sont au format texte et sont donc éditables facilement avec un simple éditeur. Les principaux fchiers sont : master.cf main.cf Ils se trouvent dans le dossier : /etc/postfx Après chaque modifcation de ces fchiers, la confguration de postfx doit être rechargée : postfx reload L Stefenel
31 POSTFIX : main.cf les informations sur votre domaine : mydomain = a203.net myhostname = debian-prof myorigin = $mydomain ou $myhostname mydestination = $mydomain, $myhostname, localhost. $mydomain relayhost = [smtp.monfai.com] mynetworks = /24, /16 L Stefenel
32 POSTFIX : Mailbox ou Maildir Par défaut POSTFIX livre les messages locaux dans des fchiers au format Mailbox (mbox) Ces fchiers portent le nom de l utilisateur de destination et se situent dans le dossier : /var/mail ou /var/spool/mail Il existe UN seul fchier par boîtes aux lettres L Stefenel
33 POSTFIX : Mailbox ou Maildir Pour éviter les inconvénients des fchiers mbox, il existe un autre format de boîtes aux lettres : Maildir Il utilise plusieurs répertoires et un fchier par message La boîte d arrivée des messages se situe généralement dans le répertoire personnel de chaque utilisateur. Cette option est défnie dans le fchier main.cf : Home_mailbox = Maildir/ La commande maildimake permet de créer les boîtes dans les répertoires utilisateurs L Stefenel
34 Lire le courrier : POP et IMAP POSTFIX ne fournissant que le protocole SMTP, il est nécessaire d installer d autres logiciels pour les utilisateurs puissent récupérer leurs messages : courier-imap courier-pop ATTENTION, ces deux produits ne fonctionnent qu avec des boîtes au format Maildir L Stefenel
35 Lire le courrier : WEBMAIL La solution Webmail présente plusieurs avantages, aussi bien du coté client que du coté administration Une seule installation à réaliser : Celle de l application WebMail sur le serveur La possibilité de pouvoir interroger ses mails de n importe quel endroit de la planète à partir d un simple navigateur Elle peut présenter aussi quelques inconvénients : Nécessite un espace disque plus important sur le serveur car les utilisateurs y laisseront la totalité de leurs messages Pas de possibilité de consulter ses messages si l utilisateur n est pas connecté au réseau La gestion des pièces jointes de tailles importantes est parfois impossible L Stefenel
36 Lire le courrier : Webmail Exemples de serveur Webmail : SQUIRRELMAIL HORDE L installation nécessite : Un Serveur Apache Php Généralement les produits sont extensibles et de nombreux plug-ins sont fournis Comme tout les applications WebMail, des connexions sécurisées SSL sont possibles L Stefenel
37 Filtrage des messages : PROCMAIL Procmail fournit des règles permettant d appliquer des traitements particuliers à tous les messages arrivant sur le système. Il permet entre autres : De rediriger les messages vers des listes de distribution De rediriger les messages vers certaines boîtes aux lettres en fonction de critères défnis De supprimer certains messages à l arrivée De mettre en place un service de répondeur automatique en cas d absence prolongée De passer le traitement du courrier à une autre application : Antivirus (ClamAV,...) Antispams (Spamassassin,...) L Stefenel
38 Les sauvegardes Aucun système n est à l abris d une panne, une sauvegarde est indispensable. Vous devez sauvegarder : Les données d authentifcation Les fchiers de confguration du système de messagerie Les boîtes aux lettres des utilisateurs La fle d attente des messages Les fchiers de log La liste des logiciels installés L Stefenel
39 Sécurité du Système Le relais de messagerie est aujourd hui le point sensible du système Exploitation de failles de sécurité (webmail Roundcube,...) Plusieurs solution existent permettant à chacun de pouvoir déposer des messages sur le serveur SMTP quelque soit l endroit où il se trouve : Les VPN création de tunnels cryptés vers un réseau L authentifcation SMTP (SMTP-AUTH) Cette méthode nécessite l installation d un autre logiciel Cyrus- SASL. En efet, POSTFIX n implémente pas cette fonction L Stefenel
40 Organisation du Cours NAT Serveur Mail Confguration d'un serveur Apache Serveurs Virtuels SSL/TLS PPP et HDLC L Stefenel
41 APACHE Le serveur Apache 2 répond actuellement pour environ 50% des sites web existants (les valeurs varient selon les sources) Serveur web de code source ouvert (open source) opérations très optimisées intégration facile de modules divers (php, ajax, tomcat) sécurité : les failles sont corrigées très rapidement Trois modes «multiprocessus» prefork non threadé worker threadé répond à la charge en variant le nombre de processus perchild threadé répond à la charge en variant le nombre de threads par processus L Stefenel
42 APACHE Installation sous Ubuntu apt-get install apache2-mpm-worker ou apt-get install apache2-mpm-prefork ou apt-get install apache2-mpm-perchild daemon : apache2 port 80 (http) port 443 (https) script de démarrage : apache2 /etc/init.d/apache2 start L Stefenel
43 Confguration de Base Lancer le serveur Apache /etc/init.d/apache2 start Vérifer que Apache tourne correctement ps -aux grep httpd chargé) (vérife si le serveur a été naviguer sur une page si correct) le répertoire par défaut des fchiers est /var/www/ Recharger les fchiers de confguration (après modifcation) /etc/init.d/apache2 reload Arrêter le serveur /etc/init.d/apache2 stop L Stefenel
44 Confguration /etc/apache2/apache2.conf Autres fchiers et répertoires utilisés (sous /etc/apache2) httpd.conf ports.conf conf.d/ mods-available mods-enabled/ sites-available/ sites-enabled/ proxy-conf L Stefenel
45 Édition du fchier apache2.conf À l'aide de votre éditeur préféré (vi, nano, etc.), ouvrir le fchier /etc/apache2/apache2.conf On y trouve notamment : utilisateur et groupe qui «tournent» le serveur apache User www-data Group www-data les fchiers par défaut (chargés sans qu'on donne leurs noms) DirectoryIndex index.html index.php index.xhtml le répertoire par défaut des pages des utilisateurs (décommenter) # UserDir public_html L Stefenel
46 Édition du fchier apache2.conf Le journal des erreurs ErrorLog /var/log/apache2/error.log Le fchier à afcher en cas d'erreur ErrorDocument Une sortie formatée des connections CustomLog Le fchier où sont défnies les portes d'écoute # Include ports listing Include /etc/apache2/ports.conf L Stefenel
47 Serveurs Virtuels - Motivation Il est courant d'héberger des dizaines de sites dans un seul serveur. Parfois, ces sites ont des adresses diférents (site- 1.cpnv.com, mars.ouaga.fr,...) Lorsque les requêtes HTTP atteignent notre serveur http, celuici va regarder dans ses règles afn de trouver dans quel répertoire il doit se diriger. C'est là que la gestion des virtualhosts va intervenir Également, la réponse doit inclure dans l'en-tête http l'adresse virtuelle initialement demandée En conséquence, nous créerons une entrée pour chaque site hébergé sur notre serveur Cette entrée contiendra le domaine prévu, et le répertoire de redirection L Stefenel
48 Serveurs Virtuels - les diférents types Les serveurs virtuels peuvent être crées selon diférentes approches : Les Hôtes Virtuels basés sur l'adresse IP Très utile lorsque le serveur a plusieurs cartes réseau Hôtes Virtuels basés sur le numéro de port Le numéro de port donne accès à des services diférents C'est le cas des serveurs HTTPS (qui écoutent sur le por 443) Hôtes Virtuels basés sur le nom Diférents noms sont confgurés dans le DNS L Stefenel
49 Confguration Prenons par exemple deux sites, - la page principale de l'entreprise intranet.test1.com la page interne Nous alons créer un répertoire pour chaque site sous /var/www /var/www/test1 /var/www/intranet Pour chaque site nous allons créer un fchier de confguration sous le répertoire /etc/apache2/sites-available Remarque : si un site par défault est déjà en activité, il doit être confguré pour répondre à toutes les requêtes sauf celles destinées aux serveurs virtuels L Stefenel
50 Confguration de Base Créer deux fchiers (un par virtual server) avec au moins ces informations <VirtualHost IP:PORT> ServerName NOM DocumentRoot CHEMIN </VirtualHost> La balise <VirtualHost IP:PORT> Indique quel est l'ip et port d'écoute (* ou *:80 généralement) La balise ServerName NOM Indique le nom du serveur virtuel (utilisé pour fltrer les requêtes) La balise DocumentRoot CHEMIN Indique le chemin des pages de ce serveur virtuel L Stefenel
51 Fichier de confguration pour <VirtualHost *> ServerAdmin ServerName ServerAlias test1.com DocumentRoot /var/www/test1/ ErrorLog /var/www/test1/logs/error.log ErrorDocument 404 /var/www/test1/erreur.html LogLevel warn </VirtualHost> L Stefenel
52 Fichier de confguration pour intranet.test1.com <VirtualHost *> ServerAdmin ServerName intranet.test1.com DocumentRoot /var/www/intranet/ ErrorLog /var/www/intranet/logs/error.log ErrorDocument 404 /var/www/intranet/erreur.html LogLevel warn </VirtualHost> L Stefenel
53 L'heure de la vérité On sauvegarde les fchiers Pour activer le domaine nous faisons un lien symbolique dans le répertoire sites-enabled : ln -s /etc/apache2/sites-available/test1.com /etc/apache2/sites-enabled/test1.com On redémare apache2 : /etc/init.d/apache2 restart Et on peut accéder à notre répertoire : L Stefenel
54 Protéger l'accès à une page web Utilisation du contrôle htaccess 1 modifer la confguration du serveur pour permettre le contrôle via htaccess <VirtualHost *> ServerAdmin postmaster@test1.com ServerName intranet.test1.com DocumentRoot /var/www/intranet/ <directory /var/www/intranet/> AllowOverride AuthConfig Order deny,allow </directory> ErrorLog /var/www/intranet/logs/error.log ErrorDocument 404 /var/www/intranet/erreur.html LogLevel warn </VirtualHost> L Stefenel
55 Créer un fchier de mots de passe Pour protéger un répertoire avec un mot de passe il faut : Créer un fchier avec les mots de passe htpasswd -c /chemin/passwd user (création du fchier) htpasswd /chemin/passwd autreuser (rajouter un user) Options : -m (MD5) ou -d (crypt) ou -p (plain text) Rajouter les règles d'authentifcation dans le fchier.htaccess qui est dans le répertoire concerné AuthType Basic AuthName "Restricted Files" # (Following line optional) AuthBasicProvider file AuthUserFile /usr/local/apache/passwd/passwords Require user rbowen L Stefenel
56 Groupe d'utilisateurs Créer un fchier groupes avec le format GroupName: rbowen dpitts sungo rshersey Créer un fchier avec les mots de passe des utilisateurs Rajouter les règles d'authentifcation dans le fchier.htaccess qui est dans le répertoire concerné AuthType Basic AuthName "By Invitation Only" # Optional line: AuthBasicProvider file AuthUserFile /usr/local/apache/passwd/passwords AuthGroupFile /usr/local/apache/passwd/groups Require group GroupName Autre option est de rajouter uniquement «Require valid-user» accepte uniquement les users avec un mot de passe L Stefenel
57 Questions de Sécurité Mots de passe stockés en format texte option : utilisation d'une base de données AuthBasicProvider dbm AuthDBMUserFile /www/passwords/passwd.dbm Transmission du mot de passe en clair mot de passe transmis à chaque lecture de page ou d'image d'un répertoire protégé option : la méthode d'authentifcation AuthType Digest utilise la méthode d'hachage MD5 créer le fchier de mots de passe avec l'outil htdigest méthode récente -> difcilement supporté par des navigateurs anciens (<2004) L Stefenel
58 .htaccess avec la méthode Digest Création du fchier de mots de passe root# htdigest -c.passwd 'zone restricte' user Puis modifcation de.htaccess AuthType Digest AuthName "zone restricte" AuthDigestDomain /intranet/ AuthDigestProvider fle AuthUserFile /var/www/intranet/.senhas Require valid-user L Stefenel
59 En cas de problèmes Lisez les messages d'erreur Cherchez dans /var/log/apache2/... la description des problèmes Google ;) L Stefenel
60 Organisation du Cours NAT Serveur Mail Confguration d'un serveur Apache Serveurs Virtuels SSL/TLS PPP et HDLC L Stefenel
61 Défnition et historique SSL : Secure Socket Layer est le standard dans les communications et les transactions sécurisées Historique 1994 : Netscape développe le protocole SSL SSL permet à un client d authentifer le serveur Seul le Netscape Navigator utilise ce protocole 1995 : SSL V3 permet au serveur d authentifer le client : IETF achète le brevet du SSL et le rebaptise TLS (Transport Layer Security) L Stefenel
62 Pourquoi utiliser SSL SSL est standardisé Il existe une version libre de SSL : OpenSSL ( que vous pouvez utiliser dans vos programmes sans payer de royalties OpenSSL est opensource: tout le monde peut contrôler et vérifer le code source (Le secret réside dans les clés de chifrement, pas dans l'algorithme lui-même) SSL a été cryptanalysé : ce système a été plus analysé que tout ses concurrents. SSL a été passé en revue par de nombreux spécialistes en cryptographique Il est répandu : on peut facilement créer des programmes qui dialogueront avec d'autres programmes utilisant SSL L Stefenel
63 Fonctionnalités Authentifcation Authentifcation du serveur par le client Authentifcation mutuelle Confdentialité Intégrité Non répudiation L Stefenel
64 Authentifcation du serveur Le client a besoin de s assurer de l identité du serveur avant l envoi des informations sensibles Utilisé dans le domaine du commerce électronique (B2C) Basé sur les certifcats électroniques : Le serveur envoie son certifcat au client. Le client s assure de la validité du certifcat et de la signature de ce dernier par une autorité de certifcation de confance. Si le certifcat est valide le client peut entamer une communication sécurisée avec le serveur (session). L Stefenel
65 Authentifcation mutuelle Le serveur aussi a besoin de s assurer de l identité du client Utilisé dans le domaine du commerce électronique (B2B) et dans le cas où une partie du SI est disponible sur le web pour des utilisateurs autorisés seulement À son tour, le client doit envoyer son certifcat au serveur Ce certifcat est accepté s il est valide et signé par une autorité de certifcation de confance L Stefenel
66 Confdentialité Une fois la session établie, les deux entités peuvent échanger leurs informations en toute sécurité Utilisation de la cryprographie SSL utilise le cryptage asymetrique (RSA, Dife-Hellmann) pour ouvrir une session Défnition d'une clé maître SSL utilise le cryptage symétrique (DES, 3DES, IDEA, RC4) pour chifrer la transmission des données Clé de dession Aprés l'établissement des clés, toute autre personne qui intercepte les informations échangées est incapable de les déchifrer puisque elle ne connaît pas la clé de session Pendant une certaine durée de temps L Stefenel
67 Intégrité Une tierce personne peut toujours changer les informations sans avoir besoin de les déchifrer Certains types d'attaque man in the middle SSL protège les informations échangés contre ces modifcations. Ceci garantie la véracité des informations reçues (N de la carte de crédit) SSL envoie avec les messages une empreinte numérique issue d une fonction de hachage Probabilité très réduite de collision L Stefenel
68 Non répudiation SSL est utilisé dans des domaines très sensibles tel que le commerce électronique Lorsqu une transaction est faite SSL peut empêcher le fait qu une personne nie avoir efectué cette transaction Mécanisme de la signature électronique : l émetteur signe ces messages par sa clé privée (stockée seulement chez lui) le récepteur vérife cette signature avec la clé publique qui se trouve dans le certifcat de l émetteur L Stefenel
69 Fonctionnement Client Commencer la session Serveur Certificat serveur Clé maîtresse cryptée Session établie Demande de certificat Certificat client Échange de données cryptées par clé de session L Stefenel
70 Composantes SSL se compose de deux parties : SSL Record Protocol : assure la confdentialité et l intégrité des données échangées SSL Handshake Protocol, SSL ChangeCipherSpec et SSL Alert assurent l authentifcation et l établissement de la session Handshake ChangeCipherSpec Alert SSL Record Protocol Protocole applicatif TCP IP L Stefenel
71 Les utilisations de SSL SSL peut être utilisé pour sécuriser pratiquement n'importe quel protocole utilisant TCP/IP Certains protocoles ont été spécialement modifés pour SSL : HTTPS : HTTP+SSL FTPS est une extension de FTP (File Transfer Protocol) utilisant SSL SSH (Secure Shell) : telnet (ou rlogin) sécurisé Il est possible de sécuriser des protocoles en créant des tunnels SSL. Une fois le tunnel créé, vous pouvez faire passer n'importe quel protocole dedans (SMTP, POP3, HTTP, NNTP...) L Stefenel
72 Qui vérife un Certifcat? Ce sont les PKI (Public Key Infrastructure), des sociétés externes (auxquelles vous faites implicitement confance), qui vont vérifer l'authenticité du certifcat (La liste de ces PKI est incluse dans votre navigateur VeriSign, Thawte (crée par Mark Shuttleworth, fondateur d'ubuntu), etc. Ces PKI signent cryptographiquement les certifcats des entreprises Normalement, c'est un service payant L Stefenel
73 Créer un certifcat Un certifcat contient des informations concernant l'identité de son détenteur (la personne qui publie les données) Ce certifcat s'accompagne d'une clé publique qui est indispensable pour que la communication entre les machines soit chifrée Ain de garantir l'authenticité du certifcat, ce dernier est signé numériquement par le biais d'une clé privée provenant soit d'un organisme ofciel (Société spécialisée dans la certifcation) soit par le détenteur du Certifcat lui même Dans ce dernier cas, on parlera de certifcat auto-signé Un certifcat auto-signé ne sera pas reconnu par les navigateurs internet comme étant certifé CA Cert ( permet d'obtenir des certifcats gratuits Il faut néanmoins installer le certifcat racine dans votre navigateur L Stefenel
74 Activer SSL sur Apache 2 Activation du module SSL Pour que le protocole SSL puisse fonctionner avec le Serveur HTTP Apache2, il faut activer le module ssl avec la commande sudo a2enmod ssl puis recharger la confguration d'apache2 sudo /etc/init.d/apache2 force-reload Créer un certifcat auto-signé sous Ubuntu 8.10 sudo make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/ssl/private/localhost.pem Autant le certifcat que la clé sont stockés dans ce fchier Apache recommande de séparer en deux fchiers L Stefenel
75 -----BEGIN RSA PRIVATE KEY----- MIICXQIBAAKBgQClTwogRlfcRlwPE9vIASym5WToIaZke21OO8c82lCjXN8htRRA pdgcomgybxdp7or22tksx00vw7zlrhywbb6ubzfdfw5+2smitxv3e21moyiwrnfw XJUdfCc0RhSAQt7meeDcRxWYls86pPTPUi9LbMInAOkDvRnZ9gxHtqG5/QIDAQAB AoGAOgCAqhBkdZqOZI/wNr4Kv8iPXk+oRWt1T9TztGtZjehhNj+GCqRULpthei3G Pn59JgJT3xlnSNIiJUixMiXh4FzAogpRq9ZtEcNGmkplHtzFgiTWTDAlOLtKvikc AY7VkmLwADEBVdsCP0iGgpBx+TKR7obydman1A2GfCLWB0ECQQDQAjfb4xI5YbPf DjLmCpgtf1oN7JZquJ9r3vWIVv6rKHhXm6tQBIle62C4ltIvzxzsiGHxiF1DgyNq C6u4QohtAkEAy3LNVnh5G/cQi62m01a/Kg3BNcOj7zIsGQnZ/ZAkvxOy5VX6af8R /5xlK58JU2aRWy//4FXeVFZCUnA02ZNh2GrDmWqj2w8jc+I3O7uOMm6Sv/kCQQCt +qk2s5f3kx77kg5gnmnknoleotitfmbn/cw62lblatsi0/1zparijbt99p4z3a4 Ye0QTptV4eGrvLHRzZvBAkBHbHe62a50Qntyo0qQ49r0+r2c39t9Z6wtjcSM/ZgQ s+etsn9mifgpbe7cj0s4gb6sudsqtp2lujwm/pk2aidu -----END RSA PRIVATE KEY BEGIN CERTIFICATE----- MIIBnzCCAQgCCQD+4SZlq8LOrDANBgkqhkiG9w0BAQUFADAUMRIwEAYDVQQDEwls b2nhbghvc3qwhhcnmdkwmjewmtc0mtewwhcnmtkwmja4mtc0mtewwjaumriweayd V9xGXA8T28gBLKblZOghpmR7bU47xzzaUKNc3yG1FECkOAI4wZhvEOnuhHbZORJf TS/DvMusfJYEHpRvMV0XDn7awwhPFXcTbWajKJZGcXBclR18JzRGFIBC3uZ54NxH FZiWzzqk9M9SL0tswicA6QO9Gdn2DEe2obn9AgMBAAEwDQYJKoZIhvcNAQEFBQAD gyeaunahtmsnwugohqqurbcspgnoaouamdyeujwfhigoq5gxynx/9ec/ooftuzxh cftbbefvzjxcjgf7pu9zlgpfrw1wxxgwx/3lsd+qafzhminp1cqg3rw/jf+btxzk HM+DRuw+xBavX6pTU0A7cD3NdSb+bZLPNsAUTOzxJ4yp0QE= -----END CERTIFICATE----- L Stefenel
76 Modifer notre virtual server pour utiliser SSL <VirtualHost *:443> ServerName intranet.teste1.com DocumentRoot /var/www/intranet SSLEngine on SSLCertifcateFile /etc/ssl/private/localhost.pem SSLCertifcateKeyFile /etc/ssl/private/localhost.pem </VirtualHost> L Stefenel
77 Une pause avant d'attaquer PPP et HDLC L Stefenel
78 Organisation du Cours NAT Serveur Mail Confguration d'un serveur Apache Serveurs Virtuels SSL/TLS PPP et HDLC L Stefenel
79 Les connexions séries Point à Point Introduction L Stefenel
80 Les connexions séries Les connexions WAN sont basés sur les transmissions via des connexions séries Le système de transmission encode les informations en signal électrique suivant des méthodes de codage comme NRZ-L Nonreturn to Zero Level AMI Alternative Mark Inversion HDB3 High Density Binary 3 Le plus connu de codage est le codage de Manchester sur Ethernet (qui n'est pas fait pour le WAN! ) Existence de diférents standard de communication série RS-232 V.35 High Speed Serial Interface (HSSI) L Stefenel
81 Time Division Multiplexing Le Time Division Multiplexing permet de transmettre les informations de plusieurs sources sur le même canal de communication Les informations de chaque source sont décomposées en «morceaux» Chaque morceau de chacune des sources sont placées dans des «time slots» Similitude avec des voitures sur une route Chaque voiture peut embarquer un certain nombre de personnes La taille de chaque «morceau» est fxé suivant le TDM utilisé L Stefenel
82 Time Division Multiplexing Example L Stefenel
83 Demarcation Point Demarcation Point : point de connexion qui délimite les responsabilités de l'utilisateur et de l'opérateur L Stefenel
84 DCE/DTE Une connexion série est délimitée par un DTE d'un coté : Data Terminal Equipment un DCE de l'autre : Data Communication Equipment L Stefenel
85 Exemple de DTE et DCE Généralement, une routeur est vu comme un DTE Mais également un ordinateur, une imprimante, un terminal,... Un DCE, également appelé un CSU/DSU est un équipement qui convertit les données provenant d'un DTE en information compatible avec le lien de communication du service provider Généralement, les DCE sont des modems Quand 2 ordinateurs ou 2 routeurs sont relié entre eux Il faut utiliser un câble null-modem (équivalent du câble croisé) pour éliminé l'usage d'un DCE Pour des connexions synchrones, il faut également assurer une synchronisation d'horloge qui peut être faite soit par un équipement externe soit par l'un des routeurs ou ordinateurs qui fait ofce de DCE Câble DCE : connecteur femelle Câble DTE : connecteur mâle L Stefenel
86 Les connexions séries Point à Point HDLC L Stefenel
87 Le protocole HDLC HDLC Normalisé en 1979 par l'iso Protocole fonctionnant sur connexion synchrone En 1981, ITU-I a développé une suite de protocoles «dérivés» de HDLC Link Access Procedure, Balanced (LAPB) pour X.25 Link Access Procedure on the D channel (LAPD) pour ISDN Link Access Procedure for Modems (LAPM) and PPP pour les modems Link Access Procedure for Frame Relay (LAPF) pour Frame Relay HDLC est un protocole de la couche 2 synchrone assurant contrôle de fux Détection d'erreur grâce à des acknowlegments et un système de fenêtre L Stefenel
88 Le protocole HDLC de Cisco Le protocole HDLC normalisé ne permet pas de supporter Plusieurs protocoles de couche 3 Absence d'un champ «type» pour indiquer le protocole encapsulé Cisco a développé une version de HDLC avec une champ «type» Cette version est le protocole par défaut de tout routeur Cisco pour les communications sur liaisons séries L Stefenel
89 La confguration de HDLC en IOS L Stefenel
90 Le débuggage L Stefenel
91 Les erreurs possibles Serial x is down, line protocol is down Le cable est défectueux ou le Carrier Detect n'est pas détecté Serial x is up, line protocol is down Par de détection d'horloge La ligne est de mauvaise qualité ou aucun message de type keepalive n'est transmis Serial x is up, line protocol is up (looped) Une boucle est détectée. Utilisation de nombres aléatoires dans les messages keepalives et retour de ce même nombre sur une interface Serial x is up, line protocol is down (disabled) Trop d'erreurs sont détectées Serial x is administratively down, line protocol is down L'interface n'est pas activée L Stefenel
92 Les connexions séries Point à Point Le protocole PPP L Stefenel
93 L'architecture de PPP PPP : protocole de couche 2 Supporte plusieurs protocoles de couches 3 IP, IPX,... Fonctionne à la fois sur des interfaces Synchrone Asynchrone High-Speed Serial Interface (HSSI) Integrated Services Digital Network (ISDN) L Stefenel
94 L'architecture de PPP L Stefenel
95 PPP et la couche 2 Il se décompose en 2 sous-protocoles Link Control Protocol (LCP) Etablir, confgurer et tester la connexion Network Control Protocol (NCP) Peut gérer plusieurs protocoles de couche 3 L Stefenel
96 Le sous-protocole LCP L Stefenel
97 Le sous-protocole LCP : ses options L Stefenel
98 Le sous-protocole LCP Permet d'avoir des options supplémentaires Authentication PAP (Password Authentication Protocol) : authentifcation en clair CHAP (Challenge Handshake Authentication Protocol) : Compression authentifcation par challenge Décompression de la trame PPP à la destination 2 types de compression sont disponibles sur routeur Cisco : Stacker et Predictor Détection d'erreur : les options Quality et Magic Number aident pour la fabilité de la connexion et la détection de boucle Multilink : une alternative pour faire de l'équilibrage de charge sur les interfaces du routeurs utilisant PPP PPP Callback L Stefenel
99 Le sous-protocole LCP L Stefenel
100 PAP L Stefenel
101 CHAP L Stefenel
102 Les phases de l'authentifcation L Stefenel
103 Le sous-protocole NCP PPP permet d'encapsuler de multiples protocoles de couche 3 sur le même lien de communication Pour chaque protocole de couche 3, NCP est utilisé IP utilise IP Control Protocol (IPCP) Internetwork Packet Exchange (IPX) utilise Novell IPX Control Protocol (IPXCP) NCP fourni des champs fonctionnels pour indiquer quel protocole de couche supérieure est encapsulée L Stefenel
104 Le sous-protocole NCP L Stefenel
105 Etablissement d'une session PPP L Stefenel
106 Etablissement d'une connexion PPP LCP est utilisé pour établir la connexion 3 catégories de trames LCP existent Link-establishment frames -> établir et confgurer la connexion Link-termination frames pour terminer la connexion Link-maintenance frames pour gérer et débugger la connexion La connexion se fait suivant les phases suivantes : Link-establishment phase : envoie par chaque device PPP des trames LCP pour confgurer et tester le lien de communication. Possibilité de négocier la MTU, la compression et l'authentifcation Phase d'authentifcation (optionel) Network layer protocol phase : utilisation du sous-protocole NCP pour choisir et confgurer les protocoles de la couche supérieur La commande show interfaces permet d'obtenir l'état de LCP et NCP L Stefenel
107 Les connexions séries Point à Point La confguration L Stefenel
108 Les commandes L Stefenel
109 Les options de LCP L Stefenel
110 Confguration de PAP L Stefenel
111 Confguration de CHAP L Stefenel
112 Vérifer PPP L Stefenel
113 Les messages de debug L Stefenel
114 La checklist L Stefenel
TP Service HTTP Serveur Apache Linux Debian
Compte rendu de Raphaël Boublil TP Service HTTP Serveur Apache Linux Debian Tout au long du tp, nous redémarrons le service apache constamment pour que les fi de configuration se remettent à jour - /etc/init.d/apache2
Plus en détailLes Réseaux Privés Virtuels (VPN) Définition d'un VPN
Les Réseaux Privés Virtuels (VPN) 1 Définition d'un VPN Un VPN est un réseau privé qui utilise un réseau publique comme backbone Seuls les utilisateurs ou les groupes qui sont enregistrés dans ce vpn peuvent
Plus en détailDevoir Surveillé de Sécurité des Réseaux
Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La
Plus en détailTunnels et VPN. 22/01/2009 Formation Permanente Paris6 86
Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement
Plus en détailSécurité des réseaux Firewalls
Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et
Plus en détailTunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud Sophie.Nicoud@urec.cnrs.
Tunnels ESIL INFO 2005/2006 Sophie Nicoud Sophie.Nicoud@urec.cnrs.fr Plan Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs 2 Tunnels, pourquoi? Relier deux réseaux locaux à travers
Plus en détailpare - feu généralités et iptables
pare - feu généralités et iptables Cycle Ingénierie 3e année SRT Dernière mise à jour : 12/12/2006 Adrien URBAN pare-feu général routeurs pare-feu sans état pare-feu avec état pare-feu avec état et inspection
Plus en détailLe protocole SSH (Secure Shell)
Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction
Plus en détailMigration de sendmail vers postfix dans le laboratoire Paul Painlevé à Lille. Mars 2004 Zouhir.Hafidi@math.univ-lille1.fr 1
Migration de sendmail vers postfix dans le laboratoire Paul Painlevé à Lille Mars 2004 Zouhir.Hafidi@math.univ-lille1.fr 1 Situation avant la migration Sendmail Mbox (/var/spool/mail) + NFS Différents
Plus en détail2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement
Plus en détailSERVEUR HTTP Administration d apache
1 SERVEUR HTTP Administration d apache PLAN Introduction: Présentation HTTP; Installation et configuration d apache; VirtualHosts; Aliasing; Limitation d accès. 2 PROTOCOLE HTTP PRÉSENTATION HTTP : HyperText
Plus en détailPrésentation du modèle OSI(Open Systems Interconnection)
Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:
Plus en détailDate : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h
Enoncé : Vous devez configurer un réseau wan à partir de deux Pcs en utilisant Packet Tracer. L'un est situé à Lyon et l'autre Pc est installé à Paris. Les deux Pcs sont reliés à partir deux routeurs qu'il
Plus en détailDans l'épisode précédent
Dans l'épisode précédent 2 Le réseau SERVEURS POSTE CLIENT POSTE CLIENT wifi SERVEURS POSTE CLIENT switch Borne Wifi SERVEURS routeur POSTE CLIENT? SERVEURS SERVEURS SERVEURS POSTE CLIENT SERVEURS 3 Les
Plus en détailS E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Tutoriel Postfix
Tutoriel Postfix 1. Introduction : Un peu d historique : Postfix est le système de courrier crée par Wietse Venema, également auteur des TCP wrappers, reconnus pour leur intérêt dans le domaine de la sécurité,
Plus en détailSSL ET IPSEC. Licence Pro ATC Amel Guetat
SSL ET IPSEC Licence Pro ATC Amel Guetat LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol) SSL - SECURE SOCKET LAYER Historique
Plus en détailBTS SIO SISR3 TP 1-I Le service Web [1] Le service Web [1]
SISR3 TP 1-I Le service Web [1] Objectifs Comprendre la configuration d'un service Web Définir les principaux paramètres d'exécution du serveur Gérer les accès aux pages distribuées Mettre à disposition
Plus en détailTravaux Pratiques Introduction aux réseaux IP
Université de Savoie Initiation aux réseaux IP Travaux Pratiques Introduction aux réseaux IP Sylvain MONTAGNY sylvain.montagny@univ-savoie.fr Bâtiment chablais, bureau 13 04 79 75 86 86 TP1 : Analyse de
Plus en détailTéléinformatique. Chapitre V : La couche liaison de données dans Internet. ESEN Université De La Manouba
Téléinformatique Chapitre V : La couche liaison de données dans Internet ESEN Université De La Manouba Les techniques DSL La bande passante du service voix est limitée à 4 khz, cependant la bande passante
Plus en détailRéseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux
Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs
Plus en détailFormation Iptables : Correction TP
Table des matières 1.Opérations sur une seule chaîne et sur la table filter:...2 2.Opérations sur plusieurs chaînes et sur la table filter:...5 3.Opérations sur plusieurs chaires et sur plusieurs tables
Plus en détailCASE-LINUX MAIL. Introduction. CHARLES ARNAUD Linux MAIL
1 CASE-LINUX MAIL Introduction On dispose d'un serveur mail, qui via postfix et dovecot va envoyer et réceptionner les mails. Les adresses mails seront liées à des users contenu dans notre DC charlie.be
Plus en détailRéseaux et protocoles Damien Nouvel
Réseaux et protocoles Plan Les couches du réseau Suite de protocoles TCP/IP Protocoles applicatifs pour les sites web Requêtes HTTP 2 / 35 Plan Les couches du réseau Suite de protocoles TCP/IP Protocoles
Plus en détailFTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières
FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE Table des matières Principes de FTPS... 2 Généralités... 2 FTPS en mode implicite... 2 FTPS en mode explicite... 3 Certificats SSL / TLS... 3 Atelier de tests
Plus en détailProxy et reverse proxy. Serveurs mandataires et relais inverses
Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans
Plus en détailUbuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)
Introduction 1. Introduction 13 2. Le choix de l'ouvrage : Open Source et Linux Ubuntu 13 2.1 Structure du livre 13 2.2 Pré-requis ou niveau de connaissances préalables 13 3. L'objectif : la constitution
Plus en détailCisco Discovery - DRSEnt Module 7
Page 1 of 7 Cisco Discovery - DRSEnt Module 7 Select language : English Mode examen : Oui (Changer la couleur du site, écriture noire sur fond blanc). Liens utiles : Site Netacad Télécharger Packet Tracer
Plus en détailTP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?
TP Linux : Firewall Objectif : Réaliser un firewall simple par filtrage de paquet avec iptables sous Linux Matériel : 1 serveur Linux S configuré en routeur entre le réseau du lycée qui représentera le
Plus en détailInstallation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS
Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS FOURNIER VINCENT 29/04/2015 1.2 Ce tutoriel est réalisé sous debian 7.7 avec une synchronisation
Plus en détailInstallation d un Serveur de Messagerie
Installation d un Serveur de Messagerie Auteur : Mohamed DAOUES Classification : T.P Numéro de Version : 1.0 Date de la création : 22.07.2011 2 Suivi des Versions Version : Date : Nature des modifications
Plus en détailII/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)
II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection) II.2/ Description des couches 1&2 La couche physique s'occupe de la transmission des bits de façon brute sur un canal de
Plus en détailCouche application. La couche application est la plus élevée du modèle de référence.
Couche application La couche application est la plus élevée du modèle de référence. Elle est la source et la destination finale de toutes les données à transporter. Couche application La couche application
Plus en détailFigure 1a. Réseau intranet avec pare feu et NAT.
TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L
Plus en détailCisco Certified Network Associate
Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 3 01 Quel protocole de la couche application sert couramment à prendre en charge les transferts de fichiers entre un
Plus en détail07/03/2014 SECURISATION DMZ
07/03/2014 SECURISATION DMZ Anthony MANDRON SDIS 21 Table des matières Introduction :... 2 Contexte :... 2 Les solutions possibles :... 2 Le proxy inverse :... 2 Démonstration de la nouvelle solution :...
Plus en détailSSL. Secure Socket Layer. R. Kobylanski romain.kobylanski@inpg.fr. janvier 2005 - version 1.1 FC INPG. Protocole SSL Application avec stunnel
SSL Secure Socket Layer R. Kobylanski romain.kobylanski@inpg.fr FC INPG janvier 2005 - version 1.1 1 Protocole SSL 2 SSL/TLS Encapsule des protocoles non sécurisés (HTTP IMAP...) dans une couche chiffrée
Plus en détailTable des matières. 2011 Hakim Benameurlaine 1
Table des matières 1 SERVEUR APACHE... 2 1.1 INTRODUCTION... 2 1.2 INSTALLATION ET CONTROLE du service APACHE... 3 1.3 CONFIGURATION DE BASE DU SERVEUR HTTP... 5 1.3.1 Directives globales... 7 1.3.2 Directives
Plus en détailLINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation
Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance
Plus en détailSécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)
Sécuriser son réseau Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR) Plan Rappel IP Techniques et outils Réseaux Outils réseaux ( sniffer,scanner ) Translation d adresse
Plus en détailLINUX REDHAT, SERVICES RÉSEAUX/INTERNET
LINUX REDHAT, SERVICES RÉSEAUX/INTERNET Réf: LIH Durée : 4 jours (7 heures) OBJECTIFS DE LA FORMATION Ce cours pratique vous permettra de maîtriser le fonctionnement des services réseaux sous Linux RedHat.
Plus en détailWindows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.
2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation
Plus en détailSécurité des réseaux sans fil
Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification
Plus en détailPolux Développement d'une maquette pour implémenter des tests de sécurité
Polux Développement d'une maquette pour implémenter des tests de sécurité équipes SERES et SSIR 28 septembre 2007 2 / 55 Plan Première partie I Aspects fonctionnels 3 / 55 Plan 1 Présentation des aspects
Plus en détailProcédure d'installation
07/11/2014 BTS SIO SISR 2ème année BRY Quentin Procédure d'installation Tableau d évolution Version Date Description Rédacteur Approbateur 0.0 25/01/2014 Ecriture du document Thierry MARTINS 1.0 06/11/2014
Plus en détailInstallation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6
Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6 1 BERNIER François http://astronomie-astrophotographie.fr Table des matières Installation d un serveur HTTP (Hypertext Transfer
Plus en détailTable des matières 1 Accès distant sur Windows 2008 Server...2 1.1 Introduction...2
Table des matières 1 Accès distant sur Windows 2008 Server...2 1.1 Introduction...2 1.2 Accès distant (dial-in)...2 1.3 VPN...3 1.4 Authentification...4 1.5 Configuration d un réseau privé virtuel (vpn)...6
Plus en détailConfiguration de l'accès distant
Configuration de l'accès distant L'accès distant permet aux utilisateurs de se connecter à votre réseau à partir d'un site distant. Les premières tâches à effectuer pour mettre en oeuvre un accès distant
Plus en détailMise en place d un Webmail
Projet Linux Charles Costrel de Corainville Laurent Jerber Mise en place d un Webmail 8 Mars 2015 Contents 1 INTRODUCTION 2 2 ORGANISATION DES COMPOSANTS DU PROJET 2 3 Présentation de la configuration
Plus en détailInstallation d un hébergement Web à domicile
Installation d un hébergement Web à domicile Wampserver Par Sébastien ZAMBON Version 1.0 11.07.2015 Table des matières Introduction... 3 Configuration du PC... 3 Configuration d une adresse IP statique...
Plus en détailServeur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.
Serveur de partage de documents Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents. Table des matières Création de la machine virtuelle Debian... 3 Présentation
Plus en détailTP réseaux 4 : Installation et configuration d'un serveur Web Apache
TP réseaux 4 : Installation et configuration d'un serveur Web Apache Objectifs Installer, configurer, lancer et administrer le serveur Web Apache sous Linux Données de base machine fonctionnant sous Linux
Plus en détailInstallation GLPI-OCSNG-SSL Linux Debian Sarge
Installation GLPI-OCSNG-SSL Linux Debian Sarge Installation de Glpi (0.68.2), OCS NG RC3 et hébergement des deux sites sous apache2, sur la même machine, en SSL avec un seul certificat, sur debian sarge.
Plus en détailTR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ
TR2 : Technologies de l'internet Chapitre VI NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ 1 NAT : Network Address Translation Le NAT a été proposé en 1994
Plus en détailAlexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr
M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec
Plus en détailServices Réseaux - Couche Application. TODARO Cédric
Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port
Plus en détailLinux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch
Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2
Plus en détailModule 7 : Configuration du serveur WEB Apache
Module 7 : Configuration du serveur WEB Apache Introduction Ce sont les gens du CERN (centre européen de recherche nucléaire) qui ont développé le concept de serveur et client HTTP. Une fois leur travail
Plus en détailIntérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT
Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière
Plus en détailRéseau : Interconnexion de réseaux, routage et application de règles de filtrage.
TD réseau - Réseau : interconnexion de réseau Réseau : Interconnexion de réseaux, routage et application de règles de filtrage. Un réseau de grande importance ne peut pas seulement reposer sur du matériel
Plus en détailDHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013
DHCP et NAT Cyril Rabat cyril.rabat@univ-reims.fr Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 22-23 Cours n 9 Présentation des protocoles BOOTP et DHCP Présentation du NAT Version
Plus en détailRouteur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.
Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05
Plus en détailSERVEUR WEB LINUX LAMP. Raymond RAZAFIMAMONJY Administration LINUX / UNIX Chapitre 15 www.razafimamonjy.fr
SERVEUR WEB LINUX LAMP 1 Le Serveur APACHE Définition d un serveur web : - Un serveur http ou démon http ou HTTPd (HTTP daemon) ou (moins précisément) serveur web, est un logiciel servant des requêtes
Plus en détailLicence 3 Systèmes et Réseaux II. Chapitre V : Filtrage
Licence 3 Systèmes et Réseaux II Chapitre V : Filtrage Département IEM / UB Eric.Leclercq@u-bourgogne.fr Bureau G212 Aile des Sciences de l Ingénieur Mise-à-jour : février 2009 (Département IEM / UB) Filtrage
Plus en détailCulture informatique. Cours n 9 : Les réseaux informatiques (suite)
Culture informatique Cours n 9 : Les réseaux informatiques (suite) 1 Un réseau : Nécessité de parler un langage commun pour pouvoir communiquer dans un réseau. Différents niveaux de communication Physique,
Plus en détailMISE EN PLACE DU FIREWALL SHOREWALL
MISE EN PLACE DU FIREWALL SHOREWALL I. LA MISSION Dans le TP précédent vous avez testé deux solutions de partage d une ligne ADSL de façon à offrir un accès internet à tous vos utilisateurs. Vous connaissez
Plus en détailTP HTTP. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A
Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP HTTP TP HTTP Master IC 2 A 2014/2015 Christian Bulfone / Jean-Michel Adam 1/11 Câblage et configuration du réseau
Plus en détail18 TCP Les protocoles de domaines d applications
18 TCP Les protocoles de domaines d applications Objectifs 18.1 Introduction Connaître les différentes catégories d applications et de protocoles de domaines d applications. Connaître les principaux protocoles
Plus en détailCours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -
Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction
Plus en détailUniversité Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall
Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP réseau firewall L objectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall) entre
Plus en détailLinux sécurité des réseaux
Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007-2008 Qu'est-ce qu'un proxy? = mandataire (traduction) Un proxy est un service mandataire pour une application donnée.
Plus en détailServeur Web Apache - SSL - PHP Debian GNU/Linux
Serveur Web Apache - SSL - PHP Debian GNU/Linux Matthieu Vogelweith 24 août 2009 Résumé L objectif de ce document est de détailler l installation d un serveur Web Apache [1] complet sous Debian GNU/Linux
Plus en détailPrésentation et portée du cours : CCNA Exploration v4.0
Présentation et portée du cours : CCNA Exploration v4.0 Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco Networking Academy diplômés en ingénierie, mathématiques
Plus en détailSécurité GNU/Linux. Iptables : passerelle
Sécurité GNU/Linux Iptables : passerelle By sharevb Sommaire I.Rappels...1 a)les différents types de filtrages : les tables...1 b)fonctionnement de base : les chaînes et les règles...1 II.La table nat
Plus en détailMicrosoft Hosted Exchange 2010 DOCUMENT D EXPLOITATION
Microsoft Hosted Exchange 2010 DOCUMENT D EXPLOITATION SOMMAIRE ACCES EX10... 3 CONFIGURATION EX10 A. Entrées DNS à créer sur le(s) nom(s) de domaine choisi(s)... 3 B. Configuration Outlook 2007 - MAPI...
Plus en détailVoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau
VoIP et "NAT" VoIP et "NAT" Traduction d'adresse dans un contexte de Voix sur IP 1/ La Traduction d'adresse réseau("nat") 3/ Problèmes dus à la présence de "NAT" 1/ La Traduction d'adresse réseau encore
Plus en détailInstallation du serveur WEB Apache ( MySQL, PHP) sous Debian 7.
Installation du serveur WEB Apache ( MySQL, PHP) sous Debian 7. Dans ce tutoriel je crée un site www.artheodoc.fr. Vous pouvez remplacer "artheodoc" par le nom de site votre choix. Installation de LAMP
Plus en détailL3 informatique Réseaux : Configuration d une interface réseau
L3 informatique Réseaux : Configuration d une interface réseau Sovanna Tan Septembre 2009 Révision septembre 2012 1/23 Sovanna Tan Configuration d une interface réseau Plan 1 Introduction aux réseaux 2
Plus en détailDISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)
DISTANT ACESS Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3) TABLE DES MATIERES I. PRESENTATION DE L ATELIER...2 1. PRESENTATION GENERALE...2
Plus en détailHébergement WeboCube. Un système performant et sécurisé. Hébergement géré par une équipe de techniciens
Hébergement WeboCube Le service d'hébergement WeboCube a pour but de sécuriser la présence internet grâce à un suivi personnalisé et une maintenance active de votre serveur internet. Un espace de gestion
Plus en détailTAGREROUT Seyf Allah TMRIM
TAGREROUT Seyf Allah TMRIM Projet Isa server 2006 Installation et configuration d Isa d server 2006 : Installation d Isa Isa server 2006 Activation des Pings Ping NAT Redirection DNS Proxy (cache, visualisation
Plus en détailDOCUMENTATION ADMINISTRATEUR
DOCUMENTATION ADMINISTRATEUR STATUT DU DOCUMENT Classification sécurité : Strictement confidentiel Diffusion restreinte Interne Publique Version actuelle : Préparé par : Lowinski Marc Chiguer Mansour N'Diaye
Plus en détailServeur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014
Mise en place d un service FTP sous Linux Bouron Dimitri 20/04/2014 Ce document sert de démonstration concise pour l installation, la configuration, la sécurisation, d un serveur FTP sous Linux utilisant
Plus en détailLes serveurs WEBUne introduction
Les serveurs WEB Une introduction Claude Duvallet Université du Havre UFR Sciences et Techniques 25 rue Philippe Lebon - BP 540 76058 LE HAVRE CEDEX Claude.Duvallet@gmail.com Claude Duvallet 1/22 Comparaison
Plus en détailFonctionnement de Iptables. Exercices sécurité. Exercice 1
Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.
Plus en détailTransmission ADSL. Dominique PRESENT Dépt S.R.C. - I.U.T. de Marne la Vallée
Transmission ADSL Dominique PRESENT Dépt S.R.C. - I.U.T. de Marne la Vallée Hauts débits sur paires torsadées Fournir un accès haut débit à des serveurs sur paires téléphoniques ; Assurer la simultanéïté
Plus en détailRéalisation d un portail captif d accès authentifié à Internet 10.10.10.1
Master 1 ère année UE Réseaux avancés I Projet Réalisation d un portail captif d accès authentifié à Internet Présentation du projet Le but du projet est de mettre en place un portail captif permettant
Plus en détailDéploiement d OCS 1.02 RC2 sous Debian Etch 64
Déploiement d OCS 1.02 RC2 sous Debian Etch 64 Par Big_orneau Note : Utilisation ici d OCS sur un domu Xen. Les commandes sont en italiques. - Avant toute chose vérifier absolument : La date sur le serveur
Plus en détailServeur FTP. 20 décembre. Windows Server 2008R2
Serveur FTP 20 décembre 2012 Dans ce document vous trouverez une explication détaillé étapes par étapes de l installation du serveur FTP sous Windows Server 2008R2, cette présentation peut être utilisée
Plus en détailSERVEUR DE MESSAGERIE
CRÉEZ VOTRE SERVEUR DE MESSAGERIE avec: version 4.3-B248 Sommaire PREAMBULE et REMERCIEMENTS Page 2 INTRODUCTION Page 2 AVERTISSEMENT Page 3 INSTALLATION Page 3 CONFIGURATION Page 12 CLIENT DE MESAGERIE
Plus en détail1 PfSense 1. Qu est-ce que c est
1 PfSense 1 Qu est-ce que c est une distribution basée sur FreeBSD ; un fournisseur de services : serveur de temps : NTPD ; relais DNS ; serveur DHCP ; portail captif de connexion ; un routeur entre un
Plus en détailTransport Layer Security (TLS) Guide de mise en œuvre. Version: 1.0
Transport Layer Security (TLS) Guide de mise en œuvre Version: 1.0 15 mai, 2013 Table des matières Aperçu... 2 Reconnaissances... 2 Introduction de TLS... 2 Comment fonctionne TLS... 2 Comment mon organisation
Plus en détailRichard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple
Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises La banque en ligne et le protocole TLS : exemple 1 Introduction Définition du protocole TLS Transport Layer Security
Plus en détailIntroduction aux Technologies de l Internet
Introduction aux Technologies de l Internet Antoine Vernois Université Blaise Pascal Cours 2006/2007 Introduction aux Technologies de l Internet 1 Au programme... Généralités & Histoire Derrière Internet
Plus en détailBind, le serveur de noms sous Linux
Bind, le serveur de noms sous Linux 1. Principes de fonctionnement d'un serveur de noms La résolution des noms d'hôtes sur les réseaux tcp/ip est fondée sur le principe d'une répartition de la base des
Plus en détailTutoriel compte-rendu Mission 1
Mission 1 : Inventaire de l ensemble du matériel BTS SIO 2 2012/2013 MUNIER Julien Tutoriel compte-rendu Mission 1 Sommaire I - OCS Inventory Agent a) Installation et configuration Agent b) Installation
Plus en détailInstallation et utilisation d'un certificat
1 IceWarp Merak Mail Server Installation et utilisation d'un certificat Icewarp France octobre 2007 2 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 Sommaire Introduction...3 Situation
Plus en détailIntroduction. Adresses
Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom
Plus en détailRéaliser un inventaire Documentation utilisateur
Référence : 11662 Version N : 6 Créé le : 29 Janvier 2014 Créé par : Bruno RICHOUX Téléphone : 0811 65 60 02 Sommaire 1. Conventions... 3 2. Introduction... 4 3. Principes généraux... 5 3.1. Depuis les
Plus en détailLive box et Nas Synology
Live box et Nas Synology Création : OpenOffice.org Version 2.3 Auteur : PHI Création : 18/01/2008: Version : 32 Modification : 24/03/2008 Fichier : E:\Mes documents\tuto NAS LB\tuto ftp.odt Imprimer moi
Plus en détail