ESIREM - Infotronique 1 ITC7-2. Systèmes et réseaux

Transcription

1 ESIREM - Infotronique 1 ITC7-2 Systèmes et réseaux Département IEM / UB Eric.Leclercq@u-bourgogne.fr Bureau G212 Aile des Sciences de l Ingénieur Mise-à-jour : décembre 2006 (Département IEM / UB) Organisation 1 / 1

2 Plan du cours Objectifs : être capable de mettre en place une architecture de réseau et de service pour une PMI/PME appréhender les problématiques de gestion des applications d infrastructure support des systèmes d information Principaux chapitres : 1. Modèles client/serveur, principaux protocoles, architectures distribuées 2. Adressage IP et routage (configuration) 3. Filtrage 4. Installation d applications 5. La gestion des services réseau sous UNIX 6. Les principaux services : SSH, DHCP, NIS, NFS, Bind, sendmail 7. Les services pour les Systèmes d information 8. Processus de démarrage du système d exploitation (Département IEM / UB) Organisation 2 / 1

3 Bibliographie Les Bases de l administration système - Aelen Frisch - O Reilly pp. Unix, guide de l administrateur - Evi Nemeth, Garth Snyder, Scott Seebass, Trent R. Hein - CampusPress pp. TCP/IP : Administration de réseau, 3e édition - Craig Hunt O Reilly pp. Linux Security Cookbook - Daniel J. Barrett, Richard E. Silverman, Robert G. Byrnes - O Reilly 2003 Administration réseau sous Linux - Olaf Kirch, et al - O Reilly nouvelle édition? Le Système Linux - Matt Welsh, Matthias Kalle Dalheimer, Terry Dawson, Lar Kaufman - O Reilly 2003 (Département IEM / UB) Organisation 3 / 1

4 Interactions C/S Définitions Les trois modes principaux Définition (Client serveur de données) le modèle C/S de données regroupe les protocoles qui ont pour objectif le transfert de données Définition (Client serveur d affichage) le modèle C/S de d affichage regroupe les protocoles qui ont pour objectif de permettre la prise de contrôle à distance Définition (Client de procédures) le modèle C/S de procédures regroupe les protocoles qui ont pour objectif l exécution à distance (Département IEM / UB) Organisation 4 / 1

5 Interactions C/S Définitions Les trois modes principaux Serveur Serveur Serveur Envoi d un requete Appel de procédure et envoi des paramètres Envoi des résultats Evénement clavier/souris Primitives Graphiques Images bitmap Envoi des résultats Client Client/Serveur de données Client Client/Serveur de procédures Client Client/Serveur d affichage Processus Données (Département IEM / UB) Organisation 5 / 1

6 Interactions C/S Exemples Protocole réseau et mode client serveur Client serveur de données : SMB, FTP, NFS, JDBC, ODBC, POP etc. Client serveur d affichage : TELNET, SSH, X11, ICA, VNC, RDP, etc. Client serveur de procédure : RPC, Java-RMI (JRMP), CORBA-IIOP Remarque : être capable d identifier clairement la différence entre partage et transfert de fichiers Exercice : 1. Définir chaque protocole 2. Déterminer où sont exécutés les processus utilisateur et serveur dans le cas d une connexion : SSH, TELNET, FTP, SMB, NFS, JDBC, IMAP. Faire un schéma pour chaque cas. (Département IEM / UB) Organisation 6 / 1

7 Architecture ED Architectures type Architectures type Systèmes distribués : coopération de systèmes sans objectif figé Systèmes fédérés : coopération de systèmes avec un objectif commun (exemple : bases de données fédérées) Cluster : grappe de machines homogènes localisées (disponibilité, répartition de charge, partage de ressources) Grid : infrastructure constituée d un ensemble coordonné de ressources potentiellement partagées, distribuées, hétérogènes et sans administration centralisée (ressources non contrôlées). Exemple : grille de calcul, grille de stockage (Département IEM / UB) Organisation 7 / 1

8 Architecture ED Système d Information Notion de Système d Information Définition (Système d information) ensemble organisé de ressources matérielles et logicielles permettant d acquérir, de stocker, de manipuler et de communiquer des informations (textes, images, sons, etc.) dans des organisations. Selon leur finalité principale, on distingue différents types de SI : des systèmes d information supports d opérations : traitement de transactions, contrôle de processus industriels, supports d opérations de communication des systèmes d information supports de gestion : aide à la décision, gestion de la relation client (Département IEM / UB) Organisation 8 / 1

9 Architecture ED Système d Information Exemple de systèmes d informations ERP - Enterprise Resource Planning (PGI pour progiciel de gestion intégré) solution logicielle qui intègre tous les composants informatisés permettant d aider le travail dans l entreprise ; CRM - Customer Relationship Management (GRC gestion de la relation client) : logiciel qui regroupe toutes les fonctions permettant de gérer les relations avec les clients d une entreprise ; SCM - Supply Chain Management : logiciel qui regroupe toutes les fonctions permettant les fournisseurs et la logistique d une entreprise. (Département IEM / UB) Organisation 9 / 1

10 Architecture ED Système d Information Intergiciel / Middleware Définition un middleware (intergiciel) désigne un ensemble de logiciels se plaçant au dessus du système d exploitation et servant d intermédiaire entre les différents composant logiciels d un SI. On utilise généralement du middleware comme intermédiaire de communication entre des applications distribuées (programmes applicatifs, BD, capteurs etc.). Exemples : CORBA, JAVA-RMI sont des middleware orienté traitement permettant l appel de méthodes à distance, JBDC est un middleware orienté données. (Département IEM / UB) Organisation 10 / 1

11 Architecture ED Infrastructure de SI Exemple d infrastructure de SI pour le support des applications SGBD SGBD SGBD Serveur WEB APACHE Filtrage ipfilter/netfilter + L7 Filtrage ORACLE / PostgreSQL / MySQL Transactions / Sessions d applications Serveur TOMCAT/JONAS Partenaire SOAP JSP/PHP HTML/CSS/XML/XSLT JMS/RMI/CORBA SOAP XML JDBC/JDO/OJB Middleware Remarque : ajouter messagerie, service de fichier etc. pour d approcher des éléments d un SI (Département IEM / UB) Organisation 11 / 1

12 Le couplage des systèmes Notion de couplage Définition le couplage est une mesure traduisant les dépendances entre composants logiciels ou matériels. Le couplage peut se situer à différents niveaux dans le SI : modélisation programmation (technique intrusive) stockage (format de stockage) transport (format de transmission) services réseau : éléments clé de l infrastructure du SI rightarrow influence la disponibilité (Département IEM / UB) Organisation 12 / 1

13 Le couplage des systèmes Le couplage et les propriétés des infrastructures Le couplage est un frein à : l évolutivité ; la scalability (tenue à la charge, passage à l échelle) ; la disponibilité. On parle d architecture : fortement couplée pour désigner des systèmes centralisé ou fédéré faiblement couplée pour désigner des systèmes distribués. Exercice : Quel type d architecture peut qualifier cluster et grid? (Département IEM / UB) Organisation 13 / 1

14 Le couplage des systèmes Comment assurer les propriétés évolutivité : essentiellement liée à la qualité du logiciel, assurer une indépendance entre les traitements métier et les technologies utilisées pour véhiculer les informations, utiliser des protocoles et des formats normalisés ou standards la scalability : peut être assurée par une indépendance à la localisation des traitements et des données (équilibrage de charge). la disponibilité : nécessite une redondance et donc une transparence (ou indépendance) à la localisation. Elle décroît inversement au couplage. (Département IEM / UB) Organisation 14 / 1

15 Le couplage des systèmes Gestion des accès et des protection des flux Une des problématiques majeure des systèmes distribués est le contrôle d accès aux ressources (traitement et données). Pour résoudre cette problématique trois concepts fondamentaux sont mis en œuvre : l authentification (identifier une personne ou une machine) : niveau application et système les autorisations (accès aux ressources, aux fonctionnalités) : niveau application le chiffrage des échanges la traçabilité des opérations (application) (Département IEM / UB) Organisation 15 / 1

16 Offre logiciels Évolution de l offre logiciels PostgreSQL MySQL SGBD JONAS, JBOSS, GERONIMO Serveur d application CORBA, SOAP, JRMP, JMS Intergiciels SAMBA, Apache, SQUID, TOMCAT, etc. DNS BIND, DHCP, IMAP, POP, LDAP, SMTP Sendmail NIS, NFS, FTP, SSL, SSH Linux, FreeBSD, NetBSD, OpenBSD, GNU HURD etc. Infrastructure applicative Infrastructure Réseau Système d exploitation IA32, IA64, PPC, SPARC, PA RISC etc. CPU (Département IEM / UB) Organisation 16 / 1

17 Principes fondamentaux de TCP/IP TCP/IP et modèle OSI TCP/IP est suite des protocoles organisés en pile et utilisés par Internet. Le deux protocoles d origine sont (RFC 1122) : TCP (Transmission Control Protocol) IP (Internet Protocol) Le modèle OSI (Open Systems Interconnection) est une vue conceptuelle des protocoles réseau définie par l ISO. Il propose une décomposition des différents protocoles en 7 couches correspondant reflétant les différents niveaux d abstraction des protocoles. (Département IEM / UB) Organisation 17 / 1

18 Principes fondamentaux de TCP/IP Notion de couches Notion de couches Le principe du modèle OSI repose sur le concept d abstration : chaque couche résout un certain nombre de problèmes relatifs à la transmission de données chaque couche defini des services pour les couches supérieures les couches hautes gèrent des données plus abstraites (proche de l utilisateur), en utilisant les services des couches basses la couche 1 émet les données sur le medium physique (Département IEM / UB) Organisation 18 / 1

19 Principes fondamentaux de TCP/IP Notion de couches Les sept couches 1. la couche physique est chargée de la transmission des signaux entre les interlocuteurs c-à-d l émission et la réception d un bit ou d une suite de bits ; 2. la couche liaison de données gère les communications entre 2 machines adjacentes ; 3. la couche réseau gère les communications de bout en bout, généralement entre machines routage et adressage des paquets ; 4. la couche transport gère les communications de bout en bout entre processus du système d exploitation ; 5. la couche session gère la synchronisation des échanges : permet l ouverture et la fermeture de session ; 6. la couche présentation traite du codage des données applicatives (conversion entre données manipulées au niveau applicatif et suites d octets transmises) ; 7. la couche application est le point d accès aux services réseaux, elle n a pas de service propre spécifié dans le modèle. (Département IEM / UB) Organisation 19 / 1

20 Principes fondamentaux de TCP/IP Les couches du modèle OSI et TCP/IP Les couches du modèle OSI (norme complète référence ISO 7498) (Département IEM / UB) Organisation 20 / 1

21 Principes fondamentaux de TCP/IP Les couches du modèle OSI et TCP/IP Les couches du modèle OSI Couches du modèles OSI et couches éléments de la pile de protocoles TCP/IP : (Département IEM / UB) Organisation 21 / 1

22 Principes fondamentaux de TCP/IP Les protocoles importants de la famille TCP/IP Les protocoles importants de la famille TCP/IP Définition (ARP) Le protocole de résolution d adresse (Adress Resoltion Protocol) spécifie comment déterminer l adresse physique (MAC) correspondant à une adresse IP. Il fonctionne au niveau de la couche d accès reseau. La commande arp des SE Unix et Windows permet de manipuler la table de correspondances adresses MAC, adresses IP. Définition (IP) Le protocole IP gère la transmission le routage, la fragmentation et le réassemblage des données au niveau de la couche Internet. (Département IEM / UB) Organisation 22 / 1

23 Principes fondamentaux de TCP/IP Les protocoles importants de la famille TCP/IP Les protocoles importants de la famille TCP/IP Définition (TCP) Le protocole TCP apporte la gestion des session de communication entre application (c-à-d sur un réseau fiable). Il propose un contrôle de flux, la détection et la correction des erreurs au niveau de la couche transport. Définition (UDP) Le protcole UDP (User Datagram Protocol) suuporte les communications entre applications sans connexion au niveau de la couche transport. Les données transmisses ne sont pas contrôlées c est à l application de faire les contrôles. (Département IEM / UB) Organisation 23 / 1

24 Principes fondamentaux de TCP/IP Les protocoles importants de la famille TCP/IP Exemple de datagramme IP < bits > <-4b-> <--8bits--->< bits > Ver IHL TOS Longueur totale Identificateur Fl FO TTL Protocole Somme de ctrl (entête) Adresse Source Adresse Destination Options Données (Département IEM / UB) Organisation 24 / 1

25 Principes fondamentaux de TCP/IP Les protocoles importants de la famille TCP/IP Structure de segment TCP < bits > <-4b-> <-6bits->< bits > Port Source Port Destination Numéro de Séquence Numéro d Acquittement THL Flag Taille Fenêtre Somme de ctrl (message) Pointeur d Urgence Options Données (Département IEM / UB) Organisation 25 / 1

26 Principes fondamentaux de TCP/IP Les protocoles importants de la famille TCP/IP Structure de datagramme UDP < bits > Port Source Port Destination Longueur UDP Somme de ctrl (message) Données (Département IEM / UB) Organisation 26 / 1

27 Adressage Codage des adresses Adressage le protocole TCP/IP utilise des nombres de 32 bits pour adresser les machines (adresse IP) les adresses sont structurées sous la forme de 4 nombres entre 0 à 255 séparès par des points (4 8 bits) on distingue deux parties dans l adresse IP : la partie des nombres à gauche désigne le réseau (on l appelle net-id) la partie des nombres de droite restants désignent les ordinateurs du réseau détermine par net-id (on l appelle host-id) IANA (Internet Assigned Numbers Agency) est chargée d attribuer ces adresses il ne doit pas exister deux ordinateurs joignables sur le réseau ayant la même adresse IP (Département IEM / UB) Organisation 27 / 1

28 Adressage Division en classes Adressage (notion de classe) Définition (classe) Une classe est une subdivision de l espace d adressage l espace d adressage est divisé en une partie pour désigner un réseau et une partie pour les machines de ce réseau (host-id et net-id) plus le nombre de bits réservé au réseau est petit, plus ceux-ci peuvent contenir d ordinateurs Exemple : un réseau noté XYZ peut contenir des ordinateurs dont l adresse IP peut aller de XYZ à XYZ ( = possibilités) (Département IEM / UB) Organisation 28 / 1

29 Adressage Classes d adresse particulières Adressage (adresses particulières) Exemple : un réseau noté XYZ.TUV ne pourra contenir que des ordinateurs dont l adresse IP sera comprise entre XYZ.TUV.0.1 et XYZ.TUV ( =65534 possibilités) Lorsque la partie host-id =0 (lorsque l on remplace les bits réservés aux machines du réseau), on obtient l adresse réseau Exemple : est une adresse réseau on ne peut donc pas l attribuer à un des ordinateurs du réseau Lorsque la partie net-id=0, c est-à-dire lorsque l on remplace les bits réservés au réseau, on obtient ce que l on appelle l adresse machine (dans le réseau). (Département IEM / UB) Organisation 29 / 1

30 Adressage Classes d adresse particulières Adressage (Adresses particulières) Lorsque tous les bits de la partie host-id sont à 1, on obtient l adresse de diffusion (en anglais broadcast), c est-à-dire une adresse qui permettra d envoyer le message à toutes les machines situées sur le réseau spécifié par le net-id. Lorsque tous les bits de la partie net-id sont à 1, on obtient l adresse de diffusion limitée (multicast). L adresse est appelée adresse de boucle locale (loopback) : désigne la machine locale (localhost). (Département IEM / UB) Organisation 30 / 1

31 Adressage Classes d adresses Adressage Classe A Les adresses IP sont réparties en classes définies selon le nombre d octets qui représentent le réseau. Pour une adresse IP de classe A : le premier octet représente le réseau. Le bit de poids fort (le premier bit, celui de gauche) est à zéro, ce qui signifie qu il y a 2 7 ( à ) possibilités de réseaux, soit 128 mais : le réseau 0 ( ) n existe pas et le nombre 127 est réservé pour la machine locale Les réseaux de classe A disponibles sont donc les réseaux allant de à Les trois octets de droite représentant les machines du réseaux, un réseau de classe A peut donc contenir : = ordinateurs. (Département IEM / UB) Organisation 31 / 1

32 Adressage Classes d adresses Adressage Classe B Pour une adresse IP de classe B : les deux premiers octets représentent le réseau. Les deux premiers bits sont 1 et 0, ce qui signifie qu il y a 2 14 ( à ) possibilités de réseaux, soit réseaux possibles. Les réseaux disponibles de classe B sont donc les réseaux allant de à Les deux octets de droite représentant les machines du réseau, le réseau peut donc contenir un nombre de machines égal à : = En binaire, une adresse IP de classe B, a la forme suivante : 10xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx (Département IEM / UB) Organisation 32 / 1

33 Adressage Classes d adresses Adressage Classe C Pour une adresse IP de classe C : les trois premiers octets représentent le réseau. Les trois premiers bits sont 1,1 et 0, ce qui signifie qu il y a 2 21 possibilités de réseaux, c est-à-dire Les réseaux disponibles de classe C sont donc les réseaux allant de à L octet de droite représente les ordinateurs du réseau, le réseau peut donc contenir un nombre de machines égal à : = 254. En binaire, une adresse IP de classe B, a la forme suivante : 110 xxxxx xxxxxxxx xxxxxxxx xxxxxxxx (Département IEM / UB) Organisation 33 / 1

34 Adressage Classes d adresses Masque de sous-réseau Définition (Masque de sous-réseau) Le masque réseau (netmask) est une suite 32 bits présentée généralement sous la forme de 4 octets séparés par des points (comme une adresse IP) dont un certain nombre de bits de poids fort consécutifs sont à 1 et qui sert à délimiter la portion réservée au net-id et celle réservée au host-id On fabrique un masque en plaçant des 1 aux emplacements des bits que l on désire conserver, et des 0 pour ceux que l on veut annuler. Une fois ce masque défini faire un ET logique entre une valeur et le masque afin de garder intacte la partie que l on souhaite et annuler le reste. Un masque de sous-réseau est de permet d identifier simplement le réseau associé à une adresse IP. (Département IEM / UB) Organisation 34 / 1

35 Adressage Classes d adresses Masques des classes usuelles Classe binaire décimal classe A classe B classe C (Département IEM / UB) Organisation 35 / 1

36 Adressage Classes d adresses Découpage des réseaux Il est possible d étendre le masque d une adresse de classe donnée ceci permet de décomposer un réseau donné en sous-réseau : subneting Exemple : subnet d une classe A définie par le masque c-à-d Ce qui donne pour la classe A 38, 4 sous-réseaux : les deux premiers bits du deuxième octet sont 00, le réseau est les deux premiers bits du deuxième octet sont 01, le réseau est les deux premiers bits du deuxième octet sont 10, le réseau est les deux premiers bits du deuxième octet sont 11, le réseau est (Département IEM / UB) Organisation 36 / 1

37 Adressage Classes d adresses Classes d adresses pour les réseaux privés Définies dans la RFC 1918 Utilisées lors de la mise en œuvre d un mécanisme de translation d adresse Classe de jusqu à CIDR classe A /8 classe B /12 classe C /16 Les réseau sont donnés dans la notation CIDR (Classless Inter-Domain Routing) (Département IEM / UB) Organisation 37 / 1

38 Routage La liaison de données sur Ethernet Préambule Destination : adresse Ethernet de destination Source : adresse Ethernet source de la trame Type : type de données transportées Données : taille maximum 1500 octets. Les données sont complétées par des octets de bourrage pour avoir une taille minimum de 46 octets CRC : somme de contrôle sur la trame Les adresses Ethernet sont composées de 8 octets et sont habituellement notées en hexadécimal sous la forme 12 :34 :56 :78 :9a :bc. Les 3 premiers octets de l adresse sont fixes pour un constructeur et les 3 derniers servent à assurer l unicité. (Département IEM / UB) Organisation 38 / 1

39 Routage Princpe du routage La communication entre machines ne peut avoir lieu que lorsque celles-ci connaissent leurs adresses physiques (MAC). Pour envoyer des paquets IP vers les autres noeuds du réseau, un noeud qui utilise TCP/IP traduit les adresses IP de destination en adresses MAC. Quand une machine cherche l adresse physique correspondant à l adresse IP qu il connaît, le protocole ARP se met en œuvre : 1. broadcast sur le réseau en demandant à qui correspond l adresse IP à résoudre (paquet ARP qui contient l adresse IP du destinataire) ; 2. les machines du réseau comparent l adresse demandée à leur adresse et le noeud correspondant renvoie son adresse physique au noeud qui a émis la requête ; 3. stockage de l adresse physique lorsque le destinataire répond dans le cache ARP de la machine (Département IEM / UB) Organisation 39 / 1

40 Routage Principe du routage Lorsque le noeud envoie un autre paquet IP, il cherche l adresse IP dans son cache. S il la trouve, il utilise alors l adresse physique correspondante pour son paquet. Le noeud diffuse une requête ARP seulement s il ne trouve pas l adresse IP dans son cache. Problématique des réseaux à diffusion : nombres de machines (saturation du réseau) segmentation des zones par catégories de service (impossible) comment savoir si une adresse est sur le réseau a diffusion? Équipement de couche 2 et 3. (Département IEM / UB) Organisation 40 / 1

41 Routage Le routage Processus permettant de rediriger les packets vers leur destination Algorithme fonctionnant de proche en proche (autres méthodes?) Utilisation de règles de routage : pour rejoindre le réseau R envoyer les packets à la machine M Il est possible de définir une seule route par défaut Les informations de routage sont stockées dans une table de routage au niveau des données du noyau S il n y a pas de route le SE retourne un message ICMP "network unreachable" (à l envoyeur) (Département IEM / UB) Organisation 41 / 1

42 Routage Table de routage : visualisation Pour afficher la table de routage, on utilise la commande netstat -r sur SysV ou route get sur BSD Exemple : ufrsciencestech: netstat -r -n Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface U eth U eth UG eth0 depinfo: netstat -rn Routing Table: IPv4 Destination Gateway Flags Ref Use Interface U hme U hme UG U 1 0 hme0 default UG UH lo0 (Département IEM / UB) Organisation 42 / 1

43 Routage Table de routage : exemple Exemple : # route Table de routage IP du noyau Destination Gateway Genmask Indic Metric Ref Use Iface U eth UH eth2 loopback * U lo default UG eth1 ligne 1 : les paquets destinés au réseau seront envoyés sur l interface eth1 à la machine ligne 2 : les paquets destinés à la machine seront envoyés sur l interface eth2 à la machine ligne 3 : Loopack (adresse ) adressage local ligne 4 : routage par défaut des paquets, les paquets seront envoyés sur l interface eth1 à la machine lorsque leur destination est inconnue de la table. (Département IEM / UB) Organisation 43 / 1

44 Routage Table de routage : signification Destination : adresse du réseau ou de l hôte de destination Gateway : adresse de la passerelle (le routeur) ou * si indéfini Genmask : masque de réseau pour le réseau destinataire pour un hôte et pour la route par défaut Indicateurs : U (la route est active = up) H (la cible est un hôte) G (utilise comme passerelle) D (dynamiquement configurée) Metric : distance à la cible (habituellement comptée en hops) Iface : interface vers laquelle les paquets empruntant cette route seront envoyés (Département IEM / UB) Organisation 44 / 1

45 Routage Table de routage : manipulation La table de routage peut être configurée selon deux modes : statique, dynamique Les routes statiques restent dans la table tant que le système est en marche On fixe les routes statiques au boot via des scripts mais nécessite une bonne connaissance de la topologie du réseau Pour manipuler la table de routage, on utilise la commande route Pour le routage dynamique, on utilise des démons qui maintiennent et modifient les tables de routage gated, routed (Département IEM / UB) Organisation 45 / 1

46 Routage Table de routage : syntaxe route add del [-net -host] destination [netmask Nm] [gw gateway] [metric m] [dev itf] add del : permet d ajouter ou supprimer une entrée dans la table -net : permet de spécifier une entrée vers un réseau -host : permet de spécifier une entrée vers une machine destination : la destination peut être une adresse machine ou une adresse réseau. La destination peut être default netmask : le masque de sous-réseau du réseau (ou de la machine) de destination gw : addresse du routeur qui permet de faire transiter les paquets d un réseau à un autre metric : longueur du chemin (en nombre de routeurs traversés) pour atteindre le réseau de destination (optionnel). dev : le nom de l interface par laquelle envoyer les paquets à router (optionnel) (Département IEM / UB) Organisation 46 / 1

47 Routage Table de routage : exemple route add -net r1 netmask lnx2 metric 3 Permet de rajouter une route dans la table de routage : pour atteindre le réseau r1 ( ), il faut passer par la lnx2 ( , qui sert de routeur), et on franchira 3 routeurs au total : r1 est un nom qui doit figurer dans le fichier /etc/networks lnx2 doit figurer ddans le fichier /etc/hosts L option -f (flush) qui permet de supprimer tous les chemins qui ont été rajoutés avec la commande route (Département IEM / UB) Organisation 47 / 1

48 Translation d adresse (NAT) Principes de la translation d adresses Permettre aux machines de réseaux privés de dialoguer sur Internet NAT = Network Address Translation Ce n est pas un mécanisme qui assure la sécurité! Utilisation d un routeur d entrée (border router) Intercepte les packets, les réécrits (adresse source,port) Maintient une table de correspondance entre adresses internes et externes Permet un multiplexage des connections via des correspondances de port Sous linux NAT et ip-masquerading sont synonymes (Département IEM / UB) Organisation 48 / 1

49 Translation d adresse (NAT) Translation d adresses et protocoles CS inversés Tous les protocoles ne supportent pas la translation d adresse Les protocoles pour lesquels le serveur est dans le réseau privé sont mal adaptés à la translation d adresse : affichage X11 FTP Il faut alors un mécanisme supplémentaire capable de suivre une session ou établir un relai (ssh -X, ip_contrack_ftp) Il est préférable de ne pas utiliser X11 sur internet, lui préférer un protocole moins gourmand plus sûre (VNC, ssh) (Département IEM / UB) Organisation 49 / 1

50 Filtrage iptables Un filtre de paquets est un programme qui regarde l en-tête des paquets qui transitent par les cartes réseau et décide du sort du paquet entier. Il peut décider de DROPer le paquet (faire comme si il n avait jamais été reçu), ACCEPTer le paquet (le laisser passer), ou quelque chose de plus sophistiquée (le loguer par exemple). Sous Linux, le filtrage de paquets est intégré dans le noyau sous la forme d un module ou directement dans le code. Le module de filtrage est très complet, il propose un véritable mécanisme de firewall avec états, néanmoins le principe de base reste simple : regarder les en-têtes et décider du sort du paquet. (Département IEM / UB) Organisation 50 / 1

51 Filtrage iptables La commande iptables insère et retire des règles de la table de filtrage des paquets du noyau. Les règles seront perdues au reboot. ## Chaine qui bloque les connections sauf celles qui viennent ## de l intérieur iptables -N block iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i! ppp0 -j ACCEPT iptables -A block -j DROP ## Lancer la chaîne block à partir des chaînes INPUT et FORWARD. iptables -A INPUT -j block iptables -A FORWARD -j block (Département IEM / UB) Organisation 51 / 1

52 Filtrage iptables Le noyau contient par défaut trois listes (INPUT, OUTPUT et FORWARD) dans une table nommée filter. Les éléments des listes sont appelés chaînes ou règles. On peut considérer qu une chaîne est une série de règles simples. Chaque règle est une condition que doit satisfaire le paquet, si la règle ne convient pas au paquet, la chaîne suivante est examinée, finalement, si il ne reste plus de chaîne, le noyau regarde la chaîne par défaut pour décider de l action à exécuter. (Département IEM / UB) Organisation 52 / 1

53 Filtrage iptables L enchaînement des trois listes est le suivant : 1. Quand un paquet arrive le noyau regarde en premier la destination de ce paquet (prise en charge). Si le paquet est destiné à la machine il est transmis la chaine INPUT. Si il la passe, les processus qui attendent le paquet le recevront. 2. Si le noyau n a pas de forwarding activé, ou qu il ne sait pas comment forwarder le paquet, le paquet est tué. 3. Si le forwarding est autorisé et que le paquet est destiné à une autre interface réseau, le paquet va directement à la chaine FORWARD. Si il est accepté par une des chaînes, il sera envoyé. 4. Finalement, un programme qui tourne sur la machine peut envoyer des paquets. Ces paquets passeront par la chaine OUTPUT immédiatement : si elle dit ACCEPT, alors le paquet continue vers l interface à laquelle il est destiné. (Département IEM / UB) Organisation 53 / 1

54 Filtrage iptables : les chaînes de base Chaîne Table Description PREROUTING nat, mangle Par cette chaîne passeront les paquets entrant dans la machine avant routage INPUT filter Cette chaîne traitera les paquets entrants avant qu ils ne soient passées aux couches supérieures (les applications). FORWARD filter Ce sont les paquets uniquement transmis par la machine sans que les applications n en aient connaissance. OUTPUT filter, nat, mangle Cette chaîne sera appelée pour des paquets envoyés par des programmes présents sur la machine. POSTROUTING nat Les paquets prêts à être envoyés (soit transmis, soit générés) seront pris en charge par cette chaîne. Action Signification ACCEPT Les paquets envoyés vers cette cible seront tout simplement acceptés et pourront poursuivre leur cheminement au travers des couches réseaux. DROP Cette cible permet de jeter des paquets qui seront donc ignorés. REJECT Permet d envoyer une réponse à l émetteur pour lui signaler que son paquet a été refusé. LOG Demande au noyau d enregistrer des informations sur le paquet courant. Cela se fera généralement dans le fichier /var/log/messages (selon la configuration du programme syslogd). MASQUERADE Cible valable uniquement dans la chaîne POSTROUTING de la table nat. Elle change l adresse IP de l émetteur par celle courante de la machine pour l interface spécifiée. Cela permet de masquer des machines et de faire par exemple du partage de connexion. SNAT Egalement valable pour la chaîne POSTROUTING de la table nat seulement. Elle modifie aussi la valeur de l adresse IP de l émetteur en la remplaçant par la valeur fixe spécifiée. DNAT Valable uniquement pour les chaînes PREROUTING et OUTPUT de la table nat. Elle modifie la valeur de l adresse IP du destinataire en la remplaçant par la valeur fixe spécifiée. RETURN Utile dans les chaînes utilisateurs. Cette cible permet de revenir à la chaîne appelante. Si RETURN est utilisé dans une des chaînes de base précédente, cela est équivalent à l utilisation de sa cible par défaut. (Département IEM / UB) Organisation 54 / 1

55 Filtrage iptables Les principales options d iptables sont : Créer une nouvelle chaine (-N) ou plutôt une liste de chaînes ; Effacer une chaîne (-X) ; Changer la règle par défaut pour une chaîne (-P) ; Lister les règles dans une chaîne (-L) ; Retirer les règles d une chaîne (-F). ; Mettre à zéro les compteurs de bits et de paquets d une chaîne (-Z). (Département IEM / UB) Organisation 55 / 1

56 Filtrage iptables Il y a plusieurs manières de manipuler une règle dans une liste de chaînes : Ajouter une nouvelle règle à une liste (-A) ; Insérer une nouvelle règle à une position dans une liste (-I) ; Remplacer une règle à une position dans une liste (-R) ; Supprimer une chaîne à une position dans une liste (-D) ; Supprimer la première règle qui convient dans une chaine (-D). Les spécifications des règles de filtrage peuvent concerner la source, la destination, un protocole, une interface ou des fragments de paquet. (Département IEM / UB) Organisation 56 / 1

57 Filtrage iptables Les adresses IP source (-s, source ou src) et destination (-d, destination ou dst) peuvent être specifiées de 4 façons : 1. le nom complet, comme localhost ou panda.ville-dijon.fr ; 2. l adresse IP comme ; 3. un groupe d IPs, comme /24 ou / Elles specifient toutes deux les adresses de à inclus. Les nombres après le / indiquent quelle partie des adresses IP a de la signification. /32 ou / est le défaut (correspond à toutes les adresses IP). 4. pour spécifier toutes les adresses IP /0 peut être utilisé, comme dans la règle : iptables -A INPUT -s 0/0 -j DROP (Département IEM / UB) Organisation 57 / 1

58 Filtrage iptables Beaucoup d options comme -s (ou source ) et -d ( destination) peuvent avoir leurs arguments précédés de! (négation) pour correspondre aux adresses différentes égales à celles données. Le! permet donc la négation d une règle. iptables est extensible, ce qui veut dire que le noyau et le programme iptables peuvent être étendus pour avoir de nouvelles capacités. Les extensions au noyau sont normalement situées dans le répertoire des modules du kernel comme /lib/modules/2.x.y/net. Elles sont chargées à la demande. (Département IEM / UB) Organisation 58 / 1

59 Filtrage iptables (Filtrage sur protocole et port) Les options -i (ou in-interface) et -o (ou out-interface) spécifient le nom d une interface à laquelle le paquet doit correspondre. Les paquets qui traversent la chaîne INPUT n ont pas encore d interface de sortie donc, une règle utilisant -o dans cette chaîne n est pas valide. Les paquets traversant la chaîne OUTPUT n ont pas d interface d entrée, donc toute règle utilisant -i dans cette chaîne n est pas valide. Seuls les paquets traversant la chaîne FORWARD ont une interface d entrée et de sortie. (Département IEM / UB) Organisation 59 / 1

60 Filtrage iptables (Filtrage sur protocole et port) Les extensions TCP sont automatiquement chargées si -p tcp est spécifié. tcp-flags : suivi d un! optionnel, ensuite 2 chaînes de caractères permettent de filtrer suivant des drapeaux TCP spécifiques. La première chaîne de drapeaux est le masque : une liste de drapeaux à examiner. La deuxième chaîne de drapeaux dit lequel doit être présent. Par exemple : iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DENY source-port : suivi d un! optionnel optionnel, ensuite soit un port TCP seul, ou un bloc de ports. Les ports peuvent être des noms de ports, listés dans /etc/services, ou des nombres. sport est synonyme de source-port. destination-port et dport ils spécifient la destination plutôt que la source qui convient. (Département IEM / UB) Organisation 60 / 1

61 Filtrage iptables (Filtrage sur protocole et port) echo 1 > /proc/sys/net/ipv4/ip_forward /sbin/iptables -P INPUT ACCEPT /sbin/iptables -P FORWARD ACCEPT /sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -t nat -P PREROUTING ACCEPT /sbin/iptables -t nat -P POSTROUTING ACCEPT /sbin/iptables -t nat -P OUTPUT ACCEPT /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT /sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT /sbin/iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT /sbin/iptables -t nat -A POSTROUTING -s /24 -j MASQUERADE #redirection du port 80 pour proxy squid transparent /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 \ -j REDIRECT --to-port 3128 (Département IEM / UB) Organisation 61 / 1

62 Filtrage iptables (Filtrage sur protocole et port) echo 1 > /proc/sys/net/ipv4/ip_forward # PARTIE A MODIFIER public=ppp0 prive=eth0 reseauprive=" /24" iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP iptables -F iptables -t nat -F iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A OUTPUT -o $public -p tcp --dport http -j ACCEPT iptables -A INPUT -i $public -p tcp --sport http -j ACCEPT iptables -A OUTPUT -o $public -p tcp --dport https -j ACCEPT iptables -A INPUT -i $public -p tcp --sport https -j ACCEPT (Département IEM / UB) Organisation 62 / 1

63 Configuration des cartes réseau Pilote de la carte /sbin/lspci donnera les informations sur les périphériques connectés ls /lib/modules/*/kernel/drivers/net/ : donne la liste des cartes réseau supportées par le noyau de la distribution. S il n y a pas le pilote de la carte recherchée, une recompilation du noyau s impose /sbin/modprobe nompil : chargement du pilote ajouter le nom à /etc/modules (Département IEM / UB) Organisation 63 / 1

64 Configuration des cartes réseau Sous Debian 1. éditer le fichier /etc/network/interface 2. arrêter et redémarrer le réseau : /etc/init.d/networking restart 3. vérifier la configuration : /sbin/ifconfig -a 4. les alias sont permis : eth0 :0, eth0 :1 Exemple : # The loopback interface auto lo iface lo inet loopback # The first network card - this entry was created during the Debian installation # (network, broadcast and gateway are optional) auto eth0 iface eth0 inet static address netmask network broadcast gateway (Département IEM / UB) Organisation 64 / 1

65 Configuration des cartes réseau Sous RedHat 1. éditer le fichier /etc/sysconfig/network 2. éditer le fichier /etc/sysconfig/networking/devices 3. arrêter et redémarrer le réseau : /etc/init.d/network restart 4. vérifier la configuration : /sbin/ifconfig -a Exemple : # 3Com Corporation 3c905C-TX/TX-M [Tornado] DEVICE=eth0 BOOTPROTO=dhcp BROADCAST= HWADDR=00:06:5B:28:07:39 IPADDR= NETMASK= NETWORK= ONBOOT=yes TYPE=Ethernet USERCTL=no PEERDNS=yes GATEWAY= IPV6INIT=no (Département IEM / UB) Organisation 65 / 1

66 Configuration des cartes réseau La commande ifconfig On peut configurer une interface ethernet à la volée avec la commande : ifconfig eth netmask broadcast les options de ifconfig sont : up : activation de l interface, down : désactivation de l interface, [-]arp : activation/désactivation du protocole ARP sur l interface, netmask <addr> : valeur du masque de réseau, broadcast <addr> : valeur de l adresse de diffusion hw? (Département IEM / UB) Organisation 66 / 1

67 Configuration des cartes réseau La résolution des noms la résolution des associations (nom de machine, adresse IP) se fait via 3 fichiers : 1. /etc/hosts : associations nom sur le réseau local, adresse ip dans un fichier texte dont les séparateurs sont l espace ou le tab, le # est réservé pour les commentaires. IPaddress canonical_hostname aliases 2. /etc/resolv.conf : renseigne le système sur l utilisation d un DNS 3. /etc/nsswitch.conf : spécifie les mécanismes à mettre en oeuvre pour la résolution des nom (DNS, files, etc.) (Département IEM / UB) Organisation 67 / 1

68 Configuration des cartes réseau Outils standards pour la résolution des problèmes ifconfig ping(simple + broadcast combiné à arp) arp traceroute nslookup / dig telnet machine port (Département IEM / UB) Organisation 68 / 1

69 Configuration d un poste Étapes de configuration 1. fixer l IP (statique ou via DHCP) 2. renseigner le fichier /etc/hosts et éventuellement le fichier /etc/networks 3. donner la route par défaut ou les autres stratégies de routage 4. configurer la résolution des nom /etc/resolv.conf 5. configurer les stratégies de résolution /etc/nsswitch.conf (Département IEM / UB) Organisation 69 / 1

70 Méthodologie Méthodologie Pour concevoir et implanter un réseau suivre les étapes : définir l architecture fonctionnelle (les services) définir l architecture physique (localiser les service, segmenter le réseau afin d identifier et ou d obtenir différent réseau IP) déterminer un plan d adresse déterminer la table de routage et les règles de filtrage (Département IEM / UB) Organisation 70 / 1

71 Introduction Différentes méthodes d installation de logiciels On distingue généralement 4 modes d installation différents : la notion de packages la notion de port ou portage installation à partir des sources installation des binaires installation selon une méthode spécifique (propriétaire) (Département IEM / UB) Organisation 71 / 1

72 Introduction Notions de package Ensemble de fichiers dédiés à une application, valable pour une architecture précise (x86 32bits, SPARC, etc.) Utilisés dans les distribution RedHat, Suse, Mandrake (RPM) Debian (.deb) mais aussi sous Solaris (.pkg) Une base de données enregistre les packages installés dans le système Toute modification ou installation hazardeuse peut entrainer une incohérence de la base de données Veiller à installer uniquement des packages pour la distribution installée, et l architecture matérielle de la machine Les applications n existant pas sous la forme de package ou installées depuis le code source doivent être localisées dans une partie spécifique du système de fichiers (Département IEM / UB) Organisation 72 / 1

73 Introduction Gestion de l arobrescence du système (Département IEM / UB) Organisation 73 / 1

74 Étude des packages RPM Gestion de packages (RPM) RedHat Package Manager (RPM) Lors des mises à jour, RPM traite les fichiers de configuration de façon particulière, de sorte les personnalisations sont préservées RPM permet aussi au développeur d empaqueter le code source d un logiciel et de l insérer dans des paquetages source et binaires destinés aux utilisateurs finaux Objectifs des RPM : Évolutivité : facilité des mises à jour et des corrections Fonction d interrogation puissante : effectuer des recherches dans la BD des packages ou seulement dans certains fichiers, retrouver aisément à quel package appartient un fichier Vérification du système : si vous craignez d avoir supprimé un fichier important pour un paquetage quelconque, il suffit de vérifier celui-ci, (Département IEM / UB) Organisation 74 / 1

75 Étude des packages RPM Le nommage des packages Les packages rpm adoptent la convention de nommage nom-version-release.architecture.rpm. La signification de chaque partie du nom du package est la suivante : nom : represente le nom du package, en général il s agit du nom du logiciel mais celui-ci peut aussi être decomposé en plusieurs packages. Ainsi, on trouve couramment : nom-devel : package de développement (include C, bibliothèques) pour permettre la compilation de logiciels utilisant les ressources fournies par le packages ; libnom : les bibliotheques du logiciel sont separées du package principal ; nom-common : partie du logiciel utilisable pour un serveur ou un client ; nom-server : partie du logiciel pour un serveur ; nom-client : partie du logiciel pour un client. version : telle qu elle est definie par le ou les developpeurs du logiciel ; (Département IEM / UB) Organisation 75 / 1

76 Étude des packages RPM Le nommage des packages release : elle est definie par celui qui construit le package ; l architecture représente la categorie de processeur sur laquelle le package peut être installé : ppc pour powerpc (mac), sparc pour stations sun, alpha pour pc avec processeurs alpha etc. Pour les architectures intel la dénomination est la suivante : i* = processeurs intel, + i386 : la base commune (80386) + i486, + i566 : pentium, i686 : pentium II, III, IV. Tous ces packages contiennent des programmes compilés, donc non portables entre les differents processeurs (intel, powerpc, sparc) les programmes dependent également des librairies utilisées lors de la compilation et sont donc souvent non portables entre distributions differentes, voire sur la même distribution, entre versions différentes (Département IEM / UB) Organisation 76 / 1

77 Étude des packages RPM Le nommage des packages il existe deux types d architectures portables : noarch : ces packages contiennent des fichiers de configuration, ou des programmes en langage interprété (shell, perl, python...), et peuvent donc être installés partout ; src : ces "pseudo-packages" contiennent les programmes sources, avec ce qu il faut pour les recompiler (Makefile, configure) et fabriquer un package. (Département IEM / UB) Organisation 77 / 1

78 Étude des packages RPM Modes de fonctionnement RPM offre cinq modes de fonctionnement de base : 1. installation, 2. désinstallation, 3. mise à jour, 4. interrogation, 5. vérifications L ensemble des possibilités est donné par rpm help les principales sont présentées dans les transparents suivant (Département IEM / UB) Organisation 78 / 1

79 Étude des packages RPM RPM : Installation Les fichier RPM portent généralement des noms tels que prog i386.rpm, la version (1.0) du code, l édition (1) maj RedHat, l architecture (i386) Installer le package : rpm -ivh prog i386.rpm La commande -U est généralement utilisée pour mettre à jour des paquetages, elle permet également d en installer de nouveaux Réinstaller un package : replacepkgs rpm -ivh replacepkgs prog i386.rpm (Département IEM / UB) Organisation 79 / 1

80 Étude des packages RPM RPM : Désinstallation La désinstallation d un package se fait par la commande : rpm -e prog Nous avons utilisé le nom prog, pas le nom du fichier d origine prog i386.rpm Une erreur de dépendance peut se produire : # rpm -e prog removing these packages would break dependencies: prog is needed by xyz Pour faire en sorte que RPM ignore cette erreur et désinstalle le paquetage malgré tout, utiliser l option nodeps (Département IEM / UB) Organisation 80 / 1

81 Étude des packages RPM RPM : Mise à jour La mise à jour est similaire à l installation : rpm -Uvh prog i386.rpm RPM effectue une mise à jour intelligente un message du type suivant peut apparaître : enregistrement de /etc/prog.conf /etc/prog.conf.rpmsave les modifications apportées au fichier de configuration risquent de ne pas être compatibles avec le nouveau fichier de config du package (utilisation.rpmnew ou.rpmsave) RPM a enregistré le fichier d origine et en a installé un nouveau rechercher les.rpmnew ou.rpmsave dans l arboresence (Département IEM / UB) Organisation 81 / 1

82 Étude des packages RPM RPM : Mise à jour mise à niveau vers un paquetage portant un numéro de version plus ancien, le système affiche le message suivant : rpm -Uvh foo i386.rpm foo package foo (which is newer) is already installed error: foo i386.rpm cannot be installed Pour faire en sorte que RPM effectue malgré tout la mise à niveau, utilisez oldpackage dans la ligne de commande : rpm -Uvh oldpackage prog i386.rpm prog (Département IEM / UB) Organisation 82 / 1

83 Étude des packages RPM RPM : Recherches L interrogation de la BD des packages installés s effectue au moyen de rpm -q rpm -q prog imprime le nom, la version de prog (installé) On peut aussi utiliser les options suivantes avec -q pour spécifier le(s) paquetage(s) interrogés. -a recherche tous les paquetages actuellement installés -f fic interroge le package contenant fic -p nomp interroge le package nomp Plusieurs manières de spécifier les informations à afficher : -i affiche nom, description, version, taille, date de compilation, date d installation, éditeur, etc. -l affiche la liste des fichiers contenus dans le package -d affiche la liste des fichiers de documentation -c affiche la liste des fichiers de configuration Pour les options qui affichent des listes de fichiers, -v pour obtenir les listes dans un format ls -l (Département IEM / UB) Organisation 83 / 1

84 Étude des packages RPM RPM : Vérification Comparer les informations sur les fichiers d un package installé avec celles de l original : taille, MD5, autorisations, type, propriétaire et groupe de chaque fichier : rpm -V Pour vérifier un package contenant un fichier particulier : rpm -Vf nomfic Pour vérifier tous les paquetages installés : rpm -Va Pour comparer un package installé à un fichier RPM : rpm -Vp prog i386.rpm Si la vérification est correcte, elle ne fournit aucun résultat Si il y a des différences, le résultat est une chaîne de 8 caractères (indiquant l échec de certains tests) : 5 : somme de contrôle MD5 S : taille de fichier L : lien symbolique U : utilisateur G : groupe M : mode (permissions et type) (Département IEM / UB) Organisation 84 / 1