Réseaux Internet & Services

Transcription

1 Préambule Réseaux Internet & Services SRC2 Meaux Aurélie Quidelleur D après le support de cours Réseaux Internet et Services, SRC2 Meaux , de C. Bernard Matière - Réseaux et Services sur Réseaux Module - Réseaux Internet & Services Réseaux Internet & Services 1 Objectifs : Connaître l organisation du réseau Internet. Etre capable d installer et d utiliser les services Internet (résolution de noms, courrier électronique, consultation de pages web, transfert de fichiers, ) au niveau serveurs et clients. Pré-requis : Module M2211 : Présentation des services, infrastructure des réseaux Module M2221 : Administration et sécurité des réseaux. Contenu : Historique, structure et fonctionnement du réseau Internet. Protocoles du modèle Internet : IP, TCP, UDP. Service de résolution de noms : DNS. Service de courrier électronique : SMTP, POP, IMAP, MIME. Service de pages web statique et dynamique : HTTP Service de transfert de fichiers : FTP. Service de visioconférence : RTP, RTCP, ; téléphonie sur IP. Travaux Pratiques : Installation, configuration, gestion et utilisation des services Internet ; configuration de serveurs et de clients. : indique un approfondissement hors programme ; s adresse aux étudiants désirant poursuivre en école d ingénieur Réseaux Internet & Services 2 Sommaire La vague Internet Introduction Architecture d Internet Le système de résolution de noms DNS Service de transfert de fichiers : FTP Telnet - SSH Les protocoles de messagerie Les protocoles du web Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Réseaux Internet & Services 3 Internet, son ancêtre : ARPANET, conçu dans les années 1960 par le DARPA But : Concevoir une architecture de réseau dans laquelle la rupture d une liaison n interrompt pas brutalement les conversations Principe : les données sont découpées en «paquets» de bits, chaque paquet peut emprunter un chemin différent pour atteindre sa destination => réseau à commutation de paquets Connexion des centres du DoD à l ARPANET dans les années 1970, puis des centres de recherche et des universités Fin des années 1980 : connexion des entreprises privées => naissance de l Internet Standardisation de IPv4 en 1981 (RFC 791) Tous ces réseaux fonctionnent selon les protocoles de routage et de transport TCP/IP Aujourd hui 400 millions de machines accessibles (janv. 2006, (1980 quelques dizaines d hôtes, millions de machines réparties en réseaux) Réseaux Internet & Services 4 Quelques indicateurs pour le secteur Réseaux & Télécoms Explosion du marché des Télécoms Volume des transmissions de données qui double tous les ans La vague Internet En France, 12.7 millions d abonnements à Internet à haut débit au 31/12/2006 (soit une progression de 7.7% par rapport à la fin du 3 ème trimestre 2006) - Réf. : ) Place de plus en plus importante dans les économies nationales Revenus des opérateurs de communications électroniques sur le marché des clients finaux : 10.3 milliards d euros au 3 ème trimestre 2006 Réf. : Trois composantes majeures du marché (téléphonie fixe, Internet et téléphonie mobile) : 8.1 milliards d euros au 3 ème trimestre 2006 (+ 3.7% sur un an) Déréglementation - Arrivée de nouveaux opérateurs sur le marché 32 FAI (Fournisseur d Accès Internet) en France Les acteurs du monde Réseaux & Télécom Les constructeurs : Alcatel-Lucent, Ericsson, Siemens Les opérateurs : France Télécom, Deutsche Telecom, AT&T (US), GTE-Sprint (US), NTT (Japon), British Telecom. Réseaux Internet & Services 5 Sommaire Introduction Architecture d Internet Eléments clefs du modèles TCP/IP, La suite TCP/IP La couche Transport Les numéros de ports, TCP, UDP La couche Internet Rôle de la couche Internet, Format du paquet IP La couche Ethernet Les équipements d interconnexion Les adresses IP Les protocoles ARP, ICMP Le système de résolution de noms DNS Service de transfert de fichiers : FTP Telnet - SSH Les protocoles de messagerie Les protocoles du web Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Réseaux Internet & Services 6

2 Le réseau Internet Attention! Internet n est pas à proprement parler UN réseau, mais une interconnexion de réseaux d opérateurs, réalisée suivant les protocoles TCP/IP (Transport Control Protocol/Internet Protocol). Interopérabilité au niveau des applications TCP/IP aujourd hui clef de voûte des réseaux Les utilisateurs font appel aux applications sans avoir besoin de connaître les technologies et l architecture de l Internet Les services réseaux les plus populaires Le courrier électronique Le web (protocoles HTTP) Les forums de discussions (news) Le transfert de fichiers (FTP, File Transfer Protocol) L accès à des machines distantes (telnet) Le «chat», les bourses d échanges point à point Réseaux Internet & Services 7 Caractéristiques de TCP/IP Internet caractérisé par ces deux principaux protocoles : TCP/IP (Transport Control Protocol/Internet Protocol) Protocole ouvert sources disponibles gratuitement et développées indépendamment d'une architecture particulière, d'un système d'exploitation particulier, d'une structure commerciale propriétaire Protocole indépendant du support physique du réseau véhiculé par des supports et des technologies aussi différents qu'ethernet, une liaison louée, une liaison radio (satellites, wifi a/b/g), une liaison FDDI, xdsl, ATM. Mode d'adressage commun à tous les utilisateurs de TCP/IP Standardisation des protocoles de haut niveau L IETF (Internet Engineering Task Force) : groupe international de chercheurs et d industriels qui collaborent pour produire les standards de l Internet ( RFC (Request For Comment) : ensemble des spécifications et évolutions des protocoles TCP/IP Réseaux Internet & Services 8 Modèle OSI et TCP/IP Les protocoles du modèle TCP/IP Architecture en 4 couches Ainsi nommé en raison de ses deux principaux protocoles : TCP (Transmission Control Protocol) et IP (Internet Protocol) Couche Transport : 2 protocoles, TCP mode fiable connecté et UDP mode non connecté Couche Internet : mode sans connexion, définit le protocole IP, le format des paquets et plusieurs protocoles de routage Couche 1&2 non séparées : Ethernet, la principale implémentation Application Transport Internet Hôte/Réseau FTP Telnet File Transfer Protocol SMTP Simple Mail Transfert Protocol TCP Transport Control Protocol IP Internet Protocol Ethernet FDDI Fiber Data Distributed Interface SNMP Simple Network Management Protocol HTTP HyperText Transfer Protocol NFS DNS Network File System Domain Name Service ICMP Internet Control Message Protocol UDP User Datagram Protocol ARP Address Resolution Protocol PPP Point to Point Protocol RIP Routing Information Protocol ATM Asynchronous Transfer Mode Réseaux Internet & Services 9 Réseaux Internet & Services 10 Les protocoles de la couche Transport TCP, UDP : Les numéros de port 1/2 La couche transport couvre l implémentation des deux protocoles TCP : Transmission Control Protocol (mode orienté connexion) RFC 793 UDP : User Datagram Protocol (mode non connecté) RFC 768 Sa principale fonction est de réaliser une transmission de bout en bout des messages entre deux stations (End to End Transport Service) Par conséquent, la couche transport n est pas implémentée dans les équipements intermédiaires (routeurs) Elle met en relation les deux processus communicants qui résident dans les extrémités de la liaison Offre des services indépendamment du type du réseau, elle pallie donc les insuffisances du réseau Réseaux Internet & Services 11 Identification d une application : numéro de port Le port est une destination abstraite utilisée par le protocole Socket = combinaison adresse IP numéro de port est le démon telnetd sur la station La combinaison de deux sockets définit complètement une connexion TCP ou un échange UDP Exemple et Connexion entre un processus client qui a pris le numéro 1094 sur la machine et le démon telnetd sur la machine Un utilisateur sur a fait un telnet sur la machine Visible avec la commande netstat a, avec l analyseur de trafic iptraf Client Commande tapée par Serveur exécutant : l utilisateur : démon telnetd Port 1094 telnet Port 23 Réseaux Internet & Services 12

3 TCP, UDP : Les numéros de port 2/2 TCP (RFC 793) Port prédéfini (RFC 1060 «assigned numbers» pour les services (numérotés de 0 à 1023) 20 : FTP transfert de données (File Transfer Protocol) 21 : FTP contrôle 23 : Telnet 25 : SMTP 53 : DNS 69 : TFTP 80 : web HTTP 161 : SNMP Mode client serveur Serveur, on parle de démons dans Unix (Linux) Le client se voit attribuer un numéro de port non affecté (>1024) pour éviter toute confusion avec les ports «officiels» Tous les équipements TCP/IP respectent cette attribution de ports pré-définis Fichier /etc/services sous Unix Réseaux Internet & Services 13 Importance dans l Internet : 90% du trafic, utilisation optimale des ressources réseaux Domaines d application : Web avec le protocole HTTP, Transfert de fichier avec le protocole FTP, Telnet... TCP ne «tourne» pas dans les routeurs (uniquement aux extrémités) Traite les données venant des couches supérieures comme une suite d octets (principe de l encapsulation) Découpe cette suite d octets en segments (Taille max. 64 koctets) Un segment TCP est contenu dans un datagramme IP (Champ protocole du datagramme IP = 6) Des segments sont échangés pour Ouvrir les connexions Transférer les données Envoyer des acquittements, gérer le contrôle de flux Fermer les connexions Réseaux Internet & Services 14 Format du segment TCP Taille minimale de 20 octets Bit 0 Bit 15 Bit 16 Bit 31 Source port (16) Destination port (16) HLEN (4) Sequence number (32) Acknowledgment number (32) FIN RST PSH SYN ACK URG Rsvd (6) Window (16) Checksum (16) Urgent (16) Options (varies) Data (varies if any) Padding 20 octets min Champs de l en tête TCP Source Port, Destination Port (16 bits) : numéro du port qui identifie l application du côté émetteur et destinataire Sequence number (32 bits), Acknowledgment number (32 bits) : Pour le séquencement et l acquittement des données reçues HLEN (Header Length, 4 bits) ou Data Offset : Longueur de l entête donnée en multiple de 32 bits (souvent 5) Rsvd (Reserved) : Réservé, toujours à 0 Code bits (6 bits) : Drapeaux (flags) pour l établissement et la fermeture de la session. 6 flags : URG, ACK, SYN, PSH, RST, FIN Window (16 bits) : Taille de la fenêtre coulissante (nombre d octets qu on peut recevoir à la fois avant acquittement). Mécanisme de contrôle de flux. Cheksum (16 bits) : code pour la détection et la correction d erreurs sur l entête et les données Urgent Pointer (16 bits) : indique le dernier octet urgent à transmettre si flag URG à 1 Options : permet d ajouter des options (options standards décrites dans les RFC, par exemple taille maximale du segment négociée au moment de l établissement de la connexion) Réseaux Internet & Services 15 Réseaux Internet & Services 16 Les code bits 1/2 URG (URGent) Indique que le champ pointeur urgent est significatif (exemple interruption CTRL C dans un telnet) Utilisé pour que TCP envoie le plus vite possible à la couche supérieure les données. Le récepteur ne doit pas transmettre les données dans l ordre du tampon, mais doit faire passer à l application les données signalées comme urgentes avant le reste de la file d attente. Ex. : Indispensable pour transmettre les interruptions ACK (ACKnowledgment) Indique que le segment transporte un accusé de réception SYN (SYNchronization) Utilisé pour établir la connexion TCP Les code bits 2/2 PSH (PuSH) Évite la mise en file d attente des informations et permet leur passage direct à l application (l émetteur ne prévoit pas d envoyer d autres données dans l immédiat) indique qu il n est pas nécessaire d attendre que la file d attente soit pleine pour transmettre les données à l application. A ne pas utiliser trop souvent pour ne pas surcharger inutilement l application, surtout si hôte en temps partagé avec de nombreuses applications RST (ReSeT) Exige une réinitialisation de la connexion Utilisé en cas de connexion coupée, connexion inexistante, erreur dans les paquets FIN Indique qu il n y a plus d informations à transmettre Réseaux Internet & Services 17 Réseaux Internet & Services 18

4 TCP : Mécanisme de la fenêtre glissante TCP : Les trois étapes de connexion Pb de l acquittement par un mécanisme de type «send and wait» On transmet un segment, puis on attend l acquittement avant de transmettre le suivant Mauvaise utilisation des ressources Notion de fenêtre d anticipation Utilisée pour le contrôle de flux. Permet d accélérer les transferts La fenêtre définit le nombre d'octets qui peuvent être envoyés sans avoir été acquittés Exemple W=3 On peut émettre 0, 1, 2 Acquittement de 0,1,2 On peut émettre 3, 4, 5 Acquittement de 3, 4 On peut émettre 5, 6, 7 etc... Réseaux Internet & Services 19 Ouverture de connexion Nécessaire avant tout transfert de données Permet d initialiser les numéros de séquences et la taille des MSS (message segment size) Le transfert de données Les octets sont envoyés dans des segments de taille maximale MSS Le numéro de séquence porté par un segment est celui du premier octet de données Le récepteur acquitte les segments reçus Le numéro d acquittement est celui du prochain octet à recevoir L acquittement est cumulatif Fermeture de la connexion Nécessaire à la fin de chaque connexion pour indiquer la fin du transfert Ce sont deux semi-fermetures, chaque entité TCP déclare la fin de la transmission Sert à libérer les ressources allouées à l ouverture de la connexion (buffers d émission/réception, les numéros de port alloués dynamiquement, le contexte de la connexion...) Réseaux Internet & Services 20 TCP : L ouverture de connexion A émet une demande de connexion avec un message TCP dont le bit SYN est positionné, et dans lequel est fourni son numéro de séquence initial (n). B retourne un message avec les bits SYN et ACK, en acquittant le numéro de séquence de A (n+1) et en fournissant son numéro de séquence initial(p) A retourne un acquittement du numéro de séquence de B (p+1) Segment 1 Segment 3 Segment 2 q = n du dernier octet de données du segment Réseaux Internet & Services 21 A SYN n:n (0) SYN p:p (0) Ack n+1 Ack p+1 Connexion établie Remarque : Notation p:q B p = n du 1er octet de données du segment TCP : Le transfert de données Envoi d un segment de p octets : le segment contient les octets n jusqu à n+p-1 A n:n+p-1 (p) Ack n+p Réseaux Internet & Services 22 B Acquittement : le prochain segment attendu démarre à l octet n+p TCP : La fermeture de connexion Exemple : session TCP sans perte Maximum Segment Size : 1024 Window : 3092 A informe B qu'il n'a plus de données à envoyer en émettant un message TCP dont le bit FIN est positionné B acquitte le message et informe l'application qu'il n'y a plus de données disponibles. Segment 1 Lorsque l'application a terminé le traitement, B libère la connexion en émettant à son tour un message TCP FIN Segment 4 A acquitte le message de B A FIN n:n (0) Ack j Ack n+1 FIN p:p (0) Ack p+1 B Segment 2 Segment 3 Application Demande ouverture active Indication connexion ouverte Emission 5120 octets Transport seq=350 SYN=1 ACK=0 seq=235 acq = 351 SYN=1 ACK=1 seq=351 acq=236 SYN=0 ACK=1 seq=352 acq=236 ACK=1 seq=1376 acq=236 ACK=1 seq=2400 acq=236 ACK=1 Transport Application Demande ouverture passive Indication connexion ouverte Indication réception 3072 octets Les 2 extrémités doivent demander la fermeture de connexion!! seq=236 acq=3424 ACK=1 Réseaux Internet & Services 23 Réseaux Internet & Services 24

5 Exemple : session TCP sans perte Maximum Segment Size : 1024 Window : 3092 TCP : Détection de perte et retransmission Application Demande déconnexion Indication cnx fermée Indication demande dcnx Transport seq=3424 acq=237 ACK=1 seq=4448 acq=237 ACK=1 PSH=1 seq=237 acq=5471 ACK=1 seq=5472 acq=238 FIN=1 ACK=1 seq=238 acq=5473 ACK=1 seq=239 acq=5473 FIN=1 ACK=1 seq=5473 acq=240 ACK=1 Transport Application Indication réception 2048 octets - Fin de msg Indication demande dcnx Demande déconnexion Indication cnx fermée Détections Par la réception d acquittement dupliqué (lors d une congestion de courte durée par exemple) (figure A) - Détection rapide Par le dépassement du délai d attente de l acquittement (suite à une assez longue congestion) (figure B) Quand la source détecte un délai d attente >> temps d aller-retour Retransmission Selective : (figure A) En cas d acquittement dupliqué Seulement le segment perdu est retransmis Go back N (figure B) En cas de dépassement du délai d attente d acquittement L'ensemble des octets correspondant aux segments non acquittés est retransmis Réseaux Internet & Services 25 Réseaux Internet & Services 26 Exemple : Session TCP avec perte Maximum Segment Size : 1024 Window : 3072 TCP : Contrôle de flux et de congestion Application Emission 5120 octets Transport seq=352 acq=236 ACK=1 seq=1376 acq=236 ACK=1 seq=2400 acq=236 ACK=1 seq=236 acq=1376 ACK=1 seq=1376 acq=237 ACK=1 seq=2400 acq=237 ACK=1 seq=3424 acq=237 ACK=1 seq=237 acq=3448 ACK=1 Transport Application Indication rcpt 3072 oct Réseaux Internet & Services 27 Le contrôle de flux Eviter que les destinataires ne soient engorgés par des sources trop rapides Se gère par la technique de la fenêtre glissante (émission/ réception) Le contrôle de congestion Eviter la transmission de segments sur le réseau alors qu il est congestionné Optimiser les taux d utilisation des ressources du réseau Se gère par une fenêtre glissante et les algorithmes de transmission Principe : Si réseau congestionné, risque de retransmissions multiples des paquets car ACK non reçus à temps et accroissement la congestion! Mesure du délai émission-réception ACK moyen : le temporisateur d attente des ACK est fonction de ce délai Diminution par 2 de la taille de la fenêtre à chaque paquet perdu Réseaux Internet & Services 28 UDP (RFC 768) Format du datagramme UDP User Data Protocol Protocole de transport non fiable Caractéristiques Protocole de transmission de message datagramme Pas de connexion, pas de séquencement, pas de fiabilité Détection d erreur bit mais pas de retransmission en cas d erreur Pas de contrôle de flux/congestion ( facile de saturer le réseau et les routeurs) Utilisation de numéros de port pour le multiplexage/démultiplexage Domaines d utilisation Transfert de fichier dans un réseau local avec TFTP (Trivial File Transfer Protocol) Résolution de nom de domaine avec DNS (Domain Name Service) Gestion de réseau avec SNMP (Simple Network Management Protocol) Communication de groupes en multicast Temps réel : flux audio vidéo pour les visioconférences avec RTP (Real-Time Transfer Protocol) Utilisé par NFS (Network File System) Réseaux Internet & Services 29 SP, DP : Les Ports source et destination (port source optionnel, identifie un port pour la réponse) Length : Longueur de tout le datagramme (taille max 64 koctets) Cheksum : Un code pour la détection d erreur Remarques : Bit 0 Bit 15 Bit 16 Bit 31 Source port (16) Destination port (16) Length (16) Checksum (16) 8 octets min Data (if any) Le protocole UDP est très simple et utile Ne nécessitant pas les trois étapes de connexion TCP Il ne fait que passer les données au protocole IP pour les acheminer à destination sans aucun contrôle : Risque de congestion du réseau!!!! Risque de perturbation non négligeable des connexions TCP Réseaux Internet & Services 30

6 Rôle de la couche Internet Rôle de la couche Internet Dans le modèle du DoD deux raisons expliquent l existence de cette couche : Adressage et routage L adressage permet une identification universelle des machines Le routage permet d atteindre ces machines grâce à leur adresse Interface unique entre les couches hautes et basses Adaptation des données aux couches 1 et 2 utilisées (par exemple segmentation/réassemblage) Les protocoles de la couche Internet : Internet Protocol (IP), RFC 791 représente à lui seul toute la couche Internet (les autres protocoles ne font que l assister dans sa fonction!) Internet Control Message Protocol (ICMP) Internet Group Message Protocol (IGMP) Address Resolution Protocol (ARP)/ Reverse ARP (RARP) Réseaux Internet & Services 31 Lors de l émission, les fonctionnalités assurées sont : identification du paquet Numérotation si fragmentation détermination de la route à suivre (routage) vérification du type d'adressage (station ou diffusion) ; Diffusion : transmission d un même paquet à toutes les stations connectées sur le réseau fragmentation de la trame si nécessaire À la réception, les fonctionnalités sont : vérification de la longueur du paquet contrôle des erreurs réassemblage en cas de fragmentation transmission du paquet réassemblé au niveau supérieur Réseaux Internet & Services 32 Pourquoi fragmenter et réassembler au niveau IP? Architecture de la couche IP Chaque protocole de la couche Hôte/réseau (Ethernet, FDDI, Token Ring ) accepte de IP une taille maximale de tranmsission (MTU, Maximum Transmission Unit) Ex. : Ethernet MTU= 1500 octets, FDDI MTU= 4352 octets Si un paquet veut traverser un réseau dont le MTU est inférieur Le routeur connectant les deux réseaux effectue la fragmentation Le réassemblage se fait sur la machine destinataire Couche 3 d une machine IP TCP Transport Transport Control Protocol Proto*=6 ICMP IP Internet Internet Control Proto=1 Internet Message Protocol Protocol UDP User Datagram Protocol Proto=17 Proto=2 IGMP Internet Group Message Protocol ARP Address Resolution Protocol Hôte/Réseau Type=0x800 Ethernet/SNAP Type=0x806 * Permet de déterminer le type de message Réseaux Internet & Services 33 Réseaux Internet & Services 34 Format du paquet IP Les champs d en-tête du paquet IP 1/3 Bit 0 Bit 15 Bit 16 Bit 31 Version (4) IHL (4) Type of service (8) Identification (16) Time to live (8) Protocol (8) Header checksum (16) Source IP address (32) Destination IP address (32) Options (variable) Flags (3) Data (variable) Total length (16) Fragment offset (13) Padding 20 octets min Version : La version du protocole IP Version courante = 4, 6 pour l IPv6 IHL (IP Header Length) : La longueur de l'entête IP en mot de 32 bits (4 octets) Bits de bourrage qui permettent d assurer une taille d en-tête multiple de 32 bits en général 5, taille de l en-tête = 20 octets sans option Type de service (TOS) : Était prévu pour routage avec qualité de service QoS (en terme de débit, délais ), mais n a pas été utilisé Total Length : La longueur totale du paquet IP, entête + data en octets (maximum 64 koctets) Identification, Flag, FO (Fragment Offset) Champs pour la fragmentation/réassemblage Réseaux Internet & Services 35 Réseaux Internet & Services 36

7 Les champs d en-tête du paquet IP 2/3 Time To Live (TTL) : Durée de vie du paquet en seconde Chaque routeur soustrait au TTL le temps de traitement. Actuellement un routeur traite un paquet en moins de 1 seconde donc il soustrait 1 au TTL, donc TTL indique le nombre de saut (hop count) plutôt qu un temps Si le TTL atteint 0 le paquet est détruit et un message ICMP est envoyé à l expéditeur (évite au paquet de circuler éternellement en cas de boucle) Protocol : indique le numéro de protocole à qui il faut remettre le paquet Protocole Transport Internet TCP UDP 6 17 IP 1 ICMP ICMP IP in IP IGMP Réseaux Internet & Services IPv TCP UDP Numéro Les champs d en-tête du paquet IP 3/3 Header Checksum : Checksum sur l entête seulement, afin de vérifier son intégrité Recalculé par chaque routeur (puisque TTL modifié) Mais ne couvre pas les données, de la responsabilité du transport Source address, Destination address Adresse IP des équipements source et destinataire d extrémité (pas les nœuds intermédiaires) Options : De longueur variable Correspondent à des fonctions comme : Rapport d erreurs Débugage Routage à la source Padding (Bourrage) Pour aligner l entête IP sur une taille multiple de 32 bits Réseaux Internet & Services 38 La couche hôte/réseau - Ethernet Les équipements d interconnexion du LAN La majorité des réseaux (locaux) s appuie sur la couche Ethernet Ethernet repose sur l utilisation des adresses MAC (adresse physique, spécifique à la carte réseau) Format de la trame Ethernet (RFC 894) : Adresse de destination Adresse source Type 6 oct. 6 oct. 2 oct. Adresse MAC unique, adresse matérielle ou physique (sur 6 octets) Données oct. CRC 4 oct. Type=0x800, données à destination du protocole IP Type=0x806, données à destination du protocole ARP Réseaux Internet & Services 39 Equipements d interconnexion au niveau du LAN qui vont agir sur les couches 1 et 2 Répéteur, Hub : niveau 1 Pont (bridge), Commutateur (switch) : niveau 2 Routeur : équipement de niveau 3 Permet l interconnexion de LAN, interface entre le réseau local et les autres réseaux Filtre et transmet des paquets entrants en se basant sur l adresse destination du paquet (adresse IP) et sa table de routage Domaine de collision : segment de réseau dans lequel toutes les machines partagent la même bande passante (plus il y a de stations, plus il y a de collisions) Equipement de niveau 2 utilisé pour séparer les domaines de collision (analyse des adresses MAC qui évite la propagation des collisions) Domaine de broadcast : ensemble des éléments du réseau recevant le trafic de diffusion Equipement de niveau 3, routeur qui bloque les broadcasts Réseaux Internet & Services 40 Domaine de collision et domaine de diffusion Le domaine de collision Toutes les trames sont vues par tous Comprend les segments de bus et les hubs Est limité par les ponts, switchs et routeurs Le domaine de diffusion (broadcast) Les broadcasts sont vus par tous Comprend bus, hubs, et switchs Est limité par les routeurs Réseaux Internet & Services 41 Le Commutateur Niveau 2 du modèle OSI Il sépare les domaines de collisions : plusieurs trames peuvent être transmises en parallèle sur un réseau LAN ponté. Commutateur filtrant auto-apprenant Réduction des collisions en évitant grâce à des buffers que deux trames soient émises en même temps (aucune si full-duplex) Aucune modification des systèmes connectés (transparent) Très souvent port autosense (détection automatique de la vitesse, du mode transfert ) Fonctionnement reçoit les trames sur ses ports à l arrivée d une trame, examen de l adresse destination consulte la table port/adresses pour voir s il faut retransmettre la trame sur un autre port Si oui, transmettre la trame Si non, trame déjà été émise sur le LAN où la destination se trouve Aujourd hui l équipement utilisés majoritairement dans le LAN. Réseaux Internet & Services 42

8 Fonctionnalités des commutateurs L interconnexion des réseaux IP Large évolution des technologies Ethernet Compatibilité 10Mbit/s, 100 Mbit/s, Gbit/s voire 10 Gbit/s 802.3u : version 100 Mbit/s 100BaseT 802.3z : Gigabit Ethernet, 1000BaseSX, 1000BAseLX 802.3ab : Gigabit Ethernet, 1000BaseT 802.3ae : 10 Gigabit Ethernet 802.3x : transmission en duplex intégral (Ethernet full-duplex) 802.1p : Classe de service (Qualité de service) 802.3q : VLAN (Virtual LAN) Tagging VLAN : création de groupe dans le LAN permettant de limiter les domaines de broadcast ad : agrégation de liens (trunking) 802.1x : Authentification port par port 802.3af : transmission des signaux d alimentation sur des câblages 10BaseT, 100BaseT et 1000BaseT Réseaux Internet & Services 43 Le routeur (aussi appelé gateway IP) : Equipement de niveau 3, interface entre le réseau local et les autres réseaux Chaque poste connaît l adresse du routeur lui permettant de «sortir» du LAN. Routeur directement accessible par lien physique. Confusion courante avec le commutateur, mais attention!!! Commutateur = niveau 2 séparation des domaines de collision (analyse des adresses MAC). Construction d une table de commutation. Routeur = niveau 3 séparation des domaines de broadcast (analyse des adresses IP) Le routeur Analyse l adresse réseau (@IP) des paquets pour prendre une décision de routage. Gère des tables de routage (@réseau, port de sortie) statiques ou dynamiques. Réseaux Internet & Services 44 Principe du Routage 1/2 Principe du Routage 2/2 Je veux atteindre la machine B!!! Ah! j envoie à mon routeur Machine A Comment faire pour aller à la machine B? Hum?! Je regarde ma table de routage Comment faire pour aller à la machine B? Je regarde ma table de routage Machine B Comment faire pour aller à la machine B? Oops! Elle est directement connectée à mon réseau :-) Pour router, un routeur a besoin de : Connaître l adresse destination du paquet (adresse IP dans l entête) Avoir les routes possibles pour tous les réseaux (tables de routage) Avoir la meilleure route pour chaque réseau (protocole de routage) Réseaux Internet & Services 45 Consiste à trouver le chemin à travers les nœuds du réseau pour transférer un paquet d une unité source à une unité destination Routage direct : Les deux machines sont dans le même réseau Routage indirect : Entre deux machines dans deux réseaux différents Chaque machine dispose d une table de routage contenant les chemins aux différents réseaux accessibles. Principes : Si le paquet émis par une machine ne trouve pas sa destination dans le réseau ou sous-réseau local, il doit être dirigé vers un routeur qui rapproche le paquet de son objectif (chaque routeur possède une adresse par interface réseau). La machine source applique le masque de sous-réseau (netmask) pour savoir si le routage est nécessaire. Chaque routeur doit donc connaître l adresse du routeur suivant, il doit gérer une table de routage de manière statique ou dynamique. Deux types de routage Statique : C est l administrateur réseau qui définit manuellement les chemins à prendre dans une table de routage Dynamique : Grâce aux protocoles de routage qui permettent la construction automatique des tables de routage (ex. : OSFP, RIP, BGP ) Réseaux Internet & Services 46 Sommaire Adresse MAC / Adresse IP??? Introduction Attention à la confusion courante Adresse MAC/Adresse IP!!! Architecture d Internet Aucune lien entre les adresses MAC et IP. Eléments clefs du modèles TCP/IP, La suite TCP/IP Les adresses IP L adresse MAC est le «nom de famille» de la carte réseau : elle «naît et meurt» avec! Adresse MAC/IP Format des adresses IP Les classe d adresses Le masque de sous-réseau Comme dans la vie courante, le nom de famille ne suffit pas à localiser une personne dans le monde ; sur Internet, on attribue donc une «adresse postale» aux machines pour les localiser : l adresse IP. Configuration des adresses IP (statique, dynamique) L adresse IP a une structure logique qui permet de la localiser sur le réseau Internet, tout comme une adresse Les protocoles ARP, ICMP postale est structurée de manière à localiser le pays, la ville, Le système de résolution de noms DNS la rue, la maison, l étage, etc. Service de transfert de fichiers : FTP Si l ordinateur change de réseau, son adresse IP change. Telnet - SSH L adresse IP a une portée globale (elle localise la machine Les protocoles de messagerie dans le monde) ; l adresse MAC a une portée locale (une fois Les protocoles du web la machine localisée, on l identifie par «son nom»). Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Réseaux Internet & Services 48 Réseaux Internet & Services 47

9 Adresse MAC Les adresses IP Adresse MAC : identifie de manière unique une adresse dans le monde (adresse physique liée au matériel). Adresse régie par l IEEE. Format de l adresse MAC 48 Bits (6 octets) I/G U/L Adresse constructeur 22 bits Bit U/L = universelle (format IEEE) Bit U/L = locale (format propriétaire - Token Ring) adresse sur 2 octets, version obsolète Bit I/G = individuelle Bit I/G = de groupe (utilisé dans le cadre de la diffusion à un groupe, multicast) Adresse MAC de broadcast : FF.FF.FF.FF.FF.FF Sous - Adresse sur 24 bits Réseaux Internet & Services 49 Chaque machine connectée au réseau doit avoir une adresse IP pour pouvoir communiquer en TCP/IP Adresse unique Configurable par logiciel (commande ifconfig) Associée à chaque interface réseau Types d adresses Adresse unicast : permet d identifier un équipement IP de façon unique Adresse multicast : adresse de diffusion vers un groupe d équipements IP Adresse broadcast : adresse de diffusion vers toutes les adresses d un même sous-réseau Réseaux Internet & Services 50 Les adresses IP Une adresse IP est une valeur de 32 bits (4 octets) composée de 2 parties : NetId : Identifiant du réseau auquel appartient la machine HostId : Identifiant de la machine (attribuée par l administrateur du réseau) Découpage précis qui dépend de la classe d adresse L écriture de l adresse se fait en «notation décimale pointée» où les octets sont séparés par des points Exemple : bits Notation pointée Maximum Binaire Exemple décimal Exemple Binaire Network Réseaux Internet & Services 51 Host IP : Les classes d adresse Il existe 5 classes d adresse (selon l importance du réseau) Comment les différentier? Par la valeur du premier octet Classe A B C D E Plage d adresse s Premier octet en binaire Nbre de bits de la partie réseau Adresses de Multicast Réservé Réseaux Internet & Services Nbre de réseaux Nbre de bits de la partie hôte Nbre d hôtes Masque de sous-réseau Définition d un masque de sous réseau (Netmask) Il a la forme d une adresse IP. Notation : Décimale pointée : Abrégé : /N (N est le nombre de bits à 1 dans le masque) Contient une suite continue de 1 (binaire) de longueur variable de la gauche vers la droite Masque utilisé pour faire du subnetting L adresse réseau résulte d un ET logique entre l adresse IP et le masque IP= Masque= Adresse du réseau = Masques par défaut : Class A B C Masque par défaut Possibilités 255.x.x.x x.x x Notation Réseaux Internet & Services 53 /8 /16 /24 IP : Adresses Particulières 1/2 Loopback (localhost) : Adresse à usage local affectée par défaut à une interface virtuelle sur une machine locale (permet de tester des programmes sans perturber le réseau) Adresse de Réseau : S obtient en mettant à 0 la partie HostId Exemple : Utilisée dans les tables routage pour adresser les réseaux Adresse de Machine : S obtient en mettant à 0 la partie NetId Exemple : , adresse la machine 46 dans le réseau courant Utilisée lors d une procédure d initialisation (peu employée) Réseaux Internet & Services 54

10 IP : Adresses Particulières 2/2 Machine qui ne connaît pas son adresse : (utilisée lors d une procédure d initialisation) Adresse de Broadcast (diffusion) Adresse pour atteindre toutes les machines d un même réseau (au lieu d une seule machine) S obtient en mettant toute la partie HostId de l adresse IP à 1 binaire (255 en décimal pour chaque octet) Exemple: , adresse toutes les machines du réseau Adresse de Broadcast limité Adresse pour atteindre toutes les machines du réseau local S obtient en mettant des 1 partout : Réseaux Internet & Services 55 IP : Adresses Privées La RFC 1918 définit des plages d adresses réservées à un usage strictement privé Réseau d entreprise, école Ces adresses ne sont pas routables sur Internet Ces adresses peuvent êtres utilisées si le réseau n est pas directement connecté à Internet Il peut l être à travers un proxy Ou un routeur (firewall) qui permet la traduction d adresse NAT (Network Address Translation) Les plages d adresses privées : Classe A : à (10/8) Classe B : à (172.16/12) Classe C : à ( /16) Réseaux Internet & Services 56 Le subnetting Le subnetting est une opération qui consiste à diviser un réseau et ses adresses IP en plusieurs sous-réseaux de petit taille Chaque sous-réseau est identifié par une adresse de sous-réseau, un masque de sous-réseau et une adresse de broadcast Pourquoi créer des sous-réseaux? Dégradation de la bande passante Un trafic broadcast intempestif Avec subnet : Avec du sub-netting : Sous-réseaux interconnectés Un seul espace d adressage décomposé en plusieurs sous-réseaux par des routeurs Plusieurs domaines de Broadcast Bonne exploitation des ressources : bande passante et temps CPU Étanchéité entre les réseaux Organisation (séparation) des départements de l organisme Découpage inconnu de l extérieur Tous les équipements (stations, serveurs, imprimantes ) doivent Réseaux Internet & Services utiliser la notion de sous-réseaux 57 Subnetting et masque de sous-réseau Adresse de sous-réseau : Sans masque (Classe B) Avec le masque (Classe C) Réseau Valeurs de masque possible pour le dernier octet significatif 0 : (octet non significatif) 128 : : : : Machine Réseau Sous- réseau Machine 248 : : : : Réseaux Internet & Services 58 Le subnetting Diviser un réseau de classe A Masque par défaut d un réseau de classe A : bits pour le réseau, 24 bits pour les hôtes, pour les sous-réseaux utilisation d une partie des bits hôtes Les masques de sous-réseaux d une classe A : Masque de sousréseau Nbre de bits à 1 du Nombre de sousréseaux masque Réseaux Internet & Services Nbre d hôtes par sous- réseau Le subnetting Les masques de sous-réseaux d une classe B : Masque de sousréseau du masque sous-réseaux sous- réseau Nbre de bits à 1 Nombre de Nbre d hôtes par Masque de sous-réseau en binaire Les masques de sous-réseaux d une classe C : Masque de sousréseau du masque sous-réseaux sous- réseau Nbre de bits à 1 Nombre de Nbre d hôtes par Masque de sous-réseau en binaire Réseaux Internet & Services 60

11 IP : Le netmask et les calculs Soit l adresse et le masque suivants : /27 L adresse est de classe C Nombre de machines : 2 5-2=30 (5 est le nombre de bits du HostId) Nombre de sous réseaux : 2 3 =8 (3 est le nombre de bits du sous réseau) Adresses de sous réseaux valides : Les adresses de sous réseau seront : 0, 32, 64, 96, , 224 Adresses de broadcast : C est l adresse du prochain sous réseau moins 1 Exemple : Pour le sous réseau 32 l adresse de broadcast est 64-1=63 Adresses valides des machines dans chaque sous-réseau: Ce sont toutes les valeurs suivant l adresse du sous réseau jusqu à la valeur du broadcast , 33-62, 65-94, , , Remarque : normalement les numéros de sous-réseaux ne contenant que des bits à 0 ou à 1 sont à prohiber (ambiguïté au niveau des adresses, mais ambiguïté levée si adresse donnée avec son netmask) Réseaux Internet & Services 61 Affectation des adresses IP L affectation des adresse IP n est pas aléatoire, elle est gérée par des organismes spécialisés : IANA (Internet Assigned Numbers Authority) délègue au Regional Internet Registries (IR) : APNIC : Asie, Pacifique INTERNIC : Amérique, Afrique du sud RIPE : Europe, Afrique, Moyen Orient qui allouent les adresses aux Local IRs (LIR) En France l AFNIC (Association Française pour le Nommage Internet en Coopération) gère les adresses IP ( et les affecte au fournisseurs d accès à Internet (ISP) Une organisation (ou un particulier) obtient ses adresses IP de son fournisseur d accès 1 adresse ou plusieurs selon le nombre d utilisateurs et les moyens financiers!!! Réseaux Internet & Services 62 Configuration IP sous Windows A partir des propriétés réseaux (configuration statique ou dynamique). Connecté en administrateur. Configuration statique : adresse IP, adresse de netmask, adresse du serveur DNS, WINS, de la passerelle (routeur) configurées statiquement Configuration dynamique : paramètres IP attribués par un serveur DHCP (Dynamic Host Control Protocol) Configuration IP sous Linux Paramètres réseau IP Sous Linux, périphériques susceptibles de recevoir une adresse IP : interface (pour carte réseau Ethernet : eth) Fichier de configuration global concernant le réseau /etc/sysconfig/network Configuration de chaque interface réseau : fichier situé dans /etc/sysconfig/networks-scripts Connecté en root Fichier de configuration possédant le préfixe ifcfg- puis le nom de l interface (ifcfg-eth0, ifcfg-lo ) Consultation : ifconfig Description des interfaces lo0 et eth0 (lo0 correspondant au loopback avec l adresse réservée et eth0 correspondant à un attachement sur un réseau Ethernet) Réseaux Internet & Services 63 Réseaux Internet & Services 64 Configuration IP dynamique : DHCP Client DHCP (Dynamic Host Configuration Protocol, RFC 1451) : affectation automatique des adresses IP Fonctionne au-dessus d UDP Port serveur : 67 ; Port client : 68 Pour chaque poste : adresse IP valide (homogénéité avec le netmask), informations sur les noms de domaines Configuration statique qui peut devenir fastidieuse mise en place d un protocole de configuration distante : DHCP 1 DHCP DISCOVER : msg de diffusion pour localiser les serveurs disponibles 2 DHCP OFFER : identifie le serveur et propose une adresse IP au client 3 DHCP REQUEST : msg de diffusion : réponse au(x) serveur(s) ; indique le serveur DHCP choisi et la confirmation de reçue 4 DHCP ACK : fournit l ensemble des paramètres de configuration au client Serveur DHCP Configuration standard : affecte des adresses IP, un masque de sousréseau, les paramètres DNS (éventuellement option telle que nom de domaine ) Réseaux Internet & Services 65 Configuration IP dynamique : DHCP Paramètres obtenus par le DHCP Réseaux Internet & Services 66

12 Sommaire Introduction Architecture d Internet Eléments clefs du modèles TCP/IP, La suite TCP/IP Les adresses IP Les protocoles ARP, ICMP Le système de résolution de noms DNS Service de transfert de fichiers : FTP Telnet - SSH Les protocoles de messagerie Les protocoles du web Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Le protocole ARP (RFC 826) 1/2 Problème : Trouver une adresse MAC à partir d une adresse IP Address Resolution Protocol Permet de trouver l adresse physique d une machine sur le même réseau en donnant uniquement son adresse IP Adresses IP totalement indépendantes des adresses physiques Adresse MAC d Ethernet (6 octets) donnée par le constructeur Pour chaque machine, stockage des adresses physiques dans une table ARP (cache). Permet d optimiser les recherches suivantes. Le cache est remis à jour périodiquement Commande : arp -a Réseaux Internet & Services 67 Réseaux Internet & Services 68 Le protocole ARP (RFC 826) 2/2 RARP (RFC 903) Je cherche l adresse Ethernet de IP: IP: Soient deux équipements sur le même segment Ethernet J ai reçu le broadcast. Le message est pour moi. Voici mon adresse Ethernet La machine A veut envoyer un datagramme à la machine B, elle connaît son adresse IP mais pas son adresse Ethernet A envoie une trame de Broadcast Ethernet qui demande l adresse Ethernet de B Adresse destinataire FF.FF.FF.FF.FF.FF avec type 0806, en indiquant l adresse IP de B Toutes les machines reçoivent la requête, seule B répond en donnant son adresse Ethernet Si c est une autre machine qui répond à la place de A, on parle alors de «proxy ARP» Utilisation par les routeurs quand le destinataire est dans un autre réseau IP Réseaux Internet & Services 69 RARP (Reverse Address Resolution Protocol) Objectif : trouver une adresse IP à partir de l adresse MAC Utilisé au moment du boot par certains équipements C est le routeur ou un serveur spécial qui contient une table de correspondance qui lui répond pour lui attribuer une adresse IP Type 8035 dans la trame Ethernet Ethernet Type = dans la trame Les messages ARP/RARP sont encapsulés directement par une entête ARP/RARP dans la trame de la couche 2 sans passer par IP Réseaux Internet & Services 70 ICMP (RFC 792) 1/2 Internet Control Message Protocol Protocole de gestion de réseau : mécanisme de rapport d erreurs Implémenté sur tous les équipements réseau : stations, routeurs Deux types de message ICMP Messages d indication d erreur Messages de demande d information Message envoyé par l équipement destinataire ou un routeur intermédiaire Quand il s aperçoit d un problème dans un datagramme Pour avertir l émetteur qu il modifie son comportement (Exemple : routeur qui a une mauvaise information de routage) Un message ICMP n engendre pas un autre message ICMP (il n attend pas de réponse) Pour éviter les effets d avalanche pas de message ICMP si l adresse destination est une adresse de diffusion Réseaux Internet & Services 71 ICMP 2/2 Message ICMP contenu dans un datagramme IP Champ version = 4 Champ type de service = 0 Champ protocole du datagramme IP = 1 Format des messages ICMP 3 champs communs TYPE (1 octet) : 22 types définis CODE (1 octet) : plus d informations sur le champ type CHECKSUM (2 octets) sur le message ICMP En-tête trame En-tête IP En-tête ICMP Permet de pallier les manques de service IP Message ICMP Données ICMP Réseaux Internet & Services 72

13 Types d indication d un message ICMP Capture de paquets ICMP Type Code 0 0 Réponse à une demande d écho (ping) 3 Destination non accessible 0 Le réseau ne peut être atteint (Network unreachable) 1 La station ne peut être atteinte (Host unreachable) 2 Le protocole ne peut être atteint 3 La fragmentation est nécessaire mais le bit DF=1. Paquet plus grand que la taille maximale admise sur le réseau 4 Port TCP ou UDP inaccessible 5 Route proposée en option n est pas valable 4 0 Réduction du débit d émission (Source Quench). Obsolète Indication de redirection 8 0 Demande d écho (ping) 10 0 Sélection du routeur Durée de vie à 0 (pendant le transit pendant le réassemblage) 30 Traceroute Réseaux Internet & Services 73 Réseaux Internet & Services 74 Sommaire Introduction Architecture d Internet Le système de résolution de noms DNS Présentation du DNS L espace de noms DNS Domaine, Zone, Délégation Architecture du DNS Les types de serveurs DNS Configuration du DNS Fonctions avancées du DNS Service de transfert de fichiers : FTP Telnet - SSH Les protocoles de messagerie Les protocoles du web Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Présentation du DNS (RFC 1034, RFC 1035) Problématique : Nommage des ressources réseau Les équipements communiquent grâce à leur adresse IP Seules les applications utilisent les noms des équipements pour certaines on peut utiliser les adresses : ftp, telnet.. pour d autres les noms sont indispensables : www, mail A une adresse peut correspondre un ou plusieurs noms (alias) Un nom doit être unique au monde Au départ : utilisateurs qui se référaient à un fichier hosts /etc/hosts centralisé et mis à jour par l administrateur de leur domaine Fichier contenant une table des hôtes locaux répliquée sur chaque hôte du LAN Si ce fichier existe, prioritaire sur les paramètres de serveurs de noms (/etc/host.conf) Limites vite atteintes 1984 définition du DNS (Domain Name System) Réseaux Internet & Services 75 Réseaux Internet & Services 76 Présentation du DNS DNS effectue la correspondance entre les adresses IP utilisées par les équipements pour communiquer et des noms plus simples à gérer par les humains. Ex : = Correspondance inverse (reverse lookup) Ex : = hesperides.esigetel.fr (www étant un alias pour hesperides) DNS contient aussi des informations complémentaires Ex : mail.esigetel.fr est le serveur de mail de esigetel.fr Remarque : FQDN (Fully Qualified Domain Name) = hostname suivi de domain name Désigne la racine Ex : mail.esigetel.fr (= hostname+domain name) Dans les fichiers de configuration, mail.esigetel.fr. signifie que le nom est fqdn Réseaux Internet & Services 77 L espace de noms DNS DNS : schéma de nommage hiérarchique basé sur la notion de domaines (contenant des sous-domaines, eux-mêmes découpés ) La racine (root) est notée «.» Top Level Domains, RFC 1591 (TLD) ou domaines de haut niveau : Generic TLD (domaine de haut niveau générique):.com,.org,.mil,.edu,.gov,.arpa (généralement réservés aux USA) Country TLD (domaine de haut niveau géographique) :.fr,.uk,.de,.tv Nouveaux TLD (juin 2001) :.biz,.info,.aero,.museum,.name,.coop Secondary Level Domains (SLD). Ex :.esigetel,.univ-mlv Nœud : identifié par sa position (Ex : esigetel.fr). A chaque nœud sont associées des ressources (Ex : toto.esigetel.fr ) En France AFNIC chargée de l attribution des domaines.fr Réseaux Internet & Services 78

14 L espace de noms DNS Hiérarchie inspirée du filesystem UNIX : fr campus.esigetel.fr esigetel L espace de noms DNS : exemple Il existe aujourd hui 13 serveurs de noms racine répartis dans le monde connaissant tous les serveurs de noms de 1 ier niveau (de a.root-servers.net à m.rootservers.net) Domaines de haut niveau génériques Domaines de haut niveau géographiques campus /usr/local/etc/ Réseaux Internet & Services 79 Réseaux Internet & Services 80 Domaine, Zone, Délégation Un domaine est un sous-arbre de l espace de nommage (peut être attaché à un domaine parent, et/ou peut avoir un ou plusieurs sous-domaines enfants) Une "zone" est une organisation logique (ou pour être plus précis, une organisation administrative) des domaines. C est un découpage en unité du domaine Rôle d'une zone : principalement simplifier l'administration des domaines (administration des zones déléguée afin de simplifier la gestion globale du domaine) Domaine, Zone, Délégation La délégation consiste à déléguer l'administration d une partie de l espace de nommage d un domaine (zone ou sous-zone) Réseaux Internet & Services 81 Réseaux Internet & Services 82 Domaine, Zone, Délégation La résolution inverse Les serveurs de noms (name server, NS) disposent de toutes les informations de la zone Les serveurs de noms font autorité sur une ou plusieurs zones Un domaine peut être administré par plusieurs zones administratives ex. : srv administré par zone esigetel et zone fr mais il est possible aussi qu'une zone serve à l'administration de plusieurs domaines ex. : zone esigetel gérant les domaines lab, net, srv Remarques : L'organisation de l'espace de nommage complètement indépendante de l'implantation géographique d'un réseau ou de son organisation physique (organisation physique gérée par des routes, tables de routage) L'espace de nommage indique pour un nom de domaine N, quels sont les serveurs de noms qui ont autorité sur cette zone (ne donne pas la façon d'arriver à ces machines) Seules machines connues au niveau de l'espace de nommage : les serveurs de nom «déclarés» Réseaux Internet & Services 83 Le domaine in-addr.arpa Principe de résolution de nom : correspondance d un nom d hôte à une adresse IP Résolution de noms directe Possibilité de résolution de noms inverse (ou reverse) : processus permettant de fournir pour une adresse IP, le nom correspondant. Résolution inverse réalisée en inversant l ordre des octets de l adresse puis en ajoutant le suffixe.in-addr.arpa (domaine exclusivement utilisé pour les résolutions inverses) Par exemple écrit comme inaddr.arpa, auquel on fait correspondre le nom réel de l hôte auquel appartient l IP.ip6.int pour les adresses IPv6 Source Réseaux Internet & Services 84

15 Architecture du DNS Lorsqu une application (par exemple la messagerie) a besoin de connaître une adresse IP, elle appelle une procédure appelée solveur (ou resolver) et lui passe le nom en paramètre. Système Client/serveur Client Resolver : interface cliente permettant d interroger un serveur Les machines clientes pointent généralement vers un serveur par défaut (/etc/resolv.conf) Serveur Chaque serveur gère sa propre base de données Optimisation par des systèmes de cache et de réplication La résolution des requêtes Mode itératif : minimal et obligatoire Si le resolver n a pas la réponse, il transmet au client du NS à interroger Le client doit envoyer une nouvelle requête à ce NS Mode récursif (falcultatif) Le resolver transmet la réponse au client (qui n a pas à interroger lui-même les serveurs intermédiaires) Exemple (théorique) : Résolution d un nom du domaine intmedia.cegep-stfoy.ca pour une machine du domaine iut.univ-mlv.fr Au-dessus d IP Service s exécutant sur le port 53 (droits de super utilisateur Unix/Linux) UDP (TCP réservé au transfert de zone) Réseaux Internet & Services 85 Mode itératif Mode récursif 86 Les types de serveurs de noms Les types de serveurs de noms Un serveur de noms est un processus qui répond aux requêtes DNS Les serveurs ont différents niveaux d autorité Les serveurs primaires détenant la liste «officielle» de noms et d adresses pour une zone Le serveur primaire apprend sa configuration de l administrateur système qui maintient un certain nombre de fichiers. Définition des liens avec les autres serveurs de noms Le serveur primaire a autorité sur sa zone Les serveurs secondaires, copie du serveur primaire. Permet de pallier les pannes ou les surcharges du serveur primaire. Les copies ont lieu à un intervalle régulier (notion de TTL). Si TTL expiré, le serveur ne répond plus aux requêtes. Les serveurs caches Autorité uniquement sur le domaine local (localhost) Il recherche la recherche à une réponse dans son cache. En cas d échec, il s adresse aux serveurs primaire ou secondaire. Il mémorise les informations en sa possession pendant un certain temps (TTL) et évite ainsi de réitérer les requêtes identiques. Réseaux Internet & Services 87 Les serveurs forward (ou proxy NS) Proche du serveur cache Transmet les requêtes hors zone aux DNS appropriés et stocke la réponse en cache Limite le trafic sortant du domaine Authoritative NS : Primaire (Master) : référence d une zone Secondaire (Slave) : réplication de la BDD du NS primaire Non-authoritative NS : répercute les requêtes DNS vers d autres serveurs : les root servers : dépendant de l ICANN (Internet Corporation for Assigned Names and Numbers ) ou NS forwarders les réponses sont enregistrées pour une durée de vie donnée (TTL) Serveur cache : les réponses issues du cache sont non-authoritative ; si la réponses résulte d une requête vers un master, elle est authoritative. Réseaux Internet & Services 88 Les types de serveurs de noms Un NS joue en général plusieurs rôles en même temps Un serveur peut être à la fois autoritaire pour ses zones et serveur cache pour les autres requêtes (le cache possède alors des infos locales et non locales) Un serveur peut être à la fois primaire pour des zones et secondaire pour d autres zones Réseaux Internet & Services 89 Les types de serveurs de noms Rafraîchissement des données entre serveurs autoritaires Un serveur secondaire interroge à intervalles réguliers le serveur primaire de cette zone pour voir si une modification a eu lieu La version d une zone est identifiée par son numéro de série (serial) ; à chaque modification celui-ci doit être augmenté Transfert de zone Le serveur secondaire transfert son numéro serial et vérifie si le numéro a augmenté Si c est le cas, toute la zone est transférée (AXFR) ou seules les nouvelles modifications sont transférées (transfert incrémental, IXFR, RFC 1995) Reprise en cas d échec tous les n secondes (n valeur paramétrable) jusqu à atteindre le temps d expiration Type de mises à jour qui peut se faire entre un primaire et un secondaire ou entre secondaires Réseaux Internet & Services 90

16 Les serveurs de noms : résumé Fonctions : répondre aux requêtes Concernant sa (ses) zone(s) Eventuellement, concernant d autres zones (cached data) Un NS connaît et les noms des ressources de sa zone des NS des zones incluses (sous-zones) des NS de la zone Root qui eux-mêmes connaissent des NS des sous-zones adjacentes, i.e. edu, net, com, fr, jp, uk, de, Configuration du DNS : BIND Configurer des serveurs de noms avec BIND (Berkeley Internet Name Domain). Version utilisée : BIND9 Standard de facto pour les implémentations de DNS sur des plates-formes Unix/Linux, Windows Contient un daemon de serveur de noms (named) qui répond aux requêtes DNS, une bibliothèque de résolveurs qui permet aux programmes de réaliser des requêtes DNS et des utilitaires Mis à jour par l ISC (Internet Software Consortium), Fichiers de configuration : /etc/named.conf, /etc/resolv.conf Mise en œuvre Pas de serveur, juste un resolver : résolution des noms des ressources distantes uniquement Serveur secondaire : administration des ressources locales gérée par un tiers Serveur primaire : administration des ressources locales et autorité sur ces informations Serveur cache : mémorise les requêtes précédemment effectuées Configuration du DNS qui passe par la configuration de plusieurs fichiers : Fichier de configuration principal s appuyant sur plusieurs fichiers Un fichier par zone (+ fichier pour la résolution inverse) Un fichier donnant les adresses de tous les serveurs racines (ce qui permet de les interroger au cas où la résolution n est pas possible par le serveur DNS) Serveur forwarding : relaie les requêtes hors zone et mémorise en cache les Réseaux Internet réponses & Services 91 Réseaux Internet & Services 92 Les fichiers (Base de données du DNS) Principaux types d enregistrement Fichiers de configuration du DNS : Fichier de configuration du serveur Localisation des données (fichiers serveurs de la racine, fichiers de zones) Déclaration de l autorité sur des zones (primaire/secondaire) Fichiers des serveurs de la racine Permet de démarrer la résolution si le serveur n a aucune information Contient la liste des serveurs de noms racine et leur adresse IP Un fichier par zone décrivant son contenu Contient les données propres à chaque zone Consiste en une liste de Ressource Records (RR) Premier RR qui doit être le SOA (Start Of Authority) décrivant l autorité technique de la zone Au moins le fichier du reverse loopback in-addr.arp Espace de nom structuré comme une arborescence Chaque domaine est un nœud de cette arborescence Pour chaque nœud, il existe des enregistrements de ressources ou RR (Ressource Records), chacun conservant une information d un type spécifique Enregistrement A (Address) : adresse IP associée à un nom Enregistrement NS (Name server) : serveur de nom ayant autorité pour le domaine Enregistrement SOA (Start Of Authority) : propriétés de base du domaine et de la zone du domaine Enregistrement PTR (Pointer) : nom réel de l hôte auquel appartient l adresse IP Enregistrement MX (Mail Exchanger) : serveur de messagerie pour la zone) Enregistrement CNAME (Canonical Name) : indique que le nom est un alias vers un autre nom Réseaux Internet & Services 93 Réseaux Internet & Services 94 Structure des enregistrements Exemple de structure des enregistrements Un RR est composé de 5 champs : Name : nom du RR TTL : durée de vie dans un cache Class : classe d appartenance, IN pour Internet RR type : A (IP sur 32bits), A6, MX, NS Data Ex : Name TTL Class Type Data esigetel.fr. 10 IN MX mail.esigetel.fr. mail.esigetel.fr. IN A test.esigetel.fr. IN CNAME mail.esigetel.fr. IN A IN PTR mail.esigetel.fr. Réseaux Internet & Services 95 Enregistrement de type NS (serveur ayant autorité) pour le domaine domaine.fr : domaine.fr. IN NS ns1.domaine.fr. domaine.fr. IN NS ns2.domaine.fr. «.» final signifiant que le nom est pleinement qualifié IN pour un enregistrement de type Internet, type par défaut Autre écriture IN NS ns1 IN NS ns2 Avec «@» pour domaine.fr. et ns1 équivalent à ns1.domaine.fr. Enregistrements de type A : correspondance Nom / Adresse ns1.domaine.fr. IN A ns2.domaine.fr. IN A localhost.domaine.fr. IN A Réseaux Internet & Services 96

17 Exemple de structure des enregistrements Interrogation du serveur Enregistrement de type CNAME : ce sont les alias (Canonical Name) Une requête du type domaine.fr. sera adressée à ns1. domaine.fr, puisque www est un alias de ns1. www IN CNAME ns1.domaine.fr. ftp IN CNAME ns1.domaine.fr. Enregistrement de type PTR : pour la résolution de noms inverse in-addr.arpa. IN PTR ns1.domaine.fr in-addr.arpa. IN PTR ns2.domaine.fr. Enregistrement de type MX : pour indiquer la machine sur laquelle il faut envoyer le courrier électronique. Le nombre compris entre 0 et indique quel serveur interroger en priorité quand il y en a plusieurs. domaine.fr. IN MX 10 mailrelais1.domaine.fr. IN MX 20 mailrelais2.domaine.fr. Réseaux Internet & Services 97 En plus des «resolvers» liés aux applications, il existe des outils d interrogation directe du serveur de noms Pour tester le serveur de noms Pour obtenir certaines informations de gestion Host Dig Dnsquerry Nslookup Cf. man pour ces différentes commandes Réseaux Internet & Services 98 Fonctions avancées Fonctions avancées Transfert de zone : Les slaves NS demandent le SOA de la zone au master NS à un intervalle appelé le refresh-time. Si le serial a été incrémenté, ils demandent le transfert de zone. DNS Notify : RFC 1996 Permet à un master NS de prévenir ses slaves NS d un changement dans une zone. Les slave NS demandent le SOA de la zone, si le serial est supérieur à celui de leur zone, ils demandent le transfert de zone. Incremental zone transfer (IXFR) : RFC 1995 Permet à un slave NS de mettre à jour ses zones uniquement avec les données modifiées depuis le dernier échange avec le master NS. Dynamic DNS (DDNS) : RFC 2136 Permet d ajouter, de modifier ou de supprimer des RRs dynamiquement (sans modification manuelle des fichiers de zone) dans une zone master (nsupdate). Utilisé par un client pour s enregistrer ou par un serveur DHCP pour enregistrer ses clients. DNSSEC (RFC 2535) permet de sécuriser les updates en authentifiant les clients. Réseaux Internet & Services 99 Réseaux Internet & Services 100 Sommaire Architecture d Internet Le système de résolution de noms DNS Service de transfert de fichiers : FTP Présentation Commandes FTP Les différents serveurs FTP disponibles Configuration d un serveur FTP (daemon xinetd) FTP et Sécurité Telnet - SSH Les protocoles de messagerie Les protocoles du web Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Réseaux Internet & Services 101 FTP (File Transfer Protocol) FTP : protocole de communication qui permet le transfert de fichiers entre plusieurs machines. Défini par la RFC 959. Langage standard de communication entre deux machines, permettant à deux machines de types différents (ou dont le système d exploitation est différent) de transférer des fichiers sur un réseau fonctionnant sous TCP/IP Fonctionnement sur un modèle client/serveur Le protocole FTP permet d échanger un fichier à la fois, mais aussi la création, suppression de répertoires (s ils sont vides), le listage des fichiers, la suppression ou le renommage de fichiers. Deux types de serveurs et d accès FTP Serveurs anonymes autorisant tous ceux qui se connectent au serveur à retirer des fichiers Souplesse maximale mais risque de sécurité Sites hébergeant des serveurs FTP anonymes : serveurs placés à l extérieur du pare-feu sur un ordinateur dédié Partie FTP du système montée en lecture seule Serveurs standards avec un nom de compte et un mot de passe pour les accès Réseaux Internet & Services 102

18 Commandes FTP Lors d une connexion FTP, deux canaux sont ouverts Un canal pour les commandes (canal de contrôle) Toutes les commandes effectuées sur le canal de contrôle suivent les recommandations du protocole Telnet Un canal pour les données Les commandes FTP permettent de préciser : Le port utilisé Le mode de transfert de données (ASCII, binaire) La structure des données La nature de l action à effectuer (liste ) Réponses FTP permettant d assurer la synchronisation entre client et serveur FTP à chaque commande envoyée par le client, le serveur effectuera éventuellement une action et renverra systématiquement une réponse Réponses constituées de 3 chiffres indiquant la façon suivant laquelle la commande envoyée par le client a été traitée Réseaux Internet & Services 103 Commandes FTP Démarrage d une session FTP Commande ftp disponible sous Windows/Linux : ftp nom_du_serveur ou adresse IP Commande Description help Affiche l'ensemble des commandes supportées par le serveur FTP status Permet de connaître certains paramètres de la machine cliente type Permet d'afficher le mode courant de transfert (binary ou ascii) user Vous permet de réouvrir une session sur le site FTP en cours avec un nom d'utilisateur différent. Un nouveau mot de passe vous sera alors demandé ls Permet de lister les fichiers présents dans le répertoire courant. La commande "ls -l" donne des informations supplémentaires sur les fichiers pwd Affiche le nom complet du répertoire courant cd Cette commande signifie change directory, elle permet de changer le répertoire courant. La commande "cd.." permet d'accéder au répertoire de niveau supérieur Le commande mkdir (sous UNIX, ou md sous système Microsoft) permet de créer/supprimer un mkdir/rmdir répertoire dans le répertoire courant. L'utilisation de cette commande est réservée aux utilisateurs ayant un accès le permettant get Cette commande permet de récupérer un fichier présent sur le serveur put Cette commande permet d'envoyer un fichier local sur le serveur open Ferme la session en cours et ouvre une nouvelle session sur un autre serveur FTP close Ferme la session en cours, en laissant le logiciel FTP client actif bye/quit Déconnecte le logiciel client du serveur FTP et le met en état inactif Réseaux Internet & Services 104 Les serveurs FTP Serveurs FTP disponibles : wu-ftpd : pas le plus approprié pour des sites ayant besoin de permettre l accès à un nombre élevé d utilisateurs vsftpd (Very Secure FTP) proftpd, distribué sous licence GPL, utilisé par de nombreux sites (entre autres ftp.kernel.org, ftp.sourceforge.net..). bsdftpd-ssl, package de serveur FTP développé à partir de ftpd des systèmes UNIX BSD (distribué sous licence DSD). Extensions de sécurité mais nécessite un client spécifique. Autres alternatives : utiliser Apache pour servir des fichiers. Recours à un serveur web pour offrir des téléchargements de données ce qui limite les besoins en matière de surveillance et de maintenance (un seul service à gérer) Réseaux Internet & Services 105 Configurations d un serveur FTP Fonctionnement d un service : Application basée sur un mode client serveur Exemple : connexion via telnet sur un hôte distant activation chez l hôte du service serveur telnetd Serveur : machine en attente d une connexion sur un port particulier Deux modes de fonctionnement pour un service Mode «standalone» ou autonome Chaque application a son propre serveur lancé au démarrage de chaque machine comme un «daemon» (cas des premières versions d Unix) encombrement de la table des processus (autant de serveurs que de services) Mode utilisant le daemon inetd Daemon inetd : «super serveur» à l écoute de plusieurs ports, se chargeant de recevoir les demandes de connexion de plusieurs clients (telnet, ftp ) et de lancer le serveur correspondant à la demande A paramétrer dans fichier de configuration du service (standalone pour le mode autonome, inetd pour le démarrage en inetd ou xinetd) Réseaux Internet & Services 106 Le daemon inetd Le daemon xinetd Fichiers de configuration mis en jeu dans le démarrage d un service : /etc/services qui contient la liste générale des services TCP/IP avec leur numéro de port et le protocole de transport associé Extrait de /etc/services ftp 21/tcp telnet 23/tcp smtp 25/tcp #mail pop3 110/tcp # Post Office /etc/inetd.conf qui contient la liste des services activés sur une machine donnée Extrait de /etc/inetd.conf ftp stream tcp nowait root /usr/sbin/ftpd ftpd #shell stream tcp nowait root /usr/sbin/rshd rshd #login stream tcp nowait root /usr/sbin/rlogind rlogind #exec stream tcp nowait root /usr/sbin/rexecd rexecd il n'y a que le service ftp qui est activé par le serveur inetd services dits fonctionnant en mode «parallèle» Réseaux Internet & Services 107 Dans les distributions récentes (RedHat 9.x...), inetd remplacé par xinetd Offre des outils supplémentaires d'accès, de journalisation, de liaison, de réacheminement et d'utilisation des ressources Principe : Avant de rendre disponible le service demandé à l'utilisateur, xinetd s'assure de la conformité des informations d'hôte du client relatives aux règles d'accès Principe très similaire à inetd, à la seule différence que, dans /etc/xinetd.d, chaque service (telnet, ftp, pop3...) dispose de son propre fichier de configuration Une fois que le service demandé est autorisé au client, xinetd retourne en veille, attendant la prochaine demande de services de son ressort Fichier de configuration globale /etc/xinetd.conf /etc/xinetd.d qui contient les fichiers de configuration associés à chaque service Réseaux Internet & Services 108

19 Contrôle d accès dans xinetd FTP et sécurité Pour le contrôle d accès, 2 possibilités : le recours aux fichiers de contrôle d'accès aux hôtes TCP-Wrapper (hosts.allow et hosts.deny) l'autorisation d'accès par le biais de fichiers de configuration xinetd ou le mélange des deux Contrôle d'accès aux hôtes xinetd disponible par le biais de ses multiples fichiers de configuration (contrairement à TCP-Wrapper où les contrôles d accès sont regroupés dans deux fichiers, voir slide suivant) Chaque fichier de service contenu dans /etc/xinetd.d peut contenir des règles d'accès basées sur les hôtes qui seront autorisés à utiliser ce service Options suivantes acceptées dans les fichiers xinetd pour contrôler l'accès des hôtes : only_from : Autorise les hôtes spécifiés à accéder au service (une liste préétablie d'adresses IP ou de noms d'hôte ou encore un réseau entier) no_access : Empêche les hôtes spécifiés de se servir du service access_times : Définit les heures de disponibilité du service (plage horaire spécifiée comme suit : HH:MM-HH:MM, en utilisant la forme 24 heures) Configurations de journalisation qui permettront de tracer ces contrôles d accès 109 Autres fichiers de configuration qui permettent de sécuriser le service FTP : Fichiers de configuration dans /etc, indépendants de TCP Wrapper (combinaison de deux mécanismes de sécurité) ftpaccess, ftpgroup, ftphosts, ftpusers ftpusers : fichier donnant la possibilité d autoriser/interdire l'accès pour un compte en particulier, plus généralement fichier empêchant les utilisateurs possédant un shell de se connecter (création d utilisateurs spécifiques pour l accès FTP en leur donnant le shellbin/false, ce qui interdit toute connexion console telnet, ssh) Attention : le service ftp (comme telnet) n'offre aucune solution de sécurité sur les réseaux (transmission des données en clair) Réseaux Internet & Services 110 FTP et sécurité TCP-Wrapper : outil de sécurité réseau qui permet de contrôler les accès, les tentatives de connexion sur une machine donnée permet à tout instant de savoir (par journalisation syslogd) qui essaie d'accéder sur un ordinateur filtre les accès (autoriser le telnet venant d une machine B et en même temps interdire les connexions FTP venant de cette machine B) Principe de fonctionnement : Sans le TCP-Wrapper Inetd reçoit une de mande de connexion sur le port 21 lancement de telnetd Avec TCP-Wrapper TCP-Wrapper sert «d enveloppe» qui vient «s'intercaler» entre le daemon inetd et le serveur à démarrer Demande de service TCP/IP (TCP ou UDP) sur un port, inetd lance tcpd (daemon correspondant à TCP-Wrapper) au lieu d'activer directement le service demandé (telnetd, ftpd, pop3...) Tcpd prend en charge la requête et met en place ses mécanismes de contrôle (vérification que les accès sont autorisés). Si autorisation, lance son propre service in.telnetd, in.ftpd, in.imapd... Réseaux Internet & Services 111 TCP-Wrapper Deux fichiers de configuration : /etc/hosts.deny : on indique dans ce fichier les services et les hôtes pour lesquels l'accès est interdit /etc/hosts.allow : on indique dans ce fichier les services et les hôtes pour lesquels l'accès est autorisé Pour les fichiers de configuration : /etc/hosts.allow et /etc/hosts.deny, TCP-Wrapper utilise l'algorithme suivant : Si une règle est applicable dans hosts.allow, alors cette règle est appliquée, sinon, Si une règle est applicable dans hosts.deny alors cette règle est appliquée, sinon, L'accès est autorisé. La stratégie de sécurité à adopter : 1. décrire toutes les règles pour les couples (services/clients) qui sont autorisés, 2. interdire systématiquement tout le reste (mettre par défaut ALL:ALL dans hosts.deny) Réseaux Internet & Services 112 Syslog Les tentatives d'accès depuis des machines extérieures sont toutes enregistrées dans des fichiers particuliers Enregistrements effectués par le processus syslogd qui, à son démarrage, lit le fichier /etc/syslog.conf pour trouver dans quel(s) fichier(s) il doit enregistrer les différentes tentatives d'accès /var/log/syslog : fichier contenant toutes les actions enregistrées Sommaire Architecture d Internet Le système de résolution de noms DNS Service de transfert de fichiers : FTP Telnet - SSH Fonctionnement de Telnet Principales commandes SSH : principes Le systèmes de clefs de SSH Etablissement d une connexion SSH Transferts de fichiers par SSH, tunnels SSH Les protocoles de messagerie Les protocoles du web Téléphonie sur IP Les protocoles RTP, RTCP Conclusion Glossaire - Bibliographie Réseaux Internet & Services 113 Réseaux Internet & Services 114

20 Telnet Telnet Spécifications basiques de Telnet définies dans la RFC 854 (options décrites par les RFC 855 à 861) Telnet : protocole standard d'internet permettant l'interfaçage de terminaux et d'applications à travers Internet (permet l interopérabilité des systèmes) Fonctionnement en mode client/serveur Fournit les règles de base pour permettre de relier un client (système composé d'un affichage et d'un clavier) à un interpréteur de commande (côté serveur) Exécution de Telnet telnet nom_du_serveur ou Commandes sous Telnet exécution de commandes à distance (login et mot de passe avant de se connecter sur l hôte distant) S'appuie sur une connexion TCP (port 23) pour envoyer des données au format ASCII codées sur 8 bits entre lesquelles s'intercalent des séquences de contrôle Telnet Spécifications de Telnet basiques, transmission de données à travers Telnet = transmission d octets dans un flux TCP (données regroupées dans un tampon avant d être envoyées, données envoyées ligne par ligne) Protocole de base sur lequel s appuient d autres protocoles de la suite TCP/IP (FTP, SMTP, POP3 ) Spécifications de Telnet ne mentionnant pas d authentification (Telnet totalement séparé des applications qui l utilisent le protocole FTP définit une séquence d authentification au-dessus de Telnet) Protocole de transfert de données non sûr (données qu'il véhicule circulant en clair sur le réseau)? close display environ logout mode Affiche l'aide Termine la session Telnet Affiche à l'écran les paramètres de la connexion (type de terminal, port) Permet de définir les variables d'environnement du système d'exploitation Permet de se déconnecter Bascule entre les modes de transfert ASCII (transfert d'un fichier en mode texte) et BINARY (transfert d'un fichier en binaire) open quit set unset Permet de lancer une autre connexion à partir de la connexion en cours Quitte l'application Telnet Modifie les paramètres de la connexion Charge les paramètres de connexion par défaut Réseaux Internet & Services 115 Réseaux Internet & Services 116 SSH (Secure SHell) SSH (Secure SHell) Protocole pour se connecter à distance sur les serveurs : historiquement telnet Mais protocole conçu à l époque sans les contraintes de sécurité : tous les flux y compris les mots de passe passent en clair sur le réseau Avec le développement des techniques de cryptographie, développement de systèmes permettant de chiffrer les communications entre deux machines : SSH1 et SSH2 SSH est à la fois la définition d'un protocole et un ensemble de programmes utilisant ce protocole Programmes destinés à permettre aux utilisateurs d'ouvrir, depuis une machine cliente, des sessions interactives à distance sur des serveurs et de transférer des fichiers entre les deux de manière sécurisée Open SSH : solution open source pour SSH ( Package SSH installés par défaut dans toutes les distributions OpenSSH s appuie sur les libraires cryptographiques d Openssl Serveur Session Par rapport Client aux SSH applications telnet, rlogin, ftp : SSH SSH connexion entre le client et Connexion le serveur cryptée cryptographie à clefs publiques SSH permet sécurisée à SSH de garantir l'authentification mutuelle du client (utilisateur) et du serveur Machine cliente Serveur SSH Réseaux Internet & Services 117 Réseaux Internet & Services 118 Les systèmes de clefs de SSH SSH s appuie sur deux techniques : la cryptographie asymétrique SSH utilise la cryptographie asymétrique RSA ou DSA. Méthode de chiffrement à clé publique reposant sur des clés asymétriques : clé différente utilisée pour le chiffrement et le déchiffrement Une clé publique qui peut être divulguée pour le chiffrement Une clé privée connue uniquement de son propriétaire pour le déchiffrement PP(%@$)C$WEQ%# (%*^&#$$%@$@#($$ Décryptage Les systèmes de clefs de SSH SSH s appuie sur deux techniques : la cryptographie symétrique Pour les méthodes à clés symétriques, clés utilisées pour le chiffrement et le déchiffrement (chiffrement symétrique ou chiffrement à clés secrètes, ou à clés privées) PP(%@$)C$WEQ%# (%*^&#$$%@$@#($$ Décryptage La cryptographie symétrique beaucoup moins gourmande en ressources processeur que la cryptographie asymétrique... mais le gros problème est l échange de la clé secrète entre A et B (dans le protocole SSL, qui est utilisé par SSH et par les navigateurs Web, la cryptographie asymétrique est utilisée au début de la communication pour que A et B Key puissent s échanger une clé secrète de manière Key sécurisée... puis la suite la communication est sécurisée grâce à la cryptographie symétrique en utilisant la clé secrète échangée) Public Key Private Key Si la personne A veut envoyer un message confidentiel à la personne B, A crypte le message avec la clé publique de B et l'envoie à B sur un canal qui n'est pas forcément sécurisé. Seul B pourra décrypter le message en utilisant sa clé privée. Réseaux Internet & Services 119 Réseaux Internet & Services 120