Rapport du Projet IPv6. Astruc Benoit, Silohian Christophe
|
|
- Sylvaine Leclerc
- il y a 8 ans
- Total affichages :
Transcription
1 Rapport du Projet IPv6 Astruc Benoit, Silohian Christophe 3 mars 2005
2 Table des matières Introduction Polytech Lille Présentation de l école Présentation du service Informatique IPv IPv6, c est quoi? Système d adressage Mobilité Sécurité Les atouts d IPv Le réseau IPv6 à Polytech Lille La sécurité sur le réseau Principes de la sécurité Algorithmes de chiffrement Les différents services de sécurité Les attaques classiques La sécurité appliquée pour IPv Les extensions de sécurité Associations et polices de sécurité Déroulement du Projet Chronologie Travaux préliminaires Mise en place du matériel Prise de contact IPv Travaux réalisés Définition des besoins Setkey Racoon
3 TABLE DES MATIÈRES Isakmpd FreeS/WAN IPsec en noyau Protocole de déploiement Installer le dernier noyau Installer les outils gérant IPsec Conclusion 26 Références 28 Glossaire 29 Annexes 32 Script d installation Fichier de configuration automatique de setkey (ipsec.policy). 34 Fichier de configuration de racoon (racoon.conf) Fichier de lancement de racoon (/etc/init.d/racoon) Fichier de configuration manuelle de setkey isakmpd.conf RFC3513 : Inversion du u bit Liste de site accessibles en IPv
4 Introduction Depuis sa création en 1973, le protocole IP(Internet Protocol) est devenu le protocole standard en matière de communication réseau. Aujourd hui, toutes les machines connectées à Internet utilisent IP. Mais au vu de l accroissement de plus en plus important du nombre de machines relié à Internet, le nombre d adresses IP disponibles a diminué de façon considérable. C est pour palier à ce problème qu est né en 1992 l IPv6 (l actuelle génération est appelé IPv4). En effet, grâce à un système d adressage sur 128 bits, le nombre d adresse disponible est multiplié par C est l IETF(Internet Engineering Task Force), l un des organismes de standardisation de l Internet qui est chargé de définir le nouveau protocole. En plus d y apporter l augmentation du nombre d adresses disponibles, l IETF a décidé d apporter un certain nombre d améliorations au protocole comme par exemple, la mobilité ou la sécurité, inexistantes en IPv4. A l heure actuelle, IPv6 n est qu en phase de déploiement. Même si le protocole est déjà en place, l instauration des adresses privées en IPv4 a ralentit l essor d IPv6. Ce sont essentiellement les asiatiques et les européens qui développent le plus de réseaux IPv6, étant donné que les américains sont loin d avoir épuisé toutes leurs adresses IPv4. Parmi les organismes qui ont jugé indispensable de déployer ce protocole, on retrouve l école Polytech Lille. Si IPv6 est implanté et fonctionnel, il n est pas encore sécurisé. Et c est dans cette optique de sécurisation des communications que Xavier Redon nous a demandé de travailler. Le but du projet est de pouvoir établir des communications authentifiées et chiffrées sur tout le réseau de l école, entre serveurs, entre machines clientes et serveurs et entre machines clientes. Dans ce développement, après avoir présenté l école et son service informatique, nous allons expliquer ce qu est IPv6, ses atouts et ce qui existe déjà à Polytech Lille. Nous détaillerons ensuite tout ce qui concerne la sécurité sur le réseau. Et pour finir, nous commenterons nos travaux. En espérant que la lecture de ce document vous inspire en vue de sécuriser vos propre réseaux. 3
5 Chapitre 1 Polytech Lille 1.1 Présentation de l école L école Polytechnique Universitaire de Lille (Polytech Lille) est une école d ingénieur implantée sur le centre universitaire scientifique de Villeneuve d Ascq. Autrefois appelée EUDIL (École Universitaire D Ingénieur de Lille), l école a été fondé en Aujourd hui, Polytech Lille possède 8 départements d enseignements, tous touchant à des domaines différents : IMA : Informatique, Mesure, Automatique. ITEC : Instrumentation Technique Et Commerciale. GIS : Génie Informatique et Statistique. GTGC : Génie Thermique, Génie Civile. CM : Construction Mécanique. SM : Sciences des matériaux. IAAL : Institut Agro-Alimentaire de Lille qui avant, était une école indépendante et qui a fusionné avec l EUDIL pour donner Polytech Lille. IESP : Ingénieur d Exploitation des Systèmes de Production. Uniquement reservé aux formations continues ayant une expérience professionnel d au moins 3 ans. Chaque département à la possibilité de délivrer le diplome d Ingénieur par la voie de la formation continue. A ces 8 départements s ajoute également 3 Masters : Cost Engineering. Design Stratégique. Génie de l eau. 4
6 CHAPITRE 1. POLYTECH LILLE 5 Polytech Lille fait partie de deux réseaux d écoles d ingénieur. Le premier, créé en est le réseau Eiffel. Ce réseau regroupait à sa création trois écoles d ingénieurs : en plus de l EUDIL, on y trouvait l ISIM Montpellier (aujourd hui devenu Polytech Montpellier) et le CUST de Clermont-Ferrand. Puis par la suite, l ISTG de Grenoble (devenu depuis Polytech Grenoble) est venu s y adjoindre. Le second réseau est le réseau Polytech qui se développe de plus en plus dans toute la France. En plus de Lille, Nantes, Marseille, Montpellier, Grenoble, Orléan et Tours en font partie. 1.2 Présentation du service Informatique L école posséde un parc informatique de grande ampleur. Plus de 600 postes sont connectés en réseau. Pour maintenir ce parc, l école possède un service informatique composé de six personnes : Jean-Michel Duthilleul : enseignant et co-responsable du service Xavier Redon (notre tuteur) : enseignant et co-responsable du service Patrick Menager : ingénieur Juliette Loiseleux : ingénieur (80%) Dominique François : technicien Dominique Golpart : technicien (50%) Le service informatique a pour but : D installer systèmes d exploitation et logiciels sur chaque machine. D effectuer la maintenance du matériel. De gérer les comptes des étudiants et du personnel. De controler le bon fonctionnement d un réseau qui comprend plus de 10 serveurs, environ 150 kilomètres de câbles, 2 routeurs, 60 commutateurs. De gérer le service de messagerie (création des listes de diffusion, controle anti-virus des pièces jointes, etc). De gérer tous ce qui concerne l accès à Internet. C est ce même service informatique qui a décidé de mettre en place le protocole IPv6 sur le réseau de l établissement. Aujourd hui, c est dans le cadre du développement du réseau que avons été chargé de sécuriser ce protocole.
7 Chapitre 2 IPv6 2.1 IPv6, c est quoi? Ce chapitre n a pas pour but de tout expliquer sur IPv6. Il existe des livres [2] qui font cela très bien... en 430 pages. Nous irons donc à l essentiel en expliquant les changements les plus visibles et les plus important. Le protocole IPv6 a été mis en place dans le but de remplacer le protocole IPv4 dont le nombre d adresse disponible commence à s essoufler. C est ce changement qui est le plus visible aux yeux des utilisateurs. Donc, pour bien comprendre IPv6, faut d abord comprendre son système d adressage. Nous poursuivrons par la mobilité et la sécurité qui n existait pas sur IPv Système d adressage Si l adresse IPv4 est codée sur 32 bits, exprimée en décimal et subdivisée en 4, chaque subdivision étant séparé par un., l adresse IPv6 est elle codée sur 128 bits, exprimée en hexadécimal et subdivisée en 8, chaque subdivision étant séparé par un :. Adresse IPv4 : Adresse IPv6 : 2001:660:4401:6004:74ff:fe14:e2 A la différence d IPv4 où toutes les valeurs de l adresse doivent être saisies, IPv6 accepte de raccourcir l adresse en cas de 0 successifs. Ainsi, l adresse fe80:0:0:0:208:74ff:fe14:e2 pourra s écrire fe80::208:74ff:fe14:e2. Cette abréviation :: ne peut se retrouver qu une fois dans toute l adresse. Ceci afin d éviter toute confusion. L adresse fe80:0:0:20:0:0:ff18:82ab ne pourra pas s écrire fe80::20::ff18:82ab car on ne sait pas dans ce cas-là 6
8 CHAPITRE 2. IPV6 7 combien de 0 successifs se trouvent à chaque abréviation. Une telle adresse pourra donc s écrire de deux manières différentes : fe80::20:0:0:ff18:82ab ou fe80:0:0:20::ff18:82ab. L écriture du préfixe est par contre identique à IPv4. En IPv4, pour éviter d écrire tout le masque réseau, ce qui est souvent fastidieux ( ), l abréviation /24 a fait son apparition. Cette abréviation signifie que les 24 premiers bits du masque sont à 1 et les autres à 0. Vu la taille importante des adresses IPv6, cette abréviation s est vite montré indispensable car au lieu de taper ffff:ffff:ffff:ffff:0:0:0:0, mettre /64 à la fin de l adresse se révèle bien plus pratique. Pour éviter l ambiguïtée du symbole : qui est aussi utilisé pour spécifier le numéro du port dans une URL, les symboles [ ] devront entourer l adresse afin de bien distinguer adresse et port ; :ambiguïté :ici, on comprend parfaitement que l on souhaite accéder à l adresse 2001:1234:5678::1 par le port Il n existe pas un mais trois types d adresses. Les types d adresses sont : Adresse unicast Adresse multicast Adresse anycast L adresse unicast est l adresse la plus simple car elle désigne une machine unique. Un paquet envoyé à cette adresse n arrivera qu à une seule interface. A cette adresse unicast existe deux type d adresses : Adresse lien local (adresse réseau privé, non routable sur Internet) Adresse lien global (adresse routable sur Internet) Une machine possède donc deux adresses IPv6 : une locale au réseau qui a pour préfixe fe80::/10 (c est à dire toutes les adresses comprise entre fe80 : : et fe8c : : non inclu) et qui a une durée de vie illimitée, et une adresse globale routable sur Internet qui a pour prefixe 2000::/3 (c est à dire toutes les adresses comprises entre 2000:: et 4000:: non inclu). A ces deux types d adresses que toutes les machines possèdent (sauf celles non connectées à Internet qui n ont que l adresse locale), il existe d autres types d adresses unicast : Adresse indeterminée (::) qui est utilisée uniquement pendant l initialisation du protocole. Adresse de bouclage (::1) équivalente à l adresse en IPv4 (adresse localhost) Adresse IPv4 mappée de la forme ::ffff:a:b:c:d où a:b:c:d est
9 CHAPITRE 2. IPV6 8 l adresse IPv4 de la machine. Ce type d adresse peut également s écrire sous la forme ::ffff:xxxx:yyyy où XXXX:YYYY est la version hexadécimale de a:b:c:d. Cette adresse sert à communiquer en IPv4 avec une machine IPv4 tout en restant dans une famille d adresse IPv6. Adresse IPv4 compatible sous la forme ::a:b:c:d ou ::XXXX:YYYY avec a:b:c:d, l adresse IPv4 de la machine et XXXX:YYYY son écriture hexadécimale. Cette adresse sert à communiquer avec une machine IPv6 par le biais d un tunnel IPv6/IPv4. Le deuxième type d adresse est l adresse multicast. Elle est équivalente à une adresse broadcast en IPv4, c est à dire une adresse qui définit un groupe d interface. Envoyer un paquet à une adresse multicast revient à envoyer un paquet à toutes les machines du réseau. Ce type d adresse a pour préfixe ff00::/8. Enfin, la dernière, l adresse anycast définit aussi un groupe d interface. Mais à la différence de l adresse multicast, le paquet envoyé n arrivera qu à une machine du réseau. Il est vrai que les adresses IPv6 sont beaucoup plus longues que les adresses IPv4 et donc, plus fastidieuses à taper. Mais le système d autoconfiguraton des machines simplifie grandement la tache. Le mécanisme est très simple. Prenons le cas d une configuration pour une adresse locale. L autoconfiguration de l adresse se fait à partir de l adresse MAC de la carte (autrement dit, son adresse physique) et en y rajoutant un préfixe. Illustrons ceci par un exemple : prenons une machine qui possède comme adresse MAC 00-0c-29-c2-52-ff notée sur 48 bits. Le mécanisme d autoconfiguration va d abord ajouter les bits 0xfffe à partir du 24e bit de l adresse MAC. On obtient un mot de 64 bits 00-0c-29-ff-fe-c2-52-ff. La seconde manipulation consiste à inverser le 7e bit du premier octet afin de respecter la RFC3513[7] décrivant le mécanisme EUI On obtient donc un nouveau mot de 64 bits 02-0c-29-ff-fe-c2-52-ff. Réécrivons ce mot à la manière IPv6 : 020c:29ff:fec2:52ff. Pour finir, il est ajouté à ce mot de 64 bits, un autre mot de 64 bits qui est le prefixe des adresses locales (fe80 : :/64). Résultat : sans que l utilisateur n ait à configurer quoi que ce soit, sa machine a déjà une adresse locale qui est fe80::20c:29ff:fec2:52ff. Le mécanisme est à peu près similaire pour les adresses globales, en ce qui concerne les 64 derniers bits. 1 Pour plus de détails consulter l annexe : 4.4.2
10 CHAPITRE 2. IPV Mobilité Une avance importante de l IPv6 est le concept de mobilité. En IPv4 lorsqu on déplaçe un équipement doté d une adresse IP 2 que nous nommerons par la suitemobile, il est nécessaire de reconfigurer son adresse IP manuellement et il n existe alors plus aucun lien entre son ancienne adresse et la nouvelle. La seule façon pour le mobile de communiquer avec son réseau d origine est alors de créer un réseau privé virtuel (VPN :Virtual Private Network). Une solution qui est loin d être facile à mettre en oeuvre. En IPv6 un mobile aura un réseau mère et une adresse mère. L objectif de la mobilité est de faire en sorte que le mobile soit toujours joignable à son adresse mère quel que soit le réseau auquel il est connecté. Cela est réalisé de la façon suivante : lorsque le mobile est connecté à un sousréseau étranger il obtient, avec les mécanismes d autoconfiguration d IPv6, une adresse temporaire. Il contacte alors un routeur situé sur son sous-réseau mère et lui indique l association de son adresse mère et de son adresse temporaire. A partir de ce moment-là le routeur devient l agent mère du mobile et fera office de proxy, il interceptera tous les paquets destinés à l adresse mère du mobile et les tunnellera à son adresse temporaire Sécurité Ce chapitre ne détaillera pas toute la partie sécurité. Nous parlerons uniquement de la couche IPsec d IPv6. Tout ce qui touche à la sécurité dans un réseau sera détaillé dans la seconde partie. Lors de la mise en place de ce protocole, l IAB (Internet Architecture Board) a demandé à ce qu IPv6 possède une couche sécurité, non présente en IPv4. Cette couche de sécurité (IPsec) doit permettre de sécuriser plus facilement les réseaux de manière plus légère alors que sur IPv4, la plupart des systèmes courants n implémentent rien à ce niveau-là. L IETF a décidé d inclure dans les fonctionnalités d IPsec trois services indispensables pour protéger les données contre des attaques telles que l usurpation d identité (IP spoofing) et l écoute du traffic sur un réseau (IP sniffing) : La confidentialité des données. L intégrité des données. 2 tel qu un ordinateur portable, mais cela pourrait aussi être un téléphone portable ou n importe quel équipement réseau embarqué à bord d un avion, d un bateau, d une voiture...
11 CHAPITRE 2. IPV6 10 L authentification de l origine des données. Pour mettre en place ces services, l IETF a défini deux nouvelles extensions IP de sécurité dans la RFC1752[9] qui sont les extensions AH (Authentication Header ou en-tête d authentification) et ESP (Encapsulation Security Payload ou extension de confidentialité). Les deux extensions offrent les services d authentification, d intégrité ainsi que la detection de rejeu. L AH offre en plus le service de non répudiation (non dissimulation d identité). L ESP offre quand à lui la confidentialité des données et du flux. La protection des communications grâce à ces deux extensions permet de communiquer : Directement d une machine à l autre. Entre deux machines passant par des passerelles tels qu un routeur ou un pare-feu. Entre une machine et une ou plusieurs passerelles. Deux modes permettent d établir ces communications : Le mode transport qui protège la charge utile des paquets. Ce mode n est utilisable que sur des équipements terminaux. Le mode tunnel qui protège tous les paquets en les faisant passer par un tunnel IP. Malgrès tout ce qui a été mis en place dans le but de sécuriser les réseaux, IPsec n est pas exempt de critiques. La principale étant la diminution des performances du réseau en terme de débit à cause notamment des opérations de chiffrements et déchiffrements des communications mais également des opérations de générations et de vérifications d identité lourdes en temps de calcul. Il existe d autres lacunes mais qui seront expliquées dans la partie II consacrée entièrement à la sécurité. 2.2 Les atouts d IPv6 IPv6 n a pas été mis en place dans le seul but de proposer un protocole supplémentaire. Il doit, à terme, remplacer le protocole actuel IPv4. l IETF, ne souhaitant pas faire une photocopie de l actuel protocole, a créé l IPv6 dans le but de combler les lacunes d IPv4. La principale lacune étant le nombre d adresses routables sur Internet. Comme à la base, IPv4 n avait pour but d interconnecter qu une petite centaine de machines, les 2 32 adresses étaient largement suffisantes. Avec le développement d Internet, ce n est plus le cas. IPv6 résout le problème en proposant adresses possible soit environ 1500 machines connectées au mètre carré de planete, océans inclut.
12 CHAPITRE 2. IPV6 11 La seconde amélioration porte sur la taille des tables de routage qui, en IPv4, sont vite devenues disproportionnées à cause du développement du nombre de réseaux sur l Internet. Ce développement rend la maintenance des tables de plus en plus complexe. Pour résoudre ce problème des tables de routage, une solution d agrégation de réseaux contigus en un seul préfixe a été mis en place. C est le CIDR (Classless Inter Domain Routing). Le CIDR permet d établir une structuration hiérarchique de l adressage. Cette solution a été intégrée dans les protocoles de routage ce qui permet de router des ensemble de réseaux de manière plus aisée. Le CIDR devait, dans un premier temps, être mis en place pour IPv4. Mais la petite taille des adresses ne permettait pas une bonne structuration, sans compter que de nombreuses adresses sont allouées depuis plusieurs années. En IPv6, ces problèmes sont résolu car : Dès le début le plan d adressage est hiérarchique, éliminant les longs préfixes. Les sites multi-domiciliés posséderont autant d adresses que de fournisseurs, permettant ainsi de garantir une agrégation. Des mécanismes de renumérotation automatique permettent aux sites de changer facilement de préfixe quand cela est nécessaire. Si pour l instant le plan d adressage le plus adapté est le plan hiérachique, d autres règles pourrait voir le jour (par exemple coordonnées géographiques). L IETF veut en fait imposer une certaine rigueur concernant l allocation des adresses IPv6 afin d éviter le problème que connait actuellement IPv4 : des tables de routage beaucoup trop volumineuses. Grâce à l IPv6, l IETF a réussi à résoudre les deux problèmes majeurs de l IPv4 : le manque d adresse et l explosion des tables de routage. Mais aussi à améliorer le protocole en y rajoutant les fonctions d autoconfiguration des terminaux (rien de concret à l heure actuelle pour l autoconfiguration des routeurs), de mobilité et de sécurité. L autoconfiguration des machines est un formidable atout pour tout les réseaux non administrés tels que dans les PME/PMI ou chez les particuliers. D après le cahier des charges qui a été fixé par l IESG (Internet Engineering Steering Group) lors de la création de l IPng (IP new generation), IPv6 est capable : D adresser au moins un milliard de réseaux. De proposer un plan de transition sans jour J. De prendre en compte à terme la mobilité, la réservation de ressources, les hauts débits, etc.
13 CHAPITRE 2. IPV Le réseau IPv6 à Polytech Lille Même si IPv6 est loin d être finalisé, l école Polytech Lille a décidé d anticiper en déployant ce protocole au sein de son réseau. Le préfixe IPv6 du réseau de l école est 2001:660:4401:60/56. Le réseau est subdivisé en sous réseaux dont les adresses sont de la forme 2001:660:4401:600x/60 où x est le numéro du vlan. Il est possible pour n importe quel étudiant de se connecter, en IPv6, sur une autre machine de l école en exécutant la commande : ssh -6 nom de la machine.escaut.net D autres services sont accessibles en IPv6 : Accès à Internet (service HTTP : HyperText Transfert Protocol), uniquement bien sûr aux sites accessibles en IPv6 (Ex : etc). Accès au service d envoi de mail (service SMTP Simple Mail Transfert Protocol) par le biais du serveur de messagerie douaisis. Connexion à celui-ci en IPv6 et envoi du mail en IPv6. Accès au service FTP (File Transfert Protocol) par l adresse ftp.polytechlille.fr. Etablissement de communication TCP (Transmission Control Protocol), UDP (User Datagram Protocol) et ICMP6 (Internet Control Message Protocol). Tous les services disponibles en IPv4 ne sont pas encore disponible en IPv6. Certains n y passerons jamais (Ex : Telnet). D autres pourraient être amenés à y passer, dans la mesure du possible (Ex : Le service d impression). Si les administrateurs réseaux ont mis en place IPv6, ils n ont pas encore touché à la couche de sécurité IPsec. C est à dire que tout ce qui circule en IPv6 sur le réseau est en clair. Nous afficherons dans le chapitre quatre de ce rapport les tests que nous avons effectué, notamment sur le service SMTP où, grâce au logiciel Ethereal disponible sur tous les systèmes d exploitations, nous avons pu visualiser en clair le message que nous avons envoyé.
14 Chapitre 3 La sécurité sur le réseau 3.1 Principes de la sécurité Algorithmes de chiffrement Chiffrement symétrique L une des deux familles d algorithmes de chiffrement. Dans cette catégorie les deux entités connaissent et utilisent le même secret comme clé de chiffrement et de déchiffrement. L avantage de ces algorithmes est la rapidité à laquelle s effectue le chiffrement et le déchiffrement. La phase délicate est celle de l échange de la clé de chiffrement. Chiffrement asymétrique Dans cette deuxième famille d algorithmes de chiffrement, chaque correspondant utilise une paire de clé. Une clé publique servant à chiffrer les messages que l on veut lui envoyer et une clé privée qui lui sert à déchiffrer les messages que l on lui envoie. Il n y a alors plus besoin d échanger de clé. L inconvénient de ces algorithmes est que leur temps de calcul est plus important que celui des algorithmes symétriques Les différents services de sécurité En matière de réseau lorsqu on parle de sécurité il faut distinguer un grand nombre de services différents : La confidentialité des données, sans doute la première à laquelle on pense. Réalisée par chiffrement à clé symétrique pour des raisons de performances. Cette clé, appelée clé de session, est alors fréquemment 13
15 CHAPITRE 3. LA SÉCURITÉ SUR LE RÉSEAU 14 utilisée et doit donc avoir une faible durée de vie, une deuxième clé étant utilisée pour négocier les nouvelles clés. La confidentialité du flux de données, qui vise non plus seulement à garantir la confidentialité des données mais également à interdire l accès à toute information sur ces données (quantité d informations échangées, fréquences, etc.) qui pourrait être déduites par analyse du trafic. L authentification de l origine des données, qui doit garantir que les données reçues proviennent bien de l emetteur déclaré. L intégrité des données, qui garantit que les données reçues n ont pas été modifiées durant leur transport. La non répudiation, qui doit être capable de prouver que des données ont bien été reçues ou envoyées en cas de litige. La prévention contre le rejeu de données, qui doit détecter si les données reçues ne l ont pas déjà été par le passé. Afin d assurer ces services de sécurité on utilise des mécanismes qui sont généralement basés sur le partage de clés secrètes. Ce qui implique de mettre en oeuvre un protocole d échange de clés. Ces protocoles d échange de clé vérifient généralement tout ou partie des propriétés suivantes : Celle dite deperfect Forward Secrecy garantit que la découverte d une des clés de longue durée (celles utilisées pour échanger les clés de sessions) ne permet pas à un assaillant de déchiffrer les messages chiffrés par les clés de session générées auparavant. La protection de l identité (Identity Protection), assure qu aucune information sur les partenaires en communication ne pourra être déduite par observation de leurs échanges sur le réseau Les attaques classiques Au niveau IP, trois attaques classiques sont réalisables : l IP sniffing, qui consiste pour un intrus à écouter le trafic passant sur le réseau afin d obtenir des informations intéressantes (mots de passe, contenu de courriels, etc.). l IP spoofing, qui consiste à usurper l identité d un équipement. l IP flooding, qui consiste à inonder un équipement de paquets IP, le rendant incapable de répondre aux requêtes légitimes (et laissant le champ libre à un intrus pour une attaque par IP spoofing).
16 CHAPITRE 3. LA SÉCURITÉ SUR LE RÉSEAU 15 L IP flooding étant trés difficile à contrer, l IETF s est concentré sur les deux autres attaques. C est ce que nous allons voir dans la section La sécurité appliquée pour IPv Les extensions de sécurité Afin de lutter contre l IP sniffing et l IP spoofing, l IETF, a défini deux nouvelles extensions IP de sécurité [RFC1752] : L extension d authentification (Authentication Header ou AH), qui rend les services d authentification, intégrité et optionnellement de détection de rejeux, voire de non-répudiation. L extension de confidentialité (Encapsulating Security Payload ou ESP), qui peut rendre les services de confidentialité, intégrité, authentification et détection de rejeux. Elle garantit de plus de façon limitée la confidentialitée du flux. Chacune de ses deux extensions peut être utilisée selon deux modes de protection : Le mode transport protège la charge utile du paquet et certains champs de son en-tête. Le mode tunnel protège tous les champs du paquet initial, qui est encapsulé dans un nouveau paquet donc certains champs sont protégés. On peut alors assurer trois types de protection : de bout en bout, entre les deux stations communicantes, auquel cas ce sont les stations qui gèrent les extensions de sécurité. sur des segments de réseaux seulement, auquel cas un équipement de chaque coté du tunnel (le mode transport ne peut pas être utilisé dans ce cas) est chargé de gérer les extensions de sécurité : c est la passerelle de sécurité. entre une station et une passerelle de sécurité Associations et polices de sécurité La base des communications sécurisées en IPv6 est l association de sécurité (Security Association ou SA). Elle contient l ensemble des informations nécessaires à l établissement de ces communications. Une SA est identifiée de façon unique par un triplet comprenant un indice de paramètre de sécurité (Security Parameters Index ou SPI), l adresse du destinataire et le protocole de sécurité (AH ou ESP). Elle est unidirectionnelle, il faut donc deux SA pour
17 CHAPITRE 3. LA SÉCURITÉ SUR LE RÉSEAU 16 qu une communication bidirectionnelle soit établie. Une association de sécurité contient entre autre les paramètres suivants : l algorithme d authentification, les clés de chiffrement,les paramètres de synchronisation... utilisés pour générer l extension choisie. la durée de vie de la SA, qui doit être régulièrement renouvelée afin d éviter que des clés de chiffrement ne soient utilisées trop longtemps. le mode du protocole IPsec : tunnel ou transport. L ensemble des SA est contenu dans une base de donnée appelée le SAD (Security Association Database). Le choix de la SA à appliquer s effectue en fonction des polices de sécurité définies sur la machine. L ensemble de ces polices de sécurité est regroupé dans un SPD(Security Policy Database). Lorsqu un paquet IP doit être émis, la pile IP va vérifier dans le SPD si une politique de sécurité doit s appliquer à ce paquet. Le cas échéant la pile IP ira chercher dans le SAD la SA correspondante.
18 Chapitre 4 Déroulement du Projet 4.1 Chronologie semaine 46 : Réunion avec M. Redon pour spécifier le travail à fournir. Découverte du matériel de maquette, recherche de documentation sur IPv6 et lecture des RFCs. semaine 47 : Installation d une Debian et passage des deux postes à un noyau semaine 48 : Tests sur IPv6, capture de trames. semaine 49 : Pas d avancement dans le projet du fait du travail à fournir pour le dossier technique. semaine 50 : Documentation sur IPsec, premiers essais infructueux de chiffrement semaine 51 : Premiers tests réussis de chiffrement entre les deux machines de maquette, en configuration manuelle. semaine 52 : Vacances de Noël. semaine 01 : Vacances de Noël. semaine 02 : Déménagement pour cause de changement de vlan dans la salle Titenka (le nouveau vlan ne permettant pas l accès au réseau IPv6 de l école). Installation en Titus. semaine 03 : Découverte de racoon semaine 04 : Multiples tests avec racoon sur noyau et semaine 05 : Passage au noyau 2.6.2, premiers essais réussis de communication avec racoon. semaine 06 : Test de isakmpd. semaine 07 : Test de FreeSwan. Réalisation du script de déploiement de racoon. semaine 08 : Rédaction du rapport. Test du noyau
19 CHAPITRE 4. DÉROULEMENT DU PROJET 18 semaine 09 : Soutenance. 4.2 Travaux préliminaires Mise en place du matériel Dans le cadre de ce projet, nous avons dans un premier temps utilisé deux ordinateurs, reliés au réseau de l école, sur lesquels nous avons installé une distribution de GNU/Linux Debian[8] Sid 1. Cette distribution possédait un noyau 2.2. Or, pour pouvoir travailler en IPv6, il était nécessaire d utiliser un noyau plus récent. Nous avons donc téléchargé, décompressé, configuré et compilé le dernier noyau Linux en date. Pendant la première moitiée du projet, il s agissait d une version de test du noyau 2.6 (2.6-test9) en attendant qu arrive la version définitive (2.6.0). Notre choix s est porté sur le noyau 2.6 et non le 2.4 car le noyau 2.6 intègre en natif l IPsec alors que pour le 2.4, qui est le noyau qui est installé sur toutes les machines de TP de l école, il faut appliquer un patch pour avoir IPsec. En plus de ces deux ordinateurs, nous avons utilisé nos ordinateurs portables personnels : un ibook d Apple avec le système d exploitation Mac OS X 10.2 et une autre machine sous Windows XP afin de voir si il est possible, avec des machines extérieures, d établir des communications chiffrées. Par la suite, notre configuration a évolué après la mi-projet. Au point de vue matériel, nous avons récupéré une troisième machine, sur laquelle nous avons également installé une distribution Debian et le noyau 2.6. Nous avons relié nos trois machines de test à un concentrateur(hub) 10 Mbits afin d avoir une configuration similaire aux salles de TP (où toutes les machines d une même salle sont reliées à un concentrateur). Nous avons continué d utiliser l ibook sur lequel nous avons installé la version de Mac OS X 10.3, plus adaptée que la 10.2 à la gestion de l IPv6. Quand à l autre ordinateur portable, un problème matériel nous a contraint à cesser nos tests avec. Au point de vue logiciel, nous avons fait évoluer le noyau à chaque fois qu une nouvelle version était disponible sur Internet et nous avons upgrader nos modules afin que ces derniers soient le plus à jour possible. 1 Il existe en permanence trois versions de Debian : stable, testing et unstable. Sid est le nom de code de l actuelle version unstable
20 CHAPITRE 4. DÉROULEMENT DU PROJET Prise de contact IPv6 Fig. 4.1 Capture d une trame RIPng Au commencement de notre projet, nous n avions aucune connaissances sur le protocole IPv6. Nous connaissions son existence, nous savions qu IPv6 posséde un espace d adressage plus important qu IPv4 et c est tout. Il nous a donc fallu une phase d apprentissage du protocole. Cette phase a tout d abord commencé par une recherche de documentation sur le protocole. Même si Internet fut notre principale source, nous avons également trouvé notre bonheur dans la presse spécialisée[3]. Lors de notre premier entretien avec notre tuteur, celui-ci nous a conseillé de réaliser tous les tests possibles permis à l école (voir Chapitre I/C sur l implémentation d IPv6 à Polytech Lille). Le premier des tests réalisés était de capturer quelques trames IPv6 circulant sur le réseau. Des trames RIPng (Routing Information Protocol New Generation) sont envoyées périodiquement par le routeur afin que celui-ci mette à jour sa table de routage. Grâce au logiciel Ethereal, nous avons pu décortiquer ces trames et en visualiser le contenu sur la figure 4.1, page 19 Nous avons ensuite généré nos propre trames grâce aux outils ping6 et traceroute6, les équivalents de ping et traceroute pour IPv6. Ces outils permettent notamment de détecter si une machine est bien présente sur le réseau. La machine qui envoie le ping envoie une trame du type ICMP6 (Internet Control Message Protocol 6) vers la machine recherchée. Si celle-ci existe, elle renverra un autre message ICMP6, comme un accusé de reception. Toujours
Mise en place d'un Réseau Privé Virtuel
Travaux Pratiques Trucs utiles : tail f /var/log/syslog pour tous les logs de la machine et notamment les cartes ethernet d'une machine. /etc/init.d/nom_du_démon (re)start pour le démarrer ou le redémarrer.
Plus en détailIntroduction. Adresses
Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom
Plus en détailFigure 1a. Réseau intranet avec pare feu et NAT.
TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L
Plus en détailTunnels et VPN. 22/01/2009 Formation Permanente Paris6 86
Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement
Plus en détailTP réseaux Translation d adresse, firewalls, zonage
TP réseaux Translation d adresse, firewalls, zonage Martin Heusse, Pascal Sicard 1 Avant-propos Les questions auxquelles il vous est demandé de répondre sont indiquées de cette manière. Il sera tenu compte
Plus en détailSSL ET IPSEC. Licence Pro ATC Amel Guetat
SSL ET IPSEC Licence Pro ATC Amel Guetat LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol) SSL - SECURE SOCKET LAYER Historique
Plus en détailServices Réseaux - Couche Application. TODARO Cédric
Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port
Plus en détailIntroduction aux Technologies de l Internet
Introduction aux Technologies de l Internet Antoine Vernois Université Blaise Pascal Cours 2006/2007 Introduction aux Technologies de l Internet 1 Au programme... Généralités & Histoire Derrière Internet
Plus en détailSécurité des réseaux IPSec
Sécurité des réseaux IPSec A. Guermouche A. Guermouche Cours 4 : IPSec 1 Plan 1. A. Guermouche Cours 4 : IPSec 2 Plan 1. A. Guermouche Cours 4 : IPSec 3 Pourquoi? Premier constat sur l aspect critique
Plus en détailPrésentation du modèle OSI(Open Systems Interconnection)
Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:
Plus en détail2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement
Plus en détailDevoir Surveillé de Sécurité des Réseaux
Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La
Plus en détailRéseaux IUP2 / 2005 IPv6
Réseaux IUP2 / 2005 IPv6 1 IP v6 : Objectifs Résoudre la pénurie d'adresses IP v4 Délai grâce à CIDR et NAT Milliards d'hôtes même avec allocation inefficace des adresses Réduire la taille des tables de
Plus en détailPlan. Programmation Internet Cours 3. Organismes de standardisation
Plan Programmation Internet Cours 3 Kim Nguy ên http://www.lri.fr/~kn 1. Système d exploitation 2. Réseau et Internet 2.1 Principes des réseaux 2.2 TCP/IP 2.3 Adresses, routage, DNS 30 septembre 2013 1
Plus en détailFirewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détailIPsec: Présentation et Configuration
IPsec: Présentation et Configuration version 1.7-22 avril 2003 Olivier Courtay ======================================================================== Ce document est la propriété des partenaires du projet
Plus en détailFonctionnement du protocole DHCP. Protocole DHCP (S4/C7)
Protocole DHCP (S4/C7) Le protocole DHCP (Dynamic Host Configuration Protocol) Le service DHCP permet à un hôte d obtenir automatiquement une adresse IP lorsqu il se connecte au réseau. Le serveur DHCP
Plus en détailMéthode 1 : Mise en place IPSEC
Méthode 1 : Mise en place IPSEC PC1 192.168.238.130 PC2 192.168.238.131 Installation des outils «ipsec-tools» et «racoon» via les paquets ubuntu : sudo -s apt-get install ipsec-tools apt-get install racoon
Plus en détailL3 informatique Réseaux : Configuration d une interface réseau
L3 informatique Réseaux : Configuration d une interface réseau Sovanna Tan Septembre 2009 Révision septembre 2012 1/23 Sovanna Tan Configuration d une interface réseau Plan 1 Introduction aux réseaux 2
Plus en détailMise en route d'un Routeur/Pare-Feu
Mise en route d'un Routeur/Pare-Feu Auteur : Mohamed DAOUES Classification : T.P Numéro de Version : 1.0 Date de la création : 30.05.2011 2 Suivi des Versions Version : Date : Nature des modifications
Plus en détailAlgorithmique et langages du Web
Cours de Algorithmique et langages du Web Jean-Yves Ramel Licence 1 Peip Biologie Groupe 7 & 8 Durée totale de l enseignement = 46h ramel@univ-tours.fr Bureau 206 DI PolytechTours Organisation de la partie
Plus en détailLes Réseaux Privés Virtuels (VPN) Définition d'un VPN
Les Réseaux Privés Virtuels (VPN) 1 Définition d'un VPN Un VPN est un réseau privé qui utilise un réseau publique comme backbone Seuls les utilisateurs ou les groupes qui sont enregistrés dans ce vpn peuvent
Plus en détailVPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005
VPN TLS avec Matthieu Herrb 14 Mars 2005 Coordinateurs Sécurité CNRS - 14/3/2005 Pour en finir avec IPSec IPSec : sécurisation au niveau réseau. développé avec IPv6, protocoles spécifiques AH & ESP, modes
Plus en détailLe protocole SSH (Secure Shell)
Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction
Plus en détailWindows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.
2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation
Plus en détailRéseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.
Mise à jour: Mars 2012 Objectif du module Réseaux Informatiques [Archi/Lycée] http://fr.wikipedia.org/ Nicolas Bredèche Maître de Conférences Université Paris-Sud bredeche@lri.fr Acquérir un... Ressources
Plus en détailUFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP
Université de Strasbourg Licence Pro ARS UFR de Mathématiques et Informatique Année 2009/2010 1 Adressage IP 1.1 Limites du nombre d adresses IP 1.1.1 Adresses de réseaux valides Réseaux Locaux TP 04 :
Plus en détailDIFF AVANCÉE. Samy. samy@via.ecp.fr
DIFF AVANCÉE Samy samy@via.ecp.fr I. RETOUR SUR QUELQUES PROTOCOLES COUCHE FONCTIONS Protocoles 7 Application 6 Présentation 5 Session 4 Transport 3 Réseau 2 Liaison 1 Physique Interface entre l utilisateur
Plus en détailPrésentation sur les VPN
Rapport d'exposé Présentation sur les VPN Étudiants : Denis de REYNAL Jehan-Guillaume de RORTHAIS Sun Seng TAN Informatique et Réseaux 3éme année Février 2004 UFR Ingénieurs2000 13 / 02 / 2004 Table des
Plus en détailCours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -
Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction
Plus en détailII/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)
II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection) II.2/ Description des couches 1&2 La couche physique s'occupe de la transmission des bits de façon brute sur un canal de
Plus en détailTunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud Sophie.Nicoud@urec.cnrs.
Tunnels ESIL INFO 2005/2006 Sophie Nicoud Sophie.Nicoud@urec.cnrs.fr Plan Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs 2 Tunnels, pourquoi? Relier deux réseaux locaux à travers
Plus en détailIPSEC : PRÉSENTATION TECHNIQUE
IPSEC : PRÉSENTATION TECHNIQUE Ghislaine Labouret Hervé Schauer Consultants (HSC) 142, rue de Rivoli 75001 Paris FRANCE http://www.hsc.fr/ IPsec : présentation technique Par Ghislaine LABOURET (Ghislaine.Labouret@hsc.fr)
Plus en détailIntérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT
Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière
Plus en détailCompte-rendu du TP n o 2
Qiao Wang Charles Duchêne 27 novembre 2013 Compte-rendu du TP n o 2 Document version 1.0 F2R UV301B IPv6 : déploiement et intégration Sommaire 1. ÉTABLISSEMENT DU PLAN D ADRESSAGE 2 2. CONNEXION DU ROUTEUR
Plus en détailLAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ
LAB : Schéma Avertissement : l exemple de configuration ne constitue pas un cas réel et ne représente pas une architecture la plus sécurisée. Certains choix ne sont pas à prescrire dans un cas réel mais
Plus en détailRéseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux
Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs
Plus en détailCisco Certified Network Associate
Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 5 01 Dans un environnement IPv4, quelles informations un routeur utilise-t-il pour transmettre des paquets de données
Plus en détailSYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM
SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM Copyright TECH 2012 Technext - 8, avenue Saint Jean - 06400 CANNES Société - TECHNEXT France - Tel : (+ 33) 6 09 87 62 92 - Fax :
Plus en détailPrésentation et portée du cours : CCNA Exploration v4.0
Présentation et portée du cours : CCNA Exploration v4.0 Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco Networking Academy diplômés en ingénierie, mathématiques
Plus en détailInternet Protocol. «La couche IP du réseau Internet»
Internet Protocol «La couche IP du réseau Internet» Rôle de la couche IP Emission d un paquet sur le réseau Réception d un paquet depuis le réseau Configuration IP par l administrateur Noyau IP Performance
Plus en détailPrésentation et portée du cours : CCNA Exploration v4.0
Présentation et portée du cours : CCNA Exploration v4.0 Dernière mise à jour le 3 décembre 2007 Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco Networking
Plus en détailNote technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau
P R E M I E R M I N I S T R E Secrétariat général Paris, le 31 août 2012 de la défense et de la sécurité nationale N o DAT-NT-003/ANSSI/SDE/ Agence nationale de la sécurité Nombre de pages du document
Plus en détailChapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet
Chapitre I La couche réseau 1. Couche réseau 1 Historique de l Internet Né 1969 comme projet (D)ARPA (Defense) Advanced Research Projects Agency; US Commutation de paquets Interconnexion des universités
Plus en détailNOTIONS DE RESEAUX INFORMATIQUES
NOTIONS DE RESEAUX INFORMATIQUES GENERALITES Définition d'un réseau Un réseau informatique est un ensemble d'équipements reliés entre eux afin de partager des données, des ressources et d'échanger des
Plus en détailSécurité GNU/Linux. Virtual Private Network
Sécurité GNU/Linux Virtual Private Network By ShareVB Sommaire I.Le concept de réseau privé virtuel...1 a)introduction...1 b)un peu plus sur le fonctionnement du VPN...2 c)les fonctionnalités du VPN en
Plus en détailDHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013
DHCP et NAT Cyril Rabat cyril.rabat@univ-reims.fr Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 22-23 Cours n 9 Présentation des protocoles BOOTP et DHCP Présentation du NAT Version
Plus en détail2. DIFFÉRENTS TYPES DE RÉSEAUX
TABLE DES MATIÈRES 1. INTRODUCTION 1 2. GÉNÉRALITÉS 5 1. RÔLES DES RÉSEAUX 5 1.1. Objectifs techniques 5 1.2. Objectifs utilisateurs 6 2. DIFFÉRENTS TYPES DE RÉSEAUX 7 2.1. Les réseaux locaux 7 2.2. Les
Plus en détailCours CCNA 1. Exercices
Cours CCNA 1 TD3 Exercices Exercice 1 Enumérez les sept étapes du processus consistant à convertir les communications de l utilisateur en données. 1. L utilisateur entre les données via une interface matérielle.
Plus en détailRouteur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.
Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05
Plus en détail1 PfSense 1. Qu est-ce que c est
1 PfSense 1 Qu est-ce que c est une distribution basée sur FreeBSD ; un fournisseur de services : serveur de temps : NTPD ; relais DNS ; serveur DHCP ; portail captif de connexion ; un routeur entre un
Plus en détailRappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:
Administration d un Intranet Rappel: Le routage dans Internet La décision dans IP du routage: - Table de routage: Adresse destination (partie réseau), netmask, adresse routeur voisin Déterminer un plan
Plus en détailInternet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier
Plan Internet - Outils Nicolas Delestre 1 DHCP 2 Firewall 3 Translation d adresse et de port 4 Les proxys 5 DMZ 6 VLAN À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier 7 Wake On Line
Plus en détailTR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ
TR2 : Technologies de l'internet Chapitre VI NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ 1 NAT : Network Address Translation Le NAT a été proposé en 1994
Plus en détailSécurité des réseaux Firewalls
Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et
Plus en détailCh2 La modélisation théorique du réseau : OSI Dernière maj : jeudi 12 juillet 2007
Ch2 La modélisation théorique du réseau : OSI Dernière maj : jeudi 12 juillet 2007 I. LA NORMALISATION... 1 A. NORMES... 1 B. PROTOCOLES... 2 C. TECHNOLOGIES RESEAU... 2 II. LES ORGANISMES DE NORMALISATION...
Plus en détailCulture informatique. Cours n 9 : Les réseaux informatiques (suite)
Culture informatique Cours n 9 : Les réseaux informatiques (suite) 1 Un réseau : Nécessité de parler un langage commun pour pouvoir communiquer dans un réseau. Différents niveaux de communication Physique,
Plus en détailVirtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)
Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3) Table des matières 1. Présentation de l atelier 2 1.1.
Plus en détailM1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015
M1101a Cours 4 Réseaux IP, Travail à distance Département Informatique IUT2, UPMF 2014/2015 Département Informatique (IUT2, UPMF) M1101a Cours 4 2014/2015 1 / 45 Plan du cours 1 Introduction 2 Environnement
Plus en détailRESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual
RESEAUX TCP/IP: NOTIONS AVANCEES Preparé par Alberto EscuderoPascual Objectifs... Répondre aux questions: Quelles aspects des réseaux IP peut affecter les performances d un réseau Wi Fi? Quelles sont les
Plus en détailGestion de bureaux à distance avec Vino
Accueil A propos Nuage de Tags Contribuer Who s who Récoltez l actu UNIX et cultivez vos connaissances de l Open Source 09 août 2008 Gestion de bureaux à distance avec Vino Catégorie : Utilitaires Tags
Plus en détailComputer Networking: A Top Down Approach Featuring the Internet, 2 nd edition. Jim Kurose, Keith Ross Addison-Wesley, July 2002. ENPC.
Computer Networking: A Top Down Approach Featuring the Internet, 2 nd edition. Jim Kurose, Keith Ross Addison-Wesley, July 2002. Réseau 1 Architecture générale Couche : IP et le routage Couche : TCP et
Plus en détailRappels réseaux TCP/IP
Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle
Plus en détailMaster d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases
Master d'informatique 1ère année Réseaux et protocoles Architecture : les bases Bureau S3-203 Mailto : alexis.lechervy@unicaen.fr D'après un cours de Jean Saquet Réseaux physiques LAN : Local Area Network
Plus en détail18 TCP Les protocoles de domaines d applications
18 TCP Les protocoles de domaines d applications Objectifs 18.1 Introduction Connaître les différentes catégories d applications et de protocoles de domaines d applications. Connaître les principaux protocoles
Plus en détailTP 2 Réseaux. Adresses IP, routage et sous-réseaux
TP 2 Réseaux Adresses IP, routage et sous-réseaux C. Pain-Barre INFO - IUT Aix-en-Provence version du 24/2/2 Adressage IP. Limites du nombre d adresses IP.. Adresses de réseaux valides Les adresses IP
Plus en détailGroupe Eyrolles, 2006, ISBN : 2-212-11933-X
Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle
Plus en détailSécurité des réseaux sans fil
Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification
Plus en détailProgrammation Réseau. ! UFR Informatique ! 2013-2014. Jean-Baptiste.Yunes@univ-paris-diderot.fr
Programmation Réseau Jean-Baptiste.Yunes@univ-paris-diderot.fr! UFR Informatique! 2013-2014 1 Programmation Réseau Introduction Ce cours n est pas un cours de réseau on y détaillera pas de protocoles de
Plus en détailTP : Introduction à TCP/IP sous UNIX
1 Introduction TP : Introduction à TCP/IP sous UNIX Le but de cette séance est de vous familiariser au fonctionnement de la pile TCP/IP sous UNIX. Les systèmes UNIX (Linux, FreeBSD, Solaris, HPUX,...)
Plus en détailLe filtrage de niveau IP
2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.
Plus en détailCapture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark
Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark Wireshark est un programme informatique libre de droit, qui permet de capturer et d analyser les trames d information qui transitent
Plus en détailSécurité des réseaux Les attaques
Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques
Plus en détailLe Multicast. A Guyancourt le 16-08-2012
Le Multicast A Guyancourt le 16-08-2012 Le MULTICAST Définition: On entend par Multicast le fait de communiquer simultanément avec un groupe d ordinateurs identifiés par une adresse spécifique (adresse
Plus en détailSÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE
PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l
Plus en détailFormation Iptables : Correction TP
Table des matières 1.Opérations sur une seule chaîne et sur la table filter:...2 2.Opérations sur plusieurs chaînes et sur la table filter:...5 3.Opérations sur plusieurs chaires et sur plusieurs tables
Plus en détailChapitre 11 : Le Multicast sur IP
1 Chapitre 11 : Le Multicast sur IP 2 Le multicast, Pourquoi? Multicast vs Unicast 3 Réseau 1 Serveur vidéo Réseau 2 Multicast vs Broadcast 4 Réseau 1 Serveur vidéo Réseau 2 Multicast 5 Réseau 1 Serveur
Plus en détailCisco Certified Network Associate
Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 3 01 Quel protocole de la couche application sert couramment à prendre en charge les transferts de fichiers entre un
Plus en détailUniversité Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall
Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP réseau firewall L objectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall) entre
Plus en détailSécurité et Firewall
TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette
Plus en détailÉtude de l application DNS (Domain Name System)
Étude de l application DNS (Domain Name System) RICM 4 - Option Réseaux Pascal Sicard Introduction Le but de ce TP est de comprendre l utilisation et le fonctionnement de l application réseau DNS (Domain
Plus en détailProgramme formation pfsense Mars 2011 Cript Bretagne
Programme formation pfsense Mars 2011 Cript Bretagne I.Introduction : les réseaux IP...2 1.A.Contenu pédagogique...2 1.B....2 1.C...2 1.D....2 II.Premiers pas avec pfsense...2 2.A.Contenu pédagogique...2
Plus en détailMISE EN PLACE DU FIREWALL SHOREWALL
MISE EN PLACE DU FIREWALL SHOREWALL I. LA MISSION Dans le TP précédent vous avez testé deux solutions de partage d une ligne ADSL de façon à offrir un accès internet à tous vos utilisateurs. Vous connaissez
Plus en détailRéseaux CPL par la pratique
Réseaux CPL par la pratique X a v i e r C a r c e l l e A v e c l a c o n t r i b u t i o n d e D a v o r M a l e s e t G u y P u j o l l e, e t l a c o l l a b o r a t i o n d e O l i v i e r S a l v
Plus en détailTCP/IP, NAT/PAT et Firewall
Année 2011-2012 Réseaux 2 TCP/IP, NAT/PAT et Firewall Nicolas Baudru & Nicolas Durand 2e année IRM ESIL Attention! Vous devez rendre pour chaque exercice un fichier.xml correspondant à votre simulation.
Plus en détailLes RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)
Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks) TODARO Cédric Table des matières 1 De quoi s agit-il? 3 1.1 Introduction........................................... 3 1.2 Avantages............................................
Plus en détailLe protocole ARP (Address Resolution Protocol) Résolution d adresses et autoconfiguration. Les protocoles ARP, RARP, TFTP, BOOTP, DHCP
Résolution d adresses et autoconfiguration Les protocoles ARP, RARP, TFTP, BOOTP, DHCP Le protocole ARP (Address Resolution Protocol) Se trouve au niveau de la couche réseau Interrogé par le protocole
Plus en détailRéalisation d un portail captif d accès authentifié à Internet 10.10.10.1
Master 1 ère année UE Réseaux avancés I Projet Réalisation d un portail captif d accès authentifié à Internet Présentation du projet Le but du projet est de mettre en place un portail captif permettant
Plus en détailDécouverte de réseaux IPv6
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Découverte de réseaux IPv6 Nicolas Collignon
Plus en détailPACK SKeeper Multi = 1 SKeeper et des SKubes
PACK SKeeper Multi = 1 SKeeper et des SKubes De plus en plus, les entreprises ont besoin de communiquer en toute sécurité avec leurs itinérants, leurs agences et leurs clients via Internet. Grâce au Pack
Plus en détailSOMMAIRE : CONFIGURATION RESEAU SOUS WINDOWS... 2 INSTRUCTIONS DE TEST DE CONNECTIVITE... 5
SOMMAIRE : CONFIGURATION RESEAU SOUS WINDOWS... 2 INTRODUCTION... 2 CONFIGURATION DE L INTERFACE RESEAU... 3 INSTRUCTIONS DE TEST DE LA CONNECTIVITE.... 5 INTRODUCTION... 5 INSTRUCTIONS DE TEST DE CONNECTIVITE...
Plus en détailMettre en place un accès sécurisé à travers Internet
Mettre en place un accès sécurisé à travers Internet Dans cette partie vous verrez comment configurer votre serveur en tant que serveur d accès distant. Dans un premier temps, les méthodes pour configurer
Plus en détailLes réseaux des EPLEFPA. Guide «PfSense»
Les réseaux des EPLEFPA Guide «PfSense» Chantier national DRTIC http://drtic.educagri.fr/ Mai 2010 2 Table des matières 1 Installation de la PfSense...3 Schéma de principe...3 Préalable...3 Installation...4
Plus en détailPlan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014
École Supérieure d Économie Électronique Chap 9: Composants et systèmes de sécurité 1 Rhouma Rhouma 21 Juillet 2014 2 tagging et port trunk Création des via les commandes sur switch cisco 1 / 48 2 / 48
Plus en détailSpécialiste Systèmes et Réseaux
page 1/5 Titre professionnel : «Technicien(ne) Supérieur(e) en Réseaux Informatiques et Télécommunications» inscrit au RNCP de niveau III (Bac + 2) (J.O. du 19/02/2013) 24 semaines + 8 semaines de stage
Plus en détailProtocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier
Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier Plan 1. ARP 2. DHCP 3. ICMP et ping 4. DNS 5.Paquet IPv4 1.
Plus en détailVPN. Réseau privé virtuel Usages :
VPN Réseau privé virtuel Usages : fournir l'accès à des ressources internes aux clients nomades relier 2 réseaux d'entreprise (sites distants par ex, ou relier 2 labos de maths ;) ( contourner des sécurités)
Plus en détailSécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr
Sécurité d IPv6 Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 1 / 24 Sécurité d IPv6 Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 2 / 24 Introduction IPv6 est la version d IP normalisée en 1995-1998 (RFC
Plus en détail