Réseaux Internet & Services

Transcription

1 Préambule Réseaux Internet & Services SRC2 Meaux Aurélie Quidelleur D après le support de cours Réseaux Internet et Services, SRC2 Meaux , de C. Bernard Matière - Réseaux et Services sur Réseaux Module - Réseaux Internet & Services Réseaux Internet & Services 1 Objectifs : Connaître l organisation du réseau Internet. Etre capable d installer et d utiliser les services Internet (résolution de noms, courrier électronique, consultation de pages web, transfert de fichiers, ) au niveau serveurs et clients. Pré-requis : Module M2211 : Présentation des services, infrastructure des réseaux Module M2221 : Administration et sécurité des réseaux. Contenu : Historique, structure et fonctionnement du réseau Internet. Protocoles du modèle Internet : IP, TCP, UDP. Service de résolution de noms : DNS. Service de courrier électronique : SMTP, POP, IMAP, MIME. Service de pages web statique et dynamique : HTTP Service de transfert de fichiers : FTP. Service de visioconférence : RTP, RTCP, ; téléphonie sur IP. Travaux Pratiques : Installation, configuration, gestion et utilisation des services Internet ; configuration de serveurs et de clients. : indique un approfondissement hors programme ; s adresse aux étudiants désirant poursuivre en école d ingénieur Réseaux Internet & Services 2 Sommaire La vague Internet Introduction Architecture d Internet Le système de résolution de noms DNS Service de transfert de fichiers : FTP Telnet - SSH Les protocoles de messagerie Les protocoles du web Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Réseaux Internet & Services 3 Internet, son ancêtre : ARPANET, conçu dans les années 1960 par le DARPA But : Concevoir une architecture de réseau dans laquelle la rupture d une liaison n interrompt pas brutalement les conversations Principe : les données sont découpées en «paquets» de bits, chaque paquet peut emprunter un chemin différent pour atteindre sa destination => réseau à commutation de paquets Connexion des centres du DoD à l ARPANET dans les années 1970, puis des centres de recherche et des universités Fin des années 1980 : connexion des entreprises privées => naissance de l Internet Standardisation de IPv4 en 1981 (RFC 791) Tous ces réseaux fonctionnent selon les protocoles de routage et de transport TCP/IP Aujourd hui 400 millions de machines accessibles (janv. 2006, (1980 quelques dizaines d hôtes, millions de machines réparties en réseaux) Réseaux Internet & Services 4 Quelques indicateurs pour le secteur Réseaux & Télécoms Explosion du marché des Télécoms Volume des transmissions de données qui double tous les ans La vague Internet En France, 12.7 millions d abonnements à Internet à haut débit au 31/12/2006 (soit une progression de 7.7% par rapport à la fin du 3 ème trimestre 2006) - Réf. : ) Place de plus en plus importante dans les économies nationales Revenus des opérateurs de communications électroniques sur le marché des clients finaux : 10.3 milliards d euros au 3 ème trimestre 2006 Réf. : Trois composantes majeures du marché (téléphonie fixe, Internet et téléphonie mobile) : 8.1 milliards d euros au 3 ème trimestre 2006 (+ 3.7% sur un an) Déréglementation - Arrivée de nouveaux opérateurs sur le marché 32 FAI (Fournisseur d Accès Internet) en France Les acteurs du monde Réseaux & Télécom Les constructeurs : Alcatel-Lucent, Ericsson, Siemens Les opérateurs : France Télécom, Deutsche Telecom, AT&T (US), GTE-Sprint (US), NTT (Japon), British Telecom. Réseaux Internet & Services 5 Sommaire Introduction Architecture d Internet Eléments clefs du modèles TCP/IP, La suite TCP/IP La couche Transport Les numéros de ports, TCP, UDP La couche Internet Rôle de la couche Internet, Format du paquet IP La couche Ethernet Les équipements d interconnexion Les adresses IP Les protocoles ARP, ICMP Le système de résolution de noms DNS Service de transfert de fichiers : FTP Telnet - SSH Les protocoles de messagerie Les protocoles du web Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Réseaux Internet & Services 6

2 Le réseau Internet Attention! Internet n est pas à proprement parler UN réseau, mais une interconnexion de réseaux d opérateurs, réalisée suivant les protocoles TCP/IP (Transport Control Protocol/Internet Protocol). Interopérabilité au niveau des applications TCP/IP aujourd hui clef de voûte des réseaux Les utilisateurs font appel aux applications sans avoir besoin de connaître les technologies et l architecture de l Internet Les services réseaux les plus populaires Le courrier électronique Le web (protocoles HTTP) Les forums de discussions (news) Le transfert de fichiers (FTP, File Transfer Protocol) L accès à des machines distantes (telnet) Le «chat», les bourses d échanges point à point Réseaux Internet & Services 7 Caractéristiques de TCP/IP Internet caractérisé par ces deux principaux protocoles : TCP/IP (Transport Control Protocol/Internet Protocol) Protocole ouvert sources disponibles gratuitement et développées indépendamment d'une architecture particulière, d'un système d'exploitation particulier, d'une structure commerciale propriétaire Protocole indépendant du support physique du réseau véhiculé par des supports et des technologies aussi différents qu'ethernet, une liaison louée, une liaison radio (satellites, wifi a/b/g), une liaison FDDI, xdsl, ATM. Mode d'adressage commun à tous les utilisateurs de TCP/IP Standardisation des protocoles de haut niveau L IETF (Internet Engineering Task Force) : groupe international de chercheurs et d industriels qui collaborent pour produire les standards de l Internet ( RFC (Request For Comment) : ensemble des spécifications et évolutions des protocoles TCP/IP Réseaux Internet & Services 8 Modèle OSI et TCP/IP Les protocoles du modèle TCP/IP Architecture en 4 couches Ainsi nommé en raison de ses deux principaux protocoles : TCP (Transmission Control Protocol) et IP (Internet Protocol) Couche Transport : 2 protocoles, TCP mode fiable connecté et UDP mode non connecté Couche Internet : mode sans connexion, définit le protocole IP, le format des paquets et plusieurs protocoles de routage Couche 1&2 non séparées : Ethernet, la principale implémentation Application Transport Internet Hôte/Réseau FTP Telnet File Transfer Protocol SMTP Simple Mail Transfert Protocol TCP Transport Control Protocol IP Internet Protocol Ethernet FDDI Fiber Data Distributed Interface SNMP Simple Network Management Protocol HTTP HyperText Transfer Protocol NFS DNS Network File System Domain Name Service ICMP Internet Control Message Protocol UDP User Datagram Protocol ARP Address Resolution Protocol PPP Point to Point Protocol RIP Routing Information Protocol ATM Asynchronous Transfer Mode Réseaux Internet & Services 9 Réseaux Internet & Services 10 Les protocoles de la couche Transport TCP, UDP : Les numéros de port 1/2 La couche transport couvre l implémentation des deux protocoles TCP : Transmission Control Protocol (mode orienté connexion) RFC 793 UDP : User Datagram Protocol (mode non connecté) RFC 768 Sa principale fonction est de réaliser une transmission de bout en bout des messages entre deux stations (End to End Transport Service) Par conséquent, la couche transport n est pas implémentée dans les équipements intermédiaires (routeurs) Elle met en relation les deux processus communicants qui résident dans les extrémités de la liaison Offre des services indépendamment du type du réseau, elle pallie donc les insuffisances du réseau Réseaux Internet & Services 11 Identification d une application : numéro de port Le port est une destination abstraite utilisée par le protocole Socket = combinaison adresse IP numéro de port est le démon telnetd sur la station La combinaison de deux sockets définit complètement une connexion TCP ou un échange UDP Exemple et Connexion entre un processus client qui a pris le numéro 1094 sur la machine et le démon telnetd sur la machine Un utilisateur sur a fait un telnet sur la machine Visible avec la commande netstat a, avec l analyseur de trafic iptraf Client Commande tapée par Serveur exécutant : l utilisateur : démon telnetd Port 1094 telnet Port 23 Réseaux Internet & Services 12

3 TCP, UDP : Les numéros de port 2/2 TCP (RFC 793) Port prédéfini (RFC 1060 «assigned numbers» pour les services (numérotés de 0 à 1023) 20 : FTP transfert de données (File Transfer Protocol) 21 : FTP contrôle 23 : Telnet 25 : SMTP 53 : DNS 69 : TFTP 80 : web HTTP 161 : SNMP Mode client serveur Serveur, on parle de démons dans Unix (Linux) Le client se voit attribuer un numéro de port non affecté (>1024) pour éviter toute confusion avec les ports «officiels» Tous les équipements TCP/IP respectent cette attribution de ports pré-définis Fichier /etc/services sous Unix Réseaux Internet & Services 13 Importance dans l Internet : 90% du trafic, utilisation optimale des ressources réseaux Domaines d application : Web avec le protocole HTTP, Transfert de fichier avec le protocole FTP, Telnet... TCP ne «tourne» pas dans les routeurs (uniquement aux extrémités) Traite les données venant des couches supérieures comme une suite d octets (principe de l encapsulation) Découpe cette suite d octets en segments (Taille max. 64 koctets) Un segment TCP est contenu dans un datagramme IP (Champ protocole du datagramme IP = 6) Des segments sont échangés pour Ouvrir les connexions Transférer les données Envoyer des acquittements, gérer le contrôle de flux Fermer les connexions Réseaux Internet & Services 14 Format du segment TCP Taille minimale de 20 octets Bit 0 Bit 15 Bit 16 Bit 31 Source port (16) Destination port (16) HLEN (4) Sequence number (32) Acknowledgment number (32) FIN RST PSH SYN ACK URG Rsvd (6) Window (16) Checksum (16) Urgent (16) Options (varies) Data (varies if any) Padding 20 octets min Champs de l en tête TCP Source Port, Destination Port (16 bits) : numéro du port qui identifie l application du côté émetteur et destinataire Sequence number (32 bits), Acknowledgment number (32 bits) : Pour le séquencement et l acquittement des données reçues HLEN (Header Length, 4 bits) ou Data Offset : Longueur de l entête donnée en multiple de 32 bits (souvent 5) Rsvd (Reserved) : Réservé, toujours à 0 Code bits (6 bits) : Drapeaux (flags) pour l établissement et la fermeture de la session. 6 flags : URG, ACK, SYN, PSH, RST, FIN Window (16 bits) : Taille de la fenêtre coulissante (nombre d octets qu on peut recevoir à la fois avant acquittement). Mécanisme de contrôle de flux. Cheksum (16 bits) : code pour la détection et la correction d erreurs sur l entête et les données Urgent Pointer (16 bits) : indique le dernier octet urgent à transmettre si flag URG à 1 Options : permet d ajouter des options (options standards décrites dans les RFC, par exemple taille maximale du segment négociée au moment de l établissement de la connexion) Réseaux Internet & Services 15 Réseaux Internet & Services 16 Les code bits 1/2 URG (URGent) Indique que le champ pointeur urgent est significatif (exemple interruption CTRL C dans un telnet) Utilisé pour que TCP envoie le plus vite possible à la couche supérieure les données. Le récepteur ne doit pas transmettre les données dans l ordre du tampon, mais doit faire passer à l application les données signalées comme urgentes avant le reste de la file d attente. Ex. : Indispensable pour transmettre les interruptions ACK (ACKnowledgment) Indique que le segment transporte un accusé de réception SYN (SYNchronization) Utilisé pour établir la connexion TCP Les code bits 2/2 PSH (PuSH) Évite la mise en file d attente des informations et permet leur passage direct à l application (l émetteur ne prévoit pas d envoyer d autres données dans l immédiat) indique qu il n est pas nécessaire d attendre que la file d attente soit pleine pour transmettre les données à l application. A ne pas utiliser trop souvent pour ne pas surcharger inutilement l application, surtout si hôte en temps partagé avec de nombreuses applications RST (ReSeT) Exige une réinitialisation de la connexion Utilisé en cas de connexion coupée, connexion inexistante, erreur dans les paquets FIN Indique qu il n y a plus d informations à transmettre Réseaux Internet & Services 17 Réseaux Internet & Services 18

4 TCP : Mécanisme de la fenêtre glissante TCP : Les trois étapes de connexion Pb de l acquittement par un mécanisme de type «send and wait» On transmet un segment, puis on attend l acquittement avant de transmettre le suivant Mauvaise utilisation des ressources Notion de fenêtre d anticipation Utilisée pour le contrôle de flux. Permet d accélérer les transferts La fenêtre définit le nombre d'octets qui peuvent être envoyés sans avoir été acquittés Exemple W=3 On peut émettre 0, 1, 2 Acquittement de 0,1,2 On peut émettre 3, 4, 5 Acquittement de 3, 4 On peut émettre 5, 6, 7 etc... Réseaux Internet & Services 19 Ouverture de connexion Nécessaire avant tout transfert de données Permet d initialiser les numéros de séquences et la taille des MSS (message segment size) Le transfert de données Les octets sont envoyés dans des segments de taille maximale MSS Le numéro de séquence porté par un segment est celui du premier octet de données Le récepteur acquitte les segments reçus Le numéro d acquittement est celui du prochain octet à recevoir L acquittement est cumulatif Fermeture de la connexion Nécessaire à la fin de chaque connexion pour indiquer la fin du transfert Ce sont deux semi-fermetures, chaque entité TCP déclare la fin de la transmission Sert à libérer les ressources allouées à l ouverture de la connexion (buffers d émission/réception, les numéros de port alloués dynamiquement, le contexte de la connexion...) Réseaux Internet & Services 20 TCP : L ouverture de connexion A émet une demande de connexion avec un message TCP dont le bit SYN est positionné, et dans lequel est fourni son numéro de séquence initial (n). B retourne un message avec les bits SYN et ACK, en acquittant le numéro de séquence de A (n+1) et en fournissant son numéro de séquence initial(p) A retourne un acquittement du numéro de séquence de B (p+1) Segment 1 Segment 3 Segment 2 q = n du dernier octet de données du segment Réseaux Internet & Services 21 A SYN n:n (0) SYN p:p (0) Ack n+1 Ack p+1 Connexion établie Remarque : Notation p:q B p = n du 1er octet de données du segment TCP : Le transfert de données Envoi d un segment de p octets : le segment contient les octets n jusqu à n+p-1 A n:n+p-1 (p) Ack n+p Réseaux Internet & Services 22 B Acquittement : le prochain segment attendu démarre à l octet n+p TCP : La fermeture de connexion Exemple : session TCP sans perte Maximum Segment Size : 1024 Window : 3092 A informe B qu'il n'a plus de données à envoyer en émettant un message TCP dont le bit FIN est positionné B acquitte le message et informe l'application qu'il n'y a plus de données disponibles. Segment 1 Lorsque l'application a terminé le traitement, B libère la connexion en émettant à son tour un message TCP FIN Segment 4 A acquitte le message de B A FIN n:n (0) Ack j Ack n+1 FIN p:p (0) Ack p+1 B Segment 2 Segment 3 Application Demande ouverture active Indication connexion ouverte Emission 5120 octets Transport seq=350 SYN=1 ACK=0 seq=235 acq = 351 SYN=1 ACK=1 seq=351 acq=236 SYN=0 ACK=1 seq=352 acq=236 ACK=1 seq=1376 acq=236 ACK=1 seq=2400 acq=236 ACK=1 Transport Application Demande ouverture passive Indication connexion ouverte Indication réception 3072 octets Les 2 extrémités doivent demander la fermeture de connexion!! seq=236 acq=3424 ACK=1 Réseaux Internet & Services 23 Réseaux Internet & Services 24

5 Exemple : session TCP sans perte Maximum Segment Size : 1024 Window : 3092 TCP : Détection de perte et retransmission Application Demande déconnexion Indication cnx fermée Indication demande dcnx Transport seq=3424 acq=237 ACK=1 seq=4448 acq=237 ACK=1 PSH=1 seq=237 acq=5471 ACK=1 seq=5472 acq=238 FIN=1 ACK=1 seq=238 acq=5473 ACK=1 seq=239 acq=5473 FIN=1 ACK=1 seq=5473 acq=240 ACK=1 Transport Application Indication réception 2048 octets - Fin de msg Indication demande dcnx Demande déconnexion Indication cnx fermée Détections Par la réception d acquittement dupliqué (lors d une congestion de courte durée par exemple) (figure A) - Détection rapide Par le dépassement du délai d attente de l acquittement (suite à une assez longue congestion) (figure B) Quand la source détecte un délai d attente >> temps d aller-retour Retransmission Selective : (figure A) En cas d acquittement dupliqué Seulement le segment perdu est retransmis Go back N (figure B) En cas de dépassement du délai d attente d acquittement L'ensemble des octets correspondant aux segments non acquittés est retransmis Réseaux Internet & Services 25 Réseaux Internet & Services 26 Exemple : Session TCP avec perte Maximum Segment Size : 1024 Window : 3072 TCP : Contrôle de flux et de congestion Application Emission 5120 octets Transport seq=352 acq=236 ACK=1 seq=1376 acq=236 ACK=1 seq=2400 acq=236 ACK=1 seq=236 acq=1376 ACK=1 seq=1376 acq=237 ACK=1 seq=2400 acq=237 ACK=1 seq=3424 acq=237 ACK=1 seq=237 acq=3448 ACK=1 Transport Application Indication rcpt 3072 oct Réseaux Internet & Services 27 Le contrôle de flux Eviter que les destinataires ne soient engorgés par des sources trop rapides Se gère par la technique de la fenêtre glissante (émission/ réception) Le contrôle de congestion Eviter la transmission de segments sur le réseau alors qu il est congestionné Optimiser les taux d utilisation des ressources du réseau Se gère par une fenêtre glissante et les algorithmes de transmission Principe : Si réseau congestionné, risque de retransmissions multiples des paquets car ACK non reçus à temps et accroissement la congestion! Mesure du délai émission-réception ACK moyen : le temporisateur d attente des ACK est fonction de ce délai Diminution par 2 de la taille de la fenêtre à chaque paquet perdu Réseaux Internet & Services 28 UDP (RFC 768) Format du datagramme UDP User Data Protocol Protocole de transport non fiable Caractéristiques Protocole de transmission de message datagramme Pas de connexion, pas de séquencement, pas de fiabilité Détection d erreur bit mais pas de retransmission en cas d erreur Pas de contrôle de flux/congestion ( facile de saturer le réseau et les routeurs) Utilisation de numéros de port pour le multiplexage/démultiplexage Domaines d utilisation Transfert de fichier dans un réseau local avec TFTP (Trivial File Transfer Protocol) Résolution de nom de domaine avec DNS (Domain Name Service) Gestion de réseau avec SNMP (Simple Network Management Protocol) Communication de groupes en multicast Temps réel : flux audio vidéo pour les visioconférences avec RTP (Real-Time Transfer Protocol) Utilisé par NFS (Network File System) Réseaux Internet & Services 29 SP, DP : Les Ports source et destination (port source optionnel, identifie un port pour la réponse) Length : Longueur de tout le datagramme (taille max 64 koctets) Cheksum : Un code pour la détection d erreur Remarques : Bit 0 Bit 15 Bit 16 Bit 31 Source port (16) Destination port (16) Length (16) Checksum (16) 8 octets min Data (if any) Le protocole UDP est très simple et utile Ne nécessitant pas les trois étapes de connexion TCP Il ne fait que passer les données au protocole IP pour les acheminer à destination sans aucun contrôle : Risque de congestion du réseau!!!! Risque de perturbation non négligeable des connexions TCP Réseaux Internet & Services 30

6 Rôle de la couche Internet Rôle de la couche Internet Dans le modèle du DoD deux raisons expliquent l existence de cette couche : Adressage et routage L adressage permet une identification universelle des machines Le routage permet d atteindre ces machines grâce à leur adresse Interface unique entre les couches hautes et basses Adaptation des données aux couches 1 et 2 utilisées (par exemple segmentation/réassemblage) Les protocoles de la couche Internet : Internet Protocol (IP), RFC 791 représente à lui seul toute la couche Internet (les autres protocoles ne font que l assister dans sa fonction!) Internet Control Message Protocol (ICMP) Internet Group Message Protocol (IGMP) Address Resolution Protocol (ARP)/ Reverse ARP (RARP) Réseaux Internet & Services 31 Lors de l émission, les fonctionnalités assurées sont : identification du paquet Numérotation si fragmentation détermination de la route à suivre (routage) vérification du type d'adressage (station ou diffusion) ; Diffusion : transmission d un même paquet à toutes les stations connectées sur le réseau fragmentation de la trame si nécessaire À la réception, les fonctionnalités sont : vérification de la longueur du paquet contrôle des erreurs réassemblage en cas de fragmentation transmission du paquet réassemblé au niveau supérieur Réseaux Internet & Services 32 Pourquoi fragmenter et réassembler au niveau IP? Architecture de la couche IP Chaque protocole de la couche Hôte/réseau (Ethernet, FDDI, Token Ring ) accepte de IP une taille maximale de tranmsission (MTU, Maximum Transmission Unit) Ex. : Ethernet MTU= 1500 octets, FDDI MTU= 4352 octets Si un paquet veut traverser un réseau dont le MTU est inférieur Le routeur connectant les deux réseaux effectue la fragmentation Le réassemblage se fait sur la machine destinataire Couche 3 d une machine IP TCP Transport Transport Control Protocol Proto*=6 ICMP IP Internet Internet Control Proto=1 Internet Message Protocol Protocol UDP User Datagram Protocol Proto=17 Proto=2 IGMP Internet Group Message Protocol ARP Address Resolution Protocol Hôte/Réseau Type=0x800 Ethernet/SNAP Type=0x806 * Permet de déterminer le type de message Réseaux Internet & Services 33 Réseaux Internet & Services 34 Format du paquet IP Les champs d en-tête du paquet IP 1/3 Bit 0 Bit 15 Bit 16 Bit 31 Version (4) IHL (4) Type of service (8) Identification (16) Time to live (8) Protocol (8) Header checksum (16) Source IP address (32) Destination IP address (32) Options (variable) Flags (3) Data (variable) Total length (16) Fragment offset (13) Padding 20 octets min Version : La version du protocole IP Version courante = 4, 6 pour l IPv6 IHL (IP Header Length) : La longueur de l'entête IP en mot de 32 bits (4 octets) Bits de bourrage qui permettent d assurer une taille d en-tête multiple de 32 bits en général 5, taille de l en-tête = 20 octets sans option Type de service (TOS) : Était prévu pour routage avec qualité de service QoS (en terme de débit, délais ), mais n a pas été utilisé Total Length : La longueur totale du paquet IP, entête + data en octets (maximum 64 koctets) Identification, Flag, FO (Fragment Offset) Champs pour la fragmentation/réassemblage Réseaux Internet & Services 35 Réseaux Internet & Services 36

7 Les champs d en-tête du paquet IP 2/3 Time To Live (TTL) : Durée de vie du paquet en seconde Chaque routeur soustrait au TTL le temps de traitement. Actuellement un routeur traite un paquet en moins de 1 seconde donc il soustrait 1 au TTL, donc TTL indique le nombre de saut (hop count) plutôt qu un temps Si le TTL atteint 0 le paquet est détruit et un message ICMP est envoyé à l expéditeur (évite au paquet de circuler éternellement en cas de boucle) Protocol : indique le numéro de protocole à qui il faut remettre le paquet Protocole Transport Internet TCP UDP 6 17 IP 1 ICMP ICMP IP in IP IGMP Réseaux Internet & Services IPv TCP UDP Numéro Les champs d en-tête du paquet IP 3/3 Header Checksum : Checksum sur l entête seulement, afin de vérifier son intégrité Recalculé par chaque routeur (puisque TTL modifié) Mais ne couvre pas les données, de la responsabilité du transport Source address, Destination address Adresse IP des équipements source et destinataire d extrémité (pas les nœuds intermédiaires) Options : De longueur variable Correspondent à des fonctions comme : Rapport d erreurs Débugage Routage à la source Padding (Bourrage) Pour aligner l entête IP sur une taille multiple de 32 bits Réseaux Internet & Services 38 La couche hôte/réseau - Ethernet Les équipements d interconnexion du LAN La majorité des réseaux (locaux) s appuie sur la couche Ethernet Ethernet repose sur l utilisation des adresses MAC (adresse physique, spécifique à la carte réseau) Format de la trame Ethernet (RFC 894) : Adresse de destination Adresse source Type 6 oct. 6 oct. 2 oct. Adresse MAC unique, adresse matérielle ou physique (sur 6 octets) Données oct. CRC 4 oct. Type=0x800, données à destination du protocole IP Type=0x806, données à destination du protocole ARP Réseaux Internet & Services 39 Equipements d interconnexion au niveau du LAN qui vont agir sur les couches 1 et 2 Répéteur, Hub : niveau 1 Pont (bridge), Commutateur (switch) : niveau 2 Routeur : équipement de niveau 3 Permet l interconnexion de LAN, interface entre le réseau local et les autres réseaux Filtre et transmet des paquets entrants en se basant sur l adresse destination du paquet (adresse IP) et sa table de routage Domaine de collision : segment de réseau dans lequel toutes les machines partagent la même bande passante (plus il y a de stations, plus il y a de collisions) Equipement de niveau 2 utilisé pour séparer les domaines de collision (analyse des adresses MAC qui évite la propagation des collisions) Domaine de broadcast : ensemble des éléments du réseau recevant le trafic de diffusion Equipement de niveau 3, routeur qui bloque les broadcasts Réseaux Internet & Services 40 Domaine de collision et domaine de diffusion Le domaine de collision Toutes les trames sont vues par tous Comprend les segments de bus et les hubs Est limité par les ponts, switchs et routeurs Le domaine de diffusion (broadcast) Les broadcasts sont vus par tous Comprend bus, hubs, et switchs Est limité par les routeurs Réseaux Internet & Services 41 Le Commutateur Niveau 2 du modèle OSI Il sépare les domaines de collisions : plusieurs trames peuvent être transmises en parallèle sur un réseau LAN ponté. Commutateur filtrant auto-apprenant Réduction des collisions en évitant grâce à des buffers que deux trames soient émises en même temps (aucune si full-duplex) Aucune modification des systèmes connectés (transparent) Très souvent port autosense (détection automatique de la vitesse, du mode transfert ) Fonctionnement reçoit les trames sur ses ports à l arrivée d une trame, examen de l adresse destination consulte la table port/adresses pour voir s il faut retransmettre la trame sur un autre port Si oui, transmettre la trame Si non, trame déjà été émise sur le LAN où la destination se trouve Aujourd hui l équipement utilisés majoritairement dans le LAN. Réseaux Internet & Services 42

8 Fonctionnalités des commutateurs L interconnexion des réseaux IP Large évolution des technologies Ethernet Compatibilité 10Mbit/s, 100 Mbit/s, Gbit/s voire 10 Gbit/s 802.3u : version 100 Mbit/s 100BaseT 802.3z : Gigabit Ethernet, 1000BaseSX, 1000BAseLX 802.3ab : Gigabit Ethernet, 1000BaseT 802.3ae : 10 Gigabit Ethernet 802.3x : transmission en duplex intégral (Ethernet full-duplex) 802.1p : Classe de service (Qualité de service) 802.3q : VLAN (Virtual LAN) Tagging VLAN : création de groupe dans le LAN permettant de limiter les domaines de broadcast ad : agrégation de liens (trunking) 802.1x : Authentification port par port 802.3af : transmission des signaux d alimentation sur des câblages 10BaseT, 100BaseT et 1000BaseT Réseaux Internet & Services 43 Le routeur (aussi appelé gateway IP) : Equipement de niveau 3, interface entre le réseau local et les autres réseaux Chaque poste connaît l adresse du routeur lui permettant de «sortir» du LAN. Routeur directement accessible par lien physique. Confusion courante avec le commutateur, mais attention!!! Commutateur = niveau 2 séparation des domaines de collision (analyse des adresses MAC). Construction d une table de commutation. Routeur = niveau 3 séparation des domaines de broadcast (analyse des adresses IP) Le routeur Analyse l adresse réseau (@IP) des paquets pour prendre une décision de routage. Gère des tables de routage (@réseau, port de sortie) statiques ou dynamiques. Réseaux Internet & Services 44 Principe du Routage 1/2 Principe du Routage 2/2 Je veux atteindre la machine B!!! Ah! j envoie à mon routeur Machine A Comment faire pour aller à la machine B? Hum?! Je regarde ma table de routage Comment faire pour aller à la machine B? Je regarde ma table de routage Machine B Comment faire pour aller à la machine B? Oops! Elle est directement connectée à mon réseau :-) Pour router, un routeur a besoin de : Connaître l adresse destination du paquet (adresse IP dans l entête) Avoir les routes possibles pour tous les réseaux (tables de routage) Avoir la meilleure route pour chaque réseau (protocole de routage) Réseaux Internet & Services 45 Consiste à trouver le chemin à travers les nœuds du réseau pour transférer un paquet d une unité source à une unité destination Routage direct : Les deux machines sont dans le même réseau Routage indirect : Entre deux machines dans deux réseaux différents Chaque machine dispose d une table de routage contenant les chemins aux différents réseaux accessibles. Principes : Si le paquet émis par une machine ne trouve pas sa destination dans le réseau ou sous-réseau local, il doit être dirigé vers un routeur qui rapproche le paquet de son objectif (chaque routeur possède une adresse par interface réseau). La machine source applique le masque de sous-réseau (netmask) pour savoir si le routage est nécessaire. Chaque routeur doit donc connaître l adresse du routeur suivant, il doit gérer une table de routage de manière statique ou dynamique. Deux types de routage Statique : C est l administrateur réseau qui définit manuellement les chemins à prendre dans une table de routage Dynamique : Grâce aux protocoles de routage qui permettent la construction automatique des tables de routage (ex. : OSFP, RIP, BGP ) Réseaux Internet & Services 46 Sommaire Adresse MAC / Adresse IP??? Introduction Attention à la confusion courante Adresse MAC/Adresse IP!!! Architecture d Internet Aucune lien entre les adresses MAC et IP. Eléments clefs du modèles TCP/IP, La suite TCP/IP Les adresses IP L adresse MAC est le «nom de famille» de la carte réseau : elle «naît et meurt» avec! Adresse MAC/IP Format des adresses IP Les classe d adresses Le masque de sous-réseau Comme dans la vie courante, le nom de famille ne suffit pas à localiser une personne dans le monde ; sur Internet, on attribue donc une «adresse postale» aux machines pour les localiser : l adresse IP. Configuration des adresses IP (statique, dynamique) L adresse IP a une structure logique qui permet de la localiser sur le réseau Internet, tout comme une adresse Les protocoles ARP, ICMP postale est structurée de manière à localiser le pays, la ville, Le système de résolution de noms DNS la rue, la maison, l étage, etc. Service de transfert de fichiers : FTP Si l ordinateur change de réseau, son adresse IP change. Telnet - SSH L adresse IP a une portée globale (elle localise la machine Les protocoles de messagerie dans le monde) ; l adresse MAC a une portée locale (une fois Les protocoles du web la machine localisée, on l identifie par «son nom»). Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Réseaux Internet & Services 48 Réseaux Internet & Services 47

9 Adresse MAC Les adresses IP Adresse MAC : identifie de manière unique une adresse dans le monde (adresse physique liée au matériel). Adresse régie par l IEEE. Format de l adresse MAC 48 Bits (6 octets) I/G U/L Adresse constructeur 22 bits Bit U/L = universelle (format IEEE) Bit U/L = locale (format propriétaire - Token Ring) adresse sur 2 octets, version obsolète Bit I/G = individuelle Bit I/G = de groupe (utilisé dans le cadre de la diffusion à un groupe, multicast) Adresse MAC de broadcast : FF.FF.FF.FF.FF.FF Sous - Adresse sur 24 bits Réseaux Internet & Services 49 Chaque machine connectée au réseau doit avoir une adresse IP pour pouvoir communiquer en TCP/IP Adresse unique Configurable par logiciel (commande ifconfig) Associée à chaque interface réseau Types d adresses Adresse unicast : permet d identifier un équipement IP de façon unique Adresse multicast : adresse de diffusion vers un groupe d équipements IP Adresse broadcast : adresse de diffusion vers toutes les adresses d un même sous-réseau Réseaux Internet & Services 50 Les adresses IP Une adresse IP est une valeur de 32 bits (4 octets) composée de 2 parties : NetId : Identifiant du réseau auquel appartient la machine HostId : Identifiant de la machine (attribuée par l administrateur du réseau) Découpage précis qui dépend de la classe d adresse L écriture de l adresse se fait en «notation décimale pointée» où les octets sont séparés par des points Exemple : bits Notation pointée Maximum Binaire Exemple décimal Exemple Binaire Network Réseaux Internet & Services 51 Host IP : Les classes d adresse Il existe 5 classes d adresse (selon l importance du réseau) Comment les différentier? Par la valeur du premier octet Classe A B C D E Plage d adresse s Premier octet en binaire Nbre de bits de la partie réseau Adresses de Multicast Réservé Réseaux Internet & Services Nbre de réseaux Nbre de bits de la partie hôte Nbre d hôtes Masque de sous-réseau Définition d un masque de sous réseau (Netmask) Il a la forme d une adresse IP. Notation : Décimale pointée : Abrégé : /N (N est le nombre de bits à 1 dans le masque) Contient une suite continue de 1 (binaire) de longueur variable de la gauche vers la droite Masque utilisé pour faire du subnetting L adresse réseau résulte d un ET logique entre l adresse IP et le masque IP= Masque= Adresse du réseau = Masques par défaut : Class A B C Masque par défaut Possibilités 255.x.x.x x.x x Notation Réseaux Internet & Services 53 /8 /16 /24 IP : Adresses Particulières 1/2 Loopback (localhost) : Adresse à usage local affectée par défaut à une interface virtuelle sur une machine locale (permet de tester des programmes sans perturber le réseau) Adresse de Réseau : S obtient en mettant à 0 la partie HostId Exemple : Utilisée dans les tables routage pour adresser les réseaux Adresse de Machine : S obtient en mettant à 0 la partie NetId Exemple : , adresse la machine 46 dans le réseau courant Utilisée lors d une procédure d initialisation (peu employée) Réseaux Internet & Services 54

10 IP : Adresses Particulières 2/2 Machine qui ne connaît pas son adresse : (utilisée lors d une procédure d initialisation) Adresse de Broadcast (diffusion) Adresse pour atteindre toutes les machines d un même réseau (au lieu d une seule machine) S obtient en mettant toute la partie HostId de l adresse IP à 1 binaire (255 en décimal pour chaque octet) Exemple: , adresse toutes les machines du réseau Adresse de Broadcast limité Adresse pour atteindre toutes les machines du réseau local S obtient en mettant des 1 partout : Réseaux Internet & Services 55 IP : Adresses Privées La RFC 1918 définit des plages d adresses réservées à un usage strictement privé Réseau d entreprise, école Ces adresses ne sont pas routables sur Internet Ces adresses peuvent êtres utilisées si le réseau n est pas directement connecté à Internet Il peut l être à travers un proxy Ou un routeur (firewall) qui permet la traduction d adresse NAT (Network Address Translation) Les plages d adresses privées : Classe A : à (10/8) Classe B : à (172.16/12) Classe C : à ( /16) Réseaux Internet & Services 56 Le subnetting Le subnetting est une opération qui consiste à diviser un réseau et ses adresses IP en plusieurs sous-réseaux de petit taille Chaque sous-réseau est identifié par une adresse de sous-réseau, un masque de sous-réseau et une adresse de broadcast Pourquoi créer des sous-réseaux? Dégradation de la bande passante Un trafic broadcast intempestif Avec subnet : Avec du sub-netting : Sous-réseaux interconnectés Un seul espace d adressage décomposé en plusieurs sous-réseaux par des routeurs Plusieurs domaines de Broadcast Bonne exploitation des ressources : bande passante et temps CPU Étanchéité entre les réseaux Organisation (séparation) des départements de l organisme Découpage inconnu de l extérieur Tous les équipements (stations, serveurs, imprimantes ) doivent Réseaux Internet & Services utiliser la notion de sous-réseaux 57 Subnetting et masque de sous-réseau Adresse de sous-réseau : Sans masque (Classe B) Avec le masque (Classe C) Réseau Valeurs de masque possible pour le dernier octet significatif 0 : (octet non significatif) 128 : : : : Machine Réseau Sous- réseau Machine 248 : : : : Réseaux Internet & Services 58 Le subnetting Diviser un réseau de classe A Masque par défaut d un réseau de classe A : bits pour le réseau, 24 bits pour les hôtes, pour les sous-réseaux utilisation d une partie des bits hôtes Les masques de sous-réseaux d une classe A : Masque de sousréseau Nbre de bits à 1 du Nombre de sousréseaux masque Réseaux Internet & Services Nbre d hôtes par sous- réseau Le subnetting Les masques de sous-réseaux d une classe B : Masque de sousréseau du masque sous-réseaux sous- réseau Nbre de bits à 1 Nombre de Nbre d hôtes par Masque de sous-réseau en binaire Les masques de sous-réseaux d une classe C : Masque de sousréseau du masque sous-réseaux sous- réseau Nbre de bits à 1 Nombre de Nbre d hôtes par Masque de sous-réseau en binaire Réseaux Internet & Services 60

11 IP : Le netmask et les calculs Soit l adresse et le masque suivants : /27 L adresse est de classe C Nombre de machines : 2 5-2=30 (5 est le nombre de bits du HostId) Nombre de sous réseaux : 2 3 =8 (3 est le nombre de bits du sous réseau) Adresses de sous réseaux valides : Les adresses de sous réseau seront : 0, 32, 64, 96, , 224 Adresses de broadcast : C est l adresse du prochain sous réseau moins 1 Exemple : Pour le sous réseau 32 l adresse de broadcast est 64-1=63 Adresses valides des machines dans chaque sous-réseau: Ce sont toutes les valeurs suivant l adresse du sous réseau jusqu à la valeur du broadcast , 33-62, 65-94, , , Remarque : normalement les numéros de sous-réseaux ne contenant que des bits à 0 ou à 1 sont à prohiber (ambiguïté au niveau des adresses, mais ambiguïté levée si adresse donnée avec son netmask) Réseaux Internet & Services 61 Affectation des adresses IP L affectation des adresse IP n est pas aléatoire, elle est gérée par des organismes spécialisés : IANA (Internet Assigned Numbers Authority) délègue au Regional Internet Registries (IR) : APNIC : Asie, Pacifique INTERNIC : Amérique, Afrique du sud RIPE : Europe, Afrique, Moyen Orient qui allouent les adresses aux Local IRs (LIR) En France l AFNIC (Association Française pour le Nommage Internet en Coopération) gère les adresses IP ( et les affecte au fournisseurs d accès à Internet (ISP) Une organisation (ou un particulier) obtient ses adresses IP de son fournisseur d accès 1 adresse ou plusieurs selon le nombre d utilisateurs et les moyens financiers!!! Réseaux Internet & Services 62 Configuration IP sous Windows A partir des propriétés réseaux (configuration statique ou dynamique). Connecté en administrateur. Configuration statique : adresse IP, adresse de netmask, adresse du serveur DNS, WINS, de la passerelle (routeur) configurées statiquement Configuration dynamique : paramètres IP attribués par un serveur DHCP (Dynamic Host Control Protocol) Configuration IP sous Linux Paramètres réseau IP Sous Linux, périphériques susceptibles de recevoir une adresse IP : interface (pour carte réseau Ethernet : eth) Fichier de configuration global concernant le réseau /etc/sysconfig/network Configuration de chaque interface réseau : fichier situé dans /etc/sysconfig/networks-scripts Connecté en root Fichier de configuration possédant le préfixe ifcfg- puis le nom de l interface (ifcfg-eth0, ifcfg-lo ) Consultation : ifconfig Description des interfaces lo0 et eth0 (lo0 correspondant au loopback avec l adresse réservée et eth0 correspondant à un attachement sur un réseau Ethernet) Réseaux Internet & Services 63 Réseaux Internet & Services 64 Configuration IP dynamique : DHCP Client DHCP (Dynamic Host Configuration Protocol, RFC 1451) : affectation automatique des adresses IP Fonctionne au-dessus d UDP Port serveur : 67 ; Port client : 68 Pour chaque poste : adresse IP valide (homogénéité avec le netmask), informations sur les noms de domaines Configuration statique qui peut devenir fastidieuse mise en place d un protocole de configuration distante : DHCP 1 DHCP DISCOVER : msg de diffusion pour localiser les serveurs disponibles 2 DHCP OFFER : identifie le serveur et propose une adresse IP au client 3 DHCP REQUEST : msg de diffusion : réponse au(x) serveur(s) ; indique le serveur DHCP choisi et la confirmation de reçue 4 DHCP ACK : fournit l ensemble des paramètres de configuration au client Serveur DHCP Configuration standard : affecte des adresses IP, un masque de sousréseau, les paramètres DNS (éventuellement option telle que nom de domaine ) Réseaux Internet & Services 65 Configuration IP dynamique : DHCP Paramètres obtenus par le DHCP Réseaux Internet & Services 66

12 Sommaire Introduction Architecture d Internet Eléments clefs du modèles TCP/IP, La suite TCP/IP Les adresses IP Les protocoles ARP, ICMP Le système de résolution de noms DNS Service de transfert de fichiers : FTP Telnet - SSH Les protocoles de messagerie Les protocoles du web Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Le protocole ARP (RFC 826) 1/2 Problème : Trouver une adresse MAC à partir d une adresse IP Address Resolution Protocol Permet de trouver l adresse physique d une machine sur le même réseau en donnant uniquement son adresse IP Adresses IP totalement indépendantes des adresses physiques Adresse MAC d Ethernet (6 octets) donnée par le constructeur Pour chaque machine, stockage des adresses physiques dans une table ARP (cache). Permet d optimiser les recherches suivantes. Le cache est remis à jour périodiquement Commande : arp -a Réseaux Internet & Services 67 Réseaux Internet & Services 68 Le protocole ARP (RFC 826) 2/2 RARP (RFC 903) Je cherche l adresse Ethernet de IP: IP: Soient deux équipements sur le même segment Ethernet J ai reçu le broadcast. Le message est pour moi. Voici mon adresse Ethernet La machine A veut envoyer un datagramme à la machine B, elle connaît son adresse IP mais pas son adresse Ethernet A envoie une trame de Broadcast Ethernet qui demande l adresse Ethernet de B Adresse destinataire FF.FF.FF.FF.FF.FF avec type 0806, en indiquant l adresse IP de B Toutes les machines reçoivent la requête, seule B répond en donnant son adresse Ethernet Si c est une autre machine qui répond à la place de A, on parle alors de «proxy ARP» Utilisation par les routeurs quand le destinataire est dans un autre réseau IP Réseaux Internet & Services 69 RARP (Reverse Address Resolution Protocol) Objectif : trouver une adresse IP à partir de l adresse MAC Utilisé au moment du boot par certains équipements C est le routeur ou un serveur spécial qui contient une table de correspondance qui lui répond pour lui attribuer une adresse IP Type 8035 dans la trame Ethernet Ethernet Type = dans la trame Les messages ARP/RARP sont encapsulés directement par une entête ARP/RARP dans la trame de la couche 2 sans passer par IP Réseaux Internet & Services 70 ICMP (RFC 792) 1/2 Internet Control Message Protocol Protocole de gestion de réseau : mécanisme de rapport d erreurs Implémenté sur tous les équipements réseau : stations, routeurs Deux types de message ICMP Messages d indication d erreur Messages de demande d information Message envoyé par l équipement destinataire ou un routeur intermédiaire Quand il s aperçoit d un problème dans un datagramme Pour avertir l émetteur qu il modifie son comportement (Exemple : routeur qui a une mauvaise information de routage) Un message ICMP n engendre pas un autre message ICMP (il n attend pas de réponse) Pour éviter les effets d avalanche pas de message ICMP si l adresse destination est une adresse de diffusion Réseaux Internet & Services 71 ICMP 2/2 Message ICMP contenu dans un datagramme IP Champ version = 4 Champ type de service = 0 Champ protocole du datagramme IP = 1 Format des messages ICMP 3 champs communs TYPE (1 octet) : 22 types définis CODE (1 octet) : plus d informations sur le champ type CHECKSUM (2 octets) sur le message ICMP En-tête trame En-tête IP En-tête ICMP Permet de pallier les manques de service IP Message ICMP Données ICMP Réseaux Internet & Services 72

13 Types d indication d un message ICMP Capture de paquets ICMP Type Code 0 0 Réponse à une demande d écho (ping) 3 Destination non accessible 0 Le réseau ne peut être atteint (Network unreachable) 1 La station ne peut être atteinte (Host unreachable) 2 Le protocole ne peut être atteint 3 La fragmentation est nécessaire mais le bit DF=1. Paquet plus grand que la taille maximale admise sur le réseau 4 Port TCP ou UDP inaccessible 5 Route proposée en option n est pas valable 4 0 Réduction du débit d émission (Source Quench). Obsolète Indication de redirection 8 0 Demande d écho (ping) 10 0 Sélection du routeur Durée de vie à 0 (pendant le transit pendant le réassemblage) 30 Traceroute Réseaux Internet & Services 73 Réseaux Internet & Services 74 Sommaire Introduction Architecture d Internet Le système de résolution de noms DNS Présentation du DNS L espace de noms DNS Domaine, Zone, Délégation Architecture du DNS Les types de serveurs DNS Configuration du DNS Fonctions avancées du DNS Service de transfert de fichiers : FTP Telnet - SSH Les protocoles de messagerie Les protocoles du web Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Présentation du DNS (RFC 1034, RFC 1035) Problématique : Nommage des ressources réseau Les équipements communiquent grâce à leur adresse IP Seules les applications utilisent les noms des équipements pour certaines on peut utiliser les adresses : ftp, telnet.. pour d autres les noms sont indispensables : www, mail A une adresse peut correspondre un ou plusieurs noms (alias) Un nom doit être unique au monde Au départ : utilisateurs qui se référaient à un fichier hosts /etc/hosts centralisé et mis à jour par l administrateur de leur domaine Fichier contenant une table des hôtes locaux répliquée sur chaque hôte du LAN Si ce fichier existe, prioritaire sur les paramètres de serveurs de noms (/etc/host.conf) Limites vite atteintes 1984 définition du DNS (Domain Name System) Réseaux Internet & Services 75 Réseaux Internet & Services 76 Présentation du DNS DNS effectue la correspondance entre les adresses IP utilisées par les équipements pour communiquer et des noms plus simples à gérer par les humains. Ex : = Correspondance inverse (reverse lookup) Ex : = hesperides.esigetel.fr (www étant un alias pour hesperides) DNS contient aussi des informations complémentaires Ex : mail.esigetel.fr est le serveur de mail de esigetel.fr Remarque : FQDN (Fully Qualified Domain Name) = hostname suivi de domain name Désigne la racine Ex : mail.esigetel.fr (= hostname+domain name) Dans les fichiers de configuration, mail.esigetel.fr. signifie que le nom est fqdn Réseaux Internet & Services 77 L espace de noms DNS DNS : schéma de nommage hiérarchique basé sur la notion de domaines (contenant des sous-domaines, eux-mêmes découpés ) La racine (root) est notée «.» Top Level Domains, RFC 1591 (TLD) ou domaines de haut niveau : Generic TLD (domaine de haut niveau générique):.com,.org,.mil,.edu,.gov,.arpa (généralement réservés aux USA) Country TLD (domaine de haut niveau géographique) :.fr,.uk,.de,.tv Nouveaux TLD (juin 2001) :.biz,.info,.aero,.museum,.name,.coop Secondary Level Domains (SLD). Ex :.esigetel,.univ-mlv Nœud : identifié par sa position (Ex : esigetel.fr). A chaque nœud sont associées des ressources (Ex : toto.esigetel.fr ) En France AFNIC chargée de l attribution des domaines.fr Réseaux Internet & Services 78

14 L espace de noms DNS Hiérarchie inspirée du filesystem UNIX : fr campus.esigetel.fr esigetel L espace de noms DNS : exemple Il existe aujourd hui 13 serveurs de noms racine répartis dans le monde connaissant tous les serveurs de noms de 1 ier niveau (de a.root-servers.net à m.rootservers.net) Domaines de haut niveau génériques Domaines de haut niveau géographiques campus /usr/local/etc/ Réseaux Internet & Services 79 Réseaux Internet & Services 80 Domaine, Zone, Délégation Un domaine est un sous-arbre de l espace de nommage (peut être attaché à un domaine parent, et/ou peut avoir un ou plusieurs sous-domaines enfants) Une "zone" est une organisation logique (ou pour être plus précis, une organisation administrative) des domaines. C est un découpage en unité du domaine Rôle d'une zone : principalement simplifier l'administration des domaines (administration des zones déléguée afin de simplifier la gestion globale du domaine) Domaine, Zone, Délégation La délégation consiste à déléguer l'administration d une partie de l espace de nommage d un domaine (zone ou sous-zone) Réseaux Internet & Services 81 Réseaux Internet & Services 82 Domaine, Zone, Délégation La résolution inverse Les serveurs de noms (name server, NS) disposent de toutes les informations de la zone Les serveurs de noms font autorité sur une ou plusieurs zones Un domaine peut être administré par plusieurs zones administratives ex. : srv administré par zone esigetel et zone fr mais il est possible aussi qu'une zone serve à l'administration de plusieurs domaines ex. : zone esigetel gérant les domaines lab, net, srv Remarques : L'organisation de l'espace de nommage complètement indépendante de l'implantation géographique d'un réseau ou de son organisation physique (organisation physique gérée par des routes, tables de routage) L'espace de nommage indique pour un nom de domaine N, quels sont les serveurs de noms qui ont autorité sur cette zone (ne donne pas la façon d'arriver à ces machines) Seules machines connues au niveau de l'espace de nommage : les serveurs de nom «déclarés» Réseaux Internet & Services 83 Le domaine in-addr.arpa Principe de résolution de nom : correspondance d un nom d hôte à une adresse IP Résolution de noms directe Possibilité de résolution de noms inverse (ou reverse) : processus permettant de fournir pour une adresse IP, le nom correspondant. Résolution inverse réalisée en inversant l ordre des octets de l adresse puis en ajoutant le suffixe.in-addr.arpa (domaine exclusivement utilisé pour les résolutions inverses) Par exemple écrit comme inaddr.arpa, auquel on fait correspondre le nom réel de l hôte auquel appartient l IP.ip6.int pour les adresses IPv6 Source Réseaux Internet & Services 84

15 Architecture du DNS Lorsqu une application (par exemple la messagerie) a besoin de connaître une adresse IP, elle appelle une procédure appelée solveur (ou resolver) et lui passe le nom en paramètre. Système Client/serveur Client Resolver : interface cliente permettant d interroger un serveur Les machines clientes pointent généralement vers un serveur par défaut (/etc/resolv.conf) Serveur Chaque serveur gère sa propre base de données Optimisation par des systèmes de cache et de réplication La résolution des requêtes Mode itératif : minimal et obligatoire Si le resolver n a pas la réponse, il transmet au client du NS à interroger Le client doit envoyer une nouvelle requête à ce NS Mode récursif (falcultatif) Le resolver transmet la réponse au client (qui n a pas à interroger lui-même les serveurs intermédiaires) Exemple (théorique) : Résolution d un nom du domaine intmedia.cegep-stfoy.ca pour une machine du domaine iut.univ-mlv.fr Au-dessus d IP Service s exécutant sur le port 53 (droits de super utilisateur Unix/Linux) UDP (TCP réservé au transfert de zone) Réseaux Internet & Services 85 Mode itératif Mode récursif 86 Les types de serveurs de noms Les types de serveurs de noms Un serveur de noms est un processus qui répond aux requêtes DNS Les serveurs ont différents niveaux d autorité Les serveurs primaires détenant la liste «officielle» de noms et d adresses pour une zone Le serveur primaire apprend sa configuration de l administrateur système qui maintient un certain nombre de fichiers. Définition des liens avec les autres serveurs de noms Le serveur primaire a autorité sur sa zone Les serveurs secondaires, copie du serveur primaire. Permet de pallier les pannes ou les surcharges du serveur primaire. Les copies ont lieu à un intervalle régulier (notion de TTL). Si TTL expiré, le serveur ne répond plus aux requêtes. Les serveurs caches Autorité uniquement sur le domaine local (localhost) Il recherche la recherche à une réponse dans son cache. En cas d échec, il s adresse aux serveurs primaire ou secondaire. Il mémorise les informations en sa possession pendant un certain temps (TTL) et évite ainsi de réitérer les requêtes identiques. Réseaux Internet & Services 87 Les serveurs forward (ou proxy NS) Proche du serveur cache Transmet les requêtes hors zone aux DNS appropriés et stocke la réponse en cache Limite le trafic sortant du domaine Authoritative NS : Primaire (Master) : référence d une zone Secondaire (Slave) : réplication de la BDD du NS primaire Non-authoritative NS : répercute les requêtes DNS vers d autres serveurs : les root servers : dépendant de l ICANN (Internet Corporation for Assigned Names and Numbers ) ou NS forwarders les réponses sont enregistrées pour une durée de vie donnée (TTL) Serveur cache : les réponses issues du cache sont non-authoritative ; si la réponses résulte d une requête vers un master, elle est authoritative. Réseaux Internet & Services 88 Les types de serveurs de noms Un NS joue en général plusieurs rôles en même temps Un serveur peut être à la fois autoritaire pour ses zones et serveur cache pour les autres requêtes (le cache possède alors des infos locales et non locales) Un serveur peut être à la fois primaire pour des zones et secondaire pour d autres zones Réseaux Internet & Services 89 Les types de serveurs de noms Rafraîchissement des données entre serveurs autoritaires Un serveur secondaire interroge à intervalles réguliers le serveur primaire de cette zone pour voir si une modification a eu lieu La version d une zone est identifiée par son numéro de série (serial) ; à chaque modification celui-ci doit être augmenté Transfert de zone Le serveur secondaire transfert son numéro serial et vérifie si le numéro a augmenté Si c est le cas, toute la zone est transférée (AXFR) ou seules les nouvelles modifications sont transférées (transfert incrémental, IXFR, RFC 1995) Reprise en cas d échec tous les n secondes (n valeur paramétrable) jusqu à atteindre le temps d expiration Type de mises à jour qui peut se faire entre un primaire et un secondaire ou entre secondaires Réseaux Internet & Services 90

16 Les serveurs de noms : résumé Fonctions : répondre aux requêtes Concernant sa (ses) zone(s) Eventuellement, concernant d autres zones (cached data) Un NS connaît et les noms des ressources de sa zone des NS des zones incluses (sous-zones) des NS de la zone Root qui eux-mêmes connaissent des NS des sous-zones adjacentes, i.e. edu, net, com, fr, jp, uk, de, Configuration du DNS : BIND Configurer des serveurs de noms avec BIND (Berkeley Internet Name Domain). Version utilisée : BIND9 Standard de facto pour les implémentations de DNS sur des plates-formes Unix/Linux, Windows Contient un daemon de serveur de noms (named) qui répond aux requêtes DNS, une bibliothèque de résolveurs qui permet aux programmes de réaliser des requêtes DNS et des utilitaires Mis à jour par l ISC (Internet Software Consortium), Fichiers de configuration : /etc/named.conf, /etc/resolv.conf Mise en œuvre Pas de serveur, juste un resolver : résolution des noms des ressources distantes uniquement Serveur secondaire : administration des ressources locales gérée par un tiers Serveur primaire : administration des ressources locales et autorité sur ces informations Serveur cache : mémorise les requêtes précédemment effectuées Configuration du DNS qui passe par la configuration de plusieurs fichiers : Fichier de configuration principal s appuyant sur plusieurs fichiers Un fichier par zone (+ fichier pour la résolution inverse) Un fichier donnant les adresses de tous les serveurs racines (ce qui permet de les interroger au cas où la résolution n est pas possible par le serveur DNS) Serveur forwarding : relaie les requêtes hors zone et mémorise en cache les Réseaux Internet réponses & Services 91 Réseaux Internet & Services 92 Les fichiers (Base de données du DNS) Principaux types d enregistrement Fichiers de configuration du DNS : Fichier de configuration du serveur Localisation des données (fichiers serveurs de la racine, fichiers de zones) Déclaration de l autorité sur des zones (primaire/secondaire) Fichiers des serveurs de la racine Permet de démarrer la résolution si le serveur n a aucune information Contient la liste des serveurs de noms racine et leur adresse IP Un fichier par zone décrivant son contenu Contient les données propres à chaque zone Consiste en une liste de Ressource Records (RR) Premier RR qui doit être le SOA (Start Of Authority) décrivant l autorité technique de la zone Au moins le fichier du reverse loopback in-addr.arp Espace de nom structuré comme une arborescence Chaque domaine est un nœud de cette arborescence Pour chaque nœud, il existe des enregistrements de ressources ou RR (Ressource Records), chacun conservant une information d un type spécifique Enregistrement A (Address) : adresse IP associée à un nom Enregistrement NS (Name server) : serveur de nom ayant autorité pour le domaine Enregistrement SOA (Start Of Authority) : propriétés de base du domaine et de la zone du domaine Enregistrement PTR (Pointer) : nom réel de l hôte auquel appartient l adresse IP Enregistrement MX (Mail Exchanger) : serveur de messagerie pour la zone) Enregistrement CNAME (Canonical Name) : indique que le nom est un alias vers un autre nom Réseaux Internet & Services 93 Réseaux Internet & Services 94 Structure des enregistrements Exemple de structure des enregistrements Un RR est composé de 5 champs : Name : nom du RR TTL : durée de vie dans un cache Class : classe d appartenance, IN pour Internet RR type : A (IP sur 32bits), A6, MX, NS Data Ex : Name TTL Class Type Data esigetel.fr. 10 IN MX mail.esigetel.fr. mail.esigetel.fr. IN A test.esigetel.fr. IN CNAME mail.esigetel.fr. IN A IN PTR mail.esigetel.fr. Réseaux Internet & Services 95 Enregistrement de type NS (serveur ayant autorité) pour le domaine domaine.fr : domaine.fr. IN NS ns1.domaine.fr. domaine.fr. IN NS ns2.domaine.fr. «.» final signifiant que le nom est pleinement qualifié IN pour un enregistrement de type Internet, type par défaut Autre écriture IN NS ns1 IN NS ns2 Avec «@» pour domaine.fr. et ns1 équivalent à ns1.domaine.fr. Enregistrements de type A : correspondance Nom / Adresse ns1.domaine.fr. IN A ns2.domaine.fr. IN A localhost.domaine.fr. IN A Réseaux Internet & Services 96

17 Exemple de structure des enregistrements Interrogation du serveur Enregistrement de type CNAME : ce sont les alias (Canonical Name) Une requête du type domaine.fr. sera adressée à ns1. domaine.fr, puisque www est un alias de ns1. www IN CNAME ns1.domaine.fr. ftp IN CNAME ns1.domaine.fr. Enregistrement de type PTR : pour la résolution de noms inverse in-addr.arpa. IN PTR ns1.domaine.fr in-addr.arpa. IN PTR ns2.domaine.fr. Enregistrement de type MX : pour indiquer la machine sur laquelle il faut envoyer le courrier électronique. Le nombre compris entre 0 et indique quel serveur interroger en priorité quand il y en a plusieurs. domaine.fr. IN MX 10 mailrelais1.domaine.fr. IN MX 20 mailrelais2.domaine.fr. Réseaux Internet & Services 97 En plus des «resolvers» liés aux applications, il existe des outils d interrogation directe du serveur de noms Pour tester le serveur de noms Pour obtenir certaines informations de gestion Host Dig Dnsquerry Nslookup Cf. man pour ces différentes commandes Réseaux Internet & Services 98 Fonctions avancées Fonctions avancées Transfert de zone : Les slaves NS demandent le SOA de la zone au master NS à un intervalle appelé le refresh-time. Si le serial a été incrémenté, ils demandent le transfert de zone. DNS Notify : RFC 1996 Permet à un master NS de prévenir ses slaves NS d un changement dans une zone. Les slave NS demandent le SOA de la zone, si le serial est supérieur à celui de leur zone, ils demandent le transfert de zone. Incremental zone transfer (IXFR) : RFC 1995 Permet à un slave NS de mettre à jour ses zones uniquement avec les données modifiées depuis le dernier échange avec le master NS. Dynamic DNS (DDNS) : RFC 2136 Permet d ajouter, de modifier ou de supprimer des RRs dynamiquement (sans modification manuelle des fichiers de zone) dans une zone master (nsupdate). Utilisé par un client pour s enregistrer ou par un serveur DHCP pour enregistrer ses clients. DNSSEC (RFC 2535) permet de sécuriser les updates en authentifiant les clients. Réseaux Internet & Services 99 Réseaux Internet & Services 100 Sommaire Architecture d Internet Le système de résolution de noms DNS Service de transfert de fichiers : FTP Présentation Commandes FTP Les différents serveurs FTP disponibles Configuration d un serveur FTP (daemon xinetd) FTP et Sécurité Telnet - SSH Les protocoles de messagerie Les protocoles du web Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Réseaux Internet & Services 101 FTP (File Transfer Protocol) FTP : protocole de communication qui permet le transfert de fichiers entre plusieurs machines. Défini par la RFC 959. Langage standard de communication entre deux machines, permettant à deux machines de types différents (ou dont le système d exploitation est différent) de transférer des fichiers sur un réseau fonctionnant sous TCP/IP Fonctionnement sur un modèle client/serveur Le protocole FTP permet d échanger un fichier à la fois, mais aussi la création, suppression de répertoires (s ils sont vides), le listage des fichiers, la suppression ou le renommage de fichiers. Deux types de serveurs et d accès FTP Serveurs anonymes autorisant tous ceux qui se connectent au serveur à retirer des fichiers Souplesse maximale mais risque de sécurité Sites hébergeant des serveurs FTP anonymes : serveurs placés à l extérieur du pare-feu sur un ordinateur dédié Partie FTP du système montée en lecture seule Serveurs standards avec un nom de compte et un mot de passe pour les accès Réseaux Internet & Services 102

18 Commandes FTP Lors d une connexion FTP, deux canaux sont ouverts Un canal pour les commandes (canal de contrôle) Toutes les commandes effectuées sur le canal de contrôle suivent les recommandations du protocole Telnet Un canal pour les données Les commandes FTP permettent de préciser : Le port utilisé Le mode de transfert de données (ASCII, binaire) La structure des données La nature de l action à effectuer (liste ) Réponses FTP permettant d assurer la synchronisation entre client et serveur FTP à chaque commande envoyée par le client, le serveur effectuera éventuellement une action et renverra systématiquement une réponse Réponses constituées de 3 chiffres indiquant la façon suivant laquelle la commande envoyée par le client a été traitée Réseaux Internet & Services 103 Commandes FTP Démarrage d une session FTP Commande ftp disponible sous Windows/Linux : ftp nom_du_serveur ou adresse IP Commande Description help Affiche l'ensemble des commandes supportées par le serveur FTP status Permet de connaître certains paramètres de la machine cliente type Permet d'afficher le mode courant de transfert (binary ou ascii) user Vous permet de réouvrir une session sur le site FTP en cours avec un nom d'utilisateur différent. Un nouveau mot de passe vous sera alors demandé ls Permet de lister les fichiers présents dans le répertoire courant. La commande "ls -l" donne des informations supplémentaires sur les fichiers pwd Affiche le nom complet du répertoire courant cd Cette commande signifie change directory, elle permet de changer le répertoire courant. La commande "cd.." permet d'accéder au répertoire de niveau supérieur Le commande mkdir (sous UNIX, ou md sous système Microsoft) permet de créer/supprimer un mkdir/rmdir répertoire dans le répertoire courant. L'utilisation de cette commande est réservée aux utilisateurs ayant un accès le permettant get Cette commande permet de récupérer un fichier présent sur le serveur put Cette commande permet d'envoyer un fichier local sur le serveur open Ferme la session en cours et ouvre une nouvelle session sur un autre serveur FTP close Ferme la session en cours, en laissant le logiciel FTP client actif bye/quit Déconnecte le logiciel client du serveur FTP et le met en état inactif Réseaux Internet & Services 104 Les serveurs FTP Serveurs FTP disponibles : wu-ftpd : pas le plus approprié pour des sites ayant besoin de permettre l accès à un nombre élevé d utilisateurs vsftpd (Very Secure FTP) proftpd, distribué sous licence GPL, utilisé par de nombreux sites (entre autres ftp.kernel.org, ftp.sourceforge.net..). bsdftpd-ssl, package de serveur FTP développé à partir de ftpd des systèmes UNIX BSD (distribué sous licence DSD). Extensions de sécurité mais nécessite un client spécifique. Autres alternatives : utiliser Apache pour servir des fichiers. Recours à un serveur web pour offrir des téléchargements de données ce qui limite les besoins en matière de surveillance et de maintenance (un seul service à gérer) Réseaux Internet & Services 105 Configurations d un serveur FTP Fonctionnement d un service : Application basée sur un mode client serveur Exemple : connexion via telnet sur un hôte distant activation chez l hôte du service serveur telnetd Serveur : machine en attente d une connexion sur un port particulier Deux modes de fonctionnement pour un service Mode «standalone» ou autonome Chaque application a son propre serveur lancé au démarrage de chaque machine comme un «daemon» (cas des premières versions d Unix) encombrement de la table des processus (autant de serveurs que de services) Mode utilisant le daemon inetd Daemon inetd : «super serveur» à l écoute de plusieurs ports, se chargeant de recevoir les demandes de connexion de plusieurs clients (telnet, ftp ) et de lancer le serveur correspondant à la demande A paramétrer dans fichier de configuration du service (standalone pour le mode autonome, inetd pour le démarrage en inetd ou xinetd) Réseaux Internet & Services 106 Le daemon inetd Le daemon xinetd Fichiers de configuration mis en jeu dans le démarrage d un service : /etc/services qui contient la liste générale des services TCP/IP avec leur numéro de port et le protocole de transport associé Extrait de /etc/services ftp 21/tcp telnet 23/tcp smtp 25/tcp #mail pop3 110/tcp # Post Office /etc/inetd.conf qui contient la liste des services activés sur une machine donnée Extrait de /etc/inetd.conf ftp stream tcp nowait root /usr/sbin/ftpd ftpd #shell stream tcp nowait root /usr/sbin/rshd rshd #login stream tcp nowait root /usr/sbin/rlogind rlogind #exec stream tcp nowait root /usr/sbin/rexecd rexecd il n'y a que le service ftp qui est activé par le serveur inetd services dits fonctionnant en mode «parallèle» Réseaux Internet & Services 107 Dans les distributions récentes (RedHat 9.x...), inetd remplacé par xinetd Offre des outils supplémentaires d'accès, de journalisation, de liaison, de réacheminement et d'utilisation des ressources Principe : Avant de rendre disponible le service demandé à l'utilisateur, xinetd s'assure de la conformité des informations d'hôte du client relatives aux règles d'accès Principe très similaire à inetd, à la seule différence que, dans /etc/xinetd.d, chaque service (telnet, ftp, pop3...) dispose de son propre fichier de configuration Une fois que le service demandé est autorisé au client, xinetd retourne en veille, attendant la prochaine demande de services de son ressort Fichier de configuration globale /etc/xinetd.conf /etc/xinetd.d qui contient les fichiers de configuration associés à chaque service Réseaux Internet & Services 108

19 Contrôle d accès dans xinetd FTP et sécurité Pour le contrôle d accès, 2 possibilités : le recours aux fichiers de contrôle d'accès aux hôtes TCP-Wrapper (hosts.allow et hosts.deny) l'autorisation d'accès par le biais de fichiers de configuration xinetd ou le mélange des deux Contrôle d'accès aux hôtes xinetd disponible par le biais de ses multiples fichiers de configuration (contrairement à TCP-Wrapper où les contrôles d accès sont regroupés dans deux fichiers, voir slide suivant) Chaque fichier de service contenu dans /etc/xinetd.d peut contenir des règles d'accès basées sur les hôtes qui seront autorisés à utiliser ce service Options suivantes acceptées dans les fichiers xinetd pour contrôler l'accès des hôtes : only_from : Autorise les hôtes spécifiés à accéder au service (une liste préétablie d'adresses IP ou de noms d'hôte ou encore un réseau entier) no_access : Empêche les hôtes spécifiés de se servir du service access_times : Définit les heures de disponibilité du service (plage horaire spécifiée comme suit : HH:MM-HH:MM, en utilisant la forme 24 heures) Configurations de journalisation qui permettront de tracer ces contrôles d accès 109 Autres fichiers de configuration qui permettent de sécuriser le service FTP : Fichiers de configuration dans /etc, indépendants de TCP Wrapper (combinaison de deux mécanismes de sécurité) ftpaccess, ftpgroup, ftphosts, ftpusers ftpusers : fichier donnant la possibilité d autoriser/interdire l'accès pour un compte en particulier, plus généralement fichier empêchant les utilisateurs possédant un shell de se connecter (création d utilisateurs spécifiques pour l accès FTP en leur donnant le shellbin/false, ce qui interdit toute connexion console telnet, ssh) Attention : le service ftp (comme telnet) n'offre aucune solution de sécurité sur les réseaux (transmission des données en clair) Réseaux Internet & Services 110 FTP et sécurité TCP-Wrapper : outil de sécurité réseau qui permet de contrôler les accès, les tentatives de connexion sur une machine donnée permet à tout instant de savoir (par journalisation syslogd) qui essaie d'accéder sur un ordinateur filtre les accès (autoriser le telnet venant d une machine B et en même temps interdire les connexions FTP venant de cette machine B) Principe de fonctionnement : Sans le TCP-Wrapper Inetd reçoit une de mande de connexion sur le port 21 lancement de telnetd Avec TCP-Wrapper TCP-Wrapper sert «d enveloppe» qui vient «s'intercaler» entre le daemon inetd et le serveur à démarrer Demande de service TCP/IP (TCP ou UDP) sur un port, inetd lance tcpd (daemon correspondant à TCP-Wrapper) au lieu d'activer directement le service demandé (telnetd, ftpd, pop3...) Tcpd prend en charge la requête et met en place ses mécanismes de contrôle (vérification que les accès sont autorisés). Si autorisation, lance son propre service in.telnetd, in.ftpd, in.imapd... Réseaux Internet & Services 111 TCP-Wrapper Deux fichiers de configuration : /etc/hosts.deny : on indique dans ce fichier les services et les hôtes pour lesquels l'accès est interdit /etc/hosts.allow : on indique dans ce fichier les services et les hôtes pour lesquels l'accès est autorisé Pour les fichiers de configuration : /etc/hosts.allow et /etc/hosts.deny, TCP-Wrapper utilise l'algorithme suivant : Si une règle est applicable dans hosts.allow, alors cette règle est appliquée, sinon, Si une règle est applicable dans hosts.deny alors cette règle est appliquée, sinon, L'accès est autorisé. La stratégie de sécurité à adopter : 1. décrire toutes les règles pour les couples (services/clients) qui sont autorisés, 2. interdire systématiquement tout le reste (mettre par défaut ALL:ALL dans hosts.deny) Réseaux Internet & Services 112 Syslog Les tentatives d'accès depuis des machines extérieures sont toutes enregistrées dans des fichiers particuliers Enregistrements effectués par le processus syslogd qui, à son démarrage, lit le fichier /etc/syslog.conf pour trouver dans quel(s) fichier(s) il doit enregistrer les différentes tentatives d'accès /var/log/syslog : fichier contenant toutes les actions enregistrées Sommaire Architecture d Internet Le système de résolution de noms DNS Service de transfert de fichiers : FTP Telnet - SSH Fonctionnement de Telnet Principales commandes SSH : principes Le systèmes de clefs de SSH Etablissement d une connexion SSH Transferts de fichiers par SSH, tunnels SSH Les protocoles de messagerie Les protocoles du web Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Réseaux Internet & Services 113 Réseaux Internet & Services 114

20 Telnet Telnet Spécifications basiques de Telnet définies dans la RFC 854 (options décrites par les RFC 855 à 861) Telnet : protocole standard d'internet permettant l'interfaçage de terminaux et d'applications à travers Internet (permet l interopérabilité des systèmes) Fonctionnement en mode client/serveur Fournit les règles de base pour permettre de relier un client (système composé d'un affichage et d'un clavier) à un interpréteur de commande (côté serveur) Exécution de Telnet telnet nom_du_serveur ou Commandes sous Telnet exécution de commandes à distance (login et mot de passe avant de se connecter sur l hôte distant) S'appuie sur une connexion TCP (port 23) pour envoyer des données au format ASCII codées sur 8 bits entre lesquelles s'intercalent des séquences de contrôle Telnet Spécifications de Telnet basiques, transmission de données à travers Telnet = transmission d octets dans un flux TCP (données regroupées dans un tampon avant d être envoyées, données envoyées ligne par ligne) Protocole de base sur lequel s appuient d autres protocoles de la suite TCP/IP (FTP, SMTP, POP3 ) Spécifications de Telnet ne mentionnant pas d authentification (Telnet totalement séparé des applications qui l utilisent le protocole FTP définit une séquence d authentification au-dessus de Telnet) Protocole de transfert de données non sûr (données qu'il véhicule circulant en clair sur le réseau)? close display environ logout mode Affiche l'aide Termine la session Telnet Affiche à l'écran les paramètres de la connexion (type de terminal, port) Permet de définir les variables d'environnement du système d'exploitation Permet de se déconnecter Bascule entre les modes de transfert ASCII (transfert d'un fichier en mode texte) et BINARY (transfert d'un fichier en binaire) open quit set unset Permet de lancer une autre connexion à partir de la connexion en cours Quitte l'application Telnet Modifie les paramètres de la connexion Charge les paramètres de connexion par défaut Réseaux Internet & Services 115 Réseaux Internet & Services 116 SSH (Secure SHell) SSH (Secure SHell) Protocole pour se connecter à distance sur les serveurs : historiquement telnet Mais protocole conçu à l époque sans les contraintes de sécurité : tous les flux y compris les mots de passe passent en clair sur le réseau Avec le développement des techniques de cryptographie, développement de systèmes permettant de chiffrer les communications entre deux machines : SSH1 et SSH2 SSH est à la fois la définition d'un protocole et un ensemble de programmes utilisant ce protocole Programmes destinés à permettre aux utilisateurs d'ouvrir, depuis une machine cliente, des sessions interactives à distance sur des serveurs et de transférer des fichiers entre les deux de manière sécurisée Open SSH : solution open source pour SSH ( Package SSH installés par défaut dans toutes les distributions OpenSSH s appuie sur les libraires cryptographiques d Openssl Serveur Session Par rapport Client aux SSH applications telnet, rlogin, ftp : SSH SSH connexion entre le client et Connexion le serveur cryptée cryptographie à clefs publiques SSH permet sécurisée à SSH de garantir l'authentification mutuelle du client (utilisateur) et du serveur Machine cliente Serveur SSH Réseaux Internet & Services 117 Réseaux Internet & Services 118 Les systèmes de clefs de SSH SSH s appuie sur deux techniques : la cryptographie asymétrique SSH utilise la cryptographie asymétrique RSA ou DSA. Méthode de chiffrement à clé publique reposant sur des clés asymétriques : clé différente utilisée pour le chiffrement et le déchiffrement Une clé publique qui peut être divulguée pour le chiffrement Une clé privée connue uniquement de son propriétaire pour le déchiffrement PP(%@$)C$WEQ%# (%*^&#$$%@$@#($$ Décryptage Les systèmes de clefs de SSH SSH s appuie sur deux techniques : la cryptographie symétrique Pour les méthodes à clés symétriques, clés utilisées pour le chiffrement et le déchiffrement (chiffrement symétrique ou chiffrement à clés secrètes, ou à clés privées) PP(%@$)C$WEQ%# (%*^&#$$%@$@#($$ Décryptage La cryptographie symétrique beaucoup moins gourmande en ressources processeur que la cryptographie asymétrique... mais le gros problème est l échange de la clé secrète entre A et B (dans le protocole SSL, qui est utilisé par SSH et par les navigateurs Web, la cryptographie asymétrique est utilisée au début de la communication pour que A et B Key puissent s échanger une clé secrète de manière Key sécurisée... puis la suite la communication est sécurisée grâce à la cryptographie symétrique en utilisant la clé secrète échangée) Public Key Private Key Si la personne A veut envoyer un message confidentiel à la personne B, A crypte le message avec la clé publique de B et l'envoie à B sur un canal qui n'est pas forcément sécurisé. Seul B pourra décrypter le message en utilisant sa clé privée. Réseaux Internet & Services 119 Réseaux Internet & Services 120

21 Etablissement d une connexion SSH Etapes de l établissement d une connexion SSH Un serveur SSH dispose d'un couple de clés RSA stocké dans le répertoire /etc/ssh/ et généré lors de l'installation du serveur. Le fichier ssh_host_rsa_key contient la clé privée (permissions 600) Le fichier ssh_host_rsa_key.pub contient la clé publique (permissions 644) Liste des fichiers du répertoire /etc/ssh Le serveur envoie sa clé publique au client Clef Publique Le client génère Client Serveur une clé secrète et l'envoie au serveur, en cryptant l échange avec la clé publique du serveur (cryptographie asymétrique). Le serveur décrypte la clé secrète en utilisant sa clé privée, ce qui prouve qu'il est bien le vrai serveur. Nom de fichier ssh_config sshd_config ssh_host_key ssh_hos_key.pub ssh_host_key_rsa ssh_hos_key_rsa.pub ssh_host_key_dsa ssh_hos_key_dsa.pub Fonction Configuration générale des clients ssh (installés avec le package openssh-clients) Configuration du serveur ssh Clés RSA pour SSH1 (privée et publique) Clés RSA pour SSH2 (privée et publique) Clés DSA pour SSH2 (privée et publique) Pour le prouver Client au client, il crypte un message standard avec la clé Serveur secrète et l'envoie au client. Si le client retrouve le message standard en utilisant la clé secrète, il a la preuve que le serveur est bien le vrai serveur. Clef Privée Serveur PP(%@$)C$WEQ%# (%*^&#$$%@$@#($$ Réseaux Internet & Services 121 Réseaux Internet & Services 122 Etapes de l établissement d une connexion SSH Se logger par SSH Une fois la clé secrète échangée, le client et le serveur peuvent alors établir un canal sécurisé grâce à la clé secrète commune (cryptographie symétrique). CANAL SECURISE Client Serveur Une fois que le canal sécurisé est en place, le client va pouvoir envoyer au serveur le login et le mot de passe de l'utilisateur pour vérification. Le canal sécurisé reste en place jusqu à ce que l'utilisateur se déloggue. La seule contrainte est de s'assurer que la clé publique présentée par le serveur est bien sa clé publique... sinon le client risque de se connecter à un faux serveur qui aurait pris l'adresse IP du vrai serveur par exemple Solution : demander à l'administrateur du serveur quelle est le fingerprint de la clé publique du serveur avant de s'y connecter pour la première fois (chaîne de 32 caractères hexadécimaux unique pour chaque clé, sorte d empreinte digitale ; commande ssh-keygen -l.) Authentification par mot de passe Méthode la plus simple. Depuis la machine cliente : ssh login@nom_dns_du_serveur_ssh Si première connexion SSH depuis ce client vers ce serveur, vérification grâce à l empreinte digitale que la clé publique présentée par le serveur est la bonne (pour les autres connexions, clé publique du serveur rajoutée au fichier ~/.ssh/known_hosts) Ensuite mot de passe Authentification via la cryptographie asymétrique et son couple de clés privée/publique (comme le fait le serveur SSH auprès du client SSH) Plusieurs étapes : générer un couple de clés DSA (commande : ssh-keygen -t dsa) Autoriser votre clé publique (il suffit de copier la clé publique dans le fichier ~/.ssh/authorized_keys de la machine sur laquelle vous voulez vous logguer à distance) Se logguer par une authentification par mot de passe. Réseaux Internet & Services 123 Réseaux Internet & Services 124 Transfert de fichiers par SSH Tunnels SSH En mode console avec scp (comme Ssh CoPy), qui s'utilise de la même manière que la commande cp avec yafc méthode d'authentification par mot de passe ou par clés Avec des outils graphiques (Windows ou Linux) Faire un tunnel SSH est un moyen simple de crypter n'importe quelle communication TCP entre sa machine et une machine sur laquelle vous avez un accès SSH. Par exemple, pour établir un tunnel SSH pour une connexion HTTP vers la machine serveur.exemple.org : ssh -L 2012:serveur.exemple.org:80 [email protected] (2012 est le port sur la machine cliente à partir duquel la connexion entre dans le tunnel SSH) lancement du navigateur Web en demandant de se connecter en local sur ce port Réseaux Internet & Services 125 Réseaux Internet & Services 126

22 Sommaire La messagerie : Introduction Architecture d Internet Le système de résolution de noms DNS Service de transfert de fichiers : FTP Telnet - SSH Les protocoles de messagerie Introduction Composants de la messagerie Le protocole SMTP Les protocoles POP3, IMAP Les protocoles du web Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Plus connu sous le nom de (Electronic Mail ou courrier électronique), permet d échanger des messages et des fichiers Nécessite un serveur de messagerie accessible à partir d Internet. Le serveur dispose d une boîte à lettre (BAL) pour chaque client géré par la messagerie. Client identifié par une adresse électronique : utilisateur@domaine (nom de domaine correspondant à un enregistrement de type MX dans le système de noms de domaine). Messagerie : application individuelle la plus utilisée dans l Internet Courrier électronique inventé par Ray Tomlinson en 1972 Le courrier électronique est délivré à l'aide d'une architecture client/serveur Réseaux Internet & Services 127 Réseaux Internet & Services 128 Composants de la messagerie Composants de la messagerie Un système de messagerie client est composé de deux sous-systèmes : Un agent utilisateur (Agent de Gestion de Courrier, AGC, ou MUA, Mail User Agent) = programme local fournissant à l utilisateur un jeu de commandes ou une interface graphique permettant de composer, recevoir, répondre, et manipuler les boîtes à lettres. Un agent de transfert de courrier (ATC ou MTA, Mail Transfert Agent) qui achemine le message depuis la source jusqu à la destination pour des serveurs utilisant SMTP. Ex. : Sendmail, Postfix. Serveurs de messagerie, MTA, communiquant via SMTP (Simple Mail Transfert Protocol) Protocoles permettant de relever le courrier sur le MDA POP3 (Post Office Protocol), le plus ancien, permettant de relever son courrier et éventuellement d en laisser une trace sur le serveur IMAP (Internet Message Access Protocol) permettant une synchronisation de l état des courriers (lu, supprimé, déplacé) entre plusieurs clients de messagerie (copie des messages conservée afin de pouvoir assurer la synchronisation). Réseaux Internet & Services 129 Réseaux Internet & Services 130 Le protocole SMTP Le dialogue d envoi d un mail Protocole SMTP (Simple Mail Transfer Protocol) : protocole standard permettant de transférer le courrier d un serveur à un autre en connexion point à point. Spécifications du protocole SMTP définies dans la RFC 821, 2821 (depuis 2001) SMTP fonctionne en mode connecté, encapsulé dans une trame TCP/IP. Par défaut sur le port 25. Fonctionne grâce à des commandes textuelles (codées en ASCII) envoyées au serveur SMTP destinataire. Chaque commande envoyée par le client est suivie d une réponse du serveur (numéro + message descriptif) Identification hôte Identification émetteur Identification destinataire Début envoi données EHLO (aujourd hui) Fin envoi données Fin envoi Réseaux Internet & Services 131 Réseaux Internet & Services 132

23 Le format des messages SMTP Exemple d envoi de message SMTP Le standard de mise en forme des messages textuels le plus utilisé est décrit dans la RFC 822 («format SMTP»). D autres formats existent, notamment le standard X400 proposé par l UIT. Difficile à implémenter, X400 ne s est pas imposé. Problème posé par RFC 822 : non prise en compte de caractères spécifiques MIME (Multipurpose Internet Message Extensions, RFC 2045) Décrit le format des messages multimédia de l'internet. Les entêtes décrivent la nature du message à transférer Le message comporte deux parties : L enveloppe encapsule le message proprement dit. Elle contient toutes les informations nécessaires à son transport (adresse de destination, priorité, niveau de sécurité, etc. ). Elle est utilisée par les agents de transfert pour le routage. Le contenu renferme un entête, suite de champs From, To, Date, Subject, Message-ID, CC,... renseignés par l agent utilisateur ou par les agents de routage, et le corps du message (partie utile). Réseaux Internet & Services 133 Réseaux Internet & Services 134 Le protocole POP3 POP3 (Post Office Protocol version 3) est le plus ancien et le plus utilisé des protocoles de remise finale des messages. Fonctionne sur le port 110 Les commandes POP3 Le protocole POP3 fonctionne grâce à des commandes textuelles envoyées au serveur POP. Commande = un mot-clé + arguments. Elle est suivie d'une réponse du serveur POP composée d'un numéro et d'un message descriptif. Créé alors que le coût des connexions était très élevé, il a été élaboré pour distribuer le courrier hors ligne. Les courriers sont sauvegardés sur le serveur jusqu à ce que l utilisateur les télécharge. Ils sont alors sauvegardés sur le poste du client et effacés du serveur. En option, l utilisateur peut choisir de laisser son message sur le serveur après l avoir téléchargé. Cependant, aucun classement ne peut être réalisé sur le serveur. POP3 assure l authentification, la réception des courriers et fichiers attachés, la réception des messages d erreur et des acquittements. Mais POP3 n est pas sécurisé puisque les messages stockés sur le serveur ne sont pas cryptés. Réseaux Internet & Services 135 Réseaux Internet & Services 136 Exemple de dialogue POP3 Le protocole POP3 Avantages de POP3 Stockage local : Même non connecté, l utilisateur peut lire et modifier les messages téléchargés. Economie du serveur : Libération de la mémoire une fois les messages téléchargés. Système éprouvé : Seul protocole fonctionnant sur les systèmes anciens POP est un protocole très simple mais Conçu pour être utilisé avec un seul poste et un seul client. authentification (login/password échangé en clair) problème quand on consulte ses mails à partir d un réseau non sûr messages stockés sur le serveur non cryptés messages qui doivent être récupérés sur le poste client pour être manipulés compte utilisateur créé sur le serveur Réseaux Internet & Services 137 Réseaux Internet & Services 138

24 Le protocole IMAP Sommaire IMAP (Interactive Mail Access Protocol) est une alternative au protocole POP3 Il permet de manipuler les messages (lecture, classement, effacement ) sur le serveur, sans les télécharger Les utilisateurs peuvent rester connectés à un ou plusieurs serveurs tout en lisant, créant et organisant les messages Les boîtes aux lettres sont accessibles à l utilisateur : déplacement, changement de nom, suppression, enregistrement des boîtes, déplacement des messages vers d autres boîtes Les boîtes aux lettres peuvent être partagées Il est possible de ne télécharger que les entêtes des messages, sans le corps Des dossiers publics peuvent être créés, contenant des messages accessibles à tous les utilisateurs Inconvénient : Utilisation intensive du serveur (mémoire, processeur) Architecture d Internet Le système de résolution de noms DNS Service de transfert de fichiers : FTP Telnet - SSH Les protocoles de messagerie Les protocoles du web Le protocole HTTP Exemple de communication HTTP Configuration d un serveur Web : Apache Authentification et contrôle d accès Hébergement virtuel Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Réseaux Internet & Services 139 Réseaux Internet & Services 140 Le web - Le protocole HTTP HyperText Transmission Protocol, RFC 1945 Protocole de communication entre le navigateur du client et les serveurs Web, basé sur le principe des liens hypertextes Liens hypertextes : mots de couleur différente (bleu en général) ou images qui servent de liens entre les documents. Intérêt : lecture dynamique, navigation sur une bibliothèque à l échelle planétaire Documents adressés de type Web (images, sons, vidéos ) mais aussi des serveurs de fichier, des serveurs de News Le protocole HTTP La communication entre le navigateur et le serveur se fait en deux temps : Le navigateur effectue une requête HTTP (requête contenant la méthode à utiliser pour récupérer le document, le nom de l'objet demandé et la version du protocole HTTP à invoquer) Le serveur traite la requête puis envoie une réponse HTTP (le serveur répond à la requête en envoyant une réponse HTTP composée de trois parties : état de la réponse / en-tête de réponse / données) Serveur Web : logiciel permettant à des clients (navigateur ou autre) d'accéder à des pages Web (fichier html, php, jsp, asp, ) stockées sur une machine distante. Capable d'interpréter les requêtes HTTP arrivant sur le port associé au protocole HTTP (par défaut le port 80), et de fournir une réponse avec ce même protocole Requêtes Envoi des en-têtes HTTP Décode Localisation du fichier Client (navigateur) Envoi des en-têtes HTTP de réponse Serveur web Création des en-têtes. Formatage des données Réseaux Internet & Services 141 Réseaux Internet & Services 142 Le protocole HTTP Le protocole HTTP Requête HTTP composée : d une ligne de requête: ligne précisant le type de document demandé, la méthode qui doit être appliquée, et la version du protocole utilisé. La ligne comprend trois éléments devant être séparés par un espace : La méthode L'URL La version du protocole utilisé par le client (généralement HTTP/1.0) des champs d'en-tête de la requête: ensemble de lignes facultatives permettant de donner des informations supplémentaires sur la requête et/ou le client (Navigateur, système d'exploitation,...) du corps de la requête : ensemble de lignes optionnelles devant être séparées des lignes précédentes par une ligne vide. Permet d utiliser d autres méthodes pour n obtenir que l en-tête associée à la ressource demandée (méthode HEAD) ou pour envoyer des données de type formulaire au serveur (méthode POST) Exemple : GET HTTP/1.0 Accept : text/htmlif-modified-since : Saturday, 15-January :37:11 GMT User-Agent : Mozilla/4.0 (compatible; MSIE 5.0; Windows 95) Réseaux Internet & Services 143 Réponse HTTP composée d une ligne de statut : ligne précisant la version du protocole utilisé et l'état du traitement de la requête à l'aide d'un code et d'un texte explicatif. La ligne comprend trois éléments devant être séparés par un espace : La version du protocole utilisé Le code de statut La signification du code des champs d'en-tête de la réponse : ensemble de lignes facultatives permettant de donner des informations supplémentaires sur la réponse et/ou le serveur du corps de la réponse : il contient le document demandé Exemple : HTTP/ OK Date : Sat, 15 Jan :37:12 GMT Server : Microsoft-IIS/2.0 MIME-version: 1.0 Content type:text/html données de la réponse (présence d'une ligne vide pour marquer la séparation avec les en-têtes) Réseaux Internet & Services 144

25 Le protocole HTTP & MIME Communication HTTP MIME : méthode d'encodage des données conçue au départ pour transmettre des documents par courrier électronique. HTTP utilise MIME pour décrire les différents types de données qu'il doit manipuler La ligne Content type est une description MIME des données transférées. text/html indiquant que les données sont de type texte, sous type HTML type text/plain indiquant que la réponse est à traiter comme du texte brut Si le document demandé est un document HTML, les données de réponse contiendront le texte du document HTML. Exemple de données de réponse : <HTML> <HEAD><TITLE>Document HTML simple</title></head> <BODY> <P> Cela est un document HTML minimaliste. </BODY> </HTML> Une fois la séquence requête/réponse achevée, la connexion TCP/IP est refermée. Une nouvelle connexion sera établie pour chaque échange requête/réponse entre le client et le serveur. Port 1025 Client avec navigateur Ouverture d'une connexion TCP GET/HTTP HTTP paramètres...corps du document Suite du document Fermeture de la connexion TCP Ouverture d'une nouvelle connexion TCP Port 80 Serveur Web GET/HTTP HTTP paramètres...corps du document Fermeture de la connexion TCP Réseaux Internet & Services 145 Réseaux Internet & Services 146 Configuration d Apache Authentification et Contrôle d accès au système des fichiers Apache serveur Web opensource le plus utilisé sur Internet : 70% selon NetCraft ( en janvier 2006 Configuration personnalisée du serveur s'effectuant par modification du fichier de configuration httpd.conf situé dans /etc/httpd/conf/ Cœur d Apache assez simple car les fonctionnalités de ce serveur sont implémentées par le biais de modules Chaque module répond à un problème bien circonscrit en ajoutant les fonctionnalités nécessaires Ajout et suppression de modules qui permettent donc de déterminer les fonctionnalités d Apache et d ajuster parfaitement le serveur aux besoins (cf. Modules placés dans le répertoire /usr/lib/httpd/modules Apache permet de sécuriser les accès répertoire par répertoire Déclaration d'un accès authentifié sur un répertoire faite de deux manières : Dans le fichier de configuration d'apache Directives Allow et Deny respectivement utilisées pour autoriser et interdire l accès à un répertoire ou bien à un fichier créant un fichier ".htaccess" dans le répertoire En que l'on souhaite sécuriser (le fichier.htaccess contient les mêmes directives que celles qui auraient été déclarées dans le fichier httpd.conf) Limitations de la sécurité par répertoire : procédé qui alourdit la charge du serveur (vérification dans chaque répertoire l'existence d'un fichier.htaccess ; processus mis en œuvre pour chaque accès) Définition des utilisateurs autorisés Commande htpasswd, incluse dans le package d Apache permettant de créer le fichier qui contient la liste des utilisateurs et des mots de passe Réseaux Internet & Services 147 Réseaux Internet & Services 148 Hébergement virtuel Sommaire Un des services les plus couramment fournis par un serveur Web : l hébergement des domaines virtuels Également appelé hôte virtuel, un domaine virtuel est un site Web complet disposant de son propre nom de domaine. Tout se passe comme si ce domaine résidait sur un ordinateur indépendant sauf qu il est hébergé sur le même ordinateur que d autres domaines. Fonctionnalité implémentée dans Apache à l aide de directives dans le fichier de configuration httpd.conf (module mod_vhost_alias qui permet aux ISP d héberger un grand nombre de sites virtuels) Différentiation de chaque domaine par lecture de l en-tête HTTP (possibilité d avoir des adresses IP différentes, des numéros de port différents) Architecture d Internet Le système de résolution de noms DNS Service de transfert de fichiers : FTP Telnet - SSH Les protocoles de messagerie Les protocoles du web Téléphonie sur IP Les protocoles RTP, RTCP Introduction Caractéristiques de la voix Voix sur IP : difficultés Le protocole IP pour le transport de la voix La voix sur IP : qualité de service Les protocoles de la voix sur IP RTP/RTCP RSVP, DiffServ VoIP et signalisation : H323, SIP Architecture d un réseau VoIP Conclusion Glossaire - Bibliographie Réseaux Internet & Services 149 Réseaux Internet & Services 150

26 Introduction Caractéristiques de la voix Objectifs : Diminution des coûts de la téléphonie Convergence des réseaux Voix/Vidéo/Data : un seul réseau de transport combinant les trafics voix, vidéo, données Applications : vidéo conférence, messagerie unifiée pour envoyer indifféremment des messages voix sur IP, électroniques ou télécopie via Internet Avant 1996, solutions de voix sur IP reposant sur des architectures propriétaires (manque d interopérabilité, impossibilité de se raccorder au réseau public ) Elaboration d un standard avec la création d un groupe de travail de l UIT regroupant plusieurs structures de normalisation UIT-T (Union Internationale des Télécommunications, secteur Télécoms) IETF (Internet Engineering Task Force) IMTC (International Multimedia Teleconferencing Consortium) ECTF (Entreprise Computer Telephony Forum) ETSI (European Telecommunication Standards Institute) International Teleconferencing Association International Multimedia Association. Spectre de fréquences perçues par l oreille humaine de 100Hz à 20kHz, limitées à Hz pour les communications téléphoniques Dans l architecture du RTC, voix analogique convertie en numérique au niveau du commutateur local : 64 kbit/s Conversation orale : exigence d interactivité Temps de transit inférieur à 150 ms pour un dialogue actif Jusqu à 400ms, dialogue qui reste assez réactif Dans le RTC, gigue nulle Réseaux Internet & Services 151 Réseaux Internet & Services 152 La Voix sur IP : difficultés La Voix sur IP : difficultés Comparaison réseau IP/réseau télécoms mise en évidence des difficultés associées au transport de la voix Illustration avec la comparaison réseau IP, réseau X25 (voir tableau slide suivant) Etablissement de la connexion Etablissement d un chemin dédié à la communication Réseau IP Mode non connecté Non Réseau X25 Mode connecté Oui Routage Adaptatif, le chemin est calculé par les routeurs instantanément Déterministe : chemin unique durant la communication (circuit virtuel) Emetteur Réseau IP Routeur R R R R Récepteur Emetteur Réseau X25 Commutateur C C C C Récepteur Adresses Ressources Acquittement Fiabilité Contrôle des congestions Chaque paquet comporte des adresses source et destination Pas de réservation Pas d acquittements Transmission non fiable : perte de paquets Aucun contrôle n est effectué Aucune adresse ne transite sur le réseau, chemin unique Réservation du chemin pendant la duré de la communication Les nœuds intermédiaires échangent des acquittements Transmission fiable Contrôle par échange de crédits entre nœuds paquet1 paquet2 Tous les paquets suivant le même chemin pendant la durée totale de conversation Interconnexion des réseaux Résumé Simple et naturelle Réseau «stupide», robuste, universel. Système terminal «intelligent» Complexe Système terminal «stupide». Réseau «intelligent», fiable. Réseaux Internet & Services 153 Réseaux Internet & Services 154 La Voix sur IP : difficultés Le protocole IP pour le transport de la voix Contraintes liées au transfert de la voix Délai : temps de transmission d un paquet (doit rester inférieur à150 ms pour le bon fonctionnement du RTC, inférieur à 400 ms pour respecter les contraintes d une conversation interactive) Gigue : variation de délai (nécessite un buffer de resynchronisation en bout de chemin) Perte : disparition de paquets au cours de la communication (fait partie de la transmission IP, mais doit être minimisée) BON JOUR COM MENT VAS TU T Réseau IP Inversion BON COM VAS MENT TU IP : protocole simple, en mode non connecté, ne mettant pas en œuvre de contrôle d erreur IP : côté qualité de service Champ TOS (Type Of Service) utilisé pour guider le choix de service lorsqu un datagramme transite dans le réseau Transfert de donnés sur Internet Precedence se faisant pour D le Tmieux R (best Ceffort) Critères de coût à 0-7 indique l importance du datagramme (par défaut à 0) Low Delay prendre en compte High Reliability High Throughput (assurer un bon débit) Avantages Inconvénients Flot de données jamais interrompu (sauf timeout) Perte de paquets possible et non signalée Perte Variation de délais : gigue Mode non connecté, pas de réservation de circuit Pas d encombrement du réseau avec des acquittements Pas de chemin de communication fixe Pas de remontée d erreur Réseaux Internet & Services 155 Réseaux Internet & Services 156

27 Analyse des délais de transmission La voix sur IP : Qualité de service Quantification du délais de transmission dans un réseau de manière fiable impossible (trop d inconnues : table de routage, congestion, panne, files d attentes ) Cependant délais inhérents au réseau Délais émetteur : Numérisation et codage Compression Mise en paquets Transmission temps dépendant de la configuration dans laquelle on se trouve, relié par modem, par un accès LAN ) passerelle Réseau IP passerelle Délais réseau Propagation Commutation et files d attente Délais récepteur (mêmes que pour l émetteur): Réception Décompression Dépaquetisation Buffer de gigue Réseaux Internet & Services 157 Paramètres influant sur la qualité de la voix : Traitement de la voix (qualité de codage ou de compression) Voix codée et compressée avant d être encapsulée dans un paquet IP (taille du paquet = compromis entre la nécessité de réduire le délai de transmission et l optimisation de la bande passante) Qualité du codeur évaluée par un critère de notation standard : MOS (Mean Opinion Score), classant les codeurs en 5 grandes classes (de 1 mauvais à 5 excellent ) Gigue de transmission Gigue = variation du délai de transmission Gigue provoquée par le choix du mode non connecté UDP (paquets qui n empruntent pas forcément le même chemin) et charge des routeurs traversés En réception : buffer de compensation de gigue Gigue inférieure à 100 ms pour garder une qualité acceptable Réseaux Internet & Services 158 La voix sur IP : Qualité de service La voix sur IP : Qualité de service Paramètres influant sur la qualité de la voix : Délai de transmission Temps écoulé entre l émission de la voix et sa restitution à l arrivée Pour permettre un échange interactif, transmission de la voix avec des contraintes de délai Classe de qualité et d interactivité en fonction du délai de transmission dans une conversation téléphonique (recommandation IUT-T G114) Classe n 1 Délai par sens 0 à 150 ms Commentaires Acceptable pour la plupart de conversations à 300 ms Acceptable pour des communications faiblement interactives (satellite, 250 ms par bond) Causes du délai : codage, décodage, mise en paquets de la voix ; sérialisation ; files 3 d attente 300 des à 700 routeurs ms ; propagation Devient pratiquement ; compensation une conversation half de duplex gigue Paramètres influant sur la qualité de la voix : Taux de perte de paquets Avec UDP aucune garantie que les paquets arrivent à destination Taux de perte de paquets dépendant de la qualité des lignes empruntées et du dimensionnement du réseau Taux de perte de paquets inférieur à 20% pour avoir un qualité de parole acceptable L écho Echo : délai entre l émission d un signal et la réception de ce signal réverbéré Echo inférieur à 50 ms non perceptible Pour le service de téléphonie sur IP, traitement de l écho au niveau des passerelles (écho généré par le passage 2 à 4 fils). Si traitement non effectué, service non utilisable avec des postes analogiques classiques 4 Au de-là de 700 ms Inutilisable sans une bonne pratique de la communication half duplex Réseaux Internet & Services 159 Réseaux Internet & Services 160 La voix sur IP : Les protocoles associés RTP/RTCP Les protocoles des réseaux IP IP : protocole de niveau 3, chargé du routage des données, permet d adresser une machine TCP, UDP protocoles de transport, permettent d adresser un service sur une machine TCP : mode orienté connexion, phase d établissement de connexion nécessaire avant le transfert de data, contrôle de flux, garantie du séquencement des trames, retransmission en cas de perte UDP : mode non connecté, paquets envoyés par l émetteur reçus dans un ordre quelconque par le récepteur, sans contrôle de flux, ni intégrité simplicité et rapidité qui rendent le protocole UDP parfait pour faire transiter des paquets de voix le plus rapidement possible quitte à les perdre (pas trop grave pour la voix tant que le taux de perte n est pas très élevé) RTP: Real-Time Protocol, protocole temps réel ajouté pour faire transiter des paquets de voix, permet de pallier les lacunes d UDP RTP permet de régénérer le synchronisme du flux de voix Réseaux Internet & Services 161 RTP : protocole adapté aux applications présentant des propriétés temps réel. Son rôle : Reconstituer la base de temps des flux (horodatage des paquets : possibilité de resynchronisation des flux par le récepteur) Détecter les pertes de paquets et en informer la source Identifier le contenu des données pour assurer un transfert sécurisé Mais ne permet pas des transmissions temps réel sur IP Pas de réservation de ressources sur le réseau (rôle de RSVP par exemple) Pas de fiabilisation des échanges (pas de retransmission automatique, pas de régulation automatique de débit) Pas de garantie de délai dans la livraison et dans la continuité du flux temps réel RTP peut être complété par RTCP (RTP Control Protocol) qui renvoie des informations sur la transmission et sur les éléments destinataires (permet à la source de s adapter) Récepteur Réseaux Internet & Services 162 RTP Entête Contenu : vidéo, audio, etc.. RTCP Entête Rapports de réception, description Récepteur

28 RTP (Real Time Protocol) En-tête RTP Décrit dans la RFC 1889 RTP s occupe du transport de données en temps réel, ne gère pas les ressources du réseau et ne garantit pas de qualité de service Format de l en-tête RTP (12 octets) V, Version (2 bits) : définit le numéro de version de RTP P, Padding (1 bit) : indice permettant de spécifier que les octets de données ont une partie de bourrage X, extension (1 bit) : spécifie (si à 1) qu une entête supplémentaire suit le paquet CC, nombre de CSRC (4 bits) : contient le nombre de sources contributrices contenues dans la liste CSRC M, Marker (1 bit) : indique la présence de descriptifs contenant la liste d'évènements particuliers PT, Payload Type (7 bits) : donne le type de contenu audio et/ou vidéo transporté par le paquet ainsi que son format de codage (PCM, G721, JPEG..) Numéro de séquence (16 bits) : numéro d ordre d émission des paquets (incrémenté d une unité à chaque paquet envoyé) Horodatage (32 bits) : Horloge système ou horloge d échantillonnage de l émetteur (monotone et linéaire pour la synchronisation des flux) SSRC (32 bits) : identifie la source de synchronisation c est-à-dire l émetteur sur lequel il faut se baser pour caler la base de temps commune à tous les participants CSRC (32 bits) : liste des participants ayant apporté leur contribution (audio, vidéo) aux données du paquet (peut être nulle) V P X CC M PT Numéro de séquence Horodatage (Timestamp) Identificateur de la source de synchronisation (SSRC) Identificateur(s) de la (les) source(s) contributrice(s) (CSRC) Données Réseaux Internet & Services 163 Réseaux Internet & Services 164 RTCP (RTP Control Protocol) RTP/RTCP Décrit dans la RFC 1889 But : transmettre périodiquement des paquets de contrôle à tous les participants d une session, permet d envoyer des informations en retour à l équipement émetteur 0 V, Version V P - P, Padding RC : mêmes champs PT que RTP Longueur RC, Report Control (5 bits) : contient le nombre de rapports dans le paquet (un rapport pour chaque source) PT, Packet Type (8 bits) : donne le type de rapport du paquet Rapport(s) SR (Sender Report) : rapport regroupant des statistiques concernant la transmission (pourcentage de perte, gigue.). Rapports issus d émetteur actif d une session RR (Receiver Report) : ensemble de statistiques portant sur la communication entre les participants. Rapports issus de récepteurs d une session SDES (Source Description) : carte de visite de la source (nom, , localisation) BYE : message de fin de participation Longueur (16 bits) : longueur du paquet RTP, RCTP : protocoles adaptés pour la transmission de bout en bout mais aucun contrôle sur le réseau Protocoles utilisés en visioconférence Pour le transport de la voix, transmission correcte sur des réseaux ayant une qualité de service (ATM ou LAN bien dimensionnés) RTP à associer à des protocoles comme RSVP (Ressource Reservation Protocol) ou DiffServ pour pallier les défauts du réseau (à savoir la QOS) Objectif : permettre la différenciation de flux au niveau d un routeur, ce qui va permettre de réduire la gigue des paquets de voix Réseaux Internet & Services 165 Réseaux Internet & Services 166 RSVP (Ressource Reservation Protocol) RSVP RSVP intervient non plus sur les machines émettrices et réceptrices, mais sur le réseau luimême. Objectifs : Etablissement et maintien d'un chemin unique pour un flot de données Elaboration d'un système d'ordonnancement des paquets Création d'un module de contrôle gérant les ressources des différents nœuds du réseau Optimise la livraison de données multipoint (1 source -> x récepteurs). Son rôle est de gérer de manière indépendante chaque hôte de destination afin d'adapter la QoS en fonction de ses capacités et besoins. La réservation de ressources est demandée par le récepteur, il émet une requête de QoS correspondant à ses besoins. Celle-ci parvient à l'émetteur sous forme d'un message RSVP. Pour assurer un chemin unique au cours d'une communication, il faut que les systèmes terminaux fonctionnent en mode connecté. Mais RSVP n'assure pas un mode connecté avec les routeurs et une mise à jour dynamique de la réservation est nécessaire (envoi périodique par le récepteur de messages RSVP aux routeurs assurant le chemin) R1 R2 R3 Mais mise en œuvre sur le réseau Internet assez complexe. source Flux audio/vidéo Requêtes RSVP récepteur Réseaux Internet & Services 167 Réseaux Internet & Services 168

29 DiffServ (Differenciated Services) VoIP et Signalisation Principe : utiliser le champ QOS de IPv4, IPv6 pour différencier les flux et accorder un traitement spécifique aux paquets le nécessitant Fonctionnement : L'émetteur de flux spécialisé, au travers du champ "Type Of Service" d'ipv4 ou "Traffic Class" d'ipv6, spécifie une classe de service qu'il souhaite donner à ses paquets. Routeurs équipés d'algorithmes (Packet Classifier) qui lisent ce champ. Ensuite le répartiteur de paquets (Packet Scheduler) met en œuvre le traitement différencié en lui affectant une discipline de service adaptée (file d'attente spécialisée) La Voix sur IP met en œuvre les techniques télécoms sur un réseau à paquets normalisation de la signalisation nécessaire pour garantir l'interopérabilité des équipements Standardisation des protocoles de signalisation. Deux standards : H323 : standard issu des travaux le UIT et de Microsoft (Netmeeting compatible H323). S inspire des réseaux télécoms SIP (Session Initiation Protocol) standardisé par l IETF, avec une philosophie réseaux IP Flux multimédia audio/vidéo Flux data M M I M Packet Scheduler Algorithme de gestion M M Interface de sortie Packet Classifier Réseaux Internet & Services M 169 I I M Réseaux Internet & Services 170 La norme H.323 Les protocoles de la norme H.323 Objectif de H323 : assurer l interfonctionnement de la téléphonie IP et des réseaux téléphoniques commutés Norme H.323 qui traite des systèmes de communication multimédia en mode paquet, et normalise la transmission de la voix, de la vidéo et des conférences audio ou vidéo sur IP Définition des normes de compression des flux audio et vidéo que les équipements doivent supporter Définition des protocoles de signalisation pour l interopérabilité des équipements Limitation de la bande passante réservée pour chaque communication Indépendance vis-à-vis des applications et systèmes d exploitation Indépendance vis-à-vis du réseau physique supportant la communication Les fonctions dédiés à H.323 sont les suivantes : Contrôle de la procédure d'appel : requête, établissement et suivi de l'appel Gestion des flux multimédias : liste de codecs recommandés ou obligatoires Gestion des conférences multipoint : modèle de conférence géré par une entité centrale Gestion de la bande passante : le gatekeeper devient un centre de contrôle et a les moyens de limiter les connexions et d'allouer la bande passante disponible Interconnexion à d'autres réseaux : ATM, RNIS, RTC Réseaux Internet & Services 171 S appuie sur des protocoles de communication (RTP, RTCP, ), mais également sur des codecs audio (G.711, G723.1, G.728 ) et des codecs vidéo (H.261 et H.263) Couches protocolaires de H.323 : H.245 Control Contrôle d appel H.225 Q.931 Call Control TCP H.225 RAS H.450 H.245 : gère l utilisation des canaux et leur capacité H.225 = H.225-RAS + H.225-Q.931 Q.931 :gère les appels et le raccrochage RAS : Gère l admission et l état des communications IP Codecs audio/vidéo RTP/RCTP Réseaux Internet & Services 172 UDP SIP (Session Initiative Protocol) Architecture d un réseau VoIP Développé au sein du groupe de travail IETF, SIP est un protocole de signalisation pour la téléphonie et la visioconférence Simple et bonne intégration au monde IP SIP intervient aux différentes phases de l'appel : Localisation du terminal correspondant Analyse du profil et des ressources du destinataire Négociation du type de média et des paramètres de communication Disponibilité du correspondant Etablissement et suivi de l'appel Gestion de fonctions évoluées : cryptage, retour d'erreurs, Gateway : Equipement de type Passerelle qui permet l'interconnexion entre le réseau IP et le RTC, transforme la signalisation pour passer d un réseau à un autre Assure diverses fonctions, notamment le codage ou le décodage de la voix, la mise en paquet de la voix, le traitement des télécopies, l'annulation d'écho etc Gatekeeper (portier) Rôle : convertir les adresses et contrôler l accès au réseau pour les terminaux, les passerelles et les ponts de conférence D autres services comme la gestion de largeur de bande passante et la localisation des passerelles Le pont de conférences (MCU, Multipoint Control Unit) Permet à trois terminaux ou plus, et aux passerelles de participer à une conférence multipoint Les terminaux PC, IP phone, Réseaux Internet & Services 173 Réseaux Internet & Services 174

30 Sommaire Conclusion Architecture d Internet Le système de résolution de noms DNS Service de transfert de fichiers : FTP Telnet - SSH Les protocoles de messagerie Les protocoles du web Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Protocoles TCP/IP les plus utilisés sur tout type de réseaux (locaux ou longue distance) Clef de voûte des interconnexions réseaux Contient tous les protocoles permettant le transfert de données sur Internet Permet de disposer d un réseau rapide et fiable peu consommateur de ressources Implémenté sur presque toutes les plates-formes informatiques Mais limitations de l adressage IPv4, manque de priorité dans l IPv4, manque de sécurité pour l IPv4 Demain : IPv6 pour répondre aux limites de IPv4 Secteur de la téléphonie sur IP : un marché en plein essor Aujourd hui véritable convergence de l ensemble des services vers l IP : téléphonie, multimédia, messagerie unifiée Et des questions???? Réseaux Internet & Services 175 Réseaux Internet & Services 176 Suite des protocoles TCP/IP : Récapitulatif Quelques outils de base SMTP : Simple Mail Transfer Protocol Pour la transmission des mails IMAP (Interactive Mail Access Protocol), POP (Post Office Protocol) Pour la remise des mails DNS : Domain Name service Pour «mapper» un nom de machine à une adresse IP FTP : File Transfer Protocol Pour transférer des fichiers entre machines TELNET (Telecommunication Network) Un service de terminal virtuel pour accéder à un serveur en mode console TCP (Transmission Control Protocol) Pour établir des connexions en mode connecté UDP : User Datagramm Protocol Pour établir des connexions en mode non connecté IP : Internet Protocol Fournit à la couche transport un service de routage des paquets datagrammes ICMP : Internet Control Message Protocol Pour tester la connectivité des hôtes TCP/IP ARP : Address Resolution Protocol Pour «mapper»une adresse IP à une adresse MAC RARP : Reverse Address Resolution Protocol Pour «mapper»une adresse MAC à une adresse IP Ping Tester le fonctionnement de la pile TCP/IP (protocole IP et ICMP) ifconfig (ipconfig sous Windows) Consultation, configuration des paramètres IP Traceroute (tracert) Détermine le chemin (les adresses de routeurs) traversé par un paquet pour atteindre la destination Netstat outil permettant de connaître les connexions TCP actives sur la machine sur laquelle la commande et activée et ainsi lister l'ensemble des ports TCP et UDP ouverts sur l'ordinateur Netstat- r ou route print Visualisation des tables de routage Nslookup, Dig Permet d interroger le serveur DNS pour connaître la correspondance nom de domaine adresse IP Arp Permet de voir la cache ARP et faire la translation adresse IP / adresse MAC Analyseur de trames : Ethereal, tcpdump, iptraf Réseaux Internet & Services 177 Réseaux Internet & Services 178 Glossaire Glossaire ADSL Asymmetric Digital Subscriber Line AFNIC Française pour le Nommage Internet en Association Coopération AFNOR Association Française de NORmalisation ANSI American National Standard Institute ARP Address Resolution Protocol ATM Asynchronous Transfer Mode CSMA/CD Carrier Sense Multiple Access with Collision Detection DHCP Dynamic Configuration Protocol Host DNS Domain Name System FTP File Transfer Protocol HTTP HyperText Transfer Protocol ICMP Internet Control Message Protocol IEEE Institute of Electrical and Electronics Engineers IGMP Internet Group Message Protocol IMAP Interactive Mail Access Protocol IOS Internetwork Operating System (Cisco) IP Internet Protocol ISDN Integrated Service Digital Network ISO International Standardization Organisation LAN Local Area Network LLC Logical Link Control MAC Medium Access Control MAN Metropolitan Area Network MTU Maximum Transmission Unit NAT Network Address Translation OSI Open System Interconnection POP Post Office Protocol PPP Point to Point Protocol RARP Reverse Address Resolution Protocol RFC Request For Comment RIP Routing Information Protocol RNIS Réseau Numérique à Intégration de Services RTC Réseau Téléphonique Commuté SMTP Simple Mail Transfer Protocol SNMP Simple Network Management Protocol TCP Transport Control Protocol/Internet Protocol UDP User Datagram Protocol UIT-T Union Internationale des Télécommunications ex CCITT WAN Wide Area Network Réseaux Internet & Services 179 Réseaux Internet & Services 180

31 Bibliographie Bibliographie Les réseaux de Guy Pujolle (Eyrolles) Réseaux de Andrew Tannenbaum (Prentice Hall - InterEditions) O Reilly, «Le système LINUX» (4 ème édition), M. WELSH, M. KALLE DALHEIMER, T. DAWON & L. KAUFMAN O Reilly, «DNS et Bind», Paul Albitz et Cricket Liu, 4 e édition, janvier 2002, ISBN : O Reilly, «TCP/IP - Administration de réseau», Craig Hunt, 3 e édition, novembre 2002, ISBN : Linux Red Hat 9, B. BALL & H. DUFF (Campus Press) LINUX Administration (Editions Eyrolles Tsoft) Réseaux Locaux et Internet de Laurent Toutain (Réseaux & Télécommunications - Hermes) Cours de D. Present et S. Lohier (Réseaux et Services Internet, IUT SRC Camps sur Marne et Meaux) Cours/TP de A. Quidelleur (IUT SRC, Université de Marne La Vallée) Cours de D. Boutoille, VoIP, (Esigetel, VA ASR) Sources Internet (seulement quelques unes ) RFC disponibles sur le net DNS RFC : Apache FTP Réseaux Internet & Services 181 Réseaux Internet & Services 182