S Département Métiers du Multimédia et de l Internet (MMI) IUT de Tarbes D. KEBBAL

Transcription

1 Services sur Réseaux S Département Métiers du Multimédia et de l Internet (MMI) IUT de Tarbes D. KEBBAL - IUT de Tarbes : 1, rue Lautréamont - BP Tarbes - Cedex Tél: Fax: iut@iut-tarbes.fr

2 Références Sécurité des systèmes d information et des réseaux R. Panko Pearson Education Tout sur la sécurité informatique J. F. Pillou, J. P. Bay Dunod 2013 Réseaux Cours et exercices A. Tanenbaum 3 e édition Dunod Paris Réseaux et Télécoms C. Servin Dunod Réseaux locaux P. Rolin 5 e édition Hermès 1993 The Eternal Ethernet A. Ferrero 2 e édition Addison-Wesley 1999 Windows Server 2003 M. Minasi et al. Eyrolles

3 Contenu Administration des réseaux Administration, gestion, sécurisation des réseaux d entreprise Cryptographie, signatures numériques, certificats numériques Réseaux locaux Ethernet Réseaux locaux sans fil TCP et contrôle de flux UDP et service minimum Applications isochrones, voix sur IP, Sécurisation des réseaux locaux Traçage, audit, filtrage, réseaux privés virtuels (VPN), zones démilitarisées (DMZ)

4 Administration des réseaux 4

5 Administration de réseaux Ensemble des tâches effectuées au sein d un réseau à des fins de Exploitation Contrôle Gestion Sécurité Maintenance Deux types de tâches d administration En temps-réel Planification de l évolution du réseau 5

6 Rôle de l administration Tâches d administration Intervenir en temps-réel Surveillance, diagnostic, détection d intrusions au réseau Mesure de la charge Résoudre les problèmes dus aux incidents Réparation Information des utilisateurs Ajout/retrait de stations, d utilisateurs Planifier l évolution du réseau Choisir les nouvelles solutions et les évaluer De nouvelles configurations Statistiques, évaluation de charge, etc. Critères d une bonne gestion du réseau local Disponibilité Durée de fonctionnement sans interruption du réseau Temps de réponse Temps de réalisation de services 6

7 Système d administration Une application d administration répartie composée de Une base d information des objets administrés (MIB) Un agent surveille chaque objet administré et transmet des informations d état de l objet à la MIB Le programme d administration (manager) Agent Protocole de gestion Manager MIB (informations collectées) Station d administration 7

8 Administration ISO (1) Normes Architecture générale (norme ISO , OSI Management Framework) Description générale des opérations de gestion des systèmes (norme ISO 10040, OSI System Management) Trois modèles décrits Modèle organisationnel ou architectural (MSA, Managed System and Agents) Structure du système d administration Modèle informationnel (MIB) Description des objets gérés et leurs attributs Structure et contenu de la base d information d administration Modèle fonctionnel (SMFA, Specific Management Function Area) Fonctionnalités assurées par le système d administration Cinq domaines (fonctions) d administration 8

9 MIB MIB Modèle architectural (1) LSM SMAP SMAE Couche application Couche présentation Couche session Couche transport Couche réseau Couche liaison Couche physique SMAP : System Management Application Process SMAE : System Management Application Entity LSM : Local System Manager MIB : Management Information Base CMIP Protocole d administration du réseau (System Management Protocol) SMAE SMAP Couche application Couche présentation Couche session Couche transport Couche réseau Couche liaison Couche physique LSM 9

10 Modèle architectural (2) Trois types d activités d administration Administration du système (system management) Administration de couche (layer management) Opérations de couche (layer operation) Administration du système Entité d administration globale (SMAE) Gère les interactions entre les différents SMAE et les interfaces humaines Utilise un service d invocation de requêtes à distance Fournit un ensemble de primitives d administration Gestionnaire local (LSM) permettant d accéder à la base d information locale (MIB) Echange verticaux entre couches (CMIS) 10

11 Modèle architectural (3) Administration de couche Protocole de gestion de couche (CMIP, Common Management Information Protocol) Dialogue horizontal Fournit les moyens de transfert des informations de gestion entre les sites administrés Utilise les primitives de service CMISE Associations permettant la communication entre processus d administration Lire/écrire des informations d administration dans les MIB (Get, Set, Event, Create, Delete) Opérations de couche (N) Supervisent une connexion de Niveau (N) Utilisent les protocoles OSI classiques pour le transfert de données 11

12 Modèle informationnel Modèle de représentation des données d administration Structure of Management Information (SMI) Représentation orientée objet Arborescence de classes (Inheritance Tree) et arborescence d objets (Containment Tree) Un objet est décrit par sa classe d appartenance, son nom, ses attributs et les types d opérations supportées Management Information Base (MIB) Contient toutes les informations d administration sur les objets gérés Ponts, routeurs, interfaces réseaux, etc. La norme ne spécifie aucune organisation de la MIB 12

13 Modèle fonctionnel (1) Gestion des fautes (défaillances) Diagnostiquer toutes les anomalies internes et externes et les résoudre Détection, localisation des défaillances Spécifier les procédures de reprise Journalisation d événements (défaillances) Gestion de la configuration Maintenir un inventaire précis de toutes les ressources matérielles et logicielles Type de ressource, nom, propriétés, version, localisation,... Gestion de la comptabilité (Accounting Management) Evaluer les coûts d utilisation des ressources et les imputer aux utilisateurs réels Mesurer les consommations des différents services, etc. 13

14 Modèle fonctionnel (2) Gestion des performances Moyens permettant d évaluer le comportement des composants Collecte de statistiques afin de vérifier en permanence si le réseau est capable de satisfaire les besoins de communication Permet de planifier l évolution du système Gestion de la sécurité Spécifie les procédures permettant d assurer la sécurité d un réseau Propriétés de sécurité Confidentialité Authentification Intégrité Protection anti-rejeu 14

15 Administration dans Internet Protocole SNMP Simple Network Management Protocol - RFC 1157 Plateforme d administration des réseaux TCP/IP Construit au dessus de TCP/IP, non orienté objet Peut utiliser également les protocoles DECNet et XNS Trois modèles définis Protocole SNMP Situé au niveau application, définit la structure des communications Management Information Base (MIB, RFC 1156 et 1213) Définit des objets de gestion du réseau (ressources) Structure de l information de gestion Structure of Management Information (SMI, RFC 1155) 15

16 Modèle architectural de SNMP Agent SNMP Interface utilisateur MIB UDP TCP Application SNMP MIB IP MIB UDP TCP Réseau physique Agent de gestion (station, pont, routeur) MIB IP Réseau physique Station d administration Système SNMP composé de Agent logiciel tournant sur chaque équipement Comporte une MIB, bases d objets, etc. Application SNMP sur la station de gestion du réseau Contient le protocole et les applications de gestion Une base de ressources du réseau et leur information de gestion Interroge régulièrement tous les agents (scrutation) Récolte et gère tous les périphériques et équipements du réseau (pont, routeurs, hubs,...) 16

17 SMI Spécifie la structure des informations associées aux ressources dans la MIB Utilise la norme ASN.1 Quatre types de données utilisés Integer Octet String Object Identifier Null Deux structures de données Listes (SEQUENCE) Tables à deux dimensions 17

18 MIB Contient un ensemble de variables associées aux différentes ressources (matérielles et logicielles) Des points de test et de contrôle Arbre de nommage des objets structuré hiérarchiquement Défini par l ISO Ex. ISO.org.DoD.Internet.Administration.MIB.Interfaces Premier niveau comporte 8 groupes d objets System : gestion du nœud lui même Interfaces : ports et interfaces réseaux Address translation : translation d adresses IP IP, ICMP, TCP, UDP, EGP MIBs privées (branche private) MIBs propres aux constructeurs 18

19 Protocole SNMP Protocole de communication entre les agents et la station de gestion Protocole asynchrone Trois versions v1, v2 et v3 Station de gestion interroge les agents Pour connaître leur état Pour demander d exécuter certaines tâches Protocole de type question/réponse Certains événements sont signalés aux stations de gestion Ex. erreurs de transmission Utilise UDP pour le transport de données Requêtes SNMP GetRequest, GetNextRequest, GetBulk, SetRequest, Trap, Trap-SNMPv2 19

20 Plateformes d administration Outils d administration des couches basses Consoles d administration de câblage Suivre les évolutions du câblage et le brassage Analyseurs de réseau Surveiller et analyser le fonctionnement du réseau Hyperviseurs Plateformes complètes d administration de réseau d entreprise Vue d ensemble du réseau OpenView de HP pour les systèmes UNIX (ouvert) NetView d IBM pour SNA (propriétaire) DECmcc de DEC, SunNet Manager de SunConnect Plateformes intégrées aux OS Présentes dans les OS réseau Outils pour la supervision du fonctionnement général du réseau 20

21 Analyseurs de réseau Outils de surveillance, mesure et gestion du réseau Permettent d analyser le fonctionnement du réseau Surveillance de l activité du réseau, localisation des défaillances Test de protocoles Statistiques, mesure de performance Logiciels installés sur le réseau Captent les trames diffusées dans les réseaux locaux Offrent généralement des interfaces graphiques Utilisés généralement dans les couches MAC, liaison, réseau et transport 21

22 Rôle des analyseurs de réseau Surveillance de l activité du réseau Surveillance de l activité des stations, comptage des messages reçus Affichage des trames selon certains critères Provenance, destination, connexion, etc. Détection des défaillances Coupures de liaisons, etc. Réalisation de statistiques Taux d utilisation du réseau Débit réel, utile Trafic généré ou reçu par une station Fréquence de passage des trames, taille moyenne, Origine, destination de trames, etc. Analyse et test de protocoles Datation de certains événements (passage de messages, etc.) Génération de trames de tests Génération de trames erronées, perte de jeton, collisions, etc. 22

23 Sécurité des systèmes d information et des réseaux 23

24 Système d information Le Système d Information et les moyens d y accéder sont des composants essentiels pour une entreprise S.I.

25 Réseau d entreprise et système d information Accès réseau public Routeur Serveur de messagerie, DNS, Serveur de fichiers, BDs, Switch Gigabit (backbone) Lien 1000 Mbit/s Switch 100 Mbit/s Switch 100 Mbit/s Switch 100 Mbit/s Hub 10 Mbit/s Stations 10 Mbit/s Stations 100 Mbit/s Stations 100 Mbit/s 25

26 Réseau d entreprise Composé de stations de travail D un ensemble de serveurs Serveur de fichiers Bases de données Serveur de messagerie Serveur d impression Serveurs accueillent généralement le système d information de l entreprise Services sont organisés selon le modèle client/serveur Authentification des utilisateurs Accès aux données (système de fichiers distribué) Messagerie Etc. 26

27 Sondage de sécurité Source : 2010/2011 CSI Computer Crime & Security Survey Sondage CSI/FBI sur les délits et la sécurité informatiques Publié chaque année depuis 15 ans Elaboré à partir des réponses de 351 professionnels (universités, services gouvernementaux, banques, hôpitaux, ) Aux Etats-Unis Période : 07/ /

28 % des incidents déclarés sur 5 ans Années Incidents Malware 74% 65% 52% 50% 64% 67% Bots 21% 20% 23% 29% Vol d ordinateurs portables 48% 47% 50% 42% 42% 34% Déni de service 32% 25% 25% 21% 29% 17% Intrusion dans le système 14% 15% 13% 13% 17% 11% Accès non autorisé 32% 32% 25% 29% 37% (par employés de l entreprise) Abus internes (utilisation des réseaux) 48% 42% 59% 44% 30% 25% Fraude financière 7% 9% 12% 12% 20% 9% Sabotage 2% 3% 4% 2% 5% Fraude téléphonique 10% 8% 5% 5% 10% Destruction de sites web 5% 6% 10% 6% 14% 7% Abus d utilisation d application web 5% 6% 9% 11% 10% Vol/Perte de propriétés intellectuelles 9% 9% 8% 9% 10% Piratage de réseau sans fil 16% 14% 17% 14% 8% 7% Piratage données réseaux sociaux 7% 5% Attaques DNS 6% 8% 7% 2% Piratage de messagerie instantanée 25% 21% 8% 5% Vol de mots de passe (sniffing) 10% 9% 17% 12% Perte/vol de données clients 17% 17% 28

29 Pertes financières Pertes moyennes en milliers de dollars par entreprise

30 Analyse des résultats Violations de sécurité répétées et variées Menaces fréquentes Virus Environ 0.5% des mails sont infectés, 97% des entreprises équipées d antivirus 6.7 Milliards de dollars de dommages causés par Melissa et 2.5 par Code Red Vols d ordinateurs portables : 34% de vols de portables dont la plupart contiennent des données confidentielles Pertes financières très considérables même si c est stable sur les 4 dernières années 30

31 Attaques classiques Hacking : intrusion dans les systèmes d information Environ 15% sur les cinq dernières années 94 % de sondés menus de pare-feux Attaques par saturation (déni de service) Empêcher les utilisateurs légitimes de travailler Représailles, etc. Forme d attaques de plus en plus violentes mais en baisse (récemment : Sony, Microsoft, ) Accès non autorisés des employés Attaque courante et très difficile à contrer Peut prendre différentes formes Peut aller de l intrusion bénigne à la plus destructrice Utilisation abusive du réseau de l entreprise en interne 31

32 Attaques rares Attaques rares mais en constante augmentation et leur risque est énorme Fraudes financières Détournement de fonds Pertes peuvent être très importantes Vol de secrets commerciaux et industriels Vols de méthodes, stratégies, etc. Sabotage Destruction de données, logiciels, etc. 32

33 Autres attaques Fraudes téléphoniques Peu fréquentes en raison de la complexité de mise en œuvre Attaques de sites Web 6 % des sondés en 2008 déplorent au moins un incident sur leur site web, 11% pour le détournement d applications web Vandalisme, déni de service, vol de données en cours de transfert, etc. Attaques généralisées Différentes attaques combinées et bien orchestrées 33

34 Attaquants (1) Hacking : intrusion dans le système d information sans permission Permet de voler, détruire des données, changer le paramétrage du système, etc. Classé «crime» Hackers (pirates) d élite Hacking nécessite beaucoup de connaissances techniques pour pénétrer les systèmes sécurisés Hacking «éthique» Charte du hacker étique Intrusion dans les réseaux d entreprises pour avertir les administrateurs des failles de sécurité Hacking «négatif» Hackers motivés par les dommages, chantage, Hackers naviguent d une catégorie à l autre La loi ne fait pas la distinction entre les deux catégories 34

35 Attaquants (2) Programmeurs et propagateurs de virus Programmer un virus n est pas toujours répréhensible par la loi Diffusion de virus est interdite De nombreux virus en libre accès sur Internet Systèmes d attaques automatisés Outils permettent d automatiser les fonctions répétitives, lancer des attaques automatiquement (œuvre des hackers) Attaques par saturation, intrusion, craquage de mot de passe, script d écriture de virus, etc. Réseaux de zombies (botnets), vers, trojans, backdoors (trappes),... Disponibles à un plus grand nombre de hackers moins compétents Employés Salariés, responsables TIC et sécurité, prestataires externes Motivations : malhonnêteté, frustration, Fraudes financières, sabotage (trappes, bombes logiques,...) 35

36 Méthodologie d une attaque par intrusion logique Collecte d information Balayage Repérage des failles Intrusion Déni de services Extension de privilèges Compromission Porte dérobée Nettoyage des traces

37 Exemple de balayage Scanner un réseau après avoir établi une cartographie du réseau Nmap pour telnet 80 GET / HTTP/1.0 Le serveur répond par HTTP/ OK Date: Thu, 21 Mar :22:57 GMT Server: Apache/ (Unix) Debian/GNU Serveur, système d exploitation et sa version connus

38 Gestion de la sécurité La sécurité est plus une question de management que de technologie Nécessité d adapter la culture d entreprise Implication de tout le monde à tous les niveaux (direction, responsables sécurité, salariés, etc.) Diffusion des consignes, respect des mesures et sanctions Approche globale : système de protection global Défense en profondeur Tests des systèmes de sécurité Culture d entreprise 38

39 Mise en place d une politique de sécurité Définir les droits d accès aux ressources et aux données Garantir que les usagers puissent utiliser le système d information en toute confiance Eviter de les empêcher de travailler Plusieurs étapes Définir les besoins Mise en œuvre et validation des solutions de sécurité Détections d incidents et réaction

40 Étape de définition Identification des besoins Faire l inventaire du système d information et du réseau Employés et fonctions Serveurs, services, matériels Cartographie du réseau, noms de domaines, matériels réseau Données sensibles Analyse des risques Identifier les menaces et les classer Analyser la gravité des menaces : évaluer les dommages financiers (C), probabilité d occurrence (P), sévérité (S = C P) Les comparer au coût des systèmes de sécurité + la perte de productivité Définition de la politique de sécurité Document spécifiant les règles de la nouvelle politique de sécurité à mettre en place Règles, procédures et bonnes pratiques Procédures en cas d incident, etc. Mesures préventives 40 Hiérarchiser les mesures préventives (priorisation)

41 Etape de mise en œuvre de la protection Mise en place des système de protection Sélection des systèmes de sécurité Pare-feux, systèmes cryptographiques, VPN, DMZ, anti-virus Achat, installation et configuration Mise à jour constante des dispositifs de sécurité (menaces évoluent constamment) Validation Vérifier que les mesures prises sont conformes à la politique de sécurité Vérifier l efficacité des systèmes de protection mis en place Audit de sécurité : tests des systèmes de sécurité (efficacité, erreurs de configuration,...) Souvent réalisé par des sociétés spécialisées Appliquer les règles définies dans la politique de sécurité 41

42 Etape de détection d incidents et réaction Systèmes de détection d intrusions (IDS) Surveillent le réseau Déclenchent des alertes suite à des requêtes suspectes Disposition et paramétrage de ces systèmes délicats Risque de générer beaucoup de fausses alertes Réaction aux incidents de sécurité Vitesse de réaction à un incident est primordiale Compromission est un risque Arrêt de services provoque des pertes Planification préalable des procédures de réaction Détection et détermination d incidents Procédure permettant de détecter les incidents de sécurité et de les distinguer des simples dysfonctionnements Confinement de l attaque : isoler, arrêter l attaque et restaurer le système Sanctions : poursuite des coupables Réparation des failles (éviter la reproduction d incidents)

43 Attaques et parades Accès physique Mise sur écoute, intrusion physique sur serveurs, vandalisme Parade : Contrôle d accès Intrusion logique Prise de contrôle à distance Balayage Déni de service Maliciels (virus, vers, spyware, trojans, trappes, réseaux de zombies, etc.) Parade : Pare-feux, antivirus, installation des correctifs, etc. Par dialogue (communications) Interception de communication, usurpation d identité, altération de messages Parade : Chiffrement, signatures numériques, mots de passe, certificats numériques, etc. Ingénierie sociale Parade : Formation du personnel 43

44 Attaques par accès physique Ecoutes des lignes de communication Branchement sur le réseau local, écoute de câbles Réseaux sans fil Infiltration depuis le proche voisinage (hacking itinérant) Intrusions physiques sur les serveurs Intrusions à distance difficile (verrouillage de comptes après quelques tentatives infructueuses) Installation d applications de récupération de mots de passe Mise hors service et dégradation des serveurs et équipements réseau 44

45 Contrôle d accès Ensembles de stratégies adoptées par une organisation pour faire face aux intrusions Approche Prioriser les ressources de l entreprise Classer par ordre d importance en termes de besoins de protection Spécifier les méthodes de contrôle d accès pour chaque ressource Test du système de protection mis en place Déceler les erreurs d installation et les failles éventuelles 45

46 Ingénierie sociale et parade Méthodes non technologiques Principe Exploitation de la crédulité de certains employés Persuader (duper) des employés de donner des informations confidentielles Exemples Concernant des collègues, des produits, etc. Fournir des informations sur le réseau, dates de naissance, etc. Propagation de virus dans des messages électroniques en le faisant passer pour des fichiers intéressants Protection : formation des employés et mesures disciplinaires 46

47 Attaques par dialogue Messages échangés lors d une communication peuvent être interceptés, lus, introduits et modifiés par une tierce personne Quatre types de protections : propriétés de la sécurité Confidentialité Propriété garantissant à un utilisateur que ses données ne soient pas interprétées, comprises et utilisées par un destinataire non autorisé Authentification Intégrité Propriété garantissant l identité de l interlocuteur Propriété assurant que tout message reçu n a pas été modifié en cours de route Empêcher toute modification non approuvée des données transmises Détecter toute altération (accidentelle ou intensionnelle) des données Protection anti-rejeu Propriété assurant qu un message ayant été intercepté puis retransmis par un attaquant sera détecté et rejeté par le destinataire 47

48 Confidentialité et chiffrement Chiffrement : brouiller les messages avant de les transmettre afin de les rendre incompréhensibles en cas d interception xs123sddf2222 Emetteur Message chiffré intercepté Espion Récepteur Message Code Code xs123sddf2222 Chiffrement Message chiffré xs123sddf2222 Déchiffrement 48

49 Principes du chiffrement Texte en clair : message (texte, nombres, images, vidéos, etc.) Chiffrement d un message en clair produit un cryptogramme Algorithmes de chiffrement publics + clés Chiffrement Déchiffrement Texte en Clair (P) Clé de chiffrement k Texte chiffré ou Cryptogramme C = E k (P) Clé de déchiffrement Texte en Clair (P) 49

50 Méthodes de chiffrement et clés Selon la méthode mathématique utilisée Chiffrement par substitution Chiffrement par transposition (permutations) Combinaison des deux approches Selon la nature des clés utilisées Cryptographie symétrique (à clé secrète) Cryptographie à clé publique Craquage des clés Recherche exhaustive (force brute) Essayer toutes les combinaison possibles après interception d un cryptogramme Difficulté augmente avec la taille de la clé Chaque bit supplémentaire double le nombre de possibilités Clés symétriques de longueur supérieure à 100 sont considérées comme robustes actuellement Clés doivent être modifiées fréquemment Jusqu à plusieurs fois pendant une session Quel est le nombre total de tentatives pour casser une clé de longueur n bits par la méthode de force brute? 50

51 Cryptographie symétrique Appelée également cryptographie à clé secrète La même clé est utilisée pour le chiffrement et le déchiffrement Doit rester secrète (connue uniquement par les partenaires de la communication) DES (Data Encryption Standard) Norme du NIST mise en place en 1977, développé par IBM et adopté par le gouvernement américain en 1977 Chiffrement par blocs de 64 bits Algorithme robuste Autres algorithmes symétriques IDEA : clés de 128 bits utilisé par PGP pour le courrier électronique RC4 : clés de 40 bits, peu robuste, utilisé par le WEP (Wifi) 51

52 Chiffrement DES (1) Découpage du message en clair en blocs de 64 bits Chiffrement à l aide d une clé de même longueur 56 bits + 8 redondants Déduits des 56 autres Permet de détecter les clés falsifiées Convient à la plupart des applications grand public Clé de 64 bits Message Bloc de 64 bits Cryptogramme de 64 bits DES 52

53 Clé (56 bits) Chiffrement DES (2) Étapes de l algorithme Détail d une itération Texte en clair (64 bits) Bloc de 32 bits G i Bloc de 32 bits D i Indépendante De la clé Transposition initiale Itération 1 G i f(d i, K i+1 ) Itération 2 G i+1 D i+1 Intervertit les 32 bits de droite et les 32 bits de gauche Itération 16 Mélange des 32 bits Transposition inverse Cryptogramme (64 bits) Ki : clé à l étape i : ou exclusif f : 4 étapes (transposition et recopie, ou exclusif, substitution, permutation) 53

54 Evolution de DES DES-CBC Avec DES, un bloc produit toujours le même cryptogramme Cipher Block Chaining Chaînage des blocs Cryptogramme dépend du bloc en clair actuel, de la clé et du cryptogramme précédent Vecteur d initialisation de 64 bits pour le premier bloc Clés robustes Clés de taille supérieure à 100 bits actuellement 54

55 Algorithme 3DES Chiffrement 168 bits avec 3 clés de 56 bits (k 1, k 2, k 3 ) Construction d un cryptogramme c à partir du bloc b Chiffrer b avec k 1 c 1 Déchiffrer c 1 avec k 2 c 2 Chiffrer c 2 avec k 3 c 3 Transmettre c 3 Effectuer les opérations duales à l arrivée Pourquoi déchiffrement à la seconde étape? Permettre à l approche de fonctionner même si les 2 interlocuteurs ne partagent qu une seule clé (DES classique compatible avec 3DES) 3DES avec 2 clés de 64 bits Utilisation des clés dans l ordre : c 1, c 2, c 1 Robustesse et performance 3DES est robuste mais exigeant en termes de puissance de calcul et de mémoire AES : nouvelle norme du NIST robuste comme le 3DES mais moins exigeante en ressources (clés de 128, 192 et 256 bits) 55

56 Chiffrement à clé publique Cryptographie à clé publique utilise une paire de clés Messages émis par un expéditeur sont chiffrés à l aide de la clé publique du destinataire Destinataire déchiffre les messages reçus à l aide de sa clé privée Pour la communication dans le sens inverse, il faut mettre en place le même système mais inversé Propriétés Simplicité d échange de clés publiques Clés publiques peuvent être publiées en ligne Complexité et consommation de ressources Environ 100 fois plus de puissance de calcul 56

57 Algorithmes de chiffrement à clé publique RSA (Rivest, Shamir et Adelman) Passé dans le domaine public depuis 2000 Implémentations avec des clés de 512 bits Trop faible pour les transactions sensibles Clés de 1024 et 2048 pour les applications critiques Exigeant en terme de ressources ECC Aussi efficace que RSA avec des clés de taille inférieure Clés de 512 bits très robustes Sous brevet (payant) 57

58 Algorithme RSA Principe Choisir deux nombres premiers p et q p, q > Calculer n = pq et z = (p-1)(q-1) Trouver un nombre d premier avec z Choisir e : ed = 1 mod z Texte P découpé en blocs M (0 M < n) Chiffrer un message M Calculer C = (M e ) mod n M étant considéré comme un nombre Déchiffrer C Calculer M = (C d ) mod n Chiffrement Il faut connaître e et n (clé publique) Déchiffrement Il faut connaître d et n (clé secrète) Sécurité Difficulté de décomposer en facteurs premiers des très grands nombres Connaître p et q et donc z 58

59 Comparaison des approches de cryptographie Clés robustes 100 bits pour les algorithmes symétriques 1024 pour les algorithmes à clé publique (RSA), 512 pour ECC Changements des clés Fréquents pour les algorithmes symétriques Plusieurs fois au cours d une session Rares pour les algorithmes à clé publique Tout changement implique l information d un très grand nombre de personnes Echange de clés Utiliser un algorithme à clé publique robuste durant les premières étapes de la communication Utiliser un algorithme symétrique par la suite Plus la clé publique pour les signatures numériques 59

60 Authentification et intégrité Authentification Imposteur peut se faire passer pour le vrai interlocuteur d une communication Se connecter sous l identité d une autre personne Solution Intégrité Authentification des partenaires d une communication (preuve de l identité) Chiffrement, mot de passe,etc. Modification illégale des messages traversant le réseau Solution Systèmes garantissant l intégrité des messages (informent le destinataire de toute altération du message) 60

61 Principes de l authentification Authentification Vérification de l identité d un interlocuteur au cours d une communication Prouveur et vérificateur Prouveur est l interlocuteur essayant de démontrer son identité Vérificateur est l interlocuteur responsable de la procédure d authentification (vérifiant l identité) Dans une communication à deux sens Chaque interlocuteur assume à son tour chacun des deux rôles 61

62 Défi-réponse (MS-CHAP) Microsoft - Challenge Handshake Authentication Protocol Utilisé sur les serveurs d authentification Pour l authentification des ordinateurs et utilisateurs souhaitant se connecter à distance Information secrète partagée par les deux interlocuteurs (mot de passe, clé, etc.) Utilise une fonction de hachage Fonction mathématique permettant de condenser en une suite de bits de taille prédéfinie (condensât) MD5 (128 bits), SHA-1 (Secure Hash Algorithm, 160 bits) Pas de chiffrement Le chiffrement nécessite une étape préalable (généralement complexe) de distribution de clés Chiffrement est un processus réversible contrairement au hachage 62

63 Défi-réponse : algorithme Prouveur (client) Vérificateur (serveur) 4. Transmission de la réponse 2. Transmission du message de défi 3. Prouveur construit un message de réponse a. Ajoute un mot de passe au message de défi b. Hache le tout sans le chiffrer 1. Vérificateur génère un message de défi (chaîne aléatoire de bits) 5. Vérificateur exécute l étape 3 sur le message de défi et le mot de passe 6. Vérificateur compare le message de réponse attendu et le message de réponse 63 obtenu

64 Signatures numériques (1) Authentification défi-réponse s effectue généralement à l ouverture de la session Idéalement, tous les messages doivent être authentifiés (signés) Eviter des intrusions au milieu de la conversation Signature numérique Inspirée de la signature manuelle Utilise le hachage, chiffrement à clé publique et le chiffrement à clé secrète Permet d authentifier chaque message échangé Approche pouvant être utilisée pour l authentification et l intégrité 64

65 Signatures numériques (2) Expéditeur (prouveur) Destinataire (vérificateur) Ex. site de commerce électronique Ex. client 1. Expéditeur hache le texte en clair et obtient un condensât (c = h(texte)) 2. Signe (chiffre) le condensât à l aide de sa clé privée = signature numérique (SN = cry pk (c)) 3. Envoie le tout (texte, SN) chiffré avec la clé de session (m = cry sk (texte, SN)) 4. Transmission de m 5. Destinataire déchiffre le message à l aide de la clé symétrique ((texte, SN) = dcry sk (m)) 6. Destinataire déchiffre la signature numérique à l aide de la clé publique (rc = dcry pk (SN)) 7. Destinataire hache le texte en clair reçu (c = h(texte)) c = rc prouve l identité de l expéditeur

66 Certificats numériques Le vérificateur ne doit pas demander la clé publique au prouveur Risque de s adresser à un imposteur Problème de l interlocuteur de confiance Certificats numériques Moyen permettant d obtenir les clés publiques des interlocuteurs de façon sûre Autorités de certification (fiables) délivrent des certificats contenant les clés publiques des interlocuteurs de confiance Dépendent généralement des gouvernements 66

67 Certificats numériques X. 509 Numéro de version Version de la norme X.509 Auteur Autorité de certification Numéro de série Numéro de série du certificat Sujet Nom de l interlocuteur de confiance (propriétaire de la clé publique) Clé publique Clé publique de l interlocuteur Algorithme à clé publique Algorithme utilisé pour les signatures numériques (RSA, etc.) Période de validité Période de validité du certificat Signature numérique Permet un transfert sûr (authenticité et intégrité) du certificat sur le réseau Identifiant d algorithme de Algorithme de signature signature numérique utilisé pour signer les certificats 67

68 Attaques de rejeu Message chiffré est intercepté par un intrus puis retransmis ultérieurement Intercepter une série de commandes chiffrées servant à l enregistrement puis les rejouer à son avantage Ex. Nom utilisateur et mot de passe Protection : insérer dans les messages Marque de temps et accepter uniquement les messages récents Numéro de séquence et refuser les doublants Valeur jetable (nombre aléatoire) et refuser les messages avec des valeurs jetables déjà utilisées 68

69 Principaux systèmes cryptographiques Système cryptographique Couche Kerberos Application SSL/TLS Session IPsec Réseau PPTP, L2TP Liaison 69

70 Intrusions logiques et parades Infiltration du réseau interne de l organisation Envoi de messages hostiles testant les défenses en place Paquet autorisé Client Pare-feu Paquet rejeté Journal Serveur 70

71 Formes d intrusions logiques Balayage (scan) Recherche des faiblesses du réseau interne par balayage Bombarder le réseau de sondes Découvrir les adresses IP des ordinateurs, les applications lancées sur les serveurs, Prise de contrôle Exploiter les erreurs de conception dans les OS et les logiciels Ouvrir une session et disposer de l ordinateur Déni de service Attaques par saturation Envoi d une grande quantité de messages (requêtes) pour saturer les serveurs Empêcher un serveur de satisfaire les requêtes des clients Maliciels Outils automatiques et autonomes (activés une fois, capables de se dupliquer un grand nombre de fois) Virus : utilisent principalement la messagerie Vers : grande capacité de reproduction et d auto-propagation Spywares, trojans, botnets, etc. 71

72 Protection des intrusions logiques Pare-feux Filtrent les messages entrants et sortants Examinent tous les paquets (source, type d application, etc.) et rejettent les paquets non autorisés Systèmes de détection d intrusions (IDS) Avertissent l administrateur des attaques présumées Gardent une copie des paquets suspects Permettent de détecter les attaques et d y faire face assez rapidement IDS évitent de filtrer des paquets légitimes Pare-feux évoluent vers les IDS Règles heuristiques permettent de détecter les attaques Applications des correctifs (patchs) Permettent de remédier aux failles de conception des systèmes Rempart supplémentaire si les attaques traversent les pare-feux 72

73 Pare-feux Principales barrières de sécurité contre les intrusions Contrôlent les entrées et les sorties du réseau de l entreprise Filtrage en entrée : vérifier tous les paquets entrants, rejeter les paquets suspects, enregistrer leurs entêtes Filtrage en sortie Paquet entrant autorisé Client Paquet entrant autorisé Paquet rejeté Pare-feu de frontière Serveur Journal 73

74 Fonctions de pare-feux Inspection de paquets Examen des entêtes réseau et transport des paquets Ex. IP, TCP, UDP, ICMP Filtrage statique : paquets examinés les uns indépendamment des autres Filtrage dynamique : validité du paquet en fonction de son rôle dans le flux de communication Inspection d applications Inspection du contenu des messages à l aide de proxy Translation d adresses réseau Modification des adresses IP des paquets avant leur sortie Évite de divulguer les adresses IP internes Protection anti-attaques par saturation : rafale de segments TCP/SYN Authentification Authentifier l émetteur des paquets pour s assurer de leur validité Réseaux privés virtuels Les VPN assurent l authentification, la confidentialité et l intégrité 74 des messages entrants

75 Propriétés des pare-feux Deux contraintes Puissance de calcul importante Espace de stockage important (journal) Possibilité d évolution du pare-feu Performances dépendent également de Volume du trafic en nombre de paquets par seconde Complexité du filtrage Nombre de règles, niveau de complexité des règles,... Consultation du journal du pare-feu quotidiennement Paquets rejetés, paquets rejetés dus à la surcharge, etc. 75

76 Types de pare-feux (1) Routeur filtrant (routeur pare-feu) Module pare-feu intégré au routeur de frontière Intervient notamment contre le sondage et le balayage de ports Peut fonctionner en tant que pare-feu unique ou complémentaire Serveur pare-feu Ordinateur exécutant Windows Server ou UNIX Kits : serveurs pare-feux dédiés en matériel et logiciel OS et protocoles réseau sécurisés (corrigés et améliorés) Problème de performance dû à l utilisation d OS génériques Problème de sécurité du pare-feux lui même En cas d attaque, il peut être reconfiguré, etc. 76

77 Types de pare-feux (2) Boîtier pare-feu Boîtier noir relié d un côté à un routeur et de l autre au réseau Peut être branché et démarré sans aucune configuration Préconfiguré et convient aux petites entreprises OS simplifié et adapté améliorant les performances Pare-feu individuel Pare-feu d un ordinateur (client ou serveur) Bon niveau de sécurité du fait de la spécificité de la configuration (ex. serveur Web) Sécurité en profondeur Difficulté de gestion dans les grandes entreprises 77 (configuration et actualisation de tous les ordinateurs)

78 Filtrage statique Examen d un nombre restreint de champs d entête des paquets (IP, TCP, UDP, ICMP) Pas d analyse du contenu du message Evaluation des paquets individuellement IP TCP Message applicatif IP UDP Message applicatif IP Message ICMP 78

79 ACL pour filtrage statique en entrée (1) Filtrage en fonction des adresses IP sources 1. Si adresse IP source = 10.*.*.* REJETER 2. Si adresse IP source = *.* à *.* REJETER 3. Si adresse IP source = *.* REJETER 4. Si adresse IP source = *.* REJETER (adresses IP internes) 5. Si adresse IP source = REJETER (adresse de liste noire) Filtrage sur la base des fanions TCP 6. Si TCP SYN=1 et FIN=1 REJETER (segment d attaque modifié) 7. Si adresse IP destination = et port destination TCP=80 ou 443 ACCEPTER (connexion à un serveur web public) 8. Si TCP SYN=1 et ACK=0 REJETER (demande d ouverture de connexion TCP depuis l extérieur) Filtrage sur la base de numéros de port 9. Si port destination TCP=20 REJETER (connexion de données 79 ftp)

80 ACL pour filtrage statique en entrée (2) 10. SI port destination TCP=21 REJETER (connexion de contrôle ftp) 11. SI port destination TCP=23 REJETER (connexion de données Telnet) 12. SI port destination TCP=135 à 139 REJETER (connexion NetBIOS pour clients) 13. SI port destination TCP=513 REJETER (rlogin UNIX sans mot de passe) 14. SI port destination TCP=514 REJETER (shell UNIX rsh sans enregistrement) 15. SI port destination TCP=22 REJETER (SSH pour enregistrement, certaines versions non-sures) 16. SI port destination UDP=69 REJETER (protocole TFTP, enregistrement inutile) Filtrage ICMP 10. SI type ICMP=0 ACCEPTER (réponses echo entrantes) 11. BLOQUER TOUT 80

81 Principes des ACL statiques Evaluation séquentielle des règles Si aucune règle n est applicable le paquet est généralement rejeté Possibilité d utiliser une règle «BLOQUER TOUT» Hiérarchisation des règles est requise SI adresse IP source = *.* ACCEPTER SI TCP SYN=1 et FIN=1 REJETER Provoquent l acceptation d un segment TCP SYN/FIN en provenance de l adresse

82 Types de filtrage statique Filtrage en fonction des adresses IP sources Rejet des paquets en fonction de leur adresse IP source Règles 1, 2, 3, 4 et 5 (adresses privées, adresses internes, adresses de la liste noire) Filtrage sur la base des fanions TCP Empêcher la génération de segments RST (règle 6) Empêcher l établissement de connexion TCP (règle 8) Remise à un serveur spécifique (règle 7) Filtrage sur la base de numéros de port Autoriser ou restreindre l accès à certaines applications (règles 9 à 15) Règle 7 autorise l accès au serveur Web via HTTP ou HTTPS Rejet des connexions aux services FTP, Telnet (règles 9 à 11) Rejet de sondes NetBIOS (règle 12) Blocage des services r UNIX et SSH (règles 13 et 14) Filtrage UDP (règle 16 pour TFTP) Filtrage ICMP : règle 17 autorise l entrée d un seul type de paquet ICMP (réponse echo) 82

83 Filtrage dynamique Enregistrer l état des communications (connexions) Rejet des paquets qui ne correspondent pas à des connexions légitimes Objectif Détection des attaques de type déni de services 83

84 Translation d adresses réseau Network Address Translation (NAT) Propriétés Transparence Problèmes avec certains protocoles (ex. IPSec) Démultiplication des adresses IP dont dispose l entreprise (Une adresse IP publique permet de connecter plus de ordinateurs avec adresses privées) De :62000 Paquet De :57980 Paquet A :62000 A :57980 Paquet Paquet Pare-feu interne Port externe Port externe

85 Pare-feux applicatifs Filtrage basé sur l examen des champs du protocole applicatif des paquets Complètent les parefeux à filtrage de paquets Proxy dépendent du type de l application HTTP, filtrage basé sur GET, POST, URL, MIME, nom d hôte, etc. FTP avec filtrage basé sur get, put SMTP Requête HTTP de Pare-feu applicatif Requête HTTP de (examinée) Réponse HTTP à (examinée) Réponse HTTP à Proxy HTTP Proxy FTP Proxy SMTP 85

86 Sécurité des réseaux d entreprises : DeMelitarized Zone (DMZ) Principe Rassembler les serveurs publics dans une zone séparée Serveurs contenant des données non-confidentielles Leur perte a des conséquences bénignes (publicité,...) Préférable de conserver une copie de ces données dans un endroit sécurisé ou mettre en place des serveurs images dans le réseau interne Isoler le reste du réseau de l entreprise (réseau interne) L accès au réseau interne de l entreprise est filtré et protégé par le pare-feu L accès à la DMZ depuis l Internet public est autorisé Possibilité de faire transiter tout le trafic depuis les ordinateurs internes vers Internet par le proxy situé dans la DMZ Avec mécanisme de translation d adresses IP (NAT) 86

87 Architecture de pare-feu pour grande entreprise Routeur filtrant Serveur Proxy HTTP, Proxy SMTP Parefeu principal Serveurs Web public,ftp, DNS externe, etc. Parefeu interne Pare-feu du client Réseau interne de l entreprise Pare-feu du serveur 87

88 VPN (1) Virtual Private Network Réseau privé sécurisé Liaison directe entre deux sites appartenant à deux réseaux différents Reliés par un réseau public généralement Internet Faible coût : liaison directe privée sans besoin de disposer d une liaison spécialisée louée Haut débit Sécurisée VPN est généralement utilisé avec une connexion Internet haut débit (ADSL, etc.) 88

89 VPN (2) Internet Poste client Serveur VPN Connexion sécurisée (tunnel) Serveur VPN Tunnel sécurisé Fiabilité : garanti de délivrance des données Sécurité : chiffrement Tunneling : encapsulation des paquets (ex. IP) dans un nouveau paquet après chiffrement IPSec utilisé pour la mise en œuvre des VPN Opère au niveau de la couche réseau (protocole IP) Authentification, confidentialité, intégrité Réseau de l entreprise 89

90 Modes de fonctionnement d IPsec Deux modes Transport : entre deux clients sur deux sites (logiciel supplémentaire sur postes clients requis) Tunnel : entre deux portails IPsec (logiciel supplémentaire sur postes clients non requis) Connexion sécurisée (mode transport) Internet Sécurité Portail IPsec Sécurité Connexion tunnelisée (mode tunnel) Internet Sécurité Aucune sécurité Sécurité Aucune sécurité

91 Protocole IPSec Deux types d entête IPsec (spécifications) Spécifications pour l authentification et l intégrité (entête de type authentification) Spécifications pour la confidentialité, l intégrité et l authentification (Encapsulation Security Payloads) Association de sécurité pour communiquer Spécifications pour la négociation des paramètres de sécurité Algorithmes de chiffrement, échange de clés, etc. Confidentialité Entête type ESP Entête IP Entête ESP Protégé En-queue ESP Entête d authentification Authentification et intégrité Entête IP Entête ESP Protégé En-queue ESP Authentification et intégrité 91

92 Sécurisation des systèmes informatiques 92

93 Introduction Sécuriser les ordinateurs au niveau du système d exploitation et des applications Premier niveau de la sécurité Fait partie de la sécurité en profondeur Domaines NIS et Active Directory Administration des comptes utilisateurs Administration des permissions d accès 93

94 Sécurisation des systèmes informatiques Activer les options de sécurité du système d exploitation Installer les correctifs régulièrement Désactiver les services superflus Sécuriser les applications Administrer les comptes utilisateurs Administrer les listes de contrôle d accès (permissions) Mise en place d un système de sauvegarde périodique Techniques de protection avancées Audit de sécurité Tests de vulnérabilité 94

95 Modèle client/serveur Application est composée de deux parties Une partie appelée serveur et l autre partie client Les deux parties communiquent par passage de messages, etc. Les deux parties peuvent être situées sur deux ordinateurs différents Interconnectés par un réseau de communication Un ordinateur «serveur» peut être dédié à un rôle particulier (serveur de fichiers, serveur d authentification, serveur de messagerie, serveur de bases de données, etc.) Les autres ordinateurs sont des clients (ex. stations de travail) Messages Client Messages Serveur 95

96 Systèmes Windows Plusieurs versions pour clients et serveurs Principal système pour les clients dans les entreprises Systèmes Windows réseaux (famille NT) LAN Manager (système rudimentaire, peu sécurisé) Windows NT (3.5 et 4.0) Deux versions : client et serveur Plus sécurisé (mots de passe cryptés) Mécanisme de domaine pour la gestion des utilisateurs et ressources Windows 2000 Structure d authentification basée sur le répertoire Active Directory Système d authentification Kerberos Évolution de Windows 2000 : Windows 2003, Windows 2008, Windows

97 Outils d administration Windows Onglet Programmes Outils d administration Console MMC (Microsoft Management Console) Tous les outils d administration du système Utilisateurs, groupes et ordinateurs Gestionnaire des disques, disques amovibles, etc. Services systèmes Gestionnaire de périphériques, journalisation, etc. Domaine Notion logique qui englobe les ressources et les utilisateurs d une entreprise, d un département, etc. Ordinateurs clients (stations de travail) Serveurs (contrôleurs de domaine et serveurs autonomes) Utilisateurs du domaine Le domaine permet une administration centralisée Facilite l administration Améliore la sécurité en appliquant les mêmes règles à l ensemble des ordinateurs, serveurs et utilisateurs Stratégies système, stratégies de groupe, etc. 97

98 Systèmes UNIX UNIX Système développé au début des années 70 Multi-tâches, multi-utilisateurs Très utilisé au niveau des serveurs puissants et stations de travail Plusieurs versions existent (IBM, HP, Sun, etc.) Linux Version UNIX pour PC Plusieurs versions avec noyau commun (RedHat, Mandrake, Debian, Ubuntu, SuSE, etc.) FreeBSD et OpenBSD Plusieurs versions avec des fonctionnalités différentes Compliquent la mise en place de procédures de sécurisation Interfaces utilisateurs et administration Interfaces graphiques Interpréteurs de commandes ou shell (sh, bash, ksh, csh, tcsh, ) 98

99 Autres systèmes d exploitation Netware de Novell Système d exploitation serveur très populaire durant les années 90 Peu utilisé aujourd hui MAC OS Système des ordinateurs clients et serveurs d Apple Système Internetwork Operating System (IOS) de CISCO Système d exploitation pour routeurs et certains commutateurs CISCO Interfaces d administration en ligne de commandes Administration à distance Routeurs et commutateurs disposent d une adresse IP Systèmes des parefeux Parefeux sont comparables à des ordinateurs Leur sécurisation est indispensable OS spécifiques des terminaux intelligents (téléphones portables, Smartphones, PDA, ) Symbian, BlackBerry OS, Android, Windows Phone, ios, 99

100 Installation des systèmes d exploitation Processus complexe Interfaces graphiques Plusieurs options ayant une influence sur la sécurité Système de fichiers (ex. NTFS sous Windows) Guide de sécurité lors de l installation du système Vulnérabilités et logiciels Exploit Course poursuite entre hackers et fabricants Logiciels développés pour exploiter les failles Souvent disponibles sur le Web Diffusion de faiblesses Fabricants, hackers ou d autres organismes 100

101 Correctifs (patchs) Logiciels développés par un constructeur permettant de corriger une faille dans un logiciel ou système Procédure d installation Manuelle : fastidieuse et peu sûre Automatique : simple, rapide et sûre Mise à niveau de version Recommandé d installer la nouvelle version des logiciels incriminés Coût important de l installation de correctifs Information, localisation, téléchargement, installation Nombre important de correctifs Outils de sondage et d évaluation des systèmes, centralisation, etc. 101

102 Désactivation des services superflus Services non nécessaires pour l utilisateur Installés par les administrateurs par anticipation Doivent être désactivés pour éviter d être exploités pour des attaques Liste de services superflus et utiles dans le guide de sécurité Sous Windows Console MMC (Panneau de configuration Outils d'administration) Gestion de l ordinateur Services et applications Sous Unix Services lancés automatiquement au démarrage du système (scripts rc) Services lancés suite à la réception d une requête d un client (démon xinetd) Services lancés manuellement (ligne de commande) Possible de lister les services actifs avec la commande «ps» et les arrêter avec «kill» ou «service nom-service stop» 102

103 Administration des comptes Compte utilisateur Mécanisme contribuant à la sécurité des systèmes d informations et des réseaux Chaque utilisateur du système dispose d un compte Lui permet de protéger ses données des autres utilisateurs Permet d attribuer des permissions et des droits à l utilisateur Définir les actions permises à l utilisateur dans le système Permet d identifier les actions effectuées par les différents utilisateurs (ex. en cas d infraction) Mécanisme de groupes d utilisateurs Facilite l administration des comptes Membres d un groupe soumis aux mêmes mesures de sécurité 103

104 Administration des comptes sous Windows Compte prédéfini Administrateur Compte possédant les pleins pouvoirs (super utilisateur) Ne peut être supprimé Il est recommandé de Renommer le compte Administrateur pour réduire le risque d intrusions Créer un compte d administrateur pour chaque administrateur de l entreprise (distinguer les rôles et déterminer les responsabilités) Désactiver les comptes invité 104

105 Propriétés de compte Propriétés générales Nom du compte, nom complet, mot de passe Ensemble d options L utilisateur doit changer son mot de passe à la prochaine ouverture de session L utilisateur ne peut pas changer son mot de passe Le mot de passe n expire jamais Le compte est désactivé Une carte à puce est nécessaire pour ouvrir une session interactive Appartenance aux groupes Un utilisateur peut être membre de plusieurs groupes dont Profil un groupe principal Chemin du profil (applications, bureau, etc.) sur le serveur Script d ouverture de session Répertoire de base (personnel) de l utilisateur Chemin réseau vers le répertoire de l utilisateur (chemin UNC) 105

106 Groupes prédéfinis (1) Groupes locaux de domaines créés dans le conteneur «Builtin» Créés par le système à l installation pour permettre à certains utilisateurs d effectuer certaines tâches Un utilisateur peut appartenir à plusieurs groupes, ce qui permet de configurer aisément la sécurité du système Administrateurs : ses membres ont toute autorité sur la station de travail ou le serveur où le groupe est localisé. Groupes Admins du domaine et administrateurs de l entreprise sont par défaut membres de ce groupe Opérateurs de sauvegarde : sur les contrôleurs de domaine Ses membres possèdent le droit d effectuer des sauvegardes Restaurer les fichiers Opérateurs de serveur : sur les contrôleurs de domaine Ses membres effectuent des tâches locales sur le serveur, hormis celles liées à la sécurité Gérer les partages, formater les disques du serveur, sauvegardes, gérer les partages d impression, gestion des services, Opérateurs d impression Gérer les partages d impression et les imprimantes 106

107 Groupes prédéfinis (2) Opérateurs de compte : sur les contrôleurs de domaine Ses membres peuvent créer, modifier et supprimer des comptes utilisateurs et d ordinateurs et des groupes dans le domaine (hormis les administrateurs) Ils ne peuvent pas manipuler les permissions d accès Utilisateurs Utilisateurs locaux Exécuter des applications localement sur les stations de travail Utilisateurs du domaine est membre de ce groupe Utilisateurs avec pouvoir : stations de travail et serveurs autonomes Utilisateurs pouvant créer des comptes utilisateurs et les modifier Duplicateurs : local, domaines, stations de travail et serveurs Duplication de dossiers Générateurs d approbation de forêt entrante : contrôleurs de domaine Relations d approbation unidirectionnelles Opérateurs de configuration réseau Accès compatible pré-windows 2000 Utilisateurs du bureau à distance Ses membres peuvent se connecter à distance aux contrôleurs du domaine Utilisateurs du journal de performances Utilisateurs de l analyseur de performances Invités : contrôleurs de domaines, stations de travail et serveurs 107

108 Administration des permissions d accès Liste de contrôle d accès Liste de couples <utilisateur/groupe, actions autorisées> Permissions d accès Associée à chaque objet du système (fichier, dossier, imprimante, etc.) Mesure de sécurité très importante Attribution des permissions aux utilisateurs Principe des droits minimaux Permissions nécessaires au travail de chaque utilisateur Utilisation des groupes d utilisateurs 108

109 Permissions sous Windows Permissions individuelles Contrôle total Parcours du dossier/exécuter le fichier Liste du dossier/lecture de données Création de fichier/écriture de données Création de dossier/ajout de données Suppression Autorisations de lecture Modification des autorisations Appropriation Attributs de lecture Lecture des attributs étendus Attributs d écriture Écriture des attributs étendus Permissions standards Simplifier la tâche des utilisateurs Contrôle total, Modification, Lecture et exécution, Affichage du contenu du dossier, Lecture, Ecriture, Autorisations spéciales 109

110 Droits sous Windows Donnent la possibilité de réaliser des actions particulières Les droits s appliquent plutôt à un système particulier et les permissions aux objets Se connecter au système, modifier l horloge Les droits peuvent entrer en conflits avec les permissions Les droits sont plus prioritaires Ex. Droit de sauvegarde par rapport à la permission de lecture Les administrateurs peuvent attribuer les droits aux utilisateurs individuels et groupes Groupes prédéfinis possèdent des droits Gestion des droits dans le menu «Stratégies de sécurité locale» ou «Stratégies de sécurité du contrôleur de domaine» sur un serveur 110

111 Permissions sous Unix Permissions individuelles r : permission de lecture w : permission d écriture x : permission d exécution (traversée pour les dossiers) ACL : trwxrwxrwx t : type de l entrée (d, l, s, -, ) Permissions pour le propriétaire, son groupe et les autres «-» à la place de r, w ou x signifie absence de la permission Attribution des permissions Commande «chmod» pour modifier les permissions Commande «chmown» pour transférer la propriété Masque de création (commande umask) : définit les permissions attribuées par défaut à la création de l objet 111

112 Sécurisation des serveurs et des clients Journalisation Sauvegarde Chiffrement de fichiers Vérification d intégrité des fichiers Parefeux individuels Evaluation des systèmes de sécurité (test de vulnérabilités) Ordinateurs clients 112

113 Journalisation Garder trace des événements se produisant au sein d un système Redémarrage du système, échecs de chargement de pilotes, échecs d enregistrement, modification de permissions, démarrage de programmes, etc. Stockés dans des fichiers appelés journaux Très utiles pour l administration (diagnostic des incidents de sécurité, etc.) Sous Windows Gestion de l ordinateur Outils système Observateur d événements Configurer les types d activité à surveiller, visualiser les journaux, etc. Sous UNIX Service complet (opérations d authentification, événements 113 du noyau, messagerie électronique, etc.)

114 Service syslog Application permettant d effectuer la journalisation sur un autre répertoire ou serveur /errors/restart Ex. Serveur de journalisation au niveau du réseau local Objectifs : éviter que les pirates effacent les journaux (leur traces), événements provenant d imprimantes, etc. 4. Transmission Syslog 1. Événement Type : enregistrement Niveau : Err événement 3. Ordinateur m1 2. (Login,Err) Ordinateur m1 Login.Err Ordinateur m1 Restart.* /errors/restart syslog.conf Ordinateur m2 Souhaite effectuer un enregistrement à distance 114

115 Sauvegarde Enregistrement périodique de l état du système (fichiers, etc.) sur un support stable Bandes, cartouches magnétiques, NAS, En cas de problème, une version récente d un fichier peut être retrouvée à partir de la sauvegarde restauration Sous UNIX Différents programmes de sauvegarde utilisant la commande tar (archives d arborescence de fichiers) Sous Windows Programmes Accessoires Outils système Utilitaire de sauvegarde et restauration du système Serveurs de sauvegarde au niveau du réseau de l entreprise 115

116 Chiffrement de fichiers Dernier rempare du système de défense en profondeur Chiffrer les fichiers stockés au niveau du système Garantir leur confidentialité en cas d intrusion Séquestre de clé (key escrow) Détenteur d une clé de chiffrement dépose une copie chez une personne de confiance (en cas de perte) Sous Windows Système EFS (Encryption File System) Chiffrement/déchiffrement transparent de fichiers Une clé de chiffrement par fichier (pour pouvoir déplacer les fichiers) Clés dépendent de l ordinateur Agent de récupération situé sur un contrôleur de domaine jouant le rôle de séquestre de clé 116

117 Vérificateurs d intégrité (1) En cas d intrusion Remplacement de fichiers par des chevaux de Troie, virus, etc. Pouvoir détecter rapidement les dommages occasionnés aux ordinateurs atteints Sous UNIX : Tripwire Référentiel (fichier de signatures) 1. Avant l attaque Tripwire 3. Comparaison () 2. Après l attaque Signatures calculées 117

118 Vérificateurs d intégrité (2) A partir du référentiel, Tripwire crée une signature pour chaque fichier Environ 128 bits à l aide de l algorithme MD5 Toute modification peut être détectée par l exécution d une nouvelle passe et la comparaison avec les signatures de référence Détection d intrusion Configuration du vérificateur afin d effectuer une vérification à intervalles réguliers et générer les alertes Policy List : fichier comportant une liste de fichiers censés demeurer sans modification (fichiers système, etc.) 118

119 Parefeux individuels Pare-feu d un ordinateur seul Serveur ou station de travail Applique uniquement les règles de filtrage nécessaires à l ordinateur local Contrairement aux pare-feux globaux Doivent appliquer des dizaines de règles de filtrage 119

120 Evaluation des systèmes de sécurité (1) Tests de vulnérabilité ou audit de sécurité Détecter les failles éventuelles dans les systèmes de défense Trois catégorie Outils d audit externe Outils d évaluation de machine Outils de surveillance de réseau Outil d évaluation externe Outil d évaluation de machine Paquets d attaque Trafic réseau Ordinateur d audit Outil de surveillance du réseau 120

121 Evaluation des systèmes de sécurité (2) Outils d audit externe (ex. Nessus) Lancés à partir d un ordinateur distant (d audit) Envoyer une série de sondes au réseau Détecter les failles (intrusions réussies) Etablir un rapport avec une liste de mesures à prendre Outils d évaluation de machine (ex. Tara) Opèrent directement depuis la machine analysée Paramètres de configuration, registres, etc. Outils de surveillance de réseau (ex. PortSentry) Analysent l entourage de la machine évaluée Nature des paquets entrants à la manière de parefeux MBSA (Microsoft Baseline Security Analyser) Détecte une variété de failles : absences de correctifs, erreurs de configuration, services superflus, mots de passe simples Analyse également les applications Microsoft les plus utilisées (IIS, Outlook, Office,...) 121

122 Ordinateurs clients De plus en plus attaqués Peu sécurisés plus simples à infiltrer Serveurs de plus en plus protégés Contiennent des données parfois sensibles (mots de passe) Un client piraté permet de contourner tout le système de défense (parefeux, serveurs, etc.) Mesures à prendre Installation des correctifs (y compris pour les employés accédant depuis leur domicile) Installation et actualisation des antivirus sur les clients Parefeux individuels (accord de l utilisateur sollicité à chaque communication d une application avec l extérieur) Eviter d enregistrer les mots de passe Chiffrer le plus possible les fichiers sensibles Etablir une liste de logiciels autorisés à installer sur les clients Contrôle centralisé : politique de groupe, logiciels de sondage des clients 122

123 Serveurs de fichiers 123

124 Systèmes multi-utilisateurs et catalogues Répertoire par utilisateur (ex. sur un serveur) Répertoire personnel ou de base Comporte tous les fichiers et sous-répertoires de l utilisateur / bin boot dev etc home lib mnt proc root sbin tmp usr var Personnels Admins Dupont Durand Martin 124

125 Accès aux fichiers sur réseau Dans un réseau Différents utilisateurs chacun possédant ses fichiers Utilisateurs sur sites physiquement répartis Besoin d échange et de partage de données Solution Partage et accès aux fichiers sur réseau Accès transparent : système de fichier distribué (NFS, AFS, dfs, etc.) Transfert de fichiers : utilitaires de transfert (ftp, etc.) 125

126 Système de fichiers distribué Site (ordinateur) A Site (ordinateur) B fichier Support pour l accès aux fichiers dans un environnement distribué (Ex. réseau local) Propriétés Transparence d accès, transparence de localisation Transparence d accès concurrents, performances, sécurité 126

127 NFS de Sun Microsystems Network File System Fournit un accès transparent aux fichiers d un système distant Exemple: serveur de fichiers Utilisation d un fichier distant comme s il était local Implanté sur la plupart des plateformes UNIX Architecture de NFS Modèle client/serveur Construit sur RPC (Remote Procedure Call, Appel de procédure à distance) VFS (Virtual File System) Noyau 127

128 Accès aux fichiers sur NFS (1) Site A Ex. Serveur de fichiers Site B Ex. Station de travail Application utilisateur Accès local fichiers Serveur NFS Client NFS Accès local fichiers Noyau OS TCP/UDP IP TCP/UDP IP Noyau OS fichier fichier 128

129 Accès aux fichiers sur NFS (2) Accès à un fichier local ou NFS est similaire et transparent Type du fichier est déterminé par l OS à l ouverture du fichier Accès approprié est ensuite choisi Ecriture/lecture des fichiers NFS Traduite par des requêtes RPC au serveur NFS Utilise le réseau (généralement TCP/IP) Au niveau du serveur NFS Reçoit des requêtes (datagrammes UDP) Requêtes ensuite passées au module d accès local Opérations effectuées en local Résultats éventuels récupérés par le serveur NFS Résultats retournés au client (datagrammes UDP) Un ordinateur peut être client et serveur NFS à la 129 fois

130 Montage de systèmes de fichiers (1) La plupart des OS modernes permettent de monter des systèmes de fichiers sur d autres Ex. Utilisation des périphériques amovibles sous Unix / bin boot dev etc home lib media proc root sbin tmp usr var sh ksh csh tcsh cp Personnel Admins cdrom removable F: (clé USB) Dupont Durand Martin Jeu ds

131 Montage de systèmes de fichiers (2) Monter le système de fichiers de la clé USB sur un répertoire du système de fichier principal Greffer la clé sur un répertoire du disque (généralement «/media» sous Unix) / bin boot dev etc home lib media proc root sbin tmp usr var sh ksh csh tcsh cp cdrom removable Personnel profs Jeu ds... Dupont Durand Martin 131

132 Accès aux fichiers sur réseau Extension du montage local Montage des systèmes de fichiers sur réseau Montage NFS du répertoire /usr de jade sur /usr2 de saphir Accès au répertoire /usr de jade comme un répertoire local jade.iut-tarbes.fr / saphir.iut-tarbes.fr / saphir.iut-tarbes.fr / home mnt usr var usr2 home mnt usr var home mnt usr var X11R6 include gimp JDK1.3 Montage NFS X11R6 usr2 X11R6 include X11R6 include gimp JDK1.3 include 132

133 Accès aux fichiers sur réseau sous Windows Mécanisme de partage Windows Un partage est un fichier ou dossier devenu accessible à distance d une manière transparente Via «favoris réseau», «poste de travail» ou «invite de commande» Chemin réseau (UNC) \\non-seveur\nom-partage Ex. \\scorpion.iut-tarbes.local\etudiants Montage de lecteurs réseau \\scorpion.iut-tarbes.local\etudiants est associé au lecteur O: net use O: \\scorpion.iut-tarbes.local\etudiants Transparence de la localisation Accès uniforme Système de fichiers distribué Distributed File System (dfs) 133

134 Serveurs de fichiers Dans un réseau local Fichiers des utilisateurs sont stockés sur un ordinateur appelé serveur de fichiers Répertoires des utilisateurs montés à distance sur tous les postes clients du réseau Serveur de fichiers accessible de la même manière sur n importe quel poste Transparence d accès 134

135 Réseaux locaux Câblage des réseaux locaux WLAN 135

136 Introduction Besoins en communication Au niveau entreprise Structure commerciale : applications de gestion Bureautique : création et échange de documents Partage de ressources : partage d imprimantes, espaces de stockage, équipements vidéo, Au niveau industriel Conception et fabrication assistée par ordinateur (CFAO) Interconnexion des équipements de contrôle, capteurs, automates Échange de l information, commande des procédés Accès aux réseaux publics Réseaux locaux 136

137 Réseaux locaux Local Area Networks (LAN) Réseaux géographiquement proches De quelques dizaines de mètres à quelques kilomètres Débits importants Possibilité de garantir certaines contraintes Selon le contexte et les applications Fiabilité, temps-réel, Deux grandes catégories de LAN Réseaux locaux d entreprise (RLE) Réseaux locaux industriels (RLI) 137

138 Réseaux locaux : principe Protocole de communication simple Structuré en couches Utilise un sous-ensemble des couches de l OSI Couche liaison est scindée en deux sous-couches Medium Access Control (MAC) pour gérer l accès au support Logical Link Control (LLC) qui joue le rôle de la couche liaison du modèle OSI Réseaux à base de diffusion Chaque trame émise par une station est reçue par le reste des stations du LAN MAC permet de cacher l aspect diffusion à la couche liaison (grâce aux adresses MAC) 138

139 Modèle IEEE 802 etc. Sous-couche LLC (Logical Link Control) Couche Liaison Sous-couche MAC (Medium Access Control) GESTION CSMA/CD Jeton/Bus Jeton/Anneau Couche Physique Couche Physique Modèle ISO/OSI Modèle IEEE

140 Format des adresses MAC Adresse MAC peut être Individuelle/Groupe, Locale/Universelle Adresse sur 16 bits locale Adresse sur 48 bits locale ou universelle (selon U/L) 48 bits I/G U/L 46 bits d adresse U/L = 0 Universelle : adresse unique au monde U/L = 1 Locale : administration des adresses propre au réseau local I/G = 0 Individuelle I/G = 1 Groupe Toute l adresse à 1 : diffusion générale I/G 15 bits d adresse 16 bits 140

141 Topologie des réseaux locaux Bus Anneau Etoile 141

142 Câblage des réseaux locaux Réseaux locaux utilisent différents supports de transmission Câble coaxial : peu utilisé aujourd hui Bonne immunité électromagnétique, 10 Mbit/s, segments de 500 m Paire torsadée : très utilisée Faible immunité électromagnétique, 10, 100 à 1000 Mbit/s, segments de 150 m au maximum Fibre optique Interconnexion de réseaux Excellente immunité électromagnétique, 100, 155 Mbit/s ou plus, une centaine de km Liaisons hertziennes 142

143 Politique de câblage Mise en place du câblage dans les bâtiments Infrastructure indispensable Nécessité d un système de câblage universel (diversité des équipements et d architectures) Politiques de câblage Post-câblage : installer l infrastructure de communication au fur et à mesure des besoins Flexible mais coûteux Pré-câblage : installer l infrastructure de communication à la construction du bâtiment Moins coûteux, nouveaux bâtiments Actuellement : câblages évolutifs 143

144 Précâblage d immeubles Majorité des réseaux locaux ont une topologie en étoile Précâblage en étoile des immeubles Précâblage doit assurer que tout poste soit à quelques mètres d une prise réseau Systèmes de précâblage IBM Cabling System (ICS) BCS Open Link de DEC PSD Systimax d AT&T 144

145 Propriétés des systèmes de précâblage Utilisation de la paire torsadée Topologie en étoile Constitués de panneaux de brassage Diffèrent par le type de câble utilisé (UTP, FTP) Generic Cabling Standard (GCS, Norme de l ISO) Constituants d un système de câblage Local technique contenant Une armoire de brassage Panneaux de brassage Eléments actifs : hub, MAU, switchs Serveurs éventuellement Câbles, prises murales, Contraintes d installation de la paire torsadée Distance minimale avec les sources de rayonnement électromagnétique Rayon de courbure (1.5 fois le diamètre du câble) Longueur maximum de détorsadage pour raccorder les 145 prises (1.5 cm)

146 Architecture de système de précâblage Armoire de brassage Prise murale Elément actif Jarretière de brassage Cordon de raccordement Panneaux de brassage Câbles Station de travail Bureau 146

147 Contrôle d accès au support Rôle de la sous-couche MAC Support partagé Deux types d accès globalement Accès aléatoire Chaque station tente d accéder au support indépendamment des autres stations Risque de collisions Accès déterministe Allocation du support s effectue dynamiquement en fonction de l activité des stations (d une manière contrôlée) Mécanisme garantissant l ordre doit être mis en place Jeton sur anneau, contrôle centralisé par polling ou par demande d accès par les stations 147

148 Passage de jeton Mécanisme de contrôle : jeton (trame) Circule d une station à une autre Détermine le droit d émission Station ayant le jeton peut émettre Peut être utilisé sur une topologie physique en bus ou sur une topologie en anneau Deux phases (2) Phase d émission de données Phase de transmission du jeton Problèmes Perte ou altération du jeton Insertion de nouvelles stations 148

149 Passage de jeton : principe général transmettre construire la ou les trames non jeton reçu? oui Lancement temporisation (T) Émission de la trame Sélection trame suivante Transmission du jeton non Autre trame à émettre et temporisation (T) non écoulée? oui fin transmission 149

150 Accès aléatoire Protocole à compétition Gestion décentralisée Pas de station maîtresse Chaque station peut émettre, recevoir, et observer le résultat d une émission Peut accéder au support à n importe quel moment Disponibilité totale du support pour la station en cas de silence des autres stations En cas de conflit, messages perdus Solution : retransmission Différentes méthodes pour résoudre et réduire le nombre de conflits CSMA Etc. 150

151 IEEE Accès aléatoire CSMA-CD (Ethernet) 151

152 Protocole CSMA/CD Carrier Sense Multiple Access with Collision Detection Une station souhaitant émettre doit écouter le canal Détecter une éventuelle transmission en cours Retarder l émission lorsque le canal est occupé Eviter de brouiller un message en cours d émission (collision) Problème Deux stations qui émettent simultanément Dans un intervalle inférieur au délai de propagation µ 152

153 Détection de collisions Station qui émet écoute simultanément le canal Écoute pendant une période de 2µ Compare le message écouté avec celui émis Détection d une éventuelle collision Cas de non-concordance (collision) : message retransmis suivant l algorithme de résolution de conflits (backoff) Station attend un délai avant d initier une nouvelle tentative pour retransmettre le message Utilise une loi exponentielle binaire à contrôle local (algorithme BEB) Délai maximum d attente est doublé à chaque collision Durée d attente = valeur aléatoire tirée entre 0 et délai maximum Nombre maximum de tentatives =

154 A Fenêtre de collision B A émet une trame B écoute le support et découvre qu il est libre B émet sa trame, détecte la collision et cesse l émission Fenêtre de collision Durée minimale pendent laquelle une station doit émettre pour pouvoir détecter la collision la plus tardive que son message est susceptible de subir Time slot correspond à 2µ Fixé à 51.2 µs (64 octets pour un débit de 10 Mbit/s) D où une séquence de bourrage pour les trames courtes Petit message de B parvient à A alors que A est en encore en émission 154

155 Débit, fenêtre de collision et diamètre Si débit croît Fenêtre de collision décroît Diamètre du réseau décroît Débit Fenêtre de collision Diamètre du réseau 10 Mbit/s 51.2 µs 2500 m 100 Mbit/s 5.12 µs 250 m 400 m (100 Base FX) 1000 Mbit/s µs 25 m 155

156 Algorithme d émission (1) émission construire la trame oui porteuse? non débuter la transmission attendre le délai obtenu par BEB calcul BEB collision détectée? oui continuer émission (durée minimale) non non transmission effectuée? oui transmission réussie trop d essais? oui échec trop de collisions non 156

157 Algorithme d émission (2) Deux étapes importantes de l algorithme S assurer que le support est libre avant d émettre Détecter les collisions après émission CSMA/CD Ne nécessite aucune procédure de reprise sur erreur Ajout/retrait de stations au réseau assez simple Chaque station est indépendante et utilise des données locales Mécanisme BEB est probabiliste et peut contribuer à la baisse des performances IEEE 802.3D ou CRCD : algorithme déterministe 157

158 Trame IEEE calcul du CRC Adresse Adresse Long. préambule SFD Données LLC PAD FCS Destination Source données 7 octets 1 octet 6 octets 6 octets 2 octets bourrage 4 octets début trame De 46 à 1500 octets Données utilisateur de taille N octets Proviennent de la sous-couche LLC Données de bourrage Utilisées si la quantité de données utilisateur est insuffisante pour détection certaine des collisions Préambule utilisé à des fins de synchronisation Valeur :

159 Trame Ethernet 2 calcul du CRC Adresse Adresse préambule SFD EtherType Données PAD FCS Destination Source 7 octets 1 octet 6 octets 6 octets 2 octets bourrage 4 octets début trame N octets Champ longueur de données remplacé par EtherType Identifiant du protocole supérieur (SAP) qui doit gérer la longueur du champ données utiles Ex (IP), 0806 (ARP), 86DD (IPv6) 159

160 Caractéristiques physiques Transmission en bande de base Longueur d un segment et topologie varient selon la version Bus ou étoile Utilisation de répéteurs pour interconnecter les segments et former un seul domaine de collision 4 répéteurs au maximum entre chaque paire de stations R S S S S S S R R S S S R S S S S : Station, R : Répéteur S S S 160

161 Versions d Ethernet Notation générale : D Base l D : débit l : longueur d un segment ou type de câblage Base : transmission en bande de base Plusieurs versions avec topologies différentes 10 Base 5 et 10 Base 2 en bus sur câble coaxial (obsolètes) 10 Base FL en Fibre optique jusqu à 2 km 10 Base T à 10 Mbit/s Topologie en étoile sur paire torsadée Versions récentes Fast Ethernet à 100 Mbit/s Gigabit Ethernet à 1 Gbit/s 10 Gigabit Ethernet 161

162 Ethernet 10 Base 5 10 Mbit/s en bande de base (codage Manchester) Topologie en bus (câble coaxial épais) Chaque station est raccordée au bus par «drop cable» constitué de paire torsadée (50 mètres max) MAU : Medium Attachment Unit (détecte les collisions) Prise vampire Bus Ethernet MAU ou tranceiver Bouchon terminaison (Résistance terminale) Câble de Liaison (drop cable) 162

163 Ethernet 10 Base 2 Version économique d Ethernet Câble coaxial fin (Thin Ethernet) Longueur d un segment 185 m au maximum 30 stations max. par segment séparées de 0.5 m au moins Bouchon de 50 Ohms à chaque extrémité Connecteurs de type BNC (Barrel Neck Connector) Installation d une machine à l aide d un T-BNC Interface Ethernet MAU Female BNC MDI Thin Ethernet Coax 185 m Max 0.5 m Min Male BNC Connector BNC Tee Male BNC 50 Ohm Terminator 163

164 X MAU X MAU X MAU X MAU Ethernet sur paire torsadée 10 Base T Câblage en paire torsadée UTP catégorie 3 Deux paires Longueur maximale d un segment de 100 m Dans la pratique, la catégorie 5 est souvent utilisée Utilisation des concentrateurs (hubs) ou commutateurs (switch) Concentrateur constitue un point critique par rapport aux pannes Câblage en étoile peut être hiérarchique (arbre) Concentrateur Hub ou Switch (commutateur) Connecteurs RJ-45 Câble en paire torsadée Interface Ethernet MAU RJ

165 Ethernet 10 Base T Hub assure Diffusion des trames Détection des collisions Détection des stations bavardes (fonction Jabber) Longueur d un segment est limitée à 100 m voire 150 m si atténuation inférieure à 11.5 db Contrôle des liens avec les stations En l absence d émission de données, station et hub émettent tous les 8 secs des impulsions de test de lien de 100 ms (LTP) En cas de silence, diode (voyant) vert est éteint et port inhibé Interrupteur MDI (Medium Dependent Interface) Commutation d un des ports en port de répétition vers un hub de niveau supérieur Hubs Stackables Empilés par extension du bus interne 165 Permettre un plus grand nombre de stations connectées

166 Fast Ethernet (802.3u) Débit de 100 Mbit/s Diamètre du réseau ramené à 200 m Conserve la taille minimale des trames (64 octets) Fenêtre de collision réduite à 5.12 µs Trois versions avec supports différents 100 Base TX : câbles UTP de catégorie 5 ou supérieure de 100 m maximum 100 Base T4 : paires torsadées de catégorie 3, 4 et Base FX : fibre optique multimode (niveau physique semblable à FDDI) Dimension du réseau à 400 m en mode semi-duplex et de 2 km en mode full-duplex Mixité et autonégociation Ports des hubs et switchs fonctionnent indifféremment à 10 ou à 100 Mbit/s Link status est remplacé par un mot de 16 bits (link 166 code Word) décrivant les caractéristiques de l équipement connecté

167 Transmission en full duplex Standard 802.3x Permet à une station d envoyer et de recevoir des données simultanément Meilleures performances (double le débit) Modification importante des fonctionnalités des équipements Mode disponible sur les switchs Augmente le diamètre du réseau notamment pour les liaisons en fibre optique Mauvaise interopérabilité avec le mode semiduplex

168 Implémentations du Fast Ethernet Trois versions avec supports différents 100 Base TX : mêmes câbles que le 10 Base T Codage 4B/5B 100 Base T4 : paires torsadées de catégorie 3, 4 et 5 Codage 8B/6T (3 paires pour transmission données et 1 paire pour gérer la détection de collisions) 100 Base FX : fibre optique (niveau physique semblable à FDDI) Dimension du réseau à 400 m MAC CSMA/CD Interface MII (Medium Independent Interface) 100 Base TX 2 paires cat. 5 STP 100 Base T4 4 paires cat. 3,4,5 UTP 100 Base FX Fibre optique Couche physique 168

169 Gigabit Ethernet (1) MAC full-duplex et/ou half-duplex Gigabit Medium Independent Interface 1000 Base X Encodage/décodage 8B/10B 1000 Base T Codeur/décodeur 1000 Base CX Coaxial 2 paires 25 m 1000 Base LX Fibre monomode 1300 nm 3 km Couche physique z 1000 Base SX Fibre multimode 50 µm ou 62.5 µm 850 nm à 550 m 1000 Base T Paires UTP Transceiver 100 m Couche physique ab 169

170 Gigabit Ethernet (2) 1000 Base T (802.3a) Câble UTP à 4 paires de catégorie 5, 100 m max. par segment, 1000 Base X (802.3z) Modèle de câblage du Gigabit Ethernet sur fibre optique Cuivre (1000 Base CX) Fondé sur le standard Fiber Channel de l ANSI (ANSI X3T11) 1000 Base SX Le moins cher, 220m par segment, fibre multimode 1000 Base LX Jusqu à 5 km par segment, fibre monomode 1000 Base CX Câble spécial blindé, connecteur DB9 ou HSSDC, 25 m de longueur de segment

171 Gigabit Ethernet (3) Évolution du Fast Ethernet Fonctionne en diffusion (hubs) mais surtout en commuté (switchs) Half-duplex Stations raccordées à un hub Gigabit Ethernet Gestion des collisions Full-duplex Mode commuté Simule des liaisons point à point Invalide la fonction de détection de collisions Mode switch-to-switch et switch-to-end-station Trame minimale portée à 512 octets (fenêtre de collision modifiée, 300 m diamètre du réseau) 64 octets en mode full-duplex, IFG de 96 bits Bourrage important Fonction de groupage de trames (frame bursting, mode rafale) Bits d extension émis durant l espace inter-trames pour chaîner plusieurs trames 171 de petite taille

172 Gigabit Ethernet (4) Combine les ports 10 et 100 et connexions 1000 Mbit/s en fibre optique Commutateur Gigabit peut être utilisé comme réseau fédérateur (collapsed backbone) Serveur haute performance Switch Gigabit (backbone) Lien 1000 Mbit/s Switch 100 Mbit/s Switch 100 Mbit/s Switch 100 Mbit/s Hub 10 Mbit/s Stations 10 Mbit/s Stations 100 Mbit/s Stations 100 Mbit/s 172

173 Autonégociation Ethernet se décline en plusieurs versions avec débits différents, modes de transmission différents Déterminer la compatibilité des équipements Applicables généralement aux versions en paire torsadée Négociation se fait via l échange d un signal FLP (Fast Link Pulse) Contient les caractéristiques de l équipement Fonction auto-sensing Si une station ne peut gérer l autonégociation, le switch choisit le plus petit débit (10 Mbit/s) Utilisation des signaux NLP pour les stations du 100 Base Tx ne gérant pas l autonégociation

174 10 Gigabit Ethernet Définir des infrastructures normalisées pour les réseaux 10 Gbit/s Ethernet Sur de courtes et moyennes distances 10GBASE-SR a une portée de 82 mètres maximum sur fibre optique multimode A l'inverse, le 10GBASE-LX4 utilise le multiplexage pour étendre la portée à 300 mètres et jusqu'à 10 kilomètres sur une fibre optique monomode Les 10GBASE-LR et ER ont une portée de 10 à 40 kilomètres sur fibre optique monomode Perspectives : 40 Gbit/s

175 Réseaux locaux sans fil 175

176 Réseaux sans fil Réseaux utilisant des liaisons radio Permettent la mobilité WPAN (Wireless Personal Network) Liaisons infrarouge 100 Kbit/s, Bluetooth 1 Mbit/s Peu coûteuses, utilisées pour raccorder des périphériques informatiques (imprimante, agenda, etc.) WLAN (Wireless Local Area Network) Extension ou remplacement d un LAN classique Débit de 2 à 54 Mbit/s (Wifi, etc.) WMAN (Wireless Metropolitan Area Network) Accès au réseau d infrastructure (boucle locale, etc.) Débits de plusieurs dizaines de Mbit/s WWAN (Wireless Wide Area Network) Principalement les réseaux de transport de la voix GSM, GPRS, UMTS (3G), HSDPA (3G+), LTE et 3LTE (4G) Débits relativement faibles (10 à 384 Kbit/s) 176

177 Réseaux locaux sans fil Access Point (AP, Borne) Access Point (AP, Borne) Distributed system (DS, réseau Ethernet) client Basic Service Set (BSS) Basic Service Set (BSS) Extended Service Set (ESS) 177